Gehacktes Erotikspielzeug So unsicher sind smarte Sextoys

Auch die Erotikbranche setzt zunehmend auf Vernetzung. Doch wer vermeintlich smartes Sexspielzeug kauft, sollte vorsichtig sein: Was ein Hacker über einen beliebten Vibrator herausfand, ist ein Lustkiller.
Foto: kicsiicsi/ Getty Images/iStockphoto

"Dank seiner ergonomischen Formgebung und seiner flachen, glatten Verarbeitung gleitet er mit edler Magnet-Klemme nahezu unsichtbar in jedes Höschen, bleibt fest an Ort und Stelle und leistet dort diskret ganze Arbeit." So lautet eine Produktbeschreibung des laut Eigenwerbung "flachsten Auflegevibrators der Welt".

Zu einem Preis ab 27 Euro lässt sich der "Panty Buster" der Marke Vibratissimo bestellen, zur Zielgruppe gehören Menschen in Fernbeziehungen. "Vibratissimo bietet Ihnen die verschiedensten Features mit der einzigartigen App-Funktion", heißt es nämlich weiter. "Jetzt ist der Spaß nicht nur auf einen Ort begrenzt. Mit Partner, Freunden oder allein, die Steuerung des Toys ist weltweit per Smartphone möglich!"

Für manche klingt das vielleicht nach dem Sex der Zukunft. Für andere klingt es schlicht nach 2018, einem Jahr, in dem Firmen so ziemlich alles mit dem Internet verbinden, von der Haustür bis zum Leckerli-Automaten. Blöd nur, wenn dann die IT-Sicherheit ihrer Entwicklungen nicht zur Moderne passt.

Schwachstellen und Features

Auflegevibrator von Vibratissimo neben einem Smartphone

Auflegevibrator von Vibratissimo neben einem Smartphone

Foto: Sec Consult

"Bei vernetzten Geräten fürs 'Internet der Dinge' machen sehr viele Hersteller extreme Anfängerfehler", sagt Werner Schober, "auch bei den Sextoys. Fehler, wie sie vielleicht vor 15 Jahren üblich waren." Schober, 24, berät für SEC Consult  andere Unternehmen in Sachen IT-Sicherheit, auf dem Hackerkongress 35C3 in Leipzig hielt er Samstagabend einen Vortrag über unsicheres Sexspielzeug (eine Videoaufnahme davon finden Sie hier ). Mit dem SPIEGEL sprach er vorab.

Wie schlecht abgesichert Intimspielzeug mitunter ist, zeigte Schober im Februar. Damals machte er bekannt , dass der "Panty Buster"-Vibrator und die zugehörige App, mit der auch weitere Vibratissimo-Geräte zusammenarbeiten, mehrere ernsthafte Sicherheitsprobleme hatten. Unter anderem konnte Schober auf die Datenbank aller angemeldeten App-Nutzer zugreifen, in der sich etwa Bilder, Angaben zur sexuellen Orientierung und Nutzer-Passwörter befanden - unverschlüsselt.

In seinem Blogpost hob Schober auch hervor, dass sich der "Panty Buster" per Bluetooth aus der Nähe übernehmen ließ - prinzipiell von jedem, egal, ob der Besitzer des Gadgets dies will oder nicht. Dank eines zu simplen Freigabe-Systems war es Schober sogar übers Internet möglich, fremde Vibratoren irgendwo auf der Welt zu kontrollieren.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von YouTube, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Kundendatenbank ist dank einer Warnung Schobers mittlerweile besser geschützt. Das Fernsteuern des Vibrators durch Dritte dagegen ist nach wie vor leicht möglich, auch bei neueren Geräten, wenn diese mit den Standard-Einstellungen genutzt werden. Das sei so gedacht, etwa für Swinger-Klub-Partys, erfuhr Schober vom Hersteller.

Wirklich überzeuge ihn diese Begründung nicht, sagt Schober. Er finde, hier werde zu viel an eine eher kleine Käufergruppe gedacht. "Die überwiegende Zahl der Benutzer weiß vermutlich nicht, dass dieses Feature üblicherweise aktiviert ist."

Kein Einzelfall

Fernsteuerung des Vibratissimo-Geräts

Fernsteuerung des Vibratissimo-Geräts

Foto: Sec Consult

Den "Panty Buster" hat Schober für seine Masterarbeit untersucht, in der es auch um zwei weitere Sexspielzeuge namens Magic Motion Flamingo und Realov Lydia geht. Bei ihnen fielen ihm jeweils Datentransfers zu Servern in China auf. "Das würde ich als Privatsphäre-Risiko einstufen", sagt Schober, dem der Zweck dieser Übertragungen noch immer unklar ist.

Werner Schober ist nicht der erste IT-Experte, der Sexspielzeug hackt und dabei zu abtörnenden Ergebnissen kommt:

Werbeseite zum Magic Motion Flamingo

Werbeseite zum Magic Motion Flamingo

Dazu, wie viele Menschen Sextoys mit Internetverbindung nutzen, gibt es keine konkreten Zahlen. Werner Schober schätzt mit Blick auf die Download-Zahlen entsprechender Apps, dass es einige Millionen weltweit sind. "Zu manchen Geräten gehört ein eigenes soziales Netzwerk", sagt Schober, "darüber sind zum Beispiel Videochats und der Austausch von Bildern möglich."

"Ich vermute, dass der Wettbewerb recht groß ist", sagt Schober, "dass es vor allem darum geht, mehr und mehr Features anzubieten." Die IT-Sicherheit werde nicht bewusst ignoriert, man setze aber andere Schwerpunkte. Wenn man die Hersteller auf Mängel hinweise, würden diese auch angegangen. "Die Firmen haben prinzipiell die Möglichkeiten, Sicherheitsfehler zu beheben."

Netzprojekte sollen helfen

Gefragt, ob die Situation in zwei, drei Jahren besser sein wird, verweist Schober auf zwei Websites aus der Hackerszene: "Internet of Dongs " und "Buttplug.io ". Beide Projekte wollen dazu beitragen, dass smarte Sextoys sicherer werden. So ermöglicht es Buttplug.io zum Beispiel, Geräte von Lovense, Vibratissimo und Magic Motion über Open-Source-Software zu betreiben statt mit den Hersteller-Programmen.

Bislang dürften allerdings nur wenige Käufer solche Optionen kennen oder wahrnehmen. "Bei den meisten liegt so ein Gerät wohl im Schlafzimmer, wird benutzt - und das war's", glaubt Werner Schober. "Manch einer wird nicht einmal wissen, dass er sein Sextoy per USB an den PC anschließen und dann ein Firmware-Update durchführen kann - obwohl das praktisch recht einfach ist."

Grundsätzlich hält Schober Produkttests, "und zwar kontinuierliche", etwa von Verbraucherschutzorganisationen, für den besten Weg, Sextoy-Hersteller dazu zu bringen, ihre Geräte sicherer zu machen: "Nur eine Zertifizierung ist zu wenig", findet er. "Das ist eine einmalige Sache, das könnte ein falsches Sicherheitsgefühl geben."

Zudem verweist der 24-Jährige auf den technologischen Fortschritt, der vielleicht schon bald dazu führen könnte, dass Interessierte ohnehin nicht mehr bestimmten Firmen vertrauen müssen. "Künftig könnte es Anleitungen geben, wie man sich per 3D-Drucker Sexspielzeug selbst baut", sagt Schober. "Das Ganze muss man dann vielleicht nur noch mit einem Motor ausstatten. Und Raspberry-Pi-Computer werden immer kleiner, so etwas könnte auch integriert werden."