{"id":29594,"date":"2022-12-19T18:41:41","date_gmt":"2022-12-19T16:41:41","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29594"},"modified":"2022-12-19T18:41:41","modified_gmt":"2022-12-19T16:41:41","slug":"ip-cameras-unsecurity-eufy","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ip-cameras-unsecurity-eufy\/29594\/","title":{"rendered":"\u00dcber Nacht zum Reality-Star: Wie sicher sind IP-Kameras?"},"content":{"rendered":"

Smart Homes stellen eine noch junge, aber vollwertige Kategorie der Elektronikger\u00e4te dar. Wasserkocher mit Webschnittstelle, B\u00fcgeleisen, die sich aus der Ferne ausschalten lassen, smarte Lichtsteuerungssysteme \u2013 all das wurde erfunden, um unser Leben einfacher zu machen. Aber sind diese Produkte auch sicher? Neben der Bequemlichkeit bringen IoT-Ger\u00e4te auch neue Sicherheits- und Datenschutzrisiken mit sich, und es vergeht kaum eine Woche, in der nicht \u00fcber eine weitere Sicherheitsl\u00fccke in diesem oder jenem Smart-Ger\u00e4t berichtet wird. Selbst eine \u201esmarte Gl\u00fchbirne\u201c kann Hackern Zugriff auf Ihr Heimnetzwerk<\/a> geben, ganz zu schweigen davon, was mit raffinierterem Equipment m\u00f6glich ist.<\/p>\n

Ein Schl\u00fcsselelement eines jeden Heimsicherheitssystems ist eine Videokamera, die mit dem Internet verbunden ist. Es gibt sie in allen Formen und Farben: Von sogenannten Nanny-Cams und Videot\u00fcrklingeln bis hin zu hochentwickelten motorisierten Kameras f\u00fcr die professionelle Video\u00fcberwachung.<\/p>\n

IP-Kameras sind, wie der Name bereits sagt, permanent online oder stellen regelm\u00e4\u00dfig eine Verbindung zum Internet her, w\u00e4hrend das Bildmaterial meist \u00fcber einen speziellen Dienst des Herstellers zur Verf\u00fcgung gestellt wird. Melden Sie sich bei diesem Dienst an, haben Sie Zugriff auf den Videostream der Kamera, egal wo Sie sich gerade befinden. Die praktische Alternative \u2013 eine Kamera, die nur \u00fcber ein lokales Netzwerk zug\u00e4nglich ist \u2013 ist allerdings auch nur das: praktisch! Und somit f\u00fcr potenzielle Kunden wenig attraktiv.<\/p>\n

Dies wirft eine Reihe von Fragen auf, nicht zuletzt: Was, wenn Cyberkriminelle Ihre Anmeldedaten stehlen? Wie sicher sind Cloud-Video\u00fcberwachungssysteme? K\u00f6nnen Angreifer auf den Videostream zugreifen, ohne sich in Ihr Konto zu hacken? Schlie\u00dflich k\u00f6nnen im schlimmsten Fall hochsensible Informationen, darunter Bilder und Videos von Ihrem Zuhause, in die falschen H\u00e4nde geraten.<\/p>\n

Gebrochene Versprechen<\/strong><\/h2>\n

All diese Bef\u00fcrchtungen waren dem Unternehmen Anker<\/em> sehr wohl bekannt, als es seine eigenen IP-Kameras unter der Marke Eufy auf den Markt brachte. Anker wurde 2011 gegr\u00fcndet und ist somit definitiv kein Newcomer in der Elektronikbranche. Lag der Fokus des Unternehmens anfangs noch auf Ladeger\u00e4ten und Zubeh\u00f6r f\u00fcr Smartphones und Laptops, hat es mittlerweile ein umfangreiches Sortiment an tragbaren elektronischen Ger\u00e4ten f\u00fcr jeden Geschmack und Bedarf entwickelt, darunter auch Videot\u00fcrklingeln und \u00dcberwachungskameras.<\/p>\n

\"\"

