Sprachassistent Amazon Echo

Großer Lauschangriff im Wohnzimmer

Wer sein Zuhause mit digitalen Sprachassistenten wie Echo von Amazon ausstatten möchte, sollte sich der damit verbundenen Sicherheitsrisiken gewiss sein, damit es hinsichtlich Datenschutz und Privatsphäre kein böses Erwachen gibt.

Sicherheitsrisiken digitaler Sprachassistenten

Digitale Sprachassistenten können nicht nur die favorisierte Playlist für den Sport abspielen, sondern auch verschiedenste Sicherheitsrisiken bergen.

Klein, schwarz und oho? Mit Amazon Echo und Echo Dot hat der US-Anbieter vor einiger Zeit auch in Deutschland seine sprachgesteuerten Assistenzsysteme auf den Markt gebracht. Die Nutzer können diese an zentraler Stelle im Haus oder in der Wohnung wie beispielsweise in der Küche, im Essbereich oder Wohnzimmer platzieren und per Sprachbefehl aktuell über 1.000 verschiedene Aktionen steuern. Dazu müssen allerdings verschiedene Apps mit dem Gerät und seinem integrierten Mikrofon verbunden werden. Durch die Verknüpfung mit dem Smartphone-Kalender lassen sich so etwa Termine planen, mit Streaming-Diensten Playlists abspielen oder mit Einkauflisten-Apps die Wochenendeinkäufe steuern. Dabei hört das „kleine Schwarze“ nicht auf jeden x-beliebigen Befehl, sondern muss per Schlüsselwort gezielt aktiviert werden. Derzeit hört das Device (noch) ausschließlich auf die Wörter „Computer“, „Echo“ oder „Alexa“.

Geht es um moderne Digitalassistenten, hat Amazon die Verknüpfung von Sprachsteuerung mit in der Cloud angesiedelter Künstlicher Intelligenz (KI) nicht allein erfunden. Vielmehr gibt es mit „Siri“ von Apple, „Cortana“ von Microsoft oder Googles „Hello“ ähnlich geartete Sprachassistenten. „Dabei arbeiten sämtliche Hersteller kontinuierlich an der Verbesserung ihrer Spracherkennung, die bei allen Lösungen bereits ein gutes bis sehr gutes Niveau besitzt und zukünftig noch besser werden wird“, glaubt Michael Veit, Sicherheitsexperte bei Sophos. Die Amazon-Lösung zeichnet sich laut Veit insbesondere durch ihr sehr flexibles Konzept aus, indem Funktionen durch Apps, auch „Skills“ genannt, als externe Dienste und Komponenten von Drittanbietern bereitgestellt werden. Stand Ende Mai 2017 gibt es auf der deutschen Skills-Seite von Amazon bereits rund 1.000 solcher Apps, mit denen u.a. Smart-Home-Komponenten gesteuert, Online-Einkäufe erledigt, Auskunftsdienste genutzt, Taxis bestellt oder sogar Connected-Car-Funktionen per Alexa gesteuert und abgefragt werden können.

Die ganze Wohnung zugepflastert

Trotz der just aufgezählten Bequemlichkeiten sollte man sich bei der Installation digitaler Sprachassistenten stets vor Augen halten, was man sich da eigentlich in die eigenen vier Wände holt. Während manchen Nutzern (k)ein Gerät zur Unterstützung genügt, pflastern Digitaljünger gerne auch sämtliche Wohnbereiche damit voll und machen auch nicht vor den Zimmern ihrer Kinder halt. Denn ihrer Ansicht nach lässt sich Alexa mittels entsprechender „Skills“ auch wunderbar in eine Spielkameradin verwandeln, die die Kinderbetreuung übernehmen kann.

Dabei warnen Experten gleich vor mehreren Gefahrenquellen: Zum einen beim unbefugten Gebrauch der Sprachsteuerung und zum anderen hinsichtlich der umfassenden Daten, die im Rahmen der Nutzung dieser Lösung erfasst und oft dauerhaft bei diversen Anbietern gespeichert werden. „Die Sprachsteuerung kann etwa durch ein offenes Fenster oder eine hellhörige Tür auch von Unbefugten genutzt werden“, berichtet Michael Veit. Er verweist zudem auf Fälle, bei denen Alexa durch die geschlossene Wohnungstür hindurch das Kommando zum Öffnen eben dieser Tür annahm und das Smart-Home-Türschloss daraufhin den Einbrechern den Zugang gewährte.

Damit die Assistenzsysteme auf Kalendereinträge, E-Mail-Konten, Online-Shopping und andere Services zugreifen können, müssen die Zugangsdaten der User zu diesen Diensten zentral hinterlegt werden. „Das birgt die Gefahr, dass bei einer Sicherheitslücke in diesen Systemen automatisch viele kritische Zugangs- und Bezahldaten der Nutzer gefährdet sind“, warnt Veit. Zudem können bei Angriffen auf diese Betreiber die sensiblen Aufzeichnungsdaten in falsche Hände gelangen.

Missbrauch der Schlüsselwörter

Darüber hinaus werden sprachgesteuerte Assistenzsysteme von Sicherheitsfachleuten auch aufgrund ihres Überwachungspotentials argwöhnisch beäugt. „Bisher sieht es bei Echo zwar so aus, dass Sprachdaten tatsächlich nur dann an die Anbieter übertragen werden, wenn die Schlüsselwörter gesagt werden. Aber diese Schlüsselwörter haben in der Vergangenheit auch schon häufig in normalen Gesprächen oder während Fernsehwerbung zur Aktivierung der Sprachübertragung geführt“, gibt Michael Veit zu bedenken. Im Rahmen einer Ermittlung eines Mordfalls im US-Bundesstaat Arkansas verlangte die dortige Polizei von Amazon eine Herausgabe der Alexa-Sprachaufzeichnungen im betreffenden Zeitraum. Letztlich willigte Amazon ein und gab die Sprachaufzeichnungen an die Behörden weiter. „Prinzipiell ist es denkbar, dass Behörden die Anbieter verpflichten können, diese Systeme zur Überwachung einzusetzen – oder dass Geheimdienste oder Kriminelle in die Systeme der Anbieter eindringen und Sprachaufzeichnungen entwenden – oder gar die Systeme für Abhörmaßnahmen nutzen“, glaubt Veit.

Anders als Veit erkennt Candid Wüest, Principal Threat Researcher bei Symantec, kaum Möglichkeiten für Spionagetätigkeiten, da Amazon nach jetzigem Erkenntnisstand keine offensichtlichen Hintertüren im Code eingebaut habe. „Es ist aber natürlich nicht auszuschließen, dass über zukünftige Updates einmal verwundbare Funktionen installiert werden“, räumt auch Wüest ein.

Die genannten Beispiele zeigen, dass Lauschangriffe im Wohnzimmer per Alexa & Co. keine komplett abwegigen Szenarien sind. Allerdings gibt Alexander Vukcevic, Director Avira Virus Labs, in diesem Zusammenhang zu bedenken, dass solche Angriffe nicht nur von Digitalassistenten, sondern auch generell von Mobiltelefonen, Tablets, Spielekonsolen und Smart-TVs ausgehen können und man dementsprechnde Schutzmaßnahmen ergreifen sollte.

Sicherheits-Features sind Fehlanzeige

Zwar gehen diejenigen, die sich ein intelligentes Assistenzsystem mit integriertem Mikrofon – und künftig auch mit integrierter Kamera – in die Wohnbereiche stellen, wohl recht freizügig mit ihrer Privatsphäre und der Datensicherheit um. Dennoch möchte der eine oder andere sich vielleicht doch etwas absichern, wobei man gängige Standardsicherheitsmaßnahmen bei Echo vergeblich sucht. „Alexa verfügt über keinerlei Sicherheitsfunktionen, selbst die Aktivierungswörter können nicht frei konfiguriert werden – man kann ausschließlich zwischen drei Varianten wählen“, bestätigt Christoph Stoica, Regional General Manager DACH bei Micro Focus.

Da die in den Haushalten lebenden Kinder mitunter ebenfalls mit dem digitalen Sprachassistenten in Berührung kommen können, sollten Eltern die Themen Kindersicherungen und Jugendschutz angehen. Dabei haben sie verschiedene Möglichkeiten, Alexa-Features für die Kleinen einzuschränken. So gibt es laut Alexander Vukcevic für „Amazon Video“ eine Sicherungsfunktion, mit der sich für Kinder ungeeignete Inhalte per PIN sperren lassen.

Eine übergreifende Familienschutzfunktion gibt es laut Candid Wüest hingegen nicht. Dadurch sei es kaum möglich, dass Kinder ausschließlich kindgerechte Antworten auf Fragen bekommen. Der Sprachassistent könne zudem (noch) nicht zwischen einzelnen Stimmen unterscheiden. „Wenn Kinder also das Bestellpasswort aufschnappen, können sie durchaus Bestellungen aufgeben“, so Wüest. Dementsprechend sollten Eltern ihre Kinder beim Kontakt mit dem Sprachassistenten im Blick behalten und Online-Bestellungen nicht im Beisein der Kinder aufgeben.

Private Daten fließen an Drittanbieter

Um nachzuverfolgen, was mit dem Digitalassistenten so angestellt wurde, kann die Daten- und Befehlshistorie über die Alexa-App eingesehen werden. Hier können zudem Kommandos und Nachrichten gelöscht werden. „Dabei räumt Amazon offiziell ein, dass Kunden- und Sprachdaten an die an Alexa angebundenen Drittanbieter weitergegeben werden“, betont Alexander Vukcevic. Bei der Verwendung von Diensten von Drittanbietern wälzt Amazon damit die Verantwortung hinsichtlich des Datenschutzes auf die Kunden ab. „Der Nutzer muss selbst bei jedem Anbieter prüfen, was mit seinen persönlichen Daten geschieht“, bemängelt Vukcevic.

Hinsichtlich klassischer Verlaufsdaten gilt im Detail folgendes: Laut Christoph Stoica listet die Alexa-App chronologisch alle gestellten Fragen, Suchbefehle, Bestellvorgänge, etc. auf, wobei die Nutzer einzelne Punkte oder auch die gesamte Liste löschen können, sollten sie Unbehagen verspüren. „Von dieser Grundreinigung rät der Hersteller allerdings ab, denn das Gerät benötige so viele Informationen wie möglich, um hilfreich zu sein“, so Stoica und beschreibt damit ein grundsätzliches Dilemma aller digitalen Assistenten.

Für Unternehmen (noch) ungeeignet

Hantiert man im Privatumfeld künftig zunehmend mit Geräten wie Echo & Co., möchte so mancher dies auch im Berufsalltag nicht mehr missen. Doch bis die Top-Manager und Vorstandsriegen geplante Umstrukturierungen inklusive Entlassungswellen per Sprachbefehl durch ein kleines schwarzes Endgerät anstoßen können, wird glücklicherweise noch etwas Zeit ins Land gehen. Denn Stand heute sind zumindest die aktuellen Echo-Modelle nicht für den Arbeitsalltag geeignet. „Alexa richtet sich klar an Privatnutzer und von einem Einsatz im Unternehmensumfeld – und das ist durchaus auch räumlich zu verstehen – kann man aufgrund der erheblichen Sicherheitsdefizite nur dringend abraten“, warnt Christoph Stoica. Dabei bezahle man bereits im Privatumfeld einen hohen „Preis“ für den Zugewinn an Komfort. „Denn generell bedeutet die Nutzung sprachgesteuerter Assistenzsysteme von großen Tech-Konzernen wie Amazon, Google, Facebook oder auch Apple einen massiven Eingriff in die Privatsphäre und hat weitreichende Folgen für den Datenschutz. In einem Zeitalter, in der die Daten das neue Öl sind, sollte man abwägen, wie viel Privatsphäre man für die Nutzung solcher Chatbots bereit ist aufzugeben“, stimmt Stoica nachdenklich.

Um die Komfortfunktionen von Alexa soweit wie möglich sicher zu nutzen, raten Experten wie Candid Wüest dazu, gleich mehrere Maßnahmen in die Wege zu leiten: Bereits vor der Inbetriebnahme sollten sich die Benutzer gut überlegen, welche Accounts sie überhaupt mit dem Gerät verknüpfen wollen. In manchen Fällen empfiehlt es sich, ein separates Konto einzurichten.

Desweiteren sollten die User auf jeden Fall die Passwortfunktion für Bestellungen nutzen oder die Bestellfunktion sogar komplett ausschalten, wenn sie diese nicht nutzen möchten. „Um ungewollte Sprachinteraktionen zu vermeiden, lässt sich zudem über einen Knopf das Mikrophon ausschalten, wenn das Gerät nicht genutzt wird“, rät Wüest weiter. Nicht zuletzt sollte man das Gerät nicht neben geöffnete Fenster zur Straße oder zum Innenhof hin aufstellen. Und man sollte sich wie erwähnt darüber bewusst sein, dass auch Stimmen aus dem Fernseher oder Radio Interaktionen mit Alexa auslösen können. Nicht zuletzt gilt wie sooft in der digitalen Welt, dass wenn man absoluten Schutz und die totale Sicherheit möchte, dann gilt: Besser mal den Stecker ziehen.

3 Tipps für den Umgang mit Alexa

  1. Hinterlegen Sie keine sensiblen Daten wie Konto- und Kreditkartendaten bei den per Alexa steuerbaren Accounts, genauso wenig wie das Haupt-E-Mailkonto. Legen Sie stattdessen für diesen Zweck ein eigenes E-Mail-Konto an, an das z.B. die Kalendereinträge des Hauptkontos weitergeleitet werden. Wichtig ist auch, nicht dieselben Passwörter wie bei anderen Hauptkonten zu nutzen.
  2. Löschen Sie regelmäßig alte Sprachaufzeichnungen aus Ihrem Konto.
  3. Wenn Sie Alexa bzw. Echo nicht nutzen – schalten Sie das Mikrofon aus oder ziehen Sie den Stromstecker.

Quelle: Michael Veit, Sophos

Bildquelle: Thinkstock/Photodisc

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok