Cyber Resilience Act: Neue Meldepflicht für Hersteller ab September

27.06.2026 - 15:34:35 | boerse-global.de

Sicherheitsforscher deckt schwerwiegende Mängel bei Yarbo-Mährobotern auf. Ein identisches Root-Passwort ermöglicht Angreifern die Fernkontrolle.

Yarbo Mähroboter: Kritische Sicherheitslücke durch statisches Passwort — Cyber - Ein zerlegter Mähroboter mit roten Drähten und digitalen Vorhängeschlössern, umgeben von Codezeilen, auf einer dunklen Oberfläche. 27.06.2026 - Bild: über boerse-global.de

Juni gravierende Mängel bei Mährobotern des Herstellers Yarbo aufgedeckt. Alle Geräte des Unternehmens teilen dasselbe Root-Passwort, das zudem bei jedem Firmware-Update automatisch zurückgesetzt wird. Angreifer können so per Fernzugriff die volle Kontrolle über die Roboter übernehmen.

Risiken durch statische Passwörter und Telemetrie

Die Sicherheitslücke stuft die Geräte als kritisch ein. Unbefugte können die Mähroboter in Botnetze integrieren oder sensible Daten wie GPS-Koordinaten, E-Mail-Adressen, WLAN-Passwörter und Videoaufnahmen auslesen. Der Hersteller bezeichnete das identische Passwort gegenüber dem Forscher als bewusste Designentscheidung. Zudem werden Telemetriedaten der Geräte an Server von ByteDance übertragen.

Andere Anbieter reagierten zeitnah auf Sicherheitslücken. Home Assistant veröffentlichte am 25. Juni die Version 2026.6.0, um ein Informationsleck zu schließen. Durch die Schwachstelle konnten Unbefugte auf den Status von Alarm-Panels zugreifen. Eine aktualisierte Companion-App behebt zudem ein Problem mit manipulierten Standortdaten, die ungewollte Automatisierungen wie Türöffnungen auslösen konnten.

Strengere Regeln ab September

Die Vorfälle fallen in eine Phase verschärfter EU-Regulierung. Ab dem 11. September 2026 müssen Hersteller smarter Produkte aktiv ausgenutzte Schwachstellen und Sicherheitsvorfälle an Behörden melden. Bis zum 11. Dezember 2027 gelten zudem umfassende Anforderungen des Cyber Resilience Act (CRA) – darunter Security-by-Design, regelmäßige Sicherheitsupdates und die Bereitstellung einer Software Bill of Materials (SBOM).

Viele Unternehmen tun sich schwer mit der Umsetzung. Ein Bericht vom 26. Juni zur NIS2-Richtlinie zeigt: 62 Prozent der betroffenen deutschen Unternehmen verpassten die Compliance-Frist im März 2024. Experten raten zu einer Gap-Analyse und einem strukturierten Plan zur Mängelbehebung, um Bußgelder zu vermeiden.

Die neue Meldepflicht ab September 2026 betrifft alle Hersteller smarter Produkte – und 62% der Unternehmen verpassten bereits die NIS2-Frist. Dieser kostenlose Report liefert Ihnen die Gap-Analyse, Security-by-Design-Checkliste und den konkreten Meldeprozess. Jetzt kostenlosen Compliance-Report anfordern

Saugroboter und Seniorenhilfe unter der Lupe

Auch Saugroboter stehen wegen ihrer umfangreichen Sensorik in der Kritik. Analysen vom 26. Juni zeigen: Die Geräte erfassen detaillierte Grundrisse und oft Kameraaufnahmen, die häufig auf außereuropäischen Servern landen. In der Vergangenheit hackten Angreifer bereits Kameras und Lautsprecher. Als sicherere Alternative gelten Modelle mit europäischer Serverstruktur und LiDAR-Navigation, die auf dauerhafte Bildspeicherung verzichten.

Ein neues Einsatzfeld für mobile Robotik zeigt das chinesische Unternehmen Yueban. Die fahrbare Toilette „Xiaoban“ kostet rund 3.600 Euro, nutzt LiDAR zur Navigation und richtet sich an Menschen mit Mobilitätseinschränkungen. Fachleute weisen darauf hin, dass neben baulichen Anforderungen wie Türbreiten der Datenschutz bei der Integration in den Wohnraum beachtet werden muss.

KI-Integration und Systemhärtung

Kritische Sicherheitslücken wie statische Root-Passwörter in Mährobotern sind vermeidbar – mit Security-by-Design von Anfang an. Unser Report zeigt Ihnen, wie Sie Ihre IoT-Produkte CRA-konform entwickeln und welche Meldepflichten ab September auf Sie zukommen. Security-by-Design-Checkliste jetzt sichern

Apple plant für iOS 27 eine stärkere KI-Integration in die Home-App. Kameraaufnahmen sollen mittels Apple Intelligence analysiert werden, um Geschehnisse in natürlichen Sätzen zu beschreiben und Objekte oder Personen zu identifizieren.

Parallel dazu wurden neue Techniken zur Umgehung von Sicherheitssoftware bekannt. Die Schwachstelle CVE-2026-39118 betrifft den Kandji MDM Agent auf macOS-Systemen und ermöglicht Standardnutzern, Sicherheitslösungen zu deaktivieren. Betroffene Anbieter wie CrowdStrike haben bereits Erkennungsmechanismen implementiert. Grundlegende Designprobleme im Betriebssystem könnten jedoch bestehen bleiben. Apple testet derzeit mit iOS 26.3 und macOS Tahoe neue Verfahren für Hintergrund-Sicherheitsupdates, um kritische Systembibliotheken schneller und unabhängig von großen Betriebssystem-Upgrades zu patchen.

de | wirtschaft | 69640968 |