Sie kaufen eine Überwachungskamera für zu Hause, stecken sie ein, verbinden sie mit dem WLAN, laden die App herunter, scannen den QR-Code und koppeln sie. In drei Minuten erledigt. Ab jetzt können Sie von unterwegs jederzeit nachsehen, was Ihre Katze gerade treibt.
Alles perfekt.
Bis zu dem Tag, an dem ein Freund Ihnen einen Link schickt mit den Worten: „Schau dir das mal an.” Sie klicken darauf und sehen Ihr eigenes Wohnzimmer. Auf dem Sofa liegt die Jacke von gestern, auf dem Couchtisch steht die halb ausgetrunkene Bubble Tea. In der rechten unteren Ecke: eine IP-Adresse und ein Städtename.
Sie haben dieses Bild nie geteilt. Sie haben niemandem das Passwort gegeben. Sie wussten nicht einmal, dass man die Kamera im Browser öffnen kann.
Aber in diesem Moment schaut irgendjemand — jeder, der diese Webseite öffnet — in Ihr Wohnzimmer.
Das ist nicht der Anfang eines Horrorromans. Das ist der Alltag, den ein Projekt namens IP Crawl der Welt vor Augen geführt hat.
Ein Programmierer, 4,2 Milliarden IP-Adressen
Im Juni 2026 brachte ein Programmierer unter dem Pseudonym Alec eine Webseite auf die Hacker-News-Startseite, die noch am selben Tag 192 Punkte und über hundert hitzige Kommentare erzielte. Die Seite heißt IP Crawl (ipcrawl.com) und ihre Funktion ist so einfach, dass jeder Durchschnittsbürger sie versteht: Sie ist eine lebendige Karte öffentlicher Kameras. Öffnen Sie die Webseite, und Sie sehen Kamerabilder aus aller Welt in Echtzeit — Schulen, Krankenhäuser, Fabriken, Regierungsgebäude, Hotels, Wohnzimmer von Privathäusern, sogar Schlafzimmer.
All diese Kameras haben eines gemeinsam: Sie sind ohne jedes Passwort direkt zugänglich. Kein Hacken, keine Hacking-Kenntnisse, keine „Social-Engineering-Datenbanken” nötig. Eine Adresse im Browser eingeben, und das Bild erscheint.
Was Alec tat, ist technisch gesehen nicht komplex, lässt aber aus der Perspektive eines Sicherheitsexperten kalt den Rücken herunterlaufen. Er schrieb ein Programm, das den gesamten öffentlichen IPv4-Adressraum durchläuft — rund 4,2 Milliarden IPs. Das Programm klopft bei jeder IP mehrere Dutzend bekannte Schnappschuss-Pfade von Webcams an. Hikvision, Dahua, Axis, D-Link, TP-Link, SONY — praktisch alle gängigen Kameramarken haben standardmäßige Schnappschuss-URLs, die öffentlich bekannt, formatfixiert und ohne jede Dokumentation erratbar sind.
Das Programm klopft eine nach der anderen an. Antwortet eine, wird ein Bild gespeichert. Antwortet sie nicht, wird sie übersprungen. Kein Passwort-Brute-Forcing, keine Exploits, keine heimlichen Hintertüren — es tut nur eines: Es fotografiert Türen, die ohnehin nie verschlossen waren, und katalogisiert sie.
Um Alec selbst zu zitieren: “To be absolutely clear: the engine never attempts authentication, brute-forces credentials or exploits software vulnerabilities. It only catalogues what is already completely open to the public internet.”
Das klingt zurückhaltend. Aber wenn man sieht, was dieser Katalog tatsächlich enthält, bekommt das Wort „zurückhaltend” eine erschreckende Note.
Was darin zu finden ist, würden Sie nie vermuten
Die Bandbreite der auf IP Crawl sichtbaren Szenen übersteigt die Vorstellungskraft der meisten Menschen. Bei der Durchsicht öffentlich zugänglicher Materialien hat der Autor folgende dokumentierte Fälle zusammengestellt:
- Die Büros der SONY-Zentrale in Japan: Sicherheitskameras direkt im öffentlichen Netz, keine Zugangskontrolle, keine Authentifizierung;
- Öffentliche Einrichtungen in Israel: Bilder kritischer Infrastruktur, direkt im Browser einsehbar;
- Ein Wohnhaus in Droitwich, Großbritannien: Kamera direkt auf Indoor-Anbaugeräte gerichtet, mutmaßlich Cannabis-Zucht;
- Eine versteckte Kamera in Salt Lake City, USA: Seltsamer Kamerawinkel, der nicht nach regulärer Installation aussieht, sondern eher heimlich angebracht wirkt;
- Schulflure und Klassenzimmer;
- Krankenhausflure und Stationsaußenbereiche;
- Innenräume von Kindertagesstätten;
- Fabrikhallen und industrielle Kontrollräume.
Das ist nur die Spitze des Eisbergs aus Alecs Aufzählung. Er schreibt: “Schools, colleges, hospitals, government facilities, corporate offices, residential living rooms, daycares, indoor cultivation setups, industrial complexes and manufacturing plants. Every day you will see something new.”
Ein Nutzer der HN-Diskussion brachte es auf den Punkt: “I looked into someone’s bedroom. Fortunately it was empty, but I promptly shat myself and turned off my computer.”
Das ist kein Drehbuch von Horrorfilmen. Das ist die Realität im Jahr 2026, in einer Zeit, in der Cybersicherheitsbewusstsein angeblich allgegenwärtig ist.
Warum stehen so viele Kameras nackt im öffentlichen Netz?
Die spontane Reaktion des Durchschnittslesers dürfte lauten: „Wer würde seine Kamera freiwillig ins Netz stellen?”
Die Antwort: Die überwältigende Mehrheit der Betroffenen weiß nicht, dass ihre Kamera exponiert ist. Dahinter wirken drei Kräfte gemeinsam auf diese Situation hin.
Die erste Kraft ist die Untätigkeit der Hersteller.
Hikvision, Dahua, Axis, D-Link, Wyze, SONY — Alec listet in seinem technischen Blog eine lange Reihe von Marken auf und schreibt dann: “Shipping hardware this vulnerable directly violates customer privacy and creates a massive security liability.”
Diese Kameras werden werkseitig mit Standardpasswörtern ausgeliefert, meist admin/admin oder admin/12345. Viele Modelle erlauben sogar den Zugriff auf das Live-Bild über bestimmte URL-Pfade ganz ohne Passwort — genau diesen Mechanismus nutzt IP Crawl. Die Hersteller wissen das genau, aber im Spannungsfeld zwischen Kosten und Bequemlichkeit hat praktisch kein einziger substanzielle Änderungen an den Werkseinstellungen vorgenommen.
Alecs Verdacht geht noch weiter: “Risking the label of a conspiracy theorist, it’s starting to look less like negligence and more like a legally sanctioned backdoor for mass surveillance.”
Die zweite Kraft ist die automatische Portweiterleitung durch Router.
Viele Heimrouter haben standardmäßig UPnP (Universal Plug and Play) aktiviert. Es wurde für Bequemlichkeit entworfen — Geräte stecken sich an und konfigurieren sich automatisch, ohne dass Ports manuell gemappt werden müssen. Das bedeutet aber auch: Sagt die Kamera zum Router „mach bitte den Port auf”, tut der Router das. Der Nutzer bekommt davon nichts mit.
Ein HN-Nutzer brachte es auf den Punkt: “UPnP is not disabled by default on all routers, especially older ones. So devices may just try to port-forward certain control or media ports.”
Mit anderen Worten: Sie kaufen eine Kamera, stecken sie ein, verbinden sie mit dem Netzwerk. Die Kamera sagt zum Router: „Ich brauche eine offene Tür nach draußen.” Der Router macht sie auf. Und dann entdecken sämtliche Scanner der Welt — nicht nur IP Crawl, sondern auch Suchmaschinen wie Shodan — Ihre Tür.
Sie selbst haben nur einen QR-Code gescannt.
Die dritte Kraft kommt von Installateuren mit der Einstellung „Hauptsache, es funktioniert”.
