Vor ein paar Jahren habe ich mir eine Eufy Indoor Cam 2K ins Wohnzimmer gehängt, weil das Datenblatt mit einem Versprechen warb, das ich als Technik-Fan sofort kaufte: alles lokal, keine Cloud-Pflicht, Aufnahmen bleiben im Haus. Mein Kater bekam prompt einen Livestream-Fanclub aus mir selbst, ich bekam ein gutes Gefühl beim Zubettgehen. Genau dieses Gefühl steht seit dem 10. Juli 2026 wieder auf der Kippe, denn Sicherheitsforscher haben eine neue Schwachstelle in bestimmten Eufy-Sicherheitskameras dokumentiert, die unberechtigten Zugriff auf Remote-Streams ermöglichte. Spoiler: Es ist nicht das erste Mal, dass die Marke mit genau diesem Problem in den Schlagzeilen steht.
Der Fall: Was Forscher Anfang Juli 2026 gefunden haben
Laut Berichten, auf die unter anderem BleepingComputer verwiesen hat, konnten Angreifer bei bestimmten Eufy-Modellen unter ungünstigen Bedingungen auf Video-Streams zugreifen, ohne dass die eigentlichen Besitzer davon etwas mitbekamen. Der Kern des Problems liegt erneut im Zusammenspiel zwischen Kamera, Cloud-Vermittlung und App-Authentifizierung – jener Schnittstelle, die eigentlich dafür sorgen soll, dass nur die richtige Person den richtigen Stream sieht. Eufy hat das Problem bestätigt und ein Security-Advisory veröffentlicht, in dem ein Firmware-Update angekündigt wird, das die betroffenen Geräte automatisch erhalten sollen.
Nerd-Alarm: Genau an dieser Stelle wird es technisch interessant, denn eine Remote-Stream-Lücke ist kein banaler Bug wie ein falsch beschrifteter Button in der App. Sie betrifft die Kernfunktion einer Überwachungskamera – nämlich dass ausschließlich berechtigte Personen sehen, was das Objektiv sieht. Wenn genau das kippt, ist das Versprechen der Marke im Kern getroffen.
Déjà-vu: Eufys Sicherheitsakte hat schon einmal geknackt
Wer die Debatte 2026 einordnen will, kommt an einem älteren Vorfall nicht vorbei. Bereits 2021 sorgte ein Fehler in der Server-Infrastruktur von Eufy dafür, dass Nutzerkonten bei einem Server-Upgrade fälschlich als Gastzugang anderen Accounts zugeordnet wurden. Die Folge: Fremde erhielten vollen Zugriff auf Livestreams, gespeicherte Aufnahmen und Kontoeinstellungen anderer Nutzer. Laut Berichten von heise online waren rund 0,001 Prozent der Kundschaft betroffen, konkret wurden später 712 Accounts genannt. Betroffen waren Nutzer in Ländern wie den USA, Neuseeland, Australien, Kuba, Mexiko, Brasilien und Argentinien, Europa blieb nach Angaben des Herstellers außen vor.
Interessant ist, wie schnell der Fehler damals behoben wurde: Nach Herstellerangaben wurde das Problem etwa 40 Minuten nach Auftreten entdeckt und rund eine Stunde später korrigiert, insgesamt also innerhalb von etwa zwei Stunden. Der Standard beschrieb den Vorfall damals treffend als vollen Zugriff auf fremde Überwachungskameras. Betroffen waren ausschließlich Kameras, die über die offizielle Eufy-Security-App liefen, nicht aber Babyphones, Smart Locks, Alarmanlagen oder PetCare-Produkte des Herstellers.
Im Ernst: Zwei Vorfälle mit demselben Grundmuster – unberechtigter Fremdzugriff auf private Livestreams – innerhalb weniger Jahre sind kein Zufall mehr, sondern ein Muster. Genau das macht die aktuelle Debatte 2026 so viel schärfer, als es ein isolierter Einzelfall wäre.
Dieser Vorfall zeigte schon damals, dass die Trennung zwischen lokaler Hardware und cloud-basierter Verwaltung künstlich ist. Solange der Hersteller als Man-in-the-Middle zwischen App und Kamera fungiert, um etwa Push-Nachrichten oder Fernzugriffe zu ermöglichen, bleibt diese Schnittstelle ein lohnendes Ziel. Die damalige Entschuldigung von Eufy, man habe die Server-Struktur überarbeitet, klang für viele IT-Experten eher nach Schadensbegrenzung als nach einer tiefgreifenden Architektur-Korrektur. Dass nun im Jahr 2026 erneut genau diese Schnittstelle Probleme bereitet, bestätigt die anhaltende Skepsis der Community.
Wie eine Remote-Stream-Lücke technisch überhaupt entsteht
Um zu verstehen, warum solche Schwachstellen bei Sicherheitskameras immer wieder auftauchen, hilft ein Blick auf die Architektur. Eine Kamera im Wohnzimmer streamt selten direkt zu Ihrem Smartphone. Stattdessen läuft die Verbindung meist über einen Vermittlungsserver des Herstellers, der Anfragen zwischen Gerät und App-Nutzer weiterleitet und dabei prüfen muss, wer überhaupt berechtigt ist, welchen Stream zu sehen. Genau diese Zuordnungslogik ist die Achillesferse: Ein Fehler bei der Session-Verwaltung, ein falsch gesetztes Token oder eine Race-Condition beim Login reicht, damit Konto A plötzlich den Stream von Konto B sieht.
Ein weiteres technisches Detail erschwert die Fehlersuche: Viele IoT-Geräte nutzen veraltete oder stark angepasste Versionen von Streaming-Protokollen, die ursprünglich nicht für hochsichere Umgebungen entwickelt wurden. Wenn dann noch unsauber implementierte APIs hinzukommen, über die Drittanbieter oder Smart-Home-Assistenten auf die Kameras zugreifen, multipliziert sich die Angriffsfläche. Sicherheitsexperten bemängeln seit Jahren, dass die Consumer-Elektronik-Branche bei der Entwicklung von Firmware oft Time-to-Market über Security-by-Design stellt.
Bei der aktuellen 2026er-Lücke deuten die bisherigen Beschreibungen erneut auf Probleme im Bereich der Zugriffskontrolle für Remote-Streams hin, weniger auf ein Problem der eigentlichen Videoübertragung oder Verschlüsselung selbst. Das ist insofern relevant, weil Eufy sein Marketing traditionell stark auf lokale Verarbeitung und Speicherung aufbaut – Gesichtserkennung und biometrische Analysen sollen laut Herstellerangaben direkt auf dem Gerät laufen, nicht in der Cloud. Das Problem liegt also nicht primär darin, dass Videodaten massenhaft irgendwo unverschlüsselt herumliegen, sondern darin, dass die Zugriffsverwaltung für den Fernzugriff fehleranfällig bleibt, obwohl die Speicherung lokal-first funktioniert.
Diese Unterscheidung ist für die Bewertung wichtig, aber sie tröstet betroffene Nutzer wenig. Ob eine Kamera lokal speichert oder nicht, spielt keine Rolle, wenn im Zweifel ohnehin jemand fremdes live mitschauen kann.
Das konkrete Risiko: Von Voyeurismus bis Vorbereitungstat
Wer denkt, dass ein unberechtigter Mitblick auf den Wohnzimmer-Stream lediglich ein abstraktes Datenschutzproblem ist, unterschätzt die reale Bedrohungslage. Kriminelle nutzen kompromittierte Überwachungskameras selten nur aus reiner Neugier. Ein dauerhaft zugänglicher Livestream liefert detaillierte Informationen über den Tagesablauf der Bewohner, wertvolle Gegenstände in der Wohnung oder schlichtweg darüber, wann das Haus leer steht. Im schlimmsten Fall werden solche Zugriffe für Stalking oder zur Vorbereitung von Einbrüchen missbraucht. Noch heikler wird es, wenn Angreifer nicht nur live zuschauen, sondern die Streams aufzeichnen. Wenn Audio- und Videomaterial in falsche Hände gerät, kann dies im schlimmsten Fall für gezielte Erpressung oder Identitätsdiebstahl genutzt werden, weshalb sich mittlerweile nicht nur Unternehmen, sondern auch Privatpersonen zunehmend für Erkennung von manipulierten Medien und Deepfakes interessieren müssen. Die psychologische Komponente ist dabei nicht zu vernachlässigen: Das Wissen, dass Fremde unbemerkt den privatesten Raum der Welt beobachten konnten, zerstört das fundamentale Sicherheitsgefühl in den eigenen vier Wänden oft nachhaltiger als ein klassischer physischer Einbruch.

Eufys Reaktion: Patch-Status und was das Advisory verspricht
Eufy hat den aktuellen Fall öffentlich eingeräumt und laut eigenem Security-Advisory ein Firmware-Update ausgerollt, das die betroffenen Geräte automatisch aktualisieren soll. Das ist grundsätzlich der richtige Reflex – anders als bei manchen IoT-Herstellern, die Sicherheitslücken lieber wochenlang aussitzen, bis Fachmedien wie SecurityWeek öffentlich Druck machen.
