Sicherheit von IP-Kameras: Sehen und gesehen werden!
Über das Internet gesteuerte Kameras versprechen Sicherheit und sollen Haus- und Wohnungsbesitzern unterwegs den wachsamen Blick in die eigenen vier Wände ermöglichen. Doch die immer beliebter werdenden Überwachungsgeräte sind oft selbst unsicher und erlauben Angreifern aus dem Internet das Ausspionieren fremder Wohnungen via Internet sowie großangelegte Online-Attacken.
Viel Überwachung für wenig Geld
Überwachungskameras, die per Online-Verbindung Bilder, Videos und Ton auf PCs und Mobilgeräte übertragen, sind ein Verkaufsschlager. Kein Wunder, denn die Geräte werden immer günstiger und die Auswahl ist riesig. Mussten Käufer solcher Echtzeit-Überwachungsanlagen vor kurzem noch tief in die Tasche greifen und mehrere hundert Euro auf den Tisch legen, sind IP-Kamerasysteme jetzt für deutlich unter hundert Euro zu bekommen. Installation und Einbindung in ein WLAN sowie das Einrichten eines zugehörigen Cloud-Kontos stellen selbst Computer-Laien vor keine größeren Probleme, meist funktioniert das bequem per App. Und auch der Funktionsumfang der Geräte kann sich sehen lassen: Nachtsicht per Infrarot, 360-Grad-Blick durch Motorsteuerung mittels App sowie Bewegungs- und Audio-Sensoren, die per Internet Alarm schlagen, all das gibt es bereits in niedrigen Preisklassen.
Steigende Einbruchszahlen
Zwar kommen die Kameras auch als Babyphone oder in der Haustierbetreuung zum Einsatz. Häufigster Kaufgrund solcher Überwachungstechnik dürfte allerdings der Schutz von Haus und Hof, Garage oder Feriendomizil in Abwesenheit sein. Das Bedürfnis nach mehr Sicherheit kommt nicht von ungefähr: Die aktuelle polizeiliche Kriminalstatistik weist für das Jahr 2015 einen Anstieg des Deliktes Wohnungseinbruchsdiebstahl um knapp 10 Prozent gegenüber dem Vorjahr aus. Vermuten die Täter die Abwesenheit der Bewohner, steigt die Zahl der Fälle sogar um elf Prozent. Kein Wunder also, dass Eigentümer wie Mieter zu den immer günstigeren IP-Kameras greifen.
Wenn Sicherheitskameras Onlinedienste attackieren
Doch die Sicherheit der Kamera-Überwachung ist trügerisch und kann sogar zum Unsicherheitsfaktor mutieren: Zwar bieten viele Hersteller jede Menge Sicherheitsfunktionen für ihre Überwachungskameras. Dass die Übertragung und Speicherung der von Kameras erzeugten Daten ebenfalls sicher sein muss, haben sie jedoch meist nicht bedacht. Auch der Gerätezugriff über zugehörige Onlinedienste ist in einigen Fällen gar nicht oder nicht ausreichend abgesichert. Und so öffnen sie Angreifern Tür und Tor in den Privatbereich der Nutzer und erlauben Unbefugten den Zugriff auf alle über das WLAN angeschlossenen Geräte, darunter PCs, Smartphones und Tablets. Dies geschieht etwa, indem sie das Kennwort eines vorher gut verschlüsselten Heimnetzwerkes über Sicherheitsmängel im Klartext versenden oder abspeichern.
