,

Ring Kameras – Überwachst Du Dein Umfeld oder Amazon und Fremde hier Dich?

Kristin Saueressig

Es ist bereits aus vielen vorangestellten Blogbeiträgen, Videos und Social-Media-Beiträgen bekannt, dass Amazon eines der Unternehmen ist, das alles über uns zu wissen scheint. Die letzte größere Akquisition liegt inzwischen fast fünf Jahre zurück und handelt von dem Kauf der US-amerikanischen Firma Ring. Ring läuft im Vergleich zu Alexa und Echo nicht direkt als Amazon-Produktkategorie, sondern nach wie vor unter dem eigenen ursprünglichen Firmennamen, weshalb das Bewusstsein und die Verbindung zu Amazon nicht so offensichtlich scheint und der Zusammenhang nicht allseits bekannt ist, so wie bei den anderen zwei genannten Produkten. Aus diesem Grund und der in Deutschland ansteigenden Beliebtheit der Smart-Kameras soll der folgende Beitrag ein paar Hintergrundinformationen zu Ring liefern und das Bewusstsein schaffen für mögliche Sicherheitsrisiken, die mit dem Kauf und Nutzen dieses Produktes zusammenhängen.

Gründung von Ring und Hintergrundinformationen

Ring wurde 2012 von Jamie Siminoff in Kalifornien, USA gegründet. [16] Ein Jahr später pitchte er sein Produkt die “Smarte Überwachungskamera” unter dem damaligen Namen Doorbot, bei der bekannten TV-Sendung “Shark Tank” (in Deutschland vergleichbar mit “Die Höhle der Löwen”) und wollte für sein Start-Up eine Investition in Höhe von 700.000$ für 10% seines Unternehmens haben. Die “Sharks” lehnten damals ab und verstanden seine Unternehmensidee nicht. [1] 2015 startete Siminoff mit dem LA Police Department eine Pilot Studie, die aufzeigte, dass die Wohngebiete, in denen seine Überwachungskameras bereits eingesetzt wurden, die Kriminalitäts- und Einbruchsrate um 55% senken konnten. [7]

2016 zeigte Amazon erstmals Interesse und Bewunderung, indem Device Chief Dave Limp bei einem Tech-Kongress in Seattle öffentlich sagte “I can think of no nobler mission”. [6]

Zwei Jahre später kaufte Amazon.com Inc. das Unternehmen für 1,2 Milliarden USD, welches seither eine 100%ige Tochter des Tech-Riesen ist. [12]

Wichtigkeit von Datensicherheit bei privaten Überwachungskameras

Wer begeistert von smarten Überwachungskameras ist, sollte (zumindest in Deutschland) einige Aspekte bei der Einrichtung und Nutzung beachten.

Allgemeine Datenschutzrichtlinien, die zu beachten sind

Smarte Überwachungskameras kommen meistens in privaten Bereichen vor, wie dem eigenen Zuhause, Garten oder anderen Außenbereichen. Die kleinen Kameras können offensichtlich an Eingangsbereichen angebracht sein oder aber sie sind versteckt platziert. Sie können sehr sensibles und persönliches Videomaterial aufzeichnen, weshalb Datensicherheit von den Herstellern gewährleistet werden muss, sodass die Privatsphäre der Menschen (nicht nur die der AnwenderInnen und KäuferInnen) gewahrt bleibt. Bereits 2020 wurde auf der deutschen Datenschutzkonferenz festgelegt, dass Tür- und Klingelüberwachungskameras nur unter folgenden Voraussetzungen im Privatbereich eingesetzt werden dürfen [9]: 

  • Die Bildübertragung darf erst dann beginnen, wenn auf den Klingelknopf gedrückt wird. (sie darf somit nicht dauerhaft erfolgen)
  • Eine dauerhafte Speicherung der Bildaufnahmen muss ausgeschlossen sein.
  • Das Kamerabild darf räumlich nicht mehr abbilden, als ein Blick durch einen Türspion gewähren würde. Die Übertragung muss automatisch nach einigen Sekunden unterbrochen werden.
  • Eine dauerhafte und anlasslose Bildübertragung von öffentlichen Räumen ist datenschutzrechtlich nicht gestattet. Die Veröffentlichung des Bildmaterials ist in den sogenannten sozialen Netzwerken nicht gestattet.

