So kann die Sicherheit von Geräten verbessert werden

Timo Sachse

Cyberangriffe finden sich regelmäßig als Headline in den Nachrichten und sind die Folge einer vernetzten Welt. Umso wichtiger ist es, dass Unternehmen jeder Größe Cybersecurity deutlich mehr Aufmerksamkeit schenken. Essentiell ist hier das Eingeständnis, dass kein Gerät, welches sich in einem Netzwerk befindet, zu 100 Prozent sicher ist. Dies umfasst auch Netzwerk-Kameras und Sicherheitslösungen.

Unternehmen sind gefragt, die relevanten Schritte zur Sicherung der Systeme zu unternehmen. Schritt 1 startet dabei bereits bei der Designentwicklung. Geräte werden beispielsweise so konfiguriert, dass die Installateure die erforderlichen Kontrollen durchführen müssen, um Bedrohungen durch Hacker zu verhindern. Die Sicherung eines Netzwerks und der darin befindlichen Geräte hängt nicht nur von der Technologie ab, sondern auch von den beteiligten Menschen und Prozessen. Eine aktive Beteiligung ist notwendig –  entlang der gesamten Prozesskette – vom Hersteller bis hin zu jedem Anwender.

Oftmals sind hier die Installateure und Integratoren an erster Stelle: Sie beraten Unternehmen und beurteilen, welche Lösungen für welches System passend sind. Unternehmen sollten Wert legen, mit einem qualifizierten und sachkundigen Sicherheitsexperten zusammenzuarbeiten.

Sicherheitsrichtlinien sind die treibende Kraft

Glücklicherweise haben viele Unternehmen eine Reihe von Richtlinien entwickelt, um ihre Cybersicherheitspraktiken optimal zu steuern. Die Richtlinie bringt die Anforderung des Unternehmens auf den Punkt und beschreibt, wie der ideale Sicherheitszustand geschaffen werden kann. Es wird erläutert, was geschützt werden muss und welches erforderliche Schutzniveau eingehalten werden muss.

Videoüberwachungsgeräte und -systeme beispielsweise werden in der Regel in einem eigenen eigenständigen Netzwerk eingesetzt. Dadurch liegt es in der Verantwortung des Installateurs , dieses Netzwerk mit den entsprechenden technischen Kontrollen zu sichern. Wichtig ist hier, dass es keine Einheitslösung für alle Cybersicherheitskonfigurationen gibt. Installateure für IT-Sicherheitslösungen müssen die Anforderungen eines Unternehmens genau kennen, bevor die Geräte für das Projekt ausgewählt werden. Das Unternehmen ist hier in der Pflicht, dem Experten die Sicherheitsanforderungen auch mitzuteilen.

Reduzierte Kosten, erhöhte Sicherheit

Viele Gerätehersteller stellen als Ausgangspunkt einen Hardening Guide für Installateure zur Verfügung. Dieser hat dann die Aufgabe, die Inhalte dieses Leitfadens mit der Informationssicherheitsrichtlinie des Unternehmens abzugleichen. In vielen Fällen handelt es sich dabei um eine manuelle Konfiguration, die zeitaufwändig sein kann.

Axis entwickelte hier eine Technologie, die den Prozess rationalisieren und gleichzeitig sicherstellen kann, dass Geräte und Systeme die Anforderungen der Endbenutzer erfüllen oder übertreffen. Die Lösung ermöglicht es Installateuren, mehrere Geräte gleichzeitig schnell zu konfigurieren. Dadurch reduziert sich der  Zeit- und Kostenaufwand für die Installation von Überwachungs- und Sicherheitssystemen.

Verschlüsselung schafft Vertrauen

Eine der Grundlagen jeder Informationssicherheitspolitik ist die Schaffung von Vertrauen zwischen den Geräten, was normalerweise durch die Verwendung von X.509-Zertifikaten erreicht wird. Diese Zertifikate bieten eine sichere, verschlüsselte Kommunikation zwischen vernetzten Geräten und Diensten und werden über LDAP bereitgestellt.  Active Directory ist die Microsoft-Implementierung von LDAP, die eine Reihe von verzeichnisbasierten, identitätsbezogenen Diensten zur Authentifizierung und Autorisierung von Benutzern in einem Netzwerk umfasst.

Die Arbeit mit Active Directory ist ein Kompetenzbereich, der leider einigen Sicherheitsexperten fehlt. Dieser Zustand unterstreicht die Notwendigkeit, einen Installateur oder Integrator auszuwählen, der über Active Directory und andere kritische Netzwerkkenntnisse verfügt.

Dies ist ein weiterer Bereich, in dem die Geräteverwaltungssoftware von Axis helfen kann, indem sie als Vermittler für Active Directory fungiert. Er wird verwendet, um Drittanbieter-LDAP-Clients über eine Proxy-Authentifizierung in das LDS zu integrieren.  Selbst die Personen, die sich mit Active Directory auskennen, profitieren von dem Wissen über die Übereinstimmung der ausgestellten Zertifikate mit den Sicherheitsrichtlinien des Unternehmens.

Die Bedeutung der aktiven Überwachung von Schwachstellen

Die Mehrheit von entdeckten Schwachstellen ist in der Regel nicht kritisch, da sich das Gerät hinter Firewalls und nicht in einem öffentlichen Netzwerk befindet.  Von Zeit zu Zeit kann jedoch eine Schwachstelle entdeckt werden, die Geräte und/oder Netzwerke unabhängig vom Netzwerkstandort gefährden. Um einen kontinuierlichen Schutz zu gewährleisten, müssen Geräte durch ein Software- oder Firmware-Update gepatcht werden. Und um die aktuellen und sicheren Software-Updates und Patches bereitzustellen, müssen die Hersteller darauf achten, eine proaktive Überwachung von Schwachstellen zu gewährleisten und die notwendigen Updates so schnell wie möglich bereitzustellen.

IP-Kameras und Sicherheitsgeräte – wie alle softwarebasierten Technologien – müssen regelmäßig aktualisiert werden, um zu verhindern, dass Hacker bereits bekannte Schwachstellen ausnutzen. Dies ist eine unerlässliche Maßnahme, wird in der Realität jedoch oft nicht eingehalten. Warum? Viele geben an, dass sie nicht die Zeit haben oder den Aufwand für die Aktualisierung aller Geräte im Netzwerk scheuen. Hier kann ein erfahrener Sicherheitsexperte helfen, der die Installation von Updates und Patches gewährleistet, sobald sie verfügbar sind. Dadurch enstprechen Geräte und Systeme weiterhin den Sicherheitsrichtlinien. Der andere Grund für den nachlässigen Umgang mit Aktualisierungen ist, dass es keine klare Definition der Verantwortlichen gibt. In vielen Fällen übergibt der Integrator das System an den Endverbraucher bei der Inbetriebnahme des IP-Sicherheitssystems und verlässt damit vermeintlich seinen Zuständigkeitsbereich. Es ist aber wichtig, bereits zu Beginn des Projekts zu definieren, ob der Endbenutzer oder bei einem laufenden Servicevertrag der Integrator weiterhin das IP-Sicherheitssystem patchen und aktualisieren wird.

Schnelle Reaktion bei Cyberbedrohungen

Wenn Schwachstellen entdeckt werden, ist eine schnelle Reaktion essentiell. Es liegt an den Herstellern, sofortige Schritte zur Problemlösung zu unternehmen und Sicherheitshinweise bereitzustellen, die bei der Bewältigung von Cybersicherheitsproblemen helfen. Daher ist es wichtig, Produkte von Herstellern auszuwählen, die sich für eine schnelle Reaktion und Transparenz ihrer Cybersicherheitsprozesse einsetzen.

Es liegt allerdings in der Verantwortung der Errichter und der Endkunden die bereitgestellten Patches dann auch in die betroffenen Geräte einzuspielen. Wird dies nicht getan, ist natürlich die Systemsicherheit nicht mehr gewährleistet.

Dokumentation ist unerlässlich!

Die Dokumentation über die korrekte Konfiguration nach den Sicherheitsrichtlinien des Kunden ist das Beste, was ein Integrator in Bezug auf die Einhaltung der Informationssicherheitsrichtlinie bereitstellen kann. Diese Dokumentation gibt Unternehmen die Gewissheit, dass ihre Sicherheitsgeräte und -systeme mit der festgelegten Sicherheitsrichtlinie übereinstimmen.

Für den Fall, dass ein Verstoß oder DDoS-Angriff auftritt, kann diese Dokumentation einem forensischen Ermittlungsteam helfen, die Schwachstelle oder die genutzte Lücke zu identifizieren. Wenn beispielsweise ein Mitarbeiter eine Kamera oder ein anderes Gerät in das Netzwerk eingefügt hat, ohne es richtig zu konfigurieren, oder wenn er die Konfigurationen an einer bestehenden Kamera geändert hat, zeigt die Dokumentation den Unterschied zwischen den aktuellen und den zum Zeitpunkt der Installation gültigen Einstellungen.

FAZIT: Die Cybersicherheit ist nach wie vor ein großes Anliegen für alle. Unternehmen erkennen nicht nur die realen Bedrohungen sondern entwickeln und implementieren Richtlinien zur Gewährleistung der Sicherheit ihrer Geräte und Netzwerke. Zusätzlich zu diesen grundlegenden Dokumenten ist es wichtig, mit qualifizierten und erfahrenen Sicherheitsexperten zusammenzuarbeiten. Hersteller können die Cybersicherheit auf eine andere Ebene heben, indem sie Installateuren und Integratoren Leitfäden und Tools bereitstellen, um Anwender vor potenziell katastrophalen Auswirkungen eines Hacks zu bewahren.

Mehr Informationen über den AXIS Device Manager finden Sie online. Ein Beispiel für einen Hardening Guide finden Sie hier.

Dieser Beitrag erschien ursprünglich auf dem englischsprachigen Blog.