Sicherheitskameras werden oft eingesetzt, um für Sicherheit zu sorgen. Aber sie können selbst zum Sicherheitsproblem werden. Besonders viele Schwachstellen, so verschiedene Analysen und Untersuchungen im Ausland, können Produkte der chinesischer Kamerahersteller Dahua und Hikvision aufweisen.
Produkte dieser Überwachungskamerahersteller führten im Ausland zu Diskussionen über Sicherheitslücken und Datensicherheit. Gleichzeitig sind Anbieter aus China in Sachen Überwachungstechnologie marktführend.
Einfacher Zugriff durch veraltete Software
In einem Experiment hat SRF Investigativ getestet, wie sicher ein handelsübliches Modell des Herstellers Hikvision ist. Das Ergebnis: Es flossen keine Daten nach China ab. Aber mithilfe einer veralteten Kamerasoftware und eines Programmierskripts aus dem Internet liess sich die Kamera ganz einfach hacken.
David Gugelmann, IT-Sicherheitsexperte bei der Schweizer Firma Exeon Analytics, hat den Test durchgeführt. Er beschreibt den Vorgang: «Wir haben einen neuen User-Account mit einem Passwort angelegt und mit dem User-Account konnten wir das Bild der Kamera übernehmen. Wir konnten den Kamera-Datenstrom zu unserer Maschine umleiten».
Um herauszufinden, welche Behörden Modelle von Hikvision oder Dahua einsetzten, hat SRF sieben grosse Städte in der Deutschschweiz angeschrieben. Sehr viele Hikvision-Kameras verwendet die Stadt Zürich – allein die Stadtpolizei hat 35 solcher Kameras im Einsatz. Auch der Kanton Basel-Stadt und die Zuger Polizei nützen Kameras von Hikvision oder Dahua.
Die Bundesverwaltung in Bern sagt hingegen, sie verwende keine dieser Modelle. Die unterschiedliche Nutzung ist darauf zurückzuführen, dass es schweizweit keine gültigen Richtlinien für die Beschaffung gibt. Analysen von IP-Adressen von SRF Investigativ zeigen zudem, dass Tausende solcher Kameras in der Schweiz mit dem Internet verbunden sind.
Sicherheitsrisiken für Schweizer Behörden?
Auf Anfrage von SRF erklärt die Stadt Zürich, dass die betriebenen Sicherheitskameras nicht direkt mit dem Internet verbunden seien. Sie würden sich im stadteigenen Netzwerk ZüriNetz befinden. Zudem seien die Kameras durch technische Massnahmen von Fremdnetzen und Zugriffen getrennt. Ähnlich argumentieren andere Behörden.
Sicherheitsexperte Gugelmann sieht trotzdem ein gewisses Risiko. Bei Kameras in abgeschotteten Netzwerken würden Sicherheitsupdates häufig nicht zeitnah installiert. «Und es ist allgemein bekannt: Alte Software hat häufig Schwachstellen, die man ausnützen kann.»
Wir dürfen uns keinesfalls zu abhängig machen von Ländern wie China.
Marionna Schlatter, Nationalrätin der Grünen und Mitglied der Sicherheitspolitischen Kommission, sagt zu SRF: «Transparenz ist wichtig: Solange wir auf den verschiedenen Staatsebenen nicht wissen, wo was aus China beschafft wird, sind wir nicht handlungsfähig. Wir dürfen uns keinesfalls zu abhängig machen von Ländern wie China. Insbesondere bei heiklen, sicherheitsrelevanten Technologien braucht es eine Strategie, wie unsere Souveränität und Unabhängigkeit gewahrt werden kann.»
Hikvision sagt zum Test von SRF Investigativ, dass die betroffene Sicherheitslücke bereits behoben worden sei. Hikvision halte sich an strengste globale Standards. Die Geräte und Daten der Endnutzer seien geschützt. Dahua sagt, man schütze die Privatsphäre der Nutzer und informiere Kunden rechtzeitig über Schwachstellen.
