Echo: Hilfreicher Assistent oder fiese Wanze? Wie ernst nimmt Amazon den Datenschutz bei Alexa?

Wenn es um den Datenschutz bei Alexa geht, scheiden sich die Geister. Die einen vertrauen ihrem Amazon Echo voll und ganz, die anderen halten den smarten Lautsprecher für eine heimtückische Abhöranlage und wollen nichts damit zu tun haben. Wir sind der Kontroverse um den Alexa-Datenschutz-Streit auf den Grund gegangen, haben Experten befragt, die Meinungen von Verbraucherschützern und Verbraucherzentrale zusammengetragen und geprüft welche Daten beim Praxistest wirklich übertragen wurden.

Alexa - harmlos und praktisch oder nicht? Wir haben genau hingesehen

Echo - Freund oder Feind? Wir fassen die Expertenmeinungen zusammen

Die Gegner von Amazon Echo-Lautsprechern bezeichneten die darin integrierte Sprachsoftware Alexa bereits kurz nach Markteinführung als "Wanze" und "Datenspionin". Dies rief natürlich schnell Datenschutzbeauftragte, Verbraucherzentralen, Medienvertreter und Technikexperten auf den Plan, die mit ganz unterschiedlichen Tests versuchten der Wahrheit auf den Grund zu gehen. Dementsprechend sind auch ihre Untersuchungsrichtlinien auf ganz verschiedene Faktoren ausgerichtet. Was dabei herauskommen kann, hat Sven Häwel in folgendem Video kurz für uns zusammengefasst:

Welche Daten sammelt die Sprachassistentin Alexa über Echo-Lautsprecher?

Viele Technikfans sind sich bei der Anschaffung eines smarten Echo-Lautsprechers nicht bewusst, dass Alexa überhaupt Daten sammelt und abspeichert. Manche glauben ihre Privatsphäre werde von der Verfassung beziehungsweise der Rede- und Meinungsfreiheit ohnehin geschützt, andere machen sich einfach keine Gedanken über die Funktionsweise ihrer Sprachsoftware, der sie bedenkenlos fast jede Frage stellen.

Fragt man die intelligente Sprachassistentin direkt, antwortet sie diplomatisch: „Ich bin keine Spionin und höre nur zu, wenn du das Aktivierungswort sagst.“ Soll heißen: Die sieben Mikrofone des Amazon Echo Lautsprechers sind zwar permanent aktiv, übertragen Datenströme aber erst dann ins Netz, wenn zuvor ein bestimmtes Aktivierungswort genannt wurde. Je nach persönlichen Vorlieben muss das Aktivierungswort jedoch nicht zwingend „Alexa“ heißen. Wer mag, kann stattdessen auch „Echo“, „Computer“ oder „Amazon“ festlegen. Das ist besonders dann sinnvoll, wenn verhindert werden soll, dass Alexa auf Amazon Werbeclips reagiert.

Im home&smart-Interview klärt Alexa-Manager Dr. Philipp Berger das Mißverständnis von der permanenten Datenübertragung in die Cloud auf. So würden das Aktivierungskennwort betreffende Sprachmuster zuerst nur in einem kleinen Zwischenspeicher des Echo-Geräts analysiert. Erst wenn Aktivieriungskennwort wie Alexa, Echo, Computer oder Amazon erkannt werde, würden Informationen in die Cloud gesendet. Dieses Vorgehen würde dann vom Echo-Lautsprecher mit dem blau aufleuchtenden Lichtring signalisiert.

Alexa hat immer ein offenes Ohr – auch für Familienangelegenheiten

Die zuverlässigen Sicherheitsmechanismen des Echos bei der Datenverarbeitung bestätigt auch der beim renommierten Horst-Goetz-Institut für Sicherheit beschäftigte Dr. Tilman Frosch. Er ist ebenfalls von der lokalen Erkennung des Aktivierungswortes überzeugt und schenkt den im Netz kursierenden Verschwörungstheorien zu Datenklau und Echofernsteuerung keinen Glauben. Stattdessen erklärt Frosch, die lokale Keyword-Erkennung sei sogar zwingend nötig, schließlich könne sich Amazon keinen Vertrauensverlust beim Kunden leisten.

Amazon Echo 2, Antrazit Stoff
Amazon Echo 2, Antrazit Stoff -1%
Das neue Amazon Echo - günstiger und leistungsstärker als der Vorgänger.
UVP 99,99 €
Neu: Über 750 Produke im Preisvergleich
Stand: 21.01.2019

Für Aufsehen sorgte ein Mordfall in den USA, bei dem Alexa-Aufnahmen als Beweismittel herangezogen wurden, allerdings erst, nachdem Ankläger und Beklagter dem zugestimmt hatten. In Deutschland wäre dies ohne Nutzereinwilligung nur mittels eines richterlichen Beschlusses möglich.

Warum ist der Datenaustausch übers Netz überhaupt nötig?

Als moderne Sprachsoftware hat auch Alexa eine Cloudanbindung, die durch regelmäßigen Datenabgleich mit Amazon-Servern automatische Updates, ständiges Dazulernen und eine permanente Verbesserung des Spracherkennungsalgorithmus ermöglicht. Sie gewöhnt sich daher nicht nur an die Aussprache und die Bedürfnisse ihrer Nutzer, sondern kann auch aus den Anfragen und Dialekten tausender anderer Echo-Nutzer neue Erkenntnisse ziehen.

Verwendet werden die Daten, die Nutzer via Alexa in die Amazon-Cloud senden auf zwei verschiedene Arten: zum einen für die Auswertung des Alexa-Sprachbefehls und der Formulierung der dazugehörigen Antwort und zum anderen um Alexas Machine Learning Algorithmen weiterzuentwickeln. Dies ist wichtig, damit die Sprachassistentin den Nutzer besser verstehen und richtig auf Anfragen reagieren kann.

Welche Anfragen zuletzt an den eigenen Lautsprecher gestellt wurden und wie genau Alexa diese verstanden hat, lässt sich übrigens in der eigenen Suchhistorie nachvollziehen. Diese ist in der Alexa App zu finden und kann auf Wunsch relativ einfach vom eigenen Konto gelöscht werden. Wie das genau funktioniert, zeigt unser How-To Alexa Suchhistorie löschen in 3 Schritten. Ob und wo sie sonst noch hinterlegt wird, ist allerdings auch für Experten aktuell nicht nachvollziehbar.

Was sagen Verbraucherschützer zum Datenschutz bei Alexa?

Zu den Kritikern von Alexa, Echo und Co. gehören unter anderem die Datenschutzexperten aus der Verbraucherzentrale Nordrhein-Westfalen. Sie kritisieren, dass die smarte Assistentin nicht nur Suchanfragen auf Amazon-Server kopiere, um dort die passenden Antworten abzurufen, sondern auch Kalendereinträge, Musikwünsche und Einkaufslisten aus dem Privatleben ihrer Nutzer auswerte, um diesen zum gläsernen Kunden zu machen. Ihre Kritik gilt zudem der Tatsache, dass Amazon in seiner Datenschutzerklärung, ihrer Meinung nach, ganz bewusst bestimmte Aussagen unklar formuliere und nicht offen lege, was mit den persönlichen Daten geschehe oder welche möglicherweise sogar an Dritte weitergegeben würden. Dies kritisieren auch die unabhängigen AV-Test-Datenschutzexperten, die regelmäßig umfangreiche Software-Tests durchführen um Schadsoftware ausfindig zu machen.

Vor allem im Bad möchte niemand gerne von Alexa ausspioniert werden

Vor allem aber in Bezug auf Onlineshopping sind sich die Verbraucherschützer einig, dass bei allzu sorgloser Nutzung des Amazon Echo ein hohes Datenschutzrisiko besteht. Schließlich muss jeder, der sein Gerät nicht ausreichend gegen unbefugte Nutzung sichert, im Zweifelsfall für die Kosten ungewollter Bestellungen aufkommen. Das gilt auch dann, wenn zum Beispiel Kinder beim Spielen ein teures Puppenhaus ordern, wie dies in den USA bereits vor einigen Monaten passiert ist oder wenn Alexa in einer Fernsehwerbung ihr Codewort hört und daraufhin die beworbenen Produkte bestellt. 

Vermeiden lassen sich solche Fehlkäufe übrigens entweder durch Änderung des Aktivierungswortes oder die Erstellung eines PIN-Codes für Alexa. 

Welche potenziellen Schwachstellen gibt es bei Alexas Datenübertragung?

Während die Amerikaner bereits seit Jahren verschiedene Varianten der Echo-Lautsprecher in großem Stil nutzen, gab es in Deutschland von Anfang an Datenschutz-Bedenken. Viele deutsche Technikfans waren zwar von der Sprachsteuerungs-Option fasziniert, fürchteten sich aber vor massiven Hacker-Angriffen auf ihre Privatsphäre, Datenspionage und permanenter Überwachung. Doch wie leicht ist es tatsächlich extern auf die Alexa-Sprachsoftware zuzugreifen? Auf welche Datenschutzmankos verweisen die Amazon.de-Datenschutzerklärung und die Alexa Nutzungsbedingungen nicht explizit?

Aktuell sehen Technik- und Onlinesicherheitsexperten ein Datenleck in Bezug auf Alexa vor allem in den Daten, die Amazon selbst auswertet und in den Alexa-Skills verschiedener Hersteller. AV-Test empfiehlt daher die Skills, genauso wie normale Apps vor Installation im Store zu prüfen und nachzuschauen, ob dafür eine Datenschutzerklärung des Anbieters vorliegt. Ansonsten könnte es möglicherweise passieren, dass Malware-verseuchte Skills einen Echo als Datenspion nutzen. Doch in der Praxis ist es meist deutlich einfacher und lukrativer ein Smartphone zu knacken als die professionelle Sprachsoftware von Amazon.

Amazon Echo Plus (2. Generation), Hellgrau Stoff
Jetzt bestellen: Der smarte Lautsprecher mit Smart Home Hub-Funktion.
Jetzt bestellen: Der smarte Lautsprecher mit Smart Home Hub-Funktion.
Erhältlich bei:
Neu: Über 750 Produke im Preisvergleich
Stand: 20.01.2019

Welche Informationen Alexa-Skill-Anbieter von Amazon erhalten

Gegenüber home&smart erklärte Amazon, dass Skill-Anbieter keinen Zugriff auf die Sprachdaten haben, sondern nur auf Funktionen, welche die Sprachkommandos eines Nutzers auslösen. Zudem müssen Skill-Anbieter verschiedene Zertifizierungen durchlaufen, die der Einhaltung der Priatsphärerichtlinien von Amazon dienen. Die Zertifizierungsprogramme beinhalten unter anderem Sicherheitsprüfungen und Maßnahmen zur Risikobegrenzung. Zudem ist es nicht möglich Skills außerhalb des Amazon Skill Stores zu installieren.

Angst vor Hackern brauchen Alexa-Anwender keine haben

Um die Datenübertragung von Alexa fundiert bewerten zu können, haben die AV-Test-Experten die Alexa App in der Version (1.0.2017) zudem im Auftrag von BILD einem Kurztest unterzogen und dabei festgestellt, dass alle Daten prinzipiell nur verschlüsselt übertragen und sensible Informationen immer nur im geschützten Speicherbereich hinterlegt werden. Nur absolute Profis, die ein eigenes Root-Zertifikat (zum Beispiel beim Hacken eines Smartphones) installiert haben, können unter Umständen ein Man-in-the-Middle-Angriff durchführen. Doch selbst den Experten gelang es in diesem Spezialfall nicht, sich per Fernzugriff einzuloggen. Sie hatten zwar Zugriff auf die Amazon-Konto-Daten konnten aber damit in Bezug auf Alexa nichts anfangen. Demnach halten Experten es für sehr unwahrscheinlich, dass Alexa-Daten von Unbefugten ausgelesen werden können.

