Selbstverteidigung mit System

Jahrzehntelang war der Einbau von Videoüberwachungs- anlagen mit Bau arbeiten im Unternehmen verbunden: Proprietäre Verkabelung und Stromzufuhr mussten mit erheblichem Aufwand durch Decken und Wände oder sogar zwischen Gebäuden verlegt werden, was die außer ordentlich lange Lebensdauer dieser Systeme erklärt.

Mit der Verbreitung IP-basierter Systeme hat sich diese Situation grundlegend geändert. Unternehmen können aus einer Vielzahl unterschiedlichster Kameratypen auswählen, die sich einfach über Ethernet und Powerover-Ethernet anschließen lassen. IP- und Standard-basierte Plattformen für das physische Sicherheitsmanagement erlauben die Integration der Videoüberwachung mit Türkontrollen und Alarmen, um so die Transparenz zu steigern und Sicherheitsvorfälle schneller erkennen und besser beantworten zu können. Damit ist die Videoüberwachung sämtlichen Cyberbedrohungen ausgesetzt. In der Vergangenheit ist es Eindringlingen bereits gelungen, Bankmitarbeiter durch kompromittierte Kameras auszuspähen oder IP-Kameras zu riesigen Botnetzen zu verbinden. Hinzu kommen Bedrohungen durch aggressive Ransomware wie „WannaCry“, die Daten auf Servern und Endgeräten verschlüsselt, um Lösegeld zu erpressen, wie zum Beispiel jüngst wieder beim Flugzeugbauer Boeing.

Zusätzliche Herausforderungen entstehen durch Regelwerke wie die Datenschutz- Grundverordnung (DSGVO), die seit Mai 2018 in Kraft ist. Vielen Unternehmen ist noch nicht ausreichend bewusst, dass auch Videoaufzeichnungen in den Schutzbereich der DSGVO fallen können. Als personenbezogene Daten sind sie nach „dem neuesten Stand der Technik“ vor unberechtigtem Zugriff zu schützen. Dies gilt insbesondere, wenn Personen erkennbar sind, die keine ausdrückliche Einwilligung zur Aufzeichnung gegeben haben – was in öffentlich zugänglichen Eingangs- oder Außenbereichen die Regel sein dürfte. Werden diese Daten entwendet, manipuliert oder durch Ransomware verschlüsselt, so ist dies ein meldepflichtiger Vorfall unter der DS - GVO. Unternehmen müssen dann zweifelsfrei nachweisen können, dass sie alle notwendigen Maßnahmen zum Datenschutz getroffen haben. Ansonsten drohen Strafzahlungen von bis zu vier Prozent des globalen Jahresumsatzes oder sogar einschränkende Betriebsauflagen. Unternehmen, die IP-basierte Videoüberwachung und andere IP-basierte Systeme für physische Sicherheit einsetzten, müssen sich daher spätestens jetzt Gedanken über die „Sicherheit der Sicherheit“ machen. Zu Kopfzerbrechen wird hier vor allem die Forderung nach dem „neuesten Stand der Technik“ führen. Das Gebot ist absichtlich unbestimmt, denn es soll hersteller- und technologieneutral sein. Die Beweislast liegt aber bei den Unternehmen.

Vor diesem Hintergrund werden Investitionen in den Schutz der Videoüberwachung unumgänglich sein. Zumindest das Problem der Videoaufzeichnungen von Personen, die keine Einwilligung gegeben haben, lässt sich aber technologisch entschärfen: Durch Maskierung und Verpixelung lassen sich sensible Bereiche sowie Personen und Nummernschilder von vornherein unkenntlich machen, Aufzeichnungen sind dann also nicht mehr personenbezogen. Der Haken: Die Verpixelung muss immer vollständig sein, auch wenn Personen oder Kraftfahrzeuge kurz stehen bleiben oder sich die Beleuchtungssituation ändert – was viele Algorithmen nicht leisten können. Bei der Auswahl einer Verpixelungstechnologie müssen Unternehmen daher sehr sorgfältig vorgehen. Einen Anhaltspunkt liefern Zertifizierungen wie das European Privacy Seal, das die Kompatibilität mit europäischen Datenschutzrichtlinien bestätigt.

Entscheidend für die Compliance ist darüber hinaus die Reglementierung des Zugriffs und der Berechtigungen zur Aufhebung der Verpixelung im Ernstfall. Auch hier können keinerlei Kompromisse akzeptiert werden, da ansonsten der gesamte Aufwand hinfällig wird. Bewährt hat sich in diesem Zusammenhang die direkte Integration der Verpixelung in die übergeordnete Management-Plattform, wie es zum Beispiel der „Privacy Protector“ in Genetec Security Center ermöglich. Die Verpixelung wird dann durch dieselben Autorisierungsverfahren geschützt wie die Management-Plattform. Laut Aussagen der großen IT-Sicherheitsanbieter liegt die Wahrscheinlichkeit, dass irgendwann ein Eindringling in das Unternehmensnetzwerk gelangt, bei fast 100 Prozent. Deshalb reicht Schutz am Netzwerkrand auch hinsichtlich der DSGVO nicht mehr aus; Systeme wie Management- Plattformen für Videoüberwachung müssen selbst sicher sein. Dazu gehört unter anderem die Nutzerüberprüfung durch Zwei-Faktor-Authentifizierung (Passwort, Token, Biometrie) auf Client-Seite sowie der Einsatz einer PKI-Infrastruktur zur Server- Authentifizierung durch Zertifikate. Dies schützt allerdings nur vor einem Zugriff auf das Frontend, Video-Feeds für Live-Überwachung und Recording können immer noch abgegriffen werden. Unerlässlich ist daher die Verschlüsselung der Kommunikationskanäle über das TLS-Protokoll beziehungsweise RTSP over TLS.

Durch die erwähnten Maßnahmen wird ein hohes Sicherheitsniveau erzielt, aber es bleibt das Problem der IP-basierte Kameras. Gelingt es Angreifern, eine Kamera von außen zu übernehmen, können sie sich sodann lateral durch das Netzwerk vorarbeiten. Bei der Geräteauswahl ist daher darauf zu achten, dass nicht benötigte Dienste/Ports (zum Beispiel Telnet, SNMPv1/v2) deaktiviert werden können, um eine geringe Angriffsfläche zu bieten. Verbindungen vom Gerät nach außen sind nur in Ausnahmefällen akzeptabel. Weitere wichtige Punkte sind die gesicherte Aktualisierung durch den Hersteller sowie unter Umständen ein physischer Schutz gegen manuelle Resets am Gerät. Zentrale Maßnahme bei der Inbetriebnahme ist zudem die Vergabe eines sicheren und individuellen Kamera- Passworts. In diesem Zusammenhang muss darauf hingewiesen werden, dass es in der Vergangenheit immer wieder Berichte über werksseitig eingestellte Master-Passwörter bei einigen Geräten gegeben hat, was Unternehmen bei der Kamerauswahl unbedingt bedenken sollten.

Wie alle kritischen IT-Systemen muss auch die IP-basierte Videoüberwachung vor Bedrohungen durch Hacker und Malware geschützt werden. Maßnahmen zum allgemeinen Netzwerkschutz reichen nicht aus, die Management-Plattform und die Kommunikation im Ethernet müssen selber sicher sein, gerade auch mit Blick auf die DSGVO. Erreicht wird dies durch starke Authentifizierung, Durchsetzung von Rollen und Berechtigungen sowie Verschlüsselung. Darüber hinaus dürfen IP-basierte Kameras kein Schlupfloch bieten, was durch konsequentes Härten und kritische Geräteauswahl erreicht werden kann. Werden diese Punkte abgedeckt, steht einer bedarfsgerechten Erweiterung und Anpassung der Videoüberwachung über Jahre hinaus nichts im Wege.