Digital Signage
Wenn der Hacker Werbung macht
Fortsetzung des Artikels von Teil 1
Schaltzentrale Mediaplayer
Der Mediaplayer, ganz gleich in welcher Form er genutzt wird, ist das Herzstück einer Digital-Signage-Installation. Die kleinen Kraftpakete sind durch ihre robuste Bauweise zwar physisch gut geschützt. Aber ihre Software macht die Rechner angreifbar, genauso wie jedes andere, mit dem Internet verbundene elektronische Gerät.
Mit Android und Windows stehen zwei bewährte Betriebssysteme für Mediaplayer zur Verfügung. Und dennoch birgt jede neue Softwareversion die Gefahr von Bugs und Schlupflöchern, die auch bei bester Dokumentation und sauberster Coding-Weise entstehen. Neue Betriebssystemversionen sollten daher vom Hardware-Lieferanten zunächst auf Herz und Nieren geprüft werden, bevor sie in die meist zahlreichen Mini-PCs einer Digital-Signage-Installation eingespielt werden. Die Erfahrung hat gezeigt, dass es manchmal sinnvoll ist, noch den einen oder anderen Bugfix abzuwarten oder gar ein erstes Software-Release zu überspringen, weil die alte OS-Version sicherer und stabiler ist.
Auf Applikationsebene sollten über stark eingeschränkte Nutzerrechte nur diejenigen Anwendungen ausgeführt werden und Zugriff auf das System bekommen, die für die Digital-Signage-Installation nötig sind, beispielsweise die App, aus der der Zugriff auf das Serverbasierte Content-Management-System für die Digital-Signage-Inhalte erfolgt. Das bringt wichtige Security-Vorteile: weniger Angriffsfläche für Hacker und weniger Möglichkeiten, auch versehentlich Fehlkonfigurationen vorzunehmen.
Antiviren- und Antispyware sollten auf den Mediaplayern installiert sein. Und sie sollten sich selbstverständlich stets selber aktualisieren, damit Cyberkriminelle so wenig Einstiegsstellen erhalten wie möglich. Und Hackern, die über das Internet nach offenen Ports „sniffen“, sollte es durch spezielle, scharf konfigurierte Firewalls erschwert werden, virtuell Zutritt zu dem Rechner zu erlangen.
Im Hinblick auf die Verbindung zum Digital-Signage-Netzwerk sollte der Mediaplayer sichere Verbindungen nutzen, das heißt SSL-verschlüsselte, zertifikatbasierte Verbindungen und nicht nur reine HTTP- oder FTP-Verbindungen.
Zu empfehlen ist außerdem, ein stets aktuelles Master-Image des Players vorzuhalten. Dieses wird bei Bedarf remote installiert. So kontrollieren Digital-Signage-Netzwerkbetreiber mithilfe von Device-Management-Systemen, ob die Software auf den Playern läuft und den Content wie geplant ausspielt. Falls Inhalte nicht wie geplant auf den Displays landen, könnte es sich um einen Hackerangriff handeln. In einem solchen Fall setzen die Administratoren den Player aus der Ferne komplett neu auf, indem sie alle Software-Beeinträchtigungen mit einem funktionierenden Master-Image überschreiben.
Unternehmen, die das Master-Image auf der SSD in einer versteckten Partition deponiert haben, können ihre Konfiguration und den Digital-Signage-Betrieb mit vergleichsweise wenig Aufwand wiederherstellen: Das Image wird einfach von der versteckten Partition auf die aktive Partition der SSD kopiert. Lange Stillstandzeiten bleiben aus.
Diese Sicherheitsmöglichkeiten bedürfen einer kompletten Kontrolle des verwendeten Mediaplayers, was bei Digital-Signage-Displays mit integriertem Player, einem so genannten SoC für „System on a Chip“, nicht der Fall ist. Wenn bei einem Hersteller der integrierte Player einmal gehackt ist, so bieten weltweit alle Displays mit diesem SoC-Player Hackern ein Scheunentor.
Sicherheitsempfehlungen auf einen Blick
- Im Zweifelsfall eine ältere, stabilere Software-Version mit allen Security-Updates nutzen
- Einen stark eingeschränkten Nutzer anlegen, der nur die nötigen Applikationen ausführt
- Anti-Malware und Firewall auf den Playern installieren und aktuell halten
- Internetverbindung nach neuestem Standard verschlüsseln
- Aktuelles Master-Image (ggf. auf dem Player) vorhalten, das bei Bedarf zurückgespielt werden kann
- Master-Image ausgiebig testen
- Player verwenden, über die Administratoren die komplette Kontrolle hinsichtlich Betriebssystem, Konfiguration und Playersoftware behalten
- Wenn der Hacker Werbung macht
- Schaltzentrale Mediaplayer
- Sicher getrennt verbunden: Netzwerktopologie und Infrastruktur
Lesen Sie mehr zum Thema
