• Home
  • Digital
  • Elektronik
  • Viele Saugroboter spionieren ihre Besitzer aus


Schlagzeilen
AlleAlle anzeigen

Symbolbild f├╝r einen TextSch├╝sse vor Nachtclub in Oslo ÔÇô ToteSymbolbild f├╝r einen TextAuto rast in GeburtstagsfeierSymbolbild f├╝r einen TextOlympische Kernsportart vor dem AusSymbolbild f├╝r einen TextPolizist bei Drogeneinsatz schwer verletztSymbolbild f├╝r einen TextGiffey f├Ąllt auf falschen Klitschko reinSymbolbild f├╝r ein VideoRiesige Wasserhose rast auf Urlaubsort zuSymbolbild f├╝r einen TextFrankfurt verpflichtet Wunschst├╝rmerSymbolbild f├╝r einen TextTouristin: "Grausame" Behandlung auf MaltaSymbolbild f├╝r einen TextTiefe Einblicke beim FilmpreisSymbolbild f├╝r einen TextNiederl├Ąndische Royals in SommerlooksSymbolbild f├╝r einen TextBetrunkene aus Flugzeug geworfenSymbolbild f├╝r einen Watson TeaserDFB-Spielerin offen ├╝ber KrebserkrankungSymbolbild f├╝r einen TextPer Zug durch Deutschland - jetzt spielen

Wenn der Saugroboter zum Sicherheitsrisiko wird

t-online, AV-Test

Aktualisiert am 30.01.2019Lesedauer: 7 Min.
Saugroboter von iRobot auf der IFA 2018: Praktische Haushaltshelfer oder Spion?
Saugroboter von iRobot auf der IFA 2018: Praktische Haushaltshelfer oder Spion? (Quelle: imago-images-bilder)
Facebook LogoTwitter LogoPinterest LogoWhatsApp Logo

Saugroboter sind praktisch: Sie ├╝bernehmen ungeliebte Putzarbeit und sparen Zeit. Und sie stecken voller Sensoren, die Infos ├╝ber ihren Arbeitsbereich sammeln. Einige Ger├Ąte geben diese privaten Daten heimlich an Dritte weiter.

Immer mehr Putzmuffel lassen sich die eint├Ânige Arbeit des Staubsaugens von Saugrobotern abnehmen. Allerdings verf├╝gen fast alle Premium-Sauger ├╝ber umfangreiche Online-Funktionen, die eine st├Ąndige Internetverbindung erfordern.

Die "Internet der Dinge"-Experten von "AV-Test" ├╝berpr├╝ften die Sicherheit und Datenschutz bei vier aktuellen Premium-Ger├Ąten. Im Test wurde untersucht, ob die digitalen Putzhilfen ihre Besitzer ausspionieren oder deren Privatsph├Ąre unangetastet lassen.

Vom Nerd-Spielzeug zur smarten Hilfe

Viele Ger├Ąte punkten mit ordentlichen Reinigungsergebnissen, guter Laufleistung und vielen Features. Jeder f├╝nfte weltweit ├╝ber Amazon verkaufte Staubsauger ist heute ein Roboter, Tendenz stark steigend. Und nicht nur online legen Akzeptanz und Verk├Ąufe der smarten Putzhilfen stark zu. Laut einer aktuellen Studie des Digitalverbands Bitkom planen 15 Prozent der deutschen Haushalte in diesem Jahr die Anschaffung eines solchen Haushaltsroboters, im Vorjahr waren es noch gut die H├Ąlfte (8 Prozent).

