-
Die vorliegende Erfindung betrifft das oberbegrifflich Beanspruchte. Damit befasst sich die vorliegende Erfindung mit dem Schutz von Datenquellen gegen zeitweilig unerwünschte Fernabfragen.
-
Es gibt eine Vielzahl von Datenquellen, die über Kommunikationskanäle Daten an entfernt angeordnete Empfänger übertragen, was im Vorliegenden allgemein als „Fernabfrage” verstanden wird. Zu derartigen Datenquellen gehören neben Servern für Betriebe auch Produktionsanlagen, die Produktions- und Steuerungsdaten an eine Zentrale übertragen können, um von dieser gesteuert zu werden, Messgeräte und Sensoren, die aus der Entfernung abgefragt werden können und insbesondere Kameras wie Video-Digitalkameras, die etwa zur Überwachung eines Objekts, beispielsweise eines Bahnhofs, eines anderen öffentlichen Platzes oder eines privaten Gebäudes eingesetzt werden können. Derartige fernabfragbare Datenquellen sollen typisch aber nicht für jedermann Daten bereitstellen, sondern nur für ausgewählte Empfänger. Um die Übertragung von Daten an unbefugte Dritte zu unterbinden, ist es deswegen im Regelfall erforderlich, zunächst an die fernabfragbare Datenquelle einen Zugriffscode (Passwort) zu senden, der der Datenquelle anzeigt, dass eine berechtigte Fernabfrage vorliegt.
-
Aus der
EP 1 116 840 A2 ist ein Schlüsselsicherheitssystem für ein Fahrzeug bekannt, das mit einer Vielzahl von codierten Schlüsseln verwendbar ist, die jeweils einen Schlüsselwert aufweisen. Im Sicherheitssystem ist ein Speicher vorgesehen, der auf einen Schlüsselwert anspricht, um Daten bei Übereinstimmung mit einem vorbestimmten Datenautorisationswert zu übertragen.
-
Aus der
GB 2 281 645 ist eine Steuerung des Zugangs eines Netzwerksystems bekannt. Darin wird vorgeschlagen, dass ein Benutzeraccount temporär systemweit gespeichert wird, indem ein privilegierter Benutzer eine Definitionsliste temporär nicht autorisierter Benutzer anlegt, auf welche systemweit beim Einloggen Bezug genommen wird. Mit diesem System soll erreicht werden, dass einem temporär gesperrten Benutzer eine entsprechende Nachricht beim Versuch des Einloggens systemweit übermittelt werden kann.
-
Aus der
US 2005/0145657 A1 ist eine Überwachungskamera bekannt, welche Digitalsignale nach Kompression und Codierung überträgt, wobei zum Schutz der Privatsphäre das Videosignal in Echtzeit bildbearbeitet wird. Die Bildverarbeitung soll abhängig von der Autorisierung eines Benützers bestimmt werden.
-
Aus der
JP 2005176228 A ist es bekannt, die Wiedergabe eines mit einer Überwachungskamera aufgenommenen Bildes zum Schutz der Privatsphäre durch selektive Wiedergabe eines vom aufgenommenen Bild verschiedenen Musters zu unterdrücken.
-
Bei komplexeren Systemen wie Netzwerken in Unternehmen, aber auch bei Überwachungseinrichtungen mit einer Mehrzahl an Kameras usw. ist es mittlerweile gebräuchlich, dass die Installation der Datenquellen nicht durch den späteren Benutzer, sondern einen für die Installation besonders qualifizierten Techniker, Systemadministrator oder dergleichen erfolgt. Dieser hat typisch Kenntnis vom Zugriffscode, um die erforderlichen Einstellungen an den Datenquellen vornehmen zu können. Während ihm der Zugriff auf die fernabfragbaren Datenquellen aber in Wartungs- oder Ersteinrichtungsperioden ohne weiteres zu gestatten ist, gilt dies nicht mehr, wenn eine Anlage per se problemfrei läuft. Beispielhaft sei hier ein Mehrkamerasystem genannt, bei welchem für jede einzelne Kamera ein Bildausschnitt, eine Abtastfrequenz, eine Bildgröße usw. einmalig einzurichten ist, danach aber durch das fertig eingerichtete Kamerasystem nur noch die Sicherheit des überwachten Bereiches gewährleistet werden muss, ohne dass die Privatsphäre einer im überwachten Bereich lebenden Person durch den Systemadministrator beeinträchtigt werden soll. Nur solange der Bewohner des überwachten Bereichs sämtliche Einstellungen und die Beobachtung der Bilder allein vornehmen würde, wäre dies unproblematisch. Bei der typischen Einschaltung eines System-administrators, Installateurs oder dergleichen kann dagegen nie vollständig ausgeschlossen werden, dass ein Zugriff auf die fernabfragbaren Datenquellen auch außerhalb von Wartungsperioden zur Befriedigung der Neugier des Installateurs, zur kommerziellen Verwertung unbefugt fernabgefragter Daten wie bei Werksspionage oder dergleichen erfolgt. Kommt es hingegen zu Störungen, ist es erforderlich, den Zugriff einfachstmöglich wieder freizugeben.
-
Es ist wünschenswert, eine hohe Sicherheit gegen unerwünschten Fremdzugriff auch bei fremdadministrierten Datenquellen gewährleisten zu können.
-
Die Aufgabe der vorliegenden Erfindung besteht darin, Neues für die gewerbliche Anwendung bereitzustellen.
-
Die Lösung dieser Aufgabe wird in unabhängiger Form beansprucht. Bevorzugte Ausführungsformen finden sich in den Unteransprüchen.
