“Es fängt alles mit Datensammeln an”, sagt Stefan.
Die Datenschutzverordnung nervt. Man muss ja die ganze Zeit Entscheidungen treffen, ob ich meine Privatsphäre doch für diesen Service öffnen möchte. Aber was bei Cookies omnipräsent ist, ist bei unseren Haushaltsgeräten verborgen. Wie sieht aus mit der DSGVO Grundverordnung beim “Internet of Things”.
Hierzu hatten wir Stefan aus dem Labspace Darmstadt zu Besuch. Tagsüber beschäftigt er sich mit solarbetriebenen Energiesystemen für Yachten. Abends widmet er sich vielen Hobbies. Manchmal auch Staubsaugerrobotern.
Einem Xiamo STY204M MopPro um genau zu sein.
Und davon hat er uns heute Abend erzählt.
Dabei hat Stefan das Rad nicht neu erfunden, sondern auf vorherige Arbeiten der Arbeitsgruppe SEEMO an der TU Darmstadt aufgebaut. Also in einem Hobby Projekt die Ergebnisse der Sicherheitsforscher auf ein neueres Produkt abgewendet. Das hat ein wenig Anpassungsarbeit erfordert.
Aber Stefan war neugierig wohin seine privaten Datenstreams hingeleitet werden.
Also macht er sich auf die Suche. In seinem Vortrag nahm er uns mit in seine Feierabende.
Stefan zeigte uns wie man die Schale knackt, um an die begehrte Platine, oder auch PCB, zu kommen.
Auf den PCBs sind alle elektronischen Bauteile im Miniarturformat zum Schaltkreis verlötet. Quasi das Nervensystem und Herz-/Blutkreislauf in Einem.
Hat man diese freigelegt, kann man das Gerät nun rooten. Ein Gerät zu rooten verschafft einem Administratorrechte.
Oder anders ausgedrückt: Mensch ist Superuser.
So hat man die Berechtigung für viele weitere wichtige und technisch tieferliegenden Prozesse bekommen.
Man kann nun beispielsweise Open Source Software installieren, wie eine andere Steuerungssoftware, in diesem Fall ganz ohne Cloud. Denn nun läuft der Service “Steuerung” direkt auf dem Staubsauger und nicht auf einem fremden Computer, der über die Schnittstelle Internet mit dem Roboter im Austausch steht.
Ist das Gerät von seinen kommerziellen Fesseln befreit, lassen sich einige interessante Experimente damit durchführen.
So zum Beispiel kann man beobachten welche Datenströme dem normalen Nutzer verborgen bleiben.
Zwei Dinge sind hier besonders aufgefallen: Der umfassende Datenhunger des Roboters und die schwache Verschlüsselung der Daten. Das Passwort zur Verschlüsselung ist nämlich auf jedem Gerät gleich und wirklich nicht schwer zu erraten. Verraten wollen wir es hier trotzdem nicht ;).
Jetzt kann man sich natürlich fragen welche Daten ein Staubsaugerroboter schon sammeln kann. Die Antwort ist kurz und lang zugleich: Jede Menge! Und zwar Daten, die von uns in unserer privaten Wohnung gesammelt werden.
Der Roboter erstellt Karten, also Grundrisse, unserer Wohnungen. Jede Bewegung, aber auch jeder Sensorinput wird ebenfalls aufgenommen und gespeichert. Und natürlich sind die Daten auch mit einem Zeitstempel versehen.
So kann ein findiger Einbrecher recht einfach auf den Grundriss eurer Wohnung zugreifen. Da die Daten in einem zeitlichen Zusammenhang stehen, kann man recht schnell Muster erkennen wann jemand zu Hause ist und wann nicht. Da die Geräte immer häufiger im Internet hängen, müssen die Datendiebe dafür nicht einmal mehr auf dem selben Kontinent wie der Roboter sein.
Oder ganz anders gedacht: Die Rechenleistung des Staubsaugerroboters kann als Teil eines “Bot-Netzwerks” genutzt werden um Spam-Emails weiterzuleiten. Oder auch auch durch eine Flut an Anfragen Dienste im Internet für andere zu blockieren.
Wieso nun also ein solches Risiko auf den Markt bringen?
Ein großer Vorteil entsteht durch “predicitive maintenance”, also vorrausschauender Wartung. Mit Hilfe der Sensordaten, die den inneren Zustand des Geräts genau aufzeichnen, kann simuliert werden, wann welche Maßnahme zur Wartung durchgeführt werden muss. Und es ist viel einfacher diese Wartung auch wirklich durchzuführen.
Es befinden sich allerdings deutlich mehr Sensoren auf dem Gerät als für die Funktion notwendig. Beispielsweise kommen diese bereits serienweise mit Mikrofon.
Das muss aber nicht direkt die nächste Wanze sein, sondern hat einen Hintergrund im Produktdesign: Es kann mit einem Update in Zukunft auch Sprachsteuerung angeboten werden, sobald man diese als Anbieter mal zum Laufen bekommen hat. Hat man das Mikrofon nicht vorher verbaut, ist dieser Weg ausgeschlossen.
Auch die Karten von Wohnungen werden immer weiter verbessert, damit die Saugleistung gesteigert wird. Schließlich will man auch, dass ein Staubsaugerroboter eins garantiert: blitzblanke Böden. Das diese Daten allerdings dann auf einem Server in Singapur landen, wie Stefan feststellen musste, ist doch schon sehr merkwürdig.
Euer Grundriss lässt sich übrigens nicht ohne Superuser Rechte löschen. Verkauft ihr euren Roboter also gebraucht ohne ihn vorher zu hacken und die Daten zu löschen, verkauft ihr ebenfalls euren Grundriss gleich mit.
Man kann natürlich auch sagen: “Hey, dann mach das Ding doch einfach sicher?!” Ganz so einfach ist es leider mittlerweile doch nicht mehr.
Die Geräte, die wir einfach so im Haushalt stehen haben, haben mehr Rechenleistung als Einiges, was wir schon ins Weltall geschossen haben. Das Innenleben unserer Elektronik wird immer komplexer. Damit vermehren sich natürlich auch die Fehlerquellen. Und das sind Brutstätten für Sicherheitslücken.
Genau deshalb sind die Updates, die hoffentlich alle fleißig machen, auch so wichtig. Neben Problemen, die wir in der Bedienung merken, werden auch Sicherheitslücken im Hintergrund gestopft. Und das immer wieder aufs Neue.
“Aber wieso sollte ich mich überhaupt mit all dem Kram auseinandersetzen?” kann mich sich jetzt berechtigterweise fragen. Viele von uns sind weder Sicherheitsforscher, noch Programmierer.
Aber wir sind auf jeden Fall eins: Kunde und Verbraucher. Nur so kann man eine informierte Entscheidung treffen. Am Ende ist es dann doch unser Leben, welches in das Internet gestreamed wird. Und das ist im Moment noch eher zu vergleichen mit dem wilden Westen.
Danke dir Stefan, und dem SEEMO Lab, für eure Zeit/Arbeit und die Nachricht an uns alle: Augen auf beim IoT-Kauf!
Mehr Infos & Fotos dazu findet ihr hier:
https://dontvacuum.me/ & in den Vortragsfolien