1

1

Sicherheitsleitfaden für Netzwerk-

Videorecorder Januar 2018

i

Über dieses Dokument

Dieser Leitfaden erläutert die Vorgehensweise zur Konfiguration eines Hikvision NVR-Systems, um ein

hohes Maß an Cybersicherheit zu gewährleisten.

Benutzerhandbuch

COPYRIGHT ©2018 Hangzhou Hikvision Digital Technology Co., Ltd.

ALLE RECHTE VORBEHALTEN.

Sämtliche Informationen, einschließlich Formulierungen, Bilder und Grafiken sind das Eigentum von

Hangzhou Hikvision Digital Technology Co., Ltd. oder seiner Tochtergesellschaften (im Folgenden

„Hikvision“). Eine Vervielfältigung, Veränderung, Übersetzung oder Verteilung dieses

Benutzerhandbuchs (im Folgenden „Handbuch“), in Teilen oder als Ganzes, auf irgendeine Weise, ist

ohne die vorherige schriftliche Zustimmung von Hikvision untersagt. Sofern nicht anderweitig

schriftlich vermerkt, übernimmt Hikvision keinerlei Garantien und macht keine Zusicherungen, weder

ausdrücklich noch stillschweigend, im Hinblick auf dieses Handbuch.

Markenhinweis

sowie andere Marken und Logos von Hikvision sind in den jeweiligen

Gerichtsbarkeiten Eigentum des Unternehmens. Im Folgenden erwähnte andere Marken und Logos

sind Eigentum der jeweiligen Markeninhaber.

Kontakt

No.555 Qianmo Road, Binjiang District, Hangzhou 310052, China

Tel.: +86-571-8807-5998

Fax: +86-571-8993-5635

E-Mail: overseasbusiness@hikvision.com; sales@hikvision.com

Technischer Support: support@hikvision.com

HSRC (Hikvision Security Response Center) E-Mail: HSRC@hikvision.com

ii

Haftungsausschluss

SOWEIT GESETZLICH ZULÄSSIG WERDEN DAS BESCHRIEBENE PRODUKT UND SEINE HARDWARE,

SOFTWARE UND FIRMWARE MIT ALLEN EVENTUELL VORHANDENEN FEHLERN UND MÄNGELN OHNE

GEWÄHR ZUR VERFÜGUNG GESTELLT, UND HIKVISION ÜBERNIMMT KEINE HAFTUNG, WEDER

AUSDRÜCKLICH NOCH STILLSCHWEIGEND, INSBESONDERE IM HINBLICK AUF DIE MARKTGÄNGIGKEIT,

ZUFRIEDENSTELLENDE QUALITÄT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK, UND

NICHTVERLETZUNG DER RECHTE DRITTER. UNTER KEINEN UMSTÄNDEN HAFTEN HIKVISION, SEINE

VORSTÄNDE, FÜHRUNGSKRÄFTE, MITARBEITER ODER VERTRETER FÜR INDIREKTE, NEBEN- ODER

FOLGESCHÄDEN, INSBESONDERE FÜR SCHÄDEN AUFGRUND VON ENTGANGENEM GEWINN,

UNTERBRECHUNG DES GESCHÄFTSBETRIEBS, DATENVERLUST ODER VERLUST VON DOKUMENTEN IN

ZUSAMMENHANG MIT DER VERWENDUNG DIESES PRODUKTS, SELBST WENN HIKSIVION AUF DIE

MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE.

PRODUKTE MIT INTERNETZUGANG VERWENDET DER KUNDE AUF EIGENE GEFAHR. HIKVISION

ÜBERNIMMT KEINE VERANTWORTUNG FÜR ANOMALIEN IM BETRIEB, DIE ENTWENDUNG PRIVATER

DATEN ODER ANDERE SCHÄDEN AUFGRUND VON CYBERANGRIFFEN, HACKERANGRIFFEN,

VIRENBEFALL ODER ANDEREN BEDROHUNGEN AUS DEM INTERNET. FALLS ERFODERLICH, STELLT

HIKVISION JEDOCH ZEITNAH TECHNISCHE UNTERSTÜTZUNG ZUR VERFÜGUNG.

