Das Dumme am Internet der Dinge ist, dass sich jede Branche berufen fühlt, ihre Produkte internettauglich zu machen. Die wenigsten  Unternehmen haben die nötigen Kenntnisse oder auch nur die Absicht, die dabei anfallenden Nutzerdaten wirksam zu schützen. Smart Homes? – Bis hin zur Kloschüssel ist schon so ziemlich alles gehackt worden. Autos? – Spätestens seit diesem Sommer gibt es ernstzunehmende Attacken aus der Ferne. Schusswaffen? – Natürlich ein lohnendes, pardon, Ziel. Jetzt geht es mit Kinderspielzeug und dessen Herstellern weiter.

Ein Hacker, der anonym bleiben will, ist im November in die Server von VTech eingebrochen, einer Firma in Hongkong, die vernetztes Spielzeug und Lerncomputer für Kinder herstellt. Er fand dort Namen, E-Mail-Adressen, Anschriften, Passwörter und Informationen zum Zurücksetzen des Passwortes von knapp fünf Millionen Eltern, sowie die Vornamen und Geburtstage von mehr als sechs Millionen Minderjährigen. Allein in Deutschland sind 390.000 Elternkonten und 508.000 Kinderprofile betroffen, wie das Unternehmen mittlerweile bekanntgab

Hinzu kamen noch 190 Gigabyte Fotos von Eltern und Kindern sowie Aufzeichnungen von deren Chats, die sie mithilfe der VTech-Spielzeuge und der dazugehörigen Apps geführt hatten. Alles schlecht gesichert und gar nicht oder nur unzureichend verschlüsselt. Und dabei ist VTech alles andere als neu im Geschäft und sollte es besser wissen.

Veröffentlichen will der Hacker die Daten nicht, nur auf die mangelhaften Sicherungsmaßnahmen und die fragwürdigen Speicherpraktiken von VTech hinweisen.

Vorratsdatenspeicherung beim Spielzeughersteller

Das Unternehmen nahm nun erst einmal mehrere seiner Dienste und Websites offline, wollte auf Nachfrage von Motherboard aber nicht einmal sagen, warum es die Nutzerdaten überhaupt auf seinen Servern speichert, geschweige denn, warum das gleich für ein ganzes Jahr sein muss, wie es einige der Dateien nach Angaben von Motherboard nahelegen. Das Medium hatte die Firma überhaupt erst auf den Hack hingewiesen, VTech selbst hatte bis dahin nicht einmal gemerkt, dass jemand seine Server durchstöbert hatte.

Solche Berichte über abgefangene Daten von Kindern oder gehackte Barbiepuppen dürfte es in naher Zukunft häufiger geben. Die meisten Hersteller haben andere Prioritäten als Datensicherheit, und vielen fehlen Erfahrung und Expertise. Das haben sie mit den Herstellern von vernetzten Kloschüsseln gemeinsam. Gleichzeitig steigt das Interesse an vernetztem Spielzeug, Geräte mit Kameras, Mikrofonen oder eben Internetzugang finden somit immer häufiger den Weg in die Spiel- und Kinderzimmer.

Natürlich ist nicht jedes Spielzeug mit WLAN-Anbindung per se gefährlich. Im besten Fall lernen Kinder damit frühzeitig, sich in einer vernetzten Welt zu orientieren und zu bewegen. Im schlechtesten erfahren sie frühzeitig, dass alles gehackt werden kann, was am Internet hängt.

Über die Folgen solcher Vorfälle lässt sich nur spekulieren. Im Extremfall und je nach betroffenen Spielzeugen und Daten könnten die Täter ein Kind aus der Ferne überwachen, belästigen, mobben oder die Eltern erpressen, bloßstellen oder ihre Wohnungen auskundschaften.

Florian Glatzner vom Verbraucherzentrale Bundesverband rät Eltern deshalb, sich klarzumachen, "dass es sich bei diesen Produkten um kleine Computer handelt. Und so, wie sie sich bei jedem Computer oder Cloudservice überlegen, wem sie ihre Daten anvertrauen, müssen sie das eben auch bei anderen Produkten überlegen". Deshalb könne es ratsam sein, eher auf europäische Firmen oder Dienstleister zu vertrauen, weil die an die vergleichsweise strengen europäischen Datenschutzgesetze gebunden sind.

Datenschutzverordnung könnte noch aufgeweicht werden

Glatzner wünscht sich, dass sich Fälle wie VTech letztlich in der geplanten EU-Datenschutzgrundverordnung niederschlagen, deren endgültige Fassung derzeit im sogenannten Trilog zwischen EU-Kommission, Ministerrat und EU-Parlament ausgehandelt (und offenbar noch verwässert) wird. Im besten Fall würde die Verordnung zum einen Grundprinzipien wie eine strenge Zweckbindung von Nutzerdaten garantieren, zum anderen gewisse Mindeststandards bei der Datensicherung und empfindliche Sanktionen gegen Unternehmen einführen, die sich nicht daran halten. Das würde auch für Spielzeughersteller gelten.

Update: Die Zahlen der betroffenen Kinderprofile und einige andere Angaben wurden aktualisiert. Wie sich in der Nacht zum Dienstag herausstellte, war der Vorfall noch gravierender als zunächst angenommen.