Anzeige
Anzeige

Haus mit Hirn: Auf die Architektur kommt es an

Der Begriff der ‚intelligenten Gebäude‘ hat sich in den letzten dreißig Jahren stark gewandelt: Während er sich ursprünglich auf die architektonische/konstruktive Planung von Häusern bezog, wurde hierunter ab den 1980er Jahren die Automation und das Management von Energie-, Alarm- und Zutrittssystemen verstanden. In den letzten Jahren wandelte sich im Zusammenhang mit dem Konvergenzansatz erneut der Fokus: Nunmehr können und sollen sämtliche Systeme interoperabel sein und zentral gesteuert werden.
Um sämtliche Systeme in einem intelligenten Gebäude zentral steuern zu können, müssen alle Sensoren, Aktoren, Bedienelemente, Verbraucher und andere technische Einheiten miteinander vernetzt werden. Somit ist deutlich, dass die Steuerungseinheiten (Direct Digital Control – DDC) dezentral angeordnet sind und durchgängig mittels eines Bussystems (basierend auf Protokollen wie etwa Ethernet oder TCP/IP) vernetzt sein müssen. In diesem Zusammenhang bezieht sich das Thema Sicherheit – anders als im reinen Office-Umfeld – in erster Linie nicht auf Datensicherheit, sondern vielmehr auf Verfügbarkeit und Ausfallsicherheit. Dies ist umso mehr von Bedeutung, als es im schlimmsten Fall tatsächlich um Menschenleben geht, man denke dabei an den Betrieb von Aufzugsystemen und ähnlichem. Das Problem einer ganzheitlichen Gebäudeautomatisierung besteht darin, dass sich einheitliche Standards noch nicht hinreichend durchgesetzt haben und die Hersteller der Komponenten vielfach auf proprietäre Lösungen setzen. Damit muss das Netzwerk, das die Subsysteme verbindet und steuern soll, umgehen können.

Viele Systeme, ein Netz

Es handelt sich hierbei um äußerst verschiedenartige Teilsysteme, wie etwa Licht, Heizung und Klimaanlage, Energieverbrauch, Transportsysteme (Aufzüge, Rolltreppen), physische Sicherheitssysteme sowie das IT-Netz, d.h. integrierte Sprach- und Datenübertragung. Die Vorteile und die Funktionalität eines intelligenten Gebäudes steigen dabei mit der Anzahl der angebundenen Systeme und insbesondere deren Interoperabilität. Dem zentralen Management kommt hier die Schlüsselrolle zu. Um das Gebäude effektiv zu überwachen und die einzelnen Bereiche zu steuern, müssen alle Systeme in einer einzigen Plattform und auf dem gleichen Netzwerk kohabitieren. Die Final Information Points (FIPs), also die Elemente mit einer spezifischen Funktion des Subsystems, müssen dabei identifiziert werden (ihre Funktion innerhalb des Gebäudes und des Subsystems, zu dem es gehört) und auf für sie funktionswichtige Informationen Zugriff haben. Zudem muss ihr Status (Sicherheit, Art der gesendeten Information, Verhalten) fortwährend analysiert werden, um so sicherzustellen, dass sie nicht die Informationen anderer FIPs gefährden bzw. verfälschen. Die erste Priorität ist dabei stets die Ausfallsicherheit, da Störungen fatale Folgen haben können. Zudem sind die Steuerungssysteme oft so empfindlich, dass diese vor dem eigenen Netz geschützt werden müssen und nicht umgekehrt: Eine hohe Anfälligkeit für Denial of Service (DoS) Attacken besteht hier oft schon alleine durch die reine Broadcast Last im Netz. Jedoch auch Attacken von außen müssen wirkungsvoll verhindert werden.

Eine Frage der Architektur

Eine umfassende Anbindung aller Komponenten stellt eine hohe Herausforderung dar, da die verschiedenen Kontrollsysteme unterschiedlicher Hersteller (die zumeist ihre eigenen, proprietären Systeme verwenden) an ein einheitliches Kommunikationsnetz angebunden werden müssen. Zudem sollten die Zugangskontrolle und physische Anwesenheitsdetektoren in ein einziges zentralisiertes Identity-Management-System zusammengefasst werden. Auch muss eine ausreichende Netzabdeckung für schon vorhandene und noch zukünftige Anwendungen im Wireless-Bereich bereitgestellt werden. Es ist sinnvoll, die Vielzahl der Anwendungen in zwei verschiedene Arbeitszonen aufzuteilen: Zum einen in eine zentrale Netzwerkzone (Network Services Central Zone – ZGEN), zum anderen eine kapillare Zone (Network Services Capilarry Zone – ZCAP). Als ‚innerer Kreis‘ enthält ZGEN alle Komponenten, die die entsprechenden Services für die Integration aller Systeme bereitstellen, hierzu zählen insbesondere die ‚klassischen‘ IT-Bereiche wie Access Control, Storage und dergleichen, jedoch auch die Telefonie. In der äußeren Zone (ZCAP) werden sämtliche Haussteuerungselemente zusammengefasst. Diese sind in der Regel nicht für die Anbindung über Ethernet/IP ausgerichtet, verfügen jedoch über einen Aggregator für FIP. Das bedeutet, die vorhandene Technologie des Subsystems muss erst in der IP-Technologie erfasst werden.

Zukunftssicher

Gefragt sind Architekturen, die sich leicht erweitern lassen um so – entsprechend neuer Entwicklungen – einfach auf den neusten Stand gebracht werden zu können und vor allem mit Geräten und Lösungen von Drittanbietern zusammen arbeiten können. Zudem sollten sie jegliche Sicherheitsfunktionen (wie Access Control, Policy Management oder Intrusion Reponse) direkt an jedem Access Port zur Verfügung stellen. Neueste, Switch-basierte Sicherheitsarchitekturen wie etwa Secure Network tragen dieser Tatsache Rechnung. Dabei darf kein Unterschied gemacht werden, ob es sich um einen Switch für den Einsatz im Bürobereich handelt oder um einen Switch im Bereich der Gebäudeautomatisierung, unter Umständen mit ganz anderen Umweltvorgaben (Temperatur, Schock, Luftfeuchtigkeit). Für den Einsatz mit DDCs müssen auf dem Switch die gleichen Funktionen und das gleiche Management wie bei Büroswitches bereitgestellt werden.

Zutritt nur für Befugte

Um ein Netzwerk – und damit auch das gesamte Gebäude – effektiv zu schützen (und ersteres auch automatisch zu konfigurieren), muss zunächst eine Authentisierung am Access Port mit nachfolgender Regelzuweisung erfolgen. Hiermit wird sichergestellt, dass nur autorisierte Nutzer und Geräte das am Netz machen können, was sie sollen: so können beispielsweise Servicetechniker nur auf die Anlagen mit dem Administrationsprotokoll zugreifen, für die sie auch zuständig sind. Ein Switch muss dabei optimalerweise alle entsprechenden Verfahren (wie 802.1x, MAC Adresse, Web Portal oder Default) gleichzeitig pro Port unterstützen, so dass der Administrationsaufwand nicht unnötig erhöht wird. Ansonsten müsste bei jedem Umzug der Authentisierungsvorgang neu angepasst werden. Bei der Authentisierung verschiedener Benutzer bzw. Geräte gleichzeitig an einem Port müssen dort dann auch unterschiedliche Gruppen-Regeln je nach Benutzer und Gerät gleichzeitig vorhanden sein. Der PC soll beispielsweise andere Regeln bekommen als eine Überwachungskamera am selben Port, für einen Gast sollen andere Regeln gelten als für den eigenen Mitarbeiter usw.

Eine Frage der Policy

Hierbei sollten die dann vom Radius Server zugewiesenen Policies schon auf dem Switch vorgehalten werden, damit Verzögerungen bei der Anmeldung und Skalierungs- sowie Redundanzprobleme beim Policy Manager des jeweiligen Herstellers vermieden werden. Eine Policy beinhaltet optimalerweise VLan, Access Control, Priority und Rate Limiting Regeln, die auch noch für spezifischen Verkehr des authentisierten Nutzers/Gerätes gelten. Das Policy Management sollte für alle (Sub-)Systeme identisch und skalierbar sein. Dabei ist gerade die Funktion Rate Limiting zum Schutz der Gebäudetechnik immanent wichtig. Durch eine dynamische Intrusion Response lassen sich nicht nur IT-, sondern auch die jeweiligen Subsysteme vor Angriffen und Ausfällen schützen. Wichtig ist, dass die entsprechende Sicherheitslösung in der Fläche direkt an jedem Access Port zur Verfügung steht und universell einsetzbar ist – unabhängig von der Art der Endsysteme und der Nutzerkategorie – und auch auf Systemen anderer Hersteller stets die richtige Antwort, das heißt Response, weiß.

Empfehlungen der Redaktion

Das könnte Sie auch interessieren

Hygiene ist im Krankenhaus obligatorisch. Einerseits müssen die Patienten als sensible Risikogruppe geschützt werden. Gleichzeitig sind krankheitsbedingte Ausfälle unter Mitarbeitern kaum zu verschmerzen. Gerade die anhaltende Covid19-Pandemie bringt viele Einrichtungen an die Grenze ihrer Kapazitäten. Die Hessing Klinik Augsburg sorgt mit einem durchdachten Infektionsschutz für zusätzliche Sicherheit und Entlastung. Die Klinik nutzt hierzu seit kurzem eine automatische Zutrittskontrolle: Das Galaxy Gate Protect von Wanzl knüpft den Gebäudezutritt an einen Körpertemperaturscan, eine Handdesinfektion sowie die Kontrolle der Maskenpflicht.‣ weiterlesen

Anzeige

1919 gründete Walter Gropius das Staatliche Bauhaus und führte dort – für damalige Verhältnisse revolutionär – zum ersten Mal Kunst und Handwerk unter einem Dach zusammen. Anlässlich des 100-jährigen Gründungsjubiläums 2019 entstand an der historischen Wirkstätte des Bauhauses in Dessau ein neues Museum. Zum Schutz der wertvollen Exponate entschied sich die Bauhaus Stiftung wie schon in den bereits bestehenden Bauhausbauten in Dessau für eine elektronische Schließanlage mit Cliq-Technologie von Assa Abloy.‣ weiterlesen

Anzeige

Im Kölner Stadtteil Ehrenfeld steht 'The Ship', das als eines der digitalsten Gebäude Deutschlands gilt. Brandschutztechnisch geschützt wird das Projekt vom digitalen Brandmeldesystem Integral IP von Hekatron Brandschutz.‣ weiterlesen

Anzeige

Die Universität von Udine ist eine italienische Hochschule mit höchsten Forschungs- und Bildungsstandards. Auch über den akademischen Rahmen hinaus setzt die Universität auf moderne und smarte Lösungen: Das Gebäudemanagement erfolgt über eine sichere IoT-Plattform. Die elektrischen und thermischen Systeme, die Zugangskontrolle sowie die Videoüberwachung lassen sich damit zentral verwalten und sind dank eines ganzheitlichen IT-Sicherheitskonzepts vor Cyberangriffen geschützt.‣ weiterlesen

Systemrelevant und sensible Zone – dem Krankenhaus als medizinische Versorgungszentrale kommt während der anhaltenden Corona-Pandemie eine Schlüsselrolle zu. Infektions- und Gesundheitsschutz müssen hier Priorität besitzen. Daher hat sich das Klinikum Herford bei Bielefeld zur Umsetzung präventiver Schutzmaßnahmen während der Pandemie für eine smarte Lösung entschieden: Seit kurzem sorgt im Foyer ein Galaxyport Protect von Wanzl für eine automatische Zutrittskontrolle mit Infektionsschutz.‣ weiterlesen

Getragen auf der Welle der Digitalisierung hat sich die Plattform-Ökonomie in den unterschiedlichsten Industrien entwickelt und ist heute ein wichtiger Faktor, auch im B2B-Umfeld. Das Ziel einer Plattform ist es Partner miteinander zu vernetzen. Die Vorteile liegen auf der Hand. Sie schaffen Synergien zwischen Marktteilnehmern und ermöglichen neue Geschäftsmodelle und Dienstleistungen. Auch in der Zutrittskontrolle gewinnen Plattformen zunehmend an Bedeutung.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige