Blog - Testen von Überwachungskameras

Nach mehr als 15 Jahren Erfahrung mit IP-Kameras und Überwachungskameras möchten wir Ihnen einen kurzen Überblick über einige aus unserer Sicht sehr wichtige Punkte geben, die leider oft von vielen Webseiten, die sich rein mit Tests von z.B. Bildqualität befassen, nicht angesprochen werden.

Bei einer Überwachungskamera, egal ob für den Innen- oder Außenbereich, spielt die Bildqualität sicherlich eine der größten Rollen, denn sie ist natürlich ausschlaggebend dafür, ob man z.B. bei einem Einbruch oder Unfall etwas sehen und erkennen kann oder nicht. Dennoch gibt es viele weitere wichtige Punkte bei der richtigen Auswahl der Kamera. Hier sind einige davon:

Achten Sie darauf, dass die Videoaufnahmen der Kamera(s) auch lokal gespeichert werden können, z.B. auf einer internen MicroSD-Speicherkarte. Bei einigen Kameras besteht zudem die Möglichkeit, Aufnahmen auf einer per Netzwerk angebundenen Netzwerkfestplatte (NAS) oder z.B. per FTP/FTPS oder SFTP auf einen lokalen oder im Internet befindlichen FTP-Server zu speichern. Ein mögliches Problem, das auftreten kann und das ich hier erwähnen möchte, ist, dass, wenn ich als Einbrecher einen WLAN-Jammer mitführe, ich die Möglichkeit habe, das WLAN so zu blockieren, dass sich für die Zeit, während der Jammer aktiv ist, kein Gerät per WLAN bzw. mit dem Internet verbinden kann.

Dies ist auch einer der Hauptgründe, warum wir bis heute immer einen LAN-Anschluss bei der Kamera anbieten. Viele Überwachungskameras kommunizieren nur per WLAN und speichern die Daten dann teilweise auch nur online. Dies stellt eine große Schwachstelle dar, denn die Aufnahmen, die nach dem Einschalten des WLAN-Jammers gemacht werden, werden niemals in der Cloud des Anbieters ankommen, auch nicht nachdem der WLAN-Jammer deaktiviert wurde, da der interne Puffer der Kamera(s) zu gering ist, um das Video dort zu speichern und nachträglich zu übertragen. Eine Kamera mit interner MicroSD-Speicherkarte hingegen wird auch aufnehmen, wenn keine Netzwerkverbindung besteht, was ein klarer Vorteil ist.

Oftmals stellt man sich die Frage: Wie sollte die Kamera am besten verbunden werden? Eine klare Antwort darauf wäre "per LAN-Kabel" bzw. "per PoE", sofern es die Gegebenheiten erlauben. Der Hintergrund, wie oben beschrieben, ist das Vorhandensein von WLAN-Jammern – Geräten, die das WLAN blockieren können und somit den Zugriff auf die Kamera sowie Benachrichtigungen der Kamera per z.B. E-Mail oder Push-Mitteilung verhindern würden. Wenn Sie die Kamera jedoch per LAN-Kabel oder PoE verbinden, handelt es sich dabei um eine Kabelverbindung, die durch einen Jammer oder Ähnliches nicht beeinträchtigt werden kann.

Ob man die Kamera per LAN verbindet und das Netzteil separat anschließt oder ob man PoE verwendet, wo man die Kamera an einen zusätlichen (optionalen) PoE Switch anschließt um die Kamera so mit einem LAN Kabel mit Strom und Daten zu versorgen, spielt dabei an sich keine Rolle. Der Vorteil bei PoE ist jedoch, das man sowohl Strom als auch Daten über ein einziges Netzwerkkabel übertragen kann. Kleiner Nachteil wäre lediglich das durch die Anschaffung von einem PoE Injektor oder PoE Switch zusätzliche Kosten entstehen.

Es gibt sicherlich viele Anwendungsfälle wo man kein LAN Kabel verlegen kann oder möchte. In solchen Fällen muss man die Überwachungskamera dann per WLAN mit dem Router bzw. einem AccessPoint verbinden. Gerade in letzterem Fall, also einem Accesspoint ist es oftmals der Fall das die Kamera dann in einem Mesh Netzwerk eingebunden wird, also ein Verbund aus Router und mehreren Repeatern. Hier sollten Sie darauf achten das die Kamera mit einem Mesh Netzwerk klar kommt, denn dies ist in der Regel nicht bei allen Überwachungskameras auf dem Markt der Fall. So gibt es Kameras die teilweise nach Stunden, Tagen oder Wochen die Verbindung zum WLAN verlieren. Aber wichtiger noch als die Verbindung an sich ist unseres Erachtens nach die Verschlüsselung. Während WPA2 relativ unsicher ist und schnell geknackt werden kann sind WPA3 Netzwerke da schon einiges sicherer. Für Firmenkunden die eine Kamera per WLAN verbinden möchten kann jedoch selbst WPA3 ggf. nicht sicher genug sein. In diesem Fall käme dann die WPA3 Enterprise Verschlüsselung ins Spiel. Bei dieser meldet sich die Kamera am Router und muss dann von einem in der Regel zusätlichen Authentifizierungsserver akzeptiert werden bevor die eigentliche WLAN Verbindung aufgebaut werden kann. Man kann sich dies so vorstellen das man bei dem Authentifizierungsserver einen Benutzernamen und Passwort vergibt den man dann in der Kamera hinterlegt. Die IP Adresse des Authentifizierungsservers wiederum ist im Router hinterlegt und so sorgt das ganze Konstrukt dann für mehr Sicherheit im WLAN Netzwerk.
Grund das ich es hier anspreche ist, das mehr als 90% alle Überwachungskameras keine Enterprise Verschlüsselung unterstützt was die Kameras so für Firmenkunden eher ungeeignet macht.

Während es viele Anwender einfach nur "Einfach" haben möchten und z.B. mit einer App auf die Kamera zugreifen möchten, legen wir bei INSTAR großen Wert auf die Weboberfläche (auch WebUI) genannt welche es Ihnen ermöglicht mit jedem PC, Tablet oder ähnlich auf die Kamera zuzugreifen, das Live Video zu sehen, Einstellungen vorzunehmen, Aufnahmen anzuschauen etc. und das alles "ohne" die Notwendigkeit einer App. Sicherlich bieten wir auch eine App um mehrere Kameras zu verwalten, die wichtigsten Einstellungen vorzunehmen etc., jedoch ist man mit einer Weboberfläche flexibler denn man kann über das Internet auch einmal problemlos von einem fremden PC auf die Kamera zugreifen ohne notgedrungen sein Smartphone mit dabei haben zu müssen. Es gibt viele Anbieter von Kameras wo man nur mit der Hersteller-App auf die Kamera bzw. die Daten zugreifen kann. Dadurch ist die Kamera weniger flexibel nutzbar, aber die Wahl ist dabei natürlich jedem selbst überlassen. Persönlich würde ich immer eine Kombination aus Weboberfläche und App bevorzugen.

Auch ein Punkt, den man beachten sollte, ist, wie und wo die Daten gespeichert werden. Also nicht nur die Daten in Bezug auf die Alarmvideos der Kamera, sondern auch die persönlichen Daten. Während wir bei INSTAR großen Wert darauf legen, dass Ihre Daten bei Ihnen bleiben, ist es bei vielen Anbietern mittlerweile Standard, dass man sich bereits zur Nutzung der App registrieren muss. Bei uns müssen Sie sich nicht registrieren, weder bei der App noch bei der Weboberfläche der Kamera. Wir sammeln daher keinerlei Daten.

Dies ermöglicht Ihnen somit auch, die Kameras zu nutzen, selbst wenn z.B. unsere Webseite einmal nicht erreichbar sein sollte. Denn, was wenn die Plattform des Anbieters vorübergehend nicht erreichbar ist? In diesem Fall hätte man dann auch keinen Zugriff auf seine Kameras und müsste warten, bis die Plattform wieder erreichbar ist. Was uns zum nächsten Punkt bringt...

Wir bieten in unseren Überwachungskameras immer zwei Möglichkeiten für den Zugriff über das Internet. P2P ist dabei die für den Endkunden einfachere Variante. Dabei wird quasi eine Direktverbindung zwischen Smartphone (App) und Kamera aufgebaut. Der Vorteil dabei ist, dass man keinerlei Portweiterleitung oder Ähnliches im Router einrichten muss, sondern man kann ohne jegliche Einstellungen auf die Kamera zugreifen. Der Nachteil hingegen ist, dass der Zugriff langsamer ist als z.B. per DDNS.

DDNS bedeutet, dass die Kamera quasi eine Internetadresse hat, über die man die Kamera erreichen kann. Bei Eingabe der DDNS-Adresse gelangt man zunächst zum Router, der wiederum erkennen muss, was man von ihm will. Um dem Router mitzuteilen, auf welches Gerät man zugreifen möchte, wird eine Portweiterleitung eingerichtet. Dabei wird im Router ein Port geöffnet und intern auf die IP und den entsprechenden Port der Kamera weitergeleitet. Der Zugriff per DDNS ist schneller als per P2P, da Sie quasi direkt auf Ihren Router zugreifen, der Sie auf die Kamera weiterleitet und nicht erst eine Direktverbindung über mehrere Server aufgebaut werden muss.

Es gibt auch einige Anbieter, die rein auf die Kommunikation über eine Hersteller-eigene Cloud setzen. Man kann dies, denke ich, etwas mit der P2P-Verbindung vergleichen. Welche Art der Verbindung man nutzt, hängt zum einen davon ab, welchen Internetanbieter man verwendet, aber auch davon, wie gut man sich mit Netzwerken und gegebenenfalls Einstellungen am Router auskennt. Persönlich würde ich immer eine Kamera mit DDNS oder P2P einer auf Cloud basierenden Kamera vorziehen. Denn was ist, wenn es den Kamera-Hersteller irgendwann einmal nicht mehr gibt? Wird die Cloud abgeschaltet, dann ist auch jeglicher Zugriff auf die Kamera verloren. Bei Kameras mit DDNS haben Sie in der Regel auch die Möglichkeit, einen Drittanbieter-DDNS-Dienst zu nutzen und können somit die Kamera auch problemlos verwenden, wenn es den Anbieter nicht mehr geben sollte.

Überwachungskameras basieren auf einer Firmware, die auf einem (in der Regel) Linux-System läuft. Zudem liefern Hersteller eine App, mit der man die Kameras anschauen und steuern kann. Jede Kamera ist jedoch nur so gut wie deren Firmware/Software. Achten Sie also darauf, dass es vom Hersteller regelmäßige Firmware- und App-Updates gibt. Gerade seitens der Firmware achten wir bei INSTAR darauf, dass wir stetig neue Verbesserungen, Features und sicherheitsrelevante Bugfixes einbauen, um die Kameras kontinuierlich zu verbessern.

Auch seitens der Apps sind wir stets offen für Neuerungen und versuchen diese zu implementieren. Man muss jedoch immer auch darauf achten, dass gerade im Bereich der App das Ganze nicht zu überladen wird. Denn was für den einen technisch affinen Kunden super ist, kann für den durchschnittlichen Kunden schnell sehr herausfordernd werden. Wir versuchen stets eine Balance zwischen beidem zu finden, können es aber sicherlich auch nicht jedem recht machen.

Um bei der Einbindung einer IP-Kamera flexibel zu sein, empfehlen wir darauf zu achten, dass die Überwachungskamera Industriestandards wie ONVIF, RTSP, MJPEG und JPEG unterstützt. Auf diese Weise können Sie die Kamera auch in Smart Home Systeme integrieren. Viele Smart Home Systeme ermöglichen die Einbindung per JPEG oder MJPEG, während NAS-Stationen wie Synology, QNAP, Asustor und andere auch die Einbindung per ONVIF bzw. RTSP unterstützen. Genau genommen basiert ONVIF auf RTSP, jedoch werden zusätzlich zum RTSP-Video standardisierte Befehle für die Steuerung der Kamera übertragen.

Es gibt mehrere ONVIF-Profile, wobei das typische und am meisten verbreitete Profil S ist, das in den meisten Überwachungskameras integriert ist. Darüber hinaus bietet das ONVIF-Profil T weitere Funktionen, wie beispielsweise die Übertragung von Alarmmeldungen der Kamera.

Ein wesentlicher Grund, warum ich ONVIF ansprechen möchte, ist, dass es bei den Profilen unterschiedliche Authentifizierungsstandards gibt. Bei ONVIF-Profil S ist die WS-Token-Authentifizierung verpflichtend und die bessere Digest-Authentifizierung optional. Bei dem neueren ONVIF-Profil T hingegen ist die Digest-Authentifizierung verpflichtend und die WS-Token-Authentifizierung optional.

