Smart-Home-Kameras: Ring erneut in der Kritik

Nicht die beste Presse bekommt gerade Ring, ein mittlerweile zu Amazon gehörendes Unternehmen, welches Sicherheitslösungen wie Kameras herstellt. Die kann man draußen sowie drinnen einsetzen. Schlechte Werbung bekam man durch Videos, die im Netz die Runde machten. Ein Angreifer, der Zugriff auf einen Account hatte, sprach mit Kindern und verängstigte diese über die Kameras. Horrorszenario, denn so ist man ja auch in den eigenen vier Wänden beobachtbar.

Laut Ring ist es so, dass man angeblich keinen Einbruch in die Systeme feststellen konnte, aber dies muss auch nicht stattgefunden haben, für einen Zugriff durch Dritte (wie im eben beschriebenen Fall). Viele Anbieter boten (und bieten!) lange Zeit keine Zwei-Faktor-Authentisierung an, und wenn Nutzer vielleicht irgendwo mal das identische Passwort und den Nutzernamen verwendeten, dann könnten Angreifer die Möglichkeiten einfach durchspielen.

Zitat Ring:

Das Vertrauen unserer Kunden ist uns wichtig und wir nehmen die Sicherheit unserer Geräte ernst. Unser Sicherheitsteam hat diese Vorfälle untersucht und wir haben keine Hinweise auf ein unbefugtes Eindringen in unsere Systeme oder eine Gefährdung des Netzwerks von Ring gefunden.

Vor kurzem wurden wir auf Vorfälle aufmerksam, bei denen böswillige Akteure die Zugangsdaten vereinzelter Ring-Nutzer (z.B. Benutzername und Passwort) von separaten, externen, nicht-Ring-Diensten erhalten und dazu verwendet haben, sich auch in deren Ring-Konto anzumelden. Leider ist es Eindringlingen möglich, Zugang zu einer Vielzahl von Konten zu erhalten, wenn derselbe Benutzername und das gleiche Passwort für mehrere Dienste wiederverwendet wird.

Nach Bekanntwerden der Vorfälle haben wir geeignete Maßnahmen ergriffen, um die Eindringlinge unverzüglich von nachweislich betroffenen Ring-Konten auszusperren und haben die entsprechenden Nutzer kontaktiert. Wir empfehlen Ring-Kunden ihre Passwörter zu ändern und die Zwei-Faktor-Authentifizierung zu nutzen.

Noch einmal zum Einbruch in die Systeme, den es ja  nicht gegeben hat, laut Ring:

Buzzfeed hat Zugriff auf knapp 3.700 Datensätze von Kunden bekommen. Datensätze zum Einloggen, Namen der Kameras und Zeitzonen. Mehr muss man eigentlich nicht wissen. Mithilfe der Anmelde-E-Mail und des Passworts könnte ein Eindringling auf die Wohnadresse, Telefonnummer und Zahlungsinformationen eines Ring-Kunden zugreifen, einschließlich der Art der Karte, die er besitzt, sowie auf die letzten vier Ziffern und den Sicherheitscode. Ein Eindringling könnte auch auf Live-Kameramaterial von allen aktiven Ring-Kameras zugreifen, die mit einem Konto verbunden sind, sowie auf eine 30- bis 60-Tage-Videohistorie, je nach dem Cloud-Speicherplan des Benutzers.

Wie erwähnt: Ring bestreitet jegliche Behauptung, dass die Daten als Teil eines Einbruchs in die Systeme von Ring kompromittiert wurden. Der Ring-Sprecher fügte hinzu, dass das Unternehmen die betroffenen Kunden benachrichtigen und sie auffordern wird, ihre Passwörter zurückzusetzen. Ein betroffener Kunde teilte BuzzFeed mit, dass er am 18. Dezember eine Benachrichtigung erhalten habe. Sicherheitsexperten teilten BuzzFeed mit, dass das Format der durchgesickerten Daten – das Benutzername, Passwort, Kameraname und Zeitzone in einem standardisierten Format enthält – darauf schließen lässt, dass sie aus einer Firmendatenbank stammen.

