Internet of Dongs: Ein Projekt fördert die Sicherheit von Sexspielzeug
Die Partnerin oder den Partner per App verwöhnen? Das geht seit einiger Zeit mit vernetzten Vibratoren oder Dildos, die sich aus der Ferne steuern lassen. Für viele Paare, die nicht zusammenleben, bringt diese neue Konnektivität viele Vorteile mit sich. So kann man sich seinem Liebsten hautnah fühlen, obwohl man doch physisch entfernt ist. Doch ähnlich wie beim vernetzten Kinderspielzeug haben auch die Lustbringer für Erwachsene mit Internet-Verbindung einige Sicherheitsschwachstellen.
Sexspielzeuge schon mehrfach der Datenaufzeichnung überführt
Datensammler In den USA musste etwa der Hersteller We-Vibe insgesamt 3,75 Millionen US-Dollar Schadenersatz zahlen, weil die App des Vibrators Informationen darüber aufgezeichnet und an den Hersteller geschickt hatte, wie warm das Gerät gerade war und welcher Vibrationsmodus verwendet worden war. Eine App des Sexspielzeug-Herstellers Lovesense wiederum war dabei erwischt worden, dass sie ohne das Wissen der Nutzer Audiodateien des Akts auf dem Smartphon gespeichert hatte. Bei einem smarten Dildo der Firma Svakom Siime Eye war es hingegen möglich, dass die Bilder der eingebauten Kamera von Fremden mitverfolgt werden konnten.
Das „Internet of Dongs“
Der kanadische Sicherheitsforscher, der sich im Internet „RenderMan“ nennt, hat mit „Internet of Dongs“ ein Forschungsprojekt gestartet, um die Privatsphäre der Nutzer von Sexspielzeug zu schützen. Er schaut sich die Sicherheit von Dildos, Vibratoren und anderen vernetzten Lustbringern an. Die futurezone hat mit ihm über sein Projekt und darüber, wie wichtig eine derartige, unabhängige Sicherheitsforschung für die Branche ist, gesprochen.
RenderMan hat sich der Sicherheit von digitalen Sexspielzeugen verschrieben. Foto: Eddie Mize
futurezone: Man liest im Netz immer wieder vom „Internet of Shit“ und viele machen sich über die Unsicherheit beim Internet der Dinge (IoT) lustig. Du sagst aber lieber: „Kritisiert nicht alle Produkte, nur, weil sie unsicher sind. Lasst uns Sicherheitsforscher daran arbeiten.“
RenderMan: Da muss man den gesamten IoT-Bereich vom Internet of Dongs trennen. Viele IoT-Geräte von großen Tech-Herstellern sind billig und nachlässig und man kann leicht sagen, dass sie das besser wissen hätten müssen. Mit dem Internet of Dongs ist das aber anders, vor allem, wenn man mit ein paar Herstellern gesprochen hat. Die meisten von ihnen haben bisher Produkte gemacht, die manuell betrieben worden sind und niemals zuvor eine Konnektivität aufgewiesen haben. Ich wurde da häufig mit einer Naivität konfrontiert, was die Internet-Konnektivität betrifft, aber auch Ignoranz, die Risiken und Gefahren anzuerkennen. Die Branche hat niemanden, der ihnen sagt, dass gewisse Dinge vielleicht keine gute Idee sind.
Für die Hersteller ist IT-Security also Neuland?
Ja, Sicherheitsprobleme sind für sie neu. Alle, mit denen ich bisher gearbeitet habe, haben es am Ende aber verstanden. In den vergangenen zwölf Monaten hat sich das Bewusstsein innerhalb der Branche massiv verbessert, aber natürlich gibt es noch Luft nach oben und ich kann ihnen nicht so sehr dabei helfen, wie ich gerne würde. Etwas, für das ich mich aktiv eingesetzt habe, war, dass Hersteller Sicherheitsforscher akzeptieren und sogar ein Programm entwickeln, über das Schwachstellen gemeldet werden können. Das könnten etwa E-Mail-Adressen mit „security@“ sein, über die man sich direkt an die Technik-Abteilung von Herstellern wenden kann. Das kann sehr, sehr nützlich sein.
Nicht alle Sicherheitsforscher im Bereich Sex gehen so vorsichtig mit den Daten und Veröffentlichungen ihrer Forschung um wie du. Manche halten sich auch an keine Fristen und gehen mit ihren Ergebnissen an die Öffentlichkeit, anstatt zuerst eine Reaktion des Herstellers abzuwarten.
Das ist von Fall zu Fall verschieden, aber ich würde sagen 90 Tage lang sollte man warten, bis man als Sicherheitsforscher seine Ergebnisse an die Öffentlichkeit bringt, nachdem man den Hersteller darüber in Kenntnis gesetzt hat. Davor sollte man alles, aber wirklich alles versuchen, um diesen zu erreichen – und nicht nur drei E-Mails senden. Manchmal hilft es auch, bei anderen Herstellern nach den Kontakten der Konkurrenz zu fragen.
Was würdest du empfehlen, wenn Hersteller von Sexspielzeugen einfach nicht reagieren oder nicht die Ernsthaftigkeit des Problems erkennen?
Für mich ist es in dem Bereich besonders wichtig, dass von Sicherheitsforschern ein ethischer Codex eingehalten wird. Hier geht es schließlich um sensible, intime Daten, die gefährdet werden. Da muss man besser aufpassen. Ich bin zwar für öffentliches „Naming and Shaming“, aber nur, wenn bestimmte Regeln eingehalten werden. Alles muss dokumentiert sein und es muss der gesamte Prozess offengelegt werden, auch der Prozess der versuchten Kontaktaufnahme. Die Beweise sollen da für sich sprechen. Zweitens: Veröffentliche nichts, was Kunden weh tun könnte. Wenn man als Sicherheitsforscher Menschen Schaden zufügt, ist das das Gegenteil von dem, was man eigentlich tun sollte.
Ist dir bereits ein Sex-Spielzeug untergekommen, das sicherheitstechnisch hoffnungslos verloren war?
Das hängt von der Definition ab. Mir sind ein paar Fälle untergekommen, bei denen das System vom Grund weg kaputt war und komplett neu designt werden musste, und gleichzeitig die Funktionalität des Produkts aufrechterhalten werden musste. Das hat Hersteller bis zu sechs Monate gekostet, um das zu erreichen. Der Hersteller hat mich regelmäßig mit Updates versorgt und mich nicht abgewürgt. Das war für mich in Ordnung. In einem größeren Kontext betrachtet ist es eine Gefahr, dass viele IoT und IoD-Geräte so einfach und billig produziert werden, dass man so vieles falsch machen kann.
Der Slogan des Projekts ist „die Privatsphäre von Menschen schützen, indem man Sexspielzeug sicherer macht“. Wie hängen Sicherheit und Privatsphäre hier zusammen?
Die Bereiche überlappen sich. Sicherheitsprobleme sorgen dafür, dass private Informationen veröffentlicht werden und das kann Kunden und Herstellern Schaden zufügen. Aber natürlich gibt es dann auch noch den Aspekt, dass Daten von Herstellern gesammelt werden. Wir drücken alle auf „Ich stimme zu“ bei den Geschäftsbedingungen und Datenschutzbestimmungen. Es hat aber natürlich andere Auswirkungen, wenn dein TV die Daten an den Hersteller rückmeldet, oder dein Sex-Spielzeug. Ich versuche den Herstellern daher immer wieder mitzugeben, dass es für sie besser ist, gar keine Daten zu sammeln. Dann brauchen sie sich nämlich auch keine Gedanken darüber zu machen, diese schützen zu müssen. Und gleichzeitig wird dadurch die Privatsphäre der Nutzer respektiert.
Sollen Menschen jetzt überhaupt schon vernetzte Sexspielzeuge benutzen oder wäre man besser dran, bei Offline-Sex-Toys zu bleiben?
Die alten, analogen Geräte funktionieren noch, genauso wie vor 1000 Jahren. Und die menschliche Biologie hat sich seither auch kaum verändert. Vernetzte und fernsteuerbare Geräte sind neu und haben ein paar entscheidende Vorteile, etwa, wenn man viel reist und mit seinem Partner trotzdem intim bleiben möchte. Menschen, mit denen ich gesprochen habe, hat es dabei geholfen, das war positiv. Sie müssen nur die Risiken kennen und verstehen, dass die Hersteller ihr Bestmöglichstes tun, um die Risiken zu minimieren. Wer damit ein Problem hat, sollte besser darauf verzichten. Ich hoffe, dass ich mit meiner Arbeit dazu beitragen kann, diese Sorgen um die Sicherheit ein wenig zu reduzieren, damit Menschen die Geräte mit Vertrauen nutzen können.
Wann und warum hast du Internet of Dongs eigentlich gestartet?
Die Idee steckt seit fast einem Jahrzehnt in meinem Hinterkopf. Im März 2016 brauchte ich dann ein neues Projekt, um mich beschäftigt zu halten, sonst passieren schlimme Dinge mit mir. Da habe ich mir den Bereich rund um das Internet der Dinge angesehen. Ich war aber zu spät dran. Die Bereiche Smart Toys und Homes wie Babyphones oder Thermostate waren bereits gut durch andere Forscher abgedeckt. Viele dieser Geräte waren mir außerdem zu teuer. Da ich meine Sicherheitsforschung privat betreibe, kann ich es mir zum Beispiel nicht leisten, mir eine große Anzahl vernetzter Kühlschränke zuzulegen, um diese zu testen. Da ist mir meine Neugierde bezüglich Sexspielzeug wieder eingefallen und ich habe festgestellt, dass sich das noch kaum jemand angesehen hat. Daher schien es für mich Sinn zu machen.
Was war deine Hauptmotivation und ging es dir dabei um IoT-Forschung oder um Sex-Toy-Forschung im Speziellen?
Langeweile und ein Wunsch, wieder mehr zu reisen. Ich war mir sicher, dass mich das Hacken von Sexspielzeug auf viele internationale Konferenzen bringen wird. Als ich mir dann die Geräte, Apps und Industrie näher angesehen habe, ging es recht schnell. Die Naivität bei der Umsetzung von Sexspielzeug in Kombination mit den Daten von Nutzern und den Möglichkeiten, diese zu missbrauchen, haben mir eine Heidenangst eingejagt. Von da an habe ich beschlossen, das ganze ernsthaft zu betreiben, bevor jemand verletzt wird. Wenn ich nicht alles dafür tue, würde ich mir das ewig vorhalten.
Verstehe ich das richtig, Internet of Dongs ist dein Freizeitprojekt. Bist du auch hauptberuflich im IT-Sicherheitsbereich beschäftigt?
Tagsüber arbeite ich als Penetration Tester. Mein Arbeitgeber unterstützt zwar mein Sexspielzeug-Projekt, möchte aber nicht direkt damit in Verbindung gebracht werden. Also erzähle ich üblicherweise, dass ich in Banken einbreche, um mein Geld zu verdienen. In der Hacker-Community bin ich seit 20 Jahren sehr aktiv und habe dort immer wieder meine Sicherheitsforschung präsentiert. Mein jüngstes Projekt hatte damit zu tun, dass ich Schwachstellen in der Steuerung vom globalen Luftverkehr von der Couch aus gefunden habe. Ich bin einer derjenigen, der dafür lebt, isst und atmet. Ich kann nichts betrachten, ohne die Sicherheitsschwachstellen und Risiken zu evaluieren. Das hat in der Vergangenheit immer mal wieder zu lustigen Situationen geführt wie „Rufst du an wegen dem Flugzeug-Hack oder der Sexspielzeug-Forschung?“
Das Internet of Dongs Project kooperiert offiziell mit PornHub. Foto: Screenshot
Wie viele Sicherheitsforscher arbeiten derzeit bei Internet of Dongs mit?
Es ist eine lose Gruppe an Menschen und es gibt keine formelle Mitgliedschaft per se. Rund 20 Leute partizipieren daran. Jeder kann seine eigene Forschung machen, ich versuche nur, dafür zu sorgen, dass das Ganze ethisch korrekt und verantwortungsvoll umgesetzt wird. Die Industrie darf man nicht zu hart anfassen, sondern sie braucht eine sanfte Herangehensweise, im Vergleich zu anderen.
Das Ganze ist also ein reines Freizeitprojekt?
Ja, aber es könnte ganz leicht ein Vollzeitprojekt werden. Ich fühle mich teilweise schlecht, dass ich mit der Arbeit, die zu tun wäre, nicht mehr hinterherkomme.
Bekommst du die Sexspielzeuge von den Herstellern zur Verfügung gestellt oder kaufst du sie selbst, um sie zu testen?
Die ersten Geräte habe ich von einem lokalen Geschäft hier in Edmonton, Kanada, bekommen. Dem „Traveling Tickle Trunk“. Die veranstalten Haus-Partys, bei denen die Sexspielzeuge als Demos hergezeigt werden. Die Demo-Geräte haben dann etwa kleine Fehler, die man einfach fixen kann. Ich habe sehr schnell erkannt, dass die Situation rund um die Sicherheit der Geräte weit schlimmer als befürchtet ist und ich eine Art Sponsorship brauchen würde.
Pornhub ist auf der Website als offizieller Kooperationspartner gelistet. Wie kam es dazu und wie läuft die Zusammenarbeit ab?
Das hat mit einer Mail von mir angefangen, als ich betrunken war. Ich wusste, dass Pornhub einige lustige und zufällig ausgewählte Dinge sponsort und immer wieder verrückte Marketing-Ideen hat, also dachte ich mir, dass ich es einfach mal versuchen sollte. Ich habe auch sofort eine Rückmeldung von der Marketing-Abteilung bekommen. Pornhub hat sofort die Wichtigkeit der Arbeit erkannt und zugesagt, zu helfen. Mit dem Geld konnte ich die Geräte von den Herstellern kaufen, womit ich mit einem Schlag auch zum Kunden geworden bin, und damit einen legitimen Grund hatte, mich über die Probleme, die ich gefunden hatte, zu beschweren. Alles, was Pornhub dafür als Gegenleistung wollte, war, dass sie auf der Seite des Projekts vertreten sind und in meinen Vorträgen und Artikel auf ihrem Blog erwähnt werden.
Wie wichtig ist unabhängige Forschung im Sexspielzeug-Bereich?
Unabhängige Forschung ist extrem wichtig, weil der Bereich nur so die Aufmerksamkeit bekommen kann, die er verdient hat. Internet of Dongs braucht einen menschlichen Touch, weil es wichtig ist, sich vor Augen zu halten, dass diese Geräte von Menschen benutzt werden und ihre Bedenken wichtig sind.
Was würdest du anderen Sicherheitsforschern raten, die sich Sexspielzeug ansehen?
Sich mit mir in Verbindung zu setzen. Ich habe viele Geräte, kenne die Industrie und kann Kontakte vermitteln. Wir haben auch Platz für Zusammenarbeit, was oft sehr hilfreich sein kann. Wer lieber seine eigene Forschung macht, sollte zumindest unseren Ethik-Codex durchlesen. Das Hacken von Sexspielzeug hat ernsthafte Auswirkungen. Man kann damit Beziehungen und Leben zerstören oder jemanden aus der Ferne vergewaltigen. Man kann Menschen großen Schaden zufügen, ohne es überhaupt zu merken. Ich unterstütze es voll und ganz, wenn jemand Forschung im Bereich von Sexspielzeug machen und so zu einer Lösung des Problems beitragen möchte. Davon wird es abhängen, ob Menschen das in Zukunft akzeptieren werden.
Dieser Artikel erschien ursprünglich auf futurezone.at.
Arbeiten im Homeoffice: So erhöhen Sie die IT-Sicherheit für Ihr Büro – Internet für Architekten
Die dezentrale Zusammenarbeit via Internet ist durch die Corona-Krise auch für viele Architektinnen und Architekten Normalität geworden. Das ist nicht nur menschlich und organisatorisch, sondern auch im Hinblick auf die IT-Sicherheit eine Herausforderung.
„Homeoffice bietet Angriffsfläche für Cyber-Kriminelle“
Denn das Arbeiten im bzw. aus dem Homeoffice bietet eine Angriffsfläche für Cyber-Kriminelle. Das ist das Ergebnis einer repräsentativen Umfrage unter 1.000 Unternehmen und Betrieben, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mitte April 2021 in Bonn vorgestellt hat.
„Home-Office ist gekommen, um zu bleiben. IT-Sicherheit ist jedoch noch zu wenig in Budgets, Abläufen und Köpfen der Unternehmen angekommen. Der Digitalisierungsturbo Corona treibt IT-Projekte in den Unternehmen voran. Das bestätigt unsere Umfrage. Als die Cyber-Sicherheitsbehörde des Bundes drängen wir darauf, dass Digitalisierung und IT-Sicherheit als eine Einheit gedacht und umgesetzt werden. Wer jetzt die Weichen für eine solide Informationssicherheit seiner Infrastruktur legt, der sichert seine Zukunft – in schweren Pandemiezeiten und darüber hinaus.“ Arne Schönbohm, Präsident des BSI
BSI-Umfrage-Ergebnisse: „Je kleiner die Firma, desto schwerwiegender die Folgen“
Durch Corona hat sich das Angebot von Home-Office-Arbeitsplätzen mehr als verdoppelt. 58 % der befragten Unternehmen wollen das Angebot auch nach der Pandemie aufrechterhalten bzw. ausweiten.
Die Unternehmen, die Homeoffice etablieren wollen, ziehen Digitalisierungsprojekte vor.
2/3 der Großunternehmen nehmen die Pandemie als Digitalisierungsturbo wahr.
Angriffsfläche private IT: Nur 42 % der Unternehmen nutzen ausschließlich eigene IT.
Über 50 % der Unternehmen investieren weniger als 10 % der IT-Ausgaben in Cyber-Sicherheit. Das BSI empfiehlt, bis 20 % des IT-Budgets in Sicherheit zu investieren.
Je kleiner die Firma, desto schwerwiegender die Folgen. Für Kleinst- und Kleinunternehmen mit weniger als 50 Mitarbeitenden hat eine von vier Cyberattacken existenzbedrohende Folgen.
Obwohl kostengünstig, werden einfache Sicherheitsmaßnahmen wie Mobil Device Management, Notfallübungen oder der Grundsatz „IT-Sicherheit ist Chefsache“ nicht genügend umgesetzt.
„In der Pandemie sind allein in Deutschland zwölf Millionen Berufstätige ins Home-Office gewechselt. Das ist keine Momentaufnahme, sondern bestimmt dauerhaft die neue Normalität. Beim für viele spontanen Wechsel ins Home-Office spielte IT-Sicherheit zu oft keine Rolle. Für mobiles Arbeiten bedarf es einer richtigen Balance zwischen dem benutzerfreundlichen Zugriff auf Unternehmensdaten und dem Schutz der IT. Gefordert sind ein robustes und risikobasiertes IT-Sicherheitsmanagement, Mitarbeiterschulungen und gut durchdachte Notfallkonzepte. Sicherheit ist kein einmaliges Projekt, Sicherheit ist ein kontinuierlicher Prozess.“ Achim Berg, Präsident des Bitkom e.V.
Fünf Maßnahmen für mehr IT-Sicherheit im Home-Office
Um die Sicherheit im Home-Office zu erhöhen, schlägt das BSI u. a. die folgenden fünf Maßnahmen vor, die Unternehmen vorrangig umsetzen sollten:
Übrigens: Wie ein Virtual Private Network (VPN) funktioniert, welche Varianten es gibt und wozu man VPNs nutzen kann, lesen Sie im Beitrag "Das Wichtigste rund um VPNs (Virtual Private Networks)".
« Zurück zum Webinar-Kalender
Wichtige Hinweise: Die Vollständigkeit und Richtigkeit der hier aufgeführten Daten können wir leider nicht garantieren. Bitte überprüfen Sie alle Angaben immer auf den Seiten der jeweiligen Anbieter. Und: „Internet für Architekten“ ist NICHT der Veranstalter der hier genannten Webinare. Wir weisen hier lediglich auf diese Veranstaltungen hin.
Ihre E-Mail-Adresse:
Thema auswählen (optional):
Newsletter "Internet für Architekten"
Neue Einträge im Webinar-Kalender Hinweise zum Datenschutz Wenn du ein Mensch bist, lasse das Feld leer:
Zur Startseite »
Perseus Technologies
Lösungen für mehr Cybersicherheit
Perseus bietet Unternehmen besseren Schutz vor Datenverlust und Bedrohungen aus dem Internet. Mit unseren Lösungen für Cybersicherheit schützen Sie Ihr Unternehmen nachhaltig vor Cybervorfällen und den Folgen.
Leistungsbeschreibung als Download:
Jetzt PDF downloaden
Unsere Services für Ihre Cybersicherheit
