Das Internet der Dinge hat nicht unbedingt den besten Ruf. Fehlende Standards, komplizierte Einrichtung und ausufernder Datenhunger schaffen es immer wieder in die Schlagzeilen. Besonders heikel wird es aber, wenn es um Sicherheit geht. Erst vor kurzem staunten einige Nutzer vernetzter Kameras der Anker-Marke Eufy nicht schlecht, als sie kurzzeitig in ihrer App Zugriff auf die Kameras und Daten anderer Nutzer hatten.

Auch wenn dieser Vorfall, den der Hersteller auf einen Fehler während eines Server-Updates schob, europäische Nutzer nicht betraf, zeigt er einmal mehr die Stolpersteine der vernetzten Welt auf. Und wer ein wenig sucht, findet Portale, über die man mit einem Klick aufgrund schlecht abgesicherter IP-Kameras in Wohnzimmer in aller Welt blicken kann. DER STANDARD hat mit Franz Wallner, dem CEO des Wiener Anbieters für Videoüberwachungslösungen, Netavis Software, über das Thema gesprochen.

Vorsicht vor der Cloud

Wallner ortet mehrere aktuelle Problemfelder. Eines davon ist, dass viele Anbieter von smarten Sicherheitslösungen speziell im Consumerbereich auf Cloudplattformen setzen. "Sobald Bilder im Netz sind, sind sie angreifbar", sagt er. Den Nutzern bleibt allerdings nichts anderes übrig, als darauf zu vertrauen, dass der Hersteller die Daten gut gegen Fremdzugriff absichert. Für Videokameras in vergleichsweise unkritischen Bereichen, etwa der eigenen Einfahrt, könne man einen solchen Kompromiss vielleicht eingehen. Wer aber eine Kamera in private Innenräume stellt, sollte Aufzeichnungen nur lokal speichern und den Zugriff aus der Ferne robust absichern, etwa über eine VPN-Lösung oder Token-basierte Authentifizierung.

Hinzu kommt, dass Nutzer bei Cloudlösungen letztlich keinen Einblick haben, wohin ihre Daten fließen. Dabei verweist er auch darauf, dass manche Hersteller in Ländern sitzen, in denen Nachrichtendienste die Möglichkeit haben, recht einfach an die Daten zu kommen. Manche Anbieter stünden überhaupt gleich direkt unter dem Einfluss des Staats. Eine sichere Cloudlösung auf Servern in der EU oder gleich in Österreich oder Deutschland aufzuziehen ist grundsätzlich möglich – allerdings sehr teuer und damit letztlich nur für größere Unternehmen eine realistische Option.

Viele Systeme nicht DSGVO-konform

Bei vielen Produkten für Privatanwender mangelt es auch immer noch an Security-Basics. Nach wie vor gibt es Geräte mit längst bekannten oder einfach zu erratenden Standard-Log-ins, die viele Nutzer nie ändern. Dazu kommen Lücken in der Firmware der Kameras selber und eine mangelhafte oder nicht existente Versorgung mit Sicherheits-Updates.

Einfach zu lösen ist diese Situation nicht, meint Wallner, denn es liegt nicht nur an den Herstellern. Vielen Nutzern fehlt schlicht das Bewusstsein für grundlegende Sicherheitsmaßnahmen und die Problematiken von cloudbasierten Lösungen für vernetzte Kameras. Damit gehen auch Verstöße gegen die Datenschutzgrundverordnung (DSGVO) oft ungeahnt durch, weil sie – "wo kein Kläger, da kein Richter" – schlicht nicht bemerkt werden. Die vorgesehenen, durchaus teuren Strafen entfalten somit auch keine Wirkung. Zudem werden unhinterfragt massenhaft Produkte importiert, die den Vorgaben eigentlich nicht entsprechen.

Gute Sicherheit gibt's nicht zum Sparpreis

Man müsse sich auch im Klaren sein, dass Sicherheit etwas kostet und nicht immer Hand in Hand mit Anwenderfreundlichkeit geht. Letztlich müsse man sich daran gewöhnen, bei solchen Systemen komplexe Passwörter zu verwenden, diese regelmäßig zu ändern und Zwei-Faktor-Authentifizierung zu nutzen. Alles andere sei "wie Motorradfahren ohne Helm, weil man sich die Frisur nicht ruinieren möchte".

Klar sei auch, dass man zum Niedrigpreis keine hohe Sicherheit und guten Support erwarten könne, da sich das für die Hersteller nicht rechnet. "Für IP-Kameras um 20 oder 30 Euro ist keine Gratis-Update drin", stellt Wallner fest. Gleich in eine teurere und lokal umgesetzte Lösung namhafter Anbieter zu investieren könne sich auf Dauer aber trotzdem auszahlen, da man sich etwaige Abogebühren für eine Cloudplattform erspart. Der Druck müsse letztlich auch von den Konsumenten kommen, da sich die Anbieter letztlich nach deren Bedürfnissen richten. Solange sich schlecht abgesicherte Billig-IP-Kameras gut verkaufen, gibt es für deren Hersteller wenig Grund, ihre Strategie zu ändern.

EU-Gütesiegel als Chance

Die Gesetzgeber könnten ebenfalls zu einer Verbesserung beitragen. Wallner sieht ein freiwilliges europäisches Gütesiegel mit hohen Standards für solche smarte Sicherheitssysteme als eine praktikable Option. Dies würde es nicht nur Käufern einfacher machen, sich für gut abgesicherte Lösungen zu entscheiden, sondern könnte gerade für europäische Anbieter zu einem wichtigen Alleinstellungsmerkmal werden – insbesondere weil außerhalb Europas Datenschutz politisch kaum ernst genommen werde.

Im Enterprise-Bereich sieht es in Sachen Sicherheit besser aus, auch weil der Anspruch von Unternehmen schlicht höher ist, zumal eine unsichere IP-Kamera im schlechtesten Falle zum Einfallstor ins gesamte Netzwerk werden kann. Hersteller liefern hier üblicherweise auch regelmäßig Sicherheits-Updates. Dass die DSGVO die Verantwortung für Datenschutzprobleme von den Anbietern auf die Betreiber verschoben hat, hat das Sicherheitsbewusstsein erhöht.

Wallner kritisiert jedoch, dass einige Anbieter und Systemintegratoren nach wie vor nicht auf Linux setzen. Seiner Ansicht nach ist das freie Betriebssystem Windows-basierten Lösungen aus Sicherheitsgründen vorzuziehen. Er sieht hier ein potenzielles Risiko, dessen sich Kunden und Nutzer womöglich gar nicht bewusst sind.

Für die Inbetriebnahme eines gut abgesicherten, smarten Kamerasystems rät Wallner dazu, eine Fachperson zu beauftragen – egal ob für den privaten Bedarf oder im betrieblichen Umfeld. Denn ein solches aufzusetzen ist selbst für versierte Technikfreunde eine Herausforderung. "Auch ich könnte ein solches System nicht ganz alleine einrichten", so der Netavis-Software-CEO. (gpi, 9.6.2021)