Sicherheit von IP-basierter Videoüberwachung

Fachartikel aus PROTECTOR Special Videoüberwachung 2010, S. 52 bis 54

Rififi mit dem Netzwerkauge

IP-Kameras liegen voll im Trend, Anwender sollten jedoch mögliche Sicherheitsrisiken kennen. Der Beitrag geht auf wichtige Bedrohungen ein und zeigt, worauf Errichter und Anwender bei der Installation einer netzwerkbasierten Videoüberwachung besonders achten müssen.

Bild: Fotolia/Goss Vitalij; Flo
(Bild: Fotolia/Goss Vitalij; Flo)

Moderne Netzwerkkameras liegen voll im Trend. Sie fügen sich problemlos in das in jedem modernen Unternehmen sowieso schon vorhandene TCP/IP-Netzwerk ein, die entsprechenden Anlagen sind ohne großen Aufwand erweiterbar und erfordern keine gesonderte Verkabelung, da die Kameras aufgrund der geringen Leistungsaufnahme über das LAN mit Spannung versorgt werden können. Banken, Botschaften, Flughäfen, Bahnhöfe, Häfen, Tankstellen, Hotels und Tiefgaragen sind nur einige der Anwendungsgebiete. Doch Experten weisen auf die möglichen Risiken hin. Schließlich stellt jede Kamera einen interaktiven Knoten in einem Netzwerk dar. Von ihrem Anschluss können nicht nur Bilder gesendet werden, sondern alle Arten von Daten in beide Richtungen fließen. In diesem Punkt unterscheidet sich eine TCP/IP-Kamera grundlegend von der klassischen BNC-Technologie.

Elektronischer Zugang

Ausgehend von der individuellen Bedrohungslage sollten die Anwender auf die Risiken der neuen Technik achten. Ohne Vorsichtsmaßnahmen kann eine Netzwerkkamera mehr schaden als nutzen, vor allem, wenn sie im Außenbereich angebracht wird. Die Netzwerkverbindung ist ein elektronischer Zugang in den sensiblen Innenbereich des Unternehmens. Auch wenn IP-Kameras meist an einem separaten Netzwerkstrang betrieben werden, ist ein Eindringversuch denkbar. Schließlich sind für TCP/IP-Netzwerke Dutzende von Manipulations- und Angriffswerkzeugen im Internet frei verfügbar. Ein relativ großer Personenkreis verfügt zudem aufgrund beruflicher Tätigkeiten im Netzwerkumfeld über profundes Wissen, diese zielgerichtet anzuwenden.

Größere Schadensfälle mit drahtgebundenen Netzwerkkameras sind bislang nicht publiziert worden. Das heißt natürlich nicht, das es sie nicht gegeben hat. Ganz anders verhält es sich mit WLAN-Kameras. Immer wieder haben Hacker auf das kinderleichte Abschöpfen von WLAN-Kameras hingewiesen und dies sogar in Fernsehbeiträgen dokumentiert, was einen nicht geringen Nachahmungseffekt auslösen dürfte. Ohne aktivierte Verschlüsselung sind solche Kameras durch handelsübliche WLAN-Router problemlos angreifbar, das nötige Wissen ist aufgrund der zahllosen WLANs in Privathaushalten weit verbreitet. Sie sollten daher keinesfalls ohne Schutzmechanismen, wie starke Verschlüsselung über WPA2 betrieben werden und haben im kommerziellen Umfeld nach Meinung von Experten nur in Ausnahmefällen etwas zu suchen.

Google Hacking

Suchbegriffe wie „google hacking kamera“ führen zudem schnell auf Listen mit im Internet einsehbaren, drahtgebundenen IP-Kameras. Ob die Betreiber dieser Kameras wirklich wollen, dass quasi jedermann zuschauen darf, was sich im eigenen Firmengelände oder dem Flur aktuell abspielt, darf zumindest für einen Teil der Fälle bezweifelt werden. Auch hier haben die Anwender meist schlicht beim Aufbau der Anlage vergessen, die Schutzmechanismen zu aktivieren. Anders als eine analoge Kamera besteht eine IP-Kamera nicht nur aus Objektiv und Video-Elektronik. In ihr ist ein kompletter Webserver eingebaut, der die Videobilder auf Anforderung durch die Steuersoftware in Form von IP-Paketen verschickt.

