Saugroboter & Datenschutz — Was die smarten Helfer wirklich wissen

Inhalt

01Kameras, Mikrofone, 3D-Grundrisse: Weit mehr als Staub
02Wohin fließen die Daten? Hersteller im Überblick
03Vom Toilettenfoto bis zur Roboter-Armee: 2022–2026
04KI-Training, Werbeprofiling und der fast-verkaufte Grundriss
05Recht hinkt hinterher — was BSI und Behörden sagen
06Vom Gast-WLAN bis zur Cloud-Befreiung: So schützt du dich

Schwerpunkt 1 — Was Saugroboter wirklich erfassen

Kameras, Mikrofone, 3D-Grundrisse: Weit mehr als Staub

Moderne Saugroboter sind mit Sensorik ausgestattet, die weit über die Staubaufnahme hinausgeht. Die gesammelten Daten lassen sich in sechs Kategorien einteilen: Kartendaten (2D- und 3D-Grundrisse mit Raumgrößen, Möbelkonturen, Türen und Fenstern), Bilddaten (Fotos und Videos von Hindernissen und Räumen), Audiodaten (Sprachbefehle und Umgebungsgeräusche), Netzwerkdaten (WLAN-SSID, IP-Adressen), Nutzungsdaten (Reinigungszeiten, Bewegungsprofile, Fehlercodes) und Kontodaten (E-Mail, Seriennummern, MAC-Adressen).

„Grundrisse verraten über die Wohnungsgröße viel über den sozialen Status. Möbelfotos geben Hinweise auf Alter, Anwesenheit von Kindern oder körperlichen Zustand der Bewohner. Selbst der Reinigungsplan verrät den Lebensrhythmus." — Dr. Rebecca Balebako, Datenschutzexpertin, ZHAW

Kameras

Kameras sind mittlerweile in den meisten Premium-Modellen verbaut. Der iRobot Roomba j7/j9 nutzt eine Frontkamera für die PrecisionVision-Hinderniserkennung und identifiziert laut Ex-CEO Colin Angle über 80 verschiedene Objekttypen — von Tierkot bis Schuhen. Die Ecovacs Deebot X1/X2/T8–T30-Serie besitzt Kameras mit AIVI-Technologie (AI Visual Interpretation) und bietet zusätzlich Live-Videoüberwachung per App. Roborocks S6 MaxV, S7 MaxV und der Saros Z70 verfügen über Doppelkamera-Systeme (ReactiveAI). Dreame L20 Ultra und X50 Ultra setzen ebenfalls auf Kameranavigation — Sicherheitsforscher Dennis Giese fand in der Firmware einen „AI Server"-Ordner und Bild-Upload-Funktionen.

Mikrofone

Mikrofone sind vor allem in Ecovacs-Geräten verbaut: Die Deebot X1-Familie, T10, T20 und T30 haben eingebaute Mikrofone für den YIKO-Sprachassistenten inklusive Zwei-Wege-Audio. Wer dem „Verbesserungsprogramm für Sprachinteraktion" zustimmt, dessen Aufnahmen landen auf einem Ecovacs-Server in China.

Lokal vs. Cloud — was Hersteller behaupten und was stimmt

Roborock behauptet, Karten würden ausschließlich auf dem Gerät gespeichert — allerdings ergab eine Aktualisierung der Datenschutzerklärung im Juli 2025, dass koreanische Kundendaten „in China verarbeitet" werden könnten. iRobot speichert Navigationsbilder laut eigener Angabe nur auf dem Roboter. Ecovacs dagegen speichert Karten sowohl lokal als auch in der Cloud. Xiaomi bietet einen „Lokalmodus" an — standardmäßig ist er aber nicht aktiviert.

