Online-Kameras – Der Spion im eigenen Wohnzimmer

Online-Kameras - Der Spion im eigenen Wohnzimmer

Es ist eine gruselige Vorstellung: Vollkommen fremde Menschen haben die Möglichkeit, uns Tag und Nacht zu beobachten. In unserem Büro, unserem Wohnzimmer, unserem Schlafzimmer oder unsere Kinder, die in ihren Bettchen schlummern. Als ob diese Vorstellung nicht schon schlimm genug wäre, kann es auch noch passieren, dass diese Bilder öffentlich im Internet geteilt werden, sodass jeder unsere privatesten und intimsten Momente live miterleben kann.

Möglich wird das Ganze durch online zugängliche Kameras. Sei es die Webcam im Smartphone oder dem Notebook, das achtlos auf dem Schreibtisch steht. Oder die Überwachungskamera, die unser Haus eigentlich vor Eindringlingen schützen soll, doch dann selbst zu einem wird.

Wenn die Kamera selbst zum Eindringling wird

Fast jeder Haushalt verfügt inzwischen über mindestens eines dieser Geräte. Manche Haushalte sind vollständig vernetzt, mit intelligenten Kühlschränken und Rollläden, die auch aus dem Urlaub per Kamera beobachtet und gesteuert werden können. Die meisten dieser Geräte sind kaum geschützt. Ein Albtraum für alle Datenschützer und das Paradies für Hacker.

Doch um in fremde Schlafzimmer zu schauen, braucht man meistens nicht einmal richtige Hacker-Kenntnisse. Meistens reichen ein Internetzugang und das Wissen um die richtigen Tools bereits aus. Es gibt inzwischen bereits eigene Webseiten und Youtube-Kanäle, die nichts anderes zeigen, als die Bilder gehackter Online-Kameras. Es gibt eine Menge Menschen, die Spaß daran haben, andere zu beobachten. Und in den allermeisten Fällen ahnen die Betroffenen noch nicht einmal etwas davon. Schuld daran sind nachlässige Hersteller und gutgläubige Verbraucher.

Die Kameras verschiedener großer Hersteller sorgten in der Vergangenheit für Negativschlagzeilen, als eklatante Sicherheitsmängel bekannt wurden. So war es nicht nur möglich, mit minimalem Aufwand die Video-Feeds auszulesen, sondern auch gespeicherte Daten herunterzuladen, andere Hardware im Netz zu übernehmen und sogar die Passwörter für das WLAN, sowie verbundene Mail- und FTP-Server auszulesen. Sogar DDoS-Attacken – eine spezielle Art von Cyberkriminalität – waren über einige der Kameras möglich. Da die Kameras zum Teil ferngesteuert werden können und mit Infrarot ausgestattet sind, können die Eindringlinge sogar nachts entscheiden, aus welchem Winkel sie jedes Geschehen beobachten möchten.
Hunderte dieser Kameras sind über das Internet ungeschützt erreichbar. Kennen Unbefugte einmal die IP-Adresse einer Kamera, können sie ohne Weiteres das Steuerungsmenü in einem eigenen Browser aufrufen und haben unbeschränkten Zugang. Auch dass viele der Kameras Passwörter fordern, ist in der Regel kein Hindernis. Die meistens Kameras sind mit leicht zu erratenden Standard-Passwörtern und Benutzernamen ausgestattet. Auf mehr als ein Drittel der Kameras, die über das Internet erreichbar sind, kann man sogar ganz ohne Passwort zugreifen. Dabei handelt es sich um Hunderte von Geräten. Das Problem ist, dass die meisten Nutzer sich des Problems nicht einmal bewusst sind und deshalb auch nicht die Schritte ergreifen, die notwendig sind, um die Passwörter zu schützen, bessere Firmware zu installieren und den Zugang zu den Kameras zu erschweren.

