Amazon und Google
Smarte Spione
im Wohnzimmer
A
us einem Smartspeaker kann eine Wanze
werden. Das haben Forscher der Berliner
Security Research Labs vorgeführt. Sie
konnten den Google Home und den Amazon
Echo so manipulieren, dass Nutzer unbemerkt
abgehört werden. Die Anbieter wollen ihre Kon-
trollen nun verbessern. Der Fall zeigt aber: Si-
cherheit bei Smartspeakern ist so schwierig zu
garantieren wie bei Handys oder Computern.
Nutzer müssen auch selbst aufpassen.
Dass Aufnahmen von den Techkonzernen abge-
hört werden können, die Sprachsoftware anbie-
ten, ist spätestens seit August bekannt. Nach
Whistleblower-Berichten mussten Facebook, Goo-
gle, Amazon und Apple zugeben, dass sie Audio-
dateien hatten nachhören und abtippen lassen,
ohne dass die Betroffenen informiert wurden. So
sollte die Technologie verbessert und sollten Miss-
verständnisse seltener werden. Jetzt haben die
Forscher vorgeführt, dass prinzipiell jeder die Ge-
räte zu seinem „smarten Spion“ machen kann.
Die intelligenten Geräte mit Lautsprecher und
Mikrofon sollen Helfer im Alltag sein. Sie beant-
worten Fragen nach dem Wetter oder der Ver-
kehrslage, schalten im vernetzten Zuhause das
Licht ein. Ähnlich wie bei Smartphones lässt sich
der Funktionsumfang durch Apps externer An-
bieter erweitern. Solche Miniprogramme nutzten
die Forscher für ihren Lauschangriff.
Google und Amazon prüfen nach eigenen An-
gaben jede App, bevor sie zur Installation freige-
geben wird. Luise Frerichs und Fabian Bräunlein
konnten die Kontrolleure aber überlisten, indem
sie nachträglich den Code veränderten. Im Fall
von Amazons Echo nutzten sie eine App, die Ho-
roskope vorliest, wenn der Nutzer sein Sternzei-
chen nennt. Mit „Alexa, Stopp“ wird die App nor-
malerweise beendet. Die Forscher programmier-
ten die App allerdings so um, dass sie unbemerkt
weiter horchte. Sobald ein Sprecher in der Nähe
des Geräts „ich“ sagte, wurde dann alles aufge-
zeichnet: Frerichs und Bräunlein wählten be-
wusst dieses Signalwort, um persönliche Infor-
mationen abzugreifen. Es könnten aber noch viel
mehr Begriffe gespeichert werden und die Auf-
nahme aktivieren. Beim Google-Gerät veränder-
ten die Forscher eine Zufallsgenerator-App nach-
träglich. Durch einen technischen Kniff lief auch
bei dieser die Aufnahmefunktion weiter, obwohl
ein Abschaltsignal ertönte.Manipulierte Apps erfragen Passwort
Außerdem verwandelten die Forscher Speaker-
Apps zu Phishing-Programmen: Einmal umpro-
grammiert, meldeten sie auf jede Abfrage Fehler,
bis sie den Nutzer schließlich zu einem Update
und zur Ansage des Passworts aufforderten. Phis-
hing ist bisher vor allem via E-Mail bekannt: Die
Absender fragen persönliche Daten des Empfän-
gers ab, um in dessen Namen zum Beispiel On-
linebestellungen in Auftrag zu geben.
Die Anbieter versprechen nun, ihre Sicher-
heitsmaßnahmen zu verbessern. Zu dem Bericht
der Berliner Forscher sagte eine Google-Spreche-
rin: „Unsere Überprüfungsprozesse decken die
Art des in diesem Bericht beschriebenen Verhal-
tens auf, entsprechend haben wir die von den
Forschern entwickelten Actions gelöscht. Wir set-
zen zusätzliche Mechanismen ein, um derartiges
in Zukunft zu unterbinden.“ In einem Statement
von Amazon hieß es: „Wir haben den betreffen-
den Skill umgehend blockiert und Schutzmaß-
nahmen ergriffen, um diese Art von Skill-Verhal-
ten zu erkennen und zu verhindern.“
Nutzer sollten aber auch selbst auf verdächtige
Signale achten. Google und Amazon fragen Pass-
wörter grundsätzlich nicht über ihre Sprachassis-
tenten ab. Ob die Mikrofone und Lautsprecher
aktiviert sind, ist an Leuchtsignalen zu erkennen.
Larissa HolzkiGrund für die standardmäßige Datenauswertung ar-
gumentiert sie: Um die Qualität der Plattform zu
verbessern, sei es nötig, „dass wir, natürlich nach
strikten Datenschutzstandards, stichprobenartig
Sprachbefehle analysieren“. Genauso hatte ur-
sprünglich auch Google reagiert, dann jedoch das
Verfahren mit Rücksicht auf die Datenschutzbeden-
ken der Nutzer umgestellt.
Aus Konzernkreisen erfuhr das Handelsblatt,
dass die Telekom sich sehr bewusst für diese Praxis
entschieden hat. Bei einem Test war ein ähnlicher
Ansatz wie der von Google ausprobiert worden.
Dabei hatten die meisten Nutzer jedoch keine Ein-
willigung zur Datenauswertung erteilt. Daher hatte
der Konzern Sorge, aufgrund fehlender Mitschnitte
die Sprachanalyse nicht ausreichend trainieren zu
können. Deshalb stellte er das System um.
Der Hamburger Datenschützer Caspar kritisiert
das Vorgehen der Telekom. Bei der menschlichen
Auswertung von automatischen Sprachassistenz-
systemen dürfte der Telekom-Ansatz zu kurz grei-
fen. „Hier ist aus meiner Sicht eine informierte
Einwilligung im Rahmen des Opt-in-Prinzips erfor-
derlich“, sagt Caspar. „Mit der Erfüllung eines Ver-
trags zu argumentieren ist problematisch, da die
Vertragserfüllung gegenüber dem Kunden eben
nicht die manuelle Auswertung von dessen
Sprachnachrichten erfordert.“ Um aufgeklärt ein-
zuwilligen, müsse der Kunde „transparent“ darü-
ber informiert werden, dass die Sprachdaten ge-
speichert und ausgewertet würden und dass ein
„nicht unerhebliches Risiko von Fehlaktivierungen
in seinem Umfeld“ bestehe. Das gelte auch mit
Blick auf dritte Personen, erläutert der Daten-
schützer. „Insgesamt weisen die Sprachassistenz-
systeme derzeit eine Reihe von datenschutzrecht-
lichen Fragen auf “, fügt Caspar hinzu. „Es bedarf
hier möglichst schnell europaweiter Standards,
die Orientierung bieten und auf alle Anbieter an-
wendbar sind.“
Auch Verbraucherschützer Romberg kritisiert:
„Nach den zahlreichen Skandalen und den mangel-
haften Informationen anderer Anbieter von smar-
ten Assistenten hätte die Telekom hier mit besserem
Beispiel vorangehen können und ein Opt-in für die
Analyse der Sprachbefehle einschalten können.“
Der smarte Lautsprecher ist einer der ambitio-
niertesten Versuche von europäischen Großkon-
zernen, Datenschutz zu einem Wettbewerbsvorteil
zu machen. Die Hoffnung gibt es schon seit Jahren
in der Politik und der Wirtschaft. Die Datenschutz-
Grundverordnung (DSGVO), die seit 2018 in Kraft
ist, sollte die Möglichkeiten verstärken. Doch es
scheint Unternehmen nicht leichtzufallen, das Ver-
sprechen von hohem Datenschutz auch in einen
Geschäftserfolg zu übersetzen.
Beispiel Messenger: Gleich mehrere Firmen tra-
ten an, den US-Dienst WhatsApp herauszufordern.
Mit hohem Datenschutz und einer besonderen Ver-
schlüsselung versuchte etwa der Schweizer Dienst
Threema zu punkten. Der verschlüsselte Messen-
ger Signal warb sogar damit, dass er vom US-ame-
rikanischen Whistleblower Edward Snowden emp-
fohlen wurde. Dennoch blieben beide Dienste bis-
lang Nischenprodukte. Ein Messenger hat nur Sinn,
wenn auch viele Freunde den Dienst einsetzen.
