19.06.2017 Amazon Echo und Echo Dot

Daten landen in der Amazon-Cloud

Von: Ina Schlücker

Bei "Alexa" landen alle Sprachaufzeichnungen standardmäßig und dauerhaft in der Amazon-Cloud, berichtet Michael Veit, Sicherheitsexperte bei Sophos.

Michael Veit, Sophos

Michael Veit, Sicherheitsexperte bei Sophos

Herr Veit, wie bewerten Sie den Reifegrad der sprachgesteuerten Lautsprecher mit Assistenzfunktionen „Amazon Echo“ und „Echo Dot“ – kurz „Alexa“ – im Vergleich zu anderen Sprachassistenzsystemen wie Siri, Cortana oder Google Assistant?
Michael Veit:
Alle Hersteller arbeiten kontinuierlich an der Verbesserung der Spracherkennung, diese hat bei allen Lösungen bereits ein gutes bis sehr gutes Niveau und wird zukünftig noch besser. Die Amazon-Lösung Alexa zeichnet sich durch ein flexibles Konzept aus, indem die Funktionalität durch Apps, bei Alexa „Skills“ genannt, an externe Dienste und Komponenten von Drittanbietern angebunden werden. Aktuell gibt es auf der deutschen Skills-Seite bei Amazon bereits etwa 1.000 solcher Skills, mit denen etwa Smart-Home-Komponenten gesteuert, Einkäufe erledigt, Auskunftsdienste genutzt, Taxis bestellt oder sogar Connected-Car-Funktionen per Alexa gesteuert und abgefragt werden können.

Welchen Gefahren sehen sich die Nutzer solch sprachgesteuerter Assistenzsystemen ausgesetzt?
Veit:
Es gibt hier mehrere Gefahrenquellen: Zum einen in der unbefugten Benutzung der Sprachsteuerung und zum anderen bei den umfassenden Daten, die im Rahmen der Nutzung dieser Lösung erfasst und oft dauerhaft beim Anbieter gespeichert werden. Eine Sprachsteuerung kann etwa durch ein offenes Fenster oder eine hellhörige Tür auch von Unbefugten genutzt werden. Es gab bereits Fälle, bei denen Alexa durch die geschlossene Wohnungstür hindurch das Kommando zu Öffnen eben dieser Tür annahm und das Smart-Home-Türschloss daraufhin dem Einbrecher den Zugang gewährte.

Damit die Assistenzsysteme auf Kalendereinträge, E-Mail-Konten, Online-Shopping und andere Dienste zugreifen können, müssen bei diesen Assistenzsystemen bzw. deren Betreibern auch zentral die Zugangsdaten der Nutzer zu diesen Diensten hinterlegt werden. Das birgt die Gefahr, dass bei einer Sicherheitslücke in diesen Systemen automatisch viele sensitive Zugangs- und Bezahldaten der Benutzer gefährdet sind. Zudem können bei einem Angriff auf diese Betreiber die oft sensitiven Aufzeichnungsdaten in fremde Hände gelangen. Und nebenbei benötigen Alexa & Co. eine Internetverbindung, um zu funktionieren. Wenn also das Internet oder sogar das Assistenzsystem selbst ausfällt, sollte man alle darüber gesteuerten Komponenten auch manuell steuern können.

Inwiefern sind Lauschangriffe im eigenen Wohnzimmer übertriebene Panikmache oder durchaus denkbare Szenarien?
Veit:
Die sprachgesteuerten Assistenzsysteme werden aufgrund des Überwachungspotentials natürlich von Sicherheitsfachleuten besonders argwöhnisch beobachtet und bisher sieht es so aus, dass Sprachdaten tatsächlich nur dann an die Anbieter übertragen werden, wenn die Schlüsselwörter (z.B. „Alexa“) gesagt werden. Aber diese Schlüsselwörter haben in der Vergangenheit auch schon häufig in normalen Gesprächen oder während Fernsehwerbung zur Aktivierung der Sprachübertragung geführt.

Im Rahmen einer Ermittlung in einem Mordfall in Arkansas verlangte die dortige Polizei von Amazon eine Herausgabe der Sprachaufzeichnungen von Alexa im betreffenden Zeitraum. Letztlich willigte Amazon ein und gab die Sprachaufzeichnungen an die Behörden. Prinzipiell ist es zudem denkbar, dass Behörden die Anbieter verpflichten können, diese Systeme zur Überwachung einzusetzen – oder dass Geheimdienste oder Kriminelle in die Systeme der Anbieter eindringen und Sprachaufzeichnungen entwenden – oder gar die Systeme für Abhörmaßnahmen nutzen.

