News

Wie kapert man 11.000 Roboter? Mit einem einzigen Passwort.

Michael Dobler
Michael Dobler
Autor Dr. Web
4 Min. Lesezeit
Wie kapert man 11.000 Roboter? Mit einem einzigen Passwort.

Ein deutscher Sicherheitsforscher hat 11.000 Roboter-Rasenmäher von Yarbo komplett übernommen — mit einem einzigen Passwort. Andreas Makris steuerte vom heimischen Rechner aus Geräte in den USA, manövrierte einen 90-Kilo-Mäher fast über einen US-Reporter und las nebenbei GPS-Daten, Wi-Fi-Passwörter und E-Mail-Adressen aus. Hersteller Yarbo hat den Vorfall am 8. Mai 2026 in einer 1.200-Wörter-Stellungnahme bestätigt.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Gruselig: ein Stück Hardware in Ihrem Firmenwerk lässt sich aus Übersee fernsteuern, weil alle baugleichen Geräte dasselbe Root-Passwort tragen. Genau das ist bei Yarbo passiert. Der Fall ist ein Lehrstück, weil Robo-Mäher in deutschen Unternehmens-Außenanlagen längst zur Standardausstattung gehören.

Das Wichtigste in Kürze

  • Sicherheitsforscher Andreas Makris übernimmt 11.000 Yarbo-Geräte aus der Ferne
  • Ursache: hardcoded Root-Passwort, identisch in jeder Auslieferung
  • CVE-2026-7414 und CVE-2026-7415 dokumentieren die Lücken
  • Yarbo räumt am 8. Mai 2026 alle technischen Befunde ein

Wer ist Yarbo und was ist passiert?

Ein orangefarbener Schlüssel mit Metallanhänger auf weißem Grund. Aufschrift: „1 von 11.000“
Yarbo-Garten-Roboter für 5.000 Dollar mit Kameras und Klingen hatten Sicherheitslücken statt echter Sicherheitsmaßnahmen

Yarbo verkauft modulare Garten-Roboter für rund 5.000 US-Dollar pro Stück, die als Rasenmäher, Schneefräse, Laubbläser oder Kantenschneider arbeiten. 200 Pfund schwer, mit Kameras, Wi-Fi, 4G und scharfen Klingen ausgestattet — und mit einem Backend, das auf Vertrauen statt Sicherheit gebaut war.

Andreas Makris veröffentlichte am 7. Mai 2026 seinen detaillierten Sicherheitsbericht. The Verge dokumentierte die Demonstration: Makris steuerte von Deutschland aus einen Yarbo-Mäher in den USA über fast 10.000 Kilometer und brachte das Gerät auf einen Reporter zu, der sich für den Test in den Weg gelegt hatte.

Welche Lücken Makris konkret fand

Ein Vorhängeschloss mit Kette links und einem Schlüssel davor
Firmware mit hardcodiertem Root-Passwort, ungesicherter MQTT-Broker und Backdoor ermöglichen Übernahme der gesamten Geräteflotte

Drei strukturelle Schwächen erlauben die Übernahme. Hardcoded Root-Passwort in der Firmware, identisch in jeder Auslieferung. Damit eröffnet ein einziges geknacktes Gerät den Zugriff auf die gesamte Flotte. Zweitens ein MQTT-Broker ohne Authentifizierung im lokalen Netz, der die Steuerbefehle entgegennimmt. Drittens ein persistenter Backdoor-Zugang für Yarbo-eigenes Personal, den der Eigentümer weder sehen noch deaktivieren konnte.

Über diese Kombination konnte Makris GPS-Koordinaten, E-Mail-Adressen, Wi-Fi-Passwörter und Live-Kameraaufnahmen abgreifen. Besonders heikel: Geräte standen laut seiner Analyse in unmittelbarer Nähe kritischer Infrastruktur, etwa nahe eines Kraftwerks.

Ein Roboter, der GPS-Daten und Wi-Fi-Passwörter ausplaudern kann, gehört nicht ins Firmenwerk. IoT-Beschaffung braucht künftig dieselbe Prüfschärfe wie Server- oder Netzwerk-Einkauf.

— Markus Seyfferth, Chefredakteur Dr. Web

Was Yarbo am 8. Mai zugab

Roboter auf Kettenantrieb mit Schlüssel und Anhänger mit Passwort vor weißem Hintergrund
Yarbo-Mitgründer Kohlmann räumt Sicherheitsmängel ein und kündigt Deaktivierung des Remote-Zugriffs, Security Response Center und Bug-Bounty-Programm an

Yarbo-Mitgründer Kenneth Kohlmann veröffentlichte am 8. Mai 2026 im offiziellen Forum eine ausführliche Stellungnahme. Alle technischen Befunde seien zutreffend, die Erstreaktion sei nicht angemessen gewesen. Yarbo deaktivierte den Remote-Zugriff vorläufig, kündigte ein eigenes Security Response Center an und prüft ein Bug-Bounty-Programm.

Ein Over-the-Air-Update soll innerhalb von sieben Tagen ausgerollt werden und das universelle Passwort durch gerätespezifische Credentials ersetzen. Yarbo gehört zur Hanyang Tech aus Shenzhen, eine The-Verge-Recherche zeigte, dass die als Manhattan-HQ angegebene Adresse ein gemeinsam genutztes Bürogebäude ist.

Was Entscheider mit IoT-Flotten daraus lernen

Ein silberner Roboter steht vor einem Schlüssel und einer Zahlentafel vor weißem Hintergrund
IoT-Sicherheit: Beschaffung mit Checkliste prüfen, Geräte in separates Netzwerksegment isolieren, Lieferverträge anpassen

Vier Konsequenzen drängen sich auf. IoT-Beschaffung mit Sicherheits-Checkliste ergänzen: Werden Default-Passwörter pro Gerät individualisiert? Gibt es eine veröffentlichte Vulnerability-Disclosure-Policy? Existiert ein Software-Bill-of-Materials? Parallel dazu IoT-Geräte ins eigene Netzwerksegment legen, getrennt vom produktiven Firmennetz.

Im dritten Schritt Verträge mit Lieferanten um konkrete Reaktionszeiten bei Sicherheitsvorfällen ergänzen. Yarbos abwehrende Erstreaktion zeigt, was passiert, wenn das nicht vertraglich verankert ist. Ein praxisnaher Einstieg in das Thema bietet unser Ratgeber zur WordPress-Sicherheit, dessen Grundprinzipien (Updates, Passwort-Härte, Rechte-Trennung) sich eins zu eins auf IoT übertragen lassen. Wer den Cyber-Druck auf den Mittelstand insgesamt einordnen will, findet im aktuellen KnowBe4-Bericht zu KI-Phishing wichtige Zahlen. Und ein Blick auf die Mechanik moderner Robotik liefert unsere Reportage zum Bionik-Boom in Dresden.

Mehr Newshunger?

Roboterarm hält Vorhängeschloss mit Passwort-Notiz, eine Gummiente sitzt darauf
BYD umgeht EU-Zölle durch Hybrid-Technik. Elementor-Sicherheitslücke ermöglicht 48.400 Angriffe. WordPress-Patches schließen Schwachstellen
4,8 13 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?

Artikel teilen
X LinkedIn Facebook XING WhatsApp E-Mail
Empfohlene Artikel
News
Bose SoundTouch streamt wieder. Wie? Mit dieser App.
4 Min.  ·  21. Mai. 2026
News
Schaeffler holt hunderte Humanoide in die Werke. Bis 2030.
3 Min.  ·  12. Mai. 2026
News
Bose dreht das Streaming bei Soundtouch ab. Lautsprecher für 800 Euro: tot.
3 Min.  ·  12. Mai. 2026
News
Bose Soundtouch: Was Kunden rechtlich wirklich noch durchsetzen können
5 Min.  ·  16. Mai. 2026
News
DuckDuckGo macht die KI-freie Suche zum Standard: Wer profitiert?
3 Min.  ·  2. Juni. 2026
Michael Dobler
Autor
Michael Dobler
Ich bin der Herausgeber von Dr. Web. Um praxisfit zu bleiben, unterstütze ich darüber hinaus Kunden bei der digitalen Kundengewinnung und Kundenbindung. Erste eigene Gehversuche im Internet unternahm ich 1999 mit einem Kinomagazin. Nach 15 Jahren in Lohn und Brot, u.a. als Projektmanager für digitale Medien, machte ich mich schließlich Ende 2005 selbständig. Das war die beste berufliche Entscheidung meines Lebens.
822 Artikel veröffentlicht
www.linkedin.com
Alle Artikel

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Oracle WebLogic: Jetzt patchen, sonst droht Vollzugriff

Oracle WebLogic: Jetzt patchen, sonst droht Vollzugriff

Markus Seyfferth

Die US-Behörde CISA warnt vor einer aktiv ausgenutzten Schwachstelle im Oracle WebLogic Server. Angreifer können ohne Anmeldedaten auf betroffene Systeme zugreifen und im schlimmsten...

Mehr erfahren
Newsletter

Mehr solcher Artikel?
Jetzt kostenlos abonnieren.

Jeden Dienstag die besten Artikel aus dem Dr. Web-Magazin direkt in Ihr Postfach – kein Spam, jederzeit abmeldbar.

Einmal pro Woche, kein täglicher Spam
Jederzeit mit einem Klick abmeldbar
DSGVO-konform via Brevo