MSI Glow Your PC

ABUS startet Austauschprogramm für unsichere Kameraserie

Meldung von doelf, Freitag der 10.05.2019, 13:46:56 Uhr

Die "August Bremicker und Söhne KG" aus Wetter an der Ruhr ist besser unter ihrem Kürzel "ABUS" bekannt und steht für solide Sicherheitstechnik aus Deutschland. Doch während Schloss und Riegel nach wie vor sicher sind, bereiten die zugekauften elektronischen Komponenten mehr und mehr Probleme. Zahlreiche Netzwerkkameras tauscht das Unternehmen nun auf Kulanz aus, da sich ihre Software nicht absichern lässt.

Gefahr erkannt, Abhilfe nicht möglich
Während die Sicherheitslücken der Funkalarmanlage Secvest noch auf Abhilfe warten, hat ABUS bei zahlreichen Netzwerkkameras bereits das Handtuch geworfen: Mitglieder des Chaos Computer Clubs (CCC) hatten demonstriert, wie leicht Angreifer diese IP-basierten Kameras von außen übernehmen und sich intime Einblicke verschaffen können. ABUS bemühte sich zwar umgehend um Abhilfe, doch es fehlte die dazu erforderliche Entwicklungsumgebung. Auch der taiwanische Hersteller der Kameras, Grain Media, konnte damit nicht dienen, zumal diese Firma inzwischen den Besitzer gewechselt hatte. Wie sinnvoll die Bereitstellung von Updates, welche ein manuelles Aufspielen erfordern, gewesen wäre, steht auf einem anderen Blatt.

Elektronikmüll mit fünf Sicherheitslücken
Da niemand Software-Updates für die zwischen 2010 und 2014 verkauften Netzwerkkameras erstellen kann, dürfen diese nun als Elektroschrott betrachtet werden, denn die vom CCC gefundenen Schwachstellen haben es in sich. Insbesondere die nicht änderbare Benutzerkennung für den Administrator (CVE-2018-17558), dessen Konto auf der Kamera beliebige Befehle ausführen kann, stellt eine hochkritische Bedrohung dar. Als kritisch wurden drei weitere Fehler kategorisiert: Es handelt sich um einen Lese- und Schreibzugriff samt Befehlsausführung als Root (CVE-2018-16739), eine direkte Ausführung von Nutzereingaben (CVE-2018-17879) und eine weitere Code-Ausführung mittels Pufferüberlauf (CVE-2018-17878). Dass zudem ein unautorisierter Zugriff auf den Video-Stream möglich ist (CVE-2018-17559), wurde nur als "schwerwiegend" bewertet.

Austausch statt Update
Die Kameras, von denen einige gerade einmal fünf Jahre alt sind, fallen nicht mehr unter die Garantie und funktionieren technisch einwandfrei, so dass die Kunden keinen rechtlichen Anspruch auf einen Austausch haben. Da ABUS allerdings einen guten Namen zu verlieren hat, ganz im Gegensatz zu den vielen kleinen China-Klitschen mit westlich klingenden Fantasienamen, die eh nach ein paar Monaten wieder vom Markt verschwinden, hat sich das Unternehmen zu einem Kulanzaustausch entschlossen. Betroffene Kunden erhalten "gleichwertige neue Produkte", dies aber nicht kostenlos, sondern "zu sehr attraktiven Konditionen". Der Austausch muss von einem "Fachpartner" vorgenommen werden. Namen und Adressen liefert ABUS unter der Telefonnummer 08207-95990-333.

Die betroffenen Modelle:

  • Kompaktkameras: TVIP10000, TVIP10001, TVIP10005, TVIP10005A, TVIP10005B, TVIP10050, TVIP10051, TVIP10055A, TVIP10055B, TVIP10500, TVIP10550, TVIP11000, TVIP11050, TVIP11500, TVIP11501, TVIP11502, TVIP11550, TVIP11551, TVIP11552
  • Schwenk-/Neigekameras: TVIP20000, TVIP20050, TVIP20500, TVIP20550, TVIP21000, TVIP21050, TVIP21500, TVIP21501, TVIP21502, TVIP21550, TVIP21551, TVIP21552, TVIP22500
  • Innendome Kamera: TVIP31000, TVIP31001, TVIP31050, TVIP31500, TVIP31501, TVIP31550, TVIP31551, TVIP32500
  • Boxkamera: TVIP51500, TVIP51550
  • Außendomekamera: TVIP71500, TVIP71501, TVIP71550, TVIP71551, TVIP72500

Internetdinge ohne Sicherheitskonzept
Die aus Taiwan zugekauften Kameras, welche ABUS unter seinem eigenen Namen vertrieben hatte, unterstreichen einmal mehr das Grundproblem der IoT-Branche: Das "Internet der Dinge" setzt sich aus Geräten zusammen, die in Fernost auf geringe Herstellungskosten getrimmt und ohne jedes Support-Konzept auf den Markt geworfen werden. Produktpflege ist teuer und wird daher nicht eingepreist, stattdessen spekuliert man auf einen zeitnahen Austausch der Geräte, denn nur mit immer neuen Modellen lässt sich beständig Geld verdienen. Diese Strategie ist leider alles andere als nachhaltig und reißt immer wieder Sicherheitslücken auf, die für den einzelnen existenzbedrohende Ausmaße annehmen können. Doch solange das Gesetz nur den Stromschlag, nicht aber den Verlust von Daten und Privatsphäre als Schaden betrachtet, haben Hersteller und In-Verkehr-Bringer wenig zu befürchten. Dabei ist eine nicht änderbare Benutzerkennung für den Administrator mindestens ebenso verantwortungslos wie ein loses Kabel!

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]