Nur Drogendealer und IT-Hersteller nennen ihre Kunden user, also Nutzer. Denn wer sich heutzutage beispielsweise einen Staubsauger, eine elektrische Zahnbürste oder auch einen Dildo zulegt, kann diese Geräte anschließend zwar nutzen, aber sie gehören ihm nicht. Viele Haushaltsgeräte unterhalten eine ständige Datenverbindung zu ihrem Hersteller und übermitteln ihm, was sie im Alltag so sehen, hören und erleben. Der Hersteller wiederum kann sie über diese Verbindung fernsteuern, ohne dass der Käufer Einfluss darauf hat. Wer nicht von seinen Haushaltsgeräten ausgespäht werden möchte, sollte sie nicht kaufen, abstellen lässt sich die Datenverbindung meistens nicht. Es sei denn, man hackt sie. Beispielsweise mit einem Stück Aluminiumfolie.

Dennis Giese und Daniel Wegemer haben Letzteres getan. Die beiden Wissenschaftler wollten mehr darüber wissen, welche Daten vernetzte Haushaltsgeräte sammeln und übertragen. Ihre Testobjekte waren unter anderem automatische Staubsauger der chinesischen Firma Xiaomi. Die gibt es bislang zwar nur für den chinesischen und den amerikanischen Markt, doch sind sie mit umgerechnet rund 300 Euro sehr viel billiger als ähnliche, auch hierzulande erhältliche Geräte von Vorwerk oder iRobot. Da die beiden für ihre Forschung neun selbstfahrende Staubsauger gekauft und auseinandergenommen haben, war der Preis ein wesentliches Argument. Außerdem funktionieren all diese Systeme im Prinzip gleich: Sensoren in den Staubsaugern vermessen die Umgebung und sammeln Informationen über die Wohnung, die sie reinigen, und über deren Bewohner.

Immerhin mussten sich Giese und Wegemer einige Mühe geben, um überhaupt an die auf dem Gerät gespeicherten Informationen zu gelangen. Wie sie in einem Vortrag auf dem 34. Chaos Communication Congress (34C3) in Leipzig zeigten, war der Robot Vacuum von Xiaomi gegen übliche Angriffe auf sein Innenleben geschützt. Erst als sie auf die Idee kamen, einen der auf der Platine verlöteten Prozessoren anzugreifen, war das System geschlagen. Die beiden schoben dazu ein Stück Aluminiumfolie unter den Chip. Sie sorgte dafür, dass der Prozessor keine eindeutigen Daten mehr bekam und sich daraufhin in einen Notfallmodus versetzte. Dieses Notfallsystem konnten die beiden schließlich nutzen, um an das Betriebssystem zu gelangen, eigene Software zu installieren und den Staubsaugerroboter damit zu übernehmen.

Das mit der Folie klingt einfacher, als es ist. Wer nicht genau weiß, was er da tut, kann den Prozessor auf diese Art problemlos zerstören.

Auch Haushaltsgeräte sind echte Computer

Das Ganze zeigt daher einerseits, dass sich der Hersteller durchaus Gedanken über die Sicherheit gemacht hat. "Internet-of-things-Geräte aus China sind oft besser entwickelt als die aus anderen Ländern", sagt Giese. Andererseits beweist es aber auch, dass jedes System angegriffen werden kann und dass es für den Hersteller kaum möglich ist, jeden Angriff vorherzusehen. "Viele Entwickler solcher Geräte verstehen nicht, dass die Chips in ihren Systemen vollwertige Computer sind und man sie auch wie einen vollwertigen Computer gegen Angriffe verteidigen müsste", sagt Giese.

Dafür wäre es jetzt höchste Zeit. Praktisch alle Hersteller versuchen, ihre Artikel mit dem Internet, mit eigenen Servern und mit anderen Geräten zu vernetzen, egal ob es sich dabei um Kühlschränke oder um Autos handelt. Sie versprechen ihren Kunden ständige Updates der eingesetzten Software, damit mehr Bequemlichkeit und eben auch mehr Sicherheit. Und sie hoffen, ihre Angebote dank der gesammelten Daten attraktiver machen zu können. "Smarte Devices erheben Daten, ohne dass dies den Nutzern bewusst ist", sagt Wegemer.

Der chinesische Staubsaugerroboter zum Beispiel legt Karten der Orte an, die er reinigt. Das tun andere, wie der Roomba, auch. Manche schießen dafür sogar Fotos ihrer Umgebung. Werden die Daten nicht nur lokal auf dem Gerät verarbeitet, sondern übertragen, erfährt der Hersteller die Größe und den Schnitt der Wohnung und auch einiges über die Lebensgewohnheiten der Bewohner.

Um mit seinem Hersteller kommunizieren zu können, nutzt der Staubsauger das WLAN des Käufers. Also speichert er auch alle relevanten Informationen über dieses drahtlose Netzwerk. Damit kennt der Hersteller den genauen Wohnort. Denn über die Mac-Adresse des WLAN kann der genaue Ort bestimmt werden, da Firmen wie Google und Apple weltweite Karten mit allen bekannten WLANs anlegen, um sie neben dem Satellitensystem GPS zur Ortsbestimmung zu nutzen.