Ich habe zu viele Projekte scheitern sehen, nicht weil die Kamera kaputt ging, sondern weil jemand sie gehackt hat. Firmware-Sicherheit ist keine Option mehr. Sie ist ein Deal-Breaker.
Strenge Cybersicherheitsaudits für Firmware umfassen statische Code-Analysen (SAST), Penetrationstests durch Dritte, CVE-Schwachstellenscans und Überprüfungen auf hartcodierte Anmeldeinformationen. Die meisten PTZ-Kameras aus China im unteren bis mittleren Preissegment werden ohne diese Audits ausgeliefert. Nur wenige Hersteller, die auf Märkte für kritische Infrastrukturen abzielen, führen vor der Veröffentlichung vollständige, überprüfbare Sicherheitstests durch.
Cybersicherheitsaudits von PTZ-Kamera-Firmware Schwachstellen
Viele Integratoren wie David Miller stellen mir diese Frage, bevor sie eine einzige Bestellung aufgeben. Sie brauchen Beweise, keine Versprechungen. In diesem Artikel zerlege ich jede Ebene der Firmware-Sicherheit – von erzwungenen Passwortänderungen bis hin zur CVE-Patchung –, damit Sie genau wissen, was Sie von Ihrem Lieferanten verlangen müssen. Lassen Sie mich Sie durchführen.
Inhaltsübersicht
Erzwingt die Firmware bei der ersten Anmeldung eine Passwortänderung, um Hacks zu verhindern?
Ich habe einmal einem Kunden in Texas geholfen, sich von einem Einbruch zu erholen. Die Ursache? Der Installateur hat das Standardpasswort admin:admin auf 47 Kameras belassen. Jede einzelne wurde innerhalb einer Woche kompromittiert.
Sichere PTZ-Kamera-Firmware muss Benutzer zwingen, bei der allerersten Anmeldung ein neues, komplexes Passwort zu erstellen. Dieser einzelne Schritt blockiert den häufigsten Angriffsvektor – Standard- und schwache Anmeldeinformationen –, der laut FBI-Berichten und mehreren CVE-Aufzeichnungen der wichtigste Einstiegspunkt für Kamera-Hacks ist.
PTZ-Kamera erzwungene Passwortänderung erste Anmeldung Sicherheit
Warum Standardpasswörter ein massives Problem darstellen
Die Zahlen sind eindeutig. Das FBI gab 2024 eine Private Industry Notification (PIN) heraus, die vor der HiatusRAT-Bedrohungsgruppe warnte, die das Internet nach Kameras mit bekannten Standardpasswörtern und ungepatchten CVEs wie CVE-2017-79211 und CVE-2021-362602. durchsucht. Dies sind keine seltenen, gezielten Angriffe. Es handelt sich um automatisierte, groß angelegte Scans.
CVE-2025-35452 macht dies noch realer. PTZOptics-Kameras, die die gemeinsame ValueHD-Firmware verwenden, nutzten dasselbe Standard-Admin-Passwort über alle Geräte hinweg. Dieser eine Fehler gab Angreifern vollen Fernzugriff auf Dutzende von Modellen verschiedener Marken. Die Ursache war einfach: keine erzwungene Passwortänderung beim ersten Start.
Wie eine ordnungsgemäße Erstanmelderichtlinie aussieht
Ich stelle sicher, dass unsere Loyalty-Secu-Firmware einen strengen Erstanmeldeflow befolgt. Hier ist, was passiert:
| Schritt | Aktion | Zweck |
|---|---|---|
| 1 | Alle Funktionen blockieren, bis das Passwort geändert wird | Jegliche Nutzung mit Standardanmeldedaten verhindern |
| 2 | Mindestens 8 Zeichen mit Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen erzwingen | Schwache Passwörter wie 123456 |
| 3 | Passwörter ablehnen, die mit der Geräteseriennummer oder “admin” übereinstimmen” | Vorhersehbare Muster blockieren |
| 4 | IP nach 5 fehlgeschlagenen Anmeldeversuchen sperren | Brute-Force-Angriffe verhindern |
Jenseits der Erstanmeldung
Eine erzwungene Passwortänderung ist nur die erste Hürde. Ich konfiguriere unsere Firmware auch so, dass sie periodische Erinnerungen zur Passwortablaufzeit und eine rollenbasierte Zugriffskontrolle (RBAC) unterstützt. Das bedeutet, dass das Installer-Konto und das Admin-Konto unterschiedliche Berechtigungsstufen haben. Wenn die Anmeldedaten eines Technikers durchsickern, kann der Angreifer immer noch nicht die Netzwerkeinstellungen ändern oder die Firmware aktualisieren.