Diese Meinung teilt auch der Sicherheitsexperte Maik Morgenstern, CTO der AV-TEST GmbH, der in unserem Interview zur Datensicherheit im IoT, verriet, dass er selbst auch Sprachassistenten zuhause nutzt. 

Die Verschlüsselung der Alexa-Kommunikation

Amazon erklärte gegenüber home&smart, dass Sprachbefehle an die Alexa-Cloud grundsätzlich Ende-zu-Ende verschlüsselt werden. Erst dort wird die Anfrage entschlüsselt, um sie bearbeiten zu können. Die Antwort werde dann wieder Ende-zu-Ende-Verschlüsselt an den Nutzer übertragen. Anrufe und Nachrichten zwischen zwei Nutzern, die über Alexa stattfänden, würden immer Ende-zu-Ende verschlüsselt. Auf den Amazon-Servern selbst kommen Sicherheits- und Verschlüsselungsverfahren zum Einsatz, die dem neusten technischen Stand entsprechen, so dass weder Dritte noch unberechtigte Amazon-Mitarbeiter Zugriff darauf erhalten, eine Ausnahme bilden  Mitarbeiter, die z. B. im Rahmen von Kundendienstarbeiten täglichen Zugang benötigen.

Nur in absoluten Ausnahmefällen kann ein Echo manuell zu einem Überwachungsapparat umgebaut werden. So gibt es Berichte, dass Mark Barnes (von MWR InfoSecurity) bei einem älteren Echo-Modell durch spezielle Umbaumaßnahmen und mithilfe einer SD-Karte die Firmware manipuliert habe, um Alexa abzuhören. Allerdings ist es nur bei Echo-Lautsprechern aus den Jahren 2015 und 2016 grundsätzlich möglich die Unterseite abzuschrauben und selbst das funktioniert nur dann, wenn der Hacker sich direkt vor Ort aufhält. 

Amazon Echo Spot, Weiss
Echo Spot bietet Ihnen alles, was Sie an Alexa lieben – in einem stylischen und kompakten Design.
Echo Spot bietet Ihnen alles, was Sie an Alexa lieben – in einem stylischen und kompakten Design.
Erhältlich bei:
Neu: Über 750 Produke im Preisvergleich
Stand: 20.01.2019

Wenn Hacker mit Alexa durch verschlossene Türen kommen wollen

Damit Hacker sich zum Beispiel nicht über ein Alexa-kompatibles Türschloss Zutritt zu einem Haus oder Wohnung verschaffen können, hat Amazon die Sprachassistentin zunächst nur eine Funktion implementiert, mit der Alexa Türen lediglich zusperren aber nicht öffnen konnte. Mittlerweile ist zwar auch das Aufsperren einer Tür möglich, allerdings nur mittels eines Sprach-PINs.

Nur bei alten Echo-Modellen der 1. Generation von 2015/2016 kann der Boden abgeschraubt werden

Neben der Nutzung von fehlerhaften Skills unseriöser Anbieter stellt die größte Schwachstelle das WLAN-Netzwerk dar, das Alexa zur Interaktion mit der Cloud nutzt. Folgende Tricks helfen dabei, die Alexa-Nutzung sicherer zu machen und einen potenziellen Fernzugriff zu verhindern.

So kann Amazon Echo vor Hackern geschützt und abhörsicher gemacht werden:

  • Ein sicheres WLAN-Passwort, bestehend aus mindestens 20 Zeichen anlegen (am besten aus zufällig gewählten Zahlen, Buchstaben und Sonderzeichen).
  • Das Admin-Passwort für die WLAN-Konfiguration niemals standardmäßig mit "passwort" oder "123" benennen.
  • Die WLAN-Verschlüsselungsmethode WPA2 PSK statt einer WEP-Verschlüsselung nutzen.
  • Regelmäßige Router-Updates durchführen.
  • Bei neueren Firmware-Versionen ist häufig ein automatischer Fernzugriff auf Drucker oder vernetzte PCs bei den Werkseinstellungen vorgesehen, diesen manuell deaktivieren.