Schwerpunkt 2 — Server-Standorte

Wohin fließen die Daten? Hersteller im Überblick

Hersteller	Hauptsitz	Server-Standorte	Bewertung	Besonderheit
Vorwerk Kobold	Deutschland 🇩🇪	EU-Server	★★★ Sehr gut	AV-TEST 3/3, Stiftung Warentest Bestnote, minimale Datenerfassung
iRobot / Roomba	USA (→ China*)	AWS (AES-256AES-256Advanced Encryption Standard mit 256-Bit-Schlüssel - ein Verschlüsselungsverfahren, das als unknackbar gilt und auch von Militär und Banken eingesetzt wird. Schützt Daten bei der Übertragung.)	★★☆ Gut	*Insolvenz Dez. 2025, Übernahme durch chinesische Picea Robotics für 190 Mio. $
Roborock	Peking 🇨🇳	China, DE, RU, USA	★★☆ Verbessert	Datenweitergabe an Tuya Smart (Tencent-finanziert, Hangzhou)
Ecovacs Deebot	Suzhou 🇨🇳	AWS (USA) + Alibaba Cloud (CN)	★☆☆ Problematisch	Multiple Hacks, Daten explizit in CN, CCPA: „verkauft" personenbezogene Daten
Dreame	Suzhou 🇨🇳	Keine Angaben	★★☆ Akzeptabel	KI-Features standardmäßig deaktiviert; AGB unterliegen chinesischem Recht
Xiaomi	Peking 🇨🇳	NL, IN, SG, RU	★☆☆ Schlecht	AV-TEST 1/3, „konstanter Datenstrom zum chinesischen Hersteller" (AV-TEST)
SharkNinja	USA 🇺🇸	USA-basiert	★★☆ Gut	Consumer Reports: „Good" — erklärt, Daten nicht zu verkaufen
DJI Romo	Shenzhen 🇨🇳	China (Klartext)	★☆☆ Sehr schlecht	6.700 Geräte versehentlich öffentlich, Daten unverschlüsselt

⚠️

Discounter-Saugroboter (Aldi, Lidl, Action) nutzen häufig die chinesische Tuya-Plattform. Lidl behauptet Microsoft Azure in Europa zu nutzen — intern steckt jedoch ein Tuya-Zigbee-Modul. Der ESET-Forscher warnte: „Es ist schwer vorstellbar, dass Tuya bereit ist, IoT-Geräte sicher und robust in großem Maßstab bereitzustellen."

Schwerpunkt 3 — Chronik der Skandale

Vom Toilettenfoto bis zur Roboter-Armee: 2022–2026

Dez. 2022

● Kritisch

iRobot Roomba — Toilettenfoto auf Facebook. MIT Technology Review enthüllte: Entwicklungsversionen des Roomba J7 hatten intime Fotos aufgenommen — darunter eine Frau auf der Toilette und ein Kind. Die Bilder wurden an gesendet, wo venezolanische Gig-Worker sie zur KI-Datenannotation nutzten und anschließend Screenshots in Facebook-Gruppen teilten. 95 % der KI-Trainingsdaten stammten aus echten Wohnungen.

Mai 2024

● Kritisch

Ecovacs Deebot X2 — rassistische Beleidigungen in US-Haushalten. In Minnesota, Los Angeles und El Paso wurden Ecovacs-Roboter gehackt. Anwalt Daniel Swenson: Sein Roboter brüllte lautstark rassistische Beleidigungen durch die Lautsprecher — vor den Augen seines 13-jährigen Sohns. In Los Angeles jagte ein gehackter Deebot einen Hund durchs Haus.

Aug. 2024
DEF CON 32

● Kritisch

Ecovacs — Bluetooth-Übernahme aus 130 Metern. Forscher Dennis Giese und Braelynn Luedtke demonstrierten auf der : und Braelynn Luedtke demonstrierten: Ecovacs-Roboter konnten per Bluetooth aus bis zu 130 m Entfernung vollständig übernommen werden — in unter einer Sekunde. Der PIN-Schutz für Kamerafeeds wurde nur clientseitig geprüft. Kein Hardware-Indikator wenn Kamera/Mikrofon aktiv. Ecovacs hatte bereits im Dezember 2023 Bescheid gewusst. Antwort: Nutzer „müssen sich nicht übermäßig Sorgen machen." Betroffen: 11 Modellreihen inkl. Deebot X1, X2, T8–T10, N8–N10 und Mähroboter Goat G1.

