DE102016104625A1 - System der Gebäudeautomation mit zwei Teilnetzbereichen - Google Patents

System der Gebäudeautomation mit zwei Teilnetzbereichen Download PDF

Info

Publication number
DE102016104625A1
DE102016104625A1 DE102016104625.6A DE102016104625A DE102016104625A1 DE 102016104625 A1 DE102016104625 A1 DE 102016104625A1 DE 102016104625 A DE102016104625 A DE 102016104625A DE 102016104625 A1 DE102016104625 A1 DE 102016104625A1
Authority
DE
Germany
Prior art keywords
area
subnetwork
transmission medium
bridging
subscriber
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102016104625.6A
Other languages
English (en)
Other versions
DE102016104625B4 (de
Inventor
Christian Winnewisser
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ABB Schweiz AG
Original Assignee
ABB Schweiz AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ABB Schweiz AG filed Critical ABB Schweiz AG
Priority to DE102016104625.6A priority Critical patent/DE102016104625B4/de
Priority to EP17701458.6A priority patent/EP3430770A1/de
Priority to PCT/EP2017/051164 priority patent/WO2017157545A1/de
Publication of DE102016104625A1 publication Critical patent/DE102016104625A1/de
Application granted granted Critical
Publication of DE102016104625B4 publication Critical patent/DE102016104625B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

System (1) der Gebäudeautomation, das ein Teilnehmernetz mit Teilnehmerstationen (2–20) hat, die gemeinsam auf ein physikalisches Übertragungsmedium (21, 21‘) des Teilnehmernetzes zugreifen, um darüber zusammen zu wirken und dabei Daten in Form von Telegrammen auszutauschen, dadurch gekennzeichnet, dass in dem Teilnehmernetz wenigstens zwei Teilnetzbereiche (22, 23) gebildet sind, wobei sich ein erster Teilnetzbereich (22) in einem ungeschützten Gebäudebereich (24) und ein zweiter Teilnetzbereich (23) in einem geschützten Gebäudebereich (25) befindet, und dass das Übertragungsmedium (21‘) des ersten Teilnetzbereiches (22) mit dem Übertragungsmedium (21) des zweiten Teilnetzbereiches (23) über eine Überbrückungsvorrichtung (26) verbunden ist, wobei die Überbrückungsvorrichtung (26) sich in einem geschützten Gebäudebereich (25) befindet und eine erste Überbrückungsschnittstelle (27) hat, die mit dem Übertragungsmedium (21‘) in dem ersten Teilnetzbereich (22) verbunden ist und eine zweite Überbrückungsschnittstelle (28) hat, die mit dem Übertragungsmedium (21) in dem zweiten Teilnetzbereich (23) verbunden ist, und dass die Überbrückungsvorrichtung (26) ein Mittel (29) hat, um Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums (21‘) oder wenigstens eines Teilnehmergerätes (12–20) in dem ersten Teilnetzbereich (22) zu erfassen und daraus einen Angriff auf das Übertragungsmedium (21‘) des ersten Teilnetzbereiches (22) zu erkennen und anzuzeigen.

