VTech Kinder-Daten geklaut

Das Unternehmen VTech vertreibt unter anderem Lerncomputer für Kinder und hat dabei anscheinend Grundregeln der IT-Sicherheit vernachlässigt.

(Foto: Diane Bondareff/INVISION FOR VTECH)

Hacker knacken Server des Spielzeugherstellers VTech und verschaffen sich Zugang zu Daten von fast fünf Millionen Kunden. Betroffen sind auch 200 000 Kinder, die die Lernspielcomputer des Unternehmens nutzen.

Von Helmut Martin-Jung

Ihre Produkte sind bunt, überwiegend aus Plastik und für Kinder gedacht. Doch nun hat die in Hongkong ansässige Firma für Lernspielzeug und -computer Vtech ein Problem, das Eltern und Kinder betrifft. Sie wurde Opfer eines Hackerangriffs. Diese drangen in eine Datenbank auf den Servern des Unternehmens ein und verschafften sich Zugriff auf die Daten von gut 4,8 Millionen Kunden, darunter auch die Vornamen und postalischen Adressen von etwa 200 000 Kindern. Die Hacker erbeuteten Dateien mit den Namen, Adressen, E-Mail-Adressen und verschlüsselten Passwörtern der Kunden.

Wie die US-Internetseite Motherboard berichtet, soll es sich bei dem Angriff um eine seit Jahren bekannte Masche handeln, bei der Datenbanken mit gezielt fehlerhaften Anfragen dazu gebracht werden, den Zugriff freizugeben. Die Passwörter waren zwar verschlüsselt gespeichert, jedoch mit einem Verfahren, dass als relativ leicht zu knacken gilt.

Wer also bei der Vtech-Plattform "Learning Lodge" etwas bestellt hat, und dasselbe Passwort auch für andere Webangebote verwendet, sollte dies schleunigst ändern. Denn die Daten finden sich bereits gigabyteweise auf einschlägigen Seiten im Netz. Dazu gehören übrigens auch Sicherheitsabfragen - diese waren nicht einmal verschlüsselt gespeichert gewesen. Immerhin: Bankdaten und Kreditkarteninformationen sollen laut Vtech nicht von dem Hack betroffen sein.

Die Datenpanne des Hongkonger Unternehmens gehört zu den größten bisher bekannt gewordenen. Im Februar waren der US-Versicherung Anthem 80 Millionen Datensätze gestohlen worden. Dem Seitensprung-Portal Ashley Madison kamen im Juli 37 Millionen Datensätze abhanden, und auch die Personalverwaltung der Regierung blieb nicht verschont - alles höchst sensible Daten.

Im Fall von Vtech wurden nach Ansicht von Larry Salibra, Gründer und Chef einer Firma für Software-Fehlertests, einfachste Grundregeln der IT-Sicherheit nicht eingehalten, wie er der Nachrichtenagentur Reuters sagte. "Das scheint ein Trend zu sein: Hardware-Hersteller legen keinen großen Wert auf Software-Fähigkeiten, wahrscheinlich, weil sie keinen unmittelbaren positiven Effekt auf ihr Geschäft sehen." Das gelte aber nur solange, bis etwas wie der Hackerangriff passiere.

Vtech ist tatsächlich nicht allein mit dieser Haltung. Da Sicherheitsmaßnahmen die Kosten erhöhen, da bei branchenfremden Firmen oft die Expertise fehlt, klaffen in vielen vernetzten Produkten zum Teil haarsträubende Sicherheitslücken. Das geht von Heizungen und Kirchenglocken, die sich aus der Ferne bedienen lassen, bis hin zu internetfähigen Autos, bei denen man von außen in die Motorsteuerung und die Bremsen eingreifen kann.

Und viele der betroffenen Firmen legen keine besondere Eile an den Tag, um diese Lücken zu schließen oder schieben die Fehler auf Partnerfirmen ab. Doch selbst wenn die Unternehmen sich endlich bequemen, ihre fehlerhafte Software zu flicken, heißt das noch lange nicht, dass dies auch in der Praxis ankommt. Denn in den meisten Fällen müssen die Nutzer dieses Updates selbst einspielen - was aus vielerlei Gründen auch oft unterbleibt.

Wie die Fachzeitschrift c't in breit angelegten Tests herausfand, sind vor allem solche Geräte von Fehlern in der Betriebssoftware betroffen, bei denen die Fähigkeit zur Vernetzung nicht zur Kernkompetenz der Hersteller zählt. Dazu gehörten Medizintechnikgeräte genauso wie Industriesteuerungen.