Über den Autor: Rainer Hoppe ist ein kritischer und professioneller Produkttester. Er hat bereits über 400 aktuelle Produkte getestet und in Testberichte beschrieben. Rainer unterstützt das Team von sicherheitskamera.org durch seine fachkundiges Wissen. Er ist Anfang 30, ist ein begeisteter Technik und Computer-Fan, Freizeit-Mountain-Biker sowie ein stolzer und rührender Vater einer kleinen Tochter.
Auch bei Kabel gilt – weniger ist mehr! Wenn eine IP-Kamera fest montiert werden soll, beispielsweise bei einer Überwachung von Räumen oder Haus und Hof, ist eine sorgfältige Planung der Anschlusskabel unerlässlich. Dank WLAN kann auf eine Datenleitung verzichtet werden. Doch nicht jeder will, gerade bei sicherheitsrelevanter Überwachung, auf WLAN setzen. Und das Problem der Stromversorgung bleibt. Warum nicht also einfach das Netzkabel einsparen?
Hinter Power-over-Ethernet (PoE) steht das standardisierte Verfahren, um Netzwerk-Endgeräte, wie beispielsweise IP-Kameras über das Netzwerk-Kabel mit Strom zu versorgen. Dadurch entfällt das Steckernetzteil für die Stromversorgung der Kamera. Der Vorteil liegt auf der Hand: Im Normalfall muss in Kabel-Reichweite der Netzwerkkamera eine 230V-Steckdose vorhanden sein, was gerade im Außeneinsatz oft nicht der Fall ist. Dank Power-over-Ethernet kann der separate Stromanschluss samt Kabel entfallen. Allerdings muss auch das Endgerät PoE auch unterstützen.
Rainer Hoppe zeigt, wie eine IP Kamera mittels PoE funktioniert
Wer liefert den Strom?
Die Idee, Geräte über das Netzwerkkabel auch gleich mit Energie zu versorgen, ist schon relativ alt. Cisco nutze schon früh ein Verfahren, um IP-Telefone auf diese Weise anzubinden. Doch wer liefert nun den Strom? Prinzipiell gibt es zwei Möglichkeiten:
Endspan-Verfahren: Der Switch liefert den Strom. Bei der Neuanschaffung eines Switches sollte man darauf achten, einen sogenannten PoE-Switch auszuwählen. Bei der Auswahl gilt nicht nur ein Augenmerk, wieviel Ports der Switch hat, sondern auch, wieviel Ports davon für die Stromversorgung zuständig sind. Es ist also nicht gesichert, dass ein PoE-Switch auf jedem Port auch Strom liefert.
Midspan-Verfahren: Ein Adapter zwischen Switch und Netzwerkendgerät liefert den Strom. Mittels eines sogenannten PoE-Injektor, der zwischen Switch und IP-Kamera geschaltet wird, kann diese mit Strom versorgt werden. Hier ist darauf zu achten, wieviel Geräte über Power-over-Ethernet mit Strom versorgt werden können. Werden mehrere Kameras betrieben, sind viele PoE-Injektoren schnell überfordert.
Egal wie die eigene IP-Kamera mit Strom über das Netzwerkkabel versorgt werden soll: Achten Sie bei der Auswahl des PoE-Switches oder des PoE-Injektors auf Qualität. Fernost-Billig-Hardware kann sich schnell bei einer Fehlfunktion als sehr kostenintensiv erweisen. Beispielsweise werden Netzteile angeboten, die einfach ohne jede Schutzschaltung die bei 10BaseT und 100BaseT ungenutzten Aderpaare 4/5 und 7/8 unter Spannung setzen. Dies kann funktionieren – oder das Ende der angeschlossenen Netzwerk-Endgeräte bedeuten.
IP Kamera ohne PoE – zur IP-Kamera führen zwei Kabel: Das LAN-Kabel zum Datenaustausch und ein Kabel vom Steckernetzteil.
Strom und Daten durch ein Kabel – jetzt wird’s technisch
Ein Netzwerkkabel nach IEEE 802.3af Standard hat in seinem Innern acht Adern, von denen früher nur die Adernpaare 1/2 sowie 3/6 für die Datenübertragung genutzt wurden. Was lag also näher, als die beiden freien Adernpaare für die Energieversorgung zu nutzen?
