Lauschangriff: Wenn der Hacker ins Wohnzimmer schaut
Transcription
Lauschangriff: Wenn der Hacker ins Wohnzimmer schaut
Datum 13.09.2006 Lauschangriff: Wenn der Hacker ins Wohnzimmer schaut Per Kamera und Internet die Wohnung überwachen - WWW als "World Wide Watching"? Wie schützt man sich aber vor ungebetenen Gästen, den Hackern, die unerlaubt in die Kameras eindringen könnten: Die weltweite "Hack-the-Cam"-Bewegung? Von Oliver Schonschek Videoüberwachung ist heute „angesagt“. Nicht nur Bahnanlagen, auch die eigene Wohnung kann mit Kameras kontrolliert werden. Mit entsprechender Technologie kann dies auch über Funkverbindungen und das Internet erfolgen. Funkverbindungen erleichtern die Montage, sparen Anschaffungs- und Unterhaltskosten und machen auch unzugängliche Stellen dauerhaft erreichbar. Neben klassischen CCTV (Closed Circuit Television) Anlagen werden dafür Netzwerkkameras, sogenannte IP-Kameras, angeboten. Sie verfügen über einen integrierten Webserver und eine eigene IP-Adresse, anders als eine einfache WebCam. WebCams werden "zweckentfremdet" Doch selbst die eher im Entertainment-Bereich angesiedelten WebCams werden den Verbrauchern als „Ideal für die Raumüberwachung und den Schutz des eigenen Rechners!“ angeboten, so zum Beispiel von dem Hersteller TerraTec. Da WebCams geradezu dafür geschaffen wurden, dass sich unbekannte Chat-Freunde auch einen optischen Eindruck von dem Gegenüber verschaffen können, fehlen meist entsprechende Sicherheitsvorkehrungen gegen mögliche Hackerangriffe. Nach Auskunft von TerraTec sind „WebCams genau so sicher wie die Systeme, an denen sie laufen. Nicht mehr und nicht weniger.“ Der unbedarfte Nutzer ist sich der Gefahr eines Lauschangriffes im eigenen Wohnzimmer jedoch nicht bewusst. Deshalb warnt das LKA Rheinland-Pfalz auch vor einer falschen Konfiguration von WebCams. Wie das zuständige Fachdezernat der Redaktion gegenüber bestätigte, ist es gerade bei einer WebCam sehr wichtig, das System korrekt nach den Erfordernissen einzustellen, „um nicht unfreiwillig ungewollte Einblicke in Bild und Ton in die Privatsphäre zu gewähren.“ Die richtigen Einstellungen einer WebCam müssen von dem Anwender geplant und umgesetzt werden, so das Landeskriminalamt Der Große Bruder? Bild: in Mainz. „Nach Installation der WebCam und TerraTec ihrer Software sollte der Anwender deshalb alle Einstellungen überprüfen und nicht "blind" die WebCam mit den Standardeinstellungen in Betrieb nehmen.“ Für die Anwender, die die notwendigen Sicherheitseinstellungen nicht dem Handbuch der WebCam entnehmen können, gibt das Mainzer LKA Hinweise. So sollte man eine WebCam grundsätzlich deaktivieren, wenn sie nicht benötigt wird. Bei externen WebCams zieht man dazu einfach den Stecker. Schwieriger wird es bei Notebooks, die zunehmend über eine integrierte WebCam verfügen, die meist oberhalb des Displays angebracht ist. Die sicherste Methode ist es in diesem Fall, die eingebaute WebCam abzudecken. Ohne spezielle Sicherheitsvorkehrungen ist es für Hacker möglich, eine WebCam durch einen einfachen Portscan zu finden. Der Zugriff von außen ist dann in den meisten Fällen ein Kinderspiel. Die für die Videoüberwachung speziell geschaffenen IP-Kameras sind in der Regel vor Angriffen besser geschützt, doch auch hier erzielen die Hacker immer mehr „Erfolge“. Funkverbindungen zwischen den Kameras und der Schaltzentrale sind in der Regel besser geschützt als die gelegentlich abhörbaren Kabelverbindungen. Der Komfort der Fernabfrage des Webservers der IP-Kameras und ihre Fernsteuerung über das Internet schafft wesentlich mehr Sicherheits-probleme als den meisten Verbrauchern bewusst ist. So klingt es verlockend, nicht nur im heimischen Netzwerk alle Kameras kontrollieren zu können, sondern dafür weltweit jeden Internetzugang und sogar PDAs und Mobiltelefone mit GPRS-/ UMTS-Verbindung nutzen zu können. Nur: Wie sicher ist das? Die Gefahren des offenen Internets Nach Darstellung des Herstellers Bosch Sicherheitssysteme GmbH wird bei sicherheitsrelevanten CCTV Videoüberwachungsanlagen ein geschlossenes Netzwerksystem mit Firewalls eingesetzt, um Zugriffe von Außen zu verhindern. Möchte der Besitzer selbst zum Beispiel vom Urlaubsort aus zugreifen, verwendet man ein VPN (Virtual Privat Network). Die IP-Kameras nutzen darüber hinaus ein gesondertes eigenes oder ein auf Linux basierendes Betriebssystem, das Hacker die Arbeit wesentlich erschwert, so Bosch. So weit, so