Im schlimmsten Fall gefährden die Kameras nicht nur die Sicherheit des heimischen WLANs, sondern werden von Online-Kriminellen als Teil eines Botnetzes für Online-Erpressung und Angriffe auf Internetdienste missbraucht – natürlich ohne Wissen ihrer Nutzer. Eine solche Web-Attacke erfolgte am 21. Oktober letzten Jahres: Über 100.000 schlecht geschützte Geräte mit Internetanbindung, darunter viele IP-Kameras rund um den Globus, wurden über ein auf IoT-Geräte spezialisiertes Schadprogramm namens „Mirai“ automatisch in ein Botnetz eingebunden. Mit der Rechenleistung dieses „Kamera-Netzwerks“ führten die Angreifer massive Internet-Angriffe durch. Große Internetangebote, darunter Twitter, PayPal, Amazon, Netflix und Spotify, sollten dadurch aus dem Internet geschossen werden und sollen sogar im Vorfeld erpresst worden sein.
Schutzsuchende auf dem Präsentierteller
Wie sich der gewünschte Schutz durch Sicherheitsmängel von IP-Kameras komplett ins Gegenteil verkehren kann, zeigen exemplarisch die Onlinedienste Insecam und Shodan.
Die Website „Insecam“ zeigt IP-Kameras, die von ihren Besitzern mit dem Internet verbunden wurden. Allerdings bieten die eingesetzten Geräte und Cloud-Plattformen entweder keinen Kennwortschutz oder die Nutzer haben diesen nicht aktiviert. Und so lassen sich hier neben Überwachungskameras aus Geschäften auch viele Geräte finden, die mitten in das Privatleben ihrer Nutzer zielen. Kinderzimmer, Hauseingänge und Garagen sowie Ansichten von mit hohen Sichtschutzzäunen geschützten Gärten, alles ist auf der Website zu finden. Pikantes Detail: Insecam zeigt neben den Echtzeit-Streams der Kameras zudem deren Standorte auf Karten von Google Maps an. So ist es für Einbrecher ein Leichtes, zukünftige Opfer nicht nur auszuspähen, sondern auch zu orten.
Noch einen Schritt weiter geht das Onlineangebot „Shodan“. Die Suchmaschine für IoT-Geräte verfügt seit Anfang des Jahres über vorkonfigurierte Kamera-Suchen. Diese listen ebenfalls Kameras auf, die ohne Kennwortschutz im Internet stehen. Allerdings ist es Angreifern hier nicht nur möglich, den Blick über fremde Kameras zu bekommen. Über ungeschützte Cloud-Bedienmenüs lassen sich die Geräte auch aus der Ferne steuern. Sind sie mit einem Mikrofon ausgestattet, können Angreifer aus dem Internet ihre Opfer sogar belauschen.
Das Test-Siegel für Smart Home-Sicherheit
Tatsache ist, dass IP-Kameras einiges zur Absicherung von Immobilien und anderen Objekten beitragen können. Das setzt allerdings voraus, dass sie durch Mängel im Bereich Datenerfassung, Austausch und Speicherung nicht selbst zum Sicherheitsrisiko werden. Auch die beim Einsatz von IP-Cams genutzten Cloud-Dienste sowie Anwendungen und Apps für Smartphone und Tablet sollten einer Sicherheitsprüfung standhalten, um Angreifer fern zu halten.
AV-TEST prüft IP-Kameras und andere IoT-Geräte darum in umfangreichen Sicherheitstests auf verschlüsselte Kommunikation, sichere Authentifizierung und die Abwehr externer Angriffe. Sichere IP-Kameras und andere IoT-Geräte erkennen Sie an den Sicherheitszertifikaten des AV-TEST Institutes.
Deutliche Unterschiede im Sicherheitstest
Welche aktuellen IP-Kameras sich im Sicherheits-Check von AV-TEST empfohlen haben, verrät die folgende Testtabelle. Regelmäßige Tests zur Sicherheit von IoT- und Smart Home-Produkten finden Sie auf der Website von AV-TEST sowie in unserem IoT-Blog.
Update: Hersteller reagieren
Einige Hersteller haben auf den Test und die Kritik von AV-TEST reagiert und aufgezeigte Sicherheitslücken ihrer Produkte geschlossen. Darunter auch Hersteller Smartfrog, der das gleichnamige Produkt als erste IP-Kamera zertifizieren ließ.