IT-Security

Videoüberwachung digital – mit Schutz vor fremdem Zugriff

29.03.2012 - IEEE-802.1x, Radius-Server, VLAN, Passwörter und Co. schützen die ­digitale Video­überwachung vor ungewolltem Zugriff auf Echt­zeit-­Audio-/Videodaten und Manipulation gespeicherte...

IEEE-802.1x, Radius-Server, VLAN, Passwörter und Co. schützen die ­digitale Video­überwachung vor ungewolltem Zugriff auf Echt­zeit-­Audio-/Videodaten und Manipulation gespeicherter ­Daten. Digitale Video­über­wachung ist ­präsenter als je zuvor und ein prognostizierter Wachstumsmarkt für 2012 - ein nicht aufzuhaltender Trend, der polarisiert und nicht selten Angriffen von Verfechtern der analogen
Technologie ausgesetzt ist.

Kritiker der digitalen (IP-basierten) Videoüberwachung beziehen sich häufig auf die Sicherheit der Audio-/Video-Daten beim Transport über das Netzwerk sowie die Manipulation der gespeicherten Daten. Wie so oft, beruhen solche Zweifel auf Missverständnissen und Vorurteilen. Denn gerade die IP-basierte Videoüberwachung bietet aufgrund erprobter IEEE-Protokolle und weiteren Methoden ein Höchstmaß an Sicherheit in Bezug auf den Zugriffsschutz bei Streams, den Transport der Daten im Netzwerk sowie die Speicherung der Daten und erhöht zudem noch die Sicherheits-Effizienz des Netzwerks.

Zugriffsschutz in Netzwerken
Dank IEEE-802.1x, einem Standard zur Authentifizierung und Autorisierung in Netzwerken (z. B. WLAN, LAN, VLAN), ist ein Höchstmaß an Sicherheit hinsichtlich Zugriffsschutz in Netzwerken gegeben. Das Prinzip des Standards ist einfach: Ein Authentication Server, z. B. ein Radius (Remote Authentication Dial-In User Service)-Server, übernimmt für jeden Supplicant („Bittsteller"), der sich in einem Netzwerk anmelden möchte, die Authentifizierung und sogar die entsprechende Rechtevergabe. Dies bedeutet, dass sich ein potenzieller Angreifer an einem Port im Netzwerk (an einem Switch, oder per WLAN) keinerlei Zugriff auf eine Netzwerkressource oder Streams sowie gespeicherte Daten (Netzlaufwerke/Server) verschaffen kann. Hersteller von digitalen Videokameras integrieren seit geraumer Zeit bereits IEEE-802.1X in ihre Produkte. Denn nicht nur ein PoE-Switch, Wireless Access-Point, Server oder Rechner, auch eine IP-Kamera muss sich an einem Radius-Server authentifizieren können und somit idealerweise gleichzeitig auch einem VLAN (Virtual Local Area Network) zugeordnet werden. Ist die Kamera hierzu technisch nicht in der Lage, sollte der Errichter oder sicherheitsverantwortliche Manager besser von einem Einsatz absehen.

Nächste Sicherheits­stufe mittels VLAN
Das VLAN erfüllt mehrere Funktionen gleichzeitig. Ein VLAN weist jedem Teilnehmer eines Netzwerks ein bestimmtes, virtuelles Netzwerksegment (das auch als Broadcast-Domäne bezeichnet wird) zu. Ein VLAN ist somit eine „Schutzhülle" vor Zugriffen von Netzwerkteilnehmern anderer Segmente. Ein VLAN garantiert eine fixe Bandbreite innerhalb des Netzwerks. Hierbei ist zwingend darauf zu achten, dass ein Switch bzw. ein PoE-Switch über QoS-Funktionen verfügt. Denn nur so ist es möglich, unterschiedlichen VLANs Prioritäten und/oder Bandbreiten zuweisen zu können. Somit wird durch ein VLAN nicht nur der Zugriff auf sensible Daten geregelt und geschützt, zugleich sichert ein VLAN gleichbleibende Qualität der Audio-/Videodaten.

Ist also eine unbefugte Einwahl in das Netzwerk gleichbedeutend mit der Möglichkeit, sämtliche Kameras deaktivieren zu können? Nein, denn: Selbst als autorisierter Teilnehmer des Netzwerkssegments der Videoüberwachung ist der direkte Zugriff auf die Netzwerkkamera immer noch nicht möglich. Die Konfiguration der Netzwerkkamera wird über einen Webbrowser vorgenommen. Netzwerkkameras bieten passwortgeschützte Administrationsoberflächen, idealerweise mit HTTPS (Hypertext Transfer Protocol Secure), und sollten dem Administrator zudem eine Möglichkeit zur Konfiguration der IP-Adressen mit Zugriff auf die Kamera geben. Das HTTPS-Protokoll ermöglicht eine abhörsichere Übertragung der Daten und schützt somit die Passwörter bei eventuellen Mitschnitten (Sniffen) der Datenpakete eines im Netzwerk befindlichen Angreifers.

Fazit: Umfassende Daten­sicherheit und -integrität
Zusammenfassend kann man sagen: Die digitale, IP-basierte Videoüberwachung ist mit zahlreichen erprobten Protokollen und Sicherheitsfunktionen ausgerüstet und bietet eine umfassende Sicherheit der Daten und deren Integrität. Sogar Synergieeffekte hinsichtlich der Videoqualität und Sicherung der Datentransporte ist möglich (siehe VLAN + QoS). Bei der Integration der verschieden Sicherheitsmethoden und Protokolle ist es zu empfehlen, sämtliche Netzwerkkomponenten eines Herstellers zu nutzen. Das spart Zeit und Kosten bei der Suche kompatibler Netzwerkkomponenten sowie bei eventuell nachträglich auftretenden Kompatibilitätsproblemen. Zudem ermöglichen die Projektbetreuung und Technikschulung aus einer Hand dem Errichter/Systemhaus einen ganzheitlichen Ansatz.

Kontakt

Digital Data Communications

Zeche-Norm-Str. 25
44319 Dortmund
Deutschland

+49 231 9075 0
+49 231 9075 5153