AV-Test nahm die Sicherheit der internen WLAN-Kommunikation, den Datenverkehr angebundener Cloud-Dienste, die Sicherheit der zugeh├Ârigen Apps sowie die Datenschutzbestimmungen der folgenden vier High-End-Sauger unter die Lupe:

  • Dyson: 360 Eye
  • iRobot: Roomba 980
  • Vorwerk: Kobold VR300
  • Xiaomi: Roborock S55

Vollgestopft mit Sensoren

Alle im Test ├╝berpr├╝ften Premium-Modelle besitzen umfangreiche Sensorik. Im Gegensatz zu deutlich g├╝nstigeren Ger├Ąten werden den High-End-Saugern dadurch gr├╝ndlichere und effizientere Reinigungsfahrten erm├Âglicht. Ultraschall-, Infrarot- und Lasersensoren sowie Kameras sorgen f├╝r bessere Orientierung, erm├Âglichen zielgerichtete Navigation und vermeiden Kratzer an M├Âbeln durch rechtzeitiges Abbremsen.

ANZEIGEN
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Meistgelesen
Corona-Sommerwelle? Virologe warnt vor ganz anderem Problem


Allerdings erfassen die Ger├Ąte auch deutlich mehr Details des Einsatzgebiets als g├╝nstigere Ger├Ąte, die nach dem Chaos-Prinzip so lange geradeaus fahren, bis ihr Ber├╝hrungssensor ("Bumper") sie nach Kollision mit einer Wand oder einem Gegenstand zu einem Richtungswechsel zwingt.

Alle Sauger im Test erstellen zur Navigation mehr oder weniger detaillierte Karten und stellen diese ihren Besitzern per App zur Verf├╝gung. Karten und andere Daten gelangen bei den getesteten Ger├Ąten ├╝ber mobile Applikationen auf dem Smartphone zur Cloud des Herstellers. ├ťber diese Applikationen erfolgen bei einigen Modellen auch die Einrichtung des Roboters sowie die Steuerung des Ger├Ątes. Daf├╝r klinken sich die Roboter ins heimische WLAN ein und lassen sich so beispielsweise von unterwegs starten. Statusmeldungen setzen die Sauger ebenfalls ├╝ber diesen Kanal ab.

Ein genaues Bild der Wohnung

Die von den Robotern erstellten "Cleaning Maps" zeichneten im Test zum Teil sehr genaue Pl├Ąne der Wohnung auf. Darin wurden zus├Ątzlich zur Raumaufteilung auch T├╝ren und Fenster ersichtlich. Da die Roboter die Karten f├╝r jeden Reinigungsauftrag neu erstellen und w├Ąhrend der Fahrt anpassen, nehmen sie auch Ver├Ąnderungen in der Wohnung wahr. Etwa, wenn Reisekoffer im Flur nicht mehr als Hindernis im Weg stehen.

Entsprechend wichtig ist die Kommunikationssicherheit der lokalen Datenverbindungen zwischen Roboter und App ├╝ber WLAN sowie der externen Internetverbindung zwischen Cloud-Dienst und App.

Lokale Kommunikation kaum kritisch

Der Kobold VR300 von Vorwerk verzichtet auf lokale Kommunikation und ist auf diesem Wege entsprechend unangreifbar. Den Kommunikationskanal zwischen Roomba 980 und App sch├╝tzt das Verschl├╝sselungsprotokoll TLS 1.2. Die Ersteinrichtung des iRobot erfolgt zwar ├╝ber eine manuell zu aktivierende WLAN-Verbindung, die nicht passwortgesch├╝tzt ist. Allerdings ist auch hier die Kommunikation komplett TLS 1.2 verschl├╝sselt. Der 360 Eye erledigt den Datenaustausch mit der App ├╝ber das offene Nachrichtenprotokoll f├╝r Machine-to-Machine-Kommunikation MQTT. F├╝r ein solches Protokoll steht ebenfalls die TLS-Verschl├╝sselung zur Verf├╝gung, jedoch setzt Dyson diese aktuell nicht f├╝r die lokale Kommunikation seines Flaggschiffs ein und bietet somit zumindest eine theoretisch nutzbare Schwachstelle f├╝r einen Angreifer im lokalen WLAN. ├ähnliche Schw├Ąchen beobachteten die Tester bei der Daten├╝bertragung des chinesischen Premium-Saugers Roborock S55. Dieser verschickt seine Daten unverschl├╝sselt ├╝ber das Netzwerkprotokoll UDP und offenbart Angreifern vor Ort ebenfalls eine offene Flanke.

