IP in der Sicherheitstechnik

Dirk Klages / / Grundlagen IP-Video
Fachartikel aus PROTECTOR Special Videoüberwachung 2009, S. 40 bis 43

Video ist nur der Anfang

Aus der Videoüberwachung sind IP-basierende Kameras und Lösungen heute nicht mehr wegzudenken. In vielen Anwendungen haben sie analoge Systeme bereits verdrängt. In anderen Bereichen dagegen hat sich das Standardprotokoll noch nicht im gleichen Maße durchsetzen können. Allerdings ist auch hier ein Trend zum Einsatz von IP und Ethernet zu erkennen.

Bild: Bosch
Bei Einbruch- und Brandmeldesystemen dient das IP-Protokoll immer häufiger für die Kommunikation der Meldezentralen mit dem übergeordneten Gebäudemanagementsystem. (Bild: Bosch)

Attraktiv sind Ethernet und IP für viele Unternehmen vor allem, weil sie den Aufbau separater Netzwerke für die Datenverarbeitung und die Sicherheitstechnik überflüssig machen können. Eine zentrale und einheitliche Verwaltung verspricht deutlich reduzierte Betriebskosten, und auch bei den Investitionen in die Infrastruktur führen die hohen Stückzahlen zu erheblichen Kostenvorteilen. Doch nicht nur finanziell zahlt sich der Einsatz standardisierter Netzwerktechnologien aus: Eines ihrer großen Versprechen ist die Schaffung einer gemeinsamen technischen Plattform für alle Bereiche der Sicherheitstechnik. Informationen von Videokameras, Brand- und Rauchmeldern oder Türsteuerungen können über einheitliche Protokolle, wie TCP/IP, und standardisierte Schnittstellen, wie OPC, zentral zusammengeführt werden. Ferner besteht so die Möglichkeit, mehrere Anwendungen auf einer gemeinsamen, flexiblen und konfigurierbaren Oberfläche anzuzeigen und miteinander zu verknüpfen. Zudem werden ganz neue Anwendungen durch die Digitalisierung überhaupt erst möglich.

Intelligenz in Kameras und Encodern

Dass „Security over IP“ heute häufig noch mit „Video over IP“ gleichgesetzt wird, hat nachvollziehbare Gründe, ist aber trotzdem falsch. Die Videoüberwachung ist heute allerdings der einzige Bereich der Sicherheitstechnik, in dem Ethernet und IP flächendeckend bis hin zum Sensor, nämlich der Videokamera, eingesetzt werden. Das ist nur deswegen möglich, weil Kameras vergleichsweise teure Systeme sind und die zusätzlichen Kosten für einen eigenen Prozessor und die notwendige Software dort nicht erheblich ins Gewicht fallen. Diesen geringen Zusatzkosten stehen jedoch erhebliche Kosteneinsparungen und andere Vorteile gegenüber.

Dank ihrer hohen Verarbeitungsleistung bieten moderne IP-Netzwerkkameras und -Encoder erheblich mehr als eine herkömmliche Videoübertragung. Insbesondere ermöglicht diese höhere Leistung den Aufbau dezentraler Videoarchitekturen mit intelligenten Funktionen direkt in den Encodern und Kameras. Bei diesem Ansatz werden alle „Ereignisse“ am Kamerastandort generiert und nur noch Videobilder von Interesse an die Leitstelle gesendet, was den Datenverkehr im Netzwerk deutlich reduziert. Dafür gibt es heute eine Vielzahl von Videolösungen, bei denen Festplatten direkt an die Kameras oder Encoder angeschlossen und als lokale Ringspeicher genutzt werden können.

Erheblich Kosteneinsparungen

Im Vergleich zu analogen Lösungen mit zentraler Videospeicherung bieten solche Systeme erheblich Kosteneinsparungen. Trotzdem geht der Trend bereits wieder weg von einfachen Netzwerkrecordern, denn der Einsatz von iSCSI-Laufwerken verspricht deutlich mehr Flexibilität und Zuverlässigkeit. So lassen sich mit iSCSI relativ einfach flexible Speichernetze mit Redundanz und einer automatischen Lastverteilung (Load Balancing) realisieren, so dass die Verfügbarkeit der Lösung jederzeit garantiert werden kann. iSCSI-basierende Speichersysteme sind zudem mittlerweile recht kostengünstig und lassen sich sehr einfach skalieren. Bedenkt man, dass die Speicherung von Videobildern nicht selten die Hälfte der Gesamtkosten für die Videoüberwachung ausmacht, sind dies starke Argumente für den Einsatz von iSCSI-Systemen.

