Fotos: Claudia Ehrlich

Jura-Student Stefan Hessel (r.) ist studentischer Mitarbeiter im Team des Rechtsinformatikers Professor Christoph Sorge (l.).

IT-Sicherheit

Jura-Student entlarvt "Spionage-Puppe"

Die internetfähige Puppe „My friend Cayla“ könnte eine verbotene Sendeanlage sein: Darauf hat Stefan Hessel aus dem Team von IT-Sicherheitsexperte Christoph Sorge mit einem Rechtsgutachten hingewiesen. Damit wären Besitz, Herstellung, Vertrieb und Einführung der Puppe per Gesetz in Deutschland nach Paragraph 90 Telekommunikationsgesetz verboten. Der Jura-Student, der sich an der Saar-Uni früh auf IT-Recht und Rechtsinformatik spezialisiert hat, informierte die zuständige Bundesnetzagentur über sein Ergebnis: Sie teilt seine Auffassung im Wesentlichen.
Von Claudia Ehrlich • 16.02.2017

„Fantastisch, was sie alles weiß“ – Damit wirbt die Internetseite von „My friend Cayla“ für die gleichnamige vernetzte Puppe. Über ein mit Bluetooth gekoppeltes Smartphone, auf dem eine zugehörige App läuft, ist „Cayla“ mit dem weltweiten Netz verbunden. Gesprächspartner können ihr Fragen stellen und mit ihr reden. Dank bluetoothfähigem Mikrofon und Lautsprecher antwortet die Puppe mit Informationen aus dem Internet. Der Bundesverband des Spielwaren-Einzelhandes zeichnete sie 2014 als „Top 10 Spielzeug des Jahres“ aus. Bei Verbraucherschützern ist „My friend Cayla“ wegen Sicherheitslücken und Datenschutzfragen schon seit längerem umstritten, so machte etwa der norwegische Verbraucherrat kürzlich auf die Puppe aufmerksam.

Nach Ansicht von Stefan Hessel, studentischer Mitarbeiter des IT- Sicherheitsexperten Professor Christoph Sorge, handelt es sich bei dem Spielzeug um eine getarnte Sendeanlage, die auch zum heimlichen Abhören von Gesprächen geeignet ist. Der Jura-Student, der an der Saar-Uni einen Schwerpunkt in IT-Recht und Rechtsinformatik gesetzt hat, kommt in einem Rechtsgutachten zum Ergebnis, dass die Puppe in Deutschland unter das Verbot des Paragraph 90 Telekommunikationsgesetz fällt und verweist dabei insbesondere auch auf den Schutz der Privatsphäre des Bürgers und das erhebliche Missbrauchspotenzial der Puppe.

In einem Versuch hatte ich auch über mehrere Wände hindurch auf die Puppe Zugriff.

Stefan Hessel

„Es sprechen entscheidende Gründe dafür, dass die Puppe eine verbotene Sendeanlage im Sinne des § 90 Telekommunikationsgesetz ist. Jedes bluetoothfähige Gerät in Reichweite von etwa zehn Metern kann eine Verbindung zu ihr aufbauen und Lautsprecher und Mikrofon nutzen. In einem Versuch hatte ich auch über mehrere Wände hindurch auf die Puppe Zugriff. Es fehlt an eingebauten Sicherungen“, erklärt Stefan Hessel. Also könne die Puppe auch gezielt eingesetzt werden, um jemanden auszuspionieren oder sich mithilfe des Mikrofons selbst aktiv ins Gespräch einzuschalten. Nach § 90 Telekommunikationsgesetz ist es in Deutschland verboten, Sendeanlagen zu besitzen, herzustellen, zu vertreiben oder einzuführen, „die ihrer Form nach einen anderen Gegenstand vortäuschen oder die mit Gegenständen des täglichen Gebrauchs verkleidet sind und auf Grund dieser Umstände oder auf Grund ihrer Funktionsweise in besonderer Weise geeignet und dazu bestimmt sind, das nicht öffentlich gesprochene Wort eines anderen von diesem unbemerkt abzuhören oder das Bild eines anderen von diesem unbemerkt aufzunehmen“.

Die Technik verbirgt die Puppe in ihrem Innern, Kleider verdecken den Lautsprecher. „Die Puppe vermittelt für sich genommen den Eindruck, dass es sich um ein gewöhnliches Kinderspielzeug ohne technische Funktion handelt“, sagt Hessel, der sich schon im Studium mit technischen und juristischen Aspekten der IT-Sicherheit und des Datenschutzes befasst. Zwar soll die Halskette der Puppe leuchten, wenn das Mikrofon eingeschaltet ist. „Zum einen funktioniert dieses Signal nach Herstellerangabe bei einigen Android-Geräten nicht, so dass die Halskette trotz eingeschaltetem Mikrofon nicht leuchtet. Zum anderen kann das Leuchten mittels der App ausgeschaltet werden. Aus technischer Sicht ist es also möglich, auf das Mikrofon zuzugreifen, ohne dass dies angezeigt wird. Außerdem hat das Leuchten nur für eingeweihte Personen eine Warnfunktion. Nur weil eine Kette an einer Puppe leuchtet, rechnet man nicht mit einem eingeschalteten Mikrofon“, sagt Stefan Hessel.

Mit seinem Gutachten wandte sich Hessel an die zuständige Bundesnetzagentur. „Von dort bekam ich Rückmeldung, dass man meine Auffassung im Wesentlichen teilt, und die Puppe verboten ist.“
Stefan Hessel studiert an der Saar-Uni Jura. Er spezialisierte sich schon früh im Studienschwerpunkt „IT-Recht und Rechtsinformatik“ und absolvierte auf diesem Gebiet bereits einen Teil des juristischen Staatsexamens. Als studentischer Mitarbeiter arbeitet er an der juris-Stiftungsprofessur für Rechtsinformatik von Professor Christoph Sorge am Kompetenzzentrum für IT-Sicherheit CISPA sowie am Institut für Rechtsinformatik.

 

Schon Jura-Studenten können sich an der Saar-Uni früh auf IT-Recht spezialisieren
Foto Info-Box: das bilderwerk/Uwe Bellhäuser

Der Studienschwerpunkt „IT-Recht und Rechtsinformatik“ bietet eine der deutschlandweit seltenen fundierten Ausbildungen auf diesem Gebiet an. Jura-Studentinnen und -Studenten, die sich für IT, Internet und Technik interessieren, können sich an der Universität des Saarlandes früh hierauf spezialisieren. Das Schwerpunkt-Angebot kann im Rahmen des Jura-Studiums in zwei Semestern absolviert werden. Das Komplett-Angebot der Rechtswissenschaft und des Instituts für Rechtsinformatik der Saar-Universität zum IT-Recht reicht vom ersten Semester bis hin zur Promotion und sogar bis zum Berufseinstieg.
Mehr zum Studienschwerpunkt IT-Recht und Rechtsinformatik

Neues Zertifikats-Studium: In zwei Semestern fit in IT-Recht und Rechtsinformatik
An der Universität des Saarlandes gibt es seit 2016 außerdem ein Zertifikats-Studium „IT-Recht und Rechtsinformatik“. Es ist auf zwei Semester angelegt, modular aufgebaut, und wendet sich an Studenten, Referendare und Absolventen der Rechtswissenschaften, aber auch anderer Fachrichtungen. Darüber hinaus richtet sich das Angebot als berufs- und ausbildungsbegleitende Fortbildung und Spezialisierung an die Praxis: etwa an Anwälte, die sich auch mit ausgewählten Veranstaltungen weiterbilden können, an Datenschutz- oder IT-Sicherheitsbeauftragte und Unternehmensjuristen.
Mehr zum Zertifikat IT-Recht und Rechtsinformatik
 

Stefan Hessel, der sich an der Saar-Uni bereits im Studium auf IT-Recht und Rechtsinformatik spezialisiert hat, veröffentlichte sein Rechtsgutachten in der Fachzeitschrift „JurPC“:
http://www.jurpc.de/jurpc/show?id=20170013

Quellennachweis
  • Bilder
    Fotos: Claudia Ehrlich

    Foto Info-Box: das bilderwerk/Uwe Bellhäuser