Digital Life
09.01.2018

Internet of Dongs: Vernetzte Vibratoren sicherer machen

Ein kanadischer Sicherheitsforscher hackt das "Internet der Dildos". Er will damit Sexspielzeug sicherer zu machen. Die futurezone hat mit ihm gesprochen.

Die Partnerin oder den Partner per App verwöhnen? Das geht seit einiger Zeit mit vernetzten Vibratoren oder Dildos, die sich aus der Ferne steuern lassen. Für viele Paare, die nicht zusammenleben, bringt diese neue Konnektivität viele Vorteile mit sich. So kann man sich seinem Liebsten hautnah fühlen, obwohl man doch physisch entfernt ist. Doch ähnlich wie beim vernetzten Kinderspielzeug haben auch die Lustbringer für Erwachsene mit Internet-Verbindung einige Sicherheitsschwachstellen.

Datensammler In den USA musste etwa der Hersteller We-Vibe insgesamt 3,75 Millionen US-Dollar Schadenersatz zahlen, weil die App des Vibrators Informationen darüber aufgezeichnet und an den Hersteller geschickt hatte, wie warm das Gerät gerade war und welcher Vibrationsmodus verwendet worden war. Eine App des Sexspielzeug-Herstellers Lovesense wiederum war dabei erwischt worden, dass sie ohne das Wissen der Nutzer Audiodateien des Akts auf dem Smartphon gespeichert hatte. Bei einem smarten Dildo der Firma Svakom Siime Eye war es hingegen möglich, dass die Bilder der eingebauten Kamera von Fremden mitverfolgt werden konnten.

Der kanadische Sicherheitsforscher, der sich im Internet „RenderMan“ nennt, hat mit „Internet of Dongs“ ein Forschungsprojekt gestartet, um die Privatsphäre der Nutzer von Sexspielzeug zu schützen. Er schaut sich die Sicherheit von Dildos, Vibratoren und anderen vernetzten Lustbringern an. Die futurezone hat mit ihm über sein Projekt und darüber, wie wichtig eine derartige, unabhängige Sicherheitsforschung für die Branche ist, gesprochen.

futurezone: Man liest im Netz immer wieder vom „Internet of Shit“ und viele machen sich über die Unsicherheit beim Internet der Dinge (IoT) lustig. Du sagst aber lieber: „Kritisiert nicht alle Produkte, nur, weil sie unsicher sind. Lasst uns Sicherheitsforscher daran arbeiten.“
RenderMan: Da muss man den gesamten IoT-Bereich vom Internet of Dongs trennen. Viele IoT-Geräte von großen Tech-Herstellern sind billig und nachlässig und man kann leicht sagen, dass sie das besser wissen hätten müssen. Mit dem Internet of Dongs ist das aber anders, vor allem, wenn man mit ein paar Herstellern gesprochen hat. Die meisten von ihnen haben bisher Produkte gemacht, die manuell betrieben worden sind, und niemals zuvor eine Konnektivität aufgewiesen haben. Ich wurde da häufig mit einer Naivität konfrontiert, was die Internet-Konnektivität betrifft, aber auch Ignoranz, die Risiken und Gefahren anzuerkennen. Die Branche hat niemanden, der ihnen sagt, dass gewisse Dinge vielleicht keine gute Idee sind…

Für die Hersteller ist IT-Security also Neuland?
Ja, Sicherheitsprobleme sind für sie neu. Alle, mit denen ich bisher gearbeitet habe, haben es am Ende aber verstanden. In den vergangenen zwölf Monaten hat sich das Bewusstsein innerhalb der Branche massiv verbessert, aber natürlich gibt es noch Luft nach oben und ich kann ihnen nicht so sehr dabei helfen, wie ich gerne würde. Etwas, für das ich mich aktiv eingesetzt habe, war, dass Hersteller Sicherheitsforscher akzeptieren und sogar ein Programm entwickeln, über das Schwachstellen gemeldet werden können. Das könnten etwa E-Mail-Adressen mit „security@“ sein, über die man sich direkt an die Technik-Abteilung von Herstellern wenden kann. Das kann sehr, sehr nützlich sein.

Nicht alle Sicherheitsforscher im Bereich Sex gehen so vorsichtig mit den Daten und Veröffentlichungen ihrer Forschung um sowie du. Manche halten sich auch an keine Fristen und gehen mit ihren Ergebnissen an die Öffentlichkeit, anstatt zuerst eine Reaktion des Herstellers abzuwarten.
Das ist von Fall zu Fall verschieden, aber ich würde sagen 90 Tage lang sollte man warten, bis man als Sicherheitsforscher seine Ergebnisse an die Öffentlichkeit stellt, nachdem man den Hersteller darüber in Kenntnis gesetzt hat. Davor sollte man alles, aber wirklich alles versuchen, um diesen zu erreichen – und nicht nur drei E-Mails senden. Manchmal hilft es auch, bei anderen Herstellern nach den Kontakten der Konkurrenz zu fragen.

Was würdest du empfehlen, wenn Hersteller von Sexspielzeug einfach nicht reagieren oder nicht die Ernsthaftigkeit des Problems erkennen?
Für mich ist es in dem Bereich besonders wichtig, dass von Sicherheitsforschern ein ethischer Codex eingehalten wird. Hier geht es schließlich um sensible, intime Daten, die gefährdet werden. Da muss man besser aufpassen. Ich bin zwar für öffentliches „Naming and Shaming“, aber nur, wenn bestimmte Regeln eingehalten werden. Alles muss dokumentiert sein und es muss der gesamte Prozess offengelegt werden, auch der Prozess der versuchten Kontaktaufnahme. Die Beweise sollen da für sich sprechen. Zweitens: Veröffentliche nichts, was Kunden weh tun könnte. Wenn man als Sicherheitsforscher Menschen Schaden zufügt, ist das das Gegenteil von dem, was man eigentlich tun sollte.

Ist dir bereits ein Sex-Spielzeug untergekommen, das sicherheitstechnisch hoffnungslos verloren war?
Das hängt von der Definition ab. Mir sind ein paar Fälle untergekommen, bei denen das System vom Grund weg kaputt war und komplett neu designt werden musste, und gleichzeitig die Funktionalität des Produkts aufrechterhalten werden musste. Das hat Hersteller bis zu sechs Monate gekostet, um das zu erreichen. Der Hersteller hat mich regelmäßig mit Updates versorgt und mich nicht abgewürgt. Das war für mich in Ordnung. In einem größeren Kontext betrachtet ist es eine Gefahr, dass viele IoT und IoD-Geräte so einfach und billig produziert werden, dass man so vieles falsch machen kann.

Der Slogan des Projekts ist „die Privatsphäre von Menschen schützen, indem man Sex-Spielzeug sicherer macht“. Wie hängen Sicherheit und Privatsphäre hier zusammen?
Die Bereiche überlappen sich. Sicherheitsprobleme sorgen dafür, dass private Informationen veröffentlicht werden und das kann Kunden und Herstellern Schaden zufügen. Aber natürlich gibt es dann auch noch den Aspekt, dass Daten von Herstellern gesammelt werden. Wir drücken alle auf „Ich stimme zu“ bei den Geschäftsbedingungen und Datenschutzbestimmungen. Es hat aber natürlich andere Auswirkungen, wenn dein TV die Daten an den Hersteller rückmeldet, oder dein Sex-Spielzeug. Ich versuche den Herstellern daher immer wieder mitzugeben, dass es für sie besser ist, gar keine Daten zu sammeln. Dann brauchen sie sich nämlich auch keine Gedanken darüber machen, diese schützen zu müssen. Und gleichzeitig wird dadurch die Privatsphäre der Nutzer respektiert.

Sollen Menschen jetzt überhaupt schon vernetzte Sexspielzeuge benutzen oder wäre man besser dran, bei Offline-Sex-Toys zu bleiben?
Die alten, analogen Geräte funktionieren noch, genauso wie vor 1000 Jahren. Und die menschliche Biologie hat sich seither auch kaum verändert. Vernetzte und fernsteuerbare Geräte sind neu und haben ein paar entscheidende Vorteile, etwa, wenn man viel reist und mit seinem Partner trotzdem intim bleiben möchte. Menschen, mit denen ich gesprochen habe, hat es dabei geholfen, das war positiv. Sie müssen nur die Risiken kennen und verstehen, dass die Hersteller ihr Bestmöglichstes tun, um die Risiken zu minimieren. Wer damit ein Problem hat, sollte besser darauf verzichten. Ich hoffe, dass ich mit meiner Arbeit dazu beitragen kann, diese Sorgen um die Sicherheit ein wenig zu reduzieren, damit Menschen die Geräte mit Vertrauen nutzen können.

Wann und warum hast du Internet of Dongs eigentlich gestartet?
Die Idee steckt seit fast einem Jahrzehnt in meinem Hinterkopf. Im März 2016 brauchte ich dann ein neues Projekt, um mich beschäftigt zu halten, sonst passieren schlimme Dinge mit mir. Da habe ich mir den Bereich rund um das Internet der Dinge angesehen. Ich war aber zu spät dran. Die Bereiche Smart Toys und Homes wie Babyphones oder Thermostate waren bereits gut durch andere Forscher abgedeckt. Viele dieser Geräte waren mir außerdem zu teuer. Da ich meine Sicherheitsforschung privat betreibe, kann ich mir es etwa nicht leisten, mir eine große Anzahl vernetzter Kühlschränke zuzulegen, um diese zu testen. Da ist mir meine Neugierde bezüglich Sexspielzeug wieder eingefallen und ich habe festgestellt, dass sich das noch kaum jemand angesehen hat. Daher schien es für mich Sinn zu machen.

Was war jetzt deine Hauptmotivation und ging es dir jetzt um IoT-Forschung oder um Sex-Toy-Forschung im Speziellen?
Langeweile und ein Wunsch, wieder mehr zu reisen. Ich war mir sicher, dass mich das Hacken von Sex-Spielzeug auf viele internationale Konferenzen bringen wird. Als ich mir dann die Geräte, Apps und Industrie näher angesehen habe, ging es recht schnell. Die Naivität bei der Umsetzung von Sex-Spielzeug in Kombination mit den Daten von Nutzern und den Möglichkeiten, diese zu missbrauchen, haben mir eine Heidenangst eingejagt. Von da an habe ich beschlossen, das ganze ernsthaft zu betreiben, bevor jemand verletzt wird. Wenn ich nicht alles dafür tue, würde ich mir das ewig vorhalten.

Verstehe ich das richtig, Internet of Dongs ist dein Freizeitprojekt. Bist du auch hauptberuflich im IT-Sicherheitsbereich beschäftigt?
Unter Tags arbeite ich als Penetration Tester. Mein Arbeitgeber unterschützt zwar mein Sex-Spielzeug-Projekt, möchte aber nicht direkt damit in Verbindung gebracht werden. Also erzähle ich üblicherweise, dass ich in Banken einbreche, um mein Geld zu verdienen. In der Hacker-Community bin ich seit 20 Jahren sehr aktiv und habe dort immer wieder meine Sicherheitsforschung präsentiert. Mein jüngstes Projekt hatte damit zu tun, dass ich Schwachstellen in der Steuerung vom globalen Luftverkehr von der Couch aus gefunden habe. Ich bin einer derjenigen, die dafür lebt, isst und atmet. Ich kann nichts betrachten, ohne die Sicherheitsschwachstellen und Risiken zu evaluieren. Das hat in der Vergangenheit immer mal wieder zu lustigen Situationen geführt wie „Rufst du an wegen dem Flugzeug-Hack oder der Sex-Spiezeug-Forschung?“

Wie viele Sicherheitsforscher arbeiten derzeit bei Internet of Dongs mit?
Es ist eine lose Gruppe an Menschen und es gibt keine formelle Mitgliedschaft per se. Rund 20 Leute partizipieren daran. Jeder kann seine eigene Forschung machen, ich versuche nur, dafür zu sorgen, dass das Ganze ethisch korrekt und verantwortungsvoll umgesetzt wird. Die Industrie darf man nicht zu hart anfassen, sondern sie braucht eine sanfte Herangehensweise, im Vergleich zu anderen.

