Hunderte Schweizer Webcams streamen intimste Bilder ungeschützt ins Netz
Das Kinderzimmer, der Vorgarten oder der Hinterhof. Solche Orte lassen viele Schweizerinnen und Schweizer mit internetfähigen Webcams rund um die Uhr überwachen. Aus Sicherheitsüberlegungen. Das Problem dabei: Wer diese Geräte ohne Passwort oder einfach stümperhaft einrichtet, stellt sozusagen ein Fenster ins eigene Privatleben ins Internet. Die Sicherheitskamera mutiert so zum puren Gegenteil von dem, was beabsichtigt war.
Immer wieder kommt es vor, dass Sicherheitsforscher ungeschützte Webcams eruieren. Nun hat die auf Cybersecurity spezialisierte US-Firma Bitsight in einem Blogeintrag geschrieben, dass weltweit über 40’000 Kameras ungeschützt ins Netz streamen. Die Forscher konnten diese Kameras durch systematische Internetscans identifizieren. Bitsight hat ungeschützte Kameras in Privatwohnungen, Büros sowie in sensiblen Geschäfts- und Infrastrukturbereichen entdeckt. So gibt es sogar offene Kameras in Spitälern, die Patienten überwachen, oder solche, die Bancomaten filmen.
Am stärksten betroffen sind die USA mit 14’000 Kameras, danach folgen von der Anzahl her Japan, Österreich, Tschechien und Südkorea. Auf Anfrage von CH Media teilt der zuständige Sicherheitsforscher João Cruz mit, in der Schweiz habe man rund 300 offene Kameras entdeckt. Zum Vergleich: Im zehnmal grösseren Deutschland sind es «nur» rund 1000.
Das Ganze ist keine rein hypothetische Gefahr: Man habe im Darknet Konversationen entdeckt, in denen «böswillige Akteure» über ungenügend geschützte Kameras diskutierten, schreibt Cruz. Es braucht keine besonderen Fähigkeiten, um auf die Bilder zuzugreifen. In den meisten Fällen genügen ein normaler Webbrowser sowie etwas Neugier. «Was bedeutet, dass die Zahl von 40’000 Kameras wahrscheinlich nur die Spitze des Eisbergs ist», so Cruz.
Updates und sichere Kennwörter
Was also ist zu tun? Cruz selbst gibt im Blogeintrag folgende Tipps:
- Überprüfe, ob deine Kamera über das Internet zugänglich ist. Versuche, von einem Gerät ausserhalb deines Heimnetzwerks auf die Kamera zuzugreifen. Wenn du sie aus der Ferne erreichen können, ohne sich über eine sichere App oder ein VPN anzumelden, ist sie möglicherweise ungeschützt. VPN ist eine meist zahlungspflichtige Technologie, die eine sichere, verschlüsselte Verbindung gewährleistet.
- Ändere die Standardbenutzernamen und -kennwörter. Viele Kameras werden mit schwachen oder öffentlich bekannten Standardanmeldedaten geliefert. Lege ein starkes, eindeutiges Kennwort fest.
- Deaktiviere den Fernzugriff, wenn du ihn nicht benötigst. Wenn du deine Kamera nur in Ihrem Heimnetzwerk verwenden, gibt es keinen Grund, Verbindungen nach aussen zuzulassen.
- Halte die Firmware auf dem neuesten Stand. Die Hersteller geben häufig Sicherheitsupdates heraus, die Schwachstellen beheben. Suche regelmässig nach Updates und installiere sie.
- Wenn du in deinem Unternehmen Sicherheitskameras verwaltest: Schränke den Zugriff mit Sicherungssystemen wie Firewalls und VPNs ein. Stelle sicher, dass nur autorisiertes Personal auf Kamerafeeds zugreifen kann, indem du ein VPN oder Firewall-Regeln verwendest, die den Zugriff von nicht vertrauenswürdigen Quellen blockieren. Überwache auf ungewöhnliche Aktivitäten. Richte Warnmeldungen für unerwartete Anmeldeversuche ein.
Staubsauger, Rasenmäher und TVs auch sichern
Beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) heisst es auf Anfrage, die Problematik sei bekannt und liege primär darin begründet, dass die Betreiber der Webcams kein ausreichend sicheres Passwort wählten oder keine Sicherheitsupdates durchführten. Auch der Datenschutzbeauftragte rät, den Zugang zu den Daten der Webcam so gut wie möglich zu sichern und laufend Sicherheitsupdates durchzuführen.
«Auch ist es sicher gut, wenn man ein Produkt eines Herstellers wählt, der vertrauenswürdig ist, und man die Informationen zum Produkt gut studiert, bevor man es kauft», sagt eine EDÖB-Sprecherin. Es liege grundsätzlich in der Verantwortung des Betreibers, dafür zu sorgen, dass eine Kamera datenschutzkonform betrieben werde.
Das Bundesamt für Cybersicherheit (Bacs) weist zudem darauf hin, dass sich die Problematik nicht nur auf Kameras beschränkt. Webcams werden der Kategorie «Internet of Things» (IoT) zugeordnet und sollten wie andere IoT-Geräte (etwa smarte Energiesteuerung, Staubsauger, Rasenmäher, Lichtschalter, Fernseher usw.) entsprechend geschützt werden. IoT-Geräte verfügen oft über Standard-Zugangsdaten.
«Diese Standard-Passwörter und Benutzernamen sind häufig in online verfügbaren Bedienungsanleitungen enthalten», sagt Max Klaus vom Bacs. Werden diese Zugangsdaten bei der Inbetriebnahme der IoT-Geräte nicht zeitnah gewechselt, bestehe die Gefahr, dass diese IoT-Geräte missbraucht werden. Das Bacs hat zum Schutz von IoT-Geräten unter www.ncsc.admin.ch entsprechende Massnahmen publiziert.
