Warum Netzwerk-Kameras in Punkto Sicherheit oftmals durchfallen


Warum Netzwerk-Kameras in Punkto Sicherheit oftmals durchfallen 


Isen 15.2. 2018    Seit Jahren sind Netzwerkkameras im Bereich der Überwachungstechnik ein beliebter Standard. Eine Statistik zeigt auch, dass der Anteil der verbauten Kameras in der Sicherheitstechnik mittlerweile von diesen vor den Koaxial-Kameras angeführt wird.

Sind diese doch praktisch, da von jedem versierten IT-Techniker verbaut werden können, oftmals gleich über das Netzwerk-Kabel mit Strom versorgt werden und mit wenigen Handgriffen und nach einer Programmierung am DSL-Router, Switch oder Firmen-Netzwerk angeschlossen sind.

Allerdings haben Netzwerk-Kameras auch oftmals Schattenseiten in Punkto Sicherheit. Eigentlich verbaut man ja Sicherheitskameras um mehr Sicherheit zu bekommen, aber gleichzeitig kann es je nach Hersteller und anschließendem Support jedoch sein, dass man sich gleichzeitig Sicherheitslücken ins Haus holt.
Im Prinzip kann man heute schon fast sagen, dass jede IP-Adresse in einem Netzwerk eine potentielle Sicherheitslücke darstellt. Und so ist es nicht verwunderlich, dass erst vor wenigen Monaten ein gigantischer weltweiter Hacker-Angriff stattfand, bei dem Netzwerk-Kameras, Router und Internet-of-Things Geräte (IoT) Mißbraucht wurden, um ein Bot-Netzwerk für massive Hackerangriffe zu nutzen.

Die meisten Kunden bekommen selbst davon nichts mit, da die Funktionsweise der Kameras davon nicht beeinträchtigt wird und so ist es auch nicht verwunderlich, dass bis heute eine sehr große Anzahl an Netzwerk-Kameras bis heute immer noch die gleiche Sicherheitslücke haben, die damals zum großen Mirai-Bot Hackerangriff führte. 

Dazu wurde ein kleines Programm (Schadcode) auf die Netzwerk-Kameras gespielt, der diese in der Funktion nicht störte, aber die Rechenleistung der Netzwerk-Kamera und die dortige IP-Adresse nutzte, um dann gezielt Hacker-Angriffe (DDoS) auf Amazon, DynDNS und andere große Server zu betreiben. Insgesamt 1,5 Mio. Überwachungskameras waren davon betroffen. Auch große Kamera-Hersteller, wie z.B. AXIS (der Erfinder der Netzwerk-Kameras) waren darunter.

Bei großen Herstellern wie AXIS wurde dann schon nach wenigen Wochen eine neue Firmware zur Verfügung gestellt - aber - und jetzt kommt eben ein großes aber - eben nur zur Verfügung gestellt, bedeutet nicht gleichzeitig, dass tausende davon betroffene Kunden auch die Updates überhaupt einspielten.

Bis heute kann davon ausgegangen werden, dass eine sehr große Zahl an Kamera-Besitzern, dies gar nicht mitbekommen haben und die Updates nicht eingespielt sind. Dazu kann zwar der Kamera-Hersteller nichts, dieser hat schließlich zeitnah reagiert, aber das Umdenken in den Firmen über Sicherheitsrelevante Themen ist einfach noch nicht vorhanden.

Ab spätestens Mai 2018 müssten Unternehmen aber dringend nun umdenken. Bisher hatten die Firmen häufig so gedacht, dass wenn keine Auswirkungen im eigenen Netzwerk zu spüren war - z.B. durch ausfallend Arbeitsplätze, langsame Server oder andere Einschränkungen, dass keine Handlung notwendig war.

Mit Einführung der EU-Datenschutz Grundverordnung, kurz DSGVO kann diese Nachlässigkeit im Umgang mit dem eigenen Firmen-Netzwerk recht teuer werden. Treten Datenschutzverstöße z.B. durch Hacker-Angriffe auf, so wird ein Bußgeld in Höhe von 4% des letztjährigen Umsatzes des Unternehmens fällig. Bei einem Umsatz von 1 Mio. Euro also schnell mal 40.000 Euro Bußgeld - pro einzelnem Verstoß! Bei einem Mittelständischen Unternehmen mit z.B. 20 Mio. Umsatz rund 800.000 Euro Bußgeld.

