Wie Axis für Cybersicherheit bei Überwachungslösungen sorgt

Artikel
10. November 2020
Die Cybersicherheit steht immer wieder ganz oben auf der Liste der Dinge, die die Unternehmensführung nachts nicht schlafen lassen. Die Bedrohungen ändern sich ständig und werden immer ausgeklügelter, weil die Angreifer immer neue Möglichkeiten suchen, wie sie Sicherheitslücken ausnutzen können. Der Kampf gegen Bedrohungen und der Schutz von Unternehmensdaten ist eine wahre Sisyphusarbeit, bei der man sich keinen Moment entspannen kann. Axis arbeitet zusammen mit Systemintegratoren, Sicherheitsexperten und Endbenutzern an Möglichkeiten, dem zu begegnen. Hier erklären wir, wie wir den höchsten Grad an Cybersicherheit in unseren Überwachungssystemen sicherstellen.

Bedrohungsanalyse in der Cybersicherheit

Eine gute Strategie für die Cybersicherheit beginnt mit dem Wissen, mit welchen häufigen branchenspezifischen Bedrohungen sich eine Organisation wahrscheinlich konfrontiert sieht, wo die Schwachstellen in ihrer Verteidigung liegen und wie die Branche reguliert ist. Axis ist sich dessen bewusst und arbeitet proaktiv mit Partnern und Kunden zusammen, damit diese über das Wissen und die Protokolle verfügen, um sich vor Angriffen zu schützen.

Leider lassen sich Sicherheitsbedrohungen nicht einfach in klar definierte Schubladen stecken. Sie unterscheiden sich in ihrer Raffinesse und in ihren Auswirkungen. Hochkomplexe Angriffe mit gravierenden Folgen für Unternehmen und ihre Kunden schaffen es am häufigsten in die Schlagzeilen und das Bewusstsein der Bevölkerung. Dies sind aber eher seltene Vorfälle. Viel mehr Sorgen sollten sie sich wegen eines viel häufigeren Problems machen: Versäumnisse bei der Einhaltung von Protokollen oder irgendeine Art „vorsätzlicher oder versehentlicher Fehlbedienung des Systems“.

Diese hält Fred Juhlin, Global Senior Consultant bei Axis, für eine der größten Fehleinschätzungen: „Viele Organisationen konzentrieren sich fälschlicherweise auf den Schutz ihrer Unternehmen vor Bedrohungen, die ihnen negative Schlagzeilen bringen könnten. Vielmehr sollten sie bei den Grundlagen beginnen. Benutzerfehler sind die häufigste Ursache für gelungene Cyberangriffe, dürfen also im Maßnahmenpaket für die Cybersicherheit auf keinen Fall vergessen werden.“

Beseitigung der Schwachstellen bei der Cybersicherheit

Schwachstellen sind Anfälligkeiten oder Gelegenheiten, die negative Folgen für das System haben können. Es gibt sie in jedem System, denn keine Lösung ist völlig frei von Schwachstellen. Anstatt sich jedoch nur auf die Schwachstelle selbst zu konzentrieren, sollte man die möglichen Folgen einer Ausnutzung für die Organisation untersuchen. Daraufhin kann man die zugehörigen Risiken bestimmen und die Priorität für die Behebung der Schwachstelle festlegen.

Axis wendet beim Design, der Entwicklung und dem Test seiner Geräte bewährte Verfahren der Cybersicherheit an, um das Risiko von Schwachstellen zu minimieren, die bei einem Angriff ausgenutzt werden könnten. Allerdings erfordert die Absicherung eines Netzwerks mitsamt aller Geräte und der unterstützten Dienste die aktive Mitwirkung der gesamten Lieferkette bis hin zum Endanwender. Der Axis Hardening Guide beschreibt die verschiedenen möglichen Sicherheitskontrollen für die Geräte. Außerdem gibt es Empfehlungen, wann, wo und warum diese bei der Sicherung des Netzwerks, der Geräte und Dienste eingesetzt werden sollten.

Aus Händlersicht erfordert die Entwicklung von Softwareprodukten mit eingebauter Sicherheit über den gesamten Entwicklungszyklus Erfahrung und Reife bei sicherem Software-Design und in der Programmierung. Außerdem müssen die Produkte die geltenden Gesetze (wie die DSGVO oder CCPA zum Datenschutz, NDAA, CCMC des US-Verteidigungsministeriums zu sicheren Lieferketten sowie die britischen „Secure by Default“-Gesetze zur sicheren Codierung) und viele weitere Anforderungen erfüllen.

Wayne Dorris, CISSP Business Development Manager für Cybersicherheit bei Axis erklärte: „Wir verwenden einen großen Teil unserer Zeit für das Studium von Gesetzen, Bestimmungen und Standards für die Cybersicherheit und für die Untersuchung, wo und wie sich diese auf Axis auswirken könnten. Nicht überall gelten die gleichen Bestimmungen. Das ist eine Herausforderung für Kunden, die ihre Produkte in unterschiedlichen Märkten installieren müssen. So wäre zum Beispiel eine Firmware-Version für Amerika nicht angebracht, wenn man für EMEA eine andere Version benötigt.“

Axis begegnet dieser Herausforderung über sein Security Development Model, das auf mehreren Best Practices der Branche zur Cybersicherheit beruht. Das Modell definiert die Prozesse und Werkzeuge, die zur Erstellung von Software mit eingebauter Sicherheit während des gesamten Entwicklungslebenszyklus verwendet werden – von den Voraussetzungen über den Entwurf, die Implementierung und Verifizierung bis hin zum Einsatz.

Wayne Dorris, Fred Juhlin und Steve Kenny
Wayne Dorris, CISSP, Business Development Manager - Cybersicherheit, Fred Juhlin, Global Senior Consultant und Steven Kenny, Industry Liaison Manager bei Axis

Kommunikation und Zusammenarbeit

Auch wenn man kritische Schwachstellen in einem Produkt mit den besten verfügbaren Verfahren ausgeräumt hat, so ändert sich die Bedrohungslage doch ständig. Deshalb ist es wichtig, dass Kunden und Partner sofort erfahren, wenn eine neue Schwachstelle entdeckt wird. So können sie das Risiko für sich bewerten und Gegenmaßnahmen (z. B. durch Patches) einleiten.

Manche Kunden möchten Bedrohungen selbst beurteilen und dafür unabhängige Prüfwerkzeuge einsetzen, die aktuelle Schwachstellen der Lösung melden. Diese können für den dauerhaften Schutz des Systems wertvoll sein, müssen aber im richtigen Kontext gesehen und mit einer Risikobewertung kombiniert werden. Ansonsten besteht die Gefahr, dass man falsche Schlüsse zieht und teure, aber unnötige Maßnahmen ergreift.

Steven Kenny, Industry Liaison Manager bei Axis, kommentiert: „Es ist gut, wenn die Kunden ihr System aktiv auf Schwachstellen untersuchen, aber diese Berichte können viele Falschmeldungen enthalten. Ohne den richtigen Kontext und eine Gefahrenabschätzung kann man sich leicht verrennen und Ressourcen für die Behebung von Problemen verschwenden, die das Unternehmen kaum beeinträchtigen.“

Axis arbeitet bei der Auswertung und Priorisierung von Schwachstellen eng mit den Kunden und Partnern zusammen. Gemeinsam entwickeln wir einen strategischen, fundierten Aktionsplan.

Aus- und Fortbildung in Best Practices für Cybersicherheit

Bei einer Beratung zu neuen Schwachstellen und der Entwicklung von Sicherheitsrichtlinien darf auch die Schulung der Mitarbeiter nicht zu kurz kommen. Diese können eine der größten Schwachstellen für die Cybersicherheit einer Organisation sein. Sie müssen genau wissen, wie sie angreifbar werden und welche Folgen eine Nichteinhaltung der Sicherheitspraktiken haben kann. Axis unterstützt die Schulung des Bewusstseins im Bereich Cybersicherheit und hilft bei der Aufstellung von Best Practices für Endbenutzer.

Auch Sicherheitsmitarbeiter können eine Schwachstelle in der Cybersicherheit einer Organisation darstellen, da sie für die Verwaltung der Sicherheitskontrollen verantwortlich sind. Dazu zählen auch die Pflege einer aktuellen Geräteliste, sichere Installation, Einpflegen von Patches und die Kontoverwaltung für die Geräte. Es ist nicht einfach, dabei immer auf dem aktuellen Stand zu bleiben. Axis Device Manager (ADM) unterstützt das Sicherheitspersonal dabei.

Doch die Bedürfnisse der Kunden ändern sich und fordern immer häufiger Funktionen wie eine standortübergreifende Verwaltung oder verbesserte Überwachung. Dafür haben wir ADM Extend entwickelt. Es ermöglicht eine flexiblere Installation und die Unterstützung mehrerer Standorte. Das Hauptaugenmerk von ADM Extend liegt momentan auf gemeinsamen Operationen. Weitere Richtlinien, Sicherheits-Automatisierung und Integration in andere Systeme werden in Kürze folgen.

Stabile Cybersicherheit ist nur gemeinsam möglich

Angreifer arbeiten oft im Team und teilen Informationen über die neuesten Schwachstellen, Taktiken und Erfolge miteinander. Der Kampf gegen einen so entschlossenen und oft kapitalkräftigen Feind ist ohne die richtige Verteidigung und Unterstützung aussichtslos. Die Verteidigung gegen die ständig neuen Bedrohungen erfordert eine mehrstufige Strategie sowie Fortbildung in Cybersicherheit.

Die Branche treibt eine „Null-Vertrauen-Strategie“ an, bei der jede Einheit identifiziert und durch ihr Risikoprofil beschrieben wird. Deshalb ist es wichtig, Produkte zu wählen, die unter Sicherheitsaspekten entwickelt wurden. Axis nutzt seine über 30-jährige Erfahrung, um zuverlässige Produkte zu entwickeln. Unsere Strategie der Zusammenarbeit stellt sicher, dass die Partner und Kunden mit den entscheidenden Informationen und Tools ausgestattet sind, um auf veränderliche Bedrohungen reagieren zu können.

Möchten Sie mehr über unsere Strategie zur Cybersicherheit erfahren?
Hier klicken
Axis Communications, Andreas Reimann, PR and Social Media Specialist
Für weitere Informationen kontaktieren Sie bitte Andreas Reimann, PR and Social Media Specialist, Axis Communications
Telefon +49 89 35 88 17 221
Mehr über