So lässt sich die Privatsphäre trotz Sprachassistent wahren

Manchmal hört Alexa auch dann zu, wenn wir es eigentlich nicht erwartet hatten. Dadurch kommen auf Dauer eine ganze Menge Datenschnipsel zusammen, die auch in der Suchhistorie gespeichert werden. Wer sich nicht sicher ist, welche Daten gespeichert werden und wie er diese editieren kann, findet viele weitere Informationen dazu in der Alexa App oder in den How-Tos auf unserem Portal. Einige besonders nützliche haben wir auch direkt hier in den Lesetipps vermerkt.

Fazit: So viel Datenschutz bietet Alexa

Die künstliche Intelligenz Alexa bietet ein riesiges Potenzial für den Wohnkomfort zuhause, solange sie verantwortungsbewusst eingesetzt wird. Das heißt: Wer seine Echo-Bestellfunktion mit einer PIN schützt, Skills von Drittanbietern vor Installation prüft und regelmäßig im Suchverlauf der App seine Daten einsieht, kann mit der smarten Sprachassistentin ohne Bedenken jede Menge Spaß haben.

Amazon Echo Show, Schwarz
Amazon Echo Show, Schwarz -5%
Videos, Zusammenfassungen, Wetterberichte, Songtexte - Echo Show kann zusätzlich Inhalte zeigen.
UVP 219,99 €
Neu: Über 750 Produke im Preisvergleich
Stand: 21.01.2019

Nur wer aus Angst vor Datenschutz-Verletzungen niemals Suchanfragen an Google richtet, bei Amazon grundsätzlich keine Waren bestellt und niemals ohne Inkognito-Modus im Netz surft, sollte auf einen Kauf besser verzichten.

Noch mehr Informationen zum Thema, sowie ein spannendes Duell zwischen dem Datenschutz-Verfechter Markus Jung (Institut für Telematik am Karlsruher Institut für Technologie (KIT)) und dem Smart Home Experten Sven Häwel (Leiter Kooperationen bei home&smart) bietet der Baden TV Beitrag "Das Duell - Vernetzte Welt versus Datenschutz".

Lesetipps zum Thema Alexa

Anleitung: Amazon Echo und Alexa ausschalten
Anleitung: Alexa Nutzerkonto des Echo-Lautsprechers ändern
Alexa FAQ: Häufige Fragen zur Nutzung von Amazon Echo und Alexa

Mehr Infos und Trends zum Smart Home

Wie gefällt Ihnen dieser Artikel?
gefällt das
Gefällt mir Gefällt mir nicht
Sie können den Artikel nur einmal bewerten.
Vielen Dank für Ihre Bewertung!
homeandsmart Redaktion Mariella Wendel

Bereits als Kind an Fotografie-Projekten beteiligt. Später Germanistik und Multimedia Studium. Seit 2009  für verschiedene Websiten und als Buchautorin in den Bereichen Erlebnispädagogik und Pflege tätig. Heute Redakteurin bei homeandsmart.de und zuständig für Anwendungsratgeber und Produktbilder. Lässt sich auch von komplexen Bedienungsanleitungen nicht aus der Ruhe bringen. 

Smart Home Preisvergleich
Über 700 Produkte zum besten Preis
home&smart-Preisvergleich

Mit dem home&smart-Preisvergleich über 700 Smart Home Produkte für das vernetzte Zuhause finden.
Wir haben die besten Angebote und Preise von über 30 Online Shops im Vergleich.

Zum Preisvergleich
Smart Home Angebote bei Amazon
Vernetztes Zuhause
Alexa & Smart Home

Erleben Sie alle Smart Home-Produkte und Geräte mit Sprachsteuerung bei Amazon zu unschlagbaren Preisen.

Zu den Angeboten