Sicherheitsforscher warnen vor Risiken durch ungesicherte Videotürklingeln

Laut eines Untersuchungsberichts von NCC Group und Which? finden sich auf dem rasch wachsenden Markt für Videotürklingeln auch viele vermeintlich intelligente Geräte mit schwerwiegenden Sicherheitslücken und physischen Schwachstellen.

Smart Video Doorbells bilden eine besondere Nische im Bereich der IoT-Geräte. Sie überzeugen selten mit unverzichtbaren Funktionen, sind aber meist sehr problemanfällig. In den USA können Strafverfolgungsbehörden zum Beispiel auf die Aufnahmen bzw. Live-Bilder der integrierten Kamera zugreifen. Weltweit wird bei ähnlichen Produkten immer wieder von unbefugtem Zugriff auf Aufzeichnungen oder Übernahme der Geräte durch Hacker berichtet.

Nach der Installation einer Videotürklingel ist eines schnell klar: Die Hoheit darüber, wie und wo die damit einhergehenden Daten gespeichert werden, liegt selten in der Hand des durchschnittlichen Nutzers. Verschlimmert wird dies noch durch die Tatsache, dass es kaum gesetzliche Auflagen für die Hersteller von Videotürklingeln und IoT-Geräten im Allgemeinen gibt und viele Unternehmen schlicht ihr eigenes Süppchen kochen.

Die von der NCC Group und Which? durchgeführte Untersuchung hat 11 intelligente Klingen aus verschiedenen Online-Shops unter die Lupe genommen. Trotz der Tatsache, dass es nur eine Handvoll bekannter Marken gibt, findet sich eine Vielzahl von Geräten auf Amazon, eBay und Wish. Das Einzige, womit sie überzeugen können, ist jedoch der Preis.

So haben Sicherheitsforscher zum Beispiel herausgefunden, dass die Hardware der Victure VD300 den Namen und das Passworts des WLANs unverschlüsselt an Server in China übermittelt. Darüber hinaus können Kunden identische, aber markenlose Kopien auf verschiedenen anderen Websites finden.

Eine weitere beliebte Türklingel, die Qihoo 360 D819, erlaubte es Angreifern, sie zu demontieren, zurückzusetzen und als neu zu verkaufen. Die Aufzeichnungen der Kamera wurden zudem unverschlüsselt gespeichert.

Bei den anderen Modellen waren Anfälligkeit für so genannten KRACKs (Key Reinstallation AttaCKs), unzureichende Datenverschlüsselung, übermäßige Datensammlung und schlechte Sicherheitsvorkehrungen an der Tagesordnung.

Um die Sicherheit der Geräte in diesem Markt langfristig zu gewährleisten, braucht es IoT-Sicherheitsrichtlinien, die jedoch erst langsam flächendeckend umgesetzt werden. Es wird vermutlich noch Jahre dauern, bis sich alle Hersteller an entsprechende Vorgaben halten.