Es ist der Albtraum für jeden Besitzer einer Überwachungskamera: Kriminelle Hacker nutzen Schwachstellen aus und verwandeln das Gerät in Spionage-Werkzeug. Aufnahmen, die etwa den Schlaf des Kleinkinds überwachen, landen ungeschützt im Netz. Eine Untersuchung der IT-Beratungsfirma SEC-Consult zeigt, dass dieses Albtraumszenario oft Realität ist.
Was hat SEC-Consult herausgefunden?
IT-Sicherheitsforscher Stefan Viehböck hat schwerwiegende Sicherheitslücken in Überwachungskameras eines chinesischen Herstellers entdeckt. Die Schwachstellen betreffen mehrere Millionen Nutzer auf der ganzen Welt, darunter auch in Deutschland. Kriminelle können sich in die Videoüberwachung einklinken und die Besitzer beobachten. Auch der Zugriff auf andere Geräte im lokalen Netzwerk ist möglich. Zwar kennt kaum jemand den Namen Hangzhou Xiongmai Technology, die Hardware des Unternehmens steckt jedoch Geräten von mehr als hundert Herstellern, darunter Autoeye, A-Zone, Digoo, Nextrend und Techage.
Wie gefährlich ist die Schwachstelle?
Die Lücke eröffnet Hackern mehrere Möglichkeiten. Viehböck nennt drei Szenarien: "Der Spanner" kann Nutzer ausspionieren. "Der zielgerichtete Angreifer" kann sich Zugriff auf das lokale Netzwerk verschaffen. "Der Botnet-Sammler" kann Millionen Xiongmai-Geräte zu sogenannten Botnetzen zusammenschalten und fernsteuern. Die Lücke bedroht die Privatsphäre, die Sicherheit von Firmennetzwerken und die gesamte Netzinfrastruktur. Johannes Greil, Leiter des Sicherheits-Labors, sagt, dass SEC-Consult keine Informationen habe, ob die identifizierten Schwachstellen bereits ausgenutzt wurden.
Wie hoch sind die Hürden für Angreifer?
Lächerlich niedrig. Das Standardpasswort des Administratoren-Kontos ist leer. Dementsprechend dürfte ein Großteil der Geräte ein offenes Scheunentor für Angreifer sein. Selbst eine Passwortänderung hilft nur eingeschränkt: Zusätzlich können sich Angreifer auch über ein anderes Standardkonto anmelden und auf Videoübertragungen zugreifen.
Bin ich betroffen?
Leider wissen die meisten Nutzer nicht, dass sie ein Xiongmai-Gerät besitzen, da der Name weder im Handbuch noch auf der Verpackung genannt wird. Dementsprechend kompliziert ist es herauszufinden, ob ein Gerät betroffen ist. SEC-Consult gibt im Blogeintrag über die Sicherheitslücke mehrere Tipps.
Wie können sich Nutzer schützen?
"Unsere aktuelle Empfehlung ist, die Geräte nicht mehr einzusetzen, bis der Hersteller sämtliche Schwachstellen für alle betroffenen Geräte behoben hat", sagt Greil. Nutzer sollten auf jeden Fall die Passwörter ändern, auch wenn dies nicht vor allen Schwachstellen schütze. Grundsätzlich gilt, dass alle Geräte, die ans Internet angeschlossen sind, gehackt werden können. Besonders riskant sind zusätzliche Cloud- oder Peer-to-Peer-Funktionen, die Fernzugriff ermöglichen. Wer hier ein vermeintliches Schnäppchen macht, bezahlt das später oft mit seiner Privatsphäre. Greil rät zu renommierten Herstellern, die ihre Geräte regelmäßig updaten.