Integration der physischen Sicherheitstechnik

Smart muss auch sicher sein

1. Juli 2016, 6:00 Uhr | Ande Heuer, Leiter Entwicklung & Projekte bei Bosch Sicherheitssysteme, www.bosch.de./jos

Während Gebäude traditionell mit unterschiedlichen Netzen für HVAC (Heating, Ventilation, Air Conditioning), Energieversorgung, Beleuchtung oder Sprach- und Datenkommunikation ausgestattet sind, basiert das Smart Building auf einer einheitlichen IP-Plattform für all diese Systeme. Diese verspricht eine deutliche Kostenreduzierung nicht nur während der Bauphase, sondern aufgrund der damit einhergehenden Möglichkeiten der Automatisierung vor allem im laufenden Betrieb.

Je weiter sich Ethernet und IP als Infrastruktur für die gesamte Gebäudetechnik durchsetzen, desto stärker wird auch die Notwendigkeit, die physischen Sicherheitssysteme in das Gebäudenetzwerk zu integrieren. Abgesehen von der Flexibilität und der Skalierbarkeit vernetzter Systeme ergeben sich dabei auch Synergieeffekte, da sich Daten aus den Sicherheitssystemen beispielsweise auch für die automatische Steuerung von Heizungs- und Lüftungstechnik verwenden lassen. Brandmelder messen kontinuierlich die Raumtemperatur, und Zugangskontrolle sowie Einbruchmeldeanlage stellen exakte Daten zur aktuellen Raumnutzung zur Verfügung. Dabei kommt Gebäudeentwicklern und -betreibern entgegen, dass die HVAC-Technik bereits durchgängig digitalisiert ist. Neben der Steigerung der Energieeffizienz, die aufgrund steigender Energiepreise und gesetzlicher Vorgaben der wesentliche Treiber bei der Entwicklung von Smart Buildings ist, nennt eine aktuelle Studie von Trend Research zudem eine Erhöhung des Sicherheitsniveaus bereits an zweiter Stelle.
Die Grundlagen für die Integration der Sicherheitstechnik in Smart-Building-Konzepte sind bereits vorhanden, da die Digitalisierung seit Jahren eines der wichtigsten Themen innerhalb der Security-Branche darstellt. Treibend war dort vor allem die Videoüberwachung, da IP-basierende Kameras nicht nur einen effizienteren Betrieb versprechen als analoge, sondern die Digitalisierung auch erhebliche Fortschritte bei der Bildqualität mit sich brachte. Zudem können digitale Kameras mit eigener Intelligenz ausgestattet sein, was völlig neue Anwendungsmöglichkeiten eröffnet.
Die Videoüberwachung ist heute der einzige Bereich der Sicherheitstechnik, in dem Ethernet und IP mit Ausnahme gewisser Spezialanwendungen flächendeckend bis hin zum Sensor, nämlich der Videokamera, zum Einsatz kommt. Dies liegt vor allem daran, dass Kameras vergleichsweise teure Systeme sind und die zusätzlichen Kosten für einen eigenen Prozessor und die notwendige Software dort nicht erheblich ins Gewicht fallen. Dass "Security over IP" heute häufig noch mit "Video over IP" gleichgesetzt wird, hat also durchaus Gründe, entspricht jedoch seit Langem nicht mehr der Realität. Auch im Bereich des Brandschutzes, der Zutrittskontrolle oder der Einbruchmeldeanlagen spielt IP bei Neuinstallationen eine zunehmend wichtige Rolle.
 
Videoüberwachung als Trendsetter
Dank ihrer hohen Verarbeitungsleistung bieten moderne IP-Netzwerkkameras und -Encoder erheblich mehr als analoge CCTV-Systeme. Insbesondere ermöglicht diese höhere Leistung den Aufbau dezentraler Videoarchitekturen mit intelligenten Funktionen direkt in den Encodern und Kameras. Bei diesem Ansatz werden alle "Ereignisse" am Kamerastandort generiert und nur noch Videobilder von Interesse an die Leitstelle gesendet, was den Datenverkehr im Netzwerk deutlich reduziert. Mit iSCSI lassen sich relativ einfach flexible Speichernetze mit Redundanz und einer automatischen Lastverteilung (Load Balancing) realisieren, sodass die Verfügbarkeit der Lösung jederzeit garantiert ist. Größere oder verteilte iSCSI-Speichersysteme kann ein Betreiber einfach mit einem Video-Recording-Manager (VRM) zusammenfassen und verwalten. Dies verringert den administrativen Aufwand zum Teil erheblich.
Wenngleich IP heute in der Videoüberwachung als Standard gelten kann, gibt es doch noch einige Bereiche, in denen analoge CCTV-Technik arbeitet. Solche Systeme sind dann allerdings meist über entsprechende Decoder in das IP-Netzwerk integriert. Ähnlich sieht es in Bereichen mit harten Umgebungsbedingungen aus, in denen bei der digitalen Signalübertragung mit Störungen zu rechnen ist.
 
Zutritt zur physischen und zur IT-Welt integrieren
Die Videoüberwachung hat dem Protokoll IP den Zugang zur Sicherheitstechnik geebnet, doch der Einsatz digitaler Netzwerktechnik ist schon lange nicht mehr auf Video beschränkt. Vor allem auf dem Markt für Zutrittskontrollsysteme sind IP-basierende Lösungen heute Standard. Zwar erfolgt die Anbindung der Terminals für die Zutrittskontrolle und die Zeitwirtschaft an die übergeordneten Controller in der Regel weiterhin häufig über RS485-Schnittstellen, doch auch dort sind bereits IP-basierende Systeme verfügbar. Bei den Tür-Controllern, die mehrere solcher Terminals steuern, ist eine Ethernet-Schnittstelle für die Anbindung an die Zentrale heute absoluter Standard.
Konfigurationsdaten für die einzelnen Terminals sind so sehr einfach über das Netzwerk verteilbar. Auch die Einbindung in ein zentrales Gebäude-Management wird erheblich effizienter. Ähnlich wie bei der Videoüberwachung ermöglicht auch die Digitalisierung der Zutrittskontrolle ganz neue Anwendungen, die einerseits die Sicherheit erhöhen und andererseits Kosten sparen können. Viele digitale Zutrittskontrollsysteme lassen sich zum Bespiel über eine LDAP-Schnittstelle mit den gängigsten Verzeichnissystemen wie etwa dem Active Directory kombinieren, sodass ein Betreiber die Zugangsrechte zur physischen und zur IT-Welt sehr effizient zentral verwalten kann.
Auch Brandmeldesysteme kommunizieren heute digital untereinander und mit dem übergeordneten Gebäude-Management-System. Auf Sensorebene dagegen arbeitet in diesem Umfeld aufgrund der einfacheren Installation weiterhin etablierte Technik. Auch die für Hochsicherheitsanwendungen wie den Brandschutz notwendigen Zertifizierungen tragen dazu bei, dass IP sich dort auf der Sensorebene noch nicht durchsetzen konnte. Für den Anschluss der Melder an die Zentralen stehen jedoch ausgereifte und kostengünstige Konzepte wie LSN (Lokales Sicherheits-Netz) zur Verfügung, über sich die Ereignisse nicht nur melden, sondern auch sehr genau lokalisieren lassen.
Bei den Einbruchmeldesystemen gibt es nach wie vor rein proprietäre Übertragungswege. Doch auch dort geht die Entwicklung deutlich hin zur IP-Vernetzung von Systemkomponenten. Zudem gibt es heute erste Lösungen, bei denen ein digitales Zutrittskontrollsystem in die vorhandene Einbruchmeldeanlage integriert ist, wobei die Berechtigungen zum Scharf- und Unscharfschalten im Zutrittskontrollsystem residieren. Dies ermöglicht nicht nur Einsparungen bei der Verwaltung der Berechtigungen und Ausweisen, sondern realisiert auch die Einbindung in das digitale Gebäudenetz.
 
Vernetzung spart Geld
Ein erhebliches Einsparpotenzial bieten IP-basierende Lösungen vor allem durch die Möglichkeit der zentralen Verwaltung und des zentralen Betriebs der Sicherheitstechnik über Gewerke und Standorte hinweg. Vernetzte Zutrittskontrollsysteme ermöglichen beispielsweise in einer Firmenzentrale und den dazugehörenden Niederlassungen ein einheitliches und zentrales Berechtigungs- und Karten-Management. Die Integration unterschiedlicher Gewerke erhöht zudem das gesamte Sicherheitsniveau, da Ereignisse und Alarme unterschiedlicher Systeme automatisch korreliert werden können, was sehr schnelle und gezielte Maßnahmen ermöglicht.
Auch unter den immer wichtiger werdenden Compliance-Gesichtspunkten ist der zentrale Betrieb vorteilhaft, da er eine einheitliche Aufzeichnung aller sicherheitsrelevanten Ereignisse in nur einer Datenbank ermöglicht und so die Erstellung von Berichten für Audits deutlich vereinfacht und beschleunigt.
Ein weiterer Vorteil von IP in der Sicherheitstechnik ist die Tatsache, dass es nicht kabelgebunden ist. So lassen sich über WLANs relativ einfach auch Video- und Audio-Streams aus problematischen Umgebungen übertragen, beispielsweise bei der Nachrüstung in historischen Gebäuden, wo die nachträgliche Installation von Leitungen meist nicht zulässig ist.
 
