Probleme der IoT-Sicherheit: Schwer zu patchende Lücken in unzähligen IP-Kameras

Sicherheitsforscher warnen vor einer kritischen Schwachstelle in einem SDK für IP-Kameras. Doch die bedrohten Modelle herauszufinden, ist so gut wie unmöglich.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 26 Beiträge

(Bild: TimmyTimTim/Shutterstock.com)

Von
  • Dennis Schirrmacher

Unter bestimmten Voraussetzungen könnten Angreifer Videostreams von IP-Kameras verschiedener Hersteller belauschen. Die Sicherheitslücke in einem Software Development Kit (SDK) gilt als "kritisch". Eine reparierte Version ist bereits verfügbar, doch das Patchen gestaltet sich als äußerst schwierig.

Konkret geht es um das P2P SDK von ThroughTek. Bei IP-Kameras regelt P2P den Fernzugriff auf Geräte über das Internet. So kann man beispielsweise Videostreams verfolgen. Sicherheitsforscher von Nozomi Networks schreiben in einem Beitrag, dass sie auf eine Lücke gestoßen sind, über die Angreifer Zugriff auf eigentlich abgeschottete Informationen bekommen könnten.

Da IP-Kameras mit dem SDK vor allem in der Industriesteuerung (ICS) – beispielsweise im Kritis-Bereich – zum Einsatz kommen, könnte eine erfolgreiche Attacke weitreichende Folgen haben. Als Voraussetzung dafür muss ein Angreifer Zugriff auf den Netzwerkverkehr einer Kamera haben. Dann könnte er den Forschern zufolge aufgrund von einem fixen Schlüssel Datenverkehr rekonstruieren. Darunter auch Videostreams.

Zwar weist ThroughTek in einer Sicherheitswarnung auf die abgesicherte Version 3.1.10 des SDK hin, doch als Endverbraucher ist es praktisch unmöglich herauszufinden, ob das eigene Modell betroffen ist. Das liegt daran, dass der SDK-Anbieter nur einer von mehreren Softwarezulieferern für viele verschiedene Hersteller von IP-Kameras ist. Der Markt ist in diesem Bereich im Grunde unüberschaubar.

Selbst wenn man ein betroffenes Modell herausfindet, bringt einem das abgesicherte SDK nichts, da die Software auf der Kamera bereits mit einem verwundbaren SDK erstellt wurde. Hier müsste erst der Hersteller das neue SDK einsetzen, die Software neu erstellen und via Update an die Kameras ausliefern. Ob das dann auch geschieht, ist oft fraglich.

Im Grunde muss man sich hier voll und ganz auf den Hersteller verlassen und ihm trauen. Doch diese wissen eventuell selber nicht so genau was zum Einsatz kommt, weil sie die Komponenten nur eingekauft haben.

Generell gilt, dass man IP-Kameras die zum Beispiel für die Überwachung dienen, nicht über das Internet erreichbar machen sollte. Das sollte man wirklich nur machen, wenn der Hersteller eine saubere Dokumentation zur Sicherheit der P2P-Implementierung vorweisen kann, raten die Sicherheitsforscher.

(des)