Mit Transparenz und Cyberschutz Vertrauen schaffen
Sicherheitstechnologie Made in China gerät in Europa in die Kritik, vor allem, wenn es um Datenschutz, mögliche Datenabflüsse und politische Einflussnahme geht. Im Gespräch mit Security Insight erklären Thorsten Wallerius (Key Account Team Leader DACH) und Rob Janssens (Cyber Security Director EMEA), wie Hikvision Cybersicherheit strategisch verankert, welche Rolle dabei Transparenz spielt und wie das Unternehmen mit verbreiteten Mythen rund um Datenübertragung umgeht.
Thorsten Wallerius – Key Account Team Leader DACH
Sicherheitstechnologie Made in China gerät in Europa in die Kritik, vor allem, wenn es um Datenschutz, mögliche Datenabflüsse und politische Einflussnahme geht. Im Gespräch mit Security Insight erklären Thorsten Wallerius (Key Account Team Leader DACH) und Rob Janssens (Cyber Security Director EMEA), wie Hikvision Cybersicherheit strategisch verankert, welche Rolle dabei Transparenz spielt und wie das Unternehmen mit verbreiteten Mythen rund um Datenübertragung umgeht.
Chinesische Sicherheitstechnologie steht in Europa häufig im Fokus kritischer Debatten. Sie betonen, dass Vertrauen nur durch Transparenz entstehen kann. Wie meinen Sie das?
Rob Janssens: Ein zentraler Punkt ist zunächst die Einordnung. Viele Diskussionen drehen sich weniger um technische Fakten als um subjektive Wahrnehmung, politische Einstellungen und Vorurteile. Deshalb erklären wir sehr klar, wie unsere Liefer- und Verantwortungsstrukturen aussehen. Hikvision kennt in der Regel seine Endkunden nicht. Wir verkaufen über Großhändler, Distributoren und Systemintegratoren. Die Systeme werden beim Endkunden betrieben und dort werden auch die Daten gespeichert. Wir haben keinen Zugriff auf Video- oder Zutrittsdaten.
Ein wichtiges Instrument ist unser jährlicher Transparenzbericht. Darin dokumentieren wir weltweit alle Anfragen staatlicher Stellen. Für Europa zeigt dieser Bericht sehr eindeutig: Es gab bislang keine einzige Anfrage europäischer Regierungen nach Datenzugriffen. Sollte sich das ändern, würde es dort offen ausgewiesen.
Kritiker führen auch häufig Cloud-Dienste als mögliches Risiko an.
Rob Janssens: Auch hier hilft Differenzierung. Cloud-Funktionen sind optional und werden nur genutzt, wenn der Kunde das aktiv entscheidet. In diesem Fall erfolgt die Datenhaltung über Amazon Web Services in Irland, also innerhalb der EU. Hikvision selbst hat keinen Zugriff auf diese Cloud-Umgebungen. Die Beziehung besteht ausschließlich zwischen dem Endkunden und dem Cloud-Anbieter. Viele Vorwürfe entstehen oft auch, weil diese Zusammenhänge nicht bekannt sind.
Thorsten Wallerius: Transparenz ist für uns aber nicht nur Kommunikation, sondern auch organisatorisch verankert. Unser europäisches Headquarter sitzt in Hoofddorp bei Amsterdam. Dort arbeiten auch Fachkräfte in den Bereichen Compliance und Datenschutz. Alle datenschutzrelevanten Anfragen aus Europa, auch aus der DACH-Region, laufen dort zusammen. So stellen wir sicher, dass europäische Anforderungen wie DSGVO, NIS2 oder künftige Regularien nicht nur beobachtet, sondern aktiv umgesetzt werden.
Hikvision verweist regelmäßig auf umfangreiche Zertifizierungen, Tests und Security-by-Design. Wie verankern Sie Cybersicherheit organisatorisch?
Rob Janssens: Cybersicherheit ist bei uns kein punktuelles Projekt, sondern ein kontinuierlicher Prozess. Wir investieren einen zweistelligen Prozentsatz unseres Jahresumsatzes in Forschung und Entwicklung, ein wesentlicher Teil davon fließt in Sicherheitsaspekte. Dazu gehören Security-by-Design und Privacy-by-Design ebenso wie regelmäßige Penetrationstests, Vulnerability-Scans und unabhängige Prüfungen. Ein wichtiger Punkt dabei ist, dass wir nicht nur neue Produkte testen, sondern auch solche, die bereits im Markt sind. Genau aus diesem Grund haben wir in unserem europäischen Hauptsitz ein Cybersecurity Experience Center aufgebaut.
Welche Ziele verfolgen Sie mit diesem Experience Center?
Rob Janssens: Das Center ermöglicht es uns, mehr als 350 Produkte permanent zu scannen und zu testen: Kameras, Rekorder, Zutrittskontrollsysteme, Thermalkameras, aber auch weitere IoT-Produkte. Die Tests laufen 24/7 mit Open-Source-Tools ebenso wie mit professionellen Scan- und Testlösungen. Der Output sind strukturierte Reports, die wir bei Bedarf auch Compliance-Teams auf Kundenseite zur Verfügung stellen. Es geht dabei nicht um Show, sondern um Nachvollziehbarkeit. Wir können konkret zeigen, wie Produkte getestet werden, welche Schwachstellen auftreten können und wie diese behoben werden. Cybersicherheit wird dadurch greifbar und bleibt nicht abstrakt.
Thorsten Wallerius: Ergänzend arbeiten wir eng mit Security Researchers und sogenannten White-Hat-Hackern zusammen. Viele Schwachstellen werden nicht intern, sondern durch unabhängige Forschung entdeckt. Entscheidend ist dann der professionelle Umgang damit: prüfen, einordnen, beheben und transparent kommunizieren.
