Die Diskussion auf LinkedIn über die Sicherheit chinesischer OEM-Kameras, insbesondere des Herstellers Xiongmai, beleuchtet erneut massive Mängel in der IT-Sicherheitsarchitektur vieler Videoüberwachungssysteme. Während die Geräte von außen professionell wirken, offenbart ihre interne Struktur eine Vielzahl an Angriffspunkten.

Xiongmai ist ein in Hangzhou ansässiger OEM-Hersteller und liefert Komponenten für über hundert andere Markenhersteller weltweit – häufig ohne sichtbare Markenkennzeichnung auf den Geräten selbst (SEC Consult, 2021; Krebs on Security, 2021). Dadurch bleibt Endnutzern die tatsächliche Herkunft der Geräte meist verborgen. Die Identifikation erfolgt oft erst durch technische Analyse – etwa über versteckte Fehlermeldungen, URL-Endpunkte wie /err.html oder auffällige GUI-Designs (Heise, 2021).

Wie der Sicherheitsexperte Karsten Kirchhof jüngst auf LinkedIn betont, „steht der Name Xiongmai NIEMALS auf einer Kamera“, sondern versteckt sich nur in Fehlermeldungen pseudo-nationaler Marken (Kirchhof, 2025). Auch Manfred Holzer, Senior SOC-Techniker bei Securitas Österreich, weist darauf hin, dass Xiongmai „ausschließlich OEM-Ware für hunderte andere, pseudo-nationale und lokale ‚Hersteller‘ weltweit“ liefert – mit gravierenden Konsequenzen für die Sicherheit (Holzer, 2025).

Hauptsächliche Sicherheitsmängel

Die sicherheitstechnischen Schwachstellen von Xiongmai-Hardware sind gut dokumentiert und seit Jahren bekannt:

• Standardpasswörter: Geräte werden werkseitig ohne Admin-Passwort ausgeliefert, ohne dass der Nutzer zur Vergabe eines sicheren Kennworts gezwungen wird (SEC Consult, 2021; Krebs on Security, 2021).
• Versteckte Backdoor-Konten: Selbst nach Passwortänderungen bleibt ein unsichtbarer Benutzer „default“ aktiv, dessen Passwort rückwärts geschrieben ebenfalls „default“ ergibt – also „tluafed“. Darüber lassen sich Videostreams weiterhin sichten (Holzer, 2025; Krebs on Security, 2021).
• Cloud-Fernzugriff über XMEye: Diese standardmäßig aktivierte P2P-Verbindung funktioniert ohne Verschlüsselung und kann Firewalls umgehen. Millionen Geräte weltweit sind dadurch offen erreichbar (SEC Consult, 2021; Heise, 2021).
  • Firmware-Sicherheit: Updates werden ohne Signaturprüfung akzeptiert, was die Installation manipulierter Software ermöglicht (Krebs on Security, 2021).
• Bekannte Exploits: Ein Stack-Buffer-Overflow (CVE-2017-16725) erlaubt Remote-Code-Ausführung. Telnet-Zugänge werden bei einem Reboot freigeschaltet, was weitere Angriffe ermöglicht (CISA, 2017; Krebs on Security, 2021).

Besonders brisant ist die Kombination dieser Schwachstellen mit dem fehlenden Patch-Management vieler Geräte. Flashpoint und CISA betonen, dass grundlegende Risiken trotz öffentlich gewordener Vorfälle (z. B. Mirai-Botnetz) weiterhin bestehen bleiben (CISA, 2017; The Guardian, 2016).

