Nachdem eufy bereits die Infos in der App zur lokalen Datenspeicherung angepasst hatte, ist nun auch die Webseite dran gewesen.
Original: Vor Kurzem wurde bekannt, dass eufy sein Versprechen der komplett lokalen Datenverarbeitung nicht ganz einhalten kann. Unter anderem müssen zur Anzeige von Vorschaubildern in den iPhone-Mitteilungen bestimmte Daten auf einem Server verarbeitet werden. Das ist auch in Ordnung und lässt sich wohl anders nicht bewerkstelligen, das Problem war jedoch, dass eufy diese Infos nicht mitgeteilt und stattdessen mit der lokalen Verarbeitung geworben hat.
Nachdem die Infos dazu bekannt geworden sind, hat eufy ein wenig nachgebessert und die Informationen zur Datenspeicherung in seiner App angepasst. Nun war auch die eigene Webseite dran, auf der jetzt genauer über die Datenspeicherung informiert wird und man ein paar Dinge umformuliert hat.
Während man bisher mit der “sicheren lokalen Speicherung direkt auf dem Gerät” geworben hat, bei der “Ihre privaten Daten niemals die Sicherheit ihrer Privatsphäre verlassen und nur für sie allein zugänglich sind“, formuliert man dies nun etwas weniger direkt. Nun heißt es auf der Webseite: „Unsere Kunden behalten die volle Kontrolle über ihre Aufnahmen. Wir haben Kontrollmechanismen entwickelt, die sicherstellen, dass alle Videoaufnahmen sicher auf dem lokalen Speichermedium im eigenen Haus aufbewahrt werden, wobei eine Speicherung in der Cloud als Option zur Verfügung steht.“
Wie erwähnt bleibt zur Anzeige der Vorschaubilder in den iPhone-Mittelungen aktuell wohl keine andere Möglichkeit übrig, als die Daten in der eigenen Cloud zwischen zu speichern. Dennoch war es sicherlich nicht von Vorteil, dass man dies vorher nicht mitgeteilt hat. In wie weit das nun die Entscheidung potenzieller Kunden beeinflusst, sei einmal dahingestellt. Ich persönlich bevorzuge sowieso Kameras, die ausschließlich auf HomeKit bzw. HomeKit Secure Video setzen und habe meine eufy Kameras schon vor einiger Zeit abgegeben. Wie sieht es da bei euch aus?
Update: eufy hat in einer ausführlichen Stellungnahme nochmal auf die Probleme bzw. Vorwürfe reagiert. Nachfolgend findet ihr die komplette Mitteilung:
Bei eufy Security verfolgen wir einen neuen Ansatz für die Sicherheit des Zuhauses. Unsere Sicherheitslösungen sind so konzipiert, dass sie lokal arbeiten und, wo immer möglich, die Cloud vermeiden. Dazu gehört, dass wir das Videomaterial der Benutzer lokal speichern und wichtige Prozesse wie Gesichtserkennung und biometrische Identitätsprüfung direkt über den Chip im Gerät des Benutzers verwalten. Nicht über die Cloud. Dies ist ein anderer Ansatz als bei anderen Unternehmen in der der Heim-Sicherheitsbranche, bei denen die Cloud ein zentraler Bestandteil der Sicherheitslösung und des Geschäftsmodells darstellt. Unsere Sicherheits-Technologie wurde so noch nie ausprobiert, und wir stehen vor Herausforderungen auf dem Weg dorthin. Aber wir bleiben den Millionen von Verbrauchern weltweit verpflichtet, die sich für eufy Security entschieden haben, um ihre Sicherheit, Privatsphäre und Identität zu schützen.
In den letzten Wochen wurden mehrere Vorwürfe gegen eufy Security erhoben. Wir wissen, dass die Notwendigkeit einer direkteren und zeitnahen Kommunikation zu diesen Themen viele Kunden frustriert hat. Wir haben jedoch die letzten Wochen genutzt, um diese möglichen Bedrohungen zu untersuchen und alle Fakten zu sammeln, bevor wir uns öffentlich zu diesen Behauptungen äußern. In Zukunft werden wir unser Bedürfnis, “alle Fakten” zu sammeln, besser mit unserer Verpflichtung, unsere Kunden schneller zu informieren, in Einklang bringen müssen. Im Folgenden werden wir versuchen, die Fakten besser von der Fiktion zu trennen und mehr Details über alle Änderungen, die wir an unseren Richtlinien, Prozessen und Sicherheitslösungen vorgenommen haben, zu liefern.
eufy Security nutzt die Cloud, um Benutzern mobile Push-Benachrichtigungen zu senden.