In der Praxis wird Cybersicherheit oft am Produkt festgemacht. Gleichzeitig zeigen reale Vorfälle, dass Installation und Betrieb entscheidend sind.
Rob Janssens: Genau. Angriffe richten sich in der Regel nicht direkt gegen das Kameraprodukt, sondern gegen das Netzwerk. Um ein IoT-Gerät anzugreifen, muss zunächst das Netzwerk kompromittiert werden. Typische Fehler sind offenes Port-Forwarding oder fehlende Segmentierung. Wird ein Gerät direkt aus dem Internet erreichbar gemacht, sind automatisierte Angriffe nur eine Frage der Zeit.
Unsere klare Empfehlung lautet daher: keine offenen Ports, getrennte Netzwerke, Firewalls und VPN-Zugänge mit klar definierten Berechtigungen. Wenn diese Grundregeln eingehalten werden, sinkt das Risiko massiv.
Thorsten Wallerius: Aus Herstellersicht haben wir früh reagiert. Bereits 2015 hat Hikvision verbindliche Passwortvorgaben eingeführt. Default-Passwörter gibt es bei uns nicht mehr. Jeder Installateur muss bei der Inbetriebnahme ein individuelles Passwort vergeben. Die Verantwortung für ein sauberes Passwort-Management liegt damit klar beim Betreiber. Man muss aber auch den demografischen Wandel in der Branche sehen. Viele Errichter kommen aus der Koax-Welt. IP-Netzwerke, VLANs oder Firewalls sind für sie vergleichsweise neu. Umgekehrt gibt es IT-nahe Anbieter, die sehr fit in Netzwerken sind, aber weniger Erfahrung mit optischen Anforderungen wie Objektivwahl oder Kamerapositionierung haben.
Wie begegnen Sie diesem Spannungsfeld?
Thorsten Wallerius: Ein zentraler Baustein ist unser Schulungs- und Zertifizierungsprogramm HCSA – Hikvision Certified Security Associate. Diese praxisorientierten Trainings decken verschiedene Bereiche ab, von Video über Alarm, Intercom und Thermalkameras bis hin zur Videomanagementsoftware. Neben Produktwissen geht es hier auch um Netzwerksicherheit, Port-Management und Systemhärtung. Ergänzend stellen wir Webinare, Tutorials und technische Leitfäden bereit. Cybersicherheit ist immer ein Zusammenspiel aus Hersteller, Integrator und Betreiber – das kann keine Partei allein leisten.
Welche Rolle spielen Zertifizierungen in der aktuellen Marktdiskussion?
Thorsten Wallerius: Zertifizierungen sind ein wichtiger Baustein, aber kein Selbstzweck. Sie zeigen, dass Prozesse, Entwicklung und Managementsysteme unabhängig geprüft wurden. Unsere High-End-Produkte der 7er-Serie sind beispielsweise Common-Criteria-zertifiziert – eine sehr hohe IT-Sicherheitszertifizierung durch Dritte, die auch für besonders sensible Einsatzbereiche relevant ist.
Rob Janssens: Hinzu kommen Management-Zertifizierungen wie ISO 42001 für den verantwortungsvollen Einsatz von KI oder ISO 37301 für Compliance-Management. Solche Nachweise werden in Zukunft deutlich an Bedeutung gewinnen, gerade im Kontext von Regulierung. Mit Blick auf den Cyber Resilience Act entwickeln wir neue Produkte bereits so, dass sie Anforderungen an Vulnerability-Management, sichere Softwareentwicklung und Dokumentation erfüllen. Standards wie ETSI EN 303 645 sind dabei wichtige Referenzpunkte.
Reichen technische Maßnahmen und Zertifizierungen aus, um geopolitische Vorbehalte auszuräumen?
Rob Janssens: Nicht vollständig. Wir wissen, dass wir in vielen Gesprächen mit einem Vertrauensdefizit starten. Deshalb gehen wir „Above and Beyond“: mit Daten, Papieren, Zertifizierungen und offener Kommunikation. Aber am Ende spielen Wahrnehmung und Politik eine große Rolle.
Thorsten Wallerius: Man muss zwischen sachlichen Fragen und grundsätzlichen Haltungen unterscheiden. Wenn ein Endkunde offen ist, können wir sehr viel erklären – oft gemeinsam mit Errichter und IT-Abteilung. Solche Gespräche führen wir regelmäßig, und sie führen häufig zu einer sachlichen Neubewertung. Wenn Unternehmen jedoch grundsätzlich sagen „kein chinesisches Produkt“, dann ist das selten eine technische Entscheidung. Dann verlässt die Diskussion die sachliche Ebene.
Rob Janssens: Ich erlebe dabei oft Widersprüche. Globale Lieferketten sind bei Smartphones, Laptops oder IT-Hardware selbstverständlich. Bei Videotechnik wird plötzlich ein anderer Maßstab angesetzt. Technisch muss man über Risiko, Datenflüsse, Betriebskonzepte und Kontrolle sprechen – nicht über Herkunft als Ersatzargument.
Thorsten Wallerius: Unser Ansatz ist klar: Transparenz, messbare Prozesse, unabhängige Prüfungen und kontinuierliche Kommunikation. Wenn wir die Chance zum Dialog bekommen, können wir sehr viele Missverständnisse und Vorurteile ausräumen. Wenn nicht, müssen wir akzeptieren, dass manche Entscheidungen einfach politisch motiviert sind.
Rob Janssens: Mehr als konsequent transparent und überprüfbar zu arbeiten, können wir nicht tun. Genau das tun wir jeden Tag.