Einige Kunden fragen mich, ob dies die Bereitstellung verlangsamt. Es dauert etwa 30 Sekunden pro Kamera. Das sind 30 Sekunden im Vergleich zu potenziellen Wiederherstellungskosten von 50.000 €. Ich denke, die Rechnung ist einfach.
Kann ich einen “Penetrationstest”-Bericht für die Webschnittstelle und den 4G-Port der Kamera sehen?
Diese Frage stelle ich oft von Integratoren von Regierungsprojekten. Sie wollen nicht nur ein Datenblatt. Sie wollen einen Bericht mit einem Stempel darauf. Und ehrlich gesagt, das sollten sie auch.
Ein Penetrationstestbericht sollte die Webverwaltungsschnittstelle (HTTP/HTTPS) der Kamera, die RTSP/ONVIF-Streaming-Ports, die 4G-Modemschnittstelle und alle API-Endpunkte abdecken. Er muss von einem unabhängigen Drittanbieter-Sicherheitsunternehmen durchgeführt werden, das auf das spezifische Modell und die zu kaufende Firmware-Version abzielt.
Penetrationstestbericht PTZ-Kamera Webinterface 4G-Port
Was ein echter Pen-Test abdeckt
Ich habe gelernt, dass viele Käufer einen Schwachstellenscan mit einem Penetrationstest verwechseln. Sie sind nicht dasselbe. Ein Schwachstellenscan ist automatisiert. Ein Penetrationstest beinhaltet einen Menschen, der versucht, einzubrechen, und dabei dieselben Werkzeuge und Methoden verwendet, die ein echter Angreifer verwenden würde.
Für unsere PTZ-Kameras arrangiere ich Pen-Tests, die drei Bereiche abdecken:
Port- und Service-Audit
Der Tester scannt jeden offenen Port der Kamera. Bei einer ordnungsgemäß konfigurierten Kamera sollten nur die Ports 80 (HTTP), 443 (HTTPS) und 554 (RTSP) geöffnet sein. Wenn der Tester Telnet auf Port 23 oder SSH auf Port 22 standardmäßig laufen sieht, ist das ein sofortiges Fehlschlagen. Ich habe gesehen, dass Kameras von Wettbewerbern mit offenem Telnet ausgeliefert wurden. Das ist, als würde man seine Haustür unverschlossen lassen und ein Schild daran anbringen.
Protokoll-Fuzzing
Hierbei sendet der Tester fehlerhafte, übergroße oder falsch formatierte Datenpakete an die ONVIF-, RTSP- und SDK-Schnittstellen der Kamera. Das Ziel ist es, das Gerät zum Absturz zu bringen oder es zu unerwartetem Verhalten zu zwingen. CVE-2024-8957 ist ein perfektes Beispiel. Angreifer nutzten schwache Eingangsfilterung im ntp_client Binärprogramm aus, um Remote Code Execution zu erreichen. Ein ordnungsgemäßer Fuzz-Test hätte dies vor dem Versand der Firmware erkannt.
Web-Interface-Tests gegen OWASP Top 10
Die Web-Verwaltungsseite der Kamera wird auf die OWASP Top 103 Schwachstellen getestet. Dazu gehören Cross-Site Scripting (XSS), fehlerhafte Authentifizierung und Fehlkonfigurationen der Sicherheit. Ich verlange, dass speziell geprüft wird, ob die Weboberfläche Passwörter im Klartext überträgt. Es wurde festgestellt, dass einige chinesische IP-Kameras admin:admin12345 im Klartext über HTTP senden – sichtbar für jeden, der das Netzwerk abhört.
