Viele Unternehmen ersetzen derzeit ihre herkömmlichen, proprietär verdrahteten Systeme für Videoüberwachung, Türkontrollen, Alarmsensorik etc. durch IP-basierte Systeme. Die Vorteile liegen auf der Hand: größere Auswahl bei Devices, einfache Skalierbarkeit der Infrastruktur, Multi-Site-Management auch für entfernte Standorte und Integration aller Geräte in einer einheitlichen IP-basierte Management-Infrastruktur. Für IT-Sicherheitsverantwortliche entstehen daraus aber ganz neue Herausforderungen: Auch diese Geräte wollen geschützt sein.

Natürlich können Angreifer auch Geräte wie zum Beispiel herkömmliche analoge CCTV-Systeme (Closed-circuit Television, Überwachungskamera) manipulieren und „anzapfen“. Dies geht aber nur durch auffällige mechanische Maßnahmen vor Ort und erfordert immer Spezialkenntnisse, was den Kreis der Täter stark einschränkt. Angriffe gegen IP-basierte physische Sicherheitsinfrastrukturen können hingegen mit Hacker-Tools über das Internet erfolgen. Und sie können sich gegen unterschiedlichste Aspekte richten, darunter Hardware mit bekannten Schwachstellen sowie schwache Authentifizierung oder Verschlüsselung der internen Kommunikation.

Schutz von IP-Kameras

Auf physischer Ebene sind IP-Videokameras und andere Geräte vor Sabotage und Vandalismus zu schützen, was durch die Auswahl entsprechender Gehäuse und die korrekte Montage inklusive Kabelverlegung möglich ist. Einige Hersteller verwenden zudem einen speziellen Security-Chip zur Speicherung von Zertifikaten, Schlüsseln usw. Damit sind diese sensiblen Daten auch dann geschützt, wenn Angreifer physischen Zugriff auf eine geöffnete Kamera erlangen.

Aus der IT- und Netzwerkperspektive sind IP-Kameras, Sensoren und sonstige Hardware einfach Netzwerk-Endpunkte. Anders als bei Laptops, Desktops und mobilen Geräten besteht zwar keine Gefährdung durch Malware oder manipulierte Webseiten, aber als Netzwerk-Device mit Interface stellen zum Beispiel ungeschützte IP-Kameras trotzdem ein Risiko für die gesamte Netzwerksicherheit dar.

Exemplarische Absicherung eines Videoüberwachungssystems. Bild: Genetec

Selbstverständlich muss der erste und wichtigste Schritt zur Absicherung von IP-Videokameras immer in der Zuweisung eines individuellen, starken Passworts bestehen – aber die Fülle der einsehbaren Kameras auf Webseiten wie insecam.org zeigt, wie häufig selbst heute voreingestellte und im Internet leicht auffindbare Standard-Passwörter Verwendung finden. Warum die Installations-Wizards unterschiedlichster Hersteller häufig noch die Möglichkeit bieten, die Festlegung eines individuellen Kamerapassworts einfach zu überspringen, ist vor diesem Hintergrund schwer verständlich. Sicherheitsverantwortliche stehen daher selbst in der Verantwortung, eine ausreichende Passwortstärke bei der Installation von IP-Kameras sicherzustellen.

Keinen Einfluss haben Sicherheitsverantwortliche hingegen, wenn in der Kamera-Firmware hartcodierte Passwörter hinterlegt sind. Im Februar 2016 wurde ein solches hartcodiertes Passwort (User: root, Passwort: 519070) in der Web-Server-Komponente der Firmware eines chinesischen Herstellers entdeckt. Die Firmware kommt dabei nicht nur in den eigenen Kameras und DVRs des Anbieters zum Einsatz, sondern wird anscheinend von bis zu 55 weiteren Herstellern lizenziert. Sehr wahrscheinlich bilden solche hartcodierten Passwörter die Basis für Botnet-Angriffe wie jenen im Juni 2016, als rund 25.000 Kameras und DVRs für einen DDoS-Angriff (Distributed Denial of Service) zum Einsatz kamen.

Risiko Backdoors

Hartnäckig warnen Sicherheitsexperten vor absichtlich installierten Backdoors in der Firmware bestimmter Hersteller, die Angreifern auch bei Verwendung individueller Einstellungen für Passwort und Firewall den Zugriff auf verschlüsselte Kommunikation erlauben. Hartcodierte Passwörter und staatlich durchgesetzte Backdoors werden weiterhin ein Problem bleiben, das in den seltensten Fällen per Firmware-Update zu beheben sein wird.

Anwendern ist hier zu raten, zumindest in besonders sensiblen Bereichen auf Produkte von Herstellern mit nachvollziehbarem Sicherheitskonzept zu setzen. Die einfache Austauschbarkeit ist einer der Vorteile IP-basierter Infrastrukturen und sollte bei Verwendung einer entsprechenden Management-Plattform ohne großen Aufwand möglich sein.

Hardening Guides nutzen

Keinesfalls soll aber der Eindruck entstehen, alle Hardwarehersteller würden das Thema Sicherheit generell stiefmütterlich behandeln. Anbieter wie Bosch, Axis Communications und andere stellen für ihre IP-Kameras sogenannte Hardening Guides (deutsch etwa: Härtungshandbücher) bereit, die sowohl gerätespezifische als auch allgemeine Anleitungen zur Absicherung enthalten. Auch manche Softwareanbieter stellen Hardening Guides zur Verfügung und „härten“ die eigene Applikation mithilfe von Schritt-für-Schritt-Vorgaben bei der Installation, um vermeidbare Sicherheitslücken selbst bei weniger erfahrenen Nutzern zu verhindern.

Sicherheitsverantwortliche sollten die Maßnahmen aus diesen Guides zum Bestandteil der Standardprozedur bei Inbetriebnahme von IP-Kameras machen. Dazu gehören zum Beispiel neben der erwähnten Passwortvergabe auch die Deaktivierung nicht benötigter Funktionen wie Multicast-Video oder Audio-Übertragung. Deaktivierung empfiehlt sich außerdem für alle im Netzwerk nicht unterstützten Dienste und Protokolle wie IPv6, SOCKS, QoS, SSH etc.

Security-Equipment wie eine Überwachungskamera kann selbst zum Angriffsziel werden. Bild: Axis Communications

Grundsätzlich sollte man IP-Geräten für physische Sicherheit keinen direkten Internetzugang geben, sondern sie hinter einem Router oder einer Firewall platzieren. Ist Fernwartung erforderlich, bieten sich VPN-Lösungen an. Das Risiko eines internen Angriffs über lokale Netzwerkgeräte lässt sich zudem durch limitierte Verfügbarkeit ungenutzter IP-Adressen begrenzen, was sich durch IPAM (IP-Adress-Management) in Verbindung mit Subnetting (Aufteilung eines zusammenhängenden IP-Adressraums in mehrere kleinere Adressräume) erreichen lässt. Als Best Practice kann es zudem in manchen Szenarien ratsam sein, den Netzwerkzugang am Edge-Switch auf bestimmte MAC-Adressen pro Port zu begrenzen oder für Protokolle wie HTTP/HTTPS einen anderen als den Standard-Port zu verwenden, um Werkzeugen wie NMAP Informationen vorzuenthalten.

Das konsequente Härten von IP-Geräten kann nicht verhindern, dass Angreifer die Kommunikation (zum Beispiel Video Feeds) zwischen Kameras, Clients und der Management-Plattform abfangen oder sogar manipulieren – deshalb ist der Einsatz starker Verschlüsselungsverfahren von entscheidender Bedeutung. Über das TLS-Protokoll (Transport Layer Security, vormals SSL) kann man Kommunikationskanäle zwischen Servern (zum Beispiel für Video Recording) und Client-Applikationen (zum Beispiel für Alarm-Monitoring) sowie zwischen Servern untereinander verschlüsseln und damit schützen. Bei der Übertragung von Videoaufnahmen per RTSP (Realtime Streaming Protocol) sollte der Administrator zudem durch RTSP over TLS eine weitere Verschlüsselungsebene etablieren.

Verschlüsselung und Authentifizierung

Ein weiterer zentraler Aspekt ist der Einsatz von 2FA-Verfahren (Zwei-Faktor-Authentifizierung), um einerseits Nutzeridentitäten zu überprüfen, anderseits aber auch sicherzustellen, dass sich Anwender wirklich im Management-System einloggen (Man-in-the-Middle-Risiko!). Auf der Client-Seite kommt dazu in der Regel eine Kombination aus Benutzername und Passwort, Token oder auch biometrischen Daten zum Einsatz. Für die Server-seitige Authentifizierung finden digitale Zertifikate Verwendung, die im Rahmen einer PKI (Public Key Infrastructure) Informationen über den Public Key und seinen Besitzer sowie eine digitale Signatur des Zertifikatsausstellers enthalten.

Zum Schutz der Privatsphäre sind darüber hinaus Autorisierungsverfahren notwendig, damit Nutzer nur innerhalb ihrer Rechte Daten aufrufen, exportieren, löschen oder bearbeiten können. Dies ist insbesondere für Videoüberwachung, Nummernschilderkennung und Zugangskontrolle relevant, da hier ansonsten schnell Kollisionen mit Persönlichkeits- oder Mitarbeiterrechten entstehen. Empfehlenswert ist außerdem die Integration des Anwender-Managements mit einem LDAP-Server wie Microsoft Active Directory, um Konten und Rechte automatisch hinzuzufügen oder zu löschen.

Sicherheitsfaktor Management-Plattform

Inwieweit und mit welchem Aufwand sich die oben erwähnten Anforderungen an Verschlüsselung, Authentifizierung und Autorisierung umsetzen lassen, hängt wesentlich von der eingesetzten IP-Management-Plattform ab. Idealerweise werden hier bereits gehärtete Protokolle zum Schutz vor Hackerangriffen und nicht autorisierten internen Zugriffen verwendet. Zum Schutz der Privatsphäre ist es sinnvoll, wenn es möglich ist, Personen und Orte zum Schutz der Privatsphäre optional unkenntlich zu machen und sensible oder unnötige Videosequenzen zu entfernen.

Bedenkenswert ist außerdem ein ganzheitlicher Ansatz: Moderne Plattformen unterstützen neben Videokameras unterschiedlichster Hersteller ein breites Spektrum IP-basierter Geräte, zum Beispiel für Zu- gangskontrollen. Das ermöglicht die Integration der gesamten physischen Sicherheit unter einem einheitlichen Management, wovon Effizienz und Sicherheit gleichermaßen profitieren.

Nick D’Hoedt ist Regional Sales Director Benelux, Skandinavien und DACH bei Genetec ().