Das große Risiko von Netzwerkkameras
Im 34. Tätigkeitsbericht 2018 des LfD-BW wird auf die große Hacker Gefahr bei Netzwerkkameras hingewiesen
Das große Risiko von Netzwerkkameras – Das Tor zur Welt
Fühlen Sie sich beobachtet, wenn sie die Parklücke vor ihrem Haus auch nach dem achten Anlauf nicht richtig ansteuern? Wenn Sie tänzelnd und beschwingt Ihre Auffahrt kehren? Oder wenn Sie nur im Bademantel bekleidet den Müll in die Tonne vor ihrem Haus werfen?
Vielleicht sind Sie – ohne es zu Wissen – am anderen Ende der Welt schon längst eine Internetberühmtheit? Betreibt Ihr Nachbar eine Netzwerkkamera an seiner Haustür oder an seinem Gebäude und nimmt er es dabei mit dem Datenschutz und der Datensicherheit nicht so genau, steigen Ihre Chancen auf unfreiwilligen internationalen Ruhm ganz erheblich. Netzwerkkameras oder IP-Kameras können kabellos mit einem Netzwerk verbunden und dadurch beliebig in Funkreichweite installiert werden. Im Gegensatz zu früheren Kameras bestehen sie aus einem Rechner, der digitale Videobilder und Tonspuren unmittelbar als Web- und Streamingserver ausgeben und die Aufnahmen selbst speichern kann. Ist das Gerät über das Internet erreichbar, kann mittels Browser über die kameraeigene Software auf das Kamerabild und den Speicher des Geräts zugegriffen werden – natürlich weltweit per Smartphone oder Tablet.
Die kabellosen Systeme sind bequem und einfach einzurichten, günstig in der Anschaffung und entsprechend weit verbreitet. Dabei legen die Hersteller selten Wert auf eine sichere Software, weshalb die Geräte oft erhebliche Risiken bergen. Verpasst man ein wichtiges Update oder wird der Support für das Gerät eingestellt, können Kameras die über das Internet erreichbar sind, leicht angegriffen und kompromittiert werden. Gerade IP-Kameras sind häufig Ziel massenhaft verbreiteter Schadsoftware.
Verliert man erst einmal die Kontrolle über seine Kamera, können Fremde unbeschränkt auf die Kamerafunktionen und -Bilder zugreifen, diese vervielfältigen und verbreiten, die Kamera steuern oder das Gerät für eigene kriminelle Zwecke als Teil eines sogenannten Botnetzes (beispielsweise „Mirai“ oder „Persirai“) missbrauchen.
Neben Sicherheitslücken in der Software ist mangelnder Passwortschutz ein Hauptrisiko. Ist ein voreingestelltes Passwort nicht abgeändert oder wird ein unsicheres Standard-Passwort verwendet, sind IP-Kameras besonders leicht zu übernehmen und ein attraktives Ziel für automatisierte Angriffe aus dem Internet.
Im vergangenen Jahr mussten wir mehrere Betreiber von Netzwerkkameras darauf hinweisen, dass sie ihre Kameras datenschutzwidrig betreiben. Ein Passwortschutz war für die Weboberfläche der IP-Kameras erst gar nicht eingerichtet, weshalb die Kamerabilder über das Internet frei erreichbar und damit weltweit abrufbar waren. Auch den Zugriff auf Kamerafunktionen und Kameraspeicher hatten die Betreiber nicht beschränkt. Im Live-Stream übertrugen die Kameras zum Teil weiträumig den öffentlichen Straßenraum und erfassten die Nachbargebäude im jeweiligen Wohngebiet. In einem Fall setzte der Betreiber eine sogenannte digitale Türkamera ein, die ein Live-Überwachungsbild der unmittelbaren Nachbarschaft zeigte und darüber hinaus Bilder aller klingelnden Gäste über mehrere Jahre archivierte. Hierbei handelte es sich nicht nur um Freunde und Verwandte, sondern auch um Postboten, Lieferanten und Handwerker. Die smarte Türkamera verfügte außerdem über die Funktion „Open-Door“. Ob diese tatsächlich mit dem Türöffner verbunden war, hat (zumindest) die Aufsichtsbehörde nicht überprüft. Der Betreiber wurde über die Sicherheitslücke informiert. Die Einleitung eines Bußgeldverfahrens war in diesem Fall nicht zu vermeiden, da über einen langen Zeitraum eine nach Art und Umfang erhebliche Überwachung des öffentlichen Raumes vorlag. Der Einsatz einer digitalen Tür- oder Klingelkamera ist unter bestimmten Voraussetzungen durchaus zulässig. Eine dauerhafte und anlasslose Bildübertragung öffentlich-zugänglicher Bereiche muss aber in jedem Fall ausgeschlossen sein. Eine anlasslose Aufzeichnung der Audiospur kann sogar eine Straftat darstellen (vgl. § 201 des Strafgesetzbuchs). In öffentlich zugänglichen Bereichen kann eine Klingelkamera eingesetzt werden, wenn eine Bildübertragung nach Betätigung der Klingel, d.h. anlassbezogen erfolgt, eine dauerhafte Speicherung der Aufnahmen ausgeschlossen ist, das System nicht mehr abbildet als ein Blick durch den Türspion gewähren würde und die Übertragung nach einigen Sekunden automatisch unterbrochen wird.
(Sicherheits-)Kameras, die manuell oder durch Bewegung aktiviert werden und ein Pre-Recording einsetzen, erfüllen diese Voraussetzungen nicht. Ein duales System, das in Wohnbereichen gleichzeitig als Überwachungs- und Klingelkamera genutzt wird und dabei den öffentlichen Raum filmt, kann die rechtlichen Anforderungen an eine Videoüberwachung öffentlich zugänglicher Räume in der Regel nicht erfüllen. Beim Betrieb von Netzwerk- oder IP-Kameras ist besonders darauf zu achten, dass diese datenschutzkonform konfiguriert und ausgerichtet sind. Sicherheitshinweise der Hersteller sollten unbedingt beachtet, die Software regelmäßig aktualisiert und ein sicheres Zugangspasswort vergeben werden.