Internet der Dinge Das verrät Ihr kaputter Staubsauger noch alles über Sie

Ausrangierte Smarthome-Geräte landen auf eBay-Kleinanzeigen, dem Flohmarkt oder im Müll. Oft haben sie noch viele Daten über ihren Vorbesitzer gespeichert. Ein Hacker hat Dutzende gebrauchte Geräte gekauft - und Erstaunliches gefunden.

Staubsauger-Hack: Dennis Giese zerlegt gebrauchte Geräte und fahndet darauf nach Daten, die viel über die Vorbesitzer verraten
Dennis Giese

Staubsauger-Hack: Dennis Giese zerlegt gebrauchte Geräte und fahndet darauf nach Daten, die viel über die Vorbesitzer verraten

Von , Zehdenick


Alles fing damit an, dass Dennis Giese sich im Jahr 2017 einen Staubsaugerroboter kaufen wollte. Der sollte Gieses kleine Wohnung in Darmstadt säubern, aber weil Giese Spezialist für IT-Sicherheit ist, interessierte ihn nicht nur, ob sein Gerät ordentlich Wollmäuse entfernt. Er wollte wissen, welche Informationen so ein Roboter über seine Nutzer sammelt und an den Hersteller weitergibt. Und das war nicht wenig, wie er später in einem Vortrag auf einem Hackerkongress zeigte.

Doch wie viele der gesammelten Informationen verbleiben auf den Geräten selbst - und was kann man noch auf alten Gadgets finden, die beispielsweise im Internet gebraucht verkauft werden? Giese begann einzukaufen.

Die Geräte von deutschen Nutzern kaufte er auf Onlineportalen. In Boston, wo er ebenfalls zur Cybersicherheit forscht, begab er sich auch offline auf Shopping-Touren: "Da gibt es Technik-Flohmärkte, da findet man einiges. Das meiste habe ich aber in Deutschland gekauft", sagt er.

Dennis Giese hat inzwischen mehr als 200 smarte Geräte auf Datenreste untersucht
Thorsten Schröder CC-BY 2.0

Dennis Giese hat inzwischen mehr als 200 smarte Geräte auf Datenreste untersucht

Rund 200 smarte Geräte besitze er inzwischen, neu oder gebraucht. Staubsauger und Überwachungskameras, Media Player und Drohnen, Kühlschränke, Router, Waschmaschinen und Geschirrspüler sind dabei. "Oft werden die kaputt angeboten, zum Beispiel mit einem Wasserschaden oder einem defekten Motor", so Giese. "Das ist mir völlig egal, ich will eh nur an die Hauptplatine." Und die hat es mitunter in sich.

WLAN-Passwörter im Staubsauger, Pornos auf der Playstation

Giese hat zum Beispiel Geräte erworben, die von ihren Vorbesitzern gar nicht zurückgesetzt worden sind. Auf einem Media Player fand er etwa nicht nur eine umfangreiche Porno-Sammlung, sondern auch die E-Mail-Adresse des früheren Besitzers, die mit Googles Play Store verknüpft war.

Als er in der Uni von dem Fund berichtete, erzählte ihm ein Kommilitone, auch er habe auf einer gebrauchten Playstation 3 einmal jede Menge "Erwachsenenfilme" gefunden. Gieses Professor riet ihm, sich nicht durch die Daten des fremden Nutzers zu wühlen, sondern es beim bloßen Fund zu belassen. Das sah Giese auch so.

Dass auf alten Geräten - etwa gebrauchten Festplatten, Rechnern oder Handys - oft noch jede Menge Daten schlummern, ist nicht neu, schon gar nicht in der Hackerszene, bei deren Sommercamp Giese seine Funde vorstellt. Doch gerade bei Smarthome-Geräten bleibt die Gefahr für die Nutzer oft abstrakt: Was kann ein Haushaltsgerät schon über mich wissen?

Auf smarten Kameras fand Giese Videoschnipsel, auf Staubsaugerrobotern Karten der zuvor gesaugten Wohnung. Und weil es sich um smarte Geräte handelt, kam er mindestens an die WLAN-Zugangsdaten - womit sich manchmal viel anfangen lässt. "Viele Menschen benutzen ihr Passwort für mehrere Dienste, und dieses Passwort habe ich dann", sagt Giese. "Und wenn man eine smarte Glühbirne in den Müll wirft, sollte man dran denken, dass ein technisch versierter Nachbar darüber theoretisch an die WLAN-Zugangsdaten kommen könnte. Und damit hätte er Zugang zum Heimnetzwerk." Schließlich arbeite er selbst mit bekannten Methoden, im Grunde sei das alles nichts Neues - nur würde die Anzahl der vernetzten Geräte in den Haushalten zunehmen.

