Datenschutztest der Tapo-Kamera

Oberflächlich betrachtet sind die Standardeinstellungen der C225 sinnvoll. Videos scheinen nur dann in den Cloud-Dienst von TP-Link hochgeladen zu werden, wenn Sie sich für ein kostenpflichtiges Abonnement anmelden, und nur in Drei-Minuten-Abschnitten, wenn ein von Ihnen vorher festgelegter Bewegungs- oder Geräuschauslöser aktiviert wird. Ohne Abonnement werden Videos nicht auf deren Servern gespeichert und können nur lokal über eine microSD-Karte gespeichert werden, die sich unter der Basis des Geräts befindet und nicht ohne Benachrichtigung der Kamera entnommen werden kann.

Es ist erwähnenswert, dass die Einrichtung nur über Bluetooth oder Apple HomeKit erfolgen kann. Sie müssen also die TP-Link Tapo-App herunterladen, um loszulegen. Sobald Sie angemeldet sind, müssen Sie ein Konto bei TP-Link registrieren. Dies ist nicht verhandelbar; Sie können die App (und damit die Kamera) ohne dieses Konto nicht nutzen.

Unsere Verkehrsanalyse zeigt, dass die C225 ständig Verbindungen zu AWS herstellt, auch wenn die Kamera nicht aufzeichnet. Als wir uns an TP-Link wandten, wurde uns mitgeteilt, dass es sich bei diesen Verbindungen um Keep-Alive-Datenverkehr handelt, der es „Benutzern ermöglicht, die Kamera über die Tapo-App außerhalb des lokalen Netzwerks aus der Ferne zu verwalten“, und dass diese keine personenbezogenen Daten enthalten. Wenn die Kamera ausgeschaltet ist, sind die einzigen gesendeten Netzwerkdaten die DNS-Anfragen, die angeben, mit welchen Servern eine Verbindung hergestellt werden soll.

Zumindest ein Teil der KI-Verarbeitung, die zur Erkennung von Bewegungen und zur Unterscheidung zwischen Personen verwendet wird, findet tatsächlich lokal auf dem Gerät statt. Wir haben dies getestet, indem wir der Kamera den Internetzugang selektiv entzogen haben. Mit der Tapo-App können Sie jedoch auch in die Cloud hochgeladenes Filmmaterial mit Ereignissen taggen, um das KI-Modell zu trainieren. Es scheint, als ob diese Metadaten mit dem Filmmaterial auf Cloud-Ebene verknüpft sind, anstatt auf dem Gerät gespeichert zu werden. Daher müssen wir genau hinterfragen, auf wie viel TP-Link wirklich Zugriff hat. Die Personenerkennung ist standardmäßig aktiviert, während die Fahrzeug-, Haustier- und vor allem die Gesichtserkennung deaktiviert sind.

Die Gesichtserkennung ist standardmäßig deaktiviert, was angesichts der Sensibilität biometrischer Daten die richtige Entscheidung ist.

Wenn Sie sich anmelden, erfasst TP-Link Ihre E-Mail-Adresse, die dann mit allen Ihren Kameras verknüpft wird. Wenn Sie TapoCare abonnieren, speichert TP-Link Ihre Videoclips auch auf Amazon Web Services.

Die Datenschutzerklärung sollte sorgfältig gelesen werden: Das Cloud-Hosting von TP-Link nutzt Amazon Web Services ziemlich umfassend. AWS ist ein seriöser und weit verbreiteter Cloud-Infrastrukturanbieter, was die gute Nachricht ist. Die weniger beruhigende Nachricht ist, dass Ihre Kameraaufnahmen beim Upload über einen Drittanbieterdienst mit eigenen Bedingungen, Aufbewahrungsrichtlinien und Zugriffskontrollen geleitet werden.

Wenn Sie sich für das Programm zur Verbesserung der Benutzerfreundlichkeit entscheiden, erfasst TP-Link die IMEI-Nummer Ihres Telefons sowie Daten zu dem von Ihnen verwendeten Gerät, wie die Systemversion und Nutzungsdaten der Produktfunktionen. Hier finden sich auch alle Standard-Ausnahmen für Marketingzwecke. TP-Link kann alle erfassten Daten an seine Marketingpartner weitergeben, sofern diese zuvor anonymisiert und aggregiert werden. Das ist zwar nicht ideal, aber absolut üblich für jeden Technologieanbieter.

