Swipe to the right

Axis: Physische Sicherheit und Cybersecurity

Axis: Physische Sicherheit und Cybersecurity

Sind physische Sicherheit und Cybersecurity tatsächlich zwei verschiedene Bereiche? Wer wacht eigentlich über die Wächter? Und wer sichert Sicherheitssysteme? Nach außen hin wirkt die Idee zwar widersinnig, tatsächlich ist es jedoch sehr sinnvoll, das eigene Sicherheitssystem abzusichern.


Was ist wichtiger bei IP Sicherheits-Kameras – die physische Sicherheit oder Cyber-Schwachstellen? Und gibt es im 21. Jahrhundert, in dem die Bedeutungdes Internet of Things zunehmend größer wird, überhaupt noch einen Unterschied? Aus Sicht der Axis Cybersecurity-Analysten, eines Unternehmens, das hauptsächlich IP-basierte Sicherheitsprodukte entwickelt, ist der grundsätzliche Ansatz weitgehend der selbe. Egal, ob Sicherheitsverantwortliche nun für die physische Sicherheit oder für die Cybersecurity des Unternehmens verantwortlich sind – sie müssen dieselben vier Grundsätze anwenden, auf die im Folgenden eingegangen wird.


Definition von Vermögenswerten und Ressourcen


Sind bei einem Angriff Kameras betroffen, sind die gefährdeten Hauptvermögenswerte, neben der Kamera selbst, die Videoinhalte der Kamera oder Videos, die lokal oder auf dem Server gespeichert sind. In den meisten Fällen sind die Videoinhalte zwar für das Unternehmen selbst sehr wertvoll, für jeden anderen jedoch nicht. Daher sollten Sicherheitsverantwortliche sich genau überlegen, warum ein Einbrecher an diesen Werten Interesse haben könnte. Zusätzlich zu den Videoinhalten können Nutzerinformationen, Informationen zu der Netzwerk-Konfiguration und mögliche Serviceschnittstellen für weitere Angriffe nützlich sein.


Identifizierung wahrscheinlicher Gefahren


Es gibt wenige echte Gefahren für ein IP-Kamera-System: physische Sabotage (der Kameras selbst oder von dem durch die Kameras überwachten Ort), das Veröffentlichen von Videoinhalten oder die Nutzung des Geräts als Eingangspunkt zum größeren Netzwerk. Außerdem sollten Sicherheitsverantwortliche überlegen, wer ein möglicher Angreifer sein könnte und welche Motivation zugrunde liegen könnte, welche Schwachstellen Angreifer sich zunutze machen würden und mit welchen Sicherheitskontrollen sie gezielt adressiert werden können.


Identifizierung möglicher Schwachstellen, die ausgenutzt werden könnten


Natürlich ist kein System unverwundbar – für eine effektive Verwendung muss jedes Netzwerk oder Gerät auf die eine oder andere Art mit der Außenwelt verbunden werden. Es ist ebenso klar, dass einige Schwachstellen nicht existieren müssten. In der ersten Kategorie macht das physische Gefahrenpotenzial einer Kamera sie anfällig für Sabotage – aus diesem Grund tut Axis alles, damit die Kameras auch extreme physische Bedingungen aushalten können. In der letzten Kategorie sind die Schwachstellen beispielsweise ungeschützte Passwörter/ Anmeldeinformationen im Video-Management-System oder ein nicht ordnungsgemäß gesichertes undverwaltetes Netzwerk.


Berechnung der voraussichtlichen Kosten eines erfolgreichen Angriffs


Diese Phase ist sehr wichtig, denn wenn Unternehmen die Kosteneines erfolgreichen Angriffs nicht bekannt sind, wissen sie nicht, wie viel sie investieren müssen, um das System überhaupt erst abzusichern. Wenn die Kameras in einer alltäglichen Umgebung eingesetzt werden und die Möglichkeit, dass sie als Angriffspunkt in das restliche Unternehmensnetzwerk genutzt werden können, gering ist, ist auch der finanzielle Schaden wahrscheinlich sehr niedrig. Wenn die Lage jedoch heikler ist oder ein Angriff auf das Netzwerk für das Unternehmen finanzielle oder rufschädigende Auswirkungen zur Folge hat, sind die Kosten viel höher. Dann sollte mehr Zeit und Energie für den Schutz des Sicherheitssystems aufgewendet werden.


Effektive Cybersicherheit


Effektive Cybersicherheit erfordert Maßnahmen auf Grundlage einer Einschätzung von Risiken und Konsequenzen. Es dreht sich alles um Produkte, Menschen, Technologie und Prozesse. Und darum, mit einem Anbieter zusammenzuarbeiten, der volle Unterstützung auf allen Ebenen bietet. Und da kommt Axis ins Spiel.


Cybersicherheit ist eines der Hauptanliegen von Axis wo man mit voller Konzentration daran arbeitet, die Risiken in diesem Bereich zu verringern. In enger Zusammenarbeit mit seinen Kunden und Partnern bekämpft Axis diese Bedrohung. Axis Produkte entsprechen höchsten Anforderungen.


Schutz auf drei Ebenen


Wie bei anderen Sicherheitsbereichen ist auch bei Cybersicherheit die Effektivität der Schutzmaßnahmen entscheidend. Das IP-Kameranetzwerk muss auf allen Ebenen geschützt werden, von den ausgewählten Produkten bis hin zu den Sicherheitsanforderungen, die für Unternehmen und Partner gelten. Axis bietet Unternehmen auf drei Ebenen Schutz vor Cyberattacken.


Sicherheitsmanagement


Mit Sicherheitsmanagment (1. Ebene) sind Sicherheitsmaßnahmen gemeint, die den Kundenanforderungen entsprechen. Der Kunde wählt Netzwerkprodukte mit eingebautem Schutz. Axis stellt sicher, dass der Kunde die jeweiligen Sicherheitsfunktionen zum Verringern seines Bedrohungspotenzials angemessen anwenden kann. Mit dem Tool AXIS Device Manager lassen sich Sicherheitskonfigurationen, Kennworte und Aktualisierungen einfacher und kostengünstiger verwalten.


Umgang mit Sicherheitslücken


Axis wendet beim Konzipieren, Entwickeln und Testen seiner Produkte die besten Verfahren der Cybersicherheit an. Damit minimiert der Hersteller das Risiko, dass eine Lücke durch einen Angriff ausgenutzt werden kann. Entdeckte kritische Schwachstellen werden sofort behoben und in Form von Sicherheitshinweisen veröffentlicht. Dies ist die zweite Verteidigungsebene.


Axis vergleicht seine Prozesse mit denen anderer Softwareentwickler und verwendet dazu Building Security In Maturity Model (BSIMM), ein Tool, mit dem Prozesse, Aktivitäten, Rollen und Verantwortlichkeiten verglichen werden können. Dazu zählen Design- und Architekturprüfungen, Codeprüfungen und Tests auf bekannte Sicherheitslücken.


Gelegentlich werden kritische Schwachstellen entdeckt. In solchen Fällen garantiert Axis zügige Reaktion und Transparenz sowie kostenlose Aktualisierungen und Patches. Belegt und erläutert werden diese Services in der Axis Vulnerability Policy und der Responsive Support Policy. Die sogenannten Security Advisories verringern das durch bekannte Sicherheits-schwachstellen verursachte Risiko und beziehen sich dabei auch auf offizielle Berichte wie CVE (Common Vulnerability and Exposure). Die Security Advisories beinhalten
Beschreibungen der Sicherheitsschwachstellen, Risikobewertungen sowie ob und wann Aktualisierungen zur Verfügung stehen.


Lernen und Zusammenarbeit



Gegen Cyberkriminalität gibt es kein Allheilmittel. Die dritte Ebene der Verteidigung ist daher gekennzeichnet durch ein umfassendes Verständnis der die Kunden potenziell bedrohenden Gefahren, ihrer möglichen Folgekosten sowie der Gegenmaßnahmen zu ihrem Schutz. Axis teilt sein Wissen über Cyberrisiken und wie man sie mindern kann. Dazu entwickelt der schwedische Hersteller Tools und veröff entlicht Dokumentationen, die helfen, effektive Schutzmaßnahmen umzusetzen.



Das Selbstbewertungstool zur Cybersicherheit ermöglicht Unternehmen einen ersten Überblick über den Sicherheitsbedarf und die Möglichkeiten der Risikominderung (siehe Piktogramme links, mehr unter: www.axis.com/de-de/about-axis/cybersecurity).


Der Axis Hardening Guide für Integratoren und IT-Abteilungen gibt detaillierte und konkrete Empfehlungen zur Absicherung von Systemen. Auf der Axis-Website zur Produktsicherheit finden Sie aktuelle Informationen und Ratschläge sowie praxisbezogenes Dokumentationsmaterial.



Weiterführende Informationen

14. Juni 2018 | Kategorien: SecurityAxis