Nachdem mein vorangegangener Blog-Post zumindest in Teilen der Branche auf sehr großes Interesse gestoßen ist, soll dies nun ein Follow-Up sein und ein wenig tiefer in die Materie blicken.
Was ist überhaupt Medientechnik-Security und wie kann man das Thema in kleinere Teilbereiche aufbrechen?
Wie immer beim Thema Security steht am Anfang eine Grundsatzfrage:
Wer oder was soll vor wem oder was geschützt werden?
Und schon haben wir drei total verschiedene Blickwinkel und somit unterschiedliche Aufgabenstellungen:
-
Schutz der Medientechnik vor unbefugtem Zugriff
Ganz früher war die Medientechnik überhaupt nicht im Firmennetzwerk. Dann kam die Phase, wo Medientechnik untereinander vernetzt war, aber meist in Inseln ohne Verbindung in das restliche Firmennetzwerk. Diese Zeiten sind ein für alle Mal vorbei! Egal ob Anbindung an zentrale Monitoring-Plattformen, die drahtlose Präsentation über WiFi oder Streaming quer durchs Gebäude; für alle diese Applikation ist eine Verbindung an das „restliche“ Netzwerk unerlässlich.
Mangelhaft oder gar nicht abgesicherte Endgeräte oder auch eine schlechte Netzwerksegmentierung ohne Firewalls ermöglicht es „jedem“ Mitarbeiter auch ohne große Fachkenntnis oder kriminelle Energie bequem von seinem PC auf das Setup der Medientechnik-Geräte zuzugreifen. Von versehentlichem Verstellen bis hin zu vorsätzlicher Betriebsstörung reicht die Bandbreite der möglichen Probleme. Dass noch viel größere Gefahren lauern, können Sie noch im weiteren Verlauf dieses Artikels lesen.
Da viele AV-Geräte nur rudimentäre oder manchmal sogar gar keine (!) Security-Features haben, liegt hier eine große Verantwortung beim Netzwerk um zumindest den Zugriff von außen zu unterbinden. Es sei aber an dieser Stelle nochmals ausdrücklich gesagt:
AV-Geräte ohne vernünftige Security-Features haben in einer aktuellen Installation nichts verloren!
-
Schutz des Firmennetzwerkes vor dem Zugriff durch gehackte AV Geräte
Viel zu oft wird auf eine ganz konkrete Gefahr in Sachen Medientechnik-Security vergessen:
Mangelhaft abgesicherte Geräte der Medien- und auch Gebäudetechnik sind perfekte Einfallstore für Angriffe in das Firmennetzwerk!
Auch diese Gefahr gab es „früher“ nicht wirklich. AV Produkte hatten nur sehr primitive Betriebssysteme, welche einem „normalen“ Hacker nicht nur nicht geläufig waren (außer es handelte sich um einen echten Spezialisten in Sachen Embedded Systems), sondern auch nur einen sehr eingeschränkten Funktionsumfang hatten. Sie würden aber staunen, wie viele aktuelle Geräte heute unter Linux oder Windows laufen, also den gleichen mächtigen Betriebssystemen, die auch PCs und Server antreiben. Wie schon im vorigen Blog-Post geschildert, finden Angreifer dabei ein „vertrautes Umfeld“ vor und können sofort loslegen.
Wenn sich ein Security-Verantwortlicher also darüber Sorgen macht, dass ein gehackter PC ein ideales Einfallstor in das restliche Firmennetzwerk darstellt, sollten Mediensteuerungen, Streaming-Media-Endpunkte und noch viele andere Audio/Videogerät unbedingt ebenfalls in diese Betrachtungen eingeschlossen werden. Sie zweifeln noch? Vielleicht glauben Sie diesem Artikel aus dem Jahr 2017:
https://www.forbes.com/sites/leemathews/2017/07/27/criminals-hacked-a-fish-tank-to-steal-data-from-a-casino/#711128c932b9
Ja, Sie haben richtig gelesen:
Hacker haben eine Filter- und Pumpenanlage eines Aquariums dafür genutzt, Daten aus dem Rechenzentrum eines Casino in Las Vegas zu stehlen!
Schon vor einigen Jahren wurde ein Fall in Fachkreisen bekannt, bei der eine Mediensteuerung in einer Universität dafür benutzt wurde, Spam-Email zu versenden! Linux Box ist Linux Box, warum also nicht!
In anderen Worten: Die zunehmende Leistungsfähigkeit von AV- und Gebäudetechnik-Produkten und die Verwendung von Standard-Betriebssystemen stellt eine sehr große Angriffsfläche dar. Ohne geeignete Schutzmaßnahmen drängt sich wieder die Geschichte mit dem schwächsten Glied in der Kette auf.
-
Absicherung der einzelnen Medientechnik-Subsysteme gegeneinander
Wer nun glaubt, die Lösung liegt im „Einzäunen und Einschließen“ der AV-Geräte, der irrt leider. Sorry für die schlechten Nachrichten, aber wir sind noch nicht am Ende dieses Artikels.
Darf ich den nächsten Abschnitt mit einer provokanten Frage einleiten: Wozu haben Besprechungsräume eigentlich Türen und Wände? Wozu sind diese oft noch extra gedämmt? Sehr richtig, um die Vertraulichkeit zu wahren. Schließlich gibt es durchaus auch Besprechungen, die absolut nicht für die Öffentlichkeit bestimmt sind. Was aber nun, wenn der Raum zwar meterdicke Wände hat, man aber trotzdem ganz einfach hineinhören oder sogar hineinschauen kann?
Leider ist es in sehr vielen Installationen noch immer absoluter Standard, dass alle Medientechnik-Geräte aller Räume in einem einzigen Netzwerk-Segment liegen. Verfügen dann die einzelnen Komponenten nicht über ausreichende Schutzmaßnahmen oder werden diese nicht genutzt, dann verschwinden plötzlich alle Wände.
Lauschangriff per Medientechnik
Ein potentieller Angriff ist dann schon nahezu lachhaft einfach:
Man gehe in irgendeinen freien Meetingraum, stecke dort das Touchpanel am Tisch ab, stecke stattdessen sein Notebook an und schon ist man im Netzwerksegment der Medientechnik. Jetzt ist der Weg frei zu jenem Raum, wo gerade ein höchst vertrauliches Meeting stattfindet! Jüngste Enthüllungen haben gezeigt, dass manche Touchpanels die Fähigkeit besitzen, Aufnahmen über das eingebaute Mikrofon zu machen! Ganz ohne, dass man dies als Benutzer erkennen könnte! Also selbst, wenn Sie auf das Touchpanel starren würden, und wer macht das schon während eines wichtigen Meetings, würden sie etwas erkennen können.
Das so entstandene WAV-File wird brav auf der internen Gigabyte-großen SD-Card abgespeichert und kann jederzeit per FTP bequem auf den eigenen Rechner heruntergeladen werden!
Ein super trivialer Lauschangriff, oder? Natürlich lässt sich dies verhindern, es bedarf aber eben eines echten Security Konzeptes für die Medientechnik.
Wem das zu old school ist, dem sei empfohlen, die eingebaute Streaming Engine des Touchpanels zu aktivieren oder überhaupt gleich die IP basierte AV-Medienverteilung anzuzapfen! Dann kann man gleich eine Liveübertragung ins Intranet machen, es sollen ja alle was davon haben, oder?!
Ach ja, einer noch: Viele Produkte zum drahlosen Screensharing von iPad & Co haben einen eingebauten Webserver. So kann man mit dem Browser bequem mitschauen, was gerade in den anderen Räumen so projiziert wird! Irgendwie praktisch, oder?
Zusammenfassung und Ausblick
Verzeihen Sie bitte, wenn ich gegen Ende ein wenig polemisch wurde aber ich gestehe, dass es mich in meiner Medientechniker-Ehre trifft, regelmäßig auf mangelhaft abgesicherte Systeme bzw. auf ignorante Verantwortliche zu treffen. Fast ist man versucht zu sagen:
Muss immer erst was passieren, dass hier einmal ein wenig intensiver nachgedacht wird?
Ich hoffe, die Frage „Was ist überhaupt Medientechnik-Security“ anhand dieser drei Szenarien ein wenig bewusst gemacht zu haben. Gerne führe ich diesen Dialog mit Ihnen weiter. Vielleicht bei einem Vor-Ort Besuch, wo ich mich kurz in Ihrer Medientechnik umschaue. ?