„Ich bin keine Spionin und höre nur zu, wenn du das Aktivierungswort sagst.” So klingt die Antwort, wenn Alexa nach den möglichen Spionagefunktionen von Amazons Echo Dot gefragt wird. Der Verdacht auf Spionage stellt sich fast schon automatisch ein, sobald das Gerät irgendwo auf der Welt in den eigenen vier Wänden online geht. Wie sicher sind also Echo und Alexa einzustufen? Immerhin verfügt das mittlerweile auch in Deutschland erhältliche Gerät über sieben Hochleistungs-Mikrofone und ist über WLAN permanent mit Servern in den USA verbunden. In unseren IoT-Laboren haben unsere Sicherheitsexperten den Echo Dot einem Schnelltest unterzogen.

Sieben Mikrofone im Dauereinsatz

Dass Belauschen auch zu den möglichen Funktionen von Amazon Echo gehört, ist bereits seit der Einführung des Geräts in den USA in 2014 immer wieder Thema gewesen. Parallel dazu hat Amazon als Anbieter immer wieder bestätigt, dass es keine Spionage über das Echo-System gibt. Tatsache ist, dass Nutzer von Smartphones und PCs mit Sprachassistenten wie Siri, Cortana und Google sich bereits seit einiger Zeit mit Geräten umgeben haben, deren Mikrofone permanent aktiviert sind und die sich mit Servern im Ausland verbinden. So gesehen ist das beim Echo nicht als Innovation zu betrachten.

Das Gerät verfügt über sieben Mikrofone, welche über Fernfeld-Spracherkennung verfügen, was bedeutet, dass Sprachbefehle auch empfangen werden, wenn die Sprachquelle weiter entfernt ist. In unserem Test funktionierte das von einem Raum zum nächsten und über Entfernungen von bis zu 30 Metern. Sobald das Gerät eines der Signalwörter „Alexa”, „Echo”, „Amazon” oder „Computer” (konfigurierbar) hört, aktiviert es sich und ist für weitere Sprachbefehle bereit. Erfolgen kann die Aktivierung auch über das Drücken der Aktions-Taste auf der Geräteoberseite.

Frei programmierbare Skills

Abgesehen von Sprachbefehlen kann das Echo-Gerät auch über WLAN und Bluetooth kommunizieren, und zwar bei Verwendung der Alexa App, mit der ebenfalls sogenannte „Skills“ für den Echo Dot genutzt werden können. Bei Skills handelt es sich um Mini-Apps, über die das Gerät auf bestimmte Sprachbefehle reagiert, z. B. wenn Nutzer einen Online-Service für Cocktail-Rezepte aufrufen, Musik abspielen oder in einem Shop etwas bestellen möchten. Gleichermaßen können mithilfe von Skills weitere vernetzte Geräte angesteuert werden, beispielsweise Smart Home-Thermostate. Drittanbieter haben die Möglichkeit, unter Nutzung des frei verfügbaren Alexa Skills Kit (ASK) selbst Skills zu entwickeln.

Inwieweit Amazon die Sicherheit solcher Skills von Drittanbietern überprüft, war nicht Gegenstand dieses Tests, aber wir möchten zumindest darauf hinweisen, dass unsere Tester bei der Prüfung der Alexa App festgestellt haben, dass einige Skills Datenschutzerklärungen enthielten, andere jedoch nicht. Nach Ansicht unserer Sicherheitsexperten ist Amazon eindeutig in der Pflicht, die Sicherheit der angebotenen Skills zu prüfen und zu gewährleisten; das Online-Versandhaus verfährt so ja auch bei anderen Verkäufern in seinen App Stores. Ansonsten besteht das Risiko, dass Angreifer über mit Malware infizierte Skills die Kontrolle über Echo-gesteuerte Smart Homes erlangen können.

Im IoT-Labor testeten die AV-TEST-Experten die Verteidigung des Echo Dot gegen Man-in-the-Middle-Angriffe. Das Gerät hat die Angriffe erkannt und erfolgreich abgewehrt.

Gut verschlüsselte Kommunikation

Im Rahmen unseres Schnelltests konnten beim Amazon Echo Dot keine leicht angreifbaren Schwachstellen oder Sicherheitslücken festgestellt werden. Das Gerät überzeugte die Tester in unserem IoT-Labor durch seine gut gesicherte Kommunikation, und zwar auf allen getesteten Verbindungen. Dazu gehörten solche zwischen dem Echo Dot und der Alexa App als auch diverse  Online-Verbindungen. Beim Online-Check beobachteten die Experten den Austausch von einer ganzen Menge Daten mit über zwölf Domains, und das bereits in der Basiseinstellung des Geräts.

Positiv zu bemerken ist, dass Echo seine Kommunikation immer über das Verschlüsselungsprotokoll TLS 1.2 absichert. „Deshalb waren auch alle Verbindungen über den Amazon Echo Dot gegen einfache Man-in-the-Middle-Angriffe ausreichend gesichert“, erläuterte Eric Clausing, IoT-Sicherheitsexperte bei AV-TEST, „und beim Abrufen von Firmware- oder Sicherheitsupdates wurde immer eine starke Verschlüsselung eingesetzt.“

Immer verschlüsselt

Die Übertragung von Systemstatus-Informationen wurde ebenfalls durch Verschlüsselung gesichert. Daher konnte nicht hundertprozentig nachgewiesen werden, dass der Amazon Echo Dot auch wirklich nur dann über die Mikrofone erhaltene Daten weitersendet, nachdem er mit dem Aktivierungswort angesprochen und aktiviert wurde. Zumindest ein stetiger Strom an Netzwerk-Traffic war zu erkennen, selbst wenn im Testraum nicht gesprochen wurde. Schlussfolgerungen zu Art und Inhalt der Daten sind jedoch nicht möglich, da die übertragenen Daten verschlüsselt waren.

