Unerwünschte Einblicke: Fataler Fehler bei Netatmo-Sicherheitskameras

Ein Leser hat uns eine Smart-Home-Kamera geschickt, die es so nicht geben darf: Sie erlaubt nämlich Einblicke in den Haushalt einer fremden Familie.

In Pocket speichern vorlesen Druckansicht 331 Kommentare lesen
Update
Lesezeit: 8 Min.
Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Smart-Home-Kameras mit WLAN-Verbindung zum Heimnetz laufen in vielen Haushalten als Schutz gegen Einbrecher, zur Überwachung von Kleinkindern, Haustieren und für vieles mehr. Sie sind längst keine Besonderheit mehr. Dennoch erlebten wir eine große Überraschung, als wir ein Exemplar der smarten Innenkamera von Netatmo untersuchten, das uns ein Leser zugesandt hatte.

Es war keine positive Überraschung: Als wir die Kamera, die auch unter der Bezeichnung Netatmo Welcome bekannt ist, eingerichtet hatten, erschienen in der zugehörigen App die Kameraaufzeichnungen einer fremden Familie, die offenbar nichts davon ahnte. Eine Datenschutzkatastrophe.

Mehr zu Smart Home und Nachrüstung

Die Geschichte hat ihren Ursprung in der Oberpfalz, wo unser Leser Franz R. eine seiner Netatmo-Kameras nach einer Funktionsstörung neu einrichten wollte. Er folgte den Anweisungen des Herstellers und stellte die Kamera auf den Kopf, um sie in den Einrichtungsmodus zu versetzen. Anschließend konfigurierte er sie mit der Netatmo-App "Home + Security", um die WLAN-Verbindung einzurichten und sie einem virtuellen Haushalt zuzuweisen. Da sich die Kamera nicht zu seinem bestehenden Netatmo-Haushalt hinzufügen ließ, legte er kurzerhand ein "Testhaus" an und fügte sie dort hinzu. Dieses Mal klappte die Einrichtung anscheinend.

Fataler Fehler: Richtete man die Netatmo-App mit der Kamera unseres Lesers ein, hatte man Zugriff auf die Aufzeichnungen einer fremden Familie.

Die Kamera war wieder online und zeigte Bilder aus der Küche unseres Lesers an, in der er sie aufgestellt hatte. Doch nicht nur das: Zwischen die Aufnahmen mischten sich Aufzeichnungen aus einem Flur, den er nie zuvor gesehen hatte. Der Flur wurde regelmäßig von zwei Erwachsenen und Kindern frequentiert, die unser Leser ebenfalls nicht kannte. Die Netatmo-App schlug fortan bei jeder Bewegung Alarm und lieferte immer weitere Aufnahmen einer fremden Familie, die offenbar ihrem alltäglichen Leben nachging und nicht ahnte, dass sie beobachtet werden konnte: eine empfindliche Verletzung der Privatsphäre. Außer HD-Standbildern waren Videoclips samt deutschsprachiger Tonaufzeichnungen über die App und die Netatmo-Website abrufbar. Auch die Gesichtserkennung der Kamera war aktiv. Diese Funktion meldete, wenn eine neue Person erstmals die Bildfläche betreten hat.

Unser Leser erkannte den Ernst der Lage sofort und alarmierte am 4. Oktober 2023 den Netatmo-Support: "Benötige dringend Hilfe bzgl. dieser Kamera, ein Kontakt über Telefon wäre sinnvoll, da es sich um ein Datenschutzproblem handelt! Ich empfange Bilder aus einem völlig anderen Raum, es ist nicht mein Haus!" Da er befürchtete, dass es sich um ein größeres Problem handeln könnte, das viele weitere Kunden betrifft, und weil Netatmo sich am Folgetag noch nicht zurückgemeldet hatte, wandte er sich zudem an die c’t-Redaktion.

Er schilderte uns den Vorfall ausführlich und wir versuchten, dem Problem per Ferndiagnose auf den Grund zu gehen. Doch alle Versuche, die Aufzeichnungen der fremden Kamera loszuwerden, liefen ins Leere. Selbst nach dem Zurücksetzen der Kamera auf Werkeinstellungen und einer Neueinrichtung tauchten wieder neue Aufnahmen der fremden Wohnung in der App auf.

Schließlich ließen wir uns die Kamera in die Redaktion schicken, um sie eigenhändig zu untersuchen. Wir setzten sie abermals auf Werkeinstellungen zurück und verknüpften sie mit einem frischen Netatmo-Konto. Jetzt tauchten die fremden Aufnahmen auch in dem neuen Konto auf. Offenbar brachte der Hersteller unsere Kamera und die fremde durcheinander und vermischte die Aufzeichnungen miteinander.

Wir rechneten damit, dass sich das Problem in kürzester Zeit von selbst erledigen würde, denn unser Leser hatte Netatmo sowohl seinen Account als auch die Seriennummer seiner Kamera mitgeteilt. Im einfachsten Fall würde der Hersteller die Seriennummer der Kamera sperren, um die fremde Familie zu schützen. Im besten Fall würde er die Familie ausfindig machen und über den Datenschutzvorfall aufklären.

Offensichtlich sieht sich der Hersteller Netatmo, der für die Kameranutzung auch Cloud-Dienste erbringt, laut seinen Datenschutzhinweisen als Auftragsverarbeiter – womit er sich beispielsweise gegenüber Betroffenen schadensersatzpflichtig machen könnte. Wäre Netatmo rechtlich gar als Verantwortlicher einzuordnen, wären nach der Datenschutzgrundverordnung (DSGVO) Meldepflichten gegenüber der Behörde und voraussichtlich auch gegenüber der betroffenen Familie zu erfüllen.