Netgear bietet eine Reihe von kabellosen Sicherheitskameras an. Die Dinger lassen sich von jedermann in’s heimische Netzwerk integrieren. Wer von China-Heimplaste mit fehlender Firmwareversorgung und jeder Menge Sicherheitslücken möglicherweise genug hat, könnte mit Arlo einen Versuch wagen. Ob das eine gute Idee ist, will ich herausbekommen.
tl;dr: Nicht wirklich!
Angebotsvielfalt
Für die meisten Arlo-Produkte gilt: Man braucht eine Basisstation und einen Internetzugang. Die Basis ist schnell aufgestellt und anschließend kann mittels Tastendruck eine beliebige Anzahl von unterschiedlichen, kabellosen Kameras aufgestellt werden. Es gibt sie in allen möglichen Auflösungsformen und in unterschiedlichsten Preiskategorien. Neuere haben sogar einen Pufferspeicher für den Zeitraum vor der eigentlichen Bewegungserkennung.
Eine einzige Kamera aus der Arlo-Serie kann per Kabel verbunden werden. Alles in allem spielt sich die Benachrichtigung und die Verwaltung über die Wolke ab. Ein Client kann (zumindest Ende 2019 auf einem iOS Gerät) zuverlässig Push-Benachrichtigungen empfangen.
Wo landen die Bilder?
Die Kameras speichern zum einen in der Cloud bei Amazon, zum anderen kann ich eine lokale Festplatte anschließen. Die Idee mit der Wolke ist sicherlich toll: Landet die Basisstation samt Festplatte im Rucksack des Einbrechers, ist immer noch eine Kopie in der Wolke verfügbar. Je nach Belieben kann die Länge der Aufzeichnung mit unterschiedlichen Abos bestellt werden. Kostenlos ist lediglich eine Woche Aufzeichnung der Bewegungsmeldungen von 5 Kameras. Bei allen weiteren Wünschen muss ein Vertrag abgeschlossen werden.
Mit wenig Aufwand kann man sich die aufgezeichneten Videos auf dem mobilen Endgerät (iOS/Android) oder im Browser ansehen. Ein Klick auf den Play-Button zeigt ein ebenfalls verzögertes Re-Live-Bild. Probleme hat die Webanwendung mit Anwendungsfiltern, wie z.B. McAfee Webgateway oder Sophos SG oder manchen Proxyservern. Die App ist übersichtlich gestaltet, jeder sollte ohne Probleme alle Features nutzen können.
Zeitpläne
lassen sich einfach definieren. Die Bewegungserkennung kann global aktiviert oder deaktiviert werden, ebenso können unterschiedliche Zeitpläne hinterlegt werden. Sehr komfortabel: Über Geofencing lässt sich der Standort des Mobiltelefons abfragen und die Scharfschaltung der Bewegungserkennung automatisieren.
Erkennung von Bewegungen
Allerdings ist die Sensorik bei den neueren Geräten auf die reine Bildverarbeitung beschränkt. Mit einem weiteren Abonement kann man Fehlalarme durch Magie in der Wolke verbessern. Features, wie man sie z.B. von Mobotix kennt, sucht man bei der Kamera vergeblich. Auch lässt sich eine Zone auf dem Erfassungsbereich der Kamera nur als Rechteck definieren.
Es ist bei z.B. in den Raumecken montierten Kameras unmöglich, Türen oder Fenster exakt zu definieren. Auch rutscht so immer mal wieder der Staubsauger-Roboter durch den Erfassungsbereich.
Sind die Dinger denn sicher?
Arlo wirbt mit Sicherheit, also sollte man davon ausgehen. Problematisch ist nur, dass sie es selbst mit der Sicherheit nicht so ernst nehmen.
Flash
Wir haben 2019, möchte ich anmerken.
Das Webportal setzt ein installiertes Flash-Plugin voraus. Bei Zerodium kriegt man heute vielleicht höchstens noch 5 Euro für eine Sicherheitslücke bei Flash. Ich kann hier wirklich nur noch mit dem Kopf schütteln. Es ist einfach unfassbar. Die Jungs im Forum verstehen das auch nicht so wirklich (Link).
