Geutebrück Systemsicherheit

• Server- & Client-Kommunikation: Die Kommunikation zwischen G-Core-Servern, dem Software Asset Management Service (SAM), G-View-Clients und G-SIM (Agenten und OpCon/ReCon-Clients) wird mit dem Advanced Encryption Standard (AES) mit einer Schlüssellänge von 256 Bit verschlüsselt. Der Schlüsselaustausch erfolgt über das sichere Diffie-Hellman-(DH)-Verfahren.
   
• G-SIM-zu-Client-Kommunikation: Die Kommunikation zwischen dem G-SIM-Server und seinen Clients wird mittels Transport Layer Security (TLS) verschlüsselt, was einen sicheren HTTPS-Kanal bereitstellt.
   
• Kamera-Kommunikation: Bei Geutebrück-Kameras und tief integrierten Kameras von Drittanbietern (z. B. Axis, Bosch) kann die Kommunikation zwischen Kamera und Server mittels TLS (HTTPS) verschlüsselt werden. Es wird dringend empfohlen, diese Funktion zu verwenden, wo immer sie unterstützt wird.
   
• System Health Management: Unsere G-Health-Software unterstützt ebenfalls HTTPS mit SSL-Zertifikaten für eine sichere Kommunikation.

• Proprietäre Videodatenbank: Unsere Videodatenbank verwendet ein proprietäres Format. Dieses Design schützt inhärent vor Modifikationen oder Datenextraktion ohne detaillierte Kenntnis der Geutebrück-Datenbankstruktur, da jede unbefugte Änderung zu Datenverlust im entsprechenden Teil der Datenbank führt.
   
• Festplattenverschlüsselung: Für eine zusätzliche Sicherheitseben für ruhende Daten empfehlen wir den Einsatz von Werkzeugen zur vollständigen Festplattenverschlüsselung wie Microsoft BitLocker. BitLocker unterstützt die AES-Verschlüsselung (128 und 256 Bit) und kann das gesamte Betriebssystemvolume, Datenvolumes oder virtuelle Laufwerke sichern.

• G-Core-Passwörter: Passwörter in G-Core werden unter Verwendung des Secure Hash Algorithm (SHA−256) mit Salting gehasht. Die Übertragung von Passwörtern ist zweifach verschlüsselt: zuerst mit Blowfish (einer symmetrischen Blockchiffre) und zweitens mit der Windows-Standard-Passwortverschlüsselung mit Salting, die an die jeweilige Windows-Maschine gebunden ist.
   
• G-SIM-Passwörter: G-SIM-Passwörter werden mit dem Industriestandard-Algorithmus PBKDF2 mit Salting gespeichert, der einen starken Schutz gegen Brute-Force-Angriffe bietet.

Halten Sie die Firmware und Software aller Komponenten (Kameras, Server, Clients, Netzwerk-Switches) immer auf dem neuesten Stand. Dies stellt sicher, dass das System durch die neuesten verfügbaren Sicherheitspatches geschützt ist. Überprüfen Sie regelmäßig das Geutebrück Portal für Updates und die Websites der Hersteller für Geräte von Drittanbietern.

Der physische Zugriff auf Server, Workstations, Kameras und Netzwerkperipheriegeräte muss auf autorisiertes Personal beschränkt sein. Dies verhindert Manipulationen wie das unbefugte Anschließen von USB-Geräten, das Entfernen von Festplatten oder das Abziehen von Kabeln.

• Netzwerksegmentierung: Das Videoüberwachungsnetzwerk sollte physisch vom Haupt-Unternehmensnetzwerk des Kunden getrennt sein. Wenn eine physische Trennung nicht möglich ist, verwenden Sie VLANs, um das Netzwerk logisch zu segmentieren. Eine bewährte Methode ist, Kameras in einem separaten VLAN von den Anzeige-Clients zu betreiben.
   
• Firewalls: Verwenden Sie eine moderne, branchenerprobte Firewall, um das System vor unbefugtem Zugriff zu schützen und das Risiko von Denial-of-Service-(DoS)- oder Distributed-Denial-of-Service-(DDoS)-Angriffen zu minimieren, insbesondere wenn das System mit anderen Netzwerken oder dem Internet verbunden ist.
   
• Port-Sicherheit und MAC-Bindung: Aktivieren Sie auf Netzwerk-Switches Funktionen wie portbasierte Authentifizierung (IEEE 802.1X) oder MAC-Adressbindung. Dies stellt sicher, dass nur autorisierte Geräte eine Verbindung zu einem Switch-Port herstellen können, und verhindert so unbefugten Netzwerkzugriff.
   
• WLAN (Wireless LAN): Vermeiden Sie nach Möglichkeit den Einsatz von WLAN im sicheren CCTV-Netzwerk aufgrund der erhöhten Sicherheitsrisiken.
   
• Fernzugriff: Der Fernzugriff auf Teile des Systems sollte über ein sicheres Virtual Private Network (VPN) unter Verwendung moderner Verschlüsselungs- und Authentifizierungsstandards erfolgen. Setzen Sie niemals ein System ohne Firewall-Schutz direkt dem Internet aus. Wenn eine Portweiterleitung zwingend erforderlich ist, leiten Sie nur die absolut notwendigen Ports weiter und beschränken Sie den Zugriff auf autorisierte Quell-IP-Adressen.

• Nicht genutzte Dienste deaktivieren: Deaktivieren Sie alle ungenutzten Dienste auf Kameras und Windows-Servern, um die Angriffsfläche zu reduzieren. Dazu gehören Dienste wie SSH, Multicast oder QoS auf Kameras, wenn sie nicht benötigt werden, und Dienste wie SNMP unter Windows, wenn kein Überwachungssystem verwendet wird.
   
• Standard-Ports ändern: Ändern Sie bei Geräten wie Kameras die Standard-Ports für Administration und Streaming, um sie weniger anfällig für automatisierte Angriffe zu machen.
   
• SQL-Datenbankzugriff: Verwenden Sie für Analysen oder Berichte auf der SQL-Datenbank ein Konto mit den minimal erforderlichen Leseberechtigungen. Verwenden Sie für Routineabfragen nicht das sysadmin-Konto.

• Standardpasswörter ändern: Ändern Sie sofort alle Standard-Administratorkennwörter (Geutebrück-System, Kameras, Switches) in starke, einzigartige Passwörter, die modernen Komplexitätsstandards entsprechen (z. B. OWASP-Passwortrichtlinie). Passwörter sollten regelmäßig geändert werden.
   
• Prinzip der geringsten Rechte (Least Privilege): Konfigurieren Sie die Benutzerrechte so, dass Personen nur Zugriff auf die Funktionen und Daten haben, die für ihre Rolle erforderlich sind. Die Geutebrück-Software ermöglicht eine granulare Steuerung der Benutzerberechtigungen.
   
• Windows-Dienstkonten: Geutebrück-Dienste laufen standardmäßig als "LocalSystem". Wenn ein dediziertes Dienstkonto verwendet wird, stellen Sie sicher, dass es ein sicheres Passwort hat und nur lokale Benutzerrechte besitzt. Ein Domänenadministratorkonto ist nicht erforderlich und wird ausdrücklich nicht empfohlen. Für die LDAP-Synchronisation in G-SIM benötigt das Dienstkonto lediglich Leserechte im Active Directory.
   
• Automatische Abmeldung: Konfigurieren Sie G-SIM so, dass Benutzer nach einer bestimmten Zeit der Inaktivität (z. B. 15-60 Minuten) automatisch abgemeldet werden. Konfigurieren Sie ebenso Windows so, dass die Bildschirmsitzung nach kurzer Inaktivität automatisch gesperrt wird.
   
• UAC auf Clients: Die meisten Geutebrück-Client-Anwendungen benötigen keine Administratorrechte zum Ausführen. Dies trägt dazu bei, die potenziellen Auswirkungen von Malware auf einer Client-Workstation zu begrenzen.

Die Installation von Microsoft-Sicherheitsupdates ist von entscheidender Bedeutung. Es ist jedoch unerlässlich, zunächst zu überprüfen, ob diese Updates die Leistung und Stabilität des Geutebrück-Systems nicht beeinträchtigen. Geutebrück bietet einen umfassenden Patchmanagement-Service zur Unterstützung von Kunden an, der Folgendes umfasst:

1. Klassifizierung: Wir prüfen, klassifizieren ("Kritisch", "Wichtig", "Nicht relevant") und dokumentieren alle neuen Microsoft-Updates und geben Empfehlungen zu ihrer Anwendbarkeit auf Geutebrück-Software.
    
2. Installation: Basierend auf der Klassifizierung können unsere Experten die Installation genehmigter Patches über eine WSUS-(Windows Server Update Services)-Infrastruktur durchführen, um einen kontrollierten Rollout zu gewährleisten.
    
3. Test: Nach der Installation führen wir Funktionstests an der Geutebrück-Software durch, um zu überprüfen, ob der Systembetrieb stabil und performant bleibt.

Die Verwendung einer aktuellen Antivirensoftware wird empfohlen. Um sicherzustellen, dass die Systemleistung nicht beeinträchtigt wird, ist es unerlässlich, die Antivirensoftware mit den folgenden Ausnahmen zu konfigurieren:

• Schließen Sie die Geutebrück-Videodatenbank von Echtzeit- und geplanten Scans aus.
• Fügen Sie Geutebrück-Anwendungsordner und -Bibliotheken zur Whitelist/Ausnahmeliste der Sicherheits-Scans hinzu.

Geutebrück betreibt eine aktive Marktbeobachtung zur Früherkennung von neuen Bedrohungen und potenziellen Schwachstellen.

• Schnelle Reaktion: Erkannte bzw. gemeldete Sicherheitslücken werden unverzüglich analysiert und entsprechend ihrer Kritikalität behoben.
   
• Offene Kommunikation: Wir pflegen eine offene Informationskultur und informieren Partner und Kunden zeitnah über Feststellungen sowie Lösungsoptionen zu Sicherheitslücken.
   
• Central Support: Unser Central Support steht zur Verfügung, um fachkundige Beratung und Unterstützung bei der Umsetzung von Maßnahmen gegen Sicherheitslücken zu bieten.