In der heutigen Zeit, in der Datenschutz und die Sicherheit privater Daten eine immer größere Rolle spielen, richtet sich das Interesse vieler Nutzer auch verstärkt auf Sicherheitsprodukte für das eigene Zuhause. Besonders smarte Überwachungskameras gewinnen an Beliebtheit, denn sie ermöglichen es, das Zuhause auch von unterwegs im Blick zu behalten. Eine der bekanntesten Marken in diesem Bereich ist Eufy, ein Tochterunternehmen von Anker Innovations. Doch die breite Akzeptanz der Eufy Kameras wurde zuletzt durch Enthüllungen stark erschüttert, die das Unternehmen dazu zwangen, offen über seine Verschlüsselungspraktiken und die Sicherheit der Nutzer zu sprechen. Anker hat nun im Rahmen einer öffentlichen Stellungnahme insbesondere den Umgang mit der End-to-End-Verschlüsselung ihrer Eufy Sicherheitskameras eingestanden und einen umfassenden Maßnahmenplan vorgestellt, um das Vertrauen der Kunden zurückzugewinnen.
Die Diskussion um die Sicherheitslücke hat gezeigt, wie sensibel Verbraucher mittlerweile auf Datenschutzfragen reagieren und wie wichtig eine transparente Kommunikation in dieser Branche ist. Die Problematik begann damit, dass es Hinweise gab, dass die sogenannten „immer-verschlüsselten“ Eufy-Kameras in Wirklichkeit nicht durchgehend End-to-End-verschlüsseltes Videomaterial lieferten. End-to-End-Verschlüsselung bedeutet, dass die Daten vom Gerät bis zur empfangenden App durchgängig verschlüsselt sind. Nur der Nutzer selbst kann die Aufnahmen entschlüsseln und ansehen. Die Übertragung ist also vor jeglichem Zugriff durch Dritte – auch den Hersteller – geschützt.
Genau dies hatte Eufy seinen Kunden versprochen. Allerdings zeigte sich nun, dass zumindest beim Live-Stream über die Webportal-Plattform unverschlüsselte Videoströme möglich waren. Dies stellte eine erhebliche Schwachstelle im Datenschutz dar und wurde von Sicherheitsexperten sowie Journalisten aufgedeckt. Ursprünglich hatte Anker auf entsprechende Nachfragen mit Ablehnung reagiert und war nicht bereit, die Problematik transparent darzulegen. Es gab wortreiche Verweigerungen und gelegentlich ausweichende Antworten.
Erst unter Druck, kurz vor Weihnachten 2022, wurde dem Unternehmen ein Ultimatum gesetzt, entweder die Fragen zur Verschlüsselung umfassend zu beantworten oder eine kritische Berichterstattung zu riskieren. Dieser Schritt führte schließlich zu der Offenbarung, dass die Webportal-Lösung tatsächlich keine End-to-End-Verschlüsselung unterstützte, was in der Vergangenheit zu unverschlüsselten Streams führen konnte. Diese waren theoretisch über einfache Medienplayer wie VLC aus der Ferne sichtbar, vorausgesetzt ein Nutzer hatte Zugriff auf die Links. Heute sieht die Situation anders aus. Anker hat bestätigt, dass entsprechende Schwachstellen seit Anfang 2023 adressiert werden.
Die Webportal-Funktion wurde dahingehend verändert, dass Nutzer keinen Debug-Modus mehr aktivieren können, der den Zugriff auf unverschlüsselte Videoströme ermöglichte. Die Streaming-Übertragung über das Webportal basiert nun vollständig auf WebRTC-Technologie, die standardmäßig verschlüsselt arbeitet. Außerdem wird ein Firmware-Update für alle Eufy Geräte ausgerollt, das diese Verschlüsselung für das Webportal durchsetzt. Dass die Live-Streams in der Eufy App – die von 99,9 Prozent der Nutzer verwendet wird – bereits seit langer Zeit sicher per End-to-End-Verschlüsselung übertragen werden, wurde ebenfalls klargestellt. Die grundlegenden Sicherheitsmaßnahmen für lokale Aufzeichnungen sahen ebenfalls schon immer so aus, dass alle Videos lokal verschlüsselt wurden.
Die Kameras oder das Eufy HomeBase speicherten Aufnahmen verschlüsselt, was den Zugriff auf gespeicherte Daten ohne entsprechenden Schlüssel ausschloss. Die Kritik richtete sich somit primär auf das bisher wenig genutzte Webportal, das ursprünglich nicht mit der gleichen Verschlüsselung ausgestattet war. Neben der Verschlüsselungsfrage stellte Anker auf Nachfrage auch klar, dass keine weiteren unautorisierten Zugriffe auf die Kamerafunktionen existieren. So können etwa Lichtsteuerung oder das Schließen von Schlössern ausschließlich über die autorisierte Eufy App vorgenommen werden. Dies bietet zumindest im Bereich der Geräteverwaltung einen guten Schutz vor fremden Eingriffen.