-
Die vorliegende Erfindung schlägt somit in einem ersten Grundgedanken eine Zugriffskontrollsteuerung für zugriffscodegeschützte fernabfragbare Datenquellen vor, bei welcher ein Mittel zur zumindest temporären Änderung eines als zulässig bekannten Zugriffscodes in einen dem vom Zugriff zu sperrenden Dritten unbekannten Zugriffcode vorgesehen ist, um die Fernabfrage mit dem als zulässig bekannten Zugriffscode zumindest temporär zu sperren. Als „fern” gilt eine Abfrage dabei für Zwecke der vorliegenden Erfindung bereits bei Vorliegen eines räumlich geringen Abstandes zwischen Datensender und -empfänger, beispielsweise auch schon bei Logikkomponenten auf Platinen, im Computer usw. Als „Quelle” wird für Zwecke der vorliegenden Erfindung nicht nur eine Einheit verstanden, in welcher wie bei Kameras Daten erzeugt werden, sondern auch z. B. solche Einheiten, durch welche Daten durchgeleitet werden wie Switches, Router, Hubs usw. und die eine für die Beeinflussung des Zugriffes, d. h. dort der Weiterleitung und/oder Sendung, geeignete Anordnung umfassen. So kann etwa der Zugriff auf einen Server über einen Router durch Eingriff bei demselben unterbunden werden.
-
Ein wesentlicher Aspekt der vorliegenden Erfindung besteht darin, dass datenquellenunabhängig ein einem Systemadministrator oder Techniker bekannter Zugriffscode wenigstens temporär gesperrt werden kann, wobei der einzige, von einem nicht erfahrenen beziehungsweise nicht eingewiesenen Benutzer durchzuführende Zugriff auf die fernabfragbaren Datenquellen die Zugriffscodesperrung oder -freigabe an der Zugriffskontrollsteuerung ist. Da ein solcher Zugriff ohne weiteres durch eine einfache Betätigung ohne komplizierte Technik durchgeführt werden kann, ist einerseits die Einrichtung auch komplexer Systeme durch geschultes Personal gewährleistet und andererseits die Bedienung so weit vereinfacht, das ein Benutzer einer fernabfragbaren Datenquelle wie einer Kamera keine Sorge haben muss, dass Daten zu Zeiten, in welchen er dieses nicht wünscht, fernabgefragt werden.
-
Die Zugriffskontrollsteuerung erfolgt dabei bevorzugt durch die temporäre Fernänderung eines als zulässig bekannten Zugriffscodes, das heißt die Änderung des Zugriffscodes der fernabfragbaren Datenquelle erfolgt beabstandet von dieser und unter typischer Verwendung einer dedizierten Einheit, die ausschließlich zur Überwachung und Steuerung des Zugriffs dient.
-
Dies kann erfolgen, indem der Zugriffscode in einen statt dessen zu verwendenden, dem hinsichtlich seines Zugriffs zu sperrenden Administrator oder Techniker nicht bekannten Substitutivcode geändert wird, der den zuvor verwendeten Zugriffscode an der zu sperrenden Datenquelle ersetzt. Die Freigabe kann dann entweder durch einfache Bekanntgabe eines z. B. zufällig ermittelten Substitutivcodes an den Administrator erfolgen oder aber durch Rücksetzen des damit nur temporär gesetzten Codes. Eine Freigabe könnte beispielsweise so geschehen, dass der Code an der Zugriffskontrollsteuerung angezeigt wird und dem Techniker im Bedarfsfall diktiert wird.
-
In einer bevorzugten Variante ist die Zugriffskontrollsteuerung wie erwähnt eine von der Datenquelle getrennte und mit dieser über einen Datenfernübertragungskanal kommunizierende Einheit. Es sei erwähnt und wiederholt, dass als Fernabfrage im Sinne der vorliegenden Erfindung auch ein System verstanden wird, bei welchem Daten automatisch, z. B. im Alarmfall, an eine oder mehrere bestimmte Stellen gesendet werden, sofern von dort ein entsprechender Zugriffscode bestätigt, gegebenenfalls automatisch bestätigt wird. Im übrigen sei darauf hingewiesen, dass als Datenfernübertragungskanal jedweder Übertragungsweg und/oder jedwede Übertragungsart und/oder -möglichkeit zu verstehen ist, auch wenn beispielsweise ein Signalspreizen auf eine Vielzahl von Frequenzen beziehungsweise „Kanälen” in engerem Sinne erfolgt, wie dies etwa bei gängigen Mobilfunkanwendungen der Fall ist. Bei dem Zugriffscode kann es sich um einen alphanumerischen Code handeln, der insbesondere in anderer als dezimaler Form, beispielsweise binär, vorliegen kann.
-
Es ist möglich, eine Datenquelle so auszubilden, dass sie unter Verwendung unterschiedlicher Zugriffscodes angesprochen werden kann. Die Zugriffskontrollsteuerung kann dann wahlweise nur einen Teil der Zugriffscodes sperren oder aber alle Zugriffscodes temporär außer Kraft setzen. Dies kann vorteilhaft beziehungsweise erforderlich sein, wenn beispielsweise bei einem komplexen Kamerasystem ein Teil der Wartungs- und Installationsaufgaben und/oder Überwachungsaufgaben innerhalb eines Hauses bewerkstelligt werden kann, während für komplexere Eingriffe ein Zugriff von außen erforderlich wird. Dieser komplexere Zugriff von außen kann dann beispielsweise gesperrt werden, ohne dass der Zugriff von innen beeinträchtigt wird. Es ist einzusehen, dass eine derartige Anordnung zwar bei privaten Anwendern ein möglicherweise nur geringeres Maß an Bedeutung besitzt, dass aber bei öffentlichen Anwendungen wie zur Überwachung öffentlicher Plätze, Bahnhöfe und dergleichen die beschriebene bevorzugte Variante von besonderem Nutzen sein kann, weil durch sie zugleich sichergestellt ist, dass selbst jene Unbefugten, die sich wider Wissen und/oder Willen eines vollzugriffsberechtigten Systemadministrators den Zugriffscode beschafft haben, keine Manipulation eines Überwachungssystems oder dergleichen möglich ist.
-
Es ist möglich, dass die Datenquelle Fernabfragen oder -wartungen (was im Vorliegenden durchgehend auch als „Fernabfrage” verstanden wird) in hierarchischer Weise zulässt, wobei dann auch die Zugriffscodes hierarchisch gruppiert sein können, und eine Sperrung oder Freigabe der Zugriffscodes in hierarchischer Weise erfolgt. So ist es beispielsweise möglich, einem einfachen Benutzer eines Systems mit der Fernabfrage ein Schwenken eines Kamerasystems in einem gegebenen Bereich zu erlauben, nicht aber eine Veränderung der Lichtempfindlichkeit oder ein Ein- beziehungsweise Ausschalten von Mikrofonen, um sicherzustellen, dass er nicht zum Beispiel durch bewusstes Verdunkeln der Bilder die Überwachung stören oder unterbrechen kann. Die Zugriffskontrollsteuerung wird in einer bevorzugten Variante ein Mittel zur Datenfernübertragung über einen Netzwerkanschluss, insbesondere über LAN- und/oder WLAN-Verbindungen, Bluetooth-, GSM-, UMTS-, CAN-, EIB- oder einen anderen drahtlosen Kanal aufweisen; die Verwendbarkeit mit anderen Protokollen sei explizit erwähnt.
-
Das Zugriffskontrollsystem kann auch über einen Bus oder eine busartige Leitung mit dem Datenfernübertragungsmittel kommunizieren. Während eine bevorzugte Anwendung der Erfindung Kamerasysteme sind, die zur Heimüberwachung eingesetzt werden sollen, erlaubt die Verwendung von Bussystemen auch, Geräte geschützt betreiben zu können, bei denen die Datenfernabfrage innerhalb des Gerätes in voneinander beabstandeten Einheiten und Teileinheiten erfolgt. So kann beispielsweise sichergestellt werden, dass ein umprogrammierlicher Eingriff nicht ungewollt in ein laufendes System wie eine Produktanlage geschieht, indem ein solches automatisch gesperrt wird.
-
In einer bevorzugten Variante ist die Zugriffskontrollsteuerung mit einem Speichermittel ausgebildet, in dem der zumindest temporär zu sperrende Zugriffscode gespeichert wird, und sie weist zugleich ein Zugriffscodeänderungsmittel zur Änderung des oder eines die Freigabe der Datenfernübertragung erlaubenden Zugriffscodes in der Datenquelle auf. Dieses Zugriffscodeänderungsmittel wird so ausgebildet sein, dass es dem Übertragungsprotokoll für den Zugriffscode und die Zugriffscodeänderung genügt. Mit anderen Worten erkennt die Zugriffskontrollsteuerung, dass und wann sie zum Beispiel von der Datenquelle aufgefordert ist, einen Zugriffscode einzugeben und es ist möglich, einen Zugriffscode durch einen anderen zu ersetzen.
-
Weiter wird die Zugriffskontrollsteuerung in der bevorzugten Variante ein Sperr-Entsperrmittel aufweisen, auf dessen Sperrbetätigung hin der zumindest temporär zu sperrende Zugriffscode zunächst in einen Speicher eingeschrieben wird, dann der soeben gespeicherte Zugriffscode an der fernabfragbaren Datenquelle geändert wird in einen statt dessen gültigen Substitutivcode und ein Rücksetzen des Zugriffscodes auf den im Speichermittel abgelegten, temporär zu sperrenden Zugriffscode erst auf Entsperren des Sperr-/Entsperrmittels vorgenommen wird. Das Sperr-/Entsperrmittel ist dabei bevorzugt zur mechanischen Betätigung ausgebildet. Dies kann in einer bevorzugten Variante durch einen Schlüsselschalter geschehen, oder aber, sofern die Zugriffskontrollsteuerung gegen unbefugte Betätigung etwa durch Anordnung in einem nur einem beschränkten Personenkreis zugänglichen Bereich ohnehin gesichert ist, auch durch einfache Drehschalter, Kippschalter oder Drucktaster. Es sei darauf hingewiesen, dass anstelle und/oder zusätzlich zu mechanischen Schaltern gleichfalls induktive Näherungsschalter vorgesehen sein können, die automatisch bei Annäherung eines entsprechenden, beispielsweise induktiv abgetasteten Senders, eine Fernabfrage durch Zugriffscodesperrung verhindern; auf RFID-Techniken wird insbesondere insoweit verwiesen, wenngleich es bevorzugt ist, anstelle der Annäherung einer Chipkarte oder dergleichen wie bei der berührungslosen Abtastung eher eine mechanische Ver- und Entriegelung vorzusehen, da eine solche ein direkteres Kontrollgefühl verleiht und insoweit den Eindruck der erhöhten Sicherheit verschafft.