Diese Authentifizierungsoptionen haben uns dazu bewegt, die WS-Token-Authentifizierung als rein optional einschaltbare Sicherheitsfunktion einzuführen. Bei der WS-Token-Authentifizierung muss das Kennwort so in der Kamera gespeichert werden, dass es zurückgerechnet werden kann, was man auch als reversible Verschlüsselung bezeichnet. Kennt man die Verschlüsselungsmethode und hat Zugriff auf das System der Kamera, könnte man dieses Passwort entschlüsseln. Bei der Digest-Authentifizierung hingegen wird ein Hashing verwendet, das nicht so einfach zurückgerechnet werden kann.

Da wir unsere Firmware mit einem Hauptaugenmerk auf Sicherheit entwickelt haben, war uns die WS-Token-Authentifizierung eher ein Dorn im Auge, und wir haben diese erst kürzlich integriert, mit dem Hinweis an die Kunden, am besten einen separaten Benutzer anzulegen, der nur für ONVIF verwendet wird und somit keine Einstellungen innerhalb der Kamera vornehmen kann.

Achten Sie also bei der Wahl der richtigen Kamera neben der Kompatibilität auch auf die Sicherheit, insbesondere darauf, wie die Daten gespeichert werden.

Bei der Entwicklung unserer Firmware haben wir das Wissen aus 15 Jahren Erfahrung einfließen lassen. In der Vergangenheit wurden unsere Überwachungskameras von renommierten Test-Unternehmen wegen Man-in-the-Middle-Attacken kritisiert. Diese Attacken können auftreten, wenn jemand unbefugt in Ihr Netzwerk eindringt. Ein Angreifer könnte dann den Datenverkehr mitlesen, einschließlich der Daten, die von den Kameras gesendet werden. Besonders kritisch ist dies, wenn HTTP statt HTTPS für den Zugriff verwendet wird, da die Daten unverschlüsselt übertragen und potenziell mitgelesen werden könnten.

Obwohl die Wahrscheinlichkeit gering ist, dass sich jemand diese Mühe macht, haben wir die Theorien der Testlabore analysiert und festgestellt, dass oft das Network Time Protocol (NTP) übersehen wird. Jede Kamera nutzt NTP, um das aktuelle Datum zu halten, welches für das Speichern oder Löschen von Aufnahmen auf einer SD-Karte verwendet wird. Eine Man-in-the-Middle-Attacke könnte leicht den NTP-Server manipulieren und der Kamera fälschlicherweise mitteilen, dass wir das Jahr 1990 haben. Dies könnte dazu führen, dass ältere Aufnahmen zuerst gelöscht werden. Während die Aufmerksamkeit oft auf sichere Übertragungsprotokolle wie HTTPS und FTPS gerichtet ist, wird NTPS (NTP Secure) unserer Meinung nach vernachlässigt.

Wir haben in der Entwicklung unserer Firmware, beginnend mit der 2K+ Serie, darauf geachtet, auch diesen Punkt abzudecken, und somit ist NTPS standardmäßig integriert.

Achten Sie darauf, dass die Plattformen der Hersteller für den Zugriff auf die Kameras auch 2FA (Zwei-Faktor-Authentifizierung) anbieten. Ja, ich weiß, diese Art der Authentifizierung ist meist eher umständlich und man kennt sie von vielen Bezahlwebseiten, wo man zusätzlich zum Passwort noch einen Code für die Anmeldung eingeben muss. Abgesehen davon, dass es etwas aufwändiger ist, sich anzumelden, bietet diese Variante jedoch eine entsprechende Sicherheit, da nur Sie sich anmelden können, denn theoretisch sollten nur Sie den zusätzlichen Code erhalten, der zum Anmelden erforderlich ist. Es ist sicherlich kein Muss, dass Ihre Kamera dies unterstützt, jedoch verbessert es die Sicherheit der Kamera und somit auch die Ihrer Daten. Ab der 2K+ Serie ist die 2FA-Authentifizierung bei INSTAR integriert und sowohl per E-Mail als auch zukünftig per 2FA-App möglich.

Achten Sie darauf, dass Ihre zukünftigen Kameras sowohl HTTPS für den Zugriff auf zum Beispiel die Weboberfläche unterstützen, als auch FTPS bzw. SFTP für die sichere Übertragung der Alarm-Aufnahmen. Während bei älteren Kameras oft nur HTTP bzw. FTP möglich ist, sollten neuere Kameras durch HTTPS sowie FTPS oder SFTP für die Dateiübertragung gewährleisten, dass Ihre Daten stets sicher übertragen und vor Man-in-the-Middle-Attacken geschützt werden.