Gebäude sicher nach dem Stand der Technik betreiben – die 2 neuen Bausteine im IT-Grundschutz des BSI

Wenn in der Bauphase oder in der Modernisierungsphase eines Gebäudes nicht feststeht, welche Anforderungen von wem an das Technische Gebäudemanagement, die technische Gebäudeausrüstung oder die Gebäudeautomation gestellt werden, dann kann im Betrieb der tatsächliche Bedarf nicht erfüllt werden und es fehlen definierte Zielsetzungen und Ansprechpartner. 

Für den Betrieb und die Instandhaltung von Gebäuden ist oft eine größere Anzahl von Dienstleistern involviert. Dass Ansprechpartner, Zuständigkeiten, SLA nicht oder unzureichend dokumentiert sind, erschwert zeitnahe Reaktionen bei Systemausfällen, was Gefahren für Menschen verursacht. 

Fehlende Dokumentationen können auch hinsichtlich der Erneuerung von Sicherheitszertifizierungen problematisch sein, für die in manchen Sektoren eine gesetzliche Verpflichtung besteht. 

Wenn technische Schnittstellen zu Sicherheitssystemen wie beispielsweise zu Brandmeldeanlagen, Safety Instrumented Systems (SIS) und andere im TGM absichtlich oder unabsichtlich kompromittiert werden, dann kann dies schwerwiegende Folgen haben. Wenn sich Brandschutztüren bei Feuer nicht öffnen, können Menschen gefährdet werden, öffnen sich Brandschutztüren, ohne dass sie es sollen, können Unbefugte Zutritt ins Gebäude erlangen. 

Wenn das Monitoring der Technische Gebäudeausrüstung nicht oder unzureichend erfolgt, dann werden Fehlfunktionen im TGM nicht bemerkt und eine entsprechende Reaktion unterbleibt.  

Unberechtigte Zugriffe können erfolgen, wenn das Benutzer- und Berechtigungsmanagement im TGM nicht korrekt konzipiert und umgesetzt wird. 

Der Ist-Zustand eines Gebäudes ist neben der Bausubstanz auch für die Anlagen der Technischen Gebäudeausrüstung vorzunehmen. Dabei ist zu prüfen, ob die eingesetzten Systeme gehärtet und sicher konfiguriert sind.
Außerdem ist zu prüfen, wie aktuell und vollständig die Bestandsdokumentation ist.
Im Falle von Störungen kann damit wertvolle Zeit gespart werden

Es müssen die Rechte, Pflichten, Aufgaben und Befugnisse aller Nachfrager- und Betreiberorganisationen erfasst, geregelt, dokumentiert und die Dokumentation aktuell und verfügbar gehalten werden.

Bestandteil der Dokumentation müssen auch physische Zugänge und Fernzugänge für die Durchführung bestimmter Aufgaben wie Wartungsvorgänge durch externe Dienstleister sein.
Außerdem müssen Schnittstellen und Zuständigkeiten für Netze und Plattformen, die TGA und IT gemeinsam nutzen, geklärt und dokumentiert sein.
Weil die Dokumentation auch vertrauliche Daten beinhalten kann, ist dafür der Baustein ORP.4 (Identitäts- und Berechtigungsmanagement) zu berücksichtigen.

Die Dokumentation der Einrichtungen der TGA ist obligatorisch. Dazu gehören alle Daten und Pläne eines Gebäudes.

Pro Einrichtung ist eine Inventarisierung zu erstellen, die alle relevanten Systeme mit den verfügbaren Systeminformationen (Hersteller, Kommunikationsschnittstellen, Zugriffsmöglichkeiten, Systemstände) sowie Standort und weitere relevante Informationen beinhaltet.

Die Etablierung einer Sicherheitsrichtlinie für das TGM (INF.13.A4) und die Planung des Technischen Gebäudemanagements mittels Konzepts (INF.13.A5), das auf einer Anforderungsanalyse aufbaut, das sind grundlegende Maßnahmen für einen sicheren Betrieb. Im TGM-Konzept sollten die einzelnen Sicherheitsmaßnahmen ausgewiesen sein.

Bereits im Einkaufsprozess sollte darauf geachtet werden, dass Systeme, die vom TGM betrieben werden sollen, während der geplanten Nutzungsdauer sicherheitsrelevante Updates vom Hersteller beziehen können. Während des Einsatzes sollten bestimmte Maßnahmen ergriffen werden, die die Risiken minimieren, wie beispielsweise unsichere Protokolle nicht zu nutzen und nicht benötigte Dienste zu deaktivieren. Auch auf die Umstellung von der Default-Einstellung auf eine Passwort-basierte Nutzung sollte geachtet werden. (INF13.A11)

Die Konfiguration der Systeme sollte regelmäßig überprüft werden, um Störungen aufgrund fehlerhafter Konfigurationen auszuschließen. Änderungen sollten dem Betriebspersonal entsprechend bekanntgemacht werden. Vor der Inbetriebnahme sollten Konfigurationstests durchgeführt werden und für eine zentrale Speicherung der Konfiguration Sorge getragen werden. Software-Updates und Konfigurationen für gleichartige Systeme, auch für Automations- und Feldgeräte, sollten automatisiert verteilt werden.

Ungeplante Änderungen sollten durch ein geeignetes Rollen- und Berechtigungsmanagement sowie durch sichere Authentifizierung vermieden werden. Vor allem die vielen verschiedenen Rollen, die beim Betrieb von Gebäuden involviert sind, erfordern die Festlegung der Zugriffsmöglichkeit für die Rollen (nur lesend, Berechtigung für Änderung oder voller Zugriff)
(INF.13.A6, INF.13.A12, INF13A14)

Für die Systeme, die vom TGM verwaltet werden, sollte ein Inventar angelegt und gepflegt werden. Darin sollten Informationen zum Alter, Hersteller, Wartungsanforderungen, Zuständigkeiten und Verantwortlichkeiten gelistet sein. „Wünschenswert“ sind außerdem die Zugriffsmöglichkeiten auf die Systeme, die Kommunikationsschnittstellen sowie Informationen zur Konfiguration. (INF.13.A8)

Unsichere Systeme können externe Geräte wie Laptops sein, die während Wartungsvorgängen von einem Mitarbeiter eines Dienstleisters mit dem Netzwerk verbunden werden. Netzzugangskontrollen schränken die Kommunikation solcher Geräte ein und schützen das Netzwerk gegen unbefugte Zugriffe auf andere Bereiche.

Unsichere Systeme sind aber auch ungepatchte Bestandsanlagen, deren beschränkte Ressourcen oder Echtzeit-Anforderungen den Einsatz von Virenschutzprogrammen verhindern. Für diese Anlagen sollten wirksame Schutzmaßnahmen, wie sie Netzsegmentierung und der Einsatz von Firewalls bieten, angewendet werden. Updates, wo möglich, schützen Bestandssysteme vor Bedrohungen und Backups helfen beim schnellen Wiederherstellen, wenn Störfälle Ausfälle verursacht haben.
(INF.13A13, INF.13A14)

Trotz der Diversität und der großen Vielzahl sollte für so viele Systeme wie möglich, deren Betrieb das Technische Gebäudemanagement verantwortet, ein einheitliches Monitoring durchgeführt werden. Eine wichtige Hilfestellung bietet dafür ein vollständiges und aktualisiertes Inventar. Dafür sind die Werte, die überwacht werden sollen, festzulegen. Die Anforderungsanalyse im Beschaffungsprozess sollte die Anforderung enthalten, dass neue Systeme in die bestehende Monitoring-Lösung eingebunden werden und die Schnittstellen überwacht werden können.
Das bestehende Monitoring-Konzept sollte regelmäßig daraufhin überprüft werden, ob es dem Stand der Technik entspricht. (INF.13.A19)

Im Technischen Gebäudemanagement sollten sicherheitsrelevanter Ereignisse erfasst und dokumentiert werden. Bei der Übertragung von Protokollierungsdaten sollten sichere Wege eingehalten werden. (INF.13.A21)

Das TGM sollte ins Schwachstellenmanagement des Unternehmens integriert werden, so dass adäquat auf bekannt gewordene Schwachstellen reagiert werden und gegebenenfalls Patches eingespielt werden können.
Regelmäßig sollten im Technischen Gebäudemanagement Systemkonfigurationen daraufhin geprüft werden, ob sie bekannt gewordene Schwachstellen aufweisen oder anfällig für Schwachstellen sind. Dafür eignen sich Schwachstellen-Scans, die unübliche Netzaktivitäten und Abweichungen aufzeigen.

Bei der Identifizierung des Bestandes und des jeweiligen Software-Standes hilft das Inventar.

Für kritische und anfällige Systeme können die Schwachstellen-Scans in Testumgebungen vorgenommen werden.

Gravierende Schwachstellen sollten ins Risikomanagement aufgenommen werden.
(INF.13.A23)

Für Wartung und Reparatur sollten nicht nur die entsprechend festgelegten oder gegebenenfalls gesetzlich geforderten Fristen eingehalten werden. Es sollten Personalressourcen eingeplant werden, um Wartungsarbeiten, die durch Externe durchgeführt werden, zu autorisieren, zu überwachen, abzunehmen und zu dokumentieren. Wenn im Rahmen von Predictive Maintenance (vorausschauende Wartung) Künstliche Intelligenz (KI) eingesetzt wird, so sollte dies nur mit sicherer KI umgesetzt werden. Beim Hersteller sollten entsprechende sicherheitsrelevante Informationen zum Produkt eingeholt werden. (INF13.A17)

Für die Nutzung von Clouds im Technischen Gebäudemanagement sollte sichergestellt sein, dass die Kontrolle über die Prozesse beim TGM bleiben. Hier ist speziell der BSI Kriterienkatalog Cloud Computing relevant sowie der Baustein OPS.2.2

Sowohl für die Systeme des Technischen Gebäudemanagements als auch für die Systeme deren Betrieb die TGM verantwortet sollte eine Testumgebung aufgebaut werden, in der Hardware und Software vor der Inbetriebnahme oder bei Änderungen hinsichtlich Stabilität und Sicherheit getestet werden. Dies hilft, Fehler im produktiven Betrieb zu vermeiden, was vor allem vor dem Hintergrund der Betriebssicherheit (Safety) von großer Bedeutung ist.
Für Systeme, für die keine Testumgebung aufgebaut werden können, sollten andere Regelungen getroffen werden, was herausfordernd sein kann, weil Gebäude kaum je vollständig ungenutzt sind. (INF.13.A25)

BIM-Systeme und BIM-Daten sollten über eine 2-Faktor-Authentifizierung abgesichert werden oder über eine Verschlüsselung von Daten und Transportwegen. Auch ein eigenes BIM-Netzsegment stellt eine Möglichkeit der Absicherung für einen erhöhten Schutzbedarf dar.

Wenn im Unternehmen ein SIEM (Security Information and Event Management) vorhanden ist, dann sollten die Systeme der TGM und die Systeme, die durch das TGM verwaltet werden, in das SIEM integriert werden. (INF.13.A29)

Für die Systeme des TGM und für die Systeme, deren Betrieb das TGM verwaltet, sollten je nach Bedarf Pentests durchgeführt werden. Dies gilt auch für KI-Funktionen, die im TGM genutzt werden. Diese sollten als sicher eingestuft sein und nachweislich keine Daten in fremde oder nicht vertrauenswürdige Netze weiterleiten. (Inf.13.A30, INF.13.A28)

Cloud-Dienste zum TGM sollten über eine private Cloud bereitgestellt werden oder über einen vertrauenswürdigen Anbieter.

Personen- und Sachschäden können verursacht werden, wenn der Komplexität der Planung für die Gebäudeautomation nicht ausreichend Rechnung getragen wird. Zu berücksichtigen ist, dass es eine große Anzahl von Dienstleistern in Gebäuden gibt sowie TGA-Anlagen, die sehr heterogen aufgebaut sind.

Aufgrund der Tatsache, dass die GA übergreifend Anlagen steuert, kann ein Fehler in einer Anlage große Auswirkungen auf andere oder alle anderen Anlagen haben und die gesamte Gebäudeautomation behindern. Nötige Reaktionen können dann unterbleiben oder werden falsch ausgeführt, was Schäden verursachen kann.

Alte ungepatchte Bestandsanlagen in der Technischen Gebäudeausrüstung, die durch die GA gesteuert werden, verfügen meist nur über begrenzte Systemressourcen und entsprechen nicht mehr dem Stand der Technik. Solche Systeme weisen in der Regel viele Schwachstellen auf.

Weil ein Gebäude fast nie ungenutzt ist, können Konfigurationen vor der Inbetriebnahme oder nach Updates für alle Bereiche nicht immer ausreichend getestet werden. Fehlerhafte Konfigurationen können Betriebsabläufe stören, Zugänge in Bereiche gewähren, die beschränkt sind oder Sach- und Personenschäden verursachen.

Manipulationen von Schnittstellen zwischen Systemen der Gebäudeautomation und Anlagen der TGS bergen das Risiko, dass falsche Reaktionen ausgeführt werden. Als Beispiel ist eine manipulierte Brandmeldeanlage angeführt. Wenn sich Türen durch verfälschte Meldungen öffnen, können Unbefugte sich Zutritt zum Gebäude verschaffen.

Cyberangriffe können über drahtlose Kommunikationswege erfolgen, wenn die Zugänge ins Netz nicht ausreichend geschützt sind.

Ungesicherte Zugänge zu Bedienelementen können einen unbefugten Zugriff auf die Gebäudeautomation ermöglichen.

Permanent offene Mobilfunk-Schnittstellen von Komponenten auf der Automations- und Feldebene, über die Hersteller Daten von den Systemen ziehen, können ein Einfallstor für Angreifer darstellen.

Die Gebäudeautomation und wie ihr Betrieb sicher gestaltet wird, muss während der Planung eines Neubaus oder eines Umbaus berücksichtigt werden. Bei der Planung der Gebäudeautomation muss eine Spezifizierung der GA-Systeme erfolgen, die eingerichtet werden und ebenso der Umfang der automatisierten Steuerung der TGA-Anlagen.

Alle Festlegungen, die für die Inbetriebnahme eines Gebäudes und die Schnittstellen getroffen werden, müssen vollständig dokumentiert werden. Im Rahmen des Inbetriebnahme-Managements wird eine Koordination zwischen allen Beteiligten und der Vielzahl an unterschiedlichen Gewerken in der Bauphase sichergestellt.
Für Zugriffe auf die GA müssen die Anforderungen entsprechend der unterschiedlichen Aufgaben zahlreicher Rollen berücksichtigt werden, beispielsweise von Nutzern, internen und externen Betreiberorganisationen, externen Dienstleistern, Facility-Managern, Systemadministratoren und anderen. Konkret geht es um die Reihenfolgen für die Inbetriebnahme von TGA-Anlagen und für die Anbindungen an ein System der Gebäudeautomation und der GA-Systeme untereinander.

Aufgrund der großen Komplexität von Gewerken, Systemen und TGA-Anlagen sowie der Abhängigkeiten untereinander ist eine detaillierte Planung der Schnittstellen von wesentlicher Bedeutung.

Es muss festgelegt werden, welche Kopplung und welche Integration zwischen Systemen der GA und der TGA-Anlagen erlaubt sind und wie diese abzusichern sind. Die Festlegungen müssen vollständig dokumentiert werden und für die Ablauf- und Funktionsketten müssen umfassende Tests durchgeführt werden.

Gefahrenmeldeanlagen und Sicherheitsanlagen müssen an GA-Systeme gekoppelt werden und dürfen nicht integriert werden.

Komponenten und Zugänge müssen für die GA dokumentiert und die Dokumentation regelmäßig aktualisiert werden. Es müssen „alle deaktivierten physischen Kommunikationsschnittstellen, Protokolle und Zugänge bzw. Zugriffsmöglichkeiten zur GA dokumentiert werden.“ Das schließt die Abhängigkeiten ein sowie die Wechselwirkungen zwischen GA-relevanten Komponenten und Anlagen der Technischen Gebäudeausrüstung.

Es muss eine logische Netztrennung zwischen GA-Netzen und anderen Netzen der Organisation erfolgen und die Übergänge mit Firewall-Funktionalität gesichert werden. Die Kommunikation zwischen Systemen der Gebäudeautomation und anderen IT-Systemen muss geregelt und kontrolliert werden.

Wie im INF.13-Baustein, wird auch für die Gebäudeautomation empfohlen, eine Sicherheitsrichtlinie auf Basis der allgemeinen Sicherheitsrichtlinie zu erstellen und diese allen Beteiligten bekanntzumachen. (INF.14.A7)

Basierend auf der Sicherheitsrichtlinie der Gebäudeautomation sollte eine Anforderungsspezifikation sowohl für die GA insgesamt als auch für jedes GA-System erfolgen, das relevante Designaspekte und die Architekturanforderung für jedes GA-System vorgibt. Die Authentisierung von Komponenten, die in der GA eingesetzt werden, sollten mindestens in einem änderbaren Nutzernamen und einem änderbaren Passwort bestehen. (INF.14.A8)

Das übergeordnete GA-Konzept sollte eine detaillierte Ableitung von Sicherheitskonzepten für alle GA-Systeme ermöglichen. Darin sollten jeweils die Informationen zu allen TGA-Anlagen enthalten sein, die in das einzelne GA-System integriert werden. Außerdem sollten alle an das GA-System gekoppelten GA-Anlagen ausgewiesen werden sowie alle Komponenten, die für die GA relevant sind, samt der Kommunikationsverbindungen. (INF.14.A9)

Um die Ausbreitung von Störungen zu verhindern oder zu begrenzen, sollten für die Gebäudeautomation unabhängige Bereiche mit möglichst wenigen Abhängigkeiten gebildet werden, die einzeln und separat steuerbar sind. (INF.14.A20)

Das GA-Netz sollte segmentiert und die Netzübergänge mindestens mit Paketfiltern gesichert werden. (INF14.A.13)

Ethernet- und IP-basierte Komponenten, die für die GA relevant sind, sollten für Konfigurations-, Steuerungs- und Wartungszwecke über sichere Übertragungsprotokolle angesprochen werden, wenn die Kommunikation nicht über vertrauenswürdige Netzsegmente durchgeführt werden kann. In nicht vertrauenswürdigen Netzsegmenten sollte die Kommunikation zwischen den GA-Systemen über aktuelle Verschlüsselungsmechanismen erfolgen. (INF.14.A12)

Ein Identitäts- und Berechtigungsmanagement, wie es im Baustein ORP.4 beschrieben ist, sollte entsprechend den Anforderungen der Gebäudeautomation genutzt werden. Daei sollte eine Authentisierungslösung für die GA eingesetzt werden, die alle Komponenten anbindet, die für die Gebäudeautomation relevant sind, sowie ein Berechtigungsmanagement für die unterschiedlichen Rollen.

Es sollten in der GA keine Komponenten genutzt werden, die keinen Zugriffsschutz haben. (INF.14.A14)

Mechanismen für sichere Kommunikation, Authentisierung und Verschlüsselung in Netzen, die für die GA relevant sind, sollten genutzt werden. (INF.14.A15)

In Netzen mit drahtloser Kommunikation sollten die entsprechenden Schutzmechanismen für die Kommunikation verwendet werden sowie Authentisierung und Verschlüsselung auf der Luftschnittstelle umgesetzt werden (INF.14.A16)

Beim Einsatz von Mobilfunk in der GA, sollten die Schutzmechanismen dieser Mobilfunknetze angewendet werden. (A.14.A17)

Die Überwachung von Komponenten, die für die Gebäudeautomation relevant sind, sollte entsprechend des Monitoring-Konzeptes fortlaufend erfolgen, so dass Abweichungen vom gewünschten Zustand gemeldet werden können. (INF.14.A25)

Sicherheitsrelevante Ereignisse bei Komponenten, die für die GA relevant sind, sollten protokolliert werden. (INF.14.A27)

Die Übermittlung von Daten sollte ausschließlich über sichere Übertagungswege erfolgen.

Wie sich technische Defekte oder Angriffe auf eine TGA-Anlage oder ein GA-relevantes System auf andere auswirkt und wie die Folgen minimiert werden können, das sollte im Rahmen der Notfallplanung regelmäßig analysiert werden. Für den Fall, dass die GA-Systeme ausfallen, sollte eine Regelung für den Notfallbetrieb der TGA-Anlagen vorhanden sein.