IT-sichere Gebäudeautomation schützt vor Cyberattacken

Hackerangriffe auf Gebäude und Rechenzentren können existenziell bedrohliche Folgen für Unternehmen haben. Jüngste Vorfälle wie russische und chinesische Cyberattacken oder softwarebedingte Ausfälle belegen die Brisanz. Unternehmen der kritischen Infrastruktur (KRITIS) wie Energie- und Wasserversorgung, Krankenhäuser, Banken oder Verkehrsbetriebe sind von essentieller Bedeutung für das Leben und die Wirtschaft und damit besonders gefährdete Angriffsziele.

Die neue europäische NIS-2-Richtlinie, die bereits ab Oktober 2024 gilt, soll eine bessere und übergreifende Widerstandsfähigkeit gegen Cyberbedrohungen forcieren. Parallel dazu hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) Informationen und Vorschriften herausgegeben, die für die Betreiber kritischer Infrastrukturen verpflichtend sind.

Somit ergeben sich sowohl aus wirtschaftlicher als auch aus rechtlicher Sicht hohe Anforderungen an die IT-Sicherheit für das Gebäudemanagement. Die gesetzlichen Vorgaben, Risiken und Möglichkeiten haben sich stark verändert. Ein Fachbeitrag von Christian Wild, Geschäftsführer der ICONAG-Leittechnik in Idar-Oberstein informiert über die aktuellen gesetzlichen Regelungen, zeigt die größten Risikoquellen und Defizite im Technischen Gebäudemanagement (TBM) auf und erklärt, welchen Beitrag BACnet bei der Umsetzung leistet.

Störungen der Systeme können von innen und von außen auftreten. Von innen indizierte Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit betreffen die grundsätzliche Betriebssicherheit der Infrastruktur. Bei von außen indizierten Störungen handelt es sich in der Regel um Sabotage, Spionage oder unerlaubten Zutritt.

Die üblichen Angriffspunkte auf Automatisierungssysteme befinden sich vor allem auf Automations- und Managementebene eines Gebäudes, weniger auf der Feldebene oder den übergeordneten Ebenen im technischen Gebäudemanagement. Darum besteht hier besonderer Handlungsbedarf.

Regelwerke für die IT-Sicherheit in der Gebäudeautomation

Grundlegende Regelwerke in Deutschland sind die Standards und das Grundschutzkompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Grundschutzbausteine Infrastruktur für Gebäudemanagement (INF.13) und Gebäudeautomation (INF.14) sind verpflichtend für Bundesbehörden und Betreiber kritischer Infrastrukturen (Informationen unter www.bsi.de). Das Einheitsblatt VDMA 24774 (2023-03) beschreibt die aktuellen Vorgaben zur IT-Sicherheit in der Gebäudeautomation (Leitfaden für die Gebäudeautomation) und die EU-Verordnung 2016/679 informiert über die Datenschutzgrundverordnung für den Schutz personenbezogener Daten in der Gebäudeautomation).

Dennoch gibt es auch für die Gebäudeautomation keine 100-prozentige IT-Sicherheit. Welche Vorkehrungen im Gewerk Gebäudeautomation konkret zu treffen sind, müssen aus einer Risikoanalyse für die jeweilige Nutzung abgeleitet werden. Im BSI-Standards- und Grundschutzkompendium werden folgende Gefährdungslagen für die Gebäudeautomation als besonders bedeutend genannt:

• Unzureichende Planung der Gebäudeautomation, zum Beispiel durch fehlende Redundanzen oder hohe Komplexität der Zusammenarbeit unterschiedlicher Gewerke.

• Fehlerhafte Integration von TGA-Anlagen in die Gebäudeautomation bzw. fehlerhafte Konfiguration der Gebäudeautomation.

• Nutzung unsicherer Systeme und Protokolle in der Gebäudeautomation, wie es z. B. das „alte“ BACnet-Protokoll, ebenso wie KNX oder ModBus sind.

• Manipulation der Schnittstellen von eigenständigen TGA-Anlagen zur Gebäudeautomation (zum Beispiel über eine manipulierte Brandmeldung, die alle Türen öffnet).

Defizite im Technischen Gebäudemanagement (TBM) als Risikoquellen

• Fehlende Grundlagen der IT-Sicherheit für die Planung des TBM, da beispielsweise bei der Planung die Betreiber häufig noch nicht feststehen.

• Mangelnde Dokumentation beim TBM führt zu Unklarheiten über den Status Quo der IT-Sicherheit.

• Bewusste oder unbewusste Kompromittierung der Schnittstellen mit dem TBM, insbesondere wenn schützenswerte Bereiche an das TBM angeschlossen sind, wie z. B. Einbruch- oder Brandmeldeanlagen.

• Unzureichendes Monitoring der TGA, so dass zum Beispiel systemkritische Fehlfunktion nicht erkannt werden.

• Unzureichendes Rollen- und Berechtigungsmanagement (z.B. mehrere Personen teilen sich ein Benutzerkonto).

Hinzu kommen noch die langen Lebenszyklen gebäudetechnischer Anlagen, die ein besonderes Maß an vorausschauender Planung von GA-Systemen und ein strategisches Vorgehen erfordern. Folgende Vorgaben sollten darum in jedem Fall bei der Planung von GASystemen Berücksichtigung finden.

Vorgaben an die Planung von GA-Systemen

⇒ Verschlüsselte Datenübertragung / Kommunikation (BACnet/SC, KNX-Secure o.ä.).

⇒ Deaktivierung aller nicht benötigten Dienste und Zugänge ab Werk („gehärtete“ Geräte und Software) samt Dokumentation der verwendeten Ports.

