IP-Kamera: Risiko für Privatsphäre und Sicherheit

Das Smart Home ist in aller Munde. Ob ferngesteuerte Glühbirnen, Heizungsregler oder Rauchmelder – alles soll digitalisiert und erleichtert werden. So nützlich diese Funktionen auch sind, so gefährlich können sie für die Privatsphäre und Sicherheit sein. Dies gilt insbesondere für IP-Kameras (Netzwerkkameras), die es uns jederzeit ermöglichen, von überall auf die Aufnahmen zuzugreifen.

IP-Kamera leicht zu hacken? Nicht das einzige, potentielle Risiko

Viele glauben, Sicherheit dadurch zu gewinnen, dass sie per IP-Kamera immer sehen, was gerade um oder in ihrem Haus passiert. Sei es im Urlaub oder von unterwegs. Sobald sich etwas daheim tut, wird man entweder benachrichtigt oder man schaut kurz rein, um sich zu vergewissern, dass alles noch in Ordnung ist, und ruhig schlafen zu können.

Dabei ist man natürlich der Ansicht, dass man der Einzige ist, der auf die Aufnahmen oder den Live-Stream der Überwachungskamera zugreifen kann. Doch mitnichten – immer wieder gibt es Berichte, dass Dritte unbefugt Einsicht nehmen. Ein jüngst veröffentlichter Artikel von The Intercept zeigt, dass man hier nicht nur an Hacker als potentielle Angreifer der IP-Kamera denken sollte. Daneben haben an solch intimen Einsichten u.a. ein Interesse:

• Die Mitarbeiter des Herstellers,
• Zulieferer
• oder staatliche Institutionen.

Ein Live-Feed der Umgebung – und vielleicht auch aus dem Hausinneren – mit hoher Auflösung weckt sicherlich Begehrlichkeiten. In dem Artikel, wird von beliebten IP-Kameras berichtet, die viele Freunde insbesondere bei Amazon gefunden haben. So lassen sich diese u.a. mit Alexa steuern und die Bilder jederzeit auf dem PC, Handy oder Tablet ansehen. An sich ein tolles Feature – ständen da nur nicht die einige Vorwürfe im Raum.

Mitarbeiterzugriff auf Videodateien der Überwachungskamera

Scheinbar soll der Hersteller (s)einem ukrainischen Forschungs- und Entwicklungsteam praktisch ungehinderten Zugang zu dem Ordner auf Amazon’s S3 Cloud Storage Service gegeben haben, der alle Videos enthielt, die von jeder einzelnen IP-Kamera des Herstellers erstellt wurden. Dies würde zu einer enormen Liste hochsensibler Dateien führen, die leicht durchsucht und angesehen werden können. Das Herunterladen und Teilen dieser Kundenvideodateien hätte nur wenige Klicks erfordert. Hintergrund soll die Weiterentwicklung und Verbesserung der künstlichen Intelligenz bei der automatisierten Auswertung von Bildmaterialen bei Amazon sein.

Wie erst kürzlich eine Untersuchung des amerikanischen „National Institute of Standards and Technology“ (NIST) zeigte, sollen die Algorithmen von Microsoft und der chinesischen Firma Yitu Technology führend bei der Gesichtserkennung sein. Insofern wollen die anderen Großen, wie Google oder Amazon, natürlich ihre Hausaufgaben ebenfalls machen.

Als ob der Zugriff auf die Dateien nicht schon fragwürdig genug wäre, sollen die Videodateien der Überwachungskamera aufgrund der Kosten für die Implementierung einer Verschlüsselung sowie etwaig gefährdeter Umsätze unverschlüsselt gespeichert worden sein. Zudem ist dem Team wohl eine entsprechende Datenbank zur Verfügung gestellt worden mit der man jede einzelne Videodatei einem Kunden zuordnen konnte. Gleichzeitig haben hochprivilegierte Führungskräften und Ingenieuren in den USA scheinbar ebenfalls Zugang zum Video-Portal des technischen Supports des Unternehmens erhalten. Dieses soll den Zugang zu ungefilterten Live-Feeds von einigen Kundenkameras rund um die Uhr ermöglicht haben. Für diese „Auserwählten“ sei nur die E-Mail-Adresse der Kunden erforderlich gewesen, um auf die Überwachungskamera zugreifen zu können.

