Vorneweg eine Warnung: Wer die Absicht hegt, diesen Artikel in Anwesenheit von Amazon Echo laut vorzulesen, sollte jetzt das Mikrofon besser abschalten. Warum? – Das erklären wir im Folgenden.
Dieser Beitrag bietet zehn Sicherheitstipps über den Umgang mit Amazon Echo und der Sprachassistentin Alexa – und wie man es vermeidet, Puppenhäuser zu kaufen. Die Kurzfassung lautet in etwa so:
- Die werksseitigen Alexa-Einstellungen erlauben es jedem, der in Hörweite von Amazon Echo ist, über den verbundenen Amazon Account diverse Produkte zu bestellen oder Services zu buchen.
- Selbst Kinder und Sprecher aus Radio und Fernsehen werden erkannt.
- Alexa wird Dinge zum Kaufen anbieten, nach denen man gar nicht gesucht hat. Wenn ein Kind beispielsweise Alexa nach der beliebtesten Drohne fragt, wird der Bestseller unter den Drohnen über Amazon Echo ausgegeben.
- Alexa kann keine Bestellungen stornieren, dazu muss man die App oder die Weboberfläche benutzen.
- Man kann Alexa davon abhalten, Produkte über Amazon zu ordern, indem vor jedem Kauf zunächst ein Bestätigungscode mitgeteilt werden muss.
- Bestellungen über Alexa können aber komplett abgestellt werden.
- Das Mikrofon von Amazon Echo lässt sich abstellen, falls man sich beispielsweise gerade mit Freunden in einem Gespräch befindet.
- Alexa hört mit dem Befehl: „Alexa, Stopp.“auf zu sprechen.
- Es ist möglich, das Aktivierungswort für Alexa in Amazon oder Echo zu ändern.
- Nach Weihnachten gibt es so viele neue Amazon Echo Besitzer wie noch nie. Nun kristallisieren sich die ersten wortwörtlichen Missverständnisse heraus.
Alexa und die Puppenhaus-Story
Die ausführlichere Version dieser verrückten Geschichte beginnt letzte Woche in San Diego, Kalifornien. Ein lokaler Fernsehsender berichtete über ein sechsjähriges Mädchen, das ein 160 US-Dollar Puppenhaus über Amazon Echo bestellen konnte. Ihre Eltern wussten bis zum Eintreffen der Lieferung nichts davon. Am Ende der Berichterstattung wiederholte der Sprecher das, was das kleine Mädchen sagte und zur Bestellung geführt hat. Es waren die Worte: „Alexa, bestell‘ mir ein Puppenhaus“ („Alexa, order me a dollhouse“). Bald darauf liefen die Telefone bei dem Lokalfernsehsender in San Diego heiß. Offensichtlich führten die Worte des Berichterstatters dazu, dass viele Amazon Echo Alexas zugehörten und nun massenhaft Puppenhaus-Bestellungen auslösten.
Wie konnte das nur passieren? Amazon Echo ist mit dem Smartphone und dem heimischen WLAN verbunden. Wer also eine Alexa zu Hause stehen und die 1-Klick-Bestellung in seinem Amazon Account aktiviert hat, schafft die besten Voraussetzungen für selbstständige Bestellungen durch das Amazon Echo Gerät.
Außerdem wurde es speziell dafür entwickelt, auf menschliche Stimmen zu achten. Wer Alexa nach dem Wetter fragt und nur 5 – 10m weit weg steht, bekommt eine Antwort durch die eingebauten Lautsprecher oder eine Nachricht direkt auf das Smartphone. An dieser Stelle wollen wir noch einmal verdeutlichen, was es bedeutet, wenn wir sagen, dass Alexa auf menschliche Stimmen hört. Es ist in der Tat so, dass das Gerät auf alle menschlichen Stimmen achtet und nicht nur auf den Besitzer. Damit können auch Gäste, Kinder, Lebenspartner oder WG-Mitbewohner Produkte über Amazon bestellen – insofern die Werkseinstellungen nicht verändert wurden. Dazu später mehr. Jedenfalls haben durch den Fernsehsprecher viele Zuschauer live miterlebt, dass Alexa auch Stimmen aus dem Fernseher versteht.
Doch wie kann das sein? Die Werkseinstellungen auf einem neuen Amazon Echo ermöglichen es. Betrachten wir einmal folgendes Szenario. Wir befinden uns mit unseren Freunden in einem Disput über Drohnen und fragen Alexa, was die beste Drohne sei. Die Sprachassistentin antwortet mit Daten, die sich aus den Verkaufszahlen von Amazon ableiten. Wiedergegeben werden die Marke, das Model und der Preis der Bestseller-Drohne.
Auf der einen Seite ist die dahinterstehende Technologie sehr beeindruckend. Aber auf der anderen Seite schmeißt Alexa ohne einmal Luft zu holen hinterher, ob sie dieses Produkt ordern soll. Vernimmt das Gerät ein Ja, wird die Bestellung ausgelöst und die hinterlegte Giro- oder Kredit-Karte ist belastet. Irgendwann trifft dann die bestellte Ware ein. Dass alles funktioniert allerdings nur, insofern die 1-Klick-Bestellung im Amazon Account aktiviert ist. Verbesserungswürdig finden wir die Tatsache, dass über Alexa aufgegebene Order nicht über das Gerät storniert werden können. Dafür muss man die App oder die Weboberfläche bemühen.
