IP-basierten Videoüberwachung via Cloud und NAS

Wolkig mit Aufheiterungen

||| Videor VIEW 3-12 Fachartikel: Aufzeichnung mit NAS-Systemen und Cloud-Services in der IP-basierten Videoüberwachung

Die Speicherung der Videobilder in der IP-basierten Überwachung wird zunehmend zu einer Herausforderung. Zum einen nehmen die Datenmengen – erzeugt von immer höher auflösenden Kameras – stetig zu. Zum anderen bewegen wir uns in einem Spannungsfeld zwischen Datensicherheit und Datenschutz auf der einen Seite und dem Wunsch nach einem flexiblen, ortsunabhängigen Zugriff über alle möglichen Endgeräte auf der anderen Seite. Wo sollen die Daten gespeichert werden? In der Kamera selbst? Auf einem lokalen Netzwerk-Video-Rekorder (NVR)? Einem Server? Einem NAS? Oder gar in einer Cloud? Innerhalb der Systemarchitektur gewinnt die Netzwerkinfrastruktur – bei steigender Komplexität angesichts immer neuer Möglichkeiten – stetig an Bedeutung. Dies ist auch der Grund, warum Netzwerkkomponenten von Marken wie Allied Telesis, Nitek, Phihong, OT Systems, UTC mittlerweile ein selbstverständlicher Teil unseres Portfolios geworden sind: Switches und Medienkonverter, Power over Ethernet Midspans. Seit kurzem führen wir, um wieder zu den Speichermedien zurückzukehren, NAS Systeme von QNAP und Speicherkarten von SanDisk. Und mit 1000eyes haben wir schon seit einiger Zeit einen Partner für Hosted Video in unserem Programm vertreten.

Die prinzipiellen Optionen
Einfachste und „kleinste“ Aufzeichnungsmöglichkeit in Bezug auf die benötigte Hardware ist eine SD-Karte in der Kamera selbst, die auch zur redundanten Speicherung der Videobilder gedacht ist, sollte es zu einem Netzwerkausfall kommen. Zahlreiche Kamerahersteller bieten entsprechende Slots an. Zu einer wirklichen Überwachungslösung, bei der man auch während des Betriebs auf die Aufzeichnungen zugreifen kann, werden SD-Karten aber erst mit dem Axis Camera Companion oder dem Bosch Video Client. Weitere Varianten sind Netzwerk Video Rekorder (NVR) oder selbst konfigurierte PCs, die mit der gewünschten Management Software ausgestattet sind. NVRs eignen sich für kleinere und mittelgroße Systeme, wobei sich zum Beispiel mit der Titan-Serie von Nuuo auch Lösungen für bis zu 64 Kanäle realisieren lassen. Bei großen Systemen greift man dann auf Client-/Serverarchitekturen zurück, bei denen eine Software auf einem Server installiert wird, auf die mehrere PC-Clients zugreifen können. Ob klein, mittel oder groß – all diesen Lösungen ist gemein, dass sie neben der Speicherung der Videodaten noch weitere Aufgaben übernehmen, nämlich die Verwaltung und die Darstellung der Videobilder. Anders ein NAS oder eine Cloud – bei ihnen geht es um die reine Datenspeicherung im Netzwerk.

Aufzeichnung mit NAS-Systemen und Cloud-Services in der IP-basierten Videoüberwachung
Die Möglichkeiten zur Speicherung von Daten in der IP-basierten Videoüberwachung sind zahlreich. Während in der analogen Technik der DVR die Antwort auf nahezu alle Fragen zum Thema Aufzeichnung war, herrscht nun die Qual der Wahl: SD-Karten, NVR, Server, NAS-Systeme, Clouds, Hosted Video – alle wollen die Daten sicher archivieren und bei Bedarf zur Verfügung stellen. Aber welche Variante erfüllt die hohen Maßstäbe, die in puncto Datensicherheit und Datenschutz angelegt werden müssen? Im Mittelpunkt der Betrachtung stehen reine Speicherlösungen: NAS-Systeme und Cloud-Services.

NAS: jährliches Wachstum von 35 Prozent 
NAS steht für „Network Attached Storage“, also „ans Netzwerk angeschlossener Speicher“. Mit steigendem Datenvolumen wächst der Bedarf an NAS-Systemen, nicht nur im Bereich Video Security. Man geht von einem jährlichen Wachstum von über 35 Prozent bis zum Jahr 2015 aus. Grund hierfür ist insbesondere die weitere Verbreitung mobiler Endgeräte, wie Smartphones und Tablet-PCs, deren Nutzer auf einen zentralen Speicherort im Unternehmen zugreifen wollen. Ein Trend, der schon jetzt in der Video Security um sich greift, betrachtet man allein die große Anzahl an Apps für Apple iOS oder Android, mit denen über endsprechende Endgeräte neben den Livebildern auch aufgezeichnetes Material dargestellt werden kann.

Systemanforderungen eines NAS
Grundsätzlich ist ein NAS eine auf Computerhardware basierende Applicance, die für die Bereitstellung von Speicher über das Netzwerk optimiert ist. Und auch hier gilt: je leistungsstärker die Komponenten, desto schneller arbeitet der Speicher. Wenn häufig mehrere Geräte gleichzeitig auf das NAS zugreifen – wie in größeren Unternehmen –, ist eine hohe Verarbeitungsgeschwindigkeit besonders wichtig, da die Anfragen nacheinander abgearbeitet werden. Von der Leistungsstärke des Prozessors hängen auch die Datenübertragungsraten ab – ein Punkt, der gerade im Bereich der Videoüberwachung nicht zu vernachlässigen ist, da die Videobilder (je nach Auflösung) diesbezüglich recht anspruchsvoll sind. Die passenden Spezifikationen hängen also ganz davon ab, welche Anforderungen das NAS zu erfüllen hat. Wenn man zum Beispiel Daten in einem kleinen Einzelhandelsgeschäft primär speichern möchte, um bei Bedarf darauf zugreifen zu können, reicht ein NAS mit zwei Festplatteneinschüben, einem 2,0 GHz Prozessor und 512MB RAM aus; die Datensicherung kann über eine RAID 1 Konfiguration sichergestellt werden, bei der die erste Festplatte auf die zweite gespiegelt wird und die Daten somit redundant vorliegen. Bei größeren Installationen, bei denen neben dem Sicherheitsbeauftragten auch dessen Mitarbeiter, Geschäftsführer oder andere Personen auf die Aufzeichnungen zugreifen sollen, ist ein Arbeitsspeicher von mindestens 2 Gigabyte zu empfehlen und ein Intel Prozessor mit wenigstens zwei Kernen. Weitere wichtige Punkte sind die Anzahl der Festplatteneinschübe (Bays), die maximal zur Verfügung stehende Speicherkapazität sowie die unterschiedlichen RAID-Level, die unterstützt werden. Für eine unterbrechungsfreie Aufzeichnung ist ferner wichtig, ob die Platten hot-swap-fähig sind und auch im laufenden Betrieb ausgetauscht werden können. Und zu guter Letzt stellt sich die Frage, ob das NAS in ein Rack eingebaut werden soll, denn hier bieten die Hersteller unterschiedliche Gehäuse an.

Öffentliche oder Private Clouds
Während der Benutzer bei einem NAS weiß, wo seine Daten gespeichert werden, ist dies bei einer Cloud nicht der Fall. Eine Public Cloud, auf die über das Internet zugegriffen wird, kann von beliebigen Unternehmen und Privatpersonen genutzt werden, sie steht „öffentlich“ zu Verfügung, auch wenn die eigenen Daten natürlich durch ein Passwort oder Sicherheitsmechanismen wie Verschlüsselung geschützt sind. Die Hardware steht also nicht mehr im Unternehmen selbst, sondern ist ausgelagert, so dass der Speicherort dem Unternehmen unter Umständen gar nicht mehr bekannt ist. Dies ist bei sensiblen Daten – und bei der Videoüberwachung handelt es sich meist um sensible Daten – problematisch, da es die Pflicht von Unternehmen ist, diese besonders gut zu schützen. Wie können aber Daten geschützt werden, wenn das Unternehmen gar nicht weiß, wo sie gespeichert sind? Häufig stehen die Server der jeweiligen Dienstleister zudem im Ausland, so dass ein anderer Datenschutz gilt, der mit deutschem Recht unter Umständen nicht vereinbar ist. Eine bessere oder sicherere Alternative kann eine Private Cloud sein, die vom Unternehmen selbst an einem oder an mehreren verteilten Standorten betrieben wird. Diese Cloud wird über das firmeneigene Intranet aufgerufen oder über einen Virtual Private Network (VPN) Tunnel, über den nur diejenigen, die zu diesem Netzwerk gehören, auf die Daten zugreifen können. Die Kontrolle über die Hardware und somit auch über die gespeicherten Daten liegt vollständig beim Unternehmen selbst, so dass die eigenen Maßstäbe in puncto Datensicherheit und -schutz beim Aufbau des Systems berücksichtigt werden können. Bei der redundanten Speicherung an verteilten Standorten – zum Beispiel bei einem Filialnetz einer Einzelhandelskette – ist ein Maximum an Sicherheit gegeben, da selbst bei einem Brand im Serverraum der einen Betriebsstelle die Daten nicht verloren sind. Generell wird bei Clouds – egal ob Public oder Private – die Internet-Security zum wichtigen Thema, das nur gemeinsam mit dem IT-Verantwortlichen des beauftragenden Unternehmens geklärt werden kann.

Hosted Video im renommierten Rechenzentrum  Eine Sonderrolle zwischen Private und Public Clouds stellen sogenannte Hosted Video Lösungen dar wie zum Beispiel von 1000eyes, bei denen das Bildarchiv und in diesem Fall auch das Videomanagement ebenfalls in einem „fremden“ Rechenzentrum liegen. Dieses ist aber auf die speziellen Anforderungen der Videoüberwachung hin optimiert und erfüllt sämtliche Kriterien in Bezug auf Datensicherheit und Datenschutz. Die Daten werden hier zum Beispiel vollredundant in einem renommierten deutschen Rechenzentrum in einem proprietärem Dateiformat abgespeichert. Die Datenübertragung und der Zugriff auf Livebilder und Aufzeichnungen erfolgt über eine geschützte und verschlüsselte Tunnelverbindung. Hosted Video ist somit eine schlanke, attraktive Alternative für Systeme von bis zu 25 IP-Kameras, bei denen die Wartung und Speicherung komplett ausgelagert werden soll.

Fazit
Es gibt zahlreiche Möglichkeiten, Videodaten in der IP-basierten Videoüberwachung zu speichern. Bei kleineren und mittleren Systemen hat man die Qual der Wahl, da sich alle Varianten – SD-Karte in der Kamera, NVR, PC-Einzelplatzlösung, Hosted Video, NAS – umsetzen lassen. Letztlich entscheiden hier die persönlichen Präferenzen und die Gegebenheiten vor Ort, bei denen einzelne Vorteile (zum Beispiel ein geringer Platzbedarf) den Ausschlag geben. Bei größeren Systemen ab 64 Kanälen mit entsprechend hohen Anforderungen führt kein Weg an einer zentralen Videomanagement Software mit Client-/Serverarchitektur und einem am besten als Private Cloud konzipierten NAS-Verbund vorbei. Diese Lösung bietet maximale Flexibilität, Leistungsfähigkeit und Datensicherheit.

Power over Ethernet PoE

Fachartikel aus PROTECTOR Special Videoüberwachung 2012, S. 48 bis 49

Stromversorgung über Ethernet in Videoüberwachungslösungen

Mehr Power

Die Stromversorgung von IP-Endgeräten über das LAN erspart extra Verkabelungen. Durch die Neufassung des IEEE 802.3at-Standards liefern verfügbare Ethernet-Schnittstellen bis zu 30 Watt elektrische Energie. Durch Midspan-Lösungen können auch Endgeräte mit bis zu 95 Watt versorgt werden.

Bild: Get Power
Midspan-Komponenten in einer LAN-Verkabelung von Verbrauchern mit höherem Strombedarf. (Bild: Get Power)

IP-Endgeräte werden über die Ethernet-Verkabelung nicht nur mit Daten, sondern auch mit Strom versorgt (Power over Ethernet). Ein extra Stromanschluss bei jedem Endgerät ist nicht erforderlich. Den ersten Schub erhielt die Technologie mit dem im Jahr 2003 verabschiedeten Standard IEEE 802.3af. Dieser sieht eine Schutzkleinspannung von 48 Volt DC vor. Der Standard begrenzt die Stromaufnahme im Dauerbetrieb zwischen zehn bis 350 Milliampere.

Die maximale Versorgungsleistung ist auf 15,4 Watt, die maximale Leistungsaufnahme des Endgeräts nach Abzug der Leitungsverluste über eine Kabellänge von 100 Metern auf 12,95 Watt begrenzt. Sollten die Endgeräte nicht PoE-kompatibel sein, stehen PoE-Splitter zur Verfügung, um den Strom und die Daten zu trennen und somit dennoch Kosten für eine zusätzliche Steckdose zu sparen.

IEEE 802.3at und Midspan

Gemäß des Standards IEEE 802.3at liefern Ethernet-Schnittstellen bis zu 33,6 Watt an elektrischer Energie. Darüber hinaus können PDs („Powered Devices“) über Midspan-Komponenten mit bis zu 95 Watt versorgt werden. So lassen sich über die LAN-Verkabelung Verbraucher mit höherem Strombedarf, wie zum Beispiel PTZ-Dome-Kameras mit Leistung versorgen (siehe Grafik). Der Stromversorger wird als PSE („Power Source Equipment“) bezeichnet. Dafür stehen PoE-Midspan zur Verfügung.

