Es ist der Alptraum für jeden, der sich eine Überwachungskamera ins Haus holt: Kriminelle Hacker nutzen Schwachstellen aus und verwandeln das Gerät in ein mächtiges Spionage-Werkzeug, das jeden Schritt der Besitzer verfolgt. Dass Sicherheitslücken nicht die Ausnahme, sondern die Regel sind, zeigten Ende 2016 SZ-Recherchen zum sogenannten Internet der Dinge: Von Routern über Toaster bis zu Webcams, viele der vermeintlichen smarten und vernetzten Geräte sind anfällig, weil die Hersteller Profit für wichtiger halten als IT-Sicherheit. Wie alarmierend das Problem noch immer ist, belegt eine aktuelle Untersuchung der IT-Beratungsfirma SEC-Consult.
IT-Sicherheitsforscher Stefan Viehböck hat schwerwiegende Sicherheitslücken in Überwachungskameras eines chinesischen Herstellers entdeckt. Die Schwachstellen betreffen mehrere Millionen Nutzer auf der ganzen Welt, darunter auch in Deutschland. Kriminelle können sich in die Videoüberwachung einklinken und die Besitzer beobachten. Auch der Zugriff auf andere Geräte im lokalen Netzwerk ist möglich.
Was hat SEC-Consult herausgefunden?
Kurz gesagt: Die Produkte von Hangzhou Xiongmai Technology sind in Sachen Sicherheit eine mittlere Katastrophe. "Xiong... Wer?!", fragt Viehböck in seinem Forschungspaper. Tatsächlich dürfte den Namen kaum jemand kennen. Das chinesische Unternehmen ist einer der größten Produzenten von Videoüberwachungstechnik. Im Handel werden die Geräte unter anderen Markennamen geführt. Xiongmai beliefert mehr als 100 Hersteller, darunter Autoeye, A-Zone, Digoo, Nextrend und Techage.
Kriminelle können mit Routern, Webcams und Toastern fast jede Webseite lahmlegen. Ein IT-Experte glaubt: Der nächste große Angriff ist nur eine Frage der Zeit.
Über eine Cloud-Schnittstelle können Besitzer der Xiongmai-Geräte aus der Ferne auf ihre Überwachungskameras oder Netzwerkvideorekorder zugreifen. Das ermöglicht es etwa, im Urlaub mit dem Smartphone die Aufnahmen der Kamera zu überprüfen. Leider sind die rechtmäßigen Eigentümer nicht die einzigen, denen diese Möglichkeit offensteht. Dritte können alle übertragenen Daten abgreifen.
Wie hoch sind die Hürden für Angreifer?
Lächerlich niedrig. Mit geringem Aufwand lässt sich die eindeutige Identifikationsnummer der Geräte erraten. Man benötigt zwar gültige Anmeldeinformationen, diese sind jedoch kein Hindernis: Das Standardpasswort des Administratoren-Kontos (Benutzername "admin") ist leer. Nutzer werden bei der Einrichtung nicht aufgefordert, dieses Passwort zu ändern. Dementsprechend dürfte ein Großteil der Geräte ein offenes Scheunentor für Angreifer sein. Selbst eine Passwortänderung hilft nur eingeschränkt: Zusätzlich können sich Angreifer auch über ein anderes Standard-Konto (Nutzername "default", Passwort "tluafed", also der Name rückwärts) anmelden und auf Videoübertragungen zugreifen.
Wie gefährlich ist die Schwachstelle?
Die Lücke eröffnet Hackern mehrere Möglichkeiten. Viehböck nennt drei Szenarien: "Der Spanner" kann Nutzer ausspionieren und sogar direkt mit den Opfern kommunizieren, wenn das Gerät eine beidseitige Gegensprechanlage besitzt. "Der zielgerichtete Angreifer" kann sich Zugriff auf das lokale Netzwerk verschaffen und von dort aus andere Systeme übernehmen. "Der Botnet-Sammler" kann Millionen Xiongmai-Geräte zu sogenannten Botnetzen zusammenschalten und fernsteuern. Das ermöglicht gewaltige DDoS-Attacken, bei denen viele Geräte gleichzeitig eine bestimmte Internetadresse aufrufen. So können ganze Serverfarmen überlastet und große Teile des Netzes lahmgelegt werden.
Je nachdem, was Angreifer im Schilde führen, bedroht die Lücke also die Privatsphäre von normalen Nutzern, die Sicherheit von Firmennetzwerken oder die gesamte Netz-Infrastruktur. Johannes Greil, Leiter des Sicherheits-Labors von SEC-Consult, sagt, dass seine Firma keine Informationen habe, ob die identifizierten Schwachstellen bereits ausgenutzt wurden. Xiongmai habe auch nach einer Frist von sieben Monaten keine der gemeldeten Lücken geschlossen. Offensichtlich stehe IT-Sicherheit nicht weit oben auf der Prioritätenliste des Herstellers.
Wie viele Nutzer sind betroffen?
Im vergangenen März hat SEC-Consult stichprobenartige Scans durchgeführt und das Ergebnis hochgerechnet. Demnach waren zu diesem Zeitpunkt mindestens neun Millionen betroffene Geräte online. 1,3 Millionen Geräte liefen über einen deutschen Server. Das bedeutet aber nicht, dass alle auch in Deutschland stehen: Auch Überwachungskameras in Großbritannien werden diesem Server zugeordnet. Vermutlich entspricht die Zahl eher den Geräten, die in ganz Europa eingesetzt werden.
Wie finde ich heraus, ob ich betroffen bin?
Leider wissen die meisten Nutzer nicht, dass sie ein Xiongmai-Gerät besitzen, da der Name weder im Handbuch noch auf der Verpackung genannt wird. Mehr als 100 Hersteller verbauen die Technik von Xiongmai. Dementsprechend kompliziert ist es, eindeutig herauszufinden, ob ein Gerät betroffen ist. SEC-Consult gibt im Blogeintrag über die Sicherheitslücke mehrere Tipps und erklärt, wie Nutzer vorgehen können.
Was können Nutzer tun, um sich zu schützen?
"Unsere aktuelle Empfehlung ist, die Geräte nicht mehr einzusetzen, bis der Hersteller sämtliche Schwachstellen für alle betroffenen Geräte behoben hat", sagt Greil. Nutzer sollten auf jeden Fall die Passwörter ändern, auch wenn dies nicht vor allen Schwachstellen schütze. Greil rät potenziellen Käufern von Überwachungskameras und anderen vernetzten Geräten, dass sie auf Hersteller zurückgreifen, "die bezüglich Sicherheit positiv auffallen und rasche Update-Zyklen für Sicherheitsupdates aufweisen".
Grundsätzlich gilt, dass alle Geräte, die ans Internet angeschlossen sind, gehackt werden können. Besonders riskant sind zusätzliche Cloud- oder Peer-to-Peer-Funktionen, die den Zugriff aus der Ferne ermöglichen. Wer hier ein vermeintliches Schnäppchen macht, bezahlt das später oft mit seiner Privatsphäre.
