Smart-Home-Kameras: Ein beliebtes Einfallstor für Angreifer

Ring-Kamera
Solche Kameras bringen nur vermeintlich mehr Sicherheit. Quelle: Ring

Mittlerweile gibt es viele vernetzte Geräte, sogenannte Smart-Home-Geräte. Dazu zählen auch vernetzte Überwachungskameras, wie etwa die Google-Kamera “Nest” oder das Konkurrenzprodukt “Ring” von Amazon. Sie sollen die Sicherheit des eigenen Zuhauses erhöhen und werden zunehmend auch als Ersatz für Babyfons eingesetzt. Die WLAN-Kameras lassen sich direkt über das Internet erreichen – und auch angreifen.

Sie übertragen ihre Bilder über das Internet an die Anbieter-Server. Von dort können die Aufnahmen über eine App abgerufen werden. Dafür sind sie mit einem Benutzer-Account verbunden: Wer die Zugangsdaten hat, kann auch die Kamerabilder sehen. Dass die Kameras an das Internet angebunden sind, bietet also nicht nur Komfort: es entstehen auch zahlreiche Sicherheitsprobleme.

Beispiele für gehackte Smart-Home-Kameras gibt es einige: Schon 2018 berichteten US-Medien mehrfach über Sicherheitsprobleme bei den Nest-Kameras von Google. Angreifern war es wiederholt gelungen, auf die Accounts der Kameras zuzugreifen. In mehreren Fällen sprachen sie dann über die Kamera-Lautsprecher mit den Besitzern – häufig, um diese zu erschrecken. Solche Vorfälle gab es laut Medienberichten auch mit Kameras, die als Babyfon-Ersatz in Kinderzimmern standen.

In den letzten Wochen wurde vermehrt über ähnliche Vorfälle mit den Ring-Kameras von Amazon berichtet. In einem Fall spielte ein Eindringling Musik über die Kamera ab und sprach darüber mit einem Kind. Die Eltern wollten mit der Kamera im Schlafzimmer ihrer drei Töchter sicherstellen, dass es ihnen gut geht. Die Kameras von Nest und Ring sind auch in Deutschland erhältlich.

Ring-Passwörter im Internet

Einem Bericht des Magazins Vice zu Folge kursieren im Internet verschiedene Werkzeuge zur Übernahme von Ring-Accounts. Hacker nutzen sie beispielsweise, um in schneller Abfolge Benutzernamen und Passwörter auszuprobieren, die aus Datenlecks bekannt sind.

Amazon hat zwar betont, die jüngsten Vorfälle seien nicht auf frühere Datenlecks zurückzuführen, sondern auf unzureichend abgesicherte Accounts.

Demgegenüber stehen jedoch aktuelle Berichte über zwei im Internet aufgetauchte Passwort-Datenbanken mit Ring-Zugängen. Neben Benutzernamen, Passwörtern und dem Wohnort der Besitzer, sind auch die Namen enthalten, die Nutzer ihren Kameras geben. Häufig geben diese den Standort der Kamera preis, beispielsweise “Garage” oder “Haustür”. Über den Benutzerzugang lässt sich zudem die genaue Adresse der Anwender herausfinden, schreibt Buzzfeed. Woher die Passwörter stammen, ist unklar. Ring besteht weiter darauf, dass die Daten nicht von den eigenen Servern entwendet wurden.

Nutzer sollten ihre Benutzerkonten besser sichern

Wer ein Ring-Produkt nutzt, sollte sein Passwort in jedem Fall vorsichtshalber ändern. Ring und Nest geben zwar Empfehlungen für die Sicherheit, zwingen Nutzer aber nicht dazu, ihre Accounts stärker abzusichern. So sollte man ein starkes Passwort verwenden. Vor allem aber sollte man die Zwei-Faktor-Authentifizierung aktivieren. Um auf die Kamera zuzugreifen, benötigt man für die Anmeldung dann neben dem Passwort einen zusätzlichen Code.

Bei Ring kann die Zwei-Faktor-Authentifizierung im “Konto” der Ring-App unter “Verbesserte Sicherheit → Zwei-Schritte-Verifizierung” aktiviert werden. Für die Nest-Produkte muss man sich bei Google anmelden und findet die entsprechende Option dann in den Konto-Einstellungen unter dem Punkt “Sicherheit”.

Vor Sicherheitslücken in der Kamera-Software schützt das freilich nicht.

Ring-Partnerschaft mit der Polizei

Ring geht aktiv auf Polizeibehörden zu und schlägt ihnen vor, zusammenzuarbeiten. Dabei kontrolliert Ring, wie die Polizei über das Unternehmen und seine Produkte spricht: Das Unternehmen möchte, dass die Kameras als für die Strafverfolgung unerlässliche Werkzeuge angesehen werden, berichtet der Guardian.

Standorte von Ring-Kameras wurden in der Vergangenheit außerdem der US-Polizei zur Verfügung gestellt. Mittlerweile gibt es diese Karten wohl nicht mehr.

In den USA bietet Ring zudem die App “Neighbours” an, die über Straftaten in der näheren Umgebung informiert. Im Rahmen dieser “digitalen Bürgerwehr” pflegt Ring auch Partnerschaften mit Strafverfolgungsbehörden. Besteht so eine Vereinbarung mit der lokalen Polizei, kann die Behörde über die App um Aufnahmen von Ring-Kameras bitten. Datenschutzexperten in den USA haben mehrfach gewarnt, dass dadurch ein privates Überwachungsnetzwerk entstehe.

Die Polizei kommt im Normalfall nur an die über die App geteilten Videos, wenn Nutzer dem zustimmen. Doch Ring klärt nicht darüber auf, dass die Polizei die Videos an andere Behörden weiterreichen und dauerhaft speichern kann, wie eine Recherche des Technikmagazins CNet ergeben hat. Auch nach der Aufklärung eines Kriminalfalls kann die Polizei die Videos weiter nutzen, obwohl die Videos von den Ring-Servern nach spätestens 60 Tagen gelöscht werden sollen.

Ring sichert sich Rechte an Videos

Ring-Mitarbeiter konnten sich in der Vergangenheit ebenfalls Videos von Nutzern anschauen, wie das Magazin The Information aufdeckte. Tatsächlich weist Ring auch heute noch darauf hin, dass Amazon-Mitarbeiter unter Umständen Aufnahmen der Überwachungskameras sehen. Nach Firmenangaben schauen Mitarbeiter die Videos aber nur an, wenn Nutzer dem explizit zugestimmt haben. Ohnehin sichert sich Ring in den Nutzungsbedingungen jedoch Rechte zur Nutzung von Videos, wenn diese über die App geteilt werden. Dazu zählt, dass Ring Aufnahmen in “Notfallsituationen” ohne Rechtsverfahren mit der Polizei teilt. So etwas findet sich bei Nest zwar nicht, aber auch hier weisen die Nutzungsbedingungen darauf hin, dass Google-Mitarbeiter die Videos sehen können. (js)