Der Chaos Computer Club hat Schwachstellen in IP-basierten Überwachungskameras gefunden und dem Hersteller gemeldet. Zwar hätten sich die Software-Schwachstellen mit einem Update beseitigen lassen, der Hersteller ist aber nicht mehr in der Lage, ein Update bereitzustellen. Ein Austausch der unsicheren Geräte bleibt als einzige Option: Der Hersteller bietet ein Austauschprogramm an.

Das Melden von gefundenen Schwachstellen in Systemen und Geräten aller Art gehört zu den regelmäßigen stillen Aktivitäten des Chaos Computer Clubs. So war es Routine, Ende 2018 fünf Schwachstellen in Überwachungskameras an einen deutschen Hersteller zu melden:

Hochkritisch: CVE-2018-17558, Fixe Administrator-Benutzerkennung mit Befehlsausführung

CVE-2018-17558, Fixe Administrator-Benutzerkennung mit Befehlsausführung Kritisch: CVE-2018-16739, Lese- und Schreibzugriff und Befehlsausführung als root

CVE-2018-16739, Lese- und Schreibzugriff und Befehlsausführung als root Kritisch: CVE-2018-17879, Direkte Ausführung von Nutzereingaben

CVE-2018-17879, Direkte Ausführung von Nutzereingaben Kritisch: CVE-2018-17878, Code-Ausführung mittels Buffer Overflow

CVE-2018-17878, Code-Ausführung mittels Buffer Overflow Schwerwiegend: CVE-2018-17559, Unautorisierter Zugriff auf Video-Stream

Aufgefallen waren die Schwachstellen den CCC-Datenreisenden Ilias Morad „@A2nkF_“, Alexander „twink0r“ Karl und Martin „maride“ Dessauer. Sie betreffen netzwerkbasierte Überwachungskameras, die laut Herstellerangabe im Zeitraum von 2010 bis 2014 vertrieben wurden. So weit, so gewöhnlich.

Doch in diesem Fall verlief alles ganz anders: Unter Umgehung der üblichen Phasen von Leugnen, Zorn, Verhandeln und Trauer sprang der Hersteller ABUS direkt zur sofortigen Akzeptanz und Anerkennung der Schwachstellen. Doch leider sah man sich inzwischen nicht mehr in der Lage, diese zu beseitigen.

Bei der Herstellung der Geräte kam ein Digital Signal Processor eines Drittanbieters zum Einsatz – es handelte sich also um sogenannte „Whitelabel“-Produkte.

Updates nicht möglich

Zur Erstellung eines funktionierenden Updates wird eine Entwicklungsumgebung des taiwanesischen Produzenten Grain Media benötigt. Diese war beim deutschen Hersteller nicht mehr aufzufinden. Der taiwanesische Produzent hatte inzwischen die Besitzer gewechselt und konnte auch nicht mehr damit dienen. Dass – wie bei vielen IoT-Geräten – kein Prozess für automatische Updates bereitsteht, erschwert darüber hinaus eine effiziente und effektive Beseitigung der Schwachstellen.

Ergebnis: Die teilweise gerade erst fünf Jahre alten Geräte können daher nun leider nicht mehr mit Software-Updates versorgt und somit auch nicht mehr sicher betrieben werden. Der Hersteller ABUS hat sich daher entschieden, betroffenen Kunden ein „kostengünstiges Austauschprogramm“ anzubieten: Die technisch zwar einwandfreien, leider aber mit mehreren kritischen Sicherheitslücken versehenen Geräte können gegen modernere Geräte eingetauscht werden. Für die modernen Geräte stehe auch eine zeitgemäße Update-Infrastruktur bereit, wurde dem CCC versichert.

„Wir freuen uns, dass der Hersteller die Probleme mit seinen Geräten ernstnimmt. Ein Software-Update wäre natürlich eine sehr viel einfachere Lösung gewesen. Nun müssen der Hersteller ABUS und seine Kunden in den sauren Apfel beißen. Viele andere Hersteller hätten aber ihre Kunden ganz im Regen stehen lassen“, sagte Linus Neumann, Sprecher des Chaos Computer Clubs.

Kein Einzelfall

Der CCC nimmt diese Anekdote aus seinem Alltag als Anlass, seinen politischen Forderungen Nachruck zu verleihen:

Hersteller-Haftung für einen fahrlässigen Umgang mit Software-Schwachstellen würde zu gewissenhafter gepflegten Produkten führen. Insbesondere im IoT-Bereich ist „fire and forget“ keine nachhaltige Geschäftsstrategie. Update-Zwang und Mindesthaltbarkeitsdatum: Mit dem Internet verbundene Geräte sollten für einen garantierten Mindestzeitraum mit Sicherheitsupdates versorgt werden. Das ist nicht nur eine Frage der IT-Security, sondern auch eine ökologische Frage. Open-Source-Alternativen: Viele IoT-Geräte könnten technisch problemlos mit moderner quelloffener Firmware sicherer betrieben werden. Das Einspielen solcher Alternativen sollte für Konsumenten zwingend möglich sein; insbesondere wenn der Hersteller das Produkt nicht mehr mit Updates versorgt.

Diese vom CCC seit Jahren gebetsmühlenartig wiederholten Forderungen haben wir unter anderem bereits bei den Konsultationen zur „Technischen Richtlinie Router“ des Bundesamts für Sicherheit in der Informationstechnik angebracht. Leider fanden wir auch dort kein Gehör. Mit dieser kleinen Anekdote hoffen wir, auch andere Hersteller an ihre Verantwortung und an drohende hohe Kosten zu erinnern.

Betroffene Geräte (Herstellerangabe)

Es steht zu befürchten, dass viele Geräte unterschiedlicher Hersteller die betroffene Firmware des Produzenten „Grain Media“ einsetzen.

Folgende Geräte des deutschen Herstellers ABUS sind betroffen. Informationen zum Hersteller-Austauschprogramm gibt es hier.