Proprietäre und fest verkabelte Videoüberwachungssysteme, Alarme und Türkontrollen werden in vielen Unternehmen durch IP-basierte Infrastrukturen für physische Sicherheit abgelöst. Einfache Erweiterbarkeit, zentralisiertes Management und fast unbegrenzte Auswahl auf dem Gerätemarkt sind die ausschlaggebenden Argumente. Durch die Migration entstehen aber auch neue Risiken: Die Zahl der über das Netzwerk erreichbaren Endgeräte steigt beständig, darunter IP-Kameras, IP-Lesegeräte, IP-Schlösser, digitale Zugangskontrolleinrichtungen oder IP-Intercoms. Die Erfahrung hat gezeigt, dass diese Geräte zumindest in der Standardeinstellung als unsicher gelten müssen.
Foto: Thanit Weerawan - shutterstock.com
Beispiele für erfolgreiche Angriffe auf Überwachungssysteme gibt es genug: Im Carbanak-Fall gelang es einer russischen Hackergruppe, Kameras in mehreren Banken zu übernehmen, um Bildschirminhalte, Tastatureingaben und Mitarbeiter auszuspähen. Die Beute wird auf einen dreistelligen Millionenbetrag geschätzt. Aber selbst wenn sich der Angriff nicht direkt gegen das eigene Unternehmen richtet, können erhebliche Schäden durch Haftung und Bereinigung entstehen: So wurde zum Beispiel 2016 der bis dato massivste DDoS-Angriff durch ein Netz von 25.000 Überwachungskameras durchgeführt, die von der Schadsoftware Mirai in verschiedenen Unternehmen infiziert wurden.
Lesetipp: Was bedeutet eigentlich Cyber Security?
Produktauswahl: Minimierung der Angriffsfläche
Die digitale Sicherheit dieser physischen Sicherheitseinrichtungen ist ein Faktor, der von Organisationen bei Einführung IP-basierter Infrastrukturen für physische Sicherheit von Anfang an bedacht werden muss. Dies beginnt schon bei der Hardware-Auswahl, bei der die Minimierung der Angriffsfläche im Vordergrund stehen muss. Geräte sollten nur die für den konkreten Einsatzzweck benötigten Dienste/Ports implementieren oder eine nachträgliche Deaktivierung ermöglichen.
Zudem sollten insbesondere Kameras über einen Kabelanschluss verfügen, um die Verwendung von WLAN in kritischen Einsatzbereichen vermeiden zu können. Abhängig vom Einsatzort kann ein physischer Zugriffsschutz wichtig sein, der einen manuellen Reset am Gerät verhindert. Außerdem muss der Hersteller für einen ausreichend langen Zeitraum Patches und Updates bereitstellen.
Installation: Reduktion auf das Erforderliche
Bei der erstmaligen Konfiguration muss ein sicheres und individuelles Passwort vergeben werden - tatsächlich bilden zu schwache oder sogar Standard-Passwörter immer noch die größten Angriffspunkte. Anbieter von Management-Plattformen arbeiten daher eng mit Hardware-Herstellern zusammen, um eine sichere Einstellung bei Inbetriebnahme zu gewährleisten, zum Beispiel durch zwingende Vergabe eines Geräte-Passworts.
Lesetipp: 4K-IP-Kamera mit Gesichtserkennung
Außerdem sollten nicht benötigte Dienste deaktiviert werden, insbesondere Telnet und SNMPv1/v2. Allgemein empfiehlt es sich, vom Gerät initiierte Verbindungen ins Internet zu blockieren, wobei legitime Ziele wie zum Beispiel Update-Server als Ausnahmen in der Firewall konfiguriert werden können. Eine direkte Erreichbarkeit (z.B. Port-Weiterleitung) aus dem Internet ist unbedingt zu vermeiden, wenn es das Einsatzszenario zulässt. Ist die Erreichbarkeit unerlässlich, sollten keine Standard-Ports (23, 1023, 2323) verwendet werden, sondern Zufallswerte.
