Über Nacht zum Reality-Star: Wie sicher sind IP-Kameras?

Videoüberwachungssysteme für die eigenen 4 Wände sind angeblich sicher. Was aber, wenn Sie plötzlich und ungewollt zum Reality-Star werden?

Smart Homes stellen eine noch junge, aber vollwertige Kategorie der Elektronikgeräte dar. Wasserkocher mit Webschnittstelle, Bügeleisen, die sich aus der Ferne ausschalten lassen, smarte Lichtsteuerungssysteme – all das wurde erfunden, um unser Leben einfacher zu machen. Aber sind diese Produkte auch sicher? Neben der Bequemlichkeit bringen IoT-Geräte auch neue Sicherheits- und Datenschutzrisiken mit sich, und es vergeht kaum eine Woche, in der nicht über eine weitere Sicherheitslücke in diesem oder jenem Smart-Gerät berichtet wird. Selbst eine „smarte Glühbirne“ kann Hackern Zugriff auf Ihr Heimnetzwerk geben, ganz zu schweigen davon, was mit raffinierterem Equipment möglich ist.

Ein Schlüsselelement eines jeden Heimsicherheitssystems ist eine Videokamera, die mit dem Internet verbunden ist. Es gibt sie in allen Formen und Farben: Von sogenannten Nanny-Cams und Videotürklingeln bis hin zu hochentwickelten motorisierten Kameras für die professionelle Videoüberwachung.

IP-Kameras sind, wie der Name bereits sagt, permanent online oder stellen regelmäßig eine Verbindung zum Internet her, während das Bildmaterial meist über einen speziellen Dienst des Herstellers zur Verfügung gestellt wird. Melden Sie sich bei diesem Dienst an, haben Sie Zugriff auf den Videostream der Kamera, egal wo Sie sich gerade befinden. Die praktische Alternative – eine Kamera, die nur über ein lokales Netzwerk zugänglich ist – ist allerdings auch nur das: praktisch! Und somit für potenzielle Kunden wenig attraktiv.

Dies wirft eine Reihe von Fragen auf, nicht zuletzt: Was, wenn Cyberkriminelle Ihre Anmeldedaten stehlen? Wie sicher sind Cloud-Videoüberwachungssysteme? Können Angreifer auf den Videostream zugreifen, ohne sich in Ihr Konto zu hacken? Schließlich können im schlimmsten Fall hochsensible Informationen, darunter Bilder und Videos von Ihrem Zuhause, in die falschen Hände geraten.

Gebrochene Versprechen

All diese Befürchtungen waren dem Unternehmen Anker sehr wohl bekannt, als es seine eigenen IP-Kameras unter der Marke Eufy auf den Markt brachte. Anker wurde 2011 gegründet und ist somit definitiv kein Newcomer in der Elektronikbranche. Lag der Fokus des Unternehmens anfangs noch auf Ladegeräten und Zubehör für Smartphones und Laptops, hat es mittlerweile ein umfangreiches Sortiment an tragbaren elektronischen Geräten für jeden Geschmack und Bedarf entwickelt, darunter auch Videotürklingeln und Überwachungskameras.

Screenshot der Eufy-Website: Nutzern wird der Rundum-Schutz ihrer Daten versprochen.

 

In einer Anzeige auf der Eufy-Website garantieren die Kamera-Entwickler maximalen Datenschutz und versprechen, dass sie keine Clouds verwenden. Stattdessen werden alle Daten in einem sicheren lokalen Speicher aufbewahrt. Die Videofunktion zur Fernüberwachung kann vollständig deaktiviert werden; wenn Anwender dennoch wissen möchten, was innerhalb ihrer 4 Wände vor sich geht, verschlüsselt die Kamera den Videostream und überträgt ihn an eine App auf ihrem Smartphone – der einzige Ort, an dem er entschlüsselt werden kann. Dies wird als Ende-zu-Ende-Verschlüsselung bezeichnet, was bedeutet, dass niemand – nicht einmal der Anbieter – auf die Daten zugreifen kann.

Wichtig ist auch, dass das Erkennungssystem direkt auf dem Gerät selbst arbeitet. Die in jeder Kamera integrierte KI analysiert das Filmmaterial, ohne es an die Server des Unternehmens zu übermitteln, identifiziert die Personen im Bild und unterscheidet sogar zwischen Vermietern, Mietern und Fremden, so dass der Kamerabesitzer nur dann benachrichtigt wird, wenn ein unbekanntes Gesicht im Bild erscheint.

100 % Privatsphäre – garantiert. Vor Kurzem erlebten Nutzer jedoch eine kleine Überraschung: Denn hinter den Kulissen arbeiten Eufy-Kameras nicht ganz so wie beschrieben. Am 23. November twitterte der britische Sicherheitsexperte Paul Moore ein Video, in dem er Eufy die Datenübertragung in die Cloud vorwarf – auch, wenn diese Option eigentlich deaktiviert ist.