Ein besonderes Thema war zudem die Speicherung von Nutzerfotos für die Gesichtserkennung. Früher wurde bei einem Produkt, dem Video Doorbell Dual, ein Bild des Nutzers in verschlüsselter Form in der Cloud gespeichert. Der Hintergrund war hierbei, dass das System beim Austausch oder Hinzufügen einer zweiten Kamera die Gesichtserkennung vereinfachen sollte, indem dieses Bild aus der Cloud heruntergeladen wird. Anker gab zu, dass dies einen Widerspruch zur ursprünglichen Philosophie der lokalen Verarbeitung darstellerte und hat diese Praxis mittlerweile abgeschafft. Alle biometrischen Daten, wie Gesichtserkennungsinformationen, werden nun ausschließlich lokal gespeichert und verarbeitet, was natürlich den Datenschutz erhöht.
Angesichts der starken Kritik an der Kommunikation und den Sicherheitsmaßnahmen hat Anker angekündigt, die Transparenz deutlich zu erhöhen. Ein externe Überprüfung in Form von Sicherheits- und Penetrationstests soll regelmäßig vorgenommen werden, durchgeführt von externen Experten. Zudem befindet sich das Unternehmen in Gesprächen mit einem renommierten IT-Sicherheitsexperten, der einen unabhängigen Bericht zu den Sicherheits- und Datenschutzstandards verfassen soll. Ein Bug-Bounty-Programm ist in Planung, um Hacker und Forscher zu ermutigen, mögliche Sicherheitslücken zu melden. Für den Februar 2023 war zudem die Veröffentlichung einer Microsite geplant, die auf verständliche Weise erklären soll, welche Komponenten lokal ablaufen und welche sicher in der Cloud verarbeitet werden.
Dass Anker reagierte, ist vor allem deshalb wichtig, weil gerade in der Smart-Home-Branche Vertrauen eine Schlüsselrolle spielt. Viele Kunden kaufen Kameras gerade deshalb, weil sie sicherstellen wollen, dass ihre Privatsphäre geschützt ist. Wenn ein Hersteller wie Eufy nicht nur Mängel bei der Sicherheit hat, sondern zudem auch nur schleppend und wenig transparent kommuniziert, führt dies zu einem Vertrauensverlust, der sich kaum leicht reparieren lässt. Dennoch ist es positiv, dass Anker die Defizite klar benennt und sich zu Verbesserungen verpflichtet. Während es keine Hinweise auf Datenschutzverletzungen oder den Verstoß gegen Datenschutzgesetze wie die DSGVO gibt, zeigen die Geschehnisse, dass auch etablierte Hersteller im Bereich Smart Home Schwachstellen aufweisen können.
Nutzer sollten daher kritisch hinterfragen, wie ihre Geräte mit Daten umgehen und ob die Hersteller ihre Sicherheitsversprechen eingehalten. Die Tatsache, dass die Webportal-Nutzung durch die meisten Kunden ohnehin eine marginale Rolle spielt, relativiert den Umfang der Sicherheitslücken etwas. Die App-basierte Nutzung ist schon länger sicher verschlüsselt. Dennoch ist eine durchgängige Verschlüsselung bei allen Zugriffswegen eine wichtige Voraussetzung für ein umfassendes Sicherheitskonzept. Für potenzielle Käufer bedeutet die Klarstellung von Anker, dass die Eufy Geräte inzwischen mit einem deutlich verbesserten Sicherheitsniveau ausgestattet sind, aber es bleibt ratsam, sich die aktuellen Firmware-Versionen sowie Ankündigungen des Herstellers aufmerksam anzusehen.
Ein regelmäßiges Einspielen von Updates stellt sicher, dass alle Sicherheitspatches und neuen Funktionalitäten genutzt werden. Auch für den weitere Verlauf gilt: Sicherheitshersteller müssen kontinuierlich transparent und kommunikativ bleiben. Die Ankündigung von unabhängigen Audits und klareren Informationen ist ein richtiger Schritt in diese Richtung. Gleichzeitig sollte die Community aus Nutzern und Experten die weiteren Entwicklungen kritisch begleiten, um dauerhaft Vertrauen zu schaffen. Insgesamt markiert die Situation rund um die Eufy Kameras ein wichtiges Lernbeispiel für die gesamte Smart Home Branche.
![Mastering Claude Code in 30 minutes with its creator, Boris Cherny [video]](/images/94039330-A441-41A5-89C9-6F65D154A257)
