Übertragungstechnik
Inhaltsverzeichnis
Einleitung Übetragungstechnik
Rückschau
Es war immer ein Wunsch der Sicherheitstechnik, eine ständige Überwachung des gesamten Übertragungsweges mit relativ zeitnaher Erkennung einer Unterbrechung und zu moderaten Preisen, anbieten zu können. Nach Jahren ohne Alternativen zur teuren Standard Festverbindung (fest geschaltete Standleitungen über Kupfer) und bedarfsgesteuerter Übertragung mittels AWAG´s und AWUG´s bekamen wir Ende der 80iger Jahre (1988) mit TEMEX erstmals eine echte Leitungsüberwachung über das analoge Telefonnetz. Leider wurde dieser Dienst im Jahr 1994, mit Einführung digitaler Techniken (z.B. ISDN) schon wieder eingestellt. Einige Jahre später wurde von der TELEKOM und der Sicherheitstechnik das schon relativ alte und langsame Datex-P Netz (X.25) in Verbindung mit dem ISDN-D-Kanal „wiederentdeckt“ und überwiegend durch die TELEKOM-Tochter I.T.E.N.O.S. im Markt eingeführt. Dieser Übertragungsweg ermöglicht eine überwachte Verbindung zwischen Endgerät (ÜG) und Alarmempfangseinrichtung (AE). Dabei erfolgt die Verbindungsüberwachung durch die Netztechnologie, diese sendet Informationen an beide Teilnehmer (ÜG und AE) immer dann, wenn eine Datenübertragung nicht mehr gewährleistet, bzw. wieder gewährleistet werden kann. Verbindungsunterbrechung und Verbindung wieder in Ordnung sind Meldungen, die bestimmt einigen bekannt sind. Ein sichere, aber auch teure Lösung mit ca. 35,00 € / Monat auf der Nutzerseite und mindestens 125,00 € / Monat auf der NSL Seite. Dieser Dienst wurde bereits abgekündigt, inzwischen in Teilbereichen schon zurückgebaut, und wird ab ca. 2014 nicht mehr zur Verfügung stehen.
Ausblick
Anfang Oktober 2008 haben Vertreter der TELEKOM die Institutionen und Verbände (VdS, BHE, ZVEI) informiert, dass ab 2014 die analogen und digitalen Netze (ISDN) nicht mehr angeboten werden.
(Zitat der Telekom: „nicht mehr flächendeckend zur Verfügung stehen“)
Bisher getrennte Dienste wie Telefonie und Datendienste werden Zug um Zug in ein neues IP (Internet Protokoll) gestütztes Netz (NGN = Next Generation Network) überführt. Sprachanrufe sind zwar weiterhin über analoge und ISDN Telefone möglich, eine Datenübertragung über diese „Netzauskopplungen“ aber ausgeschlossen. In diesem Zusammenhang ist ein in der Fachzeitschrift „Funkschau“ vom 22. Mai 2009 erschienener Artikel interessant. Hierin wurde berichtet, dass die Bundesnetzagentur auf Anfrage ausführte: Es sei nicht beabsichtigt das ISDN Protokoll mittelfristig abzukündigen. Dazu gäbe es noch zu viele Nutzer. Nach aktuellen Zahlen waren das Ende 2008 immerhin noch 13 Millionen ISDN und 22,4 Millionen analoge Anschlüsse. Gleichwohl ist zu beobachten, dass nahezu alle alternativen Netzanbieter bereits ihre analogen und ISDN Anschlüsse abgekündigt haben bzw. nicht mehr anbieten. Bei Bedarf werden diese von der TELEKOM zugemietet. Leidvoll müssen viele Nutzer, die oft aus Kostengründen den Anbieter wechseln, feststellen, dass Übertragungsgeräte nach der Umstellung nicht mehr funktionieren. Hektische Aktionen, doch wieder eine sichere Übertragung ans Laufen zu bekommen, sind sicher vielen bekannt.
Fazit
Auch wenn die genannten Zeiträume nicht eingehalten werden, die Umstellung der Netze kommt!
Die TELEKOM will und kann sich die unterschiedlichen Netze und Dienste nicht mehr leisten zumal zwischenzeitlich für „alte Techniken“ sowohl eine materielle wie personelle Verfügbarkeit fehlt. Internationale Verpflichtungen für Netzübergänge sind ein weiteres und wesentliches Zeitargument.