Okt. 2024

● Hoch

Ecovacs — KI-Training mit Wohnungsfotos ohne echte Einwilligung. ABC News Australia deckte auf: Ecovacs sammelte über den Deebot X2 Fotos, Videos und Audioaufnahmen für das KI-Training. Nutzer, die „zustimmten", erfuhren nur vage Details — ein versprochener Info-Link existierte gar nicht.

2025

● Kritisch

Giese übernimmt ~7.000 Ecovacs-Geräte weltweit. Dennis Giese entdeckte einen Cloud-Authentifizierungsfehler, der theoretisch die Kontrolle über rund 7.000 Ecovacs-Geräte in mehreren Ländern ermöglichte — inkl. Kamera-, Mikrofon- und Kartenzugang. Die ein formelles Advisory. (CVSS 8.6): Einschleusung von Schadcode über manipulierte möglich.

2025

● Kritisch

iLife A11 — Backdoor, Klartextdaten und Remote-Kill-Switch. Ingenieur Harishankar Narayanan entdeckte: sein iLife A11 lief mit nicht authentifizierter , enthielt „rtty"-Fernzugriffssoftware und sendete permanent Daten nach China. Als er die Telemetrie blockierte, sendete der Hersteller einen Remote-Kill-Befehl — das Gerät wurde unbrauchbar. Dieselbe Hardware-Plattform (3irobotix CRL-200S) steckt auch in Geräten von Xiaomi, Wyze, Viomi und Proscenic.

Sep. 2025

● Hoch

KISA-Test: Dreame, Narwal, Ecovacs durchgefallen. Südkoreas Sicherheitsagentur testete 6 Marken in 40 Parametern. Dreame X50 Ultra: Remote-Kameraaktivierung möglich. Narwal Freo Z Ultra und Ecovacs Deebot X8 Pro Omni: mangelhafte App-Authentifizierung, Dritte konnten auf Reinigungsfotos zugreifen. Nur Samsung und LG erhielten Bestnoten.

Feb. 2026

● Kritisch

DJI Romo — versehentliche Roboter-Armee aus 24 Ländern. KI-Stratege Sammy Azdoufal in Spanien reverse-engineerte das seines DJI Romo. Innerhalb von 9 Minuten meldeten sich ~6.700 DJI Romo-Roboter aus 24 Ländern. Er hatte Zugang zu Live-Kamerafeeds, Mikrofonaudio, 2D-Grundrissen, Batterieständen, Seriennummern und IP-Adressen. Die Daten lagen in Klartext auf den Servern. DJI behauptete, das Problem sei behoben — Azdoufal widerlegte das 30 Minuten später.

Schwerpunkt 4 — Daten als Geschäftsmodell

KI-Training, Werbeprofiling und der fast-verkaufte Grundriss

Die Frage, ob Hersteller Kartendaten verkaufen, ist zentral. Direkte, bestätigte Verkäufe von Grundrissdaten an Dritte sind bislang nicht dokumentiert — wohl aber die klare Absicht und indirekte Monetarisierung.

Im Juli 2017 erklärte iRobot-CEO Colin Angle gegenüber Reuters, iRobot „könnte einen Deal abschließen, um seine Karten an Amazon, Apple oder Google zu verkaufen". Nach öffentlicher Empörung ruderte er zurück. Trotzdem sammelte iRobot in seiner Datenschutzerklärung: Alter, Geburtsdatum, Geschlecht, Gehalt, Freizeitinteressen, Anzahl der Kinder und Haustiere — Daten, die für einen Staubsauger nicht erforderlich sind.

      Ecovacs geht noch weiter: Die US-Datenschutzerklärung erlaubt die Weitergabe personenbezogener Daten für „Werbung und Analysen". Unter dem kalifornischen CCPACCPACalifornia Consumer Privacy Act - das kalifornische Datenschutzgesetz. Gibt Verbrauchern das Recht zu erfahren, welche Daten gesammelt werden, und dem Verkauf zu widersprechen. räumt Ecovacs ein, persönliche Informationen im regulatorischen Sinne zu „verkaufen" — sofern Nutzer nicht widersprechen.
    

