Computernetzwerke werden unentwegt angegriffen. Dennoch ist nur ein kleiner Teil dieser Angriffe erfolgreich. Der Großteil der Cyberattacken ist opportunistischer Natur und hat kein bestimmtes Opfer zum Ziel. Die Hacker stochern im Trüben und suchen offene Netzwerke bzw. Ports, versuchen Passwörter zu erraten, ungepatchte Netzwerk-Services zu identifizieren oder verschicken Phishing Mails. Die Angreifer wollen nicht viel Zeit und Mühe in fehlgeschlagene Attacken stecken, daher gehen sie einfach zum nächsten Opfer über.

Die Situation ist vergleichbar mit einem Autodieb, der eine Straße entlanggeht und jede Autotür versucht zu öffnen, bis er ein Auto findet, das nicht verschlossen ist. Es ist also relativ einfach sich selbst vor opportunistischen Angriffen zu schützen, indem einige grundlegende Empfehlungen beachtet werden, wie zum Beispiel die Autotüren abzusperren. Einige dieser Punkte kann jeder daheim selbst erledigen, wie Router mit eingebauter Firewall zu nutzen, schwer zu erratende Passwörter mit einer Kombination an Buchstaben, Zahlen und Zeichen für den Computer zu verwenden und das Betriebssystem sowie die Software auf dem aktuellsten Stand zu halten. Weitere wichtige Punkte sind bekannt: keine Anhänge von unbekannten Absendern öffnen, Anti-Malware-Programme zu installieren, keine Software von nicht vertrauenswürdigen Seiten installieren und keine USB-Sticks am eigenen PC anzuschließen, die auf der Straße gefunden wurden.

Doch was gilt es bei Netzwerk-Kameras zu beachten? Gibt es Risiken bei der Installation? Glücklicherweise stellen Kameras nicht die gleiche Gefahr dar wie PCs. Es gibt bei Kameras keine Nutzer, die sich einloggen, Software installieren, Webseiten besuchen oder Email-Anhänge öffnen. Ein Angreifer kann jedoch die Kamera als Plattform für weitere Angriffe nutzen. Das rasante Wachstum des „Internet der Dinge“ führte zu vielen nicht ausreichend geschützten vernetzten Geräten, inklusive Kameras, die für Hackergruppen ein einfaches Ziel sind, um sie für Botnetze zu missbrauchen.

Wie kann man Risiken für opportunistische Angriffe minimieren?

Überprüfung der notwendigen vernetzten Geräte

Die Basisregel lautet: nichts ans Internet anschließen, wenn die Verbindung nicht dringend benötigt wird. Und für den Fall, dass eine Internetverbindung notwendig ist, muss das Gerät vorher optimal gesichert werden.

Die Herausforderung bei Netzwerk-Kameras liegt darin, dass autorisierte Personen von der Ferne aus auf die Videobilder zugreifen wollen. IP-Kameras verfügen über einen Web-Server und die Videobilder können oft nur mithilfe eines Web-Browsers eingesehen werden. Es mag vielleicht nach einer guten Idee klingen, ein kleines Loch im Router bzw. in der Firewall zu schaffen (auch bekannt als „Port-Forwarding‘) und einen Web-Browser als primären Video-Client zu nutzen, aber das schafft auch unnötige Risiken, daher raten wir davon ab.

Für die Transparenz sei vermerkt, dass Axis Kameras früher UPnP NAT Traversal unterstützt haben, einen Service, der den Konfigurationsprozess für das Router Port-Forwarding unterstützt.

Allerdings ist dieser Service nicht standardmäßig eingeschaltet und wir empfehlen, es auch nicht. Es ist eine veraltete Funktion, die es auch in zukünftigen Produkten nicht mehr geben wird. Inzwischen gibt es bessere und sicherere Wege, aus der Ferne auf Videobilder zuzugreifen. Einzelpersonen und kleineren Unternehmen, die nicht über ein VMS (Video Management System) verfügen, empfiehlt Axis den kostenlosen AXIS Companion Client zu nutzen, der einen sicheren Zugriff aus der Ferne ermöglicht und die Kamera (als Gerät) nicht dem Internet aussetzt. Systeme, die ein VMS nutzen, sollten die Empfehlungen des VMS-Herstellers für Remote-Videozugriff beachten. Wenn die Videobilder öffentlich gestreamt werden, empfehlen wir, einen Media Proxy mit einem gut konfigurierten Internet Web-Server zu nutzen. Bei mehreren Remote-Seiten, eignet sich am besten die Nutzung eines VPN (Virtual Private Network).

