Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
norwegian vacuum cleanernorwegian vacuum cleaner

Nein, das ist kein Smart-Staubsauger-Nutzer ... Bild: giphy

Fachleute testen vier Saugroboter – ein beliebtes Modell ist unsicher 😳

Sie übernehmen ungeliebte Putzarbeit und sparen Zeit. Und sie stecken voller Sensoren, die Infos sammeln. Fachleute haben vier Saugroboter von Dyson, iRobot, Vorwerk und Xiaomi auf ihre Datensicherheit hin getestet.



Ein Artikel von

T-Online

Immer mehr Putzmuffel lassen sich die eintönige Arbeit des Staubsaugens von Saugrobotern abnehmen. Allerdings verfügen fast alle Premium-Sauger über umfangreiche Online-Funktionen, die eine ständige Internetverbindung erfordern.

Die «Internet der Dinge»-Experten von «AV-Test» überprüften die Sicherheit und Datenschutz bei vier aktuellen Premium-Geräten. Im Test wurde untersucht, ob die digitalen Putzhilfen ihre Besitzer ausspionieren oder deren Privatsphäre unangetastet lassen.

Vom Nerd-Spielzeug zur smarten Hilfe

Viele Geräte punkten mit ordentlichen Reinigungsergebnissen, guter Laufleistung und vielen Features. Jeder fünfte weltweit über Amazon verkaufte Staubsauger ist heute ein Roboter, Tendenz stark steigend.

Die Testmodelle

Dyson, 360 EyeiRobot, Roomba 980Vorwerk, Kobold VR300Xiaomi, Roborock S55 

Was wurde getestet?

AV-Test nahm bei den vier High-End-Saugern die folgenden Kriterien unter die Lupe:

Vollgestopft mit Sensoren

  1. Sicherheit der internen WLAN-Kommunikation,
  2. Datenverkehr angebundener Cloud-Dienste,
  3. Sicherheit der zugehörigen Apps, sowie
  4. die Datenschutzbestimmungen.

Alle im Test überprüften Premium-Modelle besitzen umfangreiche Sensorik. Im Gegensatz zu deutlich günstigeren Geräten werden den High-End-Saugern dadurch gründlichere und effizientere Reinigungsfahrten ermöglicht. Ultraschall-, Infrarot- und Lasersensoren sowie Kameras sorgen für bessere Orientierung, ermöglichen zielgerichtete Navigation und vermeiden Kratzer an Möbeln durch rechtzeitiges Abbremsen.

Allerdings erfassen die Geräte auch deutlich mehr Details des Einsatzgebiets als günstigere Geräte, die nach dem Chaos-Prinzip so lange geradeaus fahren, bis ihr Berührungssensor («Bumper») sie nach Kollision mit einer Wand oder einem Gegenstand zu einem Richtungswechsel zwingt.

Die Navigation der Saugroboter im Visier

Alle Sauger im Test erstellen zur Navigation mehr oder weniger detaillierte Karten und stellen diese ihren Besitzern per App zur Verfügung. Karten und andere Daten gelangen bei den getesteten Geräten über mobile Applikationen auf dem Smartphone zur Cloud des Herstellers. Über diese Applikationen erfolgen bei einigen Modellen auch die Einrichtung des Roboters sowie die Steuerung des Gerätes. Dafür klinken sich die Roboter ins heimische WLAN ein und lassen sich so beispielsweise von unterwegs starten. Statusmeldungen setzen die Sauger ebenfalls über diesen Kanal ab.

Bild

Der Roomba 980 von iRobot.

Ein genaues Bild der Wohnung

Die von den Robotern erstellten «Cleaning Maps» zeichneten im Test zum Teil sehr genaue Pläne der Wohnung auf. Darin wurden zusätzlich zur Raumaufteilung auch Türen und Fenster ersichtlich. Da die Roboter die Karten für jeden Reinigungsauftrag neu erstellen und während der Fahrt anpassen, nehmen sie auch Veränderungen in der Wohnung wahr. Etwa, wenn Reisekoffer im Flur nicht mehr als Hindernis im Weg stehen.

Entsprechend wichtig ist die Kommunikationssicherheit der lokalen Datenverbindungen zwischen Roboter und App über WLAN sowie der externen Internetverbindung zwischen Cloud-Dienst und App.

Wie sicher ist die lokale Kommunikation der Geräte?

Lokale Kommunikation kaum kritisch

Der Kobold VR300 von Vorwerk verzichtet auf lokale Kommunikation und ist auf diesem Wege entsprechend unangreifbar.

Den Kommunikationskanal zwischen Roomba 980 und App schützt das Verschlüsselungsprotokoll TLS 1.2. Die Ersteinrichtung des iRobot erfolgt zwar über eine manuell zu aktivierende WLAN-Verbindung, die nicht passwortgeschützt ist. Allerdings ist auch hier die Kommunikation komplett TLS 1.2 verschlüsselt.

Der 360 Eye von Dyson erledigt den Datenaustausch mit der App über das offene Nachrichtenprotokoll für Machine-to-Machine-Kommunikation MQTT. Für ein solches Protokoll steht ebenfalls die TLS-Verschlüsselung zur Verfügung, jedoch setzt Dyson diese aktuell nicht für die lokale Kommunikation seines Flaggschiffs ein und bietet somit zumindest eine theoretisch nutzbare Schwachstelle für einen Angreifer im lokalen WLAN.

Bild

Das Modell «360 Eye» von Dyson.

Ähnliche Schwächen beobachteten die Tester bei der Datenübertragung des chinesischen Premium-Saugers Roborock S55 von Xiaomi. Dieser verschickt seine Daten unverschlüsselt über das Netzwerkprotokoll UDP und offenbart Angreifern vor Ort ebenfalls eine offene Flanke.

Wie sicher ist die externe Datenübertragung?

Meist gut geschützte externe Kommunikation

Bei der für Angriffe deutlich relevanteren externen Kommunikation bewiesen im Testlabor drei von vier Testkandidaten ein ordentliches Abwehrverhalten. Sowohl der Dyson, der iRobot als auch der Kobold von Vorwerk setzen für die Kommunikation zu angebundenen Cloud-Diensten sowie für den Datenaustausch zwischen Cloud und App auf die sichere TLS-Verschlüsselung in Version 1.2.

Beim Roborock stiessen die Tester dagegen auf teilweise unverschlüsselten Funkverkehr. Der Xiaomi-Sauger nutzt zur externen Kommunikation auch teils unverschlüsselte Verbindungen. Diese lassen sich abfangen und manipulieren, etwa im Rahmen einer «Man-in-the-Middle»-Attacke. Zudem zeigten sich auch Angriffsmöglichkeiten bei TLS-verschlüsselten Verbindungen. Aufgrund unzureichender Prüfung von Zertifikaten bei verschlüsselten Verbindungen konnten die Tester Datenströme manipulieren und deren Inhalte mitlesen.

Bild

Der Roborock S55 von Xiaomi.

Der Roborock wird, wie alle anderen Smart Home-Produkte von Xiaomi, aus einer zentralen App gesteuert. Somit erhalten Angreifer möglicherweise nicht nur Zugriff auf den Saugroboter, sondern auch auf kritischere Smart Home-Komponenten des Herstellers. Das können Rauchmelder, Fenster-Tür-Kontakte oder auch IP-Kameras sein.

«So wäre es etwa möglich, den Brandschutz einer Wohnung zu sabotieren, Bewohner per Kamera auszuspionieren oder den Einbruchsschutz abzuschalten.»

Die Steuerung aller Smart Home-Komponenten aus einer App ist zwar extrem komfortabel, dies gilt aber nicht nur für Nutzer, sondern auch für Angreifer. Der chinesische Smart Home-Gigant sollte folglich darauf bedacht sein, die vorhandenen Sicherheitslücken in der Datenkommunikation zu beseitigen.  

Die Xiaomi-App weist kritische Sicherheitsmängel auf

Xiaomi sendet Nutzerdaten an Facebook, AirBnB und Co.

Auch in der Xiaomi-App stiessen die Tester auf kritische Sicherheitsmängel: Zum einen räumt sich der Hersteller für seine App auf dem Smartphone eine Vielzahl von Zugriffsrechten ein, bei denen die Notwendigkeit nicht immer direkt ersichtlich ist. Dazu gehört beispielsweise der Zugriff auf sicherheitskritische Systemeinstellungen des Smartphones.

Zum anderen ist die Xiaomi-App nicht nur extrem neugierig, sondern enthält auch eine Vielzahl an Drittanbieter-Modulen. So kann die App erfasste Nutzungsdaten beispielsweise an Facebook, Alibaba, den zugehörigen Finanzdienstleister Alipay, die Vermietungsplattform Airbnb, den chinesischen Handelsriesen Tencent und andere Onlinedienste senden.

Im Test zeigte sich zudem, dass die App sensible Informationen nicht ausreichend schützt. So konnten die Tester auf gerooteten Android-Smartphones sensible Informationen aus dem App-Ordner auslesen.

iRobot teilt Nutzerdaten mit Google

Nicht nur Xiaomi und Ikea werden zukünftig Daten von Smart Home-Produkten austauschen. Auch iRobot kündigte Ende Oktober 2018 eine entsprechende Partnerschaft mit Google an. Durch die Auswertung der von den Robotern erstellten «Cleaning Maps» soll Kunden laut Pressemitteilung die Einrichtung und Nutzung smarter Geräte erleichtert werden.

So sollen die Sauger per Google Assistant-Sprachbefehl etwa nur bestimmte Räume säubern. Und Nutzer sollen vernetzte Lichtsysteme und andere Smart Home-Komponenten für einzelne Wohnbereiche steuern können.

Zur Auflockerung: Die Geschichte des Roboterstaubsaugers

Und damit weiter mit dem Review:

Ob die Kunden die Begeisterung der Hersteller für den Datentausch teilen, darf bezweifelt werden. In einem Interview mit The Verge versprach Googles Smart-Home-Chefin Michele Chambers Turner, die iRobot-Karten würden nicht mit anderen von Google erfassten Daten zusammengeführt.

Auch die anderen Testkandidaten werben mit umfangreichen Funktionen, die die Integration anderer Plattformen erfordern, wie etwa die Steuerung durch Amazons Sprachassistenten Alexa. Inwieweit sich iRobot und dessen neuer Partner Google als auch die anderen Anbieter an gegebene Versprechen halten, bleibt abzuwarten. Nutzer können dies kaum herausbekommen.

Das taugen die Datenschutz-Bestimmungen

Datenschutz: Dyson und Vorwerk aufgeräumt

AV-Test prüfte auch, welche Datennutzungsrechte sich Dyson, iRobot, Vorwerk und Xiaomi einräumen.

Vorbildlich zeigte sich dabei Vorwerk: In der Datenschutzerklärung des Kobold VR300 verspricht der deutsche Hersteller nur Daten zu erfassen, die auch für den Betrieb des Roboters notwendig sind. Daten aus diesem Bestand, die für Statistiken und Produktverbesserung genutzt werden, will Vorwerk nur anonymisiert nutzen.

Bild

Der Kobold VR300 von Vorwerk.

Der Hersteller verarbeitet solche Daten an seinen Hauptstandorten Deutschland und der Schweiz sowie in den USA, wo der Sauger von US-Hersteller Neato in Lizenz produziert wird. Vorwerk garantiert in der Datenschutzerklärung aber für alle Standorte die Einhaltung von EU-Datenschutzstandards.

Ähnlich lobenswert zeigte sich die Datenschutzerklärung von Dyson. In einer leicht verständlichen Kurzfassung listet der Hersteller die wichtigsten Punkte auf, zu jedem werden ausführliche Informationen zur Verfügung gestellt. Auch Dyson verspricht die Reduktion auf notwendige Daten und anonymisierte Nutzung.

Die Datenschutzerklärung von iRobot ist wenig übersichtlich, sehr lang und sehr detailliert: Durch elf kleingedruckte Seiten mit insgesamt fast 7'000 Wörtern mussten sich die Tester quälen. Der Text ist dabei schwer verständlich und es fällt auf, dass an keiner Stelle von einer anonymisierten Datennutzung die Rede ist. Immerhin weist der Hersteller auf die Zusammenarbeit mit anderen Unternehmen wie Google hin.

Zudem räumt sich iRobot Datennutzungsrechte ein, die für den Einsatz eines Saugroboters unnötig sind. Ein Zitat aus der Datenschutzrichtlinie zur Erfassung von personenbezogenen Daten:

«Demographische und Lifestyle-Informationen, wie Ihr Alter, Geburtsdatum, Geschlecht, Gehalt oder sonstiges Einkommen, Freizeit und andere Interessen, Anzahl der Kinder und Anzahl der Haustiere, Informationen über Ihr Wohnumfeld.»

Solche Formulierungen wirken nicht vertrauenserweckend.

Für den Roborock stellt Xiaomi im Google Playstore keine eigene Datenschutzerklärung zu Verfügung. Stattdessen wird auf die Bestimmungen der Hersteller-Website verwiesen. Nach Installation der App erhalten Kunden aber Informationen über die Verwendung von Daten, die beim Einsatz des Roborocks anfallen. So werden erfasste Kundeninformationen in der gesamten Xiaomi-Gruppe zu Vermarktungszwecken genutzt.

Neben dem ständigen Datenstrom zu Drittanbietern während der im Test überprüften Saugdurchläufe, macht auch die Datenschutzerklärung des Herstellers keine Hoffnung auf die Einhaltung der Privatsphäre. Informationen über den Datenaustausch mit Partnern wie Ikea, die von Roborock aufgezeichnete Wohnungspläne etwa zur Werbung für ihr Möbelsortiment nutzen könnten, finden sich in der Datenschutzerklärung ebenfalls nicht.

Das Fazit

Viel Licht und Schatten

Fazit: Viel Licht und Schatten 

Zwei Premium-Sauger überzeugten durch sichere Datenübertragung und gut geschützte Apps: iRobot und Vorwerk. Die Datenschutzerklärungen von Vorwerk und Dyson erfüllten alle Informationsansprüche der Tester. Auch wenn sich iRobot in der Erklärung eine umfangreiche und für den Betrieb des Gerätes sicherlich nicht notwendige Datenerfassung erlaubt, haben Kunden immerhin die Möglichkeit, frühzeitig davon Kenntnis zu nehmen.

Bild

Insgesamt verdienen sich iRobots Roomba 980 sowie Vorwerks Kobold VR300 im Kurztest die Höchstwertung mit drei von drei Sternen. Dysons 360 Eye erhält aufgrund teilweise unverschlüsselter lokaler Kommunikation nur zwei von drei erreichbaren Sternen.

Saugroboter: So dumm kann smart sein Saugroboter von Aldi: Eher Haustier als Haushaltshilfe

Aufgrund teilweise grober Sicherheitsmängel bei der Datenübertragung, der Ausleitung von Daten an Dritte, nicht nachvollziehbarem Datendurst der App sowie deutlichem Nachbesserungsbedarf bei der Erklärung zum Umgang mit Kundendaten erhält der «Roborock S55» nur einen von drei möglichen Sternen. Unter dem Aspekt der Datensicherheit und hinsichtlich des Schutzes der Privatsphäre kann das AV-TEST Institut diesen Saugroboter nicht empfehlen.

