Die Welt tritt gerade in die AIoT-Ära ein und wird immer intelligenter. Jedes einzelne Gerät wird mit einer Online-ID ausgestattet und in ein riesiges Netzwerk aus IoT-Geräten, wie z. B. Laptops, Handys, angeschlossene Thermostate oder Netzwerksicherheitskameras, eingebunden.

Cybersicherheit wird in der AIoT-Ära immer wichtiger

Laut einem Bericht von MarketsandMarkets wird IoT in großem Umfang eingesetzt, wobei die Bandbreite von intelligenten Autos über intelligente Fertigung bis hin zu vernetzten Häusern und Gebäudeautomatisierungslösungen reicht. Allerdings existieren derzeit keine einheitlichen globalen technischen Standards für den IoT-Bereich, insbesondere in Bezug auf die Kommunikation. Dies bewirkt eine ineffiziente Datenverwaltung und reduzierte Interoperabilitätsmechanismen und kann letztlich zu einer reduzierten Sicherheit im IoT-Netzwerk führen.  Es wird erwartet, dass die Größe des globalen Sicherheitsmarktes für IoT (Internet der Dinge) von 12,5 Mrd. USD im Jahr 2020 auf 36,6 Mrd. USD im Jahr 2025 ansteigen wird, bei einer jährlichen Wachstumsrate (CAGR) von 23,9 %.

Dahua Technology, ein weltweit führender Anbieter von video-gestützten Smart-IoT-Lösungen und -Services, vertritt die Ansicht, dass Cybersicherheit im Zeitalter des AIoT von entscheidender strategischer Bedeutung ist. In verschiedenen vertikalen Branchen wie Verkehr, Banken und Finanzen, Krankenhäusern sowie kritischen Infrastrukturen sammeln, verarbeiten und speichern Unternehmen beispiellose Datenmengen auf Geräten wie IP-Kameras und Netzwerkrekordern. Einen erheblichen Teil dieser Daten stellen sensible oder private Informationen dar, die anfällig für Cyberangriffe sein können. Mit der steigernden Anzahl von Geräten, die schon die Anzahl von Menschen übersteigt, wird die Situation immer schlimmer. Als Anbieter von Sicherheitslösungen investiert Dahua Technology ständig in die Cybersicherheit und bewältigt aktiv Netzwerksicherheitsprobleme.

Ständige Investitionen und aktive Bewältigung

Dahua Technology hat sich dem Ziel verschrieben, ein Branchenführer im Bereich Cybersicherheit und Privatsphärenschutz in der globalen Sicherheitsindustrie zu werden. Seit fast 10 Jahren entwickelt und integriert das Unternehmen Cybersicherheitslösungen. Dahua Technology investiert jedes Jahr etwa 10 % seines Jahresumsatzes in Forschung und Entwicklung verschiedener Bereiche, die auch Cybersicherheit einschließen. Darüber hinaus hat das Unternehmen ein professionelles Team von fast 100 Mitarbeitern zusammengestellt, das sich auf Cybersicherheitsthemen konzentriert. Dank seiner reichen Erfahrung und ausreichenden Ressourcen verspricht Dahua Technology, ein in Bezug auf Cybersicherheit positives, offenes, kooperatives und verantwortungsvolles Unternehmen zu sein.

Cybersicherheitsansatz von Dahua Technology

Organisatorische Struktur

Um eine bessere Effizienz und Effektivität zu erreichen, betreibt Dahua Technology ein umfassendes System zur Bewältigung aller Cybersicherheit-bezogenen Probleme. Das System, das vom Cybersicherheits-Ausschuss geleitet wird, umfasst neben der Cybersicherheits- und Datenschutzeinhaltungsgruppe außerdem das Cybersicherheits-Institut und das Produktsicherheitsprobleme-Reaktionsteam (PSIRT). Der Cybersicherheits-Ausschuss, der über allen Abteilungen oder Teams steht, kann bei Bedarf Ressourcen aus dem gesamten Unternehmen vom F&E-Zentrum über die Rechtsabteilung, die Lieferkette bis hin zur Abteilung für Auslandsgeschäfte usw. abrufen. Das Cybersicherheits-Institut ist verantwortlich für den Aufbau des sSDLC-Prozesses und die Implementierung des Prozesses in allen Dahua-Produktserien. Somit wird der starke Schutz aller Dahua-Produkte gegen Cyberangriffe sichergestellt.

Lebenszyklus der Sicherheitsentwicklung

Dahua Technology setzt eine Reihe professioneller sSDLC (Security Development Lifecycle)-Sicherheitssoftware ein, um die Produktsicherheit zu verbessern. Während der Sicherheitsdesignphase wird STRIDE + Attack Tree + PIA angepasst, um die Bedrohungsmodellierung zu optimieren. In der Sicherheitsrealisierungsphase wird mithilfe von Top 10 der OWASP sowie von über 150 CWEs eine statische Code-Analyse durchgeführt. Während der Sicherheitstestphase werden über 20 Tools aus 7 Bereichen für die vielfältigen Sicherheitstests eingesetzt. CompTIA PenTest+/Security+ wird für professionelle Penetrationstests verwendet. Gleichzeitig wird im Rahmen des Schwachstellenmanagements nach dem Verkauf der Produkte die Konformität mit ISO 30111&290147 und MITRE org CAN gewährleistet.

