Videoüberwachung als Ausgangspunkt
IP als Plattform für die Sicherheitstechnik
Aus der Videoüberwachung sind IP-basierende Kameras und Lösungen heute nicht mehr wegzudenken. In vielen Anwendungen haben sie analoge Systeme bereits verdrängt. In anderen Bereichen der physischen Sicherheitstechnik dagegen hat sich das Standardprotokoll noch nicht im gleichen Maße durchsetzen können. Allerdings ist auch hier ein zunehmender Trend zum Einsatz von IP und Ethernet zu erkennen - zu offensichtlich sind die Vorteile.Attraktiv ist der Einsatz von Ethernet und IP für viele Unternehmen vor allem, weil sie den Aufbau separater Netzwerke für die Datenverarbeitung und die Sicherheitstechnik überflüssig machen können. Eine zentrale und einheitliche Verwaltung verspricht deutlich reduzierte Betriebskosten, und auch bei den Investitionen in die Infrastruktur führen die hohen Stückzahlen zu erheblichen Kostenvorteilen. Doch nicht nur finanziell zahlt sich der Einsatz standardisierter Netzwerktechnik aus: Eines ihrer großen Versprechen ist die Schaffung einer gemeinsamen technischen Plattform für Brandmeldeanlagen, Evakuierungs?, Einbruchmelde- und Zutrittskontrollsysteme sowie für die Videoüberwachung. Informationen von Videokameras, Brand- und Rauchmeldern oder Türsteuerungen können über einheitliche Protokolle wie TCP/IP und standardisierte Schnittstellen wie OPC zentral zusammengeführt werden. Ferner besteht so die Möglichkeit, mehrere Anwendungen auf einer gemeinsamen, flexiblen und konfigurierbaren Oberfläche anzuzeigen und miteinander zu verknüpfen. Zudem macht die Digitalisierung ganz neue Anwendungen überhaupt erst möglich.
Dass "Security over IP" heute häufig noch mit "Video over IP" gleichgesetzt wird, hat nachvollziehbare Gründe, ist aber trotzdem nicht korrekt. Die Videoüberwachung ist heute allerdings der einzige Bereich der Sicherheitstechnik, in dem Ethernet und IP flächendeckend bis hin zum Sensor arbeitet, nämlich bis zur Videokamera. Dies ist nur deswegen möglich, weil Kameras vergleichsweise teure Systeme sind und die zusätzlichen Kosten für einen eigenen Prozessor und die notwendige Software dort nicht erheblich ins Gewicht fallen. Diesen geringen Zusatzkosten stehen jedoch erhebliche Kosteneinsparungen und andere Vorteile gegenüber.
Video über IP
Dank ihrer hohen Verarbeitungsleistung bieten moderne IP-Netzwerkkameras und -Encoder erheblich mehr als analoge CCTV-Systeme. Insbesondere ermöglicht diese höhere Leistung den Aufbau dezentraler Videoarchitekturen mit intelligenten Funktionen direkt in den Encodern und Kameras. Bei diesem Ansatz werden alle Ereignisse am Kamerastandort generiert und nur noch Videobilder von Interesse an die Leitstelle gesendet, was den Datenverkehr im Netzwerk deutlich reduziert. Dafür gibt es heute eine Vielzahl von Videolösungen, bei denen Festplatten direkt an die Kameras oder Encoder angeschlossen sind und als lokale Ringspeicher dienen können. Auch die vielfach integrierten Speicherkarten können den Montageaufwand und Handling deutlich vereinfachen. Im Vergleich zu analogen Lösungen mit zentraler Videospeicherung bieten solche Systeme erheblich Kosteneinsparungen.
