Die Überwachungskamera mit dem freundlichen Namen „Welcome “ beäugt ihre Umgebung mit einer maximalen Auflösung von 1920 x 1080 Pixeln und gibt das Gesehene entweder per Stream auf der App, der SD-Karte, in dem Cloud-Speicher der Dropbox oder auf einem FTP-Server wieder. Das Besondere an dieser Kamera ist die eingebaute Gesichtserkennung, die Nutzer warnt, wenn bisher unbekannte Personen ins Blickfeld geraten.

Gut verschlüsselter Fernzugriff

Der Fernzugriff sieht gut aus. Wie wir mit den Tools Wireshark und mitmproxy überprüfen konnten, kommuniziert sowohl die App, als auch die Kamera verschlüsselt über TLS 1.2 mit dem Server, und diese Verbindungen sind auch gegen einfache Man-in-the-Middle-Angriffe abgesichert. Die folgende Abbildung zeigt einen Ausschnitt aus Wireshark. Dort ist zu erkennen, dass über eine abgesicherte Verbindung mit ausreichend sicherer Verschlüsselung kommuniziert wird (unten) und ein einfacher Man-in-the-Middle-Angriff mit der Meldung über ein ungültiges Zertifikat von der App abgewehrt wird.

Beliebige Statusinformationen vom System konnten im Schnelltest nicht abgegriffen werden, und auf dem Smartphone konnten auch keine ungesicherten Aufzeichnungen oder Bilder von der Android-App ausgemacht werden. Durch die Installation eines eigenen Root-Zertifikats auf dem Test-Smartphone konnten wir einen erfolgreichen Man-in-the-Middle-Angriff bspw. auf den Login durchführen. Die folgende Abbildung zeigt das Ergebnis in mitmproxy.

In der Praxis stellt dies jedoch keine wirkliche Bedrohung dar, da ein Angreifer eine solche Aktion nicht ohne weiteres durchführen kann. Dies klingt alles gut und so sollte es auch sein. Doch leider gibt es ein Aber, genau genommen sogar mehrere.

Angriffe im lokalen Netz

Die lokale Kommunikation ist unverschlüsselt, so ist es für Angreifer im lokalen Netzwerk potentiell möglich, die Filmaufnahmen im TS-Format abzugreifen. Offensichtlich wird diese Gefahr vom Hersteller als gering eingeschätzt. Eine solche Einschätzung ist etwas blauäugig, denn sollte ein Gerät im Netzwerk mit Schadsoftware infiziert oder anderweitig kompromittiert werden, etwa PC, Router, oder andere IoT-Geräte, ist auch die Kamera in der Hand der Angreifer.

Doch es gibt auch eine Möglichkeit, die Videodaten bei der Übertragung ins Internet abzugreifen. Mit dem FTP-Backup bietet Netatmo nämlich optional die Möglichkeit, Aufnahmen per FTP auf den Online-Speicherplatz hochzuladen. Die entsprechende FTP-Verbindung ist nicht verschlüsselt, und so kann jede Zwischenstelle, welche die Daten auf dem Weg von der Kamera bis zum FTP-Server passieren, Videos, aber auch die FTP-Zugangsdaten mitlesen. Es sei noch einmal erwähnt, dass dies optional verfügbar und in den Standardeinstellungen deaktiviert ist. Allerdings könnten sich Nutzer aufgrund des Beschreibungstextes in der App in falscher Sicherheit wiegen, da hier noch die Rede davon ist, dass die Videodaten auch auf diesem Weg verschlüsselt werden.

In unserem Test war es auf diese Weise möglich, die Videos abzugreifen und einfach mit dem VLC-Player abzuspielen, was unter Verwendung einer Verschlüsselung nicht möglich gewesen wäre.

Ein weiterer Kritikpunkt betrifft das Netatmo-Programm zur Produktoptimierung. An diesem nehmen Nutzer standardmäßig teil und erlauben Netatmo damit, die Bilder der Kamera im Einsatz zu verwenden. Offiziell werden diese Bilder vom Hersteller verwendet um den Algorithmus zur Gesichtserkennung zu verbessern, genaue Rahmenbedingungen werden aber nicht genannt. Zudem führt die Struktur der Website dazu, dass Nutzer entsprechende Hinweise auf der Website sehr leicht übersehen. Fraglich ist desweiteren, wie es sich mit den Rechten anderer Personen, etwa Gästen, verhält. Schließlich werden diese Personen auch biometrisch von Netatmo erfasst.

Fazit

Zusammenfassend kann gesagt werden, dass Netatmo ein prinzipiell gutes Schutzkonzept umsetzt, zumindest in Hinblick auf externe Zugriffe. Nutzer sollten allerdings auf das FTP-Backup verzichten und die Schwächen im lokalen Zugriff beachten. Zudem sollten sie sich überlegen, ob sie wirklich am Programm zur Verbesserung der Gesichtserkennung teilnehmen möchten.