-
Die Erfindung geht aus von einem System der Gebäudeautomation, das ein Teilnehmernetz mit Teilnehmerstationen hat, die gemeinsam auf ein physikalisches Übertragungsmedium des Teilnehmernetzes zugreifen, um darüber zusammen zu wirken und dabei Daten in Form von Telegrammen auszutauschen.
-
Ein solches System der Gebäudeautomation ist ein Feldbussystem der Gebäudeautomation, beispielsweise KNX. KNX ist ein offener Standard für die Gebäudeautomatisierung und standardisiert nach EN 50090 und ISO/IEC 14543.
-
Der KNX Standard beschreibt die Übertragung von Steuerdaten über verschiedene physikalische Übertragungsmedien, beispielsweise Twisted Pair, Powerline, Funk oder Ethernet. Als Teilnehmerstationen in einem KNX-Feldbussystem sind Aktoren und Sensoren definiert. Ein Aktor ist ein Steuerungsgerät, das einen Verbraucher steuert, beispielsweise ein Leuchte ein- bzw. ausschaltet oder dimmt, oder einen Rollladen öffnet oder schließt, oder eine Klimaanlage ein- bzw. ausschaltet bzw. einen neuen Temperatursollwert vorgibt, usw. Ein Sensor kann beispielsweise ein Schalter, Taster, Dimmer oder ein Helligkeits- oder ein Temperaturfühler sein. Ein anderes Wort für Teilnehmerstationen ist in diesem Zusammenhang auch „Busgerät“ oder „Teilnehmer“ oder „Busteilnehmer“. Alle Busgeräte können über den KNX-Feldbus, das Übertragungsmedium, miteinander verbunden werden. Jeder Teilnehmer kann mit jedem anderen Teilnehmer über Telegramme Daten austauschen.
-
Ein häufig verwendetes Übertragungsmedium von KNX ist das sogenannte Twisted Pair. Eine Möglichkeit der Kommunikation über das Medium Twisted Pair wird durch KNX TP1 beschrieben und ist in EN 50090-5-2 und ISO/IEC 14543-3-6 standardisiert. Die Übertragungsrate bei KNX-TP1 beträgt 9,6 kBit/sec..
-
Beim Medium Twisted Pair werden die Informationen auf eine Zweidrahtleitung aufgeprägt, die neben den Daten auch Energie zu den angeschlossenen Busteilnehmern überträgt. Dazu ist in jedem Busteilnehmer eine elektronische Busanschaltung vorhanden, die in der Regel als ASIC (Application Specific Integrated Circuit) oder als diskrete Schaltung ausgeführt ist.
-
Die Topologie eines KNX-Teilnehmernetzes, zum Beispiel in KNX-TP1 gliedert sich in Bereiche und Linien. Eine Linie besteht aus maximal vier Liniensegmenten mit maximal 64 Teilnehmern. Bis zu 15 Linien können über einen Linienkoppler an einer Hauptlinie angeschlossen werden. Dies wird als Bereich bezeichnet. Über eine Bereichslinie können mehrere Bereiche verbunden werden. Ein Bereichskoppler bindet dabei seinen Bereich an die Bereichslinie.
-
Jedem Busteilnehmer ist eine eindeutige physikalische Adresse zugeordnet, die zur eindeutigen Identifikation der Teilnehmer dient und die Anordnung der Teilnehmer innerhalb der Topologie beschreibt.
-
Bei einem Feldbussystem, wie es KNX darstellt, sind Fragen der Sicherheit sehr wichtig. Man kann dabei die datentechnische Sicherheit und die physikalische Sicherheit unterscheiden. Datentechnische Sicherheit gewährleistet, dass sich nur berechtigte Teilnehmer unterhalten können. Sie setzt auf einer datentechnisch korrekten Übertragung der Nachrichten auf, wobei die übertragenen Daten gegen Manipulation gesichert sind. Es sind Methoden und Verfahren bekannt, um die datentechnische Sicherheit in einem KNX-Feldbussystem zu gewährleisten.
