Unter Beobachtung

Unterhaltungselektronik spioniert Benutzer aus

Trends & News | Trend

Immer mehr Geräte kommen sensorbestückt ins Haus und senden permanent Daten ins Netz. Diese Mitteilsamkeit kann wünschenswert sein – etwa wenn sie den Alltag erleichtert. Dabei sollte der Nutzer immer das letzte Wort darüber haben, welche Daten verschickt werden. Analysen zeigen jedoch: Hersteller kümmern sich nicht darum. Und angesichts der Vielfalt an Details, die abfließen, kann einem mulmig werden.

An PC, Tablet und Internet-Radio als vernetzte Geräte haben wir uns längst gewöhnt. Nun kommen immer mehr Geräte im Haushalt mit Netzwerkschnittstellen an: Hersteller konzipieren Bügeleisen, Zahnbürsten, Kaffeemaschinen, Personenwaagen, Heizungssteuerungen, Kühlschränke, ja sogar Toilettenschüsseln mit Internet-Zugang.

Was sie ins Internet übertragen, sollten die Hersteller dem Nutzer genau sagen. In Deutschland hat grundsätzlich jedermann das Recht, selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Nach der EU-Grundrechtecharta sind personenbezogene Daten sogar geschützt. Erhebt ein Unternehmen personenbeziehbare Daten, muss es also genau darlegen, wie es diese Daten sammelt, nutzt und ob es sie an Dritte weitergibt. Der Nutzer muss der Datenerhebung vorab zustimmen. Zu den personenbeziehbaren Daten zählt schon die IP-Adresse eines Geräts, ganz zu schweigen vom Personengewicht und Zahnputzintervall, die Waage und Zahnbürste erfassen.

Datenkraken im Haus

Gleich mehrere aktuelle Beobachtungen zeigen aber, dass es die Hersteller mit dem Datenschutz nicht so genau nehmen. Manche Geräte greifen mehr ab als sie dürfen, andere gehen gänzlich heimlich vor. Manche Smartphone-Software füttert mit den Daten auch Unternehmen, mit denen der Kunde gar keinen Vertrag geschlossen hat.

Das Beispiel Smart-TVs haben wir erst kürzlich aufgedeckt [1]: Geräte von LG, Panasonic, Philips, Samsung und Toshiba informieren die TV-Sender heimlich, sobald der Benutzer den Kanal wechselt. Viele Sendeanstalten können so im Detail nachvollziehen, wann ihr Programm auf welchem Gerät eingeschaltet wurde. Ein Hersteller hat über sein Fernsehgerät das Sehverhalten für ProSiebenSat1-Programme sogar minutengenau erfasst und weitergegeben. Das mag im Geschäftsinteresse der Sender sein, damit setzen sie sich aber gemeinsam mit dem TV-Hersteller über das Recht des Nutzers hinweg, über seine Daten zu bestimmen.

Obendrein setzen die meisten Sender für ihre Zuschauerbeobachtung stillschweigend auf Google Analytics. Google erfährt also ebenfalls, was die Benutzer der smarten Fernseher sehen und kann damit Geschäfte machen. Das stößt in der Bevölkerung auf geteilte Meinungen: Manchen ist unwohl dabei, dass Google so viel über sie weiß und sie gruseln sich beim Gedanken, dass womöglich auch Geheimdienste daran teilhaben. Andere finden es nützlich, wenn sie passende Werbung erhalten.

Doch die Schwelle zum digitalen Hausfriedensbruch ist schnell überschritten: LG hat mit seinen Smart-TVs die per USB angeschlossenen Festplatten der Nutzer durchsucht und – natürlich heimlich – Inhaltsverzeichnisse zum Hersteller zurückgefunkt. Zu welchem Zweck, drang bisher nicht ans Licht. Auffällig war aber, wie schnell LG die Finger zurückzog, als der Vorgang bekannt wurde, und eine Firmware ohne Schnüffelfunktion bereitstellte.