Fast lückenlos

Die von uns getestete Alexa App, Version 1.0.201.7, ist sauber programmiert und zeigte keine offensichtlichen Schwachstellen im Schnelltest. Bei ihrer Kommunikation wird TLS 1.2-Verschlüsselung eingesetzt und die Tester konnten bestätigen, dass alle Verbindungen gegen einfache MitM-Attacken geschützt sind. Sollten Dateneingaben von Seiten des Nutzers notwendig sein, werden diese sicher auf der App gespeichert. Eine diesbezügliche Prüfung hat ergeben, dass keine sensiblen Daten außerhalb des geschützten Speicherbereichs lokal abgelegt wurden.

Theoretisch gesehen gibt es Potenzial für Verbesserungen, wie unsere Experten in einem zusätzlichen Sicherheits-Check festgestellt haben: Mithilfe eines installierten Root-Zertifikats gelang ihnen ein Man-in-the-Middle-Angriff und damit das Ausspähen der Anmeldedaten für den Alexa-Account. Der Login-Versuch selbst scheiterte dann zwar bei diesem Angriff, aber die Account-Daten wären trotzdem in den Händen der Angreifer. Praktisch gesehen ist ein solcher Angriff schwierig durchzuführen, weswegen man hierbei auch nicht von einer echten Sicherheitslücke sprechen kann.

Mit installiertem Root-Zertifikat auf dem Smartphone können Account-Daten von Angreifern mitgelesen werden. Dies kann jedoch nicht als wirkliche Lücke angesehen werden.

Kritisch zu sehen ist der Aspekt, dass die App in ihren Standardeinstellungen versucht, das WLAN-Passwort in der Amazon Cloud zu speichern – auch wenn dies für die Bewertung der Sicherheit in unserem Test ursächlich nicht von Belang ist. Die Empfehlung der Sicherheitsexperten von AV-TEST lautet jedenfalls, niemals Passwörter in der Cloud zu speichern, sofern nicht sehr triftige Gründe dafür vorliegen.

Anmerkungen zum Amazon Echo Dot und zu datenschutzrechtlichen Bedenken

Einige allgemeine Kommentare zum Einsatz des Echo Dot sind von den AV-TEST Sicherheitsexperten abgegeben worden, auch wenn diese keine Auswirkung auf das Ergebnis unseres Schnelltests haben: das Gerät hat bestanden.

Beim Start der App werden Nutzer informiert, dass Amazon Audiodateien und weitere Daten verarbeitet und in der Cloud speichert, und sie werden in Kenntnis gesetzt, dass Informationen mit Drittanbietern ausgetauscht werden. Welche Art von Information damit gemeint ist, wird von der Alexa App jedoch offen gelassen und nicht weiter spezifiziert. Selbst die Datenschutzerklärung enthält keine weiteren Detailangaben zu diesem Sachverhalt.

Dass die in der App verlinkte Datenschutzerklärung sich nicht explizit auf das Produkt Echo Dot bezieht, sondern eher allgemein auf die Datenverarbeitungstätigkeiten der Amazon Shopping-Plattform, gibt ebenfalls Anlass zur Kritik. Die in der Datenschutzerklärung aufgeführten Punkte gehen folglich weder auf die signifikanten, biometrischen Merkmale von Sprachaufzeichnungen ein, noch auf die Tatsache, dass Amazon im Grunde Daten erhält, die einem Fingerabdruck vergleichbar sind und die eindeutige Identifizierung einer Person erlauben. Aus einer Stimme können Informationen über den dazugehörigen Sprecher abgeleitet werden, die über den reinen Inhalt des Gesprochenen hinausgehen.

Auf Grundlage der Datenschutzerklärung kann davon ausgegangen werden, dass Amazon Sprachaufzeichnungen so behandelt wie auch alle anderen erfassten Kundendaten. Soll heißen: Die Daten können recht frei verwendet und mit Dritten geteilt werden. Nutzer sollten sich dessen bewusst sein, wenn sie das Gerät zu Hause einrichten. Übrigens sind nach dem gegenwärtigen Datenschutzrecht Besucher darüber zu informieren, dass sie möglicherweise durch Alexa aufgenommen werden.

Fazit

Beeindruckt waren die Tester im Schnelltest von der sicheren Verschlüsselung und Speicherung der angegebenen Benutzerdaten durch den Amazon Echo Dot in Verbindung mit der Alexa App. Weder App noch Gerät waren anfällig für Man-in-the-Middle-Angriffe. Im Gesamtergebnis der Prüfung durch AV-TEST haben Echo Dot und Alexa App die Bewertung „sicher“ und die vollen drei Sterne erhalten.

Allerdings möchten wir bei AV-TEST auch eindringlich auf die Schwachstellen bei der Datenschutzerklärung hinweisen, die zwar nicht das Ergebnis dieses Tests beeinflusst haben, aber Verbesserungen auf Seiten Amazons nach sich ziehen sollten. Amazon muss die Sicherheit von optionalen Skills von Drittanbietern gewährleisten können, und der Online-Riese muss sich auch der Tatsache bewusst sein, dass Kriminelle mit Hilfe von Echo Dot in der Lage sein können, Zugang zu weiteren Haushalten zu erlangen.