Heutzutage, im Gigabit-Ethernet-Zeitalter, gibt es keine brachliegenden Adern mehr. 1000BaseT nutzt alle vier Aderpaare zur Datenübertragung. Hier wird mittels sogenannter Phantom-Speisung das PoE-Netzwerkgerät mit Strom versorgt. Dies bedeutet, dass der Strom für die Energieversorgung dem Datensignal überlagert wird.
Strombegrenzung
Netzwerkkabel sind nicht für Ströme im Ampere-Bereich ausgelegt. Gemäß Anforderungen an eine Schutzkleinspannung können im Mittel 48 Volt bei einer maximalen Stromaufnahme von 350mA bereitgestellt werden. Beim Einschalten des versorgten Gerätes sind kurzzeitig 400mA erlaubt. Pro Switch-Port beträgt die maximale Leistungsaufnahme 15,4 Watt.
IP Kamera mit PoE: Der PoE-Switch liefert über das LAN-Kabel den Strom für die PoE-Kamera. Das Steckernetzteil der Kamera kann entfallen.
Wie lang darf das Netzwerkkabel sein?
Durch die relativ hohe Spannung bleibt die Verlustleistung gering. Auch die Wärmeentwicklung im Kabel und an den Steckerübergängen ist gering, aber fühlbar. Durch Verluste auf der Leitung kann das Netzwerkkabel nicht beliebig lang sein. Der Standard geht davon aus, dass am Ende einer 100 Meter langen Netzwerkleitung etwa 12,95 Watt nutzbare Leistung übrig bleibt.
IP Kamera mit PoE Injektor: Statt einen neuen PoE-fähigen Switch anzuschaffen, kann der Kauf eines PoE-Injektors eine Alternative sein. Dieser wird zwischen Switch und PoE-Kamera eingebunden.
PoE Fähigkeit prüfen
Auch wenn PoE mit besonderem Schutz von Altgeräten spezifiziert wurde, sollte man beim Einsatz eines PoE-Switch darauf achten, an diese Ports auch nur Geräte anzuschließen, die PoE nutzen. Um Schäden zu verhindern, haben die Hersteller einen Schutzmechanismus entwickelt, um PoE-taugliche Endgeräte von untauglichen Endgeräten unterscheiden zu können. Dabei wird an den Adern ein minimaler Strom angelegt. Mittels Messung wird der Innenwiderstand des Netzwerkgerätes ermittelt. Nur wenn der Widerstand zwischen 19 und 26,5 kOhm liegt, wird die Energieversorgung aktiviert.
Bei unseren Tests hat es noch keine Schäden gegeben, wenn wir nicht PoE-fähige Endgeräte an einen PoE-Port angeschlossen haben. Dennoch ist dies nicht auszuschließen. Gerade wenn man Geräte preisgünstig aus Fernost bezieht, sollte man sich auf diese Schutzschaltung nicht verlassen.
Kaum war die zweite Version des Kameramoduls für den Raspberry Pi auf dem Markt, häuften sich in Foren Beschwerden von Käufern, dass der neue Sensor unscharfe Bilder liefert. Nun ist es offiziell: Die Version 2 hat ein Fokusproblem. Doch dieses Problem ist mit ein wenig Bastelarbeit selbst zu lösen.
Sie wurde lang erwartet und entsprechend hoch waren die Erwartungen: Die zweite Version des Kameramoduls mit verbessertem Sony-Sensor und 8 statt bisher 5 Megapixel – dies bei einem gleichbleibenden Preis. Schon schnell zeigten sich viele Käufer enttäuscht, bewerten sich über unscharfe Bilder. Die Fachzeitschrift Make aus dem Heise Verlag ging der Frage nach, ob die „neue Raspberry-Pi-Kamera einen Knick in der Optik“ hat. Klar ist, dass die gerade einmal stecknadelkopfgroße Kamera-Linse und der nur wenige Millimeter große Sensor natürlich nicht die gleiche Bildqualität liefern kann, wie eine High-End Spiegelreflexkamera – doch zeigen auch die Versuche der Make-Redaktion, dass manche Testaufnahmen der ersten Version des Kameramoduls deutlich hinterherhinken. Weiter stellte die Redaktion fest, dass die Kamera im Zentrum der Linse deutlich besser wiedergibt, als an ihrer Peripherie.
Die neue Raspberry Pi-Kamera sorgt derzeit für viel Ärger bei den Käufern. Bild: Raspberry Pi Foundation
Im Forum der Raspberry Pi Foundation erläutert Raspberry-Pi-Gründer Eben Upton in einer Stellungnahme, dass man sich der Sache angenommen hat und Gespräche mit dem Hersteller der Kameramodule stattfänden: „Das Fazit lautet, dass wir quer durch die Stichprobe von mehreren zig Einheiten nichts gefunden haben, womit wir ein schlechtes Gefühl hätten, es auszuliefern.“
So sind die neuen Kamera-Module, wie Eben Upton schreibt, absichtlich nicht für den unendlichen Bereich fokussiert. Dies verhindert, dass Objekte nicht so scharf abgebildet werden, wie das eigentlich möglich wäre. Dies sei „ein bewusster Kompromiss im Zuge von Gesprächen mit Sony“ gewesen.
Diesem Kompromiss fallen also jene Nutzer zum Opfer, die nicht nur Objekte in der Nähe aufnehmen wollen sondern eher Landschaften oder Überwachungsbereiche aufnehmen möchten. Laut Upton gäbe es die Möglichkeit, den harten Kleber, mit dem das Objektiv befestigt ist, durch eine zähflüssige Masse zu ersetzen, um ein manuelles Fokussieren des Kameramoduls zu ermöglichen.
Da der Raspberry-Pi sowieso Hardware für Bastler ist, sind die Foren-Benutzer dem neuen Kamera-Modul sofort mit Werkzeug zu Leibe gerückt. Der Forum Nutzer caerandir beschreibt eine einfache und zerstörungsfreie Möglichkeit, mit der man den Fokus der Kamera an den eigenen Bedarf anpassen kann. Nach dieser Anleitung wird die Linse der Kamera aus ihrer festen Verklebung gelöst. Hierzu bediente sich der Bastler einer Plastikkarte, bohrte ein etwa 5 Millimeter großes Loch hinein und passte die Öffnung mit einem Skalpell an die Ränder der Linse an. Mit diesem improvisierten Werkzeug kann man die Linse aus ihrer Verklebung lösen. Mut zur Gewalt soll hier durchaus hilfreich sein. Wenn der Kleber erst einmal gelöst ist, kann mit einer Zange das Kamera-Modul manuell fokussiert werden.
Die Ergebnisse lassen sich sehen. Unzählige Vorher-Nachher-Vergleiche im Internet zeigen Details, die erst nach der Modifikation der Kamera-Linse sichtbar wurden. Etwas Werkzeug und der Mut, eine fabrikneue Kamera zu modifizieren, gehört also dazu.
Zu den meistgestellten Fragen rund um die Einrichtung einer Netzwerkkamera gehört die Port-Weiterleitung bzw. das „Port Forwarding“. In diesem Artikel wollen wir Schritt für Schritt die Einrichtung anhand eines Fritzbox-Routers erklären. Doch zunächst sind einige Dinge im Netzwerk zu beachten.
Statische Kamera-IP oder IP per DHCP?
Viele Privatkunden haben ein heimisches Netzwerk, ohne sich darüber wirklich im Klaren zu sein. Sie besitzen einen Router, beispielsweise eine Fritz-Box, und haben daran einen oder mehrere Computer angeschlossen. Per Smartphone über eine WLAN-Verbindung greifen sie auf das Internet zu.
All diese Geräte funktionieren im Netzwerk nur, weil der Router jedem Gerät, vom Computer über Laptop, Video-on-Demand TV-Box bis hin zum Smartphone eine eigene IP-Adresse zugeordnet hat und darüber die Geräte verwaltet. Eine solche IP-Adresse dient zur Zuordnung des Gerätes, ist jedoch nicht fest mit dem Gerät verbandelt. Stellen sie sich die IP-Adresse wie die Nummer eines Parkplatzes vor. Sie stellen ihr Auto jeden Tag auf einen freien Parkplatz und merken sich die Parkplatz-Nummer. So wird ihrem Gerät, wenn sie es anschalten, einfach eine freie IP-Adresse vom Router zugewiesen. Dies macht der DHCP-Server, der im Router integriert und in der Regel bei den meisten Geräten voreingestellt wird.
Unter NETZWERK / IP-EINSTELLUNGEN findet man in der FritzBox die Entscheidung zur Definition der IP-Adressen und zu den Routing-Einstellungen.
Diese Einstellung ist in den allermeisten Fällen auch richtig und nicht zu beanstanden. Nun kann es aber sein, dass man einem Gerät eine feste IP-Adresse zuordnen möchte oder sogar muss. Letzteres trifft im Falle der Port-Weiterleitung zu. Warum dies der Fall ist, dazu mehr im Bereich „Port-Weiterleitung einrichten“.
Es macht die Verwaltung bei vielen Netzwerk-Geräten leichter, wenn man diesen eine feste IP-Adresse zuweist. Auch sind viele Anwendungen technisch ausgereift und werfen die wildesten Fehlermeldungen, wenn beispielsweise die zugeordnete IP Kamera beim nächsten Start vom DHCP-Server eine andere IP-Adresse zugewiesen bekommen hat.
DHCP-Adressbereich begrenzen
Da ein DHCP-Server durchaus Sinn macht, kann man hier eine Trennung vornehmen. Neu eingeschaltete Geräte sollen automatisch eine IP-Adresse zugeordnet bekommen. Aber für spezielle Netzwerk-Geräte wie die Netzwerkkamera, der Router an sich, aber auch eine NAS und ähnliches ist es vorteilhaft, diesen eine sogenannte „statische IP Adresse“ zuzuweisen. Jetzt muss man jedoch aufpassen: Um auf das Beispiel mit dem Parkplatz zurückzukommen – es muss klar sein, dass spezielle Parkplätze reserviert sind. Je nach Router kann man speziellen Geräten immer die gleiche IP-Adresse zuweisen und der integrierte DHCP-Server weiß, dass er diese manuell zugeordnete Adresse zuzuweisen hat und nicht anderweitig vergeben kann. Doch diese Möglichkeit haben nicht alle Router. Meist geht man einen anderen Weg: Man begrenzt den Adressbereich der DHCP-Zuordnung und vergibt statische IP-Adressen außerhalb dieses Adressraumes. Klingt komplizierter, als es eigentlich ist.
Unter IP-EINSTELLUNGEN kann man die IP-Adresse der FritzBox selbst verändern, sowie den DHCP-Server aktivieren. Wichtig: Unter „DHCP-Server vergibt IP-Adressen“ kann man den Adressbereich definieren, die dem DHCP-Server zur Verfügung steht.
Schauen wir uns die folgende DHCP-Konfiguration an. Hier ist die IP-Adresse der FritzBox auf „192.168.0.1“ und die Subnetzmaske auf „255.255.255.0“ festgelegt. Beachten sie bitte, dass im Falle der FritzBox die Standard-IP-Adresse 192.168.178.1 lautet, hier also eine manuelle Umkonfiguration vorgenommen wurde.
Unterhalb des Adressblocks sehen wir, dass der DHCP-Server aktiviert ist und der Adressbereich auf „3“ bis „98“ begrenzt ist. Dies bedeutet, dass die Adresse 192.168.0.1 und 192.168.0.2 sowie die Adressen 192.168.0.99 und größer in diesem Fall aus dem Adressbereich der automatisch Vergabe ausgeschlossen sind. Somit könnte hier die .1, .2, .99 bis .255 individuell anderen Geräten zugeordnet werden, ohne dass es zu einem IP-Adresskonflikt kommen kann. Welche Adresse man per DHCP vergibt und wie groß der Adressbereich sein sollte – dies hängt von der Größe des eigenen Netzwerkes ab.
