IoT Wenn die Netzwerkkamera zweimal klingelt

IoT Wenn die Netzwerkkamera zweimal klingelt

 

IoT- oder: Wenn die Netzwerkkamera zweimal klingelt

Bei dem Begriff IoT, kurz für “Internet of Things”, denkt man meist an hypermodernes Equipment aus Science-Fiction Filmen oder der Industrie. Dabei sind hiermit alle Gerätschaften gemeint, die autark funktionieren und am Internet als Netzwerk angeschlossen sind. Hierunter fallen beispielsweise Netzwerkkameras, Netzwerk-Babyphones, Heimautomatisierungslösungen wie Heizungssteuerungen oder Beleuchtungslösungen.

Allen ist gemeinsam, dass diese aus Komfortgründen via Internet angesteuert werden können. Dies ist oft beabsichtigt, um beispielsweise aus der Ferne eine Kamera anschauen zu können oder das Babyphone aus dem Garten zu überwachen.

Mehr Informationen hier: https://www.heise.de/security/meldung/185-000-unsichere-Webcams-koennten-Hackern-private-Einblicke-gewaehren-3648458.html

Durch die Zugriffsmöglichkeit über das Internet ergeben sich einige Risiken, die von böswilligen Angreifern ausnutzbar sind.

Problembereiche bei Geräten

Die Sicherheitsprobleme bei IoT-Geräten lassen sich grob in drei Kategorien einteilen:

  1. Gerät hängt direkt am Internet (bsp. durch Portforwarding am Router)
  2. Gerät kommuniziert über eine Cloud-Lösung des Herstellers
  3. Gerät ist als Sprungbrett nutzbar, um tiefer in das Netzwerk einzudringen

Link hierzu: https://www.heise.de/brandworlds/security-hub/praxis/iot-sicherheit-willkommen-im-botnet-der-dinge/

Viele IoT-Geräte werden in der Praxis primär mit Hinblick auf ihre eigentliche Funktion designed und gefertigt. Deren Netzwerktechnik wird oft mit zugekauften Komponenten realisiert, die unter Zeitdruck integriert werden. Dass das Passwort des Systemverwalters einer Netzwerkkamera beispielsweise “abc123” lautet, ist initial kein Problem, wenn dieses bei der Inbetriebnahme später auch auf ein sicheres Passwort geändert wird, worauf der Hersteller auch hinweist.

Dies passiert häufig nicht, sei es aus Bequemlichkeit, Unwissen oder Ignoranz (Was soll denn schon passieren… ).

Das Netzwerkmodul einer solchen Kamera ist im Prinzip ein kleiner Computer. Ein Hacker kann sich über das Internet mit den nicht geänderten Standard-Zugangsdaten einloggen. Hierzu existieren öffentliche Listen von Standardeinstellungen üblicher Gerät.

Wird ein solches Gerät direkt ans Internet gehängt, beispielsweise via Portforwarding eines Routers, so ist dieses weltweit erreichbar und angreifbar. Ähnliches gilt für Geräte, die mit einer Herstellereigenen Cloud kommunizieren und sensible Daten speichern. Wenn diese kompromittiert wird, lassen sich unter Umständen Fernwartungsfunktionen missbrauchen.

Gegenmassnahmen

Praktikable Gegenmassnahmen bestehen darin, keinem Gerät direkten Zugang zum Internet zu erlauben. Für einen Abruf von ausserhalb wird ein VPN-Zugang eingerichtet, der eine verschlüsselte Verbindung von ausserhalb auf das heimische Netz gestattet. Ein VPN-Zugang lässt sich zunehmend mit Bordmitteln auf Routern wie der Fritz!Box einrichten.

Alternativ kann ein Zugang über die Cloudservices eines vertrauenswürdigen Anbieters stattfinden, wenn das IoT-Gerät Daten nur dorthin überträgt, aber keine Verbindung “rückwärts” zulässt.

Passwörter für Logins sollten generell einschlägigen Anforderungen an die Komplexizität genügen, um automatisierbaren Angriffen standzuhalten. Eine Mischung aus Groß/Kleinbuchstaben, Zahlen und ggf. Sonderzeichen wird hier empfohlen.

Ein ergänzender Schutz besteht in der Segmentierung des Netzwerks via VLAN-Technik. Auf diese Weise kann ein gehacktes System nicht als Sprungbrett genutzt werden.

