Remote Access: eine neue Norm soll’s richten
Die Sicherheitsbranche ist in der Anwendung des Fernzugriffs auf Kundensysteme sehr zurückhaltend. Bisher gab es keine verbindliche Normung, die Dienstleistungen an Kundenanlagen bezüglich Sicherheit, Pflichten und Organisation des Dienstleisters beschreiben. Diese Lücke will die europäische Normenorganisation CEN-CENELC mit einer neuen Norm schliessen.
Im Zusammenhang mit der europäischen Dienstleistungsnorm für Brandsicherheitsanlagen und Sicherheitsanlagen (SN EN 16763) stellte sich auch die Frage, wie die von Ferne zu erbringenden Dienstleistungen beschrieben werden sollen. Der Verband Euralarm erarbeitete zu diesem Zweck eine Richtlinie, die jedoch nicht verpflichtend ist.
Die neue europäische Norm «Anforderungen an die Bereitstellung von Ferndiensten für Brandsicherheitsanlagen und Sicherheitsanlagen» beschreibt, wie der Fernzugriff erfolgen kann. Vom ersten Kontakt mit dem Anlagenbetreiber bis zur abgeschlossenen Dienstleistung in dessen Anlage soll ein validierter Prozess angewendet werden, der Missbrauch und Fehlfunktionen möglichst verhindert. Letztlich will man damit effizienter arbeiten und Kosten einsparen.
Diese Norm entspricht dem europäischen Trend zu Dienstleistungsnormen in Europa. Diese zeichnen sich dadurch aus, dass Begriffe definiert und allgemeine Beschreibungen für Prozesse und Dienstleistungen vereinheitlicht werden. Sie enthalten wenig messbare Grössen und verweisen auf Produktenormen, in denen technische Parameter, wie beispielsweise Datenschnittstellen oder Antwortzeiten von Datentelegrammen, definiert sind.
Erwartungen an die neue Norm
Die Norm soll den Einsatz der neuen Technologien für Remote-Zugriff ermöglichen und den Rahmen abstecken für den bestimmungsgemässen Betrieb und Unterhalt mit Fernzugriff. Sie soll für alle Sicherheitsgewerke anwendbar sein.
Sie verpflichtet die Dienstleister zur Einhaltung der gestellten Anforderungen, welche als Minimalanforderungen zu verstehen sind. Anlagenbetreiber sollen davon ausgehen können, dass ihre Sicherheitsbedürfnisse vor, während und nach dem Fernzugriff abgedeckt sind.
Die Norm soll auf angrenzende Rechtsgebiete wie Datenschutz, Vertragsrecht, nationale Anwendungsrichtlinien sowie Zertifizierung von Systemen und Mitarbeitern hinweisen.
Die Norm soll allgemein verständlich sein und, wo notwendig, auf vorhandene Normen verweisen. Beispielsweise beschreiben ISO/IEC 9594 und ISO/IEC 27001, wie ein Informationssicherheits-Managementsystem, Authentifizierung und der Einsatz von Verschlüsselung aufgebaut sind. Hingegen mangelt es an der Umsetzung im täglichen Gebrauch der IT-Sicherheit. Noch immer werden E-Mails wie Postkarten verschickt, für jeden lesbar und ohne digitale Signatur. Dabei kann mit vernünftigem Aufwand jeder Mailabsender eine digitale Signatur einrichten und E-Mails auch verschlüsseln. Die Herausforderung stellt sich eher auf der Seite des Adressaten, der ebenfalls bewusst den Sicherheitsprozess aktivieren muss, um das Mail zu verifizieren, zu lesen und seine Antwort verschlüsselt zu senden. Keinesfalls sollen unverschlüsselte E-Mails an den Anlagenbetreiber ein Datum und die Art des geplanten RemoteZugriffs enthalten, geschweige denn relevante Sicherheitsinformationen.
Geregelter Zugriff auf die Kundenanlage
Der Zugriff auf eine Kundenanlage darf nur über eine Sicherheitsplattform möglich sein, welche die Authentifizierung vornimmt und die signifikanten Ereignisse protokolliert (siehe Grafik). Auf keinen Fall darf der Fernzugriff eines Dienstleisters in die Sicherheitsanlage mit einem Laptop oder PC direkt über Internet möglich sein. Gründe dafür sind, dass
- mit gestohlenen Zugangsdaten und entsprechender Software Schaden angerichtet werden kann
- bei einem missratenen Einsatz keine zentral abrufbare Historie vorhanden ist.
Eine klare Vereinbarung über die Zugangsberechtigung des Dienstleisters ist mit dem Anlagenbetreiber schriftlich festzulegen. Der Zugang in die Kundenanlage ist vom Anlagenbetreiber freizuschalten. Falls Betriebsparameter, welche zur Auslösung zustandsabhängiger Wartung dienen, automatisch an den Dienstleister übermittelt werden, ist auch dies schriftlich festzulegen. Keinesfalls soll ein externes System bei der Kundenanlage andocken und die Herausgabe von Kundendaten verlangen. Die Übertragung muss von der Kundenanlage kontrolliert werden. Der Dienstleister muss dem Anlagenbetreiber jederzeit belegen können, wann ein Remote-Zugriff erfolgte und welche Tätigkeiten damit ausgeführt wurden.
Anwendung in der Praxis
Welche Dienstleistungen können mit Fernzugriff erbracht werden? Mit der Ferndiagnose kann der Dienstleister seine Reaktionszeit reduzieren und den Betriebszustand der Kundenanlage abfragen. Daraus lassen sich mögliche Störungsursachen ableiten. Auch die zustandsabhängige Wartung basiert auf der Diagnose, um den Abnutzungsvorrat zu berechnen (z.B. Verstaubungsgrad der Brandmelder).
Mit der Fernparametrisierung lassen sich kundenseitige Parameter erfassen und ändern. Sofern die Funktionen der Sicherheitsanlage dabei verändert werden, muss vor Ort eine Überprüfung organisiert werden.
Mit der Fernsteuerung lassen sich Ereignismeldungen (Alarm, Störung) zurücksetzen. Oder es lassen sich gestörte Anlagenteile abschalten, wenn sichergestellt ist, dass derartige Abschaltungen vor Ort zur Anzeige gebracht und routinemässig der zuständigen Stelle gemeldet werden.
Schwieriger ist die Fernreparatur, die sich eigentlich nur auf Software und deren Betriebsparameter beschränken kann. Mit einem Software-Download können Software-Systemfehler beseitigt werden, sofern dies keine Änderung des Funktionsumfanges zur Folge hat. Ist die Fehlerbeseitigung respektive der Software-Download beispielsweise wegen fehlerhafter Übertragung nicht möglich, muss der Ausgangszustand erhalten bleiben. Dasselbe gilt für das geplante Software-Update. Sind damit Anpassungen im Funktionsumfang der Anlage verbunden, ist ein Test vor Ort notwendig und die Anlagendokumentation muss nachgeführt werden.
Denkbar ist auch die Ferninstruktion eines Anlagenbetreibers für die Bedienung der Anlage, Rückstellung von Betriebsmeldungen, Beseitigung von Störungsmeldungen und Bestätigung allfälliger Testfunktionen.
Remote-Zugriff-Testfälle sind mit fachlicher Präsenz im Objekt auszuführen (z.B. Sirenentest). Dabei ist darauf zu achten, dass gewisse Funktionen nie im Remote-Modus ausgelöst werden. Es betrifft vor allem angesteuerte Schnittstellen für Löschanlagen, Vernebelungsanlagen usw.
Dienstleistungen wie Datenpflege oder -analyse sind vor allem bei Videosicherheitsanlagen und Zutrittskontroll-systemen machbar. Hier ist zwingend der Datenschutz einzuhalten.
Aktueller Stand der Norm
Im aktuellen Arbeitspapier kommen auch Personen-Hilferufanlagen vor. Diese wurden in der EN 16763 ausdrücklich ausgeklammert. In der Zwischenzeit wurde für dieses Segment eine technische Norm etabliert: EN 50134:2017 Alarmanlagen – Personen-Hilferufanlagen. Trotzdem ist es fragwürdig, die Personen-Hilferufanlagen in dieser Norm aufzunehmen. In diesem Bereich gelten bereits heute ganz andere Kriterien. Man denke nur an die Rega-App, mit der sich verunfallte Wanderer in den Bergen lokalisieren lassen.
Unterschiedliche Anforderungen aufgrund der verschiedenen Gewerke sind zu berücksichtigen. Hier spielen auch die örtlichen Richtlinien eine Rolle, die nach wie vor gelten. In der Schweiz muss beispielsweise während der geplanten Wartung einer Brandmeldeanlage die Alarmierung jederzeit sichergestellt sein. Gegebenenfalls mit organisatorischen Massnahmen vor Ort. Es gibt Länder in Europa, da fehlt eine solche Vorschrift und es besteht kein Bedarf, so etwas in die Norm aufzunehmen.
Die Antworten zur bisherigen Vernehmlassung dieser Norm zeigen wenig Interesse in anderen Ländern Europas. Es ist jedoch zu hoffen, dass der nächste überarbeitete Entwurf mehr Resonanz findet. Bis die Norm gültig wird, kann es noch Jahre dauern.
Fazit
Klare Regeln und schriftliche Vereinbarung sind eine Notwendigkeit für den Remote-Zugriff in Sicherheitsanlagen. Remote-Zugriffe erfordern eine Sicherheitsplattform und klare Sicherheitsvorgaben für das Personal des Dienstleisters.
Die Fähigkeit, aus der Ferne auf Kundenanlagen zuzugreifen, kann eine Fachkraft vor Ort sehr gut unterstützen, nicht aber ersetzen.
Ändern sich räumliche oder klimatische Bedingungen vor Ort, kann dies die Funktion der Sicherheitsanlagen und ihrer Komponenten negativ beeinflussen. Deshalb wird eine Sichtprüfung vor Ort weiterhin notwendig sein.
Der Anlagenbetreiber hat seinerseits Massnahmen zu ergreifen, die keinen unzulässigen Remote-Zugriff ermöglichen.
Autor: Felix Hahn, dipl. El.-Ing. HTL, NDS UF, ehemals Obmann der SES-Fachkommission Wartung sowie Delegierter des SES in der Service Section des Euralarms.