Um DSGVO-Compliance herzustellen und Strafen zu vermeiden, müssen Unternehmen, Behörden und Institutionen ihre Videoüberwachungssysteme auf den Prüfstand stellen.
Die Konformität von Systemen für physische Sicherheit mit der Datenschutzgrundverordnung (DSGVO) erfordert einen Blick aus zwei Perspektiven. Zum einen generieren Videoüberwachungen Daten, deren Aufzeichnungen und Auswertungen mit den Bestimmungen der DSGVO konform sein müssen. Darüber hinaus ist aber auch die „Sicherheit der Sicherheit“ zu bedenken, denn über unzureichend geschützte Komponenten der physischen Sicherheitsinfrastruktur können Schwachstellen entstehen, die Angreifern als Hintertüren in Netzwerke dienen. Werden dabei personenbezogene Daten kompromittiert oder manipuliert, kann dies zu empfindlichen Strafen im Rahmen der DSGVO führen. Laut aktuellen Zahlen von Datensicherungsspezialist Veritas wurden im Jahr 2020 über 26.000 Datenpannen registriert – aufgrund der Corona-Pandemie sind das mehr als im gesamten Zeitraum zwischen Mai 2018 und Ende 2019. Darüber hinaus achten deutsche Datenschutzbehörden auf eine strikte Umsetzung der DSGVO-Richtlinien. Das DSGVO-Portal gibt an, dass im Jahr 2020 in Deutschland mehr als 48 Millionen Euro an Bußgeldern verhängt wurden – das sind rund 50 Prozent mehr als im Jahr davor.
Videoaufzeichnungen sind personenbezogen
Vor dem Inkrafttreten der DSGVO fokussierten sich viele Unternehmen beim Thema Datenschutz auf gespeicherte Informationen wie Namen, Geburtsdatum, Familienstand, Zahlungsinformationen usw. Dabei wurde oft vernachlässigt, dass auch Videoaufnahmen zu den personenbezogenen Daten gehören, wenn sie die eindeutige Identifikation von Personen oder Fahrzeugen ermöglichen. Insbesondere die Überwachung von Außen- oder Eingangsbereichen wirft Compliance-Fragen auf, denn es wird auch zukünftig unmöglich sein, von zufälligen Passanten oder Besuchern ein Einverständnis zur Datenverarbeitung einzuholen, wie es die DSGVO an sich fordert.
Welche konkreten technischen Maßnahmen zum Datenschutz hier erforderlich sind, lässt die DSGVO absichtlich offen, denn die Regelung soll herstellerneutral sein und Raum lassen für die schnelle technologische Weiterentwicklung. Stattdessen werden zwei generelle Anforderungen formuliert: Eine Infrastruktur zum Schutz personenbezogener Daten muss von Grund auf sicher konzipiert sein und dem aktuellen Stand der Technik entsprechen. Im Ernstfall einer internen oder externen Datenschutzverletzung sowie bei Audits liegt die Last des Nachweises der technologischen Aktualität bei den Anwendern.
Risikofaktor lässt sich senken
Vor diesem Hintergrund sind Investitionen in den Schutz der Videoüberwachung unumgänglich. Zumindest das Problem der Videoaufzeichnungen von Personen, die keine Einwilligung gegeben haben, lässt sich aber technologisch entschärfen: Durch Maskierung und Verpixelung können sensible Bereiche sowie Personen und Nummernschilder von vornherein unkenntlich gemacht werden. Aufzeichnungen sind dann also nicht mehr personenbezogen.
Der Haken: Die Verpixelung muss immer vollständig sein, auch wenn Personen oder Kfz kurz stehen bleiben oder sich die Beleuchtungssituation ändert, was viele Algorithmen nicht leisten können. Bei der Auswahl einer Verpixelungstechnologie müssen Unternehmen daher sehr sorgfältig vorgehen. Einen Anhaltspunkt liefern Zertifizierungen wie das European Privacy Seal (www.european-privacy-seal.eu), das die Kompatibilität mit europäischen Datenschutzrichtlinien bestätigt.
Von zentraler Bedeutung für die Compliance mit der DSGVO ist zudem die strenge Reglementierung des Zugriffs auf Videodaten. Aus diesem Grund ist zum Beispiel der KiwiVision Privacy Protector direkt in die vereinheitlichte Security Center Management-Plattform von Genetec integriert. Über die Autorisierungsverfahren in Security Center ist sichergestellt, das Nutzer nur innerhalb ihrer Rechte Daten aufrufen, exportieren, löschen oder bearbeiten können.
Trend geht zu IP-basierter Videoüberwachung
Der Wirkungsbereich der DSGVO beschränkt sich nicht auf den Schutz der eigentlichen Daten, sondern erstreckt sich auch auf den Schutz der physischen Sicherheitsinfrastruktur vor Angriffen. Im Bereich der Videoüberwachung geht der Trend seit Jahren zu IP-basierten Systemen, denn Altsysteme mit proprietärer Verkabelung können meist nur schwer aktualisiert werden und weisen zudem bestens bekannte Schwachstellen auf. IP-basierte Videoüberwachung lässt sich hingegen problemlos erweitern und zudem mit Zutrittskontrollen, Alarmsystemen usw. in einer vereinheitlichten, übergreifenden Managementinfrastruktur integrieren.
