WO2017157545A1 - System der gebäudeautomation mit zwei teilnetzbereichen - Google Patents

System der gebäudeautomation mit zwei teilnetzbereichen Download PDF

Info

Publication number
WO2017157545A1
WO2017157545A1 PCT/EP2017/051164 EP2017051164W WO2017157545A1 WO 2017157545 A1 WO2017157545 A1 WO 2017157545A1 EP 2017051164 W EP2017051164 W EP 2017051164W WO 2017157545 A1 WO2017157545 A1 WO 2017157545A1
Authority
WO
WIPO (PCT)
Prior art keywords
area
subnetwork
transmission medium
bridging device
bridging
Prior art date
Application number
PCT/EP2017/051164
Other languages
English (en)
French (fr)
Inventor
Christian Winnewisser
Original Assignee
Abb Schweiz Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Abb Schweiz Ag filed Critical Abb Schweiz Ag
Priority to EP17701458.6A priority Critical patent/EP3430770A1/de
Publication of WO2017157545A1 publication Critical patent/WO2017157545A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Definitions

  • the invention is based on a system of building automation, which has a subscriber network with subscriber stations, which jointly access a physical transmission medium of the subscriber network in order to act together and exchange data in the form of telegrams.
  • KNX is an open standard for building automation and standardized to EN50090 and ISO / IEC 14543.
  • the KNX standard describes the transmission of control data over various physical transmission media, such as twisted pair, powerline, radio or Ethernet.
  • Actuators and sensors are defined as subscriber stations in a KNX fieldbus system.
  • An actuator is a control device that controls a consumer, for example, turns a light on or off or dimmers, or opens or closes a roller shutter, or turns on or off an air conditioner or sets a new temperature setpoint, etc.
  • a sensor may be, for example, a switch, button, dimmer or a brightness or a temperature sensor.
  • Another term for subscriber stations in this context is "bus device” or "subscriber” or "bus subscriber.” All bus devices can be connected to one another via the KNX fieldbus, the transmission medium change.
  • a commonly used transmission medium from KNX is the so-called twisted pair.
  • KNX TP1 A possibility of communication via the medium twisted pair is described by KNX TP1 and is standardized in EN50090-5-2 and ISO / IEC 14543-3-6.
  • the transmission rate for KNX-TP1 is 9.6 kBit / sec.
  • the medium twisted pair With the medium twisted pair, the information is impressed on a two-wire cable, which in addition to the data also transfers energy to the connected bus users.
  • there is an electronic bus connection in every bus participant which is typically implemented as an Application Specific Integrated Circuit (ASIC) or as a discrete circuit.
  • ASIC Application Specific Integrated Circuit
  • a KNX subscriber network for example in KNX-TP1
  • a line consists of a maximum of four line segments with a maximum of 64 participants. Up to 15 lines can be connected to a main line via a line coupler. This is called an area. Over a range line several areas can be connected. An area coupler binds its area to the area line.
  • Each bus subscriber is assigned a unique physical address which serves to uniquely identify the subscribers and describes the arrangement of the subscribers within the topology.
  • KNX For a fieldbus system, as KNX does, security issues are very important. One can distinguish thereby the data security security and the physical security. Data security ensures that only authorized subscribers can talk. It relies on a technically correct transmission of the messages, whereby the transmitted data are secured against manipulation. Methods and methods are known to ensure data security in a KNX fieldbus system.
  • Physical security refers to the protection of the subscriber network from deliberately induced electrical interference or from an overload attack, also known as denial of service attack or DOS.
  • DOS denial of service attack
  • Such intentionally induced physical disturbances on, for example, a KNX TP1 line may be permanent or sporadic, also random, or selective. These disorders have different effects. Thus, a permanent disruption has the consequence that no communication is possible in the whole disturbed subscriber network. a sporadic fault causes a temporary communication failure. Selective interference has only selective effects on communication.
  • a deliberately induced physical disturbance can be considerable Have effects in a building automation. If the malfunction of the communication on the KNX fieldbus, for example, relates to sensitive trades, such as heating, air conditioning, ventilation, elevator, light, etc., under certain circumstances, great damage may occur. A hotel in which a deliberate physical disturbance occurs can become uninhabitable or an airport could no longer be used.
  • Intentionally induced physical disturbances of the subscriber network become possible as soon as an attacker gains access to the KNX TP1 cabling.
  • One type of protection is therefore to prevent physical access to the bus cabling.
  • parts of the KNX fieldbus installation are in publicly accessible areas, physical access to them can not be prevented. This could for example be the case with sensors, such as light switches, in public buildings or in a hotel room. An attacker could remove the cover at the light switch and then has unrestricted access to the KNX bus cable.
  • the object is achieved by a system of building automation with the features of claim 1.
  • At least two subnetwork areas are formed in the subscriber network, and the transmission medium of the first subnetwork area is connected to the transmission medium of the second subnetwork area via a bridging device, wherein the bridging device has a first bridging interface, which is connected to the transmission medium in the first subnetwork area and a second bridging interface connected to the bridging medium in the second subnet area, and wherein the bridging device has means for acquiring information about at least one physical feature of the transmission medium or at least one user equipment in the first subnet area to detect and display an attack on the transmission medium of the first subnetwork.
  • the first subnetwork area is an unprotected area of the KNX fieldbus network. This is located in an unprotected building area.
  • this can be an unprotected part of a hotel room in a hotel.
  • sensors such as buttons or actuators such as lights or blind controls are accessible by the room guest and hardly effectively protected against physical attack.
  • the first subnetwork area can therefore also be described as a type of first collision domain in the unprotected area.
  • the second subnetwork area is the subarea of the KNX fieldbus network which is located in a secure zone, in a protected building area. These are, for example, all those bus subscribers that are not publicly accessible, for example, are installed in publicly inaccessible distribution boards in a hotel room, in the basement, or secured in the wall or in a similar manner.
  • the second subarea can also be referred to as the second collision domain in the protected area.
  • the bridging device connects the two subnetworks, causing galvanic isolation of the two subnetworks, and is also located in a protected building area.
  • This may for example be a lockable distributor, a lockable floor distributor or the like.
  • the bridging device prevents a physical disturbance from the unprotected plant area with the first collision domain in the unprotected plant area from spreading to the second collision domain in the protected plant area. At the same time, the bridging device recognizes such an attack and can signal it into the protected system area.
  • the bridging device has for this purpose a means for obtaining information about at least one physical feature of the transmission medium or at least one user equipment in to detect the first subnetwork area and to evaluate with respect to a deviation from a predetermined normal state, and to detect and display an attack on the transmission medium of the first subnetwork range from a determined deviation from the normal state of the at least one physical feature.
  • the means may, in an advantageous embodiment, be a microcontroller on the physical level, with an operating system and an application program in a flash ROM and with a RAM memory.
  • the microcontroller is communicatively connected to the first and second bypass interfaces.
  • its application program ensures that the data telegrams between the two subnetwork areas are passed on correctly.
  • the bridging device acts like a line coupler or a range coupler in the KNX network.
  • the bridging device according to the invention has topologically less restrictions than a coupler or an amplifier. It is not parameterized as a coupler or amplifier by the assignment of a physical address in the KNX system. Therefore it is not subject to the addressing restrictions. It can therefore be used very flexibly in the KNX network.
  • the embodiment of a bridging device according to the invention may be an independent device in an advantageous embodiment, for example for DIN rail mounting in a distributor or under plaster in a secure distribution box.
  • the bridging device according to the invention can also be integrated in another device, such as in a line or range coupler or amplifier or even a normal terminal, and then effectively forms an additional function in this device. As already explained, however, this additional function in this embodiment is not subject to the topological limitations of the device in which it is installed.
  • the bridging device can also use another bus system, such as IP, via its second bridging interface in the second, protected subnet area, for example. In this embodiment, it can additionally fulfill the function of a media coupler.
  • the bridging device can provide its own voltage supply to the first collision domain in the unprotected area.
  • the bridging device can supply the first collision domain in the unprotected area from the second collision domain in the protected area, in which case it only extracts an adjustable maximum current from the second collision domain in the protected area in order to prevent disturbing feedback. But it could also have its own power supply and directly feed the first collision domain. This power supply could also be a "Power over Ethernet" (PoE) power supply.
  • PoE Power over Ethernet
  • the bridging device may also use a voltage supply provided externally in the first collision domain in the unprotected area, but in this case it can only indirectly monitor the current in the first collision domain in the unprotected area.
  • the information about at least one physical feature of the transmission medium or at least one user equipment that detect the means of the bridging device according to the invention and can detect and display an attack on the transmission medium of the first subnetwork it may be different information about at least one physical feature of the transmission medium or at least one subscriber device.
  • the current consumption of the bus subscribers in the first subnetwork area can be detected.
  • Information regarding a change in current consumption of the devices connected to the KNX TP1 line in the first collision domain in the unprotected system area may indicate that a device has been removed or a device has been added.
  • information relating to transmission disturbances which also stop across telegram repetitions, can be determined.
  • information about a short circuit of the bus line in the first collision domain in the unprotected plant area be determined.
  • information relating to the failure of one or more monitored devices can be determined.
  • An example of such information is the information that the "keep alive" signal is missing, another example being the information that the active device check fails.
  • information relating to an unauthorized opening or dismantling of a device or relating to the opening or entry of a protected installation site can be determined by additional sensors, for example switches in the housing, motion detectors, etc.
  • the bridging device is set up to detect additional data-related malfunctions that point to an attack.
  • the lock-up device can intervene by blocking the data telegrams in order to prevent these disturbances. This has the
  • a filter means to detect used in data exchange unauthorized addresses of subscriber stations and forward messages only to allowed telegram addresses.
  • the filter means is realized in an advantageous embodiment as a database, in an advantageous embodiment on the physical level in the same microcontroller, in which the means for information acquisition via at least one physical feature of the transmission medium is realized.
  • This database is loaded during commissioning in the lock-up device. It contains the telegram addresses that can be forwarded, for each direction. Thus, the bridging device knows which telegrams it may forward and in which direction. In addition, the database still contains the device addresses in the first subnetwork area. As a result, the bridging device also knows which devices are located in the unprotected building area so that they can then be monitored.
  • One possible data-related malfunction may be that individual addresses are mimicked in the unprotected plant area.
  • the filter means can recognize this in an advantageous embodiment if these addresses are located topologically in the protected plant area, or if subscribers in the unauthorized protected areas of the plant determine the improper use of their individual addresses, or if unknown individual addresses are used in the unprotected plant area.
  • Another possible data-related disruption may be that unauthorized data-related interventions are carried out from the unprotected plant area, such as read or sent group addresses that may not occur in this plant area, or when programming or manipulation attempts are made from the unprotected plant area.
  • Another possible data-related malfunction may be that an increased bus load is generated over a longer period of time in order to disturb the system, the "denial of service attack" already mentioned.
  • Another possible data-related malfunction may be that protected or unauthorized commands are sent in the unprotected plant area. These could be commands to manipulate or spy on the plant.
  • the sensitivity of the monitoring parameters can be adjusted for the detection in order to prevent false alarms.
  • a signal can be sent to a monitoring device in the protected area in order to trigger an alarm, for example, or to start a recording for later analysis.
  • This signal can be transmitted, for example, in the form of a KNX message, or alternatively output directly by a binary output on the device.
  • the bridging device can permanently, temporarily or selectively prevent the communication between the first collision area in the unprotected plant area and the second collision area in the protected plant area.
  • a bridging device can also be set up to connect a plurality of unprotected plant areas to a protected plant area.
  • FIG. 1 Figure schematically and exemplarily an embodiment of a system according to the invention of the building automation.
  • the system 1 of the building automation illustrated schematically and by way of example in FIG. 1 has a subscriber network with subscriber stations 2 - 20.
  • the subscriber stations 2 - 20 jointly access a physical transmission medium 21, 21 'of the subscriber network in order to act together and thereby data in form to exchange telegrams.
  • the topology of the subscriber network as shown in the figure is modeled schematically and exemplarily the topology of a KNX TP1 network.
  • the subscriber stations 2 to 20 are sensors, actuators, line couplers, area couplers, amplifiers, as known in principle.
  • the transmission medium 21, 21 ' is a network of twisted pair lines, as also known in principle.
  • two subnetworks 22, 23 are formed in the subscriber network.
  • a first subnetwork area 22 is located in an unprotected building area 24.
  • a second subnetwork area 23 is located in a protected building
  • the transmission medium 21 'of the first subnetwork area 22 is connected to the transmission medium 21 of the second subnetwork area 23 via a bridging device 26.
  • the lock-up device 26 is located in the protected building area 25. It has a first bridging interface 27, which is connected to the transmission center. dium 21 'in the first subnetwork area 22 and a second bridging interface 28 which is connected to the transmission medium 21 in the second subnet area 23.
  • the bridging device 26 has a means 29 for detecting information about at least one physical feature of the transmission medium 21 'or at least one user equipment 12 to 20 in the first subnetwork 22 and detecting an attack on the transmission medium 21' of the first subnetwork 22 and display.
  • the lock-up device 26 further has a filter means 31.
  • the filter means 31 is used for data filtering. It ensures that data messages between the two subnetworks 22, 23 are forwarded only to permitted telegram messages in the other subnetworks 23, 22.
  • the filter means 31 is implemented as a database for this purpose. This database 31 is loaded into the lock-up device 26 during start-up. It contains the telegram addresses that can be forwarded, for each direction. Thus, the bridging device 26 knows which telegrams it may forward and in which direction. In addition, it still contains the device addresses in the first subnetwork area 22. Thus, the bridging device also knows which devices are in the unprotected building area 24 in order to be able to monitor them.
  • the filter means 31 can determine on the basis of the data telegram addresses and permitted device addresses stored in the database if individual addresses are mimicked in the unprotected plant area. The filter means 31 can recognize this by the fact that addresses of devices allegedly located in the unprotected building area 24 are topologically in the protected plant area, or if subscribers in the unprotected building area 24 notice the improper use of their individual addresses or if unknown individual addresses are used in the unprotected subnet area 22 become.
  • the filter means 31 can also determine, on the basis of the permitted telegram addresses and permitted device addresses stored in the database, if unauthorized data interventions are carried out from the unprotected building area 24, such as group addresses read or sent, which are not likely to occur in this building area 24, or if programming or tampering attempts out of the unprotected building area 24. be men.
  • the bridging device 26 is merely exemplified as a stand-alone device.
  • the bridging device 26 could also be integrated into another device and form an additional function in this device, for example in one of the subscriber stations 2 to 1 1 in the second subnet area 23 in the protected building area 25.
  • the system 1 has a monitor 30 in the second subnet area 23, the means 29 being arranged to send a signal to the monitor 30 upon detection of an attack.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