Was die Datenschutzerklärung nicht eindeutig beantwortet, ist, ob Ihre gespeicherten Videoclips nur für Sie zugänglich sind oder ob auch TP-Link-Mitarbeiter darauf zugreifen können. Da die Clips in der AWS-Infrastruktur von TP-Link gespeichert sind, ist dies keine triviale Frage. Auf Nachfrage erklärte TP-Link: „Im normalen Geschäftsverlauf kann kein TP-Link-Mitarbeiter auf Videoclips zugreifen. Im seltenen Fall eines verifizierten Sicherheitsvorfalls kann eine kleine Gruppe von US-Mitarbeitern am Hauptsitz von TP-Link in Kalifornien auf Systemprotokolle und Metriken zugreifen, die zur Untersuchung des Vorfalls erforderlich sind. Dieser Prozess wird streng kontrolliert und erfordert mehrstufige Genehmigungen durch die Leitung der US-Zentrale.“

Die Sicherheitsforscherin Simone Margaritelli entdeckte, dass das C200-Modell von TP-Link (das sich geringfügig vom C225 unterscheidet) jedes Mal den gleichen SSL-Schlüssel verwendete. Ohne zu sehr auf technische Details einzugehen: Der SSL-Schlüssel wird verwendet, um den Videostream zu verschlüsseln, der an die Server von TP-Link gesendet wird. Das bedeutet, dass ein Hacker, der Zugriff auf Ihr lokales Netzwerk hat, den Videostream von Ihrer Kamera problemlos entschlüsseln und ansehen könnte.

TP-Link hat zwar einen Firmware-Patch veröffentlicht, die langsame Reaktionszeit und der Schweregrad der Schwachstelle sollten jedoch im Hinterkopf behalten werden.

TP-Link steht auch unter Beobachtung der US-Regierung. Als Reaktion auf eine Reihe von Untersuchungen der Ministerien für Handel, Verteidigung und Justiz spaltete sich TP-Link im Jahr 2024 in zwei Einheiten auf: TP-Link Technologies mit Sitz in Shenzhen und TP-Link Systems mit Sitz in Irvine, Kalifornien.

Das in den USA ansässige Unternehmen besteht darauf, dass es unabhängig agiert und keine ausländische Regierung Zugriff auf das Design oder die Daten seiner Produkte hat. Das hielt die USA jedoch nicht davon ab, in der Vergangenheit ein Verbot der Produkte von TP-Link in den USA in Erwägung zu ziehen, was letztlich zu der Entscheidung führte, den Verkauf neuer im Ausland hergestellter Router vollständig zu verbieten. Der Generalstaatsanwalt von Texas, Ken Paxton, verklagt derzeit TP-Link mit der Begründung, dass das Unternehmen eine Bedrohung für die nationale Sicherheit darstelle.

TP-Link erklärt, dass es Ihre personenbezogenen Daten nicht verkauft.

Die Kamera kann als reines Offline-Gerät betrieben werden. Obwohl Sie sich für die Ersteinrichtung anmelden müssen, kann die Kamera nach der TP-Link-Konfiguration über RTSP in einem lokalen Netzwerk verwaltet und an ein NAS angeschlossen oder mit einer microSD-Karte verwendet werden – alles ganz ohne Cloud-Konnektivität. Für Benutzer, die mit lokaler Netzwerkverwaltung vertraut sind, ist dies eine wirklich nützliche Option.

Die Kamera von TP-Link verwendet auch lokale KI-Modelle, um Personen, Haustiere und Fahrzeuge zu erkennen. Diese Funktionen funktionieren auch ohne Netzwerkkonnektivität, was darauf hindeutet, dass zumindest ein Teil der KI-Verarbeitung auf dem Gerät selbst stattfindet und nicht zur Analyse an die Cloud gesendet wird.

