Cybersicherheit und ein Produkt in Einklang zu bringen ist oftmals eine Herkulesaufgabe
Security by Design und on Device sind die Schlüssel in die sichere Zukunft. Datensicherheit.de im Interview mit Tomáš Vystavěl, Chief Product Officer bei 2N
Autor: Carsten Pinnow
Cybersicherheit zeigt sich in der Praxis durch den Schutz von Devices, Systemen, Netzwerken und Programmen vor digitalen Angriffen. Diese Attacken sind in der Regel darauf ausgelegt, auf sensible Informationen zuzugreifen, sie zu ändern, zu zerstören oder normale Geschäftsprozesse zu unterbrechen.
Die Umsetzung wirksamer Praktiken, nicht nur gegen Bedrohungen aus dem Netz, sondern auch für die physische Sicherheit, stellt eine große Herausforderung dar. Um mich über das Engagement für die Cybersecurity zu informieren, spreche ich heute mit Tomáš Vystavěl, Chief Product Officer von 2N, einem europäischen Entwickler und Hersteller von IP Intercom- und Zugangssystemtechnologie. Seine Lösungen verfügen über mehrere Schutzebenen, die sich über alle Produkte und Anwendungen, Design und Tests, GDPR Privacy by Design und Zutrittskontrolle erstrecken.
„Alle Komponenten von 2N bilden zusammen eine wirksame Verteidigung. Eine Schwäche in einem einzelnen Produkt kann das gesamte System gefährden, weshalb es von entscheidender Bedeutung ist, sich auf die Sicherheit jeder einzelnen Ebene und jeder Anwendung zu konzentrieren. Unsere IP-basierten Geräte sind Schlüsselkomponenten in Türzutritts- und Zugangskontrolllösungen. Um hier die Cybersicherheit zu gewährleisten, konzentriert sich 2N auf die physische Sicherheit. Bereits bei der Entwicklung der neuen Anlagen erhält die Sicherheit, die von Stunde Eins in die Entwicklung miteinbezogen wird, einen bedeutenden Stellenwert“, erklärt Vystavěl.
„So ist für uns der erste Schritt in Richtung Cybersicherheit die physische Sicherheit der Produkte. Neben den verstärkten Materialien hilft ein eingebauter mechanischer oder optischer Manipulationsschalter, unbefugtes Eindringen in das Produkt zu verhindern. Grundsätzlich lässt sich festhalten: Integrierte Sicherheit ist nicht neu: sichere Kommunikation ist das Rückgrat von IT-Sicherheit und besonders in den Bereichen, in denen sensible Daten liegen, muss darauf geachtet werden. Kundendaten in Unternehmen werden deshalb durch in Geräte integrierte Funktionen und Protokolle geschützt. Zum Beispiel durch eine Kombination von Mechanismen. Zum einen wird für die Verbindung zwischen Webbrowsern und -servern eine HTTPS-Datenverschlüsselung verwendet. Port-Hijacking wird darüber hinaus durch eine Punkt-zu-Punkt-Verbindung durch die Nutzung des 802.1X Protokolls verhindert. Ein unerlaubter Zugriff auf den LAN-Port ist damit nicht ohne weiteres möglich. SIP-Nachrichten werden durch ein bestimmtes Protokoll verschlüsselt und somit Man-in-the-Middle-Angriffe oder auch Identitätsdiebstahlt verhindert. Sprachdaten werden über ein weiteres Protokoll verschlüsselt.“
Auch zum Thema Passwörter gab uns der 2N CPO Auskunft:
„Unsere Systeme verfügt über eine Kontrolle von Passwörtern. Diese Funktion stellt sicher, dass der Administrator nach der ersten Anmeldung die Login-Informationen geändert hat und dass dieses neue Passwort stark genug ist. Bei ‚schwachen‘ Passwörtern gibt das System direktes Feedback. Die Kennwörter werden dann in verschlüsselter Form abgespeichert, wodurch Hacker daran gehindert werden, Login-Daten aus der Konfiguration zu erhalten. Verschiedene Berechtigungsstufen der Anwender schränken den Zugriff soweit ein, dass jeder nur die Rechte innehat, welche dieser benötigt.“
Ein Schwachpunkt ist oft das Patchen, wie stellen Sie sicher, dass Ihre Kunden immer mit der aktuellsten Version arbeiten?
„Das Besondere ist, dass für die meisten Bestandteile des Sortiments die eigens entwickelte Software-Lösung 2N IP verwendet wird. Damit wird sichergestellt, dass die Produkte ihre Funktionalität optimal ausüben können. Sämtliche sicherheitsrelevanten Schnittstellen liegen damit in unserer Hand. Die übrigen Produkte laufen entweder mit Android oder einer auf einer Linux-basierten Softwarelösung.“
„Um diese Geräte zu patchen, bekommt auch der Admin eine Nachricht, sollte ein neuer Patch zur Verfügung stehen. Ursprünglich war angedacht, den Anwender nicht in diesen Prozess einzubinden und Patches zentral über das Unternehmen durchzuführen, doch nicht immer ist dies gewünscht. Patchen ist ein kontinuierlicher Prozess und so werden alle vier Monate Major-Updates angeboten. Diese sind für alle Kunden kostenlos. Um das möglich zu machen, werden in etwa 15 Prozent des Jahresgewinns in die Entwicklung investiert. Wenn es die Technik zulässt, werden auch Altgeräte gepatcht. Zusätzlich zu dieser Seite wird ein umfassender technischer Support angeboten. Man könnte denken, da viele der Anwender technisch nicht affin sind, sollte das Produkt lieber in Ruhe gelassen werden, sobald es einmal installiert ist, doch dies ist nicht der richtige Ansatz. Die Produkte, die am Internet angeschlossen sind, fragen stets nach der neuesten Firmware. Der Ansatz ‚Make it easy to update‘ steht im Vordergrund.“
Schließen sich Benutzerfreundlichkeit und Sicherheit aus?
„Die App 2N® Mobile Key und die Bluetooth-Lesegeräte ermöglichen es den Nutzern, Gebäude nur mit ihrem Mobiltelefon zu betreten. Das bedeutet, dass die mobilen Berechtigungsnachweise vor Missbrauch sicher sein sollten. Auch hierbei sind von uns besondere Sicherheitsmaßnahmen ergriffen worden. Die Verschlüsselung erfolgt auf oberster Ebene. Bluetooth-Kommunikation ist über den eigenen Kanal getrennt für den Schlüsselaustausch und für die anschließende Kommunikation möglich. Die Gültigkeitsdauer des anfänglichen Kopplungscodes kann dabei vom Systemadministrator selbst festgelegt werden und beginnt bei zehn Minuten. Auch die Einstellung des maximalen Abstandsbereichs für die Bluetooth-Kommunikation mit Geräten ist individuell einstellbar und beginnt bei gerade einmal 50 Zentimetern. Die Multi-Faktor-Authentifizierung fordert Benutzer dazu auf, ihre Bluetooth-Berechtigungsnachweise mit anderen Arten wie beispielsweise einem RFID-Chips oder einem PIN-Code über eine In-App-Tastatur zu kombinieren. Wenn ein Smartphone verloren geht, können die Administratoren die Zugriffsrechte über die Webschnittstelle des Lesegeräts oder den Access Commander schnell löschen, beide sind verschlüsselt“, erklärt der CPO von 2N.
Wie funktioniert die Fernwartung bei 2N?
„Wir liefern mit My2N eine vertrauenswürdige Cloud-Plattform. Sie ermöglicht Administratoren die Fernverwaltung von Installationsstandorten, 2N-Produkten und Dienstleistungen und spart so Kosten für Wartung vor Ort und Reisen. 2N® Mobile Video ist der wichtigste Dienst, der über die My2N-Plattform angeboten wird."
Biometrische Daten als „Schlüssel“ zu Gebäuden – wie sieht es mit der Sicherheit aus?
„Der Fingerabdruckleser verwendet die kleinen Details und Hauptmerkmale eines Fingerabdrucks. Diese werden gefiltert und als verschlüsselter biometrischer Schlüssel oder als mathematische Darstellung gespeichert. Das Fingerabdruck-Lesemodul verwendet nur eine Reihe von Zahlen in Form eines Binärcodes. Von keinem Fingerabdruck wird zu irgendeinem Zeitpunkt ein Bild gespeichert. Diese Art von Algorithmus kann nicht in ein Bild eines Fingerabdrucks rückkonvertiert werden. Und noch wichtig zu erwähnen ist: es werden keine anderen Arten von personenbezogenen Daten verwendet oder verarbeitet, wenn das Produkt in Gebrauch ist.
Darüber hinaus enthalten die Fingerabdruckmodule und -scanner eine Anti-Spoof-Technologie. Diese blockiert wirksam Versuche, das System mit gefälschten Fingerabdrücken aus Papier, Latex, Silikon, Gummi oder Gelatine zu täuschen. Diese Green-Label-Ausrüstung wird in vielen Industriezweigen eingesetzt werden, unter anderem im Bankwesen, im Bildungswesen und in Regierungsprogrammen. Genauigkeit und Sicherheit sind bei diesen Anwendungen unabdingbar. So setzen wir bei 2N auf umfassende Sicherheitsmaßnahmen rund um Zutrittskontrolle und Datensicherheit im IoT-Bereich und bei der Gebäudeabsicherung und Datensicherheit“, erklärt Tomáš Vystavěl sein Engagement im Bereich Security abschließend.“