Dennoch geht der Trend bereits wieder weg von einfachen Netzwerkrecordern, denn der Einsatz von iSCSI-Laufwerken verspricht deutlich mehr Flexibilität und Zuverlässigkeit. So lassen sich mit iSCSI relativ einfach flexible Speichernetze mit Redundanz und einer automatischen Lastverteilung (Load Balancing) realisieren, sodass sich die Verfügbarkeit der Lösung jederzeit garantieren lässt. iSCSI-basierende Speichersysteme sind zudem mittlerweile recht kostengünstig und einfach skalierbar.
Bedenkt man, dass die Speicherung von Videobildern nicht selten die Hälfte der Gesamtkosten für die Videoüberwachung ausmacht, sind dies starke Argumente für den Einsatz von iSCSI-Systemen. Größere oder verteilte iSCSI-Speichersysteme lassen sich einfach unter einem Video Recording Manager (VRM) zusammenfassen und verwalten. Dieses verringert den administrativen Aufwand zum Teil erheblich.
Wenngleich IP heute in der Videoüberwachung als Standard gelten kann, gibt es doch noch einige Bereiche, in denen analoge CCTV-Technik eingesetzt wird. Bei Spezialkameras wie Dome- oder Wärmebildkameras spielt analoge Technik nach wie vor eine erhebliche Rolle - diese Systeme sind dann allerdings über entsprechende Decoder in das IP-Netzwerk integriert. Ähnlich sieht es in Bereichen mit harten Umgebungsbedingungen aus, in denen bei der digitalen Signalübertragung mit Störungen zu rechnen ist. Manche Unternehmen setzen auch im Außenbereich auf analoge Techniken, um einen physischen Zugang zu ihrem IP-Netz unmöglich zu machen. Allerdings kann man dies auch mit herkömmlichen Firewall-Techniken erreichen, sodass sich IP-Kameras auch in der Außenhaut- und Freilandüberwachung zunehmend durchsetzen.
Kam IP in der Videoüberwachung zunächst nur für die Übertragung von Bildern zum Einsatz, läuft heute auch der Audio-Stream immer häufiger über dieses Protokoll. In heutigen Gigabit-Netzen steht genügend Übertragungskapazität für Audio- und Videosignale zur Verfügung, zumal sich dieser Verkehr in virtuelle LANs (VLANs) separieren und dann mit einer hohen Priorität versehen lässt. Dies erfolgt in der Regel über die Reservierung der notwendigen Bandbreite für den Videoverkehr in den Ethernet Switches. Solche Maßnahmen können vor allem dort erforderlich sein, wo die Videoüberwachung über das bestehende Datennetz läuft und dieses bereits eine nennenswerte Auslastung aufweist.
Ein weiterer Vorteil von IP in der Sicherheitstechnik ist die Tatsache, dass es nicht kabelgebunden ist. So lassen sich über WLANs relativ einfach auch Video- und Audio-Streams aus problematischen Umgebungen übertragen. Beispielsweise sind die Schleppkabel von Aufzugsanlagen in der Regel nicht für die Übertragung von Audio und Video ausgelegt - per WLAN lassen sich dort dennoch zuverlässige und kostengünstige Überwachungs- und Notruflösungen realisieren.
Der Trend weg von der analogen Videoüberwachung und hin zum vermehrten Einsatz von IP-gestützten Systemen hat auch eine Vielzahl von Lösungen für die intelligente Videoanalyse mit sich gebracht. Netzwerkbasierende Überwachung und intelligente Videobildanalyse ermöglichen zum einen eine deutlich genauere Erkennung von Vorfällen, da Konzentrationsmängel und andere menschliche Fehler von vornherein ausgeschlossen sind. Zum anderen machen sie das Sicherheitspersonal deutlich effizienter, da dieses nur noch auf generierte Alarme reagieren muss, anstatt ständig eine Vielzahl von Live-Bildern zu überwachen.
