1
1
Sicherheitsleitfaden für Netzwerk-
Videorecorder Januar 2018
i
Über dieses Dokument
Dieser Leitfaden erläutert die Vorgehensweise zur Konfiguration eines Hikvision NVR-Systems, um ein
hohes Maß an Cybersicherheit zu gewährleisten.
Benutzerhandbuch
COPYRIGHT ©2018 Hangzhou Hikvision Digital Technology Co., Ltd.
ALLE RECHTE VORBEHALTEN.
Sämtliche Informationen, einschließlich Formulierungen, Bilder und Grafiken sind das Eigentum von
Hangzhou Hikvision Digital Technology Co., Ltd. oder seiner Tochtergesellschaften (im Folgenden
„Hikvision“). Eine Vervielfältigung, Veränderung, Übersetzung oder Verteilung dieses
Benutzerhandbuchs (im Folgenden „Handbuch“), in Teilen oder als Ganzes, auf irgendeine Weise, ist
ohne die vorherige schriftliche Zustimmung von Hikvision untersagt. Sofern nicht anderweitig
schriftlich vermerkt, übernimmt Hikvision keinerlei Garantien und macht keine Zusicherungen, weder
ausdrücklich noch stillschweigend, im Hinblick auf dieses Handbuch.
Markenhinweis
sowie andere Marken und Logos von Hikvision sind in den jeweiligen
Gerichtsbarkeiten Eigentum des Unternehmens. Im Folgenden erwähnte andere Marken und Logos
sind Eigentum der jeweiligen Markeninhaber.
Kontakt
No.555 Qianmo Road, Binjiang District, Hangzhou 310052, China
Tel.: +86-571-8807-5998
Fax: +86-571-8993-5635
E-Mail: [email protected]; [email protected]
Technischer Support: [email protected]
HSRC (Hikvision Security Response Center) E-Mail: [email protected]
ii
Haftungsausschluss
SOWEIT GESETZLICH ZULÄSSIG WERDEN DAS BESCHRIEBENE PRODUKT UND SEINE HARDWARE,
SOFTWARE UND FIRMWARE MIT ALLEN EVENTUELL VORHANDENEN FEHLERN UND MÄNGELN OHNE
GEWÄHR ZUR VERFÜGUNG GESTELLT, UND HIKVISION ÜBERNIMMT KEINE HAFTUNG, WEDER
AUSDRÜCKLICH NOCH STILLSCHWEIGEND, INSBESONDERE IM HINBLICK AUF DIE MARKTGÄNGIGKEIT,
ZUFRIEDENSTELLENDE QUALITÄT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK, UND
NICHTVERLETZUNG DER RECHTE DRITTER. UNTER KEINEN UMSTÄNDEN HAFTEN HIKVISION, SEINE
VORSTÄNDE, FÜHRUNGSKRÄFTE, MITARBEITER ODER VERTRETER FÜR INDIREKTE, NEBEN- ODER
FOLGESCHÄDEN, INSBESONDERE FÜR SCHÄDEN AUFGRUND VON ENTGANGENEM GEWINN,
UNTERBRECHUNG DES GESCHÄFTSBETRIEBS, DATENVERLUST ODER VERLUST VON DOKUMENTEN IN
ZUSAMMENHANG MIT DER VERWENDUNG DIESES PRODUKTS, SELBST WENN HIKSIVION AUF DIE
MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE.
PRODUKTE MIT INTERNETZUGANG VERWENDET DER KUNDE AUF EIGENE GEFAHR. HIKVISION
ÜBERNIMMT KEINE VERANTWORTUNG FÜR ANOMALIEN IM BETRIEB, DIE ENTWENDUNG PRIVATER
DATEN ODER ANDERE SCHÄDEN AUFGRUND VON CYBERANGRIFFEN, HACKERANGRIFFEN,
VIRENBEFALL ODER ANDEREN BEDROHUNGEN AUS DEM INTERNET. FALLS ERFODERLICH, STELLT
HIKVISION JEDOCH ZEITNAH TECHNISCHE UNTERSTÜTZUNG ZUR VERFÜGUNG.
DIE GESETZESLAGE IM HINBLICK AUF ÜBERWACHUNGSMASSNAHMEN VARIIERT JE NACH
GERICHTSBARKEIT. BITTE PRÜFEN SIE VOR VERWENDUNG DIESES PRODUKTS DIE RECHTSLAGE IN
IHRER GERICHTSBARKEIT, UM EINEN VERSTOSS GEGEN GELTENDE GESETZE ZU VERMEIDEN. HIKVISION
IST NICHT HAFTBAR BEI EINER VERWENDUNG DIESES PRODUKTS FÜR ILLEGALE ZWECKE.
IM FALLE VON WIDERSPRÜCHEN ZWISCHEN DIESEM HANDBUCH UND GELTENDEN GESETZEN HABEN
LETZTERE VORRANG.
iii
Inhalt
1. Kurzfassung .................................................................................................. 1
2. Sicherheitskonfiguration .............................................................................. 1
2.1 Implementierung von Sicherheitsfunktionen .................................. 1
2.2 Identifizierung und Authentifizierung .............................................. 1
2.2.1 Festlegen eines starken Passworts .............................................. 1
2.2.2 Aktivieren von Geräten mit einem starken Passwort .................. 2
2.2.3 Verwendung von GUID oder Sicherheitsabfragen für das
Zurücksetzen eines Passworts ....................................................................... 3
2.2.4 Auswahl einer sicheren Authentifizierungsmethode .................. 4
2.3 Benutzerverwaltung ........................................................................... 4
2.4 Systemprotokolle ................................................................................ 6
2.5 Ports und Dienste ............................................................................... 7
2.5.1 SNMP ........................................................................................... 7
2.5.2 UPnP™ ......................................................................................... 8
2.5.3 Portweiterleitung ......................................................................... 8
2.5.4 Hik-Connect ................................................................................. 9
2.6 Schutz von Videodaten ....................................................................... 9
2.6.1 Sperren/Entsperren von Videodateien ....................................... 9
2.6.2 Festplatte mit reinem Lesezugriff .............................................. 10
2.6.3 Backup ....................................................................................... 11
2.7 Sichere Verwaltung ........................................................................... 12
2.7.1 NTP ............................................................................................ 12
2.7.2 Exportieren/Importieren der Konfigurationsdatei .................... 12
2.7.3 Wiederherstellen der Standardeinstellungen ........................... 13
2.8 Firmware-Aktualisierung .................................................................... 14
2.9 Kommunikationssicherheit ............................................................. 14
2.9.1 HTTPS ......................................................................................... 14
2.10 Verwaltung der Sicherheit ............................................................ 15
3. Schlussfolgerung ........................................................................................ 16
1
1. Kurzfassung
Verschiedene Arten von Sicherheitsbedrohungen aus dem Internet haben sich zu
einer ernstzunehmenden Gefahr für Netzwerkgeräte und die Privatsphäre von
Benutzern entwickelt. In die Netzwerk-Videorecorder von Hikvision wurden eine Reihe
zuverlässiger Sicherheitsfunktionen integriert, die den Benutzer vor diesen
Bedrohungen schützen. So bemerkt er in der Regel nicht einmal, dass sein Gerät
angegriffen wurde. Hikvision hat mehrere Funktionen zur Verbesserung der
Cybersicherheit in seine Geräte integriert und zugleich viele Funktionen
standardmäßig deaktiviert. Auf diese Weise hat der Benutzer die Wahl, welche
Sicherheitsfunktionen er seinen Anforderungen entsprechend aktivieren möchte.
Anmerkung: Dieses Dokument bietet einen allgemeinen Überblick über
Sicherheitsfunktionen. Jeder Benutzer sollte die für seine tatsächliche Situation
geeigneten Sicherheitseinstellungen selbst auswählen.
2. Sicherheitskonfiguration
2.1 Implementierung von Sicherheitsfunktionen
Die NVRs von Hikvision aus dem mittleren und dem High-End-Segment verfügen über
zwei Netzwerkadapter und sind mit einem oder zwei LAN-Ports und PoE-Ports
ausgestattet. Im Modus „Multi-Address“ können Benutzer einen LAN-Port für die
Verbindung mit dem LAN konfigurieren und den anderen für das Wide Area Network.
Die beiden Netzwerkumgebungen sind in ausreichendem Maße voneinander getrennt,
was zu einer verbesserten Sicherheit führt. Es wird davon ausgegangen, dass Benutzer
den NVR in einem Rechenzentrum oder einem ähnlichen Raum mit entsprechenden
physischen Sicherheitsvorkehrungen implementieren.
2.2 Identifizierung und Authentifizierung
2.2.1 Festlegen eines starken Passworts
Wie lässt sich ein starkes Passwort erstellen?
Ein genereller Hinweis zur Erstellung starker Passwörter für Hikvision Geräte:
(1) Zulässige Anzahl von Zeichen [8-16].
2
(2) Sie können eine Kombination aus Zahlen, Groß- und Kleinbuchstaben sowie
Sonderzeichen verwenden. Ihr Passwort sollte mindestens zwei dieser
Elemente enthalten.
Sogenannte „Passphrasen“ lassen sich leicht merken und sind nur schwer zu
knacken. Hier eine einfache Möglichkeit zur Erstellung einer „Passphrase“.
(1) Wählen Sie einen Satz, der eine Zahl enthält.
(2) Verwenden Sie jeweils nur den Anfangsbuchstaben des Worts.
(3) Behalten Sie hierbei die Groß- und Kleinschreibung der Buchstaben im
ursprünglichen Satz bei.
(4) Verwenden Sie Zahlen als Ersatz für Buchstaben, beispielsweise eine „3“ für
„e“ oder „4“ statt „für“.
(5) Behalten Sie die Zeichensetzung bei.
Im Folgenden finden Sie einen Beispielsatz:
„Mein Flug nach New York geht um drei Uhr am Nachmittag! “.
Daraus wird die Passphrase: „MFnNYgu3UaN! “.
Einige Tipps für ein starkes Passwort:
(1) Verwenden Sie keine im Alphabet aufeinanderfolgenden Buchstaben oder
Zahlenkombinationen wie „cdef“, „12345“.
(2) Speichern Sie keinesfalls Passwörter im Webbrowser, wenn Sie einen
öffentlichen Computer verwenden.
(3) Senden Sie niemals Ihre Passwörter per E-Mail an andere Personen.
(4) Erwägen Sie die Verwendung eines Passwortmanagers, damit Sie sich nicht alle
Passwörter merken müssen.
2.2.2 Aktivieren von Geräten mit einem starken Passwort
Für die Geräte von Hikvision muss der Benutzer vor der Aktivierung ein Passwort
definieren (siehe Abbildung unten). Zum Schutz Ihrer vertraulichen und persönlichen
Daten empfehlen wir dringend die Verwendung eines starken Passworts, das den
Regeln für Passwörter entspricht.
3
Abb. 2-1 Aktivierung
2.2.3 Verwendung von GUID oder Sicherheitsabfragen für das
Zurücksetzen eines Passworts
Nach erfolgter Aktivierung des NVRs wird der Benutzer aufgefordert, eine GUID-Datei
zu exportieren. Diese kann zum Zurücksetzen des Passworts verwendet werden.
Abb. 2-2 GUID-Datei
Zusätzlich kann der Benutzer Sicherheitsfragen festlegen, die für das Zurücksetzen des
Passworts beantwortet werden müssen.
Abb. 2-3 Konfiguration der Sicherheitsabfrage
Rufen Sie die Schnittstelle für das Zurücksetzen des Passworts auf, indem Sie auf
„Forget Password“ (Passwort vergessen) klicken.
4
Abb. 2-4 Passwort vergessen
Nach mehr als 7 fehlgeschlagenen Anmeldeversuchen mit der GUID oder den
Sicherheitsfragen wird die Funktion gesperrt und der Benutzer kann erst nach einer
Minute erneut versuchen, das Passwort zurückzusetzen.