-
Die physikalische Sicherheit bezieht sich auf den Schutz des Teilnehmernetzes vor absichtlich herbeigeführten elektrischen Störungen oder vor einem Überlastungsangriff, auch bekannt als Denial of Service attack oder DOS. Ein Angreifer, der physikalisch in das Teilnehmernetz eindringt, könnte beispielsweise unerkannt während eines Angriffes bestimmte Nachrichten selektiv stören, so dass diese nicht weiter verarbeitet werden können. Oder es wäre möglich, ein System der Gebäudeautomation mit irrelevanten Nachrichten zu überlasten.
-
Solche absichtlich herbeigeführten physikalischen Störungen auf beispielsweise einer KNX TP1 Linie können permanent oder sporadisch, auch zufällig, oder selektiv sein bzw. auftreten. Diese Störungen haben unterschiedliche Auswirkungen. So hat eine permanente Störung zur Folge, dass in dem ganzen gestörten Teilnehmernetz keine Kommunikation mehr möglich ist. eine sporadische Störung bewirkt einen zeitweisen Kommunikationsausfall. Eine selektive Störung hat nur selektive Auswirkungen auf die Kommunikation.
-
In jedem Fall kann eine absichtlich herbeigeführte physikalische Störung erhebliche Auswirkungen in einer Gebäudeautomatisierung haben. Wenn die Störung der Kommunikation auf dem KNX Feldbus beispielsweise sensitive Gewerke betrifft, wie Heizung, Klima, Lüften, Fahrstuhl, Licht etc., so können unter Umständen große Schäden entstehen. Ein Hotel, in dem eine absichtlich herbeigeführte physikalische Störung auftritt, kann unbewohnbar werden, oder ein Flughafen könnte nicht mehr nutzbar werden.
-
Absichtlich herbeigeführte physikalische Störungen des Teilnehmernetzes werden möglich, sobald ein Angreifer Zugriff auf die KNX TP1 Verkabelung erhält. Eine Art des Schutzes besteht daher darin, den physischen Zugriff auf die Bus-Verkabelung zu verhindern. Wenn Teile der KNX-Feldbus-Installation sich in öffentlich zugänglichen Bereichen befinden, lässt sich ein physischer Zugriff darauf jedoch nicht verhindern. Das könnte beispielsweise bei Sensoren, wie Lichtschalter, in öffentlichen Gebäuden oder in einem Hotelzimmer der Fall sein. Ein Angreifer könnte am Lichtschalter die Abdeckung entfernen und hat dann ungehindert Zugriff auf die KNX Buskabel.
-
Es ist daher die der vorliegenden Erfindung zugrunde liegende Aufgabe, ein System der Gebäudeautomatisierung so zu ertüchtigen, dass ein Angriff in Form von absichtlich herbeigeführten physikalischen Störungen des Teilnehmernetzes schnell erkannt, wenigstens teilweise verhindert und seine Auswirkungen begrenzt werden können.
-
Die Aufgabe wird erfindungsgemäß gelöst durch ein System der Gebäudeautomation mit den Merkmalen des Anspruchs 1.
-
Erfindungsgemäß sind in dem Teilnehmernetz wenigstens zwei Teilnetzbereiche gebildet, und das Übertragungsmedium des ersten Teilnetzbereiches ist mit dem Übertragungsmedium des zweiten Teilnetzbereiches über eine Überbrückungsvorrichtung verbunden, wobei die Überbrückungsvorrichtung eine erste Überbrückungsschnittstelle hat, die mit dem Übertragungsmedium in dem ersten Teilnetzbereich verbunden ist und eine zweite Überbrückungsschnittstelle hat, die mit dem Überbrückungsmedium in dem zweiten Teilnetzbereich verbunden ist, und wobei die Überbrückungsvorrichtung ein Mittel hat, um Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums oder wenigstens eines Teilnehmergerätes in dem ersten Teilnetzbereich, zu erfassen und daraus einen Angriff auf das Übertragungsmedium des ersten Teilnetzbereiches zu erkennen und anzuzeigen.
-
Der erste Teilnetzbereich ist dabei ein ungeschützter Bereich des KNX-Feldbusnetzes. Dieser befindet sich in einem ungeschützten Gebäudebereich. Das kann beispielsweise in einem Hotel ein ungeschützter Teilbereich eines Hotelzimmers sein. In dem Hotelzimmer befindliche Sensoren wie Taster oder Aktoren wie Leuchten oder Rolladensteuerungen sind durch den Zimmergast zugänglich und kaum wirksam gegen einen physischen Angriff schützbar. Den ersten Teilnetzbereich kann man daher auch als eine Art erste Kollisionsdomäne im ungeschützten Bereich bezeichnen.
