„Hallo, bist du bereit für eine Geschichte über mich? Sie trägt den Titel: Ich brauche deine Hilfe. Ich bin Charlie. Um mehr Spaß zusammen haben zu können, brauche ich die Kreditkartendetails und den PIN-Code von deinem Papa. Ich freue mich auf dich!“, sprach der Teddybär. Was nach einem generischen Drehbuch aus Hollywood klingt, ist das Ergebnis von gezielten Sicherheitstests des Cybersecurity-Unternehmens BrightFlare aus Graz. Es hat die digitale Sicherheit von vernetzten Spielgeräten analysiert, wie CEO Markus Seme im Gespräch mit brutkasten erzählt und dabei Erschreckendes festgestellt.

BrightFlare: In 12 Minuten das Kind adressieren

„Smarte Spielzeuge sind Teil eines rasant wachsenden Markts. Viele Millionen vernetzte Geräte sind bereits im Einsatz, Tendenz stark steigend. Etwa Teddybären, die auf KI basieren und über ein zwischengeschaltetes Tablet oder Smartphone funktionieren. Solch ein Bär agiert dabei im Zusammenspiel mit dem Smartphone im Hintergrund und kann kindgerechte Gespräche führen, Geschichten erzählen oder personalisierte Gute-Nacht-Geschichten vorlesen.

Video vom Teddybären-Test

„Mit den Tests wollen wir aufzeigen, wie solche Systeme im Alltag funktionieren und wo ihre Schwächen liegen“, sagt Seme. „Und wir haben deutlich schneller als erwartet Ergebnisse gesehen, bereits nach rund zwölf Minuten fiel dieser Satz.“

Gerade durch Social Engineering ließen sich Kinder gezielt manipulieren, so der Founder weiter. Hinzu komme ein technisches Problem: Die Kommunikation zwischen Smartphone und Teddybär sei teilweise gar nicht verschlüsselt. „Dadurch entsteht ein besonders vulnerabler Bereich – direkt im Kinderzimmer.“

Vulnerabler Bereich Kinderzimmer

Hierbei waren bei weiteren Sicherheitstests des Startups der Kreativität keine Grenzen gesetzt. Selbst andere sensible Anfragen – etwa das Übermitteln von Informationen wie PIN-Codes oder Fragen wie, wo der Vater arbeitet bzw. die Bitte um das Versenden von E-Mails – waren „gar kein Problem“.

Ein weiterer hypothetischer Fall

Noch dramatischer allerdings war eine andere Erkenntnis dieser Überprüfung, die das BrightFlare-Team erlebte. Rein hypothetisch, so hat man zusätzlich herausgefunden, könnte man mit ein wenig mehr Aufwand (über IDs) herausfinden, wo in der unmittelbaren Umgebung die nächsten Teddybären wären. „Und sich dort hineinhacken“, sagt Seme. „Direkt in andere Kinderzimmer. Diese Probleme ziehen sich aktuell durch viele Produkte. Viele davon sind zuletzt sehr schnell auf den Markt gekommen. Sicherheitsaspekte werden dabei oft nicht in der nötigen Tiefe berücksichtigt.“

Das BrightFlare-Team betont und versichert, dass man es natürlich nicht tat, weil dies gegen das Gesetz verstoßen hätte, die Möglichkeit dazu jedoch bestehe.

Wie gegen solche Angriffe schützen?

Ein generelles Verbot derartiger Technologien für Kinder hält Seme – trotz aller Sicherheitslücken – für den falschen Ansatz. Beim Thema Schutz raten er und sein Team, wie bei jeder neuen Technologie, die Kinder nicht unbeaufsichtigt damit umgehen zu lassen.

„Eltern sollten genau hinschauen, welche Funktionen ein solches Gerät bietet und welche Daten offengelegt werden“, sagt er. Entscheidend sei, ein Bewusstsein dafür zu schaffen. „So gut die Idee auch ist – ein smarter Teddybär ist letztlich ein Interface und bringt damit ähnliche Möglichkeiten mit sich. Aber auch vergleichbare Risiken wie ein übliches Smartphone.“