Screenshot der Eufy-Website: Nutzern wird der Rundum-Schutz ihrer Daten versprochen.<\/p><\/div>\n

\u00a0<\/p>\n

In einer Anzeige auf der Eufy-Website<\/a> garantieren die Kamera-Entwickler maximalen Datenschutz und versprechen, dass sie keine Clouds verwenden. Stattdessen werden alle Daten in einem sicheren lokalen Speicher aufbewahrt. Die Videofunktion zur Fern\u00fcberwachung kann vollst\u00e4ndig deaktiviert werden; wenn Anwender dennoch wissen m\u00f6chten, was innerhalb ihrer 4 W\u00e4nde vor sich geht, verschl\u00fcsselt die Kamera den Videostream und \u00fcbertr\u00e4gt ihn an eine App auf ihrem Smartphone \u2013 der einzige Ort, an dem er entschl\u00fcsselt werden kann. Dies wird als Ende-zu-Ende-Verschl\u00fcsselung bezeichnet, was bedeutet, dass niemand \u2013 nicht einmal der Anbieter \u2013 auf die Daten zugreifen kann.<\/p>\n

Wichtig ist auch, dass das Erkennungssystem direkt auf dem Ger\u00e4t selbst arbeitet. Die in jeder Kamera integrierte KI analysiert das Filmmaterial, ohne es an die Server des Unternehmens zu \u00fcbermitteln, identifiziert die Personen im Bild und unterscheidet sogar zwischen Vermietern, Mietern und Fremden, so dass der Kamerabesitzer nur dann benachrichtigt wird, wenn ein unbekanntes Gesicht im Bild erscheint.<\/p>\n

100 % Privatsph\u00e4re \u2013 garantiert. Vor Kurzem erlebten Nutzer jedoch eine kleine \u00dcberraschung: Denn hinter den Kulissen arbeiten Eufy-Kameras nicht ganz so wie beschrieben. Am 23. November twitterte<\/a> der britische Sicherheitsexperte Paul Moore ein Video<\/a>, in dem er Eufy die Daten\u00fcbertragung in die Cloud vorwarf \u2013 auch, wenn diese Option eigentlich deaktiviert ist.<\/p>\n

\u00a0<\/p>\n

\"\"

Einer von Paul Moores Tweets \u00fcber die Datenschutzprobleme von Eufy-Kameras.<\/p><\/div>\n

\u00a0<\/p>\n

Moores Video zeigt klar das Problem. Nachdem er eine Eufy-Videot\u00fcrklingel installiert hatte, loggte sich Paul in die Webschnittstelle des Ger\u00e4ts ein, wo er den Browser-Quellcode analysierte und zeigte, dass die Kamera jedes Mal ein Foto an den Server des Anbieters sendet, wenn jemand im Bild erscheint. Das bedeutet, dass mindestens eines der Versprechen von Eufy (kein Cloud-Einsatz) nicht stimmt.<\/p>\n

Moore twitterte danach noch weitere Male \u00fcber einige weitaus ernstere Datenschutzprobleme. Denn ganz offenbar nutzt<\/a> die \u201esichere\u201c Verschl\u00fcsselung von Eufy einen Schl\u00fcssel, der f\u00fcr alle Nutzer gleich ist. Und was noch schlimmer ist: Dieser Schl\u00fcssel war im Eufy-Code zu finden, den das Unternehmen selbst auf GitHub<\/a> ver\u00f6ffentlicht hatte. Sp\u00e4ter best\u00e4tigte<\/a> die Tech-Website The Verge<\/em> unter Berufung auf Moore und einen anderen Sicherheitsexperten das Worst-Case-Szenario: So gut wie jeder kann auf den Videostream einer Kamera zugreifen.<\/p>\n