 

Einer von Paul Moores Tweets über die Datenschutzprobleme von Eufy-Kameras.

 

Moores Video zeigt klar das Problem. Nachdem er eine Eufy-Videotürklingel installiert hatte, loggte sich Paul in die Webschnittstelle des Geräts ein, wo er den Browser-Quellcode analysierte und zeigte, dass die Kamera jedes Mal ein Foto an den Server des Anbieters sendet, wenn jemand im Bild erscheint. Das bedeutet, dass mindestens eines der Versprechen von Eufy (kein Cloud-Einsatz) nicht stimmt.

Moore twitterte danach noch weitere Male über einige weitaus ernstere Datenschutzprobleme. Denn ganz offenbar nutzt die „sichere“ Verschlüsselung von Eufy einen Schlüssel, der für alle Nutzer gleich ist. Und was noch schlimmer ist: Dieser Schlüssel war im Eufy-Code zu finden, den das Unternehmen selbst auf GitHub veröffentlicht hatte. Später bestätigte die Tech-Website The Verge unter Berufung auf Moore und einen anderen Sicherheitsexperten das Worst-Case-Szenario: So gut wie jeder kann auf den Videostream einer Kamera zugreifen.

Unklare Erklärungen

Dabei möchten wir erwähnen, dass es eine völlig logische Erklärung für das erste Problem, den Upload von Filmmaterial in die Cloud, gibt. In der Theorie funktionieren die Kameras von Eufy wie folgt: Sie installieren die Kamera in Ihrem Haus, Ihrer Wohnung, etc. und konfigurieren die App auf Ihrem Smartphone. Drückt jemand die Smart Сall-Taste oder das System erkennt eine Person im Bild, werden Sie per Mitteilung inklusive Foto im Anhang auf Ihrem Smartphone darüber benachrichtigt. Die einzige Möglichkeit, solche Benachrichtigungen zu versenden, ist wahrscheinlich über die Cloud. Aber warum verspricht Eufy dann ein cloudloses Erlebnis? Gute Frage!

Und was ist mit dem Fernzugriff auf den Videostream? The Verge und Co. haben nicht alle Aspekte des Problems offengelegt – aus Angst, dass die Schwachstelle massiv ausgenutzt werden könnte. Einige Details und Fakten sind jedoch bekannt. Erstens: Die versprochene Verschlüsselung wird nicht zur Übertragung des Videostreams verwendet. Tatsächlich ist der Stream überhaupt nicht verschlüsselt und kann über einen normalen Media Player wie VLC angesehen werden. Zweitens: Um auf eine bestimmte Kamera zugreifen zu können, muss man deren eindeutige URL kennen; mit anderen Worten, ihre Internetadresse. Diese Adressen werden jedoch auf vorhersehbare Weise generiert: Und zwar anhand der Seriennummer des Geräts, die direkt auf dem Gehäuse aufgedruckt ist, sowie des aktuellen Datums und der Uhrzeit. Für einen „erweiterten Schutz“ werden diese Details um eine zufällige vierstellige Zahl ergänzt, die per Brute-Force jedoch leicht zu erzwingen ist. Das Einzige, was den Kamerabesitzer vor einem Angreifer, der die Seriennummer des Geräts kennt, schützt, ist die Tatsache, dass die Kamera Daten nicht konstant online hochlädt. Dazu muss sie erst aktiviert werden, z. B. durch Drücken des Klingelknopfes.

Anker, Hersteller von Eufy, wurde darum gebeten, diese Anschuldigungen zu bestätigen oder zu dementieren, was nur noch mehr Salz in die Wunde streute. Wie The Verge und Ars Technica feststellten, bestritten die Entwickler die Existenz jeglicher Sicherheitsprobleme und beantworteten die Fragen nach spezifischen Problemen mit diversen Aussagen, die später widerlegt wurden.

Zum einen „versicherte“ das Unternehmen, dass es nicht möglich sei, Live-Aufnahmen einer Kamera zu sehen; Aussage, die das Portal The Verge widerlegte, indem es genau das mit zwei seiner eigenen Eufy-Kameras tat. Darüber hinaus gab der Anbieter zu, dass die Aufnahmen der Türklingel sehr wohl an die Server des Unternehmens gesendet werden, aber nur, um sicherzustellen, dass diese ordnungsgemäß an das Smartphone übermittelt werden – im Anschluss sollten die Bilder gelöscht werden. Aber auch das konnte Moore durch einen einfachen Test widerlegen: Nachdem er die Fotos der Kamera in seinem persönlichen Konto angesehen hatte, speicherte er die URLs der Bilder und löschte sie dann von seinem Gerät. Obwohl die Bilder aus seinem persönlichen Konto verschwanden, konnte Moore über die gespeicherten URLs dennoch auf sie zugreifen. Der andere oben erwähnte Forscher ging noch einen Schritt weiter: Nachdem er die Videokamera vollständig auf ihre Geräteeinstellungen zurückgesetzt hatte, wodurch alle gespeicherten Videos aus seinem Konto gelöscht wurden, verknüpfte er das Gerät erneut mit seinem Konto und hatte plötzlich erneut Zugriff auf die angeblich gelöschten Videos!

