Der Bumerang-Effekt

Ein Mann räkelt sich im Schlafzimmer. Wenig bekleidet und offensichtlich vollkommen arglos. In welcher Ecke der Welt sein Bett steht wissen wir nicht, aber wir können zuschauen. Rund zweihundert Sicherheitsexperten aus Europa und den USA haben in Köln miterlebt, wie zwei Hacker die Sicherheits-vorkehrungen billiger IP-Kameras aushebelten, um zu demonstrieren, wie leicht man sich unberechtigten Zutritt zu fremden Lebensräumen verschaffen kann.

Meist wird dieses Problem nur im Umfeld von Spannern und in Computer eingebauter Kameras diskutiert. Einbrecher und Industriespione wollen aber nicht Menschen beobachten, sondern Informationen beschaffen, Gespräche belauschen oder schlicht wissen, ob jemand zu Hause ist. Viele IP-Kameras besitzen Mikrofone und sich zudem über IR-Sensoren auch bei absoluter Dunkelheit noch betriebsbereit. Damit erleichtern die Käufer den Angreifern die Arbeit.

Die Kunden wollen es so: Sie möchten ihrem Baby über das Netz zuhören und es gleichzeitig beobachten, ihren Garten nebst teurer Blumen im Blick behalten und natürlich Tag und Nacht die Haustür beobachten. Kameras mit osteuropäischen IP-Adressen übertragen Bilder von Wechselstuben und Bankschaltern in Echtzeit ins Netz die zeigen, welcher Kunde Geld abhebt oder eintauscht und welche PIN er nutzt. Auch über Kameras in Polizeistationen sind die Hacker schon gestolpert.

IP-Kameras versprechen umfassenden Schutz für kleines Geld. Sie stehen schon für unter 100 Euro bei Internetanbietern in der Liste, und als Kommunikationskanal dient ein ganz gewöhnlicher DSL-Anschluss. Dank moderner Datenkompression übermitteln die IP-Kameras auch bei hoher Auflösung weitestgehend flüssig bewegte Bilder an jeden Ort, an dem sich der Besitzer befindet. Aber es können eben auch andere zuschauen, wenn Hacker die Kamera mit Schadcode infizieren. Das zeigten auf der Sicherheitskonferenz IT-Defense 2014 die in den USA lebenden armenischen Hacker Sergey Shekyan und Artem Harutyunyan; inklusive Live-Schalte ins Schlafzimmer.

Die beiden Sicherheitsprofis hatten, zunächst als Hobby, den in die Kameras integrierten Webserver analysiert. „Grausam schlecht geschrieben, konfiguriert und miserabel geschützt“, so das Fazit der beiden Hacker. Betroffen ist ein erheblicher Teil der 600.000 im Internet registrierten Kameras. Eine großeAnzahl davon entstammt denselben chinesischen Fabrikationsstätten. Auch die beiden Hacker nahmen Kameras aus einer asiatischen Billigproduktion unter die Lupe.

Binnen kürzester Zeit gelang es ihnen über Standard-Passwörter eine Hintertür in den Linux basierten Server der Kamera einzubauen, neue Nutzer anzulegen und ihn schließlich mit Malware zu bestücken. Hacker nennen die Methode: „Authentication bypass/privilege“. Anschließend liefert sie an den neuen Herren nicht nur bereitwillig Kamerabilder über das Internet, sondern funktionierte auch als Proxy-Server und Anonymizer. Nach der geleisteten Vorarbeit dauert es nur Minuten, eine Kamera zu übernehmen.

Was viele Käufer verdrängen: Netzwerkkameras erfüllen zwar dieselben Aufgaben wie normale CCTV-Kameras, ihr Innenleben ist aber weit komplexer, auch wenn das weder beim Volumen, beim Gewicht oder beim Preis auffällt. „Neben der Kamera ist auch noch ein Rechner mit einer CPU, Flash-Speicher und ein DRAM-Speicher in der Kamera. Im Netz erscheint das elektronische Auge dann als Webserver, FTP-Server sowie als FTP- und E-Mail-Client“, erläuterte Artem Harutyunyan. Die Kamera meldet sich dann beim Nutzer, wenn sie eine Bewegung feststellt.

Kleine und preiswerte Mikrochips machen es möglich. Wird die Kamera gehackt, hat der Angreifer nicht nur Zugriff auf die Bilder und Töne im überwachten Bereich, sondern auch einen Fuß im Netzwerk der betreffenden Firma. Wie jeder ungeschützte Webserver im Firmennetz können Daten hinaus und Schadsoftware hineingeschleust werden.

Neben gezielten Attacken auf Kameras mit bekannter Kennung sind auch Angriffe „auf gut Glück“ möglich. Die beliebte Suchmaschine Google hilft bei der Arbeit. Die Kameras werden von ihr gefunden und auch aufgelistet – vorausgesetzt, es wird die etwas kryptische Eingaben verwendet, wie sie auf vielen einschlägigen Blogs zu finden sind. Es gibt aber auch Abhilfe.

Die Sicherheitsexperten raten: Wer selbst eine IP-Kamera betreibt, sollte sich in regelmäßigen Abständen nach Firmware-Updates umschauen. Geeignete Passwörter sind einzurichten, denn die Standardkennungen sind bekannt. Außerdem sollte die SSL-Verschlüsselung aktiviert werden. Inzwischen haben einige Distributoren reagiert und bieten auf ihren Webseiten ein Update für ihre Kameras an. Die neue Software beseitigt einige der Sicherheitslücken, bleibt aber nach Ansicht von Experten unter den technischen Möglichkeiten. Auch ein Update ist allerdings nicht risikofrei. Die Kameras stellen ihre Passwörter nach einem Softwareupdate auf die Werkseinstellungen zurück und machen es so den Spionen besonders leicht. Da hilft nur eines: Häufiger mal die Einstellungen kontrollieren.