Pressemitteilung von Stefan Rojacher

Wenn Überwachung selbst zum Sicherheitsrisiko wird

---

---

Im Rahmen einer Untersuchung von Videoüberwachungssystemen im öffentlichen Raum deckte Kaspersky Lab sicherheitstechnische Mängel auf. Demnach können zur öffentlichen Sicherheit und Strafverfolgung installierte Anlagen von Dritten manipuliert werden, sofern diese nicht korrekt konfiguriert wurden.

Seit Jahren werden neuralgische Punkte im öffentlichen Raum videoüberwacht, um Straftaten aufzuklären oder zu verhindern. Im Rahmen einer von Kaspersky Lab geleiteten Studie konnte der Sicherheitsexperte Vasilios Hioureas zusammen mit Thomas Kinsey von Exigent Systems Inc. allerdings nachweisen, dass diese Überwachungsanlagen selbst nicht immer sicher sind.

So waren in einer der untersuchten Städte die Überwachungskameras als sogenanntes "Mesh Network" (vermaschtes Netz) verbunden. Die Bilddatenströme werden dabei auf ihrem Weg zur Zentrale schrittweise zur jeweils nächstgelegensten Kamera weitergeleitet, ohne auf WLAN-Hotspots oder eine eigene Verkabelung zurückzugreifen. Potenzielle Angreifer können über nur ein Gerät auch auf die gesendeten Daten der anderen Videokameras zugreifen und diese manipulieren, wenn sie den angegriffenen Netzknoten gerade passieren. Vermaschte Kameranetze gelten allgemein als kostengünstige Alternative, ihre Sicherheit hängt jedoch stark von der passenden Konfiguration des Netzwerks ab.

Im fraglichen Fall wurde auf jede Form von Verschlüsselung verzichtet. Beim Nachbau des Netzes mit typgleichen Kameras stellten die Experten von Kaspersky Lab fest, dass eine Verschlüsselung zwar möglich gewesen wäre, diese jedoch fehlerhaft konfiguriert wurde. Die Folge: Plain-Text [3] wurde innerhalb des Netzwerks und somit auch für Dritte sichtbar versendet. So waren die Kaspersky-Experten in der Lage, in ihrem Nachbau mittels einer selbst erstellten Software den Datenstrom jeder Kamera beeinflussen und ihn beispielsweise durch Videos einer eigenen, nicht zum Netz gehörenden Kamera zu ersetzen. Die Ergebnisse wurden umgehend am die betroffenen Stellen weitergegeben und die Sicherheitslücke wurde geschlossen.

"Unsere Untersuchung sollte zeigen, dass Cybersicherheit immer auch Auswirkungen auf die physikalische Sicherheit hat, speziell bei kritischen öffentlichen Einrichtungen wie die einer Videoüberwachung", erklärt Vasilios Hioureas, Malware Analyst bei Kaspersky Lab. "Bei der Nutzung neuer Technologien für Smart Cities sollten wir nicht nur über Fragen des Komforts, der Energie oder der Kosteneffizienz nachdenken, sondern auch die Cybersicherheit betrachten."

Kaspersky Lab: So wird Videoüberwachung sicher

Die Daten in einem Mesh Network sind nur dann nahezu unangreifbar, wenn kryptografische Verfahren mit Public-Key-Infrastruktur zum Einsatz kommen. Dennoch können bereits die folgenden Maßnahmen helfen, zumindest weniger erfahrene Angreifer abzuwehren:
-Für ein Mindestmaß an Sicherheit sollte der Zugriff auf die Videodaten über WLAN erfolgen und mit einem starken Passwort geschützt sein
-Der Name des Netzwerks (SSID) sollte verborgen bleiben und alle erlaubten Geräte im Netzwerk müssen über MAC (Media Access Control)-Filter spezifiziert werden
-Die Beschriftungen und Etikettierungen an den genutzten Kameras sollten für Unbefugte nicht einsehbar sein

Eine detaillierte Analyse von Kaspersky Lab zu diesem Thema ist unter http://www.viruslist.com/de/weblog?weblogid=207320071 verfügbar. Der Bericht wurde bereits im Rahmen der DefCon 2014 Kaspersky Lab vorgestellt und ist Teil der weltweiten Initiative Securing Smart Cities.

Initiative Securing Smart Cities mit Kaspersky Lab

Die Initiative Securing Smart Cities ist ein weltweiter Zusammenschluss von öffentlichen wie privaten Organisationen und Unternehmen mit dem Ziel, Antworten auf die sicherheitsrelevanten Fragen in sogenannten Smart Cities zu finden. Unterstützt wird die Initiative dabei von führenden Anbietern von Sicherheitslösungen in der Informationstechnik. Darunter finden sich IOActive, Kaspersky Lab, Bastille sowie die Cloud Security Alliance. Securing Smart Cities dient als Informationsplattform für alle Beteiligten bei der Einführung, Verbesserung und Förderung von intelligenten und sicheren Technologien für moderne Städte. Firmen- & Pressekontakt