System (1) der Gebäudeautomation, das ein Teilnehmernetz mit Teilnehmerstationen (2 - 20) hat, die gemeinsam auf ein physikalisches Übertragungsmedium (21, 21') des Teilnehmernetzes zugreifen, um darüber zusammen zu wirken und dabei Daten in Form von Telegrammen auszutauschen, dadurch gekennzeichnet, dass in dem Teilnehmernetz wenigstens zwei Teilnetzbereiche (22, 23) gebildet sind, wobei sich ein erster Teilnetzbereich (22) in einem ungeschützten Gebäudebereich (24) und ein zweiter Teilnetzbereich (23) in einem geschützten Gebäudebereich (25) befindet, und dass das Übertragungsmedium (21') des ersten Teilnetzbereiches (22) mit dem Übertragungsmedium (21) des zweiten Teilnetzbereiches (23) über eine Überbrückungsvorrichtung (26) verbunden ist, wobei die Überbrückungsvorrichtung (26) sich in einem geschützten Gebäudebereich (25) befindet und eine erste Überbrückungsschnittstelle(27) hat, die mit dem Übertragungsmedium (21') in dem ersten Teilnetzbereich (22) verbunden ist und eine zweite Überbrückungsschnittstelle (28) hat, die mit dem Übertragungsmedium (21) in dem zweiten Teilnetzbereich (23) verbunden ist, und dass die Überbrückungsvorrichtung (26) ein Mittel (29) hat, um Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums (21') oder wenigstens eines Teilnehmergerätes (12 - 20) in dem ersten Teilnetzbereich (22) zu erfassen und daraus einen Angriff auf das Übertragungsmedium (21') des ersten Teilnetzbereiches (22) zu erkennen und anzuzeigen.

