Alles fing damit an, dass Dennis Giese sich im Jahr 2017 einen Staubsaugerroboter kaufen wollte. Der sollte Gieses kleine Wohnung in Darmstadt säubern, aber weil Giese Spezialist für IT-Sicherheit ist, interessierte ihn nicht nur, ob sein Gerät ordentlich Wollmäuse entfernt. Er wollte wissen, welche Informationen so ein Roboter über seine Nutzer sammelt und an den Hersteller weitergibt. Und das war nicht wenig, wie er später in einem Vortrag auf einem Hackerkongress zeigte.

Doch wie viele der gesammelten Informationen verbleiben auf den Geräten selbst – und was kann man noch auf alten Gadgets finden, die beispielsweise im Internet gebraucht verkauft werden? Giese begann einzukaufen.

Die Geräte von deutschen Nutzern kaufte er auf Onlineportalen. In Boston, wo er ebenfalls zur Cybersicherheit forscht, begab er sich auch offline auf Shopping-Touren: “Da gibt es Technik-Flohmärkte, da findet man einiges. Das meiste habe ich aber in Deutschland gekauft”, sagt er.

Rund 200 smarte Geräte besitze er inzwischen, neu oder gebraucht. Staubsauger und Überwachungskameras, Media Player und Drohnen, Kühlschränke, Router, Waschmaschinen und Geschirrspüler sind dabei. “Oft werden die kaputt angeboten, zum Beispiel mit einem Wasserschaden oder einem defekten Motor”, so Giese. “Das ist mir völlig egal, ich will eh nur an die Hauptplatine.” Und die hat es mitunter in sich.

WLAN-Passwörter im Staubsauger, Pornos auf der Playstation

Giese hat zum Beispiel Geräte erworben, die von ihren Vorbesitzern gar nicht zurückgesetzt worden sind. Auf einem Media Player fand er etwa nicht nur eine umfangreiche Porno-Sammlung, sondern auch die E-Mail-Adresse des früheren Besitzers, die mit Googles Play Store verknüpft war.

Als er in der Uni von dem Fund berichtete, erzählte ihm ein Kommilitone, auch er habe auf einer gebrauchten Playstation 3 einmal jede Menge “Erwachsenenfilme” gefunden. Gieses Professor riet ihm, sich nicht durch die Daten des fremden Nutzers zu wühlen, sondern es beim bloßen Fund zu belassen. Das sah Giese auch so.

Dass auf alten Geräten – etwa gebrauchten Festplatten, Rechnern oder Handys – oft noch jede Menge Daten schlummern, ist nicht neu, schon gar nicht in der Hackerszene, bei deren Sommercamp Giese seine Funde vorstellt. Doch gerade bei Smarthome-Geräten bleibt die Gefahr für die Nutzer oft abstrakt: Was kann ein Haushaltsgerät schon über mich wissen?

Auf smarten Kameras fand Giese Videoschnipsel, auf Staubsaugerrobotern Karten der zuvor gesaugten Wohnung. Und weil es sich um smarte Geräte handelt, kam er mindestens an die WLAN-Zugangsdaten – womit sich manchmal viel anfangen lässt. “Viele Menschen benutzen ihr Passwort für mehrere Dienste, und dieses Passwort habe ich dann”, sagt Giese. “Und wenn man eine smarte Glühbirne in den Müll wirft, sollte man dran denken, dass ein technisch versierter Nachbar darüber theoretisch an die WLAN-Zugangsdaten kommen könnte. Und damit hätte er Zugang zum Heimnetzwerk.” Schließlich arbeite er selbst mit bekannten Methoden, im Grunde sei das alles nichts Neues – nur würde die Anzahl der vernetzten Geräte in den Haushalten zunehmen.

WLAN-Daten führten den Hacker zur alten Wohnung des Staubsaugers

In manchen Fällen war es Giese sogar möglich, anhand der WLAN-Zugangsdaten herauszufinden, wo der vorherige Besitzer wohnt. Ein Staubsaugerroboter kam aus Magdeburg, einer aus Hanau. “Bei dem aus Hanau waren zwei WLANs registriert. Mithilfe der Google-Lokalisierungs-API konnte ich bis auf 13 Meter genau herausfinden, wo die Wohnung sein musste”, sagt der Forscher. Das habe sich dann leicht verifizieren lassen, weil im Namen des WLANs ein Teil der Adresse auftauchte.

Keineswegs ist es immer die Schuld der Nutzers, dass auf den Geräten noch viele Daten liegen. Laut Giese ist es oft so, dass ein “sauberes Löschen” für den Nutzer gar nicht möglich ist. Das hänge damit zusammen, welcher Speicher in dem Gerät verbaut sei. “Wenn ich Geräte kaufe, treffe ich meistens auf eine dieser drei Möglichkeiten: Entweder wurde gar nichts zurückgesetzt oder die Nutzer haben es zwar versucht, aber nur oberflächlich etwas gelöscht, beispielsweise die WLAN-Daten. Im dritten Fall haben die Hersteller geschludert, weil sie eine komplette Datenlöschung unmöglich machen”, so Giese.

Den Betroffenen hilft diese Einsicht wenig – schließlich ist jede dieser Varianten unangenehm. Und auch Giese hat keine Lösung für das Problem: “Es wäre aber schon ein erster Schritt, wenn sich die Leute bewusst wären, was so ein Gerät speichert und dass darauf noch einiges zu finden sein kann.”

Er rät davon ab, gebrauchte smarte Haushaltsgeräte zu verkaufen oder weiterzugeben, sofern der Nutzer keine Vorstellung davon habe, welche Informationen sich darauf noch befinden. Oder wenn man nicht mehr in der Lage ist, die Daten zu löschen: “Oft geht das ja gar nicht, weil das Gerät defekt ist.” Da sollte sich jeder Nutzer überlegen, ob er es wirklich “an Bastler” verkaufen möchte – denn “Bastler” sind eben auch so Leute wie Giese. Nur nicht immer mit guten Absichten.