Spion in der Wohnung Wenn der Saugroboter zum Sicherheitsrisiko wird
Saugroboter sind praktisch: Sie übernehmen ungeliebte Putzarbeit und sparen Zeit. Und sie stecken voller Sensoren, die Infos über ihren Arbeitsbereich sammeln. Einige Geräte geben diese privaten Daten heimlich an Dritte weiter.
Immer mehr Putzmuffel lassen sich die eintönige Arbeit des Staubsaugens von Saugrobotern abnehmen. Allerdings verfügen fast alle Premium-Sauger über umfangreiche Online-Funktionen, die eine ständige Internetverbindung erfordern.
Die "Internet der Dinge"-Experten von "AV-Test" überprüften die Sicherheit und Datenschutz bei vier aktuellen Premium-Geräten. Im Test wurde untersucht, ob die digitalen Putzhilfen ihre Besitzer ausspionieren oder deren Privatsphäre unangetastet lassen.
Vom Nerd-Spielzeug zur smarten Hilfe
Viele Geräte punkten mit ordentlichen Reinigungsergebnissen, guter Laufleistung und vielen Features. Jeder fünfte weltweit über Amazon verkaufte Staubsauger ist heute ein Roboter, Tendenz stark steigend. Und nicht nur online legen Akzeptanz und Verkäufe der smarten Putzhilfen stark zu. Laut einer aktuellen Studie des Digitalverbands Bitkom planen 15 Prozent der deutschen Haushalte in diesem Jahr die Anschaffung eines solchen Haushaltsroboters, im Vorjahr waren es noch gut die Hälfte (8 Prozent).
AV-Test nahm die Sicherheit der internen WLAN-Kommunikation, den Datenverkehr angebundener Cloud-Dienste, die Sicherheit der zugehörigen Apps sowie die Datenschutzbestimmungen der folgenden vier High-End-Sauger unter die Lupe:
- Dyson: 360 Eye
- iRobot: Roomba 980
- Vorwerk: Kobold VR300
- Xiaomi: Roborock S55
Vollgestopft mit Sensoren
Alle im Test überprüften Premium-Modelle besitzen umfangreiche Sensorik. Im Gegensatz zu deutlich günstigeren Geräten werden den High-End-Saugern dadurch gründlichere und effizientere Reinigungsfahrten ermöglicht. Ultraschall-, Infrarot- und Lasersensoren sowie Kameras sorgen für bessere Orientierung, ermöglichen zielgerichtete Navigation und vermeiden Kratzer an Möbeln durch rechtzeitiges Abbremsen.
Allerdings erfassen die Geräte auch deutlich mehr Details des Einsatzgebiets als günstigere Geräte, die nach dem Chaos-Prinzip so lange geradeaus fahren, bis ihr Berührungssensor ("Bumper") sie nach Kollision mit einer Wand oder einem Gegenstand zu einem Richtungswechsel zwingt.
Alle Sauger im Test erstellen zur Navigation mehr oder weniger detaillierte Karten und stellen diese ihren Besitzern per App zur Verfügung. Karten und andere Daten gelangen bei den getesteten Geräten über mobile Applikationen auf dem Smartphone zur Cloud des Herstellers. Über diese Applikationen erfolgen bei einigen Modellen auch die Einrichtung des Roboters sowie die Steuerung des Gerätes. Dafür klinken sich die Roboter ins heimische WLAN ein und lassen sich so beispielsweise von unterwegs starten. Statusmeldungen setzen die Sauger ebenfalls über diesen Kanal ab.
Ein genaues Bild der Wohnung
Die von den Robotern erstellten "Cleaning Maps" zeichneten im Test zum Teil sehr genaue Pläne der Wohnung auf. Darin wurden zusätzlich zur Raumaufteilung auch Türen und Fenster ersichtlich. Da die Roboter die Karten für jeden Reinigungsauftrag neu erstellen und während der Fahrt anpassen, nehmen sie auch Veränderungen in der Wohnung wahr. Etwa, wenn Reisekoffer im Flur nicht mehr als Hindernis im Weg stehen.
Entsprechend wichtig ist die Kommunikationssicherheit der lokalen Datenverbindungen zwischen Roboter und App über WLAN sowie der externen Internetverbindung zwischen Cloud-Dienst und App.
Lokale Kommunikation kaum kritisch
Der Kobold VR300 von Vorwerk verzichtet auf lokale Kommunikation und ist auf diesem Wege entsprechend unangreifbar. Den Kommunikationskanal zwischen Roomba 980 und App schützt das Verschlüsselungsprotokoll TLS 1.2. Die Ersteinrichtung des iRobot erfolgt zwar über eine manuell zu aktivierende WLAN-Verbindung, die nicht passwortgeschützt ist. Allerdings ist auch hier die Kommunikation komplett TLS 1.2 verschlüsselt. Der 360 Eye erledigt den Datenaustausch mit der App über das offene Nachrichtenprotokoll für Machine-to-Machine-Kommunikation MQTT. Für ein solches Protokoll steht ebenfalls die TLS-Verschlüsselung zur Verfügung, jedoch setzt Dyson diese aktuell nicht für die lokale Kommunikation seines Flaggschiffs ein und bietet somit zumindest eine theoretisch nutzbare Schwachstelle für einen Angreifer im lokalen WLAN. Ähnliche Schwächen beobachteten die Tester bei der Datenübertragung des chinesischen Premium-Saugers Roborock S55. Dieser verschickt seine Daten unverschlüsselt über das Netzwerkprotokoll UDP und offenbart Angreifern vor Ort ebenfalls eine offene Flanke.
Meist gut geschützte externe Kommunikation
Bei der für Angriffe deutlich relevanteren externen Kommunikation bewiesen im Testlabor drei von vier Testkandidaten ein ordentliches Abwehrverhalten. Sowohl der Dyson, der iRobot als auch der Kobold von Vorwerk setzen für die Kommunikation zu angebundenen Cloud-Diensten sowie für den Datenaustausch zwischen Cloud und App auf die sichere TLS-Verschlüsselung in Version 1.2. Beim Roborock stießen die Tester dagegen auf teilweise unverschlüsselten Funkverkehr. Der Xiaomi-Sauger nutzt zur externen Kommunikation auch teils unverschlüsselte Verbindungen. Diese lassen sich abfangen und manipulieren, etwa im Rahmen einer "Man-in-the-Middle"-Attacke. Zudem zeigten sich auch Angriffsmöglichkeiten bei TLS-verschlüsselten Verbindungen. Aufgrund unzureichender Prüfung von Zertifikaten bei verschlüsselten Verbindungen konnten die Tester Datenströme manipulieren und deren Inhalte mitlesen.
Der Roborock wird, wie alle anderen Smart Home-Produkte von Xiaomi, aus einer zentralen App gesteuert. Somit erhalten Angreifer möglicherweise nicht nur Zugriff auf den Saugroboter, sondern auch auf kritischere Smart Home-Komponenten des Herstellers. Das können Rauchmelder, Fenster-Tür-Kontakte oder auch IP-Kameras sein. So wäre es etwa möglich, den Brandschutz einer Wohnung zu sabotieren, Bewohner per Kamera auszuspionieren oder den Einbruchsschutz abzuschalten.
Die Steuerung aller Smart Home-Komponenten aus einer App ist zwar extrem komfortabel, dies gilt aber nicht nur für Nutzer, sondern auch für Angreifer. Der chinesische Smart Home-Gigant sollte folglich darauf bedacht sein, die vorhandenen Sicherheitslücken in der Datenkommunikation zu beseitigen.
Xiaomi sendet Nutzerdaten an Facebook, AirBnB und Co.
Auch in der Xiaomi-App stießen die Tester auf kritische Sicherheitsmängel: Zum einen räumt sich der Hersteller für seine App auf dem Smartphone eine Vielzahl von Zugriffsrechten ein, bei denen die Notwendigkeit nicht immer direkt ersichtlich ist. Dazu gehört beispielsweise der Zugriff auf sicherheitskritische Systemeinstellungen des Smartphones.
Zum anderen ist die Xiaomi-App nicht nur extrem neugierig, sondern enthält auch eine Vielzahl an Drittanbieter-Modulen. So kann die App erfasste Nutzungsdaten beispielsweise an Facebook, Alibaba, den zugehörigen Finanzdienstleister Alipay, die Vermietungsplattform Airbnb, den chinesischen Handelsriesen Tencent und andere Onlinedienste senden. Im Test zeigte sich zudem, dass die App sensible Informationen nicht ausreichend schützt. So konnten die Tester auf gerooteten Smartphones sensible Informationen aus dem App-Ordner auslesen.
Nicht nur Xiaomi und Ikea werden zukünftig Daten von Smart Home-Produkten austauschen. Auch iRobot kündigte Ende Oktober 2018 eine entsprechende Partnerschaft mit Google an. Durch die Auswertung der von den Robotern erstellten "Cleaning Maps" soll Kunden laut Pressemitteilung die Einrichtung und Nutzung smarter Geräte erleichtert werden. So sollen die Sauger per Google Assistant-Sprachbefehl etwa nur bestimmte Räume säubern. Und Nutzer sollen vernetzte Lichtsysteme und andere Smart Home-Komponenten für einzelne Wohnbereiche steuern können. Ob die Kunden die Begeisterung der Hersteller für den Datentausch teilen, darf bezweifelt werden. In einem Interview mit "The Verge" versprach Googles Smart Home-Chefin Michele Chambers Turner, die iRobot-Karten würden nicht mit anderen von Google erfassten Daten zusammengeführt.
Auch die anderen Testkandidaten werben mit umfangreichen Funktionen, die die Integration anderer Plattformen erfordern, wie etwa die Steuerung durch Amazons Sprachassistenten Alexa. Inwieweit sich iRobot und dessen neuer Partner Google als auch die anderen Anbieter an gegebene Versprechen halten, bleibt abzuwarten. Nutzer können dies kaum herausbekommen.
