Videoüberwachung im Internet der Dinge
Unsere Epoche gilt als das Informationszeitalter – vor allem wegen der eruptiven Veränderungen, die zunächst klassische Computer in Wissenschaft und Wirtschaft, später in der Freizeit verursacht haben. Mit der anschließenden Verbreitung des World Wide Web ist nun die ganze Welt miteinander verbunden und Datenpakete werden mit Lichtgeschwindigkeit um den Globus geschickt.
Die Vernetzung betrifft längst nicht mehr nur PCs. So gut wie jede technische Einrichtung ist mit Netzwerktechnik erhältlich. Vom smarten Kühlschrank bis zur Windkraftanlage treffen im Internet die unterschiedlichsten Geräte, somit ihre Anwender und auch deren Daten zusammen. Das Schlagwort lautet Internet der Dinge (Internet of Things, IoT). Sein Potenzial ist riesig, die damit verbundenen Gefahren ebenso. Sie betreffen moderne IP Videoüberwachungsanalgen genauso wie alle anderen Geräte mit Netzzugang. Angesichts der diversen Bedrohungen, die die Vernetzung mit sich bringt, ist erhöhte Aufmerksamkeit in puncto Cybersicherheit von allen Beteiligten gefragt. Der ehemals sorglose Umgang mit Fragen der digitalen Sicherheit weicht einem wachsenden Bewusstsein für die Notwendigkeit ausgeklügelter Sicherheitsstrategien im IoT.
Videoüberwachung früher: abgeschottete Architekturen
Videoüberwachung war noch vor nicht allzu langer Zeit eine Ausnahmeerscheinung. Sie kam nur da zum Einsatz, wo besondere Sicherheitsbedenken herrschten. Überwachungskameras sah man in Banken, in der Großindustrie, bei Juwelieren, in Botschaften, an Verbrechensschwerpunkten und in besonders teuren Wohngegenden. Die früheren Videoüberwachungssysteme waren teurer als heutige, technisch weniger leistungsfähig, die Qualität der Bilder war in vielen Fällen schlechter. Im Wesentlichen waren die Kameras nichts als Bilderfassungsgeräte, die über analoge Leitungen (Koaxialkabel) niedrig aufgelöstes Bildmaterial in eine Überwachungszentrale liefern sollten. An eine automatische Auswertung der Bilder, an ereignisgesteuerte Aufnahmen und an alle anderen Selbstverständlichkeiten aktueller Systeme war nicht zu denken. Eine intelligente Dauerüberwachung setzte wegen der technischen Beschränkungen klassischer Systeme den permanenten Einsatz menschlicher Arbeitskraft voraus. Je komplexer die Anlage war, desto mehr Augen waren für die Betrachtung notwendig, um auf evtl. auftretende Bedrohungen umgehend reagieren zu können.
So negativ die Beschreibung der älteren Systeme klingen mag, hatten sie doch auch einen entscheidenden Vorteil. Sie konnten nur unter schwersten Bedingungen „gehackt“ werden. Angriffe aus der Ferne waren im Grunde fast unmöglich, wenn die verkabelten Verbindungen von Kameras und Zentralen von außen unzugänglich waren, denn die Aufzeichnungsgeräte hatten keine öffentliche Schnittstelle nach außen. Der englische Begriff Closed Circuit Television (CCTV) für geschlossene Videoübertragungssysteme drückt diese Eigenschaft der älteren Anlagen treffend aus. Sabotage war zwar möglich, zum Beispiel durch die Zerstörung von Kameras oder durch das Kappen schlecht geschützter Leitungen. Dazu aber war der physische Zugang zur Infrastruktur zwingend notwendig. Angreifer setzten sich zwangsläufig der Gefahr aus, entdeckt zu werden, und das ohnehin in seriösen Einrichtungen angestellte Sicherheitspersonal konnte Manipulationen schnell entdecken.
Videoüberwachung heute: Computer mit Netzwerkzugang
Auch wenn die Videoüberwachung im Englischen mitunter immer noch als CCTV bezeichnet wird, ist es mit der Geschlossenheit längst vorbei. Die Videoübertragung ist zwar nach wie vor Kernaufgabe der Kameras, aber sie sind viel mehr als Bilderfassungsgeräte. IP Überwachungskameras sind spezialisierte Hochleistungscomputer im Kleinformat. Sie verfügen über dieselben Kommunikationsprotokolle wie PCs, sind über Ethernet-Kabel oder WLAN in Netzwerke eingebunden und via IP Adresse lokal sowie global im Browser, in Apps oder Desktopprogrammen ansprechbar. Die Offenheit ist Segen und Fluch zugleich.
Aktuell findet ein Großteil der Bilddatenanalysen und der Selbstdiagnosen innerhalb der Kameras statt. Selbst günstige Modelle sind in der Lage, Bewegungen und Gesichter zu erkennen, etwas besser ausgestattete Kameras erstellen Schnappschüsse von Personen, Fahrzeugen oder nur von deren Nummernschildern und speichern automatisch zugeschnittene Details mitsamt den Metadaten. Ganz ohne weiteres Zubehör erzeugen bereits Einsteigerkameras eine riesige Datenmenge, woraus nicht nur potenziell datenschutzrechtlich Probleme entstehen. Die Daten sind auch äußerst interessant für Kriminelle.
Dabei ist noch nicht absehbar, wohin die Entwicklung zukünftig gehen wird. Statt die Geräte in der Peripherie der Netzwerke (on the edge) immer intelligenter zu machen, ist im IoT der Trend erkennbar, mittels Anbindung an die Cloud die eigentliche Rechenarbeit auszulagern auf zentrale Server. Dem Anwender könnte es letztlich egal sein, ob die Datenanalyse lokal oder entfernt stattfindet, denn solange der Anbieter vertrauenswürdig ist und ein System nicht kompromittiert ist, stimmen die Ergebnisse. Automatikfunktionen sparen Manpower, Algorithmen machen keine Konzentrationsfehler. Selbst Manipulationen der Überwachungsanlage, Speicherprobleme oder Angriffe über das Netzwerk bleiben nicht unentdeckt. Entscheidende Nachteile der Auslagerung in die Cloud sind aber die unumgängliche Notwendigkeit einer intakten Internetverbindung und der ununterbrochene Betrieb der Server, auf denen die Analyseprogramme laufen. Fällt die Verbindung aus oder ist der Anbieter Opfer eines Großangriffs, wäre die Intelligenz der Überwachungssysteme lahmgelegt.
Gefahren der Vernetzung …
Dass es sich bei solchen Überlegungen um keine Schauermärchen handelt, belegen die Erfahrungen, die wir schon mit Botnetzen sammeln konnten. Dabei handelt es sich um Netzwerke, die aus weltweit verteilten Geräten bestehen, auf denen eine Schadsoftware läuft. Die Schadware wird zentral von Cyberkriminellen gesteuert und unter anderem dazu genutzt, konzertierte Angriffe der infizierten Geräte auf die Server großer Unternehmen, von Regierungen und Behörden durchzuführen. Selbst die einfachste Form des Angriffs, die DDOS-Attacke (Distributed Denial of Service), ist bereits äußerst wirksam. Sie besteht im Wesentlichen darin, dass Hunderttausende oder Millionen Netzwerkclients gleichzeitig versuchen, eine Verbindung mit den attackierten Servern herzustellen. Die Vielzahl der Anfragen überlastet das attackierte Netz und in der Folge versagen die Server den Dienst. Einfache Schutzmaßnahmen wie die Sperrung einzelner IP Adressen oder ganzer Adressbereiche sind nutzlos, weil die Geräte weltweit verteilt sind.
Derartige Angriffe, die auch in den Medien für Furore sorgten, fanden im September und Oktober 2016 auf Basis der Mirai-Schadware statt. Netzwerkkameras stellten einen erheblichen Anteil der angreifenden Geräte. Selbst die großen Internetunternehmen wie Amazon und Netflix konnten sich nicht vorbeugend gegen das Mirai-Netz schützen. In Deutschland fand im November desselben Jahres ein Angriff auf Internetrouter statt, hauptsächlich auf solche von der Telekom. Das Ziel bestand zunächst darin, die Router selbst in das Botnetz zu integrieren. Der Angriff scheiterte zwar, was das unbemerkte Kapern der betroffenen Geräte angeht, die Router waren aber zeitweise funktionsuntüchtig. Dass überhaupt auf breiter Front eine so große Zahl an Geräten befallen werden konnte, liegt an der technischen Gleichheit der Geräte und daran, dass das attackierende Netz bereits zu solcher Größe angewachsen war.
… für die Videoüberwachung
Was hat das nun alles mit Videoüberwachung zu tun? Das Grundproblem hat zwei Seiten: IP Kameras und Netzwerkrekorder sind über das Internet angreifbar, woraus sich unterschiedliche Folgeprobleme ergeben können. Außerdem können befallene Videoüberwachungsprodukte selbst missbraucht werden, um andere Systeme anzugreifen. Das hat dann nicht nur Folgen für deren Besitzer, sondern je nach Ausrichtung der kriminellen Aktivitäten für ganze Gesellschaften. Beide Szenarien stellen die Hersteller und Anwender vor große Herausforderungen.
Gehackte Kameras und Aufzeichnungsgeräte bedeuten erstmal ein Datenleck und damit ein datenschutzrechtliches Problem. Man stelle sich vor, dass Kriminelle Zugriff auf die Überwachungsvideos eines Hotels oder einer Behörde erhalten. Das Grundrecht auf informationelle Selbstbestimmung der aufgenommenen Personen wäre verletzt – aber wer wäre dafür haftbar zu machen? Selbst wenn die Datenverarbeiter schuldhaft an so einem Vorfall wären und eine Entschädigungszahlung leisten müssen, wäre das Unglück dadurch nicht ungeschehen. Für die Betreiber der Kameras stellt sich das Problem von der anderen Seite aus betrachtet ähnlich. Sie müssen die Sicherheit ihrer Einrichtungen garantieren, setzen dazu Videoüberwachung ein, die aber selbst zum Sicherheitsproblem werden könnte.
Es ist nicht notwendig, in professionellen Dimensionen zu denken, um die Ausmaße der Bedrohung erahnen zu können. IP Kameras werden zu Schleuderpreisen in Supermärkten oder Baumärkten verkauft und dementsprechend weit verbreitet sind sie bei Privatleuten. Ausgerechnet die Billigangebote werden nach dem Kauf aber nicht mehr zuverlässig mit Sicherheitspatches versorgt – es gibt keine Verpflichtung für die Hersteller von Netzwerkgeräten, Support zu leisten. Ebenso wenig besteht eine Kennzeichnungspflicht, ob und wie lange Geräte mit Updates für die Firmware versorgt werden. Ist es Angreifern erst einmal gelungen, in die Steuerung einer Netzwerkkamera einzudringen, bietet sich Ihnen die Möglichkeit, von dort aus weitere Netzwerkclients innerhalb desselben Netzwerks zu übernehmen. Auch das ist ein typisches Problem für Privatanwender, bei denen sämtliche Geräte in dasselbe Heimnetz eingebunden sind. Sei es nun das Smart-TV mit Internetzugang oder eine Kamera – ein einziges schwaches Glied in der Kette genügt, um die Datensicherheit aller vernetzten Geräte zu zerstören.
Ursachen für die Angreifbarkeit und Sicherheitsmaßnahmen
Die Sicherheit von Videoüberwachungssystemen beginnt bei den Anwendern. Wer billig kauft, kauft doppelt – das stimmt auch für Überwachungskameras. Es geht nicht nur um erhöhten Komfort, weiter fortgeschrittene Funktionen oder Langlebigkeit, die bei Markenprodukten besser sind. Es geht vor allem um das Know-how der Hersteller und ihre Flexibilität, Sicherheitslücken zu vermeiden, zu entdecken und auf Lücken, die andere entdecken oder die bereits ausgenutzt wurden, mit Softwareaktualisierungen reagieren zu können. Große Unternehmen wenden in ihren Forschungs- und Entwicklungsabteilungen erhebliche Ressourcen für die Sicherheit der Produkte auf.
Hikvision beschäftigt beispielsweise über 9000 Mitarbeiter in diesem Bereich, was fast die Hälfte aller Angestellten ist. Diese Langzeitsicherheit ist im Preis einer Markenkamera enthalten. Kleine Lizenznehmer kaufen oftmals fremde Technik ein, kleben ein eigenes Label auf die Geräte anderer und verfügen weder über das Personal noch die Lizenzen, um später weiter die Sicherheit der Geräte gewährleisten zu können. Ohne fortwährende Aktualisierungen sind dem Missbrauch Tür und Tor geöffnet.
Die besten Services der Hersteller nützen allerdings nichts, wenn sie von den Anwendern nicht wahrgenommen werden. Das spielt nicht nur im Privatbereich eine Rolle. Eine gewisse Trägheit bei der Implementierung von Patches ist auch in der Industrie zu beobachten, was kein Zufall ist. Dort bedeutet jede Softwareaktualisierung eine Verringerung der Produktivzeit und die Gefahr, dass im Anschluss irgendetwas nicht mehr funktioniert. Nicht wenige Industrierechner arbeiten deswegen noch heute mit Windows XP, und diese Mentalität betrifft auch den Umgang mit allen anderen Geräten.
Maßnahmen:
Alles möglichst aktuell zu halten ist eine grundlegende und notwendige Bedingung für ein Mindestmaß an Sicherheit. Wer die Möglichkeit hat und bereit ist, auf Fernabfragen der Überwachungsvideos zu verzichten, kann außerdem ein lokales Netzwerk für Kameras und Aufzeichnungsgeräte einrichten, das nicht mit dem Internet verbunden ist. Dabei gehen aber auch die erweiterten Funktionen wie eine Benachrichtigung der Nutzer mittels E-Mail verloren. Wo kein Internetzugang ist, ist weder gute noch schadhafte Datenübertragung möglich. Das Kappen der Internetverbindung wird in den meisten Szenarien daher kein gangbarer Weg sein. Somit sind besonders die Hersteller in der Pflicht, ihre Produkte noch sicherer zu machen. Auch dazu ist ein Blick in die Vergangenheit aufschlussreich.
Der oben erwähnte Angriff auf Router nutzte eine Schwachstelle in einem Kommunikationsprotokoll für die Fernwartung. Betroffen waren nur solche Geräte, in denen ein ganz spezieller Chip eines einzelnen Drittherstellers verbaut war. Beide Punkte veranschaulichen entscheidende Aspekte. Die Qualität hinzugekaufter Chips muss immer wieder in standardisierten Verfahren getestet werden, die diversen Protokolle für die Datenübertragung müssen fortwährend hinsichtlich ihrer Angemessenheit und Sinnhaftigkeit geprüft werden. Gänzlich abgeschottete System sind nicht gewünscht.
Industriestandards wie ONVIF sollen im Gegenteil erreichen, dass auch Geräte unterschiedlicher Hersteller miteinander harmonieren, das gesamte TCP/IP-Protokoll ist die Grundvoraussetzung der Vernetzung, und ohne Streaming-Protokolle funktioniert keine Live-Überwachung. Einige Hersteller sind aber schon dazu übergegangen, nicht benötigte Komponenten der Protokolle und der Firmware zu deaktivieren. Je weniger komplex eine Software ist, d. h. je weniger Zeilen der Code umfasst, desto weniger Angriffsmöglichkeiten bietet sie.
Ein weiterer Weg, den bereits einige Hersteller wählen, ist die Verwendung von Software, deren Quellcode nicht offen ist. Ob in einer Geheimhaltung der Quellcodes tatsächlich ein höherer Sicherheitsgrad erreicht wird, ist allerdings umstritten. Davon unberührt hat sich in der Sicherheitsindustrie aber schon die Erkenntnis durchgesetzt, dass Überwachungskameras nicht mehr ohne Passwortabfrage den Zugriff auf das Konfigurationsmenü zulassen sollen und nicht mehr mit ein und demselben Masterpasswort zurückgesetzt werden können. Bei der ersten Inbetriebnahme ist ein individuelles und sicheres Passwort zu setzen, zwischen Kamera und Browser findet die Kommunikation mittels https statt.
Ausblick
Sämtliche Bemühungen können keine 100%ige Sicherheit garantieren. Wer sie dennoch verspricht, ist schlich unseriös. Das Rennen zwischen Kriminellen und Herstellern wird auf lange Zeit weitergehen. Für Anwender ist vor allem wichtig, dass jeder Client im Netzwerk auf einem aktuellen und hohen Niveau gegen Angriffe gesichert ist. Wer auf die großen Hersteller setzt, kann sich auf die bestmögliche Leistung und Langzeitsupport verlassen – damit sind die Aussichten auf Datenverlust oder -missbrauch auf ein Mindestmaß reduziert. Vertiefte Informationen zu den Sicherheitsstrategien der führenden Hersteller stellen diese auf ihren Homepages bereit.