Sichere Verbindungen am Beispiel von Sauters BACnet/SC-Anwendung: Über BACnet/SC ist die Kommunikation zwischen den Gebäuden gesichert. Einer der Router übernimmt die Hub-Funktion, ein anderer die des Failover Hubs.
Bild: Sauter
Digitale Angriffe auf kritische Infrastrukturen (KRITIS) machen immer wieder Schlagzeilen. Die meisten denken dabei an Ransomware oder Identitätsdiebstahl in klassischen Büronetzwerken. Jedoch kann heute ebenso die moderne Gebäudeautomation ins Visier von Kriminellen geraten. Gelingt es ihnen, die Kontrolle über die Gebäudeautomation zu erlangen, können sie bspw. durch Manipulation der Heizungs-, Lüftungs- und Klimaanlagen die Gebäudenutzung stark beeinträchtigen oder sogar ganze Rechenzentren lahmlegen. Nach VDI 3814 und dem VDMA EB 24774 ist es daher bei jeder Gebäudeplanung vorgeschrieben, die IT-Sicherheit der Gebäudeautomation im Rahmen einer Risikoanalyse zu bewerten.
Intelligente Gebäudeautomation durch BACnet
Natürlich ermöglicht ein standardisierter und offener M2M-Kommunikationsstandard wie BACnet mehr Angriffsvektoren als ein einzelner Schaltschrank mit Knebelschaltern und Folientastatur im Keller. Die Kommunikation aus Sicherheitsgründen zu unterbinden oder gar wieder auf proprietäre Standards zurückzugreifen, wäre indes keine gute Idee. Eine intelligente Gebäudeautomation ist heute ein hoch komplexes Regelsystem, das neben klassischen Messwerten z. B. auch Informationen über Raumplanung und -belegung, Heizung, Lüftung und Beleuchtung oder Wetterdaten mit einbeziehen kann – und somit das Smart Building zu einem energie- und kosteneffizienten wie auch benutzungsfreundlichen Gebäude verwandelt. Außerdem sind Fernwartung oder eine integrative Analyse aller aufgezeichneten Gebäudedaten zur Gebäudeoptimierung heute Standard – und wären ohne BACnet kaum vorstellbar.
Standardisierte Sicherheit mit BACnet/SC
Daher war es nur logisch, gängige Daten- und Sicherheitsstandards wie TCP/IP und TLS 1.3 auch auf die Gebäudeautomation zu übertragen, wie beim mittlerweile ebenfalls etablierten BACnet/SC (BACnet Secure Connect). Hierbei handelt es sich um einen reinen Transport-Layer, vollständig abwärtskompatibel zum restlichen Standard-BACnet. Das bedeutet in der Praxis: Alle BACnet-Dienste, -Objekte und -Properties bleiben gleich, sodass keine Änderungen an der Gebäudeautomationsprogrammierung der HKL-Funktionalität erforderlich sind. Auch die Hardware-Anforderungen der IT-Infrastruktur bleiben unverändert: BACnet/SC basiert auf den üblichen CAT5e/CAT6-Verkabelungen oder Lichtwellenleitern. Das GA-Netzwerk muss lediglich um eine zusätzliche zentrale Komponente, den BACnet/SC-Hub, erweitert werden. Um einen Single Point of Failure zu vermeiden, kann dieser BACnet/SC-Hub auch redundant ausgelegt werden.
Mit dem BACnet/SC-Hub als abgesicherte Kommunikationszentrale können BACnet/SC-fähige Geräte und Systeme aus der Gebäudeautomation über sicher verschlüsselte Datenverbindungen in moderne IT-Infrastrukturen integriert werden. Bei der M2M-Kommunikation kommen öffentliche und private Schlüssel zum Einsatz, wie man sie auch von HTTPS-Connects im Internet kennt. BACnet/SC verfügt sogar über eine eigene Geräteauthentifizierung.
Bei einer BACnet/SC-Planung ist ein Novum zu beachten: Es werden TLS-Zertifikate benötigt. Diese müssen regelmäßig aktualisiert werden, sonst kann es zu Sicherheitslücken und sogar Kommunikationsunterbrechungen kommen. Wird der Zertifikatswechsel manuell vorgenommen, empfehlen Fachkundige eine Zertifikats-Lebensdauer von 18 Monaten.
Einfache Integration in Bestandsnetze
Dr. Andreas Wetzel.
Bild: Sauter
Vollständige Abwärtskompatibilität und bewährte Standards machen eine Implementation von BACnet/SC in bestehende Systeme oder Neuplanung beherrschbar. Daher sollte BACnet/SC bspw. bei KRITIS Standard werden. Auch auf niedrigeren Sicherheitsebenen empfiehlt es sich, auf BACnet/SC als Übertragungsstandard zurückzugreifen, sobald die Gebäudeautomation den separierten, vertrauenswürdigen Bereich verlässt, etwa bei Anbindung weiter entfernter Gebäudeteile und Liegenschaften oder bei Cloud-Anwendungen. BACnet/SC macht hierbei eine zusätzliche VPN-Technologie überflüssig. Vorhandene BACnet/IP Segmente können in Bestandsprojekten direkt über BACnet/IP zu BACnet/SC-Router in eine neue BACnet/SC-Kommunikation integriert werden.
Nicht alle Gebäude sind naturgemäß für Angriffe gleich interessant und da sie auch nicht gleich verwundbar sind, ist eine projektspezifische Risikoanalyse in jedem Fall unerlässlich. Um einen Basisschutz der Gebäudeautomation zu gewährleisten, müssen jedoch grundsätzliche Maßnahmen in allen Anlagen vorgesehen werden.
