IP-Kameras sind beliebte Werkzeuge zur Überwachung, sei es im privaten Haushalt oder im kleinen Geschäft. Sie versprechen Sicherheit und Kontrolle, oft zu erschwinglichen Preisen. Doch gerade bei kostengünstigen Modellen stellt sich die Frage: Wie steht es um die eigene Sicherheit und den Datenschutz? Wir haben die 7links IP-Kamera IPC-720.HD, vertrieben von Pearl und hergestellt vom chinesischen Unternehmen Tenvis, einem Schnelltest unterzogen, um genau das herauszufinden.
Die Marke 7links ist eine Eigenmarke des deutschen Versandhauses Pearl, das eine breite Palette von Produkten, darunter auch Smart Home-Geräte, importiert und unter eigenen Namen vertreibt. Im Falle der hier getesteten spritzwassergeschützten 720p IP-Kamera IPC-720.HD stammt die eigentliche Hardware von Tenvis. Unser Fokus lag nicht nur auf der Funktionalität der Überwachung, sondern insbesondere auf Aspekten der IT-Sicherheit und des Datenschutzes, um zu beurteilen, ob solche Kameras bedenkenlos eingesetzt werden können.
Wer steckt hinter 7links und der Kamera?
Wenn Sie eine IP-Kamera der Marke 7links in den Händen halten, handelt es sich um ein Produkt, das vom deutschen Unternehmen Pearl vertrieben wird. Pearl ist bekannt dafür, eine Vielzahl von Elektronik- und Zubehörartikeln zu importieren und unter eigenen Markennamen anzubieten. 7links ist einer dieser Namen. Die tatsächliche Herstellung der Kamera, in diesem Fall des Modells IPC-720.HD, erfolgt durch den chinesischen Hersteller Tenvis, der sich auf IP-Kameras spezialisiert hat. Diese Konstellation – Vertrieb durch ein deutsches Unternehmen, Herstellung in Asien unter einer Eigenmarke – ist im Elektronikmarkt weit verbreitet, wirft aber oft Fragen hinsichtlich der Qualitätskontrolle, des Supports und eben auch der Sicherheit auf, da der Vertriebspartner nicht zwingend die volle Kontrolle über Firmware und Software des Originalherstellers hat.
Die Ersteinrichtung: Ein erster Blick auf die Sicherheit
Die Erstinstallation einer IP-Kamera sollte möglichst einfach, aber vor allem sicher sein. Bei der 7links IPC-720.HD ist ein Schritt in die richtige Richtung die Aufforderung, das Standardpasswort „admin“ sofort durch ein komplexeres zu ersetzen. Das geforderte Passwort muss mindestens 6 Zeichen lang sein und eine Kombination aus Groß- und Kleinbuchstaben, Zahlen oder Sonderzeichen enthalten. Dies ist eine grundlegende Sicherheitsmaßnahme, die das Risiko einfacher Brute-Force-Angriffe reduziert.
Ein kritischer Punkt bei der Ersteinrichtung ist jedoch die automatische Aktivierung des Internetzugangs. Sobald die Kamera eingerichtet ist, verbindet sie sich mit dem Internet. Laut Testbericht lässt sich diese Internetverbindung weder über die zugehörige App noch über das Webinterface der Kamera deaktivieren. Dies ist problematische, da die Kamera so potenziell dauerhaft aus dem Internet erreichbar ist, selbst wenn der Nutzer dies nicht wünscht oder die Sicherheitslage der Kamera dies nicht rechtfertigt. Eine Deaktivierung des Internetzugangs müsste gegebenenfalls über Einstellungen im Router erfolgen, was für weniger technisch versierte Nutzer eine Hürde darstellen kann.
Kommunikation: Unverschlüsselt und unsicher?
Ein zentraler Aspekt der IT-Sicherheit ist die Verschlüsselung der Kommunikation. Sowohl die lokale Kommunikation innerhalb des Heimnetzwerks als auch die Online-Kommunikation über das Internet sollten idealerweise verschlüsselt erfolgen, um ein Abhören oder Manipulieren der Daten zu verhindern. Der Test der 7links IPC-720.HD offenbart hier gravierende Mängel.