Zitat Ring:

Unser Sicherheitsteam hat diese Vorfälle untersucht und wir haben keine Hinweise auf ein unbefugtes Eindringen in unsere Systeme oder eine Gefährdung des Netzwerks von Ring gefunden. Es gab keinen Einbruch in die Datenbanken von Ring. Die Daten stammen nicht aus einer Firmendatenbank von Ring. Wir benachrichtigen Kunden, die auf der Liste stehen, und setzen ihre Passwörter zurück. Die Kunden müssen ein neues Passwort vergeben. Darüber hinaus empfehlen wir unseren Kunden dringend, zum Schutz ihrer Konten eine Zwei-Faktor-Authentifizierung zu aktivieren.

Der Vorfall stammt aus den USA. Da läuft das ein bisschen anders. Über 700 Polizeidienststellen in den USA haben Verträge mit Ring unterzeichnet. Diese Verträge ermöglichen der Polizei den Zugang zum Strafverfolgungsportal des Unternehmens, das es der Polizei erlaubt, Kameraaufnahmen von Anwohnern anzufordern, ohne einen Haftbefehl zu erhalten.

Zitat Ring:

Ring ist das Vertrauen der Nutzer sehr wichtig und wir fühlen uns dem Schutz ihrer Privatsphäre verpflichtet. Unsere Kunden haben die uneingeschränkte Kontrolle darüber, wer ihre Aufzeichnungen oder Livestreams betrachten kann. Punkt. Wir planen nicht, dies zu ändern. Die Datenhoheit des Nutzers, sein Datenschutz und seine Sicherheit stehen bei all unseren Unternehmensentscheidungen an erster Stelle.

Nutzer haben die uneingeschränkte Kontrolle über das Videomaterial ihrer Ring-Kameras. In der Neighbors-App (Nur in den USA verfügbar) ist lediglich jener Teil öffentlich zugänglich, den diese zuvor bewusst gepostet haben. Die Polizei greift in der App auf dieselbe Oberfläche wie alle anderen Benutzer zu; es werden weder zusätzliche Inhalte noch die genaue Position des Posts oder die Identität des Nutzers preisgegeben. Der Polizei steht lediglich öffentlich zugängliches Videomaterial zur Verfügung, außer ein Nutzer beschließt freiwillig, zusätzliches Material zu teilen.

Ring gibt keine Kundeninformationen auf behördliche Anfragen frei, ohne dass zuvor eine gültige und gerichtlich bindende Anforderung an uns ergeht. Ring lehnt selbstverständlich alle darüber hinaus gehenden oder anderweitig unangemessenen Anfragen ab.

Deshalb vielleicht mal zu den Feiertagen, falls man etwas Zeit hat, schauen, was man für sich verbessern kann. Ring bietet mittlerweile die Zwei-Faktor-Authentisierung an. Aktiviert sie, falls nicht geschehen. Ändert euer Passwort. Vielleicht auch, wenn ihr Systeme anderer Hersteller einsetzt. Ring muss dennoch kritisiert werden, so wie jeder Hersteller. Warum gibt es keine Info auf mein Handy, wenn ein anderes Gerät auf mein Konto zugreift? Das schaffen mittlerweile so viele Dienste.

Geräte dieser Art werden wohl dieses Jahr zu Tausenden unter deutschen Weihnachtsbäumen liegen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

14 Kommentare

  1. Peter Brülls says:

    Wird echt Zeit für einen Krieg oder eine Wirtschaftskrise. Offensichtlich habe die Leute nicht genug echte Sorgen, wenn sie sich unsicheren Elektroschrott kaufen um sich sicherer zu fühlen.

    • Das ist hoffentlich nicht dein Ernst.

