Cybersicherheit des IP-Kameranetzwerks

Deutsche Rahmenbedingungen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt regelmäßig vor Schwachstellen in IP-Kameras und veröffentlicht Sicherheitshinweise. Die NIS2-Richtlinie (umgesetzt als KRITIS-Gesetz / IT-SiG 2.0) stellt Anforderungen an die Absicherung von Netzwerken und Informationssystemen, einschließlich IoT-Geräte. Das BSI-Grundschutz-Kompendium (OPS.1.1.x) enthält Maßnahmen für sicheres Kameramanagement. Der Cyber-Sicherheitsrat Deutschland empfiehlt, Kameras von Herstellern aus nicht-verbündeten Ländern besonders kritisch zu prüfen.

Schlüsselbegriffe

Netzwerksegmentierung

Platzierung der Kameras in einem separaten VLAN, das vom Büronetzwerk getrennt ist. Verhindert, dass eine kompromittierte Kamera Zugang zu Unternehmenssystemen bietet.

Standardpasswort

Das werksseitige Passwort, mit dem Kameras ausgeliefert werden. Muss bei der Installation sofort durch ein eindeutiges, starkes Passwort ersetzt werden.

Firmware-Update

Software-Update des Herstellers, das bekannte Schwachstellen behebt. Regelmäßige Aktualisierung ist für die Sicherheit von IP-Kameras unverzichtbar.

Supply-Chain-Risiko

Das Risiko, dass Kameras oder Firmware vom Hersteller oder in der Lieferkette mit Backdoors oder Spyware kompromittiert wurden.

NIS2-Richtlinie / IT-Sicherheitsgesetz

Europäische Cybersicherheitsrichtlinie (umgesetzt im deutschen IT-SiG 2.0), die Organisationen zu angemessener Absicherung vernetzter Geräte einschließlich IP-Kameras verpflichtet.

Was das Recht vorschreibt

Die NIS2-Richtlinie (umgesetzt im IT-Sicherheitsgesetz 2.0 und den Nachfolgeregulierungen) verpflichtet Organisationen zu angemessenen technischen Maßnahmen für die Absicherung von Netzwerken und Informationssystemen. IP-Kameras sind Teil des Informationssystems und fallen unter diese Verpflichtung. Die DSGVO schreibt in Art. 32 vor, dass der Verantwortliche angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten treffen muss — Kamerabilder sind personenbezogene Daten.

Praktisch erfordert dies mindestens folgende Maßnahmen. Erstens Netzwerksegmentierung: Platzieren Sie alle Kameras in einem separaten VLAN mit einer Firewall, die nur den notwendigen Datenverkehr (zum VMS-Server und für Firmware-Updates) zulässt. Zweitens Passwortpolitik: Ändern Sie Standardpasswörter bei der Installation, verwenden Sie eindeutige Passwörter je Kamera und verwalten Sie diese in einem Passwort-Manager.

Drittens Firmware-Management: Prüfen Sie monatlich auf verfügbare Updates und tragen Sie diese nach Tests auf. Deaktivieren Sie nicht genutzte Funktionen: UPnP, Telnet, nicht benötigte Netzwerkports. Viertens Herstellerwahl: Wählen Sie Hersteller mit einer transparenten Cybersicherheitspolitik, einem dedizierten Security-Response-Team und einer Erfolgsbilanz bei zeitnahen Patches. Das BSI veröffentlicht Warnmeldungen zu spezifischen Schwachstellen — abonnieren Sie diese Hinweise.