7 Tipps für mehr Sicherheit in Ihrem Digital Signage

Worum geht es?

Entscheidungsträger vergessen manchmal, dass Digital Signage „nur“ vernetzte IT-Systeme darstellen. In einem Digital Signage Netzwerk müssen wir uns besonderen Gefahren und Angriffsvektoren stellen. Ich erlebte in den letzten Jahren nicht selten, wie selbst erfahrene Projektleiter Bequemlichkeit vor Sicherheit stellten. Jedes Mal bedurfte es langwieriger Erklärungen und drastischer Beispiele, um Ihre Meinungen zu ändern.

Was bedeutet Digital Signage Sicherheit?

Digital Signage Sicherheit ist eine verhältnismäßig junge Thematik. Anfang der 2000er-Jahre gab es kaum Netzwerkinstallationen. Zusätzlich waren größere Budgets für die Umsetzung notwendig. Inzwischen ist Digital Signage für kleine und mittlere Unternehmen erschwinglich. Wir können aus hunderten unterschiedlichen Anbietern auswählen und die Hardwarepreise fallen kontinuierlich. Digital Signage Netzwerke wachsen seit Jahren und wir outsourcen inzwischen oft zu SaaS-Lösungen.

Welche Sicherheitsprobleme gibt es bei Digital Signage?

Digital Signage Netzwerke bieten zu den Standardangriffsvektoren, wie Einbindung in Botnetze, Man-in-the-middle Spionage, Cross-site Scripting, Denial-of-service Attacken usw. ein zusätzliches visuelles Sabotageszenario. Das besteht in ungewollten Programmänderungen.

Beispiele für ungewollte Programmänderungen

Bei den Stadtwerken Bremerhaven fanden kreative Umgestaltungen des Programmes statt.

In München existiert inzwischen eine stadtbekannte „Porno-Apotheke“. Der Hack gelang übrigens, weil ein Bildschirm die TeamViewer Zugangsdaten zur Fernwartung anzeigte. Glücklicherweise war die Betreiberin gewitzt genug, um aus der Situation eine erfolgreiche PR-Aktion zu entwickeln.

Wir können über diese beide Beispiele vermutlich distanziert schmunzeln. Allerdings möchte bestimmt niemand in der Haut des verantwortlichen Dienstleisters und Projektleiters stecken.

Verbreitung von Fake-News

Letztlich ist das die Spitze des Eisberges, denn ein öffentlich aufgeführter Hardcoreporno fällt schnell auf. Deshalb erfolgte das Feedback und die Problemlösung (Abschaltung) zeitnah. Subtileren Programmänderungen, die nicht offensichtlich ins Auge fallen, sind weitaus bedrohlicher.

Falsche Informationen auf Fahrplänen, Fake News oder QR-Codes im Schaufenster einer Boutique, die auf den Shop des Mitbewerbers verlinken halte ich für weitaus gefährlicher. Sie bleiben für die Betreiber oft unbemerkt, beschädigen aber nachhaltig das Image.

Welche neue Gefahren kommen zukünftig auf uns zu?

Zukünftige Digital Signage Systeme werden Kameras beinhalten, die in der Lage sind Personen zu erfassen, wiederzuerkennen und Reaktionen auszuwerten. Ein Hacker nutzt diese Kameras, um nun ohne physischen Einbruch Geschäftsgeheimnisse auszuspionieren oder zur Überwachung. Viele Möglichkeiten Technologien zukünftig auf illegale Weise auszunutzen können wir heute nicht mal absehen. Ransomware war vor 20 Jahren auch nicht bekannt.

Aber lassen Sie uns zu nun zu den versprochenen Gegenmaßnahmen kommen.

1. Verschlüsselung

Greifen Sie auf Ihr Content-Management-System und generell alles, was mit persönlichen Zugängen zu tun hat, beispielsweise E-Mail, nur über SSL-Verschlüsselung (Https, Smtps, Imaps usw.) zu.