Der Authentifizierungsprozess zwischen der iMega Cam App (bereitgestellt von Tenvis) und der Kamera läuft laut Analyse *unverschlüsselt* ab. Zwar werden zu Beginn Teile der Seriennummer ausgetauscht, aber die eigentlichen Zugangsdaten – Benutzername und Passwort – werden lediglich Base64-verschlüsselt übertragen. Base64 ist jedoch keine Verschlüsselung im kryptographischen Sinne, sondern lediglich eine Kodierung, die leicht rückgängig gemacht werden kann. Das bedeutet, dass die Zugangsdaten im Prinzip im Klartext übertragen werden und von Angreifern im Netzwerk problemlos abgefangen und gelesen werden könnten.
Das Gleiche gilt für die weitere Kommunikation, sowohl lokal als auch online. Die Datenübertragung der Video-Streams, Steuerbefehle und anderer Informationen erfolgt weitgehend unverschlüsselt. Dies ist ein erhebliches Sicherheitsrisiko. Ein Angreifer, der Zugriff auf das Netzwerk hat (sei es lokal oder durch Kompromittierung der Internetverbindung), könnte die übertragenen Videobilder abgreifen, Befehle an die Kamera senden oder andere sensible Daten einsehen.
Es wurden zwar auch unverschlüsselte Verbindungen von App und Kamera zu einigen Cloud-Diensten (wie Tencent Bugly) festgestellt, jedoch mit einem verschlüsselten Payload. Während die Dateninhalte hier geschützt zu sein scheinen, ist die Tatsache, dass die Verbindungen selbst unverschlüsselt aufgebaut werden, ebenfalls nicht optimal, da Metadaten und Kommunikationsmuster offenliegen.
Firmware-Updates: Ein weiteres Risiko
Die Aktualisierung der Firmware ist entscheidend, um Sicherheitslücken zu schließen und die Stabilität eines Geräts zu gewährleisten. Der Prozess, wie die 7links IPC-720.HD nach Updates sucht und diese herunterlädt, weist jedoch ebenfalls Sicherheitsmängel auf.
Die Kamera prüft auf neue Updates über eine unverschlüsselte HTTP-Verbindung zur Adresse http://update.wificam.org/iMegaCam/goke_update.html. Auch der anschließende Download der Firmware-Datei erfolgt über unverschlüsseltes HTTP. Dies birgt das Risiko eines sogenannten Man-in-the-Middle-Angriffs. Ein Angreifer könnte die unverschlüsselte Verbindung abfangen und eine manipulierte Firmware-Datei an die Kamera senden, die dann installiert würde. Eine solche manipulierte Firmware könnte Hintertüren enthalten, die dem Angreifer vollen Zugriff auf die Kamera ermöglichen.
Der Testbericht merkt zudem an, dass die Kamera nur auf eine spezifische Version (V9.1.4.1.25, von 9.1.4.1.22) aktualisiert wurde, was darauf hindeutet, dass es bei unterschiedlichen Kameramodellen potenziell unterschiedliche Firmware-Zweige geben könnte. Die unsichere Update-Methode bleibt jedoch ein kritisches Problem, unabhängig von der spezifischen Firmware-Version.
Die iMega Cam App: Mehr als nur eine Fernbedienung?
Die Steuerung der 7links IPC-720.HD erfolgt über die iMega Cam App, die vom Hersteller Tenvis bereitgestellt wird. Die im Google Play Store heruntergeladene App fiel durch ihre geringe Größe (5 kB) und teilweise Obfuskierung auf. Wie bereits bei der Kommunikation erwähnt, nutzt die App für die Interaktion mit der Kamera, sowohl lokal als auch online und während der Authentifizierung, unverschlüsselte UDP-Verbindungen.
