Cyber Security in Überwachungsnetzen

bild-barox-fordert-videonetzwerk-hygiene-und-cyber-security

Cyber Security in Überwachungsnetzen

Videoüberwachungsanlagen haben in den meisten Fällen die Aufgabe, die physische Sicherheit eines Objektes zu erhöhen. Dies setzt voraus, dass auch die Anlage selbst vor realen und virtuellen Risiken geschützt ist. In der Praxis ist aber oft zu beobachten, dass die Absicherung von Videoüberwachungsnetzen nicht systematisch angegangen oder diese nicht sorgfältig genug durchgeführt wird. Für Systemsicherheit gibt es keinen Schalter, den man einfach umlegen kann. Vielmehr ist sie abhängig von vielen verschiedenen Parametern, die gut aufeinander abgestimmt eingerichtet werden müssen.

Welche Aspekte und Mechanismen beeinflussen die Sicherheit einer Videoüberwachungsanlage? Nach Klärung dieser Frage gilt es, die Einflussgrößen sowohl einzeln als auch in der Vernetzung untereinander zu betrachten und zu definieren. Ein Videonetzwerk kann, abstrahiert betrachtet, in die zwei Komponenten „Technik“ und „Organisation“ unterteilt werden, die fest miteinander verbunden sind. Die Koppelung findet über die beteiligten Menschen und über vorhandene Prozesse statt. Der Faktor „Technik“ beinhaltet die Netzwerk- und Portsicherheit, die verwendeten Produkte sowie deren Eigenschaften und Möglichkeiten. Unter die Komponente „Organisation“ fallen Aspekte wie Kundenanforderungen, Planung, technische Ausführung, Dokumentation, Schulung und Betriebssicherheit. Um die Netzwerksicherheit zu steigern, ist eine ganzheitliche Herangehensweise wichtig, die unterschiedliche Maßnahmen beinhaltet.

 

Sicherheit auf Netzwerkebene
Die technische Ausstattung eines Videonetzwerkes bietet viele Möglichkeiten, dessen Sicherheit zu erhöhen. Nicht zuletzt hängt sie von den gewählten Produkten sowie vom Fachwissen der Planer und Errichter ab. Diese müssen sich durch regelmäßige Weiterbildungen immer auf dem neuesten Stand halten, da sich die angewendeten Technologien ständig verändern.
Der Begriff „Netzwerksicherheit“ beschreibt die sichere Kommunikation zwischen den vorhandenen Netzwerkgeräten. Meistens sind dies IP-Switche mit Management-Funktion. Darüber hinaus wird auch die Kommunikation zwischen den Endgeräten wie Netzwerkkameras oder Videoservern betrachtet. Ein Angreifer, der einen möglichst effizienten und effektiven Angriff auf das Netzwerk durchführen will, wird versuchen, auf dieser Ebene anzusetzen, da er so das gesamte Netz stören oder ausspionieren kann. Einen wirkungsvollen Schutz vor einem solchen Hackerangriff bietet beispielsweise die Kommunikation in einem eigenen VLAN. Dies hat außerdem den Vorteil, dass sich die Zugriffsmöglichkeit für reine Videonutzer und jene für Netzverwalter differenzieren lassen. Darüber hinaus besteht die Möglichkeit, die Kommunikation innerhalb des Netzwerkes beziehungsweise des Netzwerks-Managements mit Zertifikaten und Verschlüsselungen zu schützen.

 

Port-Security schützt das Netzwerk
Neben der Netzwerksicherheit gilt es, auf technischer Ebene auch die Portsicherheit zu beachten. Die Ports eines IP-Switches stellen die Durchgangstüren auf den Kommunikationswegen dar. An diesen physikalischen Punkten lässt sich der Verkehr überwachen und filtern, zum Beispiel danach, welche Datenpakete überhaupt passieren dürfen. Dabei kann der Inhalt des Paketes unter Betrachtung des Protokolls überprüft werden. Auch müssen Absender und Empfänger bekannte und freigegebene Teilnehmer des Netzes sein. Abweichungen bei diesen Parametern weisen auf einen Defekt oder auf einen Angriff auf den Port hin. Eingebaute Mechanismen sorgen im Falle einer Manipulation dafür, dass der Netzwerkverkehr an dieser Stelle eingeschränkt oder sogar durch Abschaltung unterbrochen wird. Konkret kann dies durch das Anlegen von Access Control Lists gesteuert werden. Aber auch weiter Port-Security-Funktionen und die Isolation von Anwendungen oder Geräten können auf der Port-Ebene mögliche Angriffsrisiken minimieren. Hochwertige IP-Switche erstellen und verwalten diese Funktionen zum Teil selbst, aber das entsprechende Parametrieren der Geräte benötigt klare Vorgaben während der Planung sowie gute Fach- und Produktkenntnisse des Errichters.

 

Organisatorische Faktoren beachten
Allgemein sind die Strukturen von Videonetzwerken weniger dynamisch als Büro-Netzwerke. Trotzdem ist eine regelmäßige Überprüfung der Organisation und der Effektivität der verwendeten Funktionen empfehlenswert. Organisatorische Aspekte sind im Vergleich zu den technischen Faktoren vielschichtiger und zum Teil abstrakter. Auch werden diese Aspekte häufiger vernachlässigt. Die beste Technik nützt nichts, wenn unklar ist, welche Ziele mit den technischen Möglichkeiten erreicht werden sollen. Ein IP-Switch mit ausgeklügelten Sicherheitsfunktionen kann nicht zur Netzwerksicherheit beitragen, wenn der Zugang zum Switch im Auslieferungszustand belassen und kein neues Passwort vergeben wird. Auch fängt die physikalische Sicherheit nicht erst im Serverraum an. Wir finden in Anlagen zum Teil abstruse Zustände. In einem Beispiel war jede Kamera von außen gut sichtbar mit der IP- und MAC-Adresse beschriftet. In einem anderen Fall waren einige Kameras an öffentlich zugänglichen Standorten an herkömmliche Netzwerkdosen angeschlossen. Derartige Zustände machen es Angreifern leicht, die vorhandene Kamera abzustecken und den eigenen PC anzuschließen.

 

Planung im Fokus
Ein zentrales Ziel der Planung sollte es sein, die Anforderung an ein Videonetzwerk im Hinblick auf die Sicherheit des zu überwachenden Objektes festzulegen. Es muss also klar sein, was mit dem Videonetzwerk erreicht werden soll. Erst wenn diese Aussage konkret und messbar vorliegt, kann der Errichter sein Vorgehen und seine Entscheidungen zielgerichtet gestalten. Der Planer muss neben der technischen Definition von Geräten und Funktionen auch die Prozesse zur Errichtung, Abnahme, Verwaltung und Dokumentation vorgeben. So wird er beispielsweise definieren, welche Anforderung an die Erstellung und Verwaltung von Zugangsdaten gestellt werden. Die Zeiten, in denen ein Techniker während des Einrichtens eines Switches spontan ein Passwort vergibt und dieses irgendwo notiert, sollten vorbei sein. Vielmehr sollte er schon während der Planung die Form des Passworts genau definieren sowie festlegen, wo und wie das Passwort dokumentiert wird, wer Zugriff darauf hat und was geschieht, wenn ein Mitarbeiter die Firma verlässt. Gleichzeitig dürfen die Vorschriften nicht allzu kompliziert oder einengend sein, damit die beteiligten Mitarbeiter abgeholt werden.

 

Standardisierte Prozesse nachvollziehbar machen
Neben den Vorgaben zur Behandlung von Passwörtern ist es wichtig, dass die Prozesse zur Definition, Einrichtung und Überprüfung der technischen Aspekte eines Netzwerkes klar und standardisiert vorliegen. Ein Errichter sollte solche Prozesse handhaben können und möglichst einheitlich auf allen Anlagen anwenden. Dazu zählt die Festlegung von IP-Adressen im Netz, die Einteilung von VLANs oder das Vorgehen beim Erweitern einer bestehenden Anlage durch zusätzliche Kameras – stets unter Berücksichtigung der Kundenanforderungen. Auch hier gilt es, keine komplizierten Prozessbeschreibungen zu generieren, sondern möglichst einfache, flexibel anwendbare Anleitungen und Regeln festzulegen, die von allen Beteiligten verstanden und beherrscht werden.

 

Dokumentation zur Netzwerkanalyse
Um die Funktionen einer Videoüberwachungsanlage regelmäßig kontrollieren sowie schnellen, effektiven Support gewährleisten zu können, ist eine aussagekräftige und transparente Dokumentation der Anlage unabdingbar. Dazu ist es nötig, schon während der Planung zu berücksichtigen, was in welcher Form dokumentiert werden soll. Dabei können auch die Netzwerk-Switche eine Hilfe sein. Geräte, die Auswertungen, die Diagnose von Datenströmen und Diagramme zur Verfügung stellen, erleichtern es dem Betreiber, ein laufendes Netzwerk zu überwachen und zu analysieren. Die entsprechenden Leistungsmerkmale eines Switches im Zusammenspiel mit dem Fachwissen des Errichters unterstützen die IT-Sicherheit wesentlich. Ein sicheres Netzwerk hat jedoch viele Aspekte, die ganzheitlich betrachtet werden müssen. Ein hilfreicher Schritt hin zu einer effektiven Sicherheit ist es, alle Beteiligten durch Schulungen auf einen guten und gleichen Wissensstand zu bringen.