Universelle Infrastruktur

Die Nutzung standardisierter und weitverbreiteter Technologien wie Ethernet-Switches führt zudem zu einer signifikanten Optimierung der Betriebskosten. Außerdem reduzieren sich Wartungskosten durch die gemeinsame Nutzung der Infrastrukturen. Die flächendeckende Ausstattung von Unternehmen mit IT-Infrastrukturen ermöglicht eine schnelle und flexible Anschaltung von Sicherheitssystemen. Erweiterungen sind damit in der Regel ohne zeitraubende Installationsarbeiten und damit sehr viel schneller zu realisieren.

Die Nutzung von Ethernet und IP öffnet darüber hinaus neue Möglichkeiten in der Integration verschiedener Systeme, wie Video oder Brandmeldeanlagen. IP-konforme Sicherheitssysteme lassen sich deutlich einfacher vernetzen und damit in zentrale Systeme, zum Beispiel Leitstandsysteme, integrieren.

Neben all diesen Vorteilen stellt Sicherheitstechnik jedoch - ähnlich wie Voice over IP - hohe Anforderungen an die Funktion, die Qualität und die Verfügbarkeit der Ethernet/IP-Netzinfrastruktur. Dies beginnt schon bei einfachen Themen, wie der Notstromversorgung der LAN-Switches in den Peripheriebereichen. Im Zuständigkeitsbereich der Bürokommunikation wird in solchen Bereichen oft der Ausfall des Switches toleriert, da in der Regel auch die Arbeitsplätze von diesem Stromausfall betroffen sind. Aber gerade in den Zeiten eines Stromausfalls kommt einer funktionierenden Sicherheitstechnik eine hohe Bedeutung zu, um die Sicherheit der Mitarbeiter zu gewährleisten.

Oftmals werden in Sicherheitsprojekten parallele Netzinfrastrukturen installiert, um möglichen Problemen durch die gegenseitige Beeinflussung von Bürokommunikation und Sicherheitstechnik aus dem Wege zu gehen. Damit gehen aber alle zuvor beschriebenen Kosten- und Nutzenvorteile verloren. Der intelligentere Weg ist deshalb eine zusammen mit dem IT-Bereich geplante Integration in die vorhandene Netzinfrastruktur und gegebenenfalls Erneuerung oder Erweiterung der bestehenden Netzwerkkomponenten. Ziel dabei ist eine universelle, mehrdienstefähige, zuverlässige und redundante LAN-Infrastruktur. Wird eine abteilungsübergreifende Strategie etabliert, abgestimmt zwischen Facility- und IT-Bereich, erzielen beide Bereiche Vorteile durch die Schonung der Budgets als auch durch eine erzielbare bessere Netzwerkverfügbarkeit.

Für die erfolgreiche Integration einer IP-basierenden Sicherheitstechnik in das Datennetz muss zuerst ein Anforderungskatalog definiert werden. Folgende Fragen müssen detailliert betrachtet und abgestimmt werden:

• Stromversorgung: Erfordern die Sicherheitssysteme eine Stromversorgung über Power over Ethernet (PoE, IEEE 802.3af)?
• Verfügbarkeit: Welche Verfügbarkeitsanforderungen an die IT-Infrastruktur werden durch die sicherheitstechnischen Prozesse gestellt?
• WLAN: Müssen entfernte Sicherheitssysteme, wie beispielsweise Videokameras für die Überwachung großer Außengelände, über Wireless LAN (IEEE 802.11) angebunden werden?
• Übertragungsqualität: Welche Garantien muss die IT-Infrastruktur auf Basis einer durchgängigen Quality-of-Service-Implementierung (IEEE 802.3p/Q, RFC2474) für den verlässlichen Transport der Daten sicherstellen?
• Bandbreiten: Welche Bandbreiten müssen für einen zuverlässigen Betrieb der sicherheitstechnischen Anlagen gewährleistet werden?
• IP-Adressierung: Kann die Sicherheitstechnik in eine Layer-3-Routing-Struktur eingebunden werden oder wird eine durchgängige Layer-2-Konnektivität vorausgesetzt?
• Multicast: Wird eine durchgängige IP-Multicast-Implementierung für den Betrieb der Sicherheitstechnik vorausgesetzt?
• IT-Sicherheit: Welcher Schutzbedarf besteht in Bezug auf die übertragenen Daten der sicherheitstechnischen Anlagen und den Zugriff auf die Systeme?

Die Nutzung einer zentralisierten Stromversorgung der sicherheitstechnischen Komponenten durch den Einsatz von Power over Ethernet erhöht die Verfügbarkeit signifikant. Die zentralen PoE-Switches bieten heute Redundanzfunktionen wie redundante, störungsfrei im Feld tauschbare Netzteile oder Power-Stacking. In Verbindung mit einer Notstromversorgung kann die sichere Stromversorgung der Sicherheitstechnik über einen langen Zeitraum gewährleistet werden.

Die Integration entfernter, sicherheitsrelevanter Lokationen auf einem großen Gelände, wie große Parkplätze oder die Zaunanlage eines großen Areals, erfordert oft einen hohen Aufwand in der Anbindung der Sicherheitssysteme, zum Beispiel von Videokameras oder Alarmgebern. Wireless LAN kann hier eine flexible und kostengünstige Lösung sein.