Nachdem das Admin-Passwort geändert oder die GUID-Datei verwendet wurde,
verliert diese ihre Gültigkeit.
2.2.4 Auswahl einer sicheren Authentifizierungsmethode
Von RTSP und WEB werden zwei Authentifizierungsmethoden unterstützt:
„Digest“ und „Digest/Basic“. Bitte wählen Sie „Digest“, da diese Methode mehr
Sicherheit bietet. Bei der Authentifizierungsmethode „Digest“ wird der Digestwert des
Passwort übertragen. Somit besteht keine Gefahr, dass ein in reiner Textform
übertragenes Passwort abgefangen werden könnte.
2.3 Benutzerverwaltung
Der Hikvision NVR unterstützt drei verschiedene Arten von Benutzerrollen: Admin,
Bediener und Benutzer. Für die Erstellung aller Benutzerkonten empfehlen wir
dringend die Verwendung eines starken Passworts mit mindestens acht Zeichen, das
Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthält. Dies verringert
die Wahrscheinlichkeit, dass ein Passwort bei einem Hacker-Angriff erraten werden
kann.
Darüber hinaus empfehlen wir die regelmäßige Änderung von Passwörtern, vor allem
bei Hochsicherheitsanlagen.
Der Administrator sollte alle Benutzerkonten regelmäßig überprüfen und nicht mehr
verwendete Konten löschen.
Wenn der Administrator mehr als siebenmal das falsche Passwort eingibt (fünfmal im
Falle eines Bedieners/Benutzers), wird das Konto gesperrt, um es vor einer Brute-
Force-Attacke zu schützen.
5
Abb. 2-5 Benutzerverwaltung
Der Administrator kann den einzelnen Benutzern unterschiedliche Berechtigungen
zuweisen.
Die Berechtigungen sind in drei Bereiche gegliedert:
Lokale Konfiguration
Fernkonfiguration
Kamerakonfiguration
Lokale Konfiguration
• Lokale Protokollsuche: Durchsuchen und Anzeigen von Protokollen und
Systeminformationen des NVR
• Lokale Parametereinstellungen: Konfiguration von Parametern, Wiederherstellung
der Werkseinstellungen und Import/Export von Konfigurationsdateien
• Lokale Kameraverwaltung: Hinzufügen, Löschen und Bearbeiten von IP-Kameras
• Erweiterte lokale Steuerung: Festplattenverwaltung (Initialisierung, Definieren von
Festplatteneigenschaften), Aktualisierung der System-Firmware, Löschen von E/A-
Alarmausgaben
• Lokales Herunterfahren und Neustarten: Herunterfahren oder Neustarten des NVR
Fernkonfiguration
• Protokollsuche aus der Ferne: Anzeige der auf dem NRV gespeicherten Protokolle
aus der Ferne
• Parametereinstellungen aus der Ferne: Konfiguration von Parametern,
Wiederherstellung der Werkseinstellungen und Import/Export von
Konfigurationsdateien aus der Ferne
• Kameraverwaltung aus der Ferne: Hinzufügen, Löschen und Bearbeiten von IP-
6
Kameras aus der Ferne
• Fernsteuerung serieller Ports: Konfigurieren der Einstellungen für die Ports RS-232
und RS-485
• Remote-Videosteuerung: Fernsteuerung von Signalen für Tasten
• 2-Wege-Audio: Realisieren einer 2-Wege-Audioverbindung zwischen dem Remote-
Client und dem NVR
• Remote-Alarmsteuerung: Aktivierung (Informieren des Remote-Client über Alarm
und Ausnahmemeldung) und Steuerung der Alarmausgabe aus der Ferne
• Erweiterte Fernsteuerung: Festplattenverwaltung (Initialisierung, Definieren von
Festplatteneigenschaften), Aktualisierung der System-Firmware, Löschen von E/A-
Alarmausgaben aus der Ferne
• Herunterfahren und Neustarten aus der Ferne: Herunterfahren oder Neustarten des
