Schwerfällige Kommunikation war ein Fehler
Nach massiver Kritik: Eufy nimmt zwei Korrekturen vor
Drei Wochen nach dem Aufkommen der Vorwürfe, die Kameras des Anbieters Eufy würden trotz anderweitiger Beteuerungen auf zwischengeschaltete Cloud-Speicher setzten und hätten zudem mit Zugriffsprobleme zu kämpfen, hat das Unternehmen jetzt mit einer offiziellen Stellungnahme auf die Kritik von Sicherheitsforschern und Berichterstattern reagiert.
Das Statement von Eufy Security liegt ifun.de vor.
Schwerfällige Kommunikation war ein Fehler
Die auf den Vertrieb von Überwachungskameras spezialisierte Anker-Tochter verzichtet auf eine Entschuldigung und will im eigenen Haus zudem keine gravierenden Versäumnisse entdeckt haben. Verbessern müsse man lediglich die Arbeit der Marketing- und Kommunikationsteams, die Teilaspekte der angebotenen Funktionen präziser hätten beschreiben und erklären müssen.
Dennoch hat man an Teilen des Kamera-Angebotes nun Hand angelegt und reagiert mit zwei Initiativen auf die Vorwürfe, Eufy würde den Zugriff auf unverschlüsselte Video-Streams ermöglichen und trotz der Zusage vollständig lokal zu arbeiten, Anwenderdaten in der Cloud sichern.
Zwei Korrekturen implementiert
Zum einen hat Eufy in den vergangenen Tagen zahlreiche Marketing- und Beschreibungstexte angepasst und diese sowohl in der offiziellen Eufy-Applikation als auch im Web überarbeitet. ifun.de berichtete:
Hier wird die Cloud-Kommunikation nun nicht mehr kategorisch ausgeschlossen. Eufy erklärt stattdessen nun in welchen Situationen (etwa beim Zustellen von Push-Mitteilungen mit angehängtem Kamera-Vorschaubild) die kurzfristige Zwischenspeicherung von Inhalten in der Cloud unumgänglich ist.
Zum anderen geht Eufy auf die Kritik ein, Nutzer (die über einen Zugang zur installierten Kamera verfügen) hätten Streaming-Links zur Live-Ansicht weitergeben und diese anschließend ohne vorherige Autorisierung aufrufen können.
So wird für den externen Zugriff fortan der Login in das Online-Portal mysecurity.eufylife.com vorausgesetzt. Nur wer hier eingeloggt ist wir auf die Live-Ansicht der installierten Kameras zugreifen können. Ohne Autorisierung funktionieren zuvor extrahierte Streaming-Links nicht mehr.
Ansonsten will man bei Eufy zukünftig schneller und konkreter mit seinen Kunden sprechen.
Statement zu den aktuellen Sicherheitsklagen gegen eufy Security
Bei eufy Security verfolgen wir einen neuen Ansatz für die Sicherheit des Zuhauses. Unsere Sicherheitslösungen sind so konzipiert, dass sie lokal arbeiten und, wo immer möglich, die Cloud vermeiden. Dazu gehört, dass wir das Videomaterial der Benutzer lokal speichern und wichtige Prozesse wie Gesichtserkennung und biometrische Identitätsprüfung direkt über den Chip im Gerät des Benutzers verwalten. Nicht über die Cloud. Dies ist ein anderer Ansatz als bei anderen Unternehmen in der der Heim-Sicherheitsbranche, bei denen die Cloud ein zentraler Bestandteil der Sicherheitslösung und des Geschäftsmodells darstellt. Unsere Sicherheits-Technologie wurde so noch nie ausprobiert, und wir stehen vor Herausforderungen auf dem Weg dorthin. Aber wir bleiben den Millionen von Verbrauchern weltweit verpflichtet, die sich für eufy Security entschieden haben, um ihre Sicherheit, Privatsphäre und Identität zu schützen.
