Die Yarbo Backdoor: Wenn der Hersteller den Rasenmäher lenkt, werden Erinnerungen an Stephen King wach
Die Geschichte klingt wie aus einem Stephen-King-Film. In „Maximum Overdrive“ (deutscher Titel: „Rhea M – Es begann ohne Warnung“) erwachen 1986 die Maschinen und gehen wie ferngesteuert auf Menschen los; ein Rasenmäher jagt einen Jungen über den Rasen. Im Film treibt sie der Schweif eines Kometen an. In der Realität genügt Banaleres, und das beunruhigt mehr: eine ab Werk eingebaute Hintertür in einem smarten Rasenroboter.
- In Yarbos über 5.000 Euro teurem Rasenroboter steckt eine Hintertür, die der Hersteller absichtlich einbaute und die der Besitzer nicht abschalten kann.
- Alle Geräte nutzen dasselbe fest verdrahtete Root-Passwort. Ändert der Besitzer es, setzt das nächste Firmware-Update es zurück. Betroffen sind rund 11.000 Roboter weltweit.
- Die US-Behörde CISA stufte die Lücken im Juni 2026 als kritisch ein. Yarbo sagte daraufhin zu, den Fernzugriff standardmäßig zu entfernen und nur noch auf Wunsch anzubieten.
Kein Komet, kein Skynet, kein Bond-Bösewicht. Ein einziges, auf allen Geräten identisches Passwort genügt, um tausende klingenbewehrte Gartenroboter fernzusteuern. Genau das führte der Sicherheitsforscher Andreas Makris vor.
Aus Deutschland kaperte er einen Yarbo-Roboter im US-Bundesstaat New York und steuerte ihn auf einen Journalisten von The Verge zu, der sich zur Demonstration ins Gras gelegt hatte. Der Roboter berührte ihn tatsächlich, gut 100 Kilogramm Metall und Elektronik. Dass niemand zu Schaden kam, lag allein daran, dass Makris rechtzeitig stoppte, der Mäher rückwärts fuhr und die Klingen stillstanden.
Was ist Yarbo – und warum ist das kein gewöhnlicher Rasenmäher?
Yarbo verkauft keinen simplen Mähroboter, sondern eine modulare Plattform: einen kettengetriebenen „Core“, der wechselnde Aufsätze antreibt – zum Mähen, Trimmen, Kantenschneiden, Laubblasen oder Schneeräumen.
Das Grundgerät kostet in Europa über 5.000 Euro, die Vollausstattung über 12.000 Euro. Weil alle Aufsätze denselben Kern nutzen, trifft eine Lücke im Core jede Konfiguration. Darin steckt ein vollwertiger Linux-Computer. Wie jeder Computer besitzt er ein Administratorkonto namens „root“, den Zugang mit den höchsten Rechten, der jeden Befehl ausführt. Genau dort setzt das Problem an.
Wie übernimmt ein Fremder tausende Geräte auf einmal?
Makris fand heraus: Jeder Yarbo-Roboter nutzt dasselbe fest verdrahtete Root-Passwort. Es ist nicht individuell, sondern auf allen Geräten gleich. Wer es kennt, kommt in jedes Gerät. Schlimmer noch: Selbst wer es ändert, ist nicht geschützt, denn das nächste Firmware-Update – die Aktualisierung der Betriebssoftware – setzt es zurück.
Die Cloud-Anbindung verschärft das Problem. Sie läuft über MQTT, ein leichtgewichtiges Protokoll für die Maschine-zu-Maschine-Kommunikation. Auch dessen Zugangsdaten lagen fest und geräteübergreifend identisch in der App. So konnte laut CISA jeder mit gültigen Daten die Telemetrie der weltweiten Flotte abonnieren und über die bloße Seriennummer jeden Roboter kommandieren.
Der Zugang ist kein Versehen. Nach Makris‘ Darstellung läuft die Hintertür automatisch auf jedem Roboter, der Besitzer kann sie nicht abschalten, und nach dem Entfernen stellt sie sich selbst wieder her. Über diesen Kanal lässt sich der Roboter nicht nur lenken. Angreifer könnten die Klingen starten, das Heimnetz ausspähen oder das Gerät in ein Botnet einbinden – ein Netz gekaperter Geräte, das ferngesteuert Angriffe im Internet fährt.
Auch der Not-Aus-Knopf schützt nicht verlässlich: Mit Root-Rechten entsperrt ein Befehl den Mäher wieder. Die Tragweite ist groß. Makris verfolgt weltweit über 11.000 Geräte, rund 5.400 davon in den USA und Europa. Am 11. Juni 2026 bestätigte die US-Behörde CISA die Lücken in einer offiziellen Sicherheitsmeldung (ICSA-26-162-01) und führt sie unter CVE-2026-10557 und CVE-2026-7368. Die schwerere erreicht 9,8 von 10 Punkten auf der Schweregradskala CVSS.
Wie fühlt es sich an, sich vom eigenen Rasenmäher überfahren zu lassen?
Um die Gefahr greifbar zu machen, ließ sich der Verge-Redakteur Sean Hollister auf das eingangs beschriebene Experiment ein. Aus rund 9.600 Kilometern steuerte Makris den Mäher, während Hollister sich in den Weg legte. Der Fernzugriff war nur die Spitze. In der Demonstration für The Verge griff Makris zusätzlich Live-Bilder aus den Kameras ab und las GPS-Koordinaten, E-Mail-Adressen und WLAN-Passwörter der Besitzer aus.
Hollister prüfte das vor Ort. Zwei namentlich genannte Besitzer – Wayne Yu und der pensionierte Netzwerkarchitekt Matt Petach – bestätigten die ausgelesenen Adressen und Passwörter. Petach fand ein treffendes Bild: Ein solches Gerät sei „eine Kettensäge ohne Handschutz“. Und Makris verortete zwölf Yarbo-Roboter im Umkreis von drei Kilometern um ein großes Kraftwerk, einen davon offenbar registriert auf einen Sicherheitsanalysten. Das Problem reicht also über den Vorgarten hinaus.
Warum ist das „Internet of Trash“ – und nicht nur ein Bug?
Eine unsichere Konfiguration wäre eine Panne. Zum Rubrik-Fall macht Yarbo die Absicht dahinter und der Umgang damit. Schon die Herkunft verschleiert die Firma: Sie präsentiert sich mit Fotos schicker Büroetagen als New Yorker Unternehmen. Die echte New Yorker Adresse ist laut The Verge ein einstöckiges Gebäude, das sich unter anderem zwei Autoaufbereiter, eine Versicherungsagentur und ein Etsy-Shop teilen.
Hinter Yarbo steht Hanyang Tech aus dem chinesischen Shenzhen. Auch die Presse wollte Yarbo steuern: Die PR verlangte von The Verge wiederholt die Zusage, keine negative Rezension zu drucken, und legte sogar eine Vereinbarung mit einer Klausel gegen herabsetzende Berichterstattung vor. Die Redaktion lehnte ab. Die spätere Stellungnahme des Mitgründers Kenneth Kohlmann erreichte man außerhalb der USA nur über ein VPN, wie Cybernews berichtet.
Damit reiht sich Yarbo in ein Muster ein, das ich in dieser Rubrik mehrfach beschrieben habe – nur aus der Gegenrichtung. Als Vorwerk die Cloud der Neato-Saugroboter abschaltete, verlor der Besitzer die Kontrolle, weil der Hersteller den Server abschaltete. Beim Kindle als Symptom eines IoT-Problems lief es ähnlich. Bei Yarbo behält der Hersteller die Kontrolle, weil er den Zugriff anließ. Entzug hier, heimliches Behalten dort – der gemeinsame Nenner bleibt: Wer vernetzte Hardware kauft, besitzt das Gerät, nicht die Macht darüber.
Was hat Yarbo geändert – und was bewusst nicht?
Yarbos erste Reaktion fiel halbherzig aus. Der zunächst benannte Fix betraf nur eine Rechteverwaltung zwischen App und Backend, nicht die Firmware, in der ein Großteil der Probleme steckt. Den entscheidenden Fernzugriff wollte das Unternehmen zunächst behalten, um Kunden aus der Ferne zu helfen. Erst der öffentliche Druck der Verge-Recherche drehte den Kurs.
