Überwachungskameras liefern sensible Inhalte und das Auswerten der Daten unterliegt den strengen Vorgaben des Datenschutzes. Eine Sicherheitslücke, die den Zugang auf aufgenommene Videos ermöglicht, gefährdet daher nicht nur die Sicherheit eines Gebäudes, sondern kann auch Persönlichkeitsrechte verletzen. Eine vernetzte Kamera als Internet-of-Things (IoT)-Hardware braucht denselben Schutz wie ein PC-Endpunkt.

Mängel in der Authentifikation sind bei der ersten Version der Wyze CAM wie so oft in der IoT-Welt das Einstiegstor für die Angreifer. Durch einen Fehler im ursprünglichen Authentifikationsverfahren können Dritte den Login umgehen, ohne den dazu eigentlich notwendigen „enr“-Wert zu kennen. So kann ein Hacker im Fernmodus das Gerät vollständig kontrollieren, das Objektiv frei in seinem Sinne bewegen (pan/tilt), die Aufnahme stoppen oder die Kamera vollständig ausschalten.

Zunächst kann der Angreifer auf die verschlüsselten Inhalte nicht zugreifen. Ein nachfolgender Stack Buffer Overflow ermöglicht es ihm aber im nächsten Schritt, im Fernzugriff Code ausführen und die Videos zu betrachten.

Zusätzlich ist der unerlaubte Zugriff auf alle Inhalte der SD-Karte einer Kamera nötig. Hier rufen die unberechtigten Zuschauer den Inhalt über einen Symlink auf die Directory, der automatisch hergestellt wird, ab. Die Logfiles der SD-Karte lassen sich auslesen und geben den „enr“-Wert zur Authentifikation und die UID zum Vernetzen der Kamera preis.

Für die erste Version der Wyze Cam konnte der Hersteller aus verschiedenen Gründen keinen Patch mehr liefern, die Wyze Cam V1 vertreibt er nicht mehr. Kunden, die sie nutzen, sollten sie austauschen.

Die ausführliche Analyse der Schwachstelle lesen sie hier: https://www.bitdefender.com/blog/labs/vulnerabilities-identified-in-wyze-cam-iot-device/ .

200 Systeme in den letzten zwei Jahren betroffen
Erste Hinweise auf Aktivitäten lassen sich auf den November 2018 datieren. Die Hauptphase begann Anfang 2019. In den ersten fünf Monaten des Jahres zeigten rund 200 Systeme Symptome des Angriffs. Offenbar ist die dafür aufgebaute Infrastruktur zurzeit nicht aktiv, wenn auch einige wenige Elemente weiterhin im Betrieb sind.

Langfristige Infiltration der Infrastruktur zu Spionagezwecken
Eingesetzt wurde ein umfassendes Arsenal von Droppern und Tools wie die Backdoors Chinoxy, PCShare RAT und FunnyDream. Bestimmte forensische Artefakte deuten auf hochspezialisierte chinesische Autoren hin, zum Beispiel Remote Access Trojaner (RAT) oder auch andere eingesetzte Ressourcen, deren Ursprung der Volksrepublik zugeordnet wird. Offensichtlich kompromittieren die Autoren Domain Controller im Netzwerk der Opfer. Die APT-Experten erreichten ihre langfristige Präsenz in den Netzwerken durch digital signierte Binärdateien. Diese boten eine Lücke, um über einen Sideload ein Backdoor in den Speicher zu laden. Im nächsten Schritt konnten sie sich im Netz bewegen und die langfristige Kontrolle über eine große Zahl von Maschinen in der IT-Infrastruktur des Unternehmens erlangen. So überwachten sie die Aktivitäten der angegriffenen Organisationen und exfiltrierten Informationen.

Die Analyse der Bitdefender-Threat-Analysten steht in einem Whitepaper zum kostenlosen Download hier bereit.

Die Studie „10 in 10“ hat die Frage untersucht, welche zehn Faktoren den Erfolg der IT-Sicherheit in den nächsten zehn Jahren bestimmen werden. Insgesamt wurden dazu über 6.700 IT-Sicherheits-Experten in zehn Ländern befragt, über 500 davon in Deutschland. Die Befragten arbeiten in Unternehmen mit über 100 Angestellten. 23% der Befragten gehören dem Topmanagement („C-Level“) an. Der vollständige Bericht ist kostenlos verfügbar. Die wichtigsten Ergebnisse zusammengefasst:

Cyberwar: Eine reale Bedrohung, auf die viele nicht vorbereitet sind

Sieben von zehn der befragten Top-Manager (71%) glauben, dass Cyberkriegsführung eine Bedrohung für ihre Organisation darstellt. Zugleich räumt etwas mehr als ein Fünftel (22%) ein, keine Strategie zur Eindämmung dieses Risikos zu haben. Die Hälfte aller Befragten (50%) stimmen darin überein, dass zunehmende Cyberkriegsaktivitäten in den nächsten 12 Monaten der Wirtschaft schaden werden.