Was die Amazon-Übernahme von iRobot bedeutet hätte

Die geplante Amazon-Übernahme für 1,7 Milliarden Dollar hätte Amazon Zugang zu den detailliertesten Wohnungsdaten der Welt verschafft. Die Roomba J7-Serie hatte über 43 Millionen Objekte in Privathaushalten erkannt und 80 Typen klassifiziert. In Kombination mit Alexa, Ring und Blink: ein umfassendes häusliches Überwachungsnetzwerk. Senatorin Elizabeth Warren schrieb an die FTC, Amazon würde damit „Augen und Ohren im Haus" bekommen. Die EU-Kommission blockierte den Deal im Januar 2024.

🔄

Die Ironie der Regulierung: Die EU blockierte Amazon aus Datenschutzgründen. Daraufhin ging iRobot in die Insolvenz — und wird nun von der chinesischen Picea Robotics für 190 Mio. $ übernommen. Die iRobot-Daten von Millionen Wohnungen könnten damit bald in chinesischer Hand liegen.

LidarPhone: Staubsauger als Laser-Mikrofon

Akademische Forschung zeigt das Missbrauchspotenzial: Forscher der University of Maryland und der National University of Singapore demonstrierten 2020 den „LidarPhone"-Angriff — der LiDARLiDARLight Detection and Ranging - ein Laser-Sensor, der die Umgebung in 3D vermisst. Erzeugt präzise Grundrisse der Wohnung. Forscher zeigten: Er kann sogar als Mikrofon missbraucht werden (LidarPhone-Angriff). eines Saugroboters wurde als Laser-Mikrofon umfunktioniert, um Gespräche abzuhören. Genauigkeit bei der Ziffernerkennung: über 90 Prozent. Eine forensische Analyse der Amazon iRobot Roomba-Cloud (ScienceDirect, 2023) entdeckte undokumentierte APIs, die die Extraktion der gesamten Reinigungshistorie und aller erkannten Objekte ermöglichten.

Schwerpunkt 5 — Regulierung

Recht hinkt hinterher — was BSI und Behörden sagen

Formelle DSGVO-Bußgelder gegen Saugroboter-Hersteller bislang

42 %

Deutschen wissen, dass Smart-Home-Geräte mit Malware infiziert werden können (BSI 2024)

2027

Ab Dez. 2027: EU Cyber Resilience Act — verbindliche Sicherheitsstandards für Saugroboter

Das BSIBSIBundesamt für Sicherheit in der Informationstechnik - Deutschlands oberste Cybersicherheitsbehörde. Warnt vor Saugrobotern mit Kameras/Mikrofonen und empfiehlt Netzwerkisolierung. hat eine dedizierte Seite zu Saugrobotern veröffentlicht und warnt vor 3D-Umgebungskartierung, Kamera-/Mikrofondatenerfassung und der permanenten Internetverbindung als Angriffsfläche. Die Bundesnetzagentur hat vor smarten Geräten mit versteckten Kamera- und Mikrofonfunktionen gewarnt — nach §90 TKG§90 TKGTelekommunikationsgesetz §90: Verbietet in Deutschland Geräte, die heimlich Bild- oder Tonaufnahmen machen können. Versteckte Kameras und Mikrofone in Alltagsgegenständen sind damit illegal. sind solche Geräte in Deutschland verboten. Der LfDI Baden-Württemberg titelte unmissverständlich: „Spion im eigenen Haus — Staubsaugerroboter als Datenschleuder."

Das chinesische Geheimdienstgesetz

Das chinesische Nachrichtendienstgesetz (2017) verpflichtet in Artikel 7: „Alle Organisationen und Bürger sollen gemäß dem Gesetz nationale Geheimdienstarbeit unterstützen, unterstützen und mit ihr kooperieren." Das Datensicherheitsgesetz (2021) und das Spionageabwehrgesetz (2023) erweitern diese Pflichten. Alle führenden Saugroboter-Hersteller — Ecovacs, Roborock, Dreame und Xiaomi — haben ihren Hauptsitz in China und unterliegen diesen Gesetzen.