Wenn es darüber hinaus um das Speichern von Tonaufnahmen geht, macht sich nach § 201 Abs. 1 Nr. 1 StGB der- oder diejenige strafbar, der/die unbefugt das nichtöffentlich gesprochene Wort eines anderen auf einen Tonträger aufnimmt. [2]

Identitätsdiebstahl und Stalking

Smarte Überwachungskameras können sensible persönliche Informationen erfassen, wie Gesichter von Familienmitgliedern oder Kennzeichen von Fahrzeugen. Wenn diese Daten nicht ausreichend geschützt sind, könnten sie von Kriminellen für Identitätsdiebstahl oder Betrug verwendet werden.

Je nachdem, wie die Kameras in privaten Räumen oder Außenbereichen angebracht werden, können sie bei einer feindlichen Übernahme auch im schlimmsten Fall für unethische Zwecke missbraucht werden, wie zum Beispiel, um jemanden zu stalken oder zu belästigen. Die Sicherung der Daten sollte dringend verhindern, dass die Kameras als solches Werkzeug für unerwünschtes Verhalten genutzt werden können.

Datenschutz und Sicherheitsbedenken bei Ring

Wie bei allen Herstellern von smarten Überwachungskameras gibt es im Speziellen bei Ring einige bekannte Vorfälle aus der Vergangenheit, weshalb Interessenten immer mal wieder stutzig werden und sich den Kauf einer Ring-Kamera lieber zweimal überlegen.

Der Spagat zwischen einfacher Bedienbarkeit und Sicherheit

Neben Alexa ist die Ring Überwachungskamera in Deutschland im günstigen Weihnachtsangebot zum beliebten Geschenk geworden. Da sich die Kamera direkt mit dem Heimnetzwerk verbindet, wird sie als “leicht einzurichten” bezeichnet. Die Ring-Kameras sind über eine App konfigurierbar und direkt mit dem eigenen Amazon-Konto verknüpft. Doch genau hier liegt das Problem. Der Anti-Viren Hersteller Avast kritisiert beispielsweise, dass die KäuferInnen von den Herstellern alleingelassen werden und die einfache Einrichtung der Kameras oftmals eine gleichzeitig (daten-)sichere Einrichtung ausschließt. [3] Oftmals verwenden NutzerInnen hier das gleiche Passwort für den Schutz der einzelenen Geräte, wie auch für ihr Amazon-Konto selbst. Sofern man nicht ebenfalls auf den sogenannten Ring Alarm Pro als Router zurückgreift, sondern die Geräte in das bereits vorhandene Netzwerk einbindet, steht sogar ausdrücklich in der Anleitung “Already have wifi? We recommend that you use the same wifi name and password to ensure that your devices should easily connect to your new wifi network. Check that you’re using the same spelling and capitalization too.” Bei Verwendung des Ring Alarm Pro Router wird der vorherige Router des Heimnetzwerks vollständig durch ihn ersetzt, so wie Rings Abbildung der Support-Seite zur Konfiguration zeigt:

Möchte man wirklich, dass Amazon der Hersteller des eigenen Routers für das gesamte Heimnetzwerk ist? Mit dieser Frage sollte man sich definitiv intensiver auseinandersetzen, bevor ein Ring Alarm Pro eingesetzt wird.

Hacking-Angriffe und vergangene Vorfälle

Unsichere oder mangelhaft konfigurierte smarte Überwachungskameras können zum Einfallstor für HackerInnen und Malware werden, die durch die Wifi-Verknüpfung in das eigene Heimnetzwerk, dieses im Gesamten gefährden könnte. 

