In einer Ära, in der das Smart Home immer mehr Einzug in unsere Lebensräume hält, haben praktische Geräte wie Saugroboter einen festen Platz eingenommen. Sie versprechen Komfort und Erleichterung im Haushalt, indem sie eigenständig Böden reinigen und sich dabei meist unauffällig in den Alltag einfügen. Doch die moderne Technologie bringt nicht nur Vorteiles mit sich – jüngste Erkenntnisse zeigen, dass Ecovacs Saugroboter, beliebte Helfer im Haushalt, dauerhaftes Sicherheitsrisiko darstellen können. Hacker haben Sicherheitslücken in diesen Geräten ausgenutzt und ermöglichen nicht nur das Ferngesteuerte Eindringen in die Systeme, sondern auch eine besorgniserregende Überwachung der Besitzer durch Zugriff auf Kameras und Mikrofone. Die folgende Analyse gibt einen tiefgehenden Einblick in die Funktionsweise der Saugroboter, die Hintergründe der Sicherheitslücken, die Folgen erfolgreicher Angriffe und zeigt auf, wie Nutzer sich schützen können.
Moderne Saugroboter sind längst nicht mehr nur simple Reinigungsgeräte. Sie sind vielmehr als mobile Computer zu verstehen, ausgestattet mit Hochleistungsprozessoren, mehreren Sensoren und permanenter Internetanbindung. Die von Linux basierenden Systeme verfügen über leistungsstarke ARM-Prozessoren, ausreichenden Arbeitsspeicher sowie großen Speicherplatz, sodass sie komplexe Aufgaben autonom erledigen können. Für Navigation und Umgebungserfassung nutzen sie eine Vielzahl an Sensoren wie Infrarotsensoren, Lidar, Bewegungsmelder, hochauflösende Kameras und sogar Mikrofone, um Sprachbefehle zu empfangen. Die Verbindung zum eigenen Heimnetzwerk und der Cloud des Herstellers ermöglicht permanente Updates, Zugriff per Smartphone-App und Sammlung großer Mengen an Betriebsdaten.
Gerade dieser Vernetzungsgrad zieht aber Hacker an, die solche Geräte als Einfallstor für Angriffe nutzen. Die ersten Hinweise auf Sicherheitslücken bei Ecovacs Saugrobotern und auch bei zugehörigen Rasenmähern wurden im August 2024 bekannt, als die Sicherheitsforscher Dennis Giese und Braelynn Luedtke auf der Security-Konferenz DEF CON ihre Ergebnisse präsentierten. Ihre Forschungsarbeit zeigte, dass eine Kombination aus unsicheren Netzwerken, mangelhafter App-Sicherheit und nicht ausreichenden Schutzmechanismen den unbefugten Zugriff auf Kamera- und Mikrofon-Streams erlaubte. Besonders alarmierend dabei ist, dass der PIN-Schutz für den Video-Feed nicht auf Serverseite, sondern nur lokal im Nutzergerät validiert wird. Das bedeutet, dass Hacker mit entsprechenden Kenntnissen diesen Schutzmechanismus leicht umgehen können.
Zusätzlich konnten die Forscher Root-Zugriff auf die Betriebssysteme der betroffenen Saugroboter mittels einer attackierten Bluetooth-Verbindung erlangen. Eigentlich ist die Bluetooth-Verbindung verschlüsselt, doch Ecovacs verwendet für alle Geräte denselben statischen Schlüssel, der von der Forschung identifiziert wurde. So ist es inzwischen möglich, aus einer Entfernung von bis zu 50 Metern Kontrolle über die Geräte zu gewinnen und Schadsoftware einzuschleusen. Für die Modelle von Ecovacs Rasenmähern ist eine noch größere Reichweite durch verbesserte Bluetooth-Technik möglich. Ein solches Einfallstor kann nicht nur den Zugriff auf ein einzelnes Gerät ermöglichen, sondern durch Vernetzung droht die Entstehung eines Botnetzes oder eines Wurms, der sich automatisch ausbreitet und weitere Geräte infiziert.
