Die Übernahme von IP-Kameras war früher auf das Vorführen lascher Angriffsflächen, den Aufbau gerätebasierter Botnets durch Cyberkriminelle und das Eindringen von Hackern in private Räume beschränkt. Inzwischen nutzen Staaten sie als günstige Möglichkeit, einen Stützpunkt im Land des Gegners zu schaffen, sagt Sergey Shykevich, Manager der Threat-Intelligence-Gruppe bei Check Point Research.

“Der Zugang zu Kameras verschafft Angreifern direkte Sicht in anvisierte Gebiete”, sagt er. Der größte Fehler sei es, die Kameras nicht zu patchen, wenn Patches verfügbar sind, oder die ab Werk gesetzten Standard-Zugangsdaten beizubehalten.

Noam Moshe, leitender Schwachstellenforscher beim Sicherheitsunternehmen Claroty, sieht eine Verschiebung hin zum tatsächlichen Ausnutzen und Kontrollieren dieser Geräte – sowohl aus militärischen und nachrichtendienstlichen Gründen als auch für Propaganda und politische Spaltung. Während Angriffe auf cyber-physische Systeme bislang als ernst, aber nicht zwingend wertvoll galten – mit Ausnahmen wie dem Stuxnet-Angriff und der Frühphase der russischen Invasion in der Ukraine –, hat der kriegerische Einsatz von IP-Kameras zur Zielerfassung und zur Schadensbewertung einen erheblich höheren Wert für Staaten.

Im anhaltenden Konflikt zwischen den USA und Israel mit Iran hat die iranische Regierung ihre Ziele laut Check Point offenbar auf den Privatsektor sowie auf industrielle Steuerungen wie SCADA-Systeme und speicherprogrammierbare Steuerungen ausgeweitet. Statt einzelne Organisationen ins Visier zu nehmen, weiten iranische Stellvertreter ihre Scans aus und suchen nach verwundbaren cyber-physischen Geräten – besonders IP-Kameras und industriellen Steuerungssystemen – in bestimmten Ländern.

“Wir sehen eine große Verschiebung hin zu opportunistischen Angriffen, bei denen Iran und andere verbündete Staaten schlicht nach jedem exponierten Gerät suchen, das einem bestimmten Land zuzuordnen ist”, sagt Moshe. Das erhöhe die Wahrscheinlichkeit, dass Firmen, die man sonst nicht als Ziel eines Staates vermuten würde, allein deshalb ins Kreuzfeuer geraten, weil ihre Geräte exponiert sind und sich im “falschen Land” befinden.

Das gezielte Vorgehen gegen die IP-Kamera-Infrastruktur einer bestimmten Nation ist laut Check Points Untersuchung jedoch relativ selten. Kamera- und IoT-Hersteller seien zudem besser darin geworden, ihre Produkte abzusichern. Die häufigsten unsicheren, mit dem Internet verbundenen Geräte seien selbstverwaltete Verbrauchergeräte, sagt Silas Cutler, leitender Sicherheitsforscher bei der Internet-Analysefirma Censys. Unternehmensbereitstellungen in großen Organisationen oder Behörden seien selten, da diese oft in privaten Netzen verwaltet würden.

Als häufigsten Grund für die Exponierung einer Kamera nennt Cutler Altgeräte, die unbeabsichtigt mit dem Internet verbunden wurden. Auch der öffentliche Zugang, den viele Regierungen zu Verkehrskameras gewähren, könne zur Kompromittierung führen. Erkennen Firmen eine Kompromittierung, bleibt ihnen meist Zeit, den Schaden zu begrenzen: In den meisten Fällen muss ein gehacktes Gerät erst analysiert werden, bevor es nutzbar ist. Cutler, der im August bei den Black Hat Security Briefings vier Schwachstellen in Axis-Kameras vorstellte, betont, dass ein Angreifer nach dem Fund einer exponierten Kamera erst klären muss, welchen Bereich sie überwacht und welche Informationen sich gewinnen lassen.

Gestaffelte Verteidigung bleibt der Verbündete der Unternehmen. Firmen sollten ihre eigenen IP-Adressbereiche nach ungeschützten Geräten durchsuchen und bekannte Geräte patchen, sagt Shykevich. Zur Risikominderung empfiehlt er regelmäßiges Patchen, robuste Passwortpraktiken und das Platzieren von IoT-Geräten hinter Perimeterschutz wie Firewalls mit Funktionen zur Angriffserkennung und -abwehr.