Kameras von Ring: Hacker greifen auf Live-Aufnahmen aus dem Kinderzimmer zu

In den USA sorgen mehrere Fälle von Hackerangriffen auf vernetzte Sicherheitskameras der Firma Ring für Aufsehen. Die Täter konnten in Schlaf-, Wohn- und Kinderzimmer blicken und ihre Opfer nicht nur sehen, sondern sogar mit ihnen über integrierte Mikrofone kommunizieren. Der Hersteller gibt den Anwendern die Schuld.

Die Kunden der Amazon-Tochterfirma Ring wollen sich in ihrem Zuhause sicher fühlen. Deshalb installieren sie die vernetzen Überwachungskameras vor ihren Hauseingängen und sogar in Schlaf- und Kinderzimmern. Mehrere Fälle aus den USA zeigen jedoch, wie anfällig die vermeintlichen Sicherheitssysteme für Angriffe aus dem Internet sind.

Demnach konnten sich offenbar mehrere Hacker problemlos Zugang zu den Liveaufnahmen der privaten Videokameras verschaffen und so direkt in das Zuhause der Besitzer blicken. Aufnahmen zeigen, wie die Angreifer versuchen, über das integrierte Mikrofon der Ring-Kameras Kontakt zu ihren Opfern aufzunehmen und diese zu erpressen oder ihnen zumindest einen gehörigen Schrecken einzujagen.

Hacker spricht mit Kind: "Ich bin der Weihnachtsmann"

Ein besonders gruseliges Video wurde der Journalistin Jessica Holley von einer betroffenen Mutter zugespielt. Darin sieht man ein kleines Mädchen in ihrem Kinderzimmer stehen und mit einem mutmaßlichen Hacker sprechen. "Ich bin der Weihnachtsmann, willst du meine Freundin sein?", fragt der Fremde über das Kameramikrofon. Das Kind reagiert sichtlich verängstigt und ruft nach seiner Mutter.

Ereignet hatte sich die Szene im Zuhause der Familie LeMay im US-Bundesstaat Mississippi. Laut dem Bericht des Lokalsenders "WMC Action News 5" aus Memphis, hatte die Mutter die Ring Indoor Kamera im Kinderzimmer ihrer Töchter installiert, um nach dem Rechten sehen zu können, wenn sie bei der Nachtschicht ist. Die Frau arbeitet als Krankenschwester. Nur vier Tage später hatte ein Unbekannter Zugriff auf die Kamerafunktionen.

Der Fall machte bundesweit Schlagzeilen. Kurz darauf wurden weitere, ähnliche Fälle bekannt. So berichtet der Sender ABC News von einer Frau aus Texas, deren Ring-Kameras ebenfalls gehackt wurden. Der Angreifer ließ einen Alarmton über das Kameramikrofon ertönen und drohte der Frau mit dem Tod, wenn sie kein Lösegeld in Höhe von 50 Bitcoin überweise.

Eine Twitter-Nutzerin postete ein weiteres Video, das angeblich aus der Metropolregion Atlanta im Bundesstaat Georgia stammt und eine Freundin beim Schlafen zeigen soll. Auch hier hatte sich ein Unbekannter in das Kamerasystem gehackt und versucht, über das Mikrofon Kontakt zu der Besitzerin aufzunehmen.

Ring gibt den Nutzern die Schuld

Laut dem Hersteller der Kameras, der Amazon-Tochterfirma Ring, seien die Vorfälle nicht auf ein generelles Sicherheitsproblem zurückzuführen, sondern auf Anwendungsfehler. Wie bei vielen anderen Smart Home-Diensten wird das Nutzerkonto bei Ring von einer Kombination aus Nutzernamen und Passwort geschützt. Eine Zweifaktor-Authentifizierung ist ebenfalls möglich, aber optional.

