Direkt zum Inhalt
metis-trck

SSL Verschlüsselung und Zertifikate bei Überwachungskameras

Aktualisiert am: , von Marco Kleine-Albers

In diesem Artikel werde ich einmal kurz und für "nicht IT-Experten" verständlich erklären, wie eine verschlüsselte Verbindung zustande kommt bzw. welche Rolle TLS/SSL/HTTPS spielt.

SSL Verschlüsselung

Die meisten werden diesen Prozess im Zusammenhang mit Webseiten kennen. Es gibt aber auch Überwachungskameras die es erlauben eigene Zertifikate hochzuladen oder bereits selbst HTTPS(verschlüsselte Verbindungen) unterstützen.

Dieser ist ein Folgeartikel von diesem hier: Unverschlüsselte Daten werden von einer Überwachungskamera gesendet! Was genau bedeutet das eigentlich?

Info: SSL/TLS werden oft synonym verwendet. Eigentlich müsste man von TLS sprechen(TLS ist eine Weiterentwicklung von SSL). Allerdings hat sich SSL für die breite Masse quasi als Synonym für die Verschlüsselung etabliert.

Die Weboberfläche vieler Überwachungskameras ist per Browser erreichbar und ist somit im Endeffekt eine Webseite!

Woran erkenne ich ob eine Verschlüsselung aktiv ist?


Beispiel Webseite

INSTAR HTTPS über die integrierte DDNS

Ob eine Webseite, oder der Zugriff im Browser auf die Überwachungskamera verschlüsselt ist, kann man am Schloss in der Browserleiste erkennen(oft ist das Schloss grün, kann aber auch einfach grau dargestellt werden). Oben seht ihr zwei Bilder. Das erste zeigt diese Webseite hier, welche SSL/TLS verschlüsselt ist und ein Let´s Encrypt Zertifikat nutzt.

Info: An sich werden auf www-wlan-kamera.info keinerlei sensible Daten ausgetauscht. Die Verschlüsselung wäre also theoretisch nicht wirklich notwendig. Alles zu verschlüsseln schadet aber auch nicht mehr. Let´s Encrypt bietet kostenlose Zertifikate an und deshalb ist es jetzt möglich kostenlose Zertifikate zu erhalten, die auch im Browser korrekt angezeigt werden. Früher war das kostenlos möglich und kommerzielle Zertifikate sind nicht gerade ein Schnäppchen. Großer Dank also hier an Let´s Encrypt.

Was ist ein SSL Zertifikat?

Ein SSL-Zertifikat ist im Endeffekt ein digitaler Datensatz, welcher bestimmte Eigenschaften von Personen oder Objekten bestätigt. Die Integrität und Authentizität des Datensatzes kann durch kryptografische Verfahren geprüft werden. Das Zertifikat dieser Webseite bestätigt z.B. grobgesagt, dass der Server(IP) zu dieser Domain(Webseite gehört). Mit dem Zertifikat und dem zugehörigen Schlüssel kann dann eine sichere/verschlüsselte Verbindung aufgebaut werden. Doch dazu gleich mehr.

Ablauf der SSL-Verschlüsselung, der Verbindungsprozess


SSL Ablauf und Erklärung in Schritten

Schritt 1: Zertifzierung des Zertifikats durch eine Zertfizierungsstelle (CA)

Der Betreiber des Servers bzw. der Webseite (das kann auch eine Überwachungskamera sein) muss sich sein erstelltes SSL-Zertifikat samt des öffentlichen Schlüssels zertifizieren lassen!

Info: Große Onlineshops nutzen kommerzielle Zertifikate die meist auch recht viel kosten. Hier ein kleines Beispiel: Mediamarkt

Beispiel Mediamarkt SSL-Zertifikat

Werfen wir nun einen Blick auf das Beispiel Mediamarkt. Wir sehen hier weitere Daten im Zertifikat, wo z.B. auch die Organisation und die Organisationseinheit festgehalten ist. Außerdem steht hier auch die Zertifizierungsstelle(CA) DIGICERT. Solche kommerziellen Zertifikate kosten gerne mal 200€ oder mehr pro Jahr. Das Zertifikat wird vom Browser als valide erkannt und damit ist es ein gültiges Zertifikat bei dem DIGICERT dieses Zertifikat zertifiziert hat und deshalb erkenn es der Browser als valide/gültig an.

