Mit Enttäuschung habe ich den aktuellen Bericht aus der Zeitschrift der Stifung Warentest gelesen, in dem die Instar-Kameras als besonders unsicher eingestuft werden.
Eigentlich habe ich mich persönlich für eine Instar Kamera in der Hoffnung entschieden, dass durch die Softwareentwicklung in D und eben den höheren Preis als Konkurrenzprodukte auch höhere Sicherheitsstandards zugrunde gelegt werden. Schließlich handelt es sich bei dem Einsatz einer Kamera in den eigenen vier Wänden um einen sensiblen Bereich, in den nicht eben jeder 0-8-15-Hacker hineinsehen können sollte.
Die Sache mit dem Standard-Passwort ist für mich persönlich weniger schlimm, als die Tatsache, dass Daten (Video sowohl als auch Passwörter) nicht richtig verschlüsselt übertragen werden und leicht zu knacken sind. Zitat Test:
„Zudem lassen [Instar-Kameras] wie die meisten Kameras im Test unnötige Netzwerkzugänge offen. So etwas knacken Hacker noch im Nachtzeug vor dem Frühstück“.
Ich bitte Sie daher zeitnah um ein Statement zur Sicherheit der Kameras sowie eine Zeitabschätzung, wann entsprechende Software-Updates zur Einhaltung gängiger Sicherheitsstandards erfolgen werden.
Sollte sich softwareseitig nichts ändern werde ich persönlich ggf. mit Hilfe eines Anwalts auf Umtausch der Kameras (habe mehrere Instar-Produkte im Einsatz) bestehen.
Dein Anliegen solltest du besser direkt an Instar senden.
.-auf der Instar Website unter Kontakt
Dieses ist ein Userforum!
Zum Thema Sicherheit:
Hast du denn auch all deine anderen Gerät, die sich mit dem Internet verbinden, auf Sicherheit geprüft?
ich denke da an dein Smartphone, eventuell Smarthome usw. Die neuen Kamera haben das HTTPS implementiert.
Da die Instar Kameras die Möglichkeit haben ihre Alarmbilder und Videos auf Geräte im lokalen Netz zu speichern, also keinen Zugriff auf eine Cloud im Internet brauchen, liegt es ganz bei dir
wie sicher du deine Kamera machen, haben möchtest.
Deaktiviere das P2P Protokoll und greife aus dem Internet nur über eine sichere Verbindung (VPN) zu!
Wenn du also keine Portweiterleitung in deinem Internetrouter eingerichtet hast und P2P in der Kamera deaktiviert hast ist der Weg aus dem Internet auf deine Kamera nicht möglich!
Danke für deine Tipps. Da ich bei einem Kabelanbieter mit DualStack Lite bin, verwende ich bisher die P2P-Funktion. Ich denke du hast recht, dass bis zu einem Hotfix es wohl das beste wäre, P2P komplett zu deaktivieren. Für Alarm würde ich dann auf die Mailbenachrichtigung und FTP Upload setzen.
Trotzdem sollte doch ein sicherer Remotezugriff durch eine gute Implementierung machbar sein, oder?
Ich hoffe, dass Instar da nachlegt. Ansonsten ist die Software ja gut gelungen, aber das Thema Sicherheit finde ich elementar. Im Worst Case würde die Kamera dazu verwendet werden können die Bewohner auszuspähen und herauszufinden, wann man am besten einbricht, anstatt Einbrüche zu verhindern.
Da hat Instar nachgelegt - die neuen Kameras haben ja HTTPS implementiert.
Da du aber NUR über das P2P Protokoll übers Internet auf die Kamera zugreifen kannst, wegen fehlenden öffentlichen IPv4 Adresse, schau mal im Internet nach der Sicherheit
bei P2P Protokoll.
Wie sicher das P2P ist kann ich nicht beantworten - habe zu wenig Erfahrungen damit.
Aber das P2P ist kein Alleinstellungsmerkmal der Instarkameras.
Und müssen Überwachungskameras überhaupt von Ausssen erreichbar sein?
Es ist nicht vielmehr so, dass sie eher dazu da sind um im Nachhinein zu sehen wer sich so auf seinem Grundstück rumtreibt - den bösen Buben zu indentifizieren helfen.
