Lösungen wie VPNs oder Firewalls dienen dazu, ein Unternehmensnetzwerk gegen unbefugten »Eintritt« zu sichern. Aber auch Sicherheitseinrichtungen wie Überwachungskameras können heute im Netzwerk integriert werden. Ein kritischer Faktor ist hierbei die zusätzliche Belastung des Netzes.

Generell ist ein eigenes Netzwerk für die Videoüberwachung zur Sicherung der Kameras und des Gesamtnetzwerks die beste Alternative.

Die Videoüberwachung wichtiger Bereiche eines Unternehmens, beispielsweise von Ein- und Ausgängen, Technikräumen und Anlagen, erfolgt heute immer häufiger mit Hilfe digitaler Kameratechnologien. Analoge Systeme befinden sich angesichts ihrer vergleichsweise unflexiblen Handhabung und ihrer fehlenden Rechenleistung für Bildverarbeitung und -management auf dem Rückzug. Die digitalen Netzwerkkameras arbeiten dagegen oftmals wie kleine Roboter: Sie übernehmen nicht nur die Speicherung der aufgezeichneten Bildsequenzen, sondern können auch selbsttätig einen Alarm per E-Mail, SMS oder Sprachmeldung auf das Telefon auslösen, falls sich Prozessstörungen wie Staus auf dem Förderband ereignen oder aber eine Bewegung – beispielsweise durch eine unbefugte Person – im Kamerabild erscheint. Durch die Möglichkeit, per Standard-Internet-Browser auf die Kameraaufnahmen zuzugreifen und die Geräte zu administrieren, können in Unternehmen selbst aus der Ferne Diagnosen zu Störfällen gestellt und weitere Schritte veranlasst werden.

Die Vorteile solcher Kamera-Lösungen liegen auf der Hand: Verhinderte Einbrüche und schnell behobene Störfälle sparen Kosten und sorgen für reibungslose Unternehmensabläufe. Vom Regen in die Traufe kämen Firmen jedoch, wenn die Netzwerkkameras das Unternehmensnetz so stark belasten würden, dass andere Prozesse durch diese Art der Unternehmenssicherung verlangsamt werden.

Zentrale Kamerasysteme belasten das Netzwerk

Dieses oft gegen die Netzwerkkamera-Technologie ins Feld geführte Vorurteil fußt darauf, dass Videoüberwachung zumeist mit einer zentralen Bildaufzeichnung und -verarbeitung über PC inklusive Videomanagement-Software assoziiert wird. Und diese belastet das Netzwerk tatsächlich. Eine neue Generation von so genannten »intelligenten« Netzwerkkamera-Systemen mit integriertem PC reduziert hingegen die Netzwerkbelastung auf ein Minimum. Darüber hinaus bietet sie die Möglichkeit, eine unbegrenzte Anzahl von Geräten anzuschließen.

Info Vorteile dezentral gemanagter Netzwerkkameras

• Keine Systemgrenzen bezüglich der Kameraanzahl,

• Möglichkeit zum nachträglichen Ausbau des Videosystems,

• sehr kurze Reaktionszeiten, da die »Intelligenz« in der Kamera sitzt,

• sehr geringe Netzwerklast sowie

• robuste Systemkonzeption durch Verzicht auf zentrale Steuerung.

Deutlich zeigt sich dieser Unterschied, wenn man sich ein Einsatzszenario für die Kameras vor Augen führt: Normalerweise reicht bei der Videoüberwachung in Unternehmen die reine Live-Beobachtung eines Bereichs nicht aus. Um Störfälle im Nachhinein analysieren zu können, Brandursachen festzustellen oder unbefugt eingetretene Personen zu identifizieren, ist zugleich die Speicherung aller relevanten Bildsequenzen erforderlich. Da andererseits aber die Speicherkapazitäten eines Unternehmens nicht unnötig belastet werden sollten, arbeiten viele Netzwerkkameras mit einer so genannten Video-Sensorik. Mittels der Detektion von Bilderveränderungen, der Video-Motion-Detection, zeichnen die Geräte ausschließlich solche Szenen auf, in denen sich Veränderungen im Kamerabild ergeben haben. Nötig ist darüber hinaus jedoch auch die Speicherung der Sequenzen vor und nach einem »Alarm«, also einer Bildveränderung, um zum Beispiel den Auslöser für einen Störfall festzuhalten. Daher ist es wichtig, dass das Aufzeichnungssystem zusätzlich immer einen Ringpuffer von einigen Sekunden vorhält.

Bezüglich dieser Grundanforderungen an ein Überwachungssystem besitzt die zentrale und PC-gestützte Bildaufzeichnung zwei entscheidende Nachteile: Eine zuverlässige Video-Motion-Detection ist sehr rechenintensiv. Dies führt dazu, dass die maximale Rechenleistung des PCs die Anzahl an gleichzeitig auswertbaren Kameras beschränkt. Zudem müssen für die Bewegungsdetektion und das Bereithalten des Voralarm-Puffers kontinuierlich alle Bilder der Kameras gelesen werden. Hierdurch belasten die Geräte das Netzwerk auch dann, wenn gar nicht aufgezeichnet wird.

Bislang umgingen die Anwender zentraler Bildaufzeichnungssysteme diese Einschränkungen oft dadurch, dass zur Reduzierung der Netzwerklast und des Rechenaufwands vor einem Ereignis Bildrate, Bildauflösung und Bildqualität verringert und nach dem Ereignis wieder auf die gewünschte Bildqualität und -rate hoch geschaltet wurden. Hiergegen spricht jedoch, dass zur zuverlässigen Bewegungsdetektion ein hochwertiges Bild nötig und gerade im Alarmfall die gute Qualität der Voralarmbilder ein »Muss« ist.

Info Vorteile von Netzwerkkameras

Netzwerkkameras nutzen zur Bildübertragung an Stelle des analogen Videokabels den TCP/IP-Standard, der in der IT-Netzwerktechnik weit verbreitet ist. Sie bieten folgende Vorteile gegenüber der herkömmlichen Technologie:

• Flexible und dadurch preiswerte Einsatzmöglichkeit aller IT-Komponenten zum Datentransfer (WLAN, DSL, ISDN, GSM und Ethernet) für die Bildübertragung. Eine spezielle analoge Verkabelung entfällt.

• Weltweiter Zugriff auf die Kamerabilder über Standleitung oder das Internet.

• Entfallen von Software- und Wartungslizenzen, weil der Zugang zu den Kamerabildern über bereits vorhandene Webbrowser des PCs erfolgt.

• Keine Beschränkung der Bildauflösung. Da die starre Bindung an die analoge Videonorm nicht mehr gegeben ist, sind Bilder mit Megapixel-Auflösung möglich.

• Keine Beschränkung der Kameraanzahl. Beliebig viele Geräte können – ähnlich wie PCs in einem Großunternehmen – angeschlossen und miteinander vernetzt werden. Erweiterungen sind durch die Netzwerkstruktur problemlos möglich.

• Höhere Sicherheit durch vielfältige Schutzmöglichkeiten der Netzwerkkameras gegen unbefugten Zugang – beispielsweise durch Software-Verschlüsselungstechniken wie PGP oder VPN-Router. Analoge Videokabel können dagegen vergleichsweise einfach elektromagnetisch »abgehört« werden.

Intelligente Kameras arbeiten dezentral

Der Königsweg für die Verminderung der Netzwerklast und Aufhebung der Systembeschränkungen einerseits und eine gute Bildqualität andererseits ist denkbar einfach: Sowohl die Bewegungsdetektion als auch der Voralarm-Ringpuffer werden vom PC direkt in die Kamera verlegt. Im Zeitalter der leistungsfähigen Mikro-Rechner und des preiswerten Megabyte-Speichers ist dies kein großer Kostenfaktor bei der Kameraherstellung.

Neben der Detektion relevanter Sequenzen und der Aufzeichnung eines Voralarm-Puffers für Ereignisse direkt in der Kamera können die dezentralen Geräte auch die Speicherung der Aufnahmen mittels eines Ringspeichers übernehmen. Alte Ereignisse werden hierbei turnusmäßig mit neuen Aufzeichnungen überschrieben. Sollen die Bilder langfristig archiviert werden, so ermöglicht es die Rechnerintelligenz der Geräte zudem, dass die Kameras auch die Langzeitspeicherung der Aufnahmen auf einem Netzwerk-PC-Server selbsttätig organisieren. Dies bedeutet, dass sie eigenständig einen ihnen zugewiesenen Bereich der Festplatte auf einem PC oder Server im Netzwerk verwalten. In Verbindung mit großen Serveranlagen und Raid-Platten wird so die Speicherkapazität nahezu grenzenlos. Da in den dezentralen Geräten ein komplettes Videomanagement sowie die Möglichkeit zur Suche nach Ereignissen enthalten ist und die Kameraadministration beziehungsweise das Sichten der Bilder über einen Standard-Webbrowser erfolgt, benötigen die Kameras in den meisten Anwendungsfällen keine zusätzliche zentrale Software. Stehen allerdings spezifische Funktionen im Vordergrund, weisen zentrale Videomanagement-Systeme durchaus Vorteile auf. So können sie beispielsweise die Nutzer- und Gruppenverwaltung, die Gebäudeübersicht und das Management sowie die Einbruch-, Überfall- oder Brandmeldung übernehmen. Daneben verfügen sie über Komfortfunktionen wie die Ereignissuche nach bestimmten Kriterien. Zudem sind die Management-Systeme in der Lage, verschiedene Plattformen, zum Beispiel analoge, digitale und intelligente Systeme, zu integrieren.

Deutlich in ihrer Arbeit entlastet werden können solche zentralen Management-Systeme, wenn sie zugleich die Video-Motion-Detection und Voralarm-Ringspeicher-Funktion der dezentralen Kameras zur Reduzierung der Netzwerklast nutzen. Diese bieten darüber hinaus den Vorteil, dass ihre Anzahl nicht durch Systemkapazitäten begrenzt ist und sie kürzere Reaktionszeiten besitzen als andere Modelle, weil ihre Intelligenz in dem Gerät selbst sitzt. Durch den Verzicht auf eine zentrale Steuerung sind die Systeme sehr robust konzipiert.

Sicherung des Sicherers

Selbst wenn die Videoüberwachung beim Einsatz von dezentralen Kameras keine Netzwerkbelastung darstellt, bleibt jedoch ein Problem ungelöst: Wie werden die Geräte, die Gefahren vorbeugen sollen, selbst gegen Missbrauch geschützt? Zunächst verfügen Netzwerkkameras wie die der Mobotix über hierarchisch gestufte, Passwort-geschützte Ebenen des Benutzerzugriffs. Die Zugriffsrechte reichen hierbei vom reinen Sichten der Bilder bis hin zur Administration. Darüber hinaus erfolgt der Zugriff auf die Kamera ausschließlich über den Web-Browser. Andere Ports wie Telnet sind nicht geöffnet. Auch auf archivierte Bilder, die im internen Speicher des Geräts oder auf einem externen Server abgelegt sind, können die Nutzer nur über die Kamera zugreifen. Änderungen an archivierten Bildern sind so nicht möglich. Zusätzlich sind die Aufnahmen durch eindeutige Identifikationsmerkmale im Bildheader oder durch transparente Logos, die in die Bilder eingeblendet werden, gegen Manipulation geschützt.

Gerade bei Kameras, die im Außenbereich eines Unternehmens – beispielsweise zum Schutz von Ein- und Ausgängen – eingesetzt werden, sind zum Schutz davor, dass sich Unbefugte über diesen Netzwerkanschluss Zugang zum gesamten Netzwerk verschaffen, aber weitere Vorkehrungen nötig. Ihr Umfang hängt von den Sicherheitsanforderungen des einzelnen Unternehmens ab, generell jedoch gelten die gleichen Bedingungen wie bei sonstigen Netzwerk-Sicherungen: eine weitgehende physikalische Abschottung des Anschlusses sowie die maximale Einschränkung der benötigten Netzdienste und -verbindungen.

