Interessante Vorträge, Ausstellung mit Neuheiten - und eine lebhafte Podiumsdiskussion zum Thema „Cloud-Anwendung in der Sicherheitstechnik". Das erlebten die Teilnehmer des 5. BHE-Fachkongresses Videoüberwachung/ Zutrittsregelung kürzlich in Fulda. Als Experte zum Thema „Video in der Cloud" stellte sich Michael Meissner, Vorsitzender des BHE-Fachausschusses für Videoüberwachungstechnik und Chef der Firma AEviso Technology, dem Interview mit GIT SICHERHEIT

GIT SICHERHEIT: Herr Meissner, so mancher der heute im Urlaub seine Privatwohnung per Smart- Phone-App videoüberwacht, nutzt dafür Cloud-Dienste. Und natürlich wollen immer mehr Unternehmen geräteunabhängig auf (Video-) Daten zugreifen. Wie sieht das in der Praxis aus?

Michael Meissner: Im Zusammenhang mit der Videoüberwachung geht es bei der Cloud darum, dass ein Teil der Videoüberwachungsinfrastruktur, wie beispielsweise Aufzeichnungssysteme (d. h. Hardware als auch zugehörige Software) aber auch Auswertealgorithmen auf der Nutzerseite, nicht mehr selber betrieben wird, sondern bei einem oder mehreren externen Cloud-Dienste- Anbietern in der „Wolke" (Cloud) gemietet wird. Es wird unterschieden zwischen der Public- Cloud (d.h. öffentliche Wolke, der Cloud-Dienste- Anbieter ist hier ein externes Unternehmen) und der Private-Cloud (d. h. der Cloud-Dienste-Anbieter ist hier das eigene Unternehmen). Es gibt weitere Cloud Modelle - hier sprechen wir aber ausschließlich von der Public-Cloud.

Wie stark gehören Videoüberwachung und Cloud-Services schon heute zusammen - und wie wird sich das aus Ihrer Sicht entwickeln, wie ist der tatsächliche Trend?

Michael Meissner: Seit einigen Jahren gehört die Cloud nun schon zum „neuen Trend" und nach einer Studie des High-Tech Verbands Bitkom nutzen bereits 40 % der befragten 403 Unternehmen mit mehr als 20 Mitarbeiter Cloud- Dienste für den Bereich der allgemeinen IT. Aktuell ist der Marktanteil an Cloud-basierter Videoüberwachung noch sehr klein aber man kann davon ausgehen, dass die Cloud auch in diesem Segment ganz sicher ihren Platz finden wird. Um die Trendentwicklung für die Videoüberwachung besser zu beschreiben, sollte man zunächst verschiedene Zielmärkte unterscheiden.

Welche sind das?

Michael Meissner: Zu unterscheiden ist die professionelle Videoüberwachung vom Thema Home-Security. Im Bereich Home-Security bieten inzwischen viele Hersteller einfach zu installierende Kameras an, die man dann über das eigene Heimnetz mittels DSL mit der Public-Cloud zum Abspeichern und Wiedergeben der Videodaten verbindet. Dazu bieten die Hersteller kostenlose Apps an, um die gespeicherten Bilder jederzeit und ortsunabhängig über Smartphones und Tablets anschauen zu können. In diesem Zielmarkt wird sich die Cloud ganz sicher schneller durchsetzen, da hier die Anforderungen seitens der Anwender deutlich geringer sind, schon aufgrund der begrenzten Anzahl an Kameras.

... und wie verhält sich das bei der professionellen Videoüberwachung?

Michael Meissner: Im Bereich der professionellen Videoüberwachung - also etwa für Industriegebäude, im Einzelhandel, bei Banken, Tankstellen, in der Perimeterabsicherung, etc. - wird sich die Public-Cloud ganz sicher nicht so schnell durchsetzen, wie viele Cloud-Dienste-Anbieter es sich wünschen. Aufgrund der zu erwartenden hohen Datenmengen haben sicherlich einige Anbieter bereits vielversprechende Business Pläne erstellt und versuchen den Markt der Videoüberwachung für sich zu gewinnen. Aspekte wie Datenmengen, rechtliche Aspekte, Datenschutz und transparente/einfache Geschäftsmodelle werden allerdings den schnellen flächendeckenden Einzug der Public-Cloud in der Videoüberwachung ganz sicher ausbremsen. Aber keine Frage: die Cloud wird kommen und auf lange Sicht ein selbstverständlicher Baustein in der modernen Videoüberwachung werden.