Einführung der IP Übertragungstechnik in der Sicherheitsbranche
Seit etwa 1 ½ Jahren beschäftigt sich die Sicherheitstechnik nun mehr oder weniger erfolgreich mit der für unsere Branche neuen Übertragungstechnik. Unternehmen treiben die Entwicklung neuer Produkte voran. Richtlinien-und Normengremien schaffen erste Rahmenbedingen für eine Nutzung der Netze unter sicherheitstechnischen Aspekten. Verbände informieren in Seminaren über Auswirkungen mit Einführung der NGN Netze. Schon jetzt ist zu sagen: das Internet und Netzwerk bietet der Sicherheitsbranche die Möglichkeit, den Idealvorstellungen an überwachte Übertragungswege wieder sehr nahe zu kommen. Erstmals bestimmen wir die Überwachungsart und die Zeitzyklen selbst, ohne dabei auf Kosten achten zu müssen. Nahezu jeder Haushalt bzw. Betriebsstätte kann über einen IP Zugang mit Flatrate verfügen. Künftige Ersatzwege z.B. über GPRS stehen bereits zur Verfügung und sind letztendlich wiederum nur ein weiterer IP Zugang zur NSL. Anschaffung, Unterhalt und laufende Kosten sind eher gering.
Erfahrungen beim Umgang mit IP Aufschaltungen
Derzeit ist noch eine große Verunsicherung bei allen Beteiligten zu spüren. Der typische „Fach-Errichter“ hatte bis heute kaum etwas mit Netzwerk und Internetübertragungen zu tun. Mehr oder weniger wurde man höchstens im privaten Bereich mit dem Thema - Einrichten eines Internetzugangs - konfrontiert. In den Notruf- und Serviceleitstellen fehlt meist grundsätzlich technisch ausgebildetes Personal. Bei einem Blick hinter die Kulissen werden immer noch nicht gelöste Probleme mit den derzeitigen Übertragungswegen sichtbar, neue Techniken sollen aber bereits eingeführt werden. Es fehlt eine schonungslose Analyse aller kleinen und großen Probleme in Verbindung mit Übertragungswegen, Übertragungsgeräten, Alarmempfangseinrichtungen und, nicht zu vergessen, mit der nachgeschalteter Bearbeitungssoftware.
Stellvertretend sollen hier zwei Punkte hervorgehoben werden:
- ein oft genug fehlendes Rufnummernmanagement
- Verbindungsunterbrechungen, die aus Datex.P / X.31 Aufschaltungen hinlänglich bekannt sind und bei vielen Leitstellenbetreibern zu „Schweißausbrüchen“ führen.
Bei IP Übertragungen wird diese Problematik, durch die zu erwartenden Mengen an Aufschaltungen und nicht beeinflussbare Qualität der Übertragungswege, noch verstärkter auftreten. Wir sehen bereits erste Versuche sich von der „Meldungsflut“ zu befreien. Wenngleich die durchgeführten Maßnahmen der falsche Ansatz sind, zeigt dies doch, dass hier rasch Lösungen und Regeln geschaffen werden müssen.
So wurde z.B. in einem Fall die Überwachungszeit für Verbindungsunterbrechungen auf 10 Minuten eingestellt. Um die Problematik und ein eventuelles Haftungsrisiko aufzuzeigen: die aktuell geforderte Zeit bis zur Erkennung einer Verbindungsunterbrechung liegt derzeit bei 20 Sekunden. In vielen Fällen werden die Verbindungsstörungen und Aufbaumeldungen über die Anwendungssoftware ausgeblendet. Ersatzwege werden nicht geprüft bzw. in einem ungeeigneten Format übertragen. Sicher erkannte Verbindungsstörungen und Aufbaumeldungen spielen jedoch eine wesentliche Rolle für Folgeszenarien, z.B. dem Ersatzwegemanagement oder zur Statusanzeige für fehlende oder stehende Verbindungen.
Um die Grundlagen einer Internet- und Netzwerk-Aufschaltung näher zu bringen, hier zwei vereinfachte grafische Darstellungen. `
Alarmübertragung über das Internet
Leicht zu erkennen ist, dass es zwei lokale Netzwerke gibt (ÜG und AE) die durchaus gleich aufgebaut sein können. Verbunden werden die beiden Netzwerke durch Router über das Internet.
Ist das Netzwerk der AE einmal eingerichtet sowie der Router ins Internet konfiguriert, müssen dem Errichter lediglich die Internet-Adresse des Routers und die eingerichtete Port Nummer benannt werden.
Anmerkung
Man muss beachten, dass die Netzwerkeinträge für die AE das lokale Netzwerk betreffen, als Zieladresse im ÜG aber die Internetadresse des Routers zu konfigurieren ist.
Alarmübertragung über ein lokales Netzwerk
In einem lokalen Netzwerk sind lediglich die Zieladresse der AE und die Port Nummer interessant.
Anforderung an die Komponenten Nutzerseite
Betrachten wir die Nutzerseite, hier wird im Regelfall der Router vom Internetprovider kostenlos zur Verfügung gestellt. Die TELEKOM bezeichnet diesen Router als „Schüttgut“ der von x Herstellern eingekauft wird und „billig“ sein muss. Aussagen zur Qualität sind beim besten Willen nicht zu bekommen. Auf konkretes Befragen wurde geantwortet, dass man gegen Aufpreis auch einen qualitativ „guten“ Router bekommen könne. In der Konsequenz ist der Nutzer durch Verbindungsunterbrechungen betroffen, die gegebenenfalls einen Neustart des Routers vor Ort erfordern. Bei Internetverbindungen eventuell noch hinnehmbar, in Sicherheitsanwendungen wird das zum Problem führen. Hier ist der Installateur der GMA gut beraten, selbst ein geeignetes Produkt auszuwählen und gegebenenfalls dem Kunden, zumindest in Problemfällen, anzubieten. Noch besser ist aus unserer Sicht, den Router (Hersteller und Typ) vorzugeben bzw. gleich zu liefern. Das (positive) Ergebnis ist in der Regel sofort durch eine stabile Verbindung nachweisbar.
Anforderung an die NSL-Seite
Hier ist die Qualität des Internetzugangs und des Routers von wesentlicher Bedeutung. Produkte namhafter Hersteller sind hier erste Wahl. Zusätzlich muss der Router, ebenso wie der Internetzugang, die erforderte Anzahl logischer Verbindungen gewährleisten. Eine wesentliche Kennzahl, die für den störungs- sprich unterbrechungsfreien Betrieb entscheidend ist.
In der ersten Annäherung ist mit 1Kbit erforderlicher Bandbreite pro logischer Verbindung zu rechnen. (Hier sind bereits 50% Sicherheit eingerechnet). Diese Angaben sind derzeit noch nicht mit Langzeiterfahrungen unterlegt. NSL´s mit einer entsprechenden Anzahl an IP Aufschaltungen sind noch eher selten. Wird der Zugang auch für andere Dienste genutzt (denkbar sind bei entsprechender Bandbreite des Zugangs auch Videoaufschaltungen), so ist für ein „Bandbreitenmanagement“ im Router zu sorgen. Fehlende Bandbreite führt zu Verbindungunterbrechungen und, bei VdS Anwendungen, zur Auslösung des Ersatzweges. Die AE benötigen sowohl für den Download als auch für den Upload eine gleiche und garantierte Bandbreite. Dies ist bei einem asymmetrischen Zugang nicht gewährleistet. Die Bandbreiten für Download und Upload unterscheiden sich hier wesentlich, garantierte Bandbreiten sind nicht möglich.
Bei einem Wechsel des Zugangs von ADSL auf DSL bzw. bei einem Providerwechsel läuft man Gefahr, dass sich die Internetadresse ändert. Das würde ein Umprogrammieren aller bereits aufgeschalteten Übertragungsgeräte, mit allen Konsequenzen, bedeuten.
Die Frage nach der Verfügbarkeit eingesetzter Komponenten, das Serviceangebot des Providers z.B. bei Internetangriffen, eine erreichbare und qualitativ hochwertig besetzte Hotline, vernünftige Reaktionszeiten zwischen Störungsannahme und Störungsbeseitigung stehen ohnehin nur bei professionellen Netz-Zugängen, wie z.B. dem Business Connect der TELEKOM, zur Verfügung.
Verschlüsselung Die VdS Richtlinie setzt faktisch eine Verschlüsselung in allen Netzen voraus. Gleichwohl ist nach unseren Erfahrungen ein wesentlicher Teil der Aufschaltungen unverschlüsselt.
Warum?
Dies liegt vermutlich auch darin begründet, dass einige Hersteller von Übertragungs- und Empfangstechniken sehr spät ein praktikables „Verschlüsselungshandling“angeboten haben. Sowohl Errichter als auch Betreiber von Notruf- und Serviceleitstellen sind hiemit überfordert.
Wenngleich die VdS Richtlinie 2465-S2 die automatische Verschlüsselung als Standard definiert und nur in Ausnahmen eine manuelle Schlüsselvergabe vorsieht, war bzw. ist die unverschlüsselte Aufschaltung noch die Regelanwendung. Nachvollziehbar ist, dass es nicht jedermanns Sache ist, stets einen anderen 32-stelligen Schlüssel, bestehend aus Ziffern von 0 bis 9 und Buchstaben von A bis F, zu generieren und neben einer eindeutigen Schlüsselnummer zu verwalten.
Häufig wird nur ein Schlüssel und eine Schlüsselnummer angelegt und allen Errichtern mitgeteilt.
Dadurch geht jedoch die wesentliche und positive Eigenschaft der Verschlüsselung verloren:
Die Authentifizierung (Eindeutigkeit) einer Aufschaltung.
Ist der (gleiche) Schlüssel erst hinlänglich bekannt, kann jedes beliebige Übertragungsgerät entsprechend programmiert und ersatzweise eingesetzt, getauscht oder gar eine Aufschaltung von einem beliebigen Internet-Zugang simuliert werden. Die NSL kann dadurch leicht getäuscht werden, muss sie doch von einer ordnungsgemäßen und manipulier sicheren, da verschlüsselten, Verbindung ausgehen. Die Sicherheit entspricht bei gleichen Schlüsseln eher einem unverschlüsselten Zugang!
Erforderliches Backup-Konzept der AE
Eine „echte“ Verschlüsselung des Übertragungsprotokolls führt jedoch auch zu Konsequenzen in der Datensicherung. (Wer „A“ sagt, muß auch „(B)ackup“ sagen! ) Ist eine Alarmempfangseinrichtung zu ersetzen, so müssen alle Schlüssel, Schlüsselnummern und dazugehörigen Objekte aktuell und in geeigneter Form zur Verfügung stehen. Diese Daten sind für eine „Rücksicherung“ in die Ersatz-Alarmempfangseinrichtung erforderlich.
Sind die vorgenannten Daten nicht bekannt bzw. nicht Restore fähig, können alle verschlüsselt aufgeschalteten Übertragungsgeräte keine Verbindung mehr aufbauen. Es ist nicht auszuschließen, dass dann in allen ÜG´s ein neuer Schlüssel installiert werden muss. Über die Organisation einer zeitnahen Ausführung und eventuell entstehende Kosten ist sicher rechtzeitig nachzudenken.
Ersatzwegemanagement
In den VdS Richtlinien und künftigen Europa Normen wird bei Netzwerk- und Internetübertragung, im Gegensatz zu den als sicher geltenden Festnetz- und Mobilfunk-Verbindungen, immer von einem unsicheren Verbindungsweg ausgegangen. Mögliche äußere und innere Angriffe, netzabhängige Komponenten (230V) und nicht unmittelbar in die Verantwortung zu nehmende Netzprovider rechtfertigen diese Meinung.
In allen Richtlinien und Normen wird daher stets ein Ersatzweg gefordert. Bei Ausfall des Hauptübertragungsweges (IP) muss sofort interveniert werden, außer der Versicherungsgeber stimmt einer alternativen Übertragung über einen Ersatzweg zu. Die derzeit gültigen VdS Richtlinien sehen für diesen Fall eine zyklische Überprüfung des Ersatzwegs z.B. durch das Senden einer Routinemeldung (Polling) im 10 Minuten Zyklus vor. Bleibt diese Meldung ebenfalls aus, muss sofort interveniert werden.
Berücksichtigt man nun diese Forderung und setzt sie in Bezug zur Übertragungszeit einer Meldung, bei unterschiedlichen Übertragungswegen, ergeben sich interessante Aspekte.