-
Die
vorliegende Erfindung betrifft das oberbegrifflich Beanspruchte.
Damit befasst sich die vorliegende Erfindung mit dem Schutz von
Datenquellen gegen zeitweilig unerwünschte Fernabfragen.
-
Es
gibt eine Vielzahl von Datenquellen, die über Kommunikationskanäle Daten
an entfernt angeordnete Empfänger übertragen,
was im Vorliegenden allgemein als „Fernabfrage" verstanden wird.
Zu derartigen Datenquellen gehören
neben Servern für
Betriebe auch Produktionsanlagen, die Produktions- und Steuerungsdaten
an eine Zentrale übertragen können, um
von dieser gesteuert zu werden, Messgeräte und Sensoren, die aus der
Entfernung abgefragt werden können
und insbesondere Kameras wie Video-Digitalkameras, die etwa zur Überwachung
eines Objekts, beispielsweise eines Bahnhofs, eines anderen öffentlichen
Platzes oder eines privaten Gebäudes
eingesetzt werden können.
Derartige fernabfragbare Datenquellen sollen typisch aber nicht
für jedermann
Daten bereitstellen, sondern nur für ausgewählte Empfänger. Um die Übertragung
von Daten an unbefugte Dritte zu unterbinden, ist es deswegen im
Regelfall erforderlich, zunächst
an die fernabfragbare Datenquelle einen Zugriffscode (Passwort)
zu senden, der der Datenquelle anzeigt, dass eine berechtigte Fernabfrage
vorliegt.
-
Bei
komplexeren Systemen wie Netzwerken in Unternehmen, aber auch bei Überwachungseinrichtungen
mit einer Mehrzahl an Kameras usw. ist es mittlerweile gebräuchlich,
dass die Installation der Datenquellen nicht durch den späteren Benutzer, sondern
einen für
die Installation besonders qualifizierten Techniker, Systemadministrator
oder dergleichen erfolgt. Dieser hat typisch Kenntnis vom Zugriffscode,
um die erforderlichen Einstellungen an den Datenquellen vornehmen
zu können.
Während ihm
der Zugriff auf die fernabfragbaren Datenquellen aber in Wartungs-
oder Ersteinrichtungsperioden ohne weiteres zu gestatten ist, gilt
dies nicht mehr, wenn eine Anlage per se problemfrei läuft. Beispielhaft
sei hier ein Mehrkamerasystem genannt, bei welchem für jede einzelne
Kamera ein Bildausschnitt, eine Abtastfrequenz, eine Bildgröße usw.
einmalig einzurichten ist, danach aber durch das fertig eingerichtete
Kamerasystem nur noch die Sicherheit des überwachten Bereiches gewährleistet
werden muss, ohne dass die Privatsphäre einer im überwachten Bereich
lebenden Person durch den Systemadministrator beeinträchtigt werden
soll. Nur solange der Bewohner des überwachten Bereichs sämtliche
Einstellungen und die Beobachtung der Bilder allein vornehmen würde, wäre dies
unproblematisch. Bei der typischen Einschaltung eines System administrators,
Installateurs oder dergleichen kann dagegen nie vollständig ausgeschlossen
werden, dass ein Zugriff auf die fernabfragbaren Datenquellen auch
außerhalb von
WartungsPerioden zur Befriedigung der Neugier des Installateurs,
zur kommerziellen Verwertung unbefugt fernabgefragter Daten wie
bei Werksspionage oder dergleichen erfolgt. Kommt es hingegen zu
Störungen,
ist es erforderlich, den Zugriff einfachstmöglich wieder freizugeben.
-
Es
ist wünschenswert,
eine hohe Sicherheit gegen unerwünschten
Fremdzugriff auch bei fremdadministrierten Datenquellen gewährleisten
zu können.
-
Die
Aufgabe der vorliegenden Erfindung besteht darin, Neues für die gewerbliche
Anwendung bereitzustellen.
-
Die
Lösung
dieser Aufgabe wird in unabhängiger
Form beansprucht. Bevorzugte Ausführungsformen finden sich in
den Unteransprüchen.
-
Die
vorliegende Erfindung schlägt
somit in einem ersten Grundgedanken eine Zugriffskontrollsteuerung
für zugriffscodegeschützte fernabfragbare Datenquellen
vor, bei welcher ein Mittel zur zumindest temporären Änderung eines als zulässig bekannten
Zugriffscodes in einen dem vom Zugriff zu sperrenden Dritten unbekannten
Zugriffcode vorgesehen ist, um die Fernabfrage mit dem als zulässig bekannten
Zugriffscode zumindest temporär
zu sperren. Als „fern" gilt eine Abfrage
dabei für
Zwecke der vorliegenden Erfindung bereits bei Vorliegen eines räumlich geringen
Abstandes zwischen Datensender und -empfänger, beispielsweise auch schon
bei Logikkomponenten auf Platinen, im Computer usw. Als „Quelle" wird für Zwecke
der vorliegenden Erfindung nicht nur eine Einheit verstanden, in
welcher wie bei Kameras Daten erzeugt werden, sondern auch z. B. solche
Einheiten, durch welche Daten durchgeleitet werden wie Switches,
Router, Hubs usw. und die eine für
die Beeinflussung des Zugriffes, d. h. dort der Weiterleitung und/oder
Sendung, geeignete Anordnung umfassen. So kann etwa der Zugriff
auf einen Server über
einen Router durch Eingriff bei demselben unterbunden werden.
-
Ein
wesentlicher Aspekt der vorliegenden Erfindung besteht darin, dass
datenquellenunabhängig ein
einem Systemadministrator oder Techniker bekannter Zugriffscode
wenigstens temporär
gesperrt werden kann, wobei der einzige, von einem nicht erfahrenen
beziehungsweise nicht eingewiesenen Benutzer durchzuführende Zugriff
auf die fernabfragbaren Datenquellen die Zugriffscodesperrung oder
-freigabe an der Zugriffskontrollsteuerung ist. Da ein solcher Zugriff
ohne weiteres durch eine einfache Betätigung ohne komplizierte Technik
durchgeführt
werden kann, ist einerseits die Einrichtung auch komplexer Systeme
durch geschultes Personal gewährleistet
und andererseits die Bedienung so weit vereinfacht, das ein Benutzer
einer fernabfragbaren Datenquelle wie einer Kamera keine Sorge haben
muss, dass Daten zu Zeiten, in welchen er dieses nicht wünscht, fernabgefragt
werden.
-
Die
Zugriffskontrollsteuerung erfolgt dabei bevorzugt durch die temporäre Fernänderung
eines als zulässig
bekannten Zugriffscodes, das heißt die Änderung des Zugriffscodes der
fernabfragbaren Datenquelle erfolgt beabstandet von dieser und unter
typischer Verwendung einer dedizierten Einheit, die ausschließlich zur Überwachung
und Steuerung des Zugriffs dient.
-
Dies
kann erfolgen, indem der Zugriffscode in einen statt dessen zu verwendenden,
dem hinsichtlich seines Zugriffs zu sperrenden Administrator oder
Techniker nicht bekannten Substitutivcode geändert wird, der den zuvor verwendeten
Zugriffscode an der zu sperrenden Datenquelle ersetzt. Die Freigabe
kann dann entweder durch einfache Bekanntgabe eines z. B. zufällig ermittelten
Substitutivcodes an den Administrator erfolgen oder aber durch Rücksetzen
des damit nur temporär
gesetzten Codes. Eine Freigabe könnte
beispielsweise so geschehen, dass der Code an der Zugriffskontrollsteuerung
angezeigt wird und dem Techniker im Bedarfsfall diktiert wird.
-
In
einer bevorzugten Variante ist die Zugriffskontrollsteuerung wie
erwähnt
eine von der Datenquelle getrennte und mit dieser über einen
Datenfernübertragungskanal
kommunizierende Einheit. Es sei erwähnt und wiederholt, dass als
Fernabfrage im Sinne der vorliegenden Erfindung auch ein System
verstanden wird, bei welchem Daten automatisch, z. B. im Alarmfall,
an eine oder mehrere bestimmte Stellen gesendet werden, sofern von
dort ein entsprechender Zugriffscode bestätigt, gegebenenfalls automatisch
bestätigt
wird. Im übrigen
sei darauf hingewiesen, dass als Datenfernübertragungskanal jedweder Übertragungsweg
und/oder jedwede Übertragungsart
und/oder -möglichkeit
zu verstehen ist, auch wenn beispielsweise ein Signalspreizen auf
eine Vielzahl von Frequenzen beziehungsweise „Kanälen" in engerem Sinne erfolgt, wie dies
etwa bei gängigen
Mobilfunkanwendungen der Fall ist. Bei dem Zugriffscode kann es
sich um einen alphanumerischen Code handeln, der insbesondere in
anderer als dezimaler Form, beispielsweise binär, vorliegen kann.
-
Es
ist möglich,
eine Datenquelle so auszubilden, dass sie unter Verwendung unterschiedlicher Zugriffscodes
angesprochen werden kann. Die Zugriffskontrollsteuerung kann dann
wahlweise nur einen Teil der Zugriffscodes sperren oder aber alle
Zugriffscodes temporär
außer
Kraft setzen. Dies kann vorteilhaft beziehungsweise erforderlich
sein, wenn beispielsweise bei einem komplexen Kamerasystem ein Teil
der Wartungs- und Installationsaufgaben und/oder Überwachungsaufgaben
innerhalb eines Hauses bewerkstelligt werden kann, während für komplexere
Eingriffe ein Zugriff von außen
erforderlich wird. Dieser komplexere Zugriff von außen kann dann
beispielsweise gesperrt werden, ohne dass der Zugriff von innen
beeinträchtigt
wird. Es ist einzusehen, dass eine derartige Anordnung zwar bei
privaten Anwendern ein möglicherweise
nur geringeres Maß an
Bedeutung besitzt, dass aber bei öffentlichen Anwendungen wie
zur Überwachung öffentlicher
Plätze, Bahnhöfe und dergleichen
die beschriebene bevorzugte Variante von besonderem Nutzen sein
kann, weil durch sie zugleich sichergestellt ist, dass selbst jene
Unbefugten, die sich wider Wissen und/oder Willen eines vollzugriffsberechtigten
Systemadministrators den Zugriffscode beschafft haben, keine Manipulation
eines Überwachungssystems
oder dergleichen möglich
ist.
