Vivotek-Kameras: Kritische Sicherheitslücke gefährdet Tausende Geräte

Eine schwere Sicherheitslücke in älteren Vivotek-Überwachungskameras ermöglicht Angreifern die vollständige Kontrolle. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor der Gefahr für Unternehmen und Privathaushalte.

Root-Zugriff ohne Passwort möglich

Forscher des Akamai Security Intelligence and Response Team (SIRT) entdeckten die Schwachstelle mit der Kennung CVE-2026-22755. Sie bewerten sie mit 9,3 von 10 Punkten als kritisch. Die Lücke betrifft Dutzende älterer Kameramodelle des taiwanesischen Herstellers.

Angreifer können ohne jegliche Anmeldedaten schädlichen Code einschleusen. Dieser wird mit Root-Rechten ausgeführt – den höchstmöglichen Zugriffsrechten auf dem Gerät. “Damit erlangt man die vollständige Kontrolle über das Kamera-Betriebssystem”, erklärt ein Sicherheitsexperte.

Große Sicherheitslücken in vernetzten Kameras können Unternehmen und Händler hart treffen. Ein kostenloses E‑Book “Cyber Security Awareness Trends” zeigt aktuelle Bedrohungen (IoT‑Exploits, Firmware‑Backdoors) und liefert sofort umsetzbare Schutzmaßnahmen – von Firmware-Updates und Netzwerksegmentierung bis zu Isolationsstrategien für Altgeräte. Ideal für IT‑Verantwortliche und KMU, die ihre Abwehr ohne große Investitionen stärken wollen. Inklusive praktischer Checkliste und Umsetzungsleitfaden. Jetzt kostenlosen Cyber-Security-Report herunterladen

Ein simpler Dateiname als Einfallstor

Der Fehler steckt in einem Skript namens upload_map.cgi. Dieses verarbeitet Datei-Uploads auf der Kamera-Firmware. Es prüft Dateinamen jedoch nicht ausreichend.

Ein Angreifer kann in den Dateinamen schädliche Systembefehle einbetten. Verarbeitet die Kamera diesen manipulierten Namen, führt sie die Befehle automatisch aus. Die Ausnutzung sei für Angreifer “trivial einfach”, so die Forscher.

Alte IoT-Geräte als Sicherheitsrisiko

Der Fall zeigt ein grundlegendes Problem: Viele Internet-of-Things-Geräte (IoT) erhalten nach einigen Jahren keine Sicherheitsupdates mehr. Dennoch bleiben sie oft jahrelang im Einsatz.

Kompromittierte Kameras werden zu gefährlichen Werkzeugen. Angreifer können Live-Bilder ausspähen, sich im Netzwerk ausbreiten oder die Geräte in Botnetze einbinden. Diese Netzwerke gehackter Geräte starten dann häufig DDoS-Angriffe auf Websites.

Besonders tückisch: Die Kamera dient als Einfallstor ins gesamte Netzwerk. Von dort aus sind Datenklau, Ransomware-Angriffe oder Industriespionage möglich.

So schützen Sie Ihre Kameras

Das BSI und Sicherheitsexperten raten zu sofortigen Maßnahmen:

1. Firmware-Update: Prüfen Sie alle Vivotek-Kameras und installieren Sie die neueste Firmware vom Hersteller.
2. Netzwerk-Trennung: Stellen Sie nicht gepatchte Kameras in ein separates Netzwerksegment.
3. Internet-Zugriff sperren: Deaktivieren Sie den Zugriff auf die Kamera-Weboberfläche aus dem Internet.
4. Standard-Passwörter ändern: Verwenden Sie stets individuelle, starke Passwörter.

Für nicht mehr unterstützte Geräte bleibt nur die Abschaltung oder strikte Isolierung. “Diese Lücke ist ein Weckruf”, kommentiert ein IT-Sicherheitsberater. “Hersteller müssen längere Support-Zyklen anbieten, Nutzer ihre Altgeräte konsequent managen.”

Die Sicherheitslücke betrifft primär den europäischen und asiatischen Markt, wo Vivotek-Kameras verbreitet sind. In Deutschland sind besonders mittelständische Unternehmen und der Einzelhandel betroffen.

PS: Wenn Sie verhindern wollen, dass kompromittierte Kameras Ihr Netzwerk öffnen, hilft ein klarer Sicherheitsplan. Das Gratis‑E‑Book erklärt in einem 4‑Schritte‑Plan, wie Sie IoT‑Geräte absichern, kritische Konfigurationen erkennen und Mitarbeiter für Angriffsvektoren sensibilisieren. Schnell anwendbare Maßnahmen auch für kleine IT‑Teams – so reduzieren Sie das Risiko von Botnetzen und Datenklau deutlich. Gratis Cyber-Security-Guide jetzt anfordern