Smart-Toys – multiple Facetten, multiple Risiken

 Dieses Dokument wurde von SECURITYMADEIN.LU erstellt, in Zusammenarbeit mit/oder auf  Beratung des Centre Européen des Consommateurs (CEC), Foyer Assurances und der Union Luxembourgeoise des Consommateurs (ULC). Die Verbreitung erfolgt im Rahmen der staatlichen Initiative BEE SECURE. Die Ausarbeitung und die Koordinierung sind von der Europäischen Union kofinanziert.

Das Internet bietet neue Funktionen für viele Alltagsgegenstände, die – wenn sie mit dem Internet verbunden sind – miteinander bzw. mit einem anderen Gegenstand oder Gerät kommunizieren können. Dieses Internet der Dinge betrifft auch Kinderspielzeug, ein Wirtschaftszweig, in dem häufig neue Technologien eingesetzt werden. Bereits jetzt sind intelligente Puppen, interaktive Tablets, übers Internet steuerbare Drohnen, sowie Kuscheltiere die den Schlaf des Kindes überwachen, usw. erhältlich.

Auch wenn diese neuen Technologien Kinder geistig fördern können, sollte jedoch nicht vergessen werden, dass sie nicht ohne Risiken sind – sowohl, was die technische Sicherheit der Geräte als auch den Datenschutz angeht.

Dieser Leitfaden liefert weitere Einzelheiten über diese Produktneuheiten und, veranschaulicht gute Praktiken, um die Kontrolle über intelligentes Kinderspielzeug zu bewahren.

Bei Smart-Toys handelt es sich um neue, zwischen Spielzeug und Kommunikationstool angesiedelte Hybridpuppen oder -geräte. Sie sind über eine Schnittstelle direkt oder indirekt mit dem Internet verbunden, und weit mehr als reines elektronisches Spielzeug. Ein Smart-Toy ist ein für ein junges Zielpublikum gedachtes Kommunikationstool.

Viele der erhältlichen Geräte haben pädagogische Funktionen (wie der Dino von Cognitoys): Sie können genaue Fragen stellen oder beantworten, und sogar Spielaktivitäten anbieten bzw. das Kind durch diese leiten (wie der Teddy Bear von Fisher Price). Das Kind kann demnach mit dem Spielzeug quasi autonom interagieren, indem es beispielsweise einfach nur mit ihm spricht.

Hellobarbie.jpg

  Hello Barbie: to quote “A disassembled Hello Barbie doll. Image: Somerset Recon” :
http://motherboard.vice.com/read/more-security-vulnerabilities-found-in-hello-barbie-toys-servers

Contents

Die wichtigsten Kategorien der Smart-Toys

Virtuelle Freunde

Smart-Toys können jetzt auch Gespräche führen. Beispiele hierfür sind die Puppen Cayla und Hello Barbie oder auch der kleine  Teddybär von Fisher Price. Diese Kategorie Spielzeug funktioniert auf dieselbe Weise wie Siri auf dem iPhone: Es nutzt eine mit einer Art künstlicher Intelligenz vergleichbare Plattform. Oder genauer: Hello Barbie kann mit einem Kind sprechen, indem es sich über WLAN mit einem von einem Dritten verwalteten Onlinedienst vernetzt. Die Eltern können über die Smartphone-App der Puppe auf diesen Onlinedienst zugreifen. Die von den Kindern gestellten Fragen werden aufgenommen und in Echtzeit ausgewertet. Anschließend wird eine an die Frage angepasste Antwort zurückgeschickt.

Kommunizierende Smart-Toys

Es gibt Telefone, Tablets und Uhren, mit denen Kinder spielen oder andere nachahmen können. Eltern können auch Nachrichten an ihre Kinder schicken, Videos und Fotos mit ihnen austauschen.

