Kamera­über­wa­chung und das Prinzip “Security by Design”

| André Lauterbach

Video­ka­meras sind ein integraler Bestandteil von Sicher­heits­sys­temen und werden heutzutage intensiv einge­setzt. Ihre Wirkung dient in vielen Fällen der Abschre­ckung, sie helfen bei der Überwa­chung von Objekten und sie können bei der Nachver­folgung von Vorfällen, wie beispiels­weise Einbrüchen oder Vanda­lismus, unter­stützen. Da jede einge­setzte Sicher­heits­technik selber Schwach­stellen für Angriffe mit sich bringen kann, beschäftigt sich dieser Beitrag mit den Risiken von Überwa­chungs­ka­meras und zeigt auf, wie sie minimiert werden können.

Aktuelle Kamera­mo­delle sind in der Regel IP-Kameras, also inter­net­fähige Geräte, die mittels Inter­net­pro­tokoll (IP) eindeutig identi­fi­zierbar sind und Daten­pakete empfangen und senden können. Im Prinzip sind es recht leistungs­fähige, kleine Computer mit einer Kamera und Netzwerk­an­schluss. Viele nutzen ein normales Betriebs­system, oft ein auf die integrierten Systeme angepasstes Linux.

Prinzip „Security by Design“

Es ist also von großer Bedeutung, dass die Kameras wie „echte“ Computer unter IT-Sicher­heits­aspekten betrachtet und geschützt werden. Inwiefern das mit Bordmitteln möglich ist, hängt vom Funkti­ons­umfang der Sicher­heits­ein­stel­lungen der jewei­ligen Kamera, also vom Hersteller ab. Es gilt hierbei das Prinzip „Security by Design“. Falls die Produkte den Sicher­heits­an­for­de­rungen nicht genügen, müssen die möglichen Angriffs­flächen minimiert werden.

Der Begriff „Security by Design“ beschreibt eine Art der Soft- und Hardware-Entwicklung, bei der IT-Sicherheit schon in der Entstehung von Produkten und Lösungen berück­sichtigt wird. Das Ziel ist es, das Produkt so unemp­findlich wie möglich gegen Angriffe zu machen. Von diesem Prinzip sind jedoch nicht alle Produkt­ent­wickler begeistert. Die Integration der Sicher­heits­fach­leute in den Entwick­lungs­prozess empfinden sie als hinderlich für ihre kreative Arbeit. Sie plädieren für die nachträg­liche Imple­men­tierung der Sicher­heits­aspekte.

Sicher­heits­lücken in Video­ka­meras

Dass die Überprüfung der IT-Sicherheit von Video­ka­meras sehr wichtig ist, belegt eine im Januar 2020 von der VZM GmbH und Image Engineering durch­ge­führte Kamera-Testreihe, die im Video Security Spezial des Sicher­heits-Berater im August 2020 veröf­fent­licht wurde. Teil eins dieser Unter­su­chung beschäf­tigte sich mit den Leistungs­fak­toren von sechs Video­ka­meras in der Praxis und unter Labor­be­din­gungen. Teil zwei unter­suchte vier Modelle namhafter Hersteller hinsichtlich der IT-Sicherheit. Die nachfol­gende Aufstellung benennt die gefun­denen Schwach­stellen und die Risiken, die sich daraus ergeben:

Nicht erfor­der­liche Ports sind geöffnet
Ports von IP-Diensten von außen in Richtung Kamera waren geöffnet, z.B. für iSCSI (internet Small Computer System Interface – ein Protokoll für die Anbindung von Netzwerk­da­ten­trägern) und RPC (Remote Procedure Call – ein Protokoll zur Steuerung und Befehls­aus­führung auf entfernten Systemen).

Generell sollten alle nicht zwingend erfor­der­lichen Ports geschlossen sein und nur bei Bedarf geöffnet werden. Kameras, die über ein Video­ma­nage­ment­system (VMS) gesteuert und verwaltet werden, benötigen z. B. kein iSCSI. Die Kameras bauen eine Verbindung in Richtung VMS auf und legen dort die Videos ab. Ein Zugriff auf den iSCSI Port von außen stellt damit eine unnötige Schwach­stelle dar.

Veral­teter und unsicherer Webbrowser
Die Anfor­derung einiger Kameras bezüglich der Konfi­gu­ration über den Webbrowser entspricht nicht dem Stand der Technik: nur der nicht mehr sichere und schon lange abgekün­digte Internet Explorer funktio­nierte unein­ge­schränkt. Das ist nicht akzep­tabel, da sogar das BSI vor der Nutzung dieses veral­teten und als unsicher geltenden Browsers warnt.