WLAN-Daten führten den Hacker zur alten Wohnung des Staubsaugers

In manchen Fällen war es Giese sogar möglich, anhand der WLAN-Zugangsdaten herauszufinden, wo der vorherige Besitzer wohnt. Ein Staubsaugerroboter kam aus Magdeburg, einer aus Hanau. "Bei dem aus Hanau waren zwei WLANs registriert. Mithilfe der Google-Lokalisierungs-API konnte ich bis auf 13 Meter genau herausfinden, wo die Wohnung sein musste", sagt der Forscher. Das habe sich dann leicht verifizieren lassen, weil im Namen des WLANs ein Teil der Adresse auftauchte.

Keineswegs ist es immer die Schuld der Nutzers, dass auf den Geräten noch viele Daten liegen. Laut Giese ist es oft so, dass ein "sauberes Löschen" für den Nutzer gar nicht möglich ist. Das hänge damit zusammen, welcher Speicher in dem Gerät verbaut sei. "Wenn ich Geräte kaufe, treffe ich meistens auf eine dieser drei Möglichkeiten: Entweder wurde gar nichts zurückgesetzt oder die Nutzer haben es zwar versucht, aber nur oberflächlich etwas gelöscht, beispielsweise die WLAN-Daten. Im dritten Fall haben die Hersteller geschludert, weil sie eine komplette Datenlöschung unmöglich machen", so Giese.

Den Betroffenen hilft diese Einsicht wenig - schließlich ist jede dieser Varianten unangenehm. Und auch Giese hat keine Lösung für das Problem: "Es wäre aber schon ein erster Schritt, wenn sich die Leute bewusst wären, was so ein Gerät speichert und dass darauf noch einiges zu finden sein kann."

Er rät davon ab, gebrauchte smarte Haushaltsgeräte zu verkaufen oder weiterzugeben, sofern der Nutzer keine Vorstellung davon habe, welche Informationen sich darauf noch befinden. Oder wenn man nicht mehr in der Lage ist, die Daten zu löschen: "Oft geht das ja gar nicht, weil das Gerät defekt ist." Da sollte sich jeder Nutzer überlegen, ob er es wirklich "an Bastler" verkaufen möchte - denn "Bastler" sind eben auch so Leute wie Giese. Nur nicht immer mit guten Absichten.

Mehr zum Thema


insgesamt 34 Beiträge
Alle Kommentare öffnen
Seite 1
inspirol 22.08.2019
1. Das ist der Hammer
In der Tat, meine alten Computer gehen getrennte Wege: Schätzchen bzw. Meilensteine zieren mein Büro - aber nur die- Festplatten und anderes elektronisches Gerät wandert in den Keller, bleib da bis das Regal voll ist und wird dann mittels eines stabilen Hammers gelöscht und gehen zum Schrott. Bleiben noch Teile die ich verkaufe. Hier lösche ich die Datenträger indem ich sie neu formatiere und komplett mit Nullen und Einsen überschreiben lasse. Zugegen Aufwändig und Platzraubend aber Ziel so gut als möglich erreicht. Ich denke das genügt. Wenn nicht, ich lerne gern dazu.
Oberleerer 22.08.2019
2.
Ich weiß immer garnicht, was in den Menschen vorgeht. Einerseits sind sie schlau genug ihre Zugangsdaten in so ein Gerät zu konfigurieren, andererseits herrscht völlige Sorglosigkeit bei der Anschaffung solch eines Plunders.
geris 22.08.2019
3. Alles
... hat seinen Preis, vor allem die Bequemlichkeit. Ob es einem das Wert ist, muss jeder für sich selbst entscheiden. Mir persönlich kommt solch ein "Smartgerät" nicht ins Haus. Internet und Co. reichen.
Nonvaio01 22.08.2019
4. darum landen meine sachen im Muell
in die schwarze Tonne und gut ist. das landet eh in der Verbrennungs anlage.
peeka(neu) 22.08.2019
5. Es mag nicht ganz ins Thema passen
aber warum schafft man sich einen Staubsauger an, der sich mit dem WLAN verbindet? Oder welchen Mehrwert bringt ein vernetzter Kühlschrank? Ich bin absolut kein Technikfeind, aber noch kann ich nicht erkennen, aus welchem Grunde ich mir diese "smart things" anschaffen sollte.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.