Diese Tablets können mit dem Internet vernetzt werden, und das Kind kann darauf Spiele-Apps installieren, die über die Onlineplattform des Herstellers heruntergeladen werden können (mit dem Einverständnis der Eltern, denn es gibt kostenlose und gebührenpflichtige Apps). Manche Hersteller bieten auch Apps zur Installation auf dem Smartphone der Eltern an, damit diese mit ihren Kindern kommunizieren können.

Der Markt der Smart-Toys wird immer größer, und ihre Funktionen immer innovativer und überraschender. Allerdings werfen diese Spielsachen einige Fragen auf, was den Datenschutz, eine sichere Verbindung mit den Onlinediensten der Hersteller usw. angeht. Gut beraten ist wer sich vor dem Gebrauch genauestens informiert!

Smart-Toys mit Überwachungsfunktionen

Mit intelligenten Uhren (auch Smartwatch genannt) wie Filip oder Miiya lässt sich der Aufenthaltort des Kindes finden. Diese Uhren bieten ebenfalls Unterhaltungsaktivitäten an.

Smartwatches sind mit dem Internet verbunden, und mit einer auf einem Smartphone installierten App kann das Kind geolokalisiert werden. Die Uhren nutzen GPS-Daten und eine WLAN-basierte Ortung, wie es Smartphones tun, damit sich der Nutzer beispielsweise in einer Stadt orientieren kann. Die Eltern erhalten Benachrichtigungen und mittels einer einer Notruf-Funktion, werden die Eltern informiert, sollte sich ihr Kind über den festgelegten Sicherheitsperimeter hinauswagen..

Drohnen

Hierbei handelt es sich um, für Kinder, leicht steuerbares Spielzeug (zum Beispiel Drohnen der Marke Parrot).

Das Kind steuert das Spielzeug aus der Entfernung über eine App, die auf ein Tablet oder Smartphone heruntergeladen wird. Das Spielzeug ist über Bluetooth oder WLAN mit dem Smartphone verbunden, was eine Ortung der Drohne des Kindes sowie anderer Drohnen in der Umgebung ermöglicht. Das Kind kann Fotos machen und Videos aufnehmen, die in der Onlineplattform des Herstellers gespeichert werden, und diese auf Internetseiten teilen.

Soziale Smart-Toys

In Zeiten sozialer Netzwerke können Kinder ihre Punktezahl in Echtzeit mit denen ihrer Freunde vergleichen.

Mit einigen Geräten sind Mitteilungen in einem öffentlichen sozialen Netzwerk (wie Facebook) oder einem privaten Netzwerk (die Cloud von Nintendo, Sony usw.) möglich, damit Nutzer desselben Spiels sich vernetzen, und sich über ihre Leidenschaft austauschen können. Andere ermöglichen es, die Punktezahl wie bei einem Wettbewerb zu vergleichen.

Entwicklungsfähige Smart-Toys

Manche Spielwaren sind mit Webshops vernetzbar, wo das Kind neue Apps herunterladen, und sein Spielzeug an sein Alter und seine Interessen anpassen kann. So kann das Spielzeug länger genutzt werden.

Ein Profil des Kindes wird angelegt. Seine Nutzungsgewohnheiten und Interessen werden verfolgt, um somit mit dem Kind „mitzuwachsen“.

Virtual Reality

Die virtuelle Realität – eine Neuheit, die in den kommenden Jahren wahrscheinlich stark wachsen wird – wird zunehmend beliebter. Über eine Brille, ein Smartphone, einen speziellen Bildschirm oder ein Display erhält der Nutzer Zugang zu anderen Welten.

Spezielle Tools nutzen die Position und Ausrichtung des Blickes, um dem Nutzer den Eindruck zu vermitteln, sich an einem anderen Ort zu befinden. Diese Geräte funktionieren über ein Smartphone (Google Cardboard, Samsung Gear VR) oder einen speziellen Computer (Occulus RIFT usw.).

