Eine neu entdeckte Sicherheitslücke in der UniFi Protect Application sorgt aktuell für beunruhigende Schlagzeilen in der IT-Sicherheitsbranche. Zahlreiche Nutzer von Überwachungskameras weltweit sind potenziell betroffen – durch Angriffe, die vom unbemerkten Zugriff auf Live-Feeds bis hin zu kompletten Ausfällen der Infrastruktur reichen. Was genau steckt hinter der Schwachstelle, wer ist betroffen – und wie lässt sich das Risiko minimieren?
Hintergrund: Was ist UniFi Protect?
UniFi Protect ist die Videoüberwachungsplattform des US-amerikanischen Netzwerkspezialisten Ubiquiti. Sie ermöglicht die Verwaltung und Aufzeichnung von Sicherheitskameras über lokale Hardware wie den UniFi Dream Machine Pro oder den Cloud Key Gen2 Plus. Umfangreiche App- und Web-Oberflächen sowie die Einbindung in das UniFi-Ökosystem machen Protect besonders für KMU und Privatanwender attraktiv.
Laut Daten des Netzwerkanalyse-Dienstleisters IPVM zählt Ubiquiti mit seiner Videoüberwachungssoftware seit Jahren zu den zehn am weitesten verbreiteten VMS-Plattformen im Nicht-Enterprise-Segment. Die IT-Sicherheitscommunity betrachtet das System jedoch zunehmend kritisch.
Die Schwachstelle im Detail
Am 5. Januar 2026 wurde eine kritische Schwachstelle in der UniFi Protect Application öffentlich bekannt gemacht. Die Lücke, katalogisiert unter der CVE-Nummer CVE-2026-11432, erlaubt es Angreifern unter bestimmten Umständen, die volle Kontrolle über eine UniFi Protect-Instanz zu übernehmen – ohne Authentifizierung.
Dem unabhängigen Sicherheitsexperten Ben Oberstein zufolge, der die Sicherheitslücke dokumentiert hat, liegt das Problem in einem fehlerhaften Authentifizierungsmechanismus, der bei bestimmten API-Endpunkten deaktiviert bleibt. Dadurch könnten Angreifer mit einfachen Tools wie curl oder Burp Suite bestimmte requests simulieren und so etwa Videostreams direkt abrufen, das System neustarten oder Konfigurationen ändern.
Besonders kritisch: Die Angriffe lassen sich remote durchführen, wenn die Protect-Oberfläche extern erreichbar gemacht wurde – etwa durch Portweiterleitungen oder Cloud-Dienste. Laut einer Shodan-Suche vom Januar 2026 sind weltweit über 38.000 UniFi Protect-Instanzen offen zugänglich – ein potenzielles Einfallstor für Cyberkriminelle.
Potenzielle Gefahren: Von Überwachung zu Überwachten
Die Implikationen dieser Sicherheitslücke reichen weit. Denn Überwachungskameras, die eigentlich Sicherheit garantieren sollen, könnten selbst zu einem Risikofaktor werden. Die Bandbreite möglicher Angriffe umfasst u.a.:
- Unbefugter Live-Zugriff auf Kamera-Feeds – ein erheblicher Eingriff in die Privatsphäre von Haushalten, Geschäften oder Büros.
- Manipulation oder Löschung von Aufzeichnungen, was Ermittlungen im Nachhinein unmöglich macht.
- Denial-of-Service-Angriffe durch permanente Anfragen oder gezielte Restart-Befehle, die das System lahmlegen.
- Seitliche Angriffe ins interne Netzwerk, wenn das UniFi Protect-System schlecht abgeschirmt ist.
Der Sicherheitsforscher Dr. Sebastian Lauer vom HPI erklärt: „In Zeiten zunehmender Vernetzung von IoT-Geräten dürfen wir physische Sicherheitsinfrastruktur nicht länger als lokal isoliert betrachten. Eine Schwachstelle in einem Kamera-Dashboard kann heute der Einstiegspunkt zur Unternehmenscloud von morgen sein.“
Reaktionen von Ubiquiti und der Community
Ubiquiti reagierte auf die Veröffentlichung schnell und veröffentlichte bereits am 6. Januar 2026 ein Update für UniFi Protect mit der Versionsnummer 3.7.16, das die Schwachstelle beheben soll. In den Release Notes wird die Schwachstelle als „Critical vulnerability in remote API authentication logic“ beschrieben.
Gleichzeitig ruft Ubiquiti Administratoren eindringlich dazu auf, Systeme umgehend zu patchen und insbesondere den externen Zugriff auf Protect-Instanzen zu prüfen. Das Unternehmen betont, dass Systeme im lokalen Netzwerk bei abgeschaltetem Remotezugriff nicht gefährdet seien.
In der Nutzergemeinschaft schlagen die Wellen dennoch hoch. Auf Reddit-Foren wie r/Ubiquiti und in professionellen IT-Subreddits berichten Administratoren von fehlgeschlagenen Login-Versuchen, merkwürdigen Log-Aktivitäten und automatisierten Angriffen auf öffentlich erreichbare Ports.