Description

System der Gebäudeautomation mit zwei Teilnetzbereichen
Beschreibung
Die Erfindung geht aus von einem System der Gebäudeautomation, das ein Teilnehmernetz mit Teilnehmerstationen hat, die gemeinsam auf ein physikalisches Übertragungsmedium des Teilnehmernetzes zugreifen, um darüber zusammen zu wirken und dabei Daten in Form von Telegrammen auszutauschen.
Ein solches System der Gebäudeautomation ist ein Feldbussystem der Gebäudeautomation, beispielsweise KNX. KNX ist ein offener Standard für die Gebäudeautomatisierung und standardisiert nach EN50090 und ISO/IEC 14543.
Der KNX Standard beschreibt die Übertragung von Steuerdaten über verschiedene physikalische Übertragungsmedien, beispielsweise Twisted Pair, Powerline, Funk oder Ethernet. Als Teilnehmerstationen in einem KNX-Feldbussystem sind Aktoren und Sensoren definiert. Ein Aktor ist ein Steuerungsgerät, das einen Verbraucher steuert, beispielsweise ein Leuchte ein- bzw. ausschaltet oder dimmt, oder einen Rollladen öffnet oder schließt, oder eine Klimaanlage ein- bzw. ausschaltet bzw. ei- nen neuen Temperatursollwert vorgibt, usw. Ein Sensor kann beispielsweise ein Schalter, Taster, Dimmer oder ein Helligkeits- oder ein Temperaturfühler sein. Ein anderes Wort für Teilnehmerstationen ist in diesem Zusammenhang auch„Busgerät" oder„Teilnehmer" oder„Busteilnehmer". Alle Busgeräte können über den KNX- Feldbus, das Übertragungsmedium, miteinander verbunden werden. Jeder Teilneh- mer kann mit jedem anderen Teilnehmer über Telegramme Daten austauschen.
Ein häufig verwendetes Übertragungsmedium von KNX ist das sogenannte Twisted Pair. Eine Möglichkeit der Kommunikation über das Medium Twisted Pair wird durch KNX TP1 beschrieben und ist in EN50090-5-2 und ISO/IEC 14543-3-6 standardisiert. Die Übertragungsrate bei KNX-TP1 beträgt 9,6 kBit/sec. . Beim Medium Twisted Pair werden die Informationen auf eine Zweidrahtleitung aufgeprägt, die neben den Daten auch Energie zu den angeschlossenen Busteilnehmern überträgt. Dazu ist in jedem Busteilnehmer eine elektronische Busanschaltung vorhanden, die in der Regel als ASIC (Application Specific Integrated Circuit) oder als diskrete Schaltung ausgeführt ist.
Die Topologie eines KNX-Teilnehmernetzes, zum Beispiel in KNX-TP1 gliedert sich in Bereiche und Linien. Eine Linie besteht aus maximal vier Liniensegmenten mit maximal 64 Teilnehmern. Bis zu 15 Linien können über einen Linienkoppler an einer Hauptlinie angeschlossen werden. Dies wird als Bereich bezeichnet. Über eine Bereichslinie können mehrere Bereiche verbunden werden. Ein Bereichskoppler bindet dabei seinen Bereich an die Bereichslinie.
Jedem Busteilnehmer ist eine eindeutige physikalische Adresse zugeordnet, die zur eindeutigen Identifikation der Teilnehmer dient und die Anordnung der Teilnehmer innerhalb der Topologie beschreibt.
Bei einem Feldbussystem, wie es KNX darstellt, sind Fragen der Sicherheit sehr wichtig. Man kann dabei die datentechnische Sicherheit und die physikalische Sicherheit unterscheiden. Datentechnische Sicherheit gewährleistet, dass sich nur be- rechtigte Teilnehmer unterhalten können. Sie setzt auf einer datentechnisch korrekten Übertragung der Nachrichten auf, wobei die übertragenen Daten gegen Manipulation gesichert sind. Es sind Methoden und Verfahren bekannt, um die datentechnische Sicherheit in einem KNX-Feldbussystem zu gewährleisten.
Die physikalische Sicherheit bezieht sich auf den Schutz des Teilnehmernetzes vor absichtlich herbeigeführten elektrischen Störungen oder vor einem Überlastungsangriff, auch bekannt als Denial of Service attack oder DOS. Ein Angreifer, der physikalisch in das Teilnehmernetz eindringt, könnte beispielsweise unerkannt während eines Angriffes bestimmte Nachrichten selektiv stören, so dass diese nicht weiter verarbeitet werden können. Oder es wäre möglich, ein System der Gebäudeautomation mit irrelevanten Nachrichten zu überlasten.
Solche absichtlich herbeigeführten physikalischen Störungen auf beispielsweise einer KNX TP1 Linie können permanent oder sporadisch, auch zufällig, oder selektiv sein bzw. auftreten. Diese Störungen haben unterschiedliche Auswirkungen. So hat eine permanente Störung zur Folge, dass in dem ganzen gestörten Teilnehmernetz keine Kommunikation mehr möglich ist. eine sporadische Störung bewirkt einen zeitweisen Kommunikationsausfall. Eine selektive Störung hat nur selektive Auswirkungen auf die Kommunikation.
In jedem Fall kann eine absichtlich herbeigeführte physikalische Störung erhebliche Auswirkungen in einer Gebäudeautomatisierung haben. Wenn die Störung der Kommunikation auf dem KNX Feldbus beispielsweise sensitive Gewerke betrifft, wie Heizung, Klima, Lüften, Fahrstuhl, Licht etc., so können unter Umständen große Schäden entstehen. Ein Hotel, in dem eine absichtlich herbeigeführte physikalische Störung auftritt, kann unbewohnbar werden, oder ein Flughafen könnte nicht mehr nutzbar werden.
Absichtlich herbeigeführte physikalische Störungen des Teilnehmernetzes werden möglich, sobald ein Angreifer Zugriff auf die KNX TP1 Verkabelung erhält. Eine Art des Schutzes besteht daher darin, den physischen Zugriff auf die Bus- Verkabelung zu verhindern. Wenn Teile der KNX-Feldbus-Installation sich in öffentlich zugänglichen Bereichen befinden, lässt sich ein physischer Zugriff darauf jedoch nicht verhindern. Das könnte beispielsweise bei Sensoren, wie Lichtschalter, in öffentlichen Gebäuden oder in einem Hotelzimmer der Fall sein. Ein Angreifer könnte am Lichtschalter die Abdeckung entfernen und hat dann ungehindert Zugriff auf die KNX Buskabel.
Es ist daher die der vorliegenden Erfindung zugrunde liegende Aufgabe, ein System der Gebäudeautomatisierung so zu ertüchtigen, dass ein Angriff in Form von absichtlich herbeigeführten physikalischen Störungen des Teilnehmernetzes schnell erkannt, wenigstens teilweise verhindert und seine Auswirkungen begrenzt werden können.
Die Aufgabe wird erfindungsgemäß gelöst durch ein System der Gebäudeautomation mit den Merkmalen des Anspruchs 1 .
Erfindungsgemäß sind in dem Teilnehmernetz wenigstens zwei Teilnetzbereiche gebildet, und das Übertragungsmedium des ersten Teilnetzbereiches ist mit dem Über- tragungsmedium des zweiten Teilnetzbereiches über eine Überbrückungsvorrichtung verbunden, wobei die Überbrückungsvorrichtung eine erste Überbrückungsschnitt- stelle hat, die mit dem Übertragungsmedium in dem ersten Teilnetzbereich verbunden ist und eine zweite Überbrückungsschnittstelle hat, die mit dem Überbrückungs- medium in dem zweiten Teilnetzbereich verbunden ist, und wobei die Überbrü- ckungsvorrichtung ein Mittel hat, um Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums oder wenigstens eines Teilnehmergerätes in dem ersten Teilnetzbereich, zu erfassen und daraus einen Angriff auf das Übertragungsmedium des ersten Teilnetzbereiches zu erkennen und anzuzeigen. Der erste Teilnetzbereich ist dabei ein ungeschützter Bereich des KNX- Feldbusnetzes. Dieser befindet sich in einem ungeschützten Gebäudebereich. Das kann beispielsweise in einem Hotel ein ungeschützter Teilbereich eines Hotelzimmers sein. In dem Hotelzimmer befindliche Sensoren wie Taster oder Aktoren wie Leuchten oder Rolladensteuerungen sind durch den Zimmergast zugänglich und kaum wirksam gegen einen physischen Angriff schützbar. Den ersten Teilnetzbereich kann man daher auch als eine Art erste Kollisionsdomäne im ungeschützten Bereich bezeichnen.
Der zweite Teilnetzbereich ist der Teilbereich des KNX-Feldbusnetzes, der sich in einer gesicherten Zone, in einem geschützten Gebäudebereich, befindet. Das sind beispielsweise alle diejenigen Busteilnehmer, die nicht öffentlich zugänglich sind, die beispielsweise in öffentlich unzugänglichen Verteilern in einem Hotelzimmer, im Keller, oder gesichert in der Wand oder auf ähnliche Weise installiert sind. Den zweiten Teilbereich kann man auch als zweite Kollisionsdomäne im geschützten Bereich be- zeichnen.