Nutzen Sie unter 0201 – 17 1919 7 unseren CNE-Service im Bereich

Wir beraten Sie gerne bei der Einrichtung eines VPN oder VLAN

Ihre
CNE – Computer- und Netzwerktechnik Essen

Computer und Netzwerktechnik Essen Sascha Müller

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

6 + 9 =

Level rot mit Zero-Day Exploits

Level rot mit Zero-Day Exploits

Bedrohungslage: Level rot mit Zero-Day Exploits

Für den Betrieb von eigenen Servern innerhalb der Firma gibt es mehrere gute Gründe. Einer davon ist meistens der Einsatz von spezieller Software, die nicht als Cloudservice betrieben werden kann..

Weitere Gründe bestehen in der Hoheit über die gespeicherten Daten und DSGVO-konforme Aufbewahrung. Zudem wird in der Regel gekaufte Software eingesetzt, die mehrere Jahre betrieben werden kann und keine monatlichen Abogebühren verursacht.

Der Nachteil dieser Vorgehensweise besteht darin, dass man selbst für die Absicherung der Systeme verantwortlich ist. Dies beinhaltet u.a. das regelmäßige Einspielen von Updates und sonstigen Patches.

Regelmäßiges Patchen reicht oft nicht, oder: Hier kommt der Zero-Day Exploit

Keine Software ist komplett fehlerfrei. Aus diesem Grunde veröffentlichen die jeweiligen Hersteller regelmäßig Updates und Bugfixes. Updates zur Beseitigung von Fehlern lassen sich grob in zwei Kategorien unterteilen: Behebung von Fehlern in der Software selbst und Beseitigung von Sicherheitslücken. Letzteres bedeutet, dass die Software zwar fehlerfrei funktioniert, aber in der Regel vom Internet aus angegriffen werden kann. Durch das Absetzen von präparierten Anfragen kann ein Angreifer beispielsweise Viren auf Computer einschleusen, die weiteren Schaden verursachen. In der Regel werden Informationen zu Sicherheitslücken erst veröffentlicht, wenn ein Update bereitsteht, damit Betreiber von Servern diese einspielen können, bevor massive Angriffswellen durch das Internet rollen.

Das Schreckgespenst unter den Sicherheitslücken heißt Zero-Day Exploit. Zero Day bedeutet hier, dass eine entdeckte Lücke bereits aktiv angegriffen wird, aber noch keine Updates bereitstehen.

Ein aktuelles Beispiel ist der beliebte Mailserver Microsoft Exchange. Siehe hier auch weitere Informationen unter https://www.heise.de/news/Exchange-Server-Zero-Day-Bisheriger-Workaround-unzureichend-7283072.html

Gegenmaßnahmen

In solchen Situationen ist es wichtig, unverzüglich zu handeln. Als erste Aktion muss geprüft werden, ob ein solcher Zero-Day Exploit die eigenen Computer betrifft. Im nächsten Schritt muss geprüft werden, welche Maßnahmen gangbar sind, um die Situation zumindest temporär zu entspannen, bis Updates vom Hersteller bereitstehen.

Eine Lösung kann darin bestehen, die Nutzer nicht vom Internet aus direkt auf den Server zugreifen zu lassen, sondern ein VPN zu benutzen.

Ist hochwertige Netzwerktechnik (Firewall) vorhanden, so lassen sich je nach Natur der Angriffsmöglichkeiten die Zugriffe filtern. Hier kommen sogenannte Reverse Proxies, oder “Web Application Firewalls/Filter (WAF)” zum Einsatz, die alle Anfragen, die beispielsweise an den Exchange gerichtet sind, auf Korrektheit prüfen und präparierte Anfragen ausfiltern.
Sind derartige Maßnahmen nicht umsetzbar, sollte abgewogen werden, unter Umständen den Dienst temporär abzuschalten, um größeren Schaden zu verhindern. Ein infiziertes Netzwerk bedeutet oft mehrere Tage Ausfall und Datenverlust!

