Sicherheitslücken: EU ruft Kinder-Smartwatch des deutschen Herstellers Enox zurück

Die Europäische Union hat den Rückruf der auf Kinder ausgerichteten Smartwatch Safe-Kid-One des in Hamburg ansässigen Anbieters Enox angeordnet. Offiziell soll die intelligente Uhr die Richtlinie über die Bereitstellung von Funkanlagen (2014/53/EU) verletzen. Laut der Beschreibung im Eintrag im Rapid Alert System (RAPEX) der EU sind jedoch gravierende Sicherheitsmängel und erhebliche Risiken für die Privatsphäre von Nutzern der Grund für den Rückruf.

Auslöser ist eine Beschwerde der isländischen Verbraucherschutzbehörde. Die daraufhin durchgeführte Prüfung ergab, dass die zur Steuerung der Kinder-Smartwatch bereitgestellte mobile App „unverschlüsselt mit ihren Backend-Servern kommuniziert und der Server einen Zugriff auf Daten ohne Authentifizierung erlaubt“, heißt es im RAPEX-Eintrag. „Als Folge können Daten wie Standortverlauf, Telefonnummern und Seriennummer einfach abgerufen und verändert werden.“

Die EU hat den Rückruf der Kinder-Smartwatch Safe-Kid-One angeordnet (Bild: Enox).Zudem sei es möglich, Befehle an die Smartwatches zu senden, um Anrufe zu beliebigen Nummern zu tätigen oder um mit dem Kind zu kommunizieren, das die Uhr trage. Es sei aber auch möglich, den Standort von Kindern per GPS zu ermitteln.

Auf der Enox-Website wird das Produkt als „stylische Kinderuhr mit GPS-Funktion“ beworben. Die Uhr verfügt aber auch über eine Telefonfunktion über einen eingebauten Lautsprecher mit Mikrofon. Der integrierte GPS-Empfänger soll ein Live-Tracking ermöglichen – die Standortdaten werden über das Mobilfunknetz übertragen. Per mobiler App lässt sich auch Geofencing aktivieren: Verlässt das Kind einen vorgegebenen Raum, werden die Eltern per SMS informiert.

Die Safe-Kid-One zeichnet aber auch den Weg auf, den ein Kind zurücklegt. Er lässt sich jederzeit über die für Android und iOS verfügbare App einsehen. Sie soll zudem nur Anrufe an das Kind von zuvor definierten Telefonnummern zulassen – eine Einschränkung, die sich laut EU umgehen lässt.

Der italienische Datenschutzexperte Christian Bernieri weist zudem darauf hin, dass Enox die mobile App für die Kinder-Smartwatch nicht selbst entwickelt. Sie soll von einem chinesischen Entwickler stammen, der wiederum den Link zur Datenschutzrichtlinie der App nutzt, um Anwender auf sein LinkedIn-Profil zu leiten.

Laut EU wurde die Kinder-Smartwatch Safe-Kid-One nur online vertrieben. Der Hersteller Enox wurde nun aufgefordert, alle verkauften Einheiten zurückzufordern. Hierzulande scheint die Uhr nur noch bei wenigen Händlern erhältlich zu sein. Unter anderem bietet Conrad Electronic sie noch in seinem Ebay-Shop an, nicht aber in seinem eigenen Online-Shop.

Sicherheitsmängel wurden auch schon in anderen Smartwatches für Kinder festgestellt. Im Oktober 2017 veröffentlichte die European Consumer Organisation eine Untersuchung, wonach die meisten Produkte in dieser Kategorie unsicher seien und nicht in den Handel kommen sollten. Im November 2017 untersagte die Bundesnetzagentur den Verkauf bestimmter Kinder-Smartwatches und stufte sich als „Abhörgeräte“ ein.