Warnung des Chaos Computer Clubs Kriminelle könnten auf Abus-Kameras zugreifen

Hacker haben Schwachstellen in älteren Überwachungskameras von Abus entdeckt. Nun tauscht die deutsche Sicherheitstechnik-Firma 47 Modelle aus - neue Geräte gibt es aber nicht kostenlos.

imago/ Priller&Maug


Das Sicherheitstechnik-Unternehmen Abus startet ein Austauschprogramm für 47 ältere, aber vernetzte Kamera-Modelle. Auf der Website des Unternehmens heißt es, bei "bestimmten Netzwerkkameras aus dem Verkaufszeitraum 2010-2014" könne "bauartbedingt ein unbefugter Zugriff von extern erfolgen, wenn die Kameras ans Internet angeschlossen sind". Heißt im Klartext: Kriminelle, die sich auskennen, können unter anderem auf den Videostream der Kamera zugreifen (und so herausfinden, wann wer eine Wohnung betritt oder eben nicht).

Entdeckt wurde die Lücke von Hackern des Chaos Computer Club (CCC), und zwar von Ilias Morad, Alexander Karl und Martin Dessauer. Die drei hatten Software-Schwachstellen, die den externen Zugriff möglich machen, gefunden und bereits Ende 2018 dem Hersteller gemeldet.

Die von den Lücken betroffenen Kameras seien angesichts möglicher Angriffe "nicht mehr sicher zu betreiben", warnt der CCC. Insgesamt seien fünf Schwachstellen ausgemacht worden, darunter eine "hochkritische".

Eins der betroffenen Geräte

Eins der betroffenen Geräte

Abus gesteht die Schwachstellen ein

Hersteller Abus reagierte laut CCC vergleichsweise souverän auf die Nachricht: "Unter Umgehung der üblichen Phasen von Leugnen, Zorn, Verhandeln und Trauer sprang der Hersteller Abus direkt zur sofortigen Akzeptanz und Anerkennung der Schwachstellen", heißt es in der Pressemitteilung des Vereins. Dabei soll sich aber auch herausgestellt haben, dass sich Abus nicht in der Lage sieht, ein Softwareupdate zu veröffentlichen, das sich der Schwachstellen annimmt - was durch die Vernetzung der Kameras theoretisch möglich wäre.

"Zur Erstellung eines funktionierenden Updates wird eine Entwicklungsumgebung des taiwanesischen Produzenten Grain Media benötigt", erklärt der CCC das Problem. Diese Umgebung sei beim deutschen Hersteller "nicht mehr aufzufinden" gewesen: "Der taiwanesische Produzent hatte inzwischen die Besitzer gewechselt und konnte auch nicht mehr damit dienen. Dass - wie bei vielen Internet-of-things-Geräten - kein Prozess für automatische Updates bereitsteht, erschwert darüber hinaus eine effiziente und effektive Beseitigung der Schwachstellen."

Kein kostenloser Kameratausch

Abus selbst bietet Kunden vor diesem Hintergrund nun ein Austauschprogramm an. Ein neues, kostenloses Ersatzgerät erwartet Käufer der betroffenen Kameras dabei aber nicht.

Auf der Abus-Seite heißt es: "Wir bieten einen kulanten Austausch aller Kameras dieser Serie gegen gleichwertige neue Produkte unseres aktuellen Videosortiments zu sehr attraktiven Konditionen über unser Fachpartnernetz." Und weiter: "Bitte wenden Sie sich direkt an Ihren Händler, wenn Sie Produkte dieser Serie (siehe Artikelnummern) nutzen und austauschen möchten." Sollten die Kontaktdaten des Händlers nicht bekannt sein, gibt Abus dort auch eine Telefonnummer an, unter der das Unternehmen zu erreichen ist.

Diese Geräte sind ein Risiko

Der Website von Abus zufolge sind folgende Kamera-Modelle betroffen:

  • Kompaktkameras TVIP10000, TVIP10001, TVIP10005, TVIP10005A, TVIP10005B, TVIP10050, TVIP10051, TVIP10055A, TVIP10055B, TVIP10500, TVIP10550, TVIP11000, TVIP11050, TVIP11500, TVIP11501, TVIP11502, TVIP11550, TVIP11551, TVIP11552
  • Schwenk-/Neigekameras TVIP20000, TVIP20050, TVIP20500, TVIP20550, TVIP21000, TVIP21050, TVIP21500, TVIP21501, TVIP21502, TVIP21550, TVIP21551, TVIP21552, TVIP22500
  • Innendome Kamera TVIP31000, TVIP31001, TVIP31050, TVIP31500, TVIP31501, TVIP31550, TVIP31551, TVIP32500
  • Boxkamera TVIP51500, TVIP51550
  • Außendomekamera TVIP71500, TVIP71501, TVIP71550, TVIP71551, TVIP72500

Dem CCC versicherte Abus, dass für seine modernen Geräte auch eine zeitgemäße Update-Infrastruktur bereitstehe.

