Seit einigen Jahren gerät die Gebäudeautomation zunehmend ins Visier von Hackern. Diese greifen immer öfter Hotels, Krankenhäuser und Produktionsanlagen an. Überraschend ist diese Entwicklung nicht, schließlich sind Millionen ungeschützter Geräte frei im Internet einsehbar.

Über Internetseiten wie censys.io ist es beispielsweise für jeden interessierten Nutzer möglich, Auskunft über mit dem Internet verbundene, ungesicherte Geräte zu erhalten. Adressen und Spezifikationen von Millionen ungeschützten Aktoren, Sensoren und Steuerungseinheiten sind dort aufgelistet. Ob mit kriminellen Hintergedanken oder aus Jux: Wer will, kann diese Devices ansteuern oder auslesen. Die Sicherheitslücke ergibt sich aus unstrukturierten Netzwerken, mangelhaft geschützten Schnittstellen zur IT und offenen Kommunikationsprotokollen, wie sie in der Gebäudeautomation üblich sind. Sichere Netzwerktechnik, eine dezentrale Topologie und IT-Sicherheitsstandards lösen dieses Problem der Gebäudeautomatisierung.

Offene Türen

Während die Kommunikation von Druckern, Telefonen, Servern und Computern klassischerweise über IP verläuft, kommunizieren die Geräte der Gebäudeautomation meist über eigens dafür angelegte Verkabelungen miteinander. In der Gebäudeautomation haben offene Protokolle die damals weit verbreiteten proprietären Systeme abgelöst. Dank BACnet, KNX, DALI oder LonMark tauschten Geräte der unterschiedlichsten Hersteller mit den verschiedensten Funktionen untereinander Informationen aus. Allerdings sind diese offenen Standards ursprünglich nicht dafür ausgelegt worden, einen Netzzugang zu haben. Dementsprechend sind sie gegen Bedrohungen wie Hackerangriffe oder Datendiebstahl per Trojaner nicht ausreichend geschützt.

Das große Problem sind die Schnittstellen zwischen Informations- und Automationsinfrastruktur. Offenen Protokollen im Bereich der Gebäudeautomation fehlen moderne Sicherheitsmechanismen. Daher ist, sobald das Informationsnetzwerk und das ungesicherte Automationsnetzwerk verknüpft sind, jedes angeschlossene Device eine potenzielle Schwachstelle. Zwar entwickeln verschiedenste Hersteller Bus-basierter Lösungen schützende Verfahren, aber in der Regel gilt: Ist eine Bedrohung erst einmal im System, hilft nur die Komplettabschaltung. Häufig ist das aber keine akzeptable Option.

Eine segmentierte Topologie mithilfe geschützter Switches ist für die Netzwerksicherheit auch in der Gebäudeautomation unerlässlich. Bild: Microsense

Da der Trend mit IoT/IIoT (Internet of Things/Industrial Internet of Things) und M2M (Machine to Machine) immer weiter in Richtung einer vollständig vernetzten Welt geht, ist eine Kommunikationsinfrastruktur nötig, die absolut zugriffsgeschützt ist. Die IT sieht sich im Gegensatz zur Gebäudeautomation schon seit Jahrzehnten mit unberechtigten Zugriffsversuchen konfrontiert. Dementsprechend haben sich dort hohe Sicherheitsstandards etabliert.

Das Internet-Protokoll (IP) ist der wohl am meisten verwendete Kommunikationsstandard der Welt, ob im privaten oder Geschäftsbereich, ob für interne oder externe Datenübermittlung. IP bringt neben der Möglichkeit, nahezu unendlich viele Netzwerkadressen miteinander zu verbinden, erprobte Sicherheitsfunktionen wie Authentifizierung, Autorisierung und Verschlüsselung mit. Das Internet-Protokoll eignet sich somit nicht nur für die Kommunikation zwischen Computern, Druckern oder Telefonen, sondern auch hervorragend für eine sichere Gebäudeautomation.

Maximale Segmentierung

Mit der Segmentierung des Netzwerks kann der Administrator den Problemen, die durch eine Überschneidung der verschiedenen Infrastrukturen entstehen, effektiv entgegenwirken. Über Switches mit gesicherten Ports lassen sich bestimmte Teile der Infrastruktur segmentieren, um auf diese Weise das Schadpotenzial eines möglichen Angriffs zu minimieren. Dabei trennt der Verantwortliche die Infrastrukturen sowohl physisch über Ports als auch logisch über Firewalls voneinander. Dadurch kann er größere Schäden trotz der Verwendung offener Protokolle auf der Feld- beziehungsweise Automationsebene (Sensoren, Türsteuerungen, Rauchabzüge) verhindern. Auf diese Weise ist es außerdem ohne entsprechende Zugriffsberechtigung unmöglich, sich zwischen den Infrastrukturen zu bewegen. Schäden begrenzen sich somit auf einen kleinen Anteil der Automations- oder Informationsstrukturen.