Die Überbrückungsvorrichtung verbindet die beiden Teilnetzbereiche, wobei sie eine galvanische Trennung der beiden Teilnetzbereiche bewirkt, und befindet sich ebenfalls in einem geschützten Gebäudebereich. Das kann beispielsweise ein abschließbarer Verteiler, ein abschließbarer Stockwerkverteiler oder ähnliches sein. Ein Angriff in dem ungeschützten Bereich lässt sich so zwar nicht verhindern, aber erkennen und seine Auswirkungen auf die übrigen Anlagenteile lassen sich dadurch möglichst gering halten. Durch die Bildung der eigenen ersten Kollisionsdomäne im ungeschützten Bereich und deren Abtrennung von der restlichen Anlage über die Überbrückungsvorrichtung lässt sich verhindern, dass eine physikalische Störung aus dem ungeschützten ersten Teilnetzbereich rückwärts in das übrige System einwirken kann. Die Überbrückungsvorrichtung verhindert, dass sich eine physikalische Störung aus dem ungeschützten Anlagenbereich mit der ersten Kollisionsdomäne im ungeschützten Anlagenbereich auf die zweite Kollisionsdomäne im geschützten Anlagenbereich ausbreiten kann. Gleichzeitig erkennt die Überbrückungsvorrichtung einen solchen Angriff und kann diesen in den geschützten Anlagenbereich hinein signalisieren. Die Überbrückungsvorrichtung hat dazu ein Mittel, um Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums oder wenigstens eines Teilnehmergerätes in dem ersten Teilnetzbereich zu erfassen und hinsichtlich einer Abweichung von einem vorbestimmten Normalzustand zu bewerten, und um aus einer ermittelten Abweichung von dem Normalzustand des wenigstens einen physikalischen Merkmals einen Angriff auf das Übertragungsmedium des ersten Teilnetzbereiches zu erkennen und anzuzeigen. Das Mittel kann in einer vorteilhaften Ausführungsform auf der physikalischen Ebene ein Mikrokontroller sein, mit einem Betriebssystem und einem Anwendungsprogramm in einem Flash-ROM und mit einem RAM-Speicher. Der Mikrokontroller ist kommunikationstechnisch mit der ersten und zweiten Überbrückungs- schnittstelle verbunden. Sein Anwendungsprogramm sorgt einerseits dafür, dass die Datentelegramme zwischen den beiden Teilnetzbereichen korrekt weitergereicht werden. Insofern wirkt die Überbrückungsvorrichtung wie ein Linienkoppler oder ein Bereichskoppler im KNX Netz.
Während jedoch im KNX System ein Linienkoppler oder Bereichskoppler oder auch ein Verstärker in der Topologie nicht frei einsetzbar ist, so dass Adressbereiche nur eingeschränkt verwendet werden können und die topologischen Grenzen einer KNX Anlage schnell erreicht werden, hat die erfindungsgemäße Überbrückungsvorrichtung topologisch weniger Einschränkungen als ein Koppler oder ein Verstärker. Er wird nicht durch die Zuordnung einer physikalischen Adresse im KNX System als Koppler oder Verstärker parametriert. Daher unterliegt er nicht den Adressierungsbe- schränkungen. Er ist daher in dem KNX Netz toplogisch sehr flexibel einsetzbar.
Die Ausführung einer erfindungsgemäßen Überbrückungsvorrichtung kann in einer vorteilhaften Ausführungsform ein eigenständiges Gerät sein, beispielsweise zur Hutschienenmontage in einem Verteiler oder unter Putz in einer gesicherten Verteilerdose. In einer vorteilhaften Ausführungsform kann die erfindungsgemäße Über- brückungsvorrichtung auch integriert sein in ein anderes Gerät, wie z.B. in einen Linien- oder Bereichskoppler oder Verstärker oder auch ein normales Endgerät, und bildet dann gewissermaßen eine Zusatzfunktion in diesem Gerät. Wie bereits erläutert, unterliegt diese Zusatzfunktion in dieser Ausführungsform dann aber nicht den topologischen Beschränkungen des Gerätes, in das sie eingebaut ist. Weiterhin kann die Überbrückungsvorrichtung in einer vorteilhaften Ausführungsform über ihre zweite Überbrückungsschnittstelle in dem zweiten, geschützten Teilnetzbereich auch ein anderes Bussystem verwenden, wie z.B. IP. Sie kann in dieser Ausführungsform dadurch auch zusätzlich die Funktion eines Medienkopplers erfüllen. Die Überbrückungsvorrichtung kann in einer vorteilhaften Ausführungsform eine eigene Spannungsversorgung der ersten Kollisionsdomäne im ungeschützten Bereich zur Verfügung stellen.
In einer vorteilhaften Ausführungsform kann die Überbrückungsvorrichtung die erste Kollisionsdomäne in dem ungeschützten Bereich aus der zweiten Kollisionsdomäne im geschützten Bereich versorgen, wobei sie in dieser Ausführungsform dann nur einen einstellbaren maximalen Strom aus der zweiten Kollisionsdomäne im geschützten Bereich entnimmt, um eine störende Rückwirkung zu verhindern. Sie könnte aber auch ein eigenes Netzteil haben und direkt die erste Kollisionsdomäne spei- sen. Dieses netzteilkönnte auch ein„Power over Ethernet" (PoE) Netzteil sein.
In einer vorteilhaften Ausführungsform kann die Überbrückungsvorrichtung auch eine in der ersten Kollisionsdomäne in dem ungeschützten Bereich extern bereitgestellte Spannungsversorgung verwenden, kann allerdings in diesem Fall den Strom in der ersten Kollisionsdomäne in dem ungeschützten Bereich nur noch indirekt überwa- chen.
Bei den Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums oder wenigstens eines Teilnehmergerätes, die das erfindungsgemäße Mittel der Überbrückungsvorrichtung erfassen und daraus einen Angriff auf das Übertragungsmedium des ersten Teilnetzbereiches erkennen und anzeigen kann, kann es sich um unterschiedliche Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums oder wenigstens eines Teilnehmergerätes handeln.
So kann beispielsweise in einer vorteilhaften Ausführungsform die Stromaufnahme der Busteilnehmer in dem ersten Teilnetzbereich erfasst werden. Eine Information betreffend eine geänderte Stromaufnahme der an die KNX TP1 Leitung angeschlossenen Geräte in der ersten Kollisionsdomäne im ungeschützten Anlagenbereich kann darauf schließen lassen, dass ein Gerät entfernt, oder ein Gerät hinzugefügt wurde.
In einer vorteilhaften Ausführungsform kann eine Information betreffend Übertra- gungsstörungen, die auch über Telegrammwiederholungen hinweg anhalten, ermittelt werden.
In einer vorteilhaften Ausführungsform kann eine Information über einen Kurzschluss der Buslinie in der ersten Kollisionsdomäne in dem ungeschützten Anlagenbereich ermittelt werden.
In einer vorteilhaften Ausführungsform kann eine Information betreffend den Ausfall eines oder mehrerer überwachter Geräte, also an den Teilnetzbereich in der ersten Kollisionsdomäne in dem ungeschützten Anlagenbereich angeschlossener Geräte ermittelt werden. Ein Beispiel für solche Informationen ist die Information, dass das „Keep alive" - Signal fehlt. Ein weiteres Beispiel ist die Information, dass die aktive Geräteprüfung fehlschlägt.
In einer vorteilhaften Ausführungsform kann eine Information betreffend eine unbefugte Öffnung oder Demontage eines Gerätes oder betreffend das Öffnen oder Be- treten eines geschützten Installationsortes durch zusätzliche Sensorik, beispielsweise Schalter im Gehäuse, Bewegungsmelder, etc., ermittelt werden.
In einer vorteilhaften Ausführungsform ist die Überbrückungsvorrichtung dazu eingerichtet, um zusätzlich datentechnische Störungen zu erkennen, die auf einen Angriff hin deuten. In diesem Fall kann die Überbrückungsvorrichtung durch Sperren der Datentelegramme eingreifen, um diese Störungen zu unterbinden. Dazu hat die
Überbrückungsvorrichtung in einer vorteilhaften Ausführungsform ein Filtermittel, um beim Datenaustausch verwendete unerlaubte Adressen von Teilnehmerstationen zu erkennen und Telegramme nur an erlaubte Telegrammadressen weiterzuleiten. Das Filtermittel ist in einer vorteilhaften Ausführungsform als eine Datenbank realisiert, in einer vorteilhaften Ausführungsform auf der physikalischen Ebene in demselben Mikrokontroller, in dem auch das Mittel zur Informationserfassung über wenigstens ein physikalisches Merkmal des Übertragungsmediums realisiert ist. Diese Datenbank wird bei der Inbetriebnahme in die Überbrückungsvorrichtung geladen. Sie enthält die Telegrammadressen, die weitergeleitet werden dürfen, jeweils für jede Rich- tung. Damit weiß die Überbrückungsvorrichtung welche Telegramme sie weiterleiten darf und in welche Richtung. Zusätzlich enthält die Datenbank noch die Geräteadressen im ersten Teilnetzbereich. Damit weiß die Überbrückungsvorrichtung auch, welche Geräte sich in dem ungeschützten Gebäudebereich befinden, um diese dann überwachen zu können. Eine mögliche datentechnische Störung kann darin liegen, dass individuelle Adressen im ungeschützten Anlagenbereich imitiert werden. Das Filtermittel kann das in einer vorteilhaften Ausführungsform erkennen, wenn sich diese Adressen topolo- gisch im geschützten Anlagenbereich befinden, oder wenn Teilnehmer im unge- schützten Anlagenbereich die unsachgemäße Verwendung ihrer individuellen Adressen feststellen, oder wenn unbekannte individuelle Adressen im ungeschützten Anlagenbereich verwendet werden.