Der Strom wird über einen Injektor in das PoE-Netz eingespeist, der im Leitungsnetz zwischen einem normalen Switch und der abgehenden Netzwerkleitung zum Endgerät eingeschaltet wird. Durch die Einschaltung von Injektoren können Leistungsentnahmen bis zu 95 Watt bei Endgeräten realisiert werden. Diese Leistungen sind im Standard zugelassen, werden aber von den PoE-Switches nicht bereitgestellt.

PoE-Midspan bieten „line detection“, eine Eigenschaft, die hochwertige Endgeräte gegen Überlast und Kurzschluss aufgrund inkompatibler Verbindungen oder defekter Geräte schützt. Mittels „line detection“ wird die aktuelle Leistung erkannt und eventuell abgelehnt, um Schäden zu vermeiden.

    Zu den Besonderheiten von PoE-Lösungen zählen:

  • Einfachheit: Durch „Plug & Play“ können Midspan aufgrund geringer Einstellung direkt verwendet werden.
  • Freiheit: Niederspannung und sicher zu handhaben; keine Notwendigkeit, Netzleitungen an schwer zugänglichen Stellen zu installieren, dadurch signifikante Kosteneinsparungen möglich; Verwendung von Splittern, um PoE in DC-Spannung und Daten zu trennen, um nicht PoE-kompatible Geräte zu versorgen.
  • Auswahl: Eine breite Palette an Ausgangsleistungen von 15,4 bis 95 Watt pro Port sind auf dem Markt verfügbar. Beginnend von Single-Port-Injektoren bis hin zu 4, 8, 16 und 24-Port-Varianten stehen verschiedene Ausgangsleistungen pro Port zur Verfügung. Innovative Lösungen tragen zur Erweiterung des Netzwerkes über größere Distanzen im Innen- wie im Außenbereich bei. PoE wurde entwickelt, um alle Anforderungen bei Netzwerk-Anwendungen von Kleinbetrieben bis hin zu großen Unternehmen zu ermöglichen.
  • Investitionsschutz: Stellt eine solide Basis für Investitionen in die Netzwerk-Hardware dar und unterstützt zukünftige PoE-Anwendungsanforderungen; Ausfallsicherheit; nutzt eine unterbrechungsfreie Stromversorgung (USV) für Backups, um Stromausfälle zu vermeiden.

Anwendungen

Eine Vielzahl an IP-Endgeräten fordert eine immer höhere Leistungseinspeisung: Videoüberwachungskameras, Access-Points, RFID-Scanner sowie Zubehör für IP-Kameras, einschließlich Heizgeräte, Mikrofone und Beleuchtungen. Gerade IP-Kameras im Außenbereich gilt es, mit hoher Leistung zu versorgen. Die Möglichkeit, mittels PoE die Anwendungen innerhalb eines Netzwerkes zu versorgen, bietet über die Stromversorgung hinaus weitere Vorteile.

Bild: Get Power

PoE-Leistungsklassen nach IEEE 802.3at.
(Bild: Get Power)

Ebenso wichtig sind die Erschließungskosten. Insbesondere für Überwachungskameras, die an wichtigen Standorten angebracht werden müssen, können die Kosten durch Verkabelung und Installation zusätzlicher Steckdosen in die Höhe schnellen. Der Anwender muss oft einen Kompromiss zwischen Platzierung und Kosten eingehen. Durch PoE-Midspans können auch Verbraucher mit höherem Leistungsbedarf im Bereich von Sicherheitseinrichtungen über das Netzwerk mit Strom versorgt werden, ohne dass bereits vorhandene Standard-Switches ersetzt werden müssen.

Management für Sicherheitslösungen

Mithilfe von SNMP (mmm mmm mmm) ist es möglich, Informationen über den Stromverbrauch zu erhalten. Die Funktion kann auch in SNMP-fähigen Midspans realisiert werden und ist vorteilhaft bei Sicherheitsanwendungen. Sie ermöglicht die Überwachung, Fern-Diagnose und Fehlersuche. Mit der Möglichkeit, Resets durchzuführen, können aufwändige Anwendungen an Kameras, die aufgrund von Netzstrom-Problemen abdunkeln und deren Zurücksetzen Arbeiten vor Ort erfordern, entfallen. Zeitfenster mit Überwachungslücken werden minimiert.

SNMP-fähige Midspan erlauben ihren Anwendern den Zugriff auf Port-Kontrolle und Sicherheitseinstellungen. SNMP kann man über das LAN entweder per GUI-Software oder den Internet-Browser bedienen. Die GUI kann von Einzelpersonen über USB-/RS232-Anschluss oder für den lokalen Zugriff über SNMP verwendet werden. GUI (Graphical User Interface) ist kompatibel mit allen Versionen von SNMP einschließlich der neuesten Version 3. Die aktuelle SNMPv3 hält die Verschlüsselung über Authentifizierungs- und Privatsphäre-Einstellungen für die sichere Handhabung auf dem neuesten Stand.

PoE und USV-Anlagen

Heute werden die zentralen Komponenten eines Netzwerks über eine USV gegen Ausfälle abgesichert. Dies gilt umso mehr in sensiblen Anwendungen. Je nach Größe der USV ist ein Vorteil von PoE die Fähigkeit zur Überwachung und temporären Aufrechterhaltung aller relevanten Systeme bei Netzausfall.

In vielen Netzwerken gehört inzwischen zwar eine USV zur Stromabsicherung für Server und wichtige Switches zur Grundausstattung. Es ist aber ratsam, ein eigenes Notstromkonzept zu entwickeln. Sei es, um eine durchgängige Kommunikation zu gewährleisten oder um in einer Überbrückungsphase Vorgänge ordentlich beenden zu können.

Informationen zu Preisen und Verfügbarkeit erhalten Sie bei Ihrem Get-Power Vertriebspartner:
ViSiTec Video-Sicherheit-Technik GmbH

Videomanagement: Archivierung von IP-Videodaten

Fachartikel aus PROTECTOR 5/2011, S. 26 bis 27

Mehrstufige Archivierung von Videodaten

Datenmassen scheibchenweise

Der Bedarf an Bandbreite und Speicherplatz nimmt mit der Anzahl der Kameras in einem Netzwerk und den immer größeren Bildauflösungen unweigerlich zu. Deshalb kann ein intelligenter und flexibler Umgang mit diesen Daten entscheidend sein für die Effizienz des Gesamtsystems. Mehrstufige Archivierung, so genanntes Video-Grooming, und die optimale Nutzung von Ressourcen sind dabei wichtige Elemente.

Bild: Milestone
Effiziente Speicherverwaltung in einer Videomanagement-Software. (Bild: Milestone)

Trotz aller Gemeinsamkeiten von IP-Video mit anderen IT-Anwendungen auf der technischen Ebene eines Netzwerks sollte man nicht den Fehler begehen, Videodaten genau wie alle anderen Daten in einem Netzwerk zu behandeln und nur mengenmäßig zu beurteilen. Denn unter anderem gibt es zwei wesentliche Unterschiede: Videodaten müssen in Echtzeit übertragen werden und es müssen sich multiple Datenströme parallel handhaben lassen.

In einem herkömmliche Standard-IT-System werden Festplatten in der Regel nach dem Prinzip des „Best Effort Writing“ genutzt. Dabei spielt es keine Rolle, ob die Platten schnell genug sind, die Daten in Echtzeit abzuspeichern, weil sie zusätzlich auch vom Sender vorgehalten und gepuffert werden. Fatal kann diese Standardprozedur in einem Überwachungssystem enden. Hier müssen Videodaten als kontinuierliche Echtzeit-Datenströme empfangen werden, und gibt es keine Möglichkeit, sie vorübergehend zu puffern, falls eine Systemkomponente oder Festplatte zu langsam sein sollte. In diesem Fall wären Teile der Aufnahmen verloren. Ein anderer Ansatz bei der Speicherverwaltung ist also nötig.

Intelligente Software

Durch Videomanagement-Software, die riesige Datenmengen intelligent und sicher verwalten kann, eröffnet sich Sicherheitsplanern, Systemintegratoren und Administratoren die Möglichkeit, Speicherlösungen flexibel an die Bedürfnisse jedes Kunden – hinsichtlich Leistung, Verlässlichkeit und Preis – anzupassen. Ein Beispiel dafür ist Milestone Xprotect Corporate mit seiner vorteilhaften zweistufigen Speicherverwaltung, bei der Audio und Video zunächst auf ein schnelles System aufgezeichnet werden können und nach einer voreingestellten Zeit zur Archivierung auf ein anderes, kosteneffizienteres System übertragen werden.

In der neuesten Version der Software werden auch erweiterte mehrstufige Archivierungskonzepte und Video-Grooming unterstützt. Die Speicherarchitektur von Milestone basiert auf einer Datenbank, die speziell für die Anforderungen an Videoüberwachungslösungen konzipiert und optimiert wurde. Sie erlaubt effiziente Speicherung von mehreren Echtzeit-Videoströmen mit nachgelagerten Archivierungsfunktionen. Dies erlaubt die nahtlose Übertragung der Überwachungsdaten auf verschiedene Archiv-Laufwerke im Netzwerk und schafft so die Voraussetzung für eine bestmögliche Ausnutzung des Speichers und Kosteneffizienz, vor allem in sehr großen Videosystemen mit tausenden Kameras und Speichergrößen im Petabyte-Bereich.

Zeitgesteuerte Ausdünnung

Die mehrstufige Archivlösung kann zusätzlich durch eine so genannte Grooming-Funktion ergänzt werden, welche die Speicherkosten vor allem dann erheblich reduziert, wenn Videodaten für einen langen Zeitraum vorgehalten werden müssen. Dabei verteilt man die Daten nicht nur auf verschiedene Laufwerke, sondern „dünnt” sie nach einer gewissen Zeit automatisch aus. Dabei wird in bestimmten Abständen schrittweise die Bildrate reduziert.

Ein logisches Vorgehen, denn normalerweise werden wichtige Vorgänge zeitnah aufgeklärt; bei älteren Videos ist die Wahrscheinlichkeit geringer, dass sich darauf noch wichtige Informationen befinden. Dennoch hat man so noch die Möglichkeit, dies zu prüfen. Ziel ist es, das Grooming mit dem Archivierungsprozess automatisch zu synchronisieren, so dass bei jedem Umspeichervorgang auf andere Laufwerke auch eine Reduktion der Daten stattfinden kann.

Kontinuierliche Höchstleistung

Festplattensysteme mit konventionellen, rotierenden Disks arbeiten umso langsamer, desto fragmentierter (verstreuter) die Daten darauf sind. Deshalb ist eine der Kernaufgaben der Speicherverwaltung, die Leistung der Laufwerke durch kleinstmögliche Fragmentierung zu optimieren. Die Datenbanken in Milestone Xprotect Corporate bestehen aus mehreren separaten Datenblöcken für jedes Stück Hardware – in diesem Fall Kameras –, die auch die jeweiligen zugehörigen Aufnahmen enthalten. In früheren Versionen wären diese Blöcke mit der Zeit stärker fragmentiert worden, weil das Windows-Betriebssystem ihnen freien Speicherplatz dynamisch zuweist, wenn Video- und Audiodaten abgespeichert werden müssen.

Durch Verbesserungen in den Datenbanken ist es nun gelungen, dass die Dateien auf der Festplatte in so wenigen neuen Fragmenten wie möglich abgelegt werden – idealerweise sogar nur in einem einzelnen. Dies wird ohne eine Zwischenpufferung des Videos und ohne ressourcenintensive Neuformatierung der Festplatte erreicht. Überwachen lassen sich all diese Vorgänge mit dem Storage Dashboard im Milestone Xprotect Corporate 4.0 Management Client. Dieser verschafft schnell und umfassend Überblick über die Speicherplatzbelegung und alle laufenden Datenbank-Anwendungen im Überwachungssystem – sowohl aus der Perspektive des Recording-Servers als auch für einzelne Geräte im Netz.

Anwenderspezifisch

Durch den Einsatz von Videomanagement-Software erhalten Anwender mehr Kontrolle über die Speicherprozesse und die Datenmengen. Es ergeben sich völlig neue Möglichkeiten, ein System wirklich individuell an die jeweiligen Bedürfnisse anzupassen. Das Ergebnis ist das beste aus zwei Welten: Höchstleistung und Langlebigkeit bei den Laufwerken für das Live-Video und niedrige Kosten und hohe Kapazität für die Archivierung. Die Möglichkeit, sehr große Mengen an IP-Videodaten effizient zu speichern, ist essenziell für die Leistung und die Verlässlichkeit des Gesamtsystems. Nun kann dies ohne explodierende Kosten und Mehraufwand erreicht werden – vorausgesetzt, man nutzt die richtigen Werkzeuge.

Informationen zu Preisen und Verfügbarkeit erhalten Sie bei Ihrem Milestone Vertriebspartner:
ViSiTec Video-Sicherheit-Technik GmbH

Video-Kompressionsverfahren JPEG MPEG H.264

Fachartikel aus PROTECTOR 11/08, S. 22 bis 23

Überblick Kompressionsverfahren

Moderne Video-Algorithmen

Alle IP-Videoprodukte nutzen eine digitale Kompression für ihre Videos. Denn: Unkomprimiertes Video in angemessener Qualität braucht eine Datenrate von bis zu 108 Megabit/Sekunde. Ohne Videokomprimierung lässt sich also keine vernünftige IP-Videoüberwachung realisieren. Allerdings unterscheiden sich die Verfahren erheblich.

