Netzpolitik
02.08.2018

Wie Mozilla vernetztes Spielzeug aus den Kinderzimmern verbannen will

Mozilla startete eine Kampagne gegen Einhörner, Katzen und Hunde der Firma Spiral Toy und arbeitet an einem Gütesiegel für sichere IoT-Geräte.

Die Firma CloudPets hat ein Einhorn-Plüschtier auf den Markt gebracht, das mit dem Kind sprechen kann, in dem man per App Nachrichten aufnimmt und diese an das vernetzte Spielzeug schickt. Es handelt sich dabei um eines der unsichersten vernetzten Spielzeuge, die es bisher am Markt gab. Bisher. Denn der Browser-Hersteller Mozilla, der auch im Bereich Internet-Recht und Konsumentenschutz tätig ist, hat mit einer gezielten Kampagne dafür gesorgt, dass das Einhorn sowohl von Amazon als auch von den US-Supermarktketten Target und Walmart aus dem Handel genommen wurden.

Mozilla ist sehr interessiert daran, dass Konsumenten über die Produkte Bescheid wissen, die sie ihren Kindern kaufen und das manche davon grobe Sicherheitslücken haben“, erzählt Ashley Boyd, Vizepräsidentin bei Mozilla, im Gespräch mit der futurezone. Mozilla gibt deshalb immer wieder Ratgeber heraus, die auf die Gefahren von Produkten hinweisen und als Richtlinie für den Kauf herangezogen werden können. Doch manchmal hilft es nicht, nur die Konsumenten aufzuklären. 

Amazon hat CloudPets-Verkauf gestoppt

„Wir haben eine Sicherheitsfirma engagiert, die das vernetzte Spielzeug für uns mehrere Wochen lang unter die Lupe genommen hat“, erzählt Boyd. Dieser ist es gelungen, das Spielzeug so zu manipulieren, dass auch Fremde aus der Ferne Nachrichten aufnehmen und senden können. Die Bluetooth-Verbindung des Einhorns ist nämlich nicht gesichert und somit kann sich jeder mit dem Einhorn verbinden. Da der Hersteller Spiral Toy nicht auf das Problem reagiert hat, hat Mozilla Kontakt mit den Händlern aufgenommen. 

Amazon hat unser Gutachten angefordert und auch vorgelegt bekommen“, sagt Boyd. Wenige Tage später sei das Produkt CloudPets aus dem Amazon Store verschwunden, so die Konsumentenschützerin. Auch die Supermärkte Walmart und Target folgten. Zudem hatte Mozilla einen Brief und eine Kampagne vorbereitet, die an Tausende Unterstützer rausgegangen wäre, hätten die Händler nicht bereits vorher reagiert. 

Datenschutz-Leck bekannt

Die Firma, die hinter dem Spielzeug steckt, ist zudem nicht mehr aktiv. Die Website, die als „Hilfe bei Problemen“ angegeben ist, ist bereits inaktiv, die Domain steht zum Kauf. „Wir befürchten, dass Betrüger die Domain kaufen könnten, um verzweifelten Eltern, die Probleme mit dem Spielzeug haben, diverse dubiose Angebote unterjubeln können“, erklärt Boyd.

Bei CloudPets sind bereits vor knapp eineinhalb Jahren 2,2 Millionen aufgenommene Sprachnachrichten von rund 820.000 registrierten Anwender abhanden gekommen und im Internet verfügbar gewesen. Die betroffenen Nutzer wurden damals nicht von Spiral Toy informiert, obwohl es sich dabei um private Nachrichten zwischen Kindern und Eltern gehandelt hatte. „CloudPets ist aber nur eines von vielen Produkten“, sagt Boyd und kündigt an, weitere vernetzte Kinderspielzeugsachen von Experten unter die Lupe nehmen zu lassen. „Wir werden wieder ähnliche Kampagnen starten, wenn Hersteller nicht reagieren“, kündigt die Konsumentenschützerin an.

Sicherheitsgütesiegel in Arbeit

Zudem arbeitet man bei Mozilla im Berliner Büro an einem globalen Sicherheitsgütesiegel für vernetzte Produkte, das im Herbst offiziell vorgestellt werden soll. „Das Whitepaper dazu ist bereits fertig und befasst sich mit verschiedenen Gütesiegel-Modellen bezüglich Compliance, Auditing und Standards, die dabei berücksichtigt werden müssen“, erzählt Boyd. „Wir brauchen digitale Standards für vernetzte Produkte und klare Guidelines für Händler und Konsumenten“, sagt die Expertin. 

Sowie viele Konsumenten keine Ahnung davon hätten, was sie sich da eigentlich angeschafft haben, würden auch viele Händler nicht wissen, worauf sie sich beim Verkauf von bestimmten Produkten eigentlich einlassen, meint Boyd. „Ich habe durchaus Mitgefühl für Händler, denn den Überblick über die Produktpalette, die sie anbieten zu bewahren, ist sicher nicht einfach. Aber Händler sollten sich gut überlegen, was für Produkte sie aufnehmen. Ein derartiges Gütesiegel kann ihnen bei dieser Entscheidung sicher weiterhelfen.“ 

Länderübergreifende Lösungen sind gefragt

Tatsächlich bieten Händler wie Amazon oft auch Ware aus China an, die gar nicht in Europa verkauft werden dürfte. Bei einer gehackten Babycam, die eine Mutter im Schlafzimmer beim Stillen beobachtet hatte, handelte es sich etwa um eine chinesische Überwachungskamera, die in Österreich auf Amazon gelistet ist. „Babycams sind ein gutes Beispiel, weil es ist eines der ersten Dinge, die Eltern kaufen und daher können sie bereits zu diesem Zeitpunkt sensibilisiert werden“, sagt Boyd

Auch andere Produkte seien etwa nicht überall auf der Welt gelistet, wie etwa das Produkt Amazon Echo Dot für Kinder, so Boyd. Das gebe es nur in den USA und werde wegen Datenschutzbedenken nicht in Europa angeboten. „Wir haben mit einer Kampagne erreicht, dass Amazon jetzt wenigstens genau angeben muss, was mit den Daten passiert. Allerdings hat Amazon noch immer nicht bekannt gegeben, wie lange die Daten auf ihren Servern gespeichert werden“, erklärt Boyd

Generell sei es für Mozilla eine „interessante Gelegenheit“ grenzüberschreitend zusammenarbeiten, erklärt die Konsumentenschützerin. „Wenn ein Produkt Sicherheitsprobleme hat, sollte es in allen Märkten aus den Shops genommen werden, nicht nur in einem Land. Wir möchten das künftig bei unseren Kampagnen durchaus berücksichtigen“, so Boyd. Sie selbst erlaubt ihren Kindern übrigens gar keine vernetzten Spielzeuge. „Meine Kinder haben großartiges Spielzeug und ich fühle mich nicht gut, derartige Risiken auf uns zu nehmen.“