Gehackt: Digitale Ohren und Augen im Kinderzimmer

Unbekannte Hacker stahlen von den Servern des Spielzeugherstellers VTech Kundendaten und verschafften sich Zugang zu einem Archiv mit Aufnahmen von Kindern. Der Angriff war ein Kinderspiel. Denn der Konzern hat selbst grundlegende Sicherheitsregeln missachtet. Damit ist er nicht allein.

Collage: Eine Junge und ein Mädchen chatten mit ihren Tablet der Firma VTech. Bild in Lightbox öffnen.

Bildlegende: Tablet für Kinder: In einem Werbespot präsentiert die Firma VTech ein Produkt. YouTube VTech / Collage SRF

Die Firma VTech ist vor allem bekannt für interaktives Spielzeug, mit dem Kinder spielend lernen sollen. Mit einem einfachen Gerät für die Kleinen zum Beispiel, sollen diese die Namen von Farben üben.

Für die Grösseren bietet der Konzern aus Hong Kong farbenfrohe Computer-Tablets mit eingebautem Mikrofon und Kamera an. Damit können Kinder kurze Videos drehen oder ein Lied aufnehmen. Übers Internet können sie die Aufzeichnungen dann den Eltern aufs Smartphone schicken, zusammen mit einer Textnachricht.

Mit solchen Produkten verbindet VTech das Kinderzimmer mit dem Internet. Überraschend dabei: VTech misssachtet offenbar grundlegende Sicherheitsregeln, wie der Hackerangriff vom November nahelegt.

Sicherheitslücke seit 1998 bekannt

Wer hinter dem Angriff steht, ist nicht bekannt. Das Online-Magazin «Vice» konnte nach eigenen Angaben mit einem der Hacker sprechen. Der zeigte sich schockiert: Er konnte sich nicht nur Zugang zu Email-Adressen und Passwörtern von rund fünf Millionen Eltern verschaffen, er ergatterte auch Angaben zu 200'000 Kinder, deren Namen etwa oder das Geburtsdatum. Auf den Servern fand er zudem eine umfangreiche Sammlung von Fotos, die Kinder angefertigt hatten und Nachrichten, die die Kinder mit ihren Eltern in einem Chat ausgetauscht hatten.

VTech machte es den Hackern denkbar einfach. Der Angriff erfolgte über eine sogenannte SQL Injection, eine Schwachstelle in der Datenbankabfrage, die bereits seit 1998 bekannt und in jedem Buch über die Grundlagen der Web-Sicherheit dokumentiert ist. Die gleiche Nachlässigkeit zeigt sich auch im Umgang mit Passwörtern. Zwar hatte VTech diese verschlüsselt abgelegt. Doch der Algorithmus dazu gilt als veraltet und unsicher. Das erstaunt umso mehr, als es sich bei VTech nicht um eine kleine Firma handelt, die sich keine Sicherheitsspezialisten leisten kann.

VTech wurde 1976 in Hong Kong gegründet und beschäftigt heute 30'000 Mitarbeiter. Der Konzern erzielt einen Jahresumsatz von rund 1,8 Milliarden Dollar. Das Geschäft beschränkt sich dabei nicht nur auf Spielwaren, der Konzern produziert auch Funktelefone und Baby-Phones.

Das Internet der Dinge überfordert Hersteller

VTech ist nicht der einzige Spielzeughersteller, der die Sicherheit vernachlässigt. Ein weiteres Beispiel: die sprechende Barbie-Puppe.

Die letzte Inkarnation des Fräulein-Wunders kann sich mit seiner Besitzerin unterhalten, zeichnet das Gespräch auf und speichert es ab. Dem Sicherheits-Forscher Matt Jakubowski ist es nun gelungen, über das Netz auf die Puppe zuzugreifen, wie er in einem Interview mit dem Fernsehsender NBC erzählte. So konnte Jakubowski etwa die Kundennummer auslesen oder auf Audio-Files in der Puppe zugreifen. Er ist zuversichtlich, dass er Barbie schon bald so manipulieren kann, dass sie seine eigenen Texte spricht.

Barbie ist ein Beispiel für ein Spielzeug oder ein Gerät, das bis anhin ein Offline-Dasein fristete, nun aber mit dem Internet verbunden wird. Oft fehlt dabei den Entwicklerfirmen ein Bewusstsein für die Risiken im Internet, da sie Neuland betreten.

Das zeigt auch der Wettbewerb, den die Hacker-Konferenz Dev Con dieses Jahr organisierte. Die Herausforderung für die Teilnehmenden bestand darin, sich den Zugang zu verschiedenen Geräten und Gadgets zu verschaffen, darunter auch Spielzeug wie der ferngesteuerte Mini-Panzer i-Spy. Einem Hacker gelang es, über die Internetverbindung auf die Kamera des Gerätes zuzugreifen. So verschaffte er sich Zugang bis ins Kinderzimmer.