7 Tipps für mehr Sicherheit in Ihrem Digital Signage Netzwerk

Digital Signage Security
Digital Signage Security

Digital Signage Sicherheit ist eine verhältnismäßig junge Thematik. Anfang der 2000er Jahre gab es kaum Netzwerkinstallationen. Zusätzlich waren größere Budgets für die Umsetzung notwendig. Inzwischen ist Digital Signage für kleine und mittlere Unternehmen erschwinglich. Wir können aus hunderten unterschiedlichen Anbietern auswählen und die Hardwarepreise fallen kontinuierlich. Digitale Signage Netzwerke wachsen seit Jahren und wir können inzwischen auf Clouds oder SaaS-Lösungen outsourcen.

Vernachlässigung der Digital Signage Sicherheit

Dabei vergessen Entscheidungsträger oft, dass Digital Signage „nur“ vernetzte IT-Systeme darstellen. In einem Netzwerk müssen wir uns besonderen Gefahren und Angriffsvektoren stellen. Ich erlebte in den letzten Jahren nicht selten, wie erfahrene Projektleiter und selbst Programmierer Bequemlichkeit vor Sicherheit stellten. Jedes mal bedurfte es langwieriger Erklärungen und drastischer Beispielen.

Besondere Digital Signage Angriffsvektoren

Unsere Netzwerke bieten zu den Standardangriffsvektoren, wie z.B. Botnetze, Man-in-the-middle, Cross-site Skripting, Denial-of-service Attacken usw. zusätzlich visuelle Sabotageszenarien.

Ungewollte Programmänderungen

Bei den Stadtwerken Bremerhaven fanden z.B. kreative Umgestaltungen des Programmes statt.
In München existiert inzwischen eine stadtbekannte „Porno-Apotheke“.  Der Hack gelang übrigens, weil ein Monitor die Teamviewer Zugangsdaten zur Fernwartung anzeigte. Glücklicherweise war die Betreiberin gewitzt genug, um aus der Situation eine erfolgreiche PR-Aktion zu entwickeln.

Wir können über diese beide Beispiele vermutlich distanziert schmunzeln. Allerdings möchte bestimmt niemand in der Haut des verantwortlichen Dienstleisters oder Projektleiters stecken.

Letztendlich ist das die Spitze des Eisberges, denn ein öffentlich aufgeführter Hardcoreporno fällt schnell auf. Deshalb erfolgte das Feedback und die Problemlösung (Abschaltung) zeitnah. Subtileren Programmänderungen, die nicht offensichtlich ins Auge fallen sind weitaus bedrohlicher.

Zum Beispiel: Falsche Informationen auf Fahrplänen, Fake News, QR-Codes im Schaufenster einer Boutique, die auf den Shop des Mitbewerbers verlinken usw.

Angriffsvektoren der „Zukunft“

Zukünftige Digital Signage Systeme werden Kameras beinhalten, die in der Lage sind Personen erfassen, wiedererkennen und Reaktionen auszuwerten. Überwachung und Ausspionieren von Geschäftsgeheimnissen wird ohne möglich physischen Einbruch möglich. Viele Möglichkeiten Technologien zukünftig auf illegale Weise auszunutzen können wir heute nicht absehen.

Aber lassen Sie uns zu nun zu den versprochenen Gegenmaßnahmen kommen.

1. Verschlüsselung

Greifen Sie auf Ihr Content Management System und generell alles, was mit persönlichen Zugängen zu tun hat z. B. Email nur über SSL-Verschlüsselung (Https, Smtps, Imaps usw.) zu.

