Cybersicherheit in der Gebäudeautomation
Wie sich das Zusammenspiel zwischen OT und IT weiterentwickeltIn seiner ursprünglichen Form fehlte es dem offenen Kommunikationsprotokoll BACnet aus heutiger Sicht an essentiellen Sicherheitsfeatures. Das zunehmende Bewusstsein für die Bedrohung durch Cyberattacken hat deshalb zur Entwicklung neuer Funktionen geführt, die den unberechtigten Zugriff auf die entsprechenden Systeme wirkungsvoll verhindern. Eine solche Lösung ist BACnet Secure Connect (BACnet/SC), die BACnet versionsübergreifend um aktuelle IT-Sicherheitsfunktionen erweitert.
BACnet bietet als offenes und neutrales Kommunikationsprotokoll für die Vernetzung von Gebäuden eine Reihe entscheidender Vorteile und hat sich so aus guten Gründen zum bevorzugten Protokoll für interoperable Gebäudeautomation entwickelt. Der weite Anwendungsbereich und die stetige Weiterentwicklung führten dazu, dass BACnet bei der kommerziellen Gebäudeautomation in 70 % der Fälle zum Einsatz kommt. Mit BACnet wird der problemlose, interoperable Zugriff auf alle relevanten Parameter der Gebäudeautomation ermöglicht. Zum Beispiel lassen sich damit Temperatur, Beleuchtung und Luftfilterung komfortabel über das Facility Management überwachen und steuern.
BACnet kommt heute bei der kommerziellen Gebäudeautomation in 70 % der Fälle zum Einsatz.
Bild: Siemens
Durch Veränderungen in der Gebäudewelt bietet BACnet aufgrund fehlender Sicherheitsfunktionen allerdings nicht mehr den heute nötigen Schutz vor Cyberattacken. Daraus resultiert unter anderem ein erhöhtes Risiko für die Sabotage betrieblicher Infrastruktur, mit potenziell verheerenden Folgen.
Zunehmende Vernetzung und Konnektivität
Wie überall, wo digitale Technologien zum Einsatz kommen, spielt Cybersicherheit auch für die Gebäudeautomation eine immer wichtigere Rolle. Das hängt damit zusammen, dass die Gebäudeautomation sich im Zuge der Digitalisierung stark verändert hat. So erfolgte eine Vernetzung bislang nur innerhalb des OT-Bereichs (OT = Operational Technology/Betriebstechnologie). Die geringe Vernetzung zu IT-Netzwerken hielt zwar das Risiko für Cyberattacken gering, aber nur mit der Vernetzung zwischen OT- und IT-Netzwerken kann das ganze Potenzial der Gebäudeautomation ausgenutzt werden.
Die Nachfrage nach mehr Energieeffizienz, auch vor dem Hintergrund gesetzlicher Vorschriften sowie der erhöhte Bedarf an effizienter Steuerlogik und damit nach vernetzter Primär- und Raumautomation hat zu einer entsprechend hohen Konnektivität von Geräten geführt. Dabei reicht das Spektrum von „intelligenten“ Feldgeräten mit WLAN-Schnittstelle und eigener Cloud-Anbindung bis hin zu komplexen Lösungen für verteilte Liegenschaften, die aus der Ferne bedient, gesteuert oder gewartet werden.
Die Verschmelzung von IT und OT
Um die Vorteile von Smart Buildings nutzen zu können, ist das Zusammenwachsen von IT-Netzwerken mit weniger sicheren OT-Netzwerken bei der Realisierung unvermeidbar und es bringt neue Herausforderungen für die IT-Sicherheit mit sich. Neben der klassischen Gebäudeautomation kommen vermehrt auch mobile Anwendungen zum Einsatz, was für Nutzer und Betreiber von Gebäuden zahlreiche Vorteile mit sich bringt. Möglich ist das allerdings nur durch die starke Vernetzung und Konnektivität der beteiligten Systeme. Vor diesem Hintergrund finden immer öfter OT-Daten den Weg in die IT-Welt. So zum Beispiel bei der Steuerung, bei der Inbetriebnahme oder bei der Wartung von Automationsstationen über eine Cloud-Verbindung.