Fehlendes 2 Factor
Das Ticket ist seit „einiger Zeit“ offen (Link), darum gekümmert hat sich das vielbeschäftigte Team von Netgear nicht. Mit Verlaub – das heiligste aller – Die Lebensräume und Privatsphären der Nutzer ohne 2 Factor schützen zu wollen, ist mir nicht geheuer.
WiFi
Arlo nutzt Standard-WiFi, verbunden wird über WPS, der Kanal wird automatisch gewählt. Es ist in 01/2019 nicht möglich, einen Einfluss auf den Namen der Funkzelle, noch auf den Verschlüsselungsstandard, noch auf andere Elemente dieser SSID zu nehmen. Besonders in Hipstergegend empfinde ich das als Belästigung, da mir in meinem Einzugsbereich ein WiFi-Kanal der eh schon knappen Funkversorgung im Bereich 2,4G genommen wird.
Die Zelle unterstützt ein paar der Features, die im letzten Jahr zu erfolgreichen Angriffen auf WiFi geführt haben. Das interessiert den Einbrecher jedoch überhaupt nicht, denn er hat’s viel einfacher.
Angreifen muss man die Zelle nämlich gar nicht, um ungesehen einzubrechen: Bei ausreichender „Interferenz“, jene sich mit handelsüblichen Jammern (welche fast jedem WiFi-Pro bekannt sind) erzeugen lässt, steigen die Dinger aus: Es wird dunkel. Wolke und dessen gutgläubiger Anwender bekommen in diesem Fall von „Bewegungen“ eben nichts mehr mit. Den Hinweis auf Teergruben erspare ich mir da, Jammer sind günstiger.
Ich möchte in diesem Kontext anmerken, dass das Stören von Funkzellen dritter, besonders das Verwenden eines Jammers illegal ist. Es ist rein fiktiv denkbar, dass dem Einbrecher das eventuell egal ist.
Einzige Ausnahme im Programm: Die Arlo Q Plus ist kabelversorgt.
Immun gegen Jammer
Da sich die Haushalte mit kabellosen Kameras über ebenfalls handelsübliche Scanner schnell finden lassen, ist eine Selektion möglicher Einbruchsziele im Dorf oder in der Stadt schnell erledigt. Da ist das Abschließen der Haustür eigentlich auch obsolet: Man könnte auch gleich ein Schild zur Straßenseite aufstellen…
Rechtliches
Die Speicherung von Audio-Aufzeichnungen ist ohne weiteres möglich. Auch das Mithören. Das gesprochene Wort unterliegt in Deutschland besonderen Rechtsgrundlagen (§201 StGB). Wer sich diese einfach zu konfigurierende Eigenschaft der Kameras zu Nutze macht, riskiert erhebliche Strafen. Nun kann man sagen, Unwissenheit schützt vor Strafe nicht: Der Nutzer selbst zumindest wird an keiner Stelle in der App oder im Webservice auf diesen lapidaren, rechtlichen „Umstand“ aufmerksam gemacht.
Eine Anfrage zu Auftragsverarbeitungsverträgen (GDPR) blieb unbeantwortet. In Unternehmen oder Geschäften würde ich diese Kameras auf keinen Fall einsetzen.
Fazit:
Ich kann jedem nur raten, um die kabellosen Dinger von Netgear einen großen Bogen zu machen. WiFi und Sicherheit beißen sich generell, auch bei anderen kabellosen Lösungen – das sollte eigentlich jedem klar sein. Sicher ist bei kabellosen Kameras also nichts. Wer die Wolkenverarbeitung von Sicherheitskameras wünscht, sollte darauf achten, dass mindestens 2-Factor beim Anbieter unterstützt wird. Flash ist 2019 ein absolutes No-Go. Alle Punkte lassen darauf schließen, dass dem Hersteller eher die Verkaufszahlen von Abos am Herzen liegen, denn die Sicherheit, mit jener sie werben.
Ich habe den Hersteller in 12/2018 auf diese Umstände mehrfach und auf unterschiedlichen Wegen aufmerksam gemacht. Meine Anfragen sind bis zum 11.01.2019 nicht beantwortet worden.