Eine weitere mögliche datentechnische Störung kann darin liegen, dass unbefugte datentechnische Eingriffe aus dem ungeschützten Anlagenbereich vorgenommen werden, wie Gruppenadressen gelesen oder versendet, die nicht in diesem Anlagenbereich vorkommen dürften, oder wenn Programmier- oder Manipulationsversuche aus dem ungeschützten Anlagenbereich heraus unternommen werden.
Eine weitere mögliche datentechnische Störung kann darin liegen, dass eine erhöhte Buslast über einen längeren Zeitraum erzeugt wird, um die Anlage zu stören, der bereits erwähnte„Denial of Service Attack".
Eine weitere mögliche datentechnische Störung kann darin liegen, dass geschützte oder unerlaubte Befehle im ungeschützten Anlagenbereich versendet werden. Dies könnten Befehle zur Manipulation oder zum Ausspähen der Anlage sein. Gemäß einer vorteilhaften Ausführungsform kann für die Erkennung die Überbrü- ckungsvorrichtung in ihrer Empfindlichkeit der Überwachungsparameter eingestellt werden, um Fehlalarme zu verhindern.
Nach erfolgreicher Erkennung eines Angriffs kann gemäß einer vorteilhaften Ausführungsform ein Signal an ein Überwachungsgerät in den geschützten Anlagenbereich hinein erfolgen, um beispielsweise eine Alarmierung auszulösen oder eine Aufzeichnung für eine spätere Analyse zu starten. Dieses Signal kann beispielsweise in Form einer KNX Nachricht übertragen werden, oder auch wahlweise durch einen Binärausgang am Gerät direkt ausgegeben werden.
Gemäß einer vorteilhaften Ausführungsform kann die Überbrückungsvorrichtung permanent, zeitweise oder selektiv die Kommunikation zwischen dem ersten Kollisionsbereich in dem ungeschützten Anlagenbereich und dem zweiten Kollisionsbereich in dem geschützten Anlagenbereich unterbinden.
Es versteht sich, dass es erfindungsgemäß nicht nur einen ungeschützten und einen geschützten Anlagenbereich geben kann, sondern mehrere ungeschützte Anlagen- bereiche und mehrere geschützte Anlagenbereiche. In einem Hotel beispielsweise kann jedes Hotelzimmer einen ungeschützten und einen geschützten Anlagenbereich haben, so dass es dann so viele ungeschützte und geschützte Anlagenberei- che gibt wie Zimmer vorhanden sind. Natürlich muss nicht jedes Hotelzimmer einen geschützten Anlagenbereich habe. Es könnten beispielsweise alle ungeschützten Anlagenbereiche auf einen gemeinsamen geschützten Anlagenbereich zugreifen. Die Anzahl der ungeschützten Anlagenbereiche korrespondiert mit der Anzahl der Hotelzimmer, die Anzahl der geschützten Anlagenbereiche nicht zwangsläufig. In einer solchen Anlagenkonfiguration ist es denkbar, dass es auch mehrere erfindungsgemäße Überbrückungsvorrichtungen gibt. Dabei kann eine Überbrückungs- vorrichtung auch dazu eingerichtet sein, um mehrere ungeschützte Anlagenbereiche mit einem geschützten Anlagenbereich zu verbinden. Anhand der Zeichnung, in der ein Ausführungsbeispiel der Erfindung dargestellt ist, soll die Erfindung näher erläutert und beschrieben werden.
Es zeigt die einzige
Figur schematisch und exemplarisch eine Ausführungsform eines erfindungsgemäßen Systems der Gebäudeautomation. Das in Figur 1 schematisch und exemplarisch dargestellte System 1 der Gebäudeautomation hat ein Teilnehmernetz mit Teilnehmerstationen 2 - 20. Die Teilnehmerstationen 2 - 20 greifen gemeinsam auf ein physikalisches Übertragungsmedium 21 , 21 ' des Teilnehmernetzes zu, um darüber zusammen zu wirken und dabei Daten in Form von Telegrammen auszutauschen. Die Topologie des Teilnehmernetzes wie in der Figur dargestellt ist schematisch und exemplarisch der Topologie eines KNX TP1 Netzes nachempfunden. Bei den Teilnehmerstationen 2 bis 20 handelt es sich um Sensoren, Aktoren, Linienkoppler, Bereichskoppler, Verstärker, wie im Prinzip bekannt. Das Übertragungsmedium 21 , 21 ' ist ein Netzwerk aus Twisted Pair Leitungen, wie im Prinzip auch bekannt. In dem Teilnehmernetz sind zwei Teilnetzbereiche 22, 23 gebildet. Ein erster Teilnetzbereich 22 befindet sich in einem ungeschützten Gebäudebereich 24. Ein zweiter Teilnetzbereich 23 befindet sich in einem geschützten Gebäudebereich 25.
Das Übertragungsmedium 21 ' des ersten Teilnetzbereiches 22 ist mit dem Übertragungsmedium 21 des zweiten Teilnetzbereiches 23 über eine Überbrückungsvorrich- tung 26 verbunden.
Die Überbrückungsvorrichtung 26 befindet sich in dem geschützten Gebäudebereich 25. Sie hat eine erste Überbrückungsschnittstelle 27, die mit dem Übertragungsme- dium 21 ' in dem ersten Teilnetzbereich 22 verbunden ist und eine zweite Überbrü- ckungsschnittstelle 28, die mit dem Übertragungsmedium 21 in dem zweiten Teilnetzbereich 23 verbunden ist.
Die Überbrückungsvorrichtung 26 hat ein Mittel 29, um Informationen über wenigs- tens ein physikalisches Merkmal des Übertragungsmediums 21 'oder wenigstens eines Teilnehmergerätes 12 bis 20 in dem ersten Teilnetzbereich 22 zu erfassen und daraus einen Angriff auf das Übertragungsmedium 21 ' des ersten Teilnetzbereiches 22 zu erkennen und anzuzeigen.
Die Überbrückungsvorrichtung 26 hat weiterhin ein Filtermittel 31 . Das Filtermittel 31 dient der datentechnischen Filterung. Es sorgt dafür, dass Datentelegramme zwischen den beiden Teilnetzbereichen 22, 23 nur an erlaubte Telegrammadressen im jeweils anderen Teilnetzbereich 23, 22 weitergeleitet werden. Das Filtermittel 31 ist dazu als eine Datenbank realisiert. Diese Datenbank 31 wird bei der Inbetriebnahme in die Überbrückungsvorrichtung 26 geladen. Sie enthält die Telegrammadressen, die weitergeleitet werden dürfen, jeweils für jede Richtung. Damit weiß die Überbrückungsvorrichtung 26, welche Telegramme sie weiterleiten darf und in welche Richtung. Zusätzlich enthält sie noch die Geräteadressen im ersten Teilnetzbereich 22. Damit weiß die Überbrückungsvorrichtung auch, welche Geräte sich in dem ungeschützten Gebäudebereich 24 befinden, um diese dann überwachen zu können. Damit können datentechnische Störungen oder datentechnische Angriffe erkannt und verhindert werden. Das Filtermittel 31 kann anhand der in der Datenbank hinterlegten erlaubten Telegrammadressen und erlaubten Geräteadressen feststellen, wenn individuelle Adressen im ungeschützten Anlagenbereich imitiert werden. Das Filtermittel 31 kann daran erkennen, wenn sich Adressen von angeblich im ungeschützten Gebäudebereich 24 befindlichen Geräten Adressen topologisch im geschützten Anlagenbereich befinden, oder wenn Teilnehmer im ungeschützten Gebäudebereich 24 die unsachgemäße Verwendung ihrer individuellen Adressen feststellen, oder wenn unbekannte individuelle Adressen im ungeschützten Teilnetzbereich 22 verwendet werden. Das Filtermittel 31 kann anhand der in der Datenbank hinterlegten erlaubten Telegrammadressen und erlaubten Geräteadressen auch feststellen, wenn unbefugte datentechnische Eingriffe aus dem ungeschützten Gebäudebereich 24 vorgenommen werden, wie z.B. Gruppenadressen gelesen oder versendet, die nicht in diesem Gebäudebereich 24 vorkommen dürften, oder wenn Programmier- oder Manipulationsversuche aus dem ungeschützten Gebäudebereich 24 heraus unternom- men werden.
Die Überbrückungsvorrichtung 26 ist hier lediglich beispielhaft als ein eigenständiges Gerät ausgeführt. Die Überbrückungsvorrichtung 26 könnte auch in ein anderes Gerät integriert sein und in diesem Gerät eine Zusatzfunktion bilden, beispielsweise in einer der Teilnehmerstationen 2 bis 1 1 in dem zweiten Teilnetzbereich 23 in dem geschützten Gebäudebereich 25.
Das System 1 hat ein Überwachungsgerät 30 in dem zweiten Teilnetzbereich 23, wobei das Mittel 29 dazu eingerichtet ist, um nach Erkennung eines Angriffs ein Signal an das Überwachungsgerät 30 zu senden.
Bezuqszeichenliste
1 System der Gebäudeautomation
2 Teilnehmerstation
3 Teilnehmerstation
4 Teilnehmerstation
5 Teilnehmerstation
6 Teilnehmerstation
7 Teilnehmerstation
8 Teilnehmerstation
9 Teilnehmerstation
10 Teilnehmerstation
1 1 Teilnehmerstation
12 Teilnehmerstation
13 Teilnehmerstation
14 Teilnehmerstation
15 Teilnehmerstation
16 Teilnehmerstation
17 Teilnehmerstation
18 Teilnehmerstation
19 Teilnehmerstation
20 Teilnehmerstation
21 Übertragungsmedium
21 ' Übertragungsmedium
22 erster Teilnetzbereich
23 zweiter Teilnetzbereich
24 ungeschützter Gebäudebereich
25 geschützter Gebäudebereich
26 Überbrückungsvorrichtung
27 erste Überbrückungsschnittstelle
28 zweite Überbrückungsschnittstelle
29 Mittel
30 Überwachungsgerät
31 Filtermittel

