SMB bei MOBOTIX Kameras – Unterschiede, Risiken und Architektur-Empfehlungen - DE

Camera Software Recordings
, , ,
1

SMB bei MOBOTIX Kameras – Unterschiede, Risiken und Architektur-Empfehlungen

Einleitung

Das Server Message Block (SMB) Protokoll ist ein weit verbreiteter Standard für die Dateiübertragung in Netzwerken und wird von MOBOTIX Kameras zur Speicherung von Videodaten auf Netzwerkspeichern (NAS) eingesetzt. Mit der Weiterentwicklung des Protokolls wurden sowohl Leistungsfähigkeit als auch Sicherheitsmechanismen verbessert. Gleichzeitig bestehen insbesondere bei älteren SMB-Versionen relevante Sicherheitsrisiken.

Dieser Artikel bietet einen Überblick über die Unterschiede der SMB-Versionen, deren Sicherheitsaspekte sowie die Unterstützung durch verschiedene MOBOTIX Kameraplattformen. Zusätzlich werden Alternativen wie NFS, lokale Speicherung auf SD-Karten mit MxFFS sowie der Einsatz von VPN-Verbindungen erläutert.

Die Aufzeichnung über SMB ist ein wesentliches Merkmal des dezentralen MOBOTIX Konzepts.

MOBOTIX Kameras arbeiten autark, übernehmen Analyse, Ereignisverarbeitung und Speicherung direkt in der Kamera und können zusätzlich Videodaten selbstständig auf externe Dateiserver oder NAS-Systeme schreiben. Diese dezentrale Architektur ermöglicht:

  • Reduzierung zentraler Serverlast
  • Hohe Ausfallsicherheit
  • Flexible Speicherstrategien
  • Standortübergreifende Archivierung

Die SMB-basierte Speicherung ist dabei historisch und technisch ein zentraler Bestandteil vieler Installationen.

Mit der Weiterentwicklung der Linux-Kernel und der SMB-Protokolle hat sich jedoch die unterstützte SMB-Version je nach Kameraplattform verändert. Dieser Artikel erläutert die Unterschiede, Risiken und sinnvolle Architekturentscheidungen für private und professionelle Umgebungen.

Überblick über SMB-Versionen

SMB-Version Eigenschaften Sicherheitsbewertung
SMB 1.0 (CIFS) Keine Verschlüsselung, NTLMv1 Veraltet
SMB 2.0 / 2.1 Verbesserte Performance Eingeschränkt
SMB 3.0 Unterstützung für Verschlüsselung Sicher
SMB 3.1.1 Pre-Authentication Integrity, moderne Cipher Stand der Technik

Sicherheitsbetrachtung – wo liegt das reale Risiko?

Eine sachliche Einordnung ist entscheidend:

Das Sicherheitsrisiko bei SMBv1 liegt in erster Linie auf der Server- bzw. NAS-Seite.

Bekannte Angriffe wie WannaCry zielten auf verwundbare SMB-Server (insbesondere Windows-Systeme) und weniger auf Embedded-SMB-Clients wie Kameras. MOBOTIX Kameras agieren als SMB-Client und sind daher deutlich weniger exponiert als ein offener SMB-Server im Netzwerk.

Dies bedeutet:

  • Das primäre Risiko betrifft das NAS oder den Server.
  • Die Kamera selbst ist als SMB-Client deutlich weniger angreifbar.
  • Dennoch entspricht SMBv1 nicht mehr dem aktuellen Stand der Technik.

Praxisnaher Vergleich zur Risikobewertung

Um die Bedeutung moderner SMB-Versionen besser zu veranschaulichen, eignet sich ein Vergleich aus dem Alltag:

Der Einsatz von SMBv1 in professionellen IT-Umgebungen ist nicht mit einem Oldtimer vergleichbar, der nur gelegentlich bei schönem Wetter und mit großer Erfahrung bewegt wird und mit der alten Technik Im Sonnenschein gefahren wird und die über 12-15 Jahren alten Reifen “eigentlich” noch ein gutes Profil haben. Ein solcher Vergleich würde das tatsächliche Risiko unterschätzen.