Ein besonders besorgniserregender Punkt ist die Speicherung der Zugangsdaten zur Kamera. Die App legt Benutzername und Passwort im Klartext im privaten App-Speicher auf dem Smartphone ab, genauer gesagt in einer SQLite3 Datenbank. Obwohl der private App-Speicher unter normalen Umständen für andere Apps nicht zugänglich ist, wird im Testbericht zu Recht darauf hingewiesen, dass diese Art der Speicherung nur als sicher eingestuft werden kann, solange das Smartphone nicht gerootet ist oder durch Malware kompromittiert wurde. Ist das Gerät erst einmal unter Kontrolle eines Angreifers, können die dort im Klartext gespeicherten Zugangsdaten leicht ausgelesen werden, was dem Angreifer wiederum Zugriff auf die Kamera verschafft.
Sicherheitsanalyse der App: Versteckte Schwachstellen
Eine statische Analyse der iMega Cam App deckte weitere potenzielle Sicherheitslücken auf. Eine davon betrifft die Berechtigung „RESTART_PACKAGES“, mit der die App andere Apps und deren Hintergrunddienste beenden könnte. Diese Funktion wird typischerweise von Task Managern oder Cleaner-Apps genutzt. Im Kontext einer Kamera-App erscheint sie unnötig. Glücklicherweise hat diese Berechtigung in aktuellen Android-Versionen, in denen Apps und Dienste automatisch neu gestartet werden, keine größere sicherheitstechnische Bedeutung mehr.
Kritischer sind jedoch Mängel bei der Verwendung von impliziten Intents. Intents sind in Android abstrakte Beschreibungen einer auszuführenden Operation. Sie können explizit eine Zielkomponente (eine bestimmte App oder Aktivität) benennen oder implizit sein, indem sie nur die gewünschte Aktion beschreiben und das System die passende Komponente auswählen lässt. Während explizite Intents in der Regel sicher sind, können implizite Intents, wenn sie an Stellen eingesetzt werden, wo dies nicht notwendig ist, von Malware abgefangen oder umgeleitet werden. Eine bösartige App, die in der Lage ist, auf einen bestimmten impliziten Intent zu reagieren, könnte aktiviert werden, anstatt der eigentlich vorgesehenen Komponente. Die Analyse der iMega Cam App identifizierte Stellen, an denen implizite Intents eingesetzt wurden, wo dies nicht notwendig erschien, was potenziell von Malware ausgenutzt werden könnte, um schädliche Komponenten zu aktivieren.
Datenschutzbedenken bei der 7links Kamera
Neben der reinen IT-Sicherheit ist auch der Datenschutz ein wichtiger Aspekt bei Geräten wie IP-Kameras, die potenziell sensible visuelle und akustische Daten erfassen. Der Testbericht hebt einige Punkte hervor, die Bedenken wecken.
Positiv ist zunächst, dass zur Kommunikation mit der Kamera kein Registrierungsvorgang erforderlich ist. Sobald die Kamera mit der App gekoppelt ist, besteht lokaler und Online-Zugriff. Dies vermeidet die Notwendigkeit, persönliche Daten bei einem Cloud-Dienst des Herstellers zu hinterlegen.
Allerdings ist die Datenschutzerklärung der App sehr generisch gehalten. Sie ersetzt lediglich den Unternehmensnamen durch „wir“, was wenig Aufschluss darüber gibt, wer genau die verantwortliche Stelle ist und wie mit Daten umgegangen wird. Dieses Vorgehen wurde bereits bei anderen Tests, beispielsweise im Panasonic Smart Home Test, kritisiert.
Die Nutzung einiger Drittanbieter-Dienste durch App und Kamera (wie Amazon EC2 oder Tencent Bugly) wird zwar erwähnt, jedoch wird auf Umfang und Zweck der Nutzung nicht genauer eingegangen. Für Nutzer ist somit unklar, welche Daten an diese Dienste übermittelt werden und warum.
Die App benötigt oder fordert zudem verschiedene Berechtigungen auf dem Smartphone, deren genauer Zweck teilweise unklar ist:
- Kamera (vermutlich für die Speicherung von Screenshots)
- Kontakte (Zweck unklar)
- Mikrofon (vermutlich für die Push-to-Talk-Funktion bei manchen Modellen)
- Telefon (Zweck unklar)
- Speicher (vermutlich für die Speicherung von Screenshots)
- Viele weitere (teilweise Zweck unklar)
Das Anfordern von Berechtigungen, deren Zweck für den Nutzer nicht transparent ist, sowie eine sehr allgemeine Datenschutzerklärung lassen Bedenken hinsichtlich des Schutzes der Privatsphäre aufkommen.
