Ende 2023 verloren über 1.000 Ubiquiti-Nutzer für rund einen Tag die Kontrolle über ihre eigenen Kamera-Systeme: Eine fehlerhafte Zuordnung im UniFi-System wies fremden Konten Vollzugriff auf fremde Geräte zu, dokumentiert von Techtest, 2024 – Welche Überwachungskameras sind noch sicher?. Lokale Speicherung und Zwei-Faktor-Authentifizierung halfen den Betroffenen nicht. Wer seine Überwachungskamera absichern will, kommt deshalb an der unbequemen Erkenntnis nicht vorbei: Eine vernetzte Kamera im Wohnzimmer oder an der Haustür ist ein vollwertiger Computer mit Mikrofon und Linse, der Bilder aus euren privatesten Räumen ins Netz sendet.

Dieser Ratgeber zeigt euch, welche Angriffswege real existieren, woran ihr eine kompromittierte Kamera erkennt und nach welchen Kriterien ihr beim Kauf entscheidet. Ihr bekommt eine nummerierte Maßnahmenliste, eine Kaufkriterien-Tabelle und konkrete Antworten auf die häufigsten Fragen. Am Ende wisst ihr, wie ihr Hardware, Heimnetz und Konten so einrichtet, dass ein einzelner Herstellerfehler nicht eure gesamte Wohnung offenlegt.

Für die Grundlagen verweisen wir auf unseren vollständigen Leitfaden zur Smart Home Sicherheit.

Warum vernetzte Kameras ein lohnendes Ziel sind

Eine Kamera liefert Live-Bild, Tonspur und oft auch ein Bewegungsprotokoll eurer Anwesenheit. Genau diese Daten interessieren sowohl Kriminelle als auch neugierige Dritte. Die Vorfälle der vergangenen Jahre zeigen ein Muster: Die meisten Probleme entstehen nicht durch klassische Hackerangriffe, sondern durch Fehler in der Hersteller-Software und durch falsch konfigurierte Geräte.

Angriffsvektor 1: Fehlende oder gebrochene Verschlüsselung

Eufy bewarb seine Kameras mit lokaler Speicherung und starker Verschlüsselung. Sicherheitsforscher griffen den Videostream entgegen den Herstellerangaben zeitweise unverschlüsselt über den VLC-Player ab. Der genutzte Schlüssel war für alle Nutzer identisch und im öffentlich einsehbaren Code auffindbar, und die Adresse einer Kamera ließ sich aus der aufgedruckten Seriennummer ableiten. Den Vorfall analysiert Kaspersky, 2023 – Unsicherheit bei IP-Kameras am Beispiel Eufy. Ist ein Schlüssel für alle Geräte gleich, schützt Verschlüsselung niemanden.

Angriffsvektor 2: Software-Schwachstellen im Gerät

Forscher von Bitdefender kombinierten mehrere Schwachstellen in der Wyze Cam v3 zu einem Vollzugriff auf das Gerät, dokumentiert von Techtest, 2024 – Welche Überwachungskameras sind noch sicher?. Ein aktueller, von einer staatlichen Behörde bestätigter Fall betrifft AVTECH-IP-Kameras: Über die Helligkeitsfunktion lassen sich ohne Anmeldung Befehle aus der Ferne einschleusen und ausführen. Die Lücke trägt die Kennung CVE-2024-7029 mit einem CVSS-v4-Wert von 8.7, einen Hersteller-Patch gibt es laut Behörde nicht, wie CISA, 2024 – ICS Advisory ICSA-24-214-07 AVTECH IP Camera festhält.

Angriffsvektor 3: Fehlerhafte Konto-Zuordnung beim Hersteller

Der eingangs genannte Ubiquiti-Vorfall und ein paralleler Fall bei Netatmo, bei dem zwei Kameras dieselbe Geräte-ID erhielten, zeigen dasselbe Risiko: Eure Kamera landet durch einen Serverfehler im Konto einer fremden Person, dokumentiert von Techtest, 2024 – Welche Überwachungskameras sind noch sicher?. Gegen diesen Fehlertyp helfen weder euer starkes Passwort noch eure Zwei-Faktor-Anmeldung, weil der Fehler in der Cloud des Anbieters entsteht.

Was Ende-zu-Ende-Verschlüsselung wirklich leistet

Ende-zu-Ende-Verschlüsselung bei einer Kamera bedeutet: Das Bild wird auf dem Gerät verschlüsselt und erst auf eurem Smartphone wieder entschlüsselt. Niemand dazwischen, auch nicht der Hersteller, kann den Stream im Klartext lesen. Wichtig ist, dass der Schlüssel ausschließlich bei euch liegt und nicht für alle Geräte identisch ist.

Echte Ende-zu-Ende-Verschlüsselung ist ein starkes Schutzmerkmal, hat aber Grenzen. Liegt der Schlüssel im Herstellerkonto, hat der Anbieter Zugriff. Ist der Schlüssel bei allen Kameras gleich, wie im Eufy-Fall, lässt er sich auslesen und gegen jedes Gerät verwenden, wie Kaspersky, 2023 – Unsicherheit bei IP-Kameras am Beispiel Eufy zeigt. Verlasst euch daher nicht auf das Werbewort „verschlüsselt“. Entscheidend ist, wo der Schlüssel gespeichert wird – lokal auf dem Gerät oder im Herstellerkonto.

