So sichern Sie Videosysteme gegen IT-Angriffe

Obwohl die Gefahr von IT-Angriffen auf Videoüberwachungssysteme lange bekannt ist, zeigt die Praxis immer noch oft, dass die Cyber-Security bei Videoüberwachungsnetzwerken nicht den notwendigen Standards entspricht. Um die Netzwerksicherheit zu steigern, ist eine ganzheitliche Herangehensweise wichtig, die unterschiedliche Maßnahmen beinhaltet.

Mehrere Methoden zum Schutz von Videoüberwachungssystemen vor IT-Angriffen

Die technische Ausstattung eines Videonetzwerkes bietet viele Möglichkeiten, dessen Sicherheit zu erhöhen. Nicht zuletzt hängt sie von den gewählten Produkten sowie vom Fachwissen der Planer und Errichter ab. Der Begriff „Netzwerksicherheit“ beschreibt die sichere Kommunikation zwischen den vorhandenen Netzwerkgeräten. Meistens sind dies IP-Switche mit Management-Funktion. Darüber hinaus wird auch die Kommunikation zwischen den Endgeräten wie Netzwerkkameras oder Videoservern betrachtet. Ein Angreifer, der einen möglichst effizienten und effektiven Angriff auf das Netzwerk durchführen will, wird versuchen, auf dieser Ebene anzusetzen, da er so das gesamte Netz stören oder ausspionieren kann.

Einen wirkungsvollen Schutz vor einem solchen Hackerangriff bietet beispielsweise die Kommunikation in einem eigenen VLAN. Dies hat außerdem den Vorteil, dass sich die Zugriffsmöglichkeit für reine Videonutzer und jene für Netzverwalter differenzieren lassen. Darüber hinaus besteht die Möglichkeit, die Kommunikation innerhalb des Netzwerkes beziehungsweise des Netzwerks-Managements mit Zertifikaten und Verschlüsselungen zu schützen.

Cyber Security auf Port-Ebene

Neben der Netzwerksicherheit gilt es, auf technischer Ebene auch die Portsicherheit zu beachten. Die Ports eines IP-Switches stellen die Durchgangstüren auf den Kommunikationswegen dar. An diesen physikalischen Punkten lässt sich der Verkehr überwachen und filtern, zum Beispiel danach, welche Datenpakete überhaupt passieren dürfen. Dabei kann der Inhalt des Paketes unter Betrachtung des Protokolls überprüft werden. Auch müssen Absender und Empfänger bekannte und freigegebene Teilnehmer des Netzes sein. Abweichungen bei diesen Parametern weisen auf einen Defekt oder auf einen Angriff auf den Port hin. Eingebaute Mechanismen sorgen im Falle einer Manipulation dafür, dass der Netzwerkverkehr an dieser Stelle eingeschränkt oder sogar durch Abschaltung unterbrochen wird. Konkret kann dies durch das Anlegen von Access Control Lists gesteuert werden. Aber auch weitere Port-Security-Funktionen und die Isolation von Anwendungen oder Geräten können auf der Port-Ebene mögliche Angriffsrisiken minimieren. Hochwertige IP-Switche erstellen und verwalten diese Funktionen zum Teil selbst, aber das entsprechende Parametrieren der Geräte benötigt klare Vorgaben während der Planung sowie gute Fach- und Produktkenntnisse des Errichters.

Organisatorische Aspekte im Fokus

Organisatorische Aspekte sind im Vergleich zu den technischen Faktoren vielschichtiger und zum Teil abstrakter. Auch werden sie häufiger vernachlässigt. Ein IP-Switch mit ausgeklügelten Sicherheitsfunktionen kann nicht zur Netzwerksicherheit beitragen, wenn der Zugang zum Switch im Auslieferungszustand belassen und kein neues Passwort vergeben wird. Auch fängt die physikalische Sicherheit nicht erst im Serverraum an. Wir finden in Anlagen zum Teil abstruse Zustände. In einem Beispiel war jede Kamera von außen gut sichtbar mit der IP- und MAC-Adresse beschriftet. Derartige Zustände machen es Angreifern leicht, die vorhandene Kamera abzustecken und den eigenen PC anzuschließen.

Gute Planung ist das A und O

Ein zentrales Ziel der Planung sollte es sein, die Anforderung an ein Videonetzwerk im Hinblick auf die Sicherheit des zu überwachenden Objektes festzulegen. Es muss also klar sein, was mit dem Videonetzwerk erreicht werden soll. Erst wenn diese Aussage konkret und messbar vorliegt, kann der Errichter sein Vorgehen und seine Entscheidungen zielgerichtet gestalten. Der Planer muss neben der technischen Definition von Geräten und Funktionen auch die Prozesse zur Errichtung, Abnahme, Verwaltung und Dokumentation vorgeben. So wird er beispielsweise definieren, welche Anforderung an die Erstellung und Verwaltung von Zugangsdaten gestellt werden. Gleichzeitig dürfen die Vorschriften nicht allzu kompliziert oder einengend sein, damit die beteiligten Mitarbeiter abgeholt werden.

Prozesse standardisieren

Neben den Vorgaben zur Behandlung von Passwörtern ist es wichtig, dass die Prozesse zur Definition, Einrichtung und Überprüfung der technischen Aspekte eines Netzwerkes klar und standardisiert vorliegen. Ein Errichter sollte solche Prozesse handhaben können und möglichst einheitlich auf allen Anlagen anwenden. Dazu zählt die Festlegung von IP-Adressen im Netz, die Einteilung von VLANs oder das Vorgehen beim Erweitern einer bestehenden Anlage durch zusätzliche Kameras – stets unter Berücksichtigung der Kundenanforderungen. Auch hier gilt es, möglichst einfache, flexibel anwendbare Anleitungen und Regeln festzulegen, die von allen Beteiligten verstanden und beherrscht werden.

Anlagenanalyse durch Dokumentation

Um die Funktionen einer Videoüberwachungsanlage regelmäßig kontrollieren sowie schnellen, effektiven Support gewährleisten zu können, ist die aussagekräftige und transparente Dokumentation der Anlage unabdingbar. Dazu ist es nötig, schon während der Planung zu berücksichtigen, was in welcher Form dokumentiert werden soll. Dabei können auch die Netzwerk-Switche eine Hilfe sein. Geräte, die Auswertungen, die Diagnose von Datenströmen und Diagramme zur Verfügung stellen, erleichtern es dem Betreiber, ein laufendes Netzwerk zu überwachen und zu analysieren. Die entsprechenden Leistungsmerkmale eines Switches im Zusammenspiel mit dem Fachwissen des Errichters unterstützen die Cyber Security wesentlich.

Dieter Hiestand, Produktmanager und Seminarleiter, barox Kommunikation GmbH