Gebäude sicher nach dem Stand der Technik betreiben – die 2 neuen Bausteine im IT-Grundschutz des BSI

Inhaltsverzeichnis

    Gebäude als zweckgebundene Bauwerke gehören in fast alle Bereiche unseres täglichen Lebens und Arbeitens. Dass ein Gebäude auch betrieben wird, diese Vorstellung ist im Zeitalter von Smart Home längst naheliegend. Dementsprechend halten innovative Technologien nicht nur in Fertigungseinheiten in den Produktionshallen Einzug, sondern genauso in technischen Einrichtungen, die im Gebäude selbst verbaut sind. Dazu gehören beispielsweise Heizungs- und Lüftungsanlagen, Aufzugsanlagen und sicherheitsrelevante Systeme wie Brandschutztüren und Alarmsysteme.

    Den Einsatz neuer Technologien in der Gebäudeautomation absichern

    Der Einsatz von IIoT-Komponenten nimmt auch in Gebäudesteuerungen immer mehr zu, weil über die Auswertung von Sensordaten beispielsweise der Ressourceneinsatz zum Betrieb eines Gebäudes optimiert werden kann. Darüber hinaus gibt es viele andere Mehrwerte, die datenbasierte Anwendungen heute bieten. Um einen nachhaltigen Nutzen aus den neuen Technologien generieren zu können, müssen die Basis-Infrastrukturen gehärtet sein. In der Gebäudeautomation wird zwar Technik eingesetzt, die auch in der klassischen IT verwendet wird. Aber anders als in der IT hat eine Professionalisierung der IT-Infrastrukturen und Systeme, die für den Betrieb von Gebäuden eingesetzt werden, noch nicht stattgefunden. Das lag auch nie im Aufgabenbereich des Facility Managements oder der Gebäudebetreiber.

    Die Haustechnik muss nicht nur funktionieren, damit die Gebäudenutzung gewährleistet ist. Ihr Betrieb muss auch sicher sein, um Schaden für Menschen und Umwelt zu vermeiden (Safety). 

    Quelle: SI | Sichere Industrie GmbH

    Vernetze IT-Komponenten, die in der Gebäudeautomation verbaut sind, sind über das Internet erreichbar. Sie können von Cyberkriminellen als Einfallstor genutzt werden, um davon ausgehend das Unternehmensnetzwerk zu kompromittieren. Die Absicherung der IT-Infrastruktur in der Gebäudeautomation ist daher genauso wichtig und dringend, wie für andere OT-Bereiche eines Unternehmens. Diese Erkenntnis war über lange Zeit nicht selbstverständlich; die Gebäudeautomation wurde in den Schutzkonzepten der Unternehmen bisher oft nicht ausreichend berücksichtigt. 

    Dies ändert sich gerade. Dass die Gebäudeautomation bei der Sicherheitsbetrachtung mehr in den Fokus rückt, dafür sorgt auch der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die aktuelle Ausgabe des IT-Grundschutz-Kompendiums, die am 1. Februar veröffentlicht wurde, enthält zwei neue Bausteine mit Umsetzungshinweisen, die in Kontext Security für Gebäudeautomation relevant sind. Wir stellen Ihnen die wesentlichen Inhalte vor. 

    Besondere Anforderungen für die Gebäudeautomation

    Betrachten wir zunächst die besondere Ausgangslage, die sich für die Gebäudeautomation und in der Folge für ein wirksames Sicherheitskonzept ergibt.

    Viele Ausprägungen von Gebäuden und ein großer Kreis involvierter Gewerke

    Anders als in den meisten anderen OT-Bereichen gibt es für Gebäude einen umfangreichen Kreis an involvierten Gewerken und eine große Vielfalt an Gebäudearten und ihrer Nutzung. Gebäude sind nicht nur Bürogebäude, Werkhallen und Mietshäuser, sondern auch Fernsehtürme, Raffinerien und Schwimmbäder. Bei den meisten Gebäudearten im Industrieumfeld bestehen wesentliche Abhängigkeiten zwischen der Gebäudeautomation und der Produktion, so dass die Anlagenverfügbarkeit eng mit robusten IT-Infrastrukturen in der Gebäudeautomation verknüpft ist. 

    Wer Gebäude nutzt und für die einzelnen Bestandteile und Ausrüstungen zuständig ist, das ist oftmals eine Gemengelage mit vielen Verflechtungen. Für verschiedene Gewerke können unterschiedliche Betreiber zuständig sein, so dass die Zuständigkeit für die Aufrechterhaltung und für die Absicherung des Betriebs bei vielen unterschiedlichen Parteien liegen kann.

    Im IT-Grundschutz-Kompendium wird für diese unterschiedlichen involvierten Parteien der Begriff “Nachfrageorganisation” verwendet. Nachfrageorganisationen sind interne und externe Organisationseinheiten, die Anforderungen an das Technische Gebäudemanagement, die Technische Gebäudeausrüstung und die Gebäudeautomation stellen. 

