CYBER SECURITY
DIVIS setzt Priorität auf Sicherheit bei Videosystemen zur Sendungsverfolgung in der Logistik und eingebetteten Systemen
Bordesholm, 30. August 2018
Schutzmaßnahmen, beispielsweise in Form von Firewalls, vor externen Hackerangriffen auf die IT-Systeme in Betrieben sind kein neues Thema. Die Notwendigkeit der Sicherheit von internen Verbindungen nach außen wird hingegen oft unterschätzt. Wir möchten Sie heute darüber informieren, was DIVIS für die “innere Sicherheit” Ihrer Systeme tut.
Die Problematik
Die technische Evolution eröffnet mit Digitalisierung und Vernetzung immer umfassendere Möglichkeiten und löst in vielen Bereichen Grenzen auf, auch bei der Videosicherheitstechnik.
Anwender profitieren davon unter anderem in Form umfangreicher Features in unserer Videorecherchesoftware CargoVIS und ParcelVIS.
Die Entwicklung neuer Technologien hat dazu geführt, dass analoge Lösungen (ehemals "CCTV-Anlagen") weitgehend durch IP-basierte Videokameras zur Überwachung abgelöst wurden. Bei den neuen Anlagen ist grundsätzlich ein weltweiter Zugriff auf diese Systeme und ihre Daten möglich. Im Bereich der Videoüberwachung ist das eine Schwachstelle, die ein solches System von außen angreifbar macht. Um einen sicheren Betrieb zu gewährleisten, müssen die vernetzen IP-Kameras deshalb gegen Zugriff von außen abgesichert werden (= geschlossenes Videosystem).
Aber auch innerhalb eines geschlossenen Systems gibt es Anlass zur Vorsicht. Sogenannte Embedded Systems*, integriert und notwendig zum Betrieb der verwendeten Hardware der Anlagen, bieten Schnittstellen zu anderen Systemen innerhalb des Betriebes.
Zugriffe werden hier oftmals wenig bis gar nicht reglementiert, was bedeutet, es besteht praktisch keinerlei interner Schutz vor Manipulation oder Missbrauch.
Gerade im sensiblen Bereich der Videoüberwachung ist dieser aber äußerst wichtig, nicht zuletzt auch weil die Überwachung gesetzlichen Vorgaben genügen muss.
Aus Kostengründen ist die Datensicherheit bei der Auswahl von Embedded Systems meist ein zweitrangiges Kriterium hinter Preis und Funktionalität. Potenzielle zukünftige Angriffe und damit Schwachstellen sind teilweise zum Zeitpunkt der Anlagenplanung noch nicht überschaubar. Die Tatsache, dass praktisch jedes interne System mit externen Verbindungen Sicherheitsrisiken unterworfen ist, spielt oft erst eine Rolle, wenn Probleme auftreten.
*Ein Embedded System (= eingebettetes System) übernimmt komplexe Steuerungs- und Datenverarbeitungsaufgaben in einem Hardwaregerät. Die eingebettete Software ist unter anderem zuständig für sensible Aufgaben, wie die Datenverarbeitung in den Geräten, Steuerung, Überwachung, Durchführung von Updates und Fernwartungsmöglichkeit.
Lösungen von DIVIS
DIVIS legt großen Wert auf Videosicherheit, um den sicheren Betrieb Ihrer Kameras im Unternehmensumfeld zu ermöglichen.
Wir bieten verschiedene Sicherheitslösungen an, aus denen bereits während der Planung einer Videoanlage ein für Sie passendes Sicherheitskonzept aufgestellt wird.
Sicherheitslösung 1
Physikalisch getrennte Videonetze
Für unsere Videosystemlösungen errichten die DIVIS-Techniker neben dem operativen Netzwerk des Kunden ein separates Kameranetzwerk.
Jeder der von uns eingesetzten Rekorder verfügt dazu über mindestens zwei Netzwerkkarten, jeweils zuständig für unterschiedliche Netze (eine davon befindet sich physikalisch im Kundennetz). Obwohl die Netzwerkkarten im selben Rekorder verbaut sind, sind die Netze also physikalisch getrennt.
Auf den ersten Blick erscheint diese Trennung möglicherweise überflüssig. Aus technischer Sicht ist sie jedoch sehr bedeutsam für die Sicherheit Ihres eigenen Kundennetzwerkes.
Die Vorteile getrennter Netzwerke
- Die Netzwerklast des Videoüberwachungssystems für die Logistik hat keinen Einfluss auf Ihr Kundennetzwerk
- Die Datenübertragung kann im Videonetzwerk optimal gesteuert werden
- Eine schnelle Fehleranalyse durch DIVIS im Störungsfall kann sichergestellt werden
- Unbefugter Zugriff auf die Kameras ist nicht möglich
Sicherheitslösung 2
Fernzugriff per VPN - sichere Datenübertragung durch das Internet
Der Zugriff über ein VPN (= virtuelles privates Netzwerk) ist ein sicherer Weg, um sensible Daten über das Internet zu übertragen. Deshalb erfolgt die Remote-Einwahl von DIVIS-Technikern immer per VPN-Verbindung.
Mit weiteren Maßnahmen bei der Auswahl unserer Komponenten wird die Lauf- und Zugriffssicherheit Ihres Videosystems zur Sendungsverfolgung in der Logistikhalle weiter erhöht. So werden generell in DIVIS-Rekordern nur geprüfte Qualitätskomponenten verbaut, die einen reibungslosen 24/7 Betrieb gewährleisten. Das angepasste Linux-Betriebssystem ist auf einem Industrie-Flash-Laufwerk gespeichert und vor Fremdzugriff geschützt.
Prinzipiell kann unsere Software auf jedem Kunden-PC installiert werden. Die Auswertung erfolgt dann über das Kundennetz. Um die Auswertung unabhängig im Kameranetzwerk durchführen zu können, muss die Auswerte-Software auf einem separaten PC installiert werden.
Als künftiger Betreiber der Videoanlage haben Sie selbst weitere Möglichkeiten in der Hand, um Ihr System zu sichern.
Unsere Empfehlungen
1. Firewall-Einstellungen vornehmen
Mittels Firewall sollten ausschließlich benötigte Verbindungen freigegeben und alle sonstigen ein- und ausgehenden Verbindungen gesperrt werden. Besonders wichtig für einen reibungslosen Ablauf ist die Pflege der Whitelist (= gewünschte Verbindungen). Diese sollte regelmäßig geprüft und aktualisiert werden.
2. Verwendung fester IP-Adressen
DIVIS verwendet ausschließlich feste IP-Adressen bei allen Kameras und Rekordern. Dynamische bzw. variable (= wechselnde) IP-Adressen sind für sicherheitsrelevante Anwendungen ungeeignet.
3. Starke Passwörter verwenden
Herstellerseitig vorkonfigurierte Benutzerkonten sollten bei der Inbetriebnahme gelöscht werden. Verwendete Passwörter sollten aus komplexeren Kombinationen bestehen und möglichst keine persönliche Verbindung zum Unternehmen oder zu einzelnen Mitarbeitern haben.
DIVIS Software verfügt über eigene Sicherheitsmechanismen.
Unsere Software bietet verschiedene Optionen zur Konfiguration von Benutzerzugriffen. So kann beispielsweise die Auswertung von Bildern auf ausgewählte Personen beschränkt werden.
Für einzelne Funktionen, wie z. B. Livebild, Auslagerung, Außenbereichszugriff usw. können individuelle Nutzerrechte vergeben werden. Damit ist ein Missbrauch der Videoanlage ausgeschlossen.
Ein weiterer Sicherheitsmechanismus ist der Ablauf der Sitzungen bei Inaktivität. Erfolgt über ein gewisses Zeitfenster hinweg keine Bedienung am jeweiligen Monitoring-Platz, dann muss die Passworteingabe wiederholt werden.
4. Mit Updates am Ball bleiben
Updates schließen unter anderem aufgetretene oder entdeckte Sicherheitslücken. Deshalb ist es wichtig, sie nach dem Release so schnell wie möglich auszuführen.
Ein Videoüberwachungssystem für die Logistik, das stets auf dem neuesten Stand gehalten wird, ist weniger anfällig dafür, Opfer missbräuchlicher Zugriffe über Sicherheitslücken zu werden.
Bei DIVIS wird die Software regelmäßig aktualisiert und auf den aktuellen Stand gebracht.
Sollten Sicherheitslücken neu erkannt werden, so werden diese durch die Softwarepflege umgehend geschlossen.
Fazit
Die Sicherheit von innen nach außen ist ein wesentlicher Aspekt eines modernen Videosystems zur Sendungsverfolgung in der Logistik. Durch Eigeninitiative können Sie selbst viel zur IT-Sicherheit Ihres Unternehmens beitragen.
Mit DIVIS haben Sie zudem in diesen Fragen einen kompetenten Partner an Ihrer Seite, der Sie durch Technologie und Service dabei unterstützt, die größtmögliche Videosicherheit zu erreichen.