OEM-Kameras im Unternehmensnetzwerk: Ein unterschätztes Risiko

Aktuelle LinkedIn-Diskussionen zeigen: Auch im Jahr 2025 werden Xiongmai-basierte Kameras weiterhin ohne Prüfung oder Segmentierung in produktive Netzwerke eingebunden – oft unwissentlich.
„Habe gar nicht daran gedacht, dass man Sicherheit separat in Auftrag geben muss“
— Oliver Mohr, Sicherheitsberater, LinkedIn, Juli 2025 (Mohr, 2025)

Ein Beispiel aus der Praxis zeigt, dass Xiongmai-Kameras im selben Netzwerksegment wie geschäftskritische Systeme (z. B. Microsoft Outlook) betrieben wurden. Dies stellt einen eklatanten Verstoß gegen elementare Sicherheitsprinzipien wie die Netzwerksegmentierung dar. Laut CISA sollten IoT-Geräte strikt vom Office-Netz getrennt betrieben werden (CISA, 2022).

Sicherheitsberater wie Holzer und Kirchhof warnen deutlich vor dem Missverhältnis zwischen professionellem Anspruch und realer Umsetzung. Die technische Intransparenz, versteckte Konten, mangelhafte Updates und die Cloudbindung an intransparente chinesische Dienste führen zu einer gefährlichen Sicherheitslücke in vielen Firmenumgebungen.
Empfehlungen für die Praxis
Angesichts der Vielzahl dokumentierter Schwachstellen gelten folgende Maßnahmen als essenziell:

• Netzwerksegmentierung: Kameras und IoT-Systeme gehören in ein eigenes, isoliertes VLAN.
• Standardkonten ändern: Admin- und versteckte Accounts müssen sofort neu konfiguriert werden.
• Herstelleridentifikation prüfen: Verdächtige Kameras auf spezifische GUI-Designs, Login-Fehlerseiten oder Cloud-Verbindungen prüfen.
• Austausch nicht wartbarer Geräte: Hardware ohne aktuelle Sicherheitsupdates konsequent entfernen.
• Monitoring einführen: Netzwerkverkehr und Zugriffspfade aktiv überwachen.

Videoüberwachung mehr als Bilderfassung

Die Diskussion rund um Xiongmai-Kameras zeigt eindrucksvoll, wie gefährlich ein sorgloser Umgang mit OEM-Hardware sein kann. Der Einsatz solcher Geräte, insbesondere ohne Netzwerktrennung und ohne Kenntnis über ihre Herkunft, öffnet Angreifern Tür und Tor. Die Aussagen aus der aktuellen LinkedIn-Debatte bestätigen: Die Sicherheitsprobleme sind nicht theoretischer Natur – sie betreffen real eingesetzte Systeme.
„Das OEM-Zeug ist in vielen Kameras verbaut … der [versteckte Account] kann auch Videos sichten.“
— Manfred Holzer, LinkedIn, Juli 2025 (Holzer, 2025)
Moderne Videoüberwachung muss weit über die reine Bilderfassung hinausdenken. Es braucht sichere Hardware, nachvollziehbare Updateprozesse, klare Zugriffskontrollen – und vor allem: Sicherheitsbewusstsein bei Auswahl, Betrieb und Wartung.

Autorin: Dr Claudia Mrozek

Literaturverzeichnis

1. Kirchhof, K. (2025, Juli). XIONGMAI, häh??? – Kann man das essen? LinkedIn-Beitrag. Abgerufen am 25. Juli 2025.
2. Holzer, M. (2025, Juli). Kommentar zu Sicherheitsproblemen in Xiongmai-OEM-Kameras. LinkedIn-Kommentar. Abgerufen am 25. Juli 2025.
3. Mohr, O. (2025, Juli). Kommentar zur sicherheitstechnischen Trennung. LinkedIn-Kommentar. Abgerufen am 25. Juli 2025.
4. SEC Consult. (2021). Security Advisory: OEM IP Cameras with Hidden Backdoors.
5. Krebs on Security. (2021). Who Makes Your Surveillance Camera?
6. Heise Online. (2021). Unsichere IP-Kameras: OEM-Falle Xiongmai.
7. CISA. (2017). Vulnerability Note VU#770695 (CVE-2017-16725).
8. The Guardian. (2016). Chinese Electronics Firm to Recall Cameras Used in Botnet Attack.