Die Welt.de berichtete 2019 von einem Vorfall in den USA, Tennessee, in dem ein Hackerangriff über eine Ring-Kamera auf ein Kind stattgefunden hat. „Ich bin Santa Claus. Willst du nicht meine beste Freundin werden?“, sprach der Hacker zu einer Achtjährigen über den Lautsprecher. [3] Auch die New York Times gab im selben Zeitraum bekannt, dass mehrere Familien mit Ring-Installationen in Kinderzimmern in Florida, Georgia und Mississippi betroffen seien. [15]

Datenherausgabe ohne Gerichtsbeschlüsse

Im September 2022 sorgte in Deutschland ein Interview zwischen Amazon bzw. der Tochter Ring und dem Handelsblatt für Empörung. Amazon gab öffentlich bekannt, dass sie Daten an polizeiliche Behörden ohne Gerichtsbeschlüsse herausgegeben haben. Es wurde zwar betont, dass dies äußerst selten der Fall sei und die Daten zur dringenden Aufklärung von Verbrechen genutzt werden würden, aber eine genaue Angabe dazu, wie oft schon Daten an die deutsche Polizei übermittelt wurden, wollte der Amazon-Sprecher nicht treffen. Weitere Konsequenzen für Amazon folgten scheinbar bislang nicht. [13] Hier stellt sich die Frage an welche Dritte Amazon hier noch personenbezogene Daten übermittelt?

Video-Speicherung in der Cloud

Ring speichert alle Videoaufnahmen ihrer KundInnen auf AWS-Servern, die sich größtenteils in den USA befinden. Mit dem Anlegen und Nutzen eines Amazon-Kundenkontos stimmt man unweigerlich zu. Allerdings unterliegt man in Deutschland dem EU-US Schield-Abkommen, welches AWS-Server in Luxemburg zur Datenspeicherung voraussetzt, sodass die DSGV seitens Amazons eingehalten werden kann. Seit 2018 kann man gemäß § 34 BDSG seine personenbezogenen Daten von Amazon einfordern. [14]

Um jedoch vom Thema Datenschutz wieder zurück zur Sicherheit zu kehren, ist wichtig zu betonen, dass Ring im Vergleich zu anderen Herstellern eine ausschließliche Speicherung in der Cloud verwendet und beispielsweise ein lokales Speichern der Aufnahmen auf einer SD-Karte in der Kamera nicht möglich ist. Ring argumentierte direkt zu Beginn, dass es als Vorteil gesehen wird, zu verhindern, dass Kriminelle die komplette Kamera einfach abmontieren oder zerstören und den darin befindlichen Datenträger gleich mit.

Sicherheitsmaßnahmen von Ring

Gegen die Mengen an Vorfällen, jedoch insbesondere in den USA, und die wiederkehrenden Sicherheitslücken, ergreift Ring ständig neue Maßnahmen, die im Rahmen dieses Kapitels aufgezeigt und gleichzeitig kritisch hinterfragt werden sollen.

Unterschiedliche Ring Protect Abos

Das Abo-Modell von Ring ist keine direkte Maßnahme gegen Sicherheitsrisiken, sondern viel mehr eine weitere Einnahmequelle für den Hersteller. Dennoch regeln die verschiedenen Varianten Zugriff und Verfügbar, wodurch es ebenfalls das Thema Identity- und Access Management anschneidet. Ring beschreibt auf der firmeneigenen Webseite das folgende vierstufige Abo-Modell [10]:

  • Ring Protect Basic: Videoaufzeichnung für eine Ring-Türklingel oder Heimkamera. Aktivieren Sie digitale Funktionen, einschließlich Benachrichtigungen und In-App-Scharf-/Unscharfschaltung, für Ihr Ring Alarm- oder Ring Alarm Pro-Gerät.
  • Ring Protect Plus: Videoaufzeichnung für alle Ring-Türklingeln und Heimkameras an einem Ort. Aktivieren Sie digitale Funktionen, einschließlich Benachrichtigungen und In-App-Scharf-/Unscharfschaltung, für Ihr Ring Alarm- oder Ring Alarm Pro-Gerät.
  • Ring Protect Pro: Das ultimative Ring-Sicherheitsabonnement für Ihr Zuhause. Schalten Sie zusätzliche Vorteile für alle Ihre kompatiblen Heimgeräte frei und die Option, sich für die 24/7 Alarm Professional Überwachung für Ring-Alarm oder das Ring Alarm Pro Gerät an einem Standort anzumelden.
  • Ring Protect Go: Fügen Sie LTE-Konnektivität zu Ihrer Ring Car-Cam, einer Sicherheitskamera für das Armaturenbrett im Auto, hinzu, um mehr Funktionen freizuschalten und überall verbunden zu bleiben.

