Zahlreiche IP-Kameras von Aldi weiterhin unzureichend geschützt

Nach wie vor ist allein in Deutschland mindestens eine dreistellige Anzahl der von Aldi verkauften IP-Kameras unzureichend geschützt, wie Heise Security erneut vermeldet. Betroffen vom massiven Datenleck sind die Webcams IPC-10 AC und IPC-100 AC, die auch hier in der Schweiz via Aldi Suisse zum Verkauf angeboten wurden. Derweil spitzt sich die Lage zu: Inzwischen kursiert im Netz sogar ein Skript, das Kameras aufspürt, die unzureichend geschützt sind. Was ist vorgefallen? Ein Mitglied des Vereins Digitale Gesellschaft hat das deutsche IT-Portal Heise auf ein massives Sicherheitsproblem einer Aldi-Aktion mit IP-Kameras aufmerksam gemacht. Die bei Aldi Suisse zwischen dem 18. Juni und dem 24. Dezember 2015 verkauften IP-Kameras der Marke Maginon weisen demnach mehrere Sicherheitslöcher auf. Simon Gantenbein hat selbst zu Weihnachten eine solche Kamera des Typs IPC-20C geschenkt bekommen, wie er der NZZ erzählte. Schnell wurde ihm klar, dass dank der schwachen Voreinstellungen Unbefugte problemlos E-Mail-Konten und FTP-Zugänge auslesen können. Die Geräte ändern Heise zufolge über UPnP selbstständig die Router-Konfiguration, wodurch sie über Port 80 aus dem Internet erreichbar sind. Zudem wurden Passwörter unverschlüsselt in die Cloud übertragen. 

Mittlerweile stünde seit einigen Monaten ein Firmware-Upgrade zur Verfügung. Werde das Update installiert, jedoch nicht das Kennwort geändert, könne der Nutzer nicht mehr von extern auf die Kamera zugreifen und werde automatisch zum Einrichten der Sicherheitsvorkehrung angehalten, hiess es am 19. Januar bei Aldi Suisse auf Anfrage von PCtipp. Man sicherte uns zu, den Hinweis ernst zu nehmen und zu prüfen, wie man Kunden noch deutlicher über Sicherheitsvorkehrungen informieren könne. Als Sofortmassnahme habe Aldi Suisse daraufhin gleich auf der Homepage die Produktbeschreibung mit dem Hinweis versehen, dass Sicherheits-Updates verfügbar sind.

Diese Sicherheitswarnung erreicht offenbar nicht alle Kunden. Das Problem: Das Windows-Programm und die Smartphone-Apps sind für den Betrieb der Kamera nicht erforderlich. Wer diese Anwendungen nicht nutzt, erfährt nichts vom wichtigen Sicherheits-Update.

Laut den Testergebnissen von Heise konnte man bereits Mitte Januar auf mehr als einen Drittel der Kameras, die über das Internet erreichbar waren, ohne Passwort zugreifen. Unterdessen hat sich herausgestellt, dass der Hersteller schon seit Juni 2015 über das Problem informiert war. Sicherheitsexperten wie Marcus Roskosch warnten nach Recherchen des IT-Portals schon länger von dem Sicherheitsleck.

Die Kollegen von Heise und wir empfehlen, sicherheitshalber sämtliche Passwörter für WLAN, Mail oder FTP zu ändern. Ist eine UPnP-Funktion im Router integriert, sollte man diese Funktion besser ausschalten, um unbemerkte Port-Weiterleitungen von Geräten und Programmen zu verhindern.