Wer ist schuld an „gehackten“ privaten Kameras?

21 Nov 2014

In den letzten Tagen war in den Nachrichten viel über „gehackte Webcams“, „kompromittierte Babyfone“ oder eine „russische Webseite, die britische Bürger überwacht“ zu lesen (unter anderem bei der BBC, CNN und dem BusinessInsider). Wenn man die Kommentare der Betroffenen liest, scheint die Situation wirklich ernst zu sein. Aber warum?

Webcam

Von den Anwendern über offizielle Stellen bis zu den Webcam-Herstellern – jeder beschuldigt jeden, statt nach einer Lösung zu suchen. Der Hauptpunkt auch dieser Geschichte ist jedoch folgender: Wenn Sie ein Gerät besitzen, das mit dem Internet verbunden ist, sollten Sie die Sicherheitsnachrichten verfolgen. Denn anderenfalls könnte Ihr Privatleben irgendwann, irgendwo online auftauchen, sichtbar für jeden. Und das vielleicht sogar, ohne Ihr Wissen.

Was ist passiert?

Ganz einfach: Nehmen wir an, Sie kaufen eine Webcam. Keine simple mit USB-Anschluss, die an Ihren Computer angeschlossen wird, sondern eine moderne, drahtlose Kamera, die Video-Streaming ermöglicht und mit der Sie nach Ihrem Baby sehen, Ihr Auto in der Garage überwachen oder Ihren Garten sehen können – aus jedem beliebigen Raum Ihres Hauses oder sogar, wenn Sie sich in einer anderen Stadt oder einem anderen Land aufhalten. Sie stecken Sie ein, folgen den wenigen Schritten des „Schnellstart“-Zettels und schon funktioniert die Kamera! Tolle Technologie, ein echtes Beispiel für die moderne, digitale Welt!

Tja, nicht ganz. Das Problem dabei ist der „schon-funktioniert’s“-Teil. Denn es zeigt sich immer wieder, dass viele Anwender sich darüber freuen, dass das Gerät so gut funktioniert, sich aber nicht die Mühe machen, das Standard-Passwort zu ändern oder vielleicht gar nicht wissen, dass dies sehr zu empfehlen ist.

Das bedeutet, dass jeder, der die genaue Adresse der Kamera und das Standard-Passwort (sie wissen schon, das übliche „1234“) kennt, auf Ihre sehr privaten Daten zugreifen kann. Sie fragen, wie jemand an die genaue Adresse der Kamera kommen kann? Dazu gibt man einen komplizierten Suchbegriff bei Google ein und erhält Links zu Tausenden von Kameras, die gerade online sind.

Es dauerte nicht lange, bis jemand für alle Perversen da draußen eine Webseite eingerichtet hat, die nach ungeschützten Webcams sucht und diese nach Ländern und Regionen sortiert (basierend auf den IP-Adressen der Kameras, die den Standort verraten). Es gibt sogar einen Themenstrang in einem zugriffsbeschränkten Forum, in dem Webcam-Screenshots mit den „erstaunlichsten“ Inhalten diskutiert werden. Autsch!

Wer ist schuld daran?

Jeder und niemand. Betrachten wir zunächst einmal die Cyberkriminellen. Die Leute, die die eben genannte Webseite erstellt haben, haben sich nicht selbst mit irgendwelchen fortschrittlichen Technologien bei irgendwelchen Geräten eingehackt. Sie haben nicht einmal Exploit-Sicherheitslücken in der Software der Kameras verwendet. Sie haben keine Phishing-Seite eingerichtet, um Ihre vertraulichen Passwörter zu stehlen. Sie haben einfach nur eine Fehlkonfiguration ausgenutzt.

Sie sind in Geräte eingebrochen, die nicht mit Blick auf die Sicherheit entwickelt wurden. Das ist, wie wenn man eine Geldbörse an sich nimmt, die jemand in einem Café vergessen hat. Der Besitzer hätte sie nicht an einem öffentlichen Ort liegen lassen sollen. Sie zu stehlen ist nicht das Gleiche, wie in ein Haus einzubrechen – aber natürlich dennoch nicht richtig.

