Alexa, spionierst du mich aus? Siri, Alexa, Google Home & Co hören mit!
Kennen Sie das? Sie liegen im Bett und haben vergessen, das Licht auszumachen. Es war doch gerade schon so gemütlich, jetzt wirklich nochmal aufstehen? Diesem und unzähligen anderen Problemen können Smarthome-Geräte Abhilfe schaffen. Bei vielen Menschen sind Siri, Alexa und Co bereits eingezogen. Die Smarthome-Lautsprecher stehen im Wohnzimmer, Schlafzimmer, Kinderzimmer und auch an den Arbeitsplätzen, die während der Corona-Pandemie und der Home-Office-Pflicht teilweise überstürzt in den eigenen vier Wänden eingerichtet wurden. Aber was genau bekommen die technischen Helferlein eigentlich mit? Könnten wichtige, vertrauliche Daten in die falschen Hände geraten? Okay Google, hörst du zu?
In unserem Blogartikel finden Sie praktische Tipps, wie Sie Ihre Daten schützen und dennoch smart leben können.
Der Markt rund um das smarte Zuhause wird immer größer. Lichtschalter, Sicherheitskameras und spontane Musikwünsche können über Sprachbefehle gesteuert werden. Dafür nutzen die Smarthome-Lautsprecher eingebaute Mikrofone, die im Regelbetrieb die ganze Zeit eingeschaltet sind, um dann auf ihr Stichwort hin die gesprochenen Anweisungen umsetzen zu können.
Eine Studie der Northeastern University Boston und des Imperial College London, die im Oktober 2020 veröffentlicht wurde, hat erwiesen, dass die marktführenden Geräte von Apple, Amazon und Google jedoch nicht nur auf ihr Codewort hin aktiv werden1. Zwischen 1,5 bis 19-mal am Tag reagierten die Smarthome-Lautsprecher, ohne dass zuvor das Aktivierungswort genannt wurde. Die daraufhin folgenden Gespräche oder Geräusche wurden im Durchschnitt etwa 4 Sekunden, in Einzelfällen sogar bis zu 43 Sekunden lang aufgezeichnet und in die Cloud gesendet.
Wie kann das passieren? Die Geräte nutzen verschiedene Aktivierungswörter: Hey Siri, okay Google, Alexa und andere sollen die Lautsprecher zum aktiven Zuhören bringen. Die Anweisungen, die nach dem Codewort gesprochen werden, nehmen die Geräte auf und reagieren über Spracherkennung und Internetverbindung entsprechend auf das Anliegen. Problematisch wird das Ganze, da auch ähnlich klingende Wortkombinationen die Aktivierung auslösen. Im Englischen könnte Siri zum Beispiel das mit einem gewissen Slang ausgesprochene „I'm sorry“ für ihr Codewort „Hey Siri“ halten. Im Deutschen reagiert Google auf alltägliche Aussagen wie „Okay, gut“. Selbst umgangssprachlich ausgesprochene Sätze wie „Ham wa schon“ können dazu führen, dass Alexa – von „Amazon“ – aktiviert wird, wie die Verbraucherzentrale NRW feststellte.2 So könnten, ohne dass die Anwesenden dies wollen oder bemerken, Gespräche aufgezeichnet und gespeichert werden.
Doch damit nicht genug: die aufgezeichneten Daten werden teilweise mit bestehenden Profilen verknüpft. So werden bei Google Informationen über das angemeldete Google-Konto personalisiert. Bei Alexa geschieht diese Personalisierung über das Amazon-Konto. Die von Apples Siri gesammelten Daten werden immerhin mit einer zufällig generierten gerätespezifischen Kennung verknüpft, nicht jedoch mit der Apple-ID. Wer nicht genau aufpasst, hat womöglich seine Daten auch zur „Verbesserung der Dienste“ freigegeben. Das hört sich gar nicht so schlecht an? Die Verbraucherzentrale warnt, dass aufgenommene Gespräche auch über den Informationsdienst hinaus für zielgerichtete, also personalisierte Werbung genutzt werden könnten.3
Darüber hinaus werden Aufnahmen nicht nur von den Lautsprechern selbst gehört: vereinzelte Aufzeichnungen werden zur Verbesserung der KI durch Mitarbeitende der Firmen angehört. Laut Amazon unterliegen diese Mitarbeitende einer strengen Geheimhaltungsklausel und verarbeiten die Sprachaufnahmen ohne personenbezogene Daten.