🇪🇺

Der niederländische Think Tank Clingendael warnte in einem Bericht mit KPMG vor einer „Huawei-ähnlichen Entwicklung" und stellte fest: „Europäische Gesetzgebung reicht derzeit nicht aus, um europäische Daten zu schützen, die von ausländischen Unternehmen in Europa gesammelt werden." Der EU tritt für Saugroboter ab 11. Dezember 2027 in Kraft. Ab September 2026 gilt Meldepflicht bei Sicherheitslücken innerhalb von 24 Stunden. Bußgelder: bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes.

Schwerpunkt 6 — Schutzmaßnahmen

Vom Gast-WLAN bis zur Cloud-Befreiung: So schützt du dich

Minimale Eingriffe — App-Einstellungen

Einfach ↓

In der Hersteller-App lassen sich Cloud-Kartensynchronisation, Kamera-/KI-Features und Nutzungsdaten-Weitergabe meist deaktivieren. Ecovacs bietet eine physische Objektivabdeckung. Bei Dreame sind KI-Hinderniserkennung, Sprachsteuerung und Live-Kamera standardmäßig deaktiviert — prüfe, dass das so bleibt.

Kaspersky empfiehlt: „Den Roboter nur reinigen lassen, wenn keine Familienmitglieder anwesend sind" (bei kameraausgestatteten Modellen) und virtuelle Wandbarrieren für sensible Räume wie Schlafzimmer oder Bad einzurichten.

Netzwerkisolierung — Gast-WLAN und Pi-hole

Mittel ↓

Das BSI empfiehlt ausdrücklich, smarte Geräte in einem separaten Netzwerk (Gast-WLAN) zu betreiben. Das verhindert, dass ein kompromittierter Saugroboter auf Computer, NAS oder andere Geräte im Hauptnetzwerk zugreift. Die meisten Consumer-Router (Fritz!Box, TP-Link, ASUS) bieten Gastnetzwerke mit Geräte-Isolation.

Ergänzend blockiert ein Pi-holePi-holeEin Netzwerk-Werbeblocker, der auf einem Raspberry Pi läuft. Blockiert auf DNS-Ebene alle Verbindungen zu Tracking- und Telemetrie-Servern - nicht nur im Browser, sondern für alle Geräte im Netzwerk. oder AdGuard Home TelemetrieTelemetrieAutomatisch gesendete Nutzungsdaten an den Hersteller: Reinigungszeiten, Kartendaten, Fehlerprotokolle, Netzwerkinfos. Läuft permanent im Hintergrund, oft ohne dass der Nutzer es bemerkt. auf DNS-Ebene. Für Xiaomi-Geräte existieren dedizierte Blocklisten auf GitHub, die Domains wie a.stat.xiaomi.com, api.ad.xiaomi.com und data.mistat.xiaomi.com filtern.

Fortgeschrittene Nutzer können über UniFi oder OpenWrt dedizierte IoT-VLANsVLANVirtual Local Area Network - ein virtuelles Netzwerk innerhalb deines Routers, das Smart-Home-Geräte vollständig von Computern und Handys trennt. Selbst wenn der Saugroboter gehackt wird, kommt der Angreifer nicht an andere Geräte. mit granularen Firewall-Regeln einrichten.

Valetudo — vollständige Cloud-Befreiung

Fortgeschritten ↓

ValetudoValetudoOpen-Source-Firmware-Ersatz für Saugroboter, der die Cloud-Verbindung komplett entfernt. Alle Funktionen bleiben erhalten, aber kein Datenpaket verlässt mehr das lokale Netzwerk. Benötigt technisches Wissen zur Installation. ist eine Open-Source-Software, die den Cloud-Zugang vollständig durch lokale Steuerung ersetzt. Entwickelt vom deutschen Entwickler Sören Beye, läuft sie als „Gehirnparasit" auf der Originalfirmware und ersetzt ausschließlich die Cloud-Konnektivität. Alle Funktionen (Navigation, Kartierung, Reinigung) bleiben erhalten — aber kein einziges Datenpaket verlässt das lokale Netzwerk.