Im gleichen Zuge schreiben sie in den Datenschutzbestimmungen und den Hinweisen auf Datenspeicherung: “Ring sichert Videoaufzeichnungen bei der Übertragung und speichert sie auf sicheren AWS-Servern.” Das lässt vermuten, dass Amazon alle Aufzeichnungen ihrer Kunden speichert, aber ihnen selbst je nach Abo-Plan nur einen Teil-Zugriff gestattet so wie sie es bekanntermaßen mit Tonaufnahmen der eigenen Alexa auch bereits tun. [5]

Zudem gibt es z.B. die zugehörige Neighbors App, die es ermöglicht, in der Nachbarschaft Aufnahmen mit anderen Usern zu teilen. Beim Anlegen eines Kontos wird man im Kleingedruckten sehr unauffällig darüber informiert, dass man mit seinem Opt-In auch Amazon den Zugriff auf die eigenen Videos gewährt. Ring beschreibt dies auf der Supportseite ihres Unternehmens wie folgt: “Unser Forschungs- und Entwicklungsteam greift auf eine kleine Anzahl von Videoaufzeichnungen zu, um die Produkte, Dienstleistungen und Technologien von Ring zu verbessern. Diese Videoaufzeichnungen stammen entweder von Kunden, die sie öffentlich zugänglich gemacht haben (indem sie sie in der Neighbors App oder anderweitig im Internet veröffentlichen), oder von Kunden, Teammitgliedern und Freunden und Familienmitgliedern, die uns die ausdrückliche Genehmigung zur Verwendung dieser Videos erteilt haben (die jederzeit widerrufen werden kann).” [11] Sie sprechen hierbei von einer “kleinen Anzahl” auf die sie zugreifen, was jedoch nirgendwo genauer definiert oder für den einzelnen Verbraucher ersichtlich wird. Auch daraus lässt sich schließen, dass Amazon bzw. Ring die Videoaufnahmen irgendwo für sich abspeichert.

Verschlüsselung der Videodaten

Ring schreibt, dass sie eine Kombination aus AES-Verschlüsselung (Advanced Encryption Standard) und TLS (Transport Layer Security) verwenden, um Daten zwischen Ring-Geräten und AWS-Servern zu sichern und sie verschlüsseln ebenfalls den Datenaustausch zwischen einzelnen Ring-Geräten mithilfe von AES-Verschlüsselung, TLS und SRTP (Secure Real Time Protocol).

[11] Dies sind jedoch Standard-Verschlüsselungs-Verfahren, die auf der Webseite eines solchen Unternehmens zu erwarten waren.

PoC-Exploits und Sicherheits-Patches

Anfang 2022 entdeckten Sicherheitsforscher von Checkmarx,, eine Möglichkeit, auf die Aufnahmen einer Ring-Sicherheitskamera über die zugehörige Ring Android-App zuzugreifen. Die App wurde zu diesem Zeitpunkt bereits auf über 10 Millionen Geräten installiert.

Nachdem das Unternehmen Ring die Möglichkeit hatte, das Problem im Mai 2022 still und leise zu beheben, veröffentlichte Checkmarx im darauffolgenden August die gefundene Schwachstelle. 

Der Proof-of-Concept-Exploit (PoC-Exploit) des Dienstleisters verwendet eine bösartige Android-App auf demselben Gerät, um eine Webseite zu laden, die so manipuliert war, dass sie auf einen Autorisierungs-Token für den Ring-Dienst zugreifen und stehlen konnte. Dieser Token konnte dann anschließend verwendet werden, um die Ring-eigenen APIs auszunutzen und persönliche Kundendaten des Amazon-Kontos zu erlangen. Diese Daten beinhalten neben dem “vollständigen Namen, der E-Mail und der Telefonnummer auch die Daten des Ring-Geräts, einschließlich Geolocation, Adresse und Aufnahmen”, sagte ein Checkmarx-Sprecher.

