IP-Kamera zur Haustier-Überwachung - was gilt es zu beachten?

Hallo. Wir spielen mit dem Gedanken, zu Hause eine IP-Kamera (WLAN) anzubringen, um tagsüber unsere Haustiere ab und zu im Blick zu haben (aber auch die Kinder, wenn die mal allein daheim bleiben müssen, bzw. auch als Einbruchsschutz). Die erste Idee fiel auf eine WLAN-Kamera, um auch von unterwegs darauf zugreifen zu können. Doch gibt es da noch einige Fragen:

1. Kann ich ausschließlich solche Kameras nutzen, welche in aller Regel auch bereits mit einer Smartphone-App o.ä. angeboten werden - oder funktionieren generell alle Kameras (nur ggf. mit erhöhtem Installationsaufwand)?
2. Entweder soll es eine „normale“ Kamera sein, welche durch den Flur in das Wohnzimmer ausgerichtet ist oder alternativ eine (aus der Ferne) schwenkbare bzw. Dome-Kamera, um das ganze Wohnzimmer, den Flur als auch Küche und Treppe im Blick zu haben. Gibt es hier etwas Besonders zu beachten?
3. Sind alle Kameras immer aktiv oder gibt es auch welche, die sich an-/ausschalten lassen? Nebenfrage: „Frisst“ mir die Kamera viel vom Datenvolumen (32Mbit-Leitung), oder anders ausgedrückt: Werde ich das Vorhandensein der Kamera beim normalen Surfen bemerken?

Vielen Dank im Voraus.

Hallo!

1. Es kommt ein wenig darauf an, was du möchtest, und was du kannst, bzw. gewillt bist, zu tun. Das grundsätzliche Problem ist halt, von außen zu wissen, welche Internetadresse dein Anschluß zu Hause hat, und dann muß man ja auch noch an die Kamera weitergeleitet werden. Und das wird heute dann so gelöst, daß die Kamera sich beim Hersteller meldet, und deine Handy-App dann auch über den Hersteller Zugang bekommt. Und wer weiß, wer noch alles deine Kamera mitbenutzen kann.
   Im Grunde hat jede Kamera einen kleinen Webserver an Bord, so daß man auch ohne App drauf kommt. Das gilt erstmal nur für zu Hause, wenn man das auch von außen so machen will, erfordert das etwas eigenen Aufwand unjd nen gescheiten Router. Vorteil wäre, daß nur du auf die Kamera zugreifen kannst.
2. Wüßte ich nicht.
3. Eine Kamera sollte sich immer dann einschalten, wenn auch wer gucken will. Ob sich alle daran halten, steht auf einem anderen Blatt. Auf jeden Fall wird sie nur dann ins Internet senden, wenn von dort einer zugucken will, aber wer weiß, wer das bei der App-Lösung alles ist. Allerdings ist die benötigte Datenrate nicht so hoch, daß du das bemerken würdest.

Zunächst mal hat die Frage WLAN oder nicht, nichts damit zu tun, ob man von außen auf die Kamera zugreifen kann. Das geht auch bei einer festverkabelten Kamera.

Weiterhin würde ich von Kameras mit Apps abraten, die ungefragt Löcher in die Absicherung des heimischen Netzes bohren, weil sie unkontrolliert ständig unbekannte Daten an irgendwelche Hersteller-Server schicken, nur um so von außen erreichbar zu sein. Die dafür verwendeten Verfahren sind gerade bei billigeren Kameras oft miserabel implementiert, und können so ein Einfallstor ins heimische Netz für alle möglichen Schadszenarien schaffen. Außerdem würde ich einer mir ansonsten vollkommen unbekannten chinesischen PingPongXi Inc. nicht soweit vertrauen, dass ich sie ständig irgendwelche Daten aus meinem privaten Netz verschicken lassen würde. Gerade Kamera- und Ton-Aufzeichnungen von Wohnräumen sind alles andere als unkritisch. Und wenn so ein Gerät richtig böse betrieben wird (ggf. weil es ein Hacker dann gekapert und hierauf Schadsoftware installiert hat), bist Du schnell auch noch ganz andere Dinge los.

Daher würde ich dringend zu einer 1. hochwertigen Lösung eines bekannten Herstellers raten, die schon mal den ein oder anderen Test auch in Sicherheitsbelangen gut überstanden hat, und für die es regemäßige Firmware-Updates gibt, die ggf. aufgefallene Sicherheitslücken schnell schließen. Diese würde ich zudem auch vorzugsweise so betreiben, dass ich (das setzt natürlich etwas Netzwerk-Knowhow voraus) von außen hierauf auf dem klassischen Wege über eine VPN-Einwahl in Verbindung mit sauberen Firewall-Regeln ins heimische Netz zugreife, anstatt hierfür die Hersteller-Apps direkt zu verwenden, die über Hersteller-Server arbeiten.