Mit welchen Sicherheitsfunktionen ist Alexa ausgestattet?
Veit:
Zunächst kann man per Knopfdruck auf dem „Amazon Echo“ oder „Echo Dot“ das Mikrofon ausschalten, um zu verhindern, dass versehentlich Sprachaufnahmen zu Amazon übertragen werden. Wer ganz sicher sein möchte, trennt das Gerät vom Strom. Die Anbieter betonen, dass die Datenübertragung und die Speicherung der Aufzeichnungen sowie der mit dem Gerät verknüpften Zugangs- und Zahlungsinformationen beim Anbieter sicher erfolgen. Aber die Vergangenheit hat gezeigt, dass es immer wieder erfolgreiche Angriffe auf Anbieter von Online-Dienste gab, sowohl von Kriminellen als auch von Geheimdiensten. Und je umfangreicher und je wertvoller diese Informationen sind, desto massiver wird auch der Aufwand sein, mit dem diese Dienste angegriffen werden.

Wie lässt sich die Benutzerauthentifizierung bei Alexa regeln?
Veit:
Man kann mehrere Amazon- und damit Benutzerprofile innerhalb eines Haushalts verknüpfen und über spezielle Alexa-Kommandos diese Profile wechseln, um beispielsweise auf den eigenen Kalender zuzugreifen. Es findet aber keine generelle Überprüfung der Identität über z.B. ein Sprachprofil statt.

Inwieweit lassen sich Kindersicherungen oder Regeln für den Jugendschutz einrichten?
Veit:
Bei manchen Funktionen, wie dem Kaufen von Produkten oder digitalen Inhalten über Amazon, kann man zusätzlich eine PIN-Code-Überprüfung einrichten, damit z.B. im Haushalt nur die Eltern auf diese Weise Käufe tätigen können. Dieser Schutzmechanismus ist aber standardmäßig nicht aktiviert und nicht in allen Skills verfügbar.

Die an Alexa gestellten Fragen, Befehle und Antworten wandern direkt in die Cloud. Wie können die Nutzer nachvollziehen, wo welche Daten gespeichert werden? Wie können sie Einblick in ihre Datenhistorie nehmen und bei Bedarf Informationen auch wieder unwiderruflich löschen?
Veit:
Amazon speichert alle Sprachaufzeichnungen standardmäßig dauerhaft in der Amazon-Cloud, angeblich um die Spracherkennung zu verbessern. Eine genaue Historie der gespeicherten Daten ist nicht sichtbar. Über die Amazon-Webseite kann man aber in seinem Konto unter „Mein Konto“->“Meine Inhalte und Geräte“->“Meine Geräte“-> die Echo/Echo Dot Geräte auswählen und dort unter „Aktionen“->“Sprachaufzeichnungen verwalten“ die gespeicherten Sprachdaten löschen.

Amazon räumt offiziell ein, dass Kunden- und Sprachdaten an die an Alexa angebundenen Drittanbieter weitergegeben werden. Was bedeutet dies für die Einhaltung von Datenschutz und die Wahrung der Privatsphäre der Kunden?
Veit:
Je mehr Parteien sensitive Informationen wie Sprachdaten oder die mit dem Konten der Benutzer verknüpften Zugangs- und Bezahlinformationen erhalten, desto größer ist die Gefahr des Missbrauchs oder eines erfolgreichen Angriffs auf eine der beteiligten Parteien.

Welche Tipps sollten die Nutzer beim Umgang mit Alexa beherzigen, um etwas mehr Sicherheit zu erhalten?
- Hinterlegen Sie keine sensiblen Daten wie Konto- und Kreditkartendaten bei den per Alexa steuerbaren Accounts, genauso wenig wie das Haupt-E-Mailkonto. Legen Sie stattdessen für diesen Zweck ein eigenes E-Mail-Konto an, an das z.B. die Kalendereinträge des Hauptkontos weitergeleitet werden. Wichtig ist auch, nicht dieselben Passwörter wie bei anderen Hauptkonten zu nutzen.
- Löschen Sie regelmäßig alte Sprachaufzeichnungen aus Ihrem Konto
- Wenn Sie Alexa bzw. Echo nicht nutzen – schalten Sie das Mikrofon aus oder ziehen Sie den Stromstecker.

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH