Eine Sicherheitsanalyse an den Kasa-Überwachungskameras von TP-Link zeigt, dass die Koordinaten des Aufstellorts ohne jede Anmeldung auslesbar waren. Der eigentliche Schaden steckt allerdings woanders, nämlich in einem Schlüssel, den sich sämtliche Geräte teilen.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenEin einziges UDP-Paket an Port 9999 hat bei den TP-Link-Kasa-Kameras genügt, um die Koordinaten eines Wohnhauses metergenau auszulesen. Der Sicherheitsforscher Christopher Childress hat die Schwachstelle dokumentiert[1] und dabei zwei Fehler gefunden, die schwerer wiegen als das Standort-Leck.
Das Wichtigste in Kürze
- Betroffen sind Kasa EC70 v4 und EC71 v4 mit Firmware vor 2.4.0 Build 20260520 beziehungsweise 2.4.1 Build 20260621.
- Die Standort-Abfrage läuft unter CVE-2026-13230, von TP-Link mit CVSS 5.3 bewertet, vom Entdecker mit 7.1.
- Schwerer wiegt CVE-2026-9770 mit CVSS 8.6: ein fest einprogrammierter RSA-Schlüssel für alle Geräte derselben Firmware.
- Ein Werksreset löscht die Zugangsdaten des Vorbesitzers nicht zuverlässig aus dem Flash-Speicher.
Wie kommt ein Fremder an die Koordinaten?

Die Kamera beantwortet im lokalen Netz eine unauthentifizierte Suchanfrage auf Port 9999 und liefert dabei Standortdaten und Geräte-Fingerabdruck mit. Geschützt ist die Antwort laut Childress nur durch eine simple XOR-Verschleierung.
Der Mechanismus dahinter ist kein Programmierfehler im engeren Sinn, sondern eine Designentscheidung. Discovery-Protokolle sollen neue Geräte im Heimnetz auffindbar machen, und genau dafür beantworten sie jede Anfrage.
Kritisch wird das erst durch die Nutzlast. Eine Seriennummer verrät wenig, Koordinaten mit Meter-Genauigkeit dagegen verknüpfen ein Gerät mit einer realen Adresse.
Warum der geteilte Schlüssel schwerer wiegt
Der gravierendere Befund trägt die Kennung CVE-2026-9770. Im Firmware-Image steckt ein 2048-Bit-RSA-Schlüsselpaar, das laut der Analyse auf allen Geräten derselben Firmware identisch ist und bis Juli 2031 gültig bleibt.
Fleet-wide heißt dabei: Ein einmal aus dem Flash-Speicher extrahierter Schlüssel hebelt die Verschlüsselung nicht bei einer Kamera aus, sondern bei allen. Damit lässt sich der Verkehr zwischen Kamera und Weboberfläche mitlesen, inklusive der Administrator-Zugangsdaten.
Die Passwörter selbst hat TP-Link laut der Untersuchung als ungesalzene MD5-Hashes abgelegt, die E-Mail-Adressen im Klartext daneben. Weil dasselbe TP-Link-Konto häufig auch Router und Steckdosen öffnet, reicht ein geknacktes Kamera-Passwort weit über die Kamera hinaus.
Ein Schlüssel, der auf jedem Gerät derselbe ist, hat mit Verschlüsselung nur noch die Rechenoperation gemeinsam. Solche Konstruktionen fallen nicht durch Angriffe, sondern durch einen einzigen Flash-Dump.
— Michael Dobler, Herausgeber Dr. Web
Was die Sicherheitsanalyse an den TP-Link-Kameras gefunden hat, und wie schwer die Lücken wiegen.
Was gilt seit August 2025 in der EU?
Seit dem 1. August 2025 müssen funkfähige Geräte verbindliche Cybersicherheitsanforderungen erfüllen, bevor sie in der EU verkauft werden dürfen. Grundlage ist die delegierte Verordnung 2022/30/EU zur Funkanlagenrichtlinie samt den Normen EN 18031-1, -2 und -3.
Genau die Befunde dieser Analyse adressieren die neuen Normen: sichere Speicherung von Zugangsdaten, geräteindividuelle Schlüssel und ein belastbarer Update-Mechanismus. Das BSI hat an der Entwicklung mitgearbeitet[2], das CE-Kennzeichen deckt seither auch diese Anforderungen ab.
Die betroffene Firmware stammt aus dem April 2024 und fällt damit in die Zeit vor dieser Pflicht. Darin liegt der eigentliche Befund für deutsche Unternehmen: Der Gesetzgeber hat den Neuverkauf reguliert, nicht die Kameras, die längst an der Wand hängen.
Neu ist das Muster ohnehin nicht. Fest verdrahtete Zugangsdaten in Firmware haben zuletzt reihenweise Sicherheitsprodukte getroffen, sichtbar an der gekaperten FortiSandbox von Fortinet und am Rekord-Patchday bei Microsoft.
Handeln beginnt bei der Firmware: Prüfen Sie in der Kasa-App die Version und ziehen Sie das Update auf mindestens 2.4.0 Build 20260520 nach. Setzen Sie anschließend das Passwort des TP-Link-Kontos neu, weil es durch die MD5-Speicherung als kompromittiert gelten muss.
Gebraucht gekaufte oder verkaufte Kameras gehören zusätzlich auf die Liste, weil ein Werksreset die Altdaten nicht zuverlässig entfernt. Wie schnell ein einzelnes ungeschütztes Gerät zum Einfallstor ins Firmennetz wird, zeigt der Blick auf Smart-Home-Technik im Homeoffice.
Für Kameras an Betriebsstätten kommt die Haftungsfrage unter NIS2 dazu, und dass auch ein gepatchtes System über Dritte auffliegen kann, hat das Datenleck bei Netze BW vorgeführt.
Quellen
[1] Christopher Childress: „TP-Link Kasa Spot EC71 Security Analysis“ ↩
[2] Bundesamt für Sicherheit in der Informationstechnik: „Cybersicherheit mit der Radio Equipment Directive (RED)“ ↩
Mehr Newshunger?
- Vom Schutzschild zum Einfallstor: Angreifer kapern Fortinets FortiSandbox
- Sicherheitslücke: Warum Sie WordPress sofort auf 7.0.2 aktualisieren sollten
- Datenleck bei Netze BW: Wie Kriminelle über einen Zähler-Dienstleister an Stammdaten kamen
- Kein einziger Bug: Wie ShinyHunters ein Jahr lang Salesforce-Daten stahl
- 570 Sicherheitslücken an einem Tag: KI treibt Microsofts Patchday auf Rekordniveau
- Smart Home Sicherheit: Wenn das Homeoffice zum Risiko wird