Gelegenheit macht Diebe

Unter diesen Umständen wäre also allein die E-Mail-Adresse (eines Reporters, Regierungsmitglieds oder des Nachbarn) nötig gewesen, um Einblick in ein Wohnzimmer zu erhalten. Dass solche Daten leicht herauszufinden sind – wenn sie nicht ohnehin bereits öffentlich gemacht wurden – war erst letzte Woche groß in den Medien und Anknüpfungspunkt für einen Blog-Beitrag zum Thema Risikomanagement bei einem Hackerangriff.

Daneben zeigt das Vorgehen aber ein generelles Problem: Wenn jemand Zugriff auf Daten hat, wird er diese womöglich auch für eigene Zwecke nutzen (können). Mögen die Policies und internen Richtlinien eines Unternehmens noch so gut sein, jeder einzelne Nutzer sollte sich der Risiken bewusst sein. Sowohl bei der Auswahl des Anbieters sollte man auf Datensicherheit achten, als auch überlegen, welche Daten man teilen möchte.

Bei vielen Herstellern weiß man nicht im Ansatz, wo und auf welche Weise etwaige Aufnahmen gespeichert werden. Ist man preisbewusst, landet man häufig bei einem chinesischen Anbieter, der großen Leistungsumfang zu (scheinbar) geringen Kosten, ermöglicht. Dabei machen sich einige nur wenig Gedanken darüber, dass die Daten womöglich unverschlüsselt irgendwo auf einem (chinesischen) Server gespeichert werden und neben einem selbst auch der Hersteller und womöglich auch Zulieferer, App-Programmierer sowie Regierungen Zugriff auf diese Daten erhalten – von Hackern ganz zu schweigen.

Doch wie soll man sich und seine IP-Kamera schützen?

Am besten ist es natürlich, auf die Nutzung einer IP-Kamera zu verzichten. Nachdem dies für viele keine Option darstellen dürfte, sollte man zumindest darauf achten, dass die Netzwerkkamera nicht in der intimsten Privatsphärenbereich (z.B. Schlafzimmer) angebracht sowie die Nutzung auf ein Minimum begrenzt wird. Mithin ist zu überlegen, die Überwachungskamera nur in Betrieb zu nehmen, wenn man dies für unerlässlich hält und sich niemand in der Wohnung befindet.

Daneben sollte auf die Auswahl des Anbieters der Netzwerkkamera und eine inhaltsverschlüsselte Speicherung geachtet werden, sofern dies überhaupt vom Hersteller bekanntgegeben wird.

Auch dürfen die „Basics“ der IT-Sicherheit nicht außer Acht gelassen werden:

• Änderung des Standardpassworts und der Einstellungen
• Nur ausreichend starke Passwörter verwenden
• Sicherheitsupdates und Patches der regelmäßig prüfen und installieren
• Nutzung einer Firewall
• Plug and Play Funktionen deaktivieren
• Wenn möglich, Nutzung von einem Virtual Private Network (VPN)

Alternative: IP-Kamera in der Private-Cloud

Nachdenken kann man aber beispielsweise über eine Private-Cloud-Lösung, bei welcher die Daten der Netzwerkkamera verschlüsselt nur Lokal auf einem eigenen Server gespeichert werden und gerade nicht in der Cloud des Anbieters. Das ist zum einen natürlich nicht so bequem und erfordert ebenfalls ein ausreichendes Verständnis, um das eigene System sicher zu halten. Zum anderen hat man dadurch mehr Kontrolle und stellt für einen Angreifer womöglich ein weniger lukratives Ziel dar, weil dessen Aufwand umso lohnenswerter ist, je mehr Daten dieser abgreifen kann.

Und noch ein kleiner Denkanstoß zum Schluss: Bevor man sich das nächste Mal über die Nutzung von Cookies durch einen Anbieter aufregt, sollte man sich überlegen, ob man nicht lieber einmal mit offenen Augen durch sein Haus bzw. seine Wohnung geht und sich fragt, was für Daten man (unbewusst) preisgibt, ohne sich jemals Gedanken darüber gemacht zu haben.