Die Schwachstelle betraf eine Funktion in der Android-App, insbesondere den Dienst “com.ringapp/com.ring.nh.deeplink.DeepLinkActivity”, auf den die bösartige Android-App auf demselben Gerät zugreifen konnten. Dies ermöglichte die vorab erläuterte Übernahme des Autorisierungs-Tokens. [8]

Checkmarx schreibt in einem eigenen Blog, dass die Android-App von Ring Webinhalte von jedem Server aus lädt und ausführt, solange die Ziel-URI des Intents die Zeichenfolge ‘/better-neighborhoods/’ enthält. Detaillierte Informationen in Form eines YouTube Videos zum PoC können unter dem folgendem Bild aufgerufen werden. [8]

Amazon bzw. Ring ist bemüht, Sicherheitslücken mithilfe von Dienstleistern wie Checkmarx zu identifizieren und zu beheben, um die eigenen KundInnen vor Angriffen und ungewollten Daten-Offenlegungen zu bewahren. Am Beispiel der Sicherheitslücke in der Android-App und der enormen Anzahl an Betroffenen Usern von über 10 Millionen, zeigt jedoch, dass es ausreichen würde, dass auch nur ein einziges Mal ein Hacker oder eine Hackerin solchen Dienstleistern zuvorkommt, um einen riesigen Datenbestand an personenbezogenen Daten oder sogar Geräte-Übernahmen zu beschlagnahmen und für kriminelle Zwecke zu nutzen.

Fazit und Ausblick

Für VerbraucherInnen ist es noch nie wirklich transparent gewesen, welche Daten Unternehmen wie Amazon heutzutage von ihnen sammelt. Gerade die Tech-Riesen sind mit Vorsicht zu genießen, denn Daten bedeuten Geld und Macht bis hin zu Beeinflussung und Kontrolle. Nachdem in den vergangenen Jahren hunderte Blogartikel, Social-Media-Beiträge und Reports zur Datenspeicherung von Amazons Alexa veröffentlicht wurden, sollte Ring als Tochter von Amazon auch lieber mit Skepsis entgegengetreten werden. Nicht nur die bereits aufgetretenen Sicherheitsvorfälle sind besorgniserregend, sondern auch die Art der Daten, die über einen selbst und das eigene Umfeld mit smarten Überwachungskameras gesammelt werden. Es ist mehrfach bekannt, dass Alexa auch ohne Schlüsselwörter zuhört und das Gesprochene dauerhaft in Audio-Files als auch textueller Form speichert. Diese Daten in Kombination mit dem eigenen Amazon-Account, den Produkten, die bestellt werden und den Suchen, die über die Seiten von Amazon selbst getätigt werden, ermöglichen es mithilfe von intelligenten Algorithmen ganze Profile über Menschen zu erstellen, wobei der Detailgrad sehr erschreckend ist. Fügt man dem Ganzen auch noch zusätzliches Bildmaterial, nicht nur von einem selbst, sondern auch Familienmitgliedern, Postboten und dem Nachbarn, der an der Einfahrt vorbeiläuft, hinzu, bietet man die Möglichkeit, dass Amazon, kein Profil mehr, sondern deine gesamte Identität verwaltet. Die Offenlegung solcher virtuellen Identitäten ist schon in Einzelfällen verheerend und in Massen gar nicht auszumalen. Aus diesem Grund sollte man sich die Frage stellen, ob man zu Ring aus Bequemlichkeit und einen günstigen Preis greifen möchte oder lieber andere Anbieter prüft.

Literaturverzeichnis

[1] CBS Morning, “From “Shark Tank” reject to Amazon’s latest acquisition, Ring CEO on company’s journey”, 2018, https://www.youtube.com/watch?v=uoe7NNV7c0k, Abruf: 20.07.2023

[2] Deutscher Bundestag, “Die Strafbarkeit audiovisueller Aufnahmen von Polizeieinsätzen”, 2022, https://www.bundestag.de/resource/blob/926416/dcb6f1b11a418e77742692ea905b0874/WD-7-095-22-pdf-data.pdf, Abruf: 21.07.2023

[3] D. Fuest, “Wenn die Sicherheitskamera zum Risiko wird“, Die Welt.de, https://www.welt.de/wirtschaft/webwelt/article204555372/Smart-Home-Wenn-die-Sicherheitskamera-zum-Risiko-wird.html, Abruf: 23.07.2023

