Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerkl├Ąrung.
norwegian vacuum cleanernorwegian vacuum cleaner

Nein, das ist kein Smart-Staubsauger-Nutzer ... Bild: giphy

Review

Fachleute testen vier Saugroboter ÔÇô ein beliebtes Modell ist unsicher ­čś│

Sie ├╝bernehmen ungeliebte Putzarbeit und sparen Zeit. Und sie stecken voller Sensoren, die Infos sammeln. Fachleute haben vier Saugroboter von Dyson, iRobot, Vorwerk und Xiaomi auf ihre Datensicherheit hin getestet.



Ein Artikel von

T-Online

Immer mehr Putzmuffel lassen sich die eint├Ânige Arbeit des Staubsaugens von Saugrobotern abnehmen. Allerdings verf├╝gen fast alle Premium-Sauger ├╝ber umfangreiche Online-Funktionen, die eine st├Ąndige Internetverbindung erfordern.

Die ┬źInternet der Dinge┬╗-Experten von ┬źAV-Test┬╗ ├╝berpr├╝ften die Sicherheit und Datenschutz bei vier aktuellen Premium-Ger├Ąten. Im Test wurde untersucht, ob die digitalen Putzhilfen ihre Besitzer ausspionieren oder deren Privatsph├Ąre unangetastet lassen.

Vom Nerd-Spielzeug zur smarten Hilfe

Viele Ger├Ąte punkten mit ordentlichen Reinigungsergebnissen, guter Laufleistung und vielen Features. Jeder f├╝nfte weltweit ├╝ber Amazon verkaufte Staubsauger ist heute ein Roboter, Tendenz stark steigend.

Die Testmodelle

Dyson, 360 EyeiRobot, Roomba 980Vorwerk, Kobold VR300Xiaomi, Roborock S55 

Was wurde getestet?

AV-Test nahm bei den vier High-End-Saugern die folgenden Kriterien unter die Lupe:

Vollgestopft mit Sensoren

  1. Sicherheit der internen WLAN-Kommunikation,
  2. Datenverkehr angebundener Cloud-Dienste,
  3. Sicherheit der zugeh├Ârigen Apps, sowie
  4. die Datenschutzbestimmungen.

Alle im Test ├╝berpr├╝ften Premium-Modelle besitzen umfangreiche Sensorik. Im Gegensatz zu deutlich g├╝nstigeren Ger├Ąten werden den High-End-Saugern dadurch gr├╝ndlichere und effizientere Reinigungsfahrten erm├Âglicht. Ultraschall-, Infrarot- und Lasersensoren sowie Kameras sorgen f├╝r bessere Orientierung, erm├Âglichen zielgerichtete Navigation und vermeiden Kratzer an M├Âbeln durch rechtzeitiges Abbremsen.

Allerdings erfassen die Ger├Ąte auch deutlich mehr Details des Einsatzgebiets als g├╝nstigere Ger├Ąte, die nach dem Chaos-Prinzip so lange geradeaus fahren, bis ihr Ber├╝hrungssensor (┬źBumper┬╗) sie nach Kollision mit einer Wand oder einem Gegenstand zu einem Richtungswechsel zwingt.

Die Navigation der Saugroboter im Visier

Alle Sauger im Test erstellen zur Navigation mehr oder weniger detaillierte Karten und stellen diese ihren Besitzern per App zur Verf├╝gung. Karten und andere Daten gelangen bei den getesteten Ger├Ąten ├╝ber mobile Applikationen auf dem Smartphone zur Cloud des Herstellers. ├ťber diese Applikationen erfolgen bei einigen Modellen auch die Einrichtung des Roboters sowie die Steuerung des Ger├Ątes. Daf├╝r klinken sich die Roboter ins heimische WLAN ein und lassen sich so beispielsweise von unterwegs starten. Statusmeldungen setzen die Sauger ebenfalls ├╝ber diesen Kanal ab.

Bild

Der Roomba 980 von iRobot.

Ein genaues Bild der Wohnung

Die von den Robotern erstellten ┬źCleaning Maps┬╗ zeichneten im Test zum Teil sehr genaue Pl├Ąne der Wohnung auf. Darin wurden zus├Ątzlich zur Raumaufteilung auch T├╝ren und Fenster ersichtlich. Da die Roboter die Karten f├╝r jeden Reinigungsauftrag neu erstellen und w├Ąhrend der Fahrt anpassen, nehmen sie auch Ver├Ąnderungen in der Wohnung wahr. Etwa, wenn Reisekoffer im Flur nicht mehr als Hindernis im Weg stehen.

Entsprechend wichtig ist die Kommunikationssicherheit der lokalen Datenverbindungen zwischen Roboter und App ├╝ber WLAN sowie der externen Internetverbindung zwischen Cloud-Dienst und App.

Wie sicher ist die lokale Kommunikation der Ger├Ąte?

Lokale Kommunikation kaum kritisch

Der Kobold VR300 von Vorwerk verzichtet auf lokale Kommunikation und ist auf diesem Wege entsprechend unangreifbar.

Den Kommunikationskanal zwischen Roomba 980 und App sch├╝tzt das Verschl├╝sselungsprotokoll TLS 1.2. Die Ersteinrichtung des iRobot erfolgt zwar ├╝ber eine manuell zu aktivierende WLAN-Verbindung, die nicht passwortgesch├╝tzt ist. Allerdings ist auch hier die Kommunikation komplett TLS 1.2 verschl├╝sselt.

Der 360 Eye von Dyson erledigt den Datenaustausch mit der App ├╝ber das offene Nachrichtenprotokoll f├╝r Machine-to-Machine-Kommunikation MQTT. F├╝r ein solches Protokoll steht ebenfalls die TLS-Verschl├╝sselung zur Verf├╝gung, jedoch setzt Dyson diese aktuell nicht f├╝r die lokale Kommunikation seines Flaggschiffs ein und bietet somit zumindest eine theoretisch nutzbare Schwachstelle f├╝r einen Angreifer im lokalen WLAN.

Bild

Das Modell ┬ź360 Eye┬╗ von Dyson.

├ähnliche Schw├Ąchen beobachteten die Tester bei der Daten├╝bertragung des chinesischen Premium-Saugers Roborock S55 von Xiaomi. Dieser verschickt seine Daten unverschl├╝sselt ├╝ber das Netzwerkprotokoll UDP und offenbart Angreifern vor Ort ebenfalls eine offene Flanke.

Wie sicher ist die externe Daten├╝bertragung?

Meist gut gesch├╝tzte externe Kommunikation

Bei der f├╝r Angriffe deutlich relevanteren externen Kommunikation bewiesen im Testlabor drei von vier Testkandidaten ein ordentliches Abwehrverhalten. Sowohl der Dyson, der iRobot als auch der Kobold von Vorwerk setzen f├╝r die Kommunikation zu angebundenen Cloud-Diensten sowie f├╝r den Datenaustausch zwischen Cloud und App auf die sichere TLS-Verschl├╝sselung in Version 1.2.

Beim Roborock stiessen die Tester dagegen auf teilweise unverschl├╝sselten Funkverkehr. Der Xiaomi-Sauger nutzt zur externen Kommunikation auch teils unverschl├╝sselte Verbindungen. Diese lassen sich abfangen und manipulieren, etwa im Rahmen einer ┬źMan-in-the-Middle┬╗-Attacke. Zudem zeigten sich auch Angriffsm├Âglichkeiten bei TLS-verschl├╝sselten Verbindungen. Aufgrund unzureichender Pr├╝fung von Zertifikaten bei verschl├╝sselten Verbindungen konnten die Tester Datenstr├Âme manipulieren und deren Inhalte mitlesen.

Bild

Der Roborock S55 von Xiaomi.

Der Roborock wird, wie alle anderen Smart Home-Produkte von Xiaomi, aus einer zentralen App gesteuert. Somit erhalten Angreifer m├Âglicherweise nicht nur Zugriff auf den Saugroboter, sondern auch auf kritischere Smart Home-Komponenten des Herstellers. Das k├Ânnen Rauchmelder, Fenster-T├╝r-Kontakte oder auch IP-Kameras sein.

┬źSo w├Ąre es etwa m├Âglich, den Brandschutz einer Wohnung zu sabotieren, Bewohner per Kamera auszuspionieren oder den Einbruchsschutz abzuschalten.┬╗

Die Steuerung aller Smart Home-Komponenten aus einer App ist zwar extrem komfortabel, dies gilt aber nicht nur für Nutzer, sondern auch für Angreifer. Der chinesische Smart Home-Gigant sollte folglich darauf bedacht sein, die vorhandenen Sicherheitslücken in der Datenkommunikation zu beseitigen.  

Die Xiaomi-App weist kritische Sicherheitsm├Ąngel auf

Xiaomi sendet Nutzerdaten an Facebook, AirBnB und Co.

Auch in der Xiaomi-App stiessen die Tester auf kritische Sicherheitsm├Ąngel: Zum einen r├Ąumt sich der Hersteller f├╝r seine App auf dem Smartphone eine Vielzahl von Zugriffsrechten ein, bei denen die Notwendigkeit nicht immer direkt ersichtlich ist. Dazu geh├Ârt beispielsweise der Zugriff auf sicherheitskritische Systemeinstellungen des Smartphones.

Zum anderen ist die Xiaomi-App nicht nur extrem neugierig, sondern enth├Ąlt auch eine Vielzahl an Drittanbieter-Modulen. So kann die App erfasste Nutzungsdaten beispielsweise an Facebook, Alibaba, den zugeh├Ârigen Finanzdienstleister Alipay, die Vermietungsplattform Airbnb, den chinesischen Handelsriesen Tencent und andere Onlinedienste senden.

Im Test zeigte sich zudem, dass die App sensible Informationen nicht ausreichend sch├╝tzt. So konnten die Tester auf gerooteten Android-Smartphones sensible Informationen aus dem App-Ordner auslesen.

iRobot teilt Nutzerdaten mit Google

Nicht nur Xiaomi und Ikea werden zuk├╝nftig Daten von Smart Home-Produkten austauschen. Auch iRobot k├╝ndigte Ende Oktober 2018 eine entsprechende Partnerschaft mit Google an. Durch die Auswertung der von den Robotern erstellten ┬źCleaning Maps┬╗ soll Kunden laut Pressemitteilung die Einrichtung und Nutzung smarter Ger├Ąte erleichtert werden.

So sollen die Sauger per Google Assistant-Sprachbefehl etwa nur bestimmte R├Ąume s├Ąubern. Und Nutzer sollen vernetzte Lichtsysteme und andere Smart Home-Komponenten f├╝r einzelne Wohnbereiche steuern k├Ânnen.

Zur Auflockerung: Die Geschichte des Roboterstaubsaugers

Und damit weiter mit dem Review:

Ob die Kunden die Begeisterung der Hersteller f├╝r den Datentausch teilen, darf bezweifelt werden. In einem Interview mit The Verge versprach Googles Smart-Home-Chefin Michele Chambers Turner, die iRobot-Karten w├╝rden nicht mit anderen von Google erfassten Daten zusammengef├╝hrt.

Auch die anderen Testkandidaten werben mit umfangreichen Funktionen, die die Integration anderer Plattformen erfordern, wie etwa die Steuerung durch Amazons Sprachassistenten Alexa. Inwieweit sich iRobot und dessen neuer Partner Google als auch die anderen Anbieter an gegebene Versprechen halten, bleibt abzuwarten. Nutzer k├Ânnen dies kaum herausbekommen.

Das taugen die Datenschutz-Bestimmungen

Datenschutz: Dyson und Vorwerk aufger├Ąumt

AV-Test pr├╝fte auch, welche Datennutzungsrechte sich Dyson, iRobot, Vorwerk und Xiaomi einr├Ąumen.

Vorbildlich zeigte sich dabei Vorwerk: In der Datenschutzerkl├Ąrung des Kobold VR300 verspricht der deutsche Hersteller nur Daten zu erfassen, die auch f├╝r den Betrieb des Roboters notwendig sind. Daten aus diesem Bestand, die f├╝r Statistiken und Produktverbesserung genutzt werden, will Vorwerk nur anonymisiert nutzen.

Bild

Der Kobold VR300 von Vorwerk.

Der Hersteller verarbeitet solche Daten an seinen Hauptstandorten Deutschland und der Schweiz sowie in den USA, wo der Sauger von US-Hersteller Neato in Lizenz produziert wird. Vorwerk garantiert in der Datenschutzerkl├Ąrung aber f├╝r alle Standorte die Einhaltung von EU-Datenschutzstandards.

├ähnlich lobenswert zeigte sich die Datenschutzerkl├Ąrung von Dyson. In einer leicht verst├Ąndlichen Kurzfassung listet der Hersteller die wichtigsten Punkte auf, zu jedem werden ausf├╝hrliche Informationen zur Verf├╝gung gestellt. Auch Dyson verspricht die Reduktion auf notwendige Daten und anonymisierte Nutzung.

Die Datenschutzerkl├Ąrung von iRobot ist wenig ├╝bersichtlich, sehr lang und sehr detailliert: Durch elf kleingedruckte Seiten mit insgesamt fast 7'000 W├Ârtern mussten sich die Tester qu├Ąlen. Der Text ist dabei schwer verst├Ąndlich und es f├Ąllt auf, dass an keiner Stelle von einer anonymisierten Datennutzung die Rede ist. Immerhin weist der Hersteller auf die Zusammenarbeit mit anderen Unternehmen wie Google hin.

Zudem r├Ąumt sich iRobot Datennutzungsrechte ein, die f├╝r den Einsatz eines Saugroboters unn├Âtig sind. Ein Zitat aus der Datenschutzrichtlinie zur Erfassung von personenbezogenen Daten:

┬źDemographische und Lifestyle-Informationen, wie Ihr Alter, Geburtsdatum, Geschlecht, Gehalt oder sonstiges Einkommen, Freizeit und andere Interessen, Anzahl der Kinder und Anzahl der Haustiere, Informationen ├╝ber Ihr Wohnumfeld.┬╗

Solche Formulierungen wirken nicht vertrauenserweckend.

F├╝r den Roborock stellt Xiaomi im Google Playstore keine eigene Datenschutzerkl├Ąrung zu Verf├╝gung. Stattdessen wird auf die Bestimmungen der Hersteller-Website verwiesen. Nach Installation der App erhalten Kunden aber Informationen ├╝ber die Verwendung von Daten, die beim Einsatz des Roborocks anfallen. So werden erfasste Kundeninformationen in der gesamten Xiaomi-Gruppe zu Vermarktungszwecken genutzt.

Neben dem st├Ąndigen Datenstrom zu Drittanbietern w├Ąhrend der im Test ├╝berpr├╝ften Saugdurchl├Ąufe, macht auch die Datenschutzerkl├Ąrung des Herstellers keine Hoffnung auf die Einhaltung der Privatsph├Ąre. Informationen ├╝ber den Datenaustausch mit Partnern wie Ikea, die von Roborock aufgezeichnete Wohnungspl├Ąne etwa zur Werbung f├╝r ihr M├Âbelsortiment nutzen k├Ânnten, finden sich in der Datenschutzerkl├Ąrung ebenfalls nicht.

Das Fazit

Viel Licht und Schatten

Fazit: Viel Licht und Schatten 

Zwei Premium-Sauger ├╝berzeugten durch sichere Daten├╝bertragung und gut gesch├╝tzte Apps: iRobot und Vorwerk. Die Datenschutzerkl├Ąrungen von Vorwerk und Dyson erf├╝llten alle Informationsanspr├╝che der Tester. Auch wenn sich iRobot in der Erkl├Ąrung eine umfangreiche und f├╝r den Betrieb des Ger├Ątes sicherlich nicht notwendige Datenerfassung erlaubt, haben Kunden immerhin die M├Âglichkeit, fr├╝hzeitig davon Kenntnis zu nehmen.

Bild

Insgesamt verdienen sich iRobots Roomba 980 sowie Vorwerks Kobold VR300 im Kurztest die H├Âchstwertung mit drei von drei Sternen. Dysons 360 Eye erh├Ąlt aufgrund teilweise unverschl├╝sselter lokaler Kommunikation nur zwei von drei erreichbaren Sternen.

Saugroboter: So dumm kann smart sein Saugroboter von Aldi: Eher Haustier als Haushaltshilfe

Aufgrund teilweise grober Sicherheitsm├Ąngel bei der Daten├╝bertragung, der Ausleitung von Daten an Dritte, nicht nachvollziehbarem Datendurst der App sowie deutlichem Nachbesserungsbedarf bei der Erkl├Ąrung zum Umgang mit Kundendaten erh├Ąlt der ┬źRoborock S55┬╗ nur einen von drei m├Âglichen Sternen. Unter dem Aspekt der Datensicherheit und hinsichtlich des Schutzes der Privatsph├Ąre kann das AV-TEST Institut diesen Saugroboter nicht empfehlen.

In eigener Sache: ┬źAV-Test┬╗ stellt dem deutschen watson-Medienpartner t-online.de diesen Test kostenlos im Rahmen einer Kooperation zur Verf├╝gung.

Den kompletten Test gibts auf der Website von AV-Test: ┬źSaugroboter im Sicherheitscheck: vertrauensw├╝rdige Haushaltshilfe oder petzende Putze?┬╗

(t-online.de/hd)

So beurteilte watson k├╝rzlich zwei der besten Saugroboter

Mehr ├╝bers Smart Home, Alexa und Co.

