Die Bedeutung der IT-Sicherheit in der Gebäudeautomation

Das Thema IT-Security ist nahezu omnipräsent. Je weiter die Digitalisierung in alle Lebensbereiche vordringt, desto häufiger stellt sich die Frage nach den Risiken durch Ausfälle, Datenlecks oder gezielte Angriffe auf Systeme. Die IT-Sicherheit soll Antworten liefern und Maßnahmen gestalten, die den genannten Gefahren entgegenwirken. Besondere Aufmerksamkeit erhält hierbei der Bereich der kritischen Infrastruktur. Die Vorstellung eines Blackouts in öffentlichen Versorgungssystemen ist ein Worst-Case-Szenario, dem sich die Bundesregierung z. B. mit der Novellierung des IT-Sicherheitsgesetzes intensiv widmet.

Man muss sich jedoch nicht erst die Konsequenzen eines Systemausfalls durch einen Hacker-Angriff auf die öffentliche Energieversorgung oder ein vergleichbar dramatisch filmreifes Ereignis vorstellen. Auch in Bürogebäuden oder Industriebetrieben können die Folgen eines solchen unerlaubten Zuganges durch Datenmanipulation oder Kontamination mit einer Malware bei der Gebäudeautomation zusätzliche Betriebskosten, den Ausfall von gebäudetechnischen Anlagen, ja sogar die Nichtnutzbarkeit von Büros und Produktionsstätten sowie Personenschäden bedeuten. Diese Folgen sind weitreichend genug, um Bauherrn, Planer und Betreiber zu einer intensiveren Auseinandersetzung mit dem Thema IT-Sicherheit in der Gebäudeautomation zu motivieren.

Jede digitale IT-Struktur ist angreifbar

Grundsätzlich muss jede digitale IT-Infrastruktur als angreifbar betrachtet werden. Dies gilt vor allem dann, wenn es sich um ein System mit Internetanbindung handelt, das nicht ausschließlich in einem abgeschlossenen lokalen Netzwerk Regelungsdaten und Steuerbefehle austauscht, sondern einen Zugriff von außen ermöglicht. Viele Anbieter von Lösungen in der Gebäudeautomation setzen auf Online-Datenaustausch und Cloudtechnologie, bspw. bei Fernwartungs- und Fernoptimierungslösungen. Aber ebenso dort, wo Systeme überwiegend lokal Daten austauschen, ist ein rein physischer Schutz nicht mehr ausreichend. Bereits die Verbindung aus der OT-Gebäudeautomation zu einem IT-Arbeitsplatzrechner mit Internetanbindung innerhalb einer Gebäudeinfrastruktur kann als Einfalltor für Cyber-Attacken mit Spionage und Sabotage missbraucht werden.

Die Folgen eines Cyber-Angriffs auf die Gebäudeautomation sind vielfältig und erscheinen nur auf den ersten Blick als harmlos. Ein Ausfall in der Raumklimatisierung oder Beleuchtung bedeutet nicht nur einen Komfortverlust. Er kann die Nutzung einzelner Räume oder eines kompletten Gebäudes - zumindest temporär - unmöglich machen. Dass ein solches Szenario mehr als nur wirtschaftliche Schäden verursachen kann, demonstriert exemplarisch ein Hacker-Angriff auf das Universitätsklinikum Düsseldorf im September 2020, in dessen Folge Operationen abgesagt und die gesamte Notaufnahme geschlossen werden musste.

„Die Verantwortung auch für die IT-Sicherheit einer Anlage in der Gebäudeautomation liegt im ersten Schritt bei dem Bauherrn / Planer und später beim Betreiber“, erläutert Dr. Andreas Wetzel, Technischer Leiter Gebäudeautomation bei Sauter Deutschland. Als Vorsitzender des VDMA AMG Arbeitskreis IT-Sicherheit in der Gebäudeautomation setzt sich Dr. Wetzel intensiv mit dem Thema IT-Security im Maschinen- und Anlagenbau auseinander und kommt in Bezug auf die Gebäudeautomation zu einem ernüchternden Urteil: „Es mangelt hier bisher am notwendigen Risikobewusstsein und Fachwissen in Bezug auf die Einbindung der Gebäudeautomation in eine Sicherheitsstrategie. Die Vorteile eines Smart Buildings in Bezug auf ­Komfort- und Energieeffizienzsteigerung sind leicht nachvollziehbar. Investoren, Bauherren und Planer müssen sich aber auch frühzeitig mit dem Thema IT-Sicherheit auseinandersetzen.“

IT-Sicherheit schon bei der Planung berücksichtigen

Die IT-Sicherheit ist ein Aspekt, der über den gesamten Lebenszyklus einer Immobilie betrachtet werden muss. Dies beginnt initial bei der Planung. Die dort geforderten Lösungen müssen bei der Produkt- und Herstellerauswahl berücksichtigt werden. Die geplanten IT-Sicherheitskonzepte sind bei der Inbetriebnahme umzusetzen und im folgenden Gebäudebetrieb weiter zu leben. Die IT-Bedrohungslage ändert sich kontinuierlich. Daher muss auch die IT-Sicherheit der Gebäudeautomation einer Immobilie während des Gebäudebetriebs kontinuierlich hinterfragt und bei Bedarf angepasst werden. Dies ist eine zusätzliche Aufgabe bei Service und Wartung.

„Es gibt inzwischen viele zuverlässige Lösungen, um Systeme in der Gebäudeautomation zu sichern“, erklärt Dr. Wetzel. So wurde bspw. der in der Gebäudeautomation verbreitete Kommunikationsstandard BACnet um einen zusätzlichen BACnet Secure Connect (BACnet/SC) Netzwerk-Layer erweitert. Sauter integriert diese BACnet/SC Kommunikation in die eigene „Modulo 6“-Baureihe und die „Vision Center“-Gebäudevisualisierung. Alle neuen Produkte des Anbieters werden nach den Vorgaben der Normenreihe IEC 62443-3-3 „Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme“ entwickelt und unterstützen „Security by Design“.

Darüber hinaus unterstützt das Unternehmen seine Kunden bei den alltäglichen Herausforderungen durch Aufbau und Aufrechterhaltung der Resilienz. So sind die neuen „Vision Services“-Clouddienste mit ihrer Online-Anbindung zwar einerseits prinzipiell eine Achillesferse, andererseits entbindet das Prinzip der gehosteten Software as a Service (SaaS) den Betreiber von der sensiblen Verantwortung für Sicherheitsupdates und die allgemeine Absicherung der sonst lokal angreifbaren Software. Außerdem bietet der Spezialist seinen Kunden in der Gebäudeautomation mit einem IT-Check die fachkundige Überprüfung der vorhandenen GA-Systeme und der genutzten IT-Infrastruktur auf Schwachstellen. „Zudem haben wir es uns zur Aufgabe gemacht, Kunden für das wichtige Thema der IT-Sicherheit in der Gebäudeautomation zu sensibilisieren. Wir begleiten Investoren, Bauherren und vor allem Planer bei allen Schritten auf dem Weg zum digitalen Gebäude und beraten auch im Bereich IT-Security“, beschreibt Dr. Wetzel.