Im Allgemeinen haben sich bestimmte ethische Standards in der Sicherheitsbranche herausgebildet, z. B. die Art und Weise in der Informationen über Sicherheitslücken offengelegt werden und wie Anbieter darauf reagieren sollten. Doch im Fall von Eufy wurde all das über Bord geworfen: Anstatt dem Unternehmen eine Chance zu geben, die Probleme zu beheben, gingen die Forscher mit den Schwachstellen sofort an die Öffentlichkeit. Dann, um noch mehr Öl ins Feuer zu gießen, entschied sich das Unternehmen, die offensichtlichen Probleme zu leugnen. Eufy konnte keine technischen Beweise anbringen, um die Behauptungen der unabhängigen Experten zu widerlegen und die einzige Änderung, die Moore nach seinen mehr als belastenden Beiträgen bemerkte, war, dass die Links zu Kamerabildern, die zuvor im HTML-Klartext angezeigt wurden, nun verschleiert waren. Das heißt, dass die Informationen noch immer an den Eufy-Server gesendet werden – nur, dass es mittlerweile schwieriger ist, sie zurückzuverfolgen.

Somit hat der Anbieter ein weiteres Versprechen gebrochen, offenbar in der Hoffnung, dass es niemand überprüfen würde. Doch diese Praxis von Eufy verstößt nicht nur gegen die Versprechen des Unternehmens, sondern auch gegen regionale Gesetze zum Datenschutz der Nutzer, wie die DSGVO.

Schutzmaßnahmen

Der Fall Eufy ist noch jung, und zunächst sind weitere Untersuchungen erforderlich, um zu beweisen, dass Außenstehende das Bildmaterial der IP-Kameras von Nutzern abfangen können. Es gibt aber auch Beispiele für noch gravierendere Sicherheitsprobleme. So wurde im Jahr 2021 bei IP-Kameras des chinesischen Herstellers Hikvision eine kritische Sicherheitslücke entdeckt, die einem Angreifer die vollständige Kontrolle über das Gerät ermöglichte. Obwohl ein Patch veröffentlicht wurde, um die Schwachstelle zu beheben, waren selbst ein Jahr später noch Zehntausende von Videokameras weltweit anfällig und für neugierige Dritte zugänglich. Das Problem: Viele Besitzer solcher Geräte sind sich einer Sicherheitslücke möglicherweise nicht einmal bewusst.

Wieder einmal stehen wir also vor den ewig gleichen Fragen: Wer ist schuld und was ist zu tun? Leider ist die IoT-Branche unzureichend standardisiert. Es gibt keine allgemein anerkannten Normen, die zumindest ein Mindestmaß an Sicherheit bieten würden, und Anbieter schützen ihre Geräte basierend auf den verfügbaren Ressourcen und ihren eigenen Vorstellungen von Sicherheit. Es liegt also in der Hand des Nutzers zu entscheiden, welchem Anbieter er vertraut.

Wie Ars Technica richtig feststellt: Wenn Ihr Gerät mit einer Kamera und WLAN ausgestattet ist, wird jemand früher oder später eine ausnutzbare Sicherheitslücke dafür finden. Interessanterweise sind Geräte, die vom Design her ähnlich sind – Webcams in Laptops und Smartphones – deutlich besser geschützt: Sobald die Kamera in Gebrauch ist, leuchtet hier sofort ein kleines Licht auf und Sicherheitslösungen können Apps überwachen und einen unbefugten Zugriff darauf blockieren.

 

IP-Überwachungskameras hingegen arbeiten autonom, manchmal sogar 24/7. Solange es kein allgemein anerkanntes System zur Bewertung der Gerätesicherheit gibt, sollten Sie nicht blind auf die „Versprechen“ der Anbieter vertrauen, sondern den Schutz Ihrer Privatsphäre selbst in die Hand nehmen. Wir empfehlen den Besitzern von Videoüberwachungssystemen, auf Nachrichten über mögliche Sicherheitsprobleme ihrer Geräte zu achten, die Kameraeinstellungen sorgfältig zu überprüfen, nicht genutzte Cloud-Funktionen zu deaktivieren und Updates regelmäßig zu installieren. Sollten Sie sich für die Installation eines Videoüberwachungssystems in Ihren vier Wänden entscheiden, sollten Sie zuvor alle Risiken abwägen – denn die potenziellen Schäden, die ein erfolgreicher Hackerangriffe mit sich tragen kann, sind zweifellos enorm.

 

Tipps