Konvergenz von Gebäudeautomation und Informationstechnik
Zwei Seiten einer Medaille
Gebäudeautomation und Informationstechnik setzen traditionell auf völlig unterschiedliche Infrastrukturen. Doch diese strikte Trennung weicht einer zunehmenden Konvergenz beider Bereiche und einer Integration der Haus- und Sicherheitstechnik in IP-basierende Gesamtlösungen. Für Unternehmen bedeutet diese Konvergenz klassischer IT mit Systemen für Zutrittskontrolle, automatisierte Gebäudetechnik oder Energie-Management zahlreiche Chancen, aber auch einige Probleme und Risiken.Seit in der Gebäudesteuerung und -überwachung neben den etablierten Bussystemen (KNX - vormals EIB, LON und CAN) immer mehr IP-fähige Geräte - insbesondere bei den Videosystemen - zum Einsatz kommen, wächst auch die Nachfrage nach zentral organisierten und über eine einheitliche Infrastruktur geführten Systemen. In großen Installationen stoßen die Bussysteme an ihre Grenzen, sodass vermehrt abgesetzte Steuergeräte, aber auch Sensoren und Aktoren direkt über IP ansprechbar sind. Hinzu kommt die weite Verbreitung einfacher Web-Interfaces für die Konfiguration und Fernüberwachung bei nahezu allen Modulen und Produkten für Gebäudeleittechnik und Steuerungsanlagen. Der Trend hin zur Informationstechnik ist nicht zu übersehen, wirft aber auch eine Reihe von (Sicherheits-)Problemen auf. Das Zusammenwachsen von Gebäudetechnik und IT folgt dem Streben nach geringeren Installations?, Wartungs- und Instandhaltungskosten, wie dies schon beim Verschmelzen von Telefonie- und Datennetzen zu beobachten war. Damals wie heute wird erst auf den zweiten Blick deutlich, dass eine parallele, abgeschottete Infrastruktur, wie sie bei Telefon?, Brand- und Einbruchmeldeanlagen üblich ist, durchaus ihre Vorteile hat: Störungen lassen sich verhältnismäßig schnell eingrenzen, da die Anzahl möglicher Störquellen überschaubar ist. In heterogenen Netzen mit Voice?, Video- und nun auch Gebäudetechnik "over IP" sind die wechselseitigen Abhängigkeiten schwerer zu erkennen, und manche Integration scheitert schon in der Planungsphase an der Skepsis der beteiligten Fachkollegen. Eine gute Vorbereitung durch Messungen, Lasttests und Simulationen kann hier oft Bedenken zerstreuen, zumal die Kapazitäten der Netzwerkkomponenten heute deutlich höher ausfallen und das Netzwerk-Management komfortableren Zugang zu Priorisierung und logischer Trennung verschiedener Datenströme ermöglicht. Die technischen Grundlagen für eine Konvergenz zwischen Gebäudetechnik und Informationstechnik sollten in den meisten Netzen also vorhanden sein - aber was bedeutet Konvergenz im Einzelfall? Ein Großteil der erfolgreichen Produktivsysteme nutzt den multifunktionalen Unternehmensausweis als Integrationsanker: Sowohl der Zugriff auf IT-Ressourcen über den Kontaktchip als auch der Zutritt zu Gebäuden und gesicherten Abschnitten über kontaktlose RFID-Technik lassen sich in einer Karte vereinen. Aktuell geschieht dies vermehrt durch den Einsatz von "Dual-Interface"-Karten statt der alten Hybridmodelle mit zwei getrennten Chips. Speziell die individuell und auch nach Ausgabe an den Benutzer anpassbaren Dual-Interface-Karten, auf denen an einem Chip sowohl die Smartcard-Kontakte als auch die RFID-Antenne angeschlossen sind, haben dem Markt neue Impulse gegeben. Die früher mühsam in die Karte zu laminierenden RFID-Chips lassen sich heute über nachladbare Applets im - zumeist auf Java basierenden - Multifunktionschip der Karte emulieren. Unternehmen können hierdurch die verwendete RFID-Technik nicht nur kostengünstig nachrüsten, sondern sogar im Feld umprogrammieren oder Teile der Kartenpopulation nach Bedarf anpassen. Die gemeinsame Nutzung der Karte für die Verschlüsselung oder Anmeldung am PC sowie für den sicheren Zugriff auf Server oder das VPN auf der einen Seite und die Nutzung an der Zeiterfassung oder an der Zutrittskontrolle sowie für bargeldlose Zahlung in der Kantine und an Automaten auf der anderen Seite sind erst der Anfang der Konvergenz - wenn auch der für den Anwender am deutlichsten sichtbare und hilfreiche Teil. Besucherregistrierung Für die Sicherheits-Manager der (Teil-)Systeme ergeben sich ebenfalls Vorteile und Synergien, die sich jedoch erst auf den zweiten Blick offenbaren: Viele Aufgaben rund um die Verwaltung der Komponenten lasen sich vereinheitlichen und fokussieren sich, da an einer Stelle alle Fäden zusammenlaufen. Die tatsächliche Verwendung eines Systems - etwa zur Ausstellung eines Tagesausweises oder zur Änderung der Zutrittsberechtigung in einem Gebäudeabschnitt - kann sich jetzt erheblich einfacher gestalten, da das System die sonst manuell zu definierenden Nebenbedingungen und Parameter automatisch vorgibt. Eine Fehlbedienung lässt sich somit ausschließen oder zumindest erschweren, da die Komplexität der Aufgabe reduziert ist und diese unter Stressbedingungen leichter auszuführen ist. Gerade die Besucherregistrierung kann von einer weitergehenden Integration profitieren, da sich Gäste bereits vor ihrem Termin auf einer speziellen Besucherseite im Web registrieren können. Im Idealfall wird vor Ort nur noch kurz eine Legitimation durchgeführt und der bereits ausgestellte und programmierte Besucherausweis ausgehändigt. Mit diesem Ausweis erhält der Gast über die Integration mit dem Zutrittskontrollsystem nicht nur Zugang zu den vorgesehenen Konferenzräumen oder Gebäudeabschnitten, sondern kann sich auch am Gäste-WLAN mittels Zertifikat authentisieren. Weder die Mitarbeiter der IT noch die der Rezeption oder der Werkssicherheit müssen hierfür komplexe Aufgaben bewältigen, da nicht nur Antrag und Ausgabe der Karte sondern auch das Monitoring der jeweiligen Aktivitäten über eine automatisierte Schnittstelle erfolgt. Bei einem Missbrauch lässt sich binnen Minuten der wahrscheinliche Aufenthaltsort eines Kartennutzers bestimmen, und Gegenmaßnahmen können konzertiert eingeleitet werden. Allerdings sollte ein Unternehmen bei solchen Lösungsansätzen den Betriebsrat frühzeitig mit einbinden. Videoüberwachung Eine besonders sinnvolle Erweiterung ergibt sich durch die Integration der Videoüberwachung. In vielen Systemen zeichnen die angeschlossenen Recorder über lange Zeiträume hinweg nur einen Zustand auf: Inaktivität. Eine Integration mit anderen Konvergenzkomponenten ermöglicht in diesen Fällen die gezielte Aktivierung der Aufzeichnung, etwa wenn Mitarbeiter sich für den Zutritt eines mit Kameras gesicherten Bereichs am Türterminal (erfolglos) anmelden. Zum einen lässt sich dann direkt die Identität des Mitarbeiters automatisch mitprotokollieren. Ein in vielen Sicherheitshandbüchern vorgeschriebenes manuelles Log kann dann entfallen. Zum anderen ist die nachträgliche oder sogar die Echtzeitverifikation des handelnden Mitarbeiters anhand seines Ausweisbilds möglich. Ebenfalls denkbar ist die On-Demand-Aufzeichnung eines Szenarios, in dem