Kommen wir zu den Anwendern. Sie haben das Standard-Passwort nicht geändert, obwohl das wahrscheinlich irgendwo in der Anleitung empfohlen wird (sie wissen schon, auf Seit 57 im Kleingedruckten – irgendwo dort). Lesen Sie Anleitungen von Geräten, die „einfach so funktionieren“? Die Hersteller von Webcams versuchen, diese so einfach benutzbar wie möglich zu machen. Manchmal übersehen sie offensichtliche Sicherheitsprobleme zum Wohl der einfachen Benutzbarkeit. Wenn eine Kamera vom Nutzer vor der ersten Nutzung verlangt, das Standard-Passwort zu ändern (das wären etwa zehn Zeilen zusätzlicher Code im Programm – ganz einfach!), könnten solche Vorfälle vermieden werden.

Jetzt zu den Herstellern. Diese können berüchtigten „Hackern“ die Schuld geben und gleichzeitig auch ihren Kunden, die das Standard-Passwort nicht geändert haben. Wobei wir auf der Seite der Kunden bleiben. Wir glauben, dass alles, das mit dem Internet verbunden ist, mit Blick auf die Sicherheit entwickelt werden sollte. Und wir glauben auch, dass die Hersteller – ja, jeder Hersteller! – das Thema Sicherheit in einfachen Worten für die Kunden beschreiben sollte. Und sie sollten ihr Möglichstes tun, das Privatleben ihrer Kunden zu schützen.

Willkommen in der erstaunlichen Welt der Computer!

Generell ist der Grund für solche Vorfälle, dass wir viele Geräte um uns herum für einfache technische Spielereien halten, die nur ein oder zwei einfache Aufgaben übernehmen (zum Beispiel Videos zu übertragen oder WLAN-Zugang zu bieten).

Die Wirklichkeit ist allerdings viel komplizierter. Viele Kameras, Heim-Router, Smart-TVs, Set-Top-Boxen und Musik-Player sind eigentlich echte Computer, die viel mehr können, als sie eigentlich machen. Tatsächlich gilt das für die meisten solcher Geräte, denn die Hersteller verwenden Standard-Universal-Hardware und -Software – denn das ist die günstigste Möglichkeit. Ihr Router bietet WLAN, ist aber leistungsfähig und fortschrittlich genug, um eine Weltraumrakete zu steuern. Deshalb missbrauchen Cyberkriminelle ihn nur zu gerne.

Tipps

Da nicht alle Hardware-, Software- und Web-Services-Anbieter genug über die Sicherheit nachdenken, müssen wir uns selbst darum kümmern. Es gibt da nur zwei Möglichkeiten. Entweder Sie lernen alles über Computer, Software, Programmierung, Netzwerke, die Analyse von Sicherheitslücken, Kommunikationsprotokolle und darüber, wie Sie Ihr System so umbauen können, dass es vor allen möglichen Bedrohungen geschützt ist.

Oder Sie verlassen sich auf die Profis. Bei Computern, Smartphones und Tablets ist das kein Problem (schauen Sie sich einmal Kaspersky Total Security Multi-Device an). Geräte wie Webcams, Router und Smart-TVs sind so unterschiedlich und absichtlich von den Herstellern in sich geschlossen, so dass eine externe Prüfung derzeit nicht möglich ist und es daher momentan auch keine einfache Sicherheitslösung dafür geben kann. Lesen Sie also aufmerksam die Anleitung und rufen Sie Ihren IT-Fachmann an, um die Sicherheitseinstellungen vorzunehmen (aber tippen Sie das Passwort selbst ein!).

Um mehr über ähnliche „Hacks“ zu erfahren, können Sie den Artikel des Kaspersky-Experten David Jacoby lesen, der sein eigenes Haus hackte: „How I hacked my home“.

Es gibt aber auch gute Nachrichten: Zwei Tage, nachdem sie entdeckt worden war, wurde die Webseite mit den aufgelisteten Webcams abgeschaltet. Weniger gut ist aber, dass sie davor sechs Monate lang erreichbar war. Noch schlimmer ist, dass die Fehlkonfiguration, die das Ganze überhaupt möglich macht, schon im August 2013 auf einer russischen Technologie-Webseite beschrieben wurde (davon abgesehen, dass Cyberkriminelle den Fehler schon viel länger ausnutzen können).

Die Tatsache, dass die Webseite abgeschaltet wurde, bedeutet nicht, dass die betroffenen Kameras nun sicher sind: Man kann sie immer noch über eine Google-Suche finden und darauf zugreifen. Die einzige Lösung für das Problem ist, das Standard-Passwort der Webcam zu ändern. Bekannt ist, dass mindestens die Geräte eines Herstellers (Foscam, www.foscam.com) betroffen sind.