Digital Signage ist auch ein IT-System

Ende 2017 hat eine digitale Werbetafel in der Union Station in Washington D.C. nicht mehr die neueste Sommermode, sondern einen Hardcore-Porno gezeigt, wie die "Washington Post" berichtet. Ein anderes Beispiel einer gehackten digitalen Anzeige ereignete sich im Zuge der Angriffswelle um den Erpressungstrojaner Wannacry. Dieser legte die digitalen Anzeigetafeln der Deutschen Bahn lahm. Auf den Bildschirmen erschien nicht mehr der Fahrplan, sondern die Aufforderung, ein Lösegeld zu bezahlen.

Auswirkungen schwer abzuschätzen

Auch wenn diese zwei Vorfälle nur begrenzte wirtschaftliche Schäden verursachten, so hatten sie zumindest einen Reputationsschaden zur Folge. Für ein Warenhaus, in dem plötzlich überall Pornofilme laufen, könnte der Schaden enorm sein, sagt Thomas Uhlemann, Security-Spezialist bei Eset. Viel gefährlicher könnten aber die nicht so offensichtlichen Schäden sein. Angreifer, im Gegensatz zu digitalen Vandalen, versuchten, solange wie möglich unerkannt zu bleiben. Über das Einfallstor Digital Signage könnten sie auch in sicherheitsrelevante Bereiche vordringen, sagt Uhlemann. Zudem könnten Angreifer über manipulierte Anzeigen Informationen von Betrachtern ergaunern. Wenn diese etwa mittels eines falschen Glücksspiels zur Eingabe von sensiblen Daten gebracht werden. Auch anhand falscher QR-Codes könnten Personen auf kompromittierte Seiten geleitet werden, sagt Uhlemann.

Diese Einschätzung teilt auch Tim Berghoff, Security Evangelist bei G Data. Die zentrale Steuerung vieler Anzeigetafeln sei ein Einfallstor. Auf diese Weise könnten etwa Verkehrsleitsysteme manipuliert werden. So wurden auch schon im Zuge von Wannacry Kassenautomaten von Tiefgaragen lahmgelegt.

Angriffe auf Signage-Anlagen könnten nicht nur über Netzwerke erfolgen. Auch direkte physische Zugriffe seien möglich, sagt Uhlemann. Teilweise liessen sich digitale Werbebanner etwa an Bus- oder Tramstationen mit einem Vierkantschlüssel aufschrauben. Mittels USB-Stick könnten dann Änderungen vorgenommen werden. Auch für Berghoff ist die Zugänglichkeit im öffentlichen Raum ein Problem, was Anwender bedenken sollten.

Sicherheit oft nicht erste Priorität

Die Gefahren seien bekannt, sagt Berghoff. Aber aus wirtschaftlichen Gründen würde häufig nichts unternommen. Hinzu komme, dass viele Anwender keine IT-Experten seien und sie dem Sicherheitsaspekt eine geringe Bedeutung beimessen.

Auch Uhlemann sieht ein fehlendes Bewusstsein für Gefahren. Zudem würden unter dem Motto: "Never change a running System" Updates und Neuanschaffungen auf die lange Bank geschoben. Laut Uhlemann werden Sicherheitslücken im Bereich Digital Signage "noch nicht im grossen Stil ausgenutzt". Die Betonung liege jedoch auf "noch". Zudem reagierten Anwender oft erst, wenn das Kind schon in den Brunnen gefallen sei. Anders liesse sich etwa nicht erklären, warum vier Jahre nach dem Support-Ende von Windows XP das Betriebssystem immer noch genutzt werde, auch im Bereich Digital Signage.

Sicherheit muss nicht schwierig sein

Digital-Signage-Systeme müssten als IT-Anlagen gesehen werden, die wie jeder Computer oder Server geschützt werden müssten, sagt Uhlemann. Als Schutz vor physischen Angriffen reiche es oft schon aus, wenn nur bestimmte USB-Sticks für das Einspielen von Inhalten bei stationären Displays genutzt würden. Zudem sollten starke Passwörter gewählt oder sogar eine 2-Faktor-Autentifizierung zur Anwendung kommen. Diese Massnahmen unterschieden sich nicht wesentlich von den Anforderungen an andere IT-Systeme, betont Uhlemann. Auch sollten die Displays keine Admin-Rechte haben, um ein Vorstossen in andere Bereiche zu verhindern.

Es gelte, ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit zu finden, so Berghoff. Die Nutzerfreundlichkeit dürfe nicht unter der Sicherheit leiden, denn dies würden Anwender nicht akzeptieren. Dadurch wachse die Wahrscheinlichkeit, dass Sicherheitsmassnahmen umgangen würden. Bei einem Werbedisplay auf biometrische Sicherheitsverfahren zu setzten, würde über das Ziel hinausschiessen. Hier komme es auf Augenmass an, sagt Berghoff.

Berghoff nimmt auch die Hersteller in die Pflicht. Seiner Meinung nach muss das Prinzip "Security by Design" noch stärker berücksichtigt werden, gerade bei kritischen Einsatzgebieten wie Verkehrsleitsystemen. Sicherheit im Nachhinein einzubauen, funktioniere zumeist nicht, so Berghoff.