Treffender ist ein Szenario aus dem Straßenverkehr:

Stellen Sie sich vor, Sie sind mit Ihrer Familie unterwegs und geraten unerwartet in eine kritische Situation – etwa bei starkem Regen, schlechter Sicht oder einer plötzlichen Notbremsung auf der Autobahn. In diesem Moment stellt sich die Frage:

In welchem Fahrzeug würden Sie Ihre Familie lieber wissen?

  • In einem älteren Fahrzeug ohne Sicherheitsgurte, Airbags oder moderne Assistenzsysteme.
  • Oder in einem modernen Fahrzeug mit ABS, ESP, Airbags, Notbremsassistent und Spurhalteassistent

Übertragen auf die IT-Sicherheitsarchitektur bedeutet dies:

Vergleich IT-Sicherheitskontext
Fahrzeug ohne Sicherheitsgurte und Airbags SMBv1 ohne Verschlüsselung und mit NTLMv1
Fahrzeug mit grundlegender Sicherheitsausstattung SMBv2 mit verbesserter Stabilität
Modernes Fahrzeug mit Assistenzsystemen SMBv3 / SMBv3.1.1 mit Verschlüsselung und modernen Authentifizierungsmechanismen

Der entscheidende Punkt ist nicht, ob ein Vorfall eintritt, sondern wie gut ein System im Ernstfall darauf vorbereitet ist. Professionelle Sicherheitsarchitekturen orientieren sich daher am Worst-Case-Szenario und nicht am Idealzustand.

Für private Umgebungen mag der Betrieb älterer Technologien unter kontrollierten Bedingungen vertretbar sein. In professionellen oder KRITIS-relevanten Infrastrukturen hingegen ist der Einsatz moderner Sicherheitsmechanismen unverzichtbar – vergleichbar mit der Wahl eines Fahrzeugs, das im Ernstfall maximalen Schutz bietet.

Sicherheitsrisiken von SMBv1

SMBv1 gilt heute als unsicher und sollte nach Möglichkeit vermieden werden. Die wichtigsten Risiken sind:

  • Bekannte Schwachstellen: SMBv1 war Grundlage für die Ransomware-Angriffe WannaCry und NotPetya (2017).
  • Fehlende Verschlüsselung: Daten werden unverschlüsselt übertragen und können abgefangen werden.
  • Schwache Authentifizierung: Unterstützung für NTLMv1, das als unsicher gilt.
  • Pre-Authentication Exploits: Angriffe können unabhängig von Benutzerrechten erfolgen – auch bei reinen Leserechten.

Selbst wenn SMBv1 nur mit Leserechten verwendet wird (z. B. für den Zugriff durch MxManagementCenter), bleibt das Risiko bestehen, da Exploits wie EternalBlue bereits vor der Authentifizierung ansetzen.

Fakt: Viele aktuelle NAS-Systeme haben daher SMB1 standardmäßig deaktiviert

Plattform-Übersicht: Firmware, SMB, NTLM und VPN

Plattformmatrix

Plattform Beispielkameras Firmware Hauptversion Linux Kernel SMB NTLM OpenVPN Einordnung
P3 M24, M25, M15, S15, T24, T25 4.x / 5.x 2.6.37 SMB1 NTLMv1 / NTLMv2 OpenVPN 2.4.3 Legacy
P6 M16, M26, D26, S16, T26 5.x 4.6 SMB1, SMB2, frühes SMB3 NTLMv2 OpenVPN 2.4.3 Übergangsplattform
P7 M73, S74, Q71, D71 7.x 4.14 SMB2, SMB3 NTLMv2 OpenVPN 2.4.3 mit SHA256 Modern
P8 MOBOTIX ONE 8.x / 9.x 5.4 SMB2, SMB3.1.1 NTLMv2 OpenVPN 2.5.8 Enterprise, Aktueller Standard
P9 MOBOTIX ONE S Dual 9.x 5.10 SMB2, SMB3.1.1 NTLMv2 OpenVPN 2.5.8 Enterprise, Aktueller Standard

NFS als Alternative

NFS sollte nicht als generelle SMB-Alternative betrachtet werden.