-
Der zweite Teilnetzbereich ist der Teilbereich des KNX-Feldbusnetzes, der sich in einer gesicherten Zone, in einem geschützten Gebäudebereich, befindet. Das sind beispielsweise alle diejenigen Busteilnehmer, die nicht öffentlich zugänglich sind, die beispielsweise in öffentlich unzugänglichen Verteilern in einem Hotelzimmer, im Keller, oder gesichert in der Wand oder auf ähnliche Weise installiert sind. Den zweiten Teilbereich kann man auch als zweite Kollisionsdomäne im geschützten Bereich bezeichnen.
-
Die Überbrückungsvorrichtung verbindet die beiden Teilnetzbereiche, wobei sie eine galvanische Trennung der beiden Teilnetzbereiche bewirkt, und befindet sich ebenfalls in einem geschützten Gebäudebereich. Das kann beispielsweise ein abschließbarer Verteiler, ein abschließbarer Stockwerkverteiler oder ähnliches sein.
-
Ein Angriff in dem ungeschützten Bereich lässt sich so zwar nicht verhindern, aber erkennen und seine Auswirkungen auf die übrigen Anlagenteile lassen sich dadurch möglichst gering halten. Durch die Bildung der eigenen ersten Kollisionsdomäne im ungeschützten Bereich und deren Abtrennung von der restlichen Anlage über die Überbrückungsvorrichtung lässt sich verhindern, dass eine physikalische Störung aus dem ungeschützten ersten Teilnetzbereich rückwärts in das übrige System einwirken kann. Die Überbrückungsvorrichtung verhindert, dass sich eine physikalische Störung aus dem ungeschützten Anlagenbereich mit der ersten Kollisionsdomäne im ungeschützten Anlagenbereich auf die zweite Kollisionsdomäne im geschützten Anlagenbereich ausbreiten kann.
-
Gleichzeitig erkennt die Überbrückungsvorrichtung einen solchen Angriff und kann diesen in den geschützten Anlagenbereich hinein signalisieren. Die Überbrückungsvorrichtung hat dazu ein Mittel, um Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums oder wenigstens eines Teilnehmergerätes in dem ersten Teilnetzbereich zu erfassen und hinsichtlich einer Abweichung von einem vorbestimmten Normalzustand zu bewerten, und um aus einer ermittelten Abweichung von dem Normalzustand des wenigstens einen physikalischen Merkmals einen Angriff auf das Übertragungsmedium des ersten Teilnetzbereiches zu erkennen und anzuzeigen. Das Mittel kann in einer vorteilhaften Ausführungsform auf der physikalischen Ebene ein Mikrokontroller sein, mit einem Betriebssystem und einem Anwendungsprogramm in einem Flash-ROM und mit einem RAM-Speicher. Der Mikrokontroller ist kommunikationstechnisch mit der ersten und zweiten Überbrückungsschnittstelle verbunden. Sein Anwendungsprogramm sorgt einerseits dafür, dass die Datentelegramme zwischen den beiden Teilnetzbereichen korrekt weitergereicht werden. Insofern wirkt die Überbrückungsvorrichtung wie ein Linienkoppler oder ein Bereichskoppler im KNX Netz.
-
Während jedoch im KNX System ein Linienkoppler oder Bereichskoppler oder auch ein Verstärker in der Topologie nicht frei einsetzbar ist, so dass Adressbereiche nur eingeschränkt verwendet werden können und die topologischen Grenzen einer KNX Anlage schnell erreicht werden, hat die erfindungsgemäße Überbrückungsvorrichtung topologisch weniger Einschränkungen als ein Koppler oder ein Verstärker. Er wird nicht durch die Zuordnung einer physikalischen Adresse im KNX System als Koppler oder Verstärker parametriert. Daher unterliegt er nicht den Adressierungsbeschränkungen. Er ist daher in dem KNX Netz toplogisch sehr flexibel einsetzbar.