Meist gut gesch├╝tzte externe Kommunikation

Bei der f├╝r Angriffe deutlich relevanteren externen Kommunikation bewiesen im Testlabor drei von vier Testkandidaten ein ordentliches Abwehrverhalten. Sowohl der Dyson, der iRobot als auch der Kobold von Vorwerk setzen f├╝r die Kommunikation zu angebundenen Cloud-Diensten sowie f├╝r den Datenaustausch zwischen Cloud und App auf die sichere TLS-Verschl├╝sselung in Version 1.2. Beim Roborock stie├čen die Tester dagegen auf teilweise unverschl├╝sselten Funkverkehr. Der Xiaomi-Sauger nutzt zur externen Kommunikation auch teils unverschl├╝sselte Verbindungen. Diese lassen sich abfangen und manipulieren, etwa im Rahmen einer "Man-in-the-Middle"-Attacke. Zudem zeigten sich auch Angriffsm├Âglichkeiten bei TLS-verschl├╝sselten Verbindungen. Aufgrund unzureichender Pr├╝fung von Zertifikaten bei verschl├╝sselten Verbindungen konnten die Tester Datenstr├Âme manipulieren und deren Inhalte mitlesen.

Der Roborock wird, wie alle anderen Smart Home-Produkte von Xiaomi, aus einer zentralen App gesteuert. Somit erhalten Angreifer m├Âglicherweise nicht nur Zugriff auf den Saugroboter, sondern auch auf kritischere Smart Home-Komponenten des Herstellers. Das k├Ânnen Rauchmelder, Fenster-T├╝r-Kontakte oder auch IP-Kameras sein. So w├Ąre es etwa m├Âglich, den Brandschutz einer Wohnung zu sabotieren, Bewohner per Kamera auszuspionieren oder den Einbruchsschutz abzuschalten.

Die Steuerung aller Smart Home-Komponenten aus einer App ist zwar extrem komfortabel, dies gilt aber nicht nur f├╝r Nutzer, sondern auch f├╝r Angreifer. Der chinesische Smart Home-Gigant sollte folglich darauf bedacht sein, die vorhandenen Sicherheitsl├╝cken in der Datenkommunikation zu beseitigen.

Xiaomi sendet Nutzerdaten an Facebook, AirBnB und Co.

Auch in der Xiaomi-App stie├čen die Tester auf kritische Sicherheitsm├Ąngel: Zum einen r├Ąumt sich der Hersteller f├╝r seine App auf dem Smartphone eine Vielzahl von Zugriffsrechten ein, bei denen die Notwendigkeit nicht immer direkt ersichtlich ist. Dazu geh├Ârt beispielsweise der Zugriff auf sicherheitskritische Systemeinstellungen des Smartphones.

Zum anderen ist die Xiaomi-App nicht nur extrem neugierig, sondern enth├Ąlt auch eine Vielzahl an Drittanbieter-Modulen. So kann die App erfasste Nutzungsdaten beispielsweise an Facebook, Alibaba, den zugeh├Ârigen Finanzdienstleister Alipay, die Vermietungsplattform Airbnb, den chinesischen Handelsriesen Tencent und andere Onlinedienste senden. Im Test zeigte sich zudem, dass die App sensible Informationen nicht ausreichend sch├╝tzt. So konnten die Tester auf gerooteten Smartphones sensible Informationen aus dem App-Ordner auslesen.