Wie bei jedem Webserver kann jeder Netzteilnehmer, der die IP-Adresse der Kamera kennt, diese zum Senden von Informationen auffordern. Umgekehrt kann ein anderer Server die Rolle der Kamera übernehmen, und mit ihrer IP- und MAC-Adresse im Netzwerk auftreten. Bei einem solchen Angriff würde einfach die Kamera vom Netzwerk getrennt und durch einen Laptop ersetzt, der die zuvor aus dem Netzwerkverkehr kopierten IP-Pakete mit unverdächtigen Videobildern erneut senden würde.

Netzwerksicherheit und IP-Kameras

IP-Netzwerke haben die Aufgabe, alle Teilnehmer in einen bidirektionalen Datenstrom einzubinden. Das unterscheidet sie fundamental von analogen CCTV-Systemen. Auch diese können selbstverständlich manipuliert und „angezapft“ werden. Dies geht aber nur durch auffällige mechanische Maßnahmen und erfordert immer Spezialkenntnisse, was den Kreis der Täter stark einschränkt. Durch die weite Verbreitung von Heimnetzen ist der Gebrauch von Analyse-Tools zum Aufspüren von Netzwerkknoten und Werkzeuge zum Mitschneiden von IP-Paketen einem breiten Kreis bekannt.

Experten warnen immer wieder, dass Überwachungskameras auf diese Weise auch zu einem Sicherheitsrisiko werden können, da man sensible Informationen quasi unkontrolliert jedem zur Verfügung stellt. Daher sollten alle berechtigten Teilnehmer eine PKI (Public-Key-Infrastruktur) bilden. Zusätzlich ist eine Firewall und/oder ein Watchdog Programm sinnvoll, das jeden nicht erwünschten Datenverkehr unterbindet und unzulässige Netzwerkteilnehmer sofort meldet. Bei sehr hohem Sicherheitsbedarf sind Speziallösungen geboten, die den Netzwerkverkehr von Außen nach Innen erlauben, die umgekehrte Richtung aber durch physikalische Effekte unterbinden. Die Konfiguration und die Pflege sowie Überwachung einer Firewall erfordert ein nicht geringes Maß an Kenntnissen.

Generell sollte für die IP-Kameras ein eigenes LAN aufgebaut werden. Wo man diesen Weg nicht gehen kann oder will, kommt der Firewall natürlich eine besondere Bedeutung zu. Ein weiteres Risikopotential liegt im ungeschützten Netzwerkanschluss selbst begründet. Steckverbindungen sollten gegebenenfalls mechanisch gegen Herausziehen und Austausch gesichert werden.

Auch bei der Anlage von Benutzerkonten können dem Verantwortlichen fatale Fehler unterlaufen. Längst nicht alle Personen, die Videobilder einsehen sollen, dürfen Einfluss auf die Konfiguration der Anlage bekommen. Sonst könnten sie die Verschlüsselung ausschalten, Aufzeichnungen löschen oder kopieren. Es ist daher genau zu regeln, wer welche Rechte besitzt, und wer das Passwort des Administrators erhält.


Um solche Angriffe zumindest zu erschweren, muss die Netzwerk-Kommunikation mit den Methoden geschützt werden, die aus dem Bereich des Onlinebankings bekannt sind. Dazu zählt eine gesicherte Authentifizierung der Netzwerkteilnehmer sowie eine verschlüsselte Kommunikation. Zeitstempel sollten zudem sicherstellen, dass es sich um aktuelle Kamerabilder handelt.

SSL-Protokoll

Wichtigster Bestandteil einer sicheren Infrastruktur ist das SSL-Protokoll. Es dient zur Verschlüsselung und zur Authentifizierung der Kommunikation zwischen Webservern und dem Browser.

Bild: Fotolia/Pawel Nawrot
(Bild: Fotolia/Pawel Nawrot)

Wie bei allen Verschlüsselungs-Systemen bietet auch https keine hundertprozentige Sicherheit, vor allem nicht gegen gut ausgerüstete Privatdetektive oder staatliche Dienste, die über entsprechende Spezialgeräte verfügen. Die Hürden sind nach Ansicht von Experten für viele Anwendungsfälle ausreichend hoch, wenn ein Chiffrierverfahren mit ausreichender Schlüssellänge verwendet wird. Wichtigste Voraussetzung ist natürlich, dass https auch vorhanden und verwendet wird.

Bei der Installation von IP-Kameras spielen die netzwerktechnischen Fertigkeiten sowie die Kompetenz in Sachen IT-Sicherheit eine immer wichtigere Rolle. Anwender wie auch Errichter müssen die Fallstricke der Konfiguration problemlos umschiffen können.

Hersteller zuweilen nachlässig

Die Hersteller bieten nicht immer Hilfe. Der Gelsenkirchener Sicherheitsexperte Prof. Norbert Pohlmann und sein Mitarbeiter Marco Smiatek machten im Jahr 2008 eine erschreckende Entdeckung. In den Handbüchern der IP-Kameras waren nicht einmal die vorhandenen Sicherheitsfeatures ausführlich erklärt, einige Hersteller hatten auf https gleich ganz verzichtet. Die Systeme wurden zudem in der Regel mit abgeschalteter Verschlüsselung ausgeliefert und der Nutzer im Handbuch nur unzureichend über die Risiken informiert.

Ein Angreifer kann mit einfachen Hilfsmitteln die unverschlüsselte Kommunikation zwischen Kamera und Benutzer mitlesen, und so Passwörter und den Nutzernamen in Erfahrung bringen. Der Ratschlag der Experten: Im Konfigurationsmenü zunächst https aktivieren, und erst dann die – oft im Handbuch abgedruckten und damit allgemein bekannten – Standard-Passwörter gegen eigene austauschen, wobei auch hier auf eine ausreichende Länge zu achten ist.

Auf die Kritik aus Beraterkreisen haben einige Hersteller inzwischen reagiert. So erleichtert beispielsweise die für Mitte 2010 erwartete neue Bedienoberfläche von Mobotix die Errichtung eines sicheren Netzwerkes. Ein kryptographischer Check löst bei manipulierten Bildern Alarm aus.

Einer der Gründe, warum nicht alle Hersteller https als Protokoll anbieten, dürfte die nicht geringe Rechenleistung sein, welche die Verschlüsselungs-Algorithmen benötigen. Netzwerkkameras verfügen in der Regel nur über einen Chip für Videokompression und Webserver, der aus Kostengründen kaum Reserven für zusätzliche Dienste bietet. Die von manchen Sicherheitsexperten geforderte starke Bild-für-Bild-Verschlüsselung würde einen zusätzlichen, leistungsstarken Mikroprozessor erfordern.

Kritische Außenkameras

Angreifer könnten aber nicht nur gefälschte, alte Videobilder einspeisen, während sich nach Rififi-Manier längst Personen an Fassaden und Fenstern zu schaffen machen. Der bidirektionale Charakter der Datenleitung ermöglicht Angriffe auf die IT-Infrastruktur an sich. Schon bei normalen Sicherheitsanforderungen ist der ungeschützte Betrieb von IP-Außenkameras über das vorhandene interne Datennetz grob fahrlässig, erläutert Stefan Strobel, Eigentümer der Sicherheitsberatungsfirma Cirosec GmbH. Zwar wird für Überwachungskameras meist eine separate Netzwerkverkabelung installiert, dies ist aber längst nicht überall der Fall.

Auf jeden Fall sollten die elementaren Sicherheitsanforderungen innerhalb eines jeden Firmennetzwerkes eingehalten werden. Nicht benötigte Kommunikationsports sollte der Anwender daher auf jeden Fall schließen. „In besonders schwierigen Situationen, beispielsweise bei der Videoüberwachung von internen Hochsicherheitsbereichen empfehlen wir unseren Kunden Produkte, die einen Zugriff garantiert nur in eine Richtung ermöglichen“, so Stefan Strobel, „da sie physikalische Effekte ausnutzen, die man nicht durch Software manipulieren kann.“ Solche Geräte schotten zwei Netzwerkstränge total voneinander ab, sie stellen somit quasi eine „Informationsdiode“ dar. Alle Signale die aus einem potentiell unsicheren Außenbereich nach innen übermittelt werden, fließen über eine Laser-Leuchtdiode auf eine Photodiode. Ein proprietäres Netzwerkprotokoll dient zur Anbindung an die normale IP-Infrastruktur. Somit gibt es keine Möglichkeit, im Außenbereich Informationen anzufordern und dort einzusehen.

Konfiguration und Betrieb von IP-Kameras

Netzwerkkameras sind quasi abgespeckte PCs mit Objektiv – und damit den Risiken der PC-Welt ausgesetzt. Außerdem sind sie ein Teil von TCP/IP-Netzwerken und damit jenen Gefahren ausgesetzt, die aus den Schwachstellen dieses Protokolls erwachsen.

IP-Kameras senden ihre Bilder normalerweise im so genannten Real Time Streaming Protokoll (RTSP). Die so gesendeten Aufnahmen sind von jedermann, der Zugriff auf einen Knoten des Netzwerkes hat, einsehbar. Dies kann bei Kameras in sensiblen Bereichen zu erheblichen Sicherheitsproblemen führen. Noch weit unangenehmer wird es, wenn die Kamera vom Netz entfernt wird und gefälschte Bilder eingespielt werden. Unter Umständen muss sich der Angreifer dazu gar nicht an der eigentlichen Kamera zu schaffen machen, sondern den eingebauten Webserver durch ein Übermaß an Anfragen so in die Knie zwingen, dass nur seine – manipulierten – Datenpakete in der Zentrale ankommen. Ein Innentäter kann diesen Angriff vom Schreibtisch aus führen. Da sich bislang kein verschlüsseltes Streaming-Protokoll etablieren konnte, bleibt SSL der einfachste Weg, sich gegen diese Bedrohung zu schützen.

Da die Kameras in der Regel mit den niedrigsten Sicherheitseinstellungen ausgeliefert werden, ist es Sache des mit der Installation beauftragten Mitarbeiters oder des beauftragten Dienstleisters, diese zu aktivieren.

„Entscheidend ist die Videoprojektierung“, erläutert Peter Loibl, Geschäftsführer der Von zur Mühlenschen Unternehmensberatung, „sie schreibt vor, was der Auftraggeber sehen muss und was nicht. Anhand dieser Planung werden die Standorte festgelegt sowie Kameras und Objektive ausgewählt.“

Entsprechende Entscheidungen sollte der Auftraggeber nach Beratung selber treffen und nicht den ausführenden Firmen überlassen, die eventuell nach sachfremden Kriterien entscheiden und die Montage Fachfremden überlassen, die mit der sicheren Konfiguration überfordert sind.

Innerhalb des Netzwerkes sollten Firewalls und/oder ein Watchdog dafür sorgen, dass aufgezeichnetes Videomaterial nicht per Netzwerkbefehl gelöscht oder manipuliert werden kann. Dazu muss der Auftraggeber natürlich zunächst festlegen, welche Räumlichkeiten und welchen Nutzerkreis er als „sicher“ einstuft.

Bernd Schöne, freier Autor in München