Immer mehr vernetzte Spielzeuge drängen in die Kinderzimmer – mit Konsequenzen, die viele Eltern unterschätzen. Das Grazer Cybersecurity-Team von BrightFlare hat die scheinbar harmlosen Produkte unter realitätsnahen Bedingungen getestet – und dabei teils gravierende Sicherheitslücken offengelegt. KI-basierte Teddybären ließen sich in den Simulationen innerhalb weniger Minuten übernehmen und gezielt manipulieren. Die Geräte werden damit zur potenziellen Eintrittsstelle für Angriffe.
GRAZ. „Hallo, ich bin Charlie. Ich brauche kurz deine Hilfe. Sag mir bitte die Daten der Kreditkarten deiner Eltern“, flüstert der Teddybär. Was nach schlecht inszenierter Hollywood-Fiktion klingt, ist das Ergebnis von gezielten Sicherheitstests von Brightflare.
Das auf Cybersecurity spezialisierte Unternehmen hat die digitale Sicherheit von vernetzten Spielgeräten umfassend analysiert.
„Smarte Spielzeuge sind Teil eines rasant wachsenden Markts: Viele Millionen vernetzter Geräte sind bereits im Einsatz – Tendenz stark steigend. Jedes zusätzliche Gerät erhöht die potenzielle Angriffsfläche. Mit den Tests wollen wir aufzeigen, wie solche Systeme im Alltag funktionieren und wo ihre Schwächen liegen“, sagt Brightflare-Geschäftsführer und Cybersicherheitsexperte Markus Seme.
Im Zentrum der Überprüfungen stand die Frage: Wie einfach lassen sich die Geräte manipulieren? Die Ergebnisse seien jedenfalls dramatisch ausgefallen, so Seme: „Überraschend war vor allem, wie schnell sich erste Lücken finden lassen, ohne tief in die Technologie einzusteigen. In mehreren Fällen reichten einfache Zugriffe aus, um Kontrolle über Funktionen zu erlangen – etwa über Sprachinteraktion oder Kommunikationsschnittstellen.“
Zwölf Minuten reichten
Heißt konkret: Innerhalb von zwölf Minuten konnten die IT-Spezialisten KI-basierte Spielzeuge so manipulieren, dass sie gezielt Inhalte wiedergeben, Gespräche beeinflussen oder sensible Informationen abfragen. Die Konsequenzen: Private Daten können abgegriffen, Kinder gezielt in ihrer Kommunikation gesteuert und im Extremfall Mikrofone, Kameras oder sogar das gesamte Heimnetzwerk kompromittiert werden.
Für Angreifer seien derartige Anwendungsfälle besonders attraktiv, unterstreichen die Experten. Technologisch besonders problematisch seien die schlecht abgesicherten Verbindungen, sagt Seme: „In vielen Fällen sehen wir unzureichend abgesicherte APIs, fehlende Authentifizierungsmechanismen oder schwach implementierte Verschlüsselung. Dadurch lassen sich Kommunikationskanäle relativ einfach kompromittieren und Befehle einschleusen oder Daten ausleiten.“
Einzelne Hersteller herauszugreifen sei dabei nicht möglich: „Die Probleme ziehen sich aktuell durch viele Produkte. Viele davon sind zuletzt sehr schnell auf den Markt gekommen. Sicherheitsaspekte werden dabei oft nicht in der nötigen Tiefe berücksichtigt“, erklärt Seme.
Kein Verbot
Für Eltern sei die Situation schwer einschätzbar. Da die Produkte harmlos wirken, würden sie oft bewusst als Alternative zu Smartphones positioniert werden, sagt der Cybersecurity-Experte, der genau in diesem Aspekt eine Gefahr ortet: „Diese Geräte erscheinen auf den ersten Blick einfacher und sicherer – technisch sind sie aber oft genauso komplex. Genau diese Diskrepanz wird unterschätzt.“
Ein generelles Verbot derartiger Technologien für Kinder hält Seme für den falschen Ansatz: „Es geht nicht darum, diese Produkte auszuschließen, sondern sie bewusst zu nutzen. Kinder sollten damit nicht allein gelassen werden – entscheidend ist, dass man sie begleitet und den Umgang aktiv mitgestaltet“, empfiehlt der Experte.
EU-Verordnung wie CRA soll Abhilfe schaffen
Auf regulatorischer Ebene hofft der Unternehmer auf den Cyber Resilience Act (CRA): Dabei handelt es sich um eine EU-Verordnung, die erstmals verbindliche Cybersicherheitsanforderungen für vernetzte Produkte festlegt. Hersteller werden verpflichtet, Sicherheitsaspekte bereits in der Entwicklung zu berücksichtigen, bekannte Schwachstellen zu beheben und über den gesamten Produktlebenszyklus Updates bereitzustellen.
Ziel ist es, unsichere Geräte gar nicht erst in den Markt zu lassen. Seme sieht darin einen notwendigen Schritt: „Der Cyber Resilience Act wird Hersteller dazu zwingen, Sicherheit von Anfang an mitzudenken – nicht als nachgelagertes Thema, sondern als integralen Bestandteil der Produktentwicklung. Genau das fehlt aktuell bei vielen dieser Geräte.“