Der ORF Steiermark hat kürzlich über unsere Tests mit KI-Spielzeug berichtet (Beitrag vom 29.April, steiermark.orf.at). Die Berichterstattung zeigt, wie schnell wir bei BrightFlare einen vernetzten Teddybären umprogrammieren konnten – und wie aus einer harmlosen Geschichte plötzlich eine Aufforderung wurde, sensible Informationen preiszugeben.
Wenn aus Spielzeug ein vernetztes System wird
Smarte Spielzeuge sind längst keine einfachen Spielsachen mehr. Sie sind kleine Computer mit Mikrofonen, Lautsprechern, Funkverbindungen, Cloud-Anbindung und manchmal auch Kameras. Sie verarbeiten Sprache, senden Daten, bekommen Befehle und reagieren auf Kinder. Emotional betrachtet liegt da ein Stofftier im Kinderzimmer. Technisch betrachtet ist es Teil derselben vernetzten Welt wie Smartphones, Smart Speaker oder andere IoT-Geräte.
Und genau diese Diskrepanz wird häufig unterschätzt.
Was wir getestet haben
Uns ging es nicht darum, ein einzelnes Produkt bloßzustellen. Wir wollten verstehen, wie solche Geräte gebaut sind, wie sie kommunizieren und wie gut sie gegen Manipulation geschützt sind. Die zentrale Frage war: Wie schwer ist es, ein vernetztes KI-Spielzeug zweckzuentfremden? Die ernüchternde Antwort: In manchen Fällen nicht schwer genug. Bei einzelnen Geräten ließen sich bereits nach kurzer Zeit Schwachstellen finden. Tatsächlich konnte der Bär innerhalb von nur wenigen Minuten umprogrammiert werden. Wie schnell erste Lücken sichtbar wurden, überraschte auch unser BrightFlare Team – nicht durch hochkomplexe Angriffe, sondern durch naheliegende technische Zugriffe.
"Viele Eltern haben sich aus gutem Grund für interaktive, smarte Spielzeuge entschieden: Sie sollen Kinder beschäftigen ohne dass dafür sofort ein Bildschirm nötig ist. Der Wunsch, Screentime zu reduzieren, ist absolut nachvollziehbar. Dass diese Geräte aber eigene digitale Risiken mitbringen, war vielen bisher gar nicht bewusst."
- Erlend Depine, Head of Pentesting bei BrightFlare
Warum das relevant ist
Ein kompromittierter Laptop ist ein Problem. Ein kompromittiertes Spielzeug ist ein anderes Problem. Kinder hinterfragen ein sprechendes Kuscheltier nicht so wie Erwachsene eine verdächtige E-Mail. Sie vertrauen. Genau deshalb ist die Kombination aus Stimme, Nähe und Technik so sensibel. Wenn ein Gerät mit einem Kind spricht, kann es nicht nur Informationen wiedergeben – es kann Fragen stellen, Verhalten beeinflussen oder vertrauliche Informationen abfragen. Wird diese Interaktion manipuliert, entsteht ein Risiko, das weit über ein klassisches IT-Problem hinausgeht.
Das bedeutet nicht, dass jedes KI-Spielzeug automatisch gefährlich ist. Aber es bedeutet, dass wir solche Produkte nicht mehr wie klassische Spielsachen behandeln dürfen.
Wo die Schwachstellen liegen
Das Problem liegt häufig nicht in „der KI“ selbst. Es liegt in der Art, wie Produkte gebaut, angebunden und abgesichert werden. In unseren Tests zeigten sich typische Schwächen: unzureichend geschützte Schnittstellen, fehlende oder schwache Authentifizierung, schlecht abgesicherte Kommunikationswege oder fehlende Schutzmechanismen gegen manipulierte Eingaben. Für Angreifer können solche Geräte interessant sein, weil sie im privaten Umfeld eingesetzt werden, oft dauerhaft verbunden sind und von Nutzer:innen kaum als Risiko wahrgenommen werden.
Was Hersteller jetzt leisten müssen
Aus unserer Sicht ist klar: Sicherheit darf bei vernetzten Produkten kein Add-on sein. Sie muss von Anfang an mitentwickelt werden. Dazu gehören sichere Schnittstellen, starke Authentifizierung, saubere Verschlüsselung, regelmäßige Sicherheitsupdates, transparente Datenverarbeitung und Tests unter realistischen Angriffsbedingungen. Gerade bei Produkten für Kinder muss der Maßstab höher sein, nicht niedriger.
Der Cyber Resilience Act der EU geht genau in diese Richtung. Er schafft verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und nimmt Hersteller stärker in die Pflicht. Sicherheit wird damit zunehmend zur Voraussetzung, und nicht zum optionalen Qualitätsmerkmal.
Unser Fazit
Der gehackte Teddybär ist kein kurioser Einzelfall und kein Grund für Technikfeindlichkeit. Er ist ein Warnsignal.
Wir werden in den nächsten Jahren immer mehr Produkte sehen, die sprechen, zuhören, lernen und mit Cloud-Diensten verbunden sind. Manche davon stehen im Büro, manche im Wohnzimmer – und manche im Kinderzimmer. Unsere Aufgabe als Cybersecurity-Team ist es, genau hinzuschauen, bevor aus Komfort ein Risiko wird. Denn ein Teddybär sollte Geschichten erzählen – und nicht nach Kreditkartendaten fragen.