Mit dieser erstmaligen drastischen Höhe an Bußgeldern, soll den Unternehmen klar werden, dass ein weiter so bei der laschen Sicherheitspolitik in der eigenen Firma, nicht mehr akzeptiert wird.

Der Grund ist auch ziemlich heftig. Früher waren Hacker meistens Schüler, die einfach mal ausprobiert haben, was alles funktioniert und legten höchstens mal einen Rechner lahm, ohne wirklich größeren Schaden anzurichten. Dann ging es dazu über gegen Geld Hacker-Angriffe auf Mitbewerber oder Behörden auszuführen um diese zu behindern oder an Daten heran zu kommen. Mittlerweile werden Sicherheitslücken in den Netzwerken, Routern oder Rechnern gezielt von staatlichen Geheimdiensten und kriminellen Banden genutzt, da dies ein Milliardengeschäft geworden ist. Alleine in Deutschland betrug 2016 der offizielle Schaden durch CyberCrime 55 Mrd. Euro, wobei die Dunkelziffer recht hoch ist. Weltweit wird mit IT Kriminalität mittlerweile mehr als mit dem Verkauf von Drogen verdient, rund 500 Mrd. Euro wird hier offiziell geschätzt.

Es wird also Zeit im neuen Jahr endlich mal anfangen umzudenken und den Besitzern von Netzwerk-Kameras auch klar werden zu lassen, dass diese durch fehlenden Support oder nicht durchführen von Updates, diese schnell missbraucht werden können.

Mittlerweile gibt es sogar Suchmaschinen für offen erreichbare Netzwerkkameras. Auf der Seite www.insecam.org erschrickt jeder Fachmann für Sicherheit, wie leichtsinnig auch in Deutschland http://www.insecam.org/en/bycountry/DE/, hunderte Kameras erreichbar sind und wie oft dort nach Datenschutz verstoßen wird (wie z.B. Blick auf eine Straße oder sogar innerhalb der Häuser). Dabei ist diese Suchmaschine “nur” auf für Kameras spezialisiert. Es gibt zahlreiche andere Suchmaschinen, die offene Ports, nicht upgedatete Router oder Internet of Things Geräte sucht und tausendfach findet. Ein extrem einfaches Einfallstor für Hacker und Kriminelle. Zeit also dass sich was ändert und das Thema Sicherheit auch bei Netzwerk-Kameras höher eingestuft wird, als bisher.

Eine einfache Abhilfe in der Videoüberwachung ist übrigens die Verwendung von Koax-Kameras, statt Netzwerk-Kameras. Diese haben mittlerweile ebenfalls sehr hohe Bildauflösungen mit Full-HD Bilder (HD-SDI) und oftmals höherer Bildgeschwindigkeit als die klassischen Netzwerk-Kameras.

Die einzige IP-Adresse in diesem Fall ist dann der Recorder, auf dem dann Datenschutz und Sicherheitstechnisch mit Updates geachtet werden muss, aber nicht eben jede einzelne Kamera selbst.

Tipp: Achten Sie deshalb darauf, dass Sie Netzwerk-Kameras bei Sicherheitsfirmen kaufen und schließen Sie mit diesen einen Support-Vertrag ab. Nur so ist gewährleistet, dass Sie selbst nicht Opfer von Datenschutzverstößen werden. Diese Fachfirmen kümmern sich bei vorhandenen Support-Verträgen eben auch um die regelmäßigen Updates und einspielen von Sicherheitspatche.

Lassen Sie die Kameras aber einfach so hängen, und kümmern Sie sich nicht um die Sicherheit der eingesetzten Technik, so werden Sie mit hoher Wahrscheinlichkeit Opfer von Cyberkriminellen - entweder direkt mit Datendiebstahl,  Verschlüsselungstrojaner und anderen Cyber-Einbrüchen oder indirekt mit der Ausnutzung Ihres Internet-Zuganges für Angriffe auf andere Server.

Ein weiter so, wird ab Mai 2018 mit hohen Bußgeldern bestraft, lassen Sie es also nicht so weit kommen und Ihre Anlagen jetzt schon auf mögliche Sicherheitslücken und Datenschutzverstößen von Ihrem Lieferanten überprüfen.


Klaus Hamal
Alpha11 Business Security


Über den Autor
Klaus Hamal, 52 ist Informationselektroniker-Meister und Inhaber der Alpha11 Business Security. Seit 2006 beschäftigt sich Alpha11 überwiegend mit Sicherheitstechnik für Unternehmen.