Aus dem 2021er-Vorfall lässt sich ableiten, welche Sofortmaßnahmen bei solchen Lücken typischerweise sinnvoll sind: Home Base beziehungsweise Kameras kurz vom Strom trennen, in der Eufy Security App ausloggen und neu einloggen, damit veraltete Sitzungen und Tokens ungültig werden. Nach dem damaligen Vorfall hat Eufy außerdem nachgebessert, sodass Live-Streams nicht mehr ohne Login außerhalb des Webportals abrufbar sind und geteilte Live-Links zwingend eine Anmeldung voraussetzen. Ob die 2026er-Patches ähnlich tief in die Session-Architektur eingreifen oder eher eine punktuelle Korrektur sind, lässt sich derzeit von außen nicht abschließend beurteilen – hier bleibt vorerst nur, die offiziellen Advisories der Marke im Blick zu behalten, statt sich auf Foren-Gerüchte zu verlassen.
Meine persönliche Einschätzung: Ein schneller Patch ist gut, ersetzt aber keine Erklärung. Bislang fehlt eine detaillierte technische Aufarbeitung, wie genau die Zugriffskontrolle 2026 versagt hat – und genau diese Transparenz wäre nötig, um Vertrauen zurückzugewinnen, statt nur Symptome zu behandeln.
Lokal-First-Versprechen unter Druck: Reolink, Arlo und der Rest der Branche
Eufy positioniert sich seit Jahren als Gegenentwurf zu reinen Cloud-Kameras, mit dem Argument, dass lokale Speicherung automatisch mehr Datenschutz bedeutet. Diese wiederholte Schwachstelle zeigt aber, dass lokale Speicherung und sichere Fernzugriffsverwaltung zwei getrennte Baustellen sind. Eine Kamera kann Aufnahmen brav auf der Home Base im Flur behalten und trotzdem eine löchrige Cloud-Vermittlung für den Remote-Zugriff haben.
Konkurrenten wie Reolink und Arlo werben ebenfalls mit lokalen Speicheroptionen, NVR-Anbindung oder optionaler Cloud-Nutzung, stehen aber technisch vor demselben Grundproblem: Sobald eine App irgendwo remote auf eine Kamera zugreifen soll, braucht es eine Vermittlungsschicht, die absolut wasserdicht sein muss. Kein Hersteller in diesem Markt kann sich derzeit hinstellen und behaupten, komplett immun gegen solche Session- oder Zuordnungsfehler zu sein. Der Unterschied liegt eher darin, wie transparent und wie schnell auf Vorfälle reagiert wird, und wie konsequent nach einem Vorfall an der Architektur nachgebessert wird, statt nur den akuten Fehler zu flicken.
Ist das nun ein Grund, sofort alle Eufy-Sicherheitskameras vom Balkon zu reißen? Nein, das wäre überzogen. Aber es ist ein guter Anlass, die eigene Kamera-Auswahl nicht länger allein am Marketing-Claim „lokal, privat, sicher“ festzumachen, sondern auch am tatsächlichen Umgang mit Schwachstellen über mehrere Jahre hinweg zu bewerten.
Die Alternative: Kameras komplett vom Cloud-Zwang befreien
Für technisch versierte Nutzer, die das Risiko fehlerhafter Cloud-Vermittlungsserver endgültig eliminieren wollen, gibt es abseits der Standard-App noch einen anderen Weg: die vollständige lokale Integration. Viele Eufy-Modelle, aber auch Kameras von Herstellern wie Reolink oder Ubiquiti, unterstützen das RTSP-Protokoll (Real Time Streaming Protocol) oder ONVIF-Standards. Das ermöglicht es, den Videostream direkt in lokale Smart-Home-Systeme wie Home Assistant, ioBroker oder eine eigene NVR-Software (Network Video Recorder) einzubinden. Der entscheidende Vorteil: Der Datenverkehr verlässt das lokale Netzwerk nicht mehr, und die fehleranfälligen Cloud-Server des Herstellers werden für den Livestream gar nicht erst kontaktiert.