-
Die Ausführung einer erfindungsgemäßen Überbrückungsvorrichtung kann in einer vorteilhaften Ausführungsform ein eigenständiges Gerät sein, beispielsweise zur Hutschienenmontage in einem Verteiler oder unter Putz in einer gesicherten verteilerdose. In einer vorteilhaften Ausführungsform kann die erfindungsgemäße Überbrückungsvorrichtung auch integriert sein in ein anderes Gerät, wie z.B. in einen Linien- oder Bereichskoppler oder Verstärker oder auch ein normales Endgerät, und bildet dann gewissermaßen eine Zusatzfunktion in diesem Gerät. Wie bereits erläutert, unterliegt diese Zusatzfunktion in dieser Ausführungsform dann aber nicht den topologischen Beschränkungen des Gerätes, in das sie eingebaut ist.
-
Weiterhin kann die Überbrückungsvorrichtung in einer vorteilhaften Ausführungsform über ihre zweite Überbrückungsschnittstelle in dem zweiten, geschützten Teilnetzbereich auch ein anderes Bussystem verwenden, wie z.B. IP. Sie kann in dieser Ausführungsform dadurch auch zusätzlich die Funktion eines Medienkopplers erfüllen.
-
Die Überbrückungsvorrichtung kann in einer vorteilhaften Ausführungsform eine eigene Spannungsversorgung der ersten Kollisionsdomäne im ungeschützten Bereich zur Verfügung stellen.
-
In einer vorteilhaften Ausführungsform kann die Überbrückungsvorrichtung die erste Kollisionsdomäne in dem ungeschützten Bereich aus der zweiten Kollisionsdomäne im geschützten Bereich versorgen, wobei sie in dieser Ausführungsform dann nur einen einstellbaren maximalen Strom aus der zweiten Kollisionsdomäne im geschützten Bereich entnimmt, um eine störende Rückwirkung zu verhindern. Sie könnte aber auch ein eigenes Netzteil haben und direkt die erste Kollisionsdomäne speisen. Dieses netzteilkönnte auch ein „Power over Ethernet“ (PoE) Netzteil sein.
-
In einer vorteilhaften Ausführungsform kann die Überbrückungsvorrichtung auch eine in der ersten Kollisionsdomäne in dem ungeschützten Bereich extern bereitgestellte Spannungsversorgung verwenden, kann allerdings in diesem Fall den Strom in der ersten Kollisionsdomäne in dem ungeschützten Bereich nur noch indirekt überwachen.
-
Bei den Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums oder wenigstens eines Teilnehmergerätes, die das erfindungsgemäße Mittel der Überbrückungsvorrichtung erfassen und daraus einen Angriff auf das Übertragungsmedium des ersten Teilnetzbereiches erkennen und anzeigen kann, kann es sich um unterschiedliche Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums oder wenigstens eines Teilnehmergerätes handeln.
-
So kann beispielsweise in einer vorteilhaften Ausführungsform die Stromaufnahme der Busteilnehmer in dem ersten Teilnetzbereich erfasst werden. Eine Information betreffend eine geänderte Stromaufnahme der an die KNX TP1 Leitung angeschlossenen Geräte in der ersten Kollisionsdomäne im ungeschützten Anlagenbereich kann darauf schließen lassen, dass ein Gerät entfernt, oder ein Gerät hinzugefügt wurde.
-
In einer vorteilhaften Ausführungsform kann eine Information betreffend Übertragungsstörungen, die auch über Telegrammwiederholungen hinweg anhalten, ermittelt werden.
-
In einer vorteilhaften Ausführungsform kann eine Information über einen Kurzschluss der Buslinie in der ersten Kollisionsdomäne in dem ungeschützten Anlagenbereich ermittelt werden.
-
In einer vorteilhaften Ausführungsform kann eine Information betreffend den Ausfall eines oder mehrerer überwachter Geräte, also an den Teilnetzbereich in der ersten Kollisionsdomäne in dem ungeschützten Anlagenbereich angeschlossener Geräte ermittelt werden. Ein Beispiel für solche Informationen ist die Information, dass das „Keep alive“ – Signal fehlt. Ein weiteres Beispiel ist die Information, dass die aktive Geräteprüfung fehlschlägt.
-
In einer vorteilhaften Ausführungsform kann eine Information betreffend eine unbefugte Öffnung oder Demontage eines Gerätes oder betreffend das Öffnen oder Betreten eines geschützten Installationsortes durch zusätzliche Sensorik, beispielsweise Schalter im Gehäuse, Bewegungsmelder, etc., ermittelt werden.
-
In einer vorteilhaften Ausführungsform ist die Überbrückungsvorrichtung dazu eingerichtet, um zusätzlich datentechnische Störungen zu erkennen, die auf einen Angriff hin deuten. In diesem Fall kann die Überbrückungsvorrichtung durch Sperren der Datentelegramme eingreifen, um diese Störungen zu unterbinden. Dazu hat die Überbrückungsvorrichtung in einer vorteilhaften Ausführungsform ein Filtermittel, um beim Datenaustausch verwendete unerlaubte Adressen von Teilnehmerstationen zu erkennen und Telegramme nur an erlaubte Telegrammadressen weiterzuleiten. Das Filtermittel ist in einer vorteilhaften Ausführungsform als eine Datenbank realisiert, in einer vorteilhaften Ausführungsform auf der physikalischen Ebene in demselben Mikrokontroller, in dem auch das Mittel zur Informationserfassung über wenigstens ein physikalisches Merkmal des Übertragungsmediums realisiert ist. Diese Datenbank wird bei der Inbetriebnahme in die Überbrückungsvorrichtung geladen. Sie enthält die Telegrammadressen, die weitergeleitet werden dürfen, jeweils für jede Richtung. Damit weiß die Überbrückungsvorrichtung welche Telegramme sie weiterleiten darf und in welche Richtung. Zusätzlich enthält die Datenbank noch die Geräteadressen im ersten Teilnetzbereich. Damit weiß die Überbrückungsvorrichtung auch, welche Geräte sich in dem ungeschützten Gebäudebereich befinden, um diese dann überwachen zu können.
-
Eine mögliche datentechnische Störung kann darin liegen, dass individuelle Adressen im ungeschützten Anlagenbereich imitiert werden. Das Filtermittel kann das in einer vorteilhaften Ausführungsform erkennen, wenn sich diese Adressen topologisch im geschützten Anlagenbereich befinden, oder wenn Teilnehmer im ungeschützten Anlagenbereich die unsachgemäße Verwendung ihrer individuellen Adressen feststellen, oder wenn unbekannte individuelle Adressen im ungeschützten Anlagenbereich verwendet werden.
-
Eine weitere mögliche datentechnische Störung kann darin liegen, dass unbefugte datentechnische Eingriffe aus dem ungeschützten Anlagenbereich vorgenommen werden, wie Gruppenadressen gelesen oder versendet, die nicht in diesem Anlagenbereich vorkommen dürften, oder wenn Programmier- oder Manipulationsversuche aus dem ungeschützten Anlagenbereich heraus unternommen werden.
-
Eine weitere mögliche datentechnische Störung kann darin liegen, dass eine erhöhte Buslast über einen längeren Zeitraum erzeugt wird, um die Anlage zu stören, der bereits erwähnte „Denial of Service Attack“.
-
Eine weitere mögliche datentechnische Störung kann darin liegen, dass geschützte oder unerlaubte Befehle im ungeschützten Anlagenbereich versendet werden. Dies könnten Befehle zur Manipulation oder zum Ausspähen der Anlage sein.
-
Gemäß einer vorteilhaften Ausführungsform kann für die Erkennung die Überbrückungsvorrichtung in ihrer Empfindlichkeit der Überwachungsparameter eingestellt werden, um Fehlalarme zu verhindern.
-
Nach erfolgreicher Erkennung eines Angriffs kann gemäß einer vorteilhaften Ausführungsform ein Signal an ein Überwachungsgerät in den geschützten Anlagenbereich hinein erfolgen, um beispielsweise eine Alarmierung auszulösen oder eine Aufzeichnung für eine spätere Analyse zu starten. Dieses Signal kann beispielsweise in Form einer KNX Nachricht übertragen werden, oder auch wahlweise durch einen Binärausgang am Gerät direkt ausgegeben werden.
-
Gemäß einer vorteilhaften Ausführungsform kann die Überbrückungsvorrichtung permanent, zeitweise oder selektiv die Kommunikation zwischen dem ersten Kollisionsbereich in dem ungeschützten Anlagenbereich und dem zweiten Kollisionsbereich in dem geschützten Anlagenbereich unterbinden.
-
Es versteht sich, dass es erfindungsgemäß nicht nur einen ungeschützten und einen geschützten Anlagenbereich geben kann, sondern mehrere ungeschützte Anlagenbereiche und mehrere geschützte Anlagenbereiche. In einem Hotel beispielsweise kann jedes Hotelzimmer einen ungeschützten und einen geschützten Anlagenbereich haben, so dass es dann so viele ungeschützte und geschützte Anlagenbereiche gibt wie Zimmer vorhanden sind. Natürlich muss nicht jedes Hotelzimmer einen geschützten Anlagenbereich habe. Es könnten beispielsweise alle ungeschützten Anlagenbereiche auf einen gemeinsamen geschützten Anlagenbereich zugreifen. Die Anzahl der ungeschützten Anlagenbereiche korrespondiert mit der Anzahl der Hotelzimmer, die Anzahl der geschützten Anlagenbereiche nicht zwangsläufig. In einer solchen Anlagenkonfiguration ist es denkbar, dass es auch mehrere erfindungsgemäße Überbrückungsvorrichtungen gibt. Dabei kann eine Überbrückungsvorrichtung auch dazu eingerichtet sein, um mehrere ungeschützte Anlagenbereiche mit einem geschützten Anlagenbereich zu verbinden.
-
Anhand der Zeichnung, in der ein Ausführungsbeispiel der Erfindung dargestellt ist, soll die Erfindung näher erläutert und beschrieben werden.
-
Es zeigt die einzige
-
Figur schematisch und exemplarisch eine Ausführungsform eines erfindungsgemäßen Systems der Gebäudeautomation.
-
Das in 1 schematisch und exemplarisch dargestellte System 1 der Gebäudeautomation hat ein Teilnehmernetz mit Teilnehmerstationen 2–20. Die Teilnehmerstationen 2–20 greifen gemeinsam auf ein physikalisches Übertragungsmedium 21, 21‘ des Teilnehmernetzes zu, um darüber zusammen zu wirken und dabei Daten in Form von Telegrammen auszutauschen. Die Topologie des Teilnehmernetzes wie in der Figur dargestellt ist schematisch und exemplarisch der Topologie eines KNX TP1 Netzes nachempfunden. Bei den Teilnehmerstationen 2 bis 20 handelt es sich um Sensoren, Aktoren, Linienkoppler, Bereichskoppler, Verstärker, wie im Prinzip bekannt. Das Übertragungsmedium 21, 21‘ ist ein Netzwerk aus Twisted Pair Leitungen, wie im Prinzip auch bekannt.
-
In dem Teilnehmernetz sind zwei Teilnetzbereiche 22, 23 gebildet. Ein erster Teilnetzbereich 22 befindet sich in einem ungeschützten Gebäudebereich 24. Ein zweiter Teilnetzbereich 23 befindet sich in einem geschützten Gebäudebereich 25.
-
Das Übertragungsmedium 21‘ des ersten Teilnetzbereiches 22 ist mit dem Übertragungsmedium 21 des zweiten Teilnetzbereiches 23 über eine Überbrückungsvorrichtung 26 verbunden.
-
Die Überbrückungsvorrichtung 26 befindet sich in dem geschützten Gebäudebereich 25. Sie hat eine erste Überbrückungsschnittstelle 27, die mit dem Übertragungsmedium 21‘ in dem ersten Teilnetzbereich 22 verbunden ist und eine zweite Überbrückungsschnittstelle 28, die mit dem Übertragungsmedium 21 in dem zweiten Teilnetzbereich 23 verbunden ist.
-
Die Überbrückungsvorrichtung 26 hat ein Mittel 29, um Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums 21‘ oder wenigstens eines Teilnehmergerätes 12 bis 20 in dem ersten Teilnetzbereich 22 zu erfassen und daraus einen Angriff auf das Übertragungsmedium 21‘ des ersten Teilnetzbereiches 22 zu erkennen und anzuzeigen.
-
Die Überbrückungsvorrichtung 26 hat weiterhin ein Filtermittel 31. Das Filtermittel 31 dient der datentechnischen Filterung. Es sorgt dafür, dass Datentelegramme zwischen den beiden Teilnetzbereichen 22, 23 nur an erlaubte Telegrammadressen im jeweils anderen Teilnetzbereich 23, 22 weitergeleitet werden. Das Filtermittel 31 ist dazu als eine Datenbank realisiert. Diese Datenbank 31 wird bei der Inbetriebnahme in die Überbrückungsvorrichtung 26 geladen. Sie enthält die Telegrammadressen, die weitergeleitet werden dürfen, jeweils für jede Richtung. Damit weiß die Überbrückungsvorrichtung 26, welche Telegramme sie weiterleiten darf und in welche Richtung. Zusätzlich enthält sie noch die Geräteadressen im ersten Teilnetzbereich 22. Damit weiß die Überbrückungsvorrichtung auch, welche Geräte sich in dem ungeschützten Gebäudebereich 24 befinden, um diese dann überwachen zu können. Damit können datentechnische Störungen oder datentechnische Angriffe erkannt und verhindert werden. Das Filtermittel 31 kann anhand der in der Datenbank hinterlegten erlaubten Telegrammadressen und erlaubten Geräteadressen feststellen, wenn individuelle Adressen im ungeschützten Anlagenbereich imitiert werden. Das Filtermittel 31 kann daran erkennen, wenn sich Adressen von angeblich im ungeschützten Gebäudebereich 24 befindlichen Geräten Adressen topologisch im geschützten Anlagenbereich befinden, oder wenn Teilnehmer im ungeschützten Gebäudebereich 24 die unsachgemäße Verwendung ihrer individuellen Adressen feststellen, oder wenn unbekannte individuelle Adressen im ungeschützten Teilnetzbereich 22 verwendet werden. Das Filtermittel 31 kann anhand der in der Datenbank hinterlegten erlaubten Telegrammadressen und erlaubten Geräteadressen auch feststellen, wenn unbefugte datentechnische Eingriffe aus dem ungeschützten Gebäudebereich 24 vorgenommen werden, wie z.B. Gruppenadressen gelesen oder versendet, die nicht in diesem Gebäudebereich 24 vorkommen dürften, oder wenn Programmier- oder Manipulationsversuche aus dem ungeschützten Gebäudebereich 24 heraus unternommen werden.
-
Die Überbrückungsvorrichtung 26 ist hier lediglich beispielhaft als ein eigenständiges Gerät ausgeführt. Die Überbrückungsvorrichtung 26 könnte auch in ein anderes Gerät integriert sein und in diesem Gerät eine Zusatzfunktion bilden, beispielsweise in einer der Teilnehmerstationen 2 bis 11 in dem zweiten Teilnetzbereich 23 in dem geschützten Gebäudebereich 25.
-
Das System 1 hat ein Überwachungsgerät 30 in dem zweiten Teilnetzbereich 23, wobei das Mittel 29 dazu eingerichtet ist, um nach Erkennung eines Angriffs ein Signal an das Überwachungsgerät 30 zu senden.
-
Bezugszeichenliste
-
- 1
- System der Gebäudeautomation
- 2
- Teilnehmerstation
- 3
- Teilnehmerstation
- 4
- Teilnehmerstation
- 5
- Teilnehmerstation
- 6
- Teilnehmerstation
- 7
- Teilnehmerstation
- 8
- Teilnehmerstation
- 9
- Teilnehmerstation
- 10
- Teilnehmerstation
- 11
- Teilnehmerstation
- 12
- Teilnehmerstation
- 13
- Teilnehmerstation
- 14
- Teilnehmerstation
- 15
- Teilnehmerstation
- 16
- Teilnehmerstation
- 17
- Teilnehmerstation
- 18
- Teilnehmerstation
- 19
- Teilnehmerstation
- 20
- Teilnehmerstation
- 21
- Übertragungsmedium
- 21‘
- Übertragungsmedium
- 22
- erster Teilnetzbereich
- 23
- zweiter Teilnetzbereich
- 24
- ungeschützter Gebäudebereich
- 25
- geschützter Gebäudebereich
- 26
- Überbrückungsvorrichtung
- 27
- erste Überbrückungsschnittstelle
- 28
- zweite Überbrückungsschnittstelle
- 29
- Mittel
- 30
- Überwachungsgerät
- 31
- Filtermittel
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- EN 50090 [0002]
- ISO/IEC 14543 [0002]
- EN 50090-5-2 [0004]
- ISO/IEC 14543-3-6 [0004]