Das Projektinterview: Einführung smarter Videogeräte: Tests im Vorfeld schützen vor bösen Überraschungen

Tanja, einer deiner Arbeitsschwerpunkte sind smarte Technologien. Was sind deine typischen Aufgaben im Rahmen eines Projektes, wenn es um smarte Technologien geht?

Neben der Begleitung von Ausschreibungen testen wir für unseren Kunden smarte Geräte vor ihrem Einsatz. Wir hatten in der Vergangenheit Aufträge von Behörden und großen Unternehmen aus der Industrie und haben die unterschiedlichsten Geräte aus verschiedenen Bereichen auf Herz und Nieren geprüft, angefangen von Saugrobotern, Fernsehern und Smart Watches bis hin zu Videokonferenzsystemen.

ComConsult wurde beauftragt, für einen großen Konzern die Sicherheitseigenschaften und möglichen Schwachstellen einer Videokonferenzkamera vor deren Einsatz zu prüfen. In welchem Umfang kann man sich dieses Vorhaben vorstellen?

Der Kunde beabsichtigte, die Digitalisierung seiner Standorte voranzutreiben. Für die Außenstandorte sollten zur besseren internen Kommunikation Videokonferenzsysteme eingeführt werden. Sie sollten in Besprechungsräumen, doch auch im mobilen Bereich für Außendienstmitarbeiter zum Einsatz kommen. Wir wurden beauftragt, die ausgewählte Videokonferenzkamera vorab vollumfänglich zu durchleuchten. Dazu wurde uns von unserem Kunden ein Gerät zu Testzwecken zugeschickt.

Die Untersuchung der Kamera erfolgte in mehreren Schritten. Zunächst wurde die Architektur des Gerätes betrachtet. Welchen Eindruck machte die Kamera?

Die Kamera machte einen guten Eindruck. Bei der Betrachtung der Architektur prüfen wir das Datenblatt. Da gab es erstmal keine Auffälligkeiten.

Danach wurde das Videogerät in Betrieb genommen und die Use Cases betrachtet.

Genau. Ich habe das Gerät in Betrieb genommen und die ersten Schritte durchlaufen: Man muss sich anmelden und dann schauen, welche Einstellungen man machen kann beziehungsweise welche man nicht auf dem Standard lassen sollte. Dann habe ich die üblichen Anwendungsfälle durchgespielt. Ich habe mir zum Beispiel angeschaut, wie man Updates installiert oder wie man bestimmte Einstellungen sperren kann. Ein spannender Punkt war die Außerbetriebnahme. Hier habe ich geprüft, ob beim Zurücksetzen auf die Werkseinstellung wirklich alle vorgenommenen Einstellungen gelöscht wurden. Ich stellte dabei fest, dass das leider nicht der Fall war.

Beim Registrieren der Kamera traten weitere Ungereimtheiten auf. Was stelltest du fest?

In der Anleitung stand, dass man das Gerät mit E-Mail-Adresse, Firmenbezeichnung und Name registrieren muss. Als ich die Kamera in Betrieb nahm, musste ich allerdings keinerlei Daten eingeben und konnte sie direkt verwenden. Das kam mir schon sehr merkwürdig vor. Ich setzte die Kamera zurück und wollte erneut die Registrierung durchführen, was aber wieder nicht abgefragt wurde. Dann bin ich bei meiner weiteren Recherche auf das Kundenportal des Herstellers gestoßen. Dort sollte man sich mit einer E-Mail-Adresse einloggen. Ich nahm an, dass hier die E-Mail-Adresse, mit der man sich registriert, angegeben werden sollte. Aber da ich mich ja nicht registrieren konnte, hatte ich zum Kundenportal keinen Zugriff. Alles deutete darauf hin, dass das Gerät bereits registriert war. Nachdem mir unser Auftraggeber versicherte, selbst keine Registrierung vorgenommen und mir ein völlig neues Gerät zugeschickt zu haben, nahmen wir Kontakt zum Lieferanten auf.

Der Lieferant hatte also die Geräte schon registriert?