Was Sie Ihren Lieferanten fragen sollten
Wenn Ihr Lieferant keinen Penetrationstest-Bericht vorlegen kann, sagt Ihnen das etwas Wichtiges. Hier ist, was ich empfehle anzufordern:
| Dokument | Was es beweist | Rote Flagge bei Fehlen |
|---|---|---|
| Externer Penetrationstest-Bericht (für spezifisches Modell und Firmware-Version) | Unabhängige Überprüfung der Sicherheit | Lieferant verlässt sich nur auf interne Tests |
| CVE-Scan-Ergebnisse gegen die neueste NVD-Datenbank | Keine bekannten Schwachstellen mit hoher Priorität | Veraltete Firmware mit ungepatchten CVEs |
| Details des Firmware-Signaturzertifikats | Updates können nicht manipuliert werden | Angreifer kann bösartige Firmware einschleusen |
Ich stelle diese Dokumente meinen Kunden zur Verfügung. Wenn ein Lieferant zögert oder sagt “es ist vertraulich”, drängen Sie härter. Die Sicherheit Ihres Projekts hängt davon ab.
Wie behebt der Hersteller neu entdeckte CVE-Schwachstellen im Feld?
Ich verfolge wöchentlich CVE-Datenbanken. Nicht weil ich gerne Schwachstellenberichte lese, sondern weil ein ungepatchter Fehler eine $200 Kamera in eine Haftung von $200.000 für meinen Kunden verwandeln kann.
Verantwortungsvolle Hersteller unterhalten ein Product Security Incident Response Team (PSIRT)4 das globale CVE-Datenbanken überwacht, Sicherheitswarnungen herausgibt und signierte OTA-Firmware-Patches innerhalb von 90 Tagen nach Bekanntwerden einer kritischen Schwachstelle liefert. Ohne diesen Prozess bleiben Kameras im Feld dauerhaft exponiert.
CVE-Schwachstellen-Patching OTA-Firmware-Update PTZ-Kamera
Das Problem mit “Einrichten und Vergessen”-Firmware
Viele im Feld eingesetzte Kameras erhalten nach der Installation nie ein einziges Update. Der Bleeping Computer Bericht über CVE-2024-8956 und CVE-2024-8957 zeigte, dass PTZ-Kameras mit Hisilicon Hi3516A V600 SoC und VHD-Firmware älter als Version 6.3.40 vollständig ausnutzbar waren. Angreifer konnten die Kamera übernehmen, in das lokale Netzwerk eindringen und die Kamera sogar zu einem Botnetz rekrutieren.
Das Problem ist nicht nur, dass Schwachstellen existieren. Jede Software hat Fehler. Das eigentliche Problem ist, ob der Hersteller ein System hat, um sie schnell zu beheben und Updates zuverlässig bereitzustellen.
Wie ich CVE-Patching bei Loyalty-Secu handhabe
Ich habe unseren Patching-Prozess auf vier Prinzipien aufgebaut:
Überwachung und Triage
Unser internes Sicherheitsteam überwacht täglich die National Vulnerability Database (NVD)8, die MITRE CVE-Liste und IoT-spezifische Bedrohungsfeeds. Wenn eine neue CVE erscheint, die eine Komponente unserer Firmware betrifft – einschließlich Drittanbieterbibliotheken wie OpenSSL oder lighttpd –, klassifizieren wir sie anhand des CVSS-Scores nach Schweregrad.
Patch-Entwicklung und -Test
Bei kritischen Schwachstellen (CVSS ≥ 7,0) fordere ich die Entwicklung und den Test eines Patches innerhalb von 30 Tagen. Der Patch durchläuft Regressionstests, um sicherzustellen, dass er bestehende Funktionen wie ONVIF-Discovery oder RTSP-Streaming nicht beeinträchtigt. Ich habe Fälle gesehen, in denen ein Sicherheitspatch die Weboberfläche der Kamera beschädigt hat. Das ist nicht akzeptabel.
