Die Bedeutung der IT-Sicherheit in der Gebäudeautomation

Cyber-Angriff kann gravierende Folgen haben

Um moderne Smart Buildungs zu realisieren, werden immer mehr IT-Technologien eingesetzt – auch in der Gebäudeautomation. Neben den vielen Vorteilen ergeben sich daraus aber auch Risiken hinsichtlich der IT-Sicherheit. Diese muss über den gesamten Lebenszyklus eines Gebäudes sichergestellt werden, und die Verantwortung dafür liegt beim Bauherrn / Planer bzw. dem Betreiber.

Das Thema IT-Security ist nahezu omnipräsent. Je weiter die Digitalisierung in alle Lebensbereiche vordringt, desto häufiger stellt sich die Frage nach den Risiken durch Ausfälle, Datenlecks oder gezielte Angriffe auf Systeme. Die IT-Sicherheit soll Antworten liefern und Maßnahmen gestalten, die den genannten Gefahren entgegenwirken. Besondere Aufmerksamkeit erhält hierbei der Bereich der kritischen Infrastruktur. Die Vorstellung eines Blackouts in öffentlichen Versorgungssystemen ist ein Worst-Case-Szenario, dem sich die Bundesregierung z. B. mit der Novellierung des IT-Sicherheitsgesetzes intensiv widmet.

Man muss sich jedoch nicht erst die Konsequenzen eines Systemausfalls durch einen Hacker-Angriff auf die öffentliche Energieversorgung oder ein vergleichbar dramatisch filmreifes Ereignis vorstellen. Auch in Bürogebäuden oder Industriebetrieben können die Folgen eines solchen unerlaubten Zuganges durch Datenmanipulation oder Kontamination mit einer Malware bei der Gebäudeautomation zusätzliche Betriebskosten, den Ausfall von gebäudetechnischen Anlagen, ja sogar die Nichtnutzbarkeit von Büros und Produktionsstätten sowie Personenschäden bedeuten. Diese Folgen sind weitreichend genug, um Bauherrn, Planer und Betreiber zu einer intensiveren Auseinandersetzung mit dem Thema IT-Sicherheit in der Gebäudeautomation zu motivieren.

Jede digitale IT-Struktur ist angreifbar

Grundsätzlich muss jede digitale IT-Infrastruktur als angreifbar betrachtet werden. Dies gilt vor allem dann, wenn es sich um ein System mit Internetanbindung handelt, das nicht ausschließlich in einem abgeschlossenen lokalen Netzwerk Regelungsdaten und Steuerbefehle austauscht, sondern einen Zugriff von außen ermöglicht. Viele Anbieter von Lösungen in der Gebäudeautomation setzen auf Online-Datenaustausch und Cloudtechnologie, bspw. bei Fernwartungs- und Fernoptimierungslösungen. Aber ebenso dort, wo Systeme überwiegend lokal Daten austauschen, ist ein rein physischer Schutz nicht mehr ausreichend. Bereits die Verbindung aus der OT-Gebäudeautomation zu einem IT-Arbeitsplatzrechner mit Internetanbindung innerhalb einer Gebäudeinfrastruktur kann als Einfalltor für Cyber-Attacken mit Spionage und Sabotage missbraucht werden.

Die Folgen eines Cyber-Angriffs auf die Gebäudeautomation sind vielfältig und erscheinen nur auf den ersten Blick als harmlos. Ein Ausfall in der Raumklimatisierung oder Beleuchtung bedeutet nicht nur einen Komfortverlust. Er kann die Nutzung einzelner Räume oder eines kompletten Gebäudes - zumindest temporär - unmöglich machen. Dass ein solches Szenario mehr als nur wirtschaftliche Schäden verursachen kann, demonstriert exemplarisch ein Hacker-Angriff auf das Universitätsklinikum Düsseldorf im September 2020, in dessen Folge Operationen abgesagt und die gesamte Notaufnahme geschlossen werden musste.

„Die Verantwortung auch für die IT-Sicherheit einer Anlage in der Gebäudeautomation liegt im ersten Schritt bei dem Bauherrn / Planer und später beim Betreiber“, erläutert Dr. Andreas Wetzel, Technischer Leiter Gebäudeautomation bei Sauter Deutschland. Als Vorsitzender des VDMA AMG Arbeitskreis IT-Sicherheit in der Gebäudeautomation setzt sich Dr. Wetzel intensiv mit dem Thema IT-Security im Maschinen- und Anlagenbau auseinander und kommt in Bezug auf die Gebäudeautomation zu einem ernüchternden Urteil: „Es mangelt hier bisher am notwendigen Risikobewusstsein und Fachwissen in Bezug auf die Einbindung der Gebäudeautomation in eine Sicherheitsstrategie. Die Vorteile eines Smart Buildings in Bezug auf ­Komfort- und Energieeffizienzsteigerung sind leicht nachvollziehbar. Investoren, Bauherren und Planer müssen sich aber auch frühzeitig mit dem Thema IT-Sicherheit auseinandersetzen.“

