Der Spion im Wohnzimmer
Smart TVs datensparsam betreiben
Moderne TV-Geräte lesen dem Sesselvolk die Wünsche vom Mund ab und reichern den Homescreen ungefragt mit Werbung sowie Empfehlungen zum bereits Konsumierten an. Wir haben uns den Netzwerkverkehr im Detail angesehen und geben Tipps für eine datensparsame Konfiguration.
Aktuelle Smart TVs sind Klickfallen: Beim Einrichten wechseln sich in schneller Folge Fragen zur Konfiguration wie der Empfangstechnik und Aufforderungen ab, AGBs und Datenschutzhinweisen zuzustimmen. Letztere werden meist nur am TV-Schirm dargeboten, dafür aber in epischer Länge und mit vielen Unterpunkten. Die Hersteller profitieren so vom „Privacy Paradox“: Der Nutzer weiß genau, dass er Daten nicht herschenken sollte, wird aber dermaßen mit juristischem Kauderwelsch zugeschüttet, dass er den kurzfristigen Nutzen über langfristige Bedenken stellt. Was man ablehnen kann, ohne auf Funktionen zu verzichten, variiert.
Um es gleich vorwegzunehmen: Wer sichergehen will, dass sein TV-Gerät gar keine Daten verschickt, darf es nicht ins Internet bringen. Immerhin lassen sich alle hier untersuchten Geräte ausschließlich für den klassischen TV-Betrieb und die Zuspielung von Inhalten über die HDMI-Eingänge konfigurieren. Das legt in der Regel aber alle Funktionen still, die heute am TV selbstverständlich sind, beispielsweise Medien vom Smartphone zuzuspielen – mithin eine perfekte Strategie, um Jugendliche vom Wohnzimmer-TV zu vergraulen.
Per Knopfdruck aus dem laufenden Programm in die Mediathek wechseln, direkt Netflix, Amazon Prime und andere Dienste aufrufen oder vom NAS Filme streamen, dieser Komfort entfällt im netzlosen Betrieb. Stattdessen hantiert man mit zusätzlichen Abspielgeräten und Fernbedienungen und muss dem Smart Home beibiegen, den ganzen Gerätepark ein- und auszuschalten.
Einstellungssache
Wir haben uns deswegen angesehen, wie man die Geräte aus dem Testfeld so konfigurieren kann, dass möglichst viel Komfort erhalten bleibt, ohne gleich allen Geschäftsbedingungen und Fragen zum Teilen von Nutzungsdaten zuzustimmen. Das ist für jedes TV ein inkrementeller Prozess, den man meist mehrfach durchläuft: Zuerst verweigert man die Zustimmung, wo immer es möglich ist. Wenn später eine Funktion dadurch blockiert ist, melden die Geräte das und fordern erneut das Okay ein.
Bei der Installation von Gerät und Apps sollte man darauf achten, nicht gleich eine Generalvollmacht auszustellen. Oft schlagen die Oberflächen vor, doch alle Optionen anzunehmen, etwa auch den Standort zu übermitteln und Fehler als Bericht an den Hersteller zu senden. Bei jeder globalen Zustimmung sollte man hinterher in den verschiedenen Winkeln des Systems kontrollieren, ob sich dadurch bereits voreingestellte Details geändert haben, etwa alle HbbTV-Einstellungen plötzlich aktiv sind, also die Optionen, die per Knopfdruck den Zugriff auf die Extra-Inhalte und Mediatheken der TV-Sender erlauben.
Wie sieht nun eine aus unserer Sicht sinnvolle Konfiguration aus? Wir erlauben HbbTV grundsätzlich, verweigern in den Details aber, dass eine individuelle Werbe-ID übermittelt wird, und möchten auch nicht getrackt werden. Die von einigen TV-Herstellern angebotenen Senderbouquets wie Amazons freevee, die LG Channels und Samsungs TV Plus entfernen wir vom Homescreen – die dort eingebettete Werbung ist oft kaum zu erkennen und die Inhalte findet man meist anderswo ebenfalls kostenlos. Die TV-„Erlebnisverschönerer“ wie Sonys Samba TV, die über das Internet hereinprasseln, deaktivieren wir.