    Technische Ausgangssituation 

    Weil immer mehr Datenaustausch stattfindet, steigt die Zahl der Netzübergänge zwischen der Technischen Gebäudeausstattung und anderen OT-Bereichen sowie der IT. Weil auch die Gebäudeautomation permanent verfügbar sein muss, können Instandhaltungsmaßnahmen und System-Updates meist nur während des laufenden Betriebes durchgeführt werden und die Möglichkeiten, umfangreiche Tests durchzuführen, sind eingeschränkt. Gleichwohl gelten für die technischen Systeme der Gebäudeautomation dieselben Schutzziele, wie für andere OT-Bereiche, nämlich Verfügbarkeit, Integrität und Vertraulichkeit.

    Safety-Aspekte 

    Das einwandfreie Funktionieren der technischen Systeme, die für den Betrieb von Gebäuden eingesetzt werden, sind nicht nur hinsichtlich des Nutzungszweckes des Gebäudes relevant. Ihr Ausfall kann große Gefahren für die Sicherheit von Menschen bedeuten. Dieser Aspekt ist beim sicheren Betrieb von Gebäuden von besonderer Bedeutung.

    IT-Grundschutz als Leitfaden für Informationssicherheit 

    Der IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) bietet einen kostenlosen und frei zugänglichen Leitfaden für Unternehmen, die Informationssicherheit aufbauen, aufrechterhalten und verbessern wollen. Die Inhalte werden regelmäßig aktualisiert und weisen den Stand der Technik auf. Dadurch kann das angestrebte Sicherheitsniveau jeweils an die bestehende Gefährdungslage angepasst werden. Unternehmen können für ihre individuelle Situation passende Sicherheitsmaßnahmen identifizieren und strukturiert umsetzen, und zwar mit einem ganzheitlichen Ansatz für technische, organisatorische, personelle und infrastrukturelle Aspekte. 

    Im IT-Grundschutz-Kompendium, das jährlich aktualisiert erscheint, behandeln Prozess-Bausteine und System-Bausteine aktuelle Gefährdungen in allen Bereichen von Unternehmen und definieren darauf abgestimmte Anforderungen für die Informationssicherheit. Die Umsetzungshinweise für die einzelnen Bausteine bieten praktische Anleitung für die erfolgreiche Anwendung. 

    Einen Überblick über den IT-Grundschutz geben wir in unserem Artikel zum Thema.

    Neue INF-Bausteine im Kontext Gebäudemanagement und Gebäudeautomation

    INF-Bausteine gehören zu den Systembausteinen, sie behandeln Themenbereiche der Infrastruktur, aber sie stehen nicht isoliert für sich. Besteht die Infrastruktur für eine spezielle Sicherheitsbetrachtung auch aus Systemen, die der industriellen IT oder der IT zugerechnet werden, so sind auch beispielsweise die entsprechenden IND- (Industrielle IT) und SYS(IT-Systeme)-Bausteine zu berücksichtigen. 

    Informationssicherheit wird ganzheitlich betrachtet. Deswegen sind auch Prozess-Bausteine für den Betrieb und andere Bereiche zu berücksichtigen. Geht es um Fernwartungszugänge, so ist beispielsweise der Baustein OPS.1.2.3 (Betrieb) und IND.3.2 für Fernwartung im industriellen Umfeld relevant. Außerdem sind Bausteine für den Bereich Organisation und Personal (ORP) wichtig, um zum Beispiel das Identitäts- und Berechtigungsmanagement abzudecken. 

    Klärung der Begrifflichkeiten

    Technisches Gebäudemanagement und Technische Gebäudeausrüstung

    Der Verantwortungsbereich des TGM (Technisches Gebäudemanagement) ist in der DIN 32736 festgelegt. Im Mittelpunkt stehen Betrieb und Bewirtschaftung der baulichen und technischen Anlagen eines Gebäudes mit der Zielsetzung, die technischen Funktionen und die Verfügbarkeit zu erhalten.

    Das Technische Gebäudemanagement hat folgende Aufgaben:

    • Betrieb
    • Dokumentation
    • Instandhaltung
    • Umwelt- und Energiemanagement
    • Informationsmanagement
    • Modernisierung, Sanierung, Umbauten
    • Versorgung

    Die grundlegende technische Funktion des Gebäudes stellt das Technische Gebäudemanagement mit Hilfe der Technischen Gebäudeausrüstung (TGA) sicher. Laut VDI 4700 Blatt 1 zählen zur Technischen Gebäudeausrüstung „alle im Bauwerk eingebauten und damit verbundenen technischen und nutzungsspezifischen Einrichtungen sowie technische Einrichtungen in Außenanlagen und Ausstattungen“. Das Technische Gebäudemanagement ist für den Betrieb, die Pflege und die Weiterentwicklung der Technischen Gebäudeausrüstung zuständig.