Das Ganze ist also ein reines Freizeitprojekt?
Ja, aber es könnte ganz leicht ein Vollzeitprojekt werden. Ich fühle mich teilweise schlecht, dass ich mit der Arbeit, die zu tun wäre, nicht mehr hinterherkomme.

Bekommst du die Sex-Spielzeuge von den Herstellern zur Verfügung gestellt oder kaufst du diese selbst, um sie zu testen?
Die ersten Geräte habe ich von einem lokalen Geschäft hier in Edmonton, Kanada, bekommen. Dem „Traveling Tickle Trunk“. Die veranstalten Haus-Partys, bei denen die Sex-Spielzeuge als Demos hergezeigt werden. Die Demo-Geräte haben dann etwa kleine Fehler, die man einfach fixen kann. Ich habe sehr schnell erkannt, dass die Situation rund um die Sicherheit der Geräte weit schlimmer als befürchtet ist und ich eine Art Sponsorship brauchen würde.

Pornhub ist auf der Website als offizieller Kooperationspartner gelistet. Wie kam es dazu und wie läuft die Koop ab?
Das hat mit einer Mail von mir angefangen, als ich betrunken war. Ich wusste, dass Pornhub einige lustige und zufällig ausgewählte Dinge sponsort und immer wieder verrückte Marketing-Ideen hat, also dachte ich mir, dass ich es einfach mal versuchen sollte. Ich habe auch sofort eine Rückmeldung von der Marketing-Abteilung bekommen. Pornhub hat sofort die Wichtigkeit der Arbeit erkannt und zugesagt, zu helfen. Mit dem Geld konnte ich die Geräte von den Herstellern kaufen, womit ich mit einem Schlag auch zum Kunden geworden bin, und damit einen legitimen Grund hatte, mich über die Probleme, die ich gefunden hatte, zu beschweren. Alles, was Pornhub dafür als Gegenleistung wollte, war, dass sie auf der Seite des Projekts vertreten sind und in meinen Vorträgen und Artikel auf ihrem Blog erwähnt werden.

Wie wichtig ist unabhängige Forschung im Sex-Spielzeug-Bereich?
Unabhängige Forschung ist extrem wichtig, weil nur so kann der Bereich die Aufmerksamkeit bekommen, die er sich verdient hat. Internet of Dongs braucht einen menschlichen Touch, weil es wichtig ist, sich vor Augen zu halten, dass diese Geräte von Menschen benutzt werden und ihre Bedenken wichtig sind.

Was würdest du anderen Sicherheitsforschern raten, die sich Sex-Spielzeug ansehen?
Sich mit mir in Verbindung zu setzen. Ich habe viele Geräte, kenne die Industrie und kann Kontakte vermitteln. Wir haben auch Platz für Zusammenarbeit, was oft sehr hilfreich sein kann. Wer lieber seine eigene Forschung macht, sollte zumindest unseren Ethik-Codex durchlesen. Das Hacken von Sex-Spielzeug hat ernsthafte Auswirkungen. Man kann damit Beziehungen und Leben zerstören oder jemanden aus der Ferne vergewaltigen. Man kann Menschen großen Schaden zufügen, ohne es überhaupt zu merken. Ich unterstütze es voll und ganz, wenn jemand Forschung im Bereich von Sex-Spielzeug machen möchte und so zu einer Lösung des Problems beitragen. Davon wird es abhängen, ob Menschen das in Zukunft akzeptieren werden.