Die Apotheke im niedersächsischen Stade legt Wert auf die Privatsphäre ihrer Kunden. Wände trennen die vier Kassen voneinander. Niemand soll sehen, welche Medikamente die Apotheker über den Tresen geben. Dennoch werden die Kunden beobachtet. Zwei kleine weiße Kameras hängen an der Decke. Sie sind auf die Kassen gerichtet und machen den Sichtschutz letztlich wirkungslos. Denn über spezielle Suchmaschinen wie Shodan kann jeder die Bilder sehen, die die Kamera macht. Sie stehen offen im Netz. Und nicht nur die Kunden und ihre Medikamente haben die Kameras im Blick, sie sind auch auf den hinteren Bereich der Apotheke gerichtet, der vom Verkaufsraum aus nicht einsehbar ist.
Apotheker Jürgen Schall (Name von der Redaktion geändert) ist entsetzt, als die SZ ihm die Sicherheitslücke zeigt. Er will sofort den Techniker anrufen, der für die Videokameras zuständig ist. Doch der geht nicht ans Telefon. Schall schaltet die Kameras eigenhändig ab. "Uns ist Vertraulichkeit sehr wichtig", sagt er. Die Sicherheitsvorschriften sind streng. Nur mit Fingerabdruck und einer speziellen Karte können Mitarbeiter die Kundendatenbank einsehen. Wenig später erreicht Schall den Techniker, und der findet einen Fehler: Ein Haken sei nicht gesetzt worden. Der soll eigentlich garantieren, dass die Kameras mit Nutzername und Passwort gesichert werden. "Menschliches Versagen", sagt Schall.
Der Inhalt konnte nicht geladen werden.
Wenn es um Technik geht, versagen Menschen oft. Die Apotheke ist nur ein Fall unter vielen. In Deutschland gibt es SZ-Recherchen zufolge Hunderte Webcams, deren Stream jeder online abrufen kann - mindestens. Die Besitzer ahnen vermutlich nichts. Und es werden täglich mehr. Denn immer mehr Geräte sind mit dem Internet verbunden. Das Internet der Dinge wächst unaufhaltsam. Laut einer Studie der UN sollen bis 2020 zwischen 26 und 30 Milliarden Geräte online sein. Das Problem: Viele von ihnen sind nur unzureichend oder überhaupt nicht geschützt, oder die Software hat Sicherheitslücken.
Durch die öffentlichen Bilder sind Datenschutz und das Persönlichkeitsrecht der Mitarbeiter und Kunden nicht mehr gewährt. Zwar passieren die meisten Verstöße wie bei der Apotheke nicht mit Absicht, sagt Martin Schweinoch, Fachanwalt für IT-Recht und Partner der Münchner Kanzlei SKW Schwarz. Dennoch kann die zuständige Datenschutzaufsichtsbehörde dafür ein Bußgeld verhängen. Die gefilmten Personen haben einen Unterlassungsanspruch gegenüber dem Betreiber und auch Anspruch auf Schadensersatz wegen der Verletzung der Persönlichkeitsrechte. Allerdings dürfte die Summe dafür im Normalfall nicht gerade hoch sein.
Wenige Klicks reichen, um eine offene Webcam zu finden. Dann kann jeder dem blonden Jungen beim Videospielen im Wohnzimmer zusehen, das Baby im Kinderbett beim Mittagsschlaf oder die zwei Freundinnen auf einer Holzterrasse beobachten. Das sind alles Fälle, die die SZ in wenigen Minuten finden konnte. Die Suche nach ungesicherten Geräten ist einfach, sie funktioniert ähnlich wie Google. Die einschlägigen Suchbegriffe lassen sich online finden, in Foren und entsprechenden Artikeln.
"1234admin" oder "passwort" - kein Problem für Angreifer
Doch nicht nur die offenen Webcams sind problematisch. Selbst ein Passwort schützt nicht zwangsläufig vor dem ungewollten Beobachter im eigenen Haus. Denn viele Nutzer verwenden Standardpasswörter, die von den Herstellern voreingestellt werden. Benutzername und Passwort bestehen dann aus einfachen Tastenkombinationen oder Wörtern wie "1234admin" oder "passwort". Online gibt es viele Listen dieser sogenannten Default-Passwörter. Damit können Unbekannte auf viele Kameras zugreifen.
Für die Recherche wurden jedoch nur Geräte gesucht, die frei zugänglich waren. Die Einblicke in die Privatsphäre waren bedenklich: der alte Mann im blauen Pyjama in seinem Krankenbett, der Mittfünfziger, der an einem Sonntag im Oktober um 22.07 Uhr an seinem Computer sitzt, die junge Frau im rosafarbenen T-Shirt, die morgens Brote belegt. Sie waren potenziell für die ganze Welt sichtbar, vermutlich ohne ihr Wissen.
So geht es auch Kunden und Mitarbeitern in einigen Filialen der Kette Backwerk, die der Unternehmer Jan Kahrmann (Name geändert) in Köln betreibt. Er hat seine Filialen mit Videokameras ausrüsten lassen. Sie hängen im Abstand weniger Meter von der Decke und haben vor allem die Verkaufstheken im Blick. Zu sehen sind sämtliche Gäste einzelner Filialen und alle Mitarbeiter. Bei einem Besuch zeigt sich im Gespräch, dass die Mitarbeiterinnen in den Filialen keine Ahnung haben, dass sie während ihrer Arbeitszeit nicht nur vom Chef und seinem Team, sondern von jedem Menschen auf der Welt beobachtet werden können. Wer hier die Tageskasse ausräumen will, kann vorher genau nachsehen, wie viele Menschen in der Filiale sind. Wer vorhat, in die Wohnung einer Mitarbeiterin einzubrechen, kann prüfen, ob die Frau bei der Arbeit ist - und garantiert nicht zu Hause.