[4] E. Yalon, „Amazon Quickly Fixed a Vulnerability in Ring Android App That Could Expose Users’ Camera Recordings”, Checkmarx, 2022, https://checkmarx.com/blog/amazon-quickly-fixed-a-vulnerability-in-ring-android-app-that-could-expose-users-camera-recordings/, Abruf: 28.07.2023

[5] I. Gross-Bajohr, “Ist Alexa eine Spionin? Darauf sollten Sie achten”, Computerbild, 2022, https://www.computerbild.de/artikel/cb-Tipps-Smart-Home-Wie-gefaehrlich-ist-Alexa-31564233.html, Abruf: 23.07.2023

[6] M. Day, “Home-security startup Ring is now in Amazon’s constellation, but moving in its own orbit”, Seattle Times, 2018,  https://www.seattletimes.com/business/amazon/home-security-startup-ring-is-now-in-amazons-constellation-but-moving-in-its-own-orbit/, Abruf: 21.07.2023

[7] M. Harris, MIT Technology Review, “Video doorbell firm Ring says its devices slash crime”, 2018, https://www.technologyreview.com/2018/10/19/103922/video-doorbell-firm-ring-says-its-devices-slash-crimebut-the-evidence-looks-flimsy/, Abruf: 20.07.2023

[8] M. Kan, „Amazon’s Ring Patches Flaw That Could’ve Let Hackers Access Camera Footage“, 2022, https://uk.pcmag.com/home-security-cameras/142156/amazons-ring-patches-flaw-that-couldve-let-hackers-access-camera-footage, Abruf: 28.07.2023

[9] M. Rhode, “ring – Amazons digitaler Türspion und der Datenschutz“, 2021, https://www.datenschutz-notizen.de/ring-amazons-digitaler-tuerspion-und-der-datenschutz-4632907/, Abruf: 21.07.2023

[10] Ring Support a, “General Information on Ring Protect Subscription Plans”, 2023, https://support.ring.com/hc/en-us/articles/115001671383-Ring-Protect-Subscription-Plans, Abruf, 27.07.2023

[11] Ring Support b, “Wann zeichnet Ring meine Videos auf bzw. speichert sie?”, 2023, https://support.ring.com/hc/de/articles/360030587812-Wann-zeichnet-Ring-meine-Videos-auf-bzw-speichert-sie-#:~:text=Ring%20sichert%20Videoaufzeichnungen%20bei%20der,sie%20auf%20sicheren%20AWS%2DServern, Abruf: 27.07.2023

[12] S. Berger, “This is the first thing Ring’s founder bought after selling his company to Amazon for $1 billion”, CNBC, 2018, https://www.cnbc.com/2018/10/10/the-first-thing-rings-founder-bought-after-selling-to-amazon-for-1b.html, Abruf: 21.07.2023

[13] S. Scheuer und D. Neuerer, „Amazons Türklingel „Ring“ gibt Daten ohne Gerichtsbeschluss an deutsche Polizei“, Handelsblatt, 2022, https://www.handelsblatt.com/technik/it-internet/ueberwachung-amazons-tuerklingel-ring-gibt-daten-ohne-gerichtsbeschluss-an-deutsche-polizei/28669862.html, Abruf: 23.07.2023

[14] S. Schulz, „Was weiß Amazon über mich? So finden Sie es heraus“, Chip, 2017, https://praxistipps.chip.de/was-weiss-amazon-ueber-mich-so-finden-sie-es-heraus_98198, Abruf: 23.07.2023

[15] The New York Times, „Somebody’s Watching: Hackers Breach Ring Home Security Cameras“, 2021, https://www.nytimes.com/2019/12/15/us/Hacked-ring-home-security-cameras.html, Abruf: 23.07.2023

[16] Wikipedia, “Ring (Unternehmen)“, 2023,  https://de.wikipedia.org/wiki/Ring_(Unternehmen), Abruf 20.07.2023

Bildquellen

[17] Cover Image Security, https://pixabay.com/photos/smart-home-system-man-person-3871774/, Abruf: 29.07.2024

[18] Ring Alarm Pro Set Up, https://support.ring.com/hc/en-us/articles/4405167744276-Replacing-your-current-router-with-Alarm-Pro, Abruf: 27.07.2023


Posted

in

,

by

Kristin Saueressig

Comments

Leave a Reply