Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer DatenschutzerklÀrung.
norwegian vacuum cleanernorwegian vacuum cleaner

Nein, das ist kein Smart-Staubsauger-Nutzer ... Bild: giphy

Review

Fachleute testen vier Saugroboter – ein beliebtes Modell ist unsicher 😳

Sie ĂŒbernehmen ungeliebte Putzarbeit und sparen Zeit. Und sie stecken voller Sensoren, die Infos sammeln. Fachleute haben vier Saugroboter von Dyson, iRobot, Vorwerk und Xiaomi auf ihre Datensicherheit hin getestet.



Ein Artikel von

T-Online

Immer mehr Putzmuffel lassen sich die eintönige Arbeit des Staubsaugens von Saugrobotern abnehmen. Allerdings verfĂŒgen fast alle Premium-Sauger ĂŒber umfangreiche Online-Funktionen, die eine stĂ€ndige Internetverbindung erfordern.

Die «Internet der Dinge»-Experten von «AV-Test» ĂŒberprĂŒften die Sicherheit und Datenschutz bei vier aktuellen Premium-GerĂ€ten. Im Test wurde untersucht, ob die digitalen Putzhilfen ihre Besitzer ausspionieren oder deren PrivatsphĂ€re unangetastet lassen.

Vom Nerd-Spielzeug zur smarten Hilfe

Viele GerĂ€te punkten mit ordentlichen Reinigungsergebnissen, guter Laufleistung und vielen Features. Jeder fĂŒnfte weltweit ĂŒber Amazon verkaufte Staubsauger ist heute ein Roboter, Tendenz stark steigend.

Die Testmodelle

Dyson, 360 EyeiRobot, Roomba 980Vorwerk, Kobold VR300Xiaomi, Roborock S55 

Was wurde getestet?

AV-Test nahm bei den vier High-End-Saugern die folgenden Kriterien unter die Lupe:

Vollgestopft mit Sensoren

  1. Sicherheit der internen WLAN-Kommunikation,
  2. Datenverkehr angebundener Cloud-Dienste,
  3. Sicherheit der zugehörigen Apps, sowie
  4. die Datenschutzbestimmungen.

Alle im Test ĂŒberprĂŒften Premium-Modelle besitzen umfangreiche Sensorik. Im Gegensatz zu deutlich gĂŒnstigeren GerĂ€ten werden den High-End-Saugern dadurch grĂŒndlichere und effizientere Reinigungsfahrten ermöglicht. Ultraschall-, Infrarot- und Lasersensoren sowie Kameras sorgen fĂŒr bessere Orientierung, ermöglichen zielgerichtete Navigation und vermeiden Kratzer an Möbeln durch rechtzeitiges Abbremsen.

Allerdings erfassen die GerĂ€te auch deutlich mehr Details des Einsatzgebiets als gĂŒnstigere GerĂ€te, die nach dem Chaos-Prinzip so lange geradeaus fahren, bis ihr BerĂŒhrungssensor («Bumper») sie nach Kollision mit einer Wand oder einem Gegenstand zu einem Richtungswechsel zwingt.

Die Navigation der Saugroboter im Visier

Alle Sauger im Test erstellen zur Navigation mehr oder weniger detaillierte Karten und stellen diese ihren Besitzern per App zur VerfĂŒgung. Karten und andere Daten gelangen bei den getesteten GerĂ€ten ĂŒber mobile Applikationen auf dem Smartphone zur Cloud des Herstellers. Über diese Applikationen erfolgen bei einigen Modellen auch die Einrichtung des Roboters sowie die Steuerung des GerĂ€tes. DafĂŒr klinken sich die Roboter ins heimische WLAN ein und lassen sich so beispielsweise von unterwegs starten. Statusmeldungen setzen die Sauger ebenfalls ĂŒber diesen Kanal ab.

Bild

Der Roomba 980 von iRobot.

Ein genaues Bild der Wohnung

Die von den Robotern erstellten «Cleaning Maps» zeichneten im Test zum Teil sehr genaue PlĂ€ne der Wohnung auf. Darin wurden zusĂ€tzlich zur Raumaufteilung auch TĂŒren und Fenster ersichtlich. Da die Roboter die Karten fĂŒr jeden Reinigungsauftrag neu erstellen und wĂ€hrend der Fahrt anpassen, nehmen sie auch VerĂ€nderungen in der Wohnung wahr. Etwa, wenn Reisekoffer im Flur nicht mehr als Hindernis im Weg stehen.

Entsprechend wichtig ist die Kommunikationssicherheit der lokalen Datenverbindungen zwischen Roboter und App ĂŒber WLAN sowie der externen Internetverbindung zwischen Cloud-Dienst und App.

Wie sicher ist die lokale Kommunikation der GerÀte?

Lokale Kommunikation kaum kritisch

Der Kobold VR300 von Vorwerk verzichtet auf lokale Kommunikation und ist auf diesem Wege entsprechend unangreifbar.

Den Kommunikationskanal zwischen Roomba 980 und App schĂŒtzt das VerschlĂŒsselungsprotokoll TLS 1.2. Die Ersteinrichtung des iRobot erfolgt zwar ĂŒber eine manuell zu aktivierende WLAN-Verbindung, die nicht passwortgeschĂŒtzt ist. Allerdings ist auch hier die Kommunikation komplett TLS 1.2 verschlĂŒsselt.

Der 360 Eye von Dyson erledigt den Datenaustausch mit der App ĂŒber das offene Nachrichtenprotokoll fĂŒr Machine-to-Machine-Kommunikation MQTT. FĂŒr ein solches Protokoll steht ebenfalls die TLS-VerschlĂŒsselung zur VerfĂŒgung, jedoch setzt Dyson diese aktuell nicht fĂŒr die lokale Kommunikation seines Flaggschiffs ein und bietet somit zumindest eine theoretisch nutzbare Schwachstelle fĂŒr einen Angreifer im lokalen WLAN.

Bild

Das Modell «360 Eye» von Dyson.

Ähnliche SchwĂ€chen beobachteten die Tester bei der DatenĂŒbertragung des chinesischen Premium-Saugers Roborock S55 von Xiaomi. Dieser verschickt seine Daten unverschlĂŒsselt ĂŒber das Netzwerkprotokoll UDP und offenbart Angreifern vor Ort ebenfalls eine offene Flanke.

Wie sicher ist die externe DatenĂŒbertragung?

Meist gut geschĂŒtzte externe Kommunikation

Bei der fĂŒr Angriffe deutlich relevanteren externen Kommunikation bewiesen im Testlabor drei von vier Testkandidaten ein ordentliches Abwehrverhalten. Sowohl der Dyson, der iRobot als auch der Kobold von Vorwerk setzen fĂŒr die Kommunikation zu angebundenen Cloud-Diensten sowie fĂŒr den Datenaustausch zwischen Cloud und App auf die sichere TLS-VerschlĂŒsselung in Version 1.2.

Beim Roborock stiessen die Tester dagegen auf teilweise unverschlĂŒsselten Funkverkehr. Der Xiaomi-Sauger nutzt zur externen Kommunikation auch teils unverschlĂŒsselte Verbindungen. Diese lassen sich abfangen und manipulieren, etwa im Rahmen einer «Man-in-the-Middle»-Attacke. Zudem zeigten sich auch Angriffsmöglichkeiten bei TLS-verschlĂŒsselten Verbindungen. Aufgrund unzureichender PrĂŒfung von Zertifikaten bei verschlĂŒsselten Verbindungen konnten die Tester Datenströme manipulieren und deren Inhalte mitlesen.

Bild

Der Roborock S55 von Xiaomi.

Der Roborock wird, wie alle anderen Smart Home-Produkte von Xiaomi, aus einer zentralen App gesteuert. Somit erhalten Angreifer möglicherweise nicht nur Zugriff auf den Saugroboter, sondern auch auf kritischere Smart Home-Komponenten des Herstellers. Das können Rauchmelder, Fenster-TĂŒr-Kontakte oder auch IP-Kameras sein.

«So wÀre es etwa möglich, den Brandschutz einer Wohnung zu sabotieren, Bewohner per Kamera auszuspionieren oder den Einbruchsschutz abzuschalten.»

Die Steuerung aller Smart Home-Komponenten aus einer App ist zwar extrem komfortabel, dies gilt aber nicht nur fĂŒr Nutzer, sondern auch fĂŒr Angreifer. Der chinesische Smart Home-Gigant sollte folglich darauf bedacht sein, die vorhandenen SicherheitslĂŒcken in der Datenkommunikation zu beseitigen.  

Die Xiaomi-App weist kritische SicherheitsmÀngel auf

Xiaomi sendet Nutzerdaten an Facebook, AirBnB und Co.

Auch in der Xiaomi-App stiessen die Tester auf kritische SicherheitsmĂ€ngel: Zum einen rĂ€umt sich der Hersteller fĂŒr seine App auf dem Smartphone eine Vielzahl von Zugriffsrechten ein, bei denen die Notwendigkeit nicht immer direkt ersichtlich ist. Dazu gehört beispielsweise der Zugriff auf sicherheitskritische Systemeinstellungen des Smartphones.

Zum anderen ist die Xiaomi-App nicht nur extrem neugierig, sondern enthÀlt auch eine Vielzahl an Drittanbieter-Modulen. So kann die App erfasste Nutzungsdaten beispielsweise an Facebook, Alibaba, den zugehörigen Finanzdienstleister Alipay, die Vermietungsplattform Airbnb, den chinesischen Handelsriesen Tencent und andere Onlinedienste senden.

Im Test zeigte sich zudem, dass die App sensible Informationen nicht ausreichend schĂŒtzt. So konnten die Tester auf gerooteten Android-Smartphones sensible Informationen aus dem App-Ordner auslesen.

iRobot teilt Nutzerdaten mit Google

Nicht nur Xiaomi und Ikea werden zukĂŒnftig Daten von Smart Home-Produkten austauschen. Auch iRobot kĂŒndigte Ende Oktober 2018 eine entsprechende Partnerschaft mit Google an. Durch die Auswertung der von den Robotern erstellten «Cleaning Maps» soll Kunden laut Pressemitteilung die Einrichtung und Nutzung smarter GerĂ€te erleichtert werden.

So sollen die Sauger per Google Assistant-Sprachbefehl etwa nur bestimmte RĂ€ume sĂ€ubern. Und Nutzer sollen vernetzte Lichtsysteme und andere Smart Home-Komponenten fĂŒr einzelne Wohnbereiche steuern können.

Zur Auflockerung: Die Geschichte des Roboterstaubsaugers

Und damit weiter mit dem Review:

Ob die Kunden die Begeisterung der Hersteller fĂŒr den Datentausch teilen, darf bezweifelt werden. In einem Interview mit The Verge versprach Googles Smart-Home-Chefin Michele Chambers Turner, die iRobot-Karten wĂŒrden nicht mit anderen von Google erfassten Daten zusammengefĂŒhrt.

Auch die anderen Testkandidaten werben mit umfangreichen Funktionen, die die Integration anderer Plattformen erfordern, wie etwa die Steuerung durch Amazons Sprachassistenten Alexa. Inwieweit sich iRobot und dessen neuer Partner Google als auch die anderen Anbieter an gegebene Versprechen halten, bleibt abzuwarten. Nutzer können dies kaum herausbekommen.

Das taugen die Datenschutz-Bestimmungen

Datenschutz: Dyson und Vorwerk aufgerÀumt

AV-Test prĂŒfte auch, welche Datennutzungsrechte sich Dyson, iRobot, Vorwerk und Xiaomi einrĂ€umen.

Vorbildlich zeigte sich dabei Vorwerk: In der DatenschutzerklĂ€rung des Kobold VR300 verspricht der deutsche Hersteller nur Daten zu erfassen, die auch fĂŒr den Betrieb des Roboters notwendig sind. Daten aus diesem Bestand, die fĂŒr Statistiken und Produktverbesserung genutzt werden, will Vorwerk nur anonymisiert nutzen.

Bild

Der Kobold VR300 von Vorwerk.

Der Hersteller verarbeitet solche Daten an seinen Hauptstandorten Deutschland und der Schweiz sowie in den USA, wo der Sauger von US-Hersteller Neato in Lizenz produziert wird. Vorwerk garantiert in der DatenschutzerklĂ€rung aber fĂŒr alle Standorte die Einhaltung von EU-Datenschutzstandards.

Ähnlich lobenswert zeigte sich die DatenschutzerklĂ€rung von Dyson. In einer leicht verstĂ€ndlichen Kurzfassung listet der Hersteller die wichtigsten Punkte auf, zu jedem werden ausfĂŒhrliche Informationen zur VerfĂŒgung gestellt. Auch Dyson verspricht die Reduktion auf notwendige Daten und anonymisierte Nutzung.

Die DatenschutzerklĂ€rung von iRobot ist wenig ĂŒbersichtlich, sehr lang und sehr detailliert: Durch elf kleingedruckte Seiten mit insgesamt fast 7'000 Wörtern mussten sich die Tester quĂ€len. Der Text ist dabei schwer verstĂ€ndlich und es fĂ€llt auf, dass an keiner Stelle von einer anonymisierten Datennutzung die Rede ist. Immerhin weist der Hersteller auf die Zusammenarbeit mit anderen Unternehmen wie Google hin.

Zudem rĂ€umt sich iRobot Datennutzungsrechte ein, die fĂŒr den Einsatz eines Saugroboters unnötig sind. Ein Zitat aus der Datenschutzrichtlinie zur Erfassung von personenbezogenen Daten:

«Demographische und Lifestyle-Informationen, wie Ihr Alter, Geburtsdatum, Geschlecht, Gehalt oder sonstiges Einkommen, Freizeit und andere Interessen, Anzahl der Kinder und Anzahl der Haustiere, Informationen ĂŒber Ihr Wohnumfeld.»

Solche Formulierungen wirken nicht vertrauenserweckend.

FĂŒr den Roborock stellt Xiaomi im Google Playstore keine eigene DatenschutzerklĂ€rung zu VerfĂŒgung. Stattdessen wird auf die Bestimmungen der Hersteller-Website verwiesen. Nach Installation der App erhalten Kunden aber Informationen ĂŒber die Verwendung von Daten, die beim Einsatz des Roborocks anfallen. So werden erfasste Kundeninformationen in der gesamten Xiaomi-Gruppe zu Vermarktungszwecken genutzt.

Neben dem stĂ€ndigen Datenstrom zu Drittanbietern wĂ€hrend der im Test ĂŒberprĂŒften SaugdurchlĂ€ufe, macht auch die DatenschutzerklĂ€rung des Herstellers keine Hoffnung auf die Einhaltung der PrivatsphĂ€re. Informationen ĂŒber den Datenaustausch mit Partnern wie Ikea, die von Roborock aufgezeichnete WohnungsplĂ€ne etwa zur Werbung fĂŒr ihr Möbelsortiment nutzen könnten, finden sich in der DatenschutzerklĂ€rung ebenfalls nicht.

Das Fazit

Viel Licht und Schatten

Fazit: Viel Licht und Schatten 

Zwei Premium-Sauger ĂŒberzeugten durch sichere DatenĂŒbertragung und gut geschĂŒtzte Apps: iRobot und Vorwerk. Die DatenschutzerklĂ€rungen von Vorwerk und Dyson erfĂŒllten alle InformationsansprĂŒche der Tester. Auch wenn sich iRobot in der ErklĂ€rung eine umfangreiche und fĂŒr den Betrieb des GerĂ€tes sicherlich nicht notwendige Datenerfassung erlaubt, haben Kunden immerhin die Möglichkeit, frĂŒhzeitig davon Kenntnis zu nehmen.