Nun spinnen Sie sich doch mal eine Unterhaltung zurecht, die ein „Okay, gut“ beinhaltet und danach weitergeführt wird. Es könnte um den nächsten Geburtstag der Tochter gehen. Oder doch um die Großkundschaft, mit der Ihr Unternehmen gerade einen Vertrag aufsetzen will. Nicht unbedingt die Art der Gespräche, die unbemerkt mitgehört werden sollten. Aber es handelt sich hierbei immer noch um Ihre Geräte. Und Sie haben die Möglichkeit, entsprechende Vorsichtsmaßnahmen und Einstellungen vorzunehmen, um Privates privat zu lassen und Berufliches nicht unerwünscht mit Großkonzernen zu teilen.
Bei Google-Geräten kann das Webprotokoll inklusive der Interaktionen mit dem Google Assistant unter myactivity.google.com eingesehen werden. An dieser Stelle können Aufzeichnungen und Aktivitäten gelöscht werden. Über Ihr Google-Konto können Sie die Datenschutzeinstellungen Ihrer Smarthome-Geräte verwalten.
Für Alexa von Amazon können in der Alexa-App in den Einstellungen einzelne Sprachbefehle gelöscht werden. Genauere Einstellungen zum Datenschutz und für den Schutz Ihrer Privatsphäre können im Amazon-Konto unter „Meine Inhalte und Geräte“ verwaltet werden.
Apple versichert eine Löschung der aufgezeichneten Daten nach 6 Monaten. Einzelheiten zu Ihren Daten und Ihren Datenschutzeinstellungen können Sie in iOS unter „Einstellungen“ und dann unter „Siri & Suchen“ finden.
Gerade im Home-Office sollte erneut hinterfragt werden, was die Smarthome-Geräte mithören, aufzeichnen und verarbeiten. Die sichere Verarbeitung personenbezogener und unternehmensinterner Daten muss auch an Arbeitsplätzen außerhalb der Firmenbüros sichergestellt sein. Und obwohl Einstellungen und Anpassungen an den Geräten selbst vorgenommen werden können und die marktführenden Hersteller seitenlange Datenschutzerklärungen vorlegen, so besteht immer noch die Möglichkeit, dass technische Geräte gehackt werden.
Forschende der Berliner Security Research Labs haben das in ihrem Projekt Smart Spies versucht und geschafft. Die Funktionen der Smarthome-Lautsprecher von Google und Amazon können durch Apps anderer Entwickelnden erweitert werden. Diese werden jeweils vor ihrer Veröffentlichung durch die Unternehmen geprüft. Dem Team von SRL ist es jedoch gelungen, im Nachhinein unbemerkt kleine Veränderungen vorzunehmen, die signifikante Auswirkungen hatten. Eine Anwendung programmierten sie so, dass auch nach dem ausgesprochenen Stopp-Signal, welches die Geräte wieder in den inaktiven Zustand versetzen soll, Unterhaltungen aufgezeichnet und weitergeleitet wurden. In dem zweiten Versuch bekamen die Nutzenden nach Aufruf des Programms eine Fehlermeldung. Nach einiger Zeit meldeten sich die Lautsprecher dann mit dem Hinweis, dass ein Update dafür vorliegt und dieses durch den Sprachbefehl „Start“ und der mündlichen Eingabe des Passwortes genutzt werden kann. Nun mögen sich die technisch versierten unter Ihnen denken, das sei zu offensichtlich. Niemals wird man je darum gebeten, das eigene Passwort preiszugeben. Richtig. Aber wissen das auch die jüngsten und ältesten Generationen, die solche Geräte nutzen? Das Projekt der Berliner Forschenden hat vor allem eins gezeigt: es ist technisch möglich, die Instrumente von Amazon, Google, etc. für bedenkliche Zwecke zu nutzen.