Bild: Pixelio/Micha
Komprimierte Bilddaten schonen Bandbreiten- und Speicherkapazität. (Bild: Pixelio/Micha)

In den frühen 1990er Jahren, als der ursprüngliche JPEG-Standard eingeführt wurde, Visitec verschickte man eine Reihe von JPEG-Bildern sequentiell (25 oder 30 Bilder) und bekam bewegte Bilder auf der Empfangsseite. Ein zunächst recht simples Verfahren. Im Laufe der Jahre brachten neue Algorithmen, wie MPEG-2 (1995), MPEG-4 (1999) und H.264 (2003), Verbesserungen bei der Kompression. M-JPEG ist dennoch der am häufigsten verwendete Codec, dessen wichtigste Vorteile der geringe Prozessor-Overhead, einfache Bearbeitung, einfache Umsetzung durch Entwickler mittels vorhandener JPEG-Algorithmen oder -Bibliotheken sowie die hohe Kompatibilität sind. Nachteil ist die hohe Bitrate im Vergleich mit den neueren Algorithmen. MPEG-2 ist in der Broadcast- und Multimedia-Welt weit verbreitet: Satellitenübertragung, DVDs oder Digitales Fernsehen (DVB-T) basieren beispielsweise auf MPEG-2. Dem Format liegt daher ein sehr ausgereifter und stabiler Algorithmus zu Grunde, der gut geeignet ist für Bitraten von vier bis zehn Megabit/Sekunde. Bei niedrigeren Bitraten können MPEG-Artefakte (Blocking) allerdings sehr störend wirken.

Neue Verfahren

MPEG-4 wurde zunächst nur für die Videoübertragung mit niedrigen Bitraten eingesetzt. Der Algorithmus ist allerdings für Bitraten von wenigen Kilobit pro Sekunde zu sechs Megabit pro Sekunde sehr effizient. Es entsteht bei gleicher Bildqualität nur etwa die Hälfte der Daten im Vergleich zu MPEG-2. Bei niedrigen Bitraten zeigt MPEG-4 eine weitaus weniger störende Qualitätsminderung der Bilder. Die Artefakte werden als eher „akzeptabel“ empfunden. H.264, auch bekannt als AVC (Advanced Video Codec) oder MPEG-4 Part 10, enthält eine Reihe von neuen Funktionen, mit denen Video noch effektiver komprimiert werden kann als mit bisherigen Standards. H.264 sollte deutlich universeller als alle zuvor angewandten Verfahren unter einer Vielzahl von Umständen in einer Vielzahl von Anwendungen eingesetzt werden können. Es wurde für Broadcast-Anwendungen entwickelt, bei denen Rechenleistung kein Problem darstellt. Die begrenzte Rechenleistung eines modernen DSP bedingt aber, dass hier die meisten der Funktionen im H.264-Standard nicht verwendet werden können. Aus diesem Grund basieren qualitativ hochwertige H.264-Encoder auf Asics oder DSPs in Kombination mit Hardware-Beschleunigung. In den H.264-Standard wurde auch eine Menge Arbeit in Bezug auf Vermeidung von Artefakten und Bildverschlechterungen gesteckt. Besondere Maßnahmen dienen zur Verschleierung der MPEG-Artefakte für das menschliche Auge.

Bildqualität und Rechenleistung

Bei M-JPEG hängt die Bildqualität direkt von der Datenrate ab. Um hier eine befriedigende Bildqualität bei voller Bildrate zu erhalten, muss die Bitrate mehr als zehn Megabit pro Sekunde betragen. Mit H.264 kann eine gute Qualität mit voller Bildrate und -auflösung schon mit zwei Megabit erreicht werden; bei MPEG-4 mit vier und und bei MPEG-2 mit sechs Megabit. Für eine befriedigende Qualität reichen sogar nur 500 Kilobit bei H.264, ein Megabit bei MPEG-4 und etwa drei Megabit bei MPEG-2. In der Praxis hat jeder Codec eigene Vor-und Nachteile. Charakteristisch für M-JPEG sind hohe Kompatibilität, geringe Rechenleistung und hohe Bitrate. MPEG-2 bietet Broadcast-Qualität-, mittleren Rechenaufwand und mittlere Bitrate. MPEG-4 weist eine geringe Bitrate, mittleren Rechenaufwand und eine geringe Kompatibilität auf. H.264 überzeugt mit niedrigster Bitrate und künftiger HD-Unterstützung, benötigt aber eine sehr hohe Rechenleistung. Dies gilt auch für die Decodierung; man benötigt mehr CPU-Power. Zum Glück steigt mit den modernen Dual-Core- und Quad-Core-Prozessoren auch die Rechenleistung.

Qualitativ hochwertig

Wie bereits erwähnt, benötigt M-JPEG nur wenig CPU-Leistung – sowohl beim Codieren als auch beim Decodieren der Bilder – und sorgt für relativ hohe Interoperabilität. Standbilder (JPEG-Dateien) oder Sequenzen von Bildern (M-JPEG) können zu FTP-Servern, E-Mail-Adressen oder per MMS übertragen werden. Auch über HTTP können sie abgerufen werden. Fast jeder PC ist in der Lage, (M)-JPEG-codierte Bilder anzuzeigen. M-JPEG eignet sich daher nicht sehr gut für Live-Betrachtung oder kontinuierliche Aufzeichnung, es ist aber ideal für ereignisgesteuertes Abrufen von Standbildern oder die Übertragung von kurzen Alarm-Videos. Bei Anwendungen, wo Latenz, Bildqualität und Auflösung wichtig sind und wo die Bandbreite kein Problem darstellt, ist MPEG-2 vorzuziehen – insbesondere bei Live-Betrachtung und in kritischen Anwendungen. Beim Betrieb nur mit I-Frames bei acht Megabit/Sekunde hat MPEG-2 immer noch die beste Bildqualität. Die Anwendung von MPEG-2 ist durch Patente geschützt (MPEGLA.org); für jeden Encoder und Decoder ist eine Lizenzgebühr zu zahlen.

Wahlfreiheit

Wo die Bandbreite begrenzt ist (Internet, WAN oder Aufzeichnung) wird MPEG-4 viel klarere und weichere Bilder bei niedrigen Bitraten liefern als MPEG-2; die Grenze liegt hier bei vier Megabit pro Sekunde für D1 und um 64 Kilobit pro Sekunde für CIF-Auflösung. MPEG-4 ist ideal für die Speicherung und das Live-Streaming von Video über geringe Bandbreiten. Alles in allem ist H.264 nach wie vor das Format der Zukunft sowohl für hohe Qualität (720 oder 1.080 Pixel für HDTV- und Megapixelkameras) und für Anwendungen mit geringer Bandbreite. Aber genau wie beim MPEG-4-Standard gibt es viele Varianten, was in Sachen Interoperabilität zu Problemen führen kann. Da jedes Kompressionsverfahren für bestimmte Anwendungen optimiert ist, gibt es keinen absoluten „Gewinner“ oder den besten Algorithmus für alle CCTV- oder Video-Anwendungen. In einigen Fällen bestimmt die bereits installierte Technik die Verwendung eines speziellen Algorithmus und beschränkt die Auswahl an Produkten. Daher sollte ein Video-Server oder eine IP-Kamera in der Lage sein, in den meisten gängigen Formaten zu codieren.

Auflösung von Netzwerkkameras

Fachartikel aus PROTECTOR Special Videoüberwachung 2011, S. 38 bis 39

Wie viele Pixel braucht man wirklich?

Vor der Anschaffung eines neuen IP-Kameramodells stellt sich für viele Anwender zuerst die Frage nach der Auflösung, das heißt, wie viele Pixel sich im Bildsensor der Kamera befinden. Die Bildqualität hängt jedoch nicht nur von der Anzahl der Pixel ab. Was sind die Entscheidungskriterien für ein bestimmtes Kameramodell, wie können Anwender feststellen, wie viele Pixel sie wirklich für ihre Anwendung benötigen?

Um diese Frage zu beantworten, muss man sich über die Anforderungen klar werden: Möchte man einfach nur einen allgemeinen Überblick über einen Ort bekommen, will man Gesichter, die Nummernschilder von Autos oder sogar die Vorderseite von Spielkarten erkennen können? Die Antwort auf diese Fragen lässt darauf schließen, ob man eine Kamera mit VGA-Auflösung, mit Megapixel- oder sogar mit Multi-Megapixelauflösung benötigt.

Bild: Basler

Bildrauschen bei unterschiedlichen Auflösungen. (Bild: Basler)

Der IP-Markt bewegt sich in Richtung immer kleinerer Pixelgrößen, da eine ständig wachsende Anzahl von Pixeln auf einer Sensorfläche konstanter Größe aufgebracht wird. Auf der einen Seite hat dieser Trend Kostenvorteile, auf der anderen Seite haben die kleineren Pixel eine Reihe von Konsequenzen.

Gute Objektive für kleine Pixel

Wie groß muss also ein Pixel sein, damit die Auflösung des Objektivs bestmöglich genutzt werden kann, um das Objekt auf der Sensorfläche abzubilden? Am Beispiel eines sehr kleinen Punktes auf dem Objekt lässt sich das gut verdeutlichen. Ein sehr gutes Kameraobjektiv bildet diesen Punkt auf dem Objekt in einen Punkt von fünf Mikrometern Durchmesser auf der Bildebene ab. Preisgünstige Objektive dagegen stellen diesen Punkt mit einem „unschärferen“ Durchmesser von bis zu 15 oder 20 Mikrometern dar. Die Größe der Kamerapixel sollte jedoch nicht kleiner sein als die minimale Punktgröße, die das Objektiv in der Bildebene erzeugen kann. Viele kostengünstige Objektive können also nicht das ganze Potenzial einer Kamera mit kleinen Pixeln ausnutzen.

Kleine Pixel – exakte Justage

Bei kleinen Pixeln gibt es besondere Anforderungen an die Optik, aber auch enge mechanische Toleranzen, die eingehalten werden müssen. Je kleiner die Pixel, desto schwieriger die Vorgaben bei der Herstellung der Kamera bezüglich der Ausrichtung der Sensorfläche relativ zum Objektivanschluss. Dies ist wichtig, damit bei optimaler Fokussierung ein gleichmäßig scharfes Bild über die gesamte Sensorfläche erreicht werden kann. Auch für den Anwender wird bei einer Kamera mit kleinen Pixeln die genaue Scharfstellung des Objektivs schwieriger als bei großen Pixeln.

Kleine Pixelfläche – verringerte Lichtempfindlichkeit

Bei schlechter Beleuchtung und wenig Licht bekommt man nur wenig Bildinformation. Wenn die gleiche Szenerie auf einem Sensor mit vorgegebener Größe abbildet wird, ist die Anzahl an Photonen, die auf jedes Pixel treffen, proportional zur Pixelgröße. Das bedeutet, dass für das gleiche Signal-zu-Rausch-Verhältnis ein Fünf-Megapixel-Sensor vier Mal mehr Photonen benötigt als ein 1,3-Megapixelsensor. Im Allgemeinen benötigt man eine gute Beleuchtung, wenn man kleine Pixel einsetzen möchte.

Viele Pixel – viele Daten und geringere Bildfrequenz

Bei IP-Applikationen sind komprimierte Datenformate Standard. Aber auch mit komprimierten Daten erzeugen Sensoren mit höherer Auflösung auch größere Datenmengen. Der Anwender muss letztendlich entscheiden, ob eine größere Auflösung wirklich wichtig ist, wenn es um die Auslegung von Netzwerk und Bilddaten-Speicher geht. Eine höhere Auflösung setzt in der Regel auch die maximale Bildrate herab.

Bild: Basler

Einfluss der Objektivqualität auf die Bildqualität. (Bild: Basler)

Die Anforderungen entscheiden

Bevor sie eine Kamera für ihre Anwendung auswählen, sollten sich Anwender fragen, wie viele Pixel und welche Bildrate sie wirklich benötigen. Keinesfalls ratsam ist der Versuch, beim Objektiv das Geld wieder einzusparen, das man vielleicht für eine hochauflösende Kamera ausgegeben hat. Unter schwierigen Lichtverhältnissen muss der Kamerasensor eine hohe Empfindlichkeit aufweisen. Sensoren mit großen Pixeln sind in vielen Fällen die richtige Wahl bei schlechten Lichtverhältnissen. Darüber hinaus kann ein lichtstarkes Objektiv dabei helfen, so viel Licht wie möglich zu sammeln.

Zunächst sollte man seine Anforderungen sehr genau zusammenstellen und sich anschließend von einem fachlich qualifizierten Anbieter beraten lassen, um herauszufinden, wie viele Pixel man für eine Anwendung wirklich benötigt.

Valeria Mix, Technical Writer bei der Basler AG

Weitere Informationen erhalten Sie bei Ihrem Basler Vertriebspartner:
ViSiTec Video-Sicherheit-Technik GmbH

Netzwerk-Switche unter der IP-Video-Lupe

Fachartikel aus PROTECTOR Special Videoüberwachung 2009, S. 50 bis 53

Blitzschnell geschaltet

Im Vergleich zur analogen Welt entspricht die Funktion eines Netzwerk-Switches innerhalb einer IP-Videolösung in der groben Betrachtung der der klassischen Kreuzschiene. Wie bei einer Kreuzschiene gilt, dass ein Switch nicht gleich Switch ist. Stellt sich die Frage, welche Anforderungen und Entscheidungskriterien sind beim Kauf eines IP-Video tauglichen Netzwerk-Switches wirklich wichtig.

Bild: Photocase/Nospmpls
Man kann heute davon ausgehen, dass Switche namhafter Hersteller in der Performance keinen Flaschenhals darstellen. (Bild: Photocase/Nospmpls)

IP-Videolösungen stützen sich auf Standard-Ethernet/IP-Netzwerkinfrastrukturen, die für die Übertragung von Videoströmen genutzt werden. Tragende Elemente einer leistungsfähigen Netzwerkinfrastruktur sind die Netzwerk-Switche, welche im Netzwerk als aktive Verteiler fungieren und die Datenpakete (englisch: Frames) beziehungsweise Videoströme zielgerichtet weiterleiten. Die Weiterleitung der Frames soll möglichst mit hoher Bandbreite und verzögerungsfrei erfolgen.

Switche können sich jedoch auch als Flaschenhals in der Performance herausstellen und für ruckelnde Bilder verantwortlich sein. Des Weiteren können fehlende Features bei der Umsetzung einer IP-Videolösung im Nachhinein funktionelle Einschränkungen herbeiführen. Bei der Umsetzung eines Netzwerkes ist es deshalb äußerst wichtig, dass man die richtige Kaufentscheidung trifft und das Vorhandensein aller notwendigen Features berücksichtigt.

Performance

Ein Netzwerk für eine größere IP-Videolösung besteht üblicherweise aus mehreren Switchen. Die Netzwerkkameras oder Video-Encoder werden in der Regel via TP-Kabel (Twisted Pair, verdrillte Kupferkabel) an so genannte Etagenverteiler angeschlossen.

Da die Segmentlänge eines TP-Kabels auf 100 Meter begrenzt ist, werden diese Switche in etwa 80 bis 100 Meter Reichweite zu den Videoquellen installiert. Diese Switche werden wiederum untereinander sternförmig vernetzt, indem sie über einen so genannten Uplink an einen Backbone-Switch (Backbone: übergeordnete Netzhierarchie, normalerweise ein breitbandiger Hauptstrang) angeschlossen werden.

Die Performance eines Switches zeichnet sich in erster Linie durch die Bandbreite der Netzwerkanschlüsse, der Bandbreite der Backplane-Kapazität und durch die Latenz aus, die bei der Weiterleitung der Frames zum Tragen kommt.

Bandbreite der Netzwerkanschlüsse

Für die Anbindung von Netzwerkkameras oder Video-Encoder wird heute in der Regel ein Netzwerkanschluss genutzt, der mit einer Datenrate von 100 Megabit/Sekunde (Mbit/s) im Vollduplexmodus arbeitet (Vollduplexmodus bedeutet, dass Daten zeitgleich in beide Richtungen geschickt werden können, was mit Performancevorteilen verbunden ist).

Für den Uplink nutzt man hingegen Gigabit-Ethernet-Anschlüsse mit 1.000 MBit/s im Vollduplexmodus, die je nach benötigter Segmentlänge als TP-Interface (maximal 100 Meter) oder LWL-Interface (Lichtwellenleiter, zwei Meter bis zehn Kilometer) ausgelegt sind. Durch die Verwendung von Gigabit-Ethernet wird man der Anforderung gerecht, dass man mehrere Videoströme über diese Verbindungen überträgt.

Geht man für eine „Worst-Case“-Betrachtung von einem Motion-JPEG-Stream in 4CIF-Auflösung mit 30 Bildern/Sekunde aus, so kann man für diesen eine maximale durchschnittliche Bandbreite von acht MBit/s ansetzen (bei MPEG-4 Part 2 wären es in etwa vier MBit/s, und bei H.264 1,6 MBit/s).

Möchte man gleichzeitig mit diesen Bildparametern eine Live-Bildbetrachtung und Aufzeichnung durchführen, so würden zwei dieser Videoströme von der Videoquelle geliefert. Demnach kämen 16 MBit/s zum Tragen, das heißt, die 100-MBit/s-Verbindung zur Videoquelle wäre gerade mal zu 16 Prozent ausgelastet. Betrachtet man den Uplink mit 1.000 MBit/s, so wäre dieser mit 1,6 Prozent ausgelastet.

Geht man von einem Netzwerk-Switch aus, der 24 10/100-MBit/s-Anschlüsse für Endgeräte zur Verfügung stellt, so käme man auf eine Uplink-Auslastung von 38,4 Prozent. Somit gilt für beide Anschlusstypen, dass diese von der Bandbreite her sicherlich keinen Engpass darstellen. Diese Aussage kann zudem in der Praxis gefestigt werden, da man in der Regel nicht mit 30 Bildern/Sekunde aufzeichnet und man auch MPEG-4 oder H.264 verwendet, was nochmals zu einer deutlichen Reduzierung der benötigten Bandbreite führt.

Möchte man auf dem Uplink mehr Bandbreite bereitstellen, so käme auch der Einsatz von Switchen in Betracht, die über einen 10-GBit/s-Uplink verfügen, was allerdings aus heutigem Gesichtspunkt nicht notwendig ist.

Backplane-Kapazität

In der Gesamtbetrachtung ist natürlich interessant, wie viele Frames pro Sekunde der Switch simultan weiterleiten können muss. In diesem Zusammenhang ist die so genannte Non-Blocking-Fähigkeit ein wesentliches Beurteilungskriterium für einen Switch.

Bild: Axis
Bei einem Netzwerk-Switch werden Daten sehr effizient übertragen, da die Frames zielgerichtet von einem Anschluss zu einem anderen Anschluss geleitet werden. (Bild: Axis)

Non-Blocking bedeutet, dass ein Switch-Backplane genug interne Bandbreitenkapazität hat, um in der Summe die anstehenden Daten aller Anschlüsse mit höchstmöglicher Geschwindigkeit weiterleiten zu können. Wie viele Verbindungen der Switch dazu simultan bereitstellen können muss, hängt letztendlich von der Anzahl der Anschlüsse ab.

Hierbei gilt, dass der Switch in der Lage sein muss, maximal halb so viele Verbindungen wie er Anschlüsse hat, zeitgleich bereitstellen zu können. Geht man von einem Switch aus, der 24 x 10/100 MBit/s Anschlüsse und 1 x GBit/s Uplink hat, so ergibt sich eine notwendige interne Backplanekapazität von 3,4 GBit/s ((100 MBit/s x 24 x 2 + 1.000 MBit/s x 1 x 2)/2).

Frames pro Sekunde

Des Weiteren sind für die Performancebetrachtung die Anzahl der Frames pro Sekunde entscheidend, für die der Switch die Wegwahl treffen können muss. Die höchsten Anforderungen werden an einen Switch gestellt, falls mit der maximalen Frame-Anzahl gearbeitet wird, die über die Netzwerkleitung übertragen werden kann, was bei kleinster Frame-Größe der Fall wäre.

Betrachtet man die Datenrate von 100 MBit/s, so ergeben sich 148.800 Frames pro Sekunde, die pro Leitung an den Switch heran geführt werden können (bei zehn MBit/s nur 14.880, bei einem GBit/s 1.488.000 und bei zehn GBit/s 14.880.000 Frames/s). Geht man jetzt wieder von dem Beispiel-Switch aus, so müsste dieser in der Lage sein, 5.059.200 Frames/s ((148.800 x 24 x 2 + 1.488.000 x 1 x 2)/2) weiterzuleiten.

Für den Fall, dass der betrachtete Switch eine Backplane-Kapazität von größer gleich 3,4 GBit/s hat und mindestens 5.059.200 Frames/s weiterleiten kann, wird dieser als Non-Blocking bezeichnet und qualifiziert sich somit von der Performance her als IP-Video-tauglich.

Mythos Switch-Latenz

Bei der Weiterleitung der Frames entstehen gewisse Latenzen (Verzögerungen). In den Anfängen der Switch-Ära wurden zu diesem Thema verschiedene Switching- Technologien verglichen, die in der Latenz Vorteile versprachen. Jedoch wurde der Vergleich erschwert, da man bei den unterschiedlichen Switching-Verfahren verschiedene Formen der Darstellung und Messung verwendet hat, sodass ein direkter Vergleich gar nicht möglich war.

Heute kann man davon ausgehen, dass ein Switch nach dem so genannten Cut-Through-Verfahren arbeitet. Hinzu kommt, dass die meisten auf dem Markt erhältlichen Switche auf der selben Chipsatzfamilie basieren, die von einem namhaften Hersteller aus der Halbleiterbranche hergestellt wird. Dadurch ergibt sich die Situation, dass man, bezogen auf die Latenz, von typischen Werten ausgehen kann, welche wie folgt aussehen:

  • 100 MBit/s: < 35 Mikrosekunden (µs) (FIFO 64-Byte-Frame),
  • 1.000 MBit/s: < 3,7 µs (FIFO 64-Byte-Frame),
  • 10 GBit/s: < 2,1 µs (FIFO 64-Byte-Frame).

Neben der Performance ist die Unterstützung zahlreicher Protokolle und Features sinnvoll, damit sich der Switch für die professionelle Nutzung innerhalb eines IP-Video-Netzwerks bevorzugt eignet.

Die Frage der Layer

Die Kommunikation innerhalb eines Netzwerks wird allgemein über das OSI-Referenzmodell beschrieben, das in sieben Teilschichten (Layer) unterteilt ist. Jeder Layer beschreibt bestimmte Funktionen, welche einen Beitrag bei der Kommunikation beziehungsweise dem Datenaustausch liefern.

Die Funktion eines Switches entspricht per Definition denen des 2. Layers, das heißt Switche, welche keine zusätzlichen Funktionen einer höheren Ebene unterstützen, werden im Fachjargon als Layer-2-Switche bezeichnet. Es gibt jedoch auch Switche, die beispielsweise zusätzlich ein Routing unterstützen, also auch auf dem 3. Layer arbeiten und Daten zwischen verschiedenen IP-Netzen weiterleiten können. In diesem Fall spricht man von einem Layer-3-Switch.

Betreibt man ein Netzwerk, dass in verschiedene IP-Netze unterteilt ist, so ist es notwendig, Layer-3-Switche einzusetzen, falls die Switche die Datenweiterleitung zwischen den verschiedenen IP-Netzen übernehmen sollen. Andernfalls wären Router erforderlich, die diese Aufgabe wahrnehmen.

Entscheidender Vorteil beim Routing durch ein Layer-3-Switch ist, dass dieser in der Regel die Daten schneller weiterleiten kann als ein Router. Hierzu verwenden die Layer-3-Switche einen kleinen Trick, indem bei einem wiederholten Routing über die selbe Strecke nicht mehr geroutet wird, sondern auf das schnellere Switching übergegangen wird. Dies ist besonders bei IP-Video-Infrastrukturen vorteilhaft.

Des Weiteren gibt es auch so genannte Layer-4-Switche, die auf dem vierten Layer eine Priorisierung anhand der genutzten TCP/UDP-Port-Nummern realisieren können. Port-Nummern werden im Netzwerkbereich verwendet, um bestimmte Dienste zu adressieren.

Im IP-Video-Bereich kommt diese Priorisierung in der Regel weniger zum Tragen, da sie allgemein größere Verzögerungen hervorruft, welche die zusätzliche Auswertung auf dem vierten Layer verursacht. Im Bereich IP-Video werden demnach bevorzugt Layer-2- oder Layer-3-Switche eingesetzt.

Switch als Router

Möchte man die Routing-Funktion eines Switches nutzen, so ist entscheidend, welches Routing-Protokoll der Switch unterstützt. Gängige Protokolle im Netzwerkbereich sind RIP (Routing Information Protocol) und OSPF (Open Shortest Path First). Beim RIP handelt es sich um ein relativ einfaches Routing-Protokoll, wohingegen OSPF einige optimierte Funktionen bietet, mit denen beispielsweise kürzeste Verbindungswege zwischen verschiedenen Routern in kürzester Zeit ermittelt werden können.

Geht man in die Detailbetrachtung der Layer-3-Switche rein, so fällt auf, dass Low-Cost Layer-3-Switche oft nur RIP unterstützen. Diese Switche werden deshalb oft auch nur als Layer-2+ oder Layer-3- Switche bezeichnet. Hier ist also bei der Produktauswahl Vorsicht geboten.

IPv4 versus IPv6

Das Internet Protocol gibt es in zwei Versionen, in Version 4 (IPv4) und Version 6 (IPv6). Wesentlicher Unterschied zwischen IPv4 und IPv6 ist die Anzahl der möglichen IP-Adressen. IPv4 bietet eine Adresslänge von 32 Bit und IPv6 von 128 Bit. Somit lassen sich unter IPv6 viel mehr Adressen vergeben, als bei IPv4.

Derzeit wird IPv4 noch primär innerhalb eines Netzwerks eingesetzt, jedoch ist langfristig die Ablösung durch IPv6 geplant. Für die Anschaffung von Netzwerkkomponenten bedeutet dies, dass man generell beim Neukauf prüfen sollte, ob die Geräte bereits auch IPv6 unterstützen. Ein Layer-3-Switch sollte auf jeden Fall IPv6 unterstützen, damit die Routing-Funktion unter der neuen IP-Version auch genutzt werden kann.

Power-over-Ethernet-Unterstützung

Ein nicht zu unterschätzender Vorteil von IP-basierten Videolösungen ist die Möglichkeit, die Stromversorgung von IP-Kameras via Power over Ethernet (PoE) zu realisieren. Dies erspart am Installationsort der Kameras die Bereitstellung einer Spannungsversorgung und bietet die einfache Implementierung einer zentralen Absicherung gegenüber Spannungsausfällen, welche auf natürliche Art und Weise auftreten können oder im Rahmen eines Sabotageversuchs.

Moderne Switche bieten die Möglichkeit, als Stromquelle zu fungieren, das heißt an ihren Netzwerkanschlüssen die PoE-Spannungsversorgung bei Bedarf bereitzustellen.

Möchte man diese Möglichkeit nutzen, so gilt es zu prüfen, wie viel Leistung ein Switch an seinen Anschlüssen in Summe bereitstellen kann. Nach dem heutigen IEEE-802.3af-Standard können über einen Anschluss maximal 15,4 Watt eingespeist werden, wobei dann über die maximal zulässige Leitungslänge von 100 Meter 12,95 Watt für das Endgerät als garantierte Maximalleistung zur Verfügung stehen.

Oft ist es so, dass ein Switch nicht auf allen Anschlüssen die maximale Leistung zur Verfügung stellen kann. Es gibt auch modulare Switche, die über eine Option für ein zweites Netzteil verfügen, durch dessen Bestückung dann die volle Leistung an allen Anschlüssen bereitgestellt werden kann. Auf jeden Fall sollte man das Leistungsbudget des Switches mit der Leistungsaufnahme der Endgeräte abgleichen und sicherstellen, dass ein Switch in Summe die notwendige Leistung zur Verfügung stellen kann.

VLAN

Bei kleineren bis mittleren IP-Videolösungen ist man bestrebt, das vorhandene Netzwerk für die Videoübertragung mit zu verwenden. In diesem Fall bietet es sich an, das vorhandene physische Netzwerk durch die VLAN-Technologie (Virtuelles LAN) in logische Netzwerke zu unterteilen. Nur Teilnehmer, welche zum selben virtuellen LAN gehören, können in diesem untereinander Daten austauschen und auf Ressourcen innerhalb desselben VLANs zugreifen.

Bild: Axis
VLANs können über mehrere Switches hinweg gebildet werden, wodurch sich größere Netzwerke segmentieren lassen. (Bild: Axis)

Hiermit lässt sich also eine sichere Trennung zwischen einem Office-Netzwerk und dem Video-Netzwerk erzielen, obwohl im selben Netzwerk gearbeitet wird. Auf diese Weise wird man zusätzlich den Anforderungen gerecht, dass unberechtigte Personen keinen Zugriff auf die übertragenen und gespeicherten Videos erhalten können.

Quality of Service

Betreibt man mehrere Dienste in einem Netzwerk, so kann es sinnvoll sein, dass man die unterschiedlichen Daten im Netzwerk mit verschiedenen Prioritäten überträgt. So ist es beispielsweise bei der IP-Telefonie (VoIP, Voice over IP) äußerst wichtig, dass die Datenströme möglichst verzögerungsfrei und ohne große Varianz in der Verzögerung übertragen werden, damit die Sprachqualität sichergestellt ist. An dieser Stelle greift QoS (Quality of Service), mit dem eine Priorisierung der unterschiedlichen Daten erzielt werden kann. QoS kann auf Layer 2 (Ethernet-Ebene) oder Layer 3 (IP-Ebene) implementiert sein, wobei letzteres am gebräuchlichsten ist.

IEEE-802.1q und 802.1p

VLAN und QoS auf Ethernet-Ebene basieren auf dem IEEE-802.1Q- und IEEE-802.1p-Standard. 802.1q definiert ein erweitertes Format eines Ethernet-Frames, in dessen verlängerter Header zusätzliche Felder für die Kennzeichnung der verschiedenen VLANs und der Priorisierung beinhaltet sind.

Über das so genannte VLAN-ID-Feld können die übertragenen Daten gekennzeichnet werden, damit diese Switche-übergreifend innerhalb der jeweiligen VLANs weitergeleitet werden können. Des Weiteren beschreibt IEEE-802.1p verschiedene Priorisierungen, mit denen die Daten gekennzeichnet werden können und mit deren Hilfe die Weiterleitung gesteuert werden kann.

QoS auf Layer 3

Für Qos auf der IP-Ebene wird das so genannte DSCP (Differentiated Service Codepoint) verwendet. Hierbei handelt es sich um ein Flag, über das gekennzeichnet werden kann, zu welcher Art die Daten im jeweiligen IP-Paket gehören. Anhand dieses Flags werden die Datenpakete in Traffic-Klassen eingeteilt und je nach Klasse bei der Weiterleitung priorisiert behandelt.

Bei der Priorisierung können insgesamt acht verschiedene Klassen genutzt werden, um die Daten einzuteilen. Voraussetzung für die Nutzung von QoS ist, dass die Switche die Anforderungen nach RFC 2474 unterstützen (RFC: eine Sammlung von Dokumenten über Internet-Standards, -Protokolle und -Verfahren).

802.1X-Authentifizierung

Im Bereich IP-Video kommt es immer wieder vor, dass Netzwerkkabel zwecks Kamerabindung in einen öffentlichen Bereich, wie beispielsweise Parkplätze oder Hallen von Shoppingmalls verlegt werden müssen.

Bild: Axis

Die IEEE 802.1X-Authentifizierung bietet eine Anschluss-basierte Sicherheit und umfasst einen Supplicant (z.B. eine Netzwerkkamera), einen Authenticator (z.B. einen Switch) und einen Authentifizierungsserver. (Bild: Axis)

Hierdurch ergibt sich jedoch die Gefahr, dass potentielle Eindringlinge über diese Anschlüsse versuchen könnten, auf das Netzwerk zuzugreifen, indem sie das Netzwerkkabel von der Kamera abziehen, an ihrem Notebook anschließen und über diesen Weg auf das Netzwerk zugreifen. Verlässlichen Schutz dagegen bietet die IEEE-802.1X-Authentifizierung, die heute von vielen Netzwerkkameras, Video-Encodern und Switchen unterstützt wird.

Zudem wird ein Radius-Server (Remote Authentication Dial-In User Service) benötigt, gegen den sich die angeschlossenen Endgeräte authentifizieren können. Erst wenn die Authentifizierung erfolgt ist, werden logische Ports am Switch geöffnet und Nutzdaten können über den jeweiligen Netzwerkanschluss übertragen werden.

Auf diese Art und Weise wird verhindert, dass fremde Endgeräte am Netzwerk betrieben werden können, mit denen ein Ausspähen der Daten möglich wäre. Sobald also Netzwerkkabel außerhalb eines geschlossenen Gebäudes verlegt werden müssen, ist es vorteilhaft, wenn Switche den IEEE-802.1X-Standard unterstützen und die zuvor beschriebene Authentifizierung umgesetzt werden kann.

Multicast-Fähigkeit

Für das Abrufen von Videos an Netzwerkkameras oder Video-Encodern gibt es zwei Möglichkeiten, entweder Unicast oder Multicast. Arbeitet man im Unicast, so wird jede Station einen dedizierten Videostrom von der Videoquelle abrufen, das heißt mit jeder Station wird beispielsweise eine Netzwerkkamera zusätzlich belastet, und die notwendige Bandbreite steigt.

Alternativ gibt es die Möglichkeit, im Multicast zu arbeiten. Hierbei wird nur ein Videostrom von der Videoquelle abgerufen und dieser an alle Stationen versendet, die zu einer Multicast-Gruppe gehören. Der Sender von Multicast-IP-Paketen weiß in diesem Fall nicht, welche und wie viele Stationen seinen Videostrom empfangen. Denn er verschickt nur einen einzigen Videostrom an seinen übergeordneten Switch. Dieser dupliziert die IP-Pakete bei Bedarf, wenn er mehrere ausgehende Empfängerstationen hat.

Die Nutzung von Multicast ist besonders vorteilhaft, wenn eine größere Anzahl von Stationen zeitgleich einen Videostrom abrufen möchte. Umgesetzt wird Multicast über das IGMP (Internet Group Multicast Protocol) und PIM (Protocol Independent Multicast). Mit Hilfe des IGMP kann eine Station einem Switch mitteilen, dass sie Multicast-IP-Pakete von einer bestimmten Multicast-Gruppe empfangen möchte.

Die Weiterleitung der Multicast-IP-Pakete erfolgt über das PIM, das ein Routing von Multicast-Paketen im Netzwerk und Internet ermöglicht. IGMP ist in RFC 3376 beschrieben und PIM in verschiedenen Modi in RFC 3973 und RFC 4601. Möchte man Multicast nutzen, so sollten die verwendeten Switche diese Protokolle nach den RFCs unterstützen.

Kein Flaschenhals

Man kann heute davon ausgehen, dass Switche namhafter Hersteller in der Performance keinen Flaschenhals darstellen. Im Low-Cost-Bereich ist es hingegen sinnvoll, sich sorgfältig mit den Angaben in den technischen Datenblättern auseinanderzusetzten. Des Weiteren sind die vorhandenen Features entscheidend, welche von Fall zu Fall geprüft werden sollten.

Jörg Rech, Technical Trainer & Consultant bei der Axis Communications GmbH

Jörg Rech ist Autor zweier Bücher:
  • „Ethernet – Technologien und Protokolle für die Computervernetzung“, 2., aktualisierte und überarbeitete Auflage, Dezember 2007, ISBN 978-3-936931-40-2
  • „Wireless LANs – 802.11-WLAN-Technologie und praktische Umsetzung im Detail“, 3., aktualisierte und erweiterte Auflage, Mai 2008, ISBN 978-3-936931-51-8
Weitere Informationen erhalten Sie bei Ihrem Axis Vertriebspartner:
ViSiTec Video-Sicherheit-Technik GmbH

Netzwerktechnik für IP-Videoüberwachung

Fachartikel aus PROTECTOR Special Videoüberwachung 2009, S. 47 bis 49

Die Einbindung der Videoüberwachung in ein IP-Netzwerk bietet zahlreiche Vorteile. Bei der Planung der NetzwerkInfrastruktur sind aber einige wichtige Aspekte zu beachten. Dazu gehören die Auslegung des Netzwerks, ausreichende Anschlüsse, große Kabelquerschnitte und sicherheitstechnische Aspekte.

Bild: Dätwyler
IP-Netzwerke haben sich als das Standardnetzwerk für die Übertragung unterschiedlichster Anwendungen durchgesetzt. (Bild: Dätwyler)

IP-Netzwerke haben sich als das Standardnetzwerk für die Übertragung unterschiedlichster Anwendungen durchgesetzt. Neben der Datenübertragung dienen sie heute vielerorts auch für die Telefonie (Voice over IP, VoIP), für digitale Fernsehübertragungen, Videokonferenzen, die Gebäudeleittechnik und für die Steuerung von Maschinen und Anlagen. Das Anwendungsspektrum hat sich erheblich erweitert, seitdem man eine wachsende Zahl an Endgeräten über das Datennetz mit Energie versorgen kann (Power over Ethernet, PoE).

Auch die Einbindung von Videoüberwachungssystemen in IP-Netzwerke hat sich durch die PoE-Technologie erheblich vereinfacht. Bei älteren Systemen wurde jede Kamera mit Koaxialkabel angefahren. Es wurde also ein separates, relativ starres System aufgebaut, bei dem es vor allem galt, das Dämpfungsbudget im Auge zu behalten.

Dass jeder Kamera auch noch eine Spannungsversorgung und Steuerleitung zugeführt werden musste, machte das Ganze nur noch aufwändiger und starrer. Heute dagegen benötigt man zum Anschluss einer IP-Kamera nur noch eine Standard-Datendose (RJ45) und ein Patchkabel.

Planung der Infrastruktur

Aktive und passive Netzwerkkomponenten
Im Gegensatz zur „aktiven Welt“ – zum Beispiel Switche, Router oder Netzwerkkarten in den Endgeräten – ist die strukturierte Gebäudeverkabelung, bestehend aus Kupfer und Glasfaserkabeln, Anschluss und Verteilkomponenten, eine passive Kommunikationsinfrastruktur. Auf dieser physikalischen Basis „kommunizieren“ die aktiven Komponenten miteinander, indem sie Signale, beispielsweise analoge oder Bus-Signale, aufbereiten und in digitaler Form mithilfe bestimmter Protokolle, wie IP und Ethernet, zu anderen Endgeräten übertragen. Die verwendeten Protokolle bestimmen die benötigte Bandbreite.

Selbst wenn man die Fülle an Anwendungen und technischen Vorteilen, welche die moderne IP-Videotechnik bietet, noch gar nicht nutzen möchte, sind bei der Planung der passiven Netzwerkinfrastruktur einige grundsätzliche Aspekte beachten. Dazu gehört in erster Linie die im Vergleich zu allen aktiven Geräten ungewöhnlich lange Standzeit eines lokalen Netzwerks (Local Area Network, LAN) von 15 bis 20 Jahren. Wer also zukünftige aufwändige Umbauten und Nachverkabelungen vermeiden will, muss die Infrastruktur von vornherein vorausschauend planen.

Bei der Videoüberwachung richtet sich die Qualität der Übertragungsstrecken – der Kabel und Anschlusskomponenten – ebenso wie die der Kameras nach dem angestrebten Zweck. Will man nur aufzeichnen? Geht es ums Erkennen? Oder sogar um eindeutiges Identifizieren? Noch höher sind die Anforderungen an die Übertragungsstrecken bei Echtzeit-Videostreams.

Bei einer großflächigen Echtzeit- und Bewegtbild-Übertragung mit vielen Kameras gehen die großen Datenmengen mit einem hohen Bandbreitenbedarf einher. Damit die Übertragung aller anderen Dienste im LAN nicht negativ beeinflusst wird, ist es sinnvoll, auf eine leistungsfähige Verkabelung der Klasse F (600 Megahertz) oder sogar auf ein Klasse FA-Netzwerk (1.000 Megahertz) zurückzugreifen.

Sammelpunkte

Eine typische strukturierte Verkabelung ist auf jeder Etage sternförmig ausgelegt: Vom Verteiler aus werden symmetrische Kupferkabel zu vielen einzelnen Anschlussdosen geführt. Eine gängige Variante, die mehr Flexibilität ermöglicht, ist die Einrichtung von Sammelpunkten oder Consolidation Points (CP), die mit mehreren Kabeln angefahren werden. Sie stellen an zentralen Orten, etwa im Doppelboden eines Großraumbüros, eine ganze „Sammlung“ von Anschlussdosen zur Verfügung. Die PCs, Drucker, Bildleinwände und andere netzwerkfähige Geräte sind über flexible Patchkabel mit den CPs verbunden.

Die infrastrukturellen Voraussetzungen für ein IP-basiertes Video-überwachungssystem lassen sich mit relativ geringem Aufwand schaffen. Da die Kameras aus Sicherheitsgründen ohnehin an Decken beziehungsweise von der Decke herab angeschlossen werden, sollte man Sammelpunkte in den Deckenbereichen einplanen.

Auch bei einer herkömmlichen strukturierten Verkabelung, bei der die Etagen über den Boden oder über Brüstungskanäle erschlossen sind, ist eine zusätzliche Verkabelung der Decken erforderlich. Die vorhandenen Anschlüsse können ja nicht nur für die Anbindung der Kamerasysteme, sondern auch von WLAN Access Points sowie für die IP-basierende Gebäudeautomation – die Steuerung der Beleuchtung, Rolläden oder Lüftung – genutzt werden.

WLAN Access Points

Bild: Dätwyler
Die verwendeten Wifi-Geräte – wie auch alle Netzwerk-Switches und -Router – sollten für eine störungsfreie Datenübertragung QoS-fähig sein (Quality of Service). (Bild: Dätwyler)

Es gibt auch Überwachungskameras, die drahtlose Verbindungen mit dem IP-Netzwerk ermöglichen. Diese Option sollte bei hohen Sicherheitsanforderungen aber nur als Notlösung betrachtet werden. Denn das WLAN-Netz kann, etwa bei einem Einbruch, mit einfachen Mitteln von außen gestört werden. Außerdem kann es zu Kollisionen mit anderen Diensten kommen.

Gerade die schnelle Verbreitung kabelloser IP-Telefone – deren Datenverkehr ebenfalls im Prioritätsbetrieb abgewickelt wird – führt in einer solchen Struktur über kurz oder lang dazu, dass zwei Systeme um die Übertragungsmöglichkeiten für Echtzeit-Streams konkurrieren.

Damit es nicht zu gegenseitigen Störungen kommt, ist wiederum eine gute Planung notwendig, welche die Anforderungen der unterschiedlichen Dienste berücksichtigt. Außerdem sollten die verwendeten Wifi-Geräte – wie auch alle Netzwerk-Switches und -Router – QoS-fähig sein (Quality of Service). Damit kann die störungsfreie Übertragung auch der IP-Überwachungskameras gewährleistet werden, ohne dass es zu Kollisionen mit anderen Diensten kommt.

Große Kabelquerschnitte

Kategorien, Klassen, Bandbreiten und Datenraten

Internationale und nationale Standardisierungsgremien legen fest, welche Anforderungen die Übertragungsstrecken (Links) in einem Netzwerk erfüllen müssen, um bestimmte Protokolle „transportieren“ zu können. Die NetzwerkLinks werden in Klassen unterteilt, die Komponenten, aus denen sie sich zusammensetzen, in Kategorien.Ein Link der Klasse D, der aus Komponenten mindestens der Kategorie 5 besteht, bietet eine Bandbreite von maximal 100 Megahertz. Darüber kann man Anwendungen mit Datenraten von maximal einem Gigabit/Sekunde, also zum Beispie 1-Gigabit-Ethernet, übertragen.Moderne Netzwerke sollen zukünftige Anwendungen mit Datenraten bis zu zehn Gigabit/Sekunde, zum Beispiel 10-Gigabit-Ethernet, übertragen können. Das ist möglich mit:

  • Klasse EA-Link (Bandbreite: 500 Megahertz) mit Cat. 6a-Komponenten,
  • Klasse F-Link (Bandbreite: 600 Megahertz) mit Cat. 7-Komponenten,
  • Klasse FA-Link (Bandbreite: 1.000 Megahertz) mit Cat. 7a-Komponenten.

Bei der Planung der Verkabelung sollte man weiterhin darauf achten, dass Kupferkabel mit einem relativ großen Querschnitt (AWG 22) und einem geringen Schleifwiderstand verwendet werden. So kann man die angeschlossenen Endgeräte, darunter auch die Kameras, über das IP-Netzwerk mit Energie versorgen, ohne den zulässigen Spannungsfall zu überschreiten.

Beim Transport relativ großer Ströme zur Versorgung der Verbraucher kann es im Datenkabel unter ungünstigen Umständen zu schädlichen Erwärmungen kommen. Das Phänomen tritt insbesondere auf Trassen auf, wo mehrere Kupferkabel dicht nebeneinander liegen.

Dieser Aspekt wird umso wichtiger, als die standardisierte PoE-Leistung und die Betriebstemperaturen in den Kabeln noch steigen werden. Der größere Leiterquerschnitt eines AWG 22-Datenkabels reduziert dagegen den Widerstand und die ohmschen Verluste. Dadurch wiederum nimmt die Erwärmung der Kabel ab, und die Zuverlässigkeit des gesamten Netzwerks erhöht sich.

Kameras und Erfassungssysteme werden häufig in Fluren und Treppenhäusern eingebaut. In diesen brandschutztechnisch sensiblen Bereichen haben Steckernetzteile nichts zu suchen. Ein Grund mehr, PoE-Infrastrukturen zumindest in diesen Bereichen mit Sorgfalt zu planen.

Sicherheitstechnische Anforderungen

Flure und Treppenhäuser dienen im Brandfall als Fluchtwege. Daher spielen bei der Verkabelung der Überwachungstechnik auch brandschutztechnische Aspekte, wie etwa Brandlasten und Brandverhalten, eine wichtige Rolle. Die eingesetzten Kabel müssen in diesen Bereichen alle brandschutztechnischen Anforderungen für ein verbessertes Verhalten im Brandfall erfüllen. Dazu zählen in erster Linie Halogenfreiheit, Flammwidrigkeit sowie eine minimale Brandfortleitung und Rauchentwicklung.

Videobilder sollten in einem IP-Netzwerk grundsätzlich verschlüsselt übertragen werden. Deshalb ist zu prüfen, ob die Kameras die Daten selbst verschlüsseln können oder ob dafür zusätzliche Geräte notwendig sind. Es gibt am Markt auch WLAN-Geräte, welche die Verschlüsselung leisten.

Typischerweise verwendet man für die Videoübertragung eigene virtuelle LANs (VLANs), um eine saubere Trennung zwischen den unterschiedlichen Diensten zu erreichen. Auch bei der Einrichtung von VLANs ist darauf zu achten, dass man keine Leitungskapazitäten, die für andere kritische Dienste benötigt werden, blockiert.

Peter Pardeyke, Produktmanager Safety & Automation bei Dätwyler Cables in Hattersheim bei Frankfurt

Jonas Greutert, Leiter Produktmanagement & System Engineering bei Dätwyler Cables in Altdorf, Schweiz, www.daetwyler-cables.com

IP in der Sicherheitstechnik

Fachartikel aus PROTECTOR Special Videoüberwachung 2009, S. 40 bis 43

Video ist nur der Anfang

Aus der Videoüberwachung sind IP-basierende Kameras und Lösungen heute nicht mehr wegzudenken. In vielen Anwendungen haben sie analoge Systeme bereits verdrängt. In anderen Bereichen dagegen hat sich das Standardprotokoll noch nicht im gleichen Maße durchsetzen können. Allerdings ist auch hier ein Trend zum Einsatz von IP und Ethernet zu erkennen.

Bild: Bosch
Bei Einbruch- und Brandmeldesystemen dient das IP-Protokoll immer häufiger für die Kommunikation der Meldezentralen mit dem übergeordneten Gebäudemanagementsystem. (Bild: Bosch)

Attraktiv sind Ethernet und IP für viele Unternehmen vor allem, weil sie den Aufbau separater Netzwerke für die Datenverarbeitung und die Sicherheitstechnik überflüssig machen können. Eine zentrale und einheitliche Verwaltung verspricht deutlich reduzierte Betriebskosten, und auch bei den Investitionen in die Infrastruktur führen die hohen Stückzahlen zu erheblichen Kostenvorteilen. Doch nicht nur finanziell zahlt sich der Einsatz standardisierter Netzwerktechnologien aus: Eines ihrer großen Versprechen ist die Schaffung einer gemeinsamen technischen Plattform für alle Bereiche der Sicherheitstechnik. Informationen von Videokameras, Brand- und Rauchmeldern oder Türsteuerungen können über einheitliche Protokolle, wie TCP/IP, und standardisierte Schnittstellen, wie OPC, zentral zusammengeführt werden. Ferner besteht so die Möglichkeit, mehrere Anwendungen auf einer gemeinsamen, flexiblen und konfigurierbaren Oberfläche anzuzeigen und miteinander zu verknüpfen. Zudem werden ganz neue Anwendungen durch die Digitalisierung überhaupt erst möglich.

Intelligenz in Kameras und Encodern

Dass „Security over IP“ heute häufig noch mit „Video over IP“ gleichgesetzt wird, hat nachvollziehbare Gründe, ist aber trotzdem falsch. Die Videoüberwachung ist heute allerdings der einzige Bereich der Sicherheitstechnik, in dem Ethernet und IP flächendeckend bis hin zum Sensor, nämlich der Videokamera, eingesetzt werden. Das ist nur deswegen möglich, weil Kameras vergleichsweise teure Systeme sind und die zusätzlichen Kosten für einen eigenen Prozessor und die notwendige Software dort nicht erheblich ins Gewicht fallen. Diesen geringen Zusatzkosten stehen jedoch erhebliche Kosteneinsparungen und andere Vorteile gegenüber.

Dank ihrer hohen Verarbeitungsleistung bieten moderne IP-Netzwerkkameras und -Encoder erheblich mehr als eine herkömmliche Videoübertragung. Insbesondere ermöglicht diese höhere Leistung den Aufbau dezentraler Videoarchitekturen mit intelligenten Funktionen direkt in den Encodern und Kameras. Bei diesem Ansatz werden alle „Ereignisse“ am Kamerastandort generiert und nur noch Videobilder von Interesse an die Leitstelle gesendet, was den Datenverkehr im Netzwerk deutlich reduziert. Dafür gibt es heute eine Vielzahl von Videolösungen, bei denen Festplatten direkt an die Kameras oder Encoder angeschlossen und als lokale Ringspeicher genutzt werden können.

Erheblich Kosteneinsparungen

Im Vergleich zu analogen Lösungen mit zentraler Videospeicherung bieten solche Systeme erheblich Kosteneinsparungen. Trotzdem geht der Trend bereits wieder weg von einfachen Netzwerkrecordern, denn der Einsatz von iSCSI-Laufwerken verspricht deutlich mehr Flexibilität und Zuverlässigkeit. So lassen sich mit iSCSI relativ einfach flexible Speichernetze mit Redundanz und einer automatischen Lastverteilung (Load Balancing) realisieren, so dass die Verfügbarkeit der Lösung jederzeit garantiert werden kann. iSCSI-basierende Speichersysteme sind zudem mittlerweile recht kostengünstig und lassen sich sehr einfach skalieren. Bedenkt man, dass die Speicherung von Videobildern nicht selten die Hälfte der Gesamtkosten für die Videoüberwachung ausmacht, sind dies starke Argumente für den Einsatz von iSCSI-Systemen.

Wenngleich IP heute in der Videoüberwachung als Standard gelten kann, gibt es doch noch einige Bereiche, in denen analoge CCTV-Technologien eingesetzt werden. Bei Spezialkameras, wie Dome- oder Infrarot-Kameras, spielt analoge Technik nach wie vor eine erhebliche Rolle – diese Systeme werden dann allerdings über entsprechende Decoder in das IP-Netzwerk integriert. Ähnlich sieht es in Bereichen mit harten Umgebungsbedingungen aus, in denen bei der digitalen Signalübertragung mit Störungen zu rechnen ist. Manche Unternehmen setzen auch im Außenbereich auf analoge Techniken, um einen physikalischen Zugang zu ihrem IP-Netz unmöglich zu machen. Allerdings gibt es hier auch andere Möglichkeiten, unbefugte Zugriffe wirkungsvoll zu verhindern, so dass sich IP-Kameras auch in der Außenhaut- und Freilandüberwachung zunehmend durchsetzen.

Auch Audio-Streams

Wurde IP in der Videoüberwachung zunächst nur für die Übertragung von Bildern eingesetzt, läuft heute auch der Audio-Stream immer häufiger über dieses Protokoll. Verbesserungen in der Netzwerktechnologie haben die Latency in den Bereich von 100 Millisekunden gedrückt, was für eine hochwertige Audioübertragung ausreichend ist (weswegen sich auch die Telefonie über das IP-Protokoll zunehmend durchsetzt). Qualitätsprobleme sind erst ab etwa 150 Millisekunden Latency zu erwarten. In modernen Gigabit-Netzen steht heute genügend Übertragungskapazität für Audio- und Videosignale zur Verfügung, zumal dieser Verkehr in virtuelle LANs (VLANs) separiert und dann mit einer hohen Priorität versehen werden kann. Dies erfolgt in der Regel über die Reservierung der notwendigen Bandbreite für den Videoverkehr in den Ethernet Switches. Solche Maßnahmen können vor allem dort erforderlich sein, wo die Videoüberwachung über das bestehende Datennetz betrieben wird und dieses bereits eine nennenswerte Auslastung aufweist.

Ein weiterer Vorteil der IP-Technologie ist die Tatsache, dass sie nicht zwangsläufig kabelgebunden ist. So lassen sich über WLANs relativ einfach auch Video- und Audio-Streams aus problematischen Umgebungen übertragen. Beispielsweise sind die Schleppkabel von Aufzugsanlagen in der Regel nicht für die Übertragung von Audio und Video ausgelegt – per WLAN lassen sich hier trotzdem zuverlässige und kostengünstige Überwachungs- und Notruflösungen realisieren.

Genauere Erkennung von Vorfällen

Der Trend weg von der analogen Videoüberwachung und hin zum vermehrten Einsatz von IP-gestützten Systemen hat auch eine Vielzahl von Lösungen für die intelligente Videoanalyse mit sich gebracht. Netzwerk-basierte Überwachung und intelligente Analyse ermöglichen zum einen eine deutlich genauere Erkennung von Vorfällen, da Konzentrationsmängel und andere menschliche Fehler von vornherein ausgeschlossen werden. Zum anderen machen sie das Sicherheitspersonal deutlich effizienter, da dieses nur noch auf generierte Alarme reagieren muss, statt ständig eine Vielzahl von Live-Bildern zu überwachen.

Bild: Bosch
Die Videoüberwachung ist heute der einzige Bereich der Sicherheitstechnik, in dem Ethernet und IP flächendeckend bis hin zum Sensor, nämlich der Videokamera, eingesetzt werden. (Bild: Bosch)

Waren die ersten intelligenten Systeme noch fast ausschließlich auf die Detektion von Bewegungen ausgelegt, gibt es heute wesentlich vielfältigere Alarmierungskriterien. Statt jede Bewegung zu melden, analysieren moderne Systeme auch die Größe des Objekts, seine Geschwindigkeit und seine Bewegungsrichtung und vermeiden so Fehlalarme wie bei der schon fast sprichwörtlichen Katze, die durch das Bild huscht. Interessant ist für viele Anwendungen auch eine Konfigurationsoption für Referenzobjekte. Hierbei werden alle relevanten Objektdaten, wie Größe, Geschwindigkeit und Farbe, in einer ausgewählten Live-Szene durch einen Mausklick auf das betreffende Objekt erfasst. Diese Informationen können dann als Überwachungskriterien zur späteren Verfolgung ähnlicher Objekte verwendet werden – auch über mehrere Kameras hinweg. So lässt sich beispielsweise sehr einfach erkennen, in welchen Bereichen des Firmengeländes sich eine verdächtige Person oder ein bestimmtes Fahrzeug bewegt hat.

Abstraktion durch Metadaten

Wenngleich bei vielen Anwendungen die zuverlässige Live-Alamierung im Vordergrund steht, ergibt sich doch oft die Notwendigkeit, Ereignisse später nachzuvollziehen. Eine Möglichkeit, diese Forensik deutlich zu beschleunigen, liegt in der Abstraktion. So können digitale Kameras neben dem eigentlichen Videobild auch Content-Analyse-Informationen in Form von Metadaten aufzeichnen. Diese bestehen aus einfachen Textzeichenfolgen mit Beschreibungen spezieller Bilddetails, wie Objekte oder Bewegungen. Die Metadaten haben ein wesentlich geringeres Volumen als die Videoaufzeichnungen selbst und lassen sich daher deutlich schneller und vor allem maschinell durchsuchen. Sie können zudem auch aus anderen Quellen wie etwa der Zutrittskontrolle stammen, so dass mit unterschiedlichen Techniken detektierte Ereignisse sehr einfach korreliert werden können.

IP jenseits von Video

Die Videoüberwachung hat dem IP-Protokoll den Zugang zur Sicherheitstechnik geebnet, doch der Einsatz digitaler Netzwerktechnologien ist schon lange nicht mehr auf Video beschränkt. Beobachter erwarten, dass die IP-Technologie schon bald auch den Markt für Zutrittskontrollsysteme beherrschen wird, da sie auch hier ihre Vorteile – Flexibilität, Standardisierung und geringe Kosten – voll ausspielen kann. Zwar ist nicht zu erwarten, dass die RS485-Schnittstellen der Terminals für die Zutrittskontrolle und die Zeitwirtschaft schon bald flächendeckend durch Ethernet ersetzt werden, doch verfügbar sind solche Systeme bereits. Allerdings sind IP-fähige Terminals wegen der erforderlichen Intelligenz noch spürbar teurer als ihre konventionellen Geschwister. Bei den Türkontrollern ist eine Ethernet-Schnittstelle für die Anbindung an die Zentrale dagegen heute Standard. Konfigurationsdaten für die einzelnen Terminals können so sehr einfach über das Netzwerk verteilt werden, und auch die Einbindung in ein zentrales Gebäudemanagement wird erheblich effizienter.

Ähnlich wie bei der Videoüberwachung ermöglicht auch die Digitalisierung der Zutrittskontrolle ganz neue Anwendungen, die einerseits die Sicherheit erhöhen und andererseits Kosten sparen können. So lassen sich viele digitale Zutrittskontrollsysteme über eine LDAP-Schnittstelle mit den gängigsten Verzeichnissystemen aus der EDV, wie etwa dem Active Directory, kombinieren, so dass die Zugangsrechte zur physischen und zur DV-Welt sehr effizient zentral verwaltet werden können.

Preissensitive Sensoren

Auch bei Einbruch- und Brandmeldesystemen dient das IP-Protokoll immer häufiger für die Kommunikation der Meldezentralen mit dem übergeordneten Gebäudemanagementsystem. Auf Sensorebene dagegen hat es sich bisher nicht durchsetzen können, da die Sensoren hier einfach und sehr preissensitiv sind. Zusätzliche Intelligenz wird nicht unbedingt benötigt, Extrakosten für eigene CPUs und die erforderliche Software sind daher in der Regel nicht zu rechtfertigen. Zudem stehen für den Anschluss der Melder an die Zentralen ausgereifte und kostengünstige Technologien, wie LSN (Lokales Sicherheitsnetzwerk), zur Verfügung, über die Ereignisse nicht nur gemeldet, sondern auch sehr genau lokalisiert werden können. Auch die für Hochsicherheitsanwendungen wie den Brandschutz notwendigen Zertifizierungen tragen dazu bei, dass IP sich dort auf der Sensorebene noch nicht durchsetzen konnte.

Bild: Bosch
Bisher existiert bei der Gefahrenmeldetechnik kein einheitlicher Standard. (Bild: Bosch)

Ein weiteres Problem ist die fehlende Standardisierung in der Kommunikation zwischen Geräten unterschiedlicher Hersteller. Während sich bei der Videotechnik mit Onvif eine Standardisierungsorganisation gebildet hat, der praktisch alle namhaften Hersteller, wie Axis, Bosch, Cisco, Panasonic, Sony und viele andere, angehören, ist die Welt in der Gefahrenmeldetechnik gespalten. Mit dem aus der Prozesstechnik stammenden OPC und dem in der Gebäudeleittechnik beheimateten Bacnet existieren hier zwei Standards, die allerdings beide auf TCP/IP als Transportmedium zurückgreifen können. Dennoch würde ein einheitlicher Standard für die Gerätekommunikation sicher auch die Akzeptanz eines Standard-Transportmediums, wie TCP/IP, fördern.

Sicherheitstechnik absichern

Betreibt man die Sicherheitstechnik über eine IT-Infrastruktur, muss man sich zwingend auch mit der Frage der IT-Sicherheit beschäftigen. Daten aus der Videoüberwachung oder der Brandmeldeanlage sind kritisch und/oder vertraulich; sie dürfen weder in falsche Hände gelangen noch der Gefahr der Manipulation ausgesetzt werden. In manchen Unternehmen kommt es daher vor, dass für die Sicherheitstechnik zwar IT-Technologien eingesetzt, aber trotzdem separate Netze aufgebaut werden. Der leitende Gedanke ist dabei, dass die Trennung von Sicherheits- und Datennetz einen erheblichen Sicherheitsgewinn bringt und auch der Performance beider Netze zugute kommt. Allerdings lassen sich eine solche Trennung und der damit verbundene Sicherheitsgewinn auch innerhalb eines physischen Netzes erreichen. Virtuelle LANs ermöglichen nicht nur garantierte Bandbreiten für die anspruchsvolle Videoübertragung, sondern auch das Management unterschiedlicher Berechtigungen für die einzelnen VLANs. Damit können logisch völlig separate Netze über eine einheitliche physische Infrastruktur realisiert werden.

Der logische Zugang zu dieser Infrastruktur wird dann mit den Mitteln der IT-Security abgesichert. So lassen sich über IEEE 802.1X nicht nur Personen authentifizieren, sondern auf Ebene von Ethernet-Ports auch einzelne Geräte. Damit kann ausgeschlossen werden, dass jemand an einem zugänglichen Port ein nicht zugelassenes Gerät in das Netzwerk integriert, etwa indem er den Anschluss einer Videokamera im Außenbereich „anzapft“. Unbefugtes Abhören von Daten lässt sich in IP-Umgebungen zudem recht einfach über Verschlüsselungstechniken verhindern.

IP heißt nicht IT

IP-basierte Architekturen ermöglichen heute auch in der Sicherheitstechnik sehr flexible und kostengünstige Lösungen, da viele Standard-Komponenten aus der Welt der Informationstechnik verwendet werden können. Trotzdem sollte die physische Sicherheit nicht lediglich als Teil der IT gesehen werden, da nach wie vor die sicherheitstechnische Erfahrung der Mitarbeiter in Planung, Einrichtung und Überwachung die Qualität und die Effizienz der Gesamtlösung bestimmen. Aus der Sicht der IT ist die physische Sicherheit nur eine weitere Applikation, die gewisse Anforderungen an das Netzwerk stellt. Für den Sicherheitsverantwortlichen dagegen ist die IT ein zunehmend wichtiger werdendes Werkzeug, ohne das er sein Handwerk nicht mehr beherrschen kann. Für ihn ist es daher essentiell, sich intensiv mit den neuen Technologien auseinander zu setzen – sonst übernimmt über kurz oder lang die IT-Abteilung nach der Telekommunikation auch die Sicherheitstechnik.

Christoph Hampe, Vertriebsreferent, Bosch Sicherheitssysteme GmbH

Weitere Informationen erhalten Sie bei Ihrem BOSCH Vertriebspartner:
ViSiTec Video-Sicherheit-Technik GmbH

Sicherheit von IP-basierter Videoüberwachung

Fachartikel aus PROTECTOR Special Videoüberwachung 2010, S. 52 bis 54

Rififi mit dem Netzwerkauge

IP-Kameras liegen voll im Trend, Anwender sollten jedoch mögliche Sicherheitsrisiken kennen. Der Beitrag geht auf wichtige Bedrohungen ein und zeigt, worauf Errichter und Anwender bei der Installation einer netzwerkbasierten Videoüberwachung besonders achten müssen.

Bild: Fotolia/Goss Vitalij; Flo
(Bild: Fotolia/Goss Vitalij; Flo)

Moderne Netzwerkkameras liegen voll im Trend. Sie fügen sich problemlos in das in jedem modernen Unternehmen sowieso schon vorhandene TCP/IP-Netzwerk ein, die entsprechenden Anlagen sind ohne großen Aufwand erweiterbar und erfordern keine gesonderte Verkabelung, da die Kameras aufgrund der geringen Leistungsaufnahme über das LAN mit Spannung versorgt werden können. Banken, Botschaften, Flughäfen, Bahnhöfe, Häfen, Tankstellen, Hotels und Tiefgaragen sind nur einige der Anwendungsgebiete. Doch Experten weisen auf die möglichen Risiken hin. Schließlich stellt jede Kamera einen interaktiven Knoten in einem Netzwerk dar. Von ihrem Anschluss können nicht nur Bilder gesendet werden, sondern alle Arten von Daten in beide Richtungen fließen. In diesem Punkt unterscheidet sich eine TCP/IP-Kamera grundlegend von der klassischen BNC-Technologie.