Description

  • Die Erfindung geht aus von einem System der Gebäudeautomation, das ein Teilnehmernetz mit Teilnehmerstationen hat, die gemeinsam auf ein physikalisches Übertragungsmedium des Teilnehmernetzes zugreifen, um darüber zusammen zu wirken und dabei Daten in Form von Telegrammen auszutauschen.
  • Ein solches System der Gebäudeautomation ist ein Feldbussystem der Gebäudeautomation, beispielsweise KNX. KNX ist ein offener Standard für die Gebäudeautomatisierung und standardisiert nach EN 50090 und ISO/IEC 14543.
  • Der KNX Standard beschreibt die Übertragung von Steuerdaten über verschiedene physikalische Übertragungsmedien, beispielsweise Twisted Pair, Powerline, Funk oder Ethernet. Als Teilnehmerstationen in einem KNX-Feldbussystem sind Aktoren und Sensoren definiert. Ein Aktor ist ein Steuerungsgerät, das einen Verbraucher steuert, beispielsweise ein Leuchte ein- bzw. ausschaltet oder dimmt, oder einen Rollladen öffnet oder schließt, oder eine Klimaanlage ein- bzw. ausschaltet bzw. einen neuen Temperatursollwert vorgibt, usw. Ein Sensor kann beispielsweise ein Schalter, Taster, Dimmer oder ein Helligkeits- oder ein Temperaturfühler sein. Ein anderes Wort für Teilnehmerstationen ist in diesem Zusammenhang auch „Busgerät“ oder „Teilnehmer“ oder „Busteilnehmer“. Alle Busgeräte können über den KNX-Feldbus, das Übertragungsmedium, miteinander verbunden werden. Jeder Teilnehmer kann mit jedem anderen Teilnehmer über Telegramme Daten austauschen.
  • Ein häufig verwendetes Übertragungsmedium von KNX ist das sogenannte Twisted Pair. Eine Möglichkeit der Kommunikation über das Medium Twisted Pair wird durch KNX TP1 beschrieben und ist in EN 50090-5-2 und ISO/IEC 14543-3-6 standardisiert. Die Übertragungsrate bei KNX-TP1 beträgt 9,6 kBit/sec..
  • Beim Medium Twisted Pair werden die Informationen auf eine Zweidrahtleitung aufgeprägt, die neben den Daten auch Energie zu den angeschlossenen Busteilnehmern überträgt. Dazu ist in jedem Busteilnehmer eine elektronische Busanschaltung vorhanden, die in der Regel als ASIC (Application Specific Integrated Circuit) oder als diskrete Schaltung ausgeführt ist.
  • Die Topologie eines KNX-Teilnehmernetzes, zum Beispiel in KNX-TP1 gliedert sich in Bereiche und Linien. Eine Linie besteht aus maximal vier Liniensegmenten mit maximal 64 Teilnehmern. Bis zu 15 Linien können über einen Linienkoppler an einer Hauptlinie angeschlossen werden. Dies wird als Bereich bezeichnet. Über eine Bereichslinie können mehrere Bereiche verbunden werden. Ein Bereichskoppler bindet dabei seinen Bereich an die Bereichslinie.
  • Jedem Busteilnehmer ist eine eindeutige physikalische Adresse zugeordnet, die zur eindeutigen Identifikation der Teilnehmer dient und die Anordnung der Teilnehmer innerhalb der Topologie beschreibt.
  • Bei einem Feldbussystem, wie es KNX darstellt, sind Fragen der Sicherheit sehr wichtig. Man kann dabei die datentechnische Sicherheit und die physikalische Sicherheit unterscheiden. Datentechnische Sicherheit gewährleistet, dass sich nur berechtigte Teilnehmer unterhalten können. Sie setzt auf einer datentechnisch korrekten Übertragung der Nachrichten auf, wobei die übertragenen Daten gegen Manipulation gesichert sind. Es sind Methoden und Verfahren bekannt, um die datentechnische Sicherheit in einem KNX-Feldbussystem zu gewährleisten.
  • Die physikalische Sicherheit bezieht sich auf den Schutz des Teilnehmernetzes vor absichtlich herbeigeführten elektrischen Störungen oder vor einem Überlastungsangriff, auch bekannt als Denial of Service attack oder DOS. Ein Angreifer, der physikalisch in das Teilnehmernetz eindringt, könnte beispielsweise unerkannt während eines Angriffes bestimmte Nachrichten selektiv stören, so dass diese nicht weiter verarbeitet werden können. Oder es wäre möglich, ein System der Gebäudeautomation mit irrelevanten Nachrichten zu überlasten.
  • Solche absichtlich herbeigeführten physikalischen Störungen auf beispielsweise einer KNX TP1 Linie können permanent oder sporadisch, auch zufällig, oder selektiv sein bzw. auftreten. Diese Störungen haben unterschiedliche Auswirkungen. So hat eine permanente Störung zur Folge, dass in dem ganzen gestörten Teilnehmernetz keine Kommunikation mehr möglich ist. eine sporadische Störung bewirkt einen zeitweisen Kommunikationsausfall. Eine selektive Störung hat nur selektive Auswirkungen auf die Kommunikation.
  • In jedem Fall kann eine absichtlich herbeigeführte physikalische Störung erhebliche Auswirkungen in einer Gebäudeautomatisierung haben. Wenn die Störung der Kommunikation auf dem KNX Feldbus beispielsweise sensitive Gewerke betrifft, wie Heizung, Klima, Lüften, Fahrstuhl, Licht etc., so können unter Umständen große Schäden entstehen. Ein Hotel, in dem eine absichtlich herbeigeführte physikalische Störung auftritt, kann unbewohnbar werden, oder ein Flughafen könnte nicht mehr nutzbar werden.
  • Absichtlich herbeigeführte physikalische Störungen des Teilnehmernetzes werden möglich, sobald ein Angreifer Zugriff auf die KNX TP1 Verkabelung erhält. Eine Art des Schutzes besteht daher darin, den physischen Zugriff auf die Bus-Verkabelung zu verhindern. Wenn Teile der KNX-Feldbus-Installation sich in öffentlich zugänglichen Bereichen befinden, lässt sich ein physischer Zugriff darauf jedoch nicht verhindern. Das könnte beispielsweise bei Sensoren, wie Lichtschalter, in öffentlichen Gebäuden oder in einem Hotelzimmer der Fall sein. Ein Angreifer könnte am Lichtschalter die Abdeckung entfernen und hat dann ungehindert Zugriff auf die KNX Buskabel.
  • Es ist daher die der vorliegenden Erfindung zugrunde liegende Aufgabe, ein System der Gebäudeautomatisierung so zu ertüchtigen, dass ein Angriff in Form von absichtlich herbeigeführten physikalischen Störungen des Teilnehmernetzes schnell erkannt, wenigstens teilweise verhindert und seine Auswirkungen begrenzt werden können.
  • Die Aufgabe wird erfindungsgemäß gelöst durch ein System der Gebäudeautomation mit den Merkmalen des Anspruchs 1.
  • Erfindungsgemäß sind in dem Teilnehmernetz wenigstens zwei Teilnetzbereiche gebildet, und das Übertragungsmedium des ersten Teilnetzbereiches ist mit dem Übertragungsmedium des zweiten Teilnetzbereiches über eine Überbrückungsvorrichtung verbunden, wobei die Überbrückungsvorrichtung eine erste Überbrückungsschnittstelle hat, die mit dem Übertragungsmedium in dem ersten Teilnetzbereich verbunden ist und eine zweite Überbrückungsschnittstelle hat, die mit dem Überbrückungsmedium in dem zweiten Teilnetzbereich verbunden ist, und wobei die Überbrückungsvorrichtung ein Mittel hat, um Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums oder wenigstens eines Teilnehmergerätes in dem ersten Teilnetzbereich, zu erfassen und daraus einen Angriff auf das Übertragungsmedium des ersten Teilnetzbereiches zu erkennen und anzuzeigen.
  • Der erste Teilnetzbereich ist dabei ein ungeschützter Bereich des KNX-Feldbusnetzes. Dieser befindet sich in einem ungeschützten Gebäudebereich. Das kann beispielsweise in einem Hotel ein ungeschützter Teilbereich eines Hotelzimmers sein. In dem Hotelzimmer befindliche Sensoren wie Taster oder Aktoren wie Leuchten oder Rolladensteuerungen sind durch den Zimmergast zugänglich und kaum wirksam gegen einen physischen Angriff schützbar. Den ersten Teilnetzbereich kann man daher auch als eine Art erste Kollisionsdomäne im ungeschützten Bereich bezeichnen.
  • Der zweite Teilnetzbereich ist der Teilbereich des KNX-Feldbusnetzes, der sich in einer gesicherten Zone, in einem geschützten Gebäudebereich, befindet. Das sind beispielsweise alle diejenigen Busteilnehmer, die nicht öffentlich zugänglich sind, die beispielsweise in öffentlich unzugänglichen Verteilern in einem Hotelzimmer, im Keller, oder gesichert in der Wand oder auf ähnliche Weise installiert sind. Den zweiten Teilbereich kann man auch als zweite Kollisionsdomäne im geschützten Bereich bezeichnen.
  • Die Überbrückungsvorrichtung verbindet die beiden Teilnetzbereiche, wobei sie eine galvanische Trennung der beiden Teilnetzbereiche bewirkt, und befindet sich ebenfalls in einem geschützten Gebäudebereich. Das kann beispielsweise ein abschließbarer Verteiler, ein abschließbarer Stockwerkverteiler oder ähnliches sein.
  • Ein Angriff in dem ungeschützten Bereich lässt sich so zwar nicht verhindern, aber erkennen und seine Auswirkungen auf die übrigen Anlagenteile lassen sich dadurch möglichst gering halten. Durch die Bildung der eigenen ersten Kollisionsdomäne im ungeschützten Bereich und deren Abtrennung von der restlichen Anlage über die Überbrückungsvorrichtung lässt sich verhindern, dass eine physikalische Störung aus dem ungeschützten ersten Teilnetzbereich rückwärts in das übrige System einwirken kann. Die Überbrückungsvorrichtung verhindert, dass sich eine physikalische Störung aus dem ungeschützten Anlagenbereich mit der ersten Kollisionsdomäne im ungeschützten Anlagenbereich auf die zweite Kollisionsdomäne im geschützten Anlagenbereich ausbreiten kann.
  • Gleichzeitig erkennt die Überbrückungsvorrichtung einen solchen Angriff und kann diesen in den geschützten Anlagenbereich hinein signalisieren. Die Überbrückungsvorrichtung hat dazu ein Mittel, um Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums oder wenigstens eines Teilnehmergerätes in dem ersten Teilnetzbereich zu erfassen und hinsichtlich einer Abweichung von einem vorbestimmten Normalzustand zu bewerten, und um aus einer ermittelten Abweichung von dem Normalzustand des wenigstens einen physikalischen Merkmals einen Angriff auf das Übertragungsmedium des ersten Teilnetzbereiches zu erkennen und anzuzeigen. Das Mittel kann in einer vorteilhaften Ausführungsform auf der physikalischen Ebene ein Mikrokontroller sein, mit einem Betriebssystem und einem Anwendungsprogramm in einem Flash-ROM und mit einem RAM-Speicher. Der Mikrokontroller ist kommunikationstechnisch mit der ersten und zweiten Überbrückungsschnittstelle verbunden. Sein Anwendungsprogramm sorgt einerseits dafür, dass die Datentelegramme zwischen den beiden Teilnetzbereichen korrekt weitergereicht werden. Insofern wirkt die Überbrückungsvorrichtung wie ein Linienkoppler oder ein Bereichskoppler im KNX Netz.
  • Während jedoch im KNX System ein Linienkoppler oder Bereichskoppler oder auch ein Verstärker in der Topologie nicht frei einsetzbar ist, so dass Adressbereiche nur eingeschränkt verwendet werden können und die topologischen Grenzen einer KNX Anlage schnell erreicht werden, hat die erfindungsgemäße Überbrückungsvorrichtung topologisch weniger Einschränkungen als ein Koppler oder ein Verstärker. Er wird nicht durch die Zuordnung einer physikalischen Adresse im KNX System als Koppler oder Verstärker parametriert. Daher unterliegt er nicht den Adressierungsbeschränkungen. Er ist daher in dem KNX Netz toplogisch sehr flexibel einsetzbar.
  • Die Ausführung einer erfindungsgemäßen Überbrückungsvorrichtung kann in einer vorteilhaften Ausführungsform ein eigenständiges Gerät sein, beispielsweise zur Hutschienenmontage in einem Verteiler oder unter Putz in einer gesicherten verteilerdose. In einer vorteilhaften Ausführungsform kann die erfindungsgemäße Überbrückungsvorrichtung auch integriert sein in ein anderes Gerät, wie z.B. in einen Linien- oder Bereichskoppler oder Verstärker oder auch ein normales Endgerät, und bildet dann gewissermaßen eine Zusatzfunktion in diesem Gerät. Wie bereits erläutert, unterliegt diese Zusatzfunktion in dieser Ausführungsform dann aber nicht den topologischen Beschränkungen des Gerätes, in das sie eingebaut ist.
  • Weiterhin kann die Überbrückungsvorrichtung in einer vorteilhaften Ausführungsform über ihre zweite Überbrückungsschnittstelle in dem zweiten, geschützten Teilnetzbereich auch ein anderes Bussystem verwenden, wie z.B. IP. Sie kann in dieser Ausführungsform dadurch auch zusätzlich die Funktion eines Medienkopplers erfüllen.
  • Die Überbrückungsvorrichtung kann in einer vorteilhaften Ausführungsform eine eigene Spannungsversorgung der ersten Kollisionsdomäne im ungeschützten Bereich zur Verfügung stellen.
  • In einer vorteilhaften Ausführungsform kann die Überbrückungsvorrichtung die erste Kollisionsdomäne in dem ungeschützten Bereich aus der zweiten Kollisionsdomäne im geschützten Bereich versorgen, wobei sie in dieser Ausführungsform dann nur einen einstellbaren maximalen Strom aus der zweiten Kollisionsdomäne im geschützten Bereich entnimmt, um eine störende Rückwirkung zu verhindern. Sie könnte aber auch ein eigenes Netzteil haben und direkt die erste Kollisionsdomäne speisen. Dieses netzteilkönnte auch ein „Power over Ethernet“ (PoE) Netzteil sein.
  • In einer vorteilhaften Ausführungsform kann die Überbrückungsvorrichtung auch eine in der ersten Kollisionsdomäne in dem ungeschützten Bereich extern bereitgestellte Spannungsversorgung verwenden, kann allerdings in diesem Fall den Strom in der ersten Kollisionsdomäne in dem ungeschützten Bereich nur noch indirekt überwachen.
  • Bei den Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums oder wenigstens eines Teilnehmergerätes, die das erfindungsgemäße Mittel der Überbrückungsvorrichtung erfassen und daraus einen Angriff auf das Übertragungsmedium des ersten Teilnetzbereiches erkennen und anzeigen kann, kann es sich um unterschiedliche Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums oder wenigstens eines Teilnehmergerätes handeln.
  • So kann beispielsweise in einer vorteilhaften Ausführungsform die Stromaufnahme der Busteilnehmer in dem ersten Teilnetzbereich erfasst werden. Eine Information betreffend eine geänderte Stromaufnahme der an die KNX TP1 Leitung angeschlossenen Geräte in der ersten Kollisionsdomäne im ungeschützten Anlagenbereich kann darauf schließen lassen, dass ein Gerät entfernt, oder ein Gerät hinzugefügt wurde.
  • In einer vorteilhaften Ausführungsform kann eine Information betreffend Übertragungsstörungen, die auch über Telegrammwiederholungen hinweg anhalten, ermittelt werden.
  • In einer vorteilhaften Ausführungsform kann eine Information über einen Kurzschluss der Buslinie in der ersten Kollisionsdomäne in dem ungeschützten Anlagenbereich ermittelt werden.
  • In einer vorteilhaften Ausführungsform kann eine Information betreffend den Ausfall eines oder mehrerer überwachter Geräte, also an den Teilnetzbereich in der ersten Kollisionsdomäne in dem ungeschützten Anlagenbereich angeschlossener Geräte ermittelt werden. Ein Beispiel für solche Informationen ist die Information, dass das „Keep alive“ – Signal fehlt. Ein weiteres Beispiel ist die Information, dass die aktive Geräteprüfung fehlschlägt.
  • In einer vorteilhaften Ausführungsform kann eine Information betreffend eine unbefugte Öffnung oder Demontage eines Gerätes oder betreffend das Öffnen oder Betreten eines geschützten Installationsortes durch zusätzliche Sensorik, beispielsweise Schalter im Gehäuse, Bewegungsmelder, etc., ermittelt werden.
  • In einer vorteilhaften Ausführungsform ist die Überbrückungsvorrichtung dazu eingerichtet, um zusätzlich datentechnische Störungen zu erkennen, die auf einen Angriff hin deuten. In diesem Fall kann die Überbrückungsvorrichtung durch Sperren der Datentelegramme eingreifen, um diese Störungen zu unterbinden. Dazu hat die Überbrückungsvorrichtung in einer vorteilhaften Ausführungsform ein Filtermittel, um beim Datenaustausch verwendete unerlaubte Adressen von Teilnehmerstationen zu erkennen und Telegramme nur an erlaubte Telegrammadressen weiterzuleiten. Das Filtermittel ist in einer vorteilhaften Ausführungsform als eine Datenbank realisiert, in einer vorteilhaften Ausführungsform auf der physikalischen Ebene in demselben Mikrokontroller, in dem auch das Mittel zur Informationserfassung über wenigstens ein physikalisches Merkmal des Übertragungsmediums realisiert ist. Diese Datenbank wird bei der Inbetriebnahme in die Überbrückungsvorrichtung geladen. Sie enthält die Telegrammadressen, die weitergeleitet werden dürfen, jeweils für jede Richtung. Damit weiß die Überbrückungsvorrichtung welche Telegramme sie weiterleiten darf und in welche Richtung. Zusätzlich enthält die Datenbank noch die Geräteadressen im ersten Teilnetzbereich. Damit weiß die Überbrückungsvorrichtung auch, welche Geräte sich in dem ungeschützten Gebäudebereich befinden, um diese dann überwachen zu können.
  • Eine mögliche datentechnische Störung kann darin liegen, dass individuelle Adressen im ungeschützten Anlagenbereich imitiert werden. Das Filtermittel kann das in einer vorteilhaften Ausführungsform erkennen, wenn sich diese Adressen topologisch im geschützten Anlagenbereich befinden, oder wenn Teilnehmer im ungeschützten Anlagenbereich die unsachgemäße Verwendung ihrer individuellen Adressen feststellen, oder wenn unbekannte individuelle Adressen im ungeschützten Anlagenbereich verwendet werden.
  • Eine weitere mögliche datentechnische Störung kann darin liegen, dass unbefugte datentechnische Eingriffe aus dem ungeschützten Anlagenbereich vorgenommen werden, wie Gruppenadressen gelesen oder versendet, die nicht in diesem Anlagenbereich vorkommen dürften, oder wenn Programmier- oder Manipulationsversuche aus dem ungeschützten Anlagenbereich heraus unternommen werden.
  • Eine weitere mögliche datentechnische Störung kann darin liegen, dass eine erhöhte Buslast über einen längeren Zeitraum erzeugt wird, um die Anlage zu stören, der bereits erwähnte „Denial of Service Attack“.
  • Eine weitere mögliche datentechnische Störung kann darin liegen, dass geschützte oder unerlaubte Befehle im ungeschützten Anlagenbereich versendet werden. Dies könnten Befehle zur Manipulation oder zum Ausspähen der Anlage sein.
  • Gemäß einer vorteilhaften Ausführungsform kann für die Erkennung die Überbrückungsvorrichtung in ihrer Empfindlichkeit der Überwachungsparameter eingestellt werden, um Fehlalarme zu verhindern.
  • Nach erfolgreicher Erkennung eines Angriffs kann gemäß einer vorteilhaften Ausführungsform ein Signal an ein Überwachungsgerät in den geschützten Anlagenbereich hinein erfolgen, um beispielsweise eine Alarmierung auszulösen oder eine Aufzeichnung für eine spätere Analyse zu starten. Dieses Signal kann beispielsweise in Form einer KNX Nachricht übertragen werden, oder auch wahlweise durch einen Binärausgang am Gerät direkt ausgegeben werden.
  • Gemäß einer vorteilhaften Ausführungsform kann die Überbrückungsvorrichtung permanent, zeitweise oder selektiv die Kommunikation zwischen dem ersten Kollisionsbereich in dem ungeschützten Anlagenbereich und dem zweiten Kollisionsbereich in dem geschützten Anlagenbereich unterbinden.
  • Es versteht sich, dass es erfindungsgemäß nicht nur einen ungeschützten und einen geschützten Anlagenbereich geben kann, sondern mehrere ungeschützte Anlagenbereiche und mehrere geschützte Anlagenbereiche. In einem Hotel beispielsweise kann jedes Hotelzimmer einen ungeschützten und einen geschützten Anlagenbereich haben, so dass es dann so viele ungeschützte und geschützte Anlagenbereiche gibt wie Zimmer vorhanden sind. Natürlich muss nicht jedes Hotelzimmer einen geschützten Anlagenbereich habe. Es könnten beispielsweise alle ungeschützten Anlagenbereiche auf einen gemeinsamen geschützten Anlagenbereich zugreifen. Die Anzahl der ungeschützten Anlagenbereiche korrespondiert mit der Anzahl der Hotelzimmer, die Anzahl der geschützten Anlagenbereiche nicht zwangsläufig. In einer solchen Anlagenkonfiguration ist es denkbar, dass es auch mehrere erfindungsgemäße Überbrückungsvorrichtungen gibt. Dabei kann eine Überbrückungsvorrichtung auch dazu eingerichtet sein, um mehrere ungeschützte Anlagenbereiche mit einem geschützten Anlagenbereich zu verbinden.
  • Anhand der Zeichnung, in der ein Ausführungsbeispiel der Erfindung dargestellt ist, soll die Erfindung näher erläutert und beschrieben werden.
  • Es zeigt die einzige
  • Figur schematisch und exemplarisch eine Ausführungsform eines erfindungsgemäßen Systems der Gebäudeautomation.
  • Das in 1 schematisch und exemplarisch dargestellte System 1 der Gebäudeautomation hat ein Teilnehmernetz mit Teilnehmerstationen 220. Die Teilnehmerstationen 220 greifen gemeinsam auf ein physikalisches Übertragungsmedium 21, 21‘ des Teilnehmernetzes zu, um darüber zusammen zu wirken und dabei Daten in Form von Telegrammen auszutauschen. Die Topologie des Teilnehmernetzes wie in der Figur dargestellt ist schematisch und exemplarisch der Topologie eines KNX TP1 Netzes nachempfunden. Bei den Teilnehmerstationen 2 bis 20 handelt es sich um Sensoren, Aktoren, Linienkoppler, Bereichskoppler, Verstärker, wie im Prinzip bekannt. Das Übertragungsmedium 21, 21‘ ist ein Netzwerk aus Twisted Pair Leitungen, wie im Prinzip auch bekannt.
  • In dem Teilnehmernetz sind zwei Teilnetzbereiche 22, 23 gebildet. Ein erster Teilnetzbereich 22 befindet sich in einem ungeschützten Gebäudebereich 24. Ein zweiter Teilnetzbereich 23 befindet sich in einem geschützten Gebäudebereich 25.
  • Das Übertragungsmedium 21‘ des ersten Teilnetzbereiches 22 ist mit dem Übertragungsmedium 21 des zweiten Teilnetzbereiches 23 über eine Überbrückungsvorrichtung 26 verbunden.
  • Die Überbrückungsvorrichtung 26 befindet sich in dem geschützten Gebäudebereich 25. Sie hat eine erste Überbrückungsschnittstelle 27, die mit dem Übertragungsmedium 21‘ in dem ersten Teilnetzbereich 22 verbunden ist und eine zweite Überbrückungsschnittstelle 28, die mit dem Übertragungsmedium 21 in dem zweiten Teilnetzbereich 23 verbunden ist.
  • Die Überbrückungsvorrichtung 26 hat ein Mittel 29, um Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums 21‘ oder wenigstens eines Teilnehmergerätes 12 bis 20 in dem ersten Teilnetzbereich 22 zu erfassen und daraus einen Angriff auf das Übertragungsmedium 21‘ des ersten Teilnetzbereiches 22 zu erkennen und anzuzeigen.
  • Die Überbrückungsvorrichtung 26 hat weiterhin ein Filtermittel 31. Das Filtermittel 31 dient der datentechnischen Filterung. Es sorgt dafür, dass Datentelegramme zwischen den beiden Teilnetzbereichen 22, 23 nur an erlaubte Telegrammadressen im jeweils anderen Teilnetzbereich 23, 22 weitergeleitet werden. Das Filtermittel 31 ist dazu als eine Datenbank realisiert. Diese Datenbank 31 wird bei der Inbetriebnahme in die Überbrückungsvorrichtung 26 geladen. Sie enthält die Telegrammadressen, die weitergeleitet werden dürfen, jeweils für jede Richtung. Damit weiß die Überbrückungsvorrichtung 26, welche Telegramme sie weiterleiten darf und in welche Richtung. Zusätzlich enthält sie noch die Geräteadressen im ersten Teilnetzbereich 22. Damit weiß die Überbrückungsvorrichtung auch, welche Geräte sich in dem ungeschützten Gebäudebereich 24 befinden, um diese dann überwachen zu können. Damit können datentechnische Störungen oder datentechnische Angriffe erkannt und verhindert werden. Das Filtermittel 31 kann anhand der in der Datenbank hinterlegten erlaubten Telegrammadressen und erlaubten Geräteadressen feststellen, wenn individuelle Adressen im ungeschützten Anlagenbereich imitiert werden. Das Filtermittel 31 kann daran erkennen, wenn sich Adressen von angeblich im ungeschützten Gebäudebereich 24 befindlichen Geräten Adressen topologisch im geschützten Anlagenbereich befinden, oder wenn Teilnehmer im ungeschützten Gebäudebereich 24 die unsachgemäße Verwendung ihrer individuellen Adressen feststellen, oder wenn unbekannte individuelle Adressen im ungeschützten Teilnetzbereich 22 verwendet werden. Das Filtermittel 31 kann anhand der in der Datenbank hinterlegten erlaubten Telegrammadressen und erlaubten Geräteadressen auch feststellen, wenn unbefugte datentechnische Eingriffe aus dem ungeschützten Gebäudebereich 24 vorgenommen werden, wie z.B. Gruppenadressen gelesen oder versendet, die nicht in diesem Gebäudebereich 24 vorkommen dürften, oder wenn Programmier- oder Manipulationsversuche aus dem ungeschützten Gebäudebereich 24 heraus unternommen werden.
  • Die Überbrückungsvorrichtung 26 ist hier lediglich beispielhaft als ein eigenständiges Gerät ausgeführt. Die Überbrückungsvorrichtung 26 könnte auch in ein anderes Gerät integriert sein und in diesem Gerät eine Zusatzfunktion bilden, beispielsweise in einer der Teilnehmerstationen 2 bis 11 in dem zweiten Teilnetzbereich 23 in dem geschützten Gebäudebereich 25.
  • Das System 1 hat ein Überwachungsgerät 30 in dem zweiten Teilnetzbereich 23, wobei das Mittel 29 dazu eingerichtet ist, um nach Erkennung eines Angriffs ein Signal an das Überwachungsgerät 30 zu senden.
  • Bezugszeichenliste
    • 1
    System der Gebäudeautomation
    2
    Teilnehmerstation
    3
    Teilnehmerstation
    4
    Teilnehmerstation
    5
    Teilnehmerstation
    6
    Teilnehmerstation
    7
    Teilnehmerstation
    8
    Teilnehmerstation
    9
    Teilnehmerstation
    10
    Teilnehmerstation
    11
    Teilnehmerstation
    12
    Teilnehmerstation
    13
    Teilnehmerstation
    14
    Teilnehmerstation
    15
    Teilnehmerstation
    16
    Teilnehmerstation
    17
    Teilnehmerstation
    18
    Teilnehmerstation
    19
    Teilnehmerstation
    20
    Teilnehmerstation
    21
    Übertragungsmedium
    21‘
    Übertragungsmedium
    22
    erster Teilnetzbereich
    23
    zweiter Teilnetzbereich
    24
    ungeschützter Gebäudebereich
    25
    geschützter Gebäudebereich
    26
    Überbrückungsvorrichtung
    27
    erste Überbrückungsschnittstelle
    28
    zweite Überbrückungsschnittstelle
    29
    Mittel
    30
    Überwachungsgerät
    31
    Filtermittel
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • EN 50090 [0002]
    • ISO/IEC 14543 [0002]
    • EN 50090-5-2 [0004]
    • ISO/IEC 14543-3-6 [0004]

Claims (16)

  1. System (1) der Gebäudeautomation, das ein Teilnehmernetz mit Teilnehmerstationen (220) hat, die gemeinsam auf ein physikalisches Übertragungsmedium (21, 21‘) des Teilnehmernetzes zugreifen, um darüber zusammen zu wirken und dabei Daten in Form von Telegrammen auszutauschen, dadurch gekennzeichnet, dass in dem Teilnehmernetz wenigstens zwei Teilnetzbereiche (22, 23) gebildet sind, wobei sich ein erster Teilnetzbereich (22) in einem ungeschützten Gebäudebereich (24) und ein zweiter Teilnetzbereich (23) in einem geschützten Gebäudebereich (25) befindet, und dass das Übertragungsmedium (21‘) des ersten Teilnetzbereiches (22) mit dem Übertragungsmedium (21) des zweiten Teilnetzbereiches (23) über eine Überbrückungsvorrichtung (26) verbunden ist, wobei die Überbrückungsvorrichtung (26) sich in einem geschützten Gebäudebereich (25) befindet und eine erste Überbrückungsschnittstelle (27) hat, die mit dem Übertragungsmedium (21‘) in dem ersten Teilnetzbereich (22) verbunden ist und eine zweite Überbrückungsschnittstelle (28) hat, die mit dem Übertragungsmedium (21) in dem zweiten Teilnetzbereich (23) verbunden ist, und dass die Überbrückungsvorrichtung (26) ein Mittel (29) hat, um Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums (21‘) oder wenigstens eines Teilnehmergerätes (1220) in dem ersten Teilnetzbereich (22) zu erfassen und daraus einen Angriff auf das Übertragungsmedium (21‘) des ersten Teilnetzbereiches (22) zu erkennen und anzuzeigen.
  2. System (1) nach Anspruch 1, dadurch gekennzeichnet, dass die Überbrückungsvorrichtung (26) ein Filtermittel (31) hat, um beim Datenaustausch verwendete unerlaubte Adressen von Teilnehmerstationen zu erkennen und Telegramme nur an erlaubte Telegrammadressen weiterzuleiten.
  3. System (1) nach Anspruch 2, dadurch gekennzeichnet, dass die Überbrückungsvorrichtung (26) ein eigenständiges Gerät ist.
  4. System (1) nach Anspruch 2, dadurch gekennzeichnet, dass die Überbrückungsvorrichtung (26) in ein anderes Gerät integriert ist und in diesem Gerät eine Zusatzfunktion bildet.
  5. System (1) nach Anspruch 2, dadurch gekennzeichnet, dass die Überbrückungsvorrichtung (26) über ihre zweite Überbrückungsschnittstelle (28) in dem zweiten, geschützten Teilnetzbereich (23) ein anderes Bussystem verwendet.
  6. System (1) nach Anspruch 2, dadurch gekennzeichnet, dass die Überbrückungsvorrichtung (26) eine eigene Spannungsversorgung dem ersten Teilnetzbereich (22) zur Verfügung stellt.
  7. System (1) nach Anspruch 2, dadurch gekennzeichnet, dass die Überbrückungsvorrichtung (26) den ersten Teilnetzbereich (22) aus dem zweiten Teilnetzbereich (23) versorgt.
  8. System (1) nach Anspruch 2, dadurch gekennzeichnet, dass die Überbrückungsvorrichtung (26) eine in dem ersten Teilnetzbereich (22) extern bereitgestellte Spannungsversorgung verwendet.
  9. System (1) nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass das Mittel (26) dazu eingerichtet ist um die Stromaufnahme der Teilnehmerstationen (1220) in dem ersten Teilnetzbereich (22) zu erfassen.
  10. System (1) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Mittel (26) dazu eingerichtet ist um eine Information betreffend Übertragungsstörungen, die auch über Telegrammwiederholungen hinweg anhalten, zu ermitteln.
  11. System (1) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Mittel (26) dazu eingerichtet ist um eine Information über einen Kurzschluss des Übertragungsmediums (21‘) in dem ersten Teilnetzbereich zu ermitteln.
  12. System (1) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Mittel (26) dazu eingerichtet ist um eine Information betreffend den Ausfall eines oder mehrerer Teilnehmerstationen (1220) in dem ersten Teilnetzbereich (22) zu ermitteln.
  13. System (1) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Mittel (26) dazu eingerichtet ist um eine Information betreffend eine unbefugte Öffnung oder Demontage einer Teilnehmerstation (1220) oder betreffend das Öffnen oder Betreten eines geschützten Installationsortes durch zusätzliche Sensorik zu ermitteln.
  14. System (1) nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass das Mittel (26) dazu eingerichtet, um zusätzlich datentechnische Störungen zu erkennen.
  15. System (1) nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass das System ein Überwachungsgerät (30) in dem geschützten Gebäudebereich (25) umfasst, wobei das Mittel (26) dazu eingerichtet ist, um nach Erkennung eines Angriffs ein Signal an das Überwachungsgerät (30) zu senden.
  16. System (1) nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass die Überbrückungsvorrichtung (26) dazu eingerichtet ist, um permanent, zeitweise oder selektiv die Kommunikation zwischen dem ersten Teilnetzbereich (22) und dem zweiten Teilnetzbereich (23) zu unterbinden.
DE102016104625.6A 2016-03-14 2016-03-14 System der Gebäudeautomation mit zwei Teilnetzbereichen Active DE102016104625B4 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102016104625.6A DE102016104625B4 (de) 2016-03-14 2016-03-14 System der Gebäudeautomation mit zwei Teilnetzbereichen
EP17701458.6A EP3430770A1 (de) 2016-03-14 2017-01-20 System der gebäudeautomation mit zwei teilnetzbereichen
PCT/EP2017/051164 WO2017157545A1 (de) 2016-03-14 2017-01-20 System der gebäudeautomation mit zwei teilnetzbereichen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102016104625.6A DE102016104625B4 (de) 2016-03-14 2016-03-14 System der Gebäudeautomation mit zwei Teilnetzbereichen

Publications (2)

Publication Number Publication Date
DE102016104625A1 true DE102016104625A1 (de) 2017-09-14
DE102016104625B4 DE102016104625B4 (de) 2024-04-18

Family

ID=57890797

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016104625.6A Active DE102016104625B4 (de) 2016-03-14 2016-03-14 System der Gebäudeautomation mit zwei Teilnetzbereichen

Country Status (3)

Country Link
EP (1) EP3430770A1 (de)
DE (1) DE102016104625B4 (de)
WO (1) WO2017157545A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3512177A1 (de) * 2018-01-12 2019-07-17 Krohne Messtechnik GmbH System mit einem elektrischen gerät

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19726981C2 (de) 1997-06-25 2003-03-06 Insta Elektro Gmbh Gerätekombination der Gebäudesystemtechnik mit Demontagemeldung
DE10139922A1 (de) 2001-08-14 2003-02-27 Philips Corp Intellectual Pty Vorrichtung und Verfahren zur Diebstahlsicherung von an ein Bussystem angeschlossenen elektronischen Geräten
AT513531A1 (de) 2012-10-18 2014-05-15 Top Services Telekom It Dienstleistungsges M B H Elektronisches Installationssystem

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
EN 50090
EN 50090-5-2
ISO/IEC 14543
ISO/IEC 14543-3-6

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3512177A1 (de) * 2018-01-12 2019-07-17 Krohne Messtechnik GmbH System mit einem elektrischen gerät
US11062027B2 (en) 2018-01-12 2021-07-13 Krohne Messtechnik Gmbh System with an electrical apparatus

Also Published As

Publication number Publication date
WO2017157545A1 (de) 2017-09-21
DE102016104625B4 (de) 2024-04-18
EP3430770A1 (de) 2019-01-23

Similar Documents

Publication Publication Date Title
EP3501154B1 (de) Bereitstellen einer gesicherten kommunikation innerhalb eines echtzeitfähigen kommunikationsnetzwerkes
EP2684154B1 (de) Verfahren und steuereinheit zur erkennung von manipulationen an einem fahrzeugnetzwerk
EP1490772B1 (de) Verfahren zum adressieren der teilnehmer eines bussystems mittels identifizierungsströmen
DE102010009775A1 (de) Schaltschranküberwachungseinrichtung
WO2005124477A2 (de) Hausgerätesteuerungssystem
EP2400708B1 (de) Netzwerk-Schutzeinrichtung
EP1211582A1 (de) Anordnung zur Überwachung, Steuerung und Regelung einer betriebstechnischen Anlage eines Gebäudes
DE112014005365B4 (de) Übertragungsvorrichtung und Kommunikationsnetzwerk
EP3032511A1 (de) Feststellanlage
EP3416337B1 (de) Vorrichtung zur automation eines hauses oder gebäudes
EP3414632B1 (de) Verfahren und vorrichtung zum überwachen einer datenverarbeitung und -übertragung in einer sicherheitskette eines sicherheitssystems
DE102016104625B4 (de) System der Gebäudeautomation mit zwei Teilnetzbereichen
EP3122016B1 (de) Automatisierungsnetzwerk und verfahren zur überwachung der sicherheit der übertragung von datenpaketen
EP3360284A1 (de) Buskopplungseinheit und bussystem mit einer buskopplungseinheit
EP2462670B1 (de) Elektrische installationsanordnung
WO2006097430A2 (de) Verfahren zur bestimmung der konfiguration einer gefahrenmeldeanlage und gefahrenmeldeanlage
EP3512177A1 (de) System mit einem elektrischen gerät
EP2056535A2 (de) Verbinder und Verfahren zum Bereitstellen eines Zugangs zu einem Datenverarbeitungsnetz für eine Datenverarbeitungseinrichtung
DE102011082489A1 (de) Verfahren und Vorrichtung zur gesicherten Veränderung einer Konfigurationseinstellung eines Netzwerkgerätes
DE102015224886A1 (de) Vermeidung von Schwachstellen
EP2926153A1 (de) Anordnung zum erkennen von lichtbögen in einer elektrischen installationsanordnung
WO2024132417A1 (de) Verfahren und system zum gegenseitigen überprüfen der integrität einer vielzahl von feldgeräten der automatisierungstechnik
WO2013135764A1 (de) Verfahren zum betreiben eines netzwerks
DE102017005235A1 (de) Mechanismus zur Absicherung der Funktion eines Gebäudeleitsystems auf BUS Ebene
DE102016125209A1 (de) Verfahren zur Bestimmung eines Gebäudeteilzustands

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: VOGEL, ALBRECHT, DIPL.-ING. DR.-ING., DE

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R082 Change of representative

Representative=s name: MAIWALD GMBH, DE

R016 Response to examination communication
R018 Grant decision by examination section/examining division