Unklare Erkl\u00e4rungen<\/strong><\/h2>\n

Dabei m\u00f6chten wir erw\u00e4hnen, dass es eine v\u00f6llig logische Erkl\u00e4rung f\u00fcr das erste Problem, den Upload von Filmmaterial in die Cloud, gibt. In der Theorie funktionieren die Kameras von Eufy wie folgt: Sie installieren die Kamera in Ihrem Haus, Ihrer Wohnung, etc. und konfigurieren die App auf Ihrem Smartphone. Dr\u00fcckt jemand die Smart \u0421all-Taste oder das System erkennt eine Person im Bild, werden Sie per Mitteilung inklusive Foto im Anhang auf Ihrem Smartphone dar\u00fcber benachrichtigt. Die einzige M\u00f6glichkeit, solche Benachrichtigungen zu versenden, ist wahrscheinlich \u00fcber die Cloud. Aber warum verspricht Eufy dann ein cloudloses Erlebnis? Gute Frage!<\/p>\n

Und was ist mit dem Fernzugriff auf den Videostream? The Verge<\/em> und Co. haben nicht alle Aspekte des Problems offengelegt \u2013 aus Angst, dass die Schwachstelle massiv ausgenutzt werden k\u00f6nnte. Einige Details und Fakten sind jedoch bekannt. Erstens: Die versprochene Verschl\u00fcsselung wird nicht zur \u00dcbertragung des Videostreams verwendet. Tats\u00e4chlich ist der Stream \u00fcberhaupt nicht verschl\u00fcsselt und kann \u00fcber einen normalen Media Player wie VLC angesehen werden. Zweitens: Um auf eine bestimmte Kamera zugreifen zu k\u00f6nnen, muss man deren eindeutige URL kennen; mit anderen Worten, ihre Internetadresse. Diese Adressen werden jedoch auf vorhersehbare Weise generiert: Und zwar anhand der Seriennummer des Ger\u00e4ts, die direkt auf dem Geh\u00e4use aufgedruckt ist, sowie des aktuellen Datums und der Uhrzeit. F\u00fcr einen \u201eerweiterten Schutz\u201c werden diese Details um eine zuf\u00e4llige vierstellige Zahl erg\u00e4nzt, die per Brute-Force jedoch leicht zu erzwingen ist. Das Einzige, was den Kamerabesitzer vor einem Angreifer, der die Seriennummer des Ger\u00e4ts kennt, sch\u00fctzt, ist die Tatsache, dass die Kamera Daten nicht konstant online hochl\u00e4dt. Dazu muss sie erst aktiviert werden, z. B. durch Dr\u00fccken des Klingelknopfes.<\/p>\n

Anker, Hersteller von Eufy, wurde darum gebeten, diese Anschuldigungen zu best\u00e4tigen oder zu dementieren, was nur noch mehr Salz in die Wunde streute. Wie The Verge<\/em> und Ars Technica<\/em><\/a> feststellten, bestritten die Entwickler die Existenz jeglicher Sicherheitsprobleme und beantworteten die Fragen nach spezifischen Problemen mit diversen Aussagen, die sp\u00e4ter widerlegt wurden.<\/p>\n

Zum einen \u201eversicherte\u201c das Unternehmen, dass es nicht m\u00f6glich sei, Live-Aufnahmen einer Kamera zu sehen; Aussage, die das Portal The Verge<\/em> widerlegte, indem es genau das mit zwei seiner eigenen Eufy-Kameras tat. Dar\u00fcber hinaus gab der Anbieter zu, dass die Aufnahmen der T\u00fcrklingel sehr wohl an die Server des Unternehmens gesendet werden, aber nur, um sicherzustellen, dass diese ordnungsgem\u00e4\u00df an das Smartphone \u00fcbermittelt werden \u2013 im Anschluss sollten die Bilder gel\u00f6scht werden. Aber auch das konnte Moore durch einen einfachen Test<\/a> widerlegen<\/a>: Nachdem er die Fotos der Kamera in seinem pers\u00f6nlichen Konto angesehen hatte, speicherte er die URLs der Bilder und l\u00f6schte sie dann von seinem Ger\u00e4t. Obwohl die Bilder aus seinem pers\u00f6nlichen Konto verschwanden, konnte Moore \u00fcber die gespeicherten URLs dennoch auf sie zugreifen. Der andere oben erw\u00e4hnte Forscher ging noch einen Schritt weiter<\/a>: Nachdem er die Videokamera vollst\u00e4ndig auf ihre Ger\u00e4teeinstellungen zur\u00fcckgesetzt hatte, wodurch alle gespeicherten Videos aus seinem Konto gel\u00f6scht wurden, verkn\u00fcpfte er das Ger\u00e4t erneut mit seinem Konto und hatte pl\u00f6tzlich erneut Zugriff auf die angeblich gel\u00f6schten Videos!<\/p>\n