Für die Installation von Apps muss man generell den jeweiligen AGBs zustimmen und sich auf einigen Geräten auch mit einem persönlichen Konto anmelden. Die automatische Aktualisierung der Apps sollte man zulassen, zumal einige ohne das jeweils aktuelle Update früher oder später ihren Dienst verweigern dürften.
Wie auch für vorherige Tests haben wir mit dem Netzwerk-Traffic-Monitor ntopng den ein- und ausgehenden Verkehr der Geräte beobachtet. Da der Löwenanteil die Leitungen verschlüsselt passiert, können wir nur anhand der Datenmengen und Namen Rückschlüsse auf den Inhalt ziehen.
Wir haben den aufgezeichneten Verkehr mit einschlägigen Blacklists abgeglichen, um die Häufigkeit des Trackings und den Abruf von Werbeinhalten zu erfassen. Dafür dienen wieder die Namen als Kriterium: Stehen die Namen auf der Liste, werten wir den Zugriff auf den Server als Tracking oder Werbung. Bei allen Geräten wurden wir fündig, auch dann, wenn diese für datensparsamen Betrieb konfiguriert waren.
Beim Einrichten der Geräte unterscheidet sich die Menge der übertragenen Daten, etwa bei der Anzahl der DNS-Anfragen und bei der Streuung angesprochener Cloud-Rechenzentren: Die meisten Internet-Gegenstellen der TVs sind von den Herstellern angemietete Server in den Rechenzentren großer Hoster wie Amazon, Google und Microsoft sowie Content Delivery Networks wie Cloudflare, Akamai und Fastly. Auch bei den Zugriffen auf die Cloud-Server hinterlassen wieder nur die Namen, mit denen die TVs die Server ansprechen, eine verwertbare Datenspur.
Datenspuren
Im Netzwerkverkehr der TVs finden sich häufig Domain-Namen, die üblicherweise mit Schädlingsaktivitäten assoziiert sind, nämlich variable, augenscheinlich generierte Host-Namen (sogenannte DGA-Domains). Bei den TV-Geräten dürften sie aber dazu dienen, die Last auf verschiedene Cloud-Server zu verteilen. Vereinzelt treffen wir im Netzwerkverkehr auf veraltete Verschlüsselungstechniken; das ist zwar per se kein Drama, sollte aber nicht vorkommen.
| Smart-TV-Datenverkehr bei datensparsamer Erstinstallation | ||||||
| Hersteller | Amazon | LG | Metz/Roku | Philips | Samsung | Sony |
| DNS-Anfragen | 330 | 950 | 100 | 240 | 1880 | 750 |
| davon DNS direkt | 1 | 0 | 20 | 28 | 24 | 45 |
| kontaktierte Server (IPv4/IPv6) | 171 (132/39) | 77 (55/22) | 84 (84/0) | 97 (31/66) | 94 (75/19) | 253 (81/172) |
| Werbe-Server | 2 | 3 | 2 | 1 | 2 | 12 |
| Tracking-Server | 2 | 0 | 3 | 4 | 1 | 5 |
| Datenmenge (empfangen/senden in MByte) | 460/10 | 199/6 | 114/2 | 193/6 | 312/6 | 464/8 |
| HTTP-Klartext | 40 | 210 | 25 | 18 | 30 | 13 |
| Zugriffe veraltetes TLS | 6 | 11 | 0 | 3 | 0 | 8 |
| Top-Länder | DE, US, IE, VN, GB | DE, IE, US, BG, BE, SE, GB, ES, KR | DE, US, IE | DE, US, IE, FR, BE, ES | DE, CA, US, NL, IE, FR | DE, NL, FR, US, IE, CA, BE |
| Top-ASN | Amazon, Fastly, Google, Akamai, Edgecast | Akamai, Amazon, Fastly, Google, Microsoft, StackPath, Turnkey Internet, LG, Hetzner | Amazon, Google, Akamai | Google, Amazon, Netflix, Akamai, DFN | Amazon, Cloudflare, Akamai, SingleHop, Microsoft | Google, Netflix Akamai, Amazon, Fastly, Cloudflare |
| i. A. Anzahl Flows, jeweils ermittelt mit ntopng vom Fabrikreset bis zur Anzeige des ersten regulären TV-Bildes; Geräte siehe Seite 18 | ||||||
Viele Geräte lösen Namen am lokalen DNS-Server vorbei auf und befragen die Google-DNS-Server (8.8.8.8 und 8.8.8.4) direkt. Ein Großteil dieser Anfragen betrifft Netflix-Domains. Diese Schummelei verhindert, dass Nutzer mit einfachen Mitteln und DNS-Filtern wie Pi-hole oder AdGuard Home die Zugriffe unterbinden. Sie lässt sich aber nur bei einem Bruchteil der insgesamt gestellten DNS-Anfragen beobachten.
Bestimmungsgemäß empfangen die TVs viele Daten, senden selbst aber wenig; die Unterschiede zwischen den Geräten hinsichtlich der Menge der gesendeten Daten fallen allein deshalb marginal aus. Vergleicht man die Datenmengen, die die Geräte beim Einrichten übertragen, wenn man ihnen möglichst wenig gestattet, glänzt das Samsung-TV: Es empfängt gerade mal zwei MByte.
Wir haben uns diesmal nicht detailliert angesehen, wie sich die Geräte bei der Nutzung der HbbTV-Angebote der Sender verhalten. Denn dabei bestimmt nicht das Smart TV, welche Daten ausgeplaudert werden, sondern der Ersteller der HbbTV-Anwendungen. Was uns aber aufgefallen ist und wir erneut beklagen müssen: Die öffentlich-rechtlichen Anbieter verschlüsseln HbbTV zum größten Teil immer noch nicht.
Im Folgenden erklären wir jeweils eingangs, wie sich die Geräte verhalten, wenn man sämtliche Zustimmung verweigert. Wir dokumentieren anschließend in Stichpunkten, wie wir eine aus unserer Sicht ausgewogene Konfiguration zwischen akzeptablem Komfort bei möglichst großer Datensparsamkeit herstellen und welche Aktivitäten wir dabei im Netzwerk sehen.
Amazon Fire TV Omni
Ohne eine Anmeldung bei Amazon nimmt das TV, nachdem es Updates bezogen hat, die Füße wieder aus dem Netz. Das ist immerhin eine sehr klare Strategie. Anschließend kann man am dann dummen Display die HDMI-Ports für externe Videoquellen nutzen und die eingebauten TV-Tuner, um fernzusehen.
Unsere Konfiguration: mit Amazon-Konto angemeldet, dabei die automatische Übernahme der App-Zugänge und persönlichen Daten am TV nicht angenommen. Weitere Amazon-Dienste und automatische Installation einer App-Auswahl abgelehnt. Nach der Senderinstallation in den Benutzereinstellungen die Datenschutzeinstellungen geprüft und dort die Überwachung und alles nicht Notwendige abgewählt.
Beim Einrichten mit dieser aus unserer Sicht praktikablen Konfiguration liegt das Gerät im Testfeld am oberen Ende, was Datenmengen und DNS-Anfragen angeht. Andere Geräte kriegen das deutlich sparsamer hin.
Das Fire TV Omni bleibt im Wesentlichen im eigenen Kosmos; die meisten Gegenspieler sind Server von Amazon. Im Netzwerkverkehr fanden wir nur wenig Daten, die sich als Tracking identifizieren lassen. Die wenigen im Klartext ausgetauschten Daten scheinen keine relevanten Benutzerdaten zu enthalten. Einige wenige Verbindungen verwenden veraltete Verschlüsselungsverfahren; das ist kein Drama, aber wir wollten es zumindest dokumentieren.
LG webOS TV
Ohne AGB-Zustimmung startet das LG-TV-Gerät Apps wie die für Netflix nicht, obwohl es davon reichlich bei der Ersteinrichtung installiert und auf seinem Homescreen präsentiert. Immerhin stehen dann die HDMI-Eingänge und die eingebauten TV-Tuner zur Verfügung. Erst nach der Zustimmung kann das Gerät die vorinstallierten Apps auch aktualisieren. Ohne ein LG-Nutzerkonto kann man allerdings keine neuen Apps wie Paramount+ installieren.
Unsere Konfiguration: beim Einrichten nur den AGBs zugestimmt, Datenerhebung bei der TV-Nutzung, Erhebung der Sprachinformation und interessenbezogene Werbung nicht ausgewählt, kein LG-Konto konfiguriert. Nach der Installation unter „Einstellungen/Allgemein/System/zus. Einstellungen/Werbung“ die Option „Eingeschränktes AD-Tracking“ und damit personalisierte Werbung abgeschaltet (im Menü dazu das eingeschränkte Tracking aktiviert). In den Startseiten-Einstellungen Home Promotion und Inhalteempfehlungen deaktiviert. Außerdem unter Allgemein/Sender bei HbbTV „Nicht Tracken“ aktiviert und „Distinctive ID“ deaktiviert.
Das LG-TV kommuniziert sehr oft im Klartext. Diesem Verkehr kann man entnehmen, dass es beim Einrichten eine Lizenz anfordert. Die dabei versendete Geräte-ID ist immer gleich, die Rückgaben des Servers ändern sich bei jedem Neueinrichten des Gerätes. Offenbar lädt es auch Teile seiner Bedienoberfläche über ungeschützte Verbindungen.
Obwohl das TV mit vergleichsweise wenigen Servern spricht, streut deren Verteilung im Internet stark. Das gilt sowohl für die Herkunft der Serverbetreiber im Internet als auch die geografische Zuordnung. Kombiniert mit den vielen unverschlüsselt übertragenen Daten stellt das ein Sicherheitsrisiko dar. Tracker fanden wir im Datenverkehr keine.
Philips Android TV
Das Gerät verlangt während der Einrichtung gleich zweimal die Zustimmung zu AGBs, einmal stammen die von Google und einmal von Philips beziehungsweise dem Gerätehersteller TPV. Selbst wenn man beides ablehnt, klötert die Einrichtung den Homescreen des Geräts mit allerlei Apps und Spezialkanälen zu. Fernsehen inklusive HbbTV und das Umschalten auf externe Signalquellen gelingen in diesem Betriebszustand. Ein Google-Konto ist nötig, um zusätzliche Apps installieren zu können.
Einen Spezialfall stellt die App „Smart TV-Sammlung“ dar. Sie ist eine Art App-Store in einer App für spezielle Philips-Inhalte. Wer auf die dafür geforderte AGB-Zustimmung des Geräteherstellers TPV eingeht, wird in den Privatsphäreneinstellungen über die legitime Grundlage dafür belehrt, kann aber immerhin ablehnen, Statistiken zu übermitteln. Mit im Boot ist auch Samba TV, dessen Auskunftsbegehren man nicht zuzustimmen braucht. Das Angebot, ein Philips-Konto einzurichten, lässt sich ebenfalls ausschlagen.
Unsere Konfiguration: Installation mit Google-Konto, ohne dem Gerät zu erlauben, Informationen zu den Apps zu speichern. Standorterfassung und Senden von Fehlerberichten abgelehnt, die AGBs von TPV abgelehnt, Sprachunterstützung unkonfiguriert gelassen. HbbTV datenschutzfreundlicher eingestellt.
Auch das Philips-Gerät fällt mit einigen unverschlüsselten HTTP-Zugriffen auf. Die dienen unter anderem dazu, ein Zertifikat herunterzuladen und APK-Dateien (Installationspakete für Android-Apps) zu beschaffen. Letztere kommen von zeasn.tv. Unter anderem stecken darin Apps für die Mediatheken von ARD und Arte. Es gilt das Gleiche wie schon bei LG: Das ist ein Sicherheitsrisiko.