Daraus ergibt sich die sogenannte IT/OT-Konvergenz, also die zunehmende Vernetzung von IT und OT. IT-Experten setzen sich daher vermehrt mit der Sicherheit von OT-Systemen auseinander und versuchen, diese in etablierte IT-Sicherheitskonzepte zu integrieren, obwohl die OT und IT unterschiedliche Ziele verfolgen. Das wichtigste Ziel im Hinblick auf OT-Sicherheit besteht darin, einen sicheren Betrieb zu gewährleisten, während IT-Sicherheit sich prinzipiell um den Schutz von Daten dreht.
Modernisierung notwendig
Diese zunehmende Vernetzung von Geräten bei der Gebäudeautomation erhöht zwangsläufig das Risiko für Cyberattacken. Zu den möglichen Folgen für die Betreiber betroffener Infrastruktur zählen der Verlust oder die Zerstörung wertvoller Daten und die damit verbundenen Auswirkungen auf mitunter kritische Betriebsabläufe. Neben dem erheblichen wirtschaftlichen Schaden verlieren Unternehmen dabei oft auch das Vertrauen ihrer Kunden.
Was BACnet über Jahrzehnte so erfolgreich gemacht hat, ist seine Offenheit: Das Protokoll bietet ein standardisiertes Datenmodell für die Gerätekommunikation und ermöglicht Interoperabilität zwischen verschiedenen Anbietern. Was dem Protokoll allerdings fehlt, sind wichtige Sicherheitsfunktionen. Konkret geht es dabei etwa um einen Verschlüsselungsmechanismus, der Daten vor unbefugtem Zugriff sichert sowie einen Authentifizierungsmechanismus, der das Netzwerk vor nicht autorisierten Teilnehmern schützt. Eine schrittweise Modernisierung des Protokolls ist vor dem Hintergrund zunehmender IT/OT-Konvergenz deshalb unausweichlich.
BACnet Secure Connect
BACnet Secure Connect, kurz: BACnet/SC, wurde mit dem Ziel entwickelt, dem aktuellen BACnet-Standard zu einem höheren Maß an Sicherheit und IT-Freundlichkeit zu verhelfen und schrittweise einen Umstieg zu ermöglichen. Die Technologie erweitert das Protokoll um verschlüsselten Datenverkehr und ermöglicht die Authentifizierung von Geräten untereinander. Ein großer Vorteil der Lösung besteht darin, dass sie komplett abwärtskompatibel und damit auf Geräten mit verschiedenen BACnet-Revisionen anwendbar ist.
Dipl.-Ing. Malte Reitzer, Siemens AG.
Bild: Siemens
Die Mechanismen des Sicherheitskonzeptes, die dabei zum Tragen kommen, ähneln denen des World-Wide-Web. Der Datenverkehr wird über TLS verschlüsselt. Unabhängig davon ersetzt ein IT-freundliches TCP-Protokoll das verbindungslose UDP-Protokoll und wirkt damit dem bei BACnet unbeliebten Massenbroadcast entgegen. Eine einfache Einrichtung von Firewalls wird über eine Art Client-Server-Prinzip (Knoten-Hub-Prinzip) unterstützt. Der Schutz vor nicht autorisierten/vertrauenswürdigen Teilnehmern wird ebenfalls über Zertifikate realisiert.
Zu den wichtigsten Eigenschaften von BACnet/SC zählt die Tatsache, dass die zugrundeliegende Anwendung sich nicht ändert und zudem eine Koexistenz zu BACnet/IP ermöglicht wird. Genauso wie beim WWW, wo http und https parallel existieren und der Anwender zwischen beiden Protokollen keinen Unterschied bemerkt, müssen für BACnet/SC keine neuen Zeitpläne oder Grafiken für die Managementstation erzeugt werden. Zudem ist der Einsatz von gemischten Netzwerken zusammen mit BACnet/IP oder auch BACnet/MSTP möglich.
Fazit: IT-Sicherheit im Fokus
Die Digitalisierung bringt viele Vorteile bei der Energieeffizienz und bei der Anwendung für Nutzer, Betreiber und dem Service. Durch die IT/OT-Konvergenz steigt allerdings auch das Risiko für Cyberangriffe. So sind etwa Angriffe auf kritische Infrastruktur wie Krankenhäuser und Rechenzentren durch Manipulation der Gebäudeautomationsprotokolle denkbar.
Da bisherige Sicherheitsstandards der veränderten Bedrohungslage nicht gerecht werden, wird Cybersicherheit in Sachen Gebäudeautomation immer mehr zum zentralen Thema. Das zunehmende Bewusstsein für diese Bedrohungslage führte daher zur Überarbeitung des BACnet-Protokolls mit dem Ziel, in der Gebäudeautomation das erforderliche Maß an IT-Sicherheit zu gewährleisten. BACnet Secure Connect bildet dabei einen wichtigen Baustein.
tab fragt nach
BACnet/SC-Zertifikate und die Umrüstung von bestehenden BACnet-Anlagen auf die Secure Connect-Basis sind die Kernpunkte für drei Fragen an Malte Reitzer. Er ist bei Siemens als Portfoliomanager Building Automation tätig.
tab: Was genau verbirgt sich hinter den BACnet/SC-Zertifikaten?
Malte Reitzer: Mit den BACnet/SC-Zertifikaten ist ein Authentifizierungsmechanismus im BACnet-Standard implementiert worden. Der implementierte Standard mit X.509-Zertifikaten wird in vielen Protokollen verwendet, ist bei der IT bestens bekannt, und ist eine weitverbreitete Methode, um unautorisierte Teilnehmer von der Kommunikation auszuschließen. Jedes Gerät besitzt zwei Zertifikate, die von einer vertrauenswürdigen Zertifizierungsstelle im Vorfeld signiert wurden: Ein Root-Zertifikat, welches es einem Gerät ermöglicht innerhalb eines Projektes zu kommunizieren, und ein individuelles Zertifikat. Beide Zertifikate sind befristet und müssen bei Bedarf verlängert werden.
tab: Unter welchen Voraussetzungen lassen sich bestehende BACnet-Anlagen auf die Secure Connect-Basis umrüsten? Und was ist dafür notwendig?
Malte Reitzer: Bestehende Geräte müssen hierfür grundsätzlich BACnet/SC-ready sein und ein Update erhalten. Auch wenn BACnet/SC abwärtskompatibel ist (also unabhängig von der BACnet Revision), wird ein Update für ältere Geräte oft nicht mehr zur Verfügung stehen, da weitere heute gängige Sicherheitsfunktionen nicht nachgerüstet werden können. Die Umstellung von bestehenden Anlagen wird daher in der Praxis nur schrittweise erfolgen und den Austausch einiger Geräte nach sich ziehen. Die Gesamtumstellung bleibt ein längerfristiges Ziel. Neue Geräte sollten auf jeden Fall BACnet/SC-ready sein und der BACnet/SC-Hub ebenfalls ein Routing zu BACnet/IP unterstützen, um den Umstieg bestmöglich sukzessive umzusetzen.
tab: Inwieweit unterstützt Siemens Smart Infrastructure diesen Prozess?
Malte Reitzer: Siemens bietet schon heute ein ganzes System für BACnet/SC an. Viele Produkte wie die Managementstation „Desigo CC“ oder Teile des Raumautomations-Portfolios sind BACnet/SC-ready und lassen sich einfach über ein Update bzw. Firmware-Update hochrüsten, sodass diese BACnet/SC sprechen. Im Bereich der Anlagenautomation kommuniziert die neue Automationsstationsfamilie „PXC4.7“ neben BACnet/IP auch nativ BACnet/SC und bringt zusätzliche Sicherheitsfunktionen mit. Gleichzeitig wird mit dem „PXC7“ das Routing zu bestehenden BACnet/IP-Netzwerken ermöglicht und Geräte aus dem „PXC12.200“-Sortiment lassen sich somit über BACnet/IP einbinden. Das bestehende Engineering Tool „ABT Site“ unterstützt ebenfalls BACnet/SC, es dient als Zertifizierungsstelle und übernimmt das Zertifikatmanagement.
