Daten sind das neue Öl, Informationen das neue Gold. Unternehmen sind immer mehr abhängig von der digitalen Welt. Sensible Bereiche, wie z. B. Rechenzentren, physikalisch zu schützen ist selbstverständlich. Die IT-Abteilungen stehen darüber hinaus unter immer größerem Druck, jedes im Netzwerk angeschlossene Gerät zu überwachen und vor Angriffen von innen und außen zu schützen. Dies gelingt nur mit den richtigen Tools und einem hohen Maß an Transparenz.

Im Folgenden werden Best Practices skizziert und Fragen in den Raum gestellt, mit denen sich IT-Verantwortliche, aber auch die Verantwortlichen von Sicherheitssystemen auseinandersetzen müssen. Im Zentrum steht dabei die Frage, wie man sensible Bereiche, aber auch jedes einzelne Gerät im Netzwerk am besten schützt.

Unternehmen sind einer stetig wachsenden Flut von Cyberattacken ausgesetzt. Mal aus Spaß an der Freude, meist aber mit kriminellen Absichten versuchen Hacker sich Zugang zu den Unternehmensnetzen zu verschaffen. Das wirtschaftliche Risiko ist hoch, die Gesetzeslage (z. B. die DSGVO) wandelt sich stetig.

Physikalische Sicherheit durch IP Video und IP Zutrittskontrolle
Rechenzentren liegen meist in abgelegenen Bereichen des Unternehmens und bei reibungslosem Betrieb sind Mitarbeiter eher selten vor Ort.

Mit Hilfe von IP-basierter Zutrittskontrolle und IP-Kameras kann man diesem Umstand gerecht werden. Mitarbeiter erhalten nur dann Zugang, wenn sie die entsprechenden Berechtigungen haben und mit den Videosystemen kann zum einen unbefugter Zugang überwacht und zum anderen auch der Safety-Aspekt unterstützt werden. Oftmals arbeiten gerade am Wochenende oder in der Nacht Techniker alleine in den Rechenzentren. Ein Mitarbeiter aus der Zentrale kann aus der Ferne den Einsatz überwachen und sicherstellen, dass bspw. bei einem Unfall schnell geholfen wird.

Richtig eingesetzt kann mit den Systemen im Ernstfall auch schnell und effizient ermittelt werden, wie viele Mitarbeiter sich in den geschützten Bereichen befinden und den Rettungskräften mitgeteilt werden, wie viele Personen ggf. evakuiert werden müssen.

Systeme aktualisieren – Schwachstellen schließen
Je älter ein IT-System, desto größer wird das Risiko für Cyberattacken. Eine recht simple Weisheit. Die meisten Cyberattacken machen sich die bereits hinlänglich bekannten Schwachstellen zunutze. Breit angelegte Attacken scannen dabei die zu infil­trierenden Systeme auf bekannte Sicherheitslücken. Dies passiert nicht nur bei Angriffen von außen. Immer mehr Unternehmen werden auch von innen heraus attackiert: sorglos in den PC gesteckte, infizierte USB-Datenträger; mit Viren befallene Laptops von Servicetechnikern, die sich für Administrationsarbeiten mit den Firmensystemen verbinden oder der Aufruf einer Webseite von einem nicht durch die eigene IT beschafften Server ohne aktuellem Virenscanner – all dies sind klassische Methoden, Systeme zu infizieren.

Keine Cybersecurity ohne Management Tools!
Management-Tools sind für die IT-Sicherheit von essentieller Bedeutung. Nur mit ihrer Hilfe kann man die anfallenden Aufgaben zur Aktualisierung der Systeme effizient bewerkstelligen. Kaum ein Admin prüft zyklisch die Geräte im Netzwerk manuell auf neue Firmware-Versionen oder abgelaufene Zertifikate. Dazu fehlt schlicht die Zeit.

Ein simpler Vergleich macht den Unterschied deutlich: Das manuelle Updaten von Firmware und Analyse-Plugins in einem Kamerasystem mit 200 Geräten dauert via Einzelaufruf der Geräte schnell in Summe über 100 Stunden. Mit dem Axis Device Management Tool lässt sich dieser Aufwand auf überschaubare 30 Minuten reduzieren.

Never change a running system!
Auf der einen Seite sollen die Systeme aktualisiert werden, aber auf der anderen fasst niemand gerne ein laufendes System an und spielt Updates ohne zwingende Notwendigkeit ein. Zu hoch ist das Risiko, dass die Systeme im Anschluss nicht mehr hundertprozentig funktionieren.

In vielen Fällen kommt es auch vor, dass eine komplexe Management Software nur mit einer bestimmten Geräte Firmware kompatibel ist und das Gerät nicht auf einfachem Weg auf eine aktuelle Firmware gebracht werden kann.

Axis bietet für diese Eventualitäten eine sogenannte LTS Firmware an. In diesen speziellen Varianten werden die Firmware Versionen nur auf bekannte Schwachstellen und Sicherheitslücken hin überarbeitet. Alle anderen Bereiche der Funktionalitäten werden nicht angetastet. So gelingt der Spagat eine sichere und kompatible Firmware, insbesondere für ältere Gerätegenerationen, bereitzustellen.

Ohne Transparenz geht es nicht
Warum setzt die IT auf die Zusammenarbeit mit bekannten Markenherstellern, wenn man die meisten Komponenten auch von No-Name-Anbietern wesentlich günstiger bekommen kann? Einer der Gründe dafür ist das Cybermanagement. Namhafte Hersteller geben zugleich auch das Versprechen ab, sich im Falle einer auftretenden Sicherheitslücke um deren Behebung zu kümmern und einen entsprechenden Patch bereitzustellen.

Und das Versprechen geht sogar noch weiter: Die Kunden werden über die Problematik informiert und aufgefordert, ihre Systeme entsprechend upzudaten. Es wird nichts verschleiert oder ausgesessen.

Auch die White-Hat Hackers konzentrieren sich meist auf die großen Anbieter. Diese Hacker versuchen mit Penetrationstests und Testmethoden Schwachstellen zu finden, ohne einem Unternehmen damit einen Schaden zuzufügen. Große Unternehmen loben immer höhere Preisgelder für das Auffinden von Schwachstellen aus. Diese gehen inzwischen schnell in den 6- oder 7-stelligen Bereich.

OEM und ODM – Ein großes Cyberrisiko
In der Sicherheitsbranche ist es leider nur allzu üblich, den eigentlichen Hersteller einer Komponente zu verschleiern. Dieses sogenannte OEM- oder ODM-Geschäft macht das Thema Cybersecurity zu einem Glücksspiel.

Was bedeutet OEM oder ODM? Bei diesen Geräten ist der verwendete Markenname nicht gleich dem Hersteller. Eine ganze Zuliefererindustrie hat sich darauf spezialisiert, selbst in Kleinserien von wenigen 100 Geräten jedes gewünschte Logo und jeden gewünschten Produktnamen möglich zu machen. Auch das Webinterface wird schnell und einfach mit entsprechenden Logos angepasst.

Die OEM-Anbieter sparen sich Entwicklungs- und Herstellungskosten und können auf diesem Weg sehr einfach ein umfangreiches „eigenes“ Portfolio vorgaukeln. Selbst etablierte Hersteller greifen inzwischen darauf zurück, bspw. zur Erweiterung des Portfolios um Einstiegsprodukte.

Wenn es um die Cybersecurity-Aspekte des Systems geht, dann macht genau diese Verschleierung die Arbeit kompliziert. Security Patches des ursprünglichen Herstellers finden entweder gar nicht oder nur mit erheblichem Zeitversatz den Weg in die OEM Geräte. Sicherheitslücken, die der Hersteller für seine eigenen Geräte veröffentlicht, werden nur äußerst selten auch von den OEM Anbietern übernommen.

Aus gutem Grund ist der Einsatz von OEM Komponenten in der IT verpönt. Die mangelnde Transparenz und fehlenden Garantien im Cyber-Kontext wiegen den Preisvorteil in keinem Fall auf.

Sensibilisierung der Hersteller, Errichter und Endkunden
In der IT-Industrie hat sich das Thema Cybersecurity über die vergangenen Jahrzehnte immer weiterentwickelt. Unternehmensprozesse sind entsprechend gestaltet, Wartungsverträge für Soft- und Hardware sind gängige Praxis - und sogar jeder Privatanwender kann mit dem Begriff Virenscanner etwas anfangen und führt regelmäßig ein Update auf seinem Smartphone aus.

Die Sicherheitsindustrie ist vielerorts leider noch nicht ganz so weit. Das fehlende IT Know-how bei vielen Herstellern, die fehlende IT-Qualifizierung auf Seiten vieler Errichter und auch die gewachsenen Strukturen bei Endkunden sind kein besonders guter Nährboden für Veränderungen.

Wie wird man Cyber secure?
Cybersecurity hat sehr viel mit den richtigen Prozessen zu tun. Dies fängt schon bei der Entscheidung für die Komponenten an. OEM-Geräte gilt es auf jeden Fall zu vermeiden, einschlägig bekannte Seiten wie bspw. www.ipvm.com geben Auskunft zu diesem Thema und machen die Gebaren der Branche transparenter.

Neben Features und Funktionen der Geräte muss ein Management Tool für administrative Aufgaben vorhanden sein.

Die IT-Abteilung gilt es grundsätzlich mit einzubeziehen, egal ob die Geräte im Firmennetz betrieben werden oder ein separates Netzwerk aufgebaut wird.

Und natürlich müssen Hardware und Software zyklisch aktualisiert werden. Wartungsverträge helfen die Kosten kalkulierbar zu halten und sorgen dafür, dass das Thema nicht in Vergessenheit gerät.

Cybersecurity funktioniert nur, wenn alle daran mitarbeiten.