Hausfriedensbruch

Von Smartphones ist längst bekannt, dass sie Hard- und Software-Hersteller gern für Daten-Fischzüge benutzen. Nach ersten grenzüberschreitenden Vorfällen hatte immerhin Apple vor einigen Jahren für iOS wirksame Schranken errichtet. Seitdem lassen sich zwar immer noch Nutzerprofile anlegen, aber Unternehmen können sie nicht mehr bestimmten Geräten und somit auch nicht Nutzern zuordnen.

Android lässt hingegen noch diverse Zugriffe auf private Daten zu, etwa auf das Adressbuch, die IMEI (International Mobile Equipment Identity), also die weltweit einzigartige Identifikationsnummer eines Mobilfunkgeräts oder die IMSI (International Mobile Subscriber Identity), die weltweit einzigartige Teilnehmerkennung. In manchen Fällen kümmern sich die Hersteller von Apps nicht einmal um ausdrücklich gezogene Grenzlinien und greifen mehr ab, als der Benutzer angeklickt hat.

Das zeigte sich bei Analysen des Datenverkehrs von Android-Apps. Einmal auf dem Smartphone installiert, führen sich manche Apps auf wie der Herr im Haus und füttern mit dem digitalen Gut andere Unternehmen, denen der Käufer der Software keine Rechte zur Datenverwertung gegeben hat.

Insbesondere Werbe-Unternehmen wie Google haben ein starkes Interesse daran, möglichst viel über jeden potenziellen Empfänger von Werbebotschaften zu erfahren – also über jedermann. Denn je mehr Google über den Einzelnen weiß, desto genauer kann das Unternehmen auf ihn Werbung zuschneiden. Vor diesem Hintergrund muss man auch die Übernahme des Heimvernetzers Nest sehen: Die intelligenten Thermostate des Unternehmens liefern Google darüber Anhaltspunkte, ob sich der Benutzer zu Hause aufhält. Google macht immerhin keinen Hehl daraus und kündigt den Deal groß an – Kritik hält den Konzern nicht auf; viele wollen die mitteilsamen Thermostate trotzdem.

Mit Chuzpe ins Schlafzimmer

Andere haben anscheinend schon Geschäftsmodelle gefunden und tun sich daran in aller Stille gütlich. Beispielsweise sammelt eine millionenfach installierte Taschenlampen-App für Android Positionsangaben seiner Nutzer und gibt sie heimlich an Werbenetzwerke weiter. Es fällt aber auch zu leicht, das Recht des Nutzers mit Füßen zu treten: Er besitzt in aller Regel weder Werkzeuge noch Know-how oder Zeit, um den Geräten auf die Finger zu sehen.

Dass die Datenernte im LAN so leicht geht, liegt aber auch daran, dass die meisten privaten Router fast allen ausgehenden Verkehr unbesehen durchwinken. Eine Firewall, die das minutiös regeln würde, kann Otto Normalsurfer weder bedienen noch bezahlen. Auf manchen Heim-Routern ist zum Glück dennoch ein Kraut gegen Datenspione gewachsen – obschon die Funktion gar nicht dafür gedacht war: der Kinderschutz, der Sprösslinge an zu häufigen Internet-Ausflügen hindern soll. Wie Sie den einsetzen und welche sonstigen Gegenmaßnahmen helfen, beschreiben wir im Beitrag ab Seite 78.

Wer gehofft hat, dass Unternehmen durch den NSA-Skandal aufgeschreckt sind und mehr Bewusstsein für den Schutz der Daten ihrer Nutzer an den Tag legen, sieht sich getäuscht. Derweil schreitet die technische Entwicklung mit Siebenmeilenstiefeln voran: Netzwerkausstattung beschränkt sich nicht mehr auf die üblichen Verdächtigen, also etwa PCs, Tablets, Smartphones, Home-Theatre-Systeme, Internet-Radios, Spielekonsolen.

