Welche Überwachungskameras sind noch sicher? Sicherheitsvorfälle bei Netatmo und Ubiquiti

-

Sämtliche Hersteller von Smart Home Überwachungskameras werben mit der höchsten Sicherheit! Verschlüsselung bis zum Anschlag, 256 Bit AES, 2 Faktor Authentifizierung und weiß der Teufel nicht was!

Das Cloud Kameras immer etwas unsicherer weiß ja jeder, daher lieber lokal speichern wie auf der Eufy HomeBase oder der Ubiquiti Dream Machine.

Allerdings hat sich leider in der Vergangenheit gezeigt, dass fast keine Überwachungskamera mit Internet Zugriff sicher ist! Egal ob wir eine lokale Speicherung haben oder sie direkt in der Cloud sichern.

Aktuell zeigen dies wieder zwei Hersteller, welche eigentlich für hohe Sicherheit und Vertrauenswürdigkeit stehen, Netatmo und Ubiquiti.

Mehr dazu und meine Meinung in diesem Artikel.

 

Ein paar Sicherheitsvorfälle

Dies soll kein spezielles “Hersteller-Bashing” sein, daher hier einfach ein paar Sicherheitsvorfälle aus der Vergangenheit verschiedener Hersteller. Einfach zu zeigen, dass potenziell jeder betroffen ist.

 

Meist keine Hacker

Wenn du jetzt an böse Hacker denkst, wirst du enttäuscht! Meist sind solche Sicherheitsvorfälle nicht Hackerangriffe sondern einfach “Fehler im System”, die jeden treffen können, egal wie gut dein Passwort ist.

 

Ring, 2019, Mitarbeiter beobachten mutmaßlich Nutzer

Beginnen wir mit einem ganz großen, Ring. 2019 machten Informationen die Runde, dass Support-Mitarbeiter freien Zugriff auf Kameras und Aufnahmen hatten.

Dies wurde Berichten zufolge auch von den Mitarbeitern zum Spaß genutzt, um Kollegen zu beobachten usw.

Quelle: https://www.computerbase.de/2019-01/ring-mitarbeiter-beobachteten-nutzer/

 

Ring, 2022, Zugriff durch Polizei ohne Beschluss

2022 wurde bekannt, dass die Ring Aufnahmen an die Polizei in der USA und Deutschland ohne richterlichen Beschluss herausgibt.

Quelle: https://netzpolitik.org/2022/ueberwachungskameras-von-ring-amazon-gibt-aufnahmen-ohne-richterlichen-beschluss-an-deutsche-polizei/

Quelle: https://www.computerbase.de/2019-01/ring-mitarbeiter-beobachteten-nutzer/

Dies ist auch nicht undenkbar. Wenn Aufnahmen in der Cloud gespeichert werden ist es absolut denkbar, dass bei allen Herstellern Mitarbeiter / Techniker Zugriff auf diese Aufnahmen haben, wenn sie wollten.

Anscheinend hat mittlerweile Ring die Sicherheit und die Zugriffsrechte nun intern verbessert.

 

Eufy, 2021, Zugriff auf fremde Kameras

2021 hatten kurzzeitig Nutzerzugriff auf Überwachungskameras von Fremden. Diese wurden in der App einfach als die eigenen angezeigt, entsprechend bestand Vollzugriff.

Besonders bitter, hier half dann auch nicht Eufys extrem hohe Verschlüsselung.

Quelle: https://appleinsider.com/articles/21/05/17/eufy-owners-privacy-breached-as-app-shows-wrong-cameras

Quelle: https://www.reddit.com/r/EufyCam/comments/ka4qyz/wrong_house_was_shown/

Quelle: https://stadt-bremerhaven.de/eufy-sicherheitskameras-und-die-fremdzugriffe-eufy-gibt-ein-statement-ab/

 

Eufy, 2022, Daten doch in die Cloud

Ein besonders „populären“ Vorfall gab es 2022 mit Eufy. Ein großer “Vorteil” oder zumindest Marketing-Punkt bei Eufy ist die lokale Speicherung der Aufnahmen, welche zudem auch noch verschlüsselt werden.

Allerdings wurde bekannt, dass Eufy 2022 doch einige Daten, wie Vorschaubilder oder Gesichter, in die Cloud gesendet hat.

Quelle: https://www.theverge.com/2022/11/30/23486753/anker-eufy-security-camera-cloud-private-encryption-authentication-storage

Dieser Vorfall ist sicherlich etwas “überdramatisiert” worden, es gab für diese Cloud Verbindung durchaus technische Gründe, aber Eufy hat die Situation nicht gut gehandhabt! Zudem ist es bitter zu erfahren, dass eine Kamera, die mit besonders viel Sicherheit wirbt, dann doch Aufnahmen oder zumindest Vorschaubilder “offen” in die Cloud sendet.

Eufy hat an seiner App und Sicherheit nach diesem Vorfall stark gearbeitet! Sicherlich kann immer mal wieder etwas passieren, siehe den Vorfall von 2021, aber prinzipiell halte ich Eufy wieder für überdurchschnittlich sicher.

 

2023, Netatmo, Unerwünschte Einblicke

Ende 2023 berichtet Heise von einem besonders unschönen Vorfall. Die Kamera von einem Leser erlaubte den Zugriff auf die Kamera von einer anderen Person.

Selbst nach einem reset  wurden immer wieder die Aufnahmen der anderen Kamera angezeigt.

Netatmo hat sehr entspannt auf diesen Vorfall reagiert und erst nachdem Heise davon berichtet hat, kam etwas mehr Tempo in die Sache.

Quelle: https://www.heise.de/hintergrund/Unerwuenschte-Einblicke-Fataler-Fehler-bei-Netatmo-Sicherheitskameras-9568511.html

Was war der Fehler? Zwei Kameras wurden dieselbe ID zugeordnet. Daher wurden die beiden Kameras als “eine” behandelt und beide Nutzer hatten wohl gegenseitig Zugriff auf die Kamera des anderen.

Möglicherweise ein blöder Einzelfall, vielleicht sind aber auch mehrere Kameras von Netatmo mit dem gleichen Problem im Umlauf.

 

2023, Ubiquiti, einmal Vollzugriff bitte

Für mich besonders bitter, Ende 2023 hat es die Kameras bzw. das komplette Ubiquiti UniFi System erwischt!

Was ist passiert? Für rund einen Tag hatten einige fremde Nutzer vollen Zugriff auf die Systeme von anderen Nutzern.

Wie das? Ähnlich wie bei Eufy und Netatmo gab es wohl intern ein Zuordnungsproblem. So wurden die Systeme/Kameras von über 1000 Nutzern versehentlich anderen Accounts zugeordnet. Diese hatten dann einfach so Vollzugriff.

Da hilft auch eine lokale Speicherung und 2 Faktor Authentifizierung nichts.

Quelle: https://www.reddit.com/r/Ubiquiti/comments/18hgpw1/security_problem/

Ein Nutzer hatte plötzlich Zugriff auf 88 fremde Systeme: https://community.ui.com/questions/Security-Issue-Cloud-Site-Manager-presented-me-your-consoles-not-mine/376ec514-572d-476d-b089-030c4313888c

Einfach wundervoll!

 

Sicherlich noch mehr

Wenn ich noch weiter suchen würde, würde ich sicherlich noch mehr Beispiele finden. Viel beunruhigender, wie viele Fälle werden nicht öffentlich? Gerade bei kleinen Anbietern, die vermutlich Sicherheit noch weniger ernst nehmen?

 

Verschlüsselung hilft meist nicht

Die meisten Hersteller werben mit toller Verschlüsselung. Allerdings hilft diese nicht, wenn der Schlüssel einfach in deinem Account gespeichert ist. In der Regel hat ein Hersteller den vollen Zugriff auf diesen und somit auch den Schlüssel.

Zudem scheint derzeit ein populäres Problem die „Zuordnung“ zu sein. Es hilft dir nicht, wenn deine Aufnahmen verschlüsselt sind und dein Account über ein starkes Passwort gesichert ist, mit 2-Faktor-Authentifizierung, wenn versehentlich deine Kamera einem anderen Account zugeordnet wird.

Verschlüsselung ist gerade bei sowas schon wichtig, aber es ist halt nicht die Lösung für alles. Persönlich mache ich mir weniger Sorgen, dass der Staat und Olaf Scholz Zugriff auf meine Überwachungskamera hat und mehr, dass plötzlich ein fremder Nutzer unbemerkt durch meine Aufnahmen schaut.

Gerade bei Innen-Überwachungskameras! Bei Außen-Überwachungskameras bin ich bei der Risiko-Nutzenabwägung etwas “lockerer”. Aber bei Innen-Überwachungskameras bin ich alles andere als entspannt!

Außen nutze ich Eufy und Ubiquiti und innen nur Ubiquiti, welche sich aber auch nur als bedingt sicher herausgestellt haben.

 

Account und Zugriffsrechte trennen

Wie können wir aber dieses Problem lösen? Theoretisch wäre eine reine “Offline” Nutzung eine Möglichkeit. Dann kann es solche Sicherheitsvorfälle nicht geben.

Aber zum einen ist dies bei vielen Systemen nicht möglich, zum anderen ist dies natürlich eine große Komfort-Einschränkung. Du willst ja auch von Außen über Bewegungen usw. informiert werden.

Ich denke das Sinnvollste wäre ein Aufteilen der Zugriffsrechte. Für den Komfort kann eine Kamera durchaus einem Account zugeordnet werden. Aber ein Account sollte nicht direkt vollen Zugriff auf eine Kamera haben. Hierfür sollte ein 2. Passwort notwendig sein.

Dieses Passwort sollte nicht beim Hersteller gespeichert werden, sondern nur auf deinem Gerät! Dieses Passwort ist dann für die Verschlüsselung der Aufnahmen.

Wenn nun jemand Zugriff auf deinen Account oder Kamera bekommt, kann diese Person damit nichts anfangen, da ein “lokales” Passwort notwendig ist.

Gibt es solch ein System? Nicht wirklich! Sicherlich wäre solch ein Überwachungssystem zu machen, für Hersteller wie Eufy und Ubiquiti die “lokal” einen NVR haben. Aber anscheinend besteht da kein großes Interesse.

 

Komfort-, Nutzen-, Risikoabwägung

Ich will nicht von Eufy, Ubiquiti, Ring oder Netatmo abraten. Absolut nicht! Ich nutze 2 dieser Hersteller selbst und mit den beiden anderen habe ich eigentlich gute Erfahrungen gemacht.

Aber vernetzte Kameras sind am Ende eine Kosten-, Nutzen-, Riskorechnung. Es kann bei allen Systemen etwas passieren, das hat die Vergangenheit gezeigt.

Du könntest mit viel Aufwand ein System haben, das “super sicher” ist, aber dieses ist dann super unkomfortabel! Auch scheinen die Hersteller an solch einem System, wo sie keinen vollen Zugriff haben, nur bedingt interessiert zu sein.

 

Welche Hersteller sind sicherer?

Welche Hersteller sind aber nun “sicher sicher” und vielleicht auch halbwegs komfortabel? Schwierig!

Ich würde hier mal drei Hersteller/Systeme in den Raum werfen.

  1. Synology / Qnap Surveillance Station
  2. Reolink
  3. INSTAR

Starten wir mit Reolink. Reolink ist einer der wenigen Hersteller der keinen Account-Zwang hat. Anstelle dessen hat jede Kamera eine “ID” und ein Passwort, das von dir bei der Einrichtung vergeben wird.

Der Cloud Zugriff, wo Reolinks-Server nur als “Mittelsmann” agiert, welcher die Verbindung zwischen deinem Smartphone und Kamera herstellt, lässt sich komplett abdrehen.

Reolink ist also zu 100% sicher? Auch Reolink ist sicherlich nicht perfekt. Am Ende kann dir niemand garantieren, dass nicht vielleicht doch deine Passwörter an den Hersteller übertragen werden und dieser die irgendwo speichert oder die Komunikation mitschneidet. Wir haben keine Möglichkeit zu sehen, wie viel Zugriff der Hersteller am Ende auf die Kameras hat. Auch wenn das grundsätzliche Zugriffsverfahren recht gut und sicher aussieht.

INSTAR ist hier ähnlich vom Kernprinzip. Augenscheinlich verlassen sich die INSTAR Kameras recht wenig auf die Cloud und das “Account-System” ist ähnlich wie bei Reolink. Es gibt keinen verpflichtenden Account und jede Kamera hat ein “lokales” Passwort. Dieses bestimmt entsprechend die Sicherheit und verhindert auch „Verwechslungen“ wie bei Ubiquiti oder Netatmo.

Aber erneut, wir wissen nicht was für Lücken möglicherweise irgendwo vorhanden sind und was für Daten an den Hersteller übertragen werden.

Option 3. wäre ein “NAS” wie Synology oder QNAP. Diese kannst du wie ein NVR nutzen, also “offline” Kameras mit diesen verbinden. Aufnahmen, Bewegungserkennung usw. wird von dem NAS verwaltet.

Das Ganze kann komplett lokal genutzt werden oder ein Fernzugriff kann über die Hersteller-Apps stattfinden. Dabei haben wir natürlich auch wieder eine Verbindung über die Hersteller-Server, wo wir vertrauen müssen, dass diese nicht unnötig Daten speichern.

Allerdings kannst Du dir da bei Synology und QNAP relativ sicher sein, dass diese keinen Vollzugriff auf dein NAS haben!