Bei Onlineshops ist dies absolute Pflicht, da hier sensible Daten wie Kontonummern, Kreditkartennummern und Passwörter übertragen werden. Sollten bei einem Onlineshop oder einer Bank Zertifikatwarnungen angezeigt werden, sollte man immer skeptisch reagieren!

 

Die Zertifizierung sehen wir in der Grafik an Punkt 1. Der Anbieter/Onlineshop/Webseite lässt sich sein Zertifikat also in regelmäßigen Abständen durch eine Zertifizierungsstelle zertifizieren. Diese bestätigt dann hier grob gesagt, dass dieser Server/Webseite auch wirklich Mediamarkt gehört und wir mit Mediamarkt über den Browser, eine verschlüsselte Verbindung aufbauen können.

Info: SSL schützt euch natürlich nicht davor, dass ihr Betrügern Geld überweist oder denen eure Daten gebt! 

Schrit 2: Besuch der Webseite

Ich besuche nun also mit dem Browser auf meinem PC eine Webseite (Schritt 2) und der Browser fordert bei der Angabe von https nun das Zertifikat/öffentlicher Schlüssel vom Server an.

Schrit 3: Validierung

Der Browser prüft das Zertifikat/öffentlicher Schlüssel dann bzw. ob es von einer akzeptierten Zertifizierungsstelle validiert wurde(Schritt 3). Das Schloss erscheint bei korrekter Validierung. Ist die Validierung nicht erfolgreich so erscheint eine Warnung.

Info: Der Prozess ist vereinfacht dargestellt. Es wird nicht jedes mal direkt an die Validierungsstelle eine Anfrage gesendet. Es gibt Zwischenspeicher(Cache) und technische Prozesse die ich hier nicht detailliert erwähnen werde.

Schritt 4: Daten verschlüsseln und an den Server(Empfänger) senden

Wenn die Validierung erfolgreich war, dann kann der Browser die Daten, welche wir senden nun mit dem öffentlichen Schlüssel des Servers(grauer Schlüssel in der Grafik) verschlüsseln und dann an den Server senden. Da die Daten verschlüsselt sind, kann sie niemand einfach abfangen, lesen, manipulieren oder löschen. Das ist eben extremst wichtig bei Onlineshops und Bankgeschäften.

Schritt 5: Empfänger(Server) entschlüsselt die Daten

Nur der Server, welcher den privaten Schlüssel(goldener Schlüssel in der Grafik) hat, kann die Daten nun entschlüsseln und den Inhalt verarbeiten.

Was passiert wenn der Browser ein Zertifikat nicht kennt bzw. es nicht durch eine Zertifizierungsstelle zertifiziert wurde? Beispiel selbst erstellte Zertifikate


Warnung bei unbekanntem Zertifikat bei der Foscam FI9900P

Wenn die Validierung des Zertifikats bei https Zugriff fehlschlägt, dann bekommen wir eine Warnung angezeigt. Das gleiche gilt auch bei abgelaufenen Zertifikaten. Mir ist das schon ein paar Mal passiert, allerdings bei Seiten, wo ich aktive keine Daten übermittle. Ignoriert man die Warnung im Browser, so wird die Seite trotzdem angezeigt. Es sollte dann allerdings nichts auf dieser Seite übermittelt werden.

 

Eigene Zertifikate erstellen?

Es ist möglich selbst Zertifikate zu erstellen, welche dann aber nicht von einer anerkannten Zertifizierungsstelle zertifiziert sind. Das wäre beispielsweise der Fall, wenn wir ein Zertifikat für/im eigenen Netzwerk erstellen und hier müssten wir das Zertifikat dann manuell im Browser hinzufügen. Allerdings muss es in der Überwachungskamera auch die Möglichkeit geben das selbst erstellte Zertifikat hochzuladen(gibt es nicht oft). Da das alles recht kompliziert ist, gibt es diese Funktion sehr selten und wenn dann nur bei Profimodellen. Ich wollte dies aber erwähnt haben.

Wenn wir eine Überwachungskamera über unseren Router mit dem Internet verbunden haben, dann wechselt die IP der Kamera auch noch täglich. Ein eigenes Zertifikat für eine täglich wechselnde IP, welches durch eine Zertifizierungsstelle validiert wird ist, soweit ich weis nicht möglich.  

Info: Bei INSTAR läuft deshalb HTTPS über die integrierte DDNS, über die Server von INSTAR. Der Server hat eine feste IP und aktualisiert die wechselnde IP der Kamera täglich(das ist auch der sind von DDNS). Das bedeutet, dass die Kamera von überall über die sogenannte DDNS erreichbar ist. So muss sich der Nutzer nicht um diese Dinge kümmern, da der INSTAR-Server dies übernimmt. Andere Hersteller haben je nachdem auch ähnliche Funktionen. Das ist die für den nicht IT-Experten die bequemste Lösung. 

Mit der Erstellung und dem Handling eigener Zertifikate sollten sich nur erfahrene Nutzer beschäftigen.

DDNS: Was ist eine dynamische DNS (DDNS) und welche Bedeutung hat sie bei WLAN- und Überwachungskameras

Wovor schützt mich SSL/TLS bzw. die Verschlüsselung als nun?

Verschlüsselung in Kombination mit dem Zertifikat sorgt also dafür, das wir wissen, mit wem wir uns da eigentlich verbinden. Es wäre durchaus möglich, dass uns eine Seite nur vorgaukelt "ich bin die Bank" und dabei nur so aussieht wie die Bank. Wenn wir per https zugreifen würden wir das aber bemerken, denn die falsche Bank hätte nicht das valide Zertifikat unserer Bank. 

Der nächste Vorteil ist, dass unsere Passwörter und sensible Daten verschlüsselt über das Netzwerk übertragen werden. So kann sie niemand lesen, manipulieren oder löschen. Um die Daten mitlesen zu können muss allerdings "die Leitung" angezapft werden. In meinem Heimnetzwerk müsste dazu jemand entweder ins Haus einbrechen, den Route hacken oder die Gegenstelle/Server hacken. Ganz so simpel wie es manchmal salopp gesagt wird, ist es dann doch nicht.

Info: Die meisten Schäden werden dadurch angerichtet, das der Nutzer zu vertrauensvoll ist und z.B. einfach E-Mailanhänge öffnet(Trojaner, der dem Angreifer den Zugriff ermöglicht), Warnungen des Programms ignoriert oder auf Anfrage seine Passwörter per Mail versendet (Stichwort Phishing).

Info: Beim Besuch von Seiten, die sensible Daten übermitteln, immer die Adresse prüfen die im Browser angezeigt wird! Steht da anstatt amazon.de dann amzrtz.de, dann ist etwas faul, egal ob die Seite aussieht wie amazon.de! Dann ist es auch egal ob das Zertifikat von amzrtz.de korrekt ist.

Überwachungskamera ohne externen Zugriff

Wenn wir eine Überwachungskamera nur im internen Netzwerk nutzen und den externen Zugriff im Router blockieren, dann erfolgt der Datenaustausch nur innerhalb unseres Netzwerks. Eine verschlüsselte Verbindung wäre dann nicht mehr so extrem wichtig. Ich habe beispielsweise im Netzwerk schon preiswertere Überwachungskameras eingesetzt, die kein SSL unterstützen. Da der Zugriff aber nur intern und nicht von extern möglich ist, war das zu verkraften.