Datenschutz: Dyson und Vorwerk aufgeräumt
AV-Test prüfte auch, welche Datennutzungsrechte sich Dyson, iRobot, Vorwerk und Xiaomi einräumen. Vorbildlich zeigte sich dabei Vorwerk: In der Datenschutzerklärung des Kobold VR300 verspricht der deutsche Hersteller nur Daten zu erfassen, die auch für den Betrieb des Roboters notwendig sind. Daten aus diesem Bestand, die für Statistiken und Produktverbesserung genutzt werden, will Vorwerk nur anonymisiert nutzen.
Der Hersteller verarbeitet solche Daten an seinen Hauptstandorten Deutschland und der Schweiz sowie in den USA, wo der Sauger von US-Hersteller Neato in Lizenz produziert wird. Vorwerk garantiert in der Datenschutzerklärung aber für alle Standorte die Einhaltung von EU-Datenschutzstandards. Ähnlich lobenswert zeigte sich die Datenschutzerklärung von Dyson. In einer leicht verständlichen Kurzfassung listet der Hersteller die wichtigsten Punkte auf, zu jedem werden ausführliche Informationen zur Verfügung gestellt. Auch Dyson verspricht die Reduktion auf notwendige Daten und anonymisierte Nutzung.
Elf Seiten kryptische Datenschutzerklärung
Die Datenschutzerklärung von iRobot ist wenig übersichtlich, sehr lang und sehr detailliert: Durch elf kleingedruckte Seiten mit insgesamt fast 7.000 Wörtern mussten sich die Tester quälen. Der Text ist dabei schwer verständlich und es fällt auf, dass an keiner Stelle von einer anonymisierten Datennutzung die Rede ist. Immerhin weist der Hersteller auf die Zusammenarbeit mit anderen Unternehmen wie Google hin. Zudem räumt sich iRobot Datennutzungsrechte ein, die für den Einsatz eines Saugroboters unnötig sind. Ein Zitat aus der Datenschutzrichtlinie zur Erfassung von personenbezogenen Daten: "Demographische und Lifestyle-Informationen, wie Ihr Alter, Geburtsdatum, Geschlecht, Gehalt oder sonstiges Einkommen, Freizeit und andere Interessen, Anzahl der Kinder und Anzahl der Haustiere, Informationen über Ihr Wohnumfeld“. Solche Formulierungen wirken nicht vertrauenserweckend.
Für den "Roborock" stellt Xiaomi im Google Playstore keine eigene Datenschutzerklärung zu Verfügung. Stattdessen wird auf die Bestimmungen der Hersteller-Website verwiesen. Nach Installation der App erhalten Kunden aber Informationen über die Verwendung von Daten, die beim Einsatz des Roborocks anfallen. So werden erfasste Kundeninformationen in der gesamten Xiaomi-Gruppe zu Vermarktungszwecken genutzt. Neben dem ständigen Datenstrom zu Drittanbietern während der im Test überprüften Saugdurchläufe, macht auch die Datenschutzerklärung des Herstellers keine Hoffnung auf die Einhaltung der Privatsphäre. Informationen über den Datenaustausch mit Partnern wie Ikea, die von Roborock aufgezeichnete Wohnungspläne etwa zur Werbung für ihr Möbelsortiment nutzen könnten, finden sich in der Datenschutzerklärung ebenfalls nicht.
Fazit: Viel Licht und Schatten
Zwei Premium-Sauger überzeugten durch sichere Datenübertragung und gut geschützte Apps: iRobot und Vorwerk. Die Datenschutzerklärungen von Vorwerk und Dyson erfüllten alle Informationsansprüche der Tester. Auch wenn sich iRobot in der Erklärung eine umfangreiche und für den Betrieb des Gerätes sicherlich nicht notwendige Datenerfassung erlaubt, haben Kunden immerhin die Möglichkeit, frühzeitig davon Kenntnis zu nehmen.
Insgesamt verdienen sich iRobots Roomba 980 sowie Vorwerks Kobold VR300 im Kurztest die Höchstwertung mit drei von drei Sternen. Dysons 360 Eye erhält aufgrund teilweise unverschlüsselter lokaler Kommunikation nur zwei von drei erreichbaren Sternen.
- Saugroboter: So dumm kann smart sein
- Saugroboter von Aldi: Eher Haustier als Haushaltshilfe
Aufgrund teilweise grober Sicherheitsmängel bei der Datenübertragung, der Ausleitung von Daten an Dritte, nicht nachvollziehbarem Datendurst der App sowie deutlichem Nachbesserungsbedarf bei der Erklärung zum Umgang mit Kundendaten erhält der "Roborock S55" nur einen von drei möglichen Sternen. Unter dem Aspekt der Datensicherheit und hinsichtlich des Schutzes der Privatsphäre kann das AV-TEST Institut diesen Saugroboter nicht empfehlen.
Hinweis: "AV-Test" stellt t-online.de diesen Test kostenlos im Rahmen einer Kooperation zur Verfügung.
- Eigener Test und Recherche