IT-Experte

17. März 2015 07:50; Akt: 17.03.2015 07:50 Print

«Eine Webcam lässt sich innert Minuten knacken»

von T. Bolzern - Wie schwierig ist es, eine Webcam zu hacken? 20 Minuten hat es mithilfe eines IT-Experten ausprobiert.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Der direkte Blick in Stuben und in Schlafzimmer: Live-Bilder von Hunderten Schweizer Webcams sind Ende 2014 im Netz gelandet. Unbekannte Hacker hatten die Webcams rund um den Globus angezapft. Mittlerweile ist die Website offline. Doch auf anderen spezialisierten Websites lassen sich noch immer Hunderte unzureichend geschützte Webcams finden, auch solche aus der Schweiz.

Um sich ohne Erlaubnis Zugriff auf eine Kamera zu verschaffen, gibt es verschiedene Wege: «Ein mögliches Einfallstor bieten etwa Lücken in der Kamera-Software des Geräts, oder wenn noch immer das Standardpasswort oder ein schwaches Passwort verwendet wird», sagt Bernhard Tellenbach, Dozent für IT-Sicherheit an der Zürcher Hochschule für Angewandte Wissenschaften und Präsident von Swiss Cyber Storm (siehe Box). Um zu zeigen, welche Gefahren drohen, hat er ein Experiment aufgesetzt.

Das Passwort im Serverraum

Im Serverraum einer Firma in Jona wurde zu Testzwecken eine Webcam aufgestellt – mit direktem Blick auf ein grosses Schild mit dem neuen Passwort für den Server. Wäre das Szenario echt, wäre dies ein gefundenes Fressen für einen Eindringling. Für 20 Minuten mimt der 19-jährige Nicholas Hansen den Hacker und versucht von Zürich aus, auf die Kamera zuzugreifen.

Das im Serverraum aufgestellte Modell hat einen integrierten Webserver. Da Hansen die IP-Adresse der Kamera kennt, landet er schnell auf der Log-in-Site der Cam. «Ich probiere also einmal alle Standardpasswörter durch, manchmal hat man schon mit ‹admin› und ‹password› Erfolg», sagt der Zürcher Informatiker-Lehrling. Mit dieser Kombination passiert allerdings nichts.

Biblisches Passwort? Fehlanzeige

Dann probiert er einen Angriff via Brute-Force-Methode, also ein automatisches Ausprobieren von verschiedenen Passwörtern. «Die beste Passwortliste ist im Übrigen die Bibel, da hier die meisten Wörter aus dem täglichen Sprachgebrauch vorkommen», so Tellenbach. Doch auch diese Methode führt nicht zum Ziel.

Erst das Ausnutzen einer Sicherheitslücke in der Datenbank der Login-Site bringt Hansen zum Ziel – und zum fiktiven Passwort des Servers. «Ist eine Kamera ungenügend gesichert, kann man sie innerhalb von Minuten kapern», mahnt der IT-Sicherheits-Dozent Tellenbach. Hält man aber die Software – bei externen Webcams wie auch bei allen anderen Geräten – à jour, sei es auch für einen erfahrenen Hacker nicht so einfach, auf diese zuzugreifen.

Abkleben ist eine Variante

Unter Umständen bekommt man von einem Angriff aber gar nichts mit. «Zwar gibt es bei Webcams ein Lämpchen, das zeigt, ob das Gerät aktiv ist – doch auch diese Sicherung kann umgangen werden», sagt Tellenbach. «Softwaremässig gibt es keinen absoluten Schutz, dass eine Webcam nicht unerlaubt aktiviert werden kann», so der Experte. Das sicherste sei ein optischer Schutz, so Tellenbach.

Eine mögliche Lösung bietet hier das Schweizer Start-up soomz.io. Es bietet Abdeckungen in unterschiedlichen Farben für Webcams an. Diese lassen sich sowohl auf Notebooks als auch auf Handys, Tablets und Geräte mit Webcam kleben. Die Abdeckung soll indes nicht nur die Privatsphäre schützen.

Die Macher erhoffen sich auch, dass die Klappe einen Effekt auf die Nutzer hat: «Wenn man vor dem Einschalten der Kamera auch die Klappe aufschieben muss, hat man einen bewussteren Umgang mit der Kamera», sagt Rainer Brenner, Mediensprecher von soomz.io. Wer es noch einfacher – allerdings auch weniger elegant – haben will, der klebt die Kamera kurzerhand ab, muss diese improvisierte Abdeckung aber vor jedem Gebrauch wieder abziehen.

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Tom am 17.03.2015 08:02 via via Mobile Report Diesen Beitrag melden

    Hacken? - Nein

    Ein Standardpasswort googeln und ausprobieren ist also hacken? - Sicher nicht.

    einklappen einklappen
  • Anonymous am 17.03.2015 08:40 via via Mobile Report Diesen Beitrag melden

    sinnlos

    "Die IP adresse ist ihm bekannt" dieser teil wurde ihm erspart. er hätte sie anaonsten niemals gefunden....

    einklappen einklappen
  • Alain R. am 17.03.2015 08:15 Report Diesen Beitrag melden

    Kein Mitleid

    Leute die ihre Devices mit dem Standardpasswort ins Netz stellen verdienen echt kein Mitleid. Schaut euch mal an wie viele Synology DSM mit admin ohne pw "gehackt" werden können. Man muss echt kein IT Experte sein um seine Geräte entsprechend zu schützen.

Die neusten Leser-Kommentare

  • syknows am 18.03.2015 12:27 Report Diesen Beitrag melden

    Post-It ftw!

    Mein neues Laptop verfügt über eine verbaute Cam. Post-It drüber und gut.

  • Raphael Jülich am 18.03.2015 08:39 Report Diesen Beitrag melden

    Sinn der Kamera?

    Ich frage mich etwas wo der Sinn einer Kamera ist wenn man diese dann gleich wieder abklebt? Bei uns in unseren Serverräumen hängen überall Kameras welche nebst dem Bild auch Temperatur und Luftfeuchtigkeit überwachen, wir würden diese Kameras aber niemals abdecken! Schliesslich wollen wir wissen wer im Serverraum war.

  • Verb and am 18.03.2015 06:17 Report Diesen Beitrag melden

    gefalteter Karton

    ich habe einen gefalteten Karton über der Kamera. Der ist schneller weg, oder wieder drauf, als jedes Pflästerli

  • Citizen 4 am 18.03.2015 03:41 Report Diesen Beitrag melden

    Das ist Freaky

    «Zwar gibt es bei Webcams ein Lämpchen, das zeigt, ob das Gerät aktiv ist doch auch diese Sicherung kann umgangen werden», sagt Tellenbach.

  • Volker T. am 18.03.2015 01:39 Report Diesen Beitrag melden

    Willkommen in der Matrix!

    Früher gab es mit fast jeder Kamera automatisch eine Abdeckung mit! Man konnte diese beliebig auf und zu tun. Jetzt, wo die Privatsphäre dermassen mit Füssen getreten wird sind diese Dinger gänzlich verschwunden und werden weder mit PC, Laptop, Ipad usw. Standardmässig mitgeliefert oder fest eingebaut! Ist es so schwierig an einem z.B. Laptop die Kamera mit einem Schiebedeckel zu versehen?! Natürlich nicht! Nur: Entweder dürfen die Hersteller das nicht oder was eher zutrifft, sie machen gemeinsame Sache mit den Datensammlern! Willkommen im Zeitalter des gläsernen Bürgers!