Suchen

Expertenbeitrag

Timo Sachse

Timo Sachse

Product Analyst EMEA, Axis Communications

Cybersicherheit von Netzwerkgeräten

Auf die Zusammenarbeit kommt es an!

| Autor/ Redakteur: Timo Sachse /

Von Menschen geschaffene IT-Infrastrukturen können niemals vollkommen sicher sein. Daher ist Cybersecurity besonders wichtig, in der IoT-Welt ist sie gar unerlässlich. Die Sicherung von Netzwerkgeräten stellt dabei einen fortlaufenden Prozess dar. Dies trifft auch auf IP-basierte Sicherheitssysteme zu.

Firmen zum Thema

Cybersecurity ist ein wichtiges Thema – selbstredend auch im IoT.
Cybersecurity ist ein wichtiges Thema – selbstredend auch im IoT.
( Quelle: www.pexels.com )

Netzwerklösungen im Sicherheitssystembereich sollen in erster Linie Personen, Gebäude und Güter vor Übergriffen, ungewollten Eindringlingen, Vandalismus oder Diebstahl schützen. Doch dabei sollte eines nicht vergessen werden: Auch das Sicherheitssystem selbst muss gegen Cyberkriminalität gesichert werden. Mit der Aktualisierung von Netzwerk-Videosoftware und angeschlossener Hardware wird in der heutigen Zeit leider eher nachlässig umgegangen. Oftmals werden diese Systeme in der Regel nur dann aktualisiert, wenn weitere Geräte hinzugefügt oder zusätzliche Funktionen vom Benutzer angefordert werden.

Dieser leichtsinnige Umgang kann sich jedoch rächen: Ohne Wartung wird die Cybersicherheit mit der Zeit abnehmen. Die Wahrscheinlichkeit liegt bei fast 100 %, dass eine Schwachstelle im Systemkontext, also im Betriebssystem, der Software oder der Hardware gefunden wird. Auch wenn das Risiko gering erscheint, sollte jede bekannte Schwachstelle behoben werden und selbstverständlich regelmäßig Softwareaktualisierungen durchgeführt werden.

Wer ist verantwortlich?

Cybersicherheit ist ein Prozess, kein einmalig zu erreichender Ist-Zustand, der dann immerwährend gültig ist. Wichtig ist in diesem Zusammenhang, dass die Cybersicherheit eines Sicherheitssystems dabei einer gemeinsamen Verantwortung des Endnutzers sowie der Integratoren, Planer und Hersteller unterliegt. Um das Sicherheitssystem gegen virtuelle Angriffe zu schützen, müssen die Verantwortlichen der verschiedenen Bereiche und Gewerke zusammenarbeiten:

Der Nutzer / Verbraucher

Die Hauptverantwortung des Endanwenders liegt in erster Linie bei der Bereitschaft, für Cybersecurity zu bezahlen. Dies kann entweder auf eigene Faust erfolgen, das heißt beispielsweise die IT-Abteilung des Unternehmens wendet Fixes selbst an, oder man bezahlt einen Integrator/Installateur für die Wartung. Dabei muss beachtet werden, dass die Lebensdauer eines Sicherheitssystems, je nach Zustand, schnell 10-15 Jahre betragen kann. Die Wartung muss allerdings fortlaufend und als stetiger Prozess integriert werden.

Für ein ausgereiftes Bewusstsein im Bereich Cybersecurity spielt allerdings auch das Verhalten der Konsumenten eine zentrale Rolle: Wie oft wird das Passwort des Routers geändert? Wie komplex sind die eigenen Passwörter? Werden unterschiedliche Passwörter oder ein „Master"-Passwort für die meisten Anwendungen verwendet? Die Bequemlichkeit der Verbraucher ist immer noch einer der größten Vorteile für Hacker. Einfach zu erratende Passwörter und solche, die über alle Logins hinweg verwendet werden, setzen die Verbraucher dem Risiko eines Missbrauchs aus.

Der Integrator / Installateur

Der Systemintegrator spielt ebenfalls eine wesentliche Rolle im Bereich der Cybersicherheit. Er muss sicherstellen, dass alle seine eigenen Geräte, Laptops, mobilen Geräte und so weiter mit den neuesten Updates für das Betriebssystem gepatcht werden und einen anspruchsvollen Virenscan durchführen.

Die gewählten Passwörter sollten zumindest pro Kunde und Standort komplex genug und individuell sein. Die allgemeine Gewohnheit, ein Master-Passwort zu verwenden, um die Bedienung der Geräte zu erleichtern, muss unbedingt vermieden werden. Der Fernzugriff auf Installationen sollte nur begrenzt angewendet werden und alle Geräte, die mit dem System des Kunden verbunden sind, müssen äußerst sorgfältig auf Schadsoftware überprüft werden, um jegliche Art von Infektionen zu vermeiden.

Es liegt in der Verantwortung des Integrators, seine Kunden über die möglichen und nötigen Verfahren zu informieren.

Der Planer

Ein weiterer essentieller Bestandteil ist die Arbeit des Planers, der die Komponenten für die Sicherheitssysteme konfiguriert. Dieser muss nicht nur die richtigen Produktfunktionen und -merkmale festlegen, sondern auch die Wartung für die gesamte Lebensdauer des Systems so gut wie möglich definieren. Auf diese Weise kann der Planer deutlich machen, wie wichtig es ist, das System auf dem neuesten Stand zu halten und auch die möglichen Kosten dafür offenlegen.

Im Zusammenhang mit der Installation von so genannten OEM/ODM-Geräten (Geräte, die von einem Hersteller gekauft und unter einer anderen oder eigenen Marke veräußert werden) ist es jedoch sehr schwierig diesen Wartungsaspekt zu gewährleisten.

Der Distributor

Für einen einfachen Distributor ist das Thema Cybersicherheit grundsätzlich von geringer Bedeutung, weil er lediglich die Logistik der Ware übernimmt und mit dem Produkt selbst nicht in Berührung kommt. Allerdings müssen Distributoren einer Wertschöpfungskette die gleichen Aspekte berücksichtigen wie Integratoren oder Installateure.

Für Distributoren, die auch OEM/ODM-Geräte vertreiben, gelten andere Regeln. An erster Stelle steht dabei die Transparenz: Sie müssen ihre Kunden darüber in Kenntnis setzten, was genau sie für ein Produkt kaufen. Auch müssen sie, im Falle von Schwachstellen im System, Firmware-Upgrades des ursprünglichen Lieferanten zur Verfügung stellen. Viele Anwendungsbeispiele aus der Industrie zeigen jedoch, dass eine erkannte Schwachstelle in den Geräten der ursprünglichen Lieferanten in der Regel nicht in den Geräten ihrer vielen OEM-Partner behoben wird.

Der Hersteller

Die Verantwortungsbereiche der Hersteller sind unter anderem folgende:

Zum einen dürfen keine absichtlichen Details wie Backdoors oder hartcodierte Passwörter hinzugefügt werden. Die Bereitstellung der richtigen Tools, um das Cybermanagement für viele Geräte so einfach und kostengünstig wie möglich zu gestalten, muss außerdem gewährleistet sein. Zum anderen müssen Dritte über Risiken und ihre Vermeidung aufgeklärt werden, intern wie auch extern. Relevante Aspekte sollten in Hardening Guides oder anderen Dokumentationen beschrieben sein. Die Partner und Vertriebskanäle müssen zudem über Schwachstellen und mögliche Updates informiert werden. Transparenz ist oberstes Gebot.

Nur wenn alle Beteiligten gemeinsam an dem Thema Cybersecurity arbeiten, wird es gelingen, ein weitgehend sicheres System zu schaffen und auch aufrecht zu erhalten.
Die IT Branche hat im vergangenen Jahrzehnt viel dazu gelernt und sich mittlerweile sehr gut abgesichert. Dennoch schaffen es Hacker immer wieder, Schwachstellen zu finden und auszunutzen.
Die Sicherheitsbranche befindet sich vielerorts leider noch am Anfang der Lernkurve, Cybersecurity wird eher als Herstelleraufgabe verstanden, denn als gemeinsame Anstrengung. Es ist an der Zeit, dieses Verständnis grundlegend zu überdenken.

Über den Autor

Timo Sachse

Timo Sachse

Product Analyst EMEA, Axis Communications