Ein vernichtender neuer Bericht von Ofcom, der britischen Regulierungsbehörde für Telekommunikation, kommt zu einem ernüchternden Urteil: Die Inhaltsfeeds YouTubeTikTok und YouTubesind für Kinder „nicht sicher genug“. Dies ist nicht nur ein weiterer leichter Tadel seitens der Regulierungsbehörde. Ofcom sendet damit einen Weckruf an alle, die in den Bereichen Cybersicherheit, Bedrohungsanalyse und Online-Sicherheit tätig sind.
Mit eigenen Worten:
„Insbesondere YouTube TikTok und YouTube zu wesentlichen Änderungen verpflichtet, um die Anzahl schädlicher Inhalte, die Kindern angezeigt werden, zu reduzieren, und behaupten weiterhin, ihre Feeds seien bereits kindersicher.“
Positiv zu vermerken ist, dass Snap, Meta und Roblox sich bereit erklärt haben, weitere Sicherheitsmaßnahmen zu ergreifen, um Kinder vor Online-Grooming und der „Gefahr durch Fremde“ zu schützen.
Die BBC berichtet, dass eine Umfrage der Ofcom ergab, dass 84 % der Kinder im Alter von 8 bis 12 Jahren weiterhin mindestens einen großen Dienst nutzten, für den ein Mindestalter von 13 Jahren vorgeschrieben ist. Wir hatten bereits zuvor darüber berichtet, wie leicht sich einige der Methoden zur Altersüberprüfung austricksen lassen. Forscher, die Konten von Kindern unter 13 Jahren nutzten, berichteten zudem, dass sie kurz nach dem Betreten bestimmter Roblox-Spiele auf sexuelle Inhalte und beleidigende Sprache stießen.
Apropos Roblox: Laut einem Bericht von „The Guardian“ haben US-amerikanische Interessenverbände die Federal Trade Commission (FTC) offiziell aufgefordert, gegen Roblox wegen sogenannter „unfairer und irreführender“ Praktiken zu ermitteln. Die Beschwerde konzentriert sich auf:
- In-Game-Käufe, die Kinder dazu drängen, Geld auszugeben
- Chat-Funktionen, durch die Kinder mit Fremden in Kontakt kommen
- Funktionen, die darauf ausgelegt sind, die Nutzerinteraktion zu maximieren, und die laut Kritikern süchtig machen könnten
Drew Benvie, Geschäftsführer von Battenhall und Gründer der gemeinnützigen Organisation „Raise“ für Jugendsicherheit, erklärte:
„Obwohl Roblox neue altersbezogene Sicherheitsmaßnahmen einführt, sind junge Spieler sehr geschickt darin, diese Schutzvorkehrungen zu umgehen.“
Aus Sicht der Cybersicherheit
Was Cybersicherheitsforscher nachts wach hält, ist ein weiterer Aspekt dieses Problems. Viele der vorgeschlagenen Lösungen zur Altersüberprüfung erfordern, dass Nutzer amtliche Ausweisdokumente oder biometrische Selfie-Daten vorlegen. Darüber haben wir bereits in unserem Blogbeitrag „Altersüberprüfung: Kinderschutz oder Datenschutzrisiko?“ gesprochen.
Systeme zur Altersüberprüfung bieten enorme Möglichkeiten zur Datenerfassung, die zu bevorzugten Zielen für folgende Akteure werden:
- Datenschutzverletzungen, bei denen sensible personenbezogene Daten offengelegt werden
- Identity durch zentralisierte Identitätsdatenbanken
- Der Diebstahl biometrischer Daten, die sich nicht wie Passwörter ändern lassen
- Malware und Betrugsversuche, die auf Nutzer weniger sicherer Plattformen abzielen
Wenn Einschränkungen junge Nutzer dazu zwingen, auf kleinere oder weniger sichere Websites auszuweichen, stoßen sie auf:
- Keine grundlegenden Sicherheitsvorkehrungen
- Erhöhtes Risiko durch Malware
- Erhöhtes Risiko durch Phishing und Betrug
- Nicht moderierte schädliche Inhalte
Genau das beobachten wir im Bereich der Bedrohungsanalyse: Sobald die Verteidiger einen Angriffsvektor absichern, passen sich die Cyberkriminellen an und verlagern ihre Aktivitäten an andere Stellen.
Sicherere Systeme sind besser als strengere Altersbeschränkungen
Beim Schutz von Kindern sollte der Schwerpunkt darauf liegen, insgesamt sicherere digitale Erfahrungen zu schaffen. Dies ist der einzig gangbare Weg, denn:
- Eine strengere Moderation entfernt schädliche Inhalte tatsächlich, anstatt lediglich den Zugriff darauf zu sperren
- Sicherere Empfehlungssysteme verhindern die algorithmische Verstärkung schädlicher Inhalte
- Eine stärkere Rechenschaftspflicht der Plattformen bedeutet, dass Unternehmen das Nutzerengagement nicht über die Sicherheit stellen dürfen
- Durch den Verzicht auf invasive Datenerfassung wird verhindert, dass riesige Honeypots für Angreifer entstehen
Als jemand, der täglich Malware und Bedrohungen analysiert, kann ich Ihnen sagen: Sicherheit durch Verschleierung (Altersbeschränkungen) funktioniert nicht. Sicherheit durch ein robustes Systemdesign (Moderation, sicherere Algorithmen, Rechenschaftspflicht) hingegen schon.
Betrüger müssen sich nicht in dein System hacken. Es reicht schon, wenn du einmal darauf klickst.
Malwarebytes Identity Theft erkennt verdächtige Aktivitäten, bevor sie zu einem Problem werden.