Freilich hat dieser Ansatz seinen Preis. Die komfortable Plug-and-Play-Einrichtung der Hersteller-App, die Push-Benachrichtigungen mit KI-gestützter Personenerkennung auf das Smartphone schickt, funktioniert in einem rein lokalen Setup oft nur noch mit erheblichem Konfigurationsaufwand oder gar nicht mehr. Wer sein Smart Home konsequent lokal betreiben will, muss sich mit Netzwerk-Routing, lokalen KI-Modellen zur Objekterkennung und der Einrichtung eines sicheren Fernzugriffs über VPN oder Tailscale auseinandersetzen. Es ist die klassische Abwägung zwischen maximalem Komfort mit Restrisiko und maximaler Kontrolle mit technischer Lernkurve. Für den Durchschnittsnutzer bleibt am Ende oft nur die Hoffnung, dass der Hersteller seine Cloud-Architektur endlich in den Griff bekommt.
Was Eufy-Nutzer jetzt konkret tun sollten
Wer eine Eufy Indoor Cam, eine kabellose Sicherheitskamera der Marke oder ein größeres Überwachungs-Set im Einsatz hat, sollte jetzt ein paar einfache Schritte durchgehen, statt einfach abzuwarten. Zunächst: Firmware-Update-Status in der App prüfen und das Update explizit anstoßen, statt nur auf automatische Verteilung zu hoffen. Danach lohnt sich ein Blick in die aktiven Sitzungen des eigenen Kontos, sofern die App diese Übersicht anbietet, um verdächtige oder unbekannte Logins zu erkennen.
Sinnvoll ist außerdem, ein einmaliges Ausloggen und Neu-Einloggen in der Eufy Security App vorzunehmen, damit alte Sitzungs-Tokens ungültig werden. Wer sein Passwort seit Jahren nicht geändert hat, sollte diesen Anlass nutzen, ein neues, einzigartiges Passwort zu setzen und, falls verfügbar, Zwei-Faktor-Authentifizierung zu aktivieren. Wichtig ist auch, geteilte Live-Links kritisch zu prüfen: Wurde in der Vergangenheit ein Link mit Familie oder Nachbarn geteilt, lohnt sich ein Blick, ob dieser noch aktiv ist und ob er wirklich noch benötigt wird.
Zusätzlich zur Netzwerksegmentierung empfiehlt es sich, die Berechtigungen der Eufy-App auf dem Smartphone zu überprüfen. Benötigt die App wirklich dauerhaft Zugriff auf das Mikrofon oder den genauen Standort? Je weniger Rechte die Applikation im Betriebssystem besitzt, desto geringer ist die Angriffsfläche, falls die App selbst durch Malware oder ein kompromittiertes Update angegriffen wird. Zudem sollten Nutzer regelmäßig die Export-Funktion der App nutzen, um zu prüfen, welche Daten der Hersteller tatsächlich speichert und an welche Server diese übertragen werden. Transparenz-Tools wie der Netzwerk-Sniffer Pi-hole oder einfache Firewall-Regeln im Router können zusätzlich offenbaren, ob eine Kamera unerwartet mit dubiosen Servern kommuniziert, selbst wenn der lokale Modus aktiviert ist.
Für alle, die ihre Kameras eher als Bastelprojekt betrachten und ohnehin gerne an der Konfiguration schrauben, ist dies zudem ein guter Zeitpunkt, die Netzwerksegmentierung zu prüfen: Smart-Home-Geräte in ein separates WLAN oder VLAN zu packen, begrenzt den Schaden, selbst wenn eine einzelne Komponente kompromittiert wird. Das klingt nach Mehraufwand, ist aber mit einem aktuellen Router meist in einer halben Stunde erledigt und schützt nicht nur vor Eufy-spezifischen Problemen, sondern grundsätzlich vor kompromittierten IoT-Geräten im Heimnetz.
Was bleibt?
Bleibt am Ende die Frage, wie viel Vertrauen eine Sicherheitskamera eigentlich verdient, wenn ausgerechnet der Fernzugriff wiederholt zur Schwachstelle wird. Eufy hat schnell reagiert, ein Advisory veröffentlicht und einen Patch ausgerollt – das ist mehr, als manche Konkurrenten in vergleichbaren Fällen liefern. Trotzdem bleibt ein Beigeschmack, wenn ein Hersteller sein gesamtes Markenversprechen auf „lokal und privat“ aufbaut, während genau die Fernzugriffsschicht zum wiederkehrenden Problem wird. Werden Sie Ihre Kamera-Einstellungen nach diesem Vorfall wirklich durchgehen, oder gehört auch das zu den guten Vorsätzen, die im Alltag untergehen? Die Kommentarspalte unter diesem Artikel darf gerne zum Erfahrungsaustausch werden.





Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.
Mitreden & diskutieren
Ihre Meinung zählt — teilen Sie Gedanken, Fragen oder Erfahrungen zu diesem Artikel.