Nutzen Sie unter 0201 – 17 1919 7 unseren CNE-Service im Bereich

Wir beraten Sie gerne bei Problemen mit Zero-Day-Exploits

Ihre
CNE – Computer- und Netzwerktechnik Essen

Computer und Netzwerktechnik Essen Sascha Müller

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

14 + 9 =

Rechtssicheres Unterschreiben im Homeoffice

Rechtssicheres Unterschreiben im Homeoffice

Rechtssicheres Unterschreiben im Homeoffice

Dezentrales Arbeiten in seinen verschiedenen Spielarten gehört zunehmend zu einem normalen Arbeitsalltag dazu. Ob man Homeoffice, mobiles Arbeiten oder heimisches Büro dazu sagt, ist dem Arbeitnehmer meist egal. In Zeiten erhöhter Erkältungsgefahr verfrachten viele Arbeitgeber zur Verringerung der Ansteckungsgefahr die Mitarbeiter ins häusliche Umfeld.

Moderne Netzwerktechnik wie VPN oder Cloudapplikationen schließt die Mitarbeiter nahtlos an die Applikationen der Firma an. Für den Arbeitgeber erwachsen sich daraus einige rechtliche Feinheiten, die oftmals gar nicht auffallen, jedoch teure Fallstricke darstellen.

Datenschutz und Vertraulichkeit der zu bearbeitenden Daten

Generell sind Mitarbeiter aufgrund rechtlicher Anforderungen (Bundesdatenschutzgesetz (BDSG) und Datenschutzgrundverordnung (DSGVO)) auf ihre Pflichten im Bezug auf Datenschutz zu schulen und verpflichten. Unabhängig vom Aufenthaltsort der Mitarbeiter ist der Schutz wichtiger Daten zu gewährleisten.

Dies beinhaltet primär die geschützte Übertragung der Daten von der Firma zum Computer in der heimischen Arbeitsecke. Streng genommen ist aber auch hier darauf zu achten, dass die Daten von niemandem (incl. Familie) einsehbar sein dürfen. Technisch lässt sich hier mit Folien für den Bildschirm zusätzlich zu organisatorischen Maßnahmen eine Lösung zur Verringerung des Blickwinkels umsetzen. Einige Businessnotebooks haben zuschaltbare Filter ab Werk eingebaut und bieten bei Bahnfahrten oder Coworkingspace Schutz vor ungewollter Einsicht durch den Sitznachbarn.

Gültigkeit von Unterschriften

Ein weiteres Problem stellt die Signierung von Dokumenten dar. Viele Geschäftsprozesse in kleineren Firmen sind nach wie vor auf das Ausdrucken und Unterschreiben von Dokumenten ausgelegt. Verbreitet ist hier das Einscannen der Unterschrift vom Chef, den die Sekretärin anschließend als Grafik unter den fertigen Brief einfügt.

Das Problem besteht darin, dass eine solche Unterschrift in manchen Fällen nicht rechtsgültig ist. Die Gerichte haben hier verschiedene Urteile zu den jeweiligen (un)zulässigen Fällen gefällt (bsp. LAG Berlin-Brandenburg, Az: 23 Sa 1133/21). Ein Abhandenkommen einer solchen Grafik birgt zudem ein hohes Missbrauchspotenzial.

Digitale Signaturen und Lösungen

Im Homebanking sind relativ früh erste Lösungen zum Einlesen von Chipkarten getroffen worden. Moderne Kartenleser lesen alle gängigen Chipkarten ein. Hiermit lassen sich EC/Kreditkarten, Firmen-Smartcards und elektronische Personalausweise auslesen. Letztere Möglichkeit erlaubt sogar digitale Behördengänge. Für das reine Signieren von wichtigen Dokumenten stellen einige Anbieter wie Adobe cloudbasierte Lösungen bereit.

Diese elektronische Signatur ist der traditionellen Unterschrift gleichgestellt, da der Unterzeichnende eindeutig identifiziert wird. Durch die Verwendung von digitalen Zertifikaten ist das signierte Dokument vor nachträglicher Veränderung geschützt.

Somit kann rechtssicher vom heimischen Büro aus ohne Gefahr von Identitätsdiebstahl gearbeitet werden.

Nutzen Sie unter 0201 – 17 1919 7 unseren CNE-Service im Bereich

Wir beraten Sie bei der Umsetzung des rechtssicheren Unterschreibens im Homeoffice

Ihre
CNE – Computer- und Netzwerktechnik Essen

Computer und Netzwerktechnik Essen Sascha Müller

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

13 + 8 =

Energiekosten – Energie-Management im Büro

Energiekosten – Energie-Management im Büro

Explodierende Energiekosten im Winter vermeiden

Energiemanagement im Büro

Vor dem Hintergrund explodierender Preise für Energie aller Arten werden von allen Seiten Schreckgespenster skizziert. Diese fangen an bei dramatisch steigenden (Betriebs)ausgaben und enden bei staatlich verordneten Rationierungsmaßnahmen.

Jetzt im heißen Sommer mag sich das alles noch weit entfernt anfühlen, der Beginn der kälteren Tageszeiten ist jedoch nicht mehr weit. Diese Zeit sollte für die rechtzeitige Umsetzung von Gegenmaßnahmen genutzt werden. Zusätzlich zur Planungsphase kommen noch die Lieferzeiten für zu bestellende (Netzwerk)geräte und Dienstleister.

Wieviel Komfort ist notwendig?

Komfort ist ein Begriff mit zwei Gesichtern. Komfort kann für unnötigen Luxus stehen oder für ein definiertes Wohlbefinden. Arbeitsmedizinisch erwiesen ist, dass bei ungünstigen Arbeitsbedingungen Konzentration und Arbeitsergebnisse leiden. Hierzu zählen zu warme oder kalte Temperaturen, Lichtverhältnisse und Sitzposition am Schreibtisch.

Eine häufig beobachtete Reaktion vieler Arbeitgeber besteht darin, die Belegschaft ins Homeoffice zu schicken. Dies spart Heizkosten bei komplett unbesetzten Büroräumen und beugt Infektionsrisiken vor.
An dieser Stelle ist es eine passende Gelegenheit, die Arbeitsplatzorganisation kritisch zu hinterfragen und Potenziale für Optimierungen auszuloten.

Am Anfang ist der Plan

Vor Erstellung eines Handlungsplans ist es notwendig, sich die jeweiligen Verbraucher anzusehen und deren Verbrauch zu messen. Danach folgt eine Abschätzung über die benötigte Betriebszeit am Tag und deren Notwendigkeit.

Hierzu können elektrische Verbraucher mit Energiekostenmessgeräten gemessen werden, um “stille” Verbraucher zu identifizieren. Ein Beispiel wäre der Laserdrucker mit stetig laufender Vorwärmung und einem Ausdruck am Tag. Die Kaffeemaschine, die die Glaskanne warmhält, ist ebenfalls ein verbreiteter stiller Verbraucher.

Danach werden anhand der Ergebnisse Maßnahmen wie Erneuerung oder zeitweiliges Abschalten festgelegt.

Konkrete Maßnahmen

Einige Maßnahmen sind bereits in älteren Beiträgen von uns vorgestellt worden, wie Heizungssteuerung oder Überwachung des Stromverbrauchs. Hierzu gehört die Anschaffung elektronischer Heizungsthermostate, die eine deutlich präzisere Regelung ermöglichen nebst Temperaturabsenkung nach Feierabend.

Je nach Vorgaben der Regierung kann eventuell zukünftig eine Protokollierung der Raumtemperaturen für bestimmte Gebäude gefordert werden.

Ein weiterer Faktor ist die Konsolidierung verschiedener alter Server auf ein neues Modell, oder der Austausch vom alten Computer gegen ein neues Notebook.

Alte Laserdrucker lassen sich gegen moderne Tintenstrahl-Geräte der Businessklasse getauscht werden, dessen Ausdrucke dokumentenecht sind. Nebenher verringert dies die Feinstaubbelastung. Neue Netzwerkkomponenten, die 24/7 laufen, beschleunigen nebenher das gesamte Netzwerk.

Im Rahmen der Büroorganisation kann überlegt werden, ob Schreibtische anders aufgestellt werden, oder ob Büroräume unterteilt werden können. Dies spart zu heizende Fläche. Vermeidung von Zugluft (bsp. durch Vorleger vor Fenstern) schafft einen zusätzlich Komfortvorteil für die Belegschaft.

Nutzen Sie unter 0201 – 17 1919 7 unseren CNE-Service im Bereich

Wir beraten Sie bei der Konzeption und der Umsetzung von Energiemanagement im Büro und Ihrer IT

Ihre
CNE – Computer- und Netzwerktechnik Essen

Computer und Netzwerktechnik Essen Sascha Müller

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

1 + 15 =

Hitzefrei für Server und Netzwerke

Hitzefrei für Server und Netzwerke

Hitzefrei für Server und Netzwerke

Während Schüler im Sommer darauf warten, dass die Schule hitzefrei verkündet, müssen in den Büros die Arbeitnehmer meist weiter schwitzen. Etwas Abkühlung verschaffen hier Ventilatoren, Eis und frisches Obst, welches oftmals vom Arbeitgeber ausgegeben wird. In der Regel werden aber die Mitarbeiter hinter den Kulissen vergessen: Server und Netzwerk, ohne welche in der Firma meist nichts mehr läuft, wenn diese mit Hitzschlag ausfallen.

Wärmelast und deren Herkunft

Speziell in kleineren Unternehmen sind die Räume für Netzwerk und Server selten als “richtige” Serverräume konzipiert. Oder eine vorhandene Klimaanlage wurde vor Jahren für deutlich niedrigere Leistung und Außentemperaturen geplant- früher waren hier 32 Grad Celsius die Normtemperatur. Diese werden nicht nur in Freiburg und Karlsruhe seit Jahren deutlich überschritten. Das Problem hierbei besteht darin, dass eine Klimaanlage bei zu hohen Außentemperaturen die Wärme nicht mehr abtransportieren kann und ausfällt.

Eine Wärmelastberechnung zeigt, wieviel Energie von Außen (Umgebungstemperatur und Sonneneinstrahlung) auf den Raum einwirkt. Zusätzlich fällt noch der Energieverbrauch der Server an.

Gegenmaßnahmen im IT-Notfall

Vorhandene Klimageräte lassen sich oft mit kleinen mobilen Geräten, die mit Schlauch durch Fenster lüften, ergänzen. Hier ist darauf zu achten, dass die Durchführungen mit speziellen Vorhängen abgedichtet werden, um eine Ansaugung der Warmluft zu vermeiden.

Baulich lassen sich unter Umständen Fenster mit speziellen reflektierenden Folien abkleben, oder Außenwände hell streichen. Sinnvoll ist es, die Temperatur im Serverraum zu überwachen. Die in hochwertigen Servern vorhandenen Temperatursensoren lassen sich mit spezieller Software überwachen und grafisch darstellen. Alternativ können viele USV-Anlagen mit Umgebungssensoren ausgestattet werden.

Zu Beginn des Sommers ist eine Kontrolle und Reinigung der Luftfilter von Server und Workstations sinnvoll – Andernfalls beeinträchtigen dichtgesetzte Filter die Kühlwirkung. Als organisatorische Maßnahme können unter Umständen einzelne Server ab Mittag heruntergefahren werden, wenn die darauf befindlichen Dienste nicht den ganzen Tag benötigt werden. Beispielsweise lassen sich Buchhaltungstätigkeiten und Überweisungen am Vormittag erledigen, wenn es draußen noch kühl ist.

Langfristige Maßnahmen zur IT-Sicherheit

Moderne Server und Netzwerkkomponenten sind zunehmend auf höhere Kühllufttemperaturen konstruiert. War vor einigen Jahren 30 Grad der Startschuss zur Selbstabschaltung, sind heutige Systeme auf 35 Grad oder mehr ausgelegt.

Moderne Systeme mit stromsparenden Prozessoren and SSD anstelle von Festplatten tragen ebenfalls dazu bei, den Serverraum nicht unnötig aufzuheizen. Energieeffizientere Netzteile tragen ebenfalls dazu bei, dass weniger unnötige Abwärme produziert wird, und reduzieren die Stromrechnung.

Eine Verlagerung wichtiger Dienste in die Cloud trägt dazu bei, lokale Serverhardware im Netzwerk einsparen zu können. Als Nebeneffekt wird hierdurch ein Arbeiten im Homeoffice erleichtert.

Nutzen Sie unter 0201 – 17 1919 7 unseren CNE-Service im Bereich

Wir beraten Sie bei der Konzeption und den Aufbau sowie den Betrieb von Serverräumen

Ihre
CNE – Computer- und Netzwerktechnik Essen

Computer und Netzwerktechnik Essen Sascha Müller

Brauchen Sie Hilfe oder Unterstützung?

Dann nehmen Sie hier Kontakt auf oder benutzen Sie das nachfolgende Formular. Die Angabe der Emailadresse ist erforderlich, die Angabe Ihrer Telefonnummer nur optional, jedoch hilfreich, um Ihre Fragen schnell beantworten zu können. Optimal ist die Angabe Ihrer Mobilrufnummer.

Wir geben keine Daten an Dritte weiter.

Sichere Kontaktaufname

Hinweis: Bitte lesen Sie VOR dem Absenden die Datenschutzerklärung

2 + 12 =