Das unverschlüsselt übertragene Zertifikat hat auch ein spezielles Geschmäckle: In der HTTP-Anfrage wandert die weltweit eindeutige MAC-Adresse der Netzwerkkarte zu Philips – ob das verwerflich ist, darüber gibt es verschiedene Rechtsauffassungen. Trackingdiensten zugeschriebene Zugriffe gehen beim Philips-TV sämtlich auf das Konto von Netflix. Außerdem konnten wir Zugriffe auf Werbeserver von Google registrieren. Philips ist der einzige Hersteller, den wir dabei ertappten, auch mal mit Facebook zu plaudern.
Metz Blue Roku-TV
Das Roku-TV von Metz Blue geht ohne eine Anmeldung bei Roku rudimentär ins Netz, installiert die klassischen TV-Sender und stellt HDMI bereit. HbbTV funktioniert dann. Gut: Auf dem dann stark reduzierten Homescreen werden die HDMI-Eingänge gelistet, aber keine (ohnehin nicht funktionierenden) Apps. Bei einer regulären Installation heißt es lapidar „Mit der Erstellung eines Roku-Kontos akzeptieren Sie die Bedingungen“. Im dann auf dem Smartphone oder PC ablaufenden Konfigurationsprozess kann man wenig ablehnen, das erledigt man später in den Einstellungen.
Unsere Konfiguration: Einrichtung mit einem Roku-Konto. Personalisierte Werbung abgelehnt und nach der Installation erneut „Einstellungen/Datenschutz/Werbung/Anzeigen personalisieren“ deaktiviert, Nutzung von Spracheingaben zur Verbesserung abgelehnt, Auswertung der Spracherkennung zur Verbesserung abgelehnt, HbbTV-Tracking und -Cookies deaktiviert in den Einstellungen für den Live-TV-Eingang.
Beim Einrichten am Mobiltelefon oder PC stellt das Roku-TV von allen die wenigsten DNS-Anfragen. Es überträgt wie das LG-Gerät vergleichsweise geringe Datenmengen. Das schlägt sich auch in der Anzahl der Server nieder, mit denen es spricht. Das sind im Wesentlichen solche, die dem Namen nach für Roku betrieben werden. Roku verschmäht offenbar IPv6, wir haben nur IPv4-Verkehr registriert. Das ist in der heutigen Zeit ungewöhnlich.
Auch dieses Smart TV empfängt unverschlüsselte HTTP-Daten, wobei das keine kritischen Daten wie Zertifikate oder Installationspakete waren, sondern nur Elemente der Bedienoberfläche, die wohl Manipulationen erlauben, etwa das Theme und das Boot-Logo. Die meisten Tracking-Funde konnten wir namentlich Roku-Diensten zuordnen, einige wenige auch Netflix. Veraltete Verschlüsselungsmethoden verwendet Roku nicht.
Samsung TV mit Tizen
Umgeht man bei der Installation die Zustimmung zu Geschäftsbedingungen und den „Smart Hub-Datenschutzhinweis“, wird aus dem Smart TV von Samsung ein dummes Display mit TV-Tuner, HbbTV-Support und HDMI-Ports. Um Apps installieren und nutzen zu können, muss man den genannten Bedingungen zustimmen. Dabei handelt man sich Samsungs TV Plus mit unübersichtlichen Datenschutzbestimmungen ein; diese Funktion lässt sich im Homescreen deaktivieren.
Unsere Konfiguration: kein Samsung-Konto konfiguriert, Geschäftsbedingungen und „Smart Hub“-Datenschutzhinweis akzeptiert, Anzeigeninformationsdienste und interessenbezogene Werbung abgelehnt belassen, Sprachassistent übersprungen. Danach im Menü Senderempfang/Experteneinstellungen die Optionen „HbbTV: Do Not Track“ und „Privates Surfen“ aktiviert.
Das Samsung-Gerät fällt mit vielen DNS-Anfragen aus dem Rahmen. Wenn wir beim Einrichten nicht jegliche Zustimmung verweigerten, zählten wir um die 2000 Abfragen – wobei dabei ein Hostname tausendfach abgefragt wird (tvpnlogopeu.samsungcloud.tv). Wir konnten das Verhalten auch bei anderen Samsung-Modellen beobachten. Der Hersteller konnte das Problem bis Redaktionsschluss nicht erklären.