Komplexe Passwörter verwenden

Wie bei fast allen anderen vernetzten Geräten stellt das Passwort den Primärschutz für die Kamera dar, um unautorisierten Zugriff auf Daten und Services zu vermeiden. Es findet gerade eine große Diskussion statt, was starke Passwörter genau ausmacht. Eine allgemeine Empfehlung lautet, mindestens acht Zeichen zu nutzen und diese mit Klein- und Großbuchstaben, Zahlen und Sonderzeichen zu mischen. Gerade sogenannte Brute Force-Angriffe sind mit starken Passwörtern nicht durchführbar, da sie eine Ewigkeit dauern würden. In einer VMS-Umgebung findet die Authentisierung hauptsächlich auf Machine-to-Machine-Basis statt, da Nutzer nicht direkt auf die Kamera zugreifen. Wer eine Login-Failure-Delay-Funktion im VMS-System hinzufügt, riskiert, sich selbst auszuschließen. In kleineren Unternehmen verbinden sich Kunden oft direkt mit der Kamera (sogenannte Human-Machine-Authentication), daher empfehlen wir, Passwörter zu wählen, die schwer zu erraten, aber einfach zu merken sind. Am besten eignen sich dafür längere „Passsätze“ als Passwort wie „Das ist mein Kamera Passsatz“. Leerzeichen sind erlaubt. Egal, wie das Passwort lautet, es ist wichtig, nie einfach das Standardpasswort eingestellt zu lassen.

Firmware- und Software-Patches

Software wird von Menschenhand gemacht und Menschen sind fehleranfällig. Daher werden regelmäßig Schwachstellen entdeckt, selbst wenn die Hersteller ihr Bestes geben, sie zu beheben, bevor die Software live geht. Die meisten dieser Schwachstellen sind nicht kritisch, trotzdem ist es wichtig, die Firmware und Software immer auf den aktuellsten Update-Stand zu halten und regelmäßig zu überprüfen, ob neue Versionen verfügbar sind. Wenn eine kritische Sicherheitslücke entdeckt wird, ist die Wahrscheinlichkeit hoch, dass sie jemand versucht auszunutzen, falls es in einem ökonomischen Rahmen durchführbar ist. Wenn ein Angreifer Zugang zu einem ungepatchten Netzwerkservice erhält, ist er sehr wahrscheinlich auch erfolgreich. Das ist einer der Gründe, warum es so wichtig ist, solche Risiken zu reduzieren.

Risikoanalyse gegen gezielte Angriffe

Konzerne und Organisationen mit einer kritischen Infrastruktur erleiden nicht nur opportunistische Angriffe, sondern auch gezielte. Diese nutzen die gleichen kostengünstigen Vektoren, aber ein gezielter Angreifer bringt mehr Zeit, Ressourcen und Entschlossenheit mit sich, da mehr auf dem Spiel steht. Um herauszufinden, welche Sicherheitsmaßnahmen das Risiko senken, ist es wichtig, ein Gefahrenmodell zu erstellen und eine Risikoanalyse durchzuführen.

Verantwortung von Axis

Wir arbeiten stets hart daran, die Risiken für unsere Kunden zu reduzieren. Das beinhaltet den Entwicklungsprozess und den Lebenszyklus des Produkts, bessere Sicherheitskontrolle, mehrere sichere Standardkonfigurationen, verbesserte Benutzeroberflächen und zusätzliche Hilfestellungen wie diesen Blogbeitrag. Mehr dazu online.

Dieser Beitrag wurde erstmals am 28. Februar 2017 auf dem Englischsprachigen Axis Blog Secure Insights veröffentlicht.