Kameraüberwachung
Start
/
Security Blog
/

Kameraüberwachung und das Prinzip „Security by Design“

Jede eingesetzte Sicherheitstechnik kann selber Schwachstellen für Angriffe mit sich bringen. Dieser Beitrag beschäftigt sich mit den Risiken von Kameraüberwachung und zeigt auf, wie sie minimiert werden können.

Videokameras sind ein integraler Bestandteil von Sicherheitssystemen und werden heutzutage intensiv eingesetzt. Ihre Wirkung dient in vielen Fällen der Abschreckung, sie helfen bei der Überwachung von Objekten und sie können bei der Nachverfolgung von Vorfällen, wie beispielsweise Einbrüchen oder Vandalismus, unterstützen. Da jede eingesetzte Sicherheitstechnik selber Schwachstellen für Angriffe mit sich bringen kann, beschäftigt sich dieser Beitrag mit den Risiken von Überwachungskameras und zeigt auf, wie sie minimiert werden können.

Aktuelle Kameramodelle sind in der Regel IP-Kameras, also internetfähige Geräte, die mittels Internetprotokoll (IP) eindeutig identifizierbar sind und Datenpakete empfangen und senden können. Im Prinzip sind es recht leistungsfähige, kleine Computer mit einer Kamera und Netzwerkanschluss. Viele nutzen ein normales Betriebssystem, oft ein auf die integrierten Systeme angepasstes Linux.

Prinzip „Security by Design“

Es ist also von großer Bedeutung, dass die Kameras wie „echte“ Computer unter IT-Sicherheitsaspekten betrachtet und geschützt werden. Inwiefern das mit Bordmitteln möglich ist, hängt vom Funktionsumfang der Sicherheitseinstellungen der jeweiligen Kamera, also vom Hersteller ab. Es gilt hierbei das Prinzip „Security by Design“. Falls die Produkte den Sicherheitsanforderungen nicht genügen, müssen die möglichen Angriffsflächen minimiert werden.

Der Begriff „Security by Design“ beschreibt eine Art der Soft- und Hardware-Entwicklung, bei der IT-Sicherheit schon in der Entstehung von Produkten und Lösungen berücksichtigt wird. Das Ziel ist es, das Produkt so unempfindlich wie möglich gegen Angriffe zu machen. Von diesem Prinzip sind jedoch nicht alle Produktentwickler begeistert. Die Integration der Sicherheitsfachleute in den Entwicklungsprozess empfinden sie als hinderlich für ihre kreative Arbeit. Sie plädieren für die nachträgliche Implementierung der Sicherheitsaspekte.

Sicherheitslücken in Videokameras

Dass die Überprüfung der IT-Sicherheit von Videokameras sehr wichtig ist, belegt eine im Januar 2020 von der VZM GmbH und Image Engineering durchgeführte Kamera-Testreihe, die im Video Security Spezial des Sicherheits-Berater im August 2020 veröffentlicht wurde. Teil eins dieser Untersuchung beschäftigte sich mit den Leistungsfaktoren von sechs Videokameras in der Praxis und unter Laborbedingungen. Teil zwei untersuchte vier Modelle namhafter Hersteller hinsichtlich der IT-Sicherheit. Die nachfolgende Aufstellung benennt die gefundenen Schwachstellen und die Risiken, die sich daraus ergeben:

Nicht erforderliche Ports sind geöffnet
Ports von IP-Diensten von außen in Richtung Kamera waren geöffnet, z.B. für iSCSI (internet Small Computer System Interface – ein Protokoll für die Anbindung von Netzwerkdatenträgern) und RPC (Remote Procedure Call – ein Protokoll zur Steuerung und Befehlsausführung auf entfernten Systemen).

Generell sollten alle nicht zwingend erforderlichen Ports geschlossen sein und nur bei Bedarf geöffnet werden. Kameras, die über ein Videomanagementsystem (VMS) gesteuert und verwaltet werden, benötigen z. B. kein iSCSI. Die Kameras bauen eine Verbindung in Richtung VMS auf und legen dort die Videos ab. Ein Zugriff auf den iSCSI Port von außen stellt damit eine unnötige Schwachstelle dar.

Veralteter und unsicherer Webbrowser
Die Anforderung einiger Kameras bezüglich der Konfiguration über den Webbrowser entspricht nicht dem Stand der Technik: nur der nicht mehr sichere und schon lange abgekündigte Internet Explorer funktionierte uneingeschränkt. Das ist nicht akzeptabel, da sogar das BSI vor der Nutzung dieses veralteten und als unsicher geltenden Browsers warnt.

Veraltete Linux-Kernel im Betriebssystem
Alle Kameras waren anfällig für DoS-Attacken. Grund dafür waren veraltete Linux-Kernel, die entsprechende Schwachstellen aufweisen. Das Kernel ist der Kern des Betriebssystems und damit grundlegend Basis desselben. Durch einen simplen Test mit hping-3 konnten alle Modelle gestört bzw. sogar komplett „eingefroren“ werden. hping-3 ist ein erweiterter Ping-Befehl, also ein Kommandozeilenbefehl, mit dem man abfragen kann, ob Netzwerkgeräte erreichbar sind. hping-3 hat einige zusätzliche Parameter, welche die Anfrage modifizieren können. Das Kommando kann ohne Spezialkenntnisse auf jeden Linux-PC installiert und mit Windows-Tools bedient werden.

Ein Angreifer, der Zugang zum Netz bekommt, z.B. über eine aktive Netzwerkdose, kann die Kameras nach Belieben zeitweise ausschalten. Auch für die Versionen bei einigen laufenden Diensten (besonders Webserver und RCP) existieren bereits Schadprogramme, sogenannte Exploits, die bekannte Sicherheitslücken ausnutzen.

Unverschlüsselte Datenablage
Bis auf eine Ausnahme legten die Kameras die Daten auf der lokalen SD-Karte unverschlüsselt ab. Wird die Kamera entwendet, ist der Zugriff auf die gespeicherten Bilddaten möglich. Alle Kameras arbeiten mit entfernbaren SD-Karten. Das hat Vorteile für die Wartung und Reparatur aber auch den Nachteil der leichten Manipulation. Bei einigen Kameras könnte die Karte mit etwas Geschick entfernt, ausgelesen und/oder manipuliert und wieder eingesetzt werden. Entsprechende Alarmmeldungen sind dringend einzustellen (Manipulationsschutz und Speicherüberwachung). Ansonsten sollten sich die Kameras gegenseitig überwachen.

Veraltete Verschlüsselungstechnologien
Alle Kameras ließen für die verschlüsselte Übertragung per SSL/TLS (z.B. für das Webmanagement der Kamera per https, oder die SRTP Übertragung zum Videomanagementsystem) veraltete, unsichere Schlüssel (TLS 1.1/SHA-1) als Rückfallebene zu. Nur bei einer Kamera ließ sich dieser veraltete Schlüssel deaktivieren. Alle Kameras verfügten auch über aktuelle Verschlüsselungen (TLS 1.2/SHA256 und besser).

„Security by Design“ kritisch hinterfragen

Die getesteten Überwachungskameras sind nur eine kleine Auswahl eines großen Produktangebotes für den professionellen Einsatz. Es ist an dieser Stelle daher nicht wichtig, das jeweilige Modell und den Hersteller zu benennen. Die Ergebnisse und die gefundenen Schwachstellen sollen vielmehr dafür sensibilisieren, dass nahezu jede Videokamera Lücken in der IT-Sicherheit aufweisen kann. Einfach „kaufen, einrichten und los“ ist der falsche Ansatz und sehr riskant.  

Sicherer Netzwerkaufbau

Es gibt verschiedene Möglichkeiten die Kameras zu betreiben: in der Regel dezentral mit den kameraeigenen Funktionen, oder über ein VMS. Die Kameras werden dabei über ein IP-Netzwerk betrieben. Darüber hinaus können die Kameras auch offline arbeiten – also ohne Netzwerkanschluss und unter Verwendung des eingebauten Speichers für die Aufzeichnung. Das erschwert die Verwaltung, schränkt den Nutzen der Kameras ein und eine Manipulationsüberwachung wird zur Herausforderung.

Vor der Installation muss ein Konzept für die Netzwerksicherheit erstellt werden und alle Eigenarten der gewählten Kameras müssen bekannt sein. Die Einrichtung sollte nur mit Hilfe von Fachleuten für die Kameras und Netzwerksicherheit vorgenommen werden. Ein geeignetes Monitoring des geregelten technischen Betriebs der Geräte muss ebenfalls geplant und sichergestellt werden.

Hier die wesentlichen Faktoren für den sicheren Einsatz von Überwachungskameras:

  • Die Kameras sollten in einem eigenen Netz, von anderen internen und externen Unternehmensnetzen getrennt betrieben und der Netzwerkzugriff soweit es geht beschränkt werden. Die Umsetzung kann mit einem virtuellen Netz (VLAN) erfolgen oder als physisch getrenntes Netz – je nach persönlichen Wohlbefinden. Das gilt unabhängig davon, wie sicher die Kameras zum jetzigen Zeitpunkt zu konfigurieren sind. Die Zukunft kann neue Schwachstellen zu Tage bringen.
  • Systeme, die mit den Kameras verbunden sind, sollten nur mit Hilfe von überwachten Schnittstellen an andere Netze angebunden werden (z.B. über Firewalls, Security-Gateways). Viele Produkte entsprechen nicht vollständig dem Prinzip „Security by Design“.
  • Diese Schnittstellen, besser noch das ganze Sicherheitsnetz, sind auf ungewöhnlichen Netzwerkverkehr zu beobachten (IDS/IPS Intrusion Detection/Intrusion Prevention System, Deep-Paket Inspektion).
  • Verschlüsselung der Kommunikation – ein Muss bei Remote-Konfiguration und Übertragung von Login Daten, aber auch die Videostreams sollten verschlüsselt übertragen werden.
  • Generell müssen alle Systeme technisch bzgl. deren Funktion überwacht werden (IT-Monitoring, VMS mit Einbindung von technischen Störmeldungen). Bei Auffälligkeiten werden die Verantwortlichen umgehend alarmiert.
  • Die Einrichtung der Kameras erfordert eine genaue Planung durch Fachleute, die sich auch der IT-Risiken und rechtlichen Einflüssen, wie dem Datenschutz bewusst sind.
  • Die Kameras, passive und aktive Netzkomponenten (auch Netzwerk- und Stromleitungen) sind mit ausreichenden Maßnahmen gegen physische Einflussnahme (Wetter, Gewalteinwirkung wie Vandalismus oder Sabotage) zu schützen:
    • Die Montageposition sollte so sein, dass die Kameras nur schwer zu manipulieren sind.
    • Die Gehäuse sind der Situation entsprechend zu wählen. Die Außenkamera mit Wetterschutz und Schutz gegen Gewalteinwirkung hat andere Anforderungen als die Kamera im Innenbereich.
    • Die Kameras sollten möglichst so aufgestellt werden, dass sie sich gegenseitig überwachen. Manipulationen und Fehler können somit aus der Ferne erkannt werden.
    • Netzwerkanschlüsse und -leitungen müssen geschützt werden, im Extremfall auch gegen berührungslose Angriffsmethoden (Abstrahlung). Ziel ist es, Eindringen und Abhorchen zu vermeiden.
    • Aktive und passive Netzwerkkomponenten wie Patchfelder oder Switches müssen geschützt und überwacht werden.
    • Einen Anschluss einer Kamera über WLAN sollte man sich sehr gut überlegen. Die Absicherung eines WLAN hat besondere Herausforderungen, über die man ganze Artikel schreiben kann.
    • Werden Aufnahmen auf der Kamera (zwischen-)gespeichert sind diese ebenfalls vor Manipulation zu schützen und zu verschlüsseln.

Abbildung 1 zeigt ein Schema für einen sicheren Netzwerkaufbau. Dieser muss selbstverständlich an die individuellen Bedürfnisse angepasst werden. Die Nutzung von virtuellen Netzen reduziert den erforderlichen Einsatz von Netzwerk-Hardware, ohne dabei die Sicherheit signifikant zu verschlechtern. Die Kommunikation zwischen den Netzen steuert man hierbei i.d.R. über eine zentrale Firewall-Lösung.