Nicht nur Xiaomi und Ikea werden zuk├╝nftig Daten von Smart Home-Produkten austauschen. Auch iRobot k├╝ndigte Ende Oktober 2018 eine entsprechende Partnerschaft mit Google an. Durch die Auswertung der von den Robotern erstellten "Cleaning Maps" soll Kunden laut Pressemitteilung die Einrichtung und Nutzung smarter Ger├Ąte erleichtert werden. So sollen die Sauger per Google Assistant-Sprachbefehl etwa nur bestimmte R├Ąume s├Ąubern. Und Nutzer sollen vernetzte Lichtsysteme und andere Smart Home-Komponenten f├╝r einzelne Wohnbereiche steuern k├Ânnen. Ob die Kunden die Begeisterung der Hersteller f├╝r den Datentausch teilen, darf bezweifelt werden. In einem Interview mit "The Verge" versprach Googles Smart Home-Chefin Michele Chambers Turner, die iRobot-Karten w├╝rden nicht mit anderen von Google erfassten Daten zusammengef├╝hrt.

Auch die anderen Testkandidaten werben mit umfangreichen Funktionen, die die Integration anderer Plattformen erfordern, wie etwa die Steuerung durch Amazons Sprachassistenten Alexa. Inwieweit sich iRobot und dessen neuer Partner Google als auch die anderen Anbieter an gegebene Versprechen halten, bleibt abzuwarten. Nutzer k├Ânnen dies kaum herausbekommen.

Loading...
Loading...
Loading...

Datenschutz: Dyson und Vorwerk aufger├Ąumt

AV-Test pr├╝fte auch, welche Datennutzungsrechte sich Dyson, iRobot, Vorwerk und Xiaomi einr├Ąumen. Vorbildlich zeigte sich dabei Vorwerk: In der Datenschutzerkl├Ąrung des Kobold VR300 verspricht der deutsche Hersteller nur Daten zu erfassen, die auch f├╝r den Betrieb des Roboters notwendig sind. Daten aus diesem Bestand, die f├╝r Statistiken und Produktverbesserung genutzt werden, will Vorwerk nur anonymisiert nutzen.

Der Hersteller verarbeitet solche Daten an seinen Hauptstandorten Deutschland und der Schweiz sowie in den USA, wo der Sauger von US-Hersteller Neato in Lizenz produziert wird. Vorwerk garantiert in der Datenschutzerkl├Ąrung aber f├╝r alle Standorte die Einhaltung von EU-Datenschutzstandards. ├ähnlich lobenswert zeigte sich die Datenschutzerkl├Ąrung von Dyson. In einer leicht verst├Ąndlichen Kurzfassung listet der Hersteller die wichtigsten Punkte auf, zu jedem werden ausf├╝hrliche Informationen zur Verf├╝gung gestellt. Auch Dyson verspricht die Reduktion auf notwendige Daten und anonymisierte Nutzung.

Elf Seiten kryptische Datenschutzerkl├Ąrung

Die Datenschutzerkl├Ąrung von iRobot ist wenig ├╝bersichtlich, sehr lang und sehr detailliert: Durch elf kleingedruckte Seiten mit insgesamt fast 7.000 W├Ârtern mussten sich die Tester qu├Ąlen. Der Text ist dabei schwer verst├Ąndlich und es f├Ąllt auf, dass an keiner Stelle von einer anonymisierten Datennutzung die Rede ist. Immerhin weist der Hersteller auf die Zusammenarbeit mit anderen Unternehmen wie Google hin. Zudem r├Ąumt sich iRobot Datennutzungsrechte ein, die f├╝r den Einsatz eines Saugroboters unn├Âtig sind. Ein Zitat aus der Datenschutzrichtlinie zur Erfassung von personenbezogenen Daten: "Demographische und Lifestyle-Informationen, wie Ihr Alter, Geburtsdatum, Geschlecht, Gehalt oder sonstiges Einkommen, Freizeit und andere Interessen, Anzahl der Kinder und Anzahl der Haustiere, Informationen ├╝ber Ihr WohnumfeldÔÇť. Solche Formulierungen wirken nicht vertrauenserweckend.

