BACnet/SC: Wie sicher macht es Ihre Gebäudeautomation wirklich?

Inhaltsverzeichnis

    In vielen Unternehmen steht die Gebäudeautomation noch nicht im Fokus von IT-Sicherheitskonzepten. Dabei hat sie weitreichende Abhängigkeiten in der Produktion und rückt mehr und mehr in den Fokus von Angreifern. Wir setzen unsere Artikelserie zur IT-Sicherheit in der Gebäudeautomation fort und betrachten das Rückgrat vieler moderner Gebäude: BACnet.

    Was für Smart Buildings und Smart Cities ein vielversprechender, zukunftsfähiger Standard ist, bedeutet für die IT vor allem veraltete Technik, die sich nur mit Aufwand in moderne Netzwerke integrieren lässt und ein ernstes Sicherheitsproblem darstellt. Das hat zur Entwicklung von BACnet Secure Connect (BACnet/SC) geführt, was zwar Besserung verspricht, aber auch falsche Erwartungen weckt.

    Wir beleuchten die technischen Hintergründe, zeigen, warum BACnet/SC ein wichtiger Schritt nach vorne ist, und hinterfragen: Wird Gebäudeautomation jetzt wirklich so sicher wie Online-Banking?

    Was ist BACnet?

    BACnet (Building Automation and Control Networks) ist das bekannteste und am meisten verbreitete Netzwerkprotokoll in der modernen Gebäudeautomation. Es spezifiziert herstellerunabhängig die Kommunikation zwischen Geräten auf allen Funktionsebenen:

    • Sensoren und Aktoren auf der Feldebene,
    • Regler auf der Steuerungsebene und
    • Gebäudeleittechnik und Visualisierungen auf der Managementebene.

    Es erlaubt damit eine einheitliche Sichtweise auf alle wichtigen Komponenten in der Gebäudeautomation, von Klima und Lüftung über Zugangskontrollen bis hin zu Kantinenkarten, vor allem über Hersteller und auch über Gewerke hinweg.

    Die Möglichkeit eines solchen einheitlichen Datenaustauschs ist der Hauptgrund, warum BACnet aus der Gebäudeautomation nicht mehr wegzudenken ist – und es wohl auch nicht so bald sein wird. Denn spricht man über Smart Buildings und Smart Cities, ist genau diese Kompatibilität hochrelevant: Wenn es keine geschlossene, zentrale Automationsanlage gibt, müssen sehr unterschiedliche Komponenten von verschiedenen Herstellern frei kombiniert werden können. BACnet ist ein offener Standard, der das relativ einfach und effizient ermöglicht.

    Der Fokus auf Interoperabilität zwischen Herstellern, Ebenen und Gewerken macht BACnet auch zu mehr als nur einem Protokoll: Für viele ist es ein Ansatz, um Gebäudeautomationsprojekte umzusetzen. Gleichzeitig ist es ein dazugehöriges Ökosystem von Methoden und Tools.

    Um zu sehen, wo der Haken ist, müssen wir technisch ein bisschen tiefer einsteigen und einen Blick auf das Thema Security werfen.

    BACnet zwischen IT und OT

    BACnet ist eigentlich darauf ausgerichtet, in gängige IT-Infrastrukturen integriert zu werden. Die Kommunikation zwischen Geräten folgt dem Client/Server-Modell, d.h. ein Gerät kann Requests an ein beliebiges anderes Gerät im Netzwerk senden, das dann mit der angeforderten Information antwortet. BACnet unterstützt für diese Kommunikation eine Reihe von Technologien, unter anderem das früher gängige Master-Slave/Token-Passing-Protokoll (BACnet/MSTP) und das heute übliche Internet Protocol über Ethernet (BACnet/IP).

    In der Praxis steht der Integration in die IT-Landschaft aber vor allem eines im Weg: BACnet wurde 1995 veröffentlicht und hat sich seitdem nur wenig weiterentwickelt, wodurch es nicht auf dem Stand ist, den die IT-Infrastruktur heute erwartet. Zum Beispiel erfordert BACnet/IP typischerweise statische IP-Adressen und kann nicht sonderlich gut mit DHCP oder anderen Steuerungsprotokollen umgehen, die in modernen Netzwerken zum Standard gehören. Außerdem bevorzugt BACnet/IP flache, unsegmentierte Netzwerke. Für die Verwendung von NAT und das Senden von Nachrichten über Subnetze hinweg benötigt man extra Gateways, die zusätzlichen Konfigurations- und Verwaltungsaufwand erzeugen.

    BACnet arbeitet außerdem mit Broadcasts und mit UDP als Transportprotokoll. Das macht nicht nur eine Anpassung an moderne Standards schwierig, sondern ist vor allem aus Sicherheitsperspektive kritisch. Denn Datenpakete werden unverschlüsselt an alle Teilnehmer des Netzwerks gesendet. Kann ein Angreifer sich in das Netzwerk einklinken, erhält er Einblick in die Nachrichten, die verschickt werden, kann analysieren, wie sie aufgebaut sind, und schließlich eigene, manipulierte Informationen und Befehle einspielen. Aufgrund fehlender Authentifizierung werden Geräte diese ungeprüft akzeptieren.

    BACnet hat damit die gleichen Sicherheitsprobleme wie Profinet, Ethercat, KNX, Modbus und andere offene Automationsprotokolle, die entweder kaum Sicherheitsfunktionen bieten oder deren Sicherheitsfunktionen deaktiviert werden, weil sie in der Praxis einem einfachen Setup oder Betrieb im Wege stehen.

    Auch wenn BACnet gerne IT sein wollte, in der Praxis ist es OT.

    Sicherheitsbetrachtung

    Um zu sehen, wie es um die Sicherheit Ihrer Gebäudeautomation bestellt ist, reicht es häufig, ein paar einfache Fragen zu stellen:

    • Bewertet das Sicherheitsmanagement Ihres Unternehmens auch den Zustand Ihrer Gebäude?
    • Enthält Ihre Gebäudeautomation Geräte oder HMIs, die mit dem Internet verbunden sind, z.B. um Fernzugriffe zu erlauben?
    • Wissen Sie, wie viele und welche Geräte das sind und wer darauf Zugriff hat? Wer spielt Updates und Patches ein?
    • Befinden sich diese Geräte in einem eigenen Netzwerk und hinter einer Firewall?
    • Erfolgt der Zugriff über ein VPN?
    • Können Sie überprüfen, wer gerade eine bestimmte Steuerung kontrolliert?
    • Sind Sie sicher, dass ein Ransomware-Befall in Ihrem Unternehmen nicht auch auf wichtige Alarmsysteme, Brandschutzklappen oder Notfalltüren übergreifen kann?

    Die Ursachen der Sicherheitsprobleme in der Gebäudeautomation sind nicht neu und meist die gleichen wie andernorts in der OT auch: Immer mehr Geräte sind mit dem Internet verbunden und plötzlich kann potentiell jeder darauf zugreifen. In der Gebäudeautomation können Einstiegspunkte sogar physisch zugänglich sein, zum Teil unbewacht in öffentlichen Bereichen, sei es ein Türschloss am Hintereingang oder ein Rauchmelder auf der Toilette im Eingangsbereich. Je nach Netzwerkarchitektur kann ein Zugriff darauf einem Angreifer bereits den Zugang zum gesamten Unternehmen ermöglichen, vor allem wenn unsichere Geräte und Teilnetze nicht sauber vom Unternehmensnetzwerk getrennt werden oder Zugänge nicht ausreichend geschützt sind. Außerdem sind Lebenszyklen in der Gebäudeautomation ähnlich lang wie in der Produktion, was dazu führt, dass veraltete Technik am Laufen gehalten werden muss und Betriebssysteme nicht gepatcht werden können.

    Die Gebäudeautomation war lange ein blinder Fleck, weil die involvierten Geräte und Funktionen nicht als kritisch, für Angreifer nicht interessant oder schlicht als nicht sichtbar genug angesehen wurden. Dabei zieht sich die Gebäudeautomation durch die gesamte physische Struktur des Unternehmens: Jede Produktionsanlage, jedes Büro, Rechenzentrum und Firmengebäude braucht Strom, Wasser und eine Klimasteuerung. BACnet wird auf fast allen Ebenen in der Gebäudeautomation eingesetzt und betrifft nicht nur scheinbar harmlose Komponenten wie die Heizung im Büro, sondern vitale Funktionalität wie die Kühlung eines Rechenzentrums oder die Steuerung von Notausgängen und Notfallsystemen. Die IT-Sicherheit der cyberphysischen Anlagen, die überall in Ihren Gebäuden verbaut sind, geht damit nahtlos über in die physische Sicherheit und Unversehrtheit Ihrer Mitarbeiter. Und oft ist es das Facility Management, das ohne die eigentlich nötige IT- und Sicherheitsexpertise das zugrundeliegende Netzwerk betreibt oder betreiben lässt.

    Für Angreifer stellt sich daher schon längst die Frage: Warum sich der gut gesicherten IT stellen, wenn die Schlupflöcher der Gebäudeautomation ein viel offeneres Einfallstor bieten? Warum die geschützten Dienste des Rechenzentrums angreifen, wenn ich das Rechenzentrum selber in Beschlag nehmen kann?

