ALDI Überwachungskamera erlaubt Dritten Fernzugriff

aldi 01
News

Laut einer heute veröffentlichten Meldung von Heise weisen durch Aldi vertriebene IP-Überwachungskameras ganz erhebliche Sicherheitslücken auf. So sei es möglich, dass Unbefugte über das Internet nicht nur auf Bild und Ton sondern auch auf Passwörter für WLAN, E-Mail und FTP-Zugang ihres Besitzers zugreifen können.

Umfassende Überwachungsfunktionen

Die betroffenen Modelle IPC-10 AC, IPC-100 AC und IPC-20 C der Marke Maginon verfügen über umfassende Überwachungsfunktionen. Zwei der Geräte bieten die Möglichkeit von Audioaufzeichnungen sowie Nachtsicht und sind auch mittels Fernzugriff schwenkbar. All diese Funktionen könnten von Unbefugten missbraucht werden.

Gefährliche Standardkonfiguration

Möglich wird dies, da die Kameras mit einer Firmware ausgeliefert wurden, die bei Konfiguration die Vergabe eines persönlichen Kennworts nicht zwingend vorsah. Ein Fernzugriff sei selbst dann erlaubt, wenn der Nutzer kein Passwort eingerichtet hat. Die Kameras seien dabei so eingerichtet, dass sie selbständig und ohne weitere Information die Router-Einstellungen derart verändern, dass sie über Port 80 erreichbar sind.

Umso fataler ist dieses Versäumnis, als das es sich hierbei um einen Account mit vollständigen Administrationsrechten handelt. Dadurch ist Angreifern die Möglichkeit eröffnet sämtliche Daten die bei der  Kamerakonfiguration eingegeben wurden, wie das WLAN-Passwort und ggf. E-Mail Zugänge, auszulesen.

Privacy by Default

Vorfälle wie dieser zeigen, dass eine Verpflichtung zu datenschutzfreundlichen Voreinstellungen nach dem Grundsatz „Privacy by Design and Default“ dringend geboten ist. Ansonsten würde eine datenschutzkonforme und vor allem sichere Einrichtung solcher Systeme ein gewisses Maß an technischem Knowhow erfordern.

So äußerte etwa der ehemalige Bundesdatenschutzbeauftragte, Peter Schaar:

„Viele Nutzer verfügen nur über beschränkte IT-Kenntnisse und sind daher nicht in der Lage, die einschlägigen Sicherheitsmaßnahmen selbst zu ergreifen, um ihre eigenen oder die personenbezogenen Daten Dritter zu schützen. Daher ist im Zusammenhang mit diesen IT-Verfahren stets ein Grundschutz erforderlich.“

Gesetzliche Regelung

Bislang konnte „Privacy by Design and Default“ dem Prinzip der Datensparsamkeit entnommen werden, hatte allerdings lediglich eine Appellfunktion. Mit der kommenden EU-Datenschutzgrundverordnung wird dieser Grundsatz wohl nun auch gesetzlich geregelt. Dort heißt es in Art. 23:

„The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed; this applies to the amount of data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of individuals.“

Wie Betroffene Nutzer reagieren sollten

Laut Heise steht für die betroffenen Kameramodelle ein Firmware-Update bereit, welches dringend installiert werden sollte. Nach diesem Update wird die Vergabe eines persönlichen Passwortes zwingend. Betroffene Nutzer sollten darüber hinaus vorsichtshalber Ihre Passwörter für WLAN und E-Mail-Account ändern.

Es ist darauf zu achten, dass dabei sichere Passwörter gewählt werden. Was dabei zu beachten ist und wie Sie ein sicheres Passwort auswählen, haben wir erst vorgestern beschrieben.

Keine absolute Sicherheit

Heise warnt allerdings, dass selbst nach Einrichtung eines Passwortschutzes keine absolute Sicherheit erreicht werden kann, da der Fernzugriff auf die Kameras in jedem Falle über eine unverschlüsselte http-Verbindung erfolge.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Gesetzeskonformer Einsatz von Videoüberwachung in Unternehmen
  • Durchführung der gesetzlich vorgeschriebenen Vorabkontrolle
  • Anfragen der Aufsichtsbehörden, des Betriebsrats und von Mitarbeitern

Informieren Sie sich hier über unser Leistungsspektrum: Videoüberwachung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.