Eufy-Kameras in Kritik

Andreas Wiebe -

Eufy-Kameras in Kritik

Überwachungskameras kommen im öffentlichen Raum, in vielen Unternehmen, aber auch in Privathaushalten zum Einsatz. Wer sich derartige Technik anschafft, verspricht sich in erster Linie eine höhere Sicherheit. Kaum jemand käme auf die Idee, dass die eingesetzten Überwachungskameras selbst zum Sicherheitsrisiko werden könnten. Mit diesem Vorwurf sieht sich seit Ende 2022 der Hersteller Eufy konfrontiert.

Live-Streams frei zugänglich im Netz

Seit Ende 2022 stehen Überwachungskameras der Anker-Tochter Eufy in der Kritik. Ein britischer Sicherheitsexperte unterzog die Technik einem Check auf Herz und Nieren und fand brisante Details heraus. Demnach liessen sich die Live-Streams der Kameras einfach über einen Webbrowser aufrufen, ohne dass dafür eine Authentifizierung im Vorfeld erforderlich gewesen wäre. Das bedeutet: Nach der Eingabe der entsprechenden URL in das Browser-Suchfeld konnte jeder Internet-Nutzer weltweit das aufgezeichnete Video-Material in Echtzeit verfolgen. Beispiel: Ein User aus Chicago könnte theoretisch – das technische Know-how zum Herausfinden der URL vorausgesetzt – in Echtzeit sehen, wann ein Bankkunde in Zürich seine Filiale betritt und sie wieder verlässt.

Bildübertragung in die Cloud – auch bei deaktivierter Funktion

Neben den für Jedermann frei zugänglichen Live-Streams fielen Eufy-Kameras mit einer weiteren sicherheitsrelevanten Funktion negativ auf. Die Kameras übertrugen Daten in die unternehmenseigene Cloud, auch wenn ein User diese Funktion im Vorfeld deaktiviert hatte. Zu diesen Daten gehörten unter anderem Vorschaubilder von Personen, die beispielsweise an der Haustür klingeln und Bilder von Personen, die die künstliche Intelligenz erkannt hatte.

Überprüft hatte der britische Sicherheitsexperte die Funktionsweise der Eufy-Kameras mit einem Selbsttest. Er schaltete das Speichermedium, in diesem Fall die Eufy HomeBase, aus. Damit war die Kamera nicht autorisiert, selbstständig Bilder in die Cloud hochzuladen. Anschliessend schoss er ein Foto mit der Eufy-Kamera und konnte selbst Stunden später noch auf das aufgenommene Material zugreifen, obwohl keine Anmeldung für die Nutzung des Cloud-Dienstes erfolgt und das Foto in der App längst gelöscht war.

Eufy sieht lediglich Kommunikationsprobleme

Die Anker-Tochter Eufy reagierte auf die Vorwürfe zunächst schmallippig. Statt einer Entschuldigung verwies man auf die Kommunikations- und Marketingabteilung, die die Funktionen der Überwachungstechnik nur unzureichend beschrieben hätten. In der Folge wurden Passagen in den Privatsphäre-Regelungen und verschiedene Versprechen bezüglich des Datenschutzes einfach gelöscht. Die Kommunikation mit der Cloud wird bei einer deaktivierten Funktion nun nicht mehr kategorisch ausgeschlossen.

Dass diese Funktion zwingend erforderlich sein soll, beschreibt Eufy folgendermassen: Klingelt ein Besucher an der Haustür, wird der Besitzer der Sicherheitstechnik über das Smartphone per Vorschaubild (Thumbnail) informiert. Dieses Vorschaubild wird an die Cloud gesendet und gelangt von dort auf das Handy des Empfängers.

Live-Stream nur noch nach Registrierung

Bezüglich der für Jedermann frei zugänglichen Live-Streams hat das Unternehmen inzwischen reagiert und eine Änderung vorgenommen. Den Angaben zufolge können nur noch Personen die Live-Video-Übertragung verfolgen, die sich zuvor über das Eufy-Webportal registriert haben. Das gilt auch für geteilte Links, die nicht mehr ohne Anmeldung einen Live-Stream zeigen.

Internetauftritt komplett überarbeitet

Anfang Dezember begann die Mutter-Firma Anker mit einer umfangreichen Überarbeitung des Internetauftritts. Zahlreiche Passagen zum Datenschutz wurden entfernt. Auch Versprechen wie „Niemand sonst kann auf diese Daten zugreifen oder sie lesen“ verschwanden von der Homepage. Von der Löschorgie betroffen war auch der FAQ-Bereich.

Was bei den Nutzern massives Misstrauen wecken könnte, ist die Tatsache, dass eine entscheidende Aussage ersatzlos gestrichen wurde. Diese besagt, dass Eufy Videos und Bilder nur nach ausdrücklicher Zustimmung der Nutzer an die Strafverfolgungsbehörden weitergeben darf. Ob jetzt jede Polizeibehörde die Aufnahmen ohne Gerichtsbeschluss auf Anfrage in Augenschein nehmen darf? – Dazu äusserte sich das Unternehmen nicht.