Amazon Echo - Faszination und Risiken des sprachgesteuerten Lautsprechers

15.02.2017
G DATA Blog

Seit kurzem sind "Amazon Echo" und "Echo Dot", die sprachgesteuerten Lautsprecher mit Assistenzfunktionen, auch in Deutschland frei im Handel erhältlich. Wie nützlich ist dieses wegweisend andere Produkt? Und welche Einschränkungen in Punkto Sicherheit und Privatsphäre muss man hinnehmen? Wir werfen einen Blick auf die Chancen und Risiken.

Ich mag Sprachtechnologie. Ich habe selbst lange Zeit in dem Bereich gearbeitet. Ich kenne auch die Faszination, die davon ausgeht. In diesem Erfahrungsbericht kann man nachlesen , dass nicht nur Erwachsene davon begeistert sind. Ich kann die Euphorie, die mit dieser Technik verbunden ist, sehr gut verstehen. Ich war ja auch davon gepackt. Da waren so viele Möglichkeiten. Aber nur wenige davon hielten der Realität stand.

Und nun sind sie da, die Assistenten und Bots, die mir das Leben erleichtern sollen. Und die Begeisterung für automatische Sprachverarbeitung ist zurück. In Anlehnung an Siri, Cortana und Co. schickt Amazon jetzt "Alexa" ins Rennen. Alexa ist ein Sprachdienst, der weltweit verteilt auf Servern betrieben wird. Die beiden Lautsprecher "Echo" und der kleinere "Echo Dot" sind die ersten Endgeräte, die den Dienst nutzen. Die Einrichtung und Konfiguration erfolgt per App, die eigentlichen Funktionen werden per Sprache gesteuert. Der smarte Lautsprecher kann Musik auswählen und abspielen. Man kann Alexa nach dem Wetter fragen, die neuesten Nachrichten und Verkehrsinfos abrufen und selbstverständlich kann man auch bei Amazon Waren bestellen. Per Zusatz-App können weitere Skills (so nennt Amazon die Plugins für Alexa) eingefügt werden. Taxi bestellen, Zug buchen, Heizung einstellen und Licht an- und ausschalten und Kochrezepte abrufen.
Das hört sich zunächst faszinierend an. Einige Funktionen wie etwa die einfache Auswahl von Musik möchte man schon nach kurzer Zeit nicht mehr missen. Bei anderen merkt man schnell, dass das Licht mit einem Schalter sehr viel schneller und effektiver gesteuert werden kann. Auch das vorgelesene Kochrezept ist nur eingeschränkt nützlich.

Neue und alte Probleme

Bei aller Faszination, es gibt auch einige Risiken über die man sich im Klaren sein sollte. Da ist einerseits die Privatsphäre. Amazon Echo kommt mit 7 Mikrofonen daher, die ständig mitlauschen, um die Aktivierungsphrase nicht zu verpassen. "Alexa" ist der voreingestellte Code, der die Box aufweckt und die Verbindung zu den Alexa Sprachdiensten herstellt. Ab dann werden alle Sprachdaten auf Server von Amazon übertragen - Gespräche im Hintergrund inklusive. Selbst bei regulärer Nutzung ist das für viele Anwender schon fragwürdig. Man hat als Nutzer zwar Zugriff auf seine Sprachdaten und kann sie auch löschen. Amazon räumt aber ein, dass Daten auch an Anbieter von Skills weitergeleitet werden. Damit nicht genug. Was, wenn die Box gekapert und missbraucht wird? Wie sicher sie wirklich ist und ob Amazons Anstrengungen zum Absichern von Echo auch ausreichen, werden ausgiebige Sicherheitsanalysen in Kürze zeigen. Wenn Echo gekapert wird, ist der große Lauschangriff im Wohnzimmer Realität. Nicht nur Behörden und Agenturen würden viel dafür geben, wenn sie Gespräche belauschen könnten. 
Damit keine Missverständnisse aufkommen: Diese Vorgehensweise ist branchenüblich. Auch andere Sprachdienste wie etwa IBM Watson, Siri und Cortana verzichten auf eine lokale Verarbeitung der Sprachdaten. Um die Jahrtausendwende gab es noch den Ehrgeiz, Sprachterkennungstechnologien komplett auf einem Pentium PC umzusetzen. Heute sind Smartphones und Ein-Platinen-Rechner wie der Raspberry Pi um ein Vielfaches leistungsfähiger. Dennoch begnügen sich die Hersteller mit der technisch einfachsten und preisgünstigsten Lösung, die Daten auf Server zu übertragen - auf Kosten der Privatsphäre. Aber das ist noch nicht alles.

Wer ist wer - und wer darf was? Bestellungen per Hörbuch und Youtube

Bisher sind Gefahren im Umfeld von sprachgesteuerten Anwendungen kaum in der Öffentlichkeit bekannt. Für Geräte, die per Sprache gesteuert werden, stellen Audiodateien einen Angriffsvektor dar. Die Hörspiel-CD und das Audio-Book können versehentlich Aktionen auslösen. Fernseh- und Radioprogramme könnten für gezielte Angriffe missbraucht werden. Diese Szenarien sind keine Fiktion. In dem o.g. Bericht des Stern haben die Kinder dafür gesorgt, dass ein Schnuller auf die Bestellliste gestellt wurde. Eine Benutzerauthentifizierung, mit der man Echo beibringen kann, dass bestimmte Nutzer (hier die Kinder) bestimmte Dinge nicht tun dürfen (z.B. bestellen), ist nicht vorgesehen. Bei den Aktivierungswörtern kann man lediglich zwischen "Alexa", "Echo" und "Computer" wählen. Eine freie Konfiguration ist nicht vorgesehen. Das bietet Potential für Missbrauch. In den USA wurde "Alexa" in einer Fernsehsendung aktiviert und bei einer großen Anzahl von Echo-Nutzern wurden dadurch automatische Bestellungen ausgelöst. Den Sender hat's gefreut.  Es könnte aber noch schlimmer kommen. Was wäre, wenn Alexa alle Musikdateien verschlüsselt oder die Haustür öffnet (per Zusatz-Skill)? Die Update-Funktionen "aus der Cloud" könnten Abhilfe schaffen - oder zum Einfallstor werden. 

Die Versuchung ist groß

Man ist hin und her gerissen. Zum einen sind da die schönen neuen Möglichkeiten auch zum Experimentieren. Auf der anderen Seite stehen die Risiken, die man sich damit einhandelt. Man sollte beide Seiten bedenken und dann abwägen. Ich würde angesichts des geringen Nutzwertes und der massiven Eingriffe in die Privatsphäre gegen eine Nutzung von Alexa (und auch anderen Internet-basierten Sprachdiensten) entscheiden.

Wer sich jedoch für die Faszination entscheidet, sollte einige Vorsichtsmaßnahmen treffen:

  • Verzichten Sie darauf, automatische Bestellvorgänge zu ermöglichen. Das kann Sie teuer zu stehen kommen. Wählen Sie eine ungewöhnliche Bestätigungsphrase. Die Funktion kann auch deaktiviert werden.
  • Seien Sie misstrauisch, wenn sie Audio-Dateien von Unbekannten zugeschickt bekommen. Auch wer einer URL folgt und z.B. ein Youtube-Video abspielt, kann Alexa aktivieren. Schalten Sie im Zweifelsfall so lange das Mikrofon des neuen Helfers aus.
  • Schalten Sie Echo aus, wenn es (z.B. über Nacht) nicht gebraucht wird. Das macht man beim Licht und dem Fernseher ja ähnlich.

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein