IT-Sicherheit Wie ungeschützte Webcams unsere Privatsphäre bedrohen

Diese Spielhallen-Besucher sind sich vermutlich nicht bewusst, dass ihr Vergnügen live ins Internet gestreamt wird.

(Foto: SZ)

Bilder aus Wohnzimmern, Spielhallen, Apotheken: Im Netz findet jeder recht einfach Streams von schlecht gesicherten Webcams. Betreiber und Gefilmte wissen oft nichts davon.

Von Catharina Felke und Mirjam Hauck

Die Apotheke im niedersächsischen Stade legt Wert auf die Privatsphäre ihrer Kunden. Wände trennen die vier Kassen voneinander. Niemand soll sehen, welche Medikamente die Apotheker über den Tresen geben. Dennoch werden die Kunden beobachtet. Zwei kleine weiße Kameras hängen an der Decke. Sie sind auf die Kassen gerichtet und machen den Sichtschutz letztlich wirkungslos. Denn über spezielle Suchmaschinen wie Shodan kann jeder die Bilder sehen, die die Kamera macht. Sie stehen offen im Netz. Und nicht nur die Kunden und ihre Medikamente haben die Kameras im Blick, sie sind auch auf den hinteren Bereich der Apotheke gerichtet, der vom Verkaufsraum aus nicht einsehbar ist.

Apotheker Jürgen Schall (Name von der Redaktion geändert) ist entsetzt, als die SZ ihm die Sicherheitslücke zeigt. Er will sofort den Techniker anrufen, der für die Videokameras zuständig ist. Doch der geht nicht ans Telefon. Schall schaltet die Kameras eigenhändig ab. "Uns ist Vertraulichkeit sehr wichtig", sagt er. Die Sicherheitsvorschriften sind streng. Nur mit Fingerabdruck und einer speziellen Karte können Mitarbeiter die Kundendatenbank einsehen. Wenig später erreicht Schall den Techniker, und der findet einen Fehler: Ein Haken sei nicht gesetzt worden. Der soll eigentlich garantieren, dass die Kameras mit Nutzername und Passwort gesichert werden. "Menschliches Versagen", sagt Schall.

Wenn es um Technik geht, versagen Menschen oft. Die Apotheke ist nur ein Fall unter vielen. In Deutschland gibt es SZ-Recherchen zufolge Hunderte Webcams, deren Stream jeder online abrufen kann - mindestens. Die Besitzer ahnen vermutlich nichts. Und es werden täglich mehr. Denn immer mehr Geräte sind mit dem Internet verbunden. Das Internet der Dinge wächst unaufhaltsam. Laut einer Studie der UN sollen bis 2020 zwischen 26 und 30 Milliarden Geräte online sein. Das Problem: Viele von ihnen sind nur unzureichend oder überhaupt nicht geschützt, oder die Software hat Sicherheitslücken.

Durch die öffentlichen Bilder sind Datenschutz und das Persönlichkeitsrecht der Mitarbeiter und Kunden nicht mehr gewährt. Zwar passieren die meisten Verstöße wie bei der Apotheke nicht mit Absicht, sagt Martin Schweinoch, Fachanwalt für IT-Recht und Partner der Münchner Kanzlei SKW Schwarz. Dennoch kann die zuständige Datenschutzaufsichtsbehörde dafür ein Bußgeld verhängen. Die gefilmten Personen haben einen Unterlassungsanspruch gegenüber dem Betreiber und auch Anspruch auf Schadensersatz wegen der Verletzung der Persönlichkeitsrechte. Allerdings dürfte die Summe dafür im Normalfall nicht gerade hoch sein.

Wenige Klicks reichen, um eine offene Webcam zu finden. Dann kann jeder dem blonden Jungen beim Videospielen im Wohnzimmer zusehen, das Baby im Kinderbett beim Mittagsschlaf oder die zwei Freundinnen auf einer Holzterrasse beobachten. Das sind alles Fälle, die die SZ in wenigen Minuten finden konnte. Die Suche nach ungesicherten Geräten ist einfach, sie funktioniert ähnlich wie Google. Die einschlägigen Suchbegriffe lassen sich online finden, in Foren und entsprechenden Artikeln.

"1234admin" oder "passwort" - kein Problem für Angreifer

Doch nicht nur die offenen Webcams sind problematisch. Selbst ein Passwort schützt nicht zwangsläufig vor dem ungewollten Beobachter im eigenen Haus. Denn viele Nutzer verwenden Standardpasswörter, die von den Herstellern voreingestellt werden. Benutzername und Passwort bestehen dann aus einfachen Tastenkombinationen oder Wörtern wie "1234admin" oder "passwort". Online gibt es viele Listen dieser sogenannten Default-Passwörter. Damit können Unbekannte auf viele Kameras zugreifen.

Für die Recherche wurden jedoch nur Geräte gesucht, die frei zugänglich waren. Die Einblicke in die Privatsphäre waren bedenklich: der alte Mann im blauen Pyjama in seinem Krankenbett, der Mittfünfziger, der an einem Sonntag im Oktober um 22.07 Uhr an seinem Computer sitzt, die junge Frau im rosafarbenen T-Shirt, die morgens Brote belegt. Sie waren potenziell für die ganze Welt sichtbar, vermutlich ohne ihr Wissen.