NVR aus der Ferne
Kamerakonfiguration
• Remote-Liveansicht: Liveansicht des Videostreams einer oder mehrerer
ausgewählter Kameras aus der Ferne
• Lokale manuelle Steuerung: Lokales Starten/Anhalten der manuellen Aufzeichnung
und Alarmausgabe für eine oder mehrere ausgewählte Kameras
• Manuelle Fernsteuerung: Starten/Anhalten der manuellen Aufzeichnung und
Alarmausgabe für eine oder mehrere ausgewählte Kameras aus der Ferne
• Lokale Wiedergabe: Lokale Wiedergabe aufgezeichneter Dateien bei einer oder
mehreren ausgewählten Kameras
• Fernwiedergabe: Fernwiedergabe aufgezeichneter Dateien bei einer oder mehreren
ausgewählten Kameras
• Lokale PTZ-Steuerung: Lokale PTZ-Steuerung einer oder mehrerer ausgewählter
Kameras
• PTZ-Fernsteuerung: PTZ-Fernsteuerung einer oder mehrerer ausgewählten Kameras
• Lokaler Videoexport: Lokaler Export aufgezeichneter Dateien bei einer oder
mehreren ausgewählten Kameras
2.4 Systemprotokolle
Steuerungen, Alarme, Ausnahmen und Informationen über den NRV werden in den
Protokolldateien gespeichert, die jederzeit angezeigt und exportiert werden können.
Zu den im Protokoll gespeicherten Informationen zählen Zahl, Zeit, Haupttyp, Untertyp,
Kanalnummer, Lokaler/Remote-Benutzer und Remote Host-IP. Benutzer können
verschiedene Suchparameter festlegen, darunter Haupttyp, Untertyp, Startzeit und
Endzeit. Das Protokoll wird fortlaufend im Binärdateiformat gespeichert. Ist der
7
Speicherplatz für die Protokolldateien vollständig belegt, wird die älteste
Protokolldatei von der neuen überschrieben. Protokolle können nicht geändert oder
gelöscht werden.
Abb. 2-6 Systemprotokoll
2.5 Ports und Dienste
Um die Gefahr von Angriffen auf das Netzwerk zu verringern, öffnet der NRV
standardmäßig nur bestimmte Ports. Benutzer sollten nur jene Ports und Dienste
aktivieren, die auch tatsächlich benötigt werden.
2.5.1 SNMP
Mithilfe des SNMP-Protokolls lassen sich Gerätestatus und Parameterinformationen
abfragen.
Achten Sie darauf, das SNMP-Protokoll zu deaktivieren, wenn es nicht benötigt wird.
Abb. 2-7 SNMP
8
2.5.2 UPnP™
Das Universal Plug and Play (UPnP™) ermöglicht dem Gerät die nahtlose Erkennung
anderer Geräte im Netzwerk und die Herstellung einer Netzwerkverbindung für die
gemeinsame Datennutzung, zur Kommunikation usw. Mithilfe der UPnP™-Funktion
lässt sich das Gerät über einen Router ohne vorheriges Port-Mapping schnell mit dem
WAN verbinden. Die UPnP™-Funktion ist standardmäßig deaktiviert. Sie sollten sie nur
aktivieren, wenn die Funktion tatsächlich benötigt wird.
ANMERKUNG: Während die UPnP™-Funktion gewisse Vorteile bietet, sollte sie nur aktiviert
werden, wenn sie tatsächlich benötigt wird. Bei aktivierter Funktion kann jedes Gerät in Ihrem
internen Netzwerk Ports auf Ihrem Router öffnen und so einen Internetzugang herstellen.
Falls Sie die UPnP™-Funktion des Geräts aktivieren, müssen Sie auch die UPnP™-Funktion des
Gateway-Routers aktivieren, mit dem Ihr Gerät verbunden ist. Ist für das Gerät der
Netzwerkmodus „Multi-Address“ aktiviert, muss die Standard-Route des Geräts sich im
gleichen Netzwerksegment wie die LAN IP-Adresse des Routers befinden. Detaillierte Hinweise
hierzu finden Sie im Benutzerhandbuch.