Signierte OTA-Lieferung
Jedes Firmware-Update-Paket wird mit unserem privaten Schlüssel digital signiert. Bevor die Kamera ein Update installiert, überprüft sie die Signatur. Wenn die Signatur nicht übereinstimmt, wird das Update abgelehnt. Dies verhindert, dass Angreifer eine modifizierte Firmware-Datei auf die Kamera aufspielen. Ich unterstütze auch den Rollback-Schutz – die Kamera akzeptiert keine ältere Firmware-Version als die aktuell installierte.
Kundenbenachrichtigung
Ich sende eine E-Mail mit einem Sicherheitsratgeber an alle registrierten Integratoren und Distributoren, wenn ein Patch veröffentlicht wird. Der Ratgeber enthält die CVE-ID, betroffene Modelle, Firmware-Versionen, Risikostufe und den Download-Link. Transparenz schafft Vertrauen. Das Verbergen von Schwachstellen zerstört es.
Ist die UPnP-Funktion standardmäßig deaktiviert, um unbefugten Netzwerkzugriff zu verhindern?
Ich habe UPnP in unserer Firmware vor zwei Jahren standardmäßig deaktiviert. Es war eine der einfachsten Sicherheitsentscheidungen, die ich je getroffen habe, und ich wünschte, mehr Hersteller würden dasselbe tun.
UPnP (Universal Plug and Play) sollte auf allen PTZ-Kameras standardmäßig deaktiviert sein. Wenn UPnP aktiviert ist, öffnet es automatisch Ports im Netzwerkrouter, ohne dass der Benutzer davon weiß, und schafft so direkte Wege für Angreifer, um von außerhalb des Internets auf die Kamera zuzugreifen. Die standardmäßige Deaktivierung reduziert die Angriffsfläche der Kamera erheblich.
UPnP standardmäßig deaktiviert PTZ-Kamera-Netwerksicherheit
Was UPnP tatsächlich tut – und warum es gefährlich ist
UPnP wurde entwickelt, um die Vernetzung zu vereinfachen. Ein Gerät verbindet sich mit dem Router und sagt: “Hey, öffne Port 8080 für mich, damit Leute mich aus dem Internet erreichen können.” Der Router tut dies automatisch. Ohne Fragen. Keine Authentifizierung erforderlich.
Für einen Consumer-Smart-Speaker mag das akzeptabel sein. Für eine Sicherheitskamera, die eine Baustelle, eine Autobahn oder ein Umspannwerk schützt, ist es eine Katastrophe. Hier ist der Grund:
Der Angriffspfad, den UPnP schafft
Wenn UPnP einen Port öffnet, wird die Kamera direkt aus dem öffentlichen Internet erreichbar. Ein Angreifer kann dann:
- Den offenen Port mit Tools wie Shodan5 oder Censys scannen.
- Das Kamera-Modell und die Firmware-Version anhand der HTTP-Header identifizieren.
- Bekannte CVEs für dieses Modell nachschlagen.
- Die Schwachstelle ausnutzen – oder einfach Standardpasswörter ausprobieren.
Genau so haben sich Botnetze wie Mirai Hunderttausende von IP-Kameras rekrutiert. Viele dieser Kameras hatten UPnP standardmäßig aktiviert.