Claims

Patentansprüche
System (1 ) der Gebäudeautomation, das ein Teilnehmernetz mit Teilnehmerstationen (2 - 20) hat, die gemeinsam auf ein physikalisches Übertragungsmedium (21 , 21 ') des Teilnehmernetzes zugreifen, um darüber zusammen zu wirken und dabei Daten in Form von Telegrammen auszutauschen,
dadurch gekennzeichnet, dass in dem Teilnehmernetz wenigstens zwei Teilnetzbereiche (22, 23) gebildet sind, wobei sich ein erster Teilnetzbereich (22) in einem ungeschützten Gebäudebereich (24) und ein zweiter Teilnetzbereich (23) in einem geschützten Gebäudebereich (25) befindet, und dass das Übertragungsmedium (21 ') des ersten Teilnetzbereiches (22) mit dem Übertragungsmedium (21 ) des zweiten Teilnetzbereiches (23) über eine Überbrückungsvor- richtung (26) verbunden ist, wobei die Überbrückungsvorrichtung (26) sich in einem geschützten Gebäudebereich (25) befindet und eine erste Überbrü- ckungsschnittstelle(27) hat, die mit dem Übertragungsmedium (21 ') in dem ersten Teilnetzbereich (22) verbunden ist und eine zweite Überbrückungsschnitt- stelle (28) hat, die mit dem Übertragungsmedium (21 ) in dem zweiten Teilnetzbereich (23) verbunden ist, und dass die Überbrückungsvorrichtung (26) ein Mittel (29) hat, um Informationen über wenigstens ein physikalisches Merkmal des Übertragungsmediums (21 ') oder wenigstens eines Teilnehmergerätes (12 - 20) in dem ersten Teilnetzbereich (22) zu erfassen und daraus einen Angriff auf das Übertragungsmedium (21 ') des ersten Teilnetzbereiches (22) zu erkennen und anzuzeigen.
System (1 ) nach Anspruch 1 , dadurch gekennzeichnet, dass die Überbrückungsvorrichtung (26) ein Filtermittel (31 ) hat, um beim Datenaustausch verwendete unerlaubte Adressen von Teilnehmerstationen zu erkennen und Telegramme nur an erlaubte Telegrammadressen weiterzuleiten.
System (1 ) nach Anspruch 2, dadurch gekennzeichnet, dass die Überbrückungsvorrichtung (26) ein eigenständiges Gerät ist.
System (1 ) nach Anspruch 2, dadurch gekennzeichnet, dass die Überbrückungsvorrichtung (26) in ein anderes Gerät integriert ist und in diesem Gerät eine Zusatzfunktion bildet.
5. System (1 ) nach Anspruch 2, dadurch gekennzeichnet, dass die Überbrückungs- vorrichtung (26) über ihre zweite Überbrückungsschnittstelle (28) in dem zweiten, geschützten Teilnetzbereich (23) ein anderes Bussystem verwendet.
6. System (1 ) nach Anspruch 2, dadurch gekennzeichnet, dass die Überbrückungs- Vorrichtung (26) eine eigene Spannungsversorgung dem ersten Teilnetzbereich
(22) zur Verfügung stellt.
7. System (1 ) nach Anspruch 2, dadurch gekennzeichnet, dass die Überbrückungs- vorrichtung (26) den ersten Teilnetzbereich(22) aus dem zweiten Teilnetzbereich (23) versorgt. 8. System (1 ) nach Anspruch 2, dadurch gekennzeichnet, dass die Überbrückungs- vorrichtung (26) eine in dem ersten Teilnetzbereich (22) extern bereitgestellte Spannungsversorgung verwendet.
9. System (1 ) nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass das Mittel (26) dazu eingerichtet ist um die Stromaufnahme der Teilnehmersta- tionen (12 - 20) in dem ersten Teilnetzbereich (22) zu erfassen.
10. System (1 ) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Mittel (26) dazu eingerichtet ist um eine Information betreffend Übertragungsstörungen, die auch über Telegrammwiederholungen hinweg anhalten, zu ermitteln. 1 1 . System (1 ) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Mittel (26) dazu eingerichtet ist um eine Information über einen Kurzschluss des Übertragungsmediums (21 ') in dem ersten Teilnetzbereich zu ermitteln.
12. System (1 ) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Mittel (26) dazu eingerichtet ist um eine Information betreffend den Ausfall eines oder mehrerer Teilnehmerstationen (12 - 20) in dem ersten Teilnetzbereich (22) zu ermitteln.
13. System (1 ) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Mittel (26) dazu eingerichtet ist um eine Information betreffend eine unbefugte Öffnung oder Demontage einer Teilnehmerstation (12 - 20) oder betref- fend das Öffnen oder Betreten eines geschützten Installationsortes durch zusätzliche Sensorik zu ermitteln.
14. System (1 ) nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass das Mittel (26) dazu eingerichtet, um zusätzlich datentechnische Störungen zu erkennen.
5. System (1 ) nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass das System ein Überwachungsgerät (30) in dem geschützten Gebäudebereich (25) umfasst, wobei das Mittel (26) dazu eingerichtet ist, um nach Erkennung eines Angriffs ein Signal an das Überwachungsgerät (30) zu senden.
6. System (1 ) nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass die Überbrückungsvorrichtung (26) dazu eingerichtet ist, um permanent, zeitweise oder selektiv die Kommunikation zwischen dem ersten Teilnetzbereich (22) und dem zweiten Teilnetzbereich (23) zu unterbinden.
PCT/EP2017/051164 2016-03-14 2017-01-20 System der gebäudeautomation mit zwei teilnetzbereichen WO2017157545A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP17701458.6A EP3430770A1 (de) 2016-03-14 2017-01-20 System der gebäudeautomation mit zwei teilnetzbereichen