Binnen Tagen ruderte Yarbo nach: Mitgründer Kenneth Kohlmann sagte The Verge zu, den Fernzugriff standardmäßig zu entfernen und nur noch auf Wunsch anzubieten. Jedes Gerät solle ein eindeutiges Root-Passwort erhalten, das Yarbo den Nutzern nicht aushändigt. Die ersten 1.000 Maschinen bekamen nach Unternehmensangaben bereits ein Firmware-Update.
Ob Yarbo das Versprechen ganz einlöst, lässt sich von außen kaum prüfen. Zusätzlich kündigte die Firma eine In-App-Freigabe für Diagnosezugriffe, Sitzungsprotokolle und ein eigenes Security Response Center an. Für Besitzer bleibt der übliche Rat: die Yarbo-App auf Version 3.17.4 oder höher aktualisieren, ein starkes, einmaliges WLAN-Passwort setzen und IoT-Geräte per Netzsegmentierung von Rechnern mit sensiblen Daten trennen.
Fazit
Eine Ironie rahmt diese Geschichte ein. 1985 sollte in einer Szene von „Maximum Overdrive“ ein ferngesteuerter Rasenmäher einen Jungen jagen. Regisseur Stephen King bestand darauf, die Klingen laufen zu lassen. Der Mäher geriet außer Kontrolle, zerhäckselte einen Holzklotz, der als Kamerastütze diente, und schleuderte die Splitter davon. Der Kameramann Armando Nannuzzi verlor dabei sein rechtes Auge.
Die Fiktion vom lebensgefährlichen Rasenmäher wurde am Set real. Vierzig Jahre später braucht es dafür weder einen Kometen noch einen Regisseur mit Hang zur Echtheit. Es genügt ein Hersteller, der sich einen Generalschlüssel zu jedem verkauften Gerät einbaut und ihn erst nach dem Auffliegen zurückgibt.
Der Skandal ist nicht der spektakuläre Hijack, sondern seine Banalität: ein identisches Passwort, ein dauerhafter Zugang, eine verschleierte Firmenadresse. Ein hoher Preis, das lehrt der Fall nüchtern, sagt über die Sicherheit eines vernetzten Geräts nichts aus.
Yarbo sagte nach der Veröffentlichung Verbesserungen zu: eindeutige Passwörter pro Gerät und einen standardmäßig entfernten, nur noch optionalen Fernzugriff. Die US-Behörde CISA empfiehlt, die Yarbo-App auf Version 3.17.4 oder höher zu aktualisieren. Ob alle Lücken geschlossen sind, lässt sich von außen kaum prüfen.
Root ist das Administratorkonto eines Linux-Systems mit den höchsten Rechten. Ein hardcodiertes Passwort steckt fest in der Software und ist bei allen Geräten gleich. Wer es kennt, erhält vollen Zugriff auf jedes Gerät desselben Typs – ohne es zu erraten oder zu knacken.
Yarbo präsentiert sich öffentlich als New Yorker Unternehmen. Tatsächlich steht hinter der Marke Hanyang Tech aus dem chinesischen Shenzhen. Recherchen von The Verge legen nahe, dass die angegebene Firmenzentrale in New York nur ein kleines Büro in einem einstöckigen Gebäude ist.
Ein permanenter, für den Besitzer nicht abschaltbarer Fernzugriff ohne klare Zustimmung gilt als schwerer Sicherheits- und Vertrauensbruch und kann je nach Region Datenschutz- und Verbraucherschutzregeln berühren. Sicherheitsforscher werten eine solche Architektur als bewusst unsicheres Design, unabhängig von der rechtlichen Bewertung im Einzelfall.
Der Fall zeigt: Ein hoher Kaufpreis garantiert keine Sicherheit. Vernetzte Geräte gehören auf aktuelle Firmware, hinter starke WLAN-Passwörter und per Netzsegmentierung getrennt von sensiblen Systemen. Wer maximale Unabhängigkeit will, achtet auf Geräte, die auch lokal ohne Herstellerserver laufen.












