Spionage leicht gemacht: Sicherheitsgau bei IP-Kameras von Aldi
Heute sind wir mehr denn je sensibilisiert, was den Schutz unserer Daten betrifft. Doch was ist heiliger als die eigenen vier Wände? Manche gehen für den Schutz ihrer Privatsphäre sogar so weit, sich mithilfe von IP-Überwachungskameras im eigenen Heim vor Eindringlingen von außen zu schützen. Doch was ist, wenn ausgerechnet die so günstig erstandene Sicherheitskamera zum Guckloch für die Öffentlichkeit wird? Durch eine nachlässige Programmierung hat der Discounter Aldi genau dieses Szenario mit dem Verkauf hunderter IP-Überwachungskameras zu einem realen Albtraum werden lassen.
Ein solcher Fauxpas lässt schnell Karriere-Köpfe rollen: Grund genug auf der exali.de-Info Base einen genaueren Blick auf die Hintergründe und Risiken zu werfen.
Zugriff auf Bild und Ton
Eine solche Nachricht trifft ein jedes ITler-Herz wie ein Schlag: Der Discounter Aldi hat im vergangenen Jahr hunderte Überwachungskameras mit schlechten Voreinstellungen verkauft. Es handelt sich dabei um die Modelle IPC-10 AC, IPC-100 AC und IPC-20 C, die durch eine fehlerhafte Programmierung leicht einen Blick über das Internet in die eigenen heimischen vier Wände gestatten. Durch die fehlerhafte Voreinstellung ist es möglich, dass die Kameras per UPnP (Abkürzung für ‚Universal Plug and Play‘) auf die Einstellungen des Routers zugreifen und diese so verändern, dass der Zugang über das Internet von außen ein Leichtes ist – besonders dann, wenn der Nutzer zu Beginn der Installation kein Passwort gesetzt hat.
Wer nun denkt: „Was juckt mich das, ich habe nichts zu verbergen!“, dem sei ein „Pustekuchen“ entgegnet. Denn die Sicherheitslücke der Kamera ermöglicht nicht nur einen Rundum-Blick in das heimische Wohnzimmer durch das schwenkbare Gestell. Nein, dank der Ausstattung mit einem Mikrofon der Geräte IPC-10 AC und IPC-100 AC lassen sich sogar ganze Gespräche von außen mitverfolgen. Und durch die integrierte Infrarot-LED muss es dafür nicht mal hell sein – gespitzelt werden kann auch dann, wenn es zappenduster ist.
Sicherheitshinweise ungenügend
Der Fehler liegt dabei in der veralteten Programmierung der auf den Kameras installierten Firmware, über die der Zugriff von außen ohne Passwort ermöglicht wird. Einer der Gründe für die Sicherheitslücke ist dabei, dass die programmierten Kameras die veraltete Firmware-Version nicht eigenständig mit einem Update aktualisieren können. Um sich vor den Blicken aus dem Netz zu schützen, müssen die Nutzer der IP-Kameras also zunächst eigenständig ein Programm auf ihrem PC installieren – erst dann wird die aktuelle Version der Firmware aus dem Netz gezogen und auf die Kamera überspielt.
Um die Nutzer der Kameras über die Sicherheitslücke zu informieren hat Aldi Maßnahmen ergriffen: Mit dem Öffnen des Programms oder der App werden die Käufer über das notwendige Update informiert, wäre da nicht ein Fehler. Um die Kamera in Betrieb zu nehmen, werden diese Tools nicht zwingend benötigt –viele Nutzer tappen also weiter im Dunkeln.
Teure Folgen für den Supermarkt und Subunternehmer
Der Discounter – dessen Elektrogeräte eigentlich einen guten Ruf genießen – bekommt durch diesen Programmierfehler reichlich schlechte PR. Hinzu kommen der finanzielle Aufwand zur Beseitigung der Sicherheitslücke und der Schaden, der durch die Rückgabe der Kameras durch Kunden entsteht. Der Discounter wird sich wohl mit einer langen Liste an Forderungen an den Produzenten der Kameras wenden. Doch auch der Produzent wird versuchen den Fehler beim zuständigen Subunternehmer oder Freiberufler suchen. Denn häufig werden derartige Programmierleistungen für Firmware an externe Entwickler gegeben, die dann am Ende der Haftungskette stehen. In einfachen Worten:
Der Schaden, den Aldi durch den Programmierfehler erlitten hat, könnte am Ende als Regressanspruch zu Lasten eines selbständigen oder freiberuflichen Entwicklers gehen. Der Fall der IP-Kameras zeigt also sehr einleuchtend, wie ein kleiner Fehler einen existenzbedrohenden Schaden verursachen kann.
Besser abgesichert mit der IT-Haftpflicht über exali.de
Deshalb ist es gerade im IT-Business besonders wichtig sich vor den Folgen beruflicher Fehler (wie in diesem Fall des Programmierfehlers in der Firmware) umfassend abzusichern. Eine gute IT-Haftpflicht schützt deshalb nicht nur vor Schadenersatzansprüchen Dritter, sondern steht dem IT-Experten auch bei ungerechtfertigten Ansprüchen zur Seite. Der integrierte passive Rechtsschutz übernimmt die Kosten für eine Abwehr ungerechtfertigter Schadenersatzforderungen.
Weiterführende Informationen:
- Tausende Automaten streiken: Wenn Sparkasse-Kunden nicht an ihr Geld kommen
- Help me! Was tun bei Datendiebstahl oder Datenverlust?
- Ashley Madison Hack: Seitensprungportal-Nutzer werden erpresst
© Hannah Ziegler – exali AG