Sicherheitstechnik absichern
Der Betrieb der Sicherheitstechnik im Rahmen von Smart-Building-Konzepten, also über eine IT-Infrastruktur oder gar unter Einbeziehung der Cloud, erfordert wie alle anderen Netzwerkanwendungen ein ausgereiftes Sicherheitskonzept, das Aspekte sowohl der Datensicherheit als auch des Datenschutzes umfasst. Der Datenschutz betrifft vor allem die Videoüberwachung und die Zutrittskontrolle mit ihren personenbezogenen Daten. Dort sind zum einen technische Lösungen gefragt, etwa ein Smartcard-Chip zur Authentifizierung von Kameras oder die Verschlüsselung von Video-, Audio-, Meta- und Kontrolldaten.
Aus Sicht der IT, die die Infrastruktur zur Verfügung stellt, sind Sicherheitssysteme kritische Applikationen, die hohe Anforderungen an die Verfügbarkeit und die Datensicherheit stellen und daher auch mit den Mitteln der IT-Security entsprechend zu schützen sind. Dies gilt umso mehr, als die ehemals strikt abgeschotteten Sicherheitssysteme heute nicht nur in das Unternehmensnetz integriert, sondern über dieses natürlich auch mit dem Internet verbunden sind.
So ist es beispielsweise ohne Sicherheitsvorkehrung möglich, über eine klassische Man-in-the-Middle-Attacke zwischen Videokamera und Video-Management-System die Bilder von Überwachungskameras zu manipulieren oder gar völlig andere Bildsequenzen einzuspielen, um verdächtige Aktivitäten zu vertuschen. Um solche Manipulationen unmöglich zu machen, empfiehlt es sich, die eingebauten Sicherheitsmechanismen zu nutzen und jeder Komponente des Videosystems einen Authentifizierungsschlüssel zuzuweisen, Videodaten bereits auf Hardwareebene zu verschlüsseln und die entsprechenden Schlüssel in Trusted-Platform-Modulen (TPM) aufzubewahren. Kryptografische Operationen finden dann ausschließlich innerhalb dieses TPMs statt. Kameras sollten zudem grundsätzlich durch starke Passwörter gesichert sein und standardmäßig nicht in der Lage sein, Fremdsoftware auszuführen.
Zudem ist in diesem Umfeld ein verlässliches Management von Zugriffsrechten erforderlich, etwa durch Einbindung in das Active Directory. In größeren Umgebungen kann es auch erforderlich sein, eine Public-Key-Infrastruktur aufzubauen oder die Sicherheitslösung in eine bestehende PKI zu integrieren. Dafür rüstet zum Beispiel Bosch alle Videokomponenten mit signierten Zertifikaten aus.
Verschlüsselung ist selbstverständlich nicht nur ein Thema der Videoüberwachung. Auch die Daten von Zutrittskontroll- und Einbruchmeldesystemen sind kritisch. Wer per Cyberangriff Daten des Zutrittskontrollsystems in seinen Besitz bringen kann, dem stehen wörtlich alle Türen offen. Auch die Kommunikation zwischen solchen Systemen und dem zentralen Management-System sollte daher per TLS abgesichert sein. Kameras, auf die ein HTTP-Zugriff möglich ist, sollten in jedem Fall die sichere Variante dieses Protokolls unterstützen.
Setzt der Gebäudebetreiber bei der Sicherheitstechnik auf Betreibermodelle oder auf zunehmend verfügbare Cloud-Services, bekommt die Datensicherheit eine weitere Dimension. Dann sollte der externe Dienstleister nicht nur die sichere Kommunikation gewährleisten - bei Bedarf sogar über ein eigenes dediziertes Sicherheitsnetz - sondern auch eine ebenso sichere Speicherung. Daten aus Videoüberwachung und Zutrittskontrolle sind kritische und dazu größtenteils auch persönliche Daten, die nicht in fremde Hände gelangen dürfen. An dieser Stelle sollte ein Betreiber auch darauf achten, dass der Dienstleister seine eigenen Mitarbeiter in Sachen Datenschutz und -sicherheit ausreichend schult und dies auch belegen kann.
Allerdings stellen die Sicherheitssysteme selbst im Smart Building nur einige von vielen Subsystemen dar, die im zentralen Gebäude-Management zusammenlaufen. Unbefugte Zugriffe auf sicherheitsrelevante Daten dieser Systeme sind daher grundsätzlich auch möglich, wenn ein Angreifer in das übergeordnete Building-Automation-System (BAS) eindringen kann. Daher lebt das sichere Smart Building ganz entscheidend auch von der Ausbildung und dem Sicherheitsbewusstsein der Mitarbeiter.

Den Gebäudeentwicklern und -betreibern kommt entgegen, dass die HVAC-Technik (Heating, Ventilation, Air Conditioning) bereits durchgängig digitalisiert ist.

Um Manipulationen zu verhindern, empfiehlt es sich, die eingebauten Sicherheitsmechanismen zu nutzen und jeder Komponente eines Videosystems einen Authentifizierungsschlüssel zuzuweisen, Videodaten bereits auf Hardwareebene zu verschlüsseln und die Schlüssel in Trusted-Platform-Modulen aufzubewahren.

Das sichere Smart Building lebt nicht nur von der Technik, sondern ganz entscheidend auch von der Ausbildung und nicht zuletzt dem Sicherheitsbewusstsein der Mitarbeiter.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Delta-R GmbH

Weitere Artikel zu ZEITLAUF GmbH antriebstechnik & Co. KG

Weitere Artikel zu ALTRAN GmbH & Co. KG

Matchmaker+