Das Kinderzimmer, der Vorgarten oder der Hinterhof. Solche Orte lassen viele Schweizerinnen und Schweizer mit internetfähigen Webcams rund um die Uhr überwachen. Aus Sicherheitsüberlegungen. Das Problem dabei: Wer diese Geräte ohne Passwort oder einfach stümperhaft einrichtet, stellt sozusagen ein Fenster ins eigene Privatleben ins Internet. Die Sicherheitskamera mutiert so zum puren Gegenteil von dem, was beabsichtigt war.
Immer wieder kommt es vor, dass Sicherheitsforscher ungeschützte Webcams eruieren. Nun hat die auf Cybersecurity spezialisierte US-Firma Bitsight in einem Blogeintrag geschrieben, dass weltweit über 40’000 Kameras ungeschützt ins Netz streamen. Die Forscher konnten diese Kameras durch systematische Internetscans identifizieren. Bitsight hat ungeschützte Kameras in Privatwohnungen, Büros sowie in sensiblen Geschäfts- und Infrastrukturbereichen entdeckt. So gibt es sogar offene Kameras in Spitälern, die Patienten überwachen, oder solche, die Bancomaten filmen.
Am stärksten betroffen sind die USA mit 14’000 Kameras, danach folgen von der Anzahl her Japan, Österreich, Tschechien und Südkorea. Auf Anfrage von CH Media teilt der zuständige Sicherheitsforscher João Cruz mit, in der Schweiz habe man rund 300 offene Kameras entdeckt. Zum Vergleich: Im zehnmal grösseren Deutschland sind es «nur» rund 1000.
Das Ganze ist keine rein hypothetische Gefahr: Man habe im Darknet Konversationen entdeckt, in denen «böswillige Akteure» über ungenügend geschützte Kameras diskutierten, schreibt Cruz. Es braucht keine besonderen Fähigkeiten, um auf die Bilder zuzugreifen. In den meisten Fällen genügen ein normaler Webbrowser sowie etwas Neugier. «Was bedeutet, dass die Zahl von 40’000 Kameras wahrscheinlich nur die Spitze des Eisbergs ist», so Cruz.
Was also ist zu tun? Cruz selbst gibt im Blogeintrag folgende Tipps:
Beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) heisst es auf Anfrage, die Problematik sei bekannt und liege primär darin begründet, dass die Betreiber der Webcams kein ausreichend sicheres Passwort wählten oder keine Sicherheitsupdates durchführten. Auch der Datenschutzbeauftragte rät, den Zugang zu den Daten der Webcam so gut wie möglich zu sichern und laufend Sicherheitsupdates durchzuführen.
«Auch ist es sicher gut, wenn man ein Produkt eines Herstellers wählt, der vertrauenswürdig ist, und man die Informationen zum Produkt gut studiert, bevor man es kauft», sagt eine EDÖB-Sprecherin. Es liege grundsätzlich in der Verantwortung des Betreibers, dafür zu sorgen, dass eine Kamera datenschutzkonform betrieben werde.
Das Bundesamt für Cybersicherheit (Bacs) weist zudem darauf hin, dass sich die Problematik nicht nur auf Kameras beschränkt. Webcams werden der Kategorie «Internet of Things» (IoT) zugeordnet und sollten wie andere IoT-Geräte (etwa smarte Energiesteuerung, Staubsauger, Rasenmäher, Lichtschalter, Fernseher usw.) entsprechend geschützt werden. IoT-Geräte verfügen oft über Standard-Zugangsdaten.
«Diese Standard-Passwörter und Benutzernamen sind häufig in online verfügbaren Bedienungsanleitungen enthalten», sagt Max Klaus vom Bacs. Werden diese Zugangsdaten bei der Inbetriebnahme der IoT-Geräte nicht zeitnah gewechselt, bestehe die Gefahr, dass diese IoT-Geräte missbraucht werden. Das Bacs hat zum Schutz von IoT-Geräten unter www.ncsc.admin.ch entsprechende Massnahmen publiziert.
Ja, ich find den Weg hinaus selber.
Nein, in diesem konkreten Anwendungsfall spricht der Sicherheitsforscher wohl kaum von zahlungspflichtigen VPN-Anbietern wie ProtonVPN, NordVPN, MullvadVPN oder wie diese alle heissen, sondern eher von einem VPN, um seine mobilen Geräte sicher mit dem heimischen Router verbinden zu können, um die Kameras nicht gegen aussen öffnen zu müssen. Und diese VPNs sind i.d.R. im Heimgebrauch keine zahlungspflichtige Dienste, sondern über den heimischen Router konfigurierbar! 😉
Mir kann nichts passieren, denn vorsorglich habe ich sogar meinen Tiefkühler vom Strom genommen. 🤓