Veraltete Linux-Kernel im Betriebs­system
Alle Kameras waren anfällig für DoS-Attacken. Grund dafür waren veraltete Linux-Kernel, die entspre­chende Schwach­stellen aufweisen. Das Kernel ist der Kern des Betriebs­systems und damit grund­legend Basis desselben. Durch einen simplen Test mit hping‑3 konnten alle Modelle gestört bzw. sogar komplett “einge­froren” werden. hping‑3 ist ein erwei­terter Ping-Befehl, also ein Komman­do­zei­len­befehl, mit dem man abfragen kann, ob Netzwerk­geräte erreichbar sind. hping‑3 hat einige zusätz­liche Parameter, welche die Anfrage modifi­zieren können. Das Kommando kann ohne Spezi­al­kennt­nisse auf jeden Linux-PC instal­liert und mit Windows-Tools bedient werden.

Ein Angreifer, der Zugang zum Netz bekommt, z.B. über eine aktive Netzwerkdose, kann die Kameras nach Belieben zeitweise ausschalten. Auch für die Versionen bei einigen laufenden Diensten (besonders Webserver und RCP) existieren bereits Schad­pro­gramme, sogenannte Exploits, die bekannte Sicher­heits­lücken ausnutzen.

Unver­schlüs­selte Daten­ablage
Bis auf eine Ausnahme legten die Kameras die Daten auf der lokalen SD-Karte unver­schlüsselt ab. Wird die Kamera entwendet, ist der Zugriff auf die gespei­cherten Bilddaten möglich. Alle Kameras arbeiten mit entfern­baren SD-Karten. Das hat Vorteile für die Wartung und Reparatur aber auch den Nachteil der leichten Manipu­lation. Bei einigen Kameras könnte die Karte mit etwas Geschick entfernt, ausge­lesen und/oder manipu­liert und wieder einge­setzt werden. Entspre­chende Alarm­mel­dungen sind dringend einzu­stellen (Manipu­la­ti­ons­schutz und Speicher­über­wa­chung). Ansonsten sollten sich die Kameras gegen­seitig überwachen.

Veraltete Verschlüs­se­lungs­tech­no­logien
Alle Kameras ließen für die verschlüs­selte Übertragung per SSL/TLS (z.B. für das Webma­nagement der Kamera per https, oder die SRTP Übertragung zum Video­ma­nage­ment­system) veraltete, unsichere Schlüssel (TLS 1.1/SHA‑1) als Rückfal­l­ebene zu. Nur bei einer Kamera ließ sich dieser veraltete Schlüssel deakti­vieren. Alle Kameras verfügten auch über aktuelle Verschlüs­se­lungen (TLS 1.2/SHA256 und besser).

„Security by Design“ kritisch hinter­fragen

Die getes­teten Überwa­chungs­ka­meras sind nur eine kleine Auswahl eines großen Produkt­an­ge­botes für den profes­sio­nellen Einsatz. Es ist an dieser Stelle daher nicht wichtig, das jeweilige Modell und den Hersteller zu benennen. Die Ergeb­nisse und die gefun­denen Schwach­stellen sollen vielmehr dafür sensi­bi­li­sieren, dass nahezu jede Video­kamera Lücken in der IT-Sicherheit aufweisen kann. Einfach „kaufen, einrichten und los“ ist der falsche Ansatz und sehr riskant.  

Sicherer Netzwerk­aufbau

Es gibt verschiedene Möglich­keiten die Kameras zu betreiben: in der Regel dezentral mit den kamera­ei­genen Funktionen, oder über ein VMS. Die Kameras werden dabei über ein IP-Netzwerk betrieben. Darüber hinaus können die Kameras auch offline arbeiten – also ohne Netzwerk­an­schluss und unter Verwendung des einge­bauten Speichers für die Aufzeichnung. Das erschwert die Verwaltung, schränkt den Nutzen der Kameras ein und eine Manipu­la­ti­ons­über­wa­chung wird zur Heraus­for­derung.

Vor der Instal­lation muss ein Konzept für die Netzwerk­si­cherheit erstellt werden und alle Eigen­arten der gewählten Kameras müssen bekannt sein. Die Einrichtung sollte nur mit Hilfe von Fachleuten für die Kameras und Netzwerk­si­cherheit vorge­nommen werden. Ein geeig­netes Monitoring des geregelten techni­schen Betriebs der Geräte muss ebenfalls geplant und sicher­ge­stellt werden.

Hier die wesent­lichen Faktoren für den sicheren Einsatz von Überwa­chungs­ka­meras:

  • Die Kameras sollten in einem eigenen Netz, von anderen internen und externen Unter­neh­mens­netzen getrennt betrieben und der Netzwerk­zu­griff soweit es geht beschränkt werden. Die Umsetzung kann mit einem virtu­ellen Netz (VLAN) erfolgen oder als physisch getrenntes Netz – je nach persön­lichen Wohlbe­finden. Das gilt unabhängig davon, wie sicher die Kameras zum jetzigen Zeitpunkt zu konfi­gu­rieren sind. Die Zukunft kann neue Schwach­stellen zu Tage bringen.
  • Systeme, die mit den Kameras verbunden sind, sollten nur mit Hilfe von überwachten Schnitt­stellen an andere Netze angebunden werden (z.B. über Firewalls, Security-Gateways). Viele Produkte entsprechen nicht vollständig dem Prinzip „Security by Design“.
  • Diese Schnitt­stellen, besser noch das ganze Sicher­heitsnetz, sind auf ungewöhn­lichen Netzwerk­verkehr zu beobachten (IDS/IPS Intrusion Detection/Intrusion Prevention System, Deep-Paket Inspektion).
  • Verschlüs­selung der Kommu­ni­kation – ein Muss bei Remote-Konfi­gu­ration und Übertragung von Login Daten, aber auch die Video­streams sollten verschlüsselt übertragen werden.
  • Generell müssen alle Systeme technisch bzgl. deren Funktion überwacht werden (IT-Monitoring, VMS mit Einbindung von techni­schen Störmel­dungen). Bei Auffäl­lig­keiten werden die Verant­wort­lichen umgehend alarmiert.
  • Die Einrichtung der Kameras erfordert eine genaue Planung durch Fachleute, die sich auch der IT-Risiken und recht­lichen Einflüssen, wie dem Daten­schutz bewusst sind.
  • Die Kameras, passive und aktive Netzkom­po­nenten (auch Netzwerk- und Strom­lei­tungen) sind mit ausrei­chenden Maßnahmen gegen physische Einfluss­nahme (Wetter, Gewalt­ein­wirkung wie Vanda­lismus oder Sabotage) zu schützen:
    • Die Monta­ge­po­sition sollte so sein, dass die Kameras nur schwer zu manipu­lieren sind.
    • Die Gehäuse sind der Situation entspre­chend zu wählen. Die Außen­kamera mit Wetter­schutz und Schutz gegen Gewalt­ein­wirkung hat andere Anfor­de­rungen als die Kamera im Innen­be­reich.
    • Die Kameras sollten möglichst so aufge­stellt werden, dass sie sich gegen­seitig überwachen. Manipu­la­tionen und Fehler können somit aus der Ferne erkannt werden.
    • Netzwerk­an­schlüsse und ‑leitungen müssen geschützt werden, im Extremfall auch gegen berüh­rungslose Angriffs­me­thoden (Abstrahlung). Ziel ist es, Eindringen und Abhorchen zu vermeiden.
    • Aktive und passive Netzwerk­kom­po­nenten wie Patch­felder oder Switches müssen geschützt und überwacht werden.
    • Einen Anschluss einer Kamera über WLAN sollte man sich sehr gut überlegen. Die Absicherung eines WLAN hat besondere Heraus­for­de­rungen, über die man ganze Artikel schreiben kann.
    • Werden Aufnahmen auf der Kamera (zwischen-)gespeichert sind diese ebenfalls vor Manipu­lation zu schützen und zu verschlüsseln.

Abbildung 1 zeigt ein Schema für einen sicheren Netzwerk­aufbau. Dieser muss selbst­ver­ständlich an die indivi­du­ellen Bedürf­nisse angepasst werden. Die Nutzung von virtu­ellen Netzen reduziert den erfor­der­lichen Einsatz von Netzwerk-Hardware, ohne dabei die Sicherheit signi­fikant zu verschlechtern. Die Kommu­ni­kation zwischen den Netzen steuert man hierbei i.d.R. über eine zentrale Firewall-Lösung.

Abbildung 1 Beispiel für den Aufbau eines sicheren Netzwerks mit Video­über­wa­chung

System­si­cherheit überprüfen

Nach der Errichtung der Video­über­wa­chung sollte im Idealfall eine Schwach­stel­len­analyse oder sogar ein Penetration-Test durch­ge­führt werden erfolgen. Hierdurch können Design­fehler und syste­mische Schwach­stellen erkannt und entspre­chend behoben werden. Der betriebene Aufwand mag dem einen oder anderen übertrieben erscheinen, ist aber unter dem Sicher­heits­aspekt absolut berechtigt, Schließlich wäre es mehr als unangenehm, wenn ein Angreifer eine Kamera hackt und sich damit Zugang in das Firmennetz verschafft. Cyber­kri­mi­nelle nutzen jede Schwach­stelle im System, um Unter­nehmen anzugreifen.

Fazit

Die Testergeb­nisse gängiger Überwa­chungs­ka­meras für den profes­sio­nellen Einsatz machen deutlich, dass auch von dieser Technik, die die Sicherheit erhöhen soll, Gefahr für das Unter­nehmen ausgehen kann. Video­über­wa­chung ist verbunden mit der IT-Infra­struktur des Unter­nehmens und gehört daher in die Hände erfah­rener Planer und Experten. Der Einsatz ist nie von der Stange, bedarf indivi­du­eller Planung und das Wissen aus unter­schied­lichen Bereichen wie Sicherheits­konzeption, Objekt­schutz, Video­technik, Netzwerk­si­cherheit, IT-Sicherheit, Informations­sicherheit und Daten­schutz.