Das ist wahr. Wie bereits erwähnt, ist eufy Security bestrebt, die Nutzung der Cloud in unseren Sicherheitsprozessen so weit wie möglich zu reduzieren. Einige Prozesse erfordern jedoch auch heute noch die Nutzung unseres sicheren AWS-Servers. So wird beispielsweise bei Push-Benachrichtigungen über Sicherheitsereignisse – wenn der Benutzer ein Vorschaubild für die Sicherheitsbenachrichtigung ausgewählt hat – ein kleines Vorschaubild des Sicherheitsereignisses an unseren sicheren AWS-Server gesendet und dann auf das Telefon des Benutzers übertragen. Dieses Bild ist durch eine Ende-zu-Ende-Verschlüsselung geschützt und wird kurz nach dem Versand der Push-Benachrichtigung gelöscht. Auch dieser Prozess entspricht allen Industriestandards.
Wir haben die eufy Security App bereits mit einer detaillierteren Erklärung der verschiedenen Push-Benachrichtigungsoptionen und der Optionen, die die Verwendung unseres sicheren AWS-Servers erfordern, aktualisiert. Dies wird unseren Nutzern helfen, eine fundierte Entscheidung zu treffen. Wir verstehen, dass dies nicht genug ist. Als Unternehmen, das sich darauf konzentriert, die Nutzung der Cloud zu reduzieren, müssen wir deutlicher machen, welche unserer Prozesse lokal ausgeführt werden und welche die Nutzung unseres sicheren AWS-Servers erfordern. Dazu gehört auch eine überarbeitete Datenschutzerklärung auf eufy.com, die wir im Laufe dieser Woche veröffentlichen werden. Für unsere Marketing- und Kommunikationsteams wird dies ein wichtiger Verbesserungspunkt sein, der auf unserer Website, in den Datenschutzrichtlinien und in anderen Marketingmaterialien aufgenommen wird.
Die Live-Ansicht des Web-Portals von eufy Security hat eine Sicherheitslücke
Zunächst einmal wurden keine Nutzerdaten preisgegeben, und die möglichen Sicherheitslücken, die online diskutiert werden, sind spekulativ. Wir stimmen jedoch zu, dass es einige wichtige Bereiche gibt, die verbessert werden können. Daher haben wir die folgenden Änderungen vorgenommen. Heute können sich die Benutzer immer noch bei unserem Webportal eufy.comanmelden, um die Live-Streams ihrer Kameras anzusehen. Außerhalb des sicheren Webportals von eufy können Nutzer jedoch keine Live-Streams mehr ansehen (oder aktive Links zu diesen Live-Streams mit anderen teilen). Jeder, der diese Links sehen möchte, muss sich zunächst beim eufy.com Webportal anmelden. Wir werden weiterhin nach Möglichkeiten zur Verbesserung dieser Funktion suchen.
eufy sendet Gesichtserkennungsdaten in die Cloud?
Das ist nicht wahr. Dies ist ein entscheidendes Unterscheidungsmerkmal für eufy Security – alle Gesichtserkennungs- und biometrischen Prozesse werden lokal auf dem Gerät des Nutzers abgeschlossen. Diese Informationen werden niemals in der Cloud verarbeitet.
Die Schritte beschreiben, was passiert, wenn Benutzer eine neue Person zu ihrem eufy Security-Gesichtserkennungssystem hinzufügen möchten.
Der Nutzer muss zunächst ein Bild der neuen Person über seine eufy Security App an sein Sicherheitsgerät senden.
Befindet sich der Nutzer im selben WLAN wie sein Sicherheitsgerät, wird das Bild über eine sichere lokale Verbindung (LAN) von der eufy Security App direkt an das Sicherheitsgerät gesendet.
Befindet sich der Benutzer nicht im selben Wi-Fi-Netzwerk wie das Sicherheitsgerät (oder ist er nicht zu Hause), wird das Bild über eine direkte P2P-Verbindung über das Internet sicher von der eufy Security App an das Sicherheitsgerät gesendet.
Zuvor nutzte die eufy Video Doorbell Dual unseren sicheren AWS-Server, um das Ausgangsbild an andere Kameras im lokalen eufy Security-System des Benutzers weiterzugeben. Heute wurde die eufy Video Doorbell Dual so aufgerüstet, dass sie den gleichen LAN/P2P-Prozess wie oben beschrieben nutzt.
Wir werden auch weiterhin hart daran arbeiten, das Vertrauen unserer Community in unsere Produkte, Dienstleistungen und Prozesse zu erhalten.
Wir danken Ihnen für Ihre Geduld und Ihr Verständnis.
Das eufy-Sicherheitsteam