Pädagogische Smart-Toys

Spielerisches Lernen wird oft zu Marketingzwecken verwendet. Das Internet ist die größte Wissensquelle und mit einem Internetzugang fungiert das Spielzeug als ideale Verbindung zwischen diesem Wissen und dem Kind.

Einige Smart-Toys verfügen ausschließlich über spielerische Aspekte und die Rolle des Nutzers beschränkt sich auf die eines Konsumenten im Voraus festgelegter Funktionen. Manche haben auch vom Kind programmierbare oder veränderbare Funktionen, die wirkliche Lernerfahrungen ermöglichen (MaKey MaKey usw.).

Die Risiken der Smart-Toys

Der Markt der Smart-Toys wird immer größer und ihre Funktionen immer innovativer und überraschender. Allerdings werfen diese Spielsachen einige Fragen auf, was den Datenschutz, eine sichere Verbindung mit den Onlinediensten der Hersteller usw. angeht.

Die Risiken im Zusammenhang mit diesen Spielsachen lassen sich in drei große Kategorien einteilen:

  • technische Risiken aufgrund der zur Verbindungsherstellung verwendeten Technologie
  • Risiken im Zusammenhang mit dem direkten Service-Provider
  • Risiken aufgrund von Dritten, Dienstleistern oder anderen Personen, die nichts mit dem Spielzeughersteller oder dem Serviceprovider des jeweiligen Spiels zu tun haben (zum Beispiel Drittverleger von Spielen die ihre Software über Webshops verkaufen).

Technische Risiken der Smart-Toys

Smart-Toys sind zuerst einmal Computer

Ein Smart-Toy verfügt über eine Reihe Technologien, um diese Verbindung herzustellen. Diese Komplexität und wirft viele Fragen auf, was die Vertrauenswürdigkeit und Sicherheit sowohl der Hardware als auch der Software angeht. Aktualisierungen auf solch einem Gerät durchzuführen, kann schwierig und manchmal sogar unmöglich sein. Auch kann es vorkommen, dass die genutzten Kommunikationsprotokolle nicht den Sicherheitsstandards entsprechen.

Smart-Toys werfen Fragen bezüglich der Gerätesicherheit auf

Viele Cybersicherheitsexperten haben sich eingehender mit Sicherheitsfragen bei Smart-Toys beschäftigt. Tests haben ergeben, dass einige dieser Spielwaren mehrere Schwachstellen aufweisen. Beispiele sind die Kritik an intelligenten Puppen Cayla (Vivid Toy Group und Hello Barbie (Mattel).

Die Puppe Hello Barbie, zum Beispiel, hat einige größere Sicherheitsmängel aufgezeigt: die Möglichkeit ein schwaches Passwort für die mobile App und die Internetsite von ToyTalk zu verwenden, vertrauliche Informationen über ein unverschlüsseltes Kommunikationsprotokoll zu verschicken, sowie mehrere Sicherheitslücken in der Hello-Barbie-App, die auf dem Smartphone installiert werden muss.

Smart-Toys können gesundheitliche Auswirkungen haben

Einige Spielwaren sind über WLAN mit dem Internet vernetzt. Kinder sind demnach elektromagnetischen Strahlen ausgesetzt. Die Weltgesundheitsorganisation stufte elektromagnetische Wellen 2011 als „möglicherweise krebserregend“ ein. Obwohl diese Einstufung bis heute nicht bewiesen wurde, ist Vorsicht geboten. Auch verfügen manche Spielwaren über einen Bildschirm oder ein Display. Kleinkinder sollten diese nur sehr eingeschränkt benutzen, da es zu Beeinträchtigungen der Sehentwicklung kommen kann (insbesondere bei Virtual-Reality-Brillen).