Die Wireless Mesh Technologie ermöglicht es, WLAN Access Points über ein Frequenzband zu einem redundanten, vermaschten Netzwerk zu verbinden und gleichzeitig über ein zweites Frequenzband die sicherheitstechnischen Anlagen anzubinden. Mit dieser Technologie können schnell, flexibel und zuverlässig große Areale für die Sicherheitstechnik erschlossen werden.

Ethernet und IP haben keine stringenten Fehlererkennungsmechanismen. Auch Fehlerkorrektur ist ein Fremdwort im Design solcher Netze. Per Design ist ein Datenverlust an jedem Knotenpunkt, wie einem Switch oder einem Router, möglich und wird durch die Ethernet- und IP-Protokolle weder erkannt noch korrigiert. Die Fehlersicherung muss also auf Ebene höherer Protokolle, wie TCP, oder der Anwendung selbst erfolgen. Echtzeitinformationen wie Sprache und Video müssen zudem zuverlässig und sofort zugestellt werden, da die Wiederholung einzelner Daten durch die Echtzeitanforderungen nicht möglich ist. Video stellt zudem hohe Anforderungen an die Bandbreite.

Die durchgängige Implementierung von Quality of Service (QoS) Technologien ist ein adäquates Mittel, den Anforderungen der Sicherheitstechnik gerecht zu werden. QoS kann aber nur vorhandene Bandbreiten verwalten und entsprechend den Vorgaben für die einzelnen QoS-Klassen schützen. Für einen angepassten und zuverlässigen Betrieb ist deshalb eine detaillierte Bedarfsanalyse der notwendigen Bandbreiten und Qualitätsanforderungen der diversen sicherheitstechnischen Anwendungen als Vorgabe für die QoS-Implementierung in der IT-Infrastruktur notwendig.

In Bezug auf die Integration der Sicherheitstechnik in die IT-Infrastruktur ist auch auf ein durchgängiges IP-Adresskonzept zu achten. Alle Komponenten sollten in Bezug auf ihre volle IP-Fähigkeit (IP-Adressierung und Subnetzfähigkeit) ausgewählt werden, und es sollte ein Layer-3-Netzdesign gewählt werden, um die Sicherheitstechnik auch standortübergreifend einbinden zu können.

Normalerweise erfolgt Kommunikation in Form von unidirektionalen Datenströmen (Unicast). Sicherheitstechnik erfordert jedoch häufig Punkt-zu-Mehrpunktverbindungen. Als Beispiel kann die gleichzeitige Übertragung des Live-Streams einer Videokamera an zwei Überwachungsplätze, wie die Pforte und den zentralen Leitstand, dienen. Die Kamera müsste dazu mehrere Unicast-Datenströme ins Netz einspeisen. Dies erzeugt abhängig von der Videoqualität eine hohe Netzlast und ist deshalb nicht der richtige Lösungsansatz. Deshalb wird hier ein Multicast-Ansatz gewählt. Das heißt, der Sender generiert einen Video-Datenstrom, der an eine Multicast-Adresse geschickt wird und damit bei mehreren Empfängern gleichzeitig ankommt.

Bei einer IT-Infrastruktur ohne Multicast-Implementierung würde dies zu einem Broadcasting führen, da die LAN-Switches die Multicast-Zieladresse keinem Port zuordnen können und damit den Video-Datenstrom an alle Endgeräte im Ethernet-Segment schicken. Dies erzeugt eine unnötige und hohe Belastung aller Netzbereiche. Es ist deshalb dringend die Implementierung einer durchgängigen Multicast-fähigen IT-Infrastruktur anzuraten. Multicast-Implementierungen wie das Internet Group Management Protocol (IGMP) oder intelligente Switch-Funktionen, wie IGMP-Snooping, sorgen dafür, dass der Multicast-Datenstrom nur bei den Empfängern ankommt, die ihn wirklich benötigen.

Daten aus einer Brandmeldeanlage oder einer Videoüberwachung sind kritisch und vertraulich. Sie müssen demzufolge vor dem Zugriff durch unautorisierte Personen und auch vor Manipulation geschützt werden. Die einfachste Form ist die Verlagerung der Anschlüsse für die Sicherheitstechnik in ein eigenes virtuelles LAN (VLAN). Virtuelle LANs sind ein gängiges und durch marktübliche Ethernet-Switches gut unterstütztes Verfahren, auf einer physikalischen Ethernet-Infrastruktur mehrere logische Netze abzubilden. In der Regel erhalten diese virtuellen Netze verschiedene IP-Subnetze zugewiesen, die dann durch die Routingfunktion in den zentralen Layer-3-Switches verbunden werden.

Bei erhöhtem Schutzbedarf ist es aber ratsam, die Kopplung der virtuellen LANs nicht auf den zentralen Layer-3-Switches, sondern auf einer Firewall zu realisieren. Damit ist es möglich, einen IP-Zugriff aus anderen Netzsegmenten, wie zum Beispiel der Bürokommunikation, zu reglementieren und nur autorisierten Anwendern den Zugriff auf die Sicherheitstechnik zu erlauben. Ideal ist hier eine Next-Generation-Firewall, die sehr tiefe Analysemöglichkeiten auf Applikationsebene bietet und den Zugriff auf die Sicherheitstechnik auf Basis von Applikation und Benutzer regeln kann.