Datenmanagement in einer hypervernetzten Welt
Die Zahl der Sicherheitskameras, die in aller Welt in den unterschiedlichsten Situationen zum Einsatz kommen, wächst ständig. Die Anwendungen reichen vom Schutz unternehmenskritisc...
Die Zahl der Sicherheitskameras, die in aller Welt in den unterschiedlichsten Situationen zum Einsatz kommen, wächst ständig. Die Anwendungen reichen vom Schutz unternehmenskritischer Infrastrukturen bis hin zur Sicherheit im eigenen Heim. Die Konvergenz von physischer Sicherheit und IT-Security ist ein branchenweiter Trend und zwingt uns, einen genaueren Blick auf die Datensicherheit zu werfen. Wir erkennen zunehmend, dass die Vorteile der Vernetzung ohne Sicherheitsvorkehrungen uns für Cyber-Kriminalität anfällig machen. Auf der Intersec in Dubai hatte GIT SICHERHEIT die Gelegenheit, diese Aspekte mit Markus Wierny zu erörtern, dem Leiter des Bereichs Product Management Firmware, Software and Storage bei Bosch Security Systems.
GIT SICHERHEIT: Sind wir in unserer hypervernetzten Welt zunehmend anfällig für Cyber-Kriminalität und wirkt sich dies auf die Videoüberwachung aus?
Markus Wierny: Natürlich hat sich vieles verändert seit dem Übergang von der klassischen analogen Videoüberwachung hin zu integrierten IP-Videoüberwachungssystemen. Alles ist vernetzt, integriert und Teil eines übergreifenden IT-Systems, und das hat sich natürlich auf die Videoüberwachung ausgewirkt. Wenn man sich die Schattenseite ansieht, müssen wir erkennen, dass schon ein einziges schwaches Glied in der Überwachungsanlage das gesamte System eines Unternehmens oder einer Organisation gefährden kann. Videoüberwachungssysteme stehen noch nicht im Mittelpunkt von Hacker-Angriffen, doch die Gefahr von Malware-Infiltrierung, Missbrauch von Benutzerprivilegien, Datenschutzverletzungen und Seitenkanalattacken ist unbestreitbar. Es gab in der Branche bereits mehrfach ernste Sicherheitsbedenken im Zusammenhang mit Videoüberwachungssystemen, beispielsweise der Linux-Wurm Darlloz, der Heartbleed-Bug in OpenSSL, der Shellshock- oder Bash-Bug und die Ghost-Sicherheitslücke in Linux.
Wie gehen Sie mit diesen Sicherheitsrisiken um?
Markus Wierny: Angefangen bei der Datenerfassung ist es für uns entscheidend, Daten so gut wie möglich zu sichern. Ein systematischer Ansatz ist erforderlich, um zu gewährleisten, dass Daten sicher übertragen und gespeichert werden und nur für autorisierte Personen zugänglich sind. Wir sehen unsere Rolle hier als Teil einer globalen IT-Sicherheitsinfrastruktur. Daher verwenden wir erprobte, standardisierte IT-Sicherheitsmaßstäbe und Technologien wie TLS/SSL-Verschlüsselung. Um auf Nummer sicher zu gehen, sind mehrere Schritte erforderlich. Unser erster Vorschlag lautet: Passwortvergabe für jedes Setup, ohne dabei Standardkennwörter zuzulassen. Dann müssen wir sicherstellen, dass die Daten verschlüsselt übertragen werden. Diese Aufgabe können wir mit Standardverschlüsselungsverfahren wie dem Advanced Encryption Standard AES-256 für Video und Bedienfelder abwickeln. Dies ermöglicht eine sichere Verbindung zu unseren eigenen Systemen, aber auch zu Drittsystemen. Der zweite Schritt besteht darin, Vertrauen aufzubauen, wenn man Geräte anschließt oder sich in Systemen anmeldet. Wir weisen jeder Komponente einen Authentifizierungsschlüssel zu, sodass ein Datenaustausch nur zwischen zuverlässigen Partnern möglich ist. Die Erstellung und Verteilung kryptografischer Schlüssel schützt Datenaufzeichnungen selbst bei Verletzungen der Sicherheit und gewährleistet die Authentizität von Firmware-Updates mit Herstellersignatur. Diese Schlüssel werden in den Trusted Platform Modules (TPM) unserer Systeme und in den Bosch IP-Kameras gespeichert.
Was sind die nächsten Schritte nach der sicheren Verbindung und Datenverschlüsselung?