Die Gefahr lauert in Außenkameras

Eine Möglichkeit, das Netz trotz integrierter Außenkameras zu schützen, besteht darin, die Netzteilnehmer durch den Aufbau eines Virtual-Local-Area-Networks (VLAN) mit entsprechenden Switches von der »Außenwelt« zu separieren. Durch das VLAN wird sichergestellt, dass keine Verbindungen zu anderen als den zugelassenen Rechnern hergestellt werden können. Erfolgt der Zugriff auf die Kamera nicht ausschließlich aus einem abgeschotteten Netzwerk, kann es auch erforderlich sein, zwischen dem Netzwerk und der Kamera im Außenbereich eine Firewall zu errichten. Hierbei muss berücksichtigt werden, dass von der Kamera aus auf den File-Server zugegriffen werden kann, in den das Gerät die Aufnahmen ablegt. Gleiches gilt für den FTP- und den SMTP-Server, damit die Kamera im Alarmfall E-Mails versenden kann. Zudem müssen auch bestimmte PCs auf die Kamera zugreifen können, um die Bildsequenzen über den Webbrowser zu sichten und Konfigurationen des Geräts zu ändern. Eine weitere Sicherungs-Option besteht darin, dass die Firewall die so genannte Network-Address-Translation (NAT) durchführt, also Adressen aus dem firmeninternen Netzwerk überschreibt. Bei dieser Vorgehensweise ist für die Außenkamera – und somit auch für potenzielle Angreifer – die Netzwerktopologie nicht erkennbar. Besonders wesentlich ist dieser Schutz, falls der File-Server der Kamera zugleich für andere Zwecke verwendet wird. Dies sollte jedoch unter Sicherheitsaspekten möglichst vermieden werden.

Ist bei dem zu realisierenden Überwachungsnetzwerk eine einfache Topologie ausreichend, so kann ein einzelner Rechner mit mehreren Netzwerkkarten als File-Server und Firewall zugleich eingerichtet werden. Außenkameras werden hierbei über eine eigene Netzwerkkarte angeschlossen. Über eine weitere Schnittstelle können beispielsweise Innenkameras betrieben und über eine dritte Verbindung zu den PCs hergestellt werden, mittels derer man die Aufnahmen sichtet. Bei dieser Konstruktion kann ein Angreifer anstelle der Außenkamera selbst dann nur diejenigen Dienste verwenden, die dem Gerät zur Verfügung stehen. Da die Kamera allerdings keine sicherheitskritischen Dienste wie DNS oder Telnet benötigt, entsteht auf diese Weise ein effektiver Schutz des inneren Netzwerks.

Getrenntes Netz als beste Alternative

Generell ist ein eigenes Netzwerk für die Videoüberwachung zur Sicherung der Kameras und des Gesamtnetzwerks die beste Alternative – sofern dies baulich möglich ist. Neben dem Schutz gegen Missbrauch erhöht sich mit dieser Lösung auch die Ausfallsicherheit. So schuf beispielsweise die Sparkasse Kaiserslautern, die mit der Überwachungstechnologie von Mobotix arbeitet, pro Geschäftsstelle einen zusätzlichen Server für die Videokameras. Diese physikalisch getrennten Subnetze in jeder Filiale garantieren, dass die Geräte weiterhin funktionsfähig bleiben und Bilder aufzeichnen, auch wenn das allgemeine Sparkassen-Netz überlastet sein sollte. Ein wichtiger Faktor – gerade wenn es tatsächlich zu einer Gefahrensituation kommt, für deren potenzielles Risiko die Systeme ja letztlich eingesetzt werden. Dr. Ralf Hinkel, Vorstand und Gründer der Mobotix