Zum Inhalt springen Zur Navigation springen
ALDI Überwachungskamera erlaubt Dritten Fernzugriff

ALDI Überwachungskamera erlaubt Dritten Fernzugriff

Laut einer heute veröffentlichten Meldung von Heise weisen durch Aldi vertriebene IP-Überwachungskameras ganz erhebliche Sicherheitslücken auf. So sei es möglich, dass Unbefugte über das Internet nicht nur auf Bild und Ton sondern auch auf Passwörter für WLAN, E-Mail und FTP-Zugang ihres Besitzers zugreifen können.

Umfassende Überwachungsfunktionen

Die betroffenen Modelle IPC-10 AC, IPC-100 AC und IPC-20 C der Marke Maginon verfügen über umfassende Überwachungsfunktionen. Zwei der Geräte bieten die Möglichkeit von Audioaufzeichnungen sowie Nachtsicht und sind auch mittels Fernzugriff schwenkbar. All diese Funktionen könnten von Unbefugten missbraucht werden.

Gefährliche Standardkonfiguration

Möglich wird dies, da die Kameras mit einer Firmware ausgeliefert wurden, die bei Konfiguration die Vergabe eines persönlichen Kennworts nicht zwingend vorsah. Ein Fernzugriff sei selbst dann erlaubt, wenn der Nutzer kein Passwort eingerichtet hat. Die Kameras seien dabei so eingerichtet, dass sie selbständig und ohne weitere Information die Router-Einstellungen derart verändern, dass sie über Port 80 erreichbar sind.

Umso fataler ist dieses Versäumnis, als das es sich hierbei um einen Account mit vollständigen Administrationsrechten handelt. Dadurch ist Angreifern die Möglichkeit eröffnet sämtliche Daten die bei der  Kamerakonfiguration eingegeben wurden, wie das WLAN-Passwort und ggf. E-Mail Zugänge, auszulesen.

Privacy by Default

Vorfälle wie dieser zeigen, dass eine Verpflichtung zu datenschutzfreundlichen Voreinstellungen nach dem Grundsatz „Privacy by Design and Default“ dringend geboten ist. Ansonsten würde eine datenschutzkonforme und vor allem sichere Einrichtung solcher Systeme ein gewisses Maß an technischem Knowhow erfordern.

So äußerte etwa der ehemalige Bundesdatenschutzbeauftragte, Peter Schaar:

„Viele Nutzer verfügen nur über beschränkte IT-Kenntnisse und sind daher nicht in der Lage, die einschlägigen Sicherheitsmaßnahmen selbst zu ergreifen, um ihre eigenen oder die personenbezogenen Daten Dritter zu schützen. Daher ist im Zusammenhang mit diesen IT-Verfahren stets ein Grundschutz erforderlich.“

Gesetzliche Regelung

Bislang konnte „Privacy by Design and Default“ dem Prinzip der Datensparsamkeit entnommen werden, hatte allerdings lediglich eine Appellfunktion. Mit der kommenden EU-Datenschutzgrundverordnung wird dieser Grundsatz wohl nun auch gesetzlich geregelt. Dort heißt es in Art. 23:

„The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed; this applies to the amount of data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of individuals.“

Wie Betroffene Nutzer reagieren sollten

Laut Heise steht für die betroffenen Kameramodelle ein Firmware-Update bereit, welches dringend installiert werden sollte. Nach diesem Update wird die Vergabe eines persönlichen Passwortes zwingend. Betroffene Nutzer sollten darüber hinaus vorsichtshalber Ihre Passwörter für WLAN und E-Mail-Account ändern.

Es ist darauf zu achten, dass dabei sichere Passwörter gewählt werden. Was dabei zu beachten ist und wie Sie ein sicheres Passwort auswählen, haben wir erst vorgestern beschrieben.

Keine absolute Sicherheit

Heise warnt allerdings, dass selbst nach Einrichtung eines Passwortschutzes keine absolute Sicherheit erreicht werden kann, da der Fernzugriff auf die Kameras in jedem Falle über eine unverschlüsselte http-Verbindung erfolge.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Nun gut, eines ist und bleibt schon klar: 100 Prozent Sicherheit kann es einfach nicht geben und ist auch nicht erstrebenswert. Aber Aldi hat in dieser Hinsicht ein schon wenig fahrlässig bzw. leichtfertig gehandelt. Wenn es um die Sicherheit seiner Kunden geht, sollte man wie bei Airlines genau schauen, was man ihnen anbietet. Schlussendlich ist das ja auch ein gewisser Vertrauensfaktor in das Unternehmen, welchen man mit seinen Produkten stärken und auch schwächen kann.

    Wissen Sie, ob es in Bezug auf die angesprochenen Modelle Rückrufaktionen gab oder reichte ein ändern der Administratorrechte / neues Firmwareupdate aus?

    Liebe Grüße

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.