Markus Wierny: Für die Datensicherung ist es entscheidend, die Benutzer-Zugriffsrechte angemessen zu verwalten, damit nur autorisierte Personen Zugriff auf die Daten erhalten. Um ein problemloses Management von Zugriffsrechten zu gewährleisten, verwenden wir IT-Branchenstandards und unterstützen Drittanbieterlösungen für die Public-Key- Infrastruktur (PKI) und die Verwaltung von Benutzer-Zugriffsrechten. Um Core-Geräte wie Server, Clients und Speichergeräte zu schützen, verwenden wir interne Trusted Platform Modules, die Authentifizierungsrechte speichern und das Microsoft Active Directory unterstützen. Alle Geräte werden über Sicherheitspatches regelmäßig aktualisiert; in NIST- und Penetrationstests sind wir regelmäßig erfolgreich. Schon seit Jahren statten wir unsere Kameras, Speicherlösungen und Kodierer mit einem Trusted Platform Module aus, um die Systeme noch sicherer zu machen.
Wie funktioniert dieser Schutz von Edge-Geräten?
Markus Wierny: Selbst unsere Einstiegsmodelle haben ein TPM an Bord. Das TPM ist ein Chip, wie er in SecureCards verwendet wird. Er ist in unsere Kamera-Hardware integriert und funktioniert wie ein Safe, der Schlüssel speichert und vergibt. Das TPM erstellt bei Bedarf eindeutige selbstsignierte Zertifikate und Signage-Anfragen. Auch Clients und Server verwenden Zertifikate für die Authentifizierung, das System unterstützt Zertifikate mit verschlüsselten Private Keys und eine Public-Key-Infrastruktur kann geladen werden. Eine PKI ist eine Sammlung von Hardware, Software, Richtlinien, Verfahrensweisen sowie Personen, die notwendig sind, um digitale Zertifikate zu erstellen, verwalten, verteilen, verwenden, speichern und widerrufen und Public-Key-Verschlüsselung zu managen. Wir verwenden modernste X.509-Zertifikate mit Schlüsseln bis zu 2048 Bit, um maximale Kompatibilität und Sicherheit zu gewährleisten.
Wirken sich die Sicherheitsmaßstäbe, die Sie für höhere Sicherheit empfehlen, auf die Integration von Geräten und Software von Drittanbietern aus?
Markus Wierny: Wenn Sie ein sicheres System wollen, müssen Sie dafür sorgen, dass alle Komponenten zuverlässige Sicherheit bieten. Wie schon erwähnt, kann schon ein einziges schwaches Glied das gesamte System in Gefahr bringen. Deshalb deaktivieren wir „unsichere“ Ports und Protokolle sowie die Ausführung von Drittanbieter-Software automatisch und erzwingen die Verschlüsselung jeglicher Kommunikation. Stärkere Nachfrage nach Datensicherheit wird die Auswahl an Geräten, die man in ein Projekt integrieren möchte, beeinflussen. Gefahren für die Datensicherheit haben zu der Entscheidung geführt, alle Bosch-Kameras „geschlossen“ zu halten, das heißt: Wir gestatten keine Drittanbieter-Software auf unseren Kameras. Es gibt offene Kameraplattformen auf dem Markt, die Drittanbieter-Software auf Kameras und Geräten gestatten, dies öffnet jedoch Hackern das Tor. Wir glauben, dass das Risiko höher ist als jeder mögliche Vorteil.
Wo sehen Sie den größten Bedarf an besseren Datensicherheitsmaßstäben in der Sicherheitsbranche?
Markus Wierny: Wir sehen seit etwa 18 Monaten eine starke Nachfrage auf allen vertikalen Märkten. Für Kunden im staatlichen Sektor und im Bankwesen ist das Thema natürlich besonders sensitiv, aber wir haben auch mit Einzelhändlern gesprochen, die Sicherheitsverstöße zu verzeichnen hatten und Datenlecks befürchten. Wichtige Infrastrukturprojekte sind am stärksten gefährdet, doch selbst bei Haussicherheitsanwendungen gilt: Man möchte Videos, die im eigenen Wohnzimmer aufgenommen wurden, nicht im Internet sehen. Wir bei Bosch unternehmen viel, um die verschiedenen Kanäle wie Berater und Endabnehmer über das Thema zu informieren. Wir sind auch beim ONVIF sehr aktiv, um angemessene Sicherheitsmaßstäbe in die nächste ONVIF-Spezifikation und die neuen ONVIF-Profile aufzunehmen. Außerdem haben wir mit unseren Partnern gesprochen, um ihnen zu helfen, sicherere Systeme zu entwickeln. Im Bereich der Datenspeicherung beispielsweise endet die Sicherheitskette oft, und die Daten werden unverschlüsselt gespeichert. Datenbanken und Datenspeicher sind natürlich oft physisch gesichert, doch die Möglichkeit von Videodatendiebstahl kann nicht ausgeschlossen werden. Gemeinsam mit Partnern wie Genetec werden wir Systeme entwickeln, die verschlüsselte Daten speichern, um dieses Risiko zu minimieren.