Vernetzte Sicherheitskameras sind für Unternehmen eine praktische Sache: Nicht nur kann man damit Büros oder Fabriken im Auge behalten, das Überwachungspersonal dafür muss nicht einmal vor Ort sein, weil die Kamera-Bilder über das Internet abgerufen werden können. Doch dann sollten solche Zugänge gut gesichert sein – und bei dem Anbieter Verkada war das offenbar ganz und gar nicht der Fall. Hacker verschafften sich nach Berichten Zugriff zu Super-Konten, mit denen sie Zugriff auf 150.000 Verkada-Kameras bei tausenden Kunden einschließlich Tesla hatten. Intern sollen mehr als 100 Mitarbeiter diese Möglichkeit gehabt haben.
Tesla China: Nur Zulieferer-Fabrik
Das kalifornische Unternehmen Verkada wurde 2016 gegründet und bietet sowohl Hardware als auch Cloud-Software für Kamera-Überwachung. Zu den Kunden zählen Unternehmen wie Tesla oder die Software-Firma Cloudflare ebenso wie Krankenhäuser, Schulen oder Polizei-Behörden. Insgesamt sind es nach Angaben auf der Website 5200 Kunden. Auf all deren Verkada-Kameras einschließlich Cloud-Aufzeichnungen sollen interne Mitarbeiter regulär Zugriff gehabt haben. Das entdeckten Hacker um den Schweizer Tillie Kottmann, wie zuerst die Nachrichten-Agentur Bloomberg berichtete.
Mit Blick auf Tesla hieß es zunächst, sowohl ein Showroom in Kalifornien als auch die Gigafactory in China seien mit Verkada-Technik ausgestattet und deshalb betroffen gewesen. Gegenüber der Agentur Reuters dementierte Tesla dies aber für China: Dort seien weder die eigene Fabrik noch Vertretungen auf Entfernung zu beobachten gewesen, sondern nur die Anlagen eines Zulieferers. Auch diese Möglichkeit sei abgestellt worden. Zu der Tesla-Filiale in Kalifornien enthält der Bericht keine Aussage.
Die Gruppe um Kottmann hatte sich nach seinen Aussagen gegenüber Bloomberg Zugang zu den Verkada-Kameras verschafft, um darauf aufmerksam zu machen, wie weit die Überwachung von Menschen schon geht. Die Daten für das Einloggen als „Super-Administrator“ für alle Kunden seien im Internet zu finden gewesen. Und wie frühere Verkada-Mitarbeiter der Agentur sagten, ging das Unternehmen mit den mächtigen Möglichkeiten auch intern nicht sehr sorgfältig um.
Praktikanten als Super-Administrator
Insgesamt hätten mehr als 100 Personen bei Verkada die Möglichkeit gehabt, durch die Kameras von tausenden Kunden zu blicken – einschließlich Verkaufspersonal und Praktikanten, berichteten die Ex-Insider. Zudem seien die Sicherheitsmaßnahmen lax gewesen. Zwar sei für das Einloggen als Super-Administrator eine Mehr-Faktor-Authentifizierung vorgesehen gewesen, doch die habe man einfach abschalten können. Und das System habe zwar das Eingeben von Gründen für das Anmelden an Kunden-Kameras verlangt, doch die seien nie überprüft worden.
Das Unternehmen teilte dazu mit, der Zugriff sei auf Techniker und Support-Mitarbeitende begrenzt gewesen und nur zur Lösung konkreter Probleme zulässig. Verkada-Personal werde klar darauf hingewiesen, dass vor einem Zugriff die explizite Einwilligung der Kunden erforderlich sei. Die Login-Daten, die von den Hackern genutzt wurden, funktionierten laut dem Bloomberg-Bericht nach der Anfrage dazu nicht mehr.