⇒ Managementsoftware mit Funktionen zur Aufzeichnung der Benutzeraktivitäten (Audit Trial).

⇒ Abnahme des GA-Systems nur mit der aktuellsten Firmware (Automationsstationen) beziehungsweise Softwareversion (BBE, MBE), zumindest alle Security-relevante Updates, insbesondere die aktuellen Patches von Windows sowie die aktuellen Versionen der eingesetzten Softwaresysteme.

Vorgaben an die Umsetzung und Ausführung der Gebäudeautomationssysteme

⇒ Einrichtung physikalisch oder virtuell getrennte IP-Netzwerke für die Gebäudeautomation samt Absicherung besonders gefährdeter Netzwerksegmente durch Firewalls.

⇒ Gesicherter Zugriff für Fernwartung.

⇒ Festlegung eines Back-up Konzeptes für Automationsstationen und Managementebene samt Anweisungen für ein Recovery.

⇒ Physische Sicherung von Schaltschränken, Technikräumen etc. samt Deaktivierung von USB- oder Ethernet-Zugängen.

⇒ Malwareschutz und aktuellste Sicherheitspatches für Engineering-Werkzeuge.

⇒ Projektspezifische Anpassung der Zugriffsberechtigungen und Änderung der Passwörter (insbesondere auf Automationsstationen, BBE, MBE), Aktivierung von Auto-Logoff-Funktionen.

⇒ Nachhärtung der Systeme durch Deaktivierung beziehungsweise Löschung aller ungenutzter Dienste, physikalische Zugänge, Benutzerkonten, Prozesse und Programme (insbesondere auf Automationsstationen, BBE, MBE), Aktivierung von Auto-Logoff-Funktionen.

⇒ Erstellung der Arbeitsvorschriften und Verhaltensanweisungen zum dauerhaften Erhalt der IT-Sicherheit durch den Errichter (SOP = Standard Operating Procedure).

⇒ Erstellung und Übergabe einer GA-Netzwerk-Dokumentation mit Modellbezeichnungen der Komponenten, MAC-Adressen, Einbauort und Firmware Versionsständen.

⇒ IT-Sicherheitsschulung für die Bediener.

Vorgaben an den Betrieb der GA-Systeme

⇒ Individuelle Benutzernamen und Passwörter.

⇒ Regelmäßige security-relevante Updates/Upgrades (insbesondere von PCs, Servern und Routern), dabei Sicherstellung, dass Updates ausschließlich unverfälscht, von Quellen mit Zertifikat heruntergeladen werden.

⇒ Regelmäßige Back-ups von Anlagenprogrammierung, Konfiguration, Konfigurationsänderungen der MBE-Software sowie der gespeicherten Betriebsdaten.

⇒ Sicherstellung der Einhaltung der Arbeitsvorschriften und Verhaltensanweisungen samt regelmäßiger Aktualisierung des IT-Sicherheitskonzeptes im Rahmen der Wartung des GA-Systems.

⇒ Regelmäßige IT-Sicherheitsschulungen.

Zusammenfassung

Auch in der Gebäudeautomation gibt es keine 100-prozentige Sicherheit für Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Daten. Durch Vorgabe und Beachtung einfacher technischer und organisatorischer Maßnahmen kann jedoch ein gutes Sicherheitsniveau erreicht werden. Der konsequente Einsatz von BACnet ist dabei nur ein, wenn auch wichtiger Baustein für mehr Zukunftssicherheit.

Zusammenfassend folgende 5 Tipps:

1. Stellen Sie für jedes Gebäude den Schutzbedarf auf Basis einer Risikoanalyse fest. Dies müssen Fachplaner, Bauherr und Betreiber gemeinsam tun.

2. Machen Sie sich bewusst, dass GA-Systeme besonders verwundbar in Bezug auf die IT-Sicherheit sind, wobei die größten Risiken sich aktuell aus der Anbindung der Gebäudeautomation an das Internet ergeben, z. B. aufgrund von Cloud-Computing.

3. Machen Sie auf Basis eines Sicherheitskonzeptes konkrete IT-Sicherheits-Vorgaben für Planung, Umsetzung und Betrieb auf Basis der VDMA 24774. Auch vor dem Hintergrund des zunehmenden Cloud-Computing sollten für neu zu errichtende GASysteme und bei Sanierung vorhandener GA-Systeme verschlüsselte Protokolle wie BACnet gefordert werden.

4. Erlassen Sie Arbeitsvorschriften und Verhaltensanweisungen (Policies) zur Schadensvermeidung und Schadensminderung. Vereinbaren Sie Softwarepflege und Systemwartung zum regelmäßigen Schließen bekannter Sicherheitslücken.

5. Prüfen Sie im Zuge regelmäßiger Wartung nicht nur die Einhaltung der Policies, sondern auch die Aktualität des Sicherheitskonzeptes.

Relevanz

Cyberangriffe sind tägliche Realität. Eine Analyse des Digitalverbands Bitkom vom August 2024 ergab: 90 Prozent der deutschen Unternehmen wurden bereits Opfer einer Cyberattacke. Fast 267 Milliarden Euro Schaden verursachten Angriffe auf Unternehmen in den vergangenen zwölf Monaten. 45 Prozent der Befragten gaben an, mindestens einen Angriff China zuordnen zu können, gefolgt von Russland mit 39 Prozent. Etwa zwei von drei Unternehmen sehen durch Cyberattacken ihre Existenz bedroht, deutlich mehr als in den Jahren zuvor.

Die erweiterten NIS2 Richtlinien gelten bereits ab Oktober 2024 und betreffen nun auch kleinere Unternehmen, weitere Branchen und Lieferanten von KRITIS-Betreibern.