Im Allgemeinen haben sich bestimmte ethische Standards in der Sicherheitsbranche herausgebildet, z. B. die Art und Weise in der Informationen \u00fcber Sicherheitsl\u00fccken offengelegt werden und wie Anbieter darauf reagieren sollten. Doch im Fall von Eufy wurde all das \u00fcber Bord geworfen: Anstatt dem Unternehmen eine Chance zu geben, die Probleme zu beheben, gingen die Forscher mit den Schwachstellen sofort an die \u00d6ffentlichkeit. Dann, um noch mehr \u00d6l ins Feuer zu gie\u00dfen, entschied sich das Unternehmen, die offensichtlichen Probleme zu leugnen. Eufy konnte keine technischen Beweise anbringen, um die Behauptungen der unabh\u00e4ngigen Experten zu widerlegen und die einzige \u00c4nderung, die Moore nach seinen mehr als belastenden Beitr\u00e4gen bemerkte, war, dass die Links zu Kamerabildern, die zuvor im HTML-Klartext angezeigt wurden, nun verschleiert waren. Das hei\u00dft, dass die Informationen noch immer an den Eufy-Server gesendet werden \u2013 nur, dass es mittlerweile schwieriger ist, sie zur\u00fcckzuverfolgen.<\/p>\n

Somit hat der Anbieter ein weiteres Versprechen gebrochen, offenbar in der Hoffnung, dass es niemand \u00fcberpr\u00fcfen w\u00fcrde. Doch diese Praxis von Eufy verst\u00f6\u00dft nicht nur gegen die Versprechen des Unternehmens, sondern auch gegen regionale Gesetze zum Datenschutz der Nutzer, wie die DSGVO.<\/p>\n

Schutzma\u00dfnahmen<\/strong><\/h2>\n

Der Fall Eufy ist noch jung, und zun\u00e4chst sind weitere Untersuchungen erforderlich, um zu beweisen, dass Au\u00dfenstehende das Bildmaterial der IP-Kameras von Nutzern abfangen k\u00f6nnen. Es gibt aber auch Beispiele f\u00fcr noch gravierendere Sicherheitsprobleme. So wurde im Jahr 2021 bei IP-Kameras des chinesischen Herstellers Hikvision eine kritische Sicherheitsl\u00fccke entdeckt<\/a>, die einem Angreifer die vollst\u00e4ndige Kontrolle \u00fcber das Ger\u00e4t erm\u00f6glichte. Obwohl ein Patch ver\u00f6ffentlicht wurde, um die Schwachstelle zu beheben, waren selbst ein Jahr sp\u00e4ter noch Zehntausende von Videokameras weltweit anf\u00e4llig und f\u00fcr neugierige Dritte zug\u00e4nglich. Das Problem: Viele Besitzer solcher Ger\u00e4te sind sich einer Sicherheitsl\u00fccke m\u00f6glicherweise nicht einmal bewusst.<\/p>\n

Wieder einmal stehen wir also vor den ewig gleichen Fragen: Wer ist schuld und was ist zu tun? Leider ist die IoT-Branche unzureichend standardisiert. Es gibt keine allgemein anerkannten Normen, die zumindest ein Mindestma\u00df an Sicherheit bieten w\u00fcrden, und Anbieter sch\u00fctzen ihre Ger\u00e4te basierend auf den verf\u00fcgbaren Ressourcen und ihren eigenen Vorstellungen von Sicherheit. Es liegt also in der Hand des Nutzers zu entscheiden, welchem Anbieter er vertraut.<\/p>\n