Unterstützte Modelle: Dreame (D9, L10 Pro, L10s Ultra, L20 Ultra, X40 Ultra), Roborock (S5–S8, Q7 Max, Q Revo), Xiaomi, Eureka. Integration in Home Assistant über MQTT. Die Installation erfordert bei Dreame-Geräten einen 3,3V-UART-Adapter und das „Dreame Breakout PCB" — bei älteren Roborock-Modellen geht es kabellos per OTA-Methode.

→ valetudo.cloud

Komplett offline — WLAN-freie Modelle

Maximale Sicherheit ↓

Wer maximale Privatsphäre will, greift zu einem Saugroboter ohne WLAN. Modelle wie die Eufy RoboVac 11S MAX, Medion MD 18510 oder ZACO V5s Pro funktionieren ausschließlich per Fernbedienung — ohne jede Netzwerkverbindung. Der Preis: keine App, kein intelligentes Raummanagement.

Aber auch: null Datenerfassung, null Cloud-Abhängigkeit, null Datenschutzrisiko. Für alle, bei denen Komfort weniger zählt als Sicherheit, ist das die konsequenteste Lösung.

Besonderer Tipp: Der Miele Scout RX3 hat ein physisch entfernbares WLAN-Modul — einzigartiges Datenschutzmerkmal bei einem Premium-Modell.

Schwerpunkt 7 — Fazit

🤖 Die Privatsphäre-Kosten der Bequemlichkeit

Die Vorfälle zwischen 2022 und 2026 — von intimen Toilettenfotos auf Facebook über rassistische Beleidigungen aus gehackten Robotern bis hin zu versehentlich kontrollierbaren Roboter-Armeen aus 24 Ländern — sind keine Einzelfälle. Sie sind Symptome einer Industrie, die Funktionalität konsequent über Sicherheit stellt.

Drei Erkenntnisse stechen hervor: Erstens ist die Behauptung „Daten bleiben lokal" oft irreführend — selbst Roborock, das dies am stärksten bewirbt, teilt Nutzerdaten mit dem chinesischen IoT-Anbieter Tuya Smart. Zweitens zeigt der Fall iRobot die Ironie gescheiterter Regulierung: Die EU blockierte Amazon aus Datenschutzgründen, woraufhin iRobot in die Insolvenz ging — und nun von einem chinesischen Unternehmen übernommen wird. Drittens existieren mit Valetudo, Netzwerkisolierung und WLAN-freien Modellen praktikable Alternativen, die belegen: Gründliche Reinigung und Datenschutz schließen sich nicht aus — sie erfordern nur bewusstere Kaufentscheidungen.

Praktisch alle führenden Marken sind mittlerweile chinesisch und unterliegen Gesetzen, die sie zur Kooperation mit Geheimdiensten verpflichten können. Wer einen Saugroboter kauft, sollte das wissen.

Quellen & Belege

[1]

MIT Technology Review: iRobot Roomba Fotoleak (Dezember 2022)

Enthüllung des Roomba J7-Fotoleaks: Intime Haushaltsfotos bei venezolanischen Gig-Workern auf Facebook. 95 % der Trainingsdaten aus echten Wohnungen.

technologyreview.com/2022/12/19/1065306/roomba-irobot-robot-vacuums-artificial-intelligence-training-data-privacy/

[2]

ABC News Australia: Ecovacs KI-Datensammlung (Oktober 2024)

Ecovacs Deebot X2 sammelte Fotos, Videos und Audio für KI-Training ohne transparente Einwilligung. Versprochener Informationslink existierte nicht.

abc.net.au/news/science/2024-10-04/robot-vacuums-are-photographing-people-in-their-homes/104430236

[3]

The Guardian / TechCrunch: Ecovacs-Hacks in US-Städten (Mai 2024)

Deebot X2-Roboter in Minnesota, Los Angeles und El Paso gehackt — rassistische Beleidigungen aus Lautsprechern, Kamerafeeds übernommen.

theguardian.com/technology/2024/oct/04/robot-vacuum-cleaner-hack-deebot-x2

[4]