DIE GESETZESLAGE IM HINBLICK AUF ÜBERWACHUNGSMASSNAHMEN VARIIERT JE NACH

GERICHTSBARKEIT. BITTE PRÜFEN SIE VOR VERWENDUNG DIESES PRODUKTS DIE RECHTSLAGE IN

IHRER GERICHTSBARKEIT, UM EINEN VERSTOSS GEGEN GELTENDE GESETZE ZU VERMEIDEN. HIKVISION

IST NICHT HAFTBAR BEI EINER VERWENDUNG DIESES PRODUKTS FÜR ILLEGALE ZWECKE.

IM FALLE VON WIDERSPRÜCHEN ZWISCHEN DIESEM HANDBUCH UND GELTENDEN GESETZEN HABEN

LETZTERE VORRANG.

iii

Inhalt

1. Kurzfassung .................................................................................................. 1

2. Sicherheitskonfiguration .............................................................................. 1

2.1 Implementierung von Sicherheitsfunktionen .................................. 1

2.2 Identifizierung und Authentifizierung .............................................. 1

2.2.1 Festlegen eines starken Passworts .............................................. 1

2.2.2 Aktivieren von Geräten mit einem starken Passwort .................. 2

2.2.3 Verwendung von GUID oder Sicherheitsabfragen für das

Zurücksetzen eines Passworts ....................................................................... 3

2.2.4 Auswahl einer sicheren Authentifizierungsmethode .................. 4

2.3 Benutzerverwaltung ........................................................................... 4

2.4 Systemprotokolle ................................................................................ 6

2.5 Ports und Dienste ............................................................................... 7

2.5.1 SNMP ........................................................................................... 7

2.5.2 UPnP™ ......................................................................................... 8

2.5.3 Portweiterleitung ......................................................................... 8

2.5.4 Hik-Connect ................................................................................. 9

2.6 Schutz von Videodaten ....................................................................... 9

2.6.1 Sperren/Entsperren von Videodateien ....................................... 9

2.6.2 Festplatte mit reinem Lesezugriff .............................................. 10

2.6.3 Backup ....................................................................................... 11

2.7 Sichere Verwaltung ........................................................................... 12

2.7.1 NTP ............................................................................................ 12

2.7.2 Exportieren/Importieren der Konfigurationsdatei .................... 12

2.7.3 Wiederherstellen der Standardeinstellungen ........................... 13

2.8 Firmware-Aktualisierung .................................................................... 14

2.9 Kommunikationssicherheit ............................................................. 14

2.9.1 HTTPS ......................................................................................... 14

2.10 Verwaltung der Sicherheit ............................................................ 15

3. Schlussfolgerung ........................................................................................ 16

1

1. Kurzfassung

Verschiedene Arten von Sicherheitsbedrohungen aus dem Internet haben sich zu

einer ernstzunehmenden Gefahr für Netzwerkgeräte und die Privatsphäre von

Benutzern entwickelt. In die Netzwerk-Videorecorder von Hikvision wurden eine Reihe

zuverlässiger Sicherheitsfunktionen integriert, die den Benutzer vor diesen

Bedrohungen schützen. So bemerkt er in der Regel nicht einmal, dass sein Gerät

angegriffen wurde. Hikvision hat mehrere Funktionen zur Verbesserung der

Cybersicherheit in seine Geräte integriert und zugleich viele Funktionen

standardmäßig deaktiviert. Auf diese Weise hat der Benutzer die Wahl, welche

Sicherheitsfunktionen er seinen Anforderungen entsprechend aktivieren möchte.

Anmerkung: Dieses Dokument bietet einen allgemeinen Überblick über

Sicherheitsfunktionen. Jeder Benutzer sollte die für seine tatsächliche Situation

geeigneten Sicherheitseinstellungen selbst auswählen.

2. Sicherheitskonfiguration

2.1 Implementierung von Sicherheitsfunktionen

Die NVRs von Hikvision aus dem mittleren und dem High-End-Segment verfügen über

zwei Netzwerkadapter und sind mit einem oder zwei LAN-Ports und PoE-Ports

ausgestattet. Im Modus „Multi-Address“ können Benutzer einen LAN-Port für die

Verbindung mit dem LAN konfigurieren und den anderen für das Wide Area Network.

Die beiden Netzwerkumgebungen sind in ausreichendem Maße voneinander getrennt,

was zu einer verbesserten Sicherheit führt. Es wird davon ausgegangen, dass Benutzer

den NVR in einem Rechenzentrum oder einem ähnlichen Raum mit entsprechenden

physischen Sicherheitsvorkehrungen implementieren.

2.2 Identifizierung und Authentifizierung

2.2.1 Festlegen eines starken Passworts

Wie lässt sich ein starkes Passwort erstellen?

Ein genereller Hinweis zur Erstellung starker Passwörter für Hikvision Geräte:

(1) Zulässige Anzahl von Zeichen [8-16].

2

(2) Sie können eine Kombination aus Zahlen, Groß- und Kleinbuchstaben sowie

Sonderzeichen verwenden. Ihr Passwort sollte mindestens zwei dieser

Elemente enthalten.

Sogenannte „Passphrasen“ lassen sich leicht merken und sind nur schwer zu

knacken. Hier eine einfache Möglichkeit zur Erstellung einer „Passphrase“.

(1) Wählen Sie einen Satz, der eine Zahl enthält.

(2) Verwenden Sie jeweils nur den Anfangsbuchstaben des Worts.

(3) Behalten Sie hierbei die Groß- und Kleinschreibung der Buchstaben im

ursprünglichen Satz bei.

(4) Verwenden Sie Zahlen als Ersatz für Buchstaben, beispielsweise eine „3“ für

„e“ oder „4“ statt „für“.

(5) Behalten Sie die Zeichensetzung bei.

Im Folgenden finden Sie einen Beispielsatz:

„Mein Flug nach New York geht um drei Uhr am Nachmittag! “.

Daraus wird die Passphrase: „MFnNYgu3UaN! “.

Einige Tipps für ein starkes Passwort:

(1) Verwenden Sie keine im Alphabet aufeinanderfolgenden Buchstaben oder

Zahlenkombinationen wie „cdef“, „12345“.

(2) Speichern Sie keinesfalls Passwörter im Webbrowser, wenn Sie einen

öffentlichen Computer verwenden.

(3) Senden Sie niemals Ihre Passwörter per E-Mail an andere Personen.

(4) Erwägen Sie die Verwendung eines Passwortmanagers, damit Sie sich nicht alle

Passwörter merken müssen.

2.2.2 Aktivieren von Geräten mit einem starken Passwort

Für die Geräte von Hikvision muss der Benutzer vor der Aktivierung ein Passwort

definieren (siehe Abbildung unten). Zum Schutz Ihrer vertraulichen und persönlichen

Daten empfehlen wir dringend die Verwendung eines starken Passworts, das den

Regeln für Passwörter entspricht.

3

Abb. 2-1 Aktivierung

2.2.3 Verwendung von GUID oder Sicherheitsabfragen für das

Zurücksetzen eines Passworts

Nach erfolgter Aktivierung des NVRs wird der Benutzer aufgefordert, eine GUID-Datei

zu exportieren. Diese kann zum Zurücksetzen des Passworts verwendet werden.

Abb. 2-2 GUID-Datei

Zusätzlich kann der Benutzer Sicherheitsfragen festlegen, die für das Zurücksetzen des

Passworts beantwortet werden müssen.

Abb. 2-3 Konfiguration der Sicherheitsabfrage

Rufen Sie die Schnittstelle für das Zurücksetzen des Passworts auf, indem Sie auf

„Forget Password“ (Passwort vergessen) klicken.

4

Abb. 2-4 Passwort vergessen

Nach mehr als 7 fehlgeschlagenen Anmeldeversuchen mit der GUID oder den

Sicherheitsfragen wird die Funktion gesperrt und der Benutzer kann erst nach einer

Minute erneut versuchen, das Passwort zurückzusetzen.

Nachdem das Admin-Passwort geändert oder die GUID-Datei verwendet wurde,

verliert diese ihre Gültigkeit.

2.2.4 Auswahl einer sicheren Authentifizierungsmethode

Von RTSP und WEB werden zwei Authentifizierungsmethoden unterstützt:

„Digest“ und „Digest/Basic“. Bitte wählen Sie „Digest“, da diese Methode mehr

Sicherheit bietet. Bei der Authentifizierungsmethode „Digest“ wird der Digestwert des

Passwort übertragen. Somit besteht keine Gefahr, dass ein in reiner Textform

übertragenes Passwort abgefangen werden könnte.

2.3 Benutzerverwaltung

Der Hikvision NVR unterstützt drei verschiedene Arten von Benutzerrollen: Admin,

Bediener und Benutzer. Für die Erstellung aller Benutzerkonten empfehlen wir

dringend die Verwendung eines starken Passworts mit mindestens acht Zeichen, das

Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthält. Dies verringert

die Wahrscheinlichkeit, dass ein Passwort bei einem Hacker-Angriff erraten werden

kann.

Darüber hinaus empfehlen wir die regelmäßige Änderung von Passwörtern, vor allem

bei Hochsicherheitsanlagen.

Der Administrator sollte alle Benutzerkonten regelmäßig überprüfen und nicht mehr

verwendete Konten löschen.

Wenn der Administrator mehr als siebenmal das falsche Passwort eingibt (fünfmal im

Falle eines Bedieners/Benutzers), wird das Konto gesperrt, um es vor einer Brute-

Force-Attacke zu schützen.

5

Abb. 2-5 Benutzerverwaltung

Der Administrator kann den einzelnen Benutzern unterschiedliche Berechtigungen

zuweisen.

Die Berechtigungen sind in drei Bereiche gegliedert:

Lokale Konfiguration

Fernkonfiguration

Kamerakonfiguration

Lokale Konfiguration

• Lokale Protokollsuche: Durchsuchen und Anzeigen von Protokollen und

Systeminformationen des NVR

• Lokale Parametereinstellungen: Konfiguration von Parametern, Wiederherstellung

der Werkseinstellungen und Import/Export von Konfigurationsdateien

• Lokale Kameraverwaltung: Hinzufügen, Löschen und Bearbeiten von IP-Kameras

• Erweiterte lokale Steuerung: Festplattenverwaltung (Initialisierung, Definieren von

Festplatteneigenschaften), Aktualisierung der System-Firmware, Löschen von E/A-

Alarmausgaben

• Lokales Herunterfahren und Neustarten: Herunterfahren oder Neustarten des NVR

Fernkonfiguration

• Protokollsuche aus der Ferne: Anzeige der auf dem NRV gespeicherten Protokolle

aus der Ferne

• Parametereinstellungen aus der Ferne: Konfiguration von Parametern,

Wiederherstellung der Werkseinstellungen und Import/Export von

Konfigurationsdateien aus der Ferne

• Kameraverwaltung aus der Ferne: Hinzufügen, Löschen und Bearbeiten von IP-

6

Kameras aus der Ferne

• Fernsteuerung serieller Ports: Konfigurieren der Einstellungen für die Ports RS-232

und RS-485

• Remote-Videosteuerung: Fernsteuerung von Signalen für Tasten

• 2-Wege-Audio: Realisieren einer 2-Wege-Audioverbindung zwischen dem Remote-

Client und dem NVR

• Remote-Alarmsteuerung: Aktivierung (Informieren des Remote-Client über Alarm

und Ausnahmemeldung) und Steuerung der Alarmausgabe aus der Ferne

• Erweiterte Fernsteuerung: Festplattenverwaltung (Initialisierung, Definieren von

Festplatteneigenschaften), Aktualisierung der System-Firmware, Löschen von E/A-

Alarmausgaben aus der Ferne

• Herunterfahren und Neustarten aus der Ferne: Herunterfahren oder Neustarten des

NVR aus der Ferne

Kamerakonfiguration

• Remote-Liveansicht: Liveansicht des Videostreams einer oder mehrerer

ausgewählter Kameras aus der Ferne

• Lokale manuelle Steuerung: Lokales Starten/Anhalten der manuellen Aufzeichnung

und Alarmausgabe für eine oder mehrere ausgewählte Kameras

• Manuelle Fernsteuerung: Starten/Anhalten der manuellen Aufzeichnung und

Alarmausgabe für eine oder mehrere ausgewählte Kameras aus der Ferne

• Lokale Wiedergabe: Lokale Wiedergabe aufgezeichneter Dateien bei einer oder

mehreren ausgewählten Kameras

• Fernwiedergabe: Fernwiedergabe aufgezeichneter Dateien bei einer oder mehreren

ausgewählten Kameras

• Lokale PTZ-Steuerung: Lokale PTZ-Steuerung einer oder mehrerer ausgewählter

Kameras

• PTZ-Fernsteuerung: PTZ-Fernsteuerung einer oder mehrerer ausgewählten Kameras

• Lokaler Videoexport: Lokaler Export aufgezeichneter Dateien bei einer oder

mehreren ausgewählten Kameras

2.4 Systemprotokolle

Steuerungen, Alarme, Ausnahmen und Informationen über den NRV werden in den

Protokolldateien gespeichert, die jederzeit angezeigt und exportiert werden können.

Zu den im Protokoll gespeicherten Informationen zählen Zahl, Zeit, Haupttyp, Untertyp,

Kanalnummer, Lokaler/Remote-Benutzer und Remote Host-IP. Benutzer können

verschiedene Suchparameter festlegen, darunter Haupttyp, Untertyp, Startzeit und

Endzeit. Das Protokoll wird fortlaufend im Binärdateiformat gespeichert. Ist der

7

Speicherplatz für die Protokolldateien vollständig belegt, wird die älteste

Protokolldatei von der neuen überschrieben. Protokolle können nicht geändert oder

gelöscht werden.

Abb. 2-6 Systemprotokoll

2.5 Ports und Dienste

Um die Gefahr von Angriffen auf das Netzwerk zu verringern, öffnet der NRV

standardmäßig nur bestimmte Ports. Benutzer sollten nur jene Ports und Dienste

aktivieren, die auch tatsächlich benötigt werden.

2.5.1 SNMP

Mithilfe des SNMP-Protokolls lassen sich Gerätestatus und Parameterinformationen

abfragen.

Achten Sie darauf, das SNMP-Protokoll zu deaktivieren, wenn es nicht benötigt wird.

Abb. 2-7 SNMP

8

2.5.2 UPnP™

Das Universal Plug and Play (UPnP™) ermöglicht dem Gerät die nahtlose Erkennung

anderer Geräte im Netzwerk und die Herstellung einer Netzwerkverbindung für die

gemeinsame Datennutzung, zur Kommunikation usw. Mithilfe der UPnP™-Funktion

lässt sich das Gerät über einen Router ohne vorheriges Port-Mapping schnell mit dem

WAN verbinden. Die UPnP™-Funktion ist standardmäßig deaktiviert. Sie sollten sie nur

aktivieren, wenn die Funktion tatsächlich benötigt wird.

ANMERKUNG: Während die UPnP™-Funktion gewisse Vorteile bietet, sollte sie nur aktiviert

werden, wenn sie tatsächlich benötigt wird. Bei aktivierter Funktion kann jedes Gerät in Ihrem

internen Netzwerk Ports auf Ihrem Router öffnen und so einen Internetzugang herstellen.

Falls Sie die UPnP™-Funktion des Geräts aktivieren, müssen Sie auch die UPnP™-Funktion des

Gateway-Routers aktivieren, mit dem Ihr Gerät verbunden ist. Ist für das Gerät der

Netzwerkmodus „Multi-Address“ aktiviert, muss die Standard-Route des Geräts sich im

gleichen Netzwerksegment wie die LAN IP-Adresse des Routers befinden. Detaillierte Hinweise

hierzu finden Sie im Benutzerhandbuch.

Abb. 2-8 UPnP

2.5.3 Portweiterleitung

Falls sich ein Gerät hinter einer Firewall befindet und Zugang zum Internet benötigt,

kann hierfür eine Portweiterleitung konfiguriert werden. Beachten Sie die folgenden

bewährten Vorgehensweisen zur Gewährleistung der Sicherheit, um die Gefahr von

Cyberangriffen auf Ihr mit dem Internet verbundenes Gerät zu minimieren.

1. Minimieren Sie die Anzahl der Ports, die einen Zugriff auf das Gerät über das

Internet erlauben. Konfigurieren Sie nur dann eine Portweiterleitung, wenn sie

wirklich benötigt wird. Beispielsweise eine Weiterleitung über Port 443, falls

verschlüsselte Webdienste benötigt werden.

2. Stellen Sie sicher, dass alle Konten durch sehr starke Passwörter geschützt sind.

Dies ist besonders wichtig, wenn ein Gerät mit dem Internet verbunden ist.

3. Vermeiden Sie die Verwendung allgemein üblicher Ports und definieren Sie

9

stattdessen eigene Ports. So wird beispielsweise Port 80 normalerweise für HTTP

verwendet. Es wird empfohlen, die Ports für einen bestimmten Service selbst

festzulegen. Die Definition eines benutzerdefinierten Ports muss gemäß der

TCP/IP-Port-Definition (1-65535) erfolgen.

2.5.4 Hik-Connect

HIK Cloud P2P bietet eine Anwendung für Mobiltelefone sowie die Seite der

Serviceplattform für den Zugriff und die Verwaltung Ihres verbundenen NVR. Somit

steht Ihnen ein bequemer Fernzugriff auf das Überwachungssystem zur Verfügung.

Die Funktion „Stream Encryption“ verschlüsselt den vom NVR gesendeten

Videostream und der Benutzer muss einen Bestätigungscode eingeben, um den Live-

Stream verfolgen oder später wiedergeben zu können.

Abb. 2-9 Hik-Connect

2.6 Schutz von Videodaten

Sie können die aufgezeichneten Videodateien sperren oder in den

Festplatteneigenschaften einen reinen Lesezugriff definieren, um ein Überschreiben

der Videodateien zu verhindern.

Die Videodateien können auf verschiedenen Geräten gespeichert werden,

beispielsweise auf USB-Geräten (USB-Speicher-Sticks, USB-Festplatten, USB-Brennern),

SATA-Brennern und e-SATA-Festplatten. Falls die Festplatte voll ist, müssen Sie Ihre

Videodateien regelmäßig sichern.

2.6.1 Sperren/Entsperren von Videodateien

Benutzer können die Backup-Schnittstelle aufrufen, den zu durchsuchenden Kanal

10

auswählen und Suchbedingungen definieren, beispielsweise Videotyp, Dateityp, Start-

und Stoppzeit. Auf diese Weise lassen sich die zu schützenden Videodateien ermitteln,

um sie zu sperren bzw. zu entsperren. Eine Abbildung der Konfigurationsschnittstelle

sehen Sie unten. Detaillierte Hinweise zu den einzelnen Schritten finden Sie im

Benutzerhandbuch.

Abb. 2-10 Sperren von Dateien

2.6.2 Festplatte mit reinem Lesezugriff

Die Festplatte kann für Redundanz, reinen Lesezugriff oder Lese-/Schreibzugriff (R/W)

konfiguriert werden. Wählen Sie vor der Definition der Festplatteneigenschaften als

Speichermodus „Group“ (Gruppe) aus. Weitere Hinweise finden Sie in den Schritten 1-

4 im Kapitel „Setting HDD Groups“ (Festlegen von Festplattengruppen).

Um ein Überschreiben wichtiger aufgezeichneter Dateien bei einer vollen Festplatte

zu verhindern, wenn der Modus für das Überschreiben von Aufzeichnungen aktiviert

ist, kann die Festplatte für reinen Lesezugriff konfiguriert werden.

11

Abb. 2-11 Festplatteneinstellung für reinen Lesezugriff

2.6.3 Backup

Der NVR unterstützt die Sicherung von Dateien, Ereignisvideos, Videoclips und Bildern.

Benutzer sollten wichtige Daten regelmäßig sichern. Detaillierte Hinweise hierzu

finden Sie im Benutzerhandbuch.

Abb. 2-12 Backup

12

2.7 Sichere Verwaltung

2.7.1 NTP

Ein Network Time Protocol (NTP) Server kann auf Ihrem NVR konfiguriert werden, um

die Genauigkeit von Systemdatum und -uhrzeit sicherzustellen Detaillierte Hinweise

hierzu finden Sie im Benutzerhandbuch.

Abb. 2-13 NTP-Einstellung

2.7.2 Exportieren/Importieren der Konfigurationsdatei

Die Konfigurationsdateien des NVR können als Backup auf ein lokales Gerät exportiert

werden. Es ist auch möglich, die Konfigurationsdateien eines NVR auf andere NVRs zu

übertragen, falls eine Konfiguration dieser Geräte mit den gleichen Parametern

gewünscht ist. Mithilfe eines benutzerdefinierten Schlüssels, den der Benutzer

während des Exportvorganges erstellt, lassen sich die Geräteparameter des NVR

verschlüsseln. Wenn der Benutzer die Konfigurationsdatei importiert, wird hierfür der

gleiche Schlüssel benötigt.

13

Abb. 2-14 Export der Konfigurationsdatei

2.7.3 Wiederherstellen der Standardeinstellungen

Falls Sie sich im Hinblick auf die Änderungen an der Gerätekonfiguration nicht sicher

sind oder vermuten, dass ein Gerät manipuliert wurde, können Sie die

Standardeinstellungen des Geräts wiederherstellen.

Hierfür stehen drei Optionen zur Verfügung:

Wiederherstellen der Standardeinstellungen: Zurücksetzen aller Parameter mit

Ausnahme der Parameter für Netzwerk (einschließlich IP-Adresse, Subnetzmaske,

Gateway, MTU, NIC-Betriebsmodus, Standard-Route, Server-Port usw.) und

Benutzerkonto auf die Werkseinstellungen

Werkseinstellungen: Zurücksetzen aller Parameter auf die Werkseinstellungen

Zurücksetzen auf inaktiv: Zurücksetzen des Geräts in den inaktiven Zustand

Abb. 2-15 Werkseinstellungen

14

2.8 Firmware-Aktualisierung

Es wird dringend empfohlen, bei allen Geräten von Hikvision regelmäßig die Firmware

zu aktualisieren, um ein stabiles und sicheres System zu gewährleisten.

Der NVR unterstützt zwei Aktualisierungsmethoden: lokale Aktualisierung und

Remote-Aktualisierung.

Eine Abbildung der Konfigurationsschnittstelle sehen Sie unten. Detaillierte Hinweise

zu den einzelnen Schritten finden Sie im Benutzerhandbuch.

Abb. 2-16 Aktualisierung

2.9 Kommunikationssicherheit

2.9.1 HTTPS

HTTPS ermöglicht die verschlüsselte Authentifizierung eines Web-Client an einem

Webserver und bietet so Schutz vor „Packet-Sniffing“ und „Man-in-the-Middle-

Angriffen“. Die Konfiguration von HTTPS kann aus der Ferne mit der Webseite oder

dem iVMS-Client erfolgen.

15

Abb. 2-17 HTTPS

Anmerkung: 1. Bei allen selbstsignierten Zertifikaten wird ein Fenster wie das untere

angezeigt, da diese Zertifikate nicht durch eine Zertifizierungsstelle (CA) signiert

wurden. Klicken Sie auf „Laden dieser Webseite fortsetzen“.

Abb. 2-18 Popupfenster bei nicht autorisiertem Zertifikat

2. Wir empfehlen die Verwendung von Zertifikaten, die von einer vertrauenswürdigen

Zertifizierungsstelle (CA) signiert wurden, um die Sicherheit beim Zugriff auf Webseiten

zu verbessern. Zudem entfällt dadurch die Anzeige des Popupfensters mit der Warnung

vor selbstsignierten Zertifikaten.

2.10 Verwaltung der Sicherheit

Einer der wichtigsten Faktoren für die Produktsicherheit ist die Verwaltung der

Sicherheit. Ein System lässt sich mithilfe von technischen Einstellungen und

Konfigurationen für Cybersicherheit nur schwer schützen, wenn sich die Benutzer

nicht an bewährte Vorgehensweisen zur Gewährleistung der Sicherheit halten. Im

Folgenden finden Sie einige allgemeine Hinweise zur Verwaltung der Sicherheit:

(1) Entwickeln Sie entsprechende Systeme, Prozesse, Pläne, Bedienungshinweise und

Formulare für die Produktsicherheit. Dokumentieren Sie alle Prozesse und führen Sie

Simulationen oder Übungen durch, damit sich im Ernstfall alle Benutzer der Abläufe

bewusst sind.

(2) Verwenden Sie Tools für Sicherheitsscans, Konfigurationsverifizierung und

16

Penetrationstests, um die Sicherheit von Netzwerken und Geräten zu bewerten.

Identifizieren Sie anschließend mögliche Sicherheitsrisiken, bewerten Sie das Risiko

und erstellen Sie einen Plan zu deren Behebung.

(3) Entwerfen Sie auf Basis der Ergebnisse Ihrer Produktsicherheitsbewertung einen

entsprechenden Vorschlag zur Optimierung und einen Handlungsleitfaden. Führen Sie

anschließend die Optimierung durch und überprüfen Sie deren Effizienz.

(4) Überwachen Sie rund um die Uhr die Sicherheit aller Netzwerke und Geräte. Diese

Überwachung sollte unter anderem die Verfügbarkeit von Systemen und Netzwerken,

die Erkennung bösartiger Software und Intrusion Detection umfassen.

(5) Überprüfen Sie in regelmäßigen Abständen die Cybersicherheit Ihres Netzwerks

sowie Ihrer Anwendungen. Passen Sie anhand der Ergebnisse die Firewall von

Plattform, Server und anderen Netzwerkgeräten für die Videoüberwachung ebenso an

wie die Sicherheitsrichtlinien des Host-Systems, um die Produktsicherheit weiter zu

verbessern.

(6) Richten Sie sich nach den in der Internetbranche üblichen Mechanismen für

Reaktionen im Notfall und kombinieren Sie diese mit eigenen Notfallmaßnahmen, um

das Videoüberwachungssystem für den Ernstfall zu wappnen.

(7) Sensibilisieren Sie das Sicherheitsbewusstsein der Mitarbeiter in den

unterschiedlichen Bereichen der Videoüberwachung und führen Sie Schulungen zur

Verwaltung der Systemsicherheit durch.

(8) Die Einstellungen der Produktsicherheit richten sich nach den grundlegenden

Prinzipien der Sicherheit von Datensystemen: dem Prinzip der minimalen Rechte, dem

Prinzip der Dezentralisierung und Ausgewogenheit, dem Prinzip der

Sicherheitsisolation usw.

3. Schlussfolgerung

Dieser Sicherheitsleitfaden wird regelmäßig aktualisiert, um Ihnen bewährte

Vorgehensweisen zum aktuellen Stand der Netzwerksicherheit aufzuzeigen.

Hikvision engagiert sich bereits seit vielen Jahren für die Weiterentwicklung der

Netzwerksicherheit und stellt Benutzern branchenweit führende Technologie zum

Thema Cybersicherheit zur Verfügung.

Unter http://www.hikvision.com/cn/support_list_591.html finden Sie weitere

Informationen zum Thema Cybersicherheit. Bei Fragen zur Cybersicherheit können Sie

uns per E-Mail kontaktieren unter HSRC@hikvision.com.