      • Leider schaffen es nur echte Katastrophen für eine kurze Weile das DUMMDenken der Menschen zu ändern.
        Wir hab, tun und werden NIE aus der Geschichte lernen, das beweist diese seit Jahrtausende.
        Auf diesem Planeten ist der Mensch das Problem.

      • Peter Brülls says:

        Nein, nicht wirklich, da ich Kinder habe. Aber dieser Krams ist – vom Hobbyaspekt mal abgesehen – schon irgendwie ein Zeichen dafür, dass man keine echten Probleme hat. Neurotisches Sicherheitsbedürfnis ohne echten Nutzen, aber dafür werden die wenigen komplexen, aber abstrakteren Probleme ignoriert.

        Symptomatisch für ein gelangweiltes Immunsystem, wie Antivaxxer und Breiteres.

    • So früh am morgen schon einen über den Durst getrunken.

    • Krieg und Armut für die, denen die Wertschätzung für Frieden und Wohlstand völlig abhanden gekommen ist. Mehr, als es dir wünschen kann ich leider nicht.

  2. Wer sich nach einem Krieg oder Wirtschaftskrise sehnt hat hier auf so einer Plattform in meinen Augen nichts verloren!

  3. Ich glaube, hier liegt – mal wieder – eher keine Unsicherheit beim Anbieter vor, sondern fahrlässiger Umgang mit Logindaten. Keine 2FA, kein sicheres Passwort, da hat man doch leichtes Spiel…

    • Peter Brülls says:

      Natürlich hat man die. Weil man tendenziell verängstigen und überforderten Leuten Elektromüll andreht.
      Erster Hit bei Amazon „HD Sicherheitskamera mit Flutlicht, Gegensprechfunktion und Sirene, weiß“

      Meine Fr…. sowas braucht das Hochsicherheitsgefängnis an dem ich jeden Tag vorbeiradle und vielleicht einer unter 10.000 Deutschen, aber doch kein normaler Bürger.

      Egal was ihr euch einredet.

  4. Ich hatte diese Woche die 2FA aktiviert. Die Folge war, das auf keinem Handy bei uns eine Benachrichtigung beim Türklingeln ankam. Weder über die normale Ring App noch über Rapid Ring. Mehrfach ausprobiert. Ergo hab ich 2FA wieder deaktiviert. Läuft echt super.

  5. Die Medallie hat bekanntlich immer 2 Seiten. Sollten die Psychos, Diebe & Co weiter sich mit Technik Know How eindecken wird es noch düsterer. Aktuell werden wir meist nur vom Staat und Konzerne übermäßig beobachtet, diese haben aber ihre eigenen Interessen und nicht einzelne an den Pranger zu stellen oder gar zu bestehlen. Ganz anders die erst oben genannten.

  6. Bin neu bei Ring und hab gleich 2FA aktiviert gehabt. Allerdings würde ich auch auf das Aufzeichnen in der Cloud verzichten, sehe da keinen Nutzen drin, jedenfalls nicht bei einer Mietwohnung-Videoklingel. Zur Überwachung darf das eh nicht eingesetzt werden, außer alle anderen Mieter stimmen zu.

    Wichtig ist aber die möglichst schnelle Annahme von klingelnden Besuchern. Und die passende Live.View.

    So wie die Benachrichtigung bei Bewegung, ohne Aufzeichnung ist die Überwachung dadurch so Manuell, das es wohl auch bei aktiver Bewegungsmeldung rechtlich weniger Problematisch ist, da nichts aufgezeichnet wird (ohne Cloud Abo bei Ring) und es dem Blick durch den Spion entspricht.

  7. Alexa, Ring my Bells.
    Ne Papptür als Eingang aber eine Videokamera mit Klausanbindung als Sicherheitstheater.
    Dazu noch überall grumpycat110 als Passwort, schöne neue Welt.

    Tja was wäre die Welt ohne Schadenfreude.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.