F├╝r den "Roborock" stellt Xiaomi im Google Playstore keine eigene Datenschutzerkl├Ąrung zu Verf├╝gung. Stattdessen wird auf die Bestimmungen der Hersteller-Website verwiesen. Nach Installation der App erhalten Kunden aber Informationen ├╝ber die Verwendung von Daten, die beim Einsatz des Roborocks anfallen. So werden erfasste Kundeninformationen in der gesamten Xiaomi-Gruppe zu Vermarktungszwecken genutzt. Neben dem st├Ąndigen Datenstrom zu Drittanbietern w├Ąhrend der im Test ├╝berpr├╝ften Saugdurchl├Ąufe, macht auch die Datenschutzerkl├Ąrung des Herstellers keine Hoffnung auf die Einhaltung der Privatsph├Ąre. Informationen ├╝ber den Datenaustausch mit Partnern wie Ikea, die von Roborock aufgezeichnete Wohnungspl├Ąne etwa zur Werbung f├╝r ihr M├Âbelsortiment nutzen k├Ânnten, finden sich in der Datenschutzerkl├Ąrung ebenfalls nicht.

(Quelle: AV-Test)

Fazit: Viel Licht und Schatten

Zwei Premium-Sauger ├╝berzeugten durch sichere Daten├╝bertragung und gut gesch├╝tzte Apps: iRobot und Vorwerk. Die Datenschutzerkl├Ąrungen von Vorwerk und Dyson erf├╝llten alle Informationsanspr├╝che der Tester. Auch wenn sich iRobot in der Erkl├Ąrung eine umfangreiche und f├╝r den Betrieb des Ger├Ątes sicherlich nicht notwendige Datenerfassung erlaubt, haben Kunden immerhin die M├Âglichkeit, fr├╝hzeitig davon Kenntnis zu nehmen.

Beliebteste Videos
1
Seltener gemeinsamer Auftritt: Schweigh├Âfer und Ruby O. Fee witzeln vor der t-online-Kamera
Symbolbild f├╝r ein Video

Alle VideosPfeil nach rechts
  • Anzeige: Hier den iRobot Roomba ├╝ber Amazon shoppen

Insgesamt verdienen sich iRobots Roomba 980 sowie Vorwerks Kobold VR300 im Kurztest die H├Âchstwertung mit drei von drei Sternen. Dysons 360 Eye erh├Ąlt aufgrund teilweise unverschl├╝sselter lokaler Kommunikation nur zwei von drei erreichbaren Sternen.


Aufgrund teilweise grober Sicherheitsm├Ąngel bei der Daten├╝bertragung, der Ausleitung von Daten an Dritte, nicht nachvollziehbarem Datendurst der App sowie deutlichem Nachbesserungsbedarf bei der Erkl├Ąrung zum Umgang mit Kundendaten erh├Ąlt der "Roborock S55" nur einen von drei m├Âglichen Sternen. Unter dem Aspekt der Datensicherheit und hinsichtlich des Schutzes der Privatsph├Ąre kann das AV-TEST Institut diesen Saugroboter nicht empfehlen.

Hinweis: "AV-Test" stellt t-online.de diesen Test kostenlos im Rahmen einer Kooperation zur Verf├╝gung.

Facebook LogoTwitter LogoPinterest LogoWhatsApp Logo
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingANZEIGEN

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
AmazonFacebookGoogle Inc.IKEAXiaomi

t-online - Nachrichten f├╝r Deutschland
t-online folgen
FacebookTwitterInstagram

Das Unternehmen
Str├Âer Digital PublishingJobs & KarrierePresseWerbenKontaktImpressumDatenschutzhinweiseDatenschutzhinweise (PUR)Jugendschutz



Telekom
Telekom Produkte & Services
KundencenterFreemailSicherheitspaketVertragsverl├Ąngerung FestnetzVertragsverl├Ąngerung MobilfunkHilfeFrag Magenta


TelekomCo2 Neutrale Website