Bei den Diskontern Aldi in Deutschland und der Schweiz wurden IP-Überwachungskameras der Marke Maginon verkauft, die ein schweres Sicherheitsproblem aufweisen. Hunderte der Kameras sind nahezu ungeschützt im Internet auffindbar, wie "heise" berichtet. Zunächst wurde berichtet, dass auch von Hofer in Österreich verkaufte Kameras betroffen sind. Das Unternehmen erklärte nun allerdings, dass die Kameras erst nach einem Firmware-Update angeboten wurden.

Zugriff auf Video, Ton und Passwörter

Unbefugte können nicht nur auf das Videobild der Kameras zugreifen. Je nach Modell können über ein Mikrophon auch Gespräche belauscht und die Kameras geschwenkt werden. Über Infrarot-LEDs funktionieren die Überwachungskameras auch im Dunkeln. Zudem können Passwörter für WLAN, E-Mail-Logins und FTP-Zugängen über die Konfiguration der Kameras ausspioniert werden. Der Fernzugriff über HTTP erfolgt unverschlüsselt.

Betroffen sind die Modelle IPC-10 AC, IPC-100 AC und IPC-20 C, die im vergangenen Jahr mehrfach bei den Diskontern angeboten wurden. Hofer hatte eine Kamera zuletzt im vergangenen Dezember im Sortiment. Bei den Geräten ist über Port 80 ein Fernzugriff über das Internet möglich. Die dazu ursprünglich mitgelieferte Firmware sieht dafür von Haus aus kein Passwort vor. "Das wird dem Nutzer schnell zum Verhängnis, die Geräte ändern über UPnP nämlich selbstständig die Router-Konfiguration, wodurch sie über Port 80 aus dem Internet erreichbar sind", schreibt "heise".

Firmware-Update bereits veröffentlicht

Aldi erklärte in einer Stellungnahme, dass vor einigen Monaten ein Firmware-Update auf Version 1.2 veröffentlicht wurde. Nach diesem müssen Nutzer ein Passwort anlegen. "Wird das Update installiert, jedoch nicht das Kennwort geändert, kann der Nutzer selbst nicht mehr von extern auf die Kamera zugreifen und wird somit automatisch zum Einrichten dieser Sicherheitsvorkehrung aufgefordert", heißt es weiter.

Updates müssen Nutzer allerdings selbst einspielen, der Vorgang ist nicht automatisiert. So sind laut dem Bericht auch aktuell noch immer zahlreiche Kameras ungeschützt im Internet zugänglich. Zudem dürften Ende 2015 noch Modelle mit der älteren Firmware verkauft worden sein. Die unsicheren Kameras sind auch bereits ins Visier von Angreifern gerückt, die Nutzern Hinweise auf den unbefugten Zugriff hinterlassen haben. So zeigt "heise" einen Screenshot, in dem der Kameraname auf "HackedOhnePW!!!" geändert wurde.

Update und Passwörter ändern

Nutzer sollten sich nun dringend um die Aktualisierung der Kamera-Firmware kümmern. Dazu muss ein Windows-Programm installiert werden, das die aktuellere Firmware herunterlädt. Sollten Passwörter für den Zugriff der Kamera auf WLAN oder E-Mail-Login abgelegt worden sein, wird Nutzern geraten diese zu ändern. Aldi will prüfen, wie man Kunden in Zukunft besser über Sicherheitsvorkehrungen informieren kann.

Update 17:30 – Hofer: Kunden in Österreich nicht betroffen

Hofer hat inzwischen gegenüber dem WebStandard Stellung bezogen. Man habe eines das Kamera-Modelle zuletzt im Dezember angeboten. "Aufgrund eines vorangegangenen Firmware-Updates war zum Zeitpunkt des Verkaufstarts keine Sicherheitslücke vorhanden. Der Kunde muss vor der erstmaligen Inbetriebnahme der Kamera ein persönliches Passwort festlegen. Ohne eine Änderung des Passworts ist ein Zugriff auf die Kamera nicht möglich", heißt es darin. Kunden in Österreich seien nicht betroffen, so Hofer.

Auch für ältere Geräte sei das Firmware-Update vorhanden. Die Nutzer von älteren Geräten würden eine Update-Information erhalten, bei sie darauf hinweist, ein Passwort festzulegen. "Beim Öffnen des Programms bzw. der App wird automatisch auf dieses Update aufmerksam gemacht." (br, 18.1.2016)