DEF CON 32: Dennis Giese & Braelynn Luedtke — Ecovacs Sicherheitsanalyse (August 2024)

Vollständige Ecovacs-Übernahme per Bluetooth aus 130 m. 11 Modellreihen betroffen. Ecovacs hatte seit Dezember 2023 Bescheid — und reagierte nicht.

media.defcon.org/DEF CON 32/presentations/Giese-Braelynn-Hacking-Ecovacs.pdf

[5]

CISA Advisory: Ecovacs CVE-2025-30199 (2025)

Formelles Advisory der US-Cybersicherheitsbehörde CISA zu Ecovacs-Schwachstellen. CVSS 8.6: Einschleusung von Schadcode über manipulierte Firmware-Updates.

cisa.gov/news-events/cybersecurity-advisories

[6]

Sammy Azdoufal: DJI Romo MQTT-Analyse — versehentliche Roboter-Armee (Februar 2026)

Reverse-Engineering des MQTT-Protokolls: ~6.700 DJI Romo-Roboter aus 24 Ländern zugänglich, Daten in Klartext auf Servern.

sammy.link/romo

[7]

Harishankar Narayanan: iLife A11 Backdoor und Kill-Switch (2025)

Offene ADB-Schnittstelle, rtty-Fernzugriff, Datenstrom nach China und Remote-Kill-Befehl nach Telemetrie-Blockierung. Gleiche Plattform in Xiaomi, Wyze, Viomi, Proscenic.

linkedin.com/posts/harishankar-narayanan/ (Primärdokumentation)

[8]

BSI: Sicherheitshinweise zu Saugrobotern

Offizielle BSI-Warnung vor 3D-Kartierung, Kamera-/Mikrofondatenerfassung und Empfehlung des Gast-WLAN-Betriebs für smarte Haushaltsgeräte.

bsi.bund.de/DE/Themen/Verbraucher/Internet-der-Dinge/Saugroboter/

[9]

AV-TEST: Sicherheits- und Datenschutzbewertungen von Saugrobotern

Unabhängige Tests: Vorwerk 3/3 Sterne, Xiaomi/Roborock S55 mit erfolgreichen Man-in-the-Middle-Angriffen auf TLS-Verbindungen. Xiaomi: konstanter Datenstrom zum Hersteller.

av-test.org/de/sicherheit/smart-home/staubsaugerroboter/

[10]

Mozilla Foundation: *Datenschutz nicht inbegriffen* — Saugroboter-Bewertungen

Bewertungen von Ecovacs (Datenweitergabe an Dritte für Marketing), Wyze (verkauft personenbezogene Daten) und weiteren Herstellern.

foundation.mozilla.org/de/privacynotincluded/categories/robot-vacuums/

[11]

LidarPhone: Angriff auf LiDAR-Sensoren (2020) — University of Maryland & NUS

LiDAR-Sensor als Laser-Mikrofon: >90 % Genauigkeit bei Ziffernerkennung aus Gesprächsmitschnitten. Demonstriert auf einem Ecovacs-Roboter.

arxiv.org/abs/2005.00100

[12]

EU Cyber Resilience Act (Dezember 2024)

In Kraft seit Dezember 2024. Verbindliche Cybersicherheitsanforderungen für Saugroboter ab 11. Dezember 2027. Meldepflicht bei Lücken ab September 2026.

eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R2847

[13]

Valetudo — Open-Source Cloud-Replacement für Saugroboter

Entwickelt von Sören Beye, basierend auf Dennis Gieses Sicherheitsforschung. Ersetzt Cloud-Konnektivität durch lokale Steuerung. Unterstützt Dreame, Roborock, Xiaomi u.a.

valetudo.cloud

[14]

Carnegie Endowment: Chinesisches Nachrichtendienstgesetz und Tech-Unternehmen (Januar 2025)

Analyse der rechtlichen Kooperationspflichten chinesischer Unternehmen mit Geheimdienstbehörden. Betrifft alle in China ansässigen Saugroboter-Hersteller.

carnegieendowment.org/research/2025/01/chinas-tech-companies-and-national-security