Sieht man von diesem Fauxpas ab, zeigt sich der Samsung-Fernseher unauffällig. Die Anzahl der kontaktierten Server, deren Geolokation und die Datenmengen bleiben im üblichen Rahmen. Werbung und Tracking zeigen sämtlich auf Samsung-Server, von Netflix abgesehen. Unverschlüsselte Zugriffe auf sky.com fallen auf. Zugriffe mit veralteten Verschlüsselungsmethoden leistet sich das Gerät nicht. Das schafft sonst nur noch Roku beim Metz Blue.
Sony Google TV
Installiert man den Sony-Fernseher als „Basic TV“, erhält man ein Display mit TV-Empfang inklusive HbbTV, sofern man „Interaktive Anwendungen“ zulässt. Außerdem stehen HDMI-Ports und wenige vorinstallierte Apps unter anderem für Netflix, Amazon Prime und YouTube zur Verfügung. Weitere lassen sich nicht hinzufügen. Wählt man im Installationsprozess stattdessen „Google TV“, wird der Fernseher smart und man muss sich mit allerlei Nachfragen herumschlagen.
Unsere Konfiguration: als „Google TV“ einrichten. Unter Einstellung/Kanäle „Interaktive Anwendung“ aktiviert, „Permanenter Speicher“ abgelehnt, „Cookies von Dritten blockieren“ ausgewählt, „Nicht verfolgen“ aktiviert, „Samba Interactive TV“ abgelehnt, Standort und Fehlerbericht abgelehnt, keine Infos zu den Apps für Google Assistant speichern, Sprachinformationen und interessenbezogene Werbung abgelehnt, kein Sony-Konto, „Privates Surfen“ aktiviert.
Die größte Plaudertasche im Test ist eindeutig das Sony-Gerät. Es kontaktiert mehr Server und schaufelt mehr Daten hin und her als alle anderen. Auch bei der Anzahl der kontaktierten Werbe- oder Trackingdienste fällt Sony negativ auf: Nicht nur die eigenen Dienste spricht das TV an, sondern auch DoubleClick, Netflix und Samba TV – obwohl wir Samba TV explizit nicht erlaubt hatten.
In den unverschlüsselt übertragenen Daten findet sich ein Link in den Play Store; das könnte man ausnutzen, um dem Gerät etwas unterzujubeln. Bei unseren Experimenten, wie viel Netzwerkverkehr wir im abgeschalteten Zustand registrieren können, stach nur Sony heraus: Das Gerät gab keine Ruhe, annoncierte seine Dienste lokal und sprach auch regelmäßig bei der für Android-/Google-Geräte typischen Verfügbarkeitsprüfung vor. Das könnte auch den mitunter hohen Energiebedarf im Standby erklären.
Fazit
Mit den zunehmenden und erklärten Aktivitäten der TV-Hersteller, Inhalte zu erkennen und Empfehlungen auszusprechen, hatten wir erwartet, im Netzwerkverkehr mehr und deutlichere Hinweise darauf zu finden. Doch selbst wenn wir auf den Geräten die TV-Bouquets der Hersteller aktivierten, etwa Samsung TV Plus, LG Channels oder Amazons Prime Channels, fanden wir keine verwertbaren Hinweise auf verstärkte Tracking-Aktivitäten.
Das ist leider auch der Tatsache geschuldet, dass solche Verbindungen verschlüsselt erfolgen und damit nicht einsehbar sind. Deshalb bleibt kritischen Nutzern nur das Filtern, wenn sie nicht ganz auf die Vorzüge eines Smart TV verzichten wollen: Pi-hole oder AdGuard Home mit den Filterlisten (siehe ct.de/ynw6) in Stellung bringen und so lange Ausnahmen definieren, bis das TV-Erlebnis zu den eigenen Ansprüchen passt. (ps@ct.de)
Verwendete Blacklisten, ntopng, Pi-hole & Co.: ct.de/ynw6