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016104625.6A DE102016104625B4 (de) 2016-03-14 2016-03-14 System der Gebäudeautomation mit zwei Teilnetzbereichen
DE102016104625.6 2016-03-14

Publications (1)

Publication Number Publication Date
WO2017157545A1 true WO2017157545A1 (de) 2017-09-21

Family

ID=57890797

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/051164 WO2017157545A1 (de) 2016-03-14 2017-01-20 System der gebäudeautomation mit zwei teilnetzbereichen

Country Status (3)

Country Link
EP (1) EP3430770A1 (de)
DE (1) DE102016104625B4 (de)
WO (1) WO2017157545A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018100629A1 (de) 2018-01-12 2019-07-18 Krohne Messtechnik Gmbh System mit einem elektrischen Gerät

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19726981A1 (de) * 1997-06-25 1999-01-07 Insta Elektro Gmbh & Co Kg Gerätekombination der Gebäudesystemtechnik mit Demontagemeldung
EP1284555A2 (de) * 2001-08-14 2003-02-19 Philips Corporate Intellectual Property GmbH Vorrichtung und Verfahren zur Diebstahlsicherung von an ein Bussystem angeschlossenen elektronischen Geräten

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT513531A1 (de) 2012-10-18 2014-05-15 Top Services Telekom It Dienstleistungsges M B H Elektronisches Installationssystem

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19726981A1 (de) * 1997-06-25 1999-01-07 Insta Elektro Gmbh & Co Kg Gerätekombination der Gebäudesystemtechnik mit Demontagemeldung
EP1284555A2 (de) * 2001-08-14 2003-02-19 Philips Corporate Intellectual Property GmbH Vorrichtung und Verfahren zur Diebstahlsicherung von an ein Bussystem angeschlossenen elektronischen Geräten

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
ANONYMOUS: "BSI - M 1 Maßnahmenkatalog Infrastruktur - IT-Grundschutz-Kataloge - M 1.22 Materielle Sicherung von Leitungen und Verteilern", 31 December 2013 (2013-12-31), XP055355940, Retrieved from the Internet <URL:https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m01/m01022.html> [retrieved on 20170317] *
ANONYMOUS: "BSI - M 1 Maßnahmenkatalog Infrastruktur - IT-Grundschutz-Kataloge - M 1.29 Geeignete Aufstellung eines IT-Systems", 31 December 2013 (2013-12-31), XP055355939, Retrieved from the Internet <URL:https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m01/m01029.html> [retrieved on 20170317] *
ANONYMOUS: "BSI - M 1 Maßnahmenkatalog Infrastruktur - IT-Grundschutz-Kataloge - M 1.43 Gesicherte Aufstellung aktiver Netzkomponenten", 31 December 2013 (2013-12-31), XP055355943, Retrieved from the Internet <URL:https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m01/m01043.html> [retrieved on 20170317] *
ANONYMOUS: "BSI - M 1 Maßnahmenkatalog Infrastruktur - IT-Grundschutz-Kataloge - M 1.79 Bildung von Sicherheitszonen", 31 December 2013 (2013-12-31), XP055355938, Retrieved from the Internet <URL:https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m01/m01079.html> [retrieved on 20170317] *

Also Published As

Publication number Publication date
DE102016104625B4 (de) 2024-04-18
DE102016104625A1 (de) 2017-09-14
EP3430770A1 (de) 2019-01-23

Similar Documents

Publication Publication Date Title
EP3501154B1 (de) Bereitstellen einer gesicherten kommunikation innerhalb eines echtzeitfähigen kommunikationsnetzwerkes
EP2684154B1 (de) Verfahren und steuereinheit zur erkennung von manipulationen an einem fahrzeugnetzwerk
EP1064759A1 (de) Verfahren zum inbetriebnehmen eines bussystems sowie entsprechendes bussystem
EP1490772A1 (de) Verfahren zum adressieren der teilnehmer eines bussystems mittels identifizierungsströmen
WO2015058928A1 (de) Bussystem und verfahren zum betreiben eines solchen bussystems
WO2005124477A2 (de) Hausgerätesteuerungssystem
DE102010009775A1 (de) Schaltschranküberwachungseinrichtung
DE19940700A1 (de) Verfahren und Vorrichtung zur automatischen Zuweisung von Melderadressen bei einer Gefahrenmeldeanlage
EP3414632B1 (de) Verfahren und vorrichtung zum überwachen einer datenverarbeitung und -übertragung in einer sicherheitskette eines sicherheitssystems
EP2400708B1 (de) Netzwerk-Schutzeinrichtung
DE112014005365B4 (de) Übertragungsvorrichtung und Kommunikationsnetzwerk
EP3416337B1 (de) Vorrichtung zur automation eines hauses oder gebäudes
EP2509265B1 (de) Zugangsschutzgerät für ein Automatisierungsnetzwerk
DE102016104625B4 (de) System der Gebäudeautomation mit zwei Teilnetzbereichen
EP3360284A1 (de) Buskopplungseinheit und bussystem mit einer buskopplungseinheit
EP1521401B1 (de) System der Gebäudesystemtechnik und Verfahren zum Konfigurieren desselben
WO2011120856A1 (de) Adressierungsverfahren und kommunikationsnetzwerk mit einem solchen adressierungsverfahren
EP2462670A1 (de) Elektrische installationsanordnung
WO2006097430A2 (de) Verfahren zur bestimmung der konfiguration einer gefahrenmeldeanlage und gefahrenmeldeanlage
WO2013037657A2 (de) Verfahren und vorrichtung zum stabilisieren eines energieversorgungsnetzwerks
DE102011082489A1 (de) Verfahren und Vorrichtung zur gesicherten Veränderung einer Konfigurationseinstellung eines Netzwerkgerätes
EP0660285A1 (de) Verfahren zur Erhöhung der Störsicherheit einer Funkalarmanlage
DE102005054140A1 (de) Eingabesignierung in elektronischen Steuerungssystemen
DE102017005235A1 (de) Mechanismus zur Absicherung der Funktion eines Gebäudeleitsystems auf BUS Ebene
DE102016113958A1 (de) Steuergerät für ein Heimautomatisierungssystem sowie Heimautomatisierungssystem

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2017701458

Country of ref document: EP

ENP Entry into the national phase

Ref document number: 2017701458

Country of ref document: EP

Effective date: 20181015

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17701458

Country of ref document: EP

Kind code of ref document: A1