In den letzten Wochen wurden mehrere Vorwürfe gegen eufy Security erhoben. Wir wissen, dass die Notwendigkeit einer direkteren und zeitnahen Kommunikation zu diesen Themen viele Kunden frustriert hat. Wir haben jedoch die letzten Wochen genutzt, um diese möglichen Bedrohungen zu untersuchen und alle Fakten zu sammeln, bevor wir uns öffentlich zu diesen Behauptungen äußern. In Zukunft werden wir unser Bedürfnis, „alle Fakten“ zu sammeln, besser mit unserer Verpflichtung, unsere Kunden schneller zu informieren, in Einklang bringen müssen. Im Folgenden werden wir versuchen, die Fakten besser von der Fiktion zu trennen und mehr Details über alle Änderungen, die wir an unseren Richtlinien, Prozessen und Sicherheitslösungen vorgenommen haben, zu liefern.
eufy Security nutzt die Cloud, um Benutzern mobile Push-Benachrichtigungen zu senden.
Das ist wahr. Wie bereits erwähnt, ist eufy Security bestrebt, die Nutzung der Cloud in unseren Sicherheitsprozessen so weit wie möglich zu reduzieren. Einige Prozesse erfordern jedoch auch heute noch die Nutzung unseres sicheren AWS-Servers. So wird beispielsweise bei Push-Benachrichtigungen über Sicherheitsereignisse – wenn der Benutzer ein Vorschaubild für die Sicherheitsbenachrichtigung ausgewählt hat – ein kleines Vorschaubild des Sicherheitsereignisses an unseren sicheren AWS-Server gesendet und dann auf das Telefon des Benutzers übertragen. Dieses Bild ist durch eine Ende-zu-Ende-Verschlüsselung geschützt und wird kurz nach dem Versand der Push-Benachrichtigung gelöscht. Auch dieser Prozess entspricht allen Industriestandards.Wir haben die eufy Security App bereits mit einer detaillierteren Erklärung der verschiedenen Push-Benachrichtigungsoptionen und der Optionen, die die Verwendung unseres sicheren AWS-Servers erfordern, aktualisiert. Dies wird unseren Nutzern helfen, eine fundierte Entscheidung zu treffen. Wir verstehen, dass dies nicht genug ist. Als Unternehmen, das sich darauf konzentriert, die Nutzung der Cloud zu reduzieren, müssen wir deutlicher machen, welche unserer Prozesse lokal ausgeführt werden und welche die Nutzung unseres sicheren AWS-Servers erfordern. Dazu gehört auch eine überarbeitete Datenschutzerklärung auf eufy.com, die wir im Laufe dieser Woche veröffentlichen werden. Für unsere Marketing- und Kommunikationsteams wird dies ein wichtiger Verbesserungspunkt sein, der auf unserer Website, in den Datenschutzrichtlinien und in anderen Marketingmaterialien aufgenommen wird.
Die Live-Ansicht des Web-Portals von eufy Security hat eine Sicherheitslücke
Zunächst einmal wurden keine Nutzerdaten preisgegeben, und die möglichen Sicherheitslücken, die online diskutiert werden, sind spekulativ. Wir stimmen jedoch zu, dass es einige wichtige Bereiche gibt, die verbessert werden können. Daher haben wir die folgenden Änderungen vorgenommen. Heute können sich die Benutzer immer noch bei unserem Webportal eufy.com anmelden, um die Live-Streams ihrer Kameras anzusehen. Außerhalb des sicheren Webportals von eufy können Nutzer jedoch keine Live-Streams mehr ansehen (oder aktive Links zu diesen Live-Streams mit anderen teilen). Jeder, der diese Links sehen möchte, muss sich zunächst beim eufy.com Webportal anmelden. Wir werden weiterhin nach Möglichkeiten zur Verbesserung dieser Funktion suchen.eufy sendet Gesichtserkennungsdaten in die Cloud?
Das ist nicht wahr. Dies ist ein entscheidendes Unterscheidungsmerkmal für eufy Security – alle Gesichtserkennungs- und biometrischen Prozesse werden lokal auf dem Gerät des Nutzers abgeschlossen. Diese Informationen werden niemals in der Cloud verarbeitet.Die Schritte beschreiben, was passiert, wenn Benutzer eine neue Person zu ihrem eufy Security-Gesichtserkennungssystem hinzufügen möchten.
- Der Nutzer muss zunächst ein Bild der neuen Person über seine eufy Security App an sein Sicherheitsgerät senden.
- Befindet sich der Nutzer im selben WLAN wie sein Sicherheitsgerät, wird das Bild über eine sichere lokale Verbindung (LAN) von der eufy Security App direkt an das Sicherheitsgerät gesendet.