Waren die ersten intelligenten Systeme noch fast ausschließlich auf die Detektion von Bewegungen ausgelegt, gibt es heute wesentlich vielfältigere Alarmierungskriterien. Anstatt jede Bewegung zu melden, analysieren moderne Systeme auch die Größe des Objekts, seine Geschwindigkeit und seine Bewegungskurve und vermeiden so Fehlalarme wie bei der schon fast sprichwörtlichen Katze, die durch das Bild huscht. Interessant ist für viele Anwendungen auch eine Konfigurationsoption für Referenzobjekte. Dabei werden alle relevanten Objektdaten wie Größe, Geschwindigkeit und Farbe in einer ausgewählten Live-Szene durch einen Mausklick auf das betreffende Objekt erfasst. Diese Informationen können sind als Überwachungskriterien zur späteren Verfolgung ähnlicher Objekte nutzbar - auch über mehrere Kameras hinweg. So lässt sich beispielsweise sehr einfach erkennen, in welchen Bereichen des Firmengeländes sich eine verdächtige Person oder ein bestimmtes Fahrzeug bewegt hat.
Wenngleich bei vielen Anwendungen die zuverlässige Live-Alarmierung im Vordergrund steht, ergibt sich doch oft die Notwendigkeit, Ereignisse später nachzuvollziehen. Eine Möglichkeit, diese Forensik deutlich zu beschleunigen, liegt in der Abstraktion. So können digitale Kameras neben dem eigentlichen Videobild auch Content-Analyse-Informationen in Form von Metadaten aufzeichnen. Diese bestehen aus einfachen Textzeichenfolgen mit Beschreibungen spezieller Bilddetails wie Objekte oder Bewegungen. Die Metadaten haben ein wesentlich geringeres Volumen als die Videoaufzeichnungen selbst und lassen sich daher deutlich schneller und vor allem maschinell durchsuchen. Sie können zudem auch aus anderen Quellen wie etwa der Zutrittskontrolle stammen, sodass mit unterschiedlichen Techniken eine Korrelation detektierte Ereignisse sehr einfach möglich ist.
IP jenseits von Video
Die Videoüberwachung hat dem IP-Protokoll den Zugang zur Sicherheitstechnik geebnet, doch der Einsatz digitaler Netzwerktechnik ist schon lange nicht mehr auf Video beschränkt. Beobachter erwarten, dass die IP-Technik schon bald auch den Markt für Zutrittskontrollsysteme beherrschen wird, da sie auch dort ihre Vorteile - Flexibilität, Standardisierung und geringe Kosten - voll ausspielen kann. Zwar ist nicht zu erwarten, dass die RS485-Schnittstellen der Terminals für die Zutrittskontrolle und die Zeitwirtschaft schon bald flächendeckend durch Ethernet ersetzt werden, doch verfügbar sind solche Systeme bereits.
Bei den Türkontrollern, die mehrere solcher Terminals steuern, ist eine Ethernet-Schnittstelle für die Anbindung an die Zentrale dagegen heute Standard. Konfigurationsdaten für die einzelnen Terminals lassen sich so sehr einfach über das Netzwerk verteilen, und auch die Einbindung in ein zentrales Gebäude-Management wird erheblich effizienter. Ähnlich wie bei der Videoüberwachung ermöglicht auch die Digitalisierung der Zutrittskontrolle ganz neue Anwendungen, die einerseits die Sicherheit erhöhen und andererseits Kosten sparen können. So lassen sich viele digitale Zutrittskontrollsysteme über eine LDAP-Schnittstelle mit den gängigsten Verzeichnissystemen wie etwa dem Active Directory kombinieren, sodass die Zugangsrechte zur physischen und zur DV-Welt sehr effizient zentral zu verwalten sind.
Auch bei Einbruch- und Brandmeldesystemen dient das IP-Protokoll immer häufiger für die Kommunikation der Meldezentralen mit dem übergeordneten Gebäude-Management-System. Auf Sensorebene dagegen hat es sich bisher nicht durchsetzen können, da die Sensoren hier einfach und sehr preissensitiv sind. Zusätzliche Intelligenz wird nicht unbedingt benötigt, Extrakosten für eigene CPUs und die erforderliche Software sind daher in der Regel nicht zu rechtfertigen. Zudem stehen für den Anschluss der Melder an die Zentralen ausgereifte und kostengünstige Techniken wie LSN (Lokales SicherheitsNetz) zur Verfügung, über die Ereignisse nicht nur gemeldet, sondern auch sehr genau lokalisiert werden können.