Wenige Stunden, nachdem die Mitarbeiterinnen auf die Sicherheitslücke aufmerksam gemacht werden, verschwinden die Streams der Kameras aus dem freien Netz. Dann meldet sich ein Techniker. Er erzählt von einem nicht eingespielten Firmware-Update. Firmware, das ist das Betriebssystem eines Gerätes. Jedes Telefon verfügt über Firmware, jedes Auto und jede Webcam. Der Techniker sagt, das Update solle nun eingespielt werden, die Systeme so gesichert werden. Trotz dieser Beteuerungen sind die Übertragungen der Kameras Tage später wieder im Netz zu finden.
Jan Ole Malchow hat mit Kollegen an der Freien Universität Berlin die Suchmaschine Shodan analysiert, die das Internet der Dinge durchsucht. Für Malchow sind offene Webcams problematisch, allerdings hält er vernetzte und offen zugängliche Kontrollsysteme von Fabriken oder Kraftwerken für deutlich gefährlicher. Kriminelle könnten dort größere Schäden anrichten, die Menschen direkt treffen - wenn zum Beispiel der Strom ausfällt.
Allerdings sieht Malchow durchaus auch die Gefahr, dass Einbrecher sich über die Webcams informieren können, ob es dort was zu holen gibt. Wie groß diese Gefahr ist, hängt von der kriminellen Energie und Kreativität der Angreifer ab. Wie bei dem Unternehmen aus Sachsen-Anhalt, das Metalle bearbeitet und damit ein potenzielles Opfer für Rohstoffdiebe ist. Eine der fünf Kameras, die über Shodan eingesehen werden kann, filmt das Innere einer Lagerhalle, die übrigen das Kommen und Gehen von Mitarbeitern an den Zugängen zum Gebäude. Nach einem Hinweis an das Unternehmen verschwinden die Streams aus dem Netz. Wie in diesem Fall ist der Fernzugriff auf Geräte manchmal erwünscht, etwa wegen Wartungsarbeiten oder Überwachung. Deshalb sind viele von ihnen ans Internet angeschlossen. Aber auch Unbefugte können so leicht zugreifen.
Wer ist verantwortlich für die schlechte Sicherheit?
Die Geräte lassen sich sichern, zum Beispiel über sogenannte VPN-Netzwerke. VPN steht für Virtual Private Networks. Sie leiten Datenverbindungen im normalen Internet durch einen speziell gesicherten virtuellen Tunnel. Damit sind Daten für Fremde unlesbar. Das nutzten aber viele Unternehmen nicht, sagt IT-Forscher Malchow - weil es Geld koste. Auch bei den Kameras selbst schauen Käufer zu sehr auf den Preis. Billige No-Name-Kamera bedeute auch billige Software. Und die hat Malchow zufolge oft Lücken. Aber allein auf einen hohen Preis oder den Hersteller dürften sich Nutzer auch nicht verlassen.
Die Firma Axis, ein Hersteller der in den Kölner Backwerk-Filialen verwendeten Kameras, sieht sich als unschuldig an. Dass die Kamerastreams öffentlich zugänglich seien, liege nicht an einer Sicherheitslücke des Gerätes oder der Software. Vielmehr müssten die Nutzer sie eben richtig einstellen. Hersteller sind lediglich dazu verpflichtet, die Gebrauchsanweisung verständlich zu gestalten. Den Datenschutz einzuhalten sei nicht ihre Aufgabe. So sieht es auch der Jurist Udo Vetter. "Wenn ich mir bei BMW ein schnelles Auto kaufe und zwei Tage später damit einen Unfall verursache, ist auch nicht BMW dafür verantwortlich", sagt er.
Allerdings sind selbst Profis mit den Sicherheitseinstellungen manchmal überfordert. Ulrich Kepler kümmert sich um die Technik von drei Spielhallen nördlich von Dortmund. Allein in einer hängen 30 Kameras. Sie filmen fast alle Ecken des Betriebes, Geräte, Wechselmaschinen, Eingang und Theke. Sie filmen, wie vereinzelte Gäste vor den blinkenden Geräten sitzen, wie eine Mitarbeiterin Schokoriegel und Kekse auf einem gläsernen Teller anrichtet. Die Kameras sollen für Sicherheit sorgen. Wenn wieder einmal ein Kunde vor Wut auf einen Spielautomaten einschlägt, soll das über die Videoaufnahmen nachgewiesen werden.
Kepler reagiert ungläubig, als er davon erfährt: "Es war keine Passworteingabe nötig?" Eigentlich sollen nur drei Angestellte Zugriff auf das Überwachungssystem haben. Tatsächlich konnte über Monate jeder im Netz die Besucher und Angestellten der Spielhalle beobachten. Ein Ort, an dem nicht jeder gesehen werden will, auch weil mit ihm Spielsucht oder Schulden assoziiert werden.
Sowohl die Spielhalle bei Dortmund als auch die Apotheke in Stade verwenden zur Steuerung ihrer Kameras die Überwachungssoftware go1984 der deutschen Firma Logiware. Über spezielle Suchmaschinen wie Shodan lässt sich die Software häufig identifizieren und Fremde können auf sie zugreifen. Fragen dazu will die Firma allerdings nicht beantworten. Da hilft nur eines: Kameras ausschalten - oder sich endlich ernsthaft damit befassen, ob man beobachtet werden kann.
Mitarbeit: Jannis Brühl, Marvin Strathmann