Unabhängige Prüfstellen testen genau diese Punkte. Das Labor von AV-TEST, 2024 – Security-Starter-Kits im Test untersucht Smart-Home- und Kamera-Systeme auf verschlüsselte Kommunikation, sichere Update-Mechanismen und Schutz vor Manipulation. Solche Testberichte sind eine belastbarere Grundlage als die Werbeversprechen der Hersteller.

Kaufkriterien für sichere Kameras und Video-Türklingeln

Vor dem Kauf entscheidet ihr über die Sicherheit der nächsten Jahre. Diese Tabelle fasst die Punkte zusammen, die ihr im Datenblatt und in unabhängigen Tests sucht.

KriteriumWorauf achtenWarum wichtig
VerschlüsselungEchte Ende-zu-Ende-Verschlüsselung, Schlüssel nur auf eurem Gerät, kein geräteübergreifender EinheitsschlüsselEin Einheitsschlüssel lässt sich auslesen und gegen jede Kamera verwenden
Update-PolitikZugesagter Update-Zeitraum, automatische Sicherheitsupdates, schnelle Reaktion auf LückenUngepatchte Lücken wie CVE-2024-7029 bleiben sonst dauerhaft offen
SpeicherortLokale Speicherung auf SD-Karte oder NVR, optionaler statt erzwungener Cloud-ZwangWeniger Daten in fremden Rechenzentren bedeuten weniger Angriffsfläche
Konto-SicherheitPflicht-fähige Zwei-Faktor-Authentifizierung, getrennte ZugriffsrechteErschwert die Übernahme bei geleakten Zugangsdaten
Unabhängige PrüfungTestberichte von Stellen wie AV-TEST, transparente SicherheitsdokumentationBelegte Prüfung schlägt Marketing-Versprechen
Offline-FähigkeitBetrieb ohne dauerhafte Internetverbindung möglichEine Kamera ohne Cloud kann nicht durch Cloud-Fehler offengelegt werden

Eine Video-Türklingel verdient besondere Aufmerksamkeit, weil sie dauerhaft den Eingangsbereich und oft den öffentlichen Gehweg erfasst. Achtet hier zusätzlich auf eine klare Regelung, an wen Aufnahmen weitergegeben werden.

Schutzmaßnahmen: So sichert ihr eure Kameras ab

Setzt die folgenden Schritte der Reihe nach um. Sie greifen ineinander und schließen die drei oben beschriebenen Angriffswege.

  1. Firmware sofort und dauerhaft aktualisieren. Aktiviert automatische Updates und prüft regelmäßig manuell. Lücken wie CVE-2024-7029 bleiben ohne Patch dauerhaft ausnutzbar, betont CISA, 2024 – ICS Advisory ICSA-24-214-07 AVTECH IP Camera.
  2. Standard-Passwort ersetzen. Vergebt für Kamera und Herstellerkonto je ein langes, einzigartiges Passwort und speichert es im Passwortmanager.
  3. Zwei-Faktor-Authentifizierung einschalten. Aktiviert sie für jedes Konto, das Zugriff auf eure Kameras gewährt.
  4. Kameras ins Gäste- oder IoT-Netz verschieben. Trennt sie von Rechnern und Smartphones, damit eine kompromittierte Kamera nicht das ganze Heimnetz erreicht.
  5. Internetzugriff einschränken. Sperrt unnötige ausgehende Verbindungen im Router. Eine rein lokal betriebene Kamera kann durch Cloud-Fehler nicht offengelegt werden.
  6. Fernzugriff per VPN statt Portfreigabe. Greift von unterwegs über eine VPN-Verbindung ins Heimnetz zu, statt Kamera-Ports direkt ins Internet zu öffnen. Diese Maßnahme empfiehlt auch CISA, 2024 – ICS Advisory ICSA-24-214-07 AVTECH IP Camera.
  7. Zugriffsrechte trennen. Vergebt für Mitbewohner eigene Konten mit eingeschränkten Rechten statt geteilter Zugangsdaten.
  8. Kamera-Standorte bewusst wählen. Verzichtet auf Innenkameras in Schlaf- und Badezimmern und richtet den Bildausschnitt von Türklingeln so aus, dass der Nachbargrund nicht erfasst wird.

Kamera gehackt erkennen

Eine kompromittierte Kamera verrät sich oft durch ungewöhnliches Verhalten: Die Status-LED leuchtet, obwohl ihr nicht zugreift, die Kamera schwenkt von selbst, im Konto erscheinen unbekannte Anmeldungen, oder der Datenverbrauch steigt ohne erkennbaren Grund. Auch geänderte Einstellungen ohne euer Zutun sind ein Warnsignal.