Abb. 2-8 UPnP
2.5.3 Portweiterleitung
Falls sich ein Gerät hinter einer Firewall befindet und Zugang zum Internet benötigt,
kann hierfür eine Portweiterleitung konfiguriert werden. Beachten Sie die folgenden
bewährten Vorgehensweisen zur Gewährleistung der Sicherheit, um die Gefahr von
Cyberangriffen auf Ihr mit dem Internet verbundenes Gerät zu minimieren.
1. Minimieren Sie die Anzahl der Ports, die einen Zugriff auf das Gerät über das
Internet erlauben. Konfigurieren Sie nur dann eine Portweiterleitung, wenn sie
wirklich benötigt wird. Beispielsweise eine Weiterleitung über Port 443, falls
verschlüsselte Webdienste benötigt werden.
2. Stellen Sie sicher, dass alle Konten durch sehr starke Passwörter geschützt sind.
Dies ist besonders wichtig, wenn ein Gerät mit dem Internet verbunden ist.
3. Vermeiden Sie die Verwendung allgemein üblicher Ports und definieren Sie
9
stattdessen eigene Ports. So wird beispielsweise Port 80 normalerweise für HTTP
verwendet. Es wird empfohlen, die Ports für einen bestimmten Service selbst
festzulegen. Die Definition eines benutzerdefinierten Ports muss gemäß der
TCP/IP-Port-Definition (1-65535) erfolgen.
2.5.4 Hik-Connect
HIK Cloud P2P bietet eine Anwendung für Mobiltelefone sowie die Seite der
Serviceplattform für den Zugriff und die Verwaltung Ihres verbundenen NVR. Somit
steht Ihnen ein bequemer Fernzugriff auf das Überwachungssystem zur Verfügung.
Die Funktion „Stream Encryption“ verschlüsselt den vom NVR gesendeten
Videostream und der Benutzer muss einen Bestätigungscode eingeben, um den Live-
Stream verfolgen oder später wiedergeben zu können.
Abb. 2-9 Hik-Connect
2.6 Schutz von Videodaten
Sie können die aufgezeichneten Videodateien sperren oder in den
Festplatteneigenschaften einen reinen Lesezugriff definieren, um ein Überschreiben
der Videodateien zu verhindern.
Die Videodateien können auf verschiedenen Geräten gespeichert werden,
beispielsweise auf USB-Geräten (USB-Speicher-Sticks, USB-Festplatten, USB-Brennern),
SATA-Brennern und e-SATA-Festplatten. Falls die Festplatte voll ist, müssen Sie Ihre
Videodateien regelmäßig sichern.
2.6.1 Sperren/Entsperren von Videodateien
Benutzer können die Backup-Schnittstelle aufrufen, den zu durchsuchenden Kanal
10
auswählen und Suchbedingungen definieren, beispielsweise Videotyp, Dateityp, Start-
und Stoppzeit. Auf diese Weise lassen sich die zu schützenden Videodateien ermitteln,
um sie zu sperren bzw. zu entsperren. Eine Abbildung der Konfigurationsschnittstelle
sehen Sie unten. Detaillierte Hinweise zu den einzelnen Schritten finden Sie im
Benutzerhandbuch.
Abb. 2-10 Sperren von Dateien
2.6.2 Festplatte mit reinem Lesezugriff
Die Festplatte kann für Redundanz, reinen Lesezugriff oder Lese-/Schreibzugriff (R/W)
konfiguriert werden. Wählen Sie vor der Definition der Festplatteneigenschaften als
Speichermodus „Group“ (Gruppe) aus. Weitere Hinweise finden Sie in den Schritten 1-
4 im Kapitel „Setting HDD Groups“ (Festlegen von Festplattengruppen).
Um ein Überschreiben wichtiger aufgezeichneter Dateien bei einer vollen Festplatte
zu verhindern, wenn der Modus für das Überschreiben von Aufzeichnungen aktiviert
ist, kann die Festplatte für reinen Lesezugriff konfiguriert werden.
11
Abb. 2-11 Festplatteneinstellung für reinen Lesezugriff
2.6.3 Backup
Der NVR unterstützt die Sicherung von Dateien, Ereignisvideos, Videoclips und Bildern.
Benutzer sollten wichtige Daten regelmäßig sichern. Detaillierte Hinweise hierzu
finden Sie im Benutzerhandbuch.
Abb. 2-12 Backup
12
2.7 Sichere Verwaltung
2.7.1 NTP
Ein Network Time Protocol (NTP) Server kann auf Ihrem NVR konfiguriert werden, um
die Genauigkeit von Systemdatum und -uhrzeit sicherzustellen Detaillierte Hinweise
hierzu finden Sie im Benutzerhandbuch.
Abb. 2-13 NTP-Einstellung
2.7.2 Exportieren/Importieren der Konfigurationsdatei
Die Konfigurationsdateien des NVR können als Backup auf ein lokales Gerät exportiert
werden. Es ist auch möglich, die Konfigurationsdateien eines NVR auf andere NVRs zu
übertragen, falls eine Konfiguration dieser Geräte mit den gleichen Parametern
gewünscht ist. Mithilfe eines benutzerdefinierten Schlüssels, den der Benutzer
während des Exportvorganges erstellt, lassen sich die Geräteparameter des NVR
verschlüsseln. Wenn der Benutzer die Konfigurationsdatei importiert, wird hierfür der
gleiche Schlüssel benötigt.
13
Abb. 2-14 Export der Konfigurationsdatei
2.7.3 Wiederherstellen der Standardeinstellungen
Falls Sie sich im Hinblick auf die Änderungen an der Gerätekonfiguration nicht sicher
sind oder vermuten, dass ein Gerät manipuliert wurde, können Sie die
Standardeinstellungen des Geräts wiederherstellen.
Hierfür stehen drei Optionen zur Verfügung:
Wiederherstellen der Standardeinstellungen: Zurücksetzen aller Parameter mit
Ausnahme der Parameter für Netzwerk (einschließlich IP-Adresse, Subnetzmaske,
Gateway, MTU, NIC-Betriebsmodus, Standard-Route, Server-Port usw.) und
Benutzerkonto auf die Werkseinstellungen
Werkseinstellungen: Zurücksetzen aller Parameter auf die Werkseinstellungen
Zurücksetzen auf inaktiv: Zurücksetzen des Geräts in den inaktiven Zustand
Abb. 2-15 Werkseinstellungen
14
2.8 Firmware-Aktualisierung
Es wird dringend empfohlen, bei allen Geräten von Hikvision regelmäßig die Firmware
zu aktualisieren, um ein stabiles und sicheres System zu gewährleisten.
Der NVR unterstützt zwei Aktualisierungsmethoden: lokale Aktualisierung und
Remote-Aktualisierung.
Eine Abbildung der Konfigurationsschnittstelle sehen Sie unten. Detaillierte Hinweise
zu den einzelnen Schritten finden Sie im Benutzerhandbuch.
Abb. 2-16 Aktualisierung
2.9 Kommunikationssicherheit
2.9.1 HTTPS
HTTPS ermöglicht die verschlüsselte Authentifizierung eines Web-Client an einem
Webserver und bietet so Schutz vor „Packet-Sniffing“ und „Man-in-the-Middle-
Angriffen“. Die Konfiguration von HTTPS kann aus der Ferne mit der Webseite oder
dem iVMS-Client erfolgen.
15
Abb. 2-17 HTTPS
Anmerkung: 1. Bei allen selbstsignierten Zertifikaten wird ein Fenster wie das untere
angezeigt, da diese Zertifikate nicht durch eine Zertifizierungsstelle (CA) signiert
wurden. Klicken Sie auf „Laden dieser Webseite fortsetzen“.
