Mel
In den vergangenen Wochen sorgte Anker mit seiner Tochterfirma eufy und den damit verbundenen Sicherheitskameras für viele Schlagzeilen. Der Sicherheitsberater Paul Moore deckte eine Sicherheitslücke in den Kameras auf: Seine Eufy-Dual-Türklingel Vorschaubilder von Gesichtern sowie Nutzerinformationen in die Eufy-Cloud hoch, ohne ihn als Nutzenden darüber zu informieren. Der Upload geschah sogar auch dann, wenn die Cloud-Funktion deaktiviert war.
Die Anker-Tochter reagierte daraufhin mit einem Update der zugehörigen App, behob allerdings nicht die Sicherheitslücke selbst, sondern fügte einen Disclaimer hinzu, der die Nutzenden darüber informiert, wann und in welchem Umfang Daten in die Cloud geladen werden. Kürzlich wurden auch auf der Website des Anbieters im Bereich des Datenschutzversprechens Passagen abgeändert oder ganz gestrichen.
Nach den Anpassungen in der App und auf der eigenen Website hat eufy nun auch ein öffentliches Statement für die Kundschaft und Partner des Unternehmens veröffentlicht. Wir haben das englische Original vom 19. Dezember 2022 übersetzt und stellen es euch hier in voller Länge in deutscher Sprache zur Verfügung.
„Statement zu den aktuellen Sicherheitsklagen gegen eufy Security
Bei eufy Security verfolgen wir einen neuen Ansatz für die Sicherheit des Zuhauses. Unsere Sicherheitslösungen sind so konzipiert, dass sie lokal arbeiten und, wo immer möglich, die Cloud vermeiden. Dazu gehört, dass wir das Videomaterial der Benutzer lokal speichern und wichtige Prozesse wie Gesichtserkennung und biometrische Identitätsprüfung direkt über den Chip im Gerät des Benutzers verwalten. Nicht über die Cloud. Dies ist ein anderer Ansatz als bei anderen Unternehmen in der der Heim-Sicherheitsbranche, bei denen die Cloud ein zentraler Bestandteil der Sicherheitslösung und des Geschäftsmodells darstellt. Unsere Sicherheits-Technologie wurde so noch nie ausprobiert, und wir stehen vor Herausforderungen auf dem Weg dorthin. Aber wir bleiben den Millionen von Verbrauchern weltweit verpflichtet, die sich für eufy Security entschieden haben, um ihre Sicherheit, Privatsphäre und Identität zu schützen.
In den letzten Wochen wurden mehrere Vorwürfe gegen eufy Security erhoben. Wir wissen, dass die Notwendigkeit einer direkteren und zeitnahen Kommunikation zu diesen Themen viele Kunden frustriert hat. Wir haben jedoch die letzten Wochen genutzt, um diese möglichen Bedrohungen zu untersuchen und alle Fakten zu sammeln, bevor wir uns öffentlich zu diesen Behauptungen äußern. In Zukunft werden wir unser Bedürfnis, ‚alle Fakten‘ zu sammeln, besser mit unserer Verpflichtung, unsere Kunden schneller zu informieren, in Einklang bringen müssen. Im Folgenden werden wir versuchen, die Fakten besser von der Fiktion zu trennen und mehr Details über alle Änderungen, die wir an unseren Richtlinien, Prozessen und Sicherheitslösungen vorgenommen haben, zu liefern.
eufy Security nutzt die Cloud, um Benutzern mobile Push-Benachrichtigungen zu senden.
