Management und Wissen / Physische Sicherheit und Datenschutz

DS-GVO: Handlungsbedarf bei physischer Sicherheit

Die EU-Datenschutzgrundverordnung (DS-GVO) stellt auch neue Anforderungen an den Schutz personenbezogener Daten im Zusammenhang mit Systemen für Zutrittskontrolle und Videoüberwachung – Unternehmen sollten hier ihre Praxis auf den Prüfstand stellen.

Von Nick D’hoedt, Düsseldorf

Compliance-Projekte zur EU-Datenschutzgrundverordnung (DS-GVO oder General Data Protection Regulation, GDPR) konzentrieren sich bislang häufig auf die IT-Sicherheit der Netzwerk- und Endpoint-Ebene und befassen sich nur nachrangig mit den Auswirkungen auf die Infrastruktur zur physischen Sicherheit. Dieser Fokus ist aus zwei Gründen zu eng gefasst: Zum einen generieren auch Videoüberwachung und Zutrittskontrolle personenbezogene Daten, die unter den besonderen Schutz der DSGVO fallen. Zum anderen können durch unzureichend gesicherte Komponenten der physischen Sicherheitsinfrastruktur gefährliche Lücken entstehen, über die Kriminelle in das Netzwerk gelangen und Zugang zu sensiblen Daten erhalten könnten.

Unternehmen müssen also sowohl für den Schutz der eigentlichen Daten als auch für die „Sicherheit der Sicherheit“ Sorge tragen, um auch bei der physischen Securityinfrastruktur Compliance mit der DS-GVO zu erzielen. Im Mittelpunkt stehen hier die beiden neu eingeführten Anforderungen von „State-of-the-Art“-Security und „Privacy by Design“. Diese Prinzipien wurden bewusst nicht inhaltlich konkretisiert, um einerseits keine bestimmten Verfahren zu favorisieren und andererseits der schnellen Weiterentwicklung in diesem Bereich Rechnung zu tragen. Im „Ernstfall“ einer internen oder externen Datenschutzverletzung sowie bei Audits liegt die Last des Nachweises der technischen Aktualität aber bei den Unternehmen/Betreibern.

Sicherheit der Sicherheit

Aufgrund ihrer aufwändigen Installation und proprietären Verkabelung sind Zutrittskontrollsysteme oft über viele Jahre oder sogar Jahrzehnte unverändert im Einsatz. Spätestens mit Einführung der DS-GVO haben Unternehmen jetzt aber (erneut) einen deutlichen Anreiz, über die Migration zu einem modernen IP-basierten System nachzudenken: Alte Hardware ist schwer zu ersetzen beziehungsweise zu aktualisieren und weist nicht selten bekannte und somit leicht auszunutzende Schwachstellen auf.

IP-basierte Zutrittskontrollsysteme ermöglichen hingegen eine fast freie Auswahl auf dem Gerätemarkt und können auf Jahre hinaus an die aktuelle Bedrohungslandschaft angepasst werden. Zusammen mit Videoüberwachung, Alarmsystemen et cetera lassen sie sich in eine übergreifende, einheitliche Managementinfrastruktur integrieren. Dies ist besonders angesichts der neu eingeführten Pflicht wichtig, sicherheitsrelevante Vorfälle „ohne unangemessene Verzögerung“ zu melden – denn hierfür ist eine hohe Transparenz der gesamten Infrastruktur Voraussetzung.

Gleichzeitig bedeuten aber auch moderne Systeme neue Herausforderungen: Durch die Migration zu einer IP-basierten physischen Sicherheitsinfrastruktur wächst die Zahl der über das Netzwerk erreichbaren Endgeräte, darunter IP-fähige Kameras, Lesegeräte, Schlösser und Intercoms. Die Erfahrung zeigt, dass viele solche Geräte zumindest in der Standardeinstellung als unsicher gelten müssen – ohne aufmerksame Konfiguration oder zusätzliche Maßnahmen besteht die Gefahr, dass Angreifer ein ungesichertes Gerät übernehmen und sich sodann lateral durch das Netzwerk vorarbeiten.

Kameras und Lesegeräte schützen

Der erste und wichtigste Schritt zur Absicherung von Videokameras und anderen IP-Geräten sollte daher immer die Vergabe eines starken Passworts und die Abschaltung nicht benötigter Funktionen sein. Auch ein Härten von IP-Geräten kann aber nicht verhindern, dass Angreifer zum Beispiel Videoübertragungen zwischen Kameras, Clients und der Management-Plattform abfangen oder sogar manipulieren. Deshalb ist der Einsatz starker Verschlüsselungsverfahren von entscheidender Bedeutung. Über das Transport-Layer-Security-Protokoll (TLS) können Kommunikationskanäle zwischen Servern und Client-Applikationen sowie zwischen Servern untereinander verschlüsselt und damit geschützt werden. Bei der Übertragung von Videoaufnahmen mit dem Realtime- Streaming-Protocol (RTSP) sollte man zudem durch „RTSP over TLS“ eine weitere Verschlüsselungsebene etablieren.

Der Schutz von Systemen für die physische Zutrittskontrolle ist indessen eine deutlich komplexere Aufgabe als die Absicherung der Videoüberwachung: Der Grund dafür liegt in der Vielzahl der über die ganze Architektur verteilten Komponenten – von den eingesetzten Karten über Türlesegeräte und Controller bis zur Software. Unternehmen können auf jeder Ebene beginnen, das Risiko eines Angriffs schrittweise zu senken; letztendlich muss man aber jede Komponente in das Sicherheitskonzept einbeziehen. Verschiedene Verfahren können jedoch dabei helfen, Systeme für die physische Zutrittskontrolle sicherer zu machen.

  • Smartcards: Karten mit Magnetstreifen und auch kontaktlose Proximity-Cards (125 kHz) müssen als inhärent unsicher gelten, weil sie unverschlüsselte Credentials enthalten, die sich über verschiedene Verfahren auslesen und auf Blanko-Karten übertragen lassen. Unternehmen setzen daher heute vermehrt auf Smartcards, die nur verschlüsselte beziehungsweise sicher gekapselte Informationen enthalten. Für höchste Sicherheitsanforderungen empfi ehlt sich die Verwendung von 13.56-MHz-Smartcard- Systemen auf Basis der iCLASS SEOS oder MIFARE DESFire EV1 Plattform von HID Global, da hier die Daten auch bei der Übertragung von der Karte zum Lesegerät verschlüsselt werden.
  • OSDP Secure Protocol: Viele ältere Systeme für die physische Zugangskontrolle verwenden für die Datenübertragung zwischen Lesegerät und Controller noch das Wiegand-Protokoll. Mit einem kleinen, schnell angebrachten Spionagegerät für 10 US-$ können Angreifer diese Kommunikation leicht anzapfen und aufzeichnen. Durch den Austausch älterer Geräte gegen neue mit Unterstützung des „Open Supervised Device Protocol (OSDP) Secure Channel“ mit Ende-zu-Ende-Verschlüsselung lässt sich die Kommunikation zwischen Lesegerät und Controller jedoch umfassend schützen.
  • Gehärtete Software: Die Software von Systemen für Zutrittskontrolle und Videoüberwachung muss heute über eigene Sicherheitsmechanismen verfügen – ein Schutz allein auf der Netzwerkebene ist unzureichend. Zwei-Faktor-Authentifi zierungsverfahren ermöglichen die Überprüfung von Nutzeridentitäten und stellen gleichzeitig sicher, dass Anwender nicht Opfer eines Man-in-the-Middle-Angriffs werden. Gerade im Hinblick auf die DS-GVO sind zudem Autorisierungsverfahren unerlässlich, damit Nutzer nur innerhalb ihrer zugebilligten Rechte Daten aufrufen, exportieren, löschen oder bearbeiten können.

Langfristig wird zudem die Ablösung älterer Hardware an der Tür unvermeidbar sein – das muss aber kein „Forklift-Upgrade“ bedeuten, bei dem große Teile der Infrastruktur auf einen Schlag ausgetauscht werden müssen. Moderne IP-basierte Zutrittskontrollsysteme ermöglichen etwa die Einbindung nichtproprietärer Wiegand-Lesegeräte, sodass Unternehmen die Hardware schrittweise austauschen können, um Hochrisikobereiche zuerst zu schützen. Unter Umständen können sogar proprietäre und normalerweise nicht-integrierbare Controller, Reader-Interfaces und I/O-Module durch einen Hardwareaustausch OSDP-fähig gemacht werden, ohne Gehäuse, Verkabelungen oder Lesegeräte auszutauschen. Diese Option besteht zum Beispiel bei Verwendung des Mercury-M5-Bridge-Portfolios in Verbindung mit einer passenden Management-Plattform (z. B. Genetec Synergis).

Durch die Migration zu einer offenen und auf Industriestandards basierenden Plattform steht außerdem sofort die ganz Produktpalette namhafter Hardware-Hersteller zur Verfügung, wovon nicht nur Kosteneffi zienz und Funktionalität profi tieren, sondern auch die Sicherheit. Denn Unternehmen werden ihre Zutrittskontrollsysteme zukünftig deutlich häufi ger aktualisieren müssen, um mit weiterentwickelten Angriffstechniken Schritt zu halten.