Zusammenfassung der Sicherheitsprobleme
Zusammenfassend lassen sich die wichtigsten Sicherheitsprobleme der 7links IPC-720.HD Kamera wie folgt auflisten:
- Unverschlüsselte Authentifizierung und Kommunikation (lokal und online).
- Unverschlüsselte Prüfung und Download von Firmware-Updates.
- Speicherung von Zugangsdaten im Klartext in der App (Risiko bei kompromittiertem Smartphone).
- Potenzielle Schwachstellen bei der Verwendung von impliziten Intents in der App.
- Generische Datenschutzerklärung und unklare Nutzung von Drittanbieter-Diensten.
- Automatische und nicht deaktivierbare Internetverbindung.
Diese Mängel sind insbesondere im Kontext des Jahres 2017, in dem IoT-Geräte vermehrt Ziel von Malware wie Mirai oder BrickerBot wurden, als kritisch einzustufen. Verschlüsselte Kommunikation und sichere Update-Mechanismen sollten bei vernetzten Geräten heutzutage Standard sein.
Vergleich: Erwartete vs. Gefundene Sicherheitsmerkmale
Um die Befunde besser einzuordnen, lohnt sich ein kurzer Vergleich dessen, was man von einem vernetzten Gerät im Jahr 2017 erwarten durfte, mit dem, was beim Test der 7links IPC-720.HD gefunden wurde:
| Merkmal | Erwartung (Standard 2017) | Befund bei 7links IPC-720.HD | Bewertung |
|---|---|---|---|
| Authentifizierung | Verschlüsselt (z.B. über TLS) | Unverschlüsselt (Base64) | Mangelhaft |
| Online-Kommunikation | Vollständig verschlüsselt (HTTPS/TLS) | Weitgehend unverschlüsselt | Mangelhaft |
| Lokale Kommunikation | Verschlüsselt (optional/Standard) | Unverschlüsselt | Mangelhaft |
| Firmware-Updates (Check) | Verschlüsselt (HTTPS) | Unverschlüsselt (HTTP) | Mangelhaft |
| Firmware-Updates (Download) | Verschlüsselt (HTTPS) mit Signaturprüfung | Unverschlüsselt (HTTP) | Mangelhaft |
| App: Zugangsdaten-Speicher | Sicher verschlüsselt | Klartext (im privaten Speicher*) | Risikoreich* |
| App: Intent-Nutzung | Explizit wo sicherheitsrelevant | Implizit (mit Risiken) | Kritisch |
| Datenschutzerklärung | Detailliert & Transparent | Generisch | Mangelhaft |
*Die Speicherung im privaten App-Speicher bietet einen gewissen Schutz, ist aber bei einem gerooteten oder mit Malware infizierten Smartphone unsicher.
Fazit und Empfehlung: Wie sicher ist die Kamera wirklich?
Angesichts der im Schnelltest aufgedeckten Sicherheitsmängel – allen voran die weitgehend unverschlüsselte Kommunikation und die unsicheren Firmware-Updates sowie die Klartext-Speicherung von Passwörtern in der App – fällt das Urteil deutlich aus. Die vom chinesischen Hersteller Tenvis produzierte und über Pearl vertriebene IP-Kamera IPC-720.HD erhielt im Ergebnis unseres Schnelltests keinen der drei möglichen Sterne. Dies signalisiert, dass die Sicherheit des Geräts als unzureichend eingestuft wird.
Eine allgemeine Empfehlung für den Einsatz dieser Kamera kann basierend auf diesen Erkenntnissen nicht gegeben werden, insbesondere nicht für sicherheitskritische Anwendungen oder wenn das Gerät aus dem Internet erreichbar sein soll. Die Risiken durch mögliche Angriffe auf die ungesicherten Kommunikationswege sind zu hoch.