gut. Dennoch bietet Bosch, wie andere Hersteller auch, Netzwerkkamera-Systeme an, die einen Zugriff über ein PDA erlauben. Die Kunden freuen sich sicherlich über diese Zusatzfunktion, aber ist ihnen auch die Gefahr bewusst, die mit der Verwendung des freien und offenen Internets verbunden sein kann? Bei Bosch Sicherheitssysteme GmbH sieht man die Gefahr: „Bei PDA Anwendungen wird in der Regel das Internet benutzt. Somit ist der Datenverkehr "in der großen Welt". Dies muss einem User klar sein. Bosch ST (Bosch Sicherheitssysteme GmbH) steht der Nutzung von PDAs auch eher skeptisch gegenüber und würde immer die Lösung in einem abgesicherten Netzwerk empfehlen.“, so die Pressestelle. Bei den Zugriffen über das Internet bleibt nur der Zugriffsschutz durch die richtige Kombination aus Benutzername und Passwort. Doch gerade damit tun sich viele Verbraucher schwer und verwenden gerne immer wieder ein und dasselbe Passwort. Manchmal kennt es sogar der Kollegen- oder Bekanntenkreis. „WWW als das World Wide Watching“ Hier setzen die Hacker an. „Hack-the-cam“ ist inzwischen zu einer aktiven Hacker-Bewegung geworden, deren Angriffe auf Kameras im Internet zunehmen. Was kann schlimmstenfalls passieren, wenn ein Hacker in die Videoüberwachungsanlage eindringen kann? Das kommt auf die durch die Video-Steuerungssoftware erlaubten Funktionen an. Im Prinzip kann der Hacker alles, was der legitimierte Anwender auch kann: Livebilder sehen, gespeicherte Videos abrufen, die Kamerapositionen ändern, Tonaufnahmen der Kameras mithören oder auch das komplette Videoüberwachungssystem abschalten. Die von dem Security-Center des Herstellers Abus werbeträchtige Übersetzung von WWW in „World Wide Watching“ erhält damit einen zweifelhaften Beigeschmack. Um beispielsweise auf die Abus DIGILAN® Security-Netzwerkkamera weltweit zugreifen zu können, benötigt man nur einen Microsoft® Internet Explorer ab Version 5.5 sowie ein Plugin auf ActiveX Basis, das man ohne weiteres im Internet auf der Herstellerseite herunterladen kann. Mit Benutzername und Passwort kann das „World Wide Watching“ dann beginnen. Allerdings gelten weder der Internet Explorer noch unsignierte ActiveX Steuerelemente (aktive Inhalte), die hierbei zum Einsatz kommen, als besonders Vertrauen erweckend. Die Videodaten werden über das HTTP-Protokoll zur Verfügung gestellt. Wünschenswert wäre jedoch eine Abus Digilan HTTPS-Verbindung mit SSL-Verschlüsselung. Bild: Security Center GmbH & Co. Im zugehörigen Handbuch weist Abus deshalb KG auch auf die Problematik hin: „ACHTUNG: Wenn der gewählte Benutzer Zugang auf sämtliche Funktionen des Serverprogramms hat, so kann er sämtliche Einstellungen am Server über dieses Web-Interface vornehmen. Nutzen Sie deshalb die Passwortvergabe, um die Setup-Ebene vor unbefugtem Zugriff zu schützen.“ Mehrfacher Passwortschutz gegen die Hacker Der Hersteller Mobotix zum Beispiel plant die Einführung der HTTPS-Version mit Verschlüsselung der Kameradaten für den Herbst 2006. Weitere Hersteller werden folgen. Der Anbieter Axis Communications setzt bereits auf die SSL-Verschlüsselung. In seiner Broschüre „Auswahl einer Netzwerkkamera – Die zehn wichtigsten Kriterien für die richtige Entscheidung“ hat die Netzwerksicherheit zumindest die Nummer 6. In einem technischen Guide empfiehlt Axis für die Realisation eines IP-Kamera-Projektes mehrfachen Passwortschutz, SSL-Verschlüsselung sowie die Filterung der IP-Adressen bei den Zugriffen. Auch der Hersteller Linksys wirbt mit den Vorteilen seiner neuen IP-Kamera WVC200. „Die Inhalte können von Nutzern und Firmenmitarbeitern von unterwegs überall auf der Welt ganz einfach per Webbrowser abgerufen werden“ heißt es in der zugehörigen Pressemeldung. Sicherlich wäre es blauäugig zu erwarten, dass die Hersteller in der Produktwerbung und den Pressemeldungen auf die möglichen Gefahren hinweisen. Eine entsprechende Anfrage der Redaktion bei der Verbraucherzentrale Bundesverband e.V. (vzbv) in Berlin ergab, dass man sich dort mit der Problematik noch nicht befasst hat und dass man deshalb keinen internen Ansprechpartner vermitteln kann. Angesichts der Zunahme an digitalen Axis 214 ptz Videoüberwachungssystemen mit weltweitem Bild: Axis Communications AB Internetzugriff zeigt eine solche Aussage immerhin ein Defizit bei der Verbraucheraufklärung. Beratung erhält man hingegen bei der Kriminalpolizeilichen Prävention sowie den jeweiligen Landeskriminalämtern.