WhatsApp hat die Marktmacht. Dagegen kommt
ein Neueinsteiger nur schwer an.Datenschutz als Wettbewerbsvorteil
Zudem scheinen Nutzer zwar bereit zu sein, für ei-
nen höheren Datenschutz auch Einschränkungen
oder höhere Kosten in Kauf zu nehmen. Doch die-
se Bereitschaft hat Grenzen. Bietet ein Dienst ho-
hen Komfort und viele Funktionen, wird er auch
genutzt, selbst wenn es Bedenken in Bezug auf Da-
tenschutz gibt. „Der große Erfolg der Produkte von
Amazon bis WhatsApp zeigt, dass besonders aus-
geprägter Datenschutz offenbar aus Sicht vieler
Nutzer nicht so bedeutsam ist, wie es zuweilen
propagiert wird“, sagt der Beauftragte für digitale
Wirtschaft und Start-ups im Bundeswirtschaftsmi-
nisterium, Thomas Jarzombek (CDU). „Dennoch
oder vielleicht gerade deshalb ist es wichtig, dass
der Staat die Regelungen zum Datenschutz korrekt
und nachvollziehbar durchsetzt.“
Nach Einschätzung des Bundesdatenschutzbe-
auftragten Ulrich Kelber kann ein starker Daten-
schutz Wettbewerbsvorteile für Unternehmen brin-
gen. Das Thema berge ein „nicht unerhebliches Po-
tenzial“, das auch wirtschaftlich ein Erfolgsfaktor
sein könne. „Das zeigt sich nicht zuletzt daran,
dass sogar große amerikanische IT-Unternehmen
erhebliche Summen in Werbekampagnen investie-
ren, die gerade die Datenschutzfeatures ihrer Pro-
dukte herausstellen“, sagte Kelber dem Handels-
blatt. Mit Blick auf den europäischen Markt rechnet
der Datenschützer damit, „dass es sicherlich in Zu-
kunft eine noch größere Nachfrage nach daten-
schutzfreundlichen Produkten und Dienstleistun-
gen geben wird“. Kelber begründete dies mit dem
insgesamt gestiegenen Datenschutzbewusstsein in
der Bevölkerung sowie dem Umstand, dass sich die
DSGVO mittlerweile „zu einer Benchmark für neue
Datenschutzgesetze auf der ganzen Welt entwi-
ckelt“ habe.
Ähnlich sieht es der Hamburger Datenschützer
Caspar. „Die Datenschutzkonformität von Produk-
ten sollte gerade auf dem europäischen Markt An-
bietern Wettbewerbsvorteile sichern“, sagte Caspar
dem Handelsblatt. Das gelte insbesondere für auto-
matische Sprachassistenzsysteme, deren Einsatz
„erhebliche Risiken“ für die Privatsphäre schaffe.
„Es ist bereits problematisch, dass immer noch An-
bieter auf dem Markt sind, die hier nicht auf eine
informierte Einwilligung der Nutzer setzen“, erläu-
tert Caspar. „Das ist eine erstklassige Chance für
Anbieter von datenschutzkonformen Lösungen,
sich auf dem europäischen Markt gegenüber daten-
schutzrechtlich zweifelhaften technischen Lösun-
gen abzuheben.“ Caspar rät daher: „Europäische
Anbieter sollten diese Strategie konsequent verfol-
gen und das Vertrauen der Menschen in ihre Pro-
dukte und Dienstleistungen stärken.“
Der Telekom und Orange könnte das gelingen.
Dafür müssten sie bei ihren smarten Lautspre-
chern allerdings noch nachbessern. Sonst halten
sie die Kunden nur für wenig besser als Amazon
und Google in Sachen Datenschutz.Die Telekom
hätte hier
mit
besserem
Beispiel
vorangehen
können.
Dennis Romberg
Verbraucherzentrale
BundesverbandTelekom-Cyber-
Abwehrzentrum:
Datenschutz ist dem
Konzern als Verkaufs-
argument enorm
wichtig.picture alliance/Henning Kaiser/dpacc-by-sa Andrea KathederUnternehmen & Märkte
1
MITTWOCH, 23. OKTOBER 2019, NR. 204
17