Ja, der Lieferant hatte die Kameras tatsächlich schon mit einer E-Mail-Adresse unseres Kunden registriert und erste Einstellungen vorgenommen, die er später wieder zurückgesetzt hatte. Offenbar war ihm aber nicht bewusst, dass das Zurücksetzen der Einstellungen die Registrierung nicht rückgängig gemacht hat.

Wie ging es dann weiter?

Ich hatte ein Meeting mit unserem Auftraggeber und wir haben uns gemeinsam langsam vorgearbeitet. Wir haben im Kundenportal des Herstellers testweise eine E-Mail-Adresse des Kunden eingegeben, haben uns zum Login einen Code schicken lassen und hatten direkt Zugriff auf das Portal. Wir haben dann festgestellt, dass alle E-Mail-Adressen mit der Domäne des Kunden freigeschaltet waren und prinzipiell jeder Mitarbeiter des Unternehmens volle Einsicht in das Portal hatte.

Es hatten also theoretisch tausende Mitarbeiter des Konzerns Zugriff auf diese sensiblen Daten?

Ja, genau. Jeder Mitarbeiter konnte sehen, welche Geräte zum Beispiel an welchem Standort zuletzt online waren, wann sich abgemeldet wurde und unter welcher IP-Adresse die Geräte im Einsatz waren.

Und dann wurde der Hersteller eingeschaltet?

Ja, es hat dann ein großes Meeting mit dem Hersteller, dem Lieferanten, unserem Kunden und ComConsult stattgefunden. Die Besprechung war sehr produktiv. Wir haben offen darüber diskutiert, dass es eine Rückmeldung darüber geben muss, wenn ein Gerät bereits registriert ist und dass die Freischaltung sämtlicher E-Mail-Adressen einer Domäne eine Sicherheitslücke darstellt.

Welche Konsequenzen hat der Hersteller aus diesen Umständen gezogen?

Der Hersteller hat uns in unserem Gespräch zugestanden, dass er bei dem Zugang zum Portal eine Einschränkung auf nur die E-Mail-Adressen vornehmen wird, die auch tatsächlich registriert sind. Auch wollte der Hersteller eine Meldung in die App aufnehmen, die darüber informiert, wenn ein Gerät bereits registriert ist. Nach Rücksprache mit unserem Kunden wurde mit dem nächsten Update der Zugang zu dem Portal eingeschränkt, die Kameras konnten zudem auch ohne Registrierung in Betrieb genommen und bestehende Registrierungen gelöscht werden.

Welche Ratschläge kannst du vor dem Hintergrund deiner Erfahrung aus diesem Projekt Unternehmen geben, die den Einsatz von smarten Geräten für ihr Gebäude planen?

Man sollte auf jeden Fall vor dem Einsatz eines smarten Gerätes intensive Tests vornehmen. Dabei sollte der gesamte Lebenszyklus des Gerätes durchlaufen werden. Bei der Inbetriebnahme sollte man prüfen, welche Daten eingegeben werden müssen, wo genau diese abgespeichert werden und wer darauf Zugriff hat. Im Betrieb sollte man sich genau ansehen, wie die Updates ablaufen und ob zum Beispiel WLAN- und Bluetooth-Schnittstellen existieren, welche Daten darüber verschickt werden und ob das mit den Unternehmensrichtlinien konform ist. Wichtig, aber noch immer nicht selbstverständlich, ist es, die Sicherheitseinstellungen zu prüfen und zum Beispiel Standardpasswörter zu ändern. Ein weiterer Aspekt, der gerne vergessen wird, ist die Außerbetriebnahme. Wenn ein Gerät nicht mehr gebraucht wird, wird es meistens einfach ausgeschaltet und entsorgt. Hier sollte man sich auf jeden Fall noch die Zeit nehmen, das Gerät auf die Werkseinstellungen zurückzusetzen und alle Daten und Passwörter zu löschen, beziehungsweise zu prüfen, ob die Daten auch tatsächlich gelöscht wurden.