Statische IP-Adresse einer Kamera zuweisen
Wenn es sich nicht nur um eine temporäre Testkamera handelt, empfehle ich eindringlich, der Netzwerkkamera eine statische IP-Adresse zuzuweisen. Im Beispiel verwende ich die „192.168.0.130“. Die „130“ liegt außerhalb des eben definierten DHCP-Adressbereiches. Ob diese Adresse frei ist, können Sie mittels „ping 192.168.0.130“ erfragen. Hier darf kein Gerät antworten.
Nun benötige ich Zugriff auf die Firmware der Kamera, um dort die IP-Adresse manuell zuzuweisen. Wie dies im Fall einer FOSCAM-Kamera gemacht wird, zeige ich im Video. Beachten Sie bitte, dass nach der Zuweisung der statischen IP-Adresse die Kamera neu gestartet werden sollte. Prüfen Sie nun mittels Ping, ob die Kamera antwortet.
Warum nicht UPnP?
Dieser Dienst ist nicht prinzipiell schlecht oder unsicher, doch im Falle einer Port-Weiterleitung sollte der verantwortungsvolle Betreiber einer Kamera wissen, welche „Schlupflöcher“ sein eigenes Netz bietet. Damit UPnP aus „Komfortibilitätsgründen“ keine Hintertüren öffnet, über die man dann nicht informiert ist, sollte man im Router diesen Dienst deaktivieren. UPnP im Zusammenhang mit folgenschweren Sicherheitslücken sind der Grund, warum viele Netzwerkkameras offen über das Internet erreichbar sind. Die Gründe und Tipps zur Abhilfe haben wir im Artikel „Unsichere Netzwerkkamera: Alle Tipps zur Sicherung einer IP-Kamera“ beschrieben.
Unter EINSTELLUNGEN / SYSTEM / NETZWERK / UPnP kann in der FritzBox UPnP verhindert werden. Hierfür den Haken vor „Änderungen der Scherheitseinstellung über UPnP gestatten“ entfernen
Port-Weiterleitung einrichten
Über Ports an sich möchte ich hier nicht viele Worte verlieren. Wer hier nähere Informationen sucht, dem lege ich den entsprechenden Wikipedia-Artikel „Portweiterleitung“ ans Herz.
Um eine Portweiterleitung für neue Netzwerkkamera einzurichten, müssen wir drei Dinge wissen: Über welchen Port wollen wir in unser Netzwerk eindringen, wie lautet die (statische!) IP-Adresse der Kamera und wie lautet der Port? Hier sehen wir, dass wir für unsere Netzwerkkamera plötzlich eine statische IP-Adresse benötigen und keine Adresse, die individuell per DHCP-Server zugewiesen wird. Warum? Weil wir die Port-Weiterleitung nun einer eine feste IP-Adresse binden können.
Unter ERWEITERTE EINSTELLUNGEN / INTERNET / FREIGABEN befinden sich in der FritzBox die Portfreigaben.
Verbinden Sie sich mit Ihrem Router. Bei einer Fritzbox finden Sie den Punkt „Portfreigaben“ unter „Internet -> Freigaben“. Klicken Sie auf den Button „Neue Portfreigabe“.
Geben Sie nun den Port ein, über den Sie von „außen“, als über das Internet, auf Ihre Kamera zugreifen möchten. Diesen Port kann man frei wählen. In der Regel nimmt man hier den gleichen Port, wie der fixe Ziel-Port. Ist der Port bereits belegt (wie beispielsweise in unserem Beispiel der Port 80, dann nimmt man einen beliebigen anderen).
Als ZIELDADRESSE wählt man nun die statische IP-Adresse der Netzwerkkamera. „An Port“ wird der Port angegeben, auf dem die Kamera „lauscht“. Dieser Port ist bei der Foscam „88“. Bei anderen Kameras kann hier ein anderer Port belegt sein. Hier muss man sich durch die Bedienungsanleitung wühlen.
Was passiert nun? Wenn eine Anfrage über das Internet am Router (beispielsweise der FritzBox) ankommt, die über den Port 88 gestellt wird, leitet der Router dank der Port-Weiterleitung diese Anfrage an die Netzwerkkamera weiter. Über das Internet kann man nun auf die Kamera zugreifen.
Wenn man hier ANDERE ANWENDUNGEN wählt, hat man die Möglichkeit, alle Datenfelder manuell zu bestücken.
Erster Test der Port-Weiterleitung
Zuerst muss man die eigene IP-Adresse ermitteln, die der ISP aktuell zuwiesen hat. Hier kann man in der Oberfläche im Router fündig werden. Man kann aber auch Dienste im Internet aufrufen. Diese teilen dem Aufrufer seine IP-Adresse mit. Ein Dienst ist beispielsweise „meine-aktuelle-ip“.
Für einen ersten Test nimmt man sein Smartphone in die Hand. Wichtig ist, dass es nicht per WLAN an das heimische Netz verbunden ist, sondern die Datenverbindung eines Netzbetreibers (beispielsweise per UMTS) nutzt. Nun gibt man im Browser des Smartphones http://[zugewiesene_IP]:PORT ein, wobei „[zugewiesene_IP] die IP ist, die der Dienst „meine-aktuelle-IP“ angezeigt hat und „Port“ der Eingangsport ist, den man in der Portweiterleitung am Router als Port (nicht der Zielport!) definiert hat. Nach kurzer Zeit sollte die Verwaltungsoberfläche der Kamera auf dem Smartphone erscheinen.
Wichtig: Wenn hier nun ein Zugang ohne Passwort oder ein Zugang mit voreingestelltem „Admin-Passwort“ des Herstellers möglich ist, sollte man dies umgehend ändern.
DynDNS für eine Netzwerkkamera
Die Anbieter von Internetverbindungen (wie beispielsweise die Telekom) trennen nach 24 Stunden automatisch die Verbindung (Zwangstrennung). In den allermeisten Fällen erhält man nun eine neue IP-Adresse zugewiesen (nicht verwechseln mit den IP-Adressen innerhalb des heimisches Netzes. Hier handelt es sich um die IP-Adresse, über die der Router bzw. die FritzBox im Internet kommuniziert).
Da sich die Adresse alle 24 Stunden ändert und man danach die neue IP-Adresse in der Regel nicht kennt, wäre es schön, wenn man sein Heimnetz immer unter einer festen Adresse erreichen würde. Hier helfen DynDNS-Dienste weiter. Über diese Dienste erhält man eine feste Adresse. Der Dienst wiederum muss ständig die aktuelle IP-Adresse des Netzwerkes des Kunden kennen. Glücklicherweise sind in den allermeisten Router bereits entsprechenden Programme eingebaut, die einem DynDNS-Dienst die Adresse mitteilen. Daher sollte die erste Anlaufstelle bei der Auswahl eines DynDNS-Dienstes der eigene Router sein. Es macht Sinn einen dieser Dienste auszuwählen, die der eigene Router unterstützt.
Leider sind in den vergangenen Jahren die Angebote kostenloser DynDNS-Dienste stark zurückgegangen. Besitzer von FritzBox-Router empfehle ich daher den kostenlosen Dienst von Fritz.
Sicherheitsbedenken
Erster Angriffspunkt des heimischen Netzwerkes über das Internet ist der eigene Router. Aktuelle Router verfügen alle über eine Firewall und sind einigermaßen gut vorkonfiguriert. Wenn man jedoch eine Port-Weiterleitung einrichtet, sendet der Router eingehende Datenpakete an den voreingestellten Port innerhalb des heimischen Netzes. Wenn hier Schwachstellen lauern, besteht sofort Gefahr für das gesamte heimische Netz. Die Hoffnung, dass die Hersteller von Netzwerkkameras gute und sichere Software entwickeln, sollte man nicht haben.
Um es auch unbedarften Nutzern von Netzwerkkameras so einfach wie möglich zu machen, sind die Kameras und deren Verwaltungsoberfläche oft ohne oder nur mit unzureichendem Passwort geschützt. Wer hier keine geeigneten Maßnahmen ergreift, gibt die Hoheit seiner Kamera ungewollt in fremde Hände.
Im Januar 2016 hat der renommierte Heise Verlag Käufer von verschiedenen Aldi-Webcams mit dem Hinweis auf einen „Sicherheits-GAU“ aufgeschreckt. Hunderte dieser Webcams sind über das Internet ohne Passwortschutz erreichbar. Ist es um die Sicherheit von Netzwerk-Kameras wirklich so schlimm bestellt? Wir forschen nach.
IP-Webcams werden direkt per LAN-Kabel oder kabellos per WLAN an den heimischen Router angeschlossen. Sie übertragen Bilder und Live-Videostreams auf den PC, mitunter aber auch direkt ins Netz. Dafür sorgt die „Internetübertragungs-Software“, die in der Firmware der Kamera verborgen ist. . Zum Abruf der Kamerabilder muss der Betrachter nur die IP-Adresse der Kamera kennen – und schon kann auf die Kamera mit einem Internet-Browser zugegriffen werden. Für diesen Zugriff muss man sich jedoch im lokalen Netzwerk befinden. Dies setzt ein Eindringen mittels WLAN oder ein frei zugänglicher LAN-Anschluss durch den Angreifer voraus. Hat man diese Voraussetzungen erfüllt, ist das Aufspüren der Kamera im LAN-Netzwerk schnell erledigt und der Zugriff auf die Kamera kann erfolgen. Hier sollte man nun durch eine Passwortabfrage aufgehalten werden. Hat der Besitzer das Standardpasswort der Kamera nicht geändert, dürfte das Ausprobieren von „admin“ ohne Passwort, von „admin“ mit Passwort „admin“ oder „admin“ mit Passwort „123456“ schon in den meisten Fällen Zugriff auf die Kamera gewähren.
Fleischkauf ist Vertrauenssache: Nicht so in diesem Supermarkt
in Polen. Jeder kann über das Internet einen Kauf verfolgen.
Auch in Deutschland findet die Suchmaschine ungesicherte Webcams.
Jeder kann den öffentlichen Bereich beobachten.
Die von Aldi vertriebene Kamera öffnet per UPnP einen Port ins Internet
und vergisst den Kunden zu einer Passwortvergabe zu zwingen.
In der Fritzbox kann eine unbeabsichtigte UPnP-Port-Freigabe verhindert werden.
Die Suchmaschine zeigt nach Eingabe
kameraspezifischer Parameter unzählige ungeschützte Kameras im Netz.
Je nach Kameramodell kann eine ungeschützte Kamera
von Jedermann über das Internet gesteuert werden.
Im soeben beschriebenen Szenario muss sich der Hacker Zugriff auf das lokale Netzwerk verschafft haben. Noch viel einfacher wird es, wenn sich die Kamera selbstständig einen Weg in das Internet verschafft hat. Somit kann weltweit auf die Kamera zugegriffen werden. Oftmals – wie im Fall der Kamera von Aldi – auch ohne Passwortschutz.
UPnP macht das Leben ein bisschen leichter und unsicherer
Hinter der Abkürzung UPnP verbirgt sich „Universal Plug and Play“, ein Verfahren, welches insbesondere nicht technikaffinen Menschen die Installation von neu angeschafften Geräten wie beispielsweise einer Netzwerkkamera erleichtern soll. Wo Licht ist, ist bekanntermaßen jedoch auch Schatten. Denn das bequeme Verfahren birgt die Gefahr, dass sich Unbefugte in das Netz hacken und größere Schäden anrichten können. Im Falle der Aldi-Webcam sorgt UPnP dafür, dass die Kamera selbstständig eine Port-Weiterleitung einrichtet und die Kamera dann über das Internet erreichbar ist. Ein Umstand, über den sich viele Käufer nicht bewusst sind.
Sicherheitsrisiko: Zugriff über das Internet auf die Kamera
Viele Käufer von Netzwerkkameras sind speziell daran interessiert, auch von unterwegs über das Smartphone oder über einen Laptop auf die heimische Kamera zugreifen zu können. Diese Funktion kann sinnvoll sein. Bedeutet aber, dass man sein heimisches Netzwerk nach außen öffnet und somit angreifbar macht. Wie der Zugriff und die Konfiguration genau funktioniert, beschreiben wir im Artikel „XXX“.