Und auch sollte jedem klar sein, wenn er sich ein Gerät anschafft welches Verbindung zum Internet hat, immer sofort das Kennwort auf ein sicheres Kennwort zu ändern.
Auch sind wir uns einig - Sicherheit im Internet?
Also, wer es Sicher haben will verzichtet auf den Zugriff von Außen, egal ob es nun Überwachungskameras, Smarthomegeräte sind oder was auch immer, außer man hat die Möglichkeit
dies über eine VPN-Verbindung zu tun.
Was mich beim Thema „Sicherheit im Internet“ verwundet ist der Umgang der User damit - kaum einer macht sich Gedanken über die Sicherheit seines Smartphones, über Facebook Whatsapp, Smarthhome usw. … aber das ist ein anderes Thema.
Frage: was für Modelle von Instar hast du und wie alt sind die?
Für die Basisfunktionalität reicht es, das stimmt. War halt ganz nett den Alarm per Instar App ein und auszuschalten. Oder mit den Lieben zuhause über Lautsprecher und Mikro der Kamera zu kommunizieren. Aber im Grunde kann man darauf auch verzichten, ja.
Selbstverständlich. Die Kennwörter habe ich bei der Erstkonfiguration direkt angepasst.
[/QUOTE]
Auch das wundert mich. Ich persönlich war nie ein Freund von Facebook oder Whatsapp. Habe im engeren Freundeskreis und der Familie immer auf Threema oder Signal gesetzt, die sich da mehr Mühe geben bei der Sicherheit.
Auf der einen Seite sind es die unbedarften User. Auf der anderen Seite sehe ich aber auch die Entwickler hier in der Pflicht, das Thema Sicherheit ernster zu nehmen.
Eine IN-5907HD für draußen. Diese ist jetzt zwei Jahre alt. Und eine IN-6014HD für drinnen, die jetzt circa 1.5 Jahre alt ist.
An für sich bin ich mit den beiden ziemlich glücklich.
Der Instar-Support hat sich mittlerweile geäußert.
Stiftung Warentest hat wohl eine uralt Firmware verwendet mit Sicherheitslücken, die in neueren Firmwares gefixt wurden. Das würde dann ja einiges erklären.
Also nun muss ich mich hier doch einmal äußern da ich mich doch sehr ärgere. Aus Erfahrung weiß ich, dass vor einem Test der Stiftug Warentest der Hersteller sogar kontaktiert wird und explizit nach dem derzeit aktuellen Versionsstand nachgefragt wird. Sobald der Test dann angelaufen ist, werden keine neu veröffentlichten Versionen mehr verwendet… und scheinbar geht es hier nicht nur um den Passwort Änderungszwang sondern auch um ftp, ssh oder telnet Zugänge. Eine offizielle Stellungnahme hierzu wäre wünschenswert. Meine Kamera hänge ich erstmal vom Netz
Stellungnahme zu was?
Wenn dich etwas interessiert oder beunruhigt, solltest du das schon etwas präzisieren -
Meine Kamera hänge ich erstmal vom Netz
Du hast eine aktuelle Firmware drauf? Dann meine Frage wo du Sicherheitsprobleme siehst?
Grundsätzlich - wenn eine Kamera nur im lokalen Netz betrieben wird, dann gibt es keine Probleme.
Wenn man selber von aussen auf die Kamera zugreifen kann, dann kann das vom Prinzip her auch ein Hacker. Zwischen dir und dem Hacker steht nur das Passwort. Technik/Programmierung kann Hacks nur erschweren, aber nicht verhindern.
Beim Rechner sitzt das Problem meist vor der Tastatur. Ist beim Smartphone, Kamera etc. nicht anders.
Und dann mal die Praxis. „Hätte“ ein unbefugter Zugriff auf eine Kamera, was sieht er dann? Den Gartenteich, die Hofeinfahrt, die Haustür, … -
Das sehen die Nachbarn links, rechts und gegenüber auch - 24h lang. jeden Tag.
Bei Angst vor unbefugtem Zugriff sollte man bitte auch auf dem Teppich bleiben und „möglichen Schaden“ praxisgerecht einschätzen können.