Erschreckend ist auch das Verhalten von Ecovacs als Hersteller nach Bekanntwerden dieser Schwachstellen. Obwohl die Sicherheitsforscher die Probleme gemeldet hatten, reagierte das Unternehmen nur zögerlich und ignorierte teilweise gravierende Lücken. Die Folge sind reale Fälle von Angriffen auf Nutzer in den USA, die zeigen, wie die Geräte missbraucht werden. So wurde etwa in Minnesota ein Saugroboter plötzlich ferngesteuert und begann, aus den Lautsprechern eine Kette von Beleidigungen und rassistischen Ausdrücken von sich zu geben. Der Besitzer bemerkte Zugriff über die App, änderte zwar das Passwort, doch schon wenig später setzte der Angriff erneut ein.
Andere Fälle aus Kalifornien und Texas berichten von respektlosen Lautäußerungen und unkontrolliertem Bewegen der Roboter, wodurch Tiere gejagt oder Eigentum beschädigt wurde. Es ist wichtig zu wissen, dass die Dunkelziffer solcher Angriffe sehr hoch sein dürfte, da Hacker oft lieber unbemerkt beobachten statt sich zu zeigen. So kann ein kompromittierter Saugroboter heimlich die Privatsphäre der Bewohner verletzen, indem er Ton- und Bildaufnahmen überträgt und die Bewegungsmuster im Heim ausspioniert. Für Verbraucher stellt sich daher die Frage, wie sie sich vor solchen Angriffen schützen können. Leider gibt es keine einfache Lösung oder Sicherheitsgarantie bei vernetzten IoT-Geräten von vielen Herstellern.
Ein mögliches Mittel sind regelmäßige Firmware-Updates, die vom Hersteller bereitgestellt werden und Sicherheitslücken schließen können. Allerdings ist die Erfolgschance davon abhängig, ob der Hersteller ernsthaft und zeitnah auf Meldungen schadensrelevanter Schwachstellen reagiert. Für technisch versierte Nutzer besteht die Option, eigene Änderungen am Betriebssystem vorzunehmen, um das Gerät vom Cloud-Zugang zu trennen und selbst bestimmte Sicherheitsvorkehrungen zu implementieren. Das ist aber sehr komplex und für die Mehrheit der Nutzer keine machbare Lösung. Ein pragmatischer Sicherheitshinweis lautet, die intelligenten Geräte in einem separaten Gastnetzwerk zu betreiben.
So wird vermieden, dass durch eine Kompromittierung weitere wichtige Geräte, etwa PCs, Smartphones oder smarte Fernseher, gefährdet werden. Zudem ist der Einsatz einer guten Sicherheitssoftware auf allen Endgeräten und die Verwendung sicherer, individueller Passwörter ratsam. Vor der Kaufentscheidung sollte der Sicherheitsaspekt zudem umfassend geprüft werden. Informationen zum Sicherheitsverhalten des Herstellers sowie unabhängige Testergebnisse helfen, vertrauenswürdige Geräte mit kontinuierlichem Support auszuwählen. Ein bewusster und reflektierter Umgang mit der Technik ist notwendig, um die Chancen der Smart-Home-Automatisierung verantwortungsvoll zu nutzen und Risiken zu minimieren.
Die aktuellen Vorfälle mit Ecovacs Saugrobotern mahnen eindringlich, dass Sicherheit im Internet der Dinge kein Luxus, sondern eine Grundvoraussetzung sein muss. Hersteller sind gefordert, substanzielle Sicherheitskonzepte zu implementieren und transparent mit Problemen umzugehen. Verbraucher tragen durch informierte Entscheidungen und angemessene Schutzmaßnahmen ihren Teil dazu bei, die digitale Privatsphäre zu bewahren und das eigene Zuhause sicher zu machen. Zusammenfassend zeigt der Fall der gehackten Ecovacs Saugroboter, wie vernetzte Systeme Ziel von Angriffen werden können, die nicht nur lästig sind, sondern auch weitreichende Eingriffe in Privatsphäre und Sicherheit bedeuten. Nur durch Kooperation aller Beteiligten, technische Innovationen und ein erhöhtes Sicherheitsbewusstsein kann nachhaltiger Schutz gewährleistet werden.
Bis dahin ist Vorsicht beim Umgang mit vernetzten Haushaltsgeräten geboten, um potenzielle Cyberrisiken zu reduzieren und den Alltag sorgloser genießen zu können.