eine Person mehrfach mit falschen Informationen oder zu ungewohnten Zeiten versucht, sich an einem kritischen System anzumelden. Ein unter dem Aspekt der Green IT und allgemeiner vor dem Hintergrund eines kleineren CO2-Ausstoßes interessanter Themenkomplex ist die tiefere Integration des Energie-Managements mit der IT und der Gebäudesicherheit. So lassen sich die Temperatur, Sonneneinstrahlung und Beleuchtung von Büros sehr viel effizienter gestalten, wenn die Räume "wissen", ob eine Person am Arbeitsplatz ist oder wann sie dort eintreffen wird. Dies kann von der über die Teilnehmeranzahl beeinflussten Klimatisierung eines Sitzungssaals bis zum Hochfahren des PCs oder zum Ein-/Ausschalten von Beleuchtung und Heizung reichen, sobald der Mitarbeiter sich an der Zeiterfassung an- oder abmeldet. Doch wie weit ist diese Art der Konvergenz bisher gediehen? Multifunktionsausweise, Integration von Videoüberwachung und Zutrittskontrolle oder intelligentes Besucher-Management sind für sich gesehen schon lange bekannt und weit verbreitet, da vor allem größere Unternehmen schon länger Bedarf für eine solche Integration der Komponenten erkannt hatten. Diese Integrationsprojekte waren jedoch von einer hohen Individualität geprägt und mit erheblichen Kosten bei der Umsetzung und der späteren Pflege verbunden, da keine standardisierten Schnittstellen oder gar Austauschformate über die Systemgrenzen hinweg bestanden und bestehen. Der recht junge Bereich der Video-over-IP-Technik stellt hier mit dem ONVIF-Standard eine rühmliche Ausnahme dar, während die Hersteller von Zutrittskontrollsystemen, Kartentechnik sowie Brand- und Einbruchmeldeanlagen an ihren eigenen Entwicklungen und Protokollen festhalten.
Glossar
BMA Brandmeldeanlage
CAFM Computer Aided Facility Management
CAN Feldbussystem mit Fokus auf Automatisierungstechnik und Fahrzeugbau
EIB Europäischer Installationsbus (alte Bezeichnung/Vorgänger des KNX)
KNX Flexibles Feldbussystem zur Gebäudeautomation
LON Feldbus für Steuerung der Gebäudetechnik (USA)
ONVIF Open Network Video Interface Forum - Standard zur Interoperabilität von Video-over-IP-Komponenten (Kameras, Recorder etc.)
PACS Physical Access Control System (Zutrittskontrolle)
RFID Radio Frequency Identification - aktive/passive kontaktlose Technik für die Identifikation von Waren oder Personen
TGA Technische Gebäudeausstattung, hier besonders Elektrotechnik (ELT) sowie Wärmeversorgungs- und Raumlufttechnik (WBR)
Risiko Stuxnet
Die Verbindung und gemeinsame Nutzung zuvor getrennter Infrastrukturen kann auch zu Problemen führen, wie die kürzlich aufgetretene Bedrohung durch den Stuxnet-Wurm zeigt. Bei allem Enthusiasmus ob der neuen Möglichkeiten und der potenziellen Kostenersparnis muss den Planern klar sein, dass ihre Steuerungsanlagen und Panels den Gefahren des Internets nahezu schutzlos ausgesetzt sind, falls der Anwender nicht entsprechende Vorsichtsmaßnahmen trifft. Schnellere Aktualisierung der Betriebssysteme von Steuerungsrechnern sowie Schutz durch Antivirus und Personal Firewall sind wünschenswert, aber mit den Vorgaben der Hersteller nicht immer vereinbar. Ein besonderer Gateway-Schutz am streng geregelten Übergang zwischen Office-IT und Steuerungsnetz sowie eine sehr sorgfältige Planung und Konfiguration der gemeinsam genutzten Netzarchitektur sind deshalb essentiell für den langfristig erfolgreichen Ansatz einer konvergenten Netznutzung.
Lesen Sie mehr zum Thema
