Anleitung zur sicheren Verwendung

der Netzwerkkamera Januar 2018

I

Über dieses Dokument

Dieses Dokument enthält eine Anleitung zur sicheren Verwendung und Verwaltung des

Produkts.

Benutzerhandbuch

COPYRIGHT ©2018 Hangzhou Hikvision Digital Technology Co., Ltd.

ALLE RECHTE VORBEHALTEN.

Sämtliche Informationen, einschließlich Formulierungen, Bilder und Grafiken sind das Eigentum von

Hangzhou Hikvision Digital Technology Co., Ltd. oder seiner Tochtergesellschaften (im Folgenden

„Hikvision“). Eine Vervielfältigung, Veränderung, Übersetzung oder Verteilung dieses

Benutzerhandbuchs (im Folgenden „Handbuch“), in Teilen oder als Ganzes, auf irgendeine Weise, ist

ohne die vorherige schriftliche Zustimmung von Hikvision untersagt. Sofern nicht anderweitig

schriftlich vermerkt, übernimmt Hikvision keinerlei Garantien und macht keine Zusicherungen, weder

ausdrücklich noch stillschweigend, im Hinblick auf dieses Handbuch.

Über dieses Handbuch

Dieses Handbuch bezieht sich auf die iVMS-4200 Client Software.

Das Handbuch enthält eine Anleitung zur Verwendung und Verwaltung des Produkts. Die hierin

enthaltenen Bilder, Tabellen und Abbildungen sowie sämtliche weitere Informationen dienen lediglich

der Beschreibung und Erläuterung. Eine Änderung der in diesem Handbuch enthaltenen

Informationen aufgrund von Firmware-Aktualisierungen oder aus anderen Gründen ist ohne vorherige

Ankündigung möglich. Die aktuellste Version finden Sie auf der Webseite des Unternehmens

(http://overseas.hikvision.com/en/).

Bitte verwenden Sie dieses Benutzerhandbuch unter Anleitung von Experten.

Markenhinweis

sowie andere Marken und Logos von Hikvision sind in den jeweiligen

II

Gerichtsbarkeiten Eigentum des Unternehmens. Im Folgenden erwähnte andere Marken und Logos

sind Eigentum der jeweiligen Markeninhaber.

Kontakt

No.555 Qianmo Road, Binjiang District, Hangzhou 310052, China

Tel.: +86-571-8807-5998

Fax: +86-571-8993-5635

E-Mail: overseasbusiness@hikvision.com; sales@hikvision.com

Technischer Support: support@hikvision.com

HSRC (Hikvision Security Response Center) E-Mail: HSRC@hikvision.com

Haftungsausschluss SOWEIT GESETZLICH ZULÄSSIG WERDEN DAS BESCHRIEBENE PRODUKT UND SEINE HARDWARE,

SOFTWARE UND FIRMWARE MIT ALLEN EVENTUELL VORHANDENEN FEHLERN UND MÄNGELN OHNE

GEWÄHR ZUR VERFÜGUNG GESTELLT, UND HIKVISION ÜBERNIMMT KEINE HAFTUNG, WEDER

AUSDRÜCKLICH NOCH STILLSCHWEIGEND, INSBESONDERE IM HINBLICK AUF DIE MARKTGÄNGIGKEIT,

ZUFRIEDENSTELLENDE QUALITÄT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK, UND

NICHTVERLETZUNG DER RECHTE DRITTER. UNTER KEINEN UMSTÄNDEN HAFTEN HIKVISION, SEINE

VORSTÄNDE, FÜHRUNGSKRÄFTE, MITARBEITER ODER VERTRETER FÜR INDIREKTE, NEBEN- ODER

FOLGESCHÄDEN, INSBESONDERE FÜR SCHÄDEN AUFGRUND VON ENTGANGENEM GEWINN,

UNTERBRECHUNG DES GESCHÄFTSBETRIEBS, DATENVERLUST ODER VERLUST VON DOKUMENTEN IN

ZUSAMMENHANG MIT DER VERWENDUNG DIESES PRODUKTS, SELBST, WENN HIKSIVION AUF DIE

MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE.

PRODUKTE MIT INTERNETZUGANG VERWENDET DER KUNDE AUF EIGENE GEFAHR. HIKVISION

III

ÜBERNIMMT KEINE VERANTWORTUNG FÜR ANOMALIEN IM BETRIEB, DIE ENTWENDUNG PRIVATER

DATEN ODER ANDERE SCHÄDEN AUFGRUND VON CYBERANGRIFFEN, HACKERANGRIFFEN,

VIRENBEFALL ODER ANDEREN BEDROHUNGEN AUS DEM INTERNET. FALLS ERFODERLICH, STELLT

HIKVISION JEDOCH ZEITNAH TECHNISCHE UNTERSTÜTZUNG ZUR VERFÜGUNG.