Googles smarte Lautsprecher verstehen nun Schweizerdeutsch ÔÇô und das k├Ânnen sie sonst noch

Link zum Artikel

Xiaomi vs. Electrolux ÔÇô zwei der besten Roboter-Staubsauger im Duell

Link zum Artikel

Die wichtigste Frage bei jedem Roboter-Staubsauger: ├ťberf├Ąhrt er Kacke? ­čś│

Link zum Artikel

Fachleute testen vier Saugroboter ÔÇô ein beliebtes Modell ist unsicher ­čś│

Link zum Artikel

25 geniale Erfindungen, die beweisen, dass wir schon in der Zukunft leben

Link zum Artikel

Kevin ist noch einmal ┬źAllein zu Haus┬╗ ÔÇô aber diesmal mit Hightech ­čśť

Link zum Artikel

Ich habe mein Zuhause mit einer Videokamera ├╝berwacht ÔÇô ein Erfahrungsbericht

Link zum Artikel

Was man mit privaten Sicherheitskameras darf ÔÇô und warum die Cloud riskant ist

Link zum Artikel

Was du ├╝ber Smart Speaker wissen musst, aber nicht zu fragen traust

Link zum Artikel
Alle Artikel anzeigen
DANKE F├ťR DIE ÔÖą

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gef├Ąllt. Wie du vielleicht weisst, haben wir uns k├╝rzlich entschieden, bei watson keine Login-Pflicht einzuf├╝hren. Auch Bezahlschranken wird es bei uns keine geben. Wir m├Âchten m├Âglichst keine H├╝rden f├╝r den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen k├Ânnen. Falls du uns dennoch mit einem kleinen Betrag unterst├╝tzen willst, dann tu das doch hier.

W├╝rdest du gerne watson und Journalismus unterst├╝tzen?

(Du wirst zu stripe.com umgeleitet um die Zahlung abzuschliessen)

Nicht mehr anzeigen

Das k├Ânnte dich auch noch interessieren:

Abonniere unseren Newsletter

6
Bubble Weil wir die Kommentar-Debatten weiterhin pers├Ânlich moderieren m├Âchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank f├╝r dein Verst├Ąndnis!
6Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • I_am_Bruno 14.02.2019 15:03
    Highlight Highlight Ich war an Weihnachten bei Freunden, die einen Saugroboter haben. Er drehte sich mehr als eine halbe Stunde unkoordiniert auf einem Teppich im Wintergarten herum. Mit einem normalen Staubsauger h├Ątte das ganze gerade mal eine Minute gedauert.
    Aber: Hauptsache Gadget
    • p4trick 15.02.2019 16:51
      Highlight Highlight Der Witz ist dass der Roboter saugt wenn niemand zu Hause ist. Keiner tut sich dieses laute Saugen an wenn zu Hause. Das ist ja der Witz am Roboter er saugt wenn du nicht zu Hause bist und es ist egal ob es nun 1 oder 2 Stunden dauert wenn's sauber ist sobald ich nach Hause komme.
  • Blitzableiter 14.02.2019 14:28
    Highlight Highlight Alle wolle nur ├╝ber Saugleistung h├Âren. Nicht ├╝ber die Sicherheit. Ist wie beim Sex!
  • Nik G. 14.02.2019 11:05
    Highlight Highlight Und welcher Staubsauger saugt nun am besten? Nett das ihr ├╝ber die Sicherheit schreibt aber keinen Satz ├╝ber die Leistung, Saugkraft usw. macht ├╝berhaupt keinen Sinn. Ich kaufe doch nicht den Roboterstaubsauger anhand seiner Kommunikationssicherheit...
    • p4trick 15.02.2019 16:52
      Highlight Highlight Der Xiaomi dicht gefolgt von Roomba 980. Das sagen etliche andere tests
  • rundumeli 14.02.2019 10:18
    Highlight Highlight ach, gott ... und kein pieps ├╝ber die saugleistung ?!

Das steckt hinter den ┬źFacebook l├Ąsst Nutzer sehen, wer dein Profil besucht┬╗-Postings

In letzter Zeit h├Ąufen sich auf Facebook Statusbeitr├Ąge, die vorgaukeln, man k├Ânne mit einer ┬źexklusiven Funktion┬╗ sehen, wer das eigene Profil besucht habe. Das ist nat├╝rlich Quatsch. Diese Funktion gibt es auch im Jahr 2020 nicht. Es handelt sich um eine klassische Phishing-Falle. Anders gesagt: Kriminelle machen sich einmal mehr die angeborene Neugier des Menschen zunutze, um an die Passw├Ârter der Facebook-Profile zu gelangen.

Die Masche der Betr├╝ger ist fast so alt wie Facebook selbst, aber ÔÇŽ

Artikel lesen
Link zum Artikel