VPNs (Virtuelle Private Netze) und der Betrieb von Kameras in einem separaten physischen Netzbereich bzw. einem Virtual Local Area Network (VLAN) schützen den Fernzugriff und verhindern die laterale Ausbreitung von Angriffen. Da sich aktuelle Schadsoftware auf Überwachungskameras und anderen IP-Geräten oftmals nicht persistent im System einnistet, sondern nur im Hauptspeicher arbeitet, können Infektionen außerdem durch regelmäßige Neustarts bereinigt werden. Eine Neuinfektion verhindert dies allerdings nicht.
Lesetipp: IP auf dem Vormarsch
Diese Maßnahmen bieten aber keinen Schutz davor, dass die Kommunikation zwischen Kameras und anderen Geräten, Clients und der Management-Plattform abgefangen oder manipuliert wird. Verschlüsselung ist daher unerlässlich: Über das TLS-Protokoll ("Transport Layer Security") können Kommunikationskanäle zwischen Servern (z.B. für Video Recording) und Client-Applikationen (z.B. für Alarm-Monitoring) sowie zwischen Servern untereinander verschlüsselt und damit geschützt werden. Bei der Übertragung von Videoaufnahmen mit dem RTSP (Realtime Streaming Protocol) sollte zudem durch RTSP over TLS eine weitere Verschlüsselungsebene etabliert werden.
Management: Eigene Sicherheitsmaßnahmen erforderlich
Alle großen AV-Hersteller weisen mittlerweile darauf hin, dass es absolute Sicherheit nicht geben kann. Irgendwann gelingt es einem Hacker oder einer Malware, sich in das Netzwerk vorzuarbeiten. Deshalb dürfen sich kritische Systeme wie Videoüberwachung und Zutrittskontrolle nicht auf die Perimeter-Sicherheit verlassen, sondern müssen selber sicher sein.
Moderne, IP-basierte Systeme für physische Sicherheit implementieren eigene Sicherheitsmaßnahmen auf verschiedenen Ebenen, wie zum Beispiel Zwei-Faktor-Authentifizierungsverfahren zur Identitätsüberprüfung und Abwehr von Man-in-the-Middle-Angriffen. Auf der Client-Seite wird dazu in der Regel eine Kombination aus Benutzername und Passwort, Token oder auch biometrischen Daten eingesetzt werden. Für die serverseitige Authentifizierung werden digitale Zertifikate verwendet, die im Rahmen einer PKI (Public Key Infrastruktur) Informationen über den Public Key und seinen Besitzer sowie eine digitale Signatur des Zertifikatsausstellers enthalten.
Lesetipp: Wie Systemhäuser von All-IP profitieren
Gerade mit Blick auf Regelwerke wie die Datenschutz-Grundverordnung (DSGVO) sind außerdem Autorisierungsverfahren für den Zugriff auf gespeicherte Daten unverzichtbar. Es muss sichergestellt sein, dass Nutzer nur innerhalb ihrer Rechte Daten aufrufen, exportieren, löschen oder bearbeiten, ansonsten werden schnell Persönlichkeits- oder Datenschutzrechte verletzt. Wie dies technisch umzusetzen ist, lässt die DSGVO offen - die Nachweispflicht liegt bei den Unternehmen.
Schutz von IP-basierter Infrastrukturen beginnt bei der Hardware-Auswahl
Der Schutz IP-basierter Infrastrukturen für physische Sicherheit beginnt bei der Hardware-Auswahl. Hier darf nicht allein der Kostenfaktor entscheiden. Unternehmen sollten neben der Funktionalität zum Beispiel prüfen, ob bestimmte Kameratypen für Schwachstellen bekannt sind. Das anschließende Härten reduziert Angriffsflächen deutlich, wenn es korrekt und für die gesamte Hardware umgesetzt wird. Unerlässlich sind zudem die Verschlüsselung der internen Kommunikation und ein eigenes Sicherheitskonzept für die Managementplattform, um die physische Sicherheit vor Angreifern im Netzwerk zu schützen. (rw)