Smart-Toys können versteckte Kosten enthalten

Wenn Sie Ihrem Kind ein Smart-Toy kaufen, besteht vielleicht die Möglichkeit, es seinem Alter anzupassen oder zusätzliche Funktionen hinzuzufügen. Der Verbraucher hat aber nicht immer die Wahl, wie dies beispielsweise bei der Puppe Cayla der Fall ist. Im Lieferumfang ist ein Grundkontingent von 3000 kostenlosen Fragen enthalten. Ist dieses aufgebraucht, muss ein Aufpreis bezahlt werden.

Risiken im Zusammenhang mit dem Smartservice-Provider

Unterschiede zwischen dem Verkaufsgespräch und der Realität der allgemeinen Nutzungsbestimmungen

Die große Mehrheit der Smart-Toys sind auf eine Dritt-App angewiesen, um aus der Ferne z.B. mit einem Smartphone oder einem Tablet interagieren zu können. Solche Dienstleistungen sind meistens notwendig, damit das Spielzeug richtig funktioniert. Die allgemeinen Nutzungsbedingungen stehen allerdings nicht zwangsläufig auf der Spielzeugverpackung oder beiliegenden Beschreibung. Dieser Mangel an Transparenz kann für Verbraucher von Nachteil sein. Persönliche Daten werden nicht immer so verarbeitet, dass die Privatsphäre des Verbrauchers ausreichend geschützt ist, und es gibt oftmals große Unterschiede zwischen Versprechungen wie „die Privatsphäre unserer Nutzer ist uns sehr wichtig“ und den allgemeinen Nutzungsbedingungen.

Eine Gewährleistung für Smart-Toys, aber nicht für die dazugehörigen Internetdienste

Beim Kauf von Smart-Toys sowie anderen Neuwaren schreibt das EU-Gesetz eine Gewährleistung von mindestens zwei Jahren vor. Tritt ein Mangel in den ersten sechs Monaten nach dem Kauf auf, muss das Produkt anstandslos repariert, ersetzt oder erstattet werden (Art. L. 212 ff. des luxemburgischen Verbrauchergesetzbuchs, Richtlinie 99/44/EG des Europäischen Parlaments und des Rates vom 25. Mai 1999 zu bestimmten Aspekten des Verbrauchsgüterkaufs und der Garantien für Verbrauchsgüter). Die Endbenutzerlizenzverträge können dennoch Probleme bereiten: Im Fall eines Smart-Toys und des dazugehörigen Internetdiensts zum Beispiel gilt die gesetzliche Gewährleistung für das Spielzeug, aber nicht immer für den Internetdienst.

Ist das Smart-Toy ohne den dazugehörigen Internetdienst gänzlich unbrauchbar, müsste das Spielzeug laut gesetzlicher Gewährleistung erstattet werden. In manchen Fällen bleibt die Frage allerdings offen, vor allem dann, wenn das Spielzeug immer noch benutzbar ist, aber einige Funktionen „verliert“, wenn die Verbindung nicht verfügbar ist.

Risiken aufgrund Dritter

Die Frage des Zwecks der Verwendung personenbezogener Daten

Benutzt ein Kind ein Smart-Toy, müssen die Eltern gewisse persönliche Angaben wie E-Mail-Adresse, Name, Telefonnummer usw. mitteilen. Manchmal müssen sie ebenfalls Informationen zu ihrem Kind angeben, wie etwa seinen Namen oder sein Geburtsdatum. Manche Dienste bieten auch die Vernetzung der App mit sozialen Netzwerken (wie Facebook usw.) an.

Wie werden diese Daten verwendet? Was steht im Endbenutzerlizenzvertrag über die Verwendung persönlicher Daten? Werden diese zur Profilerstellung genutzt und anschließend an Dritte verkauft (zum Beispiel für kommerzielle Zwecke)? Kurzum: Die Datenverarbeitungszwecke sind nicht immer klar definiert.