Sollten Sie Besitzer dieser Kamera sein oder beabsichtigen, sie einzusetzen, lautet die dringende Empfehlung, das Gerät *ohne Internetverbindung* zu nutzen. Dies kann beispielsweise durch die Deaktivierung des Internetzugangs für die Kamera über die Einstellungen Ihres Routers erfolgen oder indem Sie das Standard-Gateway in den Netzwerkeinstellungen der Kamera entfernen. Eine Ausnahme von dieser Regel sollte nur gemacht werden, um manuell nach Firmware-Updates zu suchen – obwohl auch dieser Prozess unsicher ist, könnten Updates theoretisch wichtige, wenn auch nur kleine, Verbesserungen enthalten. Ein dauerhafter Internetzugang sollte jedoch unbedingt vermieden werden.
Häufig gestellte Fragen (FAQ)
Wer ist 7links?
7links ist eine Eigenmarke des deutschen Versandhändlers Pearl, unter der dieser verschiedene Elektronikprodukte, oft aus asiatischer Produktion, vertreibt.
Wer stellt die 7links IPC-720.HD her?
Die Kamera wird vom chinesischen Hersteller Tenvis produziert. Pearl vertreibt sie dann unter der Marke 7links.
Muss ich bei der Einrichtung ein neues Passwort setzen?
Ja, die Ersteinrichtung erfordert das Ändern des Standardpassworts "admin" auf ein komplexeres Passwort. Allerdings wird dabei automatisch der Internetzugang aktiviert, der sich später nicht mehr deaktivieren lässt.
Ist die Kommunikation mit der Kamera sicher?
Basierend auf dem Testbericht ist die Kommunikation, sowohl lokal als auch online, weitgehend unverschlüsselt. Auch die Authentifizierung erfolgt auf unsichere Weise. Dies stellt ein erhebliches Sicherheitsrisiko dar.
Werden Firmware-Updates sicher übertragen?
Nein, sowohl die Prüfung auf neue Updates als auch der Download selbst erfolgen über unverschlüsseltes HTTP. Dies birgt das Risiko von Man-in-the-Middle-Angriffen.
Ist die iMega Cam App sicher?
Die App speichert Zugangsdaten im Klartext auf dem Smartphone. Zwar im privaten Speicher, was einen gewissen Schutz bietet, aber bei einem kompromittierten Gerät (Root, Malware) sind die Daten lesbar. Zudem wurden Schwachstellen bei der Verwendung von impliziten Intents gefunden, die von Malware ausgenutzt werden könnten.
Was sagt der Testbericht zum Datenschutz?
Die Datenschutzerklärung ist sehr allgemein gehalten und gibt wenig Aufschluss über die Nutzung von Drittanbieter-Diensten. Der Zweck einiger angeforderter App-Berechtigungen ist ebenfalls unklar. Es gibt Bedenken hinsichtlich des Datenschutzes.
Wird die 7links IPC-720.HD empfohlen?
Aufgrund der gravierenden Sicherheitsmängel (unverschlüsselte Kommunikation, unsichere Updates, Klartext-Passwortspeicherung) erhielt die Kamera im Schnelltest 0 von 3 möglichen Sternen. Eine allgemeine Empfehlung kann nicht gegeben werden.
Wie kann ich die Kamera sicherer nutzen?
Der Test empfiehlt dringend, die Kamera ohne Internetverbindung zu betreiben. Sie können den Internetzugang über Ihren Router blockieren oder das Standard-Gateway in den Kameraeinstellungen entfernen. Eine Internetverbindung sollte nur temporär für manuelle Firmware-Prüfungen hergestellt werden, obwohl auch diese unsicher sind.
Insgesamt zeigt der Test der 7links IPC-720.HD, dass bei günstigen IP-Kameras Kompromisse bei der Sicherheit und beim Datenschutz eingegangen werden können, die für den Nutzer erhebliche Risiken bergen. Es ist daher entscheidend, sich vor dem Kauf und Einsatz solcher Geräte gründlich über deren Sicherheitsmerkmale zu informieren.
Hat dich der Artikel 7links IPC-720.HD: Sicherheit im Schnelltest interessiert? Schau auch in die Kategorie Ogólny rein – dort findest du mehr ähnliche Inhalte!