Verpixelung senkt Risiken

Die Videoüberwachung von Außen- und Innenbereichen wird durch die DS-GVO zu einem erheblichen rechtlichen Risiko, wenn sich Personen oder Fahrzeuge eindeutig identifi zieren lassen. Grundsätzlich müssen EU-Bürger der Verarbeitung ihrer Daten ausdrücklich zustimmen, was bei der Videoüberwachung öffentlich zugänglicher Bereiche kaum möglich sein wird. Videoaufzeichnungen können daher zu den High-Risk-Daten im Sinne des Artikels 35 der DS-GVO gehören, sodass die Aufsicht durch einen Datenschutzbeauftragten und die Durchführung von Datenschutzfolgenabschätzungen (Privacy-Impact- Assessments, PIA) erforderlich wird, um Schwachstellen im Datenschutz zu schließen.

Eine Alternative ist die Senkung des Risikofaktors: Werden Personen oder Fahrzeuge durch eine korrekt implementierte Verpixelung vollständig unkenntlich, fallen Videoaufzeichnungen wahrscheinlich nicht mehr in die Kategorie der High- Risk-Daten. Aber nicht jede Methode zur Verpixelung wird den Anforderungen der DS-GVO genügen, denn die meisten Algorithmen basieren auf der Erkennung von Bewegungen – wenn Personen oder Fahrzeuge anhalten, können sie dann kurzzeitig wieder identifi ziert werden.

Um hier Privacy-by-Design- Anforderungen zu erfüllen, muss also der genutzte Algorithmus „intelligent“ genug sein, um auch in solchen Situationen die Verpixelung aufrechtzuerhalten. Bietet die eingesetzte Lösung die Möglichkeit, die Verpixelungsmethode, Blockgröße und Ein- oder Mehrfarbigkeit optimal auf jede Überwachungs- und Beleuchtungssituation anzupassen, bleiben trotzdem Bewegungen sichtbar und Handlungen erkennbar. Bei der Auswahl eines passenden Verpixelungsverfahrens können Zertifi zierungen wie das „European Privacy Seal“ (EuroPriSe) eine Entscheidungshilfe sein: Dieses Gütesiegel wird nur nach intensiver technischer und juristischer Prüfung der Kompatibilität von IT-Produkten mit europäischen Datenschutzrichtlinien vergeben. Das Siegel ist zwei Jahre gültig, sodass zertifi zierte Produkte immer den neuesten Anforderungen entsprechen.

Fazit

Am Anfang von Projekten zur DS-GVO-Compliance physischer Sicherheitssysteme steht immer eine Gap-Analyse der gesamten bestehenden Infrastruktur, mit der man Lücken im (Daten-)Schutz identifi ziert. Anschließend ist zu klären, ob sich diese Lücken durch ein Upgrade der Hardware oder Software kosteneffi - zient schließen lassen. Ist dies nicht möglich, verfügen Unternehmen über mehrere Optionen:

  • Migration zu IP-basierter Infrastruktur: Mittelfristig wird es schwierig werden, mit Altsystemen die Anforderungen der DS-GVO zu erfüllen. IP-basierte Systeme für physische Sicherheit bieten hier deutliche Vorteile: Alle Komponenten von der Kamera bis zum Alarm sowie auch geografi sch entlegene Standorte können in eine einzige Management-Plattform integriert werden, sodass Vorfälle schneller erkannt und gemeldet werden können. Aktuelle Hardware lässt sich zudem recht einfach austauschen oder updaten, um auch noch in Jahren aktuellen Schutz zu gewährleisten.
  • Risikominimierung durch zusätzliche Technik: Durch Verpixelung und Maskierung lassen sich Risikoquellen für den Datenschutz an der Quelle eliminieren, wenn die eingesetzten Verfahren nachweisbar den Compliance-Anforderungen entsprechen und ein striktes Zugriffsmanagement implementiert ist.
  • Outsourcing in die Cloud: Cloud-Services ermöglichen es, vollständig gehostete Videoüberwachungssysteme inklusive Archivierung für eine feste und kosteneffi - ziente monatliche Gebühr einzusetzen. Damit wird ein wesentlicher Teil der Verantwortung für den technischen Datenschutz an den Cloud- Service-Provider ausgelagert. Aber Achtung: Unternehmen sind auch weiterhin selbst in der Verantwortung! Und nicht zuletzt bleiben sie für Zugriffskontrollen und Rechte- Management verantwortlich.

Keine dieser Optionen erfordert übrigens ein „Ganz-odergar- nicht“-Szenario: Viele Altgeräte lassen sich parallel zu IP-basierten Komponenten weiterverwenden. Und im Rahmen eines langsamen Übergangsprozesses kann man beispielsweise neue Geräte bereits in der Cloud hosten und cloudbasierte Applikationen implementieren, während die lokale Server-Infrastruktur weiterhin für bestehende Anwendungen und Geräte bereitsteht.

Nick D’hoedt ist Regional Sales Director Genetec und Geschäftsführer der Genetec Deutschland GmbH.