-
Es
ist möglich,
dass die Datenquelle Fernabfragen oder -wartungen (was im Vorliegenden
durchgehend auch als „Fernabfrage" verstanden wird)
in hierarchischer Weise zulässt,
wobei dann auch die Zugriffscodes hierarchisch gruppiert sein können, und
eine Sperrung oder Freigabe der Zugriffscodes in hierarchischer
Weise erfolgt. So ist es beispielsweise möglich, einem einfachen Benutzer
eines Systems mit der Fernabfrage ein Schwenken eines Kamerasystems
in einem gegebenen Bereich zu erlauben, nicht aber eine Veränderung
der Licht empfindlichkeit oder ein Ein- beziehungsweise Ausschalten von
Mikrofonen, um sicherzustellen, dass er nicht zum Beispiel durch
bewusstes Verdunkeln der Bilder die Überwachung stören oder
unterbrechen kann. Die Zugriffskontrollsteuerung wird in einer bevorzugten
Variante ein Mittel zur Datenfernübertragung über einen Netzwerkanschluss,
insbesondere über
LAN- und/oder WLAN-Verbindungen,
Bluetooth-, GSM-, UMTS-, CAN-, EIB- oder einen anderen drahtlosen Kanal
aufweisen; die Verwendbarkeit mit anderen Protokollen sei explizit
erwähnt.
-
Das
Zugriffskontrollsystem kann auch über einen Bus oder eine busartige
Leitung mit dem Datenfernübertragungsmittel
kommunizieren. während eine
bevorzugte Anwendung der Erfindung Kamerasysteme sind, die zur Heimüberwachung
eingesetzt werden sollen, erlaubt die Verwendung von Bussystemen
auch, Geräte
geschützt
betreiben zu können, bei
denen die Datenfernabfrage innerhalb des Gerätes in voneinander beabstandeten
Einheiten und Teileinheiten erfolgt. So kann beispielsweise sichergestellt
werden, dass ein umprogrammierlicher Eingriff nicht ungewollt in
ein laufendes System wie eine Produktanlage geschieht, indem ein
solches automatisch gesperrt wird.
-
In
einer bevorzugten Variante ist die Zugriffskontrollsteuerung mit
einem Speichermittel ausgebildet, in dem der zumindest temporär zu sperrende
Zugriffscode gespeichert wird, und sie weist zugleich ein Zugriffscodeänderungsmittel
zur Änderung
des oder eines die Freigabe der Datenfernübertragung erlaubenden Zugriffscodes
in der Datenquelle auf. Dieses Zugriffscodeänderungsmittel wird so ausgebildet
sein, dass es dem Übertragungsprotokoll
für den
Zugriffscode und die Zugriffscodeänderung genügt. Mit anderen Worten erkennt
die Zugriffskontrollsteuerung, dass und wann sie zum Beispiel von der Datenquelle
aufgefordert ist, einen Zugriffscode einzugeben und es ist möglich, einen
Zugriffscode durch einen anderen zu ersetzen.
-
Weiter
wird die Zugriffskontrollsteuerung in der bevorzugten Variante ein
Sperr-Entsperrmittel aufweisen, auf dessen Sperrbetätigung hin
der zumindest temporär
zu sperrende Zugriffscode zunächst
in einen Speicher eingeschrieben wird, dann der soeben gespeicherte
Zugriffscode an der fernabfragbaren Datenquelle geändert wird
in einen statt dessen gültigen
Substitutivcode und ein Rücksetzen des
Zugriffscodes auf den im Speichermittel abgelegten, temporär zu sperrenden
Zugriffscode erst auf Entsperren des Sperr-/Entsperrmittels vorgenommen wird.
Das Sperr-/Entsperrmittel ist dabei bevorzugt zur mechanischen Betätigung ausgebildet.
Dies kann in einer bevorzugten Variante durch einen Schlüsselschalter
geschehen, oder aber, sofern die Zugriffskontrollsteuerung gegen
unbefugte Betätigung
etwa durch Anordnung in einem nur einem beschränkten Personenkreis zugänglichen
Bereich ohnehin gesichert ist, auch durch einfache Drehschalter,
Kippschalter oder Drucktaster. Es sei darauf hingewiesen, dass anstelle
und/oder zusätzlich
zu mechanischen Schaltern gleichfalls induktive Näherungsschalter vorgesehen
sein können,
die automatisch bei Annäherung
eines entsprechenden, beispielsweise induktiv abgetasteten Senders,
eine Fernabfrage durch Zugriffscodesperrung verhindern; auf RFID-Techniken
wird insbesondere insoweit verwiesen, wenngleich es bevorzugt ist,
anstelle der Annäherung
einer Chipkarte oder dergleichen wie bei der berührungslosen Abtastung eher
eine mechanische Ver- und
Entriegelung vorzusehen, da eine solche ein direkteres Kontrollgefühl verleiht
und insoweit den Eindruck der erhöhten Sicherheit verschafft.
-
In
einer besonders bevorzugten Variante umfasst die Zugriffskontrollsteuerung
eine Statusanzeige, in der ein Betriebs- und/oder Störungsstatus einer oder jeder
ansprechbaren Datenquelle angezeigt wird. Es ist möglich, in
einer bevorzugten Variante mit der Zugriffskontrollsteuerung regelmäßig die
oder jede ansprechbare Datenquelle abzufragen, um festzustellen,
ob dort Störungen
vorliegen. Dies erlaubt es, ungeachtet der Zugriffscodesperrung
eine Störung
der Datenquellen zu erkennen. So kann beispielsweise bei einem komplexen
Kamerasystem vermieden werden, dass Eindringlinge in Zeiten, zu denen
der Betreiber des komplexen Kamerasystems eine erhöhte Privatsphäre durch
Zugriffscodesperrung wünscht,
unbemerkt Kameras außer
Betrieb setzen, zerstören
oder auf andere Weise manipulieren.
-
Sofern
eine fernabfragbare Datenquelle wie eine Kamera regelmäßig von
der Zugriffskontrollsteuerung abgefragt wird, um ihren Zustand wie
z. B. einen Sendestatus zu kontrollieren, kann es vorteilhaft sein,
die Abfrageintervalle nicht gleichmäßig zu wählen, sondern variieren zu
lassen und insbesondere für
einzelne Kameras, bevorzugt zufällig,
auch mehrere Abfragen kurz hintereinander durchzuführen. Dies
stellt sicher, dass ein Unbefugter selbst dann, wenn er das von
der Zugriffskontrollsteuerung als neues, den eigentlichen temporär zu sperrenden
Zugriffscode ersetzendes Passwort mithört und dann unter Verwendung
des erlauschten Substitutivcodes auf die entsprechende Kamera unbemerkt
zuzugreifen versucht, sich nicht darauf verlassen kann, dass die
Kamera für
bekannte Zeiten unbeobachtet ist, der Kamerastatus für jede Abfrage
in einen unkritischen, keine Fernabfrage andeutenden Zustand gebracht werden
kann oder die beobachtungsfreien Abstandsinter valle bekannt sind.
In diesem Zusammenhang sei es als vorteilhaft erwähnt, wenn
eine Datenquelle zumindest im Sperrzustand simultan nur für einen
einzigen Benutzer einen Zugriff ermöglicht und im übrigen bei
von der Zugriffskontrollsteuerung bewirkter Zugriffscodesperre prinzipiell
nur eine beschränkte
Menge an Informationen aus den Datenquellen übertragen wird.
-
Es
sei auch darauf hingewiesen, dass die Zugriffskontrollsteuerung
bevorzugt zur temporären Sperrung
einer Mehrzahl von Datenquellen ausgebildet ist, wobei die Sperrung
insbesondere simultan beziehungsweise quasi simultan in sequenzieller
Abarbeitung erfolgen kann, um ein gesamtes System oder selektiv
bestimmte Teile eines Gesamtsystems für einen Fremdzugriff zu sperren,
so dass beispielsweise ein Garten- oder Parkbereich eines Anwesens fernüberwacht
bleibt, während
die den Innenräumen für Fernabfragedatenzugriff
zugeordneten Kameras gesperrt werden. Es sei darauf hingewiesen,
dass eine Sperrung einer Datenfernabfrage nicht die Einspeicherung
von gesammelten Daten, beispielsweise Bilddaten, in interne Speicher
beeinträchtigen muss,
sondern diese – bevorzugt
geschützt – auf zugriffgeschützte Zentralspeicher,
wie Bilddatenserver oder dergleichen, übertragen werden können oder für eine solche
Speicherung in der Datenquelle abzuspeichern sind, wobei der Speicher
bevorzugt gemeinsam mit den Kameras für Fremdzugriff sperrbar ist
und/oder Aufzeichnungen, die während
gesperrter Zeiten aufgenommen wurden, nicht ohne weiteres freigibt.
-
In
einer bevorzugten Variante erfolgt die temporäre Sperrung durch Übertragen
eines Substitutivcodes, der bevorzugt in der Zugriffskontrollsteuerung bestimmt
beziehungsweise generiert wird. Die Generierung kann zufällig geschehen,
das heißt
mit stochastischen Prozessen, oder über quasi-stochastische Mechanismen
mit hinreichend großer,
nicht ohne weiteres erfassbarer Periodizität. Der Vorteil der stochastischen
Substitutivcodeerzeugung besteht darin, dass er keinem Dritten bekannt
sein braucht. In den bevorzugten Varianten erfolgt die Übertragung
zwischen Zugriffskontrollsteuerung und den fernabfragbaren Datenquellen
verschlüsselt,
wodurch selbst dann, wenn die Kommunikation zwischen Zugriffskontrollsteuerung
und fernabfragbarer Datenquelle belauscht wird, noch ein erhöhtes Maß an Sicherheit
gegeben ist.
-
Obwohl
prinzipiell eher zu erwarten ist, dass die Hauptanwendung der erfindungsgemäßen Zugriffskontrollsteuerung
in der Abwehr eines temporär nicht
gewünschten
Zugriffes per se autorisierter Personen liegt, die nur temporär zur Erhöhung der
Privatsphäre
am Zugriff gehindert werden können,
ohne über
die Mittel oder die kriminelle Energie zu verfügen, eine Sperrung zu umgehen,
kann es vorteilhaft sein, etwa beim Sperren von Zugriffscodes auf
hochsensible Datenquellen, wie Firmendatenserver, mit insbesondere
wechselnden Verschlüsselungen
zu arbeiten, um sicherzustellen, dass etwa aus dem Belauschen der Übertragung
des per se bekannten, nur temporär
zu sperrenden Zugriffcodes nicht auf die Verschlüsselung Rückschlüsse gezogen werden können. Eine
bevorzugte Variante besteht darin, an der fernübertragbaren Datenquelle unterschiedliche Verschlüsselungen
zuzulassen und die Substitutivcodes mit einem Schlüssel zu
codieren, der von jenem verschieden ist, der für den temporär zu sperrenden
Code verwendet wird.
-
Die
Erfindung wird im Folgenden nur beispielsweise anhand der Zeichnung
beschrieben. In dieser ist gezeigt durch:
-
1 eine
Zugriffskontrollsteuerung gemäß der vorliegenden
Erfindung;
-
2 die
Zugriffskontrollsteuerung von 1, wobei
hier aus Gründen
der Übersichtlichkeit alle
Bezugszeichen weggelassen wurden.
-
Nach 1 umfasst
eine allgemein mit 1 bezeichnete Zugriffskontrollsteuerung
für zugriffscodegeschützte fernabfragbare
Datenquellen 2a, 2b, 2c ein Mittel 3,
um die Fernabfrage der Datenquellen 2a, 2b, 2c mit
dem als zulässig
bekannten Zugriffscode 4a, 4b, 4c temporär zu sperren.
-
Die
Zugriffskontrollsteuerung 1 dient im vorliegenden Fall
zur Steuerung des Zugriffs auf ein Gebäudeüberwachungssystem mit mehreren
Kameras 2a bis 2c als einzeln beziehungsweise
in Gruppen fernabfragbare Datenquellen. Die Kameras 2a, 2b, 2c des
vorliegenden Beispiels sind zum Teil zur Überwachung des Gebäudeinneren
bestimmt, wie durch die Kameras K1 und K2 (entsprechend K1, K2 in 2)
bezeichnet, sowie eine Kamera 2c (entsprechend K3 in 2)
zur Überwachung
eines Außenbereiches
mit Gartenbereich und einer den überwachten
Bereich umfriedeten Mauerdient. Ein typisches Überwachungssystem kann in der
Praxis zwar weit mehr Kameras umfassen, für Erläuterungszwecke genügt das hier
vorgestellt System jedoch ohne weiteres.
-
Die
Kameras 2a, 2b, 2c sind im vorliegenden Fall
als digitale Videokameras ausgebildet, die über eine Datenleitung 5 die
durch sie erfassten Bilddaten übertragen,
sofern ein bei Auf forderung zur Datensendung von einem auf die Kamera
zugreifenden Empfänger
gesendeter Zugriffscode, d.h. vorliegend ein Passwort, mit jenem übereinstimmt,
auf welches hin eine jeweilige Kamera Bilder an einen bestimmten
Empfänger
senden soll. Die Abfrage des Passwortes ist dargestellt für die Kamera
K3 entsprechend Bezugszeichen 2c durch die Passwortabfragestufe 2c1,
in der ein über
die Datenleitung 5 übertragenes
Passwort mit einem in einem internen Speicher 2c2 abgelegten
Passwort verglichen wird, um auf einen erfolgreichen Vergleich hin
entweder zuzulassen, dass die Kamera konfiguriert werden kann, beispielsweise
hinsichtlich der Abtastfrequenz, d. h. jener Abtast- beziehungsweise
Bildwiederholfrequenz, die in 1 als 2c3 bezeichnet
ist, und/oder hinsichtlich der Bildauflösung, die entweder der maximal
mit einem gegebenen Bildsensor möglichen oder,
zum Beispiel zur Verringerung einer Netz-Datenlast oder einer Speichergröße, einer
verringerten Auflösung
entsprechen kann, und/oder es werden Bilddaten aus einem Bilddatensensor 2c5 nach
entsprechender Aufbereitung entsprechend der in den Speichern 2c3 und 2c4 abgelegten
Konfigurationsdaten an die Leitung 5 gespeist, um über einen
Netzwerkknoten 6 an den Empfänger weitergeleitet zu werden.
Bei dem Netzwerkknoten kann es sich um einen Router, einen Switch
oder dergleichen handeln und insbesondere um eine Schnittstelle
zu einem öffentlichen
Netz wie einem Telekommunikationsnetz, dem Internet oder einem Funknetz
herstellen kann. Es sei erwähnt,
dass die Einstellmöglichkeiten
der Kameras nur beispielhaft genannt sind und andere Einstellungen
wie Schwenk-, Neigungswinkel, Zoomfaktor etc. möglich sind.
-
Während in 1 für Kamera 3 entsprechend
Bezugszeichen 2c dargestellt ist, dass diese als fernabfragbare
Datenquelle zugriffscodegeschützt
ist und dass sowohl ein zulässiges
Passwort als auch andere Konfigurationsdaten in der Kamera ablegbar
sind, ist eine solche Darstellung für die Kameras K1 und K2 entsprechend
Bezugszeichen 2a, 2b in 1 zwar nicht
wiedergegeben, es versteht sich aber, dass dies lediglich aus Gründen der
zeichnerischen Vereinfachung geschieht. Es sei darauf hingewiesen,
dass in einer bevorzugten Variante alle Kameras eines komplexen Überwachungssystems den
gleichen oder einen ähnlichen
inneren Aufbau und eine gleiche oder ähnliche Funktionsweise insbesondere
hinsichtlich des Zugriffscodeschutzes, der Konfigurierbarkeit und
der Datenquelle aufweisen können
und werden.
-
Der
Knoten 6 ist nun so gestaltet, dass über ihn ein Systemadministrator 7 mit
den zugriffscodegeschützten,
fernabfragbaren Datenquellen 2a, 2b, 2c kommunizieren
kann. Die Kameras K1, K2, K3, entsprechend Bezugszeichen 2a, 2b, 2c,
sind so aufgebaut, dass nach Eingabe eines korrekten Passwortes,
d.h. eines Passwortes über
Leitung 5, welches jenem entspricht, das momentan im internen Speicher,
dargestellt nur für
Kamera K3 entsprechend Bezugszeichen 2c2, die Konfigurationsdaten, insbesondere
die Bildauflösung,
wie sie im Speicher 2c4 von Kamera K3 ablegbar ist, oder
die Bildwiederholfrequenz ν,
wie sie im Speicher 2c3 von Kamera K3 abgelegt ist, eingestellt
werden kann.
-
Aufgrund
der Öffentlichkeit
des Knotens 6 ist es per se auch für einen Eindringling 8,
der aus krimineller Energie oder bloßer Neugier versucht, die Bilddaten
aus den Kameras 2a, 2b, 2c zu erhalten,
möglich,
diese über
Leitung 5 anzusprechen, und er wäre, Kenntnis eines in einem
internen Speicher 2c abgelegten Passwortes und eventuell
einer Verschlüsselung vorausgesetzt,
auch in der Lage, Konfigurationsdaten zu verändern und/oder Bilddaten zu
empfangen.
-
Solange
die Zugriffscodes, d. h. Passwörter, für die Datenquellen
einem Eindringling 8 nicht bekannt sind und der Systemadministrator 7 auf
die Kameras ausschließlich
zu verabredeten Zeiten zugreift, besteht für den eigentlichen Benutzer
des Überwachungssystems,
der einen bestimmten Bereich, vorliegend sein Grundstück und sein
Haus, aus Sicherheitsgründen
zumindest zeitweilig überwacht wissen
möchte,
keine Gefahr, dass seine Privatsphäre ungebührlich beeinträchtigt wird.
Dies gilt dann nicht mehr, wenn der Systemadministrator nicht als hinreichend
zuverlässig
bekannt ist. Da in vielen Fällen,
etwa bei sehr komplexen Kamerasystemen mit der Systemeinrichtung
keine Person betraut wird, die eine besondere Vertrauensstellung
genießt,
sondern ein fremder Techniker, kann es erforderlich sein, auch für den Systemadministrator 7 den
Zugriff wenigstens in jenen Zeiten zu sperren, in welchen der Besitzer des Überwachungssystems
eine vollkommen ungetrübte
Privatsphäre
genießen
möchte.
Dies kann beispielsweise bei Prominenten häufig der Fall sein, da sie
nie ausschließen
können,
dass in ihren Privaträumen
aufgenommene Bilder nach Paparazzi-Art verkauft werden. Die Zugriffskontrollsteuerung 1 dient dazu,
den Zugriff auch eines Systemadministrators, dem zu Verwaltungszwecken
der Zugriffscode bekannt sein muß, den Zugriff auf die fernabfragbaren Datenquellen
temporär
ohne für
einen Benutzer aufwändige
Umkonfiguration zu unterbinden.
-
Aufbau
und Funktionsweise dieser Zugriffskontrollsteuerung 1 werden
nachfolgend detaillierter beschrieben werden.
-
Die
Zugriffskontrollsteuerung 1 hat zunächst eine Eingabe-/Ausgabeschnittstelle 1a zur
Kommunikation über
Knoten 6 und Leitungen 5 mit den Kameras 2a, 2b, 2c entsprechend
den erforderlichen Protokollen bzw. Kanälen und Protokollschichten
wie http, WLAN, UMTS oder dergleichen. Dies kann durch einen eingebauten
Kleinrechner bewirkt werden.
-
Intern
sind Speichermittel 1a, 1b, 1c vorgesehen,
die wahlweise auf ein zuvor vom Systemadministrator protokollgemäß in den
Speichern 4a, 4b, 4c abgelegte, den Kameras
K1, K2, K3 zugeordnete Passwörter
zugreifen können
oder auf ein durch einen Zufallsgenerator 9 generiertes
Passwort, das als substitutives Passwort für Kamera K1 als Passwort 4a', für Kamera
K2 als Passwort 4b' und
als Passwort 4c' für Kamera
K3 abgelegt ist. Auf diese Substitutivpasswörter hat der Systemadministrator
weder lesenden noch schreibenden Zugriff. Bevorzugt ist sogar, wenn
in die Substitutivpasswörter
nur vom Zufallsgenerator schreibend zugegriffen werden kann. Die
Entscheidung, ob auf die vom Systemadministrator in den Speichern 4a, 4b, 4c abgelegten
Passwörter
zugegriffen wird oder auf die Substitutivpasswörter 4a', 4b', 4c', die durch den Zufallsgenerator 9 generiert
wurden, wird im Ansprechen auf die Stellung eines Sperr-/Entsperrmittels 10 getroffen,
das vorliegend als Kippschalter dargestellt ist, um entweder einen
Zugriff zur Datenfernabfrage auf eine gegebene Datenquelle zu erlauben
oder eine Datenfernabfrage auf eine Datenquelle zu unterbinden.
Im dargestellten Ausführungsbeispiel
sind dabei die den Innenräumen
zugeordneten Kameras K1, K2 entsprechend Bezugszeichen 2a, 2b zu
einer Gruppe zusammengefasst und ihnen ist ein Schalter 10b zugeordnet, um
sie für
die Datenfernabfrage zu sperren oder freizugeben. Weiter ist für die dem
Außenbereich
zugeordnete Überwachungskamera
K3 ein sepa rater Kippschalter 10a vorgesehen, mit dem diese
Kamera für
die Datenfernabfrage gesperrt oder freigegeben werden kann, und
zwar auf eine im Nachfolgenden noch zu beschreibende Weise. Es sei
darauf hingewiesen, dass zwar bevorzugt die Schalter 10a, 10b, als
schlichte, mechanisch betätigbare
Schalter wie Drehschalter, Schlüsselschalter,
Drucktaster oder dergleichen ausgebildet sein können, dass aber insbesondere
der in den Figuren schalterartig dargestellte Wechselschalter für den Zugriff
auf den Speicher für
entweder ein systemadministratorvorgegebenes Passwort oder ein zufallsgeneratorgeneriertes Substitutivpasswort
im Regelfall nicht durch mechanische Schalter realisiert werden,
sondern vielmehr typisch eine Softwarelösung, beispielsweise durch Adressierung
eines bestimmten Speicherbereiches, möglich angestrebt ist. Es sei
weiter darauf hingewiesen, dass während vorliegend eine feste
Gruppierung 2a, 2b gewählt ist, insbesondere bei komplexen Systemen
mit einer sehr großen
Vielzahl an Kameras nicht zwingend eine dauerhaft feste Gruppierung
vorgenommen werden muss, auch bei Verwendung von mechanischen Sperr-/Entsperrschaltern
nicht. Vielmehr ist es möglich,
die Stellung dieser (Teil-)Sperr-/Entsperrmittel in einer bevorzugten
Variante wahlweise unterschiedlichen Kameras zuzuordnen.
-
Die
Zugriffskontrollsteuerung 1 weist weiter ein Kontrollfeld 1d auf,
das einerseits eine Anzeige 1d1 umfaßt, auf der ein aktuelles Kamerabild
unabhängig
davon anzeigbar ist, ob die aktuelle Kamera derzeit für eine unerwünschte Fernabfrage
durch einen Dritten, der über
einen per se als zulässig
bekannten Zugriffscode verfügt,
gesperrt ist oder nicht, wobei auf der Anzeige weiter Statusinformation
angezeigt wird, beispielsweise die Kameranummer 1d2, die
Gruppenzuordnung 1d3 und der Sperr- oder Entsperrzustand 1d4,
der vorliegend ent weder als ein Hakensymbol für die Freigabe oder ein „–„ für eine Sperrung
dargestellt ist.
-
Der
Grund dafür,
dass eine Anzeige des Bildes auf der Zugriffskontrollsteuerung unabhängig vom
Sperrstatus sinnvoll ist, liegt darin, dass auf diese Weise ein
seine Privatsphäre
wünschender
Benutzer nicht in seiner Privatsphäre beeinträchtigt ist, nachdem er ja ohnehin
derjenige ist, der sich bei der Zugriffskontrollsteuerung aufhalten
kann und soll und er insofern auch unmittelbaren Einblick auf die überwachten
Bereiche hat. In einer vereinfachten Version kann dessen ungeachtet
die Anzeige 1d aber wegfallen.
-
Es
ist weiter ein Statusfeld 1e vorgesehen, über welches
zu jeder Kamera, wahlweise auch zu Kameragruppen oder einem Gesamtkameraensemble,
angegeben werden kann, ob die Kamera überhaupt ordnungsgemäß kommuniziert,
also am Netz angeschlossen ist, ob es Störungen der Kamera gibt und
ob derzeit gerade eine Kommunikation zu der Kamera erfolgt, bei
welcher Daten fernabgefragt werden. Die Statusanzeige kann durch
LED's oder dergleichen,
aber auch mittels eines Bildschirmes realisiert werden. Durch die
Statusanzeige ist es möglich,
den Benutzer schnell und einfach darüber zu informieren, ob alle
Kameras ungeachtet des Sperrzustandes gut funktionieren. Dies verhindert, dass
eine gesperrte Kamera während
der Sperrzeit zerstört
oder vom Netz genommen wird. Zugleich ist durch die Anzeige einer
Datenfernabfrageaktivität
einer einzelnen Kamera ein guter Hinweis dafür gegeben, ob eine Wachzentrale
eine Überwachung
ordnungsgemäß vornimmt,
Eindringlinge versuchen, Bilder unbefugt zu erhalten usw. Anstelle
einer separaten Statusanzeige für
alle Einzelkameras ist es auch möglich,
einzelne Parameter summarisch für
Gruppen oder das Gesamtsystem anzuzeigen, zum Beispiel die Gesamtzahl
der aktuell betriebenen Kameras, die Anzahl gesperrter Kameras usw.
-
Mit
diesem System kann die Zugriffskontrolle erfolgen wie folgt:
Zunächst wird
einem Systemadministrator der Zugriff auf alle Kameras erlaubt.
Bei dieser Gelegenheit setzt er auch die Passwörter in dem Speicher 2c2 beziehungsweise
den entsprechenden internen Speichern der anderen Kameras. Er kommuniziert
dann die von ihm verwendeten Passwörter an die Zugriffskontrollsteuerung 1,
wo sie protokollgemäß unter
der Steuerung der Protokollstufe 1a in die Speicher 4a, 4b, 4c usw.
der Zugriffskontrollsteuerung abgelegt werden.
-
Dann
sperrt der Benutzer des Kamerasystems den Zugriff auf eine Datenfernabfrage
der Kameras durch Umlegen der Schalter 10a, 10b.
Hierauf wird zunächst über die
Protokollstufe 1a, den Knoten 6 und die Verbindungsleitung 5 zu
jeder einzelnen Kamera nacheinander eine Verbindung aufgebaut, wobei
an die Kamera zur Authentifizierung des Zugriffes das vom Systemadministrator
vorgesehene Passwort in dem jeweiligen Speicher 4a, 4b, 4c,
der in der Zugriffskontrollsteuerung der jeweiligen Kamera zugeordnet
ist, an die jeweiligen Kameras übertragen
wird. Dies erlaubt der Zugriffskontrollsteuerung den Zugriff auf
die Kameras. Danach wird für
jede zu sperrende Kamera im Zufallsgenerator 9 ein Zufallscode
generiert und in den Substitutivpasswortcodespeicherbereich eingespeichert.
Nun werden die Wechselschalter, die zwischen dem Zugriff auf das systemadministratorvorgegebene
Passwort 4a oder dem Substitutivpasswort 4a' beziehungsweise 4b' etc. umwechseln,
um gelegt, was in einer Softwarelösung
auch durch Setzen einer Flagge oder dergleichen geschehen kann.
Das somit nunmehr von den Kameras während der Sperrzeit zu verwendende neue
(Substitutiv-)Passwort wird wiederum über die Protokollstufe 1a,
den Knoten 6 und die Leitung 5 an die einzelne
Kamera übertragen
und dort in den internen Passwortspeicher, für Kamera K2 beispielsweise interner
Speicher 2c2, eingeschrieben. Dies wird für alle Kameras,
die zu sperren sind, wiederholt.
-
Versucht
nun der Systemadministrator mit seinem per se zulässigen,
aber momentan gesperrten Passwort auf eine Kamera, die temporär gesperrt ist,
zuzugreifen, so entspricht das von ihm verwendete Passwort nicht
dem zufällig
generierten Substitutivpasswort, das sich während der Sperrdauer im internen
Speicher, beispielsweise 2c2 für Kamera K3, befindet. Ein
Zugriff wird ihm von der Kamera daher verweigert. Die Zugriffskontrollsteuerung
fragt hingegen unter Verwendung der korrekten, augenblicklich gültigen Substitutivpasswörter regelmäßig die
Kameras K1 bis K3 ab und zeigt deren Bilder auf der Zugriffskontrollsteuerung
an. Sind die Kameras nicht korrekt ansprechbar, wird dies gemeldet
und eine entsprechende Warnung im Statusfeld 1e ausgegeben.
-
Um
nun auch noch unbefugte Eindringlinge 8 zu sperren, die
möglicherweise
die Kommunikation über
Leitung 5 oder 6 belauschen, um ein Passwort zu
erhaschen, kann die Kommunikation zwischen Systemadministrator und
Kameras beziehungsweise Zugriffskontrollsteuerung 1 und
Kameras verschlüsselt
erfolgen. Gleichwohl wäre
es möglich,
dass der Eindringling 8 die Kommunikation entschlüsselt. Aus diesem
Grund wird es bevorzugt, wenn wiederholt das Substitutivpasswort
an den Kameras durch ein neueres, gleichfalls zufällig generiertes
Substitutiv passwort ersetzt wird. Durch zufällige Variation der Zugriffszeiten
zur Substitutivpasswortänderung
kann dabei auch vermieden werden, dass ein Eindringling 8 eine
Zugriffsperiodizität
ausnutzt, um vermeintlich unbemerkt mit einem entschlüsselten
Substitutivcode auf die Kameras zuzugreifen. Alternativ und/oder
zusätzlich
kann eine Überwachung
der Kameras (bzw. allgemeiner Datensender) von z. B. der Zugriffskontrollsteuerung
in der Art einer Herzschlag-Überwachung
(Heartbeat) geschehen.
-
Soll
später
eine Entsperrung erfolgen, geschieht der per se umgekehrte Prozess
wie beim Sperren. Zunächst
wird der Kippschalter 10a beziehungsweise 10b betätigt. Dann
wird das Substitutivpasswort für
eine jeweilige Kamera an diese übertragen
und von dieser als korrekt erkannt, da es dem Passwort im internen
Speicher, beispielsweise 2c2 für Kamera K3, entspricht. Nun
kann der jeweilige interne, speicherzugriffssteuernde Wechselschalter zurückgesetzt
werden und das systemadministratorbekannte Passwort als neues Passwort
in der Kamera K3 gesetzt werden. Versucht der Systemadministrator
nun neuerlich auf die Kamera zuzugreifen, so ist ihm dieser Zugriff
wieder möglich.
-
Ergänzend zu
dem Vorstehenden sei ausgeführt,
dass bei der Verschlüsselung
von übertragenen
Codes, sei es bei der Übertragung
von Substitutivcodes oder der Wiederherstellung temporär gesperrter
Codes, eine Verschlüsselung
nicht nur zu verwenden ist, sondern die Verschlüsselung bevorzugt auch regelmäßig zu wechseln
ist. Entsprechende Möglichkeiten
hierzu sind im Stand der Kryptographietechnik bestens bekannt. Hierzu
zählen
auch die Einrichtung zusätzlicher
Sicherheitsmecha nismen wie die Übertragung
festgelegter Datenmengen bei der Zugriffssteuerung.
-
Explizit
sei auch erwähnt,
dass die Kommunikationsleitung) zwischen einer (zentralen) Zugriffskontrollsteuerung
und einer von dieser anzusprechenden Einheit nicht konstant vorhanden
zu sein braucht, sondern eine lediglich temporär aufgebaute Verbindung bzw.
ein lediglich temporär
aufgebautes und/oder dynamisch veränderliches Netzwerk ausreicht.
Ein lediglich temporär
aufgebautes Netzwerk ist insbesondere dann vorteilhaft, wenn hohe
Kommunikationskosten wie bei der Nutzung von Mobiltelefondiensten
mit der Kommunikation verbunden sind.
-
Während vorliegend
regelmäßig vom
Zugriffscode die Rede war und insbesondere erwähnt wurde, dass Passwörter geändert werden
können, die
einem bestimmten Account zugeordnet werden, ist es für den Fachmann
ersichtlich, dass gegebenenfalls auch ein Account vollständig gesperrt
werden kann, indem beispielsweise ein Benutzer, der Zugriff auf
das Gerät
gemäß einer
in dem fernabzufragenden Gerät
vorgehaltenen Liste haben soll, temporär aus der Liste entfernt wird.
In einem solchen Fall empfiehlt es sich, dass wenigstens ein weiterer
Benutzer in der Liste angegeben ist, der nicht gesperrt wird, damit
eine Fernabfrage möglich
wird. Dieser Benutzer kann, eventuell ausschließlich, bevorzugt die zentrale
Zugriffssteuerung sein.