Wenngleich IP heute in der Videoüberwachung als Standard gelten kann, gibt es doch noch einige Bereiche, in denen analoge CCTV-Technologien eingesetzt werden. Bei Spezialkameras, wie Dome- oder Infrarot-Kameras, spielt analoge Technik nach wie vor eine erhebliche Rolle – diese Systeme werden dann allerdings über entsprechende Decoder in das IP-Netzwerk integriert. Ähnlich sieht es in Bereichen mit harten Umgebungsbedingungen aus, in denen bei der digitalen Signalübertragung mit Störungen zu rechnen ist. Manche Unternehmen setzen auch im Außenbereich auf analoge Techniken, um einen physikalischen Zugang zu ihrem IP-Netz unmöglich zu machen. Allerdings gibt es hier auch andere Möglichkeiten, unbefugte Zugriffe wirkungsvoll zu verhindern, so dass sich IP-Kameras auch in der Außenhaut- und Freilandüberwachung zunehmend durchsetzen.

Auch Audio-Streams

Wurde IP in der Videoüberwachung zunächst nur für die Übertragung von Bildern eingesetzt, läuft heute auch der Audio-Stream immer häufiger über dieses Protokoll. Verbesserungen in der Netzwerktechnologie haben die Latency in den Bereich von 100 Millisekunden gedrückt, was für eine hochwertige Audioübertragung ausreichend ist (weswegen sich auch die Telefonie über das IP-Protokoll zunehmend durchsetzt). Qualitätsprobleme sind erst ab etwa 150 Millisekunden Latency zu erwarten. In modernen Gigabit-Netzen steht heute genügend Übertragungskapazität für Audio- und Videosignale zur Verfügung, zumal dieser Verkehr in virtuelle LANs (VLANs) separiert und dann mit einer hohen Priorität versehen werden kann. Dies erfolgt in der Regel über die Reservierung der notwendigen Bandbreite für den Videoverkehr in den Ethernet Switches. Solche Maßnahmen können vor allem dort erforderlich sein, wo die Videoüberwachung über das bestehende Datennetz betrieben wird und dieses bereits eine nennenswerte Auslastung aufweist.

Ein weiterer Vorteil der IP-Technologie ist die Tatsache, dass sie nicht zwangsläufig kabelgebunden ist. So lassen sich über WLANs relativ einfach auch Video- und Audio-Streams aus problematischen Umgebungen übertragen. Beispielsweise sind die Schleppkabel von Aufzugsanlagen in der Regel nicht für die Übertragung von Audio und Video ausgelegt – per WLAN lassen sich hier trotzdem zuverlässige und kostengünstige Überwachungs- und Notruflösungen realisieren.

Genauere Erkennung von Vorfällen

Der Trend weg von der analogen Videoüberwachung und hin zum vermehrten Einsatz von IP-gestützten Systemen hat auch eine Vielzahl von Lösungen für die intelligente Videoanalyse mit sich gebracht. Netzwerk-basierte Überwachung und intelligente Analyse ermöglichen zum einen eine deutlich genauere Erkennung von Vorfällen, da Konzentrationsmängel und andere menschliche Fehler von vornherein ausgeschlossen werden. Zum anderen machen sie das Sicherheitspersonal deutlich effizienter, da dieses nur noch auf generierte Alarme reagieren muss, statt ständig eine Vielzahl von Live-Bildern zu überwachen.

Bild: Bosch
Die Videoüberwachung ist heute der einzige Bereich der Sicherheitstechnik, in dem Ethernet und IP flächendeckend bis hin zum Sensor, nämlich der Videokamera, eingesetzt werden. (Bild: Bosch)

Waren die ersten intelligenten Systeme noch fast ausschließlich auf die Detektion von Bewegungen ausgelegt, gibt es heute wesentlich vielfältigere Alarmierungskriterien. Statt jede Bewegung zu melden, analysieren moderne Systeme auch die Größe des Objekts, seine Geschwindigkeit und seine Bewegungsrichtung und vermeiden so Fehlalarme wie bei der schon fast sprichwörtlichen Katze, die durch das Bild huscht. Interessant ist für viele Anwendungen auch eine Konfigurationsoption für Referenzobjekte. Hierbei werden alle relevanten Objektdaten, wie Größe, Geschwindigkeit und Farbe, in einer ausgewählten Live-Szene durch einen Mausklick auf das betreffende Objekt erfasst. Diese Informationen können dann als Überwachungskriterien zur späteren Verfolgung ähnlicher Objekte verwendet werden – auch über mehrere Kameras hinweg. So lässt sich beispielsweise sehr einfach erkennen, in welchen Bereichen des Firmengeländes sich eine verdächtige Person oder ein bestimmtes Fahrzeug bewegt hat.

Abstraktion durch Metadaten

Wenngleich bei vielen Anwendungen die zuverlässige Live-Alamierung im Vordergrund steht, ergibt sich doch oft die Notwendigkeit, Ereignisse später nachzuvollziehen. Eine Möglichkeit, diese Forensik deutlich zu beschleunigen, liegt in der Abstraktion. So können digitale Kameras neben dem eigentlichen Videobild auch Content-Analyse-Informationen in Form von Metadaten aufzeichnen. Diese bestehen aus einfachen Textzeichenfolgen mit Beschreibungen spezieller Bilddetails, wie Objekte oder Bewegungen. Die Metadaten haben ein wesentlich geringeres Volumen als die Videoaufzeichnungen selbst und lassen sich daher deutlich schneller und vor allem maschinell durchsuchen. Sie können zudem auch aus anderen Quellen wie etwa der Zutrittskontrolle stammen, so dass mit unterschiedlichen Techniken detektierte Ereignisse sehr einfach korreliert werden können.

IP jenseits von Video

Die Videoüberwachung hat dem IP-Protokoll den Zugang zur Sicherheitstechnik geebnet, doch der Einsatz digitaler Netzwerktechnologien ist schon lange nicht mehr auf Video beschränkt. Beobachter erwarten, dass die IP-Technologie schon bald auch den Markt für Zutrittskontrollsysteme beherrschen wird, da sie auch hier ihre Vorteile – Flexibilität, Standardisierung und geringe Kosten – voll ausspielen kann. Zwar ist nicht zu erwarten, dass die RS485-Schnittstellen der Terminals für die Zutrittskontrolle und die Zeitwirtschaft schon bald flächendeckend durch Ethernet ersetzt werden, doch verfügbar sind solche Systeme bereits. Allerdings sind IP-fähige Terminals wegen der erforderlichen Intelligenz noch spürbar teurer als ihre konventionellen Geschwister. Bei den Türkontrollern ist eine Ethernet-Schnittstelle für die Anbindung an die Zentrale dagegen heute Standard. Konfigurationsdaten für die einzelnen Terminals können so sehr einfach über das Netzwerk verteilt werden, und auch die Einbindung in ein zentrales Gebäudemanagement wird erheblich effizienter.

Ähnlich wie bei der Videoüberwachung ermöglicht auch die Digitalisierung der Zutrittskontrolle ganz neue Anwendungen, die einerseits die Sicherheit erhöhen und andererseits Kosten sparen können. So lassen sich viele digitale Zutrittskontrollsysteme über eine LDAP-Schnittstelle mit den gängigsten Verzeichnissystemen aus der EDV, wie etwa dem Active Directory, kombinieren, so dass die Zugangsrechte zur physischen und zur DV-Welt sehr effizient zentral verwaltet werden können.

Preissensitive Sensoren

Auch bei Einbruch- und Brandmeldesystemen dient das IP-Protokoll immer häufiger für die Kommunikation der Meldezentralen mit dem übergeordneten Gebäudemanagementsystem. Auf Sensorebene dagegen hat es sich bisher nicht durchsetzen können, da die Sensoren hier einfach und sehr preissensitiv sind. Zusätzliche Intelligenz wird nicht unbedingt benötigt, Extrakosten für eigene CPUs und die erforderliche Software sind daher in der Regel nicht zu rechtfertigen. Zudem stehen für den Anschluss der Melder an die Zentralen ausgereifte und kostengünstige Technologien, wie LSN (Lokales Sicherheitsnetzwerk), zur Verfügung, über die Ereignisse nicht nur gemeldet, sondern auch sehr genau lokalisiert werden können. Auch die für Hochsicherheitsanwendungen wie den Brandschutz notwendigen Zertifizierungen tragen dazu bei, dass IP sich dort auf der Sensorebene noch nicht durchsetzen konnte.

Bild: Bosch
Bisher existiert bei der Gefahrenmeldetechnik kein einheitlicher Standard. (Bild: Bosch)

Ein weiteres Problem ist die fehlende Standardisierung in der Kommunikation zwischen Geräten unterschiedlicher Hersteller. Während sich bei der Videotechnik mit Onvif eine Standardisierungsorganisation gebildet hat, der praktisch alle namhaften Hersteller, wie Axis, Bosch, Cisco, Panasonic, Sony und viele andere, angehören, ist die Welt in der Gefahrenmeldetechnik gespalten. Mit dem aus der Prozesstechnik stammenden OPC und dem in der Gebäudeleittechnik beheimateten Bacnet existieren hier zwei Standards, die allerdings beide auf TCP/IP als Transportmedium zurückgreifen können. Dennoch würde ein einheitlicher Standard für die Gerätekommunikation sicher auch die Akzeptanz eines Standard-Transportmediums, wie TCP/IP, fördern.

Sicherheitstechnik absichern

Betreibt man die Sicherheitstechnik über eine IT-Infrastruktur, muss man sich zwingend auch mit der Frage der IT-Sicherheit beschäftigen. Daten aus der Videoüberwachung oder der Brandmeldeanlage sind kritisch und/oder vertraulich; sie dürfen weder in falsche Hände gelangen noch der Gefahr der Manipulation ausgesetzt werden. In manchen Unternehmen kommt es daher vor, dass für die Sicherheitstechnik zwar IT-Technologien eingesetzt, aber trotzdem separate Netze aufgebaut werden. Der leitende Gedanke ist dabei, dass die Trennung von Sicherheits- und Datennetz einen erheblichen Sicherheitsgewinn bringt und auch der Performance beider Netze zugute kommt. Allerdings lassen sich eine solche Trennung und der damit verbundene Sicherheitsgewinn auch innerhalb eines physischen Netzes erreichen. Virtuelle LANs ermöglichen nicht nur garantierte Bandbreiten für die anspruchsvolle Videoübertragung, sondern auch das Management unterschiedlicher Berechtigungen für die einzelnen VLANs. Damit können logisch völlig separate Netze über eine einheitliche physische Infrastruktur realisiert werden.

Der logische Zugang zu dieser Infrastruktur wird dann mit den Mitteln der IT-Security abgesichert. So lassen sich über IEEE 802.1X nicht nur Personen authentifizieren, sondern auf Ebene von Ethernet-Ports auch einzelne Geräte. Damit kann ausgeschlossen werden, dass jemand an einem zugänglichen Port ein nicht zugelassenes Gerät in das Netzwerk integriert, etwa indem er den Anschluss einer Videokamera im Außenbereich „anzapft“. Unbefugtes Abhören von Daten lässt sich in IP-Umgebungen zudem recht einfach über Verschlüsselungstechniken verhindern.

IP heißt nicht IT

IP-basierte Architekturen ermöglichen heute auch in der Sicherheitstechnik sehr flexible und kostengünstige Lösungen, da viele Standard-Komponenten aus der Welt der Informationstechnik verwendet werden können. Trotzdem sollte die physische Sicherheit nicht lediglich als Teil der IT gesehen werden, da nach wie vor die sicherheitstechnische Erfahrung der Mitarbeiter in Planung, Einrichtung und Überwachung die Qualität und die Effizienz der Gesamtlösung bestimmen. Aus der Sicht der IT ist die physische Sicherheit nur eine weitere Applikation, die gewisse Anforderungen an das Netzwerk stellt. Für den Sicherheitsverantwortlichen dagegen ist die IT ein zunehmend wichtiger werdendes Werkzeug, ohne das er sein Handwerk nicht mehr beherrschen kann. Für ihn ist es daher essentiell, sich intensiv mit den neuen Technologien auseinander zu setzen – sonst übernimmt über kurz oder lang die IT-Abteilung nach der Telekommunikation auch die Sicherheitstechnik.

Christoph Hampe, Vertriebsreferent, Bosch Sicherheitssysteme GmbH

Weitere Informationen erhalten Sie bei Ihrem BOSCH Vertriebspartner:
ViSiTec Video-Sicherheit-Technik GmbH