IT-Sicherheit schon bei der Planung berücksichtigen

Die IT-Sicherheit ist ein Aspekt, der über den gesamten Lebenszyklus einer Immobilie betrachtet werden muss. Dies beginnt initial bei der Planung. Die dort geforderten Lösungen müssen bei der Produkt- und Herstellerauswahl berücksichtigt werden. Die geplanten IT-Sicherheitskonzepte sind bei der Inbetriebnahme umzusetzen und im folgenden Gebäudebetrieb weiter zu leben. Die IT-Bedrohungslage ändert sich kontinuierlich. Daher muss auch die IT-Sicherheit der Gebäudeautomation einer Immobilie während des Gebäudebetriebs kontinuierlich hinterfragt und bei Bedarf angepasst werden. Dies ist eine zusätzliche Aufgabe bei Service und Wartung.

„Es gibt inzwischen viele zuverlässige Lösungen, um Systeme in der Gebäudeautomation zu sichern“, erklärt Dr. Wetzel. So wurde bspw. der in der Gebäudeautomation verbreitete Kommunikationsstandard BACnet um einen zusätzlichen BACnet Secure Connect (BACnet/SC) Netzwerk-Layer erweitert. Sauter integriert diese BACnet/SC Kommunikation in die eigene „Modulo 6“-Baureihe und die „Vision Center“-Gebäudevisualisierung. Alle neuen Produkte des Anbieters werden nach den Vorgaben der Normenreihe IEC 62443-3-3 „Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme“ entwickelt und unterstützen „Security by Design“.

Darüber hinaus unterstützt das Unternehmen seine Kunden bei den alltäglichen Herausforderungen durch Aufbau und Aufrechterhaltung der Resilienz. So sind die neuen „Vision Services“-Clouddienste mit ihrer Online-Anbindung zwar einerseits prinzipiell eine Achillesferse, andererseits entbindet das Prinzip der gehosteten Software as a Service (SaaS) den Betreiber von der sensiblen Verantwortung für Sicherheitsupdates und die allgemeine Absicherung der sonst lokal angreifbaren Software. Außerdem bietet der Spezialist seinen Kunden in der Gebäudeautomation mit einem IT-Check die fachkundige Überprüfung der vorhandenen GA-Systeme und der genutzten IT-Infrastruktur auf Schwachstellen. „Zudem haben wir es uns zur Aufgabe gemacht, Kunden für das wichtige Thema der IT-Sicherheit in der Gebäudeautomation zu sensibilisieren. Wir begleiten Investoren, Bauherren und vor allem Planer bei allen Schritten auf dem Weg zum digitalen Gebäude und beraten auch im Bereich IT-Security“, beschreibt Dr. Wetzel.

x

Thematisch passende Artikel:

Ausgabe 7-8/2023

IT-Sicherheit in der Gebäudeautomation

Angriff kann gravierende Folgen haben

Smart Homes und Smart Buildings haben zahlreiche Vorteile, von der Energieeffizienz bis hin zum erhöhten Komfort. Was aber, wenn die Technik nicht so funktioniert, wie sie soll? Manchmal ist ein...

mehr
Ausgabe 06/2019

„BACnet Indoor Mobility“ und „Cyber Security”

26. und 27. September 2019/Frankfurt am Main   Am Frankfurter Flughafen dreht sich auf einer Zwillingskonferenz zur Gebäudeautomation alles um „BACnet Indoor Mobility“ und „Cyber Security“ im...

mehr
Ausgabe 05/2020

Gebäudeautomation mit System

IT-Sicherheit – eine Frage der Organisation

Der Wunsch nach Abschottung bei Gefahr liegt wohl in der Natur des Menschen. Egal ob in Politik, Wirtschaft oder Technik: Die Versuchung scheint groß, in großräumig vernetzten Strukturen wieder...

mehr
Ausgabe 09/2018

IT-Sicherheit in der Gebäudeautomation

Sicher vor Erpressung und Sabotage

Dass das iranische Atomprogramm [1] schlecht abgesichert war, wird wohl niemand behaupten. Das Mullah-Regime rechnete mit Militärschlägen und verlegte seine Uran-Anreicherungsanlagen in streng...

mehr
Ausgabe 09/2008

Security 2008

Vom 7. bis 10. Oktober 2008 trifft sich die Sicherheitsbranche auf der alle zwei Jahre stattfindenden Fachmesse „Security“ (www.security-essen.de) in Essen. Über 1100 Aussteller aus...

mehr