Das ist der effektivste Schutz gegen die sogenannte „Man-in-the-Middle-Angriffe“. Ein MITM ist schnell erklärt. Stellen Sie sich vor, Sie sind auf Dienstreise und wollen die Playliste einer neuen Kampagne überprüfen. Deshalb greifen Sie auf ein öffentliches WLAN zu. Wer den Einwahlknoten (Router) kontrolliert, ist der „Mann in der Mitte“ und kann Ihren Datenverkehr mitlesen.

Das hinterhältige ist, dass jeder auf seinem Smartphone einen WLAN-Zugangsknoten anbieten und ihn beispielsweise „Hauptbahnhof Free Internet“ nennen kann. Während Sie sich versehentlich gutgläubig mit dem Netz verbinden, zeichnet der Angreifer Ihren kompletten Datenverkehr auf. Kommunizieren Sie mit Ihrem CMS unverschlüsselt, also ohne SSL/Https, senden Sie Ihre Benutzernamen und Passwörter im Klartext. Der Angreifer durchsucht seinen „Mitschnitt“ und bekommt Ihre Zugangsdaten. Das muss nicht sein!

Kostenlose SSL-Zertifikate

Seit ca. zwei Jahren bietet Let‘s Encrypt Zertifikate kostenlos an. Diese könne Sie ohne Emailverifikation installieren. Die Zertifikatsaktualisierung erfolgt automatisch. Es existiert somit kein Grund mehr passwortabhängige Dienste, ohne Verschlüsselung anzubieten. Das steigert Ihre Digitale Signage Sicherheit und sicherheitsbewusste Anwender werden sich freuen.

2. Sichere Passwörter

Sichere Passwörter sind mindestens 8-stellig und beinhalten wenigstens eine Zahl, einen Groß- und Kleinbuchstaben sowie ein Sonderzeichen.

Ein sicheres Passwort hilft gegen sogenannte „Brute-Force Attacken“. Diese Technik beschreibt Angriffe bei denen eine Software automatisch, Kennwörter durchprobiert. Leistungsfähige Computer sind in der Lage ca. 1.000.000 Kennwörter pro Sekunde zu testen. Ein Zugangscode mit 5 Zeichen kann unter Umständen innerhalb einer Stunde geknackt werden.

Außerdem benutzen Cracker (bösartige Hacker) Wörterbücher. Dadurch können Sie Namen von Haustieren, Lebensgefährten und Wortkombinationen wie Schatzi91 usw. mit geringem Aufwand herausfinden. Benutzen Sie also keine Wörter, die in einem Wörterbuch stehen könnten. Das gilt übrigens ebenso für Fremdsprachen. Deshalb sichern Sie Ihre netzwerkfähigen Medienplayer, Ihre CMS-Zugänge und was immer auch mit Ihrem Digital Signage Projekt zu tun hat immer mit sicheren Passwörtern.

Wie bekommen wir sichere Passwörter?

Es existiert eine bewährte Methode, um komplexe Kennwörter zu erstellen und sich zu merken. Sie bilden einen Satz und nehmen davon die Anfangsbuchstaben. Zum Beispiel wird aus „Pulp Fiction von Quentin Tarantino aus dem Jahr 1994 ist einer meiner Lieblingsfilme!“ ein „PFvQTadJ1994iemL!“. Wir erhalten ein 14-stelliges Passwort, welches für Tarantino-Fans unbestreitbar einfach zu merken ist.

Hier ein weiteres Beispiel: Aus „An meinem 12. Geburtstag bekam ich mein erstes Dungeon & Dragon Brettspiel“ erstellen wir wiederum ein 14-stelliges Passwort namens „Am12.GbimeD&DB“. Experimentieren Sie ein wenig. Ich bin sicher, Sie finden viele Variationen, die Sie sich verhältnismäßig schnell einprägen.

Passwortänderungen

Einige Sicherheitsexperten raten dazu, Zugangscodes alle 3–6 Monate auszutauschen. Ich bin kein Fan von zu häufigen Kennwortwechseln, weil dieses neue Risiken schaffen und die Digital Signage Sicherheit nicht wesentlich erhöhen. Wenn wir User zu häufigen Passwortwechseln zwingen, neigen sie dazu diese auf einen Zettel zu schreiben oder für mehrere Dienste zu verwenden. Des Weiteren ist es wahrscheinlich, dass der neu gewählte Zugangscode dem vorherigen zu sehr ähnelt.

Ich halte einen Wechsel bei kritischen Systemen einmal im Jahr für ausreichend. Setzen Sie ein neues Passwort aber unbedingt, sobald der Verdacht auf eine Systemkompromittierung besteht.

Wegwerf-Passwörter

Zu guter letzt haben wir hier eine Top 25 Chartliste der schlechtesten Passwörter seit 2011. Benutzen Sie diese ruhig als Wegwerf-Passwörter bei Zugängen, die Ihnen kein richtiges Schlüsselwort wert sind. Zum Beispiel bei Firmen wie Adobe, die Ihnen eine Zwangsregistrierung aufdrängen, obwohl Sie lediglich eine Informationsbroschüre downloaden wollen. Halten Sie sich Ihren Kopf frei für die wirklich wichtigen Kennwörter!

Gute Passwörter sind ein maßgeblicher Faktor, um die Digital Signage Sicherheit Ihres Netzwerks signifikant zu erhöhen.

3. Seien Sie misstrauisch!

Ein großer Teil der Computereinbrüche geht auf sogenanntes „Social Engineering“ zurück. Beim Social Engineering nutzt ein Angreifer menschliche Eigenschaften und Schwächen aus, um sein Ziel zu erreichen. Zum Beispiel, wenn sich jemand als Administrator ausgibt, der ein dringendes Problem beheben will und dafür Ihre Zugangsdaten verlangt. Dieses englischsprachige Video (Link) demonstriert eindrucksvoll eine weitere Social Engineering Technik.

Die Frau bekommt nicht nur die beim Mobilfunkanbieter hinterlegte E-Mail des Opfers, sondern setzt auch sein Passwort zurück. Sie sperrt ihr Opfer somit von seinem Account aus. Dazu benutzt sie eine Technik namens Spoofing, um sich mit der gefälschten Telefonnummer des Opfers beim Support zu melden. Den Rest erledigt ihr hilflos panisch scheinender Auftritt und ein penetrant schreiendes Baby aus einem Youtube-Video.

Seien Sie prinzipiell misstrauisch, sobald es um Daten geht. Teilen Sie unter keinen Umständen Ihre Zugänge. Lassen Sie sich hierbei nicht unter Druck setzen. Legen Sie für Ihre Mitarbeiter extra Accounts an, selbst wenn es zunächst aufwändiger scheint. Ein gesundes Maß an Paranoia ist bei Netzwerksystemen angebracht und gut für Ihre Digital Signage Sicherheit.

4. Kommunikation und Schulung

Eine Ihrer beste Waffen ist Wissen und Aufklärung bei der Digital Signage Sicherheit. Schulen Sie deshalb Ihre Mitarbeiter und Kunden.

Kommunizieren Sie Punkt 1–3 eindringlich an alle Systembenutzer. Seien Sie darauf gefasst bei Punkt 2 eventuell auf Widerstand zu stoßen. Gehen Sie da auf keinen Fall Kompromisse ein. Seien Sie sich über eines bewusst:

Am Ende des Tages tragen Sie die Verantwortung!

Bringen Sie drastische Beispiele von Unternehmen, die sich durch peinliche Mängel bis auf die Knochen blamierten. 2011 entwendeten Hacker bei sonypictures.com Millionen von Kundendaten. Dabei entdeckten sie, dass Sony viele Passwörter nicht verschlüsselt, sondern im Klartext abspeicherte. Eine Passwortanalyse stellte fest, dass nur 1 % der Kennwörter Sonderzeichen enthielten, und neun von zehn Nutzern die Passwörter zusätzlich in anderen Diensten nutzten. Das galt auch für viele Sony-Mitarbeiter.

Im April 2018 „glänzte“ T-Mobile.at mit Sicherheitslücken und Klartextkennwörtern

Der Imageverlust und die eventuell darauffolgenden Schadensersatzklagen können Konzerne in der Regel abfangen. Kleinere und mittlere Unternehmen treibt das unter Umständen in den Ruin.

