Unsichere Netzwerkkamera: Alle Tipps zur Sicherung einer IP-Kamera

Im Januar 2016 hat der renommierte Heise Verlag Käufer von verschiedenen Aldi-Webcams mit dem Hinweis auf einen „Sicherheits-GAU“ aufgeschreckt. Hunderte dieser Webcams sind über das Internet ohne Passwortschutz erreichbar. Ist es um die Sicherheit von Netzwerk-Kameras wirklich so schlimm bestellt? Wir forschen nach.

IP-Webcams werden direkt per LAN-Kabel oder kabellos per WLAN an den heimischen Router angeschlossen. Sie übertragen Bilder und Live-Videostreams auf den PC, mitunter aber auch direkt ins Netz. Dafür sorgt die „Internetübertragungs-Software“, die in der Firmware der Kamera verborgen ist. . Zum Abruf der Kamerabilder muss der Betrachter nur die IP-Adresse der Kamera kennen – und schon kann auf die Kamera mit einem Internet-Browser zugegriffen werden. Für diesen Zugriff muss man sich jedoch im lokalen Netzwerk befinden. Dies setzt ein Eindringen mittels WLAN oder ein frei zugänglicher LAN-Anschluss durch den Angreifer voraus. Hat man diese Voraussetzungen erfüllt, ist das Aufspüren der Kamera im LAN-Netzwerk schnell erledigt und der Zugriff auf die Kamera kann erfolgen. Hier sollte man nun durch eine Passwortabfrage aufgehalten werden. Hat der Besitzer das Standardpasswort der Kamera nicht geändert, dürfte das Ausprobieren von „admin“ ohne Passwort, von „admin“ mit Passwort „admin“ oder „admin“ mit Passwort „123456“ schon in den meisten Fällen Zugriff auf die Kamera gewähren.

Fleischkauf ist Vertrauenssache: Nicht so in diesem Supermarkt
in Polen. Jeder kann über das Internet einen Kauf verfolgen.

Auch in Deutschland findet die Suchmaschine ungesicherte Webcams.
Jeder kann den öffentlichen Bereich beobachten.

Die von Aldi vertriebene Kamera öffnet per UPnP einen Port ins Internet
und vergisst den Kunden zu einer Passwortvergabe zu zwingen.

In der Fritzbox kann eine unbeabsichtigte UPnP-Port-Freigabe verhindert werden.

Die Suchmaschine zeigt nach Eingabe
kameraspezifischer Parameter unzählige ungeschützte Kameras im Netz.

Je nach Kameramodell kann eine ungeschützte Kamera
von Jedermann über das Internet gesteuert werden.

UPnP – die Schwäche vieler Kameras

Im soeben beschriebenen Szenario muss sich der Hacker Zugriff auf das lokale Netzwerk verschafft haben. Noch viel einfacher wird es, wenn sich die Kamera selbstständig einen Weg in das Internet verschafft hat. Somit kann weltweit auf die Kamera zugegriffen werden. Oftmals – wie im Fall der Kamera von Aldi – auch ohne Passwortschutz.

UPnP macht das Leben ein bisschen leichter und unsicherer

Hinter der Abkürzung UPnP verbirgt sich „Universal Plug and Play“, ein Verfahren, welches insbesondere nicht technikaffinen Menschen die Installation von neu angeschafften Geräten wie beispielsweise einer Netzwerkkamera erleichtern soll. Wo Licht ist, ist bekanntermaßen jedoch auch Schatten. Denn das bequeme Verfahren birgt die Gefahr, dass sich Unbefugte in das Netz hacken und größere Schäden anrichten können. Im Falle der Aldi-Webcam sorgt UPnP dafür, dass die Kamera selbstständig eine Port-Weiterleitung einrichtet und die Kamera dann über das Internet erreichbar ist. Ein Umstand, über den sich viele Käufer nicht bewusst sind.

Sicherheitsrisiko: Zugriff über das Internet auf die Kamera

Viele Käufer von Netzwerkkameras sind speziell daran interessiert, auch von unterwegs über das Smartphone oder über einen Laptop auf die heimische Kamera zugreifen zu können. Diese Funktion kann sinnvoll sein. Bedeutet aber, dass man sein heimisches Netzwerk nach außen öffnet und somit angreifbar macht. Wie der Zugriff und die Konfiguration genau funktioniert, beschreiben wir im Artikel „XXX“.

Aldi-Kamera-GAU: Warum ist das Sicherheitsrisiko so hoch?

Die betroffenen Aldi-Kameras IPC-10 AC, IPC-100 AC und IPC-20 C richten automatisch mittels UPnP eine Portweiterleitung auf Port 80 ein. Somit kann jeder, der die zugewiesene IP-Adresse des ISP (Internet-Service-Provider) kennt, mit http://[zugewiesene IP]:80 auf die Kamera zugreifen. Da die Kamera im Auslieferungszustand kein Passwort besitzt und den Benutzer auch nicht dazu drängt, ein Passwort zu vergeben, ist die Kamera offen im Internet zugänglich.
Doch es kommt noch schlimmer: Hat der Kunde die Kamera per WLAN angebunden, kann über das nun frei zugängliche Webinterface der Kamera das WLAN-Passwort ausgelesen werden. Und nicht nur dieses Passwort ist ersichtlich: Lädt der Besitzer der Kamera die Bilder auf einen FTP-Server hoch, sind auch die Login-Daten des FTP-Server offen im Netz.

Tägliche neue IP-Adresse des ISP: Auch keine Linderung

Wer der Meinung ist, dass die Zwangstrennung des ISP nach 24 Stunden hier Linderung verschafft, der irrt. Diese Trennung ist bei Privatkunden in der Bundesrepublik üblich und führt dazu, dass der Kunde und somit seine Kamera in der Regel nach 24 Stunden eine neue IP-Adresse hat. Doch sind im tiefen und dunklen Internet zahlreiche Programme erhältlich, die einschlägige IP-Adressen nach speziellen Mustern absuchen und so offene Kamera-Zugänge interessierten Cyber-Ganoven in die Hände spielen.

Ungeschützte Kameras über Google finden

Dank der Suchmaschine Google sind ungeschützte Webcams ganz einfach zu finden. Entsprechende Suchmuster zeigen zu vielen ungeschützten Kameras, deren Webinterface sich ohne Passwort aufrufen lässt. Je nach Kamera-Modell lässt sich die Kamera aus der Ferne durch den Eindringling sogar steuern. Wenn sich auch die Position einer Kamera verändern lässt, sollte es dem Besitzer auffallen, dass seine Kamera durch fremde Personen gesteuert wird. So stellt sich unweigerlich die Frage, ob manche Besitzer nicht wissen, dass ihre Kamera offen über das Internet erreichbar ist oder ob sie dies einfach ignorieren.

So sichert man seine IP-Kamera

Bereits vor dem ersten Anschluss einer neuen Kamera sollte man einen Blick auf den heimischen Router werfen. Welche Port-Weiterleitungen sind aktuell definiert? Ein Abgleich der Port-Weiterleitungen nach der Installation zeigt, ob sich die Kamera vielleicht unbemerkt einen Zugang zum Internet verschafft hat. Bei dieser Gelegenheit sollte man auch gleich alle weiteren definierten Port-Weiterleitungen kritisch bewerten.
Merke: Eine Port-Weiterleitung ist nur sinnvoll, wenn auf die Kamera über das Internet zugegriffen werden muss. Wenn dies nicht gewünscht ist, wird auch die Weiterleitung nicht benötigt.
Das Passwort der Kamera ist in jedem Fall zu ändern. Es empfiehlt sich zunächst einen weiteren Administrator anzulegen, dessen Benutzername nicht „admin“ lautet. Bereits einfache Benutzernamen wie „Hans“ und „Klaus“ sind allemal besser als „admin“ oder „administrator“. Das Passwort sollte so kryptisch wie möglich sein und in keinem Wörterbuch stehen. Wenn nach der Einrichtung des neuen Administrator-Kontos der Zugang funktioniert, muss das ursprüngliche Administrator-Konto gelöscht oder zumindest gesperrt werden. Achtung: Wird eine neue Firmware auf die Kamera eingespielt oder die Kamera auf Werkseinstellung zurückgesetzt, so ist diese Einstellung zu prüfen und die Änderung gegebenenfalls zu wiederholen.

Rainer Hoppe

Über den Autor: Rainer Hoppe ist ein kritischer und professioneller Produkttester. Er hat bereits über 400 aktuelle Produkte getestet und in Testberichte beschrieben. Rainer unterstützt das Team von sicherheitskamera.org durch seine fachkundiges Wissen. Er ist Anfang 30, ist ein begeisteter Technik und Computer-Fan, Freizeit-Mountain-Biker sowie ein stolzer und rührender Vater einer kleinen Tochter.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

86 − 77 =