Das ist der effektivste Schutz gegen die sogenannte „Man-in-the-Middle-Angriffe“. Ein MITM ist schnell erklärt. Stellen Sie sich vor Sie sind auf Dienstreise und wollen die Playliste einer neue Kampagne überprüfen. Deshalb greifen Sie auf ein öffentliches WLAN zu. Wer den Einwahlknoten (Router) kontrolliert, ist der „Mann in der Mitte“ und kann Ihren Datenverkehr mitlesen. Das hinterhältige ist, dass jeder auf seinem Smartphone einen WLAN-Zugangsknoten anbieten und ihn z.B. „Hauptbahnhof Free Internet“ nennen kann. Während Sie sich versehentlich gutgläubig mit dem Netz verbinden, zeichnet der Angreifer Ihren kompletten Datenverkehr auf. Kommunizieren Sie mit Ihrem CMS unverschlüsselt, also ohne SSL/Https, senden Sie Ihre Benutzernamen und Passwörter im Klartext. Der Angreifer durchsucht seinen „Mitschnitt“ und bekommt Ihre Zugangsdaten. Das muss nicht sein!

Kostenlose SSL-Zertifikate

Seit ca. zwei Jahren bietet Let‘s Encrypt Zertifikate kostenlos an. Diese könne Sie ohne Emailverifikation installieren. Die Zertifikatsaktualisierung erfolgt automatisch. Es existiert somit kein Grund mehr passwortabhängige Dienste ohne Verschlüsselung anzubieten. Das steigert Ihre Digitale Signage Sicherheit und sicherheitsbewusste Anwender werden sich freuen.

2. Sichere Passwörter

Sichere Passwörter sind mindestens 8-stellig und beinhalten wenigstens eine Zahl, einen Groß-und Kleinbuchstaben sowie ein Sonderzeichen.

Ein sicheres Passwort hilft gegen sogenannte „Brute-Force Attacken“. Diese Technik beschreibt Angriffe bei denen eine Software automatisch Kennwörter durchprobiert. Leistungsfähige Computer sind in der Lage ca. 1.000.000 Kennwörter pro Sekunde zu testen. Ein Zugangscode mit 5 Zeichen kann unter Umständen innerhalb einer Stunde geknackt werden.

Außerdem benutzen Cracker (bösartige Hacker) Wörterbücher. Dadurch können Sie Namen von Haustieren, Lebensgefährten und Wortkombinationen wie Schatzi91 usw. mit geringem Aufwand herausfinden. Benutzen Sie also keine Wörter, die in einem Wörterbuch stehen könnten. Das gilt übrigens ebenso für Fremdsprachen. Deshalb sichern Sie Ihre netzwerkfähigen Medienplayer,  Ihre CMS-Zugänge und was immer auch mit Ihrem Digital Signage Projekt zu tun hat immer mit sicheren Passwörtern.

Wie bekommen wir sichere Passwörter?

Es existiert eine bewährte Methode um komplexe Kennwörter zu erstellen und sich zu merken. Bilden Sie einen Satz und nehmen davon die Anfangsbuchstaben. Zum Beispiel wird aus „Pulp Fiction von Quentin Tarantino aus dem Jahr 1994 ist einer meiner Lieblingsfilme!“ ein „PFvQTadJ1994iemL!“. Wir erhalten ein 14stelliges Passwort, welches für Tarantino-Fans unbestreitbar einfach zu merken ist.

Hier ein weiteres Beispiel: Aus „An meinem 12. Geburtstag bekam ich mein erstes Dungeon & Dragon Brettspiel“ erstellen wir wiederum ein 14stelliges Passwort namens „Am12.GbimeD&DB“. Experimentieren Sie ein wenig. Ich bin sicher, Sie finden viele Variationen, die Sie sich verhältnismäßig schnell einprägen.

Passwortänderungen

Einige Sicherheitsexperten raten dazu Zugangscodes alle 3-6 Monaten auszutauschen. Ich bin kein Fan von zu häufigen Kennwortwechseln, weil dieses neue Risiken schaffen und die Digital Signage Sicherheit nicht wesentlich erhöhen. Wenn wir User zu häufigen Passwortwechseln zwingen, neigen sie dazu diese auf einen Zettel zu schreiben oder für mehrere Dienste zu verwenden. Des weiteren ist es wahrscheinlich, dass der neu gewählte Zugangscode dem vorherigen zu sehr ähnelt.

Ich halte einen Wechsel bei kritischen Systemen einmal im Jahr für ausreichend. Setzen Sie ein neues Passwort aber unbedingt, sobald der Verdacht auf eine Systemkompromitierung besteht.

Wegwerf-Passwörter

Zu guter letzt haben wir hier eine Top 25 Chartliste der schlechtesten Passwörter seit 2011. Benutzen Sie diese ruhig als Wegwerf-Passwörter bei Zugängen, die Ihnen kein richtiges Schlüsselwort wert sind. Zum Beispiel bei Firmen wie Adobe, die Ihnen eine Zwangsregistrierung aufdrängen, obwohl Sie lediglich eine Informationsbroschüre downloaden wollen. Halten Sie sich Ihren Kopf frei für die wirklich wichtigen Kennwörter!

Gute Passwörter sind ein maßgeblicher Faktor, um die Digital Signage Sicherheit Ihres Netzwerks signifikant zu erhöhen..

3. Seien Sie misstrauisch!

Ein großer Teil der Computereinbrüche geht auf sogenanntes „Social Engineering“ zurück. Beim Social Engineering nutzt ein Angreifer menschliche Eigenschaften und Schwächen aus, um sein Ziel zu erreichen. Zum Beispiel wenn sich jemand als Administrator ausgibt, der ein dringendes Problem beheben will und dafür Ihre Zugangsdaten verlangt. Dieses englischsprachige Video demonstriert eindrucksvoll eine weitere Social Engineering Technik.

Die Frau bekommt nicht nur die beim Mobilfunkanbieter hinterlegte Email des Opfers, sondern setzt auch sein Passwort zurück. Sie sperrt ihr Opfer somit von seinem Account aus. Dazu benutzt sie eine Technik namens Spoofing, um sich mit der gefälschten Telefonummer des Opfers beim Support zu melden. Den Rest erledigt ihr hilflos panisch scheinender Auftritt und ein penetrant schreiendes Baby aus einem Youtube-Video.

Seinen Sie prinzipiell misstrauisch, sobald es um Daten geht. Teilen Sie unter keinen Umständen Ihre Zugänge. Lassen Sie sich hierbei nicht unter Druck setzen. Legen Sie für Ihre Mitarbeiter extra Accounts an, selbst wenn es erstmal aufwändiger scheint. Ein gesundes Maß an Paranoia ist bei Netzwerksystemen angebracht und gut für Ihre Digital Signage Sicherheit.

4. Kommunikation

Eine Ihrer beste Waffen ist Wissen und Aufklärung bei der Digital Signage Sicherheit. Schulen Sie deshalb Ihre Mitarbeiter und Kunden. Kommunizieren Sie Punkt 1-3 eindringlich an alle Systembenutzer. Seien Sie darauf gefasst bei Punkt 2 eventuell auf Widerstand zu stoßen. Gehen Sie da auf keinen Fall Kompromisse ein. Erst recht nicht wenn Sie die Verantwortung tragen. Bringen Sie drastische Beispiele von Unternehmen, die sich durch peinliche Mängel bis auf die Knochen blamierten. 2011 entwendeten Hacker bei sonypictures.com Millionen von Kundendaten. Dabei entdeckten sie, dass Sony viele Passwörter nicht verschlüsselt, sondern im Klartext abspeicherte. Eine Passwortanalyse stellte fest, dass nur 1% der Kennwörter Sonderzeichen enthielten, und 9 von 10 Nutzern die Passwörter zusätzlich in anderen Diensten nutzten. Das galt auch für viele Sony-Mitarbeiter.
Im April 2018 „glänzte“ T-Mobile.at mit Sicherheitslücken und Klartextkennwörtern.

Der Imageverlust und die eventuell darauf folgenden Schadensersatzklagen können Konzerne in der Regel abfangen. Kleinere und mittlere Unternehmen treibt das unter Umständen in den Ruin.

5. Updates, Update, Updates!

In einem früheren Beitrag beschrieb ich die Updateproblematik beim Kauf netzwerkfähiger Medienplayer. Natürlich gilt das analog für alle Softwarekomponenten Ihres Netzwerkes. Schließen Sie Wartungsverträge ab und informieren sich genaustens über die Updatezyklen, wenn Sie Medienplayer kaufen, ein CMS lizensieren oder eine SaaS- bzw. Cloud-Lösung nutzen.

Wenn Sie Programmierdienstleistungen anbieten, planen Sie immer Wartungskosten und Qualitätsicherung ein. Eine funktionierende Anwendung zu programmieren ist verhältnismäßig einfach. Die 50 – 80% der Kosten während des gesamten Lebenszyklus einer Software liegen in der Wartung und Fehlerbehebung. Bei SaaS-Lösungen ist zudem eine Weiterentwicklung obligatorisch. Diese vergrößert den Lebenszyklus und steigert damit die Kosten nochmal deutlich.

Viele Unternehmen und Projekte scheiterten, weil sie diese Regeln ignorierten. Daher lehne ich beispielsweise Kunden konsequent ab, wenn diese keinen Wartungsvertrag abschließen möchten. Werden Sie sich bewusst, dass theoretisch jeder auf der Welt eine Interntsoftware angreifen kann. Ohne Wartungsvertrag mit regelmäßige Updates arbeiten Sie mit einer tickenden Bombe.

6. Backups

Legen Sie regelmäßig Backups Ihrer Daten an und prüfen Sie diese von Zeit zu Zeit auf Konsistenz. Auch wenn Ihr Dienstleister das bei einer SaaS-Lösung abnimmt; sichern Sie Ihre Medien nochmal selbst. Vielleicht werden Sie jetzt fragen warum, und was haben Backups mit Digital Signage Sicherheit zu tun?

Es geht hierbei neben einem Systemausfall, um den Schutz vor sogenannter Ransomware bzw. Erpressungtrojaner. So nennen sich Schadprogramme, die Daten verschlüsseln und somit den Zugriff auf diese verhindern. Die Erpresser verlangen dann für die Entschlüsselung ein Lösegeld. Davor schützt Sie eine gute Backupstrategie. Da die Verschlüsselung aber unter Umständen über einen längeren Zeitraum vorangeht kann es passieren, dass selbst die Backups betroffen sind. Deshalb speichern Sie Ihr Backup vom System getrennt und überprüfen die Daten regelmäßig.

7. Monitoring

Überwachen Sie Ihr System. Dafür gibt es freie Software, wie z.B. Cacti, Nagios, oder dessen Fork Icinga. Diese Tools automatisieren die Überwachung und schlagen bei definierten Werten Alarm. Zum Beispiel können Sie einstellen, dass sie eine Email oder SMS erhalten sobald eine Serverfestplatte im Raid ausfällt, das System zu lange eine bestimmte Auslastung überschreitet, übermäßig Traffic erzeugt usw. Des weiteren schadet es nicht regelmäßig die Logfiles auf verdächtige Einträge zu überprüfen. Zum Beispiel auf erfolgreiche Verbindungen von unbekannten Quellen.

Fazit zu Digital Signage Sicherheit

Hundertprozentige Sicherheit ist eine Illusion, aber das ist kein Grund in panische Paranoia zu verfallen. Wenn Sie die Tipps beherzigen, legen Sie die Basis für eine solide Digital Signage Sicherheit. Die prinzipielle Herangehensweise lautet:

Je schwieriger Sie es einem potentiellen Angreifer machen, umso eher wendet er sich einfacheren Zielen zu!

Ich hoffe dieser Text ist nützlich für Sie. Wenn Sie Fragen oder Anmerkungen haben, können Sie mich natürlich gerne kontaktieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.