    Von BACnet zu BACnet/SC

    Um das mittlerweile veraltete BACnet-Protokoll an die moderne Welt anzupassen, wurde es in den letzten Jahren als BACnet Secure Connect (BACnet/SC) neu aufgebaut, mit dem Ziel, eine sichere Kommunikation zwischen Geräten zu ermöglichen – nicht nur innerhalb eines Gebäudes, sondern auch gebäudeübergreifend und in der Cloud, ausgerichtet an den Standards und Best Practices der IT.

    BACnet/SC ist IP-basiert, um in allen heute gängigen Netzwerkinfrastrukturen integriert werden zu können, so dass ein BACnet-System ohne viel Mehraufwand und Frustration von der IT mitverwaltet werden kann.

    Dabei wird die Abwärtskompatibilität mit BACnet-Bestandssystemen sichergestellt. An den BACnet-Nachrichten selber ändert sich nichts; es ändert sich vor allem die Art, wie sie übertragen werden: Die Kommunikation erfolgt über WebSockets und verwendet TLS, um die Datenübertragung zu verschlüsseln und Geräte zu authentifizieren.

    Im Gegensatz zu BACnet unterstützt BACnet/SC dynamische IP-Adressen und DHCP und erlaubt die Kommunikation über Subnetze hinweg, mit einer nahtlosen Überbrückung von NATs und Firewalls und vor allem ohne netzwerkweites Broadcasting. Was bedeutet, dass der Netzwerkverkehr nicht mehr mit Broadcasts an alle Teilnehmer belastet wird und damit einer Nutzung moderner Architekturen nichts mehr im Wege steht.

    BACnet/SC ist damit ein großer und wichtiger Schritt in Richtung IT-Akzeptanz und Sicherheit.

    Wie sicher macht BACnet/SC die Gebäudeautomation?

    Viele Sicherheitsprobleme der Gebäudeautomation sind sehr grundlegend. Sie bestehen in ungenügend sicheren Netzwerkarchitekturen, in langen Lebenszyklen, damit verbundenen Patching-Strategien und nicht zuletzt in dem Nebengleis, auf dem die Gebäudeautomation oft noch fährt. Ein Protokoll, egal wie fortgeschritten es ist, kann diese grundlegenden Probleme nicht lösen.

    Durch BACnet/SC lassen sich zwar Geräte und Netzwerke der Gebäudeautomation leichter in die moderne Infrastruktur der IT integrieren und besser absichern. Aber wiegen Sie sich nicht in falscher Sicherheit: Das “Secure” im Namen allein macht Ihre Gebäudeautomation nicht sicher – genauso wenig wie HTTPS allein dafür sorgen kann, dass Online-Banking sicher ist.  BACnet/SC sichert die Kommunikation zwischen Geräten ab, nicht die Geräte selber. Es ist daher in keiner Weise ein Ersatz für eine saubere Netzwerkarchitektur oder ein gut durchdachtes Asset– und Update-Management.

    BACnet/SC legt vor allem den Grundstein dafür, dass sich das BACnet-Protokoll innerhalb der modernen IT-Landschaft weiterentwickeln kann. Sein Erfolg wird maßgeblich von dieser Weiterentwicklung abhängen: Wenn BACnet/SC in 10 Jahren noch immer dasselbe Protokoll ist, wird es nicht der Beginn einer wunderbaren Freundschaft zwischen IT und OT sein, sondern dem gleichen Schicksal entgegengehen wie BACnet/IP.

    Handlungsempfehlung

    Dass BACnet/SC technisch sehr viel näher an die IT gerückt ist, bedeutet für Ihr Unternehmen vor allem eines: Der Einsatz von BACnet-Systemen benötigt IT-Expertise.

    Das muss keineswegs bedeuten, dass die Gebäudeautomation in die Unternehmens-IT eingegliedert wird. Es muss aber bedeuten, dass alle Beteiligten miteinander sprechen. Weiß die IT über die Gebäudeautomation und die dort betriebenen Systeme Bescheid, kann sie diese in Sicherheitsbetrachtungen einbeziehen, in der unternehmensweiten Netzwerkarchitektur entsprechend absichern und im täglichen Geschäft ein Auge darauf haben.

    Vor allem darf eine Umstellung auf BACnet/SC nie dazu führen, dass das Thema Sicherheit als erledigt angesehen wird. Solange die Gebäudeautomation kein fester Bestandteil Ihres Sicherheitsmanagements ist, ist in Ihrem Unternehmen weder umfassende IT-Sicherheit noch vollständige physische Sicherheit möglich – egal mit welchem Netzwerkprotokoll.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie die wichtigsten Erkenntnisse und Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung