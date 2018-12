"Dank seiner ergonomischen Formgebung und seiner flachen, glatten Verarbeitung gleitet er mit edler Magnet-Klemme nahezu unsichtbar in jedes Höschen, bleibt fest an Ort und Stelle und leistet dort diskret ganze Arbeit." So lautet eine Produktbeschreibung des laut Eigenwerbung "flachsten Auflegevibrators der Welt".

Zu einem Preis ab 27 Euro lässt sich der "Panty Buster" der Marke Vibratissimo bestellen, zur Zielgruppe gehören Menschen in Fernbeziehungen. "Vibratissimo bietet Ihnen die verschiedensten Features mit der einzigartigen App-Funktion", heißt es nämlich weiter. "Jetzt ist der Spaß nicht nur auf einen Ort begrenzt. Mit Partner, Freunden oder allein, die Steuerung des Toys ist weltweit per Smartphone möglich!"

Für manche klingt das vielleicht nach dem Sex der Zukunft. Für andere klingt es schlicht nach 2018, einem Jahr, in dem Firmen so ziemlich alles mit dem Internet verbinden, von der Haustür bis zum Leckerli-Automaten. Blöd nur, wenn dann die IT-Sicherheit ihrer Entwicklungen nicht zur Moderne passt.

Schwachstellen und Features

Sec Consult Auflegevibrator von Vibratissimo neben einem Smartphone

"Bei vernetzten Geräten fürs 'Internet der Dinge' machen sehr viele Hersteller extreme Anfängerfehler", sagt Werner Schober, "auch bei den Sex-Toys. Fehler, wie sie vielleicht vor 15 Jahren üblich waren." Schober, 24, berät für SEC Consult andere Unternehmen in Sachen IT-Sicherheit, auf dem Hackerkongress 35C3 in Leipzig hält er Samstagabend einen Vortrag über unsicheres Sexspielzeug. Mit dem SPIEGEL sprach er vorab.

Wie schlecht abgesichert Intimspielzeug mitunter ist, zeigte Schober im Februar. Damals machte er bekannt, dass der "Panty Buster"-Vibrator und die zugehörige App, mit der auch weitere Vibratissimo-Geräte zusammenarbeiten, mehrere ernsthafte Sicherheitsprobleme hatten. Unter anderem konnte Schober auf die Datenbank aller angemeldeten App-Nutzer zugreifen, in der sich etwa Bilder, Angaben zur sexuellen Orientierung und Nutzer-Passwörter befanden - unverschlüsselt.

In seinem Blogpost hob Schober auch hervor, dass sich der "Panty Buster" per Bluetooth aus der Nähe übernehmen ließ - prinzipiell von jedem, egal, ob der Besitzer des Gadgets dies will oder nicht. Dank eines zu simplen Freigabe-Systems war es Schober sogar übers Internet möglich, fremde Vibratoren irgendwo auf der Welt zu kontrollieren.

Die Kundendatenbank ist dank einer Warnung Schobers mittlerweile besser geschützt. Das Fernsteuern des Vibrators durch Dritte dagegen ist nach wie vor leicht möglich, auch bei neueren Geräten, wenn diese mit den Standard-Einstellungen genutzt werden. Das sei so gedacht, etwa für Swinger-Club-Partys, erfuhr Schober vom Hersteller.

Wirklich überzeuge ihn diese Begründung nicht, sagt Schober. Er finde, hier werde zu viel an eine eher kleine Käufergruppe gedacht. "Die überwiegende Zahl der Benutzer weiß vermutlich nicht, dass dieses Feature üblicherweise aktiviert ist."

Kein Einzelfall

Sec Consult Fernsteuerung des Vibratissimo-Geräts

Den "Panty Buster" hat Schober für seine Masterarbeit untersucht, in der es auch um zwei weitere Sexspielzeuge namens Magic Motion Flamingo und Realov Lydia geht. Bei ihnen fielen ihm jeweils Datentransfers zu Servern in China auf. "Das würde ich als Privatsphäre-Risiko einstufen", sagt Schober, dem der Zweck dieser Übertragungen noch immer unklar ist.

Werner Schober ist nicht der erste IT-Experte, der Sexspielzeug hackt und dabei zu abtörnenden Ergebnissen kommt:

Werbeseite zum Magic Motion Flamingo

Dazu, wie viele Menschen Sex-Toys mit Internetverbindung nutzen, gibt es keine konkreten Zahlen. Werner Schober schätzt mit Blick auf die Download-Zahlen entsprechender Apps, dass es einige Millionen weltweit sind. "Zu manchen Geräten gehört ein eigenes soziales Netzwerk", sagt Schober, "darüber sind zum Beispiel Video-Chats und der Austausch von Bildern möglich."

"Ich vermute, dass der Wettbewerb recht groß ist", sagt Schober, "dass es vor allem darum geht, mehr und mehr Features anzubieten." Die IT-Sicherheit werde nicht bewusst ignoriert, man setze aber andere Schwerpunkte. Wenn man die Hersteller auf Mängel hinweise, würden diese auch angegangen. "Die Firmen haben prinzipiell die Möglichkeiten, Sicherheitsfehler zu beheben."

Netzprojekte sollen helfen

Gefragt, ob die Situation in zwei, drei Jahren besser sein wird, verweist Schober auf zwei Websites aus der Hackerszene: "Internet of Dongs" und "Buttplug.io". Beide Projekte wollen dazu beitragen, dass smarte Sex-Toys sicherer werden. So ermöglicht es Buttplug.io zum Beispiel, Geräte von Lovense, Vibratissimo und Magic Motion über Open-Source-Software zu betreiben statt mit den Hersteller-Programmen.

Bislang dürften allerdings nur wenige Käufer solche Optionen kennen oder wahrnehmen. "Bei den meisten liegt so ein Gerät wohl im Schlafzimmer, wird benutzt - und das war's", glaubt Werner Schober. "Manch einer wird nicht einmal wissen, dass er sein Sex-Toy per USB an den PC anschließen und dann ein Firmware-Update durchführen kann - obwohl das praktisch recht einfach ist."

Grundsätzlich hält Schober Produkttests, "und zwar kontinuierliche", etwa von Verbraucherschutzorganisationen, für den besten Weg, Sex-Toy-Hersteller dazu zu bringen, ihre Geräte sicherer zu machen: "Nur eine Zertifizierung ist zu wenig", findet er. "Das ist eine einmalige Sache, das könnte ein falsches Sicherheitsgefühl geben."

Zudem verweist der 24-Jährige auf den technologischen Fortschritt, der vielleicht schon bald dazu führen könnte, dass Interessierte ohnehin nicht mehr bestimmten Firmen vertrauen müssen. "Künftig könnte es Anleitungen geben, wie man sich per 3D-Drucker Sexspielzeug selbst baut", sagt Schober. "Das Ganze muss man dann vielleicht nur noch mit einem Motor ausstatten. Und Raspberry-Pi-Computer werden immer kleiner, so etwas könnte auch integriert werden."