Elektronischer Zugang

Ausgehend von der individuellen Bedrohungslage sollten die Anwender auf die Risiken der neuen Technik achten. Ohne Vorsichtsmaßnahmen kann eine Netzwerkkamera mehr schaden als nutzen, vor allem, wenn sie im Außenbereich angebracht wird. Die Netzwerkverbindung ist ein elektronischer Zugang in den sensiblen Innenbereich des Unternehmens. Auch wenn IP-Kameras meist an einem separaten Netzwerkstrang betrieben werden, ist ein Eindringversuch denkbar. Schließlich sind für TCP/IP-Netzwerke Dutzende von Manipulations- und Angriffswerkzeugen im Internet frei verfügbar. Ein relativ großer Personenkreis verfügt zudem aufgrund beruflicher Tätigkeiten im Netzwerkumfeld über profundes Wissen, diese zielgerichtet anzuwenden.

Größere Schadensfälle mit drahtgebundenen Netzwerkkameras sind bislang nicht publiziert worden. Das heißt natürlich nicht, das es sie nicht gegeben hat. Ganz anders verhält es sich mit WLAN-Kameras. Immer wieder haben Hacker auf das kinderleichte Abschöpfen von WLAN-Kameras hingewiesen und dies sogar in Fernsehbeiträgen dokumentiert, was einen nicht geringen Nachahmungseffekt auslösen dürfte. Ohne aktivierte Verschlüsselung sind solche Kameras durch handelsübliche WLAN-Router problemlos angreifbar, das nötige Wissen ist aufgrund der zahllosen WLANs in Privathaushalten weit verbreitet. Sie sollten daher keinesfalls ohne Schutzmechanismen, wie starke Verschlüsselung über WPA2 betrieben werden und haben im kommerziellen Umfeld nach Meinung von Experten nur in Ausnahmefällen etwas zu suchen.

Google Hacking

Suchbegriffe wie „google hacking kamera“ führen zudem schnell auf Listen mit im Internet einsehbaren, drahtgebundenen IP-Kameras. Ob die Betreiber dieser Kameras wirklich wollen, dass quasi jedermann zuschauen darf, was sich im eigenen Firmengelände oder dem Flur aktuell abspielt, darf zumindest für einen Teil der Fälle bezweifelt werden. Auch hier haben die Anwender meist schlicht beim Aufbau der Anlage vergessen, die Schutzmechanismen zu aktivieren. Anders als eine analoge Kamera besteht eine IP-Kamera nicht nur aus Objektiv und Video-Elektronik. In ihr ist ein kompletter Webserver eingebaut, der die Videobilder auf Anforderung durch die Steuersoftware in Form von IP-Paketen verschickt.

Wie bei jedem Webserver kann jeder Netzteilnehmer, der die IP-Adresse der Kamera kennt, diese zum Senden von Informationen auffordern. Umgekehrt kann ein anderer Server die Rolle der Kamera übernehmen, und mit ihrer IP- und MAC-Adresse im Netzwerk auftreten. Bei einem solchen Angriff würde einfach die Kamera vom Netzwerk getrennt und durch einen Laptop ersetzt, der die zuvor aus dem Netzwerkverkehr kopierten IP-Pakete mit unverdächtigen Videobildern erneut senden würde.

Netzwerksicherheit und IP-Kameras

IP-Netzwerke haben die Aufgabe, alle Teilnehmer in einen bidirektionalen Datenstrom einzubinden. Das unterscheidet sie fundamental von analogen CCTV-Systemen. Auch diese können selbstverständlich manipuliert und „angezapft“ werden. Dies geht aber nur durch auffällige mechanische Maßnahmen und erfordert immer Spezialkenntnisse, was den Kreis der Täter stark einschränkt. Durch die weite Verbreitung von Heimnetzen ist der Gebrauch von Analyse-Tools zum Aufspüren von Netzwerkknoten und Werkzeuge zum Mitschneiden von IP-Paketen einem breiten Kreis bekannt.

Experten warnen immer wieder, dass Überwachungskameras auf diese Weise auch zu einem Sicherheitsrisiko werden können, da man sensible Informationen quasi unkontrolliert jedem zur Verfügung stellt. Daher sollten alle berechtigten Teilnehmer eine PKI (Public-Key-Infrastruktur) bilden. Zusätzlich ist eine Firewall und/oder ein Watchdog Programm sinnvoll, das jeden nicht erwünschten Datenverkehr unterbindet und unzulässige Netzwerkteilnehmer sofort meldet. Bei sehr hohem Sicherheitsbedarf sind Speziallösungen geboten, die den Netzwerkverkehr von Außen nach Innen erlauben, die umgekehrte Richtung aber durch physikalische Effekte unterbinden. Die Konfiguration und die Pflege sowie Überwachung einer Firewall erfordert ein nicht geringes Maß an Kenntnissen.

Generell sollte für die IP-Kameras ein eigenes LAN aufgebaut werden. Wo man diesen Weg nicht gehen kann oder will, kommt der Firewall natürlich eine besondere Bedeutung zu. Ein weiteres Risikopotential liegt im ungeschützten Netzwerkanschluss selbst begründet. Steckverbindungen sollten gegebenenfalls mechanisch gegen Herausziehen und Austausch gesichert werden.

Auch bei der Anlage von Benutzerkonten können dem Verantwortlichen fatale Fehler unterlaufen. Längst nicht alle Personen, die Videobilder einsehen sollen, dürfen Einfluss auf die Konfiguration der Anlage bekommen. Sonst könnten sie die Verschlüsselung ausschalten, Aufzeichnungen löschen oder kopieren. Es ist daher genau zu regeln, wer welche Rechte besitzt, und wer das Passwort des Administrators erhält.


Um solche Angriffe zumindest zu erschweren, muss die Netzwerk-Kommunikation mit den Methoden geschützt werden, die aus dem Bereich des Onlinebankings bekannt sind. Dazu zählt eine gesicherte Authentifizierung der Netzwerkteilnehmer sowie eine verschlüsselte Kommunikation. Zeitstempel sollten zudem sicherstellen, dass es sich um aktuelle Kamerabilder handelt.

SSL-Protokoll

Wichtigster Bestandteil einer sicheren Infrastruktur ist das SSL-Protokoll. Es dient zur Verschlüsselung und zur Authentifizierung der Kommunikation zwischen Webservern und dem Browser.

Bild: Fotolia/Pawel Nawrot
(Bild: Fotolia/Pawel Nawrot)

Wie bei allen Verschlüsselungs-Systemen bietet auch https keine hundertprozentige Sicherheit, vor allem nicht gegen gut ausgerüstete Privatdetektive oder staatliche Dienste, die über entsprechende Spezialgeräte verfügen. Die Hürden sind nach Ansicht von Experten für viele Anwendungsfälle ausreichend hoch, wenn ein Chiffrierverfahren mit ausreichender Schlüssellänge verwendet wird. Wichtigste Voraussetzung ist natürlich, dass https auch vorhanden und verwendet wird.

Bei der Installation von IP-Kameras spielen die netzwerktechnischen Fertigkeiten sowie die Kompetenz in Sachen IT-Sicherheit eine immer wichtigere Rolle. Anwender wie auch Errichter müssen die Fallstricke der Konfiguration problemlos umschiffen können.

Hersteller zuweilen nachlässig

Die Hersteller bieten nicht immer Hilfe. Der Gelsenkirchener Sicherheitsexperte Prof. Norbert Pohlmann und sein Mitarbeiter Marco Smiatek machten im Jahr 2008 eine erschreckende Entdeckung. In den Handbüchern der IP-Kameras waren nicht einmal die vorhandenen Sicherheitsfeatures ausführlich erklärt, einige Hersteller hatten auf https gleich ganz verzichtet. Die Systeme wurden zudem in der Regel mit abgeschalteter Verschlüsselung ausgeliefert und der Nutzer im Handbuch nur unzureichend über die Risiken informiert.

Ein Angreifer kann mit einfachen Hilfsmitteln die unverschlüsselte Kommunikation zwischen Kamera und Benutzer mitlesen, und so Passwörter und den Nutzernamen in Erfahrung bringen. Der Ratschlag der Experten: Im Konfigurationsmenü zunächst https aktivieren, und erst dann die – oft im Handbuch abgedruckten und damit allgemein bekannten – Standard-Passwörter gegen eigene austauschen, wobei auch hier auf eine ausreichende Länge zu achten ist.

Auf die Kritik aus Beraterkreisen haben einige Hersteller inzwischen reagiert. So erleichtert beispielsweise die für Mitte 2010 erwartete neue Bedienoberfläche von Mobotix die Errichtung eines sicheren Netzwerkes. Ein kryptographischer Check löst bei manipulierten Bildern Alarm aus.

Einer der Gründe, warum nicht alle Hersteller https als Protokoll anbieten, dürfte die nicht geringe Rechenleistung sein, welche die Verschlüsselungs-Algorithmen benötigen. Netzwerkkameras verfügen in der Regel nur über einen Chip für Videokompression und Webserver, der aus Kostengründen kaum Reserven für zusätzliche Dienste bietet. Die von manchen Sicherheitsexperten geforderte starke Bild-für-Bild-Verschlüsselung würde einen zusätzlichen, leistungsstarken Mikroprozessor erfordern.

Kritische Außenkameras

Angreifer könnten aber nicht nur gefälschte, alte Videobilder einspeisen, während sich nach Rififi-Manier längst Personen an Fassaden und Fenstern zu schaffen machen. Der bidirektionale Charakter der Datenleitung ermöglicht Angriffe auf die IT-Infrastruktur an sich. Schon bei normalen Sicherheitsanforderungen ist der ungeschützte Betrieb von IP-Außenkameras über das vorhandene interne Datennetz grob fahrlässig, erläutert Stefan Strobel, Eigentümer der Sicherheitsberatungsfirma Cirosec GmbH. Zwar wird für Überwachungskameras meist eine separate Netzwerkverkabelung installiert, dies ist aber längst nicht überall der Fall.

Auf jeden Fall sollten die elementaren Sicherheitsanforderungen innerhalb eines jeden Firmennetzwerkes eingehalten werden. Nicht benötigte Kommunikationsports sollte der Anwender daher auf jeden Fall schließen. „In besonders schwierigen Situationen, beispielsweise bei der Videoüberwachung von internen Hochsicherheitsbereichen empfehlen wir unseren Kunden Produkte, die einen Zugriff garantiert nur in eine Richtung ermöglichen“, so Stefan Strobel, „da sie physikalische Effekte ausnutzen, die man nicht durch Software manipulieren kann.“ Solche Geräte schotten zwei Netzwerkstränge total voneinander ab, sie stellen somit quasi eine „Informationsdiode“ dar. Alle Signale die aus einem potentiell unsicheren Außenbereich nach innen übermittelt werden, fließen über eine Laser-Leuchtdiode auf eine Photodiode. Ein proprietäres Netzwerkprotokoll dient zur Anbindung an die normale IP-Infrastruktur. Somit gibt es keine Möglichkeit, im Außenbereich Informationen anzufordern und dort einzusehen.

Konfiguration und Betrieb von IP-Kameras

Netzwerkkameras sind quasi abgespeckte PCs mit Objektiv – und damit den Risiken der PC-Welt ausgesetzt. Außerdem sind sie ein Teil von TCP/IP-Netzwerken und damit jenen Gefahren ausgesetzt, die aus den Schwachstellen dieses Protokolls erwachsen.

IP-Kameras senden ihre Bilder normalerweise im so genannten Real Time Streaming Protokoll (RTSP). Die so gesendeten Aufnahmen sind von jedermann, der Zugriff auf einen Knoten des Netzwerkes hat, einsehbar. Dies kann bei Kameras in sensiblen Bereichen zu erheblichen Sicherheitsproblemen führen. Noch weit unangenehmer wird es, wenn die Kamera vom Netz entfernt wird und gefälschte Bilder eingespielt werden. Unter Umständen muss sich der Angreifer dazu gar nicht an der eigentlichen Kamera zu schaffen machen, sondern den eingebauten Webserver durch ein Übermaß an Anfragen so in die Knie zwingen, dass nur seine – manipulierten – Datenpakete in der Zentrale ankommen. Ein Innentäter kann diesen Angriff vom Schreibtisch aus führen. Da sich bislang kein verschlüsseltes Streaming-Protokoll etablieren konnte, bleibt SSL der einfachste Weg, sich gegen diese Bedrohung zu schützen.

Da die Kameras in der Regel mit den niedrigsten Sicherheitseinstellungen ausgeliefert werden, ist es Sache des mit der Installation beauftragten Mitarbeiters oder des beauftragten Dienstleisters, diese zu aktivieren.

„Entscheidend ist die Videoprojektierung“, erläutert Peter Loibl, Geschäftsführer der Von zur Mühlenschen Unternehmensberatung, „sie schreibt vor, was der Auftraggeber sehen muss und was nicht. Anhand dieser Planung werden die Standorte festgelegt sowie Kameras und Objektive ausgewählt.“

Entsprechende Entscheidungen sollte der Auftraggeber nach Beratung selber treffen und nicht den ausführenden Firmen überlassen, die eventuell nach sachfremden Kriterien entscheiden und die Montage Fachfremden überlassen, die mit der sicheren Konfiguration überfordert sind.

Innerhalb des Netzwerkes sollten Firewalls und/oder ein Watchdog dafür sorgen, dass aufgezeichnetes Videomaterial nicht per Netzwerkbefehl gelöscht oder manipuliert werden kann. Dazu muss der Auftraggeber natürlich zunächst festlegen, welche Räumlichkeiten und welchen Nutzerkreis er als „sicher“ einstuft.

Bernd Schöne, freier Autor in München