Abb. 2-18 Popupfenster bei nicht autorisiertem Zertifikat
2. Wir empfehlen die Verwendung von Zertifikaten, die von einer vertrauenswürdigen
Zertifizierungsstelle (CA) signiert wurden, um die Sicherheit beim Zugriff auf Webseiten
zu verbessern. Zudem entfällt dadurch die Anzeige des Popupfensters mit der Warnung
vor selbstsignierten Zertifikaten.
2.10 Verwaltung der Sicherheit
Einer der wichtigsten Faktoren für die Produktsicherheit ist die Verwaltung der
Sicherheit. Ein System lässt sich mithilfe von technischen Einstellungen und
Konfigurationen für Cybersicherheit nur schwer schützen, wenn sich die Benutzer
nicht an bewährte Vorgehensweisen zur Gewährleistung der Sicherheit halten. Im
Folgenden finden Sie einige allgemeine Hinweise zur Verwaltung der Sicherheit:
(1) Entwickeln Sie entsprechende Systeme, Prozesse, Pläne, Bedienungshinweise und
Formulare für die Produktsicherheit. Dokumentieren Sie alle Prozesse und führen Sie
Simulationen oder Übungen durch, damit sich im Ernstfall alle Benutzer der Abläufe
bewusst sind.
(2) Verwenden Sie Tools für Sicherheitsscans, Konfigurationsverifizierung und
16
Penetrationstests, um die Sicherheit von Netzwerken und Geräten zu bewerten.
Identifizieren Sie anschließend mögliche Sicherheitsrisiken, bewerten Sie das Risiko
und erstellen Sie einen Plan zu deren Behebung.
(3) Entwerfen Sie auf Basis der Ergebnisse Ihrer Produktsicherheitsbewertung einen
entsprechenden Vorschlag zur Optimierung und einen Handlungsleitfaden. Führen Sie
anschließend die Optimierung durch und überprüfen Sie deren Effizienz.
(4) Überwachen Sie rund um die Uhr die Sicherheit aller Netzwerke und Geräte. Diese
Überwachung sollte unter anderem die Verfügbarkeit von Systemen und Netzwerken,
die Erkennung bösartiger Software und Intrusion Detection umfassen.
(5) Überprüfen Sie in regelmäßigen Abständen die Cybersicherheit Ihres Netzwerks
sowie Ihrer Anwendungen. Passen Sie anhand der Ergebnisse die Firewall von
Plattform, Server und anderen Netzwerkgeräten für die Videoüberwachung ebenso an
wie die Sicherheitsrichtlinien des Host-Systems, um die Produktsicherheit weiter zu
verbessern.
(6) Richten Sie sich nach den in der Internetbranche üblichen Mechanismen für
Reaktionen im Notfall und kombinieren Sie diese mit eigenen Notfallmaßnahmen, um
das Videoüberwachungssystem für den Ernstfall zu wappnen.
(7) Sensibilisieren Sie das Sicherheitsbewusstsein der Mitarbeiter in den
unterschiedlichen Bereichen der Videoüberwachung und führen Sie Schulungen zur
Verwaltung der Systemsicherheit durch.
(8) Die Einstellungen der Produktsicherheit richten sich nach den grundlegenden
Prinzipien der Sicherheit von Datensystemen: dem Prinzip der minimalen Rechte, dem
Prinzip der Dezentralisierung und Ausgewogenheit, dem Prinzip der
Sicherheitsisolation usw.
3. Schlussfolgerung
Dieser Sicherheitsleitfaden wird regelmäßig aktualisiert, um Ihnen bewährte
Vorgehensweisen zum aktuellen Stand der Netzwerksicherheit aufzuzeigen.
Hikvision engagiert sich bereits seit vielen Jahren für die Weiterentwicklung der
Netzwerksicherheit und stellt Benutzern branchenweit führende Technologie zum
Thema Cybersicherheit zur Verfügung.
Unter http://www.hikvision.com/cn/support_list_591.html finden Sie weitere
Informationen zum Thema Cybersicherheit. Bei Fragen zur Cybersicherheit können Sie
uns per E-Mail kontaktieren unter [email protected].