BACnet/SC – Cyber Security in der Gebäudeautomation
KRITIS-Schutz durch sichere KommunikationEffiziente und herstellerübergreifende Gebäudeautomation wurde mit BACnet erst möglich und praktikabel. Der international genormte Kommunikationsstandard der Gebäudeautomation hat sich durchgesetzt, musste aber noch um einen zusätzlichen Netzwerk-Layer erweitert werden. Denn im Zeitalter gebäudeübergreifender Vernetzung und zahlreicher Remote-Verbindungen muss der zuverlässige Schutz vor unbefugtem Zugriff auf die eingesetzte IT-Funktionalität und Infrastruktur auch in BACnet-Netzwerken der Gebäudeautomation gewährleistet sein.
Sichere Verbindungen am Beispiel von Sauters BACnet/SC-Anwendung: Über BACnet/SC ist die Kommunikation zwischen den Gebäuden gesichert. Einer der Router übernimmt die Hub-Funktion, ein anderer die des Failover Hubs.
Bild: Sauter
Digitale Angriffe auf kritische Infrastrukturen (KRITIS) machen immer wieder Schlagzeilen. Die meisten denken dabei an Ransomware oder Identitätsdiebstahl in klassischen Büronetzwerken. Jedoch kann heute ebenso die moderne Gebäudeautomation ins Visier von Kriminellen geraten. Gelingt es ihnen, die Kontrolle über die Gebäudeautomation zu erlangen, können sie bspw. durch Manipulation der Heizungs-, Lüftungs- und Klimaanlagen die Gebäudenutzung stark beeinträchtigen oder sogar ganze Rechenzentren lahmlegen. Nach VDI 3814 und dem VDMA EB 24774 ist es daher bei jeder Gebäudeplanung vorgeschrieben, die IT-Sicherheit der Gebäudeautomation im Rahmen einer Risikoanalyse zu bewerten.
Intelligente Gebäudeautomation durch BACnet
Natürlich ermöglicht ein standardisierter und offener M2M-Kommunikationsstandard wie BACnet mehr Angriffsvektoren als ein einzelner Schaltschrank mit Knebelschaltern und Folientastatur im Keller. Die Kommunikation aus Sicherheitsgründen zu unterbinden oder gar wieder auf proprietäre Standards zurückzugreifen, wäre indes keine gute Idee. Eine intelligente Gebäudeautomation ist heute ein hoch komplexes Regelsystem, das neben klassischen Messwerten z. B. auch Informationen über Raumplanung und -belegung, Heizung, Lüftung und Beleuchtung oder Wetterdaten mit einbeziehen kann – und somit das Smart Building zu einem energie- und kosteneffizienten wie auch benutzungsfreundlichen Gebäude verwandelt. Außerdem sind Fernwartung oder eine integrative Analyse aller aufgezeichneten Gebäudedaten zur Gebäudeoptimierung heute Standard – und wären ohne BACnet kaum vorstellbar.
Standardisierte Sicherheit mit BACnet/SC
Daher war es nur logisch, gängige Daten- und Sicherheitsstandards wie TCP/IP und TLS 1.3 auch auf die Gebäudeautomation zu übertragen, wie beim mittlerweile ebenfalls etablierten BACnet/SC (BACnet Secure Connect). Hierbei handelt es sich um einen reinen Transport-Layer, vollständig abwärtskompatibel zum restlichen Standard-BACnet. Das bedeutet in der Praxis: Alle BACnet-Dienste, -Objekte und -Properties bleiben gleich, sodass keine Änderungen an der Gebäudeautomationsprogrammierung der HKL-Funktionalität erforderlich sind. Auch die Hardware-Anforderungen der IT-Infrastruktur bleiben unverändert: BACnet/SC basiert auf den üblichen CAT5e/CAT6-Verkabelungen oder Lichtwellenleitern. Das GA-Netzwerk muss lediglich um eine zusätzliche zentrale Komponente, den BACnet/SC-Hub, erweitert werden. Um einen Single Point of Failure zu vermeiden, kann dieser BACnet/SC-Hub auch redundant ausgelegt werden.
Mit dem BACnet/SC-Hub als abgesicherte Kommunikationszentrale können BACnet/SC-fähige Geräte und Systeme aus der Gebäudeautomation über sicher verschlüsselte Datenverbindungen in moderne IT-Infrastrukturen integriert werden. Bei der M2M-Kommunikation kommen öffentliche und private Schlüssel zum Einsatz, wie man sie auch von HTTPS-Connects im Internet kennt. BACnet/SC verfügt sogar über eine eigene Geräteauthentifizierung.
Bei einer BACnet/SC-Planung ist ein Novum zu beachten: Es werden TLS-Zertifikate benötigt. Diese müssen regelmäßig aktualisiert werden, sonst kann es zu Sicherheitslücken und sogar Kommunikationsunterbrechungen kommen. Wird der Zertifikatswechsel manuell vorgenommen, empfehlen Fachkundige eine Zertifikats-Lebensdauer von 18 Monaten.
Einfache Integration in Bestandsnetze
Dr. Andreas Wetzel.