Unsere Philosophie zur Standardkonfiguration
Ich befolge eine einfache Regel: Jeder Port und Dienst, der nicht unbedingt erforderlich ist, sollte standardmäßig geschlossen oder deaktiviert werden. Hier ist, wie ich unsere Loyalty-Secu PTZ-Kameras direkt nach dem Auspacken konfiguriere:
| Funktion / Dienst | Standardzustand | Grund |
|---|---|---|
| UPnP | Deaktiviert | Verhindert automatische Portweiterleitung ohne Zustimmung des Benutzers |
| Telnet | Deaktiviert | Unverschlüsselte Remote-Shell – ernstes Risiko |
| FTP | Deaktiviert | Unverschlüsselte Dateiübertragung – für den normalen Betrieb nicht erforderlich |
| SSH | Deaktiviert | Kann bei Bedarf vom Administrator aktiviert werden, ist aber standardmäßig deaktiviert |
| HTTPS | Aktiviert | Verschlüsselte Web-Management-Oberfläche |
| RTSP-Authentifizierung | Aktiviert | Verhindert unbefugten Zugriff auf den Videostream |
| P2P-Cloud-Zugriff | Optional, standardmäßig deaktiviert | Reduziert Cloud-basierte Angriffsvektoren |
Wenn ein Kunde Fernzugriff benötigt
Einige meiner Kunden benötigen tatsächlich Fernzugriff auf Kameras. Anstelle von UPnP empfehle ich die Verwendung eines VPN-Tunnels7 oder einer sicheren P2P-Verbindung mit Ende-zu-Ende-Verschlüsselung. Dies hält die Kamera für öffentliche Internet-Scans unsichtbar. Die Kamera spricht nur mit dem VPN-Server oder der autorisierten App – nicht mit dem gesamten Internet.
Ich rate Kunden auch, ihr Kameranetzwerk von ihrem Hauptgeschäftsnetzwerk zu trennen, indem sie VLANs6. verwenden. Selbst wenn eine Kamera kompromittiert wird, kann der Angreifer nicht auf die Bürocomputer, das Abrechnungssystem oder die Kundendatenbank zugreifen. Netzsegmentierung ist eine der billigsten und effektivsten Sicherheitsmaßnahmen, die ich kenne.
Für 4G-verbundene Solar-PTZ-Kameras, die in abgelegenen Gebieten eingesetzt werden, ist dies noch wichtiger. Diese Kameras befinden sich oft in Mobilfunknetzen mit öffentlichen IP-Adressen. Wenn UPnP aktiviert wäre, wären sie leichte Beute. Indem ich UPnP ausgeschaltet lasse und VPN-basierten Zugriff verlange, stelle ich sicher, dass die Fernkameras meiner Kunden für Bedrohungsakteure, die das Internet rund um die Uhr scannen, unsichtbar bleiben.
Schlussfolgerung
Firmware-Sicherheit ist keine Funktion, die man überspringen kann. Von erzwungenen Passwortänderungen bis hin zu deaktiviertem UPnP ist jede Ebene wichtig. Ich baue diese Schutzmaßnahmen in jede Loyalty-Secu PTZ-Kamera ein, weil der Ruf meiner Kunden – und die Sicherheit ihrer Kunden – davon abhängt. Fragen Sie Ihren Lieferanten nach Beweisen, nicht nach Versprechungen.
1. Kritische Schwachstelle zur Umgehung der Authentifizierung in Hikvision-Kameras; weit verbreitet ausgenutzt. ︎↩︎ 2. Befehlsinjektionsschwachstelle, die Hikvision-Kameras betrifft; verwendet zur Rekrutierung in Botnetzen. ︎↩︎ 3. Die OWASP Top 10 ist die branchenübliche Liste von Webanwendungs-Sicherheitsrisiken. ︎↩︎ 4. Ein PSIRT ist ein engagiertes Team, das die Offenlegung von Schwachstellen verwaltet und Patches koordiniert. ︎↩︎ 5. Shodan ist eine Suchmaschine für internetfähige Geräte, die oft von Angreifern verwendet wird, um exponierte Kameras zu finden. ︎↩︎ 6. VLANs segmentieren den Netzwerkverkehr und begrenzen den Schadensradius, wenn eine Kamera kompromittiert wird. ︎↩︎ 7. Ein VPN-Tunnel verschlüsselt und authentifiziert den Fernzugriff und hält Kameras vom öffentlichen Internet fern. ︎↩︎ 8. Das NVD ist das Repository der US-Regierung für standardbasierte Daten zur Schwachstellenverwaltung. ︎↩︎