Was das Ein- und Ausschalten angeht, so würde ich tatsächlich so eine Kamera nur dann Strom ziehen lassen wollen, wenn ich sie brauche. Das hat auch den netten Nebeneffekt, dass ggf. auftretende Sicherheitslücken dann auch nicht gleich rund um die Uhr Zugriff bekommen. D.h. Ein Schalter oder eine geschaltete Steckdose wäre schon eine gute Idee.

Beim Datenvolumen braucht man sich dann auch insoweit keine Gedanken machen, als dass dieses dann ohnehin nur in Anspruch genommen wird, wenn man selbst nicht im Hause ist. Ansonsten kommt es natürlich darauf an, was die Kamera in welcher Qualität übertragen soll. Ein Einzelbild per Mail ist etwas vollkommen anderes, als ein laufender HD-Stream. Da dies alles aber nicht ständig, sondern nur bei eingeschalteter Kamera und auf Anforderung passiert, ist das eigentlich kein Thema.

Letzteres.
Ich benutze eine APP namens ONVIFER, welche alle Kameras nach dem ONVIF-Standard bedienen kann.

Beachte die zwei Optionen, wie man auf dem Handy Kamerabilder sehen kann:

1. (einfach)
   Die Kamera meldet sich fortlaufend bei einem Server des Herstellers. Das Smartphone verbindet sich ebenfalls bei Bedarf mit diesem Server. So finden Kamera und Smartphone zueinander. Änderungen an Router/Firewall sind nicht nötig.

2. (komplizierter)
   Dein Internet-Anschluss hat vermutlich keine fest zugeteilte IP-Adresse. Daher kannst du deinen Anschluss auch nicht so einfach aus dem Internet erreichen. Du beschaffst dir einen Account bei einem Dyn-DNS Anbieter, kostet eventuell einen einstelligen Betrag jährlich (z.B. dyndnsfree.de für 0,49€ im Monat). Der Router meldet seine aktuelle IP-Adresse bei dem Anbieter. Du bekommst dann einen eigene DNS auflösbaren Namen, etwa onLeine.p7.de.
   Beim Aufruf dieser URL kommst du nun direkt auf deinen Router - bis zu dessen Firewall. Die muss dann passend konfiguriert werden: „Pakete aus dem Internet, die ohne Anforderung auf Port 12345 ankommen, bitte nicht wegwerfen, sondern an die IP-Kamera weiterleiten und den Port von 12345 auf 443 ändern.“
   Somit kann nun durch aufrufen von onLeine.p7.de:12345 (die Portnummer ist ein Beispiel, sie bietet eine erste Sicherheit. Angreifer aus dem Netz testen zunächst häufig benutzte Portnummern. Also leitet man einen nur dir bekannten, seltenst benutzten Port um zur Kamera) die Kamera immer direkt aus dem Netz erreichen. Die Kamera ist dann zusätzlich über Name und Kennwort gesichert (nicht die Werkseinstellung!).
   Wenn du die APP benutzst, dann wird die passend konfiguriert:
   Kamera erstellen
   Erreichbar unter onLeine.p7.de:12345
   Name: onLeines-geheimer-Nutzername
   Kennwort: super-sicher-54321
   Das war es dann auch schon.
   Ich gehe letzteren Weg, weil ich dadurch unabhängig vom Portal des fernöstlichen Herstellers bin. Abhängig bin ich dann nur von meinem deutschen DYN-DNS Anbieter.
   Hat dein Anschluss eine feste IP, kannst du dir das alles natürlich sparen.

Auch PTZ (pan-tilt-zoom - schwenken, neigen, heranziehen) wird vom ONVIF-Standard unterstützt und ONVIFER App macht das auch, dann aber zahlst du einmalig 5€ für die Pro-Version.

Bei einigen gibt es eine Zugriffssteuerung, die bestimmten Benutzern verbietet, zu bestimmten Zeiten Bilder zu sehen. Alternativ: Zeitschaltuhr vor das Netzteil.

Es kommt auf die gewünschte Qualität an. Für HD-Qualität mit zwei Bildern pro Sekunde benötigt meine Kamera rund 1MBit/s.

Die Kamera lädt Daten ins Netz HOCH. Wenn du gerade viel Daten ins Netz hochlädst UND gerade jemand sich die Kamera anschaut, wird man schon merken, dass der Upload langsamer ist. Deine 32MBit-Leitung ist ja vermutlich asymmetrisch, hat also weniger Uplink-Geschwindigkeit als Downlink.

Das solltest du - ganz unabhängig von deinen anderen Fragen - ganz genau überdenken. Dazu gab es letztens eine recht ausführliche Diskussion

und als kleine Bettlektüre zu Sicherheit von Internet of Things (IoT)-Geräten, denn nichts anderes ist eine solche Kamera:

https://www.heise.de/ix/heft/Sicherheitsrisiko-IoT-3491387.html

oder mal mit Bezug auf Kameras:

Die Liste ist endlos.

Der Buchstabe S in der Abkürzung IoT steht für Sicherheit. Die gibt es dort einfach nicht, weil die Geräte extrem kurze Entwicklungszyklen haben und es dem Verbraucher nur auf den Preis ankommt.

Gefährlich werden diese Dinger insbesondere in der Hand des unbedarften Anwenders, der sich ein Loch in den Bauch freut, das Ding nur im heimischen WLAN anmelden/es in eine Netzwerksteckdose zu müssen, und schon vom Rest der Welt ins heimische Wohnzimmer blicken kann.

Auch eher unsichere Einzelkomponenten kann man hingegen recht sicher betreiben, wenn man gerade auf diese Begeisterung verzichtet, die Dinge hinter eine passend konfigurierte Firewall hängt, und nur per sauberer VPN-Lösung von außen auf das heimische Netz zugreift. Das kostet natürlich Einarbeitung und etwas Aufwand, lohnt sich aber.

Das stimmt solange, wie du dem Hersteller glaubst, dass die Kamera nicht von sich aus ungefragt Bilder hochlädt. Ich erinnere nur an die Samsungfernseher mit nicht-optionaler Spracherkennung, bei denen dann Samsung selbst davor gewarnt hat, Geheimnisse vor dem Fernseher zu besprechen.

Ganz ehrlich: Port-Weiterleitungen ohne vorgeschaltetes VPN würde ich nie in meinem Netz einrichten. Denn wenn - wie zu erwarten - die Firmware der so erreichbaren Billigkomponente aus China eine Lücke für einen Angriff bietet, dann bietest Du so ein 1A Einfallstor in dein gesamtes Netz. Denn wenn der Port erst einmal gefunden ist (was kein Hexenwerk ist), dann steht der Angreifer schon direkt mit dem passenden Ersatzschlüssel in der Tür, weil er ohne jeglichen größeren Aufwand herausbekommen konnte, dass in deinem Netz genau diese Komponente betrieben wird, die er so jetzt auch direkt erreichen kann.

Und wenn er auf der erst einmal drauf ist, und diese nicht innerhalb des eigenen Netzes entsprechend isoliert ist (wird sie bei so einem Vorgehen sicher nicht sein), dann steht dem Angreifer hierüber dann auch dein gesamtes Netz offen.

Wenn man die Dinger hinter eine passend konfigurierte Firewall hängt, dann können die soviel versenden, wie sie wollen. Die Dinge kommen dann aber nicht aus dem lokalen Netz raus, sondern bleiben an der Firewall hängen.

BTW: Ich betreibe hier einen kleinen Pi mit einer Proxy/Filterlösung. Einerseits bzgl. Jugendschutz, andererseits als Werbeblocker. Als netter Nebeneffekt beißen sich schon daran viele der kleinen Helferlein hier im Haus die Zähne aus, wenn sie Dinge tun wollen, deren Sinn/Notwendigkeit sich mir nicht erschließt.

Das stimmt schon. Allerdings laufen doch bei den meisten Leuten da draußen Plasterouter, die sich eben nicht oder nur sehr schwierig passend konfigurieren lassen.

Was hast du denn drauf laufen? IPfire? PfSense? Ist der schnell genug? Wieviele Clients und was für eine ungefähre Bandbreite hast du denn?

Das Problem der „Plasterouter“ besteht natürlich. Aber daher ist es um so wichtiger bei Zugriff von außen eine sichere Zusatzlösung zu implementieren, und sich nicht auch noch die zusätzlichen Einfallstore von unmittelbaren Port-Weiterleitungen und Fremdsoftware einzuhandeln, die auf unbekanntem Wege unbekannte Daten an unbekannte Server schicken (unbekannt jetzt nicht im Sinne von unbekannten Namen, sondern im Sinne von unbekannter Qualität/Sicherheit).

Bis zum Hybrid-Anschluss hatte ich hier einen professionellen VPN-Router im Einsatz, weil ich aufgrund von auswärtiger Projekttätigkeit längere Zeit eine echte Notwendigkeit hatte, von außen ins heimische Netz zu kommen. Für den Hybrid-Anschluss gibt es leider nur den einen Hybrid-Router der Telebim, weshalb ich momentan keinen Zugriff von außen zulasse (und aktuell auch nicht brauche). Wenn ich mal zu viel Zeit habe/wieder eine Notwendigkeit bestehen sollte, werde ich mir da mal wieder eine Lösung stricken.

Auf dem Pi bei uns läuft Squid mit Dansguardian. Geschwindigkeit habe ich nie gemessen. Ist aber beim normalen Surfen nicht auffällig. Wir haben zwar diverse Geräte im Haus, aber mehr als zwei oder drei sind selten parallel im Web unterwegs. Der Pi ist nicht wirklich optimal für diese Aufgabe, weil er nur ein kabelgebundenes Netzwerk-Interface hat. Will das immer noch mal auf eine andere Plattform bringen, um das Ganze dann als transparenten Proxy betreiben zu können. Aber die verfügbaren Einplatinen-Lösungen mit zwei Interfaces sind dann schon recht teuer. Natürlich könnte man auch über USB ein zweites Interface am Pi nachrüsten, aber das wäre mir zu sehr gebastelt.