Bild: Sauter
Vollständige Abwärtskompatibilität und bewährte Standards machen eine Implementation von BACnet/SC in bestehende Systeme oder Neuplanung beherrschbar. Daher sollte BACnet/SC bspw. bei KRITIS Standard werden. Auch auf niedrigeren Sicherheitsebenen empfiehlt es sich, auf BACnet/SC als Übertragungsstandard zurückzugreifen, sobald die Gebäudeautomation den separierten, vertrauenswürdigen Bereich verlässt, etwa bei Anbindung weiter entfernter Gebäudeteile und Liegenschaften oder bei Cloud-Anwendungen. BACnet/SC macht hierbei eine zusätzliche VPN-Technologie überflüssig. Vorhandene BACnet/IP Segmente können in Bestandsprojekten direkt über BACnet/IP zu BACnet/SC-Router in eine neue BACnet/SC-Kommunikation integriert werden.
Nicht alle Gebäude sind naturgemäß für Angriffe gleich interessant und da sie auch nicht gleich verwundbar sind, ist eine projektspezifische Risikoanalyse in jedem Fall unerlässlich. Um einen Basisschutz der Gebäudeautomation zu gewährleisten, müssen jedoch grundsätzliche Maßnahmen in allen Anlagen vorgesehen werden.
tab fragt nach
Dr. Andreas Wetzel ist seit 2008 Leiter der Gebäudeautomation bei Sauter Deutschland und verantwortet dort die Technik sowie den internen technischen Support. Zum Thema BACnet/SC hat die tab ihm weitere Fragen gestellt.
tab: Herr Dr. Wetzel, wo empfehlen Sie den Einsatz von BACnet/SC?
Andreas Wetzel: Dass kritische Infrastrukturen wie Rechenzentren oder das Büro der kommunalen Wasserversorgung mit BACnet/SC abgesichert sein sollten, steht heutzutage außer Frage. Auch das BSI rät bei Gebäuden mit einem erhöhten IT-Sicherheitsbedarf zu einer verschlüsselten Kommunikation, die BACnet/SC nativ bietet. Welche Infrastruktur kritisch ist oder einen erhöhten Sicherheitsbedarf hat, müssen Gebäudebetreibende selbst entscheiden. Dabei sollte man sich die Fragen stellen: Was passiert in meinem Gebäude, wenn es durch einen gezielten Cyberangriff etwa unbenutzbar wird? Gibt es Teile meines Eigentums, die ich nicht optimal gegen unbefugten Zugriff schützen muss? Gibt es Sabotageziele, die nicht infrage kommen, wenn es darum geht, die Bevölkerung zu verunsichern? Schäden durch Hacking sollten nicht unterschätzt werden: Wer keine funktionierende HKL-Infrastruktur gewährleisten kann, muss, etwa bei der Vermietung von Büroflächen, mit Mietminderungen und Imageschäden rechnen. Wie bei jeder Investition in Sicherheitstechnik gilt auch bei BACnet/SC: lieber vorsichtig agieren oder auch „better safe than sorry“.
tab: Wie hilft Sauter Deutschland bei der Planung und Umsetzung?
Andreas Wetzel: Es beginnt z. B. bei einer Risikoanalyse nach VDI 3814 und dem VDMA EB 24774. Aufgrund von diversen Angriffsszenarien lässt sich der zu erwartende Schaden abschätzen und zu den Mehrkosten der Sicherheitstechnik in Relation setzen. So erarbeiten wir gemeinsam mit Interessierten ein individuelles Sicherheitspaket für Neuplanungen oder Wartungen mit Security-Updates. Die Anforderungen für ein GA-Sicherheitskonzept gehen über reine technische Lösungen mit Hard- und Softwareanforderungen sowie Projektierungsanforderungen bei Inbetriebnahme und Betrieb hinaus. Es müssen auch alle Beteiligten, von den Technikern vor Ort über die Betreibenden bis hin zu den Gebäudenutzenden, für das Thema sensibilisiert und geschult werden.
tab: Wie sieht es bei Ihrer Hard- und Software aus? Ist diese BACnet/SC-ready?
Andreas Wetzel: Wir berücksichtigen gemäß IEC 62443-4-1 die Sicherheit unserer aktuellen Produkte während des gesamten Entwicklungsprozesses durch Bedrohungsmodellierung, auch Thread Modeling genannt, durch Risikobewertungen und sichere Codierung sowie langfristigem Support mit zeitnahen Sicherheitsupdates. Mit unserem System „modulo 6“ ist eine modular aufgebaute Gebäudeautomations-Hardware entwickelt worden, die BACnet/SC-BTL-zertifiziert ist. Sie bietet ein komplettes Sortiment aus vielfältigen Automationsstationen, BACnet-Routern und SC-Hubs und Vielem mehr. Auch unsere „ecos“-Raumcontroller oder unser webbasiertes „SAUTER Vision Center“ für das ganzheitliche Gebäude-, Energie- und Wartungsmanagement nutzen BACnet/SC. Durch die ebenfalls mögliche HTTPS-Kommunikation zu den Webbrowsern beliebiger Bediengeräte bleibt die Nutzung komfortabel und dennoch zu jedem Zeitpunkt sicher.