Der Hacker-Klub befürchtet derweil, dass die Lücken weitere Geräte als nur die von Abus betreffen könnten, denn auch andere Firmen dürften mit Grain Media zusammengearbeitet haben. Dazu sind aber keine Details bekannt.

mbö



insgesamt 6 Beiträge
Alle Kommentare öffnen
Seite 1
bruderjakob 09.05.2019
1. Made in Germany
einfach mal einen Abus-Qualitätsaufkleber auf die China-Billig-Hardware gepappt, das ganze als "Made in Germany" gebrandet und hinter den Einkaufspreis in Taiwan noch zwei 9er gepinselt. So geht Sicherheit!
inovatech 09.05.2019
2. Ja
100%ige Zustimmung! Hier wird dem Kunden die "gute Deutsche Sicherheit" verkauft, gut verdient und der Kunde abgezockt. Abus - das war mal eine gute Firma.
shardan 09.05.2019
3. Ach? Ach was?
Eine mit dem Internet verbundene Kamera ist ein Potentielles Risiko? Echt jetzt? Was für eine Erkenntnis! Immerhin reagiert ABUS hier, ob ein Umtausch gegen Geld die korrekte Variante ist, darüber kann man streiten. Die vielen Kameras, die im Web sperrangelweit offen und ohne jegliche (!) Hackerrei auffindbar sind, sprechen allerdings eine klare Sprache. Da werden HD-Kameras für ca 30 EUR beworben... Nun ja, ob1280*780 HD ist, sei dahingestellt. Packt man die aus und möchte die in Betrieb nehmen, kommt die erste Überrachung: "Du dich müssen anmelden an völlig sichele Server von ChingHack Bum Electronics" - die Kamera funktioniert nicht ohne Anbindung an die Cloud des Herstellers. Wie sicher diese Cloud ist und wie lange sie existiert (und damit dem Gerät ein jähes Ende bereitet), sei dahingestellt. Erfahrungen zeigen, dass diese Cams extrem unsicher sind. Aber sagen sie das bloß nie dem stolzen Eigentümer, von dem kommt höchstens ein "Wieso, funktioniert doch einwandfrei". Dazu haben viele der so Bedenken- wie Gehirnfreien Nutzer nicht einmal das Standardkennwort geändert. Es ist wohl vielen nicht klar, das der Zugriff auf so eine Kamera für einen einigermaßen begabten 13-jährigen gleichbedeutend mit Zugriff auf das gesamte Heimnetz sein kann. Mit allen Folgen: Was hängt da noch im Netz? Ah eine Alarmanlege? Hat die auch noch das Standardkennwort? (Welches man bei Google leicht findet). Oder mischen wir mal der Smart TV ein bisschen auf? und interessante Briefe aht der auf seinem PC, ob seine Frau das weiß? In sofern ist es schon gut das ABUS reagiert. Ich fürchte allerdings, dass 75% der Anwender mit einem "Was soll schon passieren" genau nichts unternehmen wird. Wer mal sehen will, was an offenen (nicht etwa gehackten) Kameras so im Umlauf ist, dem sei INSECAM empfohlen (einfach mal googlen.) Erschreckend!
rst2010 09.05.2019
4. sorry, aber
wer einen mangel bewusst oder unbewusst einbaut, ist verpflichtet, den mangel kostenlos zu beseitigen. alles andere ist schlamperei. und keine empfehlung für kunden. so ein überschaubares softwarepaket für eine kamera kann man sicher auch ohne ide fixen. der quellcode wird ja noch vorhanden sein. ansonstzen: nehmt nicht nur entwickler frisch von der schule, auch wenn sie deutlich weniger kosten, als erfahrene leute.
sir-steed 09.05.2019
5. Praktisch alle IP Kameras sind unsicher
egal, ob wired oder wireless, aber niemand will darüber reden. Solange keine hardware Encryption mit asymmetrischem Schlüsselaustausch bis in die Kamera selbst durchgeführt wird, sind sie offen wie ein Scheunentor. Es gibt aber am Markt eine Lösung in full HD mit 30fps - man muss nur suchen ....
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.