Da der Zugriff auf die digitalen Augen inzwischen dermaßen beliebt ist, gibt es eine eigene Suchmaschine, die als Werkzeug für Spanner und Youtube-Trolle dient. Der Webdienst Shodan durchforstet automatisch den IP4-Adressraum nach Geräten aus dem Internet der Dinge. Neben Netzwerkfestplatten, Routern oder TV-Receivern gehören dazu auch Webcams, die beispielsweise den Zweck haben, ihre Besitzer vor Einbrechern zu warnen. Da die Suche so beliebt ist, hat Shodan sogar eine eigene Rubrik zu dem Thema eingeführt, dank der mit vorgefertigten Suchanfragen nach Kameras bestimmter Hersteller oder mit bestimmten Eigenschaften gesucht werden kann. Allein in Deutschland werden über 20.000 IP-Adressen gelistet.

Buntes Tape auf der Online-Kamera reicht lang nicht mehr aus

Doch auch, wer sich in Sicherheit wähnt, weil er nie eine Kamera bei sich aufgestellt hat, wird sich vermutlich täuschen. Viele Apps beispielsweise greifen auf die Kameras in unseren Smartphones zu, ohne dass ein genauer Grund erkenntlich wäre. Wann genau sie sich einschalten und was sie dabei beobachten, weiß niemand so genau. Die Zugriffsberechtigungen räumen diese Apps sich meist selbst ein, sodass den Nutzern in der Regel nicht einmal bewusst ist, dass das digitale Kochbuch oder der Fitnessratgeber im Handy sie plötzlich beobachtet. Manch einer ist immerhin schon auf die Idee gekommen, die Kamera am Laptop mit dem bekannten bunten Klebetape abzukleben. Dies mag vor ungewünschten Bildaufnahmen schützen. Doch die Mikrofone der Kameras können immer noch durch Schad- und Spionage-Programme angezapft werden, sodass auch Gespräche unbemerkt mitgeschnitten werden können. Was mit diesen Daten anschließend passiert und wer Zugang dazu hat, ist nicht bekannt.

Wer sich wirklich schützen will, sollte einen Blick in die Datenschutzeinstellungen des Gerätes werfen. Die Kameranutzung kann bei vielen neuen Betriebssystemen gezielt eingeschränkt werden. Wer Kameras benutzt, die nicht unbedingt WLAN-Zugang benötigen, sollte diesen ausschalten, oder sie über ein sogenanntes Dedicated Local Network betreiben, das keinen Zugriff auf andere Geräte hat und vom Internet aus nicht erreichbar ist. Darüber hinaus gilt grundsätzlich die Regel, alle voreingestellten Passwörter von Smarthome-Hardware sofort zu ändern und regelmäßig nach Sicherheitsupdates zu suchen. Das gilt auch für WLAN-, Mail- oder FTP-Passwörter, sofern diese in der Kamera gespeichert sind. Auch ein Blick auf den Router lohnt sich. Ist dieser über UPnP (Universal Plug and Play) konfigurierbar, sollte diese Funktion besser abgeschaltet werden. Denn über ein UPnP können herstellerübergreifend Geräte angesteuert werden. Durch die Deaktivierung kann man verhindern, dass Geräte und Programme Port-Weiterleitungen einrichten, ohne dass man es bemerkt.

Doch selbst wenn man all diese Sicherheitshinweise befolgt, ist immer noch Vorsicht geboten. Der Fernzugriff der Kameras wird unverschlüsselt über HTTP übertragen, sodass Mithörer sich unbemerkt dauerhaften Zugang zu der Kamera verschaffen können. Am sichersten ist es also, die Verbindung – sofern sie überhaupt benötigt wird – nur in vertrauenswürdigen Netzen und niemals über öffentliche Hotspots nutzen.

Denn niemand möchte gerne von wildfremden Menschen Tag und Nacht in den eigenen vier Wänden beobachtet und belauscht werden. Und wenn doch, sollte man daraus ein Geschäftsmodell machen und es sich in jedem Fall gut bezahlen lassen!

Bildnachweis: Fotolia_97815948: (© golubovy / Fotolia)

Christian Scherg
Christian Scherg ist Geschäftsführer der 2007 von ihm gegründeten REVOLVERMÄNNER® GmbH.
Scroll to top