Wo sehen Sie die Vorteile und Chancen von Cloud-Diensten im Zusammenhang mit Videoüberwachung in Unternehmen?

Michael Meissner: Die Vorteile von Cloud- Diensten liegen auf der Hand: Kunden können ihre Nutzung von Rechenleistungen (hier Speicherung von Videodaten) nach Bedarf auf externe Cloud-Dienste-Anbieter auslagern. Praktisch bedeutet es, dass das Videoaufzeichnungssystem nicht mehr im eigenen Unternehmen installiert ist. Dadurch sind Kosteneinsparungen bei der Beschaffung und Wartung der Hardware möglich. Auch die Energiekosten sinken; je nach Systemgröße können nennenswerte Beträge eingespart werden. Leerkapazitäten müssen auch nicht mehr beim Betreiber vorgehalten werden; eine weitere Quelle für Kosteneinsparungen. Entscheidet sich der Betreiber für den Ausbau der Videoüberwachung, gestaltet sich die Skalierung der Anlage denkbar einfach, da bei der Gesamtanzahl von Kameras praktisch keine hardwarespezifischen Einschränkungen mehr bestehen. Insgesamt kann man auch davon ausgehen, dass aufgrund der höheren Wartungsintervalle durch die Cloud-Dienste-Anbieter als auch die Nutzung von mehreren Servern die generelle Systemzuverlässigkeit steigen wird.

Gibt es technische Hindernisse, die noch bewältigt werden müssen - Stichwort Datenmengen?

Michael Meissner: In der Tat sind einige technische Hindernisse zu überwältigen. Zum einen sind die zu erwartenden Datenmengen sehr groß. Zwei kurze Beispiele für aufkommende Datenmengen pro Kamera pro Tag: 2 Megapixelkamera, H.264 Bildkompression, generiert bei 25 Bildern/Sekunde innerhalb von 24 Stunden je nach Bildszene zwischen 25-100 GB. Oder: 8 Megapixelkamera, H.265 Bildkompression, generiert bei 25 Bildern/Sekunde innerhalb von 24 Stunden je nach Bildszene zwischen 50-200 GB. Ein Videoüberwachungssystem, bestehend aus beispielsweise sechs Kameras, wird nicht ohne weiteres alle Daten in Echtzeit in die Public- Cloud hochladen können. Das bedeutet, dass auch zukünftig Datenmengen zu reduzieren sind mittels Einschränkung bei Anzahl Bilder pro Sekunde, ereignisgesteuerte Aufzeichnung, reduzierte Bildauflösung, etc. Eine weitere wichtige Herausforderung liegt in der generellen Datensicherheit.

Hier geht es um die Verschlüsselung von Daten?

Michael Meissner: Videoströme, die in der Public-Cloud gespeichert werden, sollten möglichst verschlüsselt übertragen und gespeichert werden. Das Thema Verschlüsselung ist in der Videoüberwachung bereits seit vielen Jahren ein wichtiger Aspekt; es gibt jetzt Unternehmen, die bereits mit wenig Hard/Softwareaufwand eine effiziente Verschlüsselung in Echtzeit anbieten können um die kompletten Videodaten vor unbefugter Fremdbetrachtung zu schützen. Dies bedeutet, dass selbst der Cloud-Dienste-Anbieter mit diesen Daten nichts anfangen kann. Neben der Speicherung der Daten in der Cloud ist auch die Analyse von (Big) Data ein Thema.

Was bedeutet das im Einzelnen?

Michael Meissner: Übersetzt für die Videoüberwachung bedeutet es die nachträgliche Auswertung und Analyse von großen gespeicherten Videodatenmengen, die sich in der Cloud befinden. Dazu müssen die Hersteller von intelligenten Auswertealgorithmen ihre Software „Cloud-fähig" machen, damit die Auswertung von diesen Datenmengen (z. B. bei einer nachträglichen Bewegungsanalyse, häufig Post-Search oder Smart- Search genannt) in der Cloud erfolgen kann. Damit die Auswertung auch bei vorher verschlüsselten Videodaten funktioniert, müssen demzufolge entweder die Auswertesoftwarehersteller eigene effiziente Verschlüsselung entwickeln und anbieten oder aber sehr eng mit Herstellern für Verschlüsselung kooperieren.

Nun ist der Umgang mit Daten - und insbesondere von Videodaten - nicht ganz unproblematisch, was den Datenschutz anbelangt. In jüngerer Zeit steigt die Sensibilität für dieses Thema - Stichwort NSA - und es gibt auch eine strafrechtliche Relevanz. Wie schätzen Sie das ein?

Michael Meissner: Die Themen rechtliche Rahmenbedingungen und Datenschutz sind in der Tat wichtige Faktoren in Bezug auf die Nutzung von Cloud-Diensten und dürfen auf keinem Fall vernachlässigt werden. Bei der professionellen Nutzung von Videoüberwachung werden in den meisten Fällen personenbezogene Daten (z. B. Bilder von Kameras, die auch Kunden, Mitarbeiter, etc. aufnehmen) erhoben, verarbeitet oder genutzt. Dies hat zur Folge, dass in jedem Fall das Bundesdatenschutzgesetz (BDSG) als Rechtsgrundlage gültig ist.

...und das bedeutet?

Michael Meissner: Zunächst die gute Nachricht: Die Nutzung von Cloud-Diensten innerhalb Deutschlands und der EU-Staaten ist grundsätzlich zulässig! Zwingend zu beachten ist §11 BDSG; darüber hinaus muss der Cloud-Dienste- Anbieter „zuverlässig" sein: Dies bedeutet, dass er ein rechtssicheres Vertragswerk vorlegt, welches u.a. testiert, dass er die Anforderungen des §9 BDSG einhält und rechtsverbindlich zusichern kann, dass alle Daten ausschließlich auf Servern in Deutschland bzw. der EU gespeichert werden.

Kann der Cloud-Dienste-Anbieter dies nicht zusagen, ist derzeit aus datenschutzrechtlichen Gründen von einem Vertragsabschluss dringend abzuraten. Hier muss man sehen, dass es sich bei der Speicherung von Videodaten auf der Public-Cloud noch immer um Dateneigentum des Videosystembetreibers handelt. Demzufolge ist der Endnutzer im rechtlichen Sinne für die Daten auf Cloud-Rechnern verantwortlich, was bedeutet, dass er die volle Haftung als „verantwortliche Stelle" innehat, wenn diese Daten nicht sicher sind. Der Endnutzer kann nicht davon ausgehen, dass der Cloud-Dienste-Anbieter für möglichen Datenmissbrauch haftbar gemacht werden kann.

Geben Sie uns ein Beispiel?

Michael Meissner: Nehmen wir mal an, dass gespeicherte personenbezogene Daten aus der Public-Cloud in die Hände unbefugter Dritter kommen, diese dann z. B. über Youtube veröffentlicht würden, könnten erkannte Kunden oder Mitarbeiter die „verantwortliche Stelle" (also der Bertreiber der Videoanlage) auf unzulässige Verarbeitung seiner personenbezogenen Daten verklagen. Im schlimmsten Fall drohen Bußgelder bis zu 50.000 €. Dies ist zwar nur ein sehr theoretischer Fall; wir haben aber in jüngster Vergangenheit gesehen, wie schnell Daten veruntreut werden. Es ist in jedem Fall zu empfehlen, dass Betreiber von Videoüberwachungsanlagen, die mit der Public-Cloud planen wollen, sich vor Vertragsabschluss rechtlich von darauf spezialisierten Anwaltskanzleien beraten lassen.

Wer mit Cloud-Diensten arbeitet, gibt Dinge an Dritte ab - das hat mit Vertrauen zu tun. Welche Risiken bestehen hier neben den genannten?

Michael Meissner: Der Markt der Public-Clouds ist zwar schon ein paar Jahre alt, für die Videoüberwachung ist die Cloud aber gemessen an Marktanteilen noch sehr „jungfräulich". Viele neue Unternehmen starten mit Cloud-Diensten und bieten teilweise schon sehr attraktive Cloud-Pakete an. Das Risiko für den Betreiber der Videoanlage ist jedoch vielfältig: Zum einen begibt man sich in die Abhängigkeit eines Anbieters, der durchaus jederzeit Preise erhöhen kann, eventuell seine allgemeinen Geschäftsbedingungen zum Nachteil des Betreibers ändert.

Die spannende Frage ist - wie bei unseren privaten Mobilfunkverträgen - wie komme ich aus dem Vertrag wieder raus? Gerade bei kleineren (hoffentlich BDSG-konformen) Cloud-Dienste-Anbietern ergibt sich das Risiko eines Verkaufs an größere (eventuell nicht BDSG-konforme) Anbieter. Aufgrund der Dynamik dieses noch jungen Marktes ist das ein nicht zu unterschätzendes Risiko. Ein weiteres Risiko besteht bei der Durchführung von regelmäßigen Softwareupdates seitens des Cloud-Dienste-Anbieters, denn nicht jedes Update stellt sicher, dass die volle Funktionsfähigkeit aller gespeicherten Daten und deren Auswertesoftware gegeben ist.

In der Regel sollten Updates in umfangreichen Videoüberwachungsanlagen nur nach tatsächlicher Notwendigkeit als auch erst nach eingehenden Tests durchgeführt werden. Die praktische Umsetzung zur Koordination dieser Updates stellt jedoch Anbieter und Betreiber vor einige Herausforderungen. Darüber hinaus - man glaubt es kaum - gibt es auch praktische Fälle von Überlast in Cloud Netzwerken. Dies kann zu undefinierten Zeitverhalten bei echtzeitkritischen Anwendungen führen.

Und wie sieht es mit dem Risiko von Hackerangriffen aus?

Michael Meissner: Die Vergangenheit hat gezeigt, dass immer wieder Hackerangriffe auf Cloud-Anbieter durchgeführt wurden. Dieses Risiko besteht auch zukünftig und wird uns sicherlich immer begleiten. Die entscheidende Frage ist jedoch, wie ich meine Daten schützen kann, damit Hacker eben mit diesen Daten nichts anfangen können. Hier hilft nur eine ausreichende Verschlüsselung nicht nur der Metadaten sondern der kompletten Videoströme.

Nun sind Risiken da, um sie zu überwinden. Was muss noch geschehen, damit Cloud und Video langfristig zu einer Liebesheirat zusammenfinden?

Michael Meissner: Von einer Liebesheirat sind wir meiner Meinung nach noch weit weg; ich würde eher von einer sich anbahnenden Zweckgemeinschaft sprechen wollen. Die Cloud generell, aber insbesondere im Bereich der professionellen Videoüberwachung, wird zukünftig zum Geschäft des Vertrauens. Sowohl Betreiber als auch Planer und Errichter müssen sich die gleiche Frage stellen: Wem kann ich vertrauen? Aufgrund der schnell wachsenden Branche und den unterschiedlichsten Geschäftsmodellen eine Frage, die nicht so einfach und schnell zu beantworten ist. Die Public-Cloud wird nur dann wirklich erfolgreich sein, wenn der Betreiber als „Eigentümer" seiner Daten zu jedem Zeitpunkt mit seinen Daten souverän umgehen kann. Dies bedeutet, dass der Betreiber uneingeschränkt und einfach (quasi per Mausklick) seine Daten einsehen, analysieren/auswerten, verändern, löschen und runterladen (bzw. auf andere Cloud-Dienste- Anbieter übertragen) können muss.

Diese Funktionen müssen sich als Standard durchsetzen. Nur die Cloud-Dienste-Anbieter, die sich den speziellen Anforderungen des Videoüberwachungsmarktes stellen und darüber hinaus transparente, verständliche und rechtssichere Geschäftsmodelle entwickeln und anbieten, werden mittel- und langfristig von dem zu erwartenden Boom profitieren können. Spätestens dann können wir von einer Liebesheirat sprechen.