Du hast es selbst bestellt
Februar 2026. Sammy Azdoufal hat einen neuen Roboterstaubsauger. Das Modell heißt DJI Romo — ein smarter Sauger mit Kamera, Mikrofon und Internetverbindung.
Azdoufal hat eine Idee. Er will den Sauger mit seinem Playstation-Controller steuern. Nur zum Spaß. Kein politisches Motiv. Kein böser Plan.
Er bastelt dafür ein kleines Programm. Das Programm verbindet sich mit den Computern von DJI — dem Hersteller des Saugers. So wie sich auch die offizielle App verbindet, wenn man den Sauger von unterwegs steuern will.
Neun Minuten später sieht er auf seinem Laptop: 6.700 fremde Haushalte. In 24 Ländern. Mit Kamerabild. Mit Grundriss. Mit Standort.
Er hat nichts geknackt. Kein Passwort gestohlen. Keine Schranke überwunden.
Er hat nur seinen eigenen Schlüssel benutzt — und die Tür ging für alle auf.
Der Schlüssel war der eigene
Das ist der Moment, der mich interessiert.
Nicht die Sicherheitslücke. Nicht DJI. Nicht die Frage ob das chinesische Unternehmen mit Behörden zusammenarbeitet — obwohl das eine offene Frage ist, und obwohl der DJI Romo in den USA aus genau diesem Grund bereits verboten ist.
Was mich interessiert: Wer hat dieses Gerät ins Haus gebracht?
Nicht DJI. Nicht die chinesische Regierung. Nicht irgendein Angreifer von außen.
Der Besitzer.
Er hat es gekauft. Ausgepackt. Eingerichtet. Eingeschaltet. Und dann ist er zur Arbeit gefahren, während das Gerät alle drei Sekunden Datenpakete nach Hause sendet. Seriennummer. Raumkarte. Bewegungspfad. Hindernisse. Ladestand. Kamerabild.
Das Terrarium baut sich von innen. Das ist keine Metapher. Das ist Mechanik.
Komfort als Architekt
Es gibt eine Struktur, die ich immer wieder beobachte.
Überwachung, die von außen kommt, erzeugt Widerstand. Sie braucht Gesetze, Durchsetzung, sichtbare Infrastruktur. Sie ist aufwändig. Teuer. Und sie scheitert an der Gegenwehr derer, die sie spüren.
Überwachung, die der Mensch sich selbst kauft, funktioniert anders.
Sie muss nur angenehm sein.
Der Staubsauger fährt alleine. Das Licht geht automatisch an. Die Heizung lernt den Rhythmus des Hauses. Das ist kein Angriff. Das ist Komfort. Und Komfort senkt die Schwelle für alles, was danach kommt.
Azdoufal hat gezeigt, dass ein einzelner Token reicht, um in Tausende Haushalte zu sehen. Er war kein Angreifer. Was ist dann ein Angreifer?
Was alle drei Sekunden passiert
Jedes dieser Geräte sendet permanent. Seriennummer. Welches Zimmer. Was gesehen. Wie weit gefahren. Wann zurück zur Ladestation. Welche Hindernisse.
Das ist kein Nebenprodukt. Das ist Funktion.
Damit die App von unterwegs funktioniert, muss das Gerät erreichbar sein. Damit es erreichbar ist, muss es ständig senden. Damit es ständig sendet, muss es permanent verbunden sein. Die Bequemlichkeit ist nicht vom Datenstrom zu trennen — sie ist dasselbe.
DJI ist ein chinesisches Unternehmen. Staatsnah. In den USA bereits verboten — nicht wegen einer Sicherheitslücke, sondern weil der Kongress grundsätzlich bezweifelt, dass Daten chinesischer Unternehmen nicht beim chinesischen Staat landen. Die Server des Romo laufen in den USA, in China, in der EU. Azdoufal konnte auf alle drei zugreifen. Mit einem Token. Wer sonst noch zugreift — mit welchen Rechten, auf welche Datenmenge, seit wann — das weiß niemand außer DJI. Und DJI sagt dazu nichts.
Das Modell
Ich beobachte das nicht zum ersten Mal.
Smart-TVs, die zuhören. Sprachassistenten, die mithören müssen, damit sie reagieren können. Kameras an der Haustür. Babyphones mit App-Zugriff. Jedes einzelne Gerät mit einem Argument, das stimmt: Es ist praktisch. Es funktioniert. Es macht das Leben leichter.
Das Modell ist immer dasselbe. Der Nutzen ist real. Der Preis ist unsichtbar. Und wer den Preis benennt, klingt paranoid — bis jemand wie Azdoufal neun Minuten lang die Wohnzimmer von 6.700 Menschen beobachtet.
Dann ist es kurz eine Schlagzeile. Dann kommt ein Patch. Dann ist es vorbei.
Das Gerät aber bleibt im Haus.
Durch die eigene Wohnung
Steh kurz auf. Geh durch dein Zuhause.
An der Haustür: eine Kamera mit App-Zugriff. Im Flur: ein Sprachassistent, der auf sein Aktivierungswort wartet — und dafür permanent zuhört. In der Küche: ein smarter Kühlschrank, der Füllstand und Kaufverhalten an den Hersteller meldet. Im Wohnzimmer: ein Fernseher, der Sehgewohnheiten auswertet und weitergibt. Auf dem Boden: der Staubsauger, der die Grundrisse des Hauses kartiert und alle drei Sekunden nach Hause sendet. Im Schlafzimmer: ein Fitnessarmband, das Schlafphasen, Herzfrequenz und Bewegungsprofile aufzeichnet. Auf dem Nachttisch: das Telefon.
Kein Einbrecher war hier. Kein Staatsbeamter. Kein Installateur.
Alles wurde bestellt. Geliefert. Ausgepackt. Eingerichtet.
Jedes Gerät mit einem Argument, das stimmt. Jedes Gerät mit einer Verbindung, die nie schläft.
Was bleibt
DJI hat gepatcht. Teilweise. Eine zweite Sicherheitslücke existiert noch — zu ernst, um sie öffentlich zu beschreiben, sagt The Verge. Wird in den nächsten Wochen behoben, sagt DJI.
Herr Azdoufal sagt, nicht alle Lücken sind geschlossen.
Das ist die Weltenbühne: ein Hack, ein Patch, eine Pressemitteilung.
Darunter liegt etwas anderes. Die Infrastruktur, die diesen Hack erst möglich gemacht hat, ist nicht verschwunden. Sie ist das Produkt. Sie ist der Grund, warum das Gerät funktioniert. Und sie sitzt jetzt in Millionen Haushalten weltweit — nicht weil jemand sie dort hingebracht hat, sondern weil die Besitzer sie bestellt, bezahlt und eingeschaltet haben.
Das ist keine Kritik an den Besitzern.
Es ist eine Beobachtung darüber, wie das Terrarium gebaut wird.
Nicht durch Zwang. Durch Wunsch.
„Der effektivste Käfig ist der, den man sich selbst einrichtet — und dann Zuhause nennt."