Wie Ars Technica<\/a> richtig feststellt: Wenn Ihr Ger\u00e4t mit einer Kamera und WLAN ausgestattet ist, wird jemand fr\u00fcher oder sp\u00e4ter eine ausnutzbare Sicherheitsl\u00fccke daf\u00fcr finden. Interessanterweise sind Ger\u00e4te, die vom Design her \u00e4hnlich sind \u2013 Webcams in Laptops und Smartphones \u2013 deutlich besser gesch\u00fctzt: Sobald die Kamera in Gebrauch ist, leuchtet hier sofort ein kleines Licht auf und Sicherheitsl\u00f6sungen<\/a> k\u00f6nnen Apps \u00fcberwachen und einen unbefugten Zugriff darauf blockieren.<\/p>\n\n

\u00a0<\/p>\n

IP-\u00dcberwachungskameras hingegen arbeiten autonom, manchmal sogar 24\/7. Solange es kein allgemein anerkanntes System zur Bewertung der Ger\u00e4tesicherheit gibt, sollten Sie nicht blind auf die \u201eVersprechen\u201c der Anbieter vertrauen, sondern den Schutz Ihrer Privatsph\u00e4re selbst in die Hand nehmen. Wir empfehlen den Besitzern von Video\u00fcberwachungssystemen, auf Nachrichten \u00fcber m\u00f6gliche Sicherheitsprobleme ihrer Ger\u00e4te zu achten, die Kameraeinstellungen sorgf\u00e4ltig zu \u00fcberpr\u00fcfen, nicht genutzte Cloud-Funktionen zu deaktivieren und Updates regelm\u00e4\u00dfig zu installieren. Sollten Sie sich f\u00fcr die Installation eines Video\u00fcberwachungssystems in Ihren vier W\u00e4nden entscheiden, sollten Sie zuvor alle Risiken abw\u00e4gen \u2013 denn die potenziellen Sch\u00e4den, die ein erfolgreicher Hackerangriffe mit sich tragen kann, sind zweifellos enorm.<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Video\u00fcberwachungssysteme f\u00fcr die eigenen 4 W\u00e4nde sind angeblich sicher. Was aber, wenn Sie pl\u00f6tzlich und ungewollt zum Reality-Star werden?<\/p>\n","protected":false},"author":665,"featured_media":29597,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,10],"tags":[274,4021,2239,1910,2482,1190,1029,4022,1346,2428],"class_list":{"0":"post-29594","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-tips","9":"tag-bedrohungen","10":"tag-cctv","11":"tag-idd","12":"tag-iot","13":"tag-lecks","14":"tag-persoenliche-daten","15":"tag-smart-home","16":"tag-smart-house","17":"tag-uberwachungskameras","18":"tag-videouberwachung"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ip-cameras-unsecurity-eufy\/29594\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ip-cameras-unsecurity-eufy\/24970\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/20468\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/10338\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/27538\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ip-cameras-unsecurity-eufy\/25302\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/25617\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ip-cameras-unsecurity-eufy\/28175\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ip-cameras-unsecurity-eufy\/27443\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ip-cameras-unsecurity-eufy\/34368\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ip-cameras-unsecurity-eufy\/11183\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/46574\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ip-cameras-unsecurity-eufy\/19887\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ip-cameras-unsecurity-eufy\/20469\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ip-cameras-unsecurity-eufy\/33000\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/ip-cameras-unsecurity-eufy\/28677\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ip-cameras-unsecurity-eufy\/25657\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ip-cameras-unsecurity-eufy\/31349\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ip-cameras-unsecurity-eufy\/31076\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/bedrohungen\/","name":"Bedrohungen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29594","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29594"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29594\/revisions"}],"predecessor-version":[{"id":29599,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29594\/revisions\/29599"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29597"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29594"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29594"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29594"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}