31. Januar 2019 – Der TÜV-Verband warnt vor den Risiken vernetzter Spielzeuge und fordert strengere Vorgaben durch den EU-Gesetzgeber. „Die europäische Spielzeugrichtlinie aus dem Jahr 2011 ist nicht mehr zeitgemäß und muss dringend überarbeitet werden“, sagte Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands, anlässlich der Spielwarenmesse in Nürnberg. „Spielzeuge verfügen immer häufiger über digitale Funktionen und sind mit dem Internet verbunden. Weder die Sicherheit vor IT-Angriffen noch der Datenschutz sind in der gültigen EU-Richtlinie ausreichend berücksichtigt.“ Die Spielzeugrichtlinie regelt, welche Sicherheitsanforderungen die Produkte erfüllen müssen, damit sie in der Europäischen Union auf den Markt gebracht werden dürfen. „Die Richtlinie wird zwar derzeit evaluiert, aber es gibt keine Signale, dass sie grundsätzlich überarbeitet wird“, sagte Bühler. Ein hohes IT-Sicherheitsniveau sei für Spielzeug aber dringend erforderlich und müsse von den Herstellern nach klaren gesetzlichen Vorgaben in den Produkten implementiert werden.
Der TÜV-Verband sieht bei vernetzten Spielzeugen (Smart Toys) folgende Risiken, die von den Herstellern berücksichtigt werden müssten:
- Kommunikation verschlüsseln: Ein häufiges Problem sind ungeschützte Datenverbindungen bei Spielwaren wie zum Beispiel interaktiven Puppen, per App steuerbaren Fahrzeugen oder Brettspielen mit Sprachsteuerung. Kriminelle Hacker können sich in die Kommunikation einschalten, das Kinderzimmer überwachen, Funktionen des Spielzeugs manipulieren oder mit dem Kind interagieren. Daher sollte die Kommunikation zwischen einzelnen Komponenten wie Spielzeug, Smartphone oder Router immer verschlüsselt erfolgen.
- Hohen Passwortschutz implementieren: Immer noch werden vernetzbare Produkte mit voreingestellten Kennwörtern ausgeliefert. Das öffnet Angreifern die Möglichkeit, die Kontrollen über die Geräte zu übernehmen. Smarte Spielzeuge sollten daher bei Inbetriebnahme über eine Routine verfügen, bei der die Nutzer zwingend ein neues, starkes Kennwort vergeben müssen.
- Software-Updates zur Verfügung stellen: Was bei Computern und Smartphones selbstverständlich ist, ist bei smarten Spielwaren noch die Ausnahme – regelmäßige Updates. Hersteller sollten ihre Software kontinuierlich auf Sicherheitslücken überprüfen, Updates bereitstellen und ihre Kunden darüber informieren.
- Datenschutz berücksichtigen: Spielzeuge mit digitalen Funktionen können viele Daten erfassen, nicht nur Kontaktinformationen, sondern auch Gespräche, Fotos oder Videos der Kinder. Diese Daten können die Hersteller für vielfältige Zwecke nutzen, wenn sie diese Informationen in ihre Rechenzentren übertragen. Eine Alternative ist, dass Daten nur lokal verarbeitet werden.
Laut der aktuell gültigen Spielzeugrichtlinie sollen die Hersteller alle möglichen chemischen, physikalischen, mechanischen, elektronischen, hygienischen oder sogar radioaktiven Gefahren analysieren, die von einem Spielzeug ausgehen könnten. IT-Risiken gehören bislang nicht dazu. „Eine Neubewertung der Risiken beim Gebrauch von Spielzeugen mit digitalen Funktionen unter dem Aspekt der IT-Sicherheit ist längst überfällig“, sagte Bühler. Daher sollten entsprechende Standards in die Richtlinie aufgenommen werden. Die Einhaltung dieser IT-Sicherheitsstandards sollte von unabhängigen Prüflaboren festgestellt werden. „Eine verpflichtende Drittprüfung bei Spielzeug ist ein wirksames Instrument, um Kinder besser zu schützen“, so Bühler. Das zeige das Beispiel USA. Nach der Einführung verpflichtender Drittprüfungen im Jahr 2008 sei die Zahl der Produktrückrufe um 90 Prozent zurückgegangen.