Im Zuge der Smart-Home-Entwicklung, des aufkommenden Internet der Dinge und des Quantified Self kommen immer mehr Geräte hinzu, die Hersteller in Versuchung bringen, sie als Horchposten beim Kunden zu verwerten: Wattmeter, Blutdruckmessgeräte, Mülleimer, Brillen, Essbesteck, Kontaktlinsen, Badezimmerspiegel, Betten … Unter www.telefoniert-nach-hause.de finden Sie schon jetzt eine große Datenbank mit Geräten aller Art, die nach Hause funken.

Wünschenswert wäre etwas wie eine „Stiftung Datenschutz“. Bis aber eine solche Institution die Einhaltung der Schweigepflicht vernetzter Geräte sicherstellt, sind im allmählich wuchernden Internet of Everything die Datenschutzgesetze nur Papiertigerchen.

Allein zu Haus

Bisher lässt die Politik den Benutzer allein zu Haus. Dennoch muss man sich die Gutsherrenattitüden mancher Hersteller nicht gefallen lassen – mit etwas Netzwerk-Einmaleins bleiben Sie Herr im eigenen LAN. Die folgenden Artikel versetzen Sie in die Lage, sich ein Bild über den Mitteilungsdrang Ihrer Geräte zu verschaffen und gegebenenfalls dagegen vorzugehen. Ab Seite 78 zeigen wir, wie Sie den unkontrollierten Abfluss Ihrer Daten stoppen. Die Beiträge ab Seite 82 und 86 erläutern, was Smartphones preisgeben und wie Sie Spione aufspüren. (dz)

Literatur
  1. [1] Ronald Eikenberg: Spion im Wohnzimmer, Privacy und Sicherheit bei Internet-fähigen TVs, c’t 4/14, S. 78
Kühlschrank als Virenschleuder

Eigentlich möchte man im Rahmen eines solchen Beitrags zwischen Geräten unterscheiden, die den Datenschutz missachten und solchen, die sich korrekt verhalten. Doch selbst bei den weißen Schafen ist ein gesundes Maß an Vorsicht angebracht. Der Trend zur massiven Vernetzung zieht nämlich auch unerfahrene Hersteller an, die Geräte übereilt auf den Markt werfen und dabei Sicherheitsprüfungen vergessen.

Solche Geräte sind dann ein gefundenes Fressen für Angreifer. Was dort zu holen sein kann, zeigen unsere Smart-TV-Analysen: Die Hersteller LG, Philips und Samsung haben die Verschlüsselung so wenig im Griff, dass sich der heimlich abfließende Datenstrom mit etwas Know-how entschlüsseln ließ. Unsere Überraschung war groß, unter den mitgeschnittenen Daten Passwörter für den Zugang zu Amazon und zum Videoverleih Maxdome zu finden.

Gerade nach derartigen Geräten dürften sich gewiefte Schadsoftware-Programmierer die Finger lecken: Anders als PCs laufen sie in der Regel ohne Inspektion der elektronischen Innereien. Solange sie ihren eigentlichen Dienst reibungslos versehen, deutet nichts Offensichtliches darauf hin, dass sie mit Schadsoftware infiziert sein könnten.

Man kommt ihnen allenfalls über die Analyse des Netzwerkverkehrs auf die Schliche. Beispiele dafür, in denen intelligente Hardware wie ein PC als Zombie missbraucht wird, gibt es bereits. Der US-Sicherheitsdienstleister Proofpoint hat ein Botnet aufgespürt, das unter anderem aus Routern, Fernsehern und Kühlschränken besteht. Von daher kann es erhellend sein, auch ein zunächst unverdächtiges Gerät einer Netzwerkanalyse zu unterziehen, wie ab Seite 86 beschrieben.

Artikel kostenlos herunterladen

Kommentare

Anzeige