Abbildung 1 Beispiel für den Aufbau eines sicheren Netzwerks mit Videoüberwachung

Systemsicherheit überprüfen

Nach der Errichtung der Videoüberwachung sollte im Idealfall eine Schwachstellenanalyse oder sogar ein Penetration-Test durchgeführt werden erfolgen. Hierdurch können Designfehler und systemische Schwachstellen erkannt und entsprechend behoben werden. Der betriebene Aufwand mag dem einen oder anderen übertrieben erscheinen, ist aber unter dem Sicherheitsaspekt absolut berechtigt, Schließlich wäre es mehr als unangenehm, wenn ein Angreifer eine Kamera hackt und sich damit Zugang in das Firmennetz verschafft. Cyberkriminelle nutzen jede Schwachstelle im System, um Unternehmen anzugreifen.

Fazit

Die Testergebnisse gängiger Überwachungskameras für den professionellen Einsatz machen deutlich, dass auch von dieser Technik, die die Sicherheit erhöhen soll, Gefahr für das Unternehmen ausgehen kann. Videoüberwachung ist verbunden mit der IT-Infrastruktur des Unternehmens und gehört daher in die Hände erfahrener Planer und Experten. Der Einsatz ist nie von der Stange, bedarf individueller Planung und das Wissen aus unterschiedlichen Bereichen wie Sicherheitskonzeption, Objektschutz, Videotechnik, Netzwerksicherheit, IT-Sicherheit, Informationssicherheit und Datenschutz.

Diesen Beitrag teilen:

Weitere Artikel

  • Banken

Resiliente Sicherheitsarchitekturen – Anforderungen für kritische Infrastrukturen

KRITIS-Anforderungen wie NIS2 und DORA erhöhen den Druck. Erfahren Sie, wie physische, technische und IT/OT-Sicherheit integriert ...
Weiterlesen →
  • Rechenzentrum

Multi-Betriebsmodelle für Rechenzentren: Zwischen Effizienzdruck und Governance-Komplexität

Wie Rechenzentren Kapazitäten effizient nutzen: Multi-Betriebsmodelle im Fokus – inklusive Herausforderungen bei Governance, Sicherheit und Betrieb. ...
Weiterlesen →
  • Funktions- & Integrationstests

Integrationstests: Warum gute Konzepte in der Praxis scheitern – und wie man das verhindert

Viele technische Konzepte scheitern nicht an der Planung, sondern an fehlenden Integrationstests. Warum das Zusammenspiel entscheidend ...
Weiterlesen →
Nach oben scrollen
Leistungen
Branchen
Unternehmen
Referenzen
Beratungsgespräch vereinbaren

Impressum

Datenschutz

VZM auf der Data Centre World 2026 in Frankfurt
Sicherheitsberatung
Analysen & Bewertungen

Risiken fundiert einschätzen

Corporate Security

Ganzheitliche Unternehmenssicherheit

Sicherheitskonzeption

Individuelle Schutzstrategien

Datenschutz

Daten und Compliance

KI & KI-Compliance

Rechtssicher mit Künstlicher Intelligenz

Zertifizierungen & Audits

Sicherheit mit Standards belegen

City Sicherheit & Anfahrschutz

Urbane Sicherheitslösungen

Expatriate & Travel Security

Sicherheit weltweit

Personelle Sicherheitsdienstleistungen

Qualifiziertes Sicherheitspersonal

Sicherheitsplanung
Sicherheitstechnik

Technische Sicherheitssysteme

Schließanlagen & Türen-Engineering

Funktionale Zutrittslösungen

Brandschutz

Schutz vor Brand und Gefahrenlagen

Resilienz-Management
Risikomanagement

Risiken beherrschen

Business Continuity Management

Geschäftsprozesse absichern

Krisenmanagement

Unerwartetes strukturiert bewältigen

Technik und Infrastruktur
Rechenzentren

Verfügbarkeit kritischer IT-Infrastrukturen

IT- & Informationssicherheit

Sicherheit für IT und OT

Leitstellen & Sicherheitszentralen

Planung & Betrieb zentraler Sicherheitssysteme

Funktions- und Integrationstests

Sicherheitsfunktionen zuverlässig prüfen

Öffentliche Einrichtungen
Infrastruktur & Versorgung
Wirtschaft & Industrie
Events & Organisationen
Kritische Infrastruktur Branchenübergreifend

Versorgungs- und Sicherheitssysteme mit zentraler Bedeutung

Unternehmen