Yarbo-Roboter: Sicherheitslücken bei 11.000 Rasenmährobotern entdeckt

Ein deutscher Sicherheitsforscher hat schwerwiegende Sicherheitslücken in der Yarbo-Plattform für Gartenroboter aufgedeckt. Betroffen sind rund 11.000 internetfähige Geräte weltweit – mit potenziell gefährlichen Folgen.

Die modularen Yarbo-Roboter, die je nach Aufsatz Rasen mähen, Schnee räumen oder Laub blasen können, entpuppten sich als wahre Sicherheitskatastrophe. Der deutsche Forscher Andreas Makris veröffentlichte Anfang Mai 2026 eine umfassende Analyse, die mehrere kritische Schwachstellen offenlegte. Die Lücken wurden inzwischen offiziell in der National Vulnerability Database erfasst.

Die massiven Passwort-Probleme bei vernetzten Geräten zeigen, wie leicht ungeschützte Zugangsdaten zum Sicherheitsrisiko werden. Dieser kostenlose Report erklärt, wie Sie mit der neuen Passkey-Technologie Ihre Konten und Geräte effektiv vor Hackerangriffen absichern. Passkey-Ratgeber jetzt gratis nachlesen

Drei fatale Fehler im System

Das Herzstück der Sicherheitsprobleme besteht aus drei grundlegenden Konstruktionsfehlern. Erstens: Jeder Yarbo-Roboter wird mit demselben, fest einprogrammierten Root-Passwort ausgeliefert. Wer ein Gerät knackt, hat damit den Schlüssel für die gesamte Flotte.

Zweitens nutzt die Plattform einen ungeschützten MQTT-Broker für die Kommunikation. Das ermöglicht Angreifern nicht nur das Abfangen sensibler Daten, sondern auch das gleichzeitige Senden von Befehlen an tausende Roboter.

Der dritte und vielleicht gravierendste Fehler: Ein permanenter Diagnose-Tunnel – offiziell als CVE-2026-7413 gelistet – fungiert als absichtlich eingebaute Hintertür. Eigentlich für Wartungsarbeiten durch die Entwickler gedacht, bleibt dieser Zugang selbst nach einem Werksreset oder Software-Updates aktiv. Der Nutzer kann ihn nicht deaktivieren.

Wenn der Rasenmäher zur Waffe wird

Die Sicherheitslücken gehen weit über den Diebstahl von Daten hinaus. Sie betreffen die physische Sicherheit. Yarbo-Roboter steuern schwere Maschinen mit rotierenden Messern – ein Albtraum-Szenario für jeden Hacker.

In kontrollierten Tests im Frühjahr 2026 gelang es Forschern, einen 90 Kilogramm schweren Mähroboter aus tausenden Kilometern Entfernung zu übernehmen. Sie konnten die Messer aktivieren, Not-Stopp-Befehle umgehen und den Roboter gezielt steuern. Die Geräte arbeiten in Wohngebieten, wo Kinder und Haustiere unterwegs sind – die Gefahr ist real.

Die Datenschutz-Verstöße sind nicht minder alarmierend. Angreifer können präzise GPS-Koordinaten, Heim-WLAN-Passwörter und E-Mail-Adressen der Besitzer abgreifen. Da die Roboter mit HD-Kameras und KI-gestützten Sensoren ausgestattet sind, lassen sich sogar Live-Videostreams abrufen. In einem Fall beobachteten Analysten einen Mähroboter in der Nähe eines großen Kraftwerks – ein Alarmsignal für m?ögliche Industriespionage.

Yarbo reagiert – aber reicht das?

Yarbo-Mitgründer Kenneth Kohlmann räumte Mitte Mai 2026 ein, dass die technischen Befunde korrekt seien und das Unternehmen zunächst unzureichend reagiert habe. Inzwischen wurden mehrere Notfall-Patches veröffentlicht:

• Vorübergehende Deaktivierung aller Diagnose-Tunnel
• Einführung individueller Geräte-Passwörter
• Automatischer Schlüsseltausch per Over-the-Air-Update
• Einschränkung ungeschützter Cloud-Schnittstellen

Doch Kritiker bleiben skeptisch. Yarbo hält an einem Herstellerzugang fest – wenn auch jetzt durch Whitelists und strengere Protokolle geschützt. Sollten die zentralen Server kompromittiert werden, wäre dieser Zugang ein gefundenes Fressen für Angreifer.

Lehren für die gesamte Branche

Der Yarbo-Vorfall hat eine grundsätzliche Debatte über die „Erst ausliefern, dann sichern“-Mentalität in der Robotikbranche entfacht. Während frühere Sicherheitslücken bei Smart-Home-Geräten wie Thermostaten oder Glühbirnen meist „nur“ Daten betrafen, geht es hier um Maschinen mit potenziell tödlicher Wirkung.

Der Vorfall um die Gartenroboter verdeutlicht, dass Cyberkriminelle zunehmend vernetzte Systeme ins Visier nehmen, um an sensible Informationen zu gelangen. Wie Sie aktuelle Bedrohungen rechtzeitig erkennen und Sicherheitslücken schließen, erfahren Sie in diesem kostenlosen E-Book. Cyber-Security Ratgeber kostenlos herunterladen

Marktforscher beobachten, dass viele Hersteller bei der Entwicklung autonomer Gartengeräte vor allem auf Navigationsleistung und Akkulaufzeit achten – die Cybersicherheit bleibt oft auf der Strecke. Die Enthüllungen von 2026 könnten das ändern. Branchenkenner erwarten strengere Zertifizierungsauflagen für künftige Robotergenerationen, besonders bei Fernzugriffsfunktionen und der Speicherung von WLAN-Passwörtern.

Yarbo hat angekündigt, ein Bug-Bounty-Programm einzurichten und einen eigenen Sicherheitskontakt zu benennen. Für die aktuellen Besitzer der Geräte heißt es erst einmal: Firmware-Updates einspielen und die Netzwerksicherheit verschärfen. Der Balanceakt zwischen Hersteller-Fernwartung und Privatsphäre der Nutzer bleibt ein zentrales Spannungsfeld – für Regulierer und Verbraucher gleichermaßen.

de | wissenschaft | 69409242 |