5. Updates, Update, Updates!

Der Beitrag Digital Signage mit Linux beschchreibt die Updateproblematik beim Kauf netzwerkfähiger Medienplayer. Natürlich gilt das analog für alle Softwarekomponenten Ihres Netzwerks. Schließen Sie Wartungsverträge ab und informieren Sie sich genaustens über die Updatezyklen, wenn Sie Medienplayer kaufen, ein CMS lizenzieren oder eine SaaS- bzw. Cloud-Lösung nutzen.

Wenn Sie Programmierdienstleistungen anbieten, planen Sie immer Wartungskosten und Qualitätssicherung ein. Eine funktionierende Anwendung zu programmieren ist verhältnismäßig einfach. Die 50 – 80 % der Kosten während des gesamten Lebenszyklus einer Software liegen in der Wartung und Fehlerbehebung. Bei SaaS-Lösungen ist zudem eine Weiterentwicklung obligatorisch. Diese vergrößert den Lebenszyklus und steigert damit die Kosten noch mal deutlich.

Viele Unternehmen und Projekte scheiterten, weil sie diese Regeln ignorierten. Daher lehne ich beispielsweise Kunden konsequent ab, wenn diese keinen Wartungsvertrag abschließen möchten. Werden Sie sich bewusst, dass theoretisch jeder auf der Welt eine Internetsoftware angreifen kann. Ohne Wartungsvertrag und regelmäßige Updates arbeiten Sie mit einer tickenden Bombe.

Niemand will Pornos oder falsche Informationen auf seine digitale Werbefläche sehen.

6. Sicherungen

Legen Sie regelmäßig Sicherungen Ihrer Daten an und prüfen Sie diese von Zeit zu Zeit auf Konsistenz. Auch wenn Ihr Dienstleister das bei einer SaaS-Lösung abnimmt; sichern Sie Ihre Medien noch mal selbst. Vielleicht werden Sie jetzt fragen warum, und was haben Sicherungen mit Digital Signage Sicherheit zu tun?

Es geht hierbei neben einem Systemausfall, um den Schutz vor sogenannter Ransomware bzw. Erpressungtrojaner. So nennen sich Schadprogramme, die Daten verschlüsseln und somit den Zugriff auf diese verhindern. Die Erpresser verlangen dann für die Entschlüsselung ein Lösegeld. Davor schützt Sie eine gute Backupstrategie. Da die Verschlüsselung aber unter Umständen über einen längeren Zeitraum vorangeht, kann es passieren, dass selbst die Sicherungskopien betroffen sind. Deshalb speichern Sie Ihr Datensicherungen vom System getrennt und überprüfen die Daten regelmäßig.

7. Monitoring

Überwachen Sie Ihr System. Dafür gibt es freie Software, wie z.B. Cacti, Nagios, oder dessen Fork Icinga. Diese Tools automatisieren die Überwachung und schlagen bei definierten Werten Alarm. Sie können einstellen, dass eine E-Mail oder SMS erhalten, sobald eine Serverfestplatte im Raid ausfällt. Oder wenn das System zu lange eine bestimmte Auslastung überschreitet, übermäßig Traffic erzeugt usw. Des Weiteren schadet es nicht regelmäßig die Logfiles auf verdächtige Einträge zu überprüfen. Zum Beispiel auf erfolgreiche Verbindungen von unbekannten Quellen.

Fazit zu Digital Signage Sicherheit

Es ist unglaublich peinlich, wenn die prestigeträchtige Video Wall plötzlich ein Defacement oder Pornos anzeigt.

Hundertprozentige Sicherheit ist eine Illusion, aber das ist kein Grund in panische Paranoia zu verfallen. Wenn Sie die Tipps beherzigen, legen Sie die Basis für eine solide Digital Signage Sicherheit. Die prinzipielle Herangehensweise lautet:

Je schwieriger Sie es einem potenziellen Angreifer machen, umso eher wendet er sich einfacheren Zielen zu!

Ich hoffe, dieser Text nützt Ihnen. Wenn Sie Fragen oder Anmerkungen haben, können Sie mich natürlich gerne kontaktieren.