Mit der Kamera können Sie auch Datenschutzzonen erstellen. Dies sind Bereiche Ihres Zuhauses, die sensible Inhalte aufweisen könnten und während der Aufnahme durch einen schwarzen Balken maskiert werden. Beachten Sie, dass diese Einstellung zurückgesetzt wird, wenn die Kamera bewegt oder gedreht wird. Sie müssen sie also neu konfigurieren, falls die Kamera verstellt wurde.

TP-Link gibt an, dass Tapo AES 128-Bit-Verschlüsselung und TLS 1.2-Protokolle verwendet, um Daten bei der Übertragung zu schützen, und dass die Plattform nach ISO 27001 und ISO 27701 für Informationssicherheit und Datenschutzmanagement zertifiziert ist.

Wenn Sie sich für den TapoCare-Cloud-Service von TP-Link anmelden, scheint es unmöglich zu sein, den automatischen Upload von bewegungsausgelösten Clips auf die Server von TP-Link zu deaktivieren, ohne Ihr Abonnement vollständig zu kündigen. Dies ist eine erhebliche Designeinschränkung: Wenn Sie Cloud-Speicher für einige Clips, aber nicht für andere wünschen oder das Hochladen vorübergehend pausieren möchten, gibt es keinen Mechanismus dafür.

Sie können sich einfach dafür entscheiden, das Abo nicht abzuschließen. In diesem Fall scheint die Kamera kein Videomaterial hochzuladen. Wenn Sie den Cloud-Service von TP-Link jedoch ohnehin nicht nutzen, gibt es keinen Grund, die Kamera überhaupt mit dem Internet verbunden zu lassen. In diesem Fall können Sie die Kamera auch gleich komplett offline betreiben.

Sie können Ihre Kamera vollständig offline halten, indem Sie in Ihrem Router verhindern, dass die C225 Datenverkehr außerhalb Ihres Netzwerks sendet, indem Sie die IP über eine Firewall blockieren. Sie funktioniert dann weiterhin und Sie können die Kamera lokal mit der Tapo-App verwalten. Wenn Sie sich wirklich Sorgen machen, ausspioniert zu werden, können Sie das TP-Link-Ökosystem auch vollständig umgehen, indem Sie das in die Kamera integrierte RTSP-Protokoll nutzen.

Idealerweise sollten Sie Ihre IP-Kamera in einem völlig separaten Netzwerksegment platzieren, das von Ihren Hauptgeräten isoliert ist. Dies begrenzt den Schaden im Falle einer Kompromittierung der Kamera und verhindert, dass ein Angreifer sie als Einfallstor in den Rest Ihres Heimnetzwerks nutzt. Aktivieren Sie die Zwei-Faktor-Authentifizierung für Ihr Tapo-Konto, halten Sie die Firmware der Kamera auf dem neuesten Stand und achten Sie auf die Sicherheitshinweise von TP-Link.

Einige Punkte verhindern, dass die Tapo C225 eine rundum datenschutzfreundliche Lösung ist. Ein Großteil des Designs von TP-Link ist vernünftig und entspricht weitgehend dem, was man von einer datenschutzbewussten Kamera erwartet. Lokale KI-Verarbeitung, Offline-Betrieb über RTSP und Datenschutzzonen sind echte Pluspunkte.

Die Unfähigkeit, das Hochladen in die Cloud bei abonniertem TapoCare zu deaktivieren, ohne das Abonnement komplett kündigen zu müssen, ist jedoch eine bizarre Designentscheidung. Die Reaktionszeit auf Schwachstellen bei ähnlichen Tapo-Geräten ist besorgniserregend. Das Schlimmste ist jedoch, dass die umfassendere behördliche Beobachtung von TP-Link als Unternehmen ein Maß an Unsicherheit mit sich bringt, das man nur schwer ausblenden kann, wenn das besagte Gerät Videos in den eigenen vier Wänden aufzeichnet.

Wenn Sie sich entscheiden, eines zu kaufen, führen Sie es offline aus. Wenn Sie es nicht offline ausführen können, behalten Sie es in einem separaten Netzwerk und überspringen Sie das Cloud-Abonnement.