Im Zuge der Corona-Pandemie wurde das Arbeiten im Home-Office in vielen Unternehmen und in den Medien ambivalent besprochen. Für viele gab es keine einheitlichen Richtlinien für das Arbeiten zuhause. Sicherheitsrisiken wurden und werden vor allem in Bezug auf die private Hardware, unzureichend gesicherte Netzwerkverbindungen und das Fehlen einheitlicher Software gesehen. Für ein übergreifendes IT-Sicherheitskonzept eines Unternehmens sollte auch die Awareness der Mitarbeitenden und nicht zuletzt die eventuell vorhandenen Smarthome-Geräte einbezogen werden. Immerhin haben in Deutschland bereits über 30 % der Haushalte mindestens ein solches Gerät eingebunden, Tendenz steigend.
Wenn Sie mit sensiblen Daten umgehen, so sollten Sie die sicherste Variante des Arbeitens im Smarthome in Betracht ziehen: Geräte ausschalten. Alle Smarthome-Lautsprecher können deaktiviert werden, sodass die integrierten Mikrofone ausgeschaltet sind. Einige Unternehmen haben Ihren Mitarbeitenden bereits zu dieser Lösung geraten. So auch die große britische Anwaltskanzlei Mishcon de Reya, dessen Leiter für Cybersicherheit, Joe Hancock, den Schritt erklärte:
„Perhaps we're being slightly paranoid, but we need to have a lot of trust in these organizations and these devices. We'd rather not take those risks.“ -Joe Hancock 4
Zusammengefasst können Sie also folgende Praxistipps beachten: Wenn Sie Smarthome-Geräte besitzen, dann nehmen Sie sich die 10 Minuten, um die Einstellungen an Ihren eigenen Bedarf an Privatsphäre anzupassen. Weisen Sie Ihre Kolleg:innen auf die Risiken im Home-Office hin und erstellen Sie ein umfassendes Awareness-Konzept für Ihr Unternehmen. Damit weder im Arbeitskontext noch privat unbemerkt Gespräche aufgezeichnet werden können, stellen Sie zusätzlich zum optischen einen akustischen Signalton am Gerät ein, der Ihnen anzeigt, wann eine Aufzeichnung startet. Sollten Sie Ihre Geräte in der Arbeitszeit deaktivieren, müssen Sie darauf achten, die Smarthome-Lautsprecher zum Feierabend wieder einzuschalten, um die Annehmlichkeiten dieser Technik im Privaten vollumfänglich zu genießen.
Und jetzt, Alexa, mach das Licht aus.
1 When Speakers Are All Ears: Characterizing Misactivations of IoT Smart Speakers in: Mon(IoT) Research Lab [online] moniotrlab.ccis.neu.edu/smart-speakers-study-pets20/ [12.07.2021]
2 Ungewollt gesprächsbereit: Auch Googles Sprachassistent hört mehr als er soll, in: Verbraucherzentrale Bundesverband [online] www.vzbv.de/pressemitteilungen/ungewollt-gespraechsbereit-auch-googles-sprachassistent-hoert-mehr-als-er-soll [12.07.2021]
3 Ungewollt gesprächsbereit: Auch Googles Sprachassistent hört mehr als er soll, in: Verbraucherzentrale Bundesverband [online] www.vzbv.de/pressemitteilungen/ungewollt-gespraechsbereit-auch-googles-sprachassistent-hoert-mehr-als-er-soll [12.07.2021]