In eigener Sache: «AV-Test» stellt dem deutschen watson-Medienpartner t-online.de diesen Test kostenlos im Rahmen einer Kooperation zur Verfügung.

Den kompletten Test gibts auf der Website von AV-Test: «Saugroboter im Sicherheitscheck: vertrauenswürdige Haushaltshilfe oder petzende Putze?»

(t-online.de/hd)

So beurteilte watson kürzlich zwei der besten Saugroboter

Mehr übers Smart Home, Alexa und Co.

Ich habe mein Zuhause mit einer Videokamera überwacht – ein Erfahrungsbericht

Link zum Artikel

Was man mit privaten Sicherheitskameras darf – und warum die Cloud riskant ist

Link zum Artikel

Was du über Smart Speaker wissen musst, aber nicht zu fragen traust

Link zum Artikel

Was können smarte Lautsprecher wie Google Home und Amazon Echo wirklich? – 11 Antworten

Link zum Artikel

Das sind die 13 besten Smart-Lautsprecher, die du momentan kaufen kannst

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

7
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
7Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Sir Eau Tonin 15.02.2019 18:03
  • I_am_Bruno 14.02.2019 15:03
    Highlight Highlight Ich war an Weihnachten bei Freunden, die einen Saugroboter haben. Er drehte sich mehr als eine halbe Stunde unkoordiniert auf einem Teppich im Wintergarten herum. Mit einem normalen Staubsauger hätte das ganze gerade mal eine Minute gedauert.
    Aber: Hauptsache Gadget
    • p4trick 15.02.2019 16:51
      Highlight Highlight Der Witz ist dass der Roboter saugt wenn niemand zu Hause ist. Keiner tut sich dieses laute Saugen an wenn zu Hause. Das ist ja der Witz am Roboter er saugt wenn du nicht zu Hause bist und es ist egal ob es nun 1 oder 2 Stunden dauert wenn's sauber ist sobald ich nach Hause komme.
  • Blitzableiter 14.02.2019 14:28
    Highlight Highlight Alle wolle nur über Saugleistung hören. Nicht über die Sicherheit. Ist wie beim Sex!
  • Nik G. 14.02.2019 11:05
    Highlight Highlight Und welcher Staubsauger saugt nun am besten? Nett das ihr über die Sicherheit schreibt aber keinen Satz über die Leistung, Saugkraft usw. macht überhaupt keinen Sinn. Ich kaufe doch nicht den Roboterstaubsauger anhand seiner Kommunikationssicherheit...
    • p4trick 15.02.2019 16:52
      Highlight Highlight Der Xiaomi dicht gefolgt von Roomba 980. Das sagen etliche andere tests
  • rundumeli 14.02.2019 10:18
    Highlight Highlight ach, gott ... und kein pieps über die saugleistung ?!

Diese Telefonbetrügerin läuft einem Hacker brutal ins Messer 😂

Betrügerische Anrufe von falschen Microsoft-Support-Mitarbeitern nehmen kein Ende. Ein Mitglied des Chaos Computer Clubs hatte die perfekte «Antwort».

Hinweis: Für Computer-Laien gibt es am Schluss des Beitrags eine Zusammenfassung.

Soll noch jemand behaupten, Telefonbetrüger hätten ein einfaches Leben. Bei Wildfremden anrufen, sich als Support-Mitarbeiter ausgeben, abkassieren, fertig.

Fertig? Ein aktueller Fall zeigt, dass auch das Leben als Fake-Microsoft-Angestellter gefährlich sein kann. Für die eigenen Nerven und für den Computer.

Ein Twitter-Thread des Hackers Rem0te alias @grauhut vom Chaos Computer Club (CCC) gehörte am Dienstag zu den …

Artikel lesen
Link zum Artikel