Ein aussichtsreicher Lösungsansatz, um die Sicherheitslücken der Gebäudeautomatisierung zu schließen, ist die Verwendung einer maximal segmentierten Infrastruktur für die Gebäudeautomation in Verbindung mit dem Internet-Protokoll als geschützten Kommunikationsstandard. Möglich wird dies beispielsweise durch intelligente Netzwerk-Switches, die man direkt im Raum installiert. Die Einbindung aller Geräte auf Aktor-Sensor-Ebene sowie deren Bedienung über WLAN-fähige Endgeräte wie Tablets oder Smartphones erfolgt etwa über entsprechende Gateways.

Microsense installiert beispielsweise eine spezielle Firmware direkt auf den hauseigenen intelligenten Switches, die die unterschiedlichen Gewerke der Gebäudeautomation steuert und den Informationsfluss verschlüsselt. Da die Kommunikation vollständig über IP verläuft, ist bei einem solchen Ansatz außer Ethernet beziehungsweise Glasfaser, das in den meisten modernen Gebäuden bereits vorhanden ist, keine weitere Verkabelung nötig. Zusätzlicher Installationsaufwand bleibt somit ebenso erspart wie Verkabelungen und gesonderte Technikräume auf Etagenebene. Ein weiterer Vorteil ist, dass die Gebäudeautomation dadurch von den hohen Sicherheitsstandards der IT wie Authentifizierung, Autorisierung und Verschlüsselung profitiert.

Das Problem
Bei offenen Kommunikationsstandards der Gebäudeautomation ist die Kommunikation zwischen zu steuernden Aktoren und Sensoren aufgrund fehlender Authentifizierungs- und Autorisierungsmechanismen nur unzureichend kontrolliert. Anfangs gab es keinen Grund, sogenannte Bus-basierte Lösungen besonders zu sichern. Denn diese sammelten weder Daten noch werteten sie diese aus. Mittlerweile sind die Aktoren und Sensoren intelligenter und immer mehr dieser Geräte miteinander verbunden. Zudem übertragen sie zunehmend mehr kritische Informationen. Dies erhöht die Gefahr eines Angriffs, da sie dadurch auch interessanter für Kriminelle werden. Mit der richtigen Hard- und Software kann sich ein Angreifer schnell über eine Schwachstelle wie beispielsweise einen Lichtschalter einklinken und so jedes verbundene Gerät manipulieren. Die einzige Lösung in diesem Fall ist eine vollständig isolierte Automationsinfrastruktur. Dieser Ansatz wird den Interoperabilitätsansprüchen moderner Gebäude allerdings nicht gerecht.

Eine dezentraler Vernetzungsansatz vermeidet außerdem die Abhängigkeit von einer zentralen Steuerung. Ausfälle und Defekte betreffen somit immer nur kleine Einheiten oder den einzelnen Raum. Das Unternehmen als Ganzes bleibt arbeitsfähig. Ausfälle auf zentraler Ebene wie beispielsweise des Gebäudeverteilers lassen sich durch Teilautonomie des dezentralen Systems kompensieren.

Steuerung über Software

Die Steuerungsaufgabe der verbundenen Gebäudetechnik übernimmt beispielsweise bei der Microsense-Lösung die direkt auf den Switches installierte Software. Beleuchtung, Verschattung, Heizung, Klimatisierung, Zugangskontrolle oder Zeiterfassung lassen sich darüber einbinden und durch weitere Services ergänzen. Die Software nimmt alle für die Gebäudeautomation notwendigen Einstellungen am Switch bei Inbetriebnahme vor. Für zusätzliche Abhör- und Zugriffssicherheit der Gebäudeautomation richtet sie ebenfalls eigenständig ein virtuelles lokales Netzwerk (VLAN) ein. Dies ermöglicht auch eine dynamische Port-Zuordnung aller angeschlossenen Aktoren, Sensoren und Endgeräte. Die Software fungiert dadurch als weitere Sicherheitsschranke.

Nikolaos Zacharias, Leiter Smart Building Solutions bei Microsens, www.microsens.com/de.