Wenn es jemandem gelingen sollte sich in unser lokales Netzwerk einzuklinken, dann haben wir ganze andere Probleme!

Wenn jemand sich den Zugriff auf den Videostream der Überwachungskamera meiner Hundehütte erschleichen sollte, weil ich eine 30€ Überwachungskamera ohne SSL nutze, dann kann er damit wenig anfangen. Je nachdem wo ihr Überwachungskameras nutzt und montiert, sollte man also auch den "Worst-Case" bedenken. Dazu hier noch einige wichtige Artikel.

Ihr könnt natürlich generell auch sichere Topmodelle kaufen. Da werden dann aber 200€ aufwärts pro Modell fällig. Wenn ich allerdings jemandem, der seinen Dachboden überwachen möchte, weil er dort Ratten vermutet, direkt ein 200€ Modell empfehle, dann wird der mir sagen, dass ich nicht alle Tassen im Schrank habe. Wie immer kommt es also auch darauf an was/wo und wie wir die Überwachungskamera nutzen(nur lokal oder auch mit externem Zugriff). Überwachen wir 24/7, 365 Tage im Jahr oder nur kurz um zu prüfen ob der Marder das Auto anfrisst? Bin ich Privatperson oder Firma? 

Bei Fragen oder Vorschlägen könnt ihr einfach einen Kommentar unter diesen Artikel schreiben.

Info: Dieser Artikel dient zur Sensibilisierung und Information nicht um Panik zu stiften. Ich hoffe das ist mir gelungen. 

Sicherheit

 

Detaillierte Quellen

Wer sich für genaue technische Details interessiert kann alles auf Wikipedia nachlesen. Dort wird allerdings alles so beschrieben, das ihr fundierte IT-Kenntnisse benötigt.

Über mich

Bild
Hallo :)

Marco testet seit Jahren Überwachungskameras und schreibt die Ratgeber auf dieser Seite. Kaufst du etwas über die Links zu Onlineshops, so erhalte ich eine kleine Werbevergütung. Der Endpreis ändert sich für dich dabei nicht!

Weitere Infos über mich und wie ihr das Projekt unterstützen könnt.

Falls du mich unterstützen willst, dann kannst du gerne meinen Artikel teilen.
Benutzerbild
Gespeichert von TH (nicht überprüft) am Mi., 23.09.2020 - 14:58 Permalink

Die im Artikel genannten Instar Überwachungskameras gaukelten den Benutzer nur vor, sie würden verschlüsselt übermitteln.
Dies hatte ich sehr ausführlich getestet. Die Kombination Instar-DDNS und Verschlüsselter Video Stream hatte einfach nicht funktioniert!
Die UI (Benutzeroberfläche) war verschlüsselt, jegliche Streams aber nicht. Vielleicht würde diese Funktion inzwischen von Instar repariert.

Benutzerbild
Gespeichert von Tobi (nicht überprüft) am Sa., 09.01.2021 - 12:53 Permalink

Hi, hast du eine Liste von Kameras, die eine TLS Verbindung über DDNS ermöglichen? Ich habe Reolink getestet, dort scheint es nicht zu gehen. Instar hat das zwar, versagt aber an vielen anderen Punkten. Danke dir!

Benutzerbild
Gespeichert von Didi (nicht überprüft) am Mi., 27.04.2022 - 23:30 Permalink

Hi, ich sende Alarmbilder meiner Instar Cams über Den Mail Account von GMX.
Diese rufe ich über Outlook oder Handy ab.
Nun habe ich eine Mail von GMX bekommen, das irgend ein Gerät noch über TLS 1.0 oder 1.1 verschlüsselt und dies bald von GMX bald nicht mehr unterstützt wird.
Kann das doch eine der Instar Cams sein ?

Neuen Kommentar hinzufügen

Klartext

  • Keine HTML-Tags erlaubt.
  • Entitäten können eingebettet werden.
  • Zeilenumbrüche und Absätze werden automatisch erzeugt.