Notfall-Reaktionssystem

Die Zusammenarbeit mit Fachleuten aus der ganzen Welt stellt eine großartige Möglichkeit zur Optimierung der Schwachstellenerkennung dar. Genau deswegen wurde das Dahua Cybersecurity Center (DHCC) gegründet, um Cybersecurity-Probleme effizient zu lösen. Diese Abteilung ist dafür verantwortlich, Sicherheitsschwachstellen zu melden, Ankündigungen/Benachrichtigungen zu veröffentlichen sowie Cybersicherheits-Wissen mit unserem weltweiten Kundenstamm zu teilen, um ihnen robustere und sicherere Produkte/Lösungen anzubieten. Das Produktsicherheitsprobleme-Reaktionsteam (PSIRT) ist ein integraler Bestandteil des DHCC. Das PSIRT setzt sich aus Fachleuten aus der Marketing-, Lieferketten-, Service- sowie Rechtsabteilung zusammen und ist für die Entgegennahme, Bearbeitung und Offenlegung von Sicherheitslücken bei Dahua-Produkten und -Lösungen verantwortlich. Die Teammitglieder sind 7 Tage die Woche im Einsatz und garantieren eine Reaktion auf einen Notfall innerhalb von 48 Stunden. Endnutzer, Partner, Lieferanten, Regierungsbehörden, Industrieverbände und unabhängige Forscher werden aufgefordert, potenzielle Risiken oder Schwachstellen per E-Mail an PSIRT zu melden. Dahua PSIRT: CyberSecurity@dahuatech.com

Schutz von persönlichen Daten und Privatsphäre

Dahua Technology misst auch dem Schutz personenbezogener Daten und der Privatsphäre große Bedeutung bei. In Übereinstimmung mit den geltenden Gesetzen und Vorschriften wie der EU-Datenschutzgrundverordnung, den EDPB-Leitlinien zu den Begriffen „Verantwortlicher“ und „Verarbeiter“ in der DSGVO, der ETSI EN 303645 „Cyber Security for Consumer Internet of Things: Baseline Requirements“ sowie dem California Consumer Privacy Act der USA, hat das Unternehmen den Standard für den Schutz von persönlichen Daten und Privatsphäre entwickelt. Der Standard schreibt vor, dass Datenschutzmethoden wie De-Identifizierung, Datenverschlüsselung, systematische Zugriffskontrolle sowie datenschutzfreundliche Einstellungen auf den gesamten Datenlebenszyklus von der Erfassung, Übertragung, Speicherung bis hin zur Weitergabe, Vervielfältigung und Löschung abgestimmt sein müssen. Darüber hinaus hat Dahua Technology in Zusammenarbeit mit weltweit renommierten Drittinstitutionen die „Protected Privacy IoT Product“-Zertifizierung und die ETSI-Zertifizierung des TÜV Rheinland sowie die ISO 27018-Zertifizierung und die ISO 27701-Zertifizierung des BSI erhalten, die die Fähigkeiten des Unternehmens im Umgang mit personenbezogenen Daten und die Einhaltung von weltweiten Datenschutzbestimmungen unterstreichen.

Fortlaufend überarbeitete Sicherheitsgrundlagen

In Übereinstimmung mit den Kernprinzipien „Security by Design“ und „Security by Default“ nutzt die Security-Baseline-Initiative von Dahua die Technologie der Produktsicherheit, um Anwendern angemessene Sicherheitsgarantien zu bieten. Basierend auf den Designprinzipien für Sicherheit und Datenschutz baut die Security Baseline ein Sicherheitselement-Layout von „AAA+CIA+P“ auf. Damit wird ein systematischer Schutzrahmen gebildet, der physische Sicherheit, System-, Anwendungs-, Daten- und Netzwerksicherheit sowie den Schutz der Privatsphäre umfasst. Es wurden 7 Baseline-Versionen und über 100 Prinzipien entwickelt, um Authentifizierung, Autorisierung, Audit, Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz tief in das Produkt-Qualitätssicherungssystem zu integrieren und sicherzustellen, dass alle Dahua-Produkte mit der werkseitigen Standardsicherheit ausgestattet sind.

Produktsicherheitscenter

Um den Anwendern einen klaren Überblick über den Sicherheitsstatus und die Möglichkeiten des Geräts zu geben, unterstützt das Produktsicherheitscenter die Endnutzer bei der bequemen und schnellen Einrichtung der korrekten Sicherheitskonfiguration für die jeweiligen Anwendungsszenarien. Zu den allgemeinen Sicherheitsfunktionen gehören Schutz der Privatsphäre (Gesichtsverdeckung, Verbergen von Informationen usw.), Videoverschlüsselung, Sicherheitsalarm, Vertrauensschutz, CA-Zertifizierungsmanagement, Schlüsselverwaltungsdienst, Angriffsabwehr und vieles mehr.

Cybersicherheits-Ökosystem

Im Sinne von Offenheit und Kooperation arbeitet Dahua Technology mit internationalen, maßgeblichen Sicherheitsinstitutionen am gemeinsamen Aufbau eines Sicherheits-Ökosystems zusammen. Durch den intensiven Austausch und die Zusammenarbeit mit Institutionen wie TÜV Rheinland, BSI, DNV-GL, Intertek EWA-Canada sowie Brightsight Security Lab entwickelt das Unternehmen seine Sicherheitsfähigkeiten und -systeme fortlaufend weiter.

In einer weit vernetzten IoT-Welt stellt die Cybersicherheit mit ihren Herausforderungen einen universellen wunden Punkt für Unternehmen weltweit dar. Dahua Technology setzt sich für die Sicherheit jedes einzelnen ein und nimmt die Cybersicherheit besonders ernst. Mit seinem Ansatz, der den Schwerpunkt auf Cybersicherheit legt, und allen Ressourcen, die das Unternehmen zur Einrichtung, Durchführung und Stärkung der Cybersicherheit bereitstellen kann, plant Dahua Technology, in Bezug auf die Cybersicherheit positiv, offen und verantwortungsbewusst zu bleiben und sich ständig weiterzuentwickeln.