Wo bin ich?
AXIS informiert
Cybersicherheit
Cybersicherheit und verantwortungsvolle Videoüberwachung
Beim Thema Cybersicherheit geht es zunächst um die zunehmende Nutzung des Internets und der Umgebung, in der Internetgeschäfte stattfinden, den so genannten Cyberspace. Die Marktentwicklung und die Digitalisierung der Gesellschaft führten zu einer verstärkten sozialen, wirtschaftlichen und finanziellen Interaktion zwischen Einzelpersonen, Unternehmen und Institutionen. Gleichzeitig steigen die Gelegenheiten zu einer Unzahl neuartiger krimineller Handlungen, die zu neuen Formen der Bildung und Organisation illegaler Aktivitäten führen.
Einerseits bietet die verstärkte Abhängigkeit von der Cybersicherheit neue Chancen, doch andererseits birgt sie auch neue Bedrohungen. Das Internet ermöglicht Austausch und Interaktionen in einem internationalen Rahmen. Diese Öffnung macht die verwendeten Computersysteme verwundbarer für Angriffe von Kriminellen, Hackern und Terroristen, die in der Absicht handeln, diese Systeme zu beeinträchtigen, zu beschädigen oder auszunutzen, um sich persönliche oder geschäftliche Informationen zu verschaffen.
Die Computersicherheit ist aufgrund der zunehmenden Computerisierung von Gesellschaft und Dienstleistungen zu einem zentralen Problem geworden. Gleichzeitig nehmen Anzahl und Spezialisierung potenzieller Krimineller immer weiter zu. Folglich besteht eine der größten Herausforderungen der heutigen Gesellschaft darin, neue Fähigkeiten und Methoden für mehr Cybersicherheit zu entwickeln. Dies gilt insbesondere für Sensoren in der IP-Videoüberwachung, die mit einem vernetzten Computer verglichen werden können.
In den vergangenen Jahren konnten wir eine Annäherung zwischen physischer Sicherheit und IT-Sicherheit beobachten, zwei Bereiche, die bis vor kurzem noch grundlegend verschieden waren. Inzwischen werden allerdings in beiden Bereichen gemeinsame Tools eingesetzt und Synergien genutzt, um sowohl physische als auch IT-Bedrohungen gegen bestimmte Unternehmen oder Institutionen zu entschärfen.
Trotz dieser Integration und der kontinuierlichen Entwicklungen in diesem Bereich sollten wir uns darüber klar sein, dass es unmöglich ist, ein hundertprozentig sicheres System zu schaffen, das auch nutzbar ist.
Es ist jedoch definitiv möglich, ein System durch Beschränkung der exponierten Bereiche sowie die Verminderung von Risiken sicherer zu machen. Risiken gibt es immer, es gilt jedoch, sie wahrzunehmen und unter Kontrolle zu bringen, denn es gibt keine Garantie dafür, dass Produkte, Anwendungen oder Services frei von Fehlern oder Schwachstellen sind, die durch bösartige Angriffe ausgenutzt werden können.
Sicherheit sollte daher nicht als ein Endzustand, sondern vielmehr als das Ergebnis eines kontinuierlichen Prozesses der Sicherheitsstrukturen betrachtet werden. Eines Prozesses, der wichtiger Bestandteil der Unternehmensentwicklung ist und mit der Zeit auf der Grundlage potenzieller Bedrohungen weiterentwickelt, ausgebaut und implementiert werden kann.
Der Umgang mit Bedrohungen muss unbedingt auf Systemebene und nicht auf der Ebene einzelner Produkte erfolgen: Cybersicherheit ist ein Prozess, kein Produkt. Objektiv gesehen ist es unmöglich, alle Risiken auszuschließen. Ein entsprechender Versuch kann sich daher als extrem kostspielig und manchmal sogar als völlig nutzlos erweisen. Es empfiehlt sich also, die sensibelsten Daten zu ermitteln und diese möglichst effektiv zu schützen. Risiken können und sollten zu diesem Zweck akzeptiert und konsequent durch bestimmte Maßnahmen, zum Beispiel die Übertragung des Risikos auf Institutionen wie Versicherungsunternehmen, eingegrenzt werden. Aber ist das wirklich die beste Lösung?
Die Akzeptanz von Risiken sollte das Ergebnis einer bewussten, rationalen Entscheidung sein. Die größten Gefahren für Unternehmen bestehen nicht nur in dem Schaden, der durch die Angriffe selbst verursacht wird, sondern vor allem in den langfristig damit verbundenen Folgen. In der jüngsten Vergangenheit kam es verstärkt zu gezielten Angriffen wie der Aneignung oder Löschung sensibler Daten bzw. des Diebstahls urheberrechtlich geschützten Materials.
Wer diese Risiken jedoch nicht wahrhaben will, kann im Bedarfsfall auch keine wirksamen Entscheidungen treffen: Eine gezielte Analyse virtueller Bedrohungen könnte aufzeigen, welche Daten und Informationen bei einem Angriff möglicherweise verloren gehen. Ausgehend von diesem konkreten Wissen lassen sich Umfang und der Art der erforderlichen Investitionen in Schutzmaßnahmen beurteilen. Dagegen könnte eine falsche Analyse zu hohen Investitionen oder einem für das System ungeeigneten Schutz führen.
Für Axis kommt es in diesem Zusammenhang darauf an, Unternehmen dabei zu unterstützen, ein akzeptables Maß an Systemsicherheit zu erreichen und die für die Schutzmaßnahmen anfallenden Kosten zu reduzieren. Die Definition dessen, was ein akzeptables Maß an Sicherheit ist, hängt von der Situation, der Bedrohungsstufe und den Kosten einer möglichen Ausnutzung von Sicherheitslücken ab.
Cybersicherheit: Bereiche mit Schwachstellen
Nicht immer erkennen Unternehmen, dass ihre Sicherheit verletzt wurde. Häufig wissen sie gar nicht, wie sie sich schützen sollen, da sie irrtümlicher Weise glauben, die zu ergreifenden Maßnahmen seien rein technischer Natur und obendrein kostspielig.
Risiken gibt es immer. Das ist eine Tatsache, die wir akzeptieren müssen. Zweifellos bedarf es diesbezüglich einer Aufklärung, denn es gibt verschiedene Bereiche mit Schwachstellen, die sich in drei verschiedene Kategorien einteilen lassen:
BENUTZER:
Benutzer stellen die größte Bedrohung für ein System dar, nicht zuletzt, da sie oft nachlässig und nicht ausreichend informiert sind. Eine der häufigsten Bedrohungen, die die Systemsicherheit erheblich beeinträchtigen können, ist die unsachgemäße Nutzung sozialer Medien. Weitere Bedrohungen sind: die Nutzung falscher Passwörter und solcher, die ohne Weiteres zu umgehen oder aufgrund ihrer Plausibilität oft einfach zu entschlüsseln sind bzw. auf Haftnotizen geschrieben und an den Computermonitor geklebt werden; das als Phishing bezeichnete Phänomen, Benutzer durch irreführende Nachrichten (E-Mails, SMS oder über die Website eines sozialen Netzwerks) zu verleiten, vertrauliche oder persönliche Informationen preiszugeben; die Installation zweifelhafter Apps sowie der Verlust von USB-Geräten, die sensible Daten über das Unternehmen enthalten können.
SYSTEME:
Systeme sind in der Regel schlecht geschützt und aus verschiedenen Gründen äußerst verwundbar. Nennenswerte Gründe sind das niedrige Niveau der Konfiguration und des Designs der gesamten Infrastruktur; fehlendes Wissen und mangelnde Kompetenz auf dem Gebiet des Schutzes; häufig unzureichende Sicherheitsrichtlinien und geringe oder gar keine Systemwartung, oft verbunden mit unzureichenden Software-Updates.
FEHLERHAFTE IMPLEMENTIERUNG VON SICHERHEITSMASSNAHMEN:
Gemeint sind „Bugs“ bei Lösungen oder Fehler bei der Produktion und dem Design des Systems sowie fehlendes Wissen über Geräteanwendungen, die sich nachteilig auf die Implementierung von Sicherheitsprozessen auswirken.
Experten für Cybersicherheit sind der Ansicht, dass mehr als 90 % aller „erfolgreichen“ Sicherheitsverstöße und unberechtigten Zugriffe auf das Versagen von Menschen oder schlecht konfigurierten Systemen zurückzuführen sind und mit fehlender Wartung in Zusammenhang stehen. Ein böswilliger Benutzer startet seinen Angriff immer vom einfachsten und unkompliziertesten Punkt aus, nämlich den Benutzern. Der Angriff auf das gesamte System erfolgt dann zu einem späteren Zeitpunkt.
Cybersicherheit: Angriffsformen Angriffe über das Netzwerk können in zwei Hauptformen eingeteilt werden:
- Opportunistische Angriffe: Bei einem derartigen Angriff nutzt der Angreifer bekannte Schwachstellen aus, um seine Opfer anzugreifen; funktioniert der ausgewählte Angriffsvektor nicht, versucht der Angreifer sein Glück beim nächsten Opfer. Ein opportunistischer Angriff zielt auf Benutzer und schlecht konfigurierte Systeme.
- Zielgerichteter Angriff: Ein derartiger Angriff geht in der Regel mit einer intelligenten Planung einher. Der Angreifer wählt ein bestimmtes Ziel für einen bestimmten Zweck aus. Der Angriff konzentriert sich auf gefährdete Benutzer sowie auf fehlerhafte oder schlecht geschützte Systeme.