In vielen Fällen wird die Kamera nicht vom Nutzer selbst installiert. Der HN-Nutzer Aurornis beschreibt ein sehr realitätsnahes Szenario: Der Installateur ist den ganzen Tag durch Zwischendecken gekrochen, schweißgebadet, will nur noch fertig werden. “Some installer with a git-er-done attitude knows their customer wants a solution to something (remote access) and they use the first technique they can find to accomplish that without any concern about what it means.”
Ein anderer Nutzer fasste die Lage der gesamten Installationsbranche treffend zusammen: “Most CCTV contractors are not network security experts. Most network security experts would quit before ever entering a hot attic.”
Das Endergebnis der Installation lautet daher meist: Port auf, Bild da, fertig. Wer dieses Bild sonst noch sieht — dazu steht nichts im Installationsvertrag.
„Technische Bequemlichkeit” und „Privatsphäre” waren nie eine Entweder-Oder-Frage
Hier besteht ein grundlegender Widerspruch: Verbraucher wollen Bequemlichkeit — von unterwegs mit dem Handy die heimische Kamera einsehen. Aber der technische Pfad zu dieser „Bequemlichkeit” wurde in der Praxis als „den Kamera-Port direkt ins öffentliche Netz stellen” implementiert.
Dabei gibt es durchaus bessere Lösungen. Technisch versierte HN-Nutzer schlugen eine sichere Architektur vor: Hersteller stellen Proxy-Server bereit, Kamera und Proxy bauen eine verschlüsselte Verbindung auf, Nutzer sehen das Bild über den Proxy, die echte IP der Kamera wird niemals im öffentlichen Netz exponiert. Signal, WhatsApp und andere Videoanruf-Anwendungen haben bewiesen, dass dieser Weg funktioniert.
Das Problem: Eine solche Lösung würde von den Herstellern zusätzliche Serverkosten, das Design sicherer Autorisierungsmechanismen und klare Benutzerführung verlangen. Die gegenwärtige Realität ist: Kein einziger Hersteller ist bereit, für „Sicherheit, die der Nutzer nicht sieht” zu bezahlen.
Alec schreibt in seinem Blog: “The goal is straightforward: turn public exposure into pressure, forcing both manufacturers and users to take privacy seriously.”
Das ist die Strategie, durch Transparenz Veränderung zu erzwingen. Zugleich hat sie auf HN eine heftige ethische Debatte ausgelöst.
Schwachstellen schließen oder das Suchscheinwerferlicht ausknipsen?
Eine beträchtliche Anzahl von HN-Nutzern äußerte Unbehagen gegenüber dem IP-Crawl-Projekt. Der Kommentar von „naturalmovement” erhielt starke Zustimmung: “There’s a difference between your neighbor not closing her blinds and you using a telescope to look inside her apartment, which is what sites like this are.”
Ein anderer Nutzer formulierte es noch direkter: “Definitely an invasion of privacy. I can’t visit this website in good faith. It should be taken down.”
Doch es gab auch Gegenfragen: Die Suchmaschine Shodan existiert seit über einem Jahrzehnt und kann diese exponierten Kameras ebenfalls finden — müsste man Shodan dann nicht auch abschalten? Google findet ebenfalls passwortlose Admin-Oberflächen — müsste man Google dann nicht auch abschalten?
Eine tiefergehende Perspektive kam vom Nutzer „portaouflip”: “I’d also ask us tech savvy people to practice some humility. Yes, the people setting up these cameras are not following security best practices. But are you sure that you will not make the same mistakes?”
Dies ist eine Debatte ohne Standardantwort. Doch unabhängig davon, auf welcher Seite man steht, lässt sich eine Tatsache nicht leugnen: Das von IP Crawl offengelegte schwarze Loch existiert real. Selbst wenn man diese Webseite abschaltet — die Kameras stehen weiterhin nackt im öffentlichen Netz. Jeder, der eine einzige for-Schleife schreiben kann, findet sie.
Was sollten Sie jetzt tun?
Die IP-Crawl-Webseite bietet eine Funktion namens „Prüfe deine Umgebung”: Geben Sie Ihren ungefähren Standort ein, und Sie sehen, ob in Ihrer Nähe exponierte Kameras erfasst wurden. Der Zweck ist, Ihnen die Gewissheit zu geben, ob Ihr eigenes Zuhause auf dieser Liste steht.
Wenn Sie eine netzwerkfähige Kamera zu Hause haben, können folgende Schritte Ihr Expositionsrisiko sofort senken:
Erstens: Ändern Sie sofort das Standardpasswort. Verwenden Sie nicht admin/admin, nicht 12345, nicht Ihr Geburtsdatum oder Ihre Telefonnummer. Setzen Sie ein Passwort mit mindestens 12 Zeichen, bestehend aus Buchstaben, Ziffern und Sonderzeichen. Wenn die Firmware Ihrer Kamera keine starken Passwörter unterstützt, ist diese Kamera von Grund auf nicht vertrauenswürdig.
Zweitens: Prüfen Sie die UPnP-Einstellungen Ihres Routers. Die allermeisten Heimrouter erlauben das Deaktivieren von UPnP. Schalten Sie es aus. Das bedeutet, dass Sie künftig neue Geräte möglicherweise manuell konfigurieren müssen — aber dieser minimale Aufwand wiegt das Risiko eines Datenschutzverstoßes bei Weitem auf.
Drittens: Wenn Ihre Kamera Fernzugriff benötigt, nutzen Sie keine Portweiterleitung. Fragen Sie beim Hersteller an, ob er einen sicheren Cloud-Proxy-Dienst anbietet, oder richten Sie selbst einen VPN-Tunnel ein. Letzteres erfordert technisches Know-how, aber wenn Ihnen Ihre Daten wirklich wichtig sind — ist das der notwendige Preis.
Viertens: Erwägen Sie den Wechsel von Marken, die keine Sicherheitsupdates anbieten. Wenn ein Hersteller keine Firmware-Updates bereitstellt, keine bekannten Schwachstellen behebt und keine sicheren Verbindungen unterstützt — werfen Sie das Gerät in den Müll. Das ist ein Akt der Selbstachtung und des Respekts gegenüber Ihrer Familie.
Schlussbemerkung
Alecs IP-Crawl-Projekt ist im Kern ein Vergrößerungsglas. Es vergrößert keine technischen Schwachstellen — diese werden seit über einem Jahrzehnt immer wieder diskutiert. Es vergrößert die systematische Gleichgültigkeit eines gesamten Industrie-Ökosystems gegenüber dem Durchschnittsbürger: Hersteller wissen um die Unsicherheit, verkaufen aber unverändert weiter; Installateure wissen um ihre mangelnde Professionalität, installieren aber unverändert weiter; Plattformen wissen um die Risiken, verbinden aber unverändert weiter.
Und den Preis zahlt am Ende derjenige, der ihn am wenigsten zahlen sollte — der ganz normale Verbraucher, der einfach nur seine Katze im Auge behalten wollte.
Alec schrieb am Ende seines Blogbeitrags einen Satz, mit dem der Autor diesen Artikel schließen möchte, weil er eine schlichte, aber wichtige Wahrheit ausspricht:
“Step. The. F*ck. Up.”
Frei übersetzt: Tut endlich, wozu ihr verdammt nochmal da seid.
Referenzen:
- IP Crawl Webseite: https://ipcrawl.com/
- Alecs technischer Blog „IP Crawl: Exposing The Massive Open Webcam Crisis”: https://alec.is/posts/ip-crawl-exposing-the-massive-open-webcam-crisis/
- Hacker News Diskussion (192 Punkte / 107 Kommentare): https://news.ycombinator.com/item?id=48700834
- Ähnlicher Bericht „40,000+ Internet-connected Cameras Exposed Streaming Live”: https://cybersecuritynews.com/40000-internet-connected-cameras-exposed/
- Shodan IoT-Suchmaschine: https://www.shodan.io/
- Bericht über Datenschutzprobleme bei Heimkameras in China: https://news.cnr.cn/dj/20210130/t20210130_525403683.shtml