Cyber Security für Smart Buildings

In der Gebäudeautomation ist BACnet der etablierte Kommunikationsstandard. Mit der ständig wachsenden Zahl an Vernetzungen und Remote-Verbindungen steigen allerdings die Sicherheitsanforderungen. Deshalb wurde dieser Standard um einen zusätzlichen Netzwerk-Layer erweitert:
BACnet/SC (BACnet Secure Connect). Damit ist man auch mit der BACnet Kommunikation der Gebäudeautomation auf der sicheren Seite.

BACnet (Building Automation and Control Networks) ist ein international genormtes Kommunikationsprotokoll (ISO 16484-5), das speziell für die Gebäudeautomation entwickelt wurde. Es ermöglicht Geräten unterschiedlicher Hersteller, in einem Gebäudeautomationssystem miteinander zu kommunizieren. So manchen Fachkundigen für Sicherheit war BACnet in seiner üblicherweise verwendeten, ungeschützten BACnet/IP Variante nicht mehr zeitgemäß: Es fehlte bisher ein zuverlässiger Schutz vor unbefugtem Zugriff.

Ein Hackingangriff auf die Gebäudeautomation kann gravierende Folgen haben. Die Manipulation der Heizungs-, Lüftungs- und Klimaanlagen kann die Gebäudenutzung stark beeinträchtigen oder sogar ganze Rechenzentren lahmlegen. Daher ist es heutzutage nach VDI3814 und dem VDMA EB 24774 erforderlich, dass jede Gebäudeplanung die erforderliche IT-Sicherheit der Gebäudeautomation betrachtet und im Rahmen einer Risikoanalyse bewertet. SAUTER unterstützt Sie dabei, mit langjähriger Erfahrung und Expertise im Bereich Cyber Security in der Gebäudeautomation.

Verschlüsselte M2M-Kommunikation

Hier greift der mittlerweile ebenfalls etablierte Standard BACnet/SC. Er baut auf gängigen Standards aus der IT auf, beispielsweise TCP/IP und TLS 1.3. Über sicher verschlüsselte Connects können BACnet/SC-fähige Geräte und Systeme aus der Gebäudeautomation in moderne IT-Infrastrukturen integriert werden. Dabei kommen, wie bei einer HTTPS-Verbindung, öffentliche und private Schlüssel zum Einsatz. Zusätzlich verfügt BACnet/SC über eine eigene Geräteauthentifizierung.

Als reiner Transport-Layer ist BACnet/SC vollständig abwärtskompatibel zum Standard-BACnet. Alle BACnet-Dienste, -Objekte und -Properties sind unverändert, sodass eine bestehende Gebäudeautomationsprogrammierung der HKL-Funktionalität nicht geändert werden muss. Als Hardware eignen sich übliche CAT5e/CAT6-Verkabelungen oder Lichtwellenleiter.

BACnet/SC-Hub erforderlich

Neu ist dagegen eine zusätzliche zentrale Netzwerkkomponente, der BACnet/SC-Hub. Dieser muss in jedem BACnet/SC-Netzwerk vorhanden sein. Da sämtliche Verbindungen, Verschlüsselungen und Geräteauthentifizierungen über diesen BACnet/SC-Hub laufen, kann eine redundante Absicherung über einen Failover-Hub erfolgen, um einen Single Point of Failure zu vermeiden. Ebenfalls neu: Es kommen TLS-Zertifikate zum Einsatz, die regelmäßig aktualisiert werden müssen, um Kommunikationsunterbrechungen und Sicherheitslücken zu vermeiden (bei manuellem Zertifikatswechsel wird eine Zertifikats-Lebensdauer von 18 Monaten empfohlen).

KRITIS zuverlässig schützen

Gerade angesichts der ständig steigenden Bedrohungen durch Cyber-Kriminelle oder gar staatlich gelenkte Saboteure, sollte BACnet/SC vor allem bei kritischen Infrastrukturen flächendeckend Standard werden. Aber auch auf niedrigeren Sicherheitsebenen gilt: Sobald die Gebäudeautomation den separierten, vertrauenswürdigen Bereich verlässt, zum Beispiel bei Anbindung weiter entfernter Gebäudeteile und Liegenschaften oder bei Cloud-Anwendungen, ist BACnet/SC als Übertragungsstandard State of the Art. So lassen sich auch Remote- oder Cloud-Applikationen bedenkenlos nutzen – und das ganz ohne die oft umständliche VPN-Technologie. Vorhandene BACnet/IP Segmente können in Bestandsprojekten beispielsweise über BACnet/IP zu BACnet/SC-Router in die neue BACnet/SC-Kommunikation integriert werden.

Wir von SAUTER bieten für Neuinstallationen BACnet/SC fähige GA-Komponenten und raten, wie das BSI, bei Gebäuden mit einem erhöhten IT-Sicherheitsbedarf zu einer solchen BACnet/SC-Architektur. Wir beraten und unterstützen unsere Kunden bei der individuellen Bedrohungsanalyse und der Umstellung auf die gesicherte M2M-Kommunkation. Insbesondere durch die Abwärtskompatibilität von BACnet/SC ist ein Sicherheits-Update meist ohne größeren Aufwand umzusetzen. Wir von SAUTER berücksichtigen gemäß IEC 62443-4-1 die Sicherheit unserer Produkte während des gesamten Entwicklungsprozesses durch Bedrohungsmodellierung (Thread Modeling), Risikobewertungen und sichere Codierung sowie langfristigem Support durch zeitnahe Sicherheitsupdates.

Alles BACnet/SC-fähig

Unsere modular aufgebaute Gebäudeautomations-Hardware modulo 6 ist bereits BACnet/SC-BTL-zertifiziert und bietet ein komplettes Sortiment aus vielfältigen Automationsstationen, BACnet-Routern und SC-Hubs und Vielem mehr – ein vielseitiges und skalierbares Komplettsystem, mit dem Sie stets auf der sicheren Seite sind.

Auch das SAUTER Vision Center, unser webbasiertes System für das ganzheitliche Gebäude-, Energie- und Wartungsmanagement, nutzt selbstverständlich BACnet/SC. Durch die ebenfalls mögliche HTTPS-Kommunikation zu den Webbrowsern der beliebigen Bediengeräte bleiben Cyber-Kriminelle draußen.

Dr. Andreas Wetzel, Leiter Gebäudeautomation bei SAUTER Deutschland