Datensammler Smart-TV

Sieh einer an, der neue Fernseher spioniert uns aus

Von Uwe Ebbinghaus
 - 12:24
zur Bildergalerie

Der Fernsehhersteller Samsung sorgte kürzlich für Irritationen, paradoxerweise durch einen Akt der Transparenz: Das Unternehmen wies darauf hin, dass bei seinen internetfähigen Smart-Fernsehern Sprachbefehle möglicherweise an externe Dienstleister weitergeleitet würden. Das war für viele Besitzer ein Schock. Hört Samsung alles mit? Es kam zu einem Aufruhr im Netz. Samsung bemühte sich um Differenzierung, was viele als Entwarnung verstanden: Weitergeleitet würden allenfalls Sprachbefehle, die durch Tastendruck freigegeben wurden. Ist also doch alles in Ordnung?

Mitnichten. Denn Sprachbefehle gehören, wie die Stiftung Warentest auch schreibt, als biometrische Daten grundsätzlich nicht auf irgendwelche unbekannten Server. Zudem wissen die meisten Smart-TV-Nutzer noch immer nicht, dass ihre Fernsehdaten einen geschlossenen Gerätekreislauf verlassen und nach draußen gelangen können. Man sieht beim Smart-TV-Gucken nicht, dass man im Internet ist, und obwohl jährlich ungefähr fünfzig Millionen Smart-Fernseher verkauft werden, hat sich noch nicht herumgesprochen, dass die Riesenmonitore die Privatsphäre bedrohen.

Keiner weiß, was das nächste Update bringt

Welche Datenströme fließen da eigentlich? Marco Ghiglieri, IT-Sicherheitsforscher an der TU Darmstadt, sagt, das wüssten nicht einmal die Experten im Detail. Die Daten werden von fast allen Herstellern inzwischen verschlüsselt übertragen, und Universitätsforscher haben kein Recht darauf, eine Entschlüsselung zu verlangen. Diese Möglichkeit hat aber zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht nach Paragraph 38 des Bundesdatenschutzgesetzes. Tatsächlich hat die Behörde gerade einen Test mit Smart-Fernsehern durchgeführt, und einzelne Hersteller um Aufklärung gebeten.

Doch sei, gibt Thomas Kranig, Präsident des Landesamtes, zu bedenken, bei solchen Tests nur „eine Momentaufnahme für einzelne Geräte einzelner Hersteller“ möglich. Keiner wisse, was das nächste Update bringe. Erstellt werden soll nun unter Mitwirkung der Hersteller eine „Orientierungshilfe Smart-TV“. Diese entspräche dann einer einheitlichen Richtlinie, die festlegt, wie Fernsehgeräte datenschutzkonform konfiguriert werden müssen. Sollte bei späteren Stichproben ein Zuwiderhandeln festgestellt werden, drohen sogar Bußgelder. Das ist immerhin ein Anfang.

Identifizierung der Nutzer ist Formsache

Allein aufgrund ihrer Standardeinstellung bringen Smart-Fernseher viel mehr über ihre Nutzer in Erfahrung, als die meisten ahnen – und leiten ihr Wissen nicht nur an die Hersteller, sondern auch an die Programmanbieter und App-Store-Betreiber weiter. Als das Landesamt ein älteres Smart-Gerät untersuchte, zeigte sich, dass unmittelbar nach der Inbetriebnahme die IP-Adresse, also die Signatur des jeweiligen Internetanschlusses, an 60 verschiedene Stellen versendet wurde. Da die IP-Adresse eines Fernsehers in regelmäßigen Abständen wechselt, kann man darüber streiten, ob sie zur Identifizierung eines Nutzers ausreicht und die Privatsphäre ernsthaft bedroht. Für Datenschützer wie Thomas Kranig ist das so. Anonymität vor dem vernetzten Bildschirm hält er dann für passé: Verschlüsseltes lässt sich entschlüsseln, und werden die entsprechenden Daten mit bestehenden Profilen in Verbindung gebracht, ist eine Identifizierung nur Formsache.

Ist der Nutzer gar so unvorsichtig, sich bei der Inbetriebnahme eines Geräts oder bei der Registrierung für einzelne Dienste mit seinem Namen anzumelden oder nimmt man eine Verknüpfung mit Dienstleistern wie Google auf dem Fernsehgerät vor, ist die Identifizierung ohnehin ein Kinderspiel.

Einige Geräte nutzen Gesichtserkennung

Doch auch beim ganz normalen Fernsehen auf den neuen Geräten wird das Nutzerverhalten registriert, wenn man etwa den oft als „Guckloch der Sender“ bezeichneten Dienst HbbTV aktiviert hat. Das Programm, mit dem Zusatzinformationen der Sendeanstalten angezeigt werden können, entspricht einem Browser, so erklärt es Marco Ghiglieri, der sich über das Fernsehsignal legt und eine Verbindung zum Absender oder dessen Dienstleistern herstellt. Während die öffentlich-rechtlichen Sender diese Verbindung nur beim jeweiligen Hinschalten herstellen, wird der Browser bei vielen privaten Sendern regelmäßig, teils im Minutentakt, aktualisiert, wodurch sich erkennen lässt, wie lange eine Sendung angeschaut und zu welchem Kanal aus der eigenen Senderfamilie anschließend gewechselt wird. Diese Daten werden, so Ghiglieri, erhoben, ohne dass der zur Abfrage der Zusatzinformation gedachte rote Knopf auf dem Bildschirm betätigt wird, was die TU Darmstadt seit Jahren kritisiert. Werden die Daten dann noch mit Google Analytics aufbereitet, was früher bei privaten Sendern häufig vorkam – im Moment nur noch bei Bibel TV, QVC und Sonnenklar TV –, kann der Suchriese auf Umwegen die ohnehin schon vorliegenden Nutzerprofile um das jeweilige Fernsehverhalten ergänzen.

Unangenehm für Datensammler ist, dass Fernseher oft von mehreren Personen ganz unterschiedlich genutzt werden, was Profile verwischt. Woraus wiederum das Bedürfnis entsteht, die Zuschauer voneinander zu unterscheiden. Einige Geräte setzen daher mit der Begründung, treffsichere Empfehlungen abgeben zu wollen, sogar die eigentlich für Videotelefonate gedachte Kamera für Gesichtserkennungsprogramme ein – ein Dienst, bei dem einen gruselt. Doch auch bei fehlender Kamera erkennen möglicherweise schon die verwendeten Dioden, welche die Bildhelligkeit an die Umgebung anpassen sollen, mehr als nur Helligkeitswerte.

Erhöhte Hacking-Gefahr bei Fernsehern

Nun kann der Nutzer zwar versuchen, in den Geräteeinstellungen Mikrofone und Kameras auszuschalten und die angeführten Datenweitergaben zu untersagen, was einem die Hersteller absurd schwermachen. Ob das Ergebnis effektiv ist, lässt sich aber kaum sagen. Und außerdem fragt sich der Nutzer, für was genau er hier, um das Argument vieler Gratisangebote aufzugreifen, eigentlich mit seinen Daten bezahlt. Die Geräte sind nicht billig, und die Sender bekommen entweder Gebühren oder werden für Werbezeiten ordentlich entlohnt.

Damit aber nicht genug der Spähmöglichkeiten: Beim Smart-TV besteht auch eine erhöhte Hacking-Gefahr, weil Fernseher älter als Computer und seltener upgedatet werden, nach einer gewissen Zeitspanne möglicherweise gar nicht mehr. Zudem greifen smarte Fernseher oft auf Software zurück, die älteren Datums ist, wodurch eine Reihe von Sicherheitslücken entsteht. Eine davon hat Benjamin Michéle, IT-Sicherheitsforscher an der TU Berlin, kürzlich in der ARD-Sendung „Plusminus“ ausgenutzt und sich auf die Kamera des Smart-Fernsehers eines jungen Testpaars gespielt, das man anschließend in trauter Zweisamkeit auf dem Sofa beobachten konnte. Das Paar bemerkte nichts.

Verfügungsmasse auf dem Datenmarkt

Leichter als über den Fernseher kann man kaum in die Privatsphäre eindringen. Im „Handelsblatt“ prognostizierte der russische Computersicherheitsexperte Eugene Kaspersky kürzlich, dass noch in diesem Jahr vermehrt mit „Attacken auf Smart-TV“ zu rechen sei. Man sollte sich daher nicht scheuen, sichtbare Kameras und Mikrofone abzukleben, um nicht belauscht oder durch eine Linse beobachtet zu werden. Um vor dem Fernseher ganz sicher anonym zu bleiben, gibt es indes nur eine Möglichkeit: Man muss ihn schlicht vom Internet trennen, wodurch ein erheblicher Zusatznutzen wegfällt. So ist es ja denkbar, dass ein Zuschauer von einem Regionalsender weitere Informationen mittels HbbTV beziehen will, nicht aber von einem anderen, dem er misstraut. Hier bieten die Hersteller viel zu wenige Differenzierungsmöglichkeiten an.

Politik und Aufsichtsbehörden sind jedenfalls gefragt, auf umfangreichen Datenschutzerklärungen der Hersteller zu bestehen und dafür zu sorgen, dass die Standardeinstellungen datensparsam ausfallen, im Idealfall anonymes Fernsehen garantieren. Sonst werden Millionen von Zuschauern zur Verfügungsmasse auf dem Datenmarkt. Wie soll das werden, wenn das Internet der Dinge so richtig anrollt?

Quelle: F.A.Z.
Autorenporträt / Ebbinghaus, Uwe (uweb.)
Uwe Ebbinghaus
Redakteur im Feuilleton.
Twitter
  Zur Startseite
Ähnliche ThemenSamsungStiftung WarentestTU DarmstadtTU