Am häufigsten und am einfachsten umsetzbar ist definitiv die erste Angriffsform. Die zweite Form ist zweifellos gefährlicher, denn es geht dabei oft um sehr viel mehr, beispielsweise um die Aneignung und Löschung sensibler Daten oder den Diebstahl urheberrechtlich geschützten Materials.
Schutz eines Videoüberwachungssystems
Die Einrichtung eines Videoüberwachungssystems ist immer häufiger mit dem Einsatz von IP-Netzwerk-Kameras verbunden. Diese sind aus IT-Sicht als Sensoren zu betrachten, die wie ein PC mit dem Netzwerk verbunden sind. Für ein möglichst sicheres System ist eine detaillierte Betrachtung aller Komponenten der Überwachungslösung erforderlich, d. h., des Servers (inklusive Festplatten zur Aufzeichnung von Bildern und Daten), des Clients und der IP-Kameras (in variabler Anzahl).
Für einen möglichst hohen Schutzgrad muss das zum Netzwerk gehörige Videosystem bestimmte Anforderungen erfüllen. Nur so ist es möglich, den für die bestehende Infrastruktur gewünschten Schutzgrad zu erreichen und die vom Netzwerkbeauftragten definierte Schutzrichtlinie einzuhalten. Zudem muss das System über angemessenen Schutz basierend auf dem Risikograd verfügen, der im Vorfeld für alle seine Komponenten (Server, Clients und an das Netzwerk angeschlossene Geräte) errechnet wurde. Entscheidende Grundlage dafür ist eine vorläufige Risikoanalyse.
Axis ist sich der Bedeutung der Cybersicherheit für die Videoüberwachung bewusst. Als führendes Unternehmen für Netzwerkvideosysteme sind wir entschlossen, alle nötigen Tools bereitzustellen, um unsere Kunden vor Angriffen aus dem Internet zu schützen und unter diesem Aspekt zunehmend sichere Lösungen zu entwickeln. Wir bieten unseren Kunden einen technischen Leitfaden, damit sie bei der Installation eines Videoüberwachungssystems die richtigen Verfahren anwenden. Diesem Anspruch wird der „Axis Hardening Guide“ gerecht. Dieser Leitfaden erleichtert die Abläufe und trägt zum Schutz vor Cyberattacken bei.
Vor allem und als Erstes sollten bei der Installation eines Videoüberwachungssystems die verschiedenen Sicherheitsstufen im gesamten Netzwerk analysiert werden. Ausgehend von diesem Standardschutz können spezifischere Mechanismen eingerichtet werden, wie:
· eine Firewall: diese Sicherheitsmaßnahme kann einen Computer oder ein Netzwerk vor unberechtigten Zugriffen auf das System schützen
· Netzwerkzugangskontrolle und Netzwerksegmentierung: Antrag auf Zugangsberechtigung zu verschiedenen Netzwerkdiensten und Wartungsmaßnahmen und kontinuierliche Überwachung des „Netzwerkstatus“ unter Sicherheitsaspekten.
Im Hinblick auf den Schutz des Client empfehlen die Experten für Cybersicherheit bei Axis, alle „Netzwerkknoten“ gemäß den IT- Richtlinien anhand einer präzisen und zeitgemäßen Passwortverwaltung zu schützen und eine Firewall, VIrenschutzsoftware und Verschlüsselungsverfahren zu implementieren. Und schließlich bedarf es auch einer präzisen Verwaltung der Client-Wartung mit kontinuierlich aktualisierten Betriebssystemen und Anwendungen.
Zu diesem Zweck ist es unerlässlich, dass die Administratoren von IT-Systemen auch die Server schützen. Dazu bedarf es eines Managements von Konten und Privilegien, der Konfiguration von Diensten und einer generellen Wartung sowie einwandfrei implementierter Firewall, Virenschutzsoftware und Verschlüsselungsverfahren. Die Serversicherheit ist zur Gewährleistung des Datenschutzes vor möglichen Hackerangriffen von entscheidender Bedeutung, wenn die gespeicherten Kameraaufnahmen mithilfe von Videoverwaltungssystemen geschützt werden.
Zu bedenken ist außerdem, dass sich die Optimierung einer virtuellen Umgebung einfacher auf IoT-Geräten als auf Clients oder Servern durchführen lässt, da diese über eine geringere Anzahl interner Dienste und Schnittstellen verfügen. Die meisten Geräte werden von Infrastrukturen geschützt, auf die nur über Cloud-Dienste/Server zugegriffen werden kann, und ihre Benutzer installieren keine unsicheren Anwendungen, öffnen keine gefährlichen E-Mail-Anhänge oder rufen verdächtige Websites auf.
Die Cybersicherheit für Ihre Videoinstallationen kann in wenigen, einfachen Schritten optimiert werden. Für weitere Informationen und Empfehlungen laden Sie den Axis Hardening Guide herunter.