Geht jeder Auffälligkeit nach. Prüft im Herstellerkonto die Liste der angemeldeten Geräte und der letzten Logins. Findet ihr unbekannte Einträge, ändert sofort das Passwort und meldet alle anderen Sitzungen ab. Kontrolliert die Kamera-Einstellungen auf veränderte Server-Adressen, denn die Wyze-Schwachstelle erlaubte Angreifern unter anderem, den Cloud-Server umzustellen, dokumentiert von Techtest, 2024 – Welche Überwachungskameras sind noch sicher?. Beobachtet im Router, mit welchen Adressen eure Kamera kommuniziert; Verbindungen zu unbekannten Zielen sind verdächtig. Wenn euch eine fremde Kamera in eurer App angezeigt wird, wie es Eufy- und Netatmo-Nutzern passierte, trennt das Gerät vom Netz und kontaktiert den Hersteller.

Kurzempfehlung

  • Bevorzugt Kameras mit echter Ende-zu-Ende-Verschlüsselung, deren Schlüssel ausschließlich auf eurem Gerät liegt.
  • Schaltet automatische Updates und Zwei-Faktor-Authentifizierung sofort nach der Einrichtung ein.
  • Steckt alle Kameras in ein getrenntes IoT-Netz und greift von unterwegs nur per VPN zu.
  • Verzichtet auf Innenkameras in sensiblen Räumen und richtet Türklingeln datensparsam aus.
  • Orientiert euch beim Kauf an unabhängigen Tests statt an Herstellerwerbung.

Häufige Fragen

Ist lokale Speicherung automatisch sicher?

Nein. Eufy speicherte lokal und verschlüsselt, sendete laut Berichten dennoch Daten unverschlüsselt, und der Stream war über VLC abrufbar, wie Kaspersky (2023) zeigt. Lokale Speicherung verringert das Risiko, ersetzt aber keine korrekte Verschlüsselung und kein sauberes Konto-Management.

Schützt mich Zwei-Faktor-Authentifizierung vollständig?

Sie schützt euer Konto gegen geleakte Passwörter, hilft aber nicht gegen Serverfehler beim Hersteller. Beim Ubiquiti-Vorfall erhielten Fremde trotz Zwei-Faktor-Schutz Vollzugriff, weil Geräte falsch zugeordnet wurden (Techtest, 2024).

Wie erkenne ich eine ungepatchte Schwachstelle in meiner Kamera?

Sucht den Modellnamen zusammen mit dem Stichwort CVE und prüft Behördenmeldungen. Für AVTECH-Kameras dokumentiert die CISA (2024) eine ungepatchte Lücke mit CVSS-v4-Wert 8.7. Reagiert der Hersteller nicht, nehmt das Gerät vom Netz.

Lohnt sich ein eigenes Netz nur für Kameras?

Ja. Ein getrenntes IoT- oder Gäste-Netz verhindert, dass eine übernommene Kamera eure Computer und Smartphones erreicht. Die Einrichtung erklären wir in unserem Ratgeber zum Heimnetz absichern. Den Fernzugriff regelt ihr danach über ein VPN.

Worauf achte ich speziell bei einer Video-Türklingel?

Prüft, wo Aufnahmen gespeichert werden und an wen der Hersteller sie weitergibt. Richtet den Bildausschnitt datensparsam aus, sodass der öffentliche Gehweg und Nachbargrundstücke möglichst nicht erfasst werden. Mehr dazu in unserem Ratgeber zum Smart-Home-Datenschutz.

Sind Kameras im Kinderzimmer besonders kritisch?

Ja, denn ein Zugriff Fremder auf Bild und Ton im Kinderzimmer ist ein schwerer Eingriff. Behandelt solche Geräte wie Babyphones mit allen Schutzmaßnahmen aus diesem Ratgeber. Vertiefende Hinweise findet ihr in unserem Ratgeber zur Babyphone-Sicherheit.

Hilft eine teure Marke automatisch?

Nein. Die dokumentierten Vorfälle betrafen etablierte Anbieter wie Eufy, Wyze, Ubiquiti und Netatmo. Verlasst euch auf unabhängige Prüfungen wie die von AV-TEST (2024) statt auf den Markennamen.

Fazit

Keine vernetzte Kamera ist von sich aus sicher, und die dokumentierten Vorfälle bei Eufy, Wyze, Ubiquiti und Netatmo treffen alle Preisklassen. Ihr senkt euer Risiko deutlich, wenn ihr auf echte Ende-zu-Ende-Verschlüsselung achtet, Updates und Zwei-Faktor-Schutz aktiviert, Kameras in ein getrenntes Netz steckt und nur per VPN aus der Ferne zugreift. Geht jetzt eure vorhandenen Kameras durch, prüft Firmware-Stand und Kontoeinstellungen und arbeitet die acht Schutzmaßnahmen ab.

Smart Home Testberichte, denen du vertrauen kannst und Deals, die sich wirklich lohnen – kostenlos in dein Postfach:

    Author

    Ich bin Nico und beschäftige mich seit vielen Jahren intensiv mit dem Smart Home. Im Jahr 2013 habe ich mit HouseControllers eines der ersten deutschsprachigen Smart Home Magazine gegründet. Mehr über mich.