Aldi-Kamera-GAU: Warum ist das Sicherheitsrisiko so hoch?
Die betroffenen Aldi-Kameras IPC-10 AC, IPC-100 AC und IPC-20 C richten automatisch mittels UPnP eine Portweiterleitung auf Port 80 ein. Somit kann jeder, der die zugewiesene IP-Adresse des ISP (Internet-Service-Provider) kennt, mit http://[zugewiesene IP]:80 auf die Kamera zugreifen. Da die Kamera im Auslieferungszustand kein Passwort besitzt und den Benutzer auch nicht dazu drängt, ein Passwort zu vergeben, ist die Kamera offen im Internet zugänglich.
Doch es kommt noch schlimmer: Hat der Kunde die Kamera per WLAN angebunden, kann über das nun frei zugängliche Webinterface der Kamera das WLAN-Passwort ausgelesen werden. Und nicht nur dieses Passwort ist ersichtlich: Lädt der Besitzer der Kamera die Bilder auf einen FTP-Server hoch, sind auch die Login-Daten des FTP-Server offen im Netz.
Tägliche neue IP-Adresse des ISP: Auch keine Linderung
Wer der Meinung ist, dass die Zwangstrennung des ISP nach 24 Stunden hier Linderung verschafft, der irrt. Diese Trennung ist bei Privatkunden in der Bundesrepublik üblich und führt dazu, dass der Kunde und somit seine Kamera in der Regel nach 24 Stunden eine neue IP-Adresse hat. Doch sind im tiefen und dunklen Internet zahlreiche Programme erhältlich, die einschlägige IP-Adressen nach speziellen Mustern absuchen und so offene Kamera-Zugänge interessierten Cyber-Ganoven in die Hände spielen.
Ungeschützte Kameras über Google finden
Dank der Suchmaschine Google sind ungeschützte Webcams ganz einfach zu finden. Entsprechende Suchmuster zeigen zu vielen ungeschützten Kameras, deren Webinterface sich ohne Passwort aufrufen lässt. Je nach Kamera-Modell lässt sich die Kamera aus der Ferne durch den Eindringling sogar steuern. Wenn sich auch die Position einer Kamera verändern lässt, sollte es dem Besitzer auffallen, dass seine Kamera durch fremde Personen gesteuert wird. So stellt sich unweigerlich die Frage, ob manche Besitzer nicht wissen, dass ihre Kamera offen über das Internet erreichbar ist oder ob sie dies einfach ignorieren.
So sichert man seine IP-Kamera
Bereits vor dem ersten Anschluss einer neuen Kamera sollte man einen Blick auf den heimischen Router werfen. Welche Port-Weiterleitungen sind aktuell definiert? Ein Abgleich der Port-Weiterleitungen nach der Installation zeigt, ob sich die Kamera vielleicht unbemerkt einen Zugang zum Internet verschafft hat. Bei dieser Gelegenheit sollte man auch gleich alle weiteren definierten Port-Weiterleitungen kritisch bewerten.
Merke: Eine Port-Weiterleitung ist nur sinnvoll, wenn auf die Kamera über das Internet zugegriffen werden muss. Wenn dies nicht gewünscht ist, wird auch die Weiterleitung nicht benötigt.
Das Passwort der Kamera ist in jedem Fall zu ändern. Es empfiehlt sich zunächst einen weiteren Administrator anzulegen, dessen Benutzername nicht „admin“ lautet. Bereits einfache Benutzernamen wie „Hans“ und „Klaus“ sind allemal besser als „admin“ oder „administrator“. Das Passwort sollte so kryptisch wie möglich sein und in keinem Wörterbuch stehen. Wenn nach der Einrichtung des neuen Administrator-Kontos der Zugang funktioniert, muss das ursprüngliche Administrator-Konto gelöscht oder zumindest gesperrt werden. Achtung: Wird eine neue Firmware auf die Kamera eingespielt oder die Kamera auf Werkseinstellung zurückgesetzt, so ist diese Einstellung zu prüfen und die Änderung gegebenenfalls zu wiederholen.
