IT-Sicherheit: Viele ungesicherte Babykameras aus dem Internet erreichbar

Babykameras sollen eigentlich Eltern ein gutes Gefühl geben. Wenn aber Fremde das eigene Kind beim Schlafen beobachten können, verschwindet der beruhigende Effekt der Geräte schnell. Das IT-Sicherheitsteam der Website Safety Detectives hat mehrere solcher Kameras ungesichert im Netz gefunden und präsentiert nun seine Ergebnisse.

Im Dezember 2020 seien dem Team mehrere Babykameras aufgefallen, die das Real-Time Streaming Protocol nutzen, aber nicht gegen den Zugriff Dritter abgesichert sind und über die Suchmaschine Shodan auffindbar waren. Dabei stießen sie nicht nur auf private Kameras in Kinderzimmern, sondern fanden auch Bilder aus Räumen, die wie Kindertagesstätten aussehen.

Safety Detectives hat Ursachen für häufig unsichere Babykameras identifiziert. Zum einen seien viele Baby-Überwachungssysteme darauf ausgelegt, in lokalen Netzwerken ohne direkte Verbindung ins Internet betrieben zu werden. Innerhalb des lokalen Netzes erfolgt der Zugriff ohne weitere Hürden wie Passworteingaben. Werden diese Geräte aber dann zum Online-Streaming genutzt oder sollen weitere Geräte wie das elterliche Smartphone darauf zugreifen, kommt es häufig zu Konfigurationsfehlern.

Ein weiteres Problem seien IP-basierte Überwachungskameras, die ursprünglich gar nicht zum Baby-Monitoring gedacht waren und von den Unternehmen nur als solche beworben oder gekennzeichnet werden. Selbst wenn man diese absichern kann, scheitert es laut Safety Detectives häufig an den richtigen Einstellungen. Das Team bemängelt auch, dass Hersteller ihre Kunden oft nicht hinreichend darüber aufklären, was sie tun müssen, damit Unbefugte keinen Zugriff auf die Kamera-Streams bekommen.

Die Probleme, die Safety Detectives beschreibt, treten nicht nur bei Kameras zur Baby-Überwachung auf. Eine Vielzahl an Überwachungskameras findet sich ungesichert im Netz. Das Team habe 110.000 offene Kamera-Streams gefunden, etwa zehn Prozent davon würden Bilder aus Wohnräumen zeigen.

Beim Einsatz in den Familien sieht das Team zusätzliche Gefahren: "Täter könnten diese Informationen und diese Bilder ihrer Kinder sammeln [...] Wir haben gesehen, dass Pädophile aktiv nach unschuldigen Videos von Kindern suchen, die von ihren Eltern hochgeladen wurden." Das Team empfiehlt, immer einen wirksamen Passwortschutz zu aktivieren und auf dem eigenen Router festzulegen, welche Geräte sich mit dem Netzwerk verbinden dürfen.

Das Problem von ungesicherten Babykameras ist nicht neu. Sicherheitsforscher und Tester fanden wiederholt Probleme bei verschiedenen Geräten, teilweise konnten Unbefugte auch aus der Ferne mit den Kindern sprechen. Stiftung Warentest hat in einem Test aus dem Februar 2020 empfohlen, lieber auf die klassischen Geräte ohne Zusatzfunktionen wie Bildübertragung zurückzugreifen - auch, weil sie sich als zuverlässiger herausstellten.