Bild

Insgesamt verdienen sich iRobots Roomba 980 sowie Vorwerks Kobold VR300 im Kurztest die Höchstwertung mit drei von drei Sternen. Dysons 360 Eye erhĂ€lt aufgrund teilweise unverschlĂŒsselter lokaler Kommunikation nur zwei von drei erreichbaren Sternen.

Saugroboter: So dumm kann smart sein Saugroboter von Aldi: Eher Haustier als Haushaltshilfe

Aufgrund teilweise grober SicherheitsmĂ€ngel bei der DatenĂŒbertragung, der Ausleitung von Daten an Dritte, nicht nachvollziehbarem Datendurst der App sowie deutlichem Nachbesserungsbedarf bei der ErklĂ€rung zum Umgang mit Kundendaten erhĂ€lt der «Roborock S55» nur einen von drei möglichen Sternen. Unter dem Aspekt der Datensicherheit und hinsichtlich des Schutzes der PrivatsphĂ€re kann das AV-TEST Institut diesen Saugroboter nicht empfehlen.

In eigener Sache: «AV-Test» stellt dem deutschen watson-Medienpartner t-online.de diesen Test kostenlos im Rahmen einer Kooperation zur VerfĂŒgung.

Den kompletten Test gibts auf der Website von AV-Test: «Saugroboter im Sicherheitscheck: vertrauenswĂŒrdige Haushaltshilfe oder petzende Putze?»

(t-online.de/hd)

So beurteilte watson kĂŒrzlich zwei der besten Saugroboter

Mehr ĂŒbers Smart Home, Alexa und Co.

Googles smarte Lautsprecher verstehen nun Schweizerdeutsch – und das können sie sonst noch

Link zum Artikel

Xiaomi vs. Electrolux – zwei der besten Roboter-Staubsauger im Duell

Link zum Artikel

Die wichtigste Frage bei jedem Roboter-Staubsauger: ÜberfĂ€hrt er Kacke? 😳

Link zum Artikel

Fachleute testen vier Saugroboter – ein beliebtes Modell ist unsicher 😳

Link zum Artikel

25 geniale Erfindungen, die beweisen, dass wir schon in der Zukunft leben

Link zum Artikel

Kevin ist noch einmal «Allein zu Haus» – aber diesmal mit Hightech 😜

Link zum Artikel

Ich habe mein Zuhause mit einer Videokamera ĂŒberwacht – ein Erfahrungsbericht

Link zum Artikel

Was man mit privaten Sicherheitskameras darf – und warum die Cloud riskant ist

Link zum Artikel

Was du ĂŒber Smart Speaker wissen musst, aber nicht zu fragen traust

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♄

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefĂ€llt. Wie du vielleicht weisst, haben wir uns kĂŒrzlich entschieden, bei watson keine Login-Pflicht einzufĂŒhren. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine HĂŒrden fĂŒr den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstĂŒtzen willst, dann tu das doch hier.

WĂŒrdest du gerne watson und Journalismus unterstĂŒtzen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstĂŒtze uns mit deinem Wunschbetrag per BankĂŒberweisung.

Nicht mehr anzeigen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Unbekannte Anrufer: Das solltest du am Telefon nie sagen

Nicht nur per Spam-Mails, auch mit Anrufen versuchen BetrĂŒger immer wieder, an Daten oder Geld von Nutzern zu kommen. Wer einen verdĂ€chtigen Anruf erhĂ€lt, sollte darum besonders ein Wort vermeiden.

Wer am Telefon von unbekannten Anrufern dazu aufgefordert wird, laut «Ja» zu sagen, sollte aufpassen. Denn hierbei kann es sich um eine Betrugsmasche handeln. Davor warnen FaktenprĂŒfungsseiten wie «Mimikama.at» oder auch die Verbraucherzentralen.

Denn Berichten zufolge sollen Nutzer im Anschluss an das Telefonat Rechnungen oder Vertragsunterlagen bekommen haben. Das «Ja» wurde dabei als Vorwand genommen, dass Nutzer dem Vertrag zugestimmt hĂ€tten. In ExtremfĂ€llen soll das «Ja» sogar im 


Artikel lesen
Link zum Artikel