Geräteschwachstellen systematisch schließen
Durch die Migration zu einer IP-basierten physischen Sicherheitsinfrastruktur wächst aber auch die Zahl der über das Netzwerk erreichbaren Endgeräte, darunter IP-Kameras, IP-Lesegeräte, IP-Schlösser oder IP-Kommunikationsgeräte. Die Erfahrung hat gezeigt, dass diese Geräte zumindest in der Standardeinstellung als unsicher gelten müssen. Es besteht daher die Gefahr, dass Angreifer ein ungesichertes Gerät übernehmen und sich sodann lateral durch das Netzwerk vorarbeiten.
Erster und wichtigster Schritt zur Absicherung von Videokameras und anderen IP-Geräten sollte immer die Vergabe eines starken Passworts und die Abschaltung nicht benötigter Funktionen sein. Bei der Geräteauswahl ist daher darauf zu achten, dass Dienste/Ports (z. B. Telnet, SNMPv1/v2) deaktiviert werden können, um eine geringe Angriffsfläche zu bieten. Verbindungen vom Gerät nach außen sind nur in Ausnahmefällen akzeptabel. Weitere wichtige Punkte sind die gesicherte Aktualisierung durch den Hersteller sowie unter Umständen ein physischer Schutz gegen manuelle Neustarts am Gerät.
Zentrale Maßnahme bei der Inbetriebnahme ist zudem die Vergabe eines sicheren und individuellen Kamera-Passworts. In diesem Zusammenhang ist zu erwähnen, dass ab Werk oft sehr einfache Master-Passwörter wie „0000“ oder „1234“ vergeben werden. Anwender sollten diese Passwörter umgehend nach Inbetriebnahme anpassen.
Schutz von Übertragungen
Systeme wie Management-Plattformen für Videoüberwachung müssen zudem auch selbst sicher sein. Dazu gehört unter anderem die Nutzerüberprüfung durch Zwei-Faktor-Authentifizierung (Passwort, Token, Biometrie) auf Client-Seite sowie der Einsatz einer sogenannten PKI-Infrastruktur (Public Key Infrastructure à System in der Kryptologie zur Ausstellung digitaler Zertifikate) zur Server-Authentifizierung. Dies schützt allerdings nur vor direktem Zugriff und kann nicht verhindern, dass Angreifer zum Beispiel Videoübertragungen zwischen Kameras, Clients und der Management-Plattform abfangen oder sogar manipulieren. Deshalb ist der Einsatz starker Verschlüsselungsverfahren von entscheidender Bedeutung. Über das TLS-Protokoll (Transport Layer Security, vormals SSL) können Kommunikationskanäle zwischen Servern und Client-Applikationen sowie zwischen Servern untereinander verschlüsselt und damit geschützt werden. Eine derartige Verschlüsselung ist beispielsweise auch bei Webseiten mittlerweile Standard. Bei der Übertragung von Videoaufnahmen mit dem RTSP (Realtime Streaming Protocol) sollte zudem durch RTSP over TLS eine weitere Verschlüsselungsebene etabliert werden.
Alternative Cloud?
Die steigende Zahl von Kameras mit immer höherer Auflösung stellt nicht nur das Sicherheitsmanagement, sondern auch die IT-Infrastruktur vor Herausforderungen. Durch die immensen Datenmengen können erhebliche Kosten und Aufwände für Beschaffung, Erweiterung und Wartung der Server entstehen, auf denen Applikationen gehostet und Videoaufzeichnungen archiviert werden. Vor diesem Hintergrund kann es vorteilhaft sein, die Videoüberwachung ganz oder teilweise in die Cloud zu verschieben. Cloud Services bieten die Möglichkeit, vollständig gehostete Videoüberwachungssysteme für eine feste und kosteneffiziente monatliche Gebühr einzusetzen. Damit wird ein wesentlicher Teil der Verantwortung für den technischen Datenschutz an den Cloud Service Provider ausgelagert. Unternehmen sind aber weiterhin selbst für Zugriffskontrollen und Rechte-Management verantwortlich.
Fazit
Mit proprietären Altsystemen können Behörden, Institutionen und Unternehmen die Anforderungen der DSGVO nur schwer erfüllen. IP-basierte Infrastrukturen für physische Sicherheit bieten hier deutliche Vorteile: Alle Komponenten von der Kamera bis zum Alarm sowie auch geografisch verteilte Netzwerke lassen sich in eine vereinheitlichte Management-Plattform integrieren, sodass Vorfälle schneller erkannt und gemeldet werden können. Hardware lässt sich einfach austauschen oder updaten, um auch noch in Jahren aktuellen Schutz zu gewährleisten. Durch Verpixelung und Maskierung können Risikoquellen für den Datenschutz an der Quelle eliminiert werden, wenn die eingesetzte Technologie nachweisbar den Konformitätsanforderungen entspricht und ein striktes Zugriffsmanagement implementiert ist.
Viele Altgeräte lassen sich parallel zu IP-basierten Komponenten weiterverwenden. Im Rahmen eines langsamen Übergangsprozesses können neue Geräte außerdem bereits in der Cloud gehostet und cloudbasierte Applikationen implementiert werden, während die lokale Server-Infrastruktur weiterhin für bestehende Anwendungen und Geräte bereitsteht.
Genetec Deutschland GmbH
Kay Ohse
Regional Sales Director Germany, Switzerland, Austria, Eastern Europe
Pressekontakt
Tobias Merklinghaus
BSK Becker+Schreiner Kommunikation GmbH
Tel.: +49 (0) 2154 8122-15
E-Mail: merklinghaus@kommunikation-bsk.de