Entsprechend würde ich sogar diese Lösung für die sicherste halten. Du könntest sogar die Surveillance Station mit INSTAR Kameras verbinden.

Solltest du wirklich auf Nummer sicher gehen wollen, kannst du sowas sogar mit einer lokalen VPN Verbindung verbinden. Beispielsweise über den “MyFritz” Dienst falls du eine Fritzbox hast.

Transparenz / Info: In diesem Artikel sind Affiliate /Werbe Links enthalten. Solltest Du diese nutzen, dann wird Techtest am Verkaufserlös beteiligt, ohne das sich für Dich der Preis verändert. Als Amazon-Partner verdiene ich an qualifizierten Verkäufen. Dies ist eine wichtige Hilfe das hier auch in Zukunft neue Artikel entstehen können. 

Michael Barton
Michael Barton
Hi, hier schreibt der Gründer und einzige Redakteur von Techtest.org. Vielen Dank für das Lesen des Beitrags, ich hoffe dieser konnte dir weiterhelfen. Mehr Informationen über den Autor

Weitere spannende Artikel

DC Geräte an USB Power Delivery Ladegeräten und Powerbanks betreiben

USB Power Delivery Ladegeräte und Powerbanks bieten verschiedene Spannungsstufen. Im Optimalfall beim regulären USB PD Standard 5V, 9V, 12V, 15V und 20V. Allerdings im Gegensatz...

Aktueller denn je, Fake Powerbanks! Ekrist, Trswyop, VOOE, kilponen und Co. im Test. Taugen die günstigen 26800mAh Powerbanks etwas? (nein)

Wenn Ihr aktuell bei Amazon nach Powerbanks sucht, dann werdet Ihr über diverse Hersteller mit sehr kryptischen Namen stolpern. Hierzu gehört Ekrist oder auch Trswyop....

Wie effizient sind Powerbanks? Mit Messwerten!

So gut wie kein elektrisches Gerät arbeitet zu 100% effizient. Dies gilt ganz besonders im Falle von Akkus, wo eigentlich eine hohe Effizienz besonders...

Neuste Beiträge

Empfehlung für Welpen-Besitzer von einem Hundebesitzer! Waschsauger sind ein Segen!

Bei mir ist vor kurzem Hund Nummer 3 eingezogen, Felia. Felia ist bei mir im Alter von 11 Wochen eingezogen, entsprechend ist Felia noch...

Test: ASUS ROG Harpe Ace Aim Lab Edition – leichter und besser als Superlight?

ASUS bietet mit der ROG Harpe Ace Aim Lab Edition eine sehr spannende Maus an. Sie folgt dem aktuellen Trend zu minimalistischen Mäusen mit...

Wärmebildkamera unter 200 €: HIKMICRO Mini2 V2 im Test

Eine Wärmebildkamera kann in vielen Situationen praktisch sein. So benutze ich für Techtest beispielsweise die Bosch GTC 400 C, welche allerdings mit rund 900...

Wissenswert

Was ist PPS und AVS? USB Power Delivery Ladegeräte mit PPS, Übersicht und Info

USB Power Delivery Ladegeräte sind nichts Neues mehr. Es gibt hunderte Modelle auf dem Markt, und diese sind mittlerweile der de-facto-Standard. Auch fast alle Smartphone-Hersteller...

Stromsparender und Leistungsstarker Desktop für Office, Foto und Video-Bearbeitung (Ryzen 8000)

Aufgrund der aktuellen Strompreise und Umweltbedenken ist der Stromverbrauch von Computern ein zunehmend wichtiger Faktor. Gerade dann, wenn der PC über viele Stunden im Leerlauf...

Die besten leichten Powerbanks, ideal fürs Wandern! 2024

Gerade wenn du viel unterwegs bist, ist leichtes Gepäck etwas sehr wichtiges und angenehmes. So konzentrieren wir uns bei techtest in der Regel eher...

2 Kommentare

  1. Der letzte Punkt ist m.E. sehr relevant. Mit einer Fritzbox (und sicher vielen weiteren Routern) oder einem Raspberry Pi mit PiVPN (ein sehr simples Installationsscript für Wireguard / OpenVPN) kann man sich mit verhältnismäßig geringem Aufwand eine sichere Verbindung ins Heimnetz schaffen, über die dann rein lokal im LAN betriebene Kameras auch problemlos von unterwegs abgefragt werden können. In dem Szenario könnte man den Kameras im Router sogar den gesamten Internetzugriff sperren und damit einen Datenabfluss – z.B. zum Hersteller – effektiv verhindern.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.