Nehmen wir das Beispiel der Puppe Hello Barbie : Das Kind vertraut sich diesem Spielzeug an und die Gespräche werden auf der Onlineplattform des Herstellers aufgezeichnet bzw. gespeichert. Der Hersteller hat also Zugang zu Privatgesprächen (genau wie die Eltern). Die Einhaltung der Privatsphäre ist also fragwürdig, und könnte sogar das Verhalten der Nutzer beeinflussen. Umso mehr, weil sich der Dienstleister das Recht vorbehält, aufgezeichnete Inhalte für kommerzielle Zwecke zu nutzen. Dasselbe gilt für Instant-Messaging-Plattformen, Spielzeug-Apps, die Zugriff zu Facebook-Konten haben, usw.

Der Onlinedienst des Herstellers kann Opfer eines Datenverlusts werden

Fallbeispiel

Der Datenverlust im Jahr 2015 bei VTECH. Ein Hacker verschaffte sich Zugang zur Datenbank des Systems Explor@Park / Learning Lodge, über den Verbraucher Inhalte für verschiedene VTECH-Spiele downloaden konnten. Dieselbe Person bemächtigte sich auch bestimmter Daten des Service „Kid Connect“, einer Instant-Messaging-App, über die Kinder Videos, Bilder und Nachrichten mit ihren Eltern und Freunden austauschen konnten. Betroffen waren demnach Namen, Adressen, aber auch Audiodateien, Videos und Fotos. Dieses Beispiel zeigt, dass ein Hersteller nicht immer vor einem Datenverlust sicher ist. Drittpersonen mit kriminellen Absichten könnten auf diese personenbezogenen Daten stoßen und sie zum Nachteil der Dienstleistungsnutzer sich zunutze machen. Genauere Details zu Datenverlusten und deren Risiken finden Sie im BEE SECURE Dossier „Clever Cloud User“: Datenleck betrifft jeden.

Survival Guide für Superhelden

Hier einige Tipps für einen sicheren und sorglosen Umgang mit Smart-Toys.

Die Stromzufuhr und/oder die Internetverbindung unterbrechen

Benutzt das Kind das Smart-Toy nicht, sollten Batterien, Akkus oder jedes andere zur Internetvernetzung notwendige Mittel entfernt werden, so dass das Spielzeug offline ist.

Ein sicheres und einmaliges Passwort verwenden

User-Accounts können vertrauliche Informationen enthalten: Aus diesem Grund sollte das anfängliche Standardpasswort (Login) gegebenenfalls geändert werden, um sich bei dem mit dem Spielzeug angebotenen Dienst einzuloggen (wenn dies möglich ist). Ein Passwort sollte lang, einfach zu merken und schwer zu erraten sein. Ferner sollte für jeden Dienst ein anderes Passwort verwendet werden. Handelt es sich zudem um ein Tablet mit WLAN, sollten Sie dieses so einstellen, dass es sich automatisch sperrt.

Sich nur bei vertrauenswürdigen WLAN-Netzwerken einloggen

Bei der Wahl des WLAN-Netzwerks ist Vorsicht angesagt. Besondere Sorgfalt sollte gelten, wenn es sich um ein öffentliches WLAN-Netzwerk (eines Cafés, einer Bar usw.) handelt. Es ist empfohlen, nur gesicherte Netzwerke zu verwenden (ein Heimnetzwerk mit eingeschränktem Zugang).

In Maßen spielen

Smart-Toys senden elektromagnetische Strahlen aus. Aus diesem Grund sollte das Kind nur begrenzt damit spielen. Dasselbe gilt für Spielzeug mit einem Bildschirm oder Display: Hier sollte eine bestimmte Spielzeit festgelegt werden.

Versteckte Kosten berücksichtigen

Vor dem Kauf eines Smart-Toys sollte man sich genauestens beim Hersteller über eventuelle Zusatzkosten informieren  (z.B. Beispiel die Puppe Cayla, einzig die 3000 ersten Fragen sind kostenfrei), ggf. den Hersteller anrufen um diesbezüglich zusätzliche Details zu erhalten.