DIE GESETZESLAGE IM HINBLICK AUF ÜBERWACHUNGSMASSNAHMEN VARIIERT JE NACH

GERICHTSBARKEIT. BITTE PRÜFEN SIE VOR VERWENDUNG DIESES PRODUKTS DIE RECHTSLAGE IN

IHRER GERICHTSBARKEIT, UM EINEN VERSTOSS GEGEN GELTENDE GESETZE ZU VERMEIDEN. HIKVISION

IST NICHT HAFTBAR BEI EINER VERWENDUNG DIESES PRODUKTS FÜR ILLEGALE ZWECKE.

IM FALLE VON WIDERSPRÜCHEN ZWISCHEN DIESEM HANDBUCH UND GELTENDEN GESETZEN HABEN

LETZTERE VORRANG.

iv

Inhalt

1 Kurzfassung ............................................................................................................. 1

2 Konfigurieren von Sicherheitsfunktionen ............................................................... 1

2.1 Identifizierung und Authentifizierung ..................................................... 1

2.1.1 Erstellen eines starken Passworts ............................................... 1

2.1.2 Aktivierung einer Kamera durch Festlegen eines starken

Passworts 2

2.1.3 Sperre wegen nicht autorisierter Anmeldeversuche ................. 6

2.1.4 Zurücksetzen des Passworts mit Sicherheitsabfrage .................. 6

2.1.5 Authentifizierung ........................................................................ 7

2.2 Berechtigungsverwaltung ......................................................................... 8

2.2.1 Benutzerverwaltung ................................................................... 8

2.3 Protokoll ..................................................................................................... 9

2.4 Verschlu sselung ....................................................................................... 10

2.4.1 HTTPS ........................................................................................ 10

2.5 Sicherheit von Anschlu ssen und Services .............................................. 12

2.5.1 SNMP ........................................................................................ 12

2.5.2 Deaktivieren von UPnP™ .......................................................... 13

2.5.3 Portweiterleitung ...................................................................... 13

2.5.4 QoS ........................................................................................... 14

2.5.5 Hik-Connect .............................................................................. 14

2.6 Sicherheitsmanagement .......................................................................... 15

2.6.1 IP-Adressfilter ........................................................................... 15

2.6.2 802.1x ....................................................................................... 16

2.6.3 Verschlüsselung von Geräteparametern für Export/Import .... 17

2.6.4 Werkseinstellungen .................................................................. 17

2.6.5 Zeitsynchronisierung ................................................................ 18

2.7 Firmware-Aktualisierung ........................................................................ 19

2.7.1 Überprüfen der aktuellen Firmware-Version ........................... 19

2.7.2 Aktualisierung auf die neueste Firmware ................................. 19

2.8 Verwaltung der Sicherheit ...................................................................... 20

3 Schlussfolgerung ...................................................... Error! Bookmark not defined.

1

1 Kurzfassung

Verschiedene Arten von Sicherheitsbedrohungen aus dem Internet haben sich zu

einer ernstzunehmenden Gefahr für Netzwerkgeräte und die Privatsphäre von

Benutzern entwickelt. In die Netzwerkkameras von Hikvision wurde eine Reihe

zuverlässiger Sicherheitsfunktionen integriert, die den Benutzer vor diesen

Bedrohungen schützen. So bemerkt er in der Regel nicht einmal, dass sein Gerät

angegriffen wurde. Hikvision hat mehrere Funktionen zur Verbesserung der

Cybersicherheit in seine Geräte integriert und zugleich viele Funktionen

standardmäßig deaktiviert. Auf diese Weise hat der Benutzer die Wahl, welche

Sicherheitsfunktionen er seinen Anforderungen entsprechend aktivieren möchte.

Anmerkung: Dieses Dokument bietet einen allgemeinen Überblick über

Sicherheitsfunktionen. Jeder Benutzer sollte die für seine tatsächliche Situation

geeigneten Sicherheitseinstellungen selbst auswählen.

2 Konfigurieren von Sicherheitsfunktionen

2.1 Identifizierung und Authentifizierung

Bei Benutzernamen und Passwörtern für Konten handelt es sich um wichtige Daten,

die der Identifizierung und Authentifizierung von Benutzern dienen.

Standardpasswörter stellen ebenso wie schwache Passwörter eine große Gefahr für

Benutzerkonten dar und sollten aus diesem Grund nicht verwendet werden.

2.1.1 Erstellen eines starken Passworts

Wie lässt sich ein starkes Passwort erstellen?