- Befindet sich der Benutzer nicht im selben Wi-Fi-Netzwerk wie das Sicherheitsgerät (oder ist er nicht zu Hause), wird das Bild über eine direkte P2P-Verbindung über das Internet sicher von der eufy Security App an das Sicherheitsgerät gesendet.
Zuvor nutzte die eufy Video Doorbell Dual unseren sicheren AWS-Server, um das Ausgangsbild an andere Kameras im lokalen eufy Security-System des Benutzers weiterzugeben. Heute wurde die eufy Video Doorbell Dual so aufgerüstet, dass sie den gleichen LAN/P2P-Prozess wie oben beschrieben nutzt.
Wir werden auch weiterhin hart daran arbeiten, das Vertrauen unserer Community in unsere Produkte, Dienstleistungen und Prozesse zu erhalten.
Wir danken Ihnen für Ihre Geduld und Ihr Verständnis.Das eufy-Sicherheitsteam
Geräte wieder zurück gegeben Eufy ist für mich gestorben
Echt jetzt?
und, die kostenlosen Spiele auch schon alle entfernt, die gewisse Daten von Dir auslesen wollen. Die Datenschutzrichtlinien und Nutzungsbedingungen liest Du bestimmt auch von denen alle Zeile für Zeile durch.
Mein Gott, warum muss man immer alles nur schwarz und weiß sehen? Man kann in einem Bereich auch einen höheren Standard in Sachen Datenschutz haben als in einem anderen.
+ 1
„What about X?!“ war noch nie ein gutes Argument.
Gut so, hatte bei Anker auch meine Erfahrungen beim Service gemacht. Hardwarefehler in der Garantiezeit aber weil bei ebay statt zertifizierten Händler gekauft gab es null Support. Seitdem kaufe ich nichts mehr von denen und deren submarken.
Der erste Absatz ist doch schon Käse!
„Bei eufy Security verfolgen wir einen neuen Ansatz für die Sicherheit des Zuhauses. Unsere Sicherheitslösungen sind so konzipiert, dass sie lokal arbeiten und, wo immer möglich, die Cloud vermeiden.“
Lokal arbeiten tut da ja so gesehen erstmal nichts. Denn ohne die Hersteller App sowie einen Account funktioniert einfach nichts. Ebenfalls ohne Internetverbindung tut sich ja nichts, ein Netzwerk müsste ja ausreichen, damit die Aufnahmen gespeichert werden.
Grundlegend also typisch China-Marketing: Viel Text, viele versprechen aber „Datenschutz“ interessiert dort doch absolut niemanden.
Dieses spezielle – deutsche – Datenschutz, interessiert auch überall in der Welt niemanden. Deswegen gibt es auch überall aktuelle Bilder in Google Streetview. Nur eben bei uns nicht.
Du vergleichst Äpfel mit Mandarinen. Zumal dieser „spezielle Deutsche Datenschutz“ also die DSGVO bzw. GDPR Vorbild für viele andere Länder ist.
Naja, nicht so ganz. Natürlich ist Datenschutz in anderen Ländern weniger wichtig, aber dennoch gibt es genug Beispiele von Marken, die es besser machen, z.B Ubiquity
Ich stehe noch etwas auf der Leitung… Ist man diesbezüglich auch betroffen sofern man die Kamera in der Eufy App deaktiviert und ausschließlich über Apple Home ansteuert/überwachen lässt?
Das ist doch so lang wie breit, da ja nur die alten furz Kameras HK – bzw. nur die Homebase HK-Kompatibel sind und nichts neues mehr.
Ich würde die nicht wieder kaufen. Zugriff auf die cam wenn es klingelt dauert minutenlang, bis die steht ist Amazon schon wieder weg.
Ich habe den Geräten noch nie getraut. Geiz ist Geil ist bei Datenschutz auch nicht so geil.
Warum kosten Eufy einen Bruchteil von Eve, Netatmo, Bosch?
Verstehe die ganze Aufregung nicht.. Push-Mitteilungen mit angehängtem Kamera-Vorschaubild einfach ausschalten und sich nur mit Text informieren lassen und gut ist. Ich hatte vorher DLink, ARLO, Blink etc und für mich ist Eufy nach wie vor die BESTE Lösung.