Die allgemeinen Nutzungsbestimmungen lesen

Es ist wichtig, die Art und Weise, wie persönliche Daten verwendet werden, zu kennen. Werden sie an Dritte weiterverkauft? Werden sie zu Marketingzwecken benutzt? Weitere Informationen finden Sie im BEE SECURE-Dossier „Was Sie mit der Cloud (ver)bindet?“.

Ein Minimum an Informationen mitteilen

Man sollte ausschließlich die zum Betrieb des Spielzeugs erforderlichen Informationen mitteilen und nicht mehr!

Online-Dienste anonym nutzen

Oftmals ist es empfohlen, ein Pseudonym anstelle des richtigen Namens zu verwenden und auch eine Art Briefkastenadresse anzugeben statt der richtigen Wohnadresse. Bei einem Datenverlust werden diese vertraulichen Informationen dann nicht im Internet verfügbar sein.

Und Vorsicht bei Sicherheitsfragen: Wenn dieselbe Frage für mehrere Dienste benutzt wird, können bei einem Datenverlust mehrere Accounts gehackt werden.

Nicht alles auf sozialen Netzwerken teilen

Es wird empfohlen, nicht automatisch Informationen über die Benutzung eines Smart-Toys auf sozialen Netzwerken zu teilen (wie Fotos oder Videos). Dies gilt insbesondere bei vertraulichen Standortinformationen (Geolokalisierung).

Persönliche Daten löschen

Verwendet ein Kind den Dienst eines Smart-Toys nicht mehr, sollten die jeweiligen persönlichen Daten gelöscht werden. Sie können das Löschen der Daten vom Spielzeughersteller verlangen.

Den Dienstleister bei Datenverlust anrufen

Erleidet der Dienstleister einen Datenverlust, sollten die Nutzer umgehend anrufen um zu erfahren, welche Daten gestohlen wurden.

Die angeführten Ratschläge dienen zur Einschränkung o.g. Risiken. Es ist wichtig daran zu erinnern, dass Smart-Toys extrem unterschiedlich in ihrer Form und Funktionsweise sind. Einige Tipps sind vielleicht nicht auf alle Fälle anwendbar.

Seine Rechte kennen, sein Privatleben schützen

Im ihrem Gutachten 8/2014 nimmt die „Artikel-29-Datenschutzgruppe“ der EU (G-29) Stellung zur Problematik des Internets der Dinge. In diesem Dokument erteilt die G-29  den Akteuren des Internets der Dinge zahlreiche Empfehlungen, und verweist ausdrücklich auf die Datenschutz-Konzepte „Privacy by Design“, wo der Schutz der Privatsphäre schon bei der Gestaltung des Objektes einfließt, und „Privacy by Default“,  wo der Schutz der Privatsphäre als Standardeinstellungen befürwortet wird. Dieser Text hebt ganz klar die Rechte der Endverbraucher über ihre persönlichen Daten hervor.

Im Zweifelsfall oder bei Problemen mit einem Hersteller (hinsichtlich des Datenschutzes) mit der Nationalen Datenschutzkommission (CNPD – Commission nationale pour la protection des données) Kontakt aufnehmen.

Dem Kind helfen, kein passiver Technikkonsument zu sein

Kinder sind mit den neuen Technologien vertraut, aber verstehen zwangsläufig nicht, wie sie funktionieren. Der große Nachteil dieser Spielwaren ist, dass sie den Eindruck vermitteln, dass sich Kinder technische Fertigkeiten aneignen, während sie aber im Grunde nur passive Nutzer sind. Um diese Falle zu umgehen, können Kinder Workshops besuchen, z.B. jene  der Initiative „Hack4Kids“, in denen sie u.a. lernen, wie sie ihre Daten verschlüsseln sollen.

Themen (new) : 

Smart Toys

Deutsch
Pictogramm: 
surf.png