Alexa, Stopp!
Nun könnte man denken: „Sage doch einfach nein!“ Aber so einfach ist es nicht. Wer nein zum Angebot von Alexa sagt, bekommt einfach das nächst beste Produkt vorgeschlagen. Natürlich fragt das Gerät auch an dieser Stelle wieder, ob es das vorgeschlagene Produkt kaufen soll. Ich denke, so ähnlich verlief die Story mit dem 160 US-Dollar teurem Puppenhaus.
Welches Nein akzeptiert Alexa eigentlich? Oder anders gefragt, wie kann man Alexa stoppen? Zwar kann man die Einstellung bei Amazon Echo anpassen, aber das nützt nichts, wenn Alexa gerade dabei ist, Produkte zu pitchen.
In dem kleinen, gut gestalteten Beiheft konnte ich leider nichts darüber finden. Deswegen fragte ich einen ESET-Kollegen, der das Gerät selbst vor ein paar Monaten in seinem Haus installierte. Er fand heraus, dass die magischen Worte „Alexa, Stopp!“ sind.
Daraufhin testete ich mein Gerät im Büro und siehe da, es funktionierte. Von Amazon wäre es allerdings verbraucherfreundlicher, wenn solche Befehle gleich im Beiheft geschrieben stünden. Der Befehl „Alexa, Stopp!“ funktioniert allerdings nicht, um Bestellungen abzubrechen.
Außerdem stören mich die Werkseinstellungen von Alexa. Von vorneherein ist der Spracheinkauf eingeschaltet und der Bestätigungscode ausgeschaltet. Die Einstellungen sind mit der Alexa App relativ einfach zu verändern. Offenbar versucht Amazon seinen Kunden ein möglichst kinderleichtes Einkaufen zu ermöglichen.
Allerdings ist ein Gespräch über Alexa in dessen Hörweite nicht so leicht. Mit einem Zwischenschritt ist es dennoch möglich. Am Gerät selbst kann das Mikrofon ausgeschalten werden. Dann leuchtet es orange, wie im oberen Bild. Außerdem ist es möglich, dass Aktivierungswort in Echo oder Amazon zu ändern. Mich würde es nicht wundern, wenn man dem Amazon Echo Gerät eines Tages sein eigenes Aktivierungswort beibringen könnte.
Sicherheitstechnische Gesichtspunkte
Das alles mag sehr interessant erscheinen, doch ist es in Bezug auf Internet Security keine großartige Angelegenheit. Am ungünstigsten ist immer noch das unerwartete Puppenhaus, was aber nichts zum Vergleich mit einem Ransomware-Angriff ist. Erpressersoftware verschlüsselt Familienfotos und hält Dateien als „Geiseln“. In einigen Punkten stimme ich zwar zu, aber aus sicherheitstechnischen Gesichtspunkten sehen ich in der Puppenhaus-Story keine potentielle Sicherheitslücke.
- Produkte sollten niemals mit den „unsicheren“ Standardeinstellungen geordert werden. Sicherheitsspezialisten weisen immer wieder darauf hin, dass es besser ist, mehr zu verbieten, als mehr zu erlauben. Dann kann es auch nicht so schnell passieren, dass aufgrund eines Fernsehmoderators ein Puppenhaus bestellt wird.
- Technologischen Kaufentscheidungen sollte immer eine Kosten-Nutzenanalyse vorausgehen, oder zumindest von ihr flankiert werden.
- Die Verbraucher können die Risiken neuer Technologie nur richtig abschätzen, wenn keine Informationsasymmetrien vorliegen. Damit meine ich ausdrücklich nicht, dass Amazon bewusst Informationen zurückhält. Dennoch könnte das Unternehmen etwas offener bezüglich der Funktionsweise der Technologie und der Einschränkungen sein.
- Risikotoleranzen variieren bei Menschen. Einige benutzen nach den Snowden-Enthüllungen das Internet zum Beispiel gar nicht mehr. Ein gewisser Prozentsatz verzichtet aus Sicherheitsgründen auch schon mal auf Online Banking. Und eine Umfrage im letzten Jahr ergab, dass rund 40% nicht sehr zuversichtlich sind, wenn es um die Sicherheit von IoT-Geräten geht.
- Die Sicherheit jeder Technologie hängt stark davon ab, in welchem Umfeld sie eingesetzt wird. Ein offenes Mikrofon in Verbindung mit einer künstlichen Intelligenz und der Macht, Dinge in der realen Welt zu beeinflussen, bietet viele Vorteile. Ich habe auch noch keinen Beweis gesehen, dass Alexa für boshafte Zwecke missbraucht wurde. Aber irgendwo gibt es Menschen, die darüber nachdenken.
- Das Potenzial für unerwartete und unerwünschte Konsequenzen aus dem Einsatz von Technologie neigt dazu, mit der Fähigkeit und Komplexität dieser Technologie Schritt zu halten. Ich glaube nicht, dass Amazon das Puppenhaus-Szenario beabsichtigt hatte. Einige werfen dem Amazon Gründer Jeff Bezos vor, nur für schlechte Presse gesorgt haben zu wollen.
Ein anderes Thema, das häufig zu Diskussionen über Alexa und andere Voice-Technologie führt, betrifft die Privatsphäre. Leider habe ich keinen Platz und auch keine Zeit mehr, um darauf einzugehen. Ich werde mich darum später in einen ausführlicheren Artikel kümmern.