Cyberangriffe auf vernetzte Endgeräte nehmen seit Jahren erheblich zu und haben in der Coronakrise noch einmal einen Schub bekommen. Diese Entwicklung wird auch für Videohersteller und Betreiber von Videonetzwerken zunehmend zu einem ernsthaften Problem. PROTECTOR sprach mit Dieter Hiestand, Produktmanager bei Barox, über die Gefahren und Möglichkeiten der Abwehr von IT-Attacken durch speziell entwickelte Video-Switche.
Cyberangriffe auf Videonetzwerke haben stark zugenommen. Was macht diese Netze für Hacker so attraktiv?
Dieter Hiestand: Videobilder helfen versierten Einbrechern und Kriminellen, ein Gebäude konsequent auszuspionieren. Sie verschaffen sich so im Vorfeld der Tat Zugang zu Informationen sämtlicher Räumlichkeiten beispielsweise einer Firma. Auch Attacken auf viele wichtige Infrastrukturen, die mit Kameras geschützt werden, finden auf diesem Weg statt. Dazu implementieren die Cyberkriminellen Schadsoftware in den Videonetzen und bekommen so Zugang in weitere kritischere Netzwerke wie etwa in jene der Verwaltung, oder Entwicklung. Das bedeutet nicht einmal immer großen Aufwand. Kameras finden guten Anklang bei Hackern, weil sie eine leistungsstarke CPU (Central Processing Unit) besitzen und weniger gewartet werden als andere IoT-Geräte. MAC-Adressen von Kameras werden beispielsweise im Darknet verkauft.
Ripple20-Attacken bedrohen zunehmend die Sicherheit von Videonetzwerken
Als Bedrohung haben sich zuletzt vor allem die sogenannten „Ripple20“-Angriffe erwiesen. Was versteht man darunter genau?
Vereinfacht gesagt bezeichnet „Ripple20“ die Gesamtheit von Schwachstellen, die im TCP/IP-Stack von Treck Inc.(Distributed Denial-of-Service, DDoS) gefunden worden sind. Experten haben insgesamt 19 Zero-Day-Schwachstellen entdeckt, von denen einige kritisch sind und Hunderte von Millionen smarter IoT-Geräte (Internet of Things, kurz IoT) betreffen. Das betrifft Kameras, aber auch beispielsweise Waschmaschinen oder Glühbirnen. Besorgniserregend ist vor allem die Tatsache, dass einige dieser Geräte niemals Updates erhalten werden und ein leichtes Angriffsziel für Cyberkriminelle sind.
Ein DDoS-Angriff (Distributed-Denial-of-Service attack) tritt auf, wenn mehrere Systeme die Bandbreite oder die Ressourcen eines Zielsystems überschwemmen, in der Regel mit einem oder mehreren Webservern. Ein DDoS-Angriff verwendet mehr als eine eindeutige IP-Adresse oder Maschinen, die oft von Tausenden von Hosts mit Malware infiziert sind.
Wenn ein solcher Angriff bemerkt wird, sollten sofort Maßnahmen ergriffen werden. Was ohnehin empfohlen wird – unabhängig von neuen Schwachstellen – ist die Aktualisierung der Firmware aller Geräte. Zudem sollte der Internetzugang von kritischen IoT-Geräten auf ein Minimum reduziert und das Büronetzwerk von den Netzwerken, in denen IoT-Geräte verwendet werden, getrennt werden. Außerdem ist zu empfehlen, DNS-Proxys in Netzwerken mit IoT-Geräten zu konfigurieren.
Mit dem Einsatz von Videoswitchen kann den Gefahren wirksam entgegengewirkt werden. Wie genau?
Ein für Video optimierter Switch ist zugleich ein moderner Netzwerkswitch mit vielen Sicherheitseinstellungen. Mit dem stark steigenden Bandbreitenbedarf moderner Kameras muss auch die Performance der Switche wachsen. Hier ist nicht nur die CPU-Geschwindigkeit wichtig, sondern auch der schnelle Zugriff auf die Speicherbausteine. Ist dies nicht der Fall, kann es zu gefährlichen Lücken in der Überwachung des Netzes kommen.
Spezielle Videoswitche erhöhen die Netzwerksicherheit
Wie funktioniert die Barox-Lösung zum Schutz vor Cyberangriffen genau und welche Vorteile bietet sie möglicherweise darüber hinaus?
Um Geräte und Netzwerke vor Ripple20-Schwachstellen zu schützen, muss ein zweckspezifischer Filter so konfiguriert werden, dass er niemals fragmentierte UDP akzeptiert. Mit dem Barox-Switch der RY-28er-Serie kann die Cyber Protection so konfiguriert werden, dass fragmentiertes UDP automatisch erkannt und über die integrierten ACL-Switch-Menüoptionen gestoppt wird, sowie Netzwerke und ihre Geräte wie IP-Kameras, Videomanagementsoftware (VMS) und Server vor illegalem Zugriff geschützt werden.
Access Control List (ACL) ist mitunter ein wichtiges Tool zur Kontrolle einkommender und ausgehender Daten. Die meisten Videosignale sind UDP-Streams, und fragmentierte UDP-Frames sind ein Anzeichen für Ripple20-Attacken. Mit der starken ACL der Barox-Switche ist eine Filterung dieser Frames möglich. Diese werden somit nicht mehr übertragen und verworfen. Access Rate Limiter und Access Control List sind mächtige Tools in unseren Switchen, die den Datenfluss per Port überwachen. Wichtig ist zudem die Segmentierung der VLAN-Netze, damit immer nur ein kleiner Teil und nicht gleich das gesamte Netzwerk von einer Cyberattacke betroffen ist.