Ein genereller Hinweis zur Erstellung starker Passwörter für Hikvision Geräte:

(1) Zulässige Anzahl von Zeichen [8-16].

(2) Sie können eine Kombination aus Zahlen, Groß- und Kleinbuchstaben sowie

Sonderzeichen verwenden. Ihr Passwort sollte mindestens zwei dieser

Elemente enthalten.

Sogenannte „Passphrasen“ lassen sich leicht merken und sind nur schwer zu

knacken. Hier eine einfache Möglichkeit zur Erstellung einer „Passphrase“.

(1) Wählen Sie einen Satz, der eine Zahl enthält.

(2) Verwenden Sie jeweils nur den Anfangsbuchstaben des Worts.

(3) Behalten Sie hierbei die Groß- und Kleinschreibung der Buchstaben im

2

ursprünglichen Satz bei.

(4) Verwenden Sie Zahlen als Ersatz für Buchstaben, beispielsweise eine „3“ für

„e“ oder „4“ statt „für“.

(5) Behalten Sie die Zeichensetzung bei.

Im Folgenden finden Sie einen Beispielsatz:

„Mein Flug nach New York geht um drei Uhr am Nachmittag! “.

Daraus wird die Passphrase: „MFnNYgu3UaN! “.

Einige Tipps für ein starkes Passwort:

(1) Verwenden Sie keine im Alphabet aufeinanderfolgenden Buchstaben oder

Zahlenkombinationen wie „cdef“, „12345“.

(2) Speichern Sie keinesfalls Passwörter im Webbrowser, wenn Sie einen

öffentlichen Computer verwenden.

(3) Senden Sie niemals Ihre Passwörter per E-Mail an andere Personen.

(4) Erwägen Sie die Verwendung eines Passwortmanagers, damit Sie sich nicht alle

Passwörter merken müssen.

(5) Bei dem Passwort darf es sich nicht um einen Begriff aus dem Wörterbuch

handeln und Buchstaben dürfen nicht einfach nur durch Zahlen ersetzt werden.

2.1.2 Aktivierung einer Kamera durch Festlegen eines starken

Passworts

Vor der Verwendung der Kamera müssen Benutzer diese zuerst aktivieren, indem sie

ein starkes Passwort festlegen. Wir empfehlen dringend die Erstellung eines starken

Passworts Ihrer Wahl (mindestens acht Zeichen, darunter mindestens drei der

folgenden Kategorien: Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen),

um die Sicherheit Ihres Produkts zu erhöhen und Ihre vertraulichen Informationen

oder Daten zu schützen.

Die Funktionen zur Aktivierung per Webbrowser, SADP und Client-Software werden

unterstützt.

Anmerkung: Für die Passwortstärke gelten folgende Regeln:

Starkes Passwort: enthält mindestens drei Zeichen aus den Kategorien

Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen.

Mäßig starkes Passwort: Besteht aus einer Kombination der folgenden Kategorien:

Zahlen und Symbole, Kleinbuchstaben und Symbole, Großbuchstaben und Symbole,

Kleinbuchstaben und Großbuchstaben.

Schwaches Passwort: Besteht aus einer Kombination von Zahlen und Kleinbuchstaben

oder Zahlen und Großbuchstaben.

Gefährliches Passwort:

3

Besteht aus weniger als acht Zeichen.

Enthält nur eine Kategorie von Zeichen.

Ist mit dem Benutzernamen identisch oder besteht aus dem rückwärts geschriebenen

Benutzernamen.

Zum Schutz Ihrer persönlichen Daten und um die Sicherheit Ihres Produkts zu erhöhen,

empfehlen wir dringend die Verwendung eines starken Passworts.

2.1.2.1 Aktivierung per SADP-Software

Die SADP-Software ermöglicht die Erkennung des verbundenen Geräts, die Aktivierung

der Kamera und das Zurücksetzen des Passworts.

Führen Sie die SADP-Software von der im Produkt enthaltenen Festplatte aus oder

laden Sie die Software von der offiziellen Webseite herunter und befolgen Sie bei der

Installation die Anweisungen am Display. Führen Sie die SADP-Software aus, um im

LAN nach Geräten zu suchen. In der Software können Gerätestatus, beispielsweise das

Gerätemodell, IP-Adresse, Sicherheitsstatus und Seriennummer, angezeigt werden

(Abb. 2-1).

Abb. 2-1 Benutzeroberfläche der SADP-Software

Wählen Sie das zu aktivierende Gerät mit einem Klick aus. Der Gerätestatus wird auf

der rechten Seite des Fensters angezeigt. Geben Sie das Passwort in das Feld

„Password“ (Passwort) ein und klicken Sie auf Activate (Aktivieren), um den Vorgang

zu starten.

2.1.2.2 Aktivierung per Client-Software

Führen Sie die Client-Software von der im Produkt integrierten Festplatte aus oder

laden Sie die Software von der offiziellen Webseite herunter und befolgen Sie bei der

Select inactive device.

Input and confirm password.

4

Installation die Anweisungen am Display. Führen Sie die Client-Software aus, um über

den Dialog Device Management (Geräteverwaltung) im LAN nach Geräten zu suchen.

In der Software können Gerätestatus, beispielsweise das Gerätemodell, IP-Adresse,

Sicherheitsstatus und Seriennummer angezeigt werden.

Abb. 2-2 Geräteverwaltung

Wählen Sie ein nicht aktives Gerät aus und klicken Sie auf die Schaltfläche Activate

(Aktivieren), um den Dialog „Activation“ (Aktivierung) aufzurufen. Erstellen Sie ein

Passwort und geben Sie dieses in das Passwortfeld ein. Bestätigen Sie das Passwort

durch erneute Eingabe. Klicken Sie auf die Schaltfläche OK, um die Aktivierung zu

starten. Nach erfolgter Aktivierung ändert sich der Sicherheitsstatus des Geräts zu

Active (Aktiv).

5

Abb. 2-3 Aktivierung per Client-Software

2.1.2.3 Aktivierung per Webbrowser

Vergeben Sie für den PC und die Netzwerkkamera eine IP-Adresse, sodass sich beide

im gleichen Subnetz befinden. Geben Sie die IP-Adresse der Netzwerkkamera in die

Adresszeile des Webbrowsers ein und drücken Sie die Eingabetaste, um die

Schnittstelle „Activation“ (Aktivierung) aufzurufen (Abb. 2-6).

Abb. 2-4 Aktivierung per Webbrowser

Falls zwei oder mehr Geräte mit dem Netzwerk verbunden sind, müssen die IP-

Adressen der Geräte konfiguriert werden, um einen IP-Adressenkonflikt zu

vermeiden.

6

2.1.3 Sperre wegen nicht autorisierter Anmeldeversuche

Mithilfe der Sperre wegen nicht autorisierter Anmeldeversuche kann die Anzahl der

Anmeldeversuche eines Benutzers begrenzt werden. Falls ein Benutzer siebenmal bei

dem Versuch scheitert, sich mit einem Benutzernamen/Passwort als Admin (fünfmal

im Falle eines Bedieners/Benutzers) anzumelden, werden die Anmeldeversuche von

dieser IP-Adresse für einen Zeitraum von 30 Minuten gesperrt. Bei einer

Zurückweisung der IP-Adresse durch die Kamera erfolgt eine entsprechende

Benachrichtigung. Die Sperre wegen nicht autorisierter Anmeldeversuche bietet

Schutz vor Brute-Force-Attacken auf Passwörter. Eine Aktivierung dieser Funktion wird

dringend empfohlen. (Abb. 2-5).

Abb. 2-5 Aktivierung der Sperre wegen nicht autorisierter Anmeldeversuche

2.1.4 Zurücksetzen des Passworts mit Sicherheitsabfrage

Mithilfe der Sicherheitsabfrage kann das Admin-Passwort über die Client-Software

oder einen Webbrowser zurückgesetzt werden.

Im Menü User Management (Benutzerverwaltung) kann der Benutzer eine Liste mit

Security Questions (Sicherheitsfragen) definieren.

7

Abb. 2-6 Sicherheitsabfrage

Wenn Sie im Anmeldebildschirm auf die Option Forget Password (Passwort vergessen)

klicken und alle drei Sicherheitsfragen beantworten, können Sie das Passwort

zurücksetzen.

Abb. 2-7 Passwort vergessen

Anmerkung: 1. Der für das Zurücksetzen des Passworts verwendete PC und die Kamera

sollten im gleichen IP-Adressenbereich eines LANs angemeldet sein.

2. Nur der Administrator ist in der Lage, ein Passwort zurückzusetzen.

2.1.5 Authentifizierung

RTSP-Authentifizierung und WEB-Authentifizierung unterstützen die

Authentifizierungsmodi „Digest“ und „Digest/Basic“. Es wird die Auswahl des Modus

„Digest“ empfohlen, falls keine Kompatibilitätsanforderungen für eine

Authentifizierung im Modus „Basic“ vorliegen.

8

Abb. 2-8 Authentifizierungsmodi

2.2 Berechtigungsverwaltung

2.2.1 Benutzerverwaltung

Das System unterstützt drei verschiedene Arten von Benutzerrollen: Administrator

(admin), Bediener und Benutzer. Der Administrator kann Benutzerkonten hinzufügen,

löschen oder sie ändern und ihnen unterschiedliche Berechtigungen zuweisen.

Rufen Sie den Dialog für die Benutzerverwaltung auf: Configuration (Konfiguration) >

System > User Management (Benutzerverwaltung)

Abb. 2-9 Benutzerverwaltung

In Abbildung 2-12 wird der Dialog für das Hinzufügen eines Benutzerkontos gezeigt.

9

Der Administrator kann die Berechtigungen eines neuen Benutzers aktivieren oder

deaktivieren.

Abb. 2-10 Hinzufügen eines Benutzerkontos

2.3 Protokoll

Die Protokolldateien werden auf einer SD-Karte gespeichert. Zu den im Protokoll

gespeicherten Informationen zählen Nummer, Zeit, Haupttyp, Untertyp, Kanalnummer,

Lokaler/Remote-Benutzer und Remote Host-IP. Benutzer können verschiedene

Suchparameter abfragen, darunter Haupttyp, Untertyp, Startzeit und Endzeit. Die

Protokolldateien lassen sich im Text- oder Excel-Format exportieren. Das Protokoll wird

fortlaufend im Binärdateiformat gespeichert. Ist der Speicherplatz für die

Protokolldateien vollständig belegt, wird die älteste Protokolldatei von der neuen

überschrieben. Protokolle können nicht geändert oder gelöscht werden.

10

Abb. 2-11 Protokoll

2.4 Verschlüsselung

2.4.1 HTTPS

Bei HTTPS handelt es sich um ein Protokoll zur verschlüsselten Datenübertragung, das

auf SSL/TLS und HTTP basiert. Es bietet eine höhere Sicherheit für den Webzugriff. Falls

bereits ein Zertifikat installiert ist, werden die Details des Zertifikates angezeigt.

Aktivieren Sie die Funktion „Enable“ (Aktivieren), um HTTPS (Abb. 2-14) zu aktivieren.

Abb. 2-12 Aktivieren von HTTPS

Für die Installation stehen drei Optionen zur Verfügung: „Selbstsigniertes Zertifikat

erstellen“, „Signiertes Zertifikat vorhanden, Installation direkt starten“ und „Zuerst

Zertifikatsanforderung erstellen und mit Installation fortfahren“.

Selbstsigniertes Zertifikat erstellen: Wählen Sie die Installationsmethode

„Selbstsigniertes Zertifikat erstellen“ und klicken Sie auf die Schaltfläche „Erstellen“,

11

um den Dialog für die Zertifikatserstellung aufzurufen. Geben Sie anschließend die

benötigten Daten wie Land, Host-Namen/IP, Gültigkeit und weitere Informationen ein.

Klicken Sie auf „OK“, um die Einstellungen zu speichern.

Installieren eines signierten Zertifikats: Wählen Sie „Signiertes Zertifikat vorhanden,

Installation direkt starten“ als Installationsmethode aus und klicken Sie auf

„Browse“ (Suchen), um ein signiertes Zertifikat auszuwählen. Klicken Sie auf

„Install“ (Installieren) und anschließend auf „Save“ (Speichern).

Erstellen Sie das autorisierte Zertifikat: Wählen Sie die Installationsmethode „Zuerst

Zertifikatsanforderung erstellen und mit Installation fortfahren“ aus. Klicken Sie auf die

Schaltfläche „Create“ (Erstellen), um die Zertifikatsanforderung zu generieren. Geben

Sie im angezeigten Dialogfeld die erforderlichen Informationen ein. Laden Sie die

Zertifikatsanforderung herunter und senden Sie diese zur Zertifizierung an eine

vertrauenswürdige Zertifizierungsstelle. Nach Erhalt eines signierten und gültigen

Zertifikats können Sie das Zertifikat in das Gerät importieren.

Sobald das Zertifikat installiert ist, werden die Informationen zum Zertifikat wie in Abb.

2-15 angezeigt.

Abb. 2-13 Installiertes Zertifikat

Anmerkung:

1. Greift ein Benutzer mit einem installierten, selbstsignierten Zertifikat über HTTPS

auf ein Gerät zu, wird im Browser ein Sicherheitshinweis (Abb. 2-16) angezeigt. Grund

hierfür ist das Fehlen einer Zertifizierung durch eine vertrauenswürdige

Zertifizierungsstelle (CA).

Abb. 2-14 Sicherheitshinweis bei selbstsigniertem Zertifikat

2. Um einen sicheren Zugriff auf das Internet zu gewährleisten, wird die Installation

von Zertifikaten empfohlen, die von einer vertrauenswürdigen Zertifizierungsstelle

12

(CA) signiert wurden. In der Regel ist die Ausgabe eines digitalen Zertifikats durch

eine Zertifizierungsstelle kostenpflichtig.

2.5 Sicherheit von Anschlüssen und Services

Standardmäßig sind nur benötigte Services und Anschlüsse aktiviert, um Angreifern

möglichst wenig Ansatzpunkte zu bieten und die Gefahr durch

Sicherheitsbedrohungen zu verringern. Die unterstützten Dienste und Protokolle wie

ONVIF, CGI, UPnP, QoS, Multicast, Platform Access und SNMP sind ab Werk deaktiviert.

Benutzer sollten nur die für ihre Umgebung tatsächlich benötigten Services und

Protokolle aktivieren.

2.5.1 SNMP

Das Gerät unterstützt SNMP v1, SNMP v2 und SNMP. Mithilfe der SNMP-Funktion

lassen sich Kamerastatus, Parameter und Alarminformationen abrufen. Darüber

hinaus ermöglicht die Funktion eine Verwaltung der Kamera aus der Ferne, falls diese

mit dem Netzwerk verbunden ist. SNMP ist standardmäßig deaktiviert. Falls SNMP

nicht benötigt wird, sollten Sie diese Funktion nicht aktivieren. Es wird dringend

empfohlen, SNMP v3 statt SNMP v1 oder SNMP v2 zu verwenden.

Abb. 2-15 SNMP-Konfiguration

13

2.5.2 Deaktivieren von UPnP™

Bei Universal Plug and Play (UPnP™) handelt es sich um ein Netzwerkprotokoll, das die

Kompatibilität von Netzwerkgeräten, Software und anderer Hardware gewährleistet.

UPnP™ ist standardmäßig deaktiviert. Falls das Gerät nicht für gehostete Video-

Anwendungen verwendet wird, sollten Sie UPnP™ nicht aktivieren.

Abb. 2-16 UPnP-Konfiguration

2.5.3 Portweiterleitung

Falls sich ein Gerät hinter einer Firewall befindet und Zugang zum Internet benötigt,

kann hierfür eine Portweiterleitung konfiguriert werden. Beachten Sie die folgenden

bewährten Vorgehensweisen zur Gewährleistung der Sicherheit, um die Gefahr von

Cyberangriffen auf Ihr mit dem Internet verbundenes Gerät zu minimieren.

1. Minimieren Sie die Anzahl der Ports, die einen Zugriff auf das Gerät über das

Internet erlauben. Konfigurieren Sie nur dann eine Portweiterleitung, wenn sie

wirklich benötigt wird. Beispielsweise eine Weiterleitung über Port 443, falls

verschlüsselte Webdienste benötigt werden.

2. Stellen Sie sicher, dass alle Konten durch sehr starke Passwörter geschützt sind.

Dies ist besonders wichtig, wenn ein Gerät mit dem Internet verbunden ist.

3. Vermeiden Sie die Verwendung allgemein üblicher Ports und definieren Sie

stattdessen eigene Ports. So wird beispielsweise Port 80 normalerweise für HTTP

verwendet. Es wird empfohlen, die Ports für einen bestimmten Service selbst

14

festzulegen. Die Definition eines benutzerdefinierten Ports muss gemäß der

TCP/IP-Port-Definition (1-65535) erfolgen.

2.5.4 QoS

QoS (Quality of Service) ist ein Mechanismus zur Priorisierung des Netzwerkverkehrs

bestimmter Anwendungen. Durch Konfiguration der Priorität von

Datenübertragungen kann dieser Mechanismus dazu beitragen, Verzögerungen oder

Überlastungen im Netzwerk zu vermeiden. Normalerweise wird QoS in einem nicht

zeitbezogenen Anwendungssystem nicht benötigt. Falls QoS durch die

Netzwerkinfrastruktur nicht unterstützt wird, müssen Sie für die Einstellungen

„Video/Audio DSCP“, „Event/Alar DSCP“ und „Management DSCP“ den Wert

„0“ festlegen.

Abb. 2-17 QoS-Konfiguration

2.5.5 Hik-Connect

Abb. 2-18 Deaktivieren von Hik-Connect

15

„Platform Access“ bietet Ihnen eine Möglichkeit zur Verwaltung von Geräten über die

Plattform „Hik-Connect“. Hik-Connect ist standardmäßig deaktiviert. Falls Hik-Connect

nicht benötigt wird, sollten Sie diese Funktion nicht aktivieren.

Wenn ein Benutzer „Platform Access“ aktiviert und den Modus „Hik-

Connect“ auswählt, wird ein Bestätigungscode erstellt oder ein für die Kamera

vorhandener Bestätigungscode geändert. Der Bestätigungscode sollte mehr als 8 (am

besten mehr als 12) Zeichen umfassen und Großbuchstaben, Kleinbuchstaben, Zahlen

und Sonderzeichen enthalten.

Abb. 2-19 Erstellen eines Bestätigungscodes für Hik-Connect

Der Videostream ist während der Übertragung standardmäßig verschlüsselt.

2.6 Sicherheitsmanagement

2.6.1 IP-Adressfilter

Der IP-Adressfilter verhindert den Zugriff nicht autorisierter Clients auf ein Gerät.

Klicken Sie auf das Kontrollkästchen Enable IP Address Filter (IP-Adressfilter

aktivieren), um diese Funktion zu aktivieren.

Wählen Sie in der Auswahlliste die Art des IP-Adressfilters aus: Forbidden (Verboten)

oder Allowed (Erlaubt)

Im Modus Allowed (Erlaubt) dürfen nur die in der Liste des IP-Adressfilters

enthaltenen IP-Adressen auf das Gerät zugreifen. Dieser Liste können maximal 48

IP-Adressen hinzugefügt werden.

Im Modus Forbidden (Verboten) wird ein Zugriffsversuch von allen auf der Liste

des IP-Adressfilters enthaltenen IP-Adressen blockiert. Dieser Liste können

maximal 48 IP-Adressen hinzugefügt werden.

16

Abb. 2-20 IP-Adressfilter

2.6.2 802.1x

Der IEEE 802.1X-Standard wird von den Netzwerkkameras unterstützt. Ist diese

Funktion aktiviert, muss sich der Benutzer bei der Anmeldung der Kamera an einem

mit IEEE 802.1X geschützten Netzwerk authentifizieren. Ein Benutzer kann die 802.1X-

Einstellungen, darunter Protokoll, EAPOL-Version, Benutzername, Passwort und

Bestätigung konfigurieren.

Abb. 2-21 802.1x-Konfiguration

17

2.6.3 Verschlüsselung von Geräteparametern für

Export/Import

Die Geräteparameter können durch Eingabe eines Passworts exportiert werden, das

von einem Benutzer während des Exports der Datei mit den Geräteparametern erstellt

wurde. Die Datei enthält keine Angaben zum Admin-Passwort. Möchte ein Benutzer

die Datei mit den Geräteparametern in ein Gerät importieren, muss er zuerst das

Passwort eingeben.

Abb. 2-22 Exportieren der Geräteparameter

Es wird empfohlen, für die Datei ein starkes Passwort zu vergeben und die Datei an

einem sicheren Speicherort abzulegen.

2.6.4 Werkseinstellungen

Falls Sie sich im Hinblick auf die Konfiguration eines Geräts nicht sicher sind, können

Sie das Gerät wiederherstellen, indem Sie es auf einen bekannten Status zurücksetzen.

Für das Zurücksetzen eines Geräts gibt es zwei Möglichkeiten: Restore

(Wiederherstellen) und Default (Werkseinstellungen).

Wiederherstellen: Mithilfe dieser Funktion lassen sich die Standardeinstellungen

für alle Parameter mit Ausnahme der IP-Parameter und Benutzerinformationen

wiederherstellen.

Werkseinstellungen: Setzt alle Parameter auf die Werkseinstellungen zurück.

Rufen Sie die Wartungsschnittstelle auf: Configuration (Konfiguration) > System >

Maintenance (Wartung) > Upgrade & Maintenance (Aktualisierung & Wartung). (Abb.

2-27)

18

Abb. 2-23 Werkseinstellungen

2.6.5 Zeitsynchronisierung

Neben der Konfiguration der Zeitzone werden zwei Verfahren zur Zeitsynchronisierung

unterstützt.

1) Manual Time Sync. (Manuelle Zeitsynchronisierung) oder Sync. with computer

time (Synchronisierung mit Computerzeit).

2) Zeitsynchronisierung mit NTP-Server. NTP-Serveradresse, Port und Intervall lassen

sich konfigurieren.

Abb. 2-24 Zeiteinstellungen

19

2.7 Firmware-Aktualisierung

Es wird dringend empfohlen, dass der Benutzer regelmäßig eine Aktualisierung der

Firmware durchführt, um die Installation neuer Sicherheitsupdates und

Fehlerbehebungen sicherzustellen.

2.7.1 Überprüfen der aktuellen Firmware-Version

Rufen Sie die Systemeinstellungen auf und überprüfen Sie die Angaben zur Firmware-

Version: Configuration (Konfiguration) > System > System Settings

(Systemeinstellungen) > Basic Information (Grundlegende Informationen). (Abb. 2-

29)

Abb. 2-25 Firmware-Version

2.7.2 Aktualisierung auf die neueste Firmware

Führen Sie folgende Schritte aus, um das System auf die neueste Firmware-Version zu

aktualisieren:

1) Laden Sie die Firmware auf einen Computer herunter, der sich im gleichen

Netzwerk wie die Kamera befindet.

2) Melden Sie sich über den Computer an der Verwaltungsschnittstelle der Kamera

an und wählen Sie die Option Firmware oder Firmware directory (Firmware-

Verzeichnis) aus, um die Aktualisierungsdatei auswählen zu können.

20

3) Klicken Sie auf Upgrade, um die Aktualisierung zu starten. Falls das Firmware-

Verzeichnis ausgewählt wurde, wird die korrekte Firmware im Verzeichnis

automatisch erkannt und die Aktualisierung gestartet.

Anmerkung: Der Aktualisierungsprozess dauert bis zu 10 Minuten. Während dieses

Vorgangs dürfen Sie die Kamera nicht von der Stromversorgung trennen. Nach

erfolgter Aktualisierung startet die Kamera automatisch neu.

Abb. 2-26 Firmware-Aktualisierung

2.8 Verwaltung der Sicherheit

Einer der wichtigsten Faktoren für die Produktsicherheit ist die Verwaltung der

Sicherheit. Ein System lässt sich mithilfe von technischen Einstellungen und

Konfigurationen für Cybersicherheit nur schwer schützen, wenn sich die Benutzer

nicht an bewährte Vorgehensweisen zur Gewährleistung der Sicherheit halten. Im

Folgenden finden Sie einige allgemeine Hinweise zur Verwaltung der Sicherheit:

(1) Entwickeln Sie entsprechende Systeme, Prozesse, Pläne, Bedienungshinweise

und Formulare für die Produktsicherheit. Dokumentieren Sie alle Prozesse und führen

Sie Simulationen oder Übungen durch, damit sich im Ernstfall alle Benutzer der Abläufe

bewusst sind.

(2) Verwenden Sie Tools für Sicherheitsscans, Konfigurationsverifizierung und

Penetrationstests, um die Sicherheit von Netzwerken und Geräten zu bewerten.

Identifizieren Sie anschließend mögliche Sicherheitsrisiken, bewerten Sie das Risiko

und erstellen Sie einen Plan zu deren Behebung.

(3) Entwerfen Sie auf Basis der Ergebnisse Ihrer Produktsicherheitsbewertung

einen entsprechenden Vorschlag zur Optimierung und einen Handlungsleitfaden.

Führen Sie anschließend die Optimierung durch und überprüfen Sie deren Effizienz.

21

(4) Überwachen Sie rund um die Uhr die Sicherheit aller Netzwerke und Geräte.

Diese Überwachung sollte unter anderem die Verfügbarkeit von Systemen und

Netzwerken, die Erkennung bösartiger Software und Intrusion Detection umfassen.

(5) Überprüfen Sie in regelmäßigen Abständen die Cybersicherheit Ihres

Netzwerks sowie Ihrer Anwendungen. Passen Sie anhand der Ergebnisse die Firewall

von Plattform, Server und anderen Netzwerkgeräten für die Videoüberwachung

ebenso an wie die Sicherheitsrichtlinien des Host-Systems, um die Produktsicherheit

weiter zu verbessern.

(6) Richten Sie sich nach den in der Internetbranche üblichen Mechanismen für

Reaktionen im Notfall und kombinieren Sie diese mit eigenen Notfallmaßnahmen, um

das Videoüberwachungssystem für den Ernstfall zu wappnen.

(7) Sensibilisieren Sie das Sicherheitsbewusstsein der Mitarbeiter in den

unterschiedlichen Bereichen der Videoüberwachung und führen Sie Schulungen zur

Verwaltung der Systemsicherheit durch.

(8) Die Einstellungen der Produktsicherheit richten sich nach den grundlegenden

Prinzipien der Sicherheit von Datensystemen: dem Prinzip der minimalen Rechte, dem

Prinzip der Dezentralisierung und Ausgewogenheit, dem Prinzip der

Sicherheitsisolation usw.

3 Fazit

Dieser Sicherheitsleitfaden wird regelmäßig aktualisiert, um Ihnen bewährte

Vorgehensweisen zum aktuellen Stand der Netzwerksicherheit aufzuzeigen.

Hikvision engagiert sich bereits seit vielen Jahren für die Weiterentwicklung der

Netzwerksicherheit und stellt Benutzern branchenweit führende Technologie zum

Thema Cybersicherheit zur Verfügung.

Unter http://www.hikvision.com/cn/support_list_591.html finden Sie weitere

Informationen zum Thema Cybersicherheit. Bei Fragen zur Cybersicherheit können Sie

uns per E-Mail kontaktieren unter HSRC@hikvision.com.