Das ist wahr. Wie bereits erwähnt, ist eufy Security bestrebt, die Nutzung der Cloud in unseren Sicherheitsprozessen so weit wie möglich zu reduzieren. Einige Prozesse erfordern jedoch auch heute noch die Nutzung unseres sicheren AWS-Servers. So wird beispielsweise bei Push-Benachrichtigungen über Sicherheitsereignisse – wenn der Benutzer ein Vorschaubild für die Sicherheitsbenachrichtigung ausgewählt hat – ein kleines Vorschaubild des Sicherheitsereignisses an unseren sicheren AWS-Server gesendet und dann auf das Telefon des Benutzers übertragen. Dieses Bild ist durch eine Ende-zu-Ende-Verschlüsselung geschützt und wird kurz nach dem Versand der Push-Benachrichtigung gelöscht. Auch dieser Prozess entspricht allen Industriestandards.Wir haben die eufy Security-App bereits mit einer detaillierteren Erklärung der verschiedenen Push-Benachrichtigungsoptionen und der Optionen, die die Verwendung unseres sicheren AWS-Servers erfordern, aktualisiert. Dies wird unseren Nutzern helfen, eine fundierte Entscheidung zu treffen. Wir verstehen, dass dies nicht genug ist. Als Unternehmen, das sich darauf konzentriert, die Nutzung der Cloud zu reduzieren, müssen wir deutlicher machen, welche unserer Prozesse lokal ausgeführt werden und welche die Nutzung unseres sicheren AWS-Servers erfordern. Dazu gehört auch eine überarbeitete Datenschutzerklärung auf eufy.com, die wir im Laufe dieser Woche veröffentlichen werden. Für unsere Marketing- und Kommunikationsteams wird dies ein wichtiger Verbesserungspunkt sein, der auf unserer Website, in den Datenschutzrichtlinien und in anderen Marketingmaterialien aufgenommen wird.
Die Live-Ansicht des Web-Portals von eufy Security hat eine Sicherheitslücke
Zunächst einmal wurden keine Nutzerdaten preisgegeben, und die möglichen Sicherheitslücken, die online diskutiert werden, sind spekulativ. Wir stimmen jedoch zu, dass es einige wichtige Bereiche gibt, die verbessert werden können. Daher haben wir die folgenden Änderungen vorgenommen. Heute können sich die Benutzer immer noch bei unserem Webportal eufy.com anmelden, um die Live-Streams ihrer Kameras anzusehen. Außerhalb des sicheren Webportals von eufy können Nutzer jedoch keine Live-Streams mehr ansehen (oder aktive Links zu diesen Live-Streams mit anderen teilen). Jeder, der diese Links sehen möchte, muss sich zunächst beim eufy.com Webportal anmelden. Wir werden weiterhin nach Möglichkeiten zur Verbesserung dieser Funktion suchen.
eufy sendet Gesichtserkennungsdaten in die Cloud?
Das ist nicht wahr. Dies ist ein entscheidendes Unterscheidungsmerkmal für eufy Security – alle Gesichtserkennungs- und biometrischen Prozesse werden lokal auf dem Gerät des Nutzers abgeschlossen. Diese Informationen werden niemals in der Cloud verarbeitet.
Die Schritte beschreiben, was passiert, wenn Benutzer eine neue Person zu ihrem eufy Security-Gesichtserkennungssystem hinzufügen möchten:
- Der Nutzer muss zunächst ein Bild der neuen Person über seine eufy Security App an sein Sicherheitsgerät senden.
- Befindet sich der Nutzer im selben WLAN wie sein Sicherheitsgerät, wird das Bild über eine sichere lokale Verbindung (LAN) von der eufy Security App direkt an das Sicherheitsgerät gesendet.
- Befindet sich der Benutzer nicht im selben Wi-Fi-Netzwerk wie das Sicherheitsgerät (oder ist er nicht zu Hause), wird das Bild über eine direkte P2P-Verbindung über das Internet sicher von der eufy Security App an das Sicherheitsgerät gesendet.
Zuvor nutzte die eufy Video Doorbell Dual unseren sicheren AWS-Server, um das Ausgangsbild an andere Kameras im lokalen eufy Security-System des Benutzers weiterzugeben. Heute wurde die eufy Video Doorbell Dual so aufgerüstet, dass sie den gleichen LAN/P2P-Prozess wie oben beschrieben nutzt.
Wir werden auch weiterhin hart daran arbeiten, das Vertrauen unserer Community in unsere Produkte, Dienstleistungen und Prozesse zu erhalten.
Wir danken Ihnen für Ihre Geduld und Ihr Verständnis.
Das eufy-Sicherheitsteam“
Offenbar distanziert sich der Hersteller auch weiterhin von seinen früheren Versprechen, die aufgezeichneten Daten würden ausschließlich beim User verbleiben. An den Produkten und deren Speicherlogiken will man nach wie vor nicht nachbessern.