-
In einer besonders bevorzugten Variante umfasst die Zugriffskontrollsteuerung eine Statusanzeige, in der ein Betriebs- und/oder Störungsstatus einer oder jeder ansprechbaren Datenquelle angezeigt wird. Es ist möglich, in einer bevorzugten Variante mit der Zugriffskontrollsteuerung regelmäßig die oder jede ansprechbare Datenquelle abzufragen, um festzustellen, ob dort Störungen vorliegen. Dies erlaubt es, ungeachtet der Zugriffscodesperrung eine Störung der Datenquellen zu erkennen. So kann beispielsweise bei einem komplexen Kamerasystem vermieden werden, dass Eindringlinge in Zeiten, zu denen der Betreiber des komplexen Kamerasystems eine erhöhte Privatsphäre durch Zugriffscodesperrung wünscht, unbemerkt Kameras außer Betrieb setzen, zerstören oder auf andere Weise manipulieren.
-
Sofern eine fernabfragbare Datenquelle wie eine Kamera regelmäßig von der Zugriffskontrollsteuerung abgefragt wird, um ihren Zustand wie z. B. einen Sendestatus zu kontrollieren, kann es vorteilhaft sein, die Abfrageintervalle nicht gleichmäßig zu wählen, sondern variieren zu lassen und insbesondere für einzelne Kameras, bevorzugt zufällig, auch mehrere Abfragen kurz, hintereinander durchzuführen. Dies stellt sicher, dass ein Unbefugter selbst dann, wenn er das von der Zugriffskontrollsteuerung als neues, den eigentlichen temporär zu sperrenden Zugriffscode ersetzendes Passwort mithört und dann unter Verwendung des erlauschten Substitutivcodes auf die entsprechende Kamera unbemerkt zuzugreifen versucht, sich nicht darauf verlassen kann, dass die Kamera für bekannte Zeiten unbeobachtet ist, der Kamerastatus für jede Abfrage in einen unkritischen, keine Fernabfrage andeutenden Zustand gebracht werden kann oder die beobachtungsfreien Abstandsintervalle bekannt sind. In diesem Zusammenhang sei es als vorteilhaft erwähnt, wenn eine Datenquelle zumindest im Sperrzustand simultan nur für einen einzigen Benutzer einen Zugriff ermöglicht und im übrigen bei von der Zugriffskontrollsteuerung bewirkter Zugriffscodesperre prinzipiell nur eine beschränkte Menge an Informationen aus den Datenquellen übertragen wird.
-
Es sei auch darauf hingewiesen, dass die Zugriffskontrollsteuerung bevorzugt zur temporären Sperrung einer Mehrzahl von Datenquellen ausgebildet ist, wobei die Sperrung insbesondere simultan beziehungsweise quasi simultan in sequenzieller Abarbeitung erfolgen kann, um ein gesamtes System oder selektiv bestimmte Teile eines Gesamtsystems für einen Fremdzugriff zu sperren, so dass beispielsweise ein Garten- oder Parkbereich eines Anwesens fernüberwacht bleibt, während die den Innenräumen für Fernabfragedatenzugriff zugeordneten Kameras gesperrt werden. Es sei darauf hingewiesen, dass eine Sperrung einer Datenfernabfrage nicht die Einspeicherung von gesammelten Daten, beispielsweise Bilddaten, in interne Speicher beeinträchtigen muss, sondern diese – bevorzugt geschützt – auf zugriffgeschützte Zentralspeicher, wie Bilddatenserver oder dergleichen, übertragen werden können oder für eine solche Speicherung in der Datenquelle abzuspeichern sind, wobei der Speicher bevorzugt gemeinsam mit den Kameras für Fremdzugriff sperrbar ist und/oder Aufzeichnungen, die während gesperrter Zeiten aufgenommen wurden, nicht ohne weiteres freigibt.
-
In einer bevorzugten Variante erfolgt die temporäre Sperrung durch Übertragen eines Substitutivcodes, der bevorzugt in der Zugriffskontrollsteuerung bestimmt beziehungsweise generiert wird. Die Generierung kann zufällig geschehen, das heißt mit stochastischen Prozessen, oder über quasi-stochastische Mechanismen mit hinreichend großer, nicht ohne weiteres erfassbarer Periodizität. Der Vorteil der stochastischen Substitutivcodeerzeugung besteht darin, dass er keinem Dritten bekannt sein braucht. In den bevorzugten Varianten erfolgt die Übertragung zwischen Zugriffskontrollsteuerung und den fernabfragbaren Datenquellen verschlüsselt, wodurch selbst dann, wenn die Kommunikation zwischen Zugriffskontrollsteuerung und fernabfragbarer Datenquelle belauscht wird, noch ein erhöhtes Maß an Sicherheit gegeben ist.
-
Obwohl prinzipiell eher zu erwarten ist, dass die Hauptanwendung der erfindungsgemäßen Zugriffskontrollsteuerung in der Abwehr eines temporär nicht gewünschten Zugriffes per se autorisierter Personen liegt, die nur temporär zur Erhöhung der Privatsphäre am Zugriff gehindert werden können, ohne über die Mittel oder die kriminelle Energie zu verfügen, eine Sperrung zu umgehen, kann es vorteilhaft sein, etwa beim Sperren von Zugriffscodes auf hochsensible Datenquellen, wie Firmendatenserver, mit insbesondere wechselnden Verschlüsselungen zu arbeiten, um sicherzustellen, dass etwa aus dem Belauschen der Übertragung des per se bekannten, nur temporär zu sperrenden Zugriffcodes nicht auf die Verschlüsselung Rückschlüsse gezogen werden können. Eine bevorzugte Variante besteht darin, an der fernübertragbaren Datenquelle unterschiedliche Verschlüsselungen zuzulassen und die Substitutiv codes mit einem Schlüssel zu codieren, der von jenem verschieden ist, der für den temporär zu sperrenden Code verwendet wird.
-
Die Erfindung wird im Folgenden nur beispielsweise anhand der Zeichnung beschrieben. In dieser ist gezeigt durch:
-
1 eine Zugriffskontrollsteuerung gemäß der vorliegenden Erfindung;
-
2 die Zugriffskontrollsteuerung von 1, wobei hier aus Gründen der Übersichtlichkeit alle Bezugszeichen weggelassen wurden.
-
Nach 1 umfasst eine allgemein mit 1 bezeichnete Zugriffskontrollsteuerung für zugriffscodegeschützte fernabfragbare Datenquellen 2a, 2b, 2c ein Mittel 3, um die Fernabfrage der Datenquellen 2a, 2b, 2c mit dem als zulässig bekannten Zugriffscode 4a, 4b, 4c temporär zu sperren.
-
Die Zugriffskontrollsteuerung 1 dient im vorliegenden Fall zur Steuerung des Zugriffs auf ein Gebäudeüberwachungssystem mit mehreren Kameras 2a bis 2c als einzeln beziehungsweise in Gruppen fernabfragbare Datenquellen. Die Kameras 2a, 2b, 2c des vorliegenden Beispiels sind zum Teil zur Überwachung des Gebäudeinneren bestimmt, wie durch die Kameras K1 und K2 (entsprechend K1, K2 in 2) bezeichnet, sowie eine Kamera 2c (entsprechend K3 in 2) zur Überwachung eines Außenbereiches mit Gartenbereich und einer den überwachten Bereich umfriedeten Mauerdient. Ein typisches Überwachungssystem kann in der Praxis zwar weit mehr Kameras umfassen, für Erläuterungszwecke genügt das hier vorgestellt System jedoch ohne weiteres.
-
Die Kameras 2a, 2b, 2c sind im vorliegenden Fall als digitale Videokameras ausgebildet, die über eine Datenleitung 5 die durch sie erfassten Bilddaten übertragen, sofern ein bei Aufforderung zur Datensendung von einem auf die Kamera zugreifenden Empfänger gesendeter Zugriffscode, d. h. vorliegend ein Passwort, mit jenem übereinstimmt, auf welches hin eine jeweilige Kamera Bilder an einen bestimmten Empfänger senden soll. Die Abfrage des Passwortes ist dargestellt für die Kamera K3 entsprechend Bezugszeichen 2c durch die Passwortabfragestufe 2c1, in der ein über die Datenleitung 5 übertragenes Passwort mit einem in einem internen Speicher 2c2 abgelegten Passwort verglichen wird, um auf einen erfolgreichen Vergleich hin entweder zuzulassen, dass die Kamera konfiguriert werden kann, beispielsweise hinsichtlich der Abtastfrequenz, d. h. jener Abtast- beziehungsweise Bildwiederholfrequenz, die in 1 als 2c3 bezeichnet ist, und/oder hinsichtlich der Bildauflösung, die entweder der maximal mit einem gegebenen Bildsensor möglichen oder, zum Beispiel zur Verringerung einer Netz-Datenlast oder einer Speichergröße, einer verringerten Auflösung entsprechen kann und/oder es werden Bilddaten aus einem Bilddatensensor 2c5 nach entsprechender Aufbereitung entsprechend der in den Speichern 2c3 und 2c4 abgelegten Konfigurationsdaten an die Leitung 5 gespeist, um über einen Netzwerkknoten 6 an den Empfänger weitergeleitet zu werden. Bei dem Netzwerkknoten kann es sich um einen Router, einen Switch oder dergleichen handeln und ins besondere um eine Schnittstelle zu einem öffentlichen Netz wie einem Telekommunikationsnetz, dem Internet oder einem Funknetz herstellen kann. Es sei erwähnt, dass die Einstellmöglichkeiten der Kameras nur beispielhaft genannt sind und andere Einstellungen wie Schwenk-, Neigungswinkel, Zoomfaktor etc. möglich sind.
-
Während in 1 für Kamera 3 entsprechend Bezugszeichen 2c dargestellt ist, dass diese als fernabfragbare Datenquelle zugriffscodegeschützt ist und dass sowohl ein zulässiges Passwort als auch andere Konfigurationsdaten in der Kamera ablegbar sind, ist eine solche Darstellung für die Kameras K1 und K2 entsprechend Bezugszeichen 2a, 2b in 1 zwar nicht wiedergegeben, es versteht sich aber, dass dies lediglich aus Gründen der zeichnerischen Vereinfachung geschieht. Es sei darauf hingewiesen, dass in einer bevorzugten Variante alle Kameras eines komplexen Überwachungssystems den gleichen oder einen ähnlichen inneren Aufbau und eine gleiche oder ähnliche Funktionsweise insbesondere hinsichtlich des Zugriffscodeschutzes, der Konfigurierbarkeit und der Datenquelle aufweisen können und werden.
-
Der Knoten 6 ist nun so gestaltet, dass über ihn ein Systemadministrator 7 mit den zugriffscodegeschützten, fernabfragbaren Datenquellen 2a, 2b, 2c kommunizieren kann. Die Kameras K1, K2, K3, entsprechend Bezugszeichen 2a, 2b, 2c, sind so aufgebaut, dass nach Eingabe eines korrekten Passwortes, d. h. eines Passwortes über Leitung 5, welches jenem entspricht, das momentan im internen Speicher, dargestellt nur für Kamera K3 entsprechend Bezugszeichen 2c2, die Konfigurationsdaten, insbesondere die Bildauflösung, wie sie im Speicher 2c4 von Kamera K3 ablegbar ist, oder die Bildwiederholfrequenz ν, wie sie im Speicher 2c3 von Kamera K3 abgelegt ist, eingestellt werden kann.
-
Aufgrund der Öffentlichkeit des Knotens 6 ist es per se auch für einen Eindringling 8, der aus krimineller Energie oder bloßer Neugier versucht, die Bilddaten aus den Kameras 2a, 2b, 2c zu erhalten, möglich, diese über Leitung 5 anzusprechen, und er wäre, Kenntnis eines in einem internen Speicher 2c abgelegten Passwortes und eventuell einer Verschlüsselung vorausgesetzt, auch in der Lage, Konfigurationsdaten zu verändern und/oder Bilddaten zu empfangen.
-
Solange die Zugriffscodes, d. h. Passwörter, für die Datenquellen einem Eindringling 8 nicht bekannt sind und der Systemadministrator 7 auf die Kameras ausschließlich zu verabredeten Zeiten zugreift, besteht für den eigentlichen Benutzer des Überwachungssystems, der einen bestimmten Bereich, vorliegend sein Grundstück und sein Haus, aus Sicherheitsgründen zumindest zeitweilig überwacht wissen möchte, keine Gefahr, dass seine Privatsphäre ungebührlich beeinträchtigt wird. Dies gilt dann nicht mehr, wenn der Systemadministrator nicht als hinreichend zuverlässig bekannt ist. Da in vielen Fällen, etwa bei sehr komplexen Kamerasystemen mit der Systemeinrichtung keine Person betraut wird, die eine besondere Vertrauensstellung genießt, sondern ein fremder Techniker, kann es erforderlich sein, auch für den Systemadministrator 7 den Zugriff wenigstens in jenen Zeiten zu sperren, in welchen der Besitzer des Überwachungssystems eine vollkommen ungetrübte Privatsphäre genießen möchte. Dies kann beispielsweise bei Prominenten häufig der Fall sein, da sie nie ausschließen können, dass in ihren Privaträumen aufgenommene Bilder nach Paparazzi-Art verkauft werden. Die Zugriffskontrollsteuerung 1 dient dazu, den Zugriff auch eines Systemadministrators, dem zu Verwaltungszwecken der Zugriffscode bekannt sein muß, den Zugriff auf die fernabfragbaren Datenquellen temporär ohne für einen Benutzer aufwändige Umkonfiguration zu unterbinden.
-
Aufbau und Funktionsweise dieser Zugriffskontrollsteuerung 1 werden nachfolgend detaillierter beschrieben werden.
-
Die Zugriffskontrollsteuerung 1 hat zunächst eine Eingabe-/Ausgabeschnittstelle 1a zur Kommunikation über Knoten 6 und Leitungen 5 mit den Kameras 2a, 2b, 2c entsprechend den erforderlichen Protokollen bzw. Kanälen und Protokollschichten wie http, WLAN, UMTS oder dergleichen. Dies kann durch einen eingebauten Kleinrechner bewirkt werden.
-
Intern sind Speichermittel 1a, 1b, 1c vorgesehen, die wahlweise auf ein zuvor vom Systemadministrator protokollgemäß in den Speichern 4a, 4b, 4c abgelegte, den Kameras K1, K2, K3 zugeordnete Passwörter zugreifen können oder auf ein durch einen Zufallsgenerator 9 generiertes Passwort, das als substitutives Passwort für Kamera K1 als Passwort 4a', für Kamera K2 als Passwort 4b' und als Passwort 4c' für Kamera K3 abgelegt ist. Auf diese Substitutivpasswörter hat der Systemadministrator weder lesenden noch schreibenden Zugriff. Bevorzugt ist sogar, wenn in die Substitutivpasswörter nur vom Zufallsgenerator schreibend zugegriffen werden kann. Die Entscheidung, ob auf die vom Systemadministrator in den Speichern 4a, 4b, 4c abgelegten Passwörter zugegriffen wird oder auf die Substitutivpasswörter 4a', 4b', 4c', die durch den Zufallsgenerator 9 generiert wurden, wird im Ansprechen auf die Stellung eines Sperr-/Entsperrmittels 10 getroffen, das vorliegend als Kippschalter dargestellt ist, um entweder einen Zugriff zur Datenfernabfrage auf eine gegebene Datenquelle zu erlauben oder eine Datenfernabfrage auf eine Datenquelle zu unterbinden. Im dargestellten Ausführungsbeispiel sind dabei die den Innenräumen zugeordneten Kameras K1, K2 entsprechend Bezugszeichen 2a, 2b zu einer Gruppe zusammengefasst und ihnen ist ein Schalter 10b zugeordnet, um sie für die Datenfernabfrage zu sperren oder freizugeben. Weiter ist für die dem Außenbereich zugeordnete Überwachungskamera K3 ein separater Kippschalter 10a vorgesehen, mit dem diese Kamera für die Datenfernabfrage gesperrt oder freigegeben werden kann, und zwar auf eine im Nachfolgenden noch zu beschreibende Weise. Es sei darauf hingewiesen, dass zwar bevorzugt die Schalter 10a, 10b, als schlichte, mechanisch betätigbare Schalter wie Drehschalter, Schlüsselschalter, Drucktaster oder dergleichen ausgebildet sein können, dass aber insbesondere der in den Figuren schalterartig dargestellte Wechselschalter für den Zugriff auf den Speicher für entweder ein systemadministratorvorgegebenes Passwort oder ein zufallsgeneratorgeneriertes Substitutivpasswort im Regelfall nicht durch mechanische Schalter realisiert werden, sondern vielmehr typisch eine Softwarelösung, beispielsweise durch Adressierung eines bestimmten Speicherbereiches, möglich angestrebt ist. Es sei weiter darauf hingewiesen, dass während vorliegend eine feste Gruppierung 2a, 2b gewählt ist, insbesondere bei komplexen Systemen mit einer sehr großen Vielzahl an Kameras nicht zwingend eine dauerhaft feste Gruppierung vorgenommen werden muss, auch bei Verwendung von mechanischen Sperr-/Entsperrschaltern nicht. Vielmehr ist es möglich, die Stellung dieser (Teil-)Sperr-/Entsperrmittel in einer bevorzugten Variante wahlweise unterschiedlichen Kameras zuzuordnen.
-
Die Zugriffskontrollsteuerung 1 weist weiter ein Kontrollfeld 1d auf, das einerseits eine Anzeige 1d1 umfaßt, auf der ein aktuelles Kamerabild unabhängig davon anzeigbar ist, ob die aktuelle Kamera derzeit für eine unerwünschte Fernabfrage durch einen Dritten, der über einen per se als zulässig bekannten Zugriffscode verfügt, gesperrt ist oder nicht, wobei auf der Anzeige weiter Statusinformation angezeigt wird, beispielsweise die Kameranummer 1d2, die Gruppenzuordnung 1d3 und der Sperr- oder Entsperrzustand 1d4, der vorliegend entweder als ein Hakensymbol für die Freigabe oder ein „–” für eine Sperrung dargestellt ist.
-
Der Grund dafür, dass eine Anzeige des Bildes auf der Zugriffskontrollsteuerung unabhängig vom Sperrstatus sinnvoll ist, liegt darin, dass auf diese Weise ein seine Privatsphäre wünschender Benutzer nicht in seiner Privatsphäre beeinträchtigt ist, nachdem er ja ohnehin derjenige ist, der sich bei der Zugriffskontrollsteuerung aufhalten kann und soll und er insofern auch unmittelbaren Einblick auf die überwachten Bereiche hat. In einer vereinfachten Version kann dessen ungeachtet die Anzeige 1d aber wegfallen.
-
Es ist weiter ein Statusfeld 1e vorgesehen, über welches zu jeder Kamera, wahlweise auch zu Kameragruppen oder einem Gesamtkameraensemble, angegeben werden kann, ob die Kamera überhaupt ordnungsgemäß kommuniziert, also am Netz angeschlossen ist, ob es Störungen der Kamera gibt und ob derzeit gerade eine Kommunikation zu der Kamera erfolgt, bei welcher Daten fernabgefragt werden. Die Statusanzeige kann durch LED's oder dergleichen, aber auch mittels eines Bildschirmes realisiert werden. Durch die Statusanzeige ist es möglich, den Benutzer schnell und einfach darüber zu informieren, ob alle Kameras ungeachtet des Sperrzustandes gut funktionieren. Dies verhindert, dass eine gesperrte Kamera während der Sperrzeit zerstört oder vom Netz genommen wird. Zugleich ist durch die Anzeige einer Datenfernabfrageaktivität einer einzelnen Kamera ein guter Hinweis dafür gegeben, ob eine Wachzentrale eine Überwachung ordnungsgemäß vornimmt, Eindringlinge versuchen, Bilder unbefugt zu erhalten usw. Anstelle einer separaten Statusanzeige für alle Einzelkameras ist es auch möglich, einzelne Parameter summarisch für Gruppen oder das Gesamtsystem anzuzeigen, zum Beispiel die Gesamtzahl der aktuell betriebenen Kameras, die Anzahl gesperrter Kameras usw.
-
Mit diesem System kann die Zugriffskontrolle erfolgen wie folgt:
Zunächst wird einem Systemadministrator der Zugriff auf alle Kameras erlaubt. Bei dieser Gelegenheit setzt er auch die Passwörter in dem Speicher 2c2 beziehungsweise den entsprechenden internen Speichern der anderen Kameras. Er kommuniziert dann die von ihm verwendeten Passwörter an die Zugriffskontrollsteuerung 1, wo sie protokollgemäß unter der Steuerung der Protokollstufe 1a in die Speicher 4a, 4b, 4c usw. der Zugriffskontrollsteuerung abgelegt werden.
-
Dann sperrt der Benutzer des Kamerasystems den Zugriff auf eine Datenfernabfrage der Kameras durch Umlegen der Schalter 10a, 10b. Hierauf wird zunächst über die Protokollstufe 1a, den Knoten 6 und die Verbindungsleitung 5 zu jeder einzelnen Kamera nacheinander eine Verbindung aufgebaut, wobei an die Kamera zur Authentifizierung des Zugriffes das vom Systemadministrator vorgesehene Passwort in dem jeweiligen Speicher 4a, 4b, 4c, der in der Zugriffskontrollsteuerung der jeweiligen Kamera zugeordnet ist, an die jeweiligen Kameras übertragen wird. Dies erlaubt der Zugriffskontrollsteuerung den Zugriff auf die Kameras. Danach wird für jede zu sperrende Kamera im Zufallsgenerator 9 ein Zufallscode generiert und in den Substitutivpasswortcodespeicherbereich eingespeichert. Nun werden die Wechselschalter, die zwischen dem Zugriff auf das systemadministratorvorgegebene Passwort 4a oder dem Substitutivpasswort 4a' beziehungsweise 4b' etc. umwechseln, umgelegt, was in einer Softwarelösung auch durch Setzen einer Flagge oder dergleichen geschehen kann. Das somit nunmehr von den Kameras während der Sperrzeit zu verwendende neue (Substitutiv-)Passwort wird wiederum über die Protokollstufe 1a, den Knoten 6 und die Leitung 5 an die einzelne Kamera übertragen und dort in den internen Passwortspeicher, für Kamera K2 beispielsweise interner Speicher 2c2, eingeschrieben. Dies wird für alle Kameras, die zu sperren sind, wiederholt.
-
Versucht nun der Systemadministrator mit seinem per se zulässigen, aber momentan gesperrten Passwort auf eine Kamera, die temporär gesperrt ist, zuzugreifen, so entspricht das von ihm verwendete Passwort nicht dem zufällig generierten Substitutivpasswort, das sich während der Sperrdauer im internen Speicher, beispielsweise 2c2 für Kamera K3, befindet. Ein Zugriff wird ihm von der Kamera daher verweigert. Die Zugriffskontrollsteuerung fragt hingegen unter Verwendung der korrekten, augenblicklich gültigen Substitutivpasswörter regelmäßig die Kameras K1 bis K3 ab und zeigt deren Bilder auf der Zugriffskontrollsteuerung an. Sind die Kameras nicht korrekt ansprechbar, wird dies gemeldet und eine entsprechende Warnung im Statusfeld 1e ausgegeben.
-
Um nun auch noch unbefugte Eindringlinge 8 zu sperren, die möglicherweise die Kommunikation über Leitung 5 oder 6 belauschen, um ein Passwort zu erhaschen, kann die Kommunikation zwischen Systemadministrator und Kameras beziehungsweise Zugriffskontrollsteuerung 1 und Kameras verschlüsselt erfolgen. Gleichwohl wäre es möglich, dass der Eindringling 8 die Kommunikation entschlüsselt. Aus diesem Grund wird es bevorzugt, wenn wiederholt das Substitutivpasswort an den Kameras durch ein neueres, gleichfalls zufällig generiertes Substitutivpasswort ersetzt wird. Durch zufällige Variation der Zugriffszeiten zur Substitutivpasswortänderung kann dabei auch vermieden werden, dass ein Eindringling 8 eine Zugriffsperiodizität ausnutzt, um vermeintlich unbemerkt mit einem entschlüsselten Substitutivcode auf die Kameras zuzugreifen. Alternativ und/oder zusätzlich kann eine Überwachung der Kameras (bzw. allgemeiner Datensender) von z. B. der Zugriffskontrollsteuerung in der Art einer Herzschlag-Überwachung (Heartbeat) geschehen.
-
Soll später eine Entsperrung erfolgen, geschieht der per se umgekehrte Prozess wie beim Sperren. Zunächst wird der Kippschalter 10a beziehungsweise 10b betätigt. Dann wird das Substitutivpasswort für eine jeweilige Kamera an diese übertragen und von dieser als korrekt erkannt, da es dem Passwort im internen Speicher, beispielsweise 2c2 für Kamera K3, entspricht. Nun kann der jeweilige interne, speicherzugriffssteuernde Wechselschalter zurückgesetzt werden und das systemadministratorbekannte Passwort als neues Passwort in der Kamera K3 gesetzt werden. Versucht der Systemadministrator nun neuerlich auf die Kamera zuzugreifen, so ist ihm dieser Zugriff wieder möglich.
-
Ergänzend zu dem Vorstehenden sei ausgeführt, dass bei der Verschlüsselung von übertragenen Codes, sei es bei der Übertragung von Substitutivcodes oder der Wiederherstellung temporär gesperrter Codes, eine Verschlüsselung nicht nur zu verwenden ist, sondern die Verschlüsselung bevorzugt auch regelmäßig zu wechseln ist. Entsprechende Möglichkeiten hierzu sind im Stand der Kryptographietechnik bestens bekannt. Hierzu zählen auch die Einrichtung zusätzlicher Sicherheitsmechanismen wie die Übertragung festgelegter Datenmengen bei der Zugriffssteuerung.
-
Explizit sei auch erwähnt, dass die Kommunikationsleitung) zwischen einer (zentralen) Zugriffskontrollsteuerung und einer von dieser anzusprechenden Einheit nicht konstant vorhanden zu sein braucht, sondern eine lediglich temporär aufgebaute Verbindung bzw. ein lediglich temporär aufgebautes und/oder dynamisch veränderliches Netzwerk ausreicht. Ein lediglich temporär aufgebautes Netzwerk ist insbesondere dann vorteilhaft, wenn hohe Kommunikationskosten wie bei der Nutzung von Mobiltelefondiensten mit der Kommunikation verbunden sind.
-
Während vorliegend regelmäßig vom Zugriffscode die Rede war und insbesondere erwähnt wurde, dass Passwörter geändert werden können, die einem bestimmten Account zugeordnet werden, ist es für den Fachmann ersichtlich, dass gegebenenfalls auch ein Account vollständig gesperrt werden kann, indem beispielsweise ein Benutzer, der Zugriff auf das Gerät gemäß einer in dem fernabzufragenden Gerät vorgehaltenen Liste haben soll, temporär aus der Liste entfernt wird. In einem solchen Fall empfiehlt es sich, dass wenigstens ein weiterer Benutzer in der Liste angegeben ist, der nicht gesperrt wird, damit eine Fernabfrage möglich wird. Dieser Benutzer kann, eventuell ausschließlich, bevorzugt die zentrale Zugriffssteuerung sein.