„Smarte Sex-Toys sind genauso unsicher wie alle vernetzten Geräte“

Werner Schober von der Firma SEC Consult hat sich im Zuge seiner Masterarbeit an der FH St. Pölten diverse Sexspielzeuge angesehen und diese auf Security-Lücken untersucht. Wie bereits berichtet, hat er etwa beim Sexspielzeug „Panty Buster“ von Vibratissimo gravierende Schwachstellen gefunden, die vor allem die Privatsphäre der Nutzerinnen und Nutzer betreffen.

Jetzt hält Schober am 35. Chaos Communication Congress (#35c3) in Leipzig mit „Internet of Dongs“ einen Vortrag zu dem Thema. Wir haben mit ihm vorab ein kurzes Interview geführt.

futurezone: Wie steht es um die Sicherheit von vernetzten Sexspielzeugen?
Werner Schober: Da der Wettbewerb in dieser Branche recht groß ist, wird vermehrt auf "Features" gesetzt. Security kommt da meist nicht an erster Stelle. Dies resultiert in einem interessanten Phänomen. Schwachstellen, die in "normalen" Applikationen seit Jahren behoben sind, treten plötzlich in den Umgebungen der smarten Sexspielzeuge wieder auf. Das Problem ist hier, dass einfache Fehler, die in den meisten Bereichen bereits vor Jahren beseitigt wurden, erneut gemacht werden.

Sollte man als Nutzer daher ganz auf vernetztes Sexspielzeug verzichten?
Das bedeutet nicht, dass smarte Sexspielzeuge automatisch unsicher sind und nicht verwendet werden sollten. Es gibt genügend Hersteller, die ihre Hausaufgaben gemacht haben, oder machen mussten. Alternativ gibt es auch eine große Menge an OpenSource-Projekten wie etwa buttplug.io und internetofdon.gs, die es sich zur Aufgabe gemacht haben, das "Internet der Dildos" sicherer zu machen, indem offene Firmware für die Geräte implementiert wird, oder diese gar in das Tor-Netzwerk integriert werden, um den Datenverkehr zu schützen.

Worauf muss man als Nutzer aufpassen?
Ich bin Penetrationtester und kein Produkttester und möchte daher auch keine konkreten Empfehlungen abgeben. Es wäre auch falsch gegen Innovationen zu sprechen, solange diese sicher implementiert werden und bereits bei der Entwicklung der IT-Security-Aspekt hochgehalten wird. Am wichtigsten sind hier auch wiederkehrende Sicherheitstests durch Sicherheitsexperten und hochspezialisierte Tools wie z.B. den IoT Inspector zur automatisierten Analyse der Firmware dieser Produkte.

Was sind die wichtigsten Erkenntnisse, die du am 35c3 vorstellen wirst?
Smarte Sex Toys sind genau so unsicher wie alle anderen Geräte im Internet der Dinge. Der Impact ist in den meisten Fällen jedoch wesentlich höher. Es gibt Privatsphäre-Probleme, Leaks von sensitiven Daten und so weiter. Neben technischen Schwachstellen gibt es auch große datenschutzrechtliche, als auch strafrechtliche Bedenken.

Was für strafrechtliche Bedenken?
Die strafrechtlichen Bedenken beziehen sich vor allem auf das Ausnutzen von Schwachstellen in der "Remote Pleasure"-Funktionalität (Anmerkung: dem Fernzugriff auf das Sexspielzeug). Hierbei ist es einem Angreifer potentiell möglich die smarten Sex-Toys ohne Zustimmung zu aktivieren. Dies könnte nach österreichischem Recht als ungewollte geschlechtliche Handlung betrachtet werden.