Ein weiteres Problem ist die fehlende Standardisierung in der Kommunikation zwischen Geräten unterschiedlicher Hersteller. Während sich bei der Videotechnik mit ONVIF eine Standardisierungsorganisation gebildet hat, der praktisch alle namhaften Hersteller wie Axis, Bosch, Cisco, Panasonic, Sony und viele andere angehören, ist die Welt in der Gefahrenmeldetechnik gespalten. Mit dem aus der Prozesstechnik stammenden OPC und dem in der Gebäudeleittechnik beheimateten BACnet existieren hier zwei Standards, die allerdings beide auf TCP/IP als Transportmedium zurückgreifen können. Dennoch würde ein einheitlicher Standard für die Gerätekommunikation sicher auch die Akzeptanz eines Standardtransportmediums wie TCP/IP fördern.
Betreibt man die Sicherheitstechnik über eine IT-Infrastruktur, muss man sich zwingend auch mit der Frage der IT-Sicherheit beschäftigen. Daten aus der Videoüberwachung oder der Brandmeldeanlage sind kritisch und/oder vertraulich; sie dürfen weder in falsche Hände gelangen noch der Gefahr der Manipulation ausgesetzt sein. In manchen Unternehmen kommt es daher vor, dass für die Sicherheitstechnik zwar IT-Technik arbeitet, aber dennoch separate Netze existieren. Der leitende Gedanke ist dabei, dass die Trennung von Sicherheits- und Datennetz einen erheblichen Sicherheitsgewinn bringt und auch der Performance beider Netze zugute kommt. Üblich wird allerdings zunehmend die Trennung durch VLANs innerhalb nur eines physischen Netzes.
Der logische Zugang zu dieser Infrastruktur ist dann mit den Mitteln der IT-Security abgesichert. So lassen sich über IEEE 802.1X nicht nur Personen authentifizieren, sondern auf Ebene von Ethernet-Ports auch einzelne Geräte. Damit lässt sich ausschließen, dass jemand an einem zugänglichen Port ein nicht zugelassenes Gerät in das Netzwerk integriert, etwa indem er den Anschluss einer Videokamera im Außenbereich "anzapft". Unbefugtes Abhören von Daten ist in IP-Umgebungen zudem recht einfach über Verschlüsselungstechniken zu verhindern.
IP heißt nicht IT
Aus der Sicht der IT ist die physische Sicherheit eine weitere kritische Applikation, die hohe Anforderungen an die Leistung, die Sicherheit und die Verfügbarkeit des Netzwerks stellt. Zentrale Management-Systeme für die physische Sicherheits- und Gebäudetechnik erfordern zudem hochverfügbare Server-Konfigurationen, die üblicherweise die IT bereitstellen und unterhalten muss. Für den Sicherheitsverantwortlichen und den Planer sicherheitstechnischer Einrichtungen andererseits ist die IT ein zunehmend wichtigeres Werkzeug, ohne das er sein Handwerk nicht mehr beherrschen kann. Unternehmen, die IP in der Sicherheitstechnik einsetzen wollen, tun daher gut daran, Projektgruppen mit Mitarbeitern aus allen beteiligten Bereichen sowie bei Bedarf externen Planern und Errichtern einzubinden. Denn auch wenn die IT in solchen Projekten die Plattform stellt, wird nach wie vor die sicherheitstechnische Erfahrung der Mitarbeiter in Planung, Einrichtung und Überwachung die Qualität und die Effizienz der Gesamtlösung bestimmen.
Lesen Sie mehr zum Thema