Empfehlung:

NFS ist sinnvoll ausschließlich für den bewussten Weiterbetrieb von SMB1-basierten Altgeräten, wenn:

  • keine neue Hardware angeschafft werden soll
  • der Einsatz im privaten Umfeld erfolgt
  • das Risiko bewusst akzeptiert wird

Für professionelle oder KRITIS-relevante Umgebungen ist stattdessen eine Modernisierung der Plattform vorzuziehen.

VPN-Einsatz

Moderne MOBOTIX Plattformen unterstützen OpenVPN (Client-Modus).

Ein VPN kann:

  • die Kommunikation zusätzlich verschlüsseln
  • Standortverbindungen absichern
  • unsichere Transportnetze schützen

VPN ersetzt jedoch keine Modernisierung von SMB1, sondern ergänzt die “alte/bestehende” Sicherheitsarchitektur.

Bewertung nach Einsatzbereich

Private Nutzung

  • SMB1 kann in strikt isolierten Netzwerken weiterhin eingesetzt werden, wenn der Kunde zwingend bestehende Alt-Hardware weiterbetreiben möchte und keine Neuanschaffung von NAS-Systemen oder MOBOTIX-Kameras plant. Dabei sind die bekannten Sicherheitsrisiken zu berücksichtigen.
  • Risiko ist überschaubar, wenn kein Internetzugang besteht.
  • Alternativ: lokale Speicherung auf (Micro)SD Karte via MxFFS. (SD Card Whitelist)

Lokale Speicherung mit MxFFS

MOBOTIX Kameras unterstützen die lokale Speicherung auf SD-Karten mit dem MOBOTIX File System (MxFFS), das speziell für langlebige und sichere Videoaufzeichnung entwickelt wurde.

Vorteile:

  • Hohe Datensicherheit und Stabilität
  • Optimiert für Flash-Speicher
  • Keine Netzwerkabhängigkeit
  • Geeignet für private und professionelle Anwendungen

Moderne Industrial-SD-Karten bieten ausreichend Kapazität und Lebensdauer für den produktiven Einsatz.

Professionelle Nutzung

  • SMB2 oder SMB3 einsetzen.
  • NTLMv2 verwenden.
  • Netzwerksegmentierung umsetzen.

KRITIS / ISO 27001

  • SMB3.1.1
  • Getrennte Netze
  • Aktuelle Firmware
  • Dokumentierte Sicherheitsarchitektur

Zusammenfassung für Kritis: SMBv3.1.1, NTLMv2 oder Kerberos, verschlüsselte Kommunikation (VPN oder SMB3 Encryption), regelmäßige Firmware-Updates und Netzwerksegmentierung erforderlich.

Fazit

Die SMB-basierte Aufzeichnung ist ein zentraler Bestandteil des dezentralen MOBOTIX Konzepts und ermöglicht flexible, serverunabhängige Speicherarchitekturen.

Während ältere Plattformen (P3) technisch auf SMB1 beschränkt sind, unterstützen neuere Plattformen (P6–P9) moderne SMB- und Sicherheitsstandards.

Wird SMB1 weiterhin genutzt, empfiehlt sich:

  • Betrieb in isolierter Umgebung
  • Trennung vom produktiven Unternehmensnetz
  • eigenes VLAN für Kameras und NAS
  • kein direkter Internetzugang

Langfristig ist jedoch die Migration auf Plattformen mit SMB3-Unterstützung die technisch und sicherheitstechnisch nachhaltigste Lösung.