BACnet/SC-Router in kritischen ­Infrastrukturen

Die BACnet-Vernetzung erfolgt über ein Netzwerk, das auf einer Ethernet- oder RS-485-Infrastruktur basiert (BACnet/IP bzw. BACnet MS/TP). Es gibt verschiedene Arten von BACnet-fähigen Geräten, darunter Sensoren und Aktoren, die Daten wie die Temperatur, Luftfeuchtigkeit oder den CO₂-Gehalt erfassen, sowie Geräte, die Ventile, Klappen und Pumpen steuern. BACnet-fähige Steuerungen fungieren als zentrale Steuereinheiten für bestimmte Bereiche oder Funktionen innerhalb eines Gebäudes. Zusätzlich gibt es Router und Gateways, die die Integration von nicht-BACnet-fähigen Geräten und Systemen in ein BACnet-Netzwerk ermöglichen. Jedoch ist BACnet kein Sicherheitsprotokoll, sondern ein reines Kommunikationsprotokoll für die Gebäudeautomation. Deshalb können Sicherheitslücken entstehen – was in kritischen Gebäuden (Flughafen, Krankenhaus, etc.) nicht oder nur bedingt akzeptabel ist.

Höhere Sicherheit gegen ­Cyberangriffe

Daher ist es umso wichtiger, vernetzte Gebäude bzw. Gebäudeautomationssysteme vor Angriffen zu schützen. BACnet bietet hierfür grundsätzlich einige Sicherheitsmechanismen. So ist BACnet/SC (Secure Connect) eine Erweiterung des BACnet-Protokolls, die speziell auf eine verbesserte Sicherheit in den Netzwerken der Gebäudeautomation abzielt. BACnet/SC definiert einen neuen Standard für die sichere Datenübertragung mittels des BACnet-Protokolls und ermöglicht die sichere Nutzung vorhandener IT-Infrastrukturen.

Das BACnet/SC-Protokoll wurde entwickelt, um den Schutz vor Cyberbedrohungen und unbefugtem Zugriff auf vernetzte Gebäudeautomationssysteme zu erhöhen. Hierfür bietet es Sicherheitsfunktionen (Verschlüsselungsverfahren nach TLS 1.3), die über diejenigen des Standard-BACnet-Protokolls hinausgehen. So können bspw. erweiterte Authentifizierungsmethoden sicherstellen, dass nur autorisierte Geräte und Benutzer auf das Netzwerk zugreifen können. Das kann die Verwendung von digitalen Zertifikaten oder anderen kryptografischen Mechanismen umfassen.

Verschlüsselte Datenübertragung

BACnet/SC verschlüsselt den gesamten Datenverkehr, der über das BACnet/SC-Netzwerk gesendet wird, um die Vertraulichkeit der Informationen zu sichern. Das schützt vor dem Abhören und Manipulieren von Daten durch potenzielle Angreifer. Das Protokoll überprüft zudem die Integrität der übertragenen Daten, um sicherzustellen, dass sie nicht während der Übertragung manipuliert wurden. Dadurch wird gewährleistet, dass die empfangenen Daten korrekt und unverändert sind.

Außerdem implementiert BACnet/SC Mechanismen zur Verhinderung von Wiederholungsangriffen, bei denen ein Angreifer versucht, bereits gesendete Nachrichten erneut zu verwenden, um das Netzwerk zu manipulieren. Diese zusätzlichen Sicherheitsfunktionen machen BACnet/SC zu einer geeigneten Wahl für Anwendungen, bei denen ein erhöhter Schutz vor Cyberbedrohungen erforderlich ist, wie bspw. in kritischen Infrastrukturen oder in hochsensiblen Umgebungen. Einige Hersteller bieten eine hardwarebasierte Sicherheitslösung für die Gebäudeautomation, für Heizung, Lüftung und Klima (HLK), die Beleuchtungssteuerung, die Zutrittskontrolle und die Beschattung in BACnet-Netzwerken an. Für die sichere, verschlüsselte Datenübertragung in kritischen Infrastrukturen ist z. B. der BACnet/SC-Router „BMT-(F)-RTR/SC“ von Metz Connect ein Primary-Hub, welches als Knotenpunkt (Node) in BACnet/SC- sowie in BACnet/IP- und BACnet-MS/TP-Netzwerken kommuniziert.

Routing von BACnet/IP und BACnet MS/TP

In sicheren, verschlüsselten BACnet/SC-Netzwerken können sich BACnet/SC-Router flexibel und nahtlos sowohl BACnet-MS/TP- als auch BACnet/IP-Geräte verbinden. Dies vereinfacht und sichert die Kommunikation über weite Distanzen, einschließlich der Anbindung an Cloud-Anwendungen. Ein sicherer Remote-Zugriff ermöglicht die zuverlässige Fernwartung von Anlagen.

Zur Konfiguration und Parametrierung gerätespezifischer Funktionen bietet der BACnet-Router einen integrierten Webserver mit intuitiver Menü-Führung. Das responsive Design erlaubt die einfache Bedienung durch ein Smartphone, Tablet oder Notebook. Am Router angeschlossene BACnet-MS/TP-Geräte werden im Webserver mit eingestellter Geräteadresse angezeigt. Die Kommunikation der Geräte über den RS485-Bus kann dabei aufgezeichnet und analysiert werden.

BACnet/IP- und BACnet MS/TP-Systeme können jederzeit ohne den Austausch der Verkabelung auf BACnet/SC umgestellt werden. Somit ist schrittweise die Integration aktueller Sicherheits- und Kommunikationsstandards in die Gebäudeautomation möglich. Diese Adaptierbarkeit bietet eine signifikante Planungs- und Investitionssicherheit für Anlagenbetreiber, die eine zukünftige Umstellung auf BACnet/SC erwägen.