Ransomware: Ein boomendes Geschäftsmodell, das Unternehmen auslöschen kann

43% der IT-Sicherheits-Fachleute berichteten, dass sie im Zuge der Pandemie einen Anstieg der Lösegeld-Angriffe beobachteten. 63% rechnen in den nächsten 12 bis 18 Monaten mit einer weiteren Zunahme. 49% der Topmanager befürchten, dass eine Ransomware-Attacke ihr Unternehmen in den nächsten 12 bis 18 Monaten auslöschen könnte, wenn sie ihre Investitionen in die Sicherheit nicht erhöhen. Und sogar 59% von ihnen glauben, dass ihr Unternehmen eine Zahlung leisten würde, um zu verhindern, dass Informationen veröffentlicht werden.

Kommunikation: Mehr Verständnis schaffen, um Investitionen zu erreichen

Die Hälfte (51%) aller Befragten stimmt der Aussage zu, dass sich die Art und Weise, wie sie über Cybersicherheit kommunizieren, dramatisch ändern muss, damit die notwendigen Investitionen in diesem Bereich erfolgen. Zwei Fünftel (41%) glauben, dass in Zukunft mehr Kommunikation mit der breiteren Öffentlichkeit und Kunden erforderlich ist, damit alle, sowohl innerhalb als auch außerhalb der Organisation, die Risiken besser verstehen. 38% fordern eine bessere Kommunikation mit der Geschäftsführung, damit diese die Risiken versteht. 39% wünschen eine weniger technische Sprache, damit ihre gesamte Organisation die Gefahren versteht und lernt, wie sie sich schützen kann.

Diversität: Mehr Vielfalt, um Unternehmen robuster zu machen

Über ein Viertel (28%) der befragten Topmanager sagen voraus, dass es Unternehmen in den Ruin treiben wird, wenn der derzeitige Mangel an IT-Sicherheitsfachkräften weitere fünf Jahre anhält. 52% aller Befragten meinen, dass der Mangel an Vielfalt in der Cybersicherheit Anlass zur Sorge gibt. 40% der Topmanager fordern, dass die Cybersicherheitsindustrie die Gesellschaft um sie herum widerspiegeln muss. Darüber hinaus sind 76% der Meinung, dass bei den in der IT-Sicherheit Tätigen vielfältigere Fähigkeiten benötigt werden. 39% aller Befragten sagen, dass Neurodiversität die Cybersicherheit stärken wird, also eine stärkere Einbindung von Menschen im Autismus-Spektrum oder mit Legasthenie, Dyspraxie, ADHS und anderen neurologischen Besonderheiten.

Liviu Arsene, Global Cybersecurity Researcher bei Bitdefender, kommt zu dem Schluss: „2020 war ein Jahr des Wandels – auch für die Sicherheitsindustrie. Die Sicherheitslandschaft entwickelt sich rasch weiter und versucht, sich an die neue Normalität anzupassen, von verteilten Belegschaften bis hin zu neuen Bedrohungen. Um in dieser neuen Sicherheitslandschaft erfolgreich zu bestehen, müssen wir anfangen, darüber nachzudenken, wie wir die Qualifikationslücke auf andere Weise schließen können – wir müssen die Vielfalt in den Fokus rücken, besonders die Neurodiversität.“

Kein Notfallplan für Corona

Bereits im Juni hatte Bitdefender in einer Teilauswertung Daten zum Einfluss der Corona-Krise auf die IT-Sicherheit veröffentlicht. Zu den Ergebnissen zählte hier, dass eine überwältigende Mehrheit daran glaubt, dass die Pandemie die Art und Weise, wie ihre Unternehmen arbeiten, dauerhaft verändern wird. Die Hälfte schlitterte ohne passenden Notfallplan in die Pandemie-Situation.

Der vollständige Studienbericht "10 in 10" ist verfügbar unter https://www.bitdefender.com/files/News/CaseStudies/study/368/Bitdefender-10-in-10-Report.pdf. Der auf den gleichen Befragungen basierende Bericht „The Indelible Impact of COVID-19 on Cybersecurity“ liegt vor unter https://www.bitdefender.com/files/News/CaseStudies/study/348/Bitdefender-10-IN-10-The-Indelible-Impact-of-COVID-19-on-Cybersecurity.pdf

Über die Studie "10 in 10"

Für die Studie „10 in 10“ wurden im Mai diesen Jahres 6.724 Cybersecurity- und IT-Mitarbeiter in Großbritannien, den USA, Australien, Neuseeland, Deutschland, Frankreich, Italien, Spanien, Dänemark und Schweden durch das Marktforschungsinstitut Sapio Research befragt. Der Bericht repräsentiert einen breiten Querschnitt von Organisationen und Branchen, von jungen KMU ab 100 Angestellten bis hin zu börsennotierten Unternehmen mit mehr als 10.000 Beschäftigten in einer Vielzahl von Branchen, darunter Finanzen, Verwaltung und Energie. Alle Teilnehmer der Studie nutzen Datensicherheitslösungen und Software-Sicherheitsprodukte oder haben Entscheidungsbefugnis darüber. 23 Prozent der Teilnehmer gehören dem Topmanagement an, sind also zum Beispiel CISOs, CSOs und CIOs.