Datenklau im Kinderzimmer
Persönliche Datensätze sind viel Geld wert. Hacker machen auch vor Lernspielzeug für Kinder nicht halt. Die Verantwortung für mehr Sicherheit bleibt meist an den Eltern hängen. Hersteller sehen sich oft nicht in der Pflicht.
14. Dez. 2015 –
Die dreisten Diebe schlichen unbemerkt in Millionen Kinderzimmer. Während der Nachwuchs auf dem interaktiven Lern-Tablet spielte oder sich mit Mama und Papa über eine kindgerechte Nachrichten-App unterhielt, machten sich die Datenräuber an den Zugangskonten der Nutzer zu schaffen. Weltweit sind rund elf Millionen Zugänge von Eltern und Kindern des Lernspiele-Herstellers Vtech betroffen. Unternehmensangaben zufolge sind darunter rund 390.000 Eltern-Konten und etwa 500.000 Kinder-Profile, die in Deutschland angemeldet wurden. Die Datendiebe erbeuteten Passwörter, Email- und Heimatadressen, sowie Namen und Geburtsdaten der Kinder. Vermutlich bekamen die Täter auch Zugang zu Fotos und Nachrichten der Kleinen.
Florian Glatzner, Datenschutzexperte bei der Verbraucherzentrale Bundesverband, hat der Hack bei Vtech nicht überrascht. „Wir müssen uns daran gewöhnen, dass in Zukunft solche Datenlecks häufiger auftauchen“, sagt Glatzner. Viele Hersteller von vernetzten Geräten mit Internetanschluss kämen nicht aus der IT-Branche. „Viele sind sich der Verantwortung für die Datensicherheit nicht bewusst“, sagt Glatzner.
Dabei ist in vielen Fällen gar nicht klar, warum bestimmte Informationen überhaupt gebraucht werden, damit die Spiele funktionieren. Dazu gehört zum Beispiel das Geburtsdatum oder die Adresse. Mit diesen Informationen können die Datendiebe einen sogenannten Identitätsdiebstahl begehen. Im Namen des Betroffenen gehen sie einkaufen, machen Bestellungen oder knacken sogar Bankkonten. „Vor allem das Geburtsdatum ist sehr sensibel. Das wissen viele Menschen nicht“, sagt Glatzner.
Über die Lerncomputer von Vtech haben viele Kinder auch ihre Fotos hochgeladen. „Wenn Datendiebe auf diese Fotos Zugriff haben und diese verkaufen, können die schnell in falsche Hände geraten“, warnt Glatzner. Die Verbindung zu kriminellen Machenschaften wie sexuellem Missbrauch läge auf der Hand.
Digitales, internetfähiges Spielzeug hat längst die deutschen Kinderzimmer erobert. Schon Kindergartenkinder bekommen lieber ein Lern-Tablet, einen Mini-Computer, statt Bücher, Puppen und Autos geschenkt. Laut Bundesverband des Spielwaren Einzelhandels gehören Kamera-Drohnen, die Filme direkt aufs Smartphone senden, zu den angesagtesten Spielzeugen. Für viele Kinder ist es normaler auf Kinderwebseiten digitale Bilder zu malen, als auf Papier.
Ihre Daten im Netz nicht preiszugeben, fällt vielen Kindern und Jugendlichen schwer. Dabei sind für die Anmeldung zu einer Software, einer Webseite oder einem Online-Spiel nur ein Nutzername und ein Passwort notwendig. „Bei manchen Herstellern vermisse ich die Sensibilität für die Daten von jungen Nutzern“, sagt Anja Monz, zuständig unter anderem für das Bildungsprojekt „Sicherheit macht Schule“ des IT-Unternehmens Microsoft. Die Kinder wüssten sehr viel über das Thema Datenschutz, sagt die Pädagogin. Aber beim Spielen im Netz spielt dieses Wissen kaum mehr eine Rolle. Auch vielen Eltern sind die Folgen der arglosen Datenpreisgabe nicht bewusst „Wir dürfen die Kinder nicht alleine lassen, sondern müssen ihnen über die Schulter schauen, wenn sie im Internet unterwegs sind.“
Monz ist sich bewusst, dass Eltern Kämpfe ausstehen, wenn ihre Kinder den Zugang zu Webseiten, zu WhatsApp oder Facebook einfordern. „Die Kinder allein können die Folgen kaum abschätzen“, sagt Monz. Für die meisten Hersteller und Anbieter wäre es einfach, einem Missbrauch der Daten der Kinder vorzubeugen. Zum Beispiel könnten sie auf die Fotofunktion für Kinder verzichten und den jungen Nutzern stattdessen einen Stellvertreter, einen Avatar, anbieten. Hinzu kommen sichere Zugangsschranken zu den Spielen, die nur gemeinsam mit den Eltern aufgehoben werden können. „Die sichere Mediennutzung von Kindern sollte uns allen etwas wert sein“, sagt Monz.
Absolute Sicherheit bei den Daten ist wohl aussichtslos. Das räumt auch Verbraucherschützer Glatzner ein. Für ihn gibt es keinen Grund, den echten Namen oder das wirkliche Geburtsdatum anzugeben. Es sei denn, es handelt sich um Zahlungsinformationen. Außerdem ist der Firmensitz des Herstellers ein Indiz für den Datenschutz. Die Konzernzentrale von Vtech sitzt in Hongkong. Dort gibt es deutlich weniger strenge Datenschutzregeln als in Europa. Fliegt ein Identitätsdiebstahl auf, müssen Verbraucher jeden einzelnen Fall bei der Polizei anzeigen. In vielen Fällen werden die Kunden allerdings erst sehr spät auf einen Missbrauch aufmerksam. Letztlich liegt die Verantwortung aber bei den Eltern. „Sie müssen sich genau überlegen, ob das Spielzeug die Internetfunktion wirklich braucht und wenn ja, ob dann Fotos ihrer Kinder oder heikle Daten angegeben werden müssen.“
Noch sind die Kinder-Webseiten sowie die Internet-Plattformen des Spieleherstellers Vtech nicht erreichbar. Laut IT-Experten war ein sogenannter „Whitehead-Hacker“ am Werk. Der Dieb wollte angeblich auf die Lücken im Sicherheitssystem aufmerksam machen und hatte nichts Böses vor. Dieses Mal haben Eltern und Kinder wohl Glück gehabt.