Unerwünschte Einblicke: Fataler Fehler bei Netatmo-Sicherheitskameras
Ein Leser hat uns eine Smart-Home-Kamera geschickt, die es so nicht geben darf: Sie erlaubt nämlich Einblicke in den Haushalt einer fremden Familie.
- Ronald Eikenberg
Smart-Home-Kameras mit WLAN-Verbindung zum Heimnetz laufen in vielen Haushalten als Schutz gegen Einbrecher, zur Überwachung von Kleinkindern, Haustieren und für vieles mehr. Sie sind längst keine Besonderheit mehr. Dennoch erlebten wir eine große Überraschung, als wir ein Exemplar der smarten Innenkamera von Netatmo untersuchten, das uns ein Leser zugesandt hatte.
Es war keine positive Überraschung: Als wir die Kamera, die auch unter der Bezeichnung Netatmo Welcome bekannt ist, eingerichtet hatten, erschienen in der zugehörigen App die Kameraaufzeichnungen einer fremden Familie, die offenbar nichts davon ahnte. Eine Datenschutzkatastrophe.
Die Geschichte hat ihren Ursprung in der Oberpfalz, wo unser Leser Franz R. eine seiner Netatmo-Kameras nach einer Funktionsstörung neu einrichten wollte. Er folgte den Anweisungen des Herstellers und stellte die Kamera auf den Kopf, um sie in den Einrichtungsmodus zu versetzen. Anschließend konfigurierte er sie mit der Netatmo-App "Home + Security", um die WLAN-Verbindung einzurichten und sie einem virtuellen Haushalt zuzuweisen. Da sich die Kamera nicht zu seinem bestehenden Netatmo-Haushalt hinzufügen ließ, legte er kurzerhand ein "Testhaus" an und fügte sie dort hinzu. Dieses Mal klappte die Einrichtung anscheinend.
Die Kamera war wieder online und zeigte Bilder aus der Küche unseres Lesers an, in der er sie aufgestellt hatte. Doch nicht nur das: Zwischen die Aufnahmen mischten sich Aufzeichnungen aus einem Flur, den er nie zuvor gesehen hatte. Der Flur wurde regelmäßig von zwei Erwachsenen und Kindern frequentiert, die unser Leser ebenfalls nicht kannte. Die Netatmo-App schlug fortan bei jeder Bewegung Alarm und lieferte immer weitere Aufnahmen einer fremden Familie, die offenbar ihrem alltäglichen Leben nachging und nicht ahnte, dass sie beobachtet werden konnte: eine empfindliche Verletzung der Privatsphäre. Außer HD-Standbildern waren Videoclips samt deutschsprachiger Tonaufzeichnungen über die App und die Netatmo-Website abrufbar. Auch die Gesichtserkennung der Kamera war aktiv. Diese Funktion meldete, wenn eine neue Person erstmals die Bildfläche betreten hat.
Es ist nicht mein Haus!
Unser Leser erkannte den Ernst der Lage sofort und alarmierte am 4. Oktober 2023 den Netatmo-Support: "Benötige dringend Hilfe bzgl. dieser Kamera, ein Kontakt über Telefon wäre sinnvoll, da es sich um ein Datenschutzproblem handelt! Ich empfange Bilder aus einem völlig anderen Raum, es ist nicht mein Haus!" Da er befürchtete, dass es sich um ein größeres Problem handeln könnte, das viele weitere Kunden betrifft, und weil Netatmo sich am Folgetag noch nicht zurückgemeldet hatte, wandte er sich zudem an die c’t-Redaktion.
Er schilderte uns den Vorfall ausführlich und wir versuchten, dem Problem per Ferndiagnose auf den Grund zu gehen. Doch alle Versuche, die Aufzeichnungen der fremden Kamera loszuwerden, liefen ins Leere. Selbst nach dem Zurücksetzen der Kamera auf Werkeinstellungen und einer Neueinrichtung tauchten wieder neue Aufnahmen der fremden Wohnung in der App auf.
Schließlich ließen wir uns die Kamera in die Redaktion schicken, um sie eigenhändig zu untersuchen. Wir setzten sie abermals auf Werkeinstellungen zurück und verknüpften sie mit einem frischen Netatmo-Konto. Jetzt tauchten die fremden Aufnahmen auch in dem neuen Konto auf. Offenbar brachte der Hersteller unsere Kamera und die fremde durcheinander und vermischte die Aufzeichnungen miteinander.
Wir rechneten damit, dass sich das Problem in kürzester Zeit von selbst erledigen würde, denn unser Leser hatte Netatmo sowohl seinen Account als auch die Seriennummer seiner Kamera mitgeteilt. Im einfachsten Fall würde der Hersteller die Seriennummer der Kamera sperren, um die fremde Familie zu schützen. Im besten Fall würde er die Familie ausfindig machen und über den Datenschutzvorfall aufklären.
Offensichtlich sieht sich der Hersteller Netatmo, der für die Kameranutzung auch Cloud-Dienste erbringt, laut seinen Datenschutzhinweisen als Auftragsverarbeiter – womit er sich beispielsweise gegenüber Betroffenen schadensersatzpflichtig machen könnte. Wäre Netatmo rechtlich gar als Verantwortlicher einzuordnen, wären nach der Datenschutzgrundverordnung (DSGVO) Meldepflichten gegenüber der Behörde und voraussichtlich auch gegenüber der betroffenen Familie zu erfüllen.
Netatmo handelt zu langsam
Einkaufsgutschein
Herr R. bekam von Netatmo einen Gutscheincode für den Onlineshop, mit dem er sich eine neue Kamera bestellen konnte. Im Gegenzug wollte der Hersteller die auffällige Kamera zurück. Besonders eilig hatte es das Unternehmen aber nicht: Auf dem DHL-Retourenlabel, das unser Leser von Netatmo erhalten hat, steht: "Spätestens versenden am 08.12.2023". Herr R. hätte also insgesamt zwei Monate Einblicke in einen fremden Haushalt erhalten können, wenn er gewollt hätte.
Netatmo schickte die Ersatzkamera raus, doch danach passierte lange nichts. Wir machten daher am 23. November erneut die Probe aufs Exempel und holten die alte Kamera unseres Lesers aus dem Schrank, um zu überprüfen, ob der Hersteller gehandelt hatte. Nachdem wir sie wieder zurückgesetzt und mit unserem Testkonto verknüpft hatten, lieferte die Netatmo-Cloud weiterhin Aufnahmen aus dem fremden Haus; mehr als sieben Wochen, nachdem unser Leser Netatmo auf den fatalen Fehler aufmerksam gemacht hatte. Die Familie war offenbar nach wie vor ahnungslos.
Unbeantwortete Fragen
Daraufhin konfrontierten wir Netatmo mit der Situation. Wir fragten das Unternehmen unter anderem, ob es den Fehler erkannt und behoben hat, ob es ausschließen kann, dass weitere Kunden und Kameras davon betroffen sind und natürlich auch, ob und wann es die Betroffenen über den Vorfall informiert hat.
Netatmo ließ unsere konkreten Fragen unbeantwortet und erklärte lediglich: "Netatmo bestätigt, dass ein Sicherheitsvorfall gemeldet wurde, der zwei Innenkameras betrifft. Netatmo nimmt diese Situation sehr ernst und hat sofort die erforderlichen Maßnahmen eingeleitet, um diesen Vorfall so schnell wie möglich zu beenden. Netatmo arbeitet in voller Übereinstimmung mit unseren ISO 27001-Verpflichtungen und betont, dass wir der Privatsphäre unserer Kunden die größte Bedeutung beimessen." Darüber hinaus haben wir uns bei der für Netatmo zuständigen französischen Datenschutzbehörde CNIL erkundigt, ob der Fall dort gemeldet wurde. Die CNIL reagierte bis Redaktionsschluss jedoch nicht auf unsere Anfrage.
Nach unserer Presseanfrage nahm die Sache beim Hersteller offenbar wieder Fahrt auf. Vier Tage später meldete sich Netatmo bei unserem Leser, nach einer mehrwöchigen Sendepause. Der Hersteller bat Herrn R., die alte Kamera so schnell wie möglich zurückzusenden und Bescheid zu geben, wenn das erledigt ist. Die Kamera befand sich zu diesem Zeitpunkt in der Redaktion. Wir schickten sie zunächst nicht zurück, in der Hoffnung, dass Netatmo das Problem doch noch in den Griff bekäme. Ohne die Kamera hätten wir dies nicht mehr unabhängig verifizieren können.
Fazit
Geschlossene Smart-Home-Systeme sind Vertrauenssache: Da man keinen Einblick in die Firmware der Geräte und die Sicherheit der Cloud hat, muss man darauf vertrauen, dass der Hersteller alles richtig macht. Dies gilt im Besonderen bei vernetzten Kameras, denn diese werden oft in sensiblen Bereichen aufgestellt, beispielsweise in den privaten Wohnräumen.
Dass dabei einiges schiefgehen kann, zeigt unser aktueller Fall. Netatmo hat unserem Leser Kameraaufzeichnungen einer fremden Familie geliefert, die offenbar nichts von ihrem Schicksal ahnte. Das darf nicht passieren. Wenn doch, sollte der Zugriff auf die Aufnahmen vom Hersteller sofort verhindert werden, sobald er davon Kenntnis hat. Dies ist im aktuellen Fall offensichtlich nicht geschehen: Auch Wochen, nachdem unser Leser den Hersteller über das Problem informiert hatte, lieferte die Netatmo-Cloud Einblicke in das fremde Haus.
Netatmo teilte unserem Leser am 14. Dezember mit, dass der Fehler auftrat, weil den beiden Kameras – der Kamera unseres Lesers und dem Exemplar der fremden Familie – versehentlich dieselbe Identifikationsnummer zugewiesen wurde. Der Zugriff funktionierte in beide Richtungen, der andere Kunde hatte also auch Zugriff auf die Kameraaufzeichnungen unseres Lesers. Die Zugriffsmöglichkeit, die unser Leser dem Hersteller Anfang Oktober gemeldet hatte, habe von Juni bis November 2023 bestanden. Laut den Angaben, die Netatmo unserem Leser gegenüber gemacht hat, wurde der Vorfall inzwischen als Datenschutzvorfall eingestuft und der zuständigen Aufsichtsbehörde gemeldet.
(rei)
