Überwachungskameras mit Internetanbindung sollen ihren Besitzern eigentlich ein Gefühl von Sicherheit und Kontrolle vermitteln. Doch die Geräte von Amazons Tochtermarke Ring haben es wegen mangelnder Absicherung gegen Hackerangriffe in diesem Jahr gleich dreimal auf die Liste der unsichersten smarten Weihnachtsgeschenke der Mozilla-Stiftung geschafft.
Die Ring-Kameras sind für den Einsatz im Haus gedacht, spähen in Wohnzimmer, Kinderzimmer, Schlafzimmer – und sind dennoch nur vergleichsweise rudimentär abgesichert: Der Hersteller verlangt für den Einsatz lediglich eine Kombination von E-Mail-Adresse und Passwort, das Eingabefeld auf der Webseite von Ring wird auch nach mehreren Fehlversuchen nicht gesperrt.
Die Ring-Kameras gehören zu den im Weihnachtsgeschäft meistverkauften Smart-Home-Geräten. Doch wer sie falsch einrichtet, kann schnell Besuch vom Albtraum-Weihnachtsmann bekommen: „Ich bin Santa Claus. Willst du nicht meine beste Freundin werden?“, sprach ein Hacker die achtjährige Tochter eines Ring-Käufers im US-Bundesstaat Tennessee über den Lautsprecher einer Kamera im Kinderzimmer an – nur vier Tage, nachdem die Kamera eingerichtet worden war.
„Die Ring-Kameras sind ein sehr gutes Beispiel dafür, wie die Hersteller die Kunden mit der sicheren Einrichtung ihrer Geräte alleinlassen“, sagt Marko Zbirka, Sicherheitsforscher für das Internet der Dinge beim tschechischen Antivirus-Anbieter Avast. „E-Mail und Passwort reichen nicht aus, wenn die Nutzer dieselbe Kombination bereits bei einem anderen Anbieter verwendet haben und dieser kompromittiert wurde.“
Smarte Kameras sind laut Einschätzung von Avast die im Schnitt unsichersten Smart-Home-Geräte auf dem Gabentisch, da sie eine direkte Verbindung ins Internet aufbauen, um den Abruf der Videobilder per Smartphone zu erlauben. Doch Zbirka warnt auch vor anderen Geräten, die für wenig Geld Smart-Home-Dienste bieten. Aktuell besonders beliebt sind laut Avast Haushaltsgeräte mit Alexa- oder Google-Assistant-Anbindung sowie intelligente Glühbirnen.
Avast warnt vor billigen No-Name-Geräten
„All diese Geräte benötigen regelmäßige Sicherheitsupdates, müssen ab Werk sicher eingerichtet sein, sollten sichere Protokolle verwenden und keine unsicheren Verbindungen vom Heimnetz ins Internet öffnen“, sagt Zbirka. „Das sind eine ganze Menge Anforderungen – und viele Hersteller von Haushaltsgeräten sind damit bereits überfordert.“
Deswegen rät der Avast-Forscher auch davon ab, billige No-Name-Geräte mit Online-Anbindung zu kaufen. „Betrachten Sie den Preis des Gerätes als Indiz für Sicherheit: Ist es wahrscheinlich, dass der Hersteller für dieses Geld auch nach Jahren noch Updates nachliefert, dass darin die Kosten künftiger Programmierarbeit enthalten sind? Liegt der Preis eines No-Name-Gerätes drastisch niedriger als die Konkurrenz, sollten Sie vorsichtig sein.“
Wer auch nur ein smartes Gerät mit Sicherheitslücke in sein Heimnetzwerk hineinlässt, öffnet damit Tür und Tor für weitere Attacken auf Geräte, die gar nicht direkt mit dem Internet verbunden sein sollen: „Eine unsichere smarte Kamera kann Hackern als Ausgangsbasis dafür dienen, etwa die Lichtsteuerung zu manipulieren.“
Deswegen warnt der Forscher davor, jedes Gerät im Haushalt ins Netz zu holen. „Fragen Sie sich, ob die smarte Waage oder der smarte Wasserkessel wirklich so viel bequemer zu bedienen sind als Geräte ohne Netzanbindung, dass sich dafür im Gegenzug das zusätzliche Risiko lohnt.“
Dieser Artikel erschien zuerst bei Welt.de.