Wie sicher sind vernetzte Überwachungskameras?

In den USA haben, wie am Mittwoch bekannt wurde, Hacker Zugriff auf 150.000 vernetzte Überwachungskameras großer Firmen wie Tesla erlangt. Auch Privatpersonen können sich solche Kameras einfach kaufen. Das Angebot ist riesig. Günstige Geräte sind bereits für 20 bis 40 Euro zu haben. Sie alle nutzen ein ähnliches System: Sie sind mit dem Internet verbunden und senden die Bilder in die Cloud. Für Nutzer ist das praktisch, denn sie können mit einer zugehörigen App auch von unterwegs auf das Live-Bild zugreifen.

„Genau hier liegt aber das Problem“, sagt Johannes Greil, Leiter des SEC Consult Vulnerability Labs, der futurezone. „Über die Cloud-Funktion mancher Anbieter können Angreifer mit ein bisschen technischem Verständnis und wenig Aufwand auf sämtliche dieser Kameras zugreifen.“

In den vergangenen Jahren tauchten daher Bilder vermehrt im Internet auf. Die russische Plattform Insecam ermöglicht es etwa jedem, sich Live-Bilder von ungesicherten Kameras anzusehen. Aus Österreich werden hier immer noch 325 Kameras gelistet. Sie zeigen unter anderem das Innere einer Werkstatt, diverse Privatgärten und Hauseingänge. Auch Berichte über Hacker, die sich Zugriff auf die Kameras von Haushalten verschafft haben und so ins Kinderzimmer blicken konnten, gibt es immer wieder. Erst kürzlich mussten die Kameras von 40 Kindertagesstätten abgeschaltet werden, weil eine Sicherheitslücke entdeckt wurde.

Unsichere Systeme

Dass diese Kameras online einsehbar sind, ist dabei häufig ein Versäumnis der jeweiligen Hersteller. „Oft wird nicht die Kamera selbst angegriffen, sondern der Zugang, über den die Daten aufgezeichnet werden“, erklärt Sebastian Bicchi, Gründer von Sec-Research im futurezone–Gespräch. Das führe dazu, dass nicht nur einzelne Kameras, sondern eben Hunderte oder Tausende Nutzer von Sicherheitslecks betroffen sind. Eine wirkliche Verbesserung habe es über die Jahre nicht gegeben, bestätigen beide Sicherheitsforscher.

Namhafte Hersteller würden inzwischen allerdings deutlich besser mit Sicherheitslücken umgehen. Sie haben eigene Teams, die sich um das Finden und Beheben kritischer Sicherheitslücken kümmern und laden auch externe Tester aktiv ein, bisher unbekannte Fehler zu melden. Einige wenige nutzen für die Datenübertragung zusätzliche Sicherheitssysteme wie Ende-zu-Ende-Verschlüsselung, wie man es etwa von Messaging-Diensten wie WhatsApp kennt.

Kein absoluter Schutz

Behoben werden Sicherheitslücken in der Regel über Updates der Software, mit der die Kameras laufen. Eines sei aber laut Greil immer der Fall: Die jeweilige Firma, deren Kamera und damit auch Cloud-Speicher man nutzt, hat Zugriff auf die Daten. Daher sollte man sich vor dem Kauf fragen, wie stark man dem jeweiligen Anbieter vertraut. Daher solle man sich die Geräte nicht unbedingt ins Bad oder Schlafzimmer hängen.

Damit wird klar: Keine Cloud-Kamera bietet absolute Sicherheit. Die Verantwortung, ein Gerät zu kaufen, bei dem der Hersteller um den Schutz der Daten bemüht ist, liegt derzeit bei den Endnutzern. Doch es gibt Hoffnung. Die ENISA (Europäische Cybersicherheits-Behörde) veröffentlichte im November Richtlinien, die Mindestanforderungen für vernetze Geräte wie Kameras festlegen. In Großbritannien geht man einen Schritt weiter und arbeitet an einem Gesetz, dass Anforderungen für Anbieter detailliert festschreiben soll.

Vorsicht beim Kauf

Auch wenn keine konventionelle Überwachungskamera absolute Sicherheit bietet, gibt es Möglichkeiten, sich bereits vor dem Kauf einigen Ärger zu ersparen. So sollte man sich vor allem mit dem Hersteller, dessen Produkt man kaufen möchte, auseinandersetzen. „Gibt es den Anbieter erst kurze Zeit und das Produktsortiment ähnelt den Angeboten anderer Hersteller, sollte man vorsichtig sein“, erklärt Thomas Weber von SEC Consult.

Firmen, die Kameras als Massenware anbieten, hätten oft nicht mal eine Webseite und würden nach kurzer Zeit bereits nicht mehr existieren. „Das ist gefährlich. Man kauft das Gerät für einen jahrelangen Einsatz, bekommt aber einfach keine Unterstützung mehr“. Er rät daher, vor dem Kauf gründlich zu recherchieren, wie lange eine Firma schon Überwachungskameras anbietet.

Bekannte Fehler

Zudem sollte man prüfen, welche Sicherheitsprobleme bereits in der Vergangenheit aufgetreten sind und wie die Firma mit diesen Problemen umgegangen ist, rät auch der Sicherheitsforscher Sebastian Bicchi. Sucht man online nach dem Gerät, findet man meist Berichte über bekannte Schwachstellen.

Dabei sei es auch wichtig zu klären, wie lange die gewünschte Kamera noch vom Hersteller unterstützt wird. Kauft man ein älteres Modell, ist es möglich, dass zukünftig keine Sicherheitsupdates mehr aufgespielt werden und die Kamera wird angreifbar für Hacker. „Größere Hersteller liefern besonders kritische Updates auch später noch aus. Einen Anspruch darauf hat man aber nicht mehr“, erklärt Bicchi.

Automatische Updates

Diese Updates laufen je nach Anbieter automatisch ab. Die Nutzer erhalten dann lediglich eine Benachrichtigung auf ihr Smartphone. Andere Hersteller bieten diesen Service nicht und man muss selbst regelmäßig kontrollieren, ob es neue Software für das Gerät gibt. Hersteller, die es bereits länger gibt, hätten dementsprechend auch Erfahrungen mit Sicherheitslücken gemacht, erklärt Weber. Ein höherer Preis sei aber kein Indikator für die Qualität des Produktes: „Kameras, die ein Anbieter um 23 Euro verkauft, haben wir bei anderen Anbietern auch um 120 Euro gesehen“, so Weber. 

Richtet man seine Kamera dann erstmals ein, wird man von vielen Herstellern aufgefordert, das von Werk eingestellte Passwort zu ändern. Das sollte man, wie bei allen technischen Geräten und Zugängen in jedem Fall tun.

Eigenes Netzwerk

Die sicherste Variante, sind sich Experten einig, ist der Verzicht auf die Cloud. Dafür braucht es aber ein technisches Grundverständnis. Hierbei wird die Kamera über WLAN nur an das Heimnetzwerk angeschlossen, ohne Daten nach außen zu übertragen. Die Bilder können dann nur angesehen werden, wenn man sich in diesem WLAN befindet. Um sie auch unterwegs abrufen zu können, muss man ein VPN (Virtual Private Network) nutzen.