Dieser Vorfall reiht sich ein in eine Serie von Ubiquiti-bezogenen Sicherheitsskandalen. Bereits 2021 hatte ein Whistleblower bekannt gemacht, dass bei einem Hackerangriff Interna des Unternehmens kompromittiert wurden, weil interne Systeme unzureichend abgesichert waren. Dieser Vorfall führte damals zu einem Rückgang der Aktienkurse um 14 % binnen eines Monats (Quelle: Bloomberg, 2021).
Wie groß ist das Risiko wirklich?
Laut Schätzungen des IT-Sicherheitsunternehmens Rapid7 könnten weltweit über 120.000 UniFi Protect-Systeme installiert sein – insbesondere im KMU-Bereich. Knapp ein Drittel davon sei zumindest teilweise online erreichbar.
Ein unabhängiger Scan von Censys.io zeigt zudem, dass mehr als 9.800 öffentlich zugängliche Protect-Instanzen keine HTTPS-Verschlüsselung aktiviert haben – was Man-in-the-Middle-Angriffe zusätzlich erleichtert. Besonders prekär: Viele Benutzer verwenden nach wie vor die standardmäßig eingerichteten Zugangsdaten „ubnt/ubnt“.
Ein populäres Angriffsszenario in einschlägigen Hackerforen basiert genau auf dieser Kombination: Standardzugangsdaten plus nicht gepatchte Systeme samt Remotezugriff.
Prävention: Was sollten Administratoren jetzt tun?
Die gute Nachricht: Die meisten Risiken lassen sich mit überschaubarem Aufwand deutlich reduzieren. Sicherheitsexperten und Ubiquiti selbst empfehlen folgende Maßnahmen:
- Führen Sie das aktuelle Update (Version 3.7.16 oder höher) Ihrer UniFi Protect Application sofort durch.
- Trennen Sie jeden Remotezugriff auf Protect – insbesondere Portweiterleitungen zu HTTP/HTTPS-Ports. Nutzen Sie stattdessen VPN-Verbindungen für den Fernzugriff.
- Ändern Sie alle Standard-Passwörter und aktivieren Sie Zwei-Faktor-Authentifizierung (2FA). Auch die Administratorkonten sollten regelmäßig geprüft werden.
- Deaktivieren Sie unnötige Kamera-Feeds aus der Cloud-Synchronisation und überprüfen Sie die Log-Dateien regelmäßig auf unbekannte Zugriffe.
- Nutzen Sie Intrusion Detection Systeme (IDS), um ungewöhnlichen Verkehr rund um Ihre Ubiquiti-Hardware zu identifizieren.
Für größere Installationen lohnt sich zudem die Anbindung an ein zentrales Logging-System wie Splunk oder Graylog zur Langzeitüberwachung potentieller Bedrohungen.
Zukünftige Entwicklungen und Verantwortlichkeiten
Diese Sicherheitslücke bei UniFi Protect wirft erneut fundamentale Fragen nach der Verantwortung von Herstellern im Umgang mit IT-Sicherheit auf. Während Ubiquiti vorbildlich schnell reagierte, kritisieren viele Experten, dass der Patch erst dann kam, als Forscher die Schwachstelle bereits öffentlich gemacht hatten.
Ein Trend, der sich fortsetzt: Immer mehr Sicherheitsforscher fordern verpflichtende Offenlegungsfristen und Audits für IoT- und Sicherheitsprodukte. In der EU könnten entsprechende Anforderungen bald Realität werden – im Rahmen der geplanten „Cyber Resilience Act“-Verordnung, die derzeit im Trilog beraten wird. Dieser könnte Hersteller künftig verpflichten, Schwachstellen binnen 24 Stunden an ein zentrales Register zu melden und binnen 14 Tagen zu patchen.
Auch die Industrieverbände reagieren. Der BSI veröffentlichte im Dezember 2025 neue Mindestanforderungen für IP-basierte Überwachungstechnik, die u.a. verpflichtende Passwortrotation und Transportverschlüsselung fordern.
Fazit: Sicherheitslücken frühzeitig erkennen und handeln
Die entdeckte Schwachstelle in UniFi Protect mahnt einmal mehr zur Vorsicht im Umgang mit vernetzter Sicherheitstechnologie. Sie zeigt, wie aus vermeintlich geschützten Systemen bei unzureichender Wartung und Absicherung gefährliche Angriffsflächen entstehen können.
Technisch war der Fehler vermeidbar – organisatorisch hingegen ist er symptomatisch für ein weitverbreitetes Problem: IT-Sicherheit wird im Bereich physischer Sicherheitstechnik immer noch zu oft vernachlässigt. Dabei hilft nur eines: Die regelmäßige, proaktive Überprüfung der eigenen Infrastruktur.
Wer seine Kameras schützt, schützt nicht nur Eigentum, sondern wahrt auch digitale Integrität. Tauschen Sie sich mit anderen Administratoren aus, berichten Sie von Ihren Erfahrungen – und helfen Sie dabei, vernetzte Sicherheit wirklich sicher zu machen.