Auch das gerne benutzte „Argument“, ein Hacker könne das Haus ausspähen um einzubrechen - ist praxisfremd. Ein Hacker in Hamburg sieht eine Wohnung … und wo ist die dann !? In München oder Kleinzipfeldorf, Hausnummer, Stockwerk ? ?
Sicherheit im Netz ist ein Feld für unendliche Diskussionen …
„Sicherheit“ => Stecker ziehen.
Und dann beobachtet einen der Nachbar mit dem Fernglas …
Wir haben schon eine lange Email an Stiftung Warentest geschrieben. Wer auch immer dort die Kamera getestet hat, hat diese mit einer sehr alten Firmware genutzt. Auch aus anderen Punkten des Tests geht hervor, dass diese Person sich auf dem Gebiet der IP-Kameras nicht gut auskennt.
Es gibt zwei Punkte, die bemängelt wurden, aber keine Sicherheitsprobleme darstellen:
Es wurde bemängelt, dass der Kunde nicht dazu aufgefordert wird, das Kennwort zu ändern. Wenn man mit einer veralteten Firmware von vor 2 Jahren testet, dann mag das sein, aber mit einer halbwegs aktuellen Firmware erscheint direkt beim Installationsassistenten eine Aufforderung zum Ändern des Kennworts. Zudem sollte der Kunde bei einer Sicherheitskamera von selbst auf die Idee kommen das Kennwort zu ändern. Es kann nicht die Pflicht des Herstellers sein, dem Kunden bei jedem Schritt den Denkprozess abzunehmen. Wie dies als Bewertungskriterium hergenommen werden kann, ist sehr zweifelhaft.
Außerdem wurde bemängelt, dass ein chinesischer Server kontaktiert wird.
Alle unsere wichtigen Server befinden sich in Deutschland. Für die P2P-Verbindung ist es aber notwendig, auch Server in anderen Ländern zu verwenden. Angenommen, Sie reisen nach Asien und möchten von dort auf Ihre Kamera in Deutschland zugreifen - dann wird bei einer P2P-Verbindung ein Server kontaktiert, der für den Aufbau der Direktverbindung zwischen App und Kamera verantwortlich ist. Wenn die App jetzt aus Asien einen Server in Deutschland kontaktiert, dauert der Verbindungsaufbau wesentlich länger als wenn wir flächendeckend Server positionieren. So haben wir neben den Hauptservern in Deutschland auch Server in den USA, Hong Kong, Japan und China.
Hier kommt wieder das Problem der mangelnden fachlichen Kenntnisse des Testers zu Tage. Denn bei einem MAC oder PC wird ja auch nicht geprüft, woher sich das Gerät sein Update holt. So hat Microsoft an sich in fast jedem größeren Land entsprechende Server, damit man aus Asien sein Update nicht von einem amerikanischen Server laden muss, was ja viel länger dauern würde.
Wichtiger wäre in dem Test z.B., wo die Server der Cloud stehen, denn dort werden ja auch die Daten gespeichert. Bei P2P findet nur ein Verbindungsaufbau statt, also nichts wirklich Datenrelevantes. Bei der Cloud allerdings werden Daten gespeichert. Und da sind alle Server von Instar rein in Deutschland. Darauf geht Stiftung Warentest jedoch nicht ein. Stattdessen schneidet Google Nest sehr gut ab - ob die Daten dort in den USA liegen und die Möglichkeit besteht, dass NSA und dergleichen die Videos anschauen, oder ob Daten an irgendwelche Unternehmen gesendet werden etc. wird mit keinem Wort erwähnt, geschweige denn in die Bewertung mit einbezogen.
Die Hauptsache beim Bewertungsvorgang von Stiftung Warentest scheint zu sein, dass das Produkt möglichst einfach ist. Je einfacher ein Produkt jedoch ist, desto mehr wird automatisiert und desto mehr Daten bekommt der Hersteller übertragen, wovon der Kunde am Ende aber nichts weiß.
Es bleibt die Frage offen, warum Stiftung Warentest eine 4 Jahre alte Kamera von uns getestet hat, obwohl unser neuestes Modell schon mehrere Monate vor dem Test erhältlich war. Die Außenkameras der anderen Hersteller, mit denen die 4-Jahre alte INSTAR Kamera verglichen wurde, sind bis auf ein Modell nicht älter als 1 Jahr. Dass sich innerhalb von 3 Jahren Technologien und Produkte wie IP-Kameras stark weiterentwickeln, sollte selbst einem Laien klar sein. Warum trotzdem ein älteres Produkt mit deutlich neueren Produkten verglichen wird, obwohl ein neues Produkt für den Test verfügbar war, bleibt fraglich.
Die neue INSTAR FullHD-Kamera ist in allen Belangen eine Verbesserung zum Vorgänger-Modell und hätte im Test durch eine höhere Bildqualität und den integrierten PIR-Sensor deutlich besser abgeschnitten. Auch hat sie eine übersichtlichere Bedienung und kann HTTPS, was die Sicherheit erhöht.
Stiftung Warentest hat sich in der Vergangenheit schon oft mit wenig Ruhm bekleckert. Ich habe früher schon Tests von denen gelesen über Produkte die ich selber habe und konnte über deren „Bewertung“ nur den Kopf schütteln.
Wer alles testen will, müsste auch für alles Fachleute haben - und das ist bei denen nicht gegeben.
Und wenn da einer testet, ist immer noch die Frage, wie subjektiv oder objektiv der seinen Job macht - machen kann.
Ist wie beim TÜV. Der eine Prüfer erteilt die Plakette, ein anderer würde den Wagen sofort stilllegen, der dritte sieht alles wieder ganz anders.
Auch ich habe mit großem Interessen den Bericht von Stiftung Warentest gelesen, zumal beide Kameras von Instar auch hier zu Hause im Betrieb sind. Ich denke wie viele andere hier auch, war ich von dem Ergebnis doch erstmal sehr enttäuscht. Ob es jetzt wirklich „nur“ an der vielleicht zu alten Firmware Version lag, kann ich nicht beurteilen. Allerdings scheinen andere Hersteller was die Sicherheit angeht, andere Wege zu gehen. Neben der Sicherheit, finde ich die Bewertungen der Bildqualität bei wenig Licht und die Wetterfestigkeit im Vergleich zu anderen sehr interessant. Auch hier hatte ich eigentlich mehr erwartet, was jetzt an der Art und Weise der Bewertung von Stiftung Warentest liegen kann, aber vielleicht doch auch Anlass bieten sollte, seine eigenen Produkte und Lösungsansätze mal kritisch zu hinterfragen. Ich habe nach dem lesen des Artikels heute dann festgestellt, das es ein Firmware Update gibt, seit dem 4.9., auch hier wäre es doch möglich, das ein vorhandes Update sichtbar angezeigt wird, oder man z.B. über Mail etc. informiert wird. Sicherlich ist das teilweise klagen auf hohem Niveau, aber ich zitiere bei solchen Sachen immer gerne: Wer aufhört, besser zu werden, hat aufgehört, gut zu sein (Philip Rosenthal - 1916). Sicherlich sitzen viel Probleme vor dem Monitor und auch Sicherheit im Internet ist ein schwieriges Thema, wer aber Software und Apps dafür anbietet muss sich auch kritische Fragen dazu gefallen lassen. Solche Tests sollte man auch dazu nutzen mal alles kritisch zu hinterfragen und eigentlich glaube ich auch, das dies bei Instar so ist. Ich verstehe auch den Unmut, das anscheinend im Vergleich zu anderen Herstellern, ältere Modelle getestet wurden, allerdings werden beide getesteten Modelle aktuell noch so verkauft und auch ich habe meine IN-5905 HD vor knapp zwei Monaten neu gekauft, da war leider gerade das neue Modell nicht lieferbar. Auch wenn ich mit der Kombination aus IN-5905 und der Motion 500 eigentlich ganz zufrieden bin, so würde ich mich heute wohl doch nicht mehr für diese Kombination entscheiden.
und habe mich danach auch gefragt, wie sicher meine Kameras wohl sind… zumal Instar dort gar nicht erwähnt wird… das kann man sowohl positiv als auch negativ auslegen.