Viele Nutzer machten den Fehler, dieselben Nutzernamen und Passwörter für verschiedene Onlinekonten nutzen, teilte Ring dem Sender WMC5 auf Nachfrage mit. Dadurch wird das Risiko von Hackerangriffen deutlich erhöht. Solche Logindaten können nämlich leicht durch Datenpannen in falsche Hände geraten.

Kriminelle können sich für wenig Geld riesige Datensätze mit solchen Informationen auf dem Schwarzmarkt beschaffen und die E-Mail-Passwort-Kombinationen mit Hilfe von automatisierten Eingabeprogrammen in kurzer Zeit bei unzähligen Onlinediensten ausprobieren. Die Wahrscheinlichkeit ist groß, irgendwann einen "Treffer" zu landen und in ein ansonsten ungeschütztes Konto eindringen zu können. Tiefergehende technische Kenntnisse sind für solche "Hackerangriffe" in der Regel nicht erforderlich. Sie sind eher mit einem Einbruch vergleichbar, bei dem sich der Eindringling vorher den Schlüssel beschafft hat.

Wie Sie Ihr Smart Home schützen sollten

Nutzer können sich am besten schützen, indem sie für jeden Onlinedienst ein neues, einzigartiges Passwort verwenden. Ein Passwortmanager hilft dabei, sichere Kennwörter zu erstellen und den Überblick zu behalten. Wer das Passwort regelmäßig ändert, macht Datenhändlern einen Strich durch die Rechnung. Auch eine Zweifaktor-Authentifizierung kann Angriffe wie die oben geschilderten problemlos vereiteln. Ist die Funktion aktiviert, wird bei jedem Loginversuch ein Einmal-Code abgefragt, der per App oder SMS generiert wird. Nutzer sollten diese Sicherheitsmaßnahmen bei möglichst allen Onlinekonten und Smart-Home-Anwendungen vornehmen.

Ring-Kameras zählen in den USA zu den beliebtesten Kamerasystemen im Privatbereich und stellen daher ein attraktives Ziel für Hacker dar. Datenschützer kritisieren das Geschäftsmodell der Amazon-Tochter regelmäßig und werfen dem Unternehmen vor, die Liveaufnahmen der Nutzer nicht ausreichend vor unbefugtem Zugriff zu schützen. So sei es beispielsweise Mitarbeitern problemlos möglich, Nutzer auszuspionieren, berichtete das Investigativmagazin "The Intercept" im Januar. Die deutsche IT-Sicherheitsfirma AV-Test vergab für die Ring Doorbell 2 gute Noten.

Folgendes Statement hat t-online.de nach Veröffentlichung dieses Artikels von einem Ring-Sprecher erhalten:

"Das Vertrauen unserer Kunden ist uns wichtig und wir nehmen die Sicherheit unserer Geräte ernst. Unser Sicherheitsteam hat diesen Vorfall untersucht und wir haben keine Hinweise für ein unbefugtes Eindringen in unsere Systeme oder eine Gefährdung des Netzwerks von Ring gefunden.

Vor kurzem wurden wir auf einen Vorfall aufmerksam, bei dem böswillige Akteure die Zugangsdaten vereinzelter Ring-Nutzer (z.B. Benutzername und Passwort) von einem separaten, externen, nicht-Ring-Dienst erhalten und dazu verwendet haben, sich auch in deren Ring-Konto anzumelden. Leider ist es Eindringlingen möglich, Zugang zu einer Vielzahl von Konten zu erhalten, wenn derselbe Benutzername und das gleiche Passwort für mehrere Dienste wiederverwendet wird.

Nach Bekanntwerden des Vorfalls haben wir geeignete Maßnahmen ergriffen, um die Eindringlinge unverzüglich von nachweislich betroffenen Ring-Konten auszusperren und haben die entsprechenden Nutzer kontaktiert. Wir empfehlen Ring-Kunden ihre Passwörter zu ändern und die Zwei-Faktor-Authentifizierung zu nutzen."