    Gebäudeautomation

    Wenn der Betrieb der Technischen Gebäudeausrüstung automatisiert und gewerkübergreifend realisiert wird, dann erfordert dies eine entsprechende technische Infrastruktur. Diese technische Infrastruktur wird durch die Gebäudeautomation gestellt. Die Gebäudeautomation (GA) wird im IT-Grundschutz-Kompendium als „zentrales Werkzeug des TGM“ bezeichnet. Die Zielsetzung für die Gebäudeautomation kann in der Sicherung der Funktionalität, einer nachhaltigen Energieeffizienz, in Sicherheit, und anderen liegen.

    Die Aufgaben der Gebäudeautomation umfasst folgende Themen:

    • Automatisiertes Messen, Steuern, Regeln und Leiten (MSRL)
    • Unterstützung von Monitoring, Diagnose, Optimierung
    • Bedienung und Management der Technischen Gebäudeausrüstung eines Gebäudes

    Ein Gebäude kann über mehrere GA-Systeme verfügen, die entweder unabhängig voneinander oder gemeinsam betrieben werden.

    Die Gebäudeautomation nutzt Techniken aus der herkömmlichen IT und aus der industriellen Automatisierungs- und Prozessleittechnik.

    Quelle: Umsetzungshinweise zum Baustein INF.14 Gebäudeautomation – Bundesamt für Sicherheit in der Informationstechnik

    Baustein INF.13: Technisches Gebäudemanagement

    Die Zielsetzung des Bausteins INF.13 besteht darin, “Informationssicherheit als integralen Bestandteil bei Planung, Umsetzung und Betrieb im Rahmen des TGM zu etablieren.”

    Gefährdungslage

    Folgende typische Szenarien weist der Baustein INF.13 als Gefährdungen für das Technische Gebäudemanagement aus:

    Planung TGM: Fehlende Grundlagen

    Wenn in der Bauphase oder in der Modernisierungsphase eines Gebäudes nicht feststeht, welche Anforderungen von wem an das Technische Gebäudemanagement, die technische Gebäudeausrüstung oder die Gebäudeautomation gestellt werden, dann kann im Betrieb der tatsächliche Bedarf nicht erfüllt werden und es fehlen definierte Zielsetzungen und Ansprechpartner. 

    Mangelnde TGM-Dokumentation

    Für den Betrieb und die Instandhaltung von Gebäuden ist oft eine größere Anzahl von Dienstleistern involviert. Dass Ansprechpartner, Zuständigkeiten, SLA nicht oder unzureichend dokumentiert sind, erschwert zeitnahe Reaktionen bei Systemausfällen, was Gefahren für Menschen verursacht. 

    Fehlende Dokumentationen können auch hinsichtlich der Erneuerung von Sicherheitszertifizierungen problematisch sein, für die in manchen Sektoren eine gesetzliche Verpflichtung besteht. 

    Kompromittierung von Schnittstellen 

    Wenn technische Schnittstellen zu Sicherheitssystemen wie beispielsweise zu Brandmeldeanlagen, Safety Instrumented Systems (SIS) und andere im TGM absichtlich oder unabsichtlich kompromittiert werden, dann kann dies schwerwiegende Folgen haben. Wenn sich Brandschutztüren bei Feuer nicht öffnen, können Menschen gefährdet werden, öffnen sich Brandschutztüren, ohne dass sie es sollen, können Unbefugte Zutritt ins Gebäude erlangen. 

    Monitoring der TGA nicht ausreichend

    Wenn das Monitoring der Technische Gebäudeausrüstung nicht oder unzureichend erfolgt, dann werden Fehlfunktionen im TGM nicht bemerkt und eine entsprechende Reaktion unterbleibt.  

    Rollen- und Berechtigungsmanagement 

    Unberechtigte Zugriffe können erfolgen, wenn das Benutzer- und Berechtigungsmanagement im TGM nicht korrekt konzipiert und umgesetzt wird. 

    Anforderungen 

    Für die beschriebene Gefährdungslage sind drei Basis-Anforderungen für Informationssicherheit im Baustein formuliert. Diese MÜSSEN umgesetzt werden, um eine grundlegende Absicherung aller Geschäftsprozesse nach dem IT-Grundschutz und damit nach dem Stand der Technik zu erreichen. Wie die Umsetzung erreicht wird, ist in den Umsetzungshinweisen zum Baustein ausführlich erläutert.

    INF.13.A1 – Beurteilung des Ist-Zustands bei der Übernahme bestehender Gebäude

    Der Ist-Zustand eines Gebäudes ist neben der Bausubstanz auch für die Anlagen der Technischen Gebäudeausrüstung vorzunehmen. Dabei ist zu prüfen, ob die eingesetzten Systeme gehärtet und sicher konfiguriert sind.
    Außerdem ist zu prüfen, wie aktuell und vollständig die Bestandsdokumentation ist.
    Im Falle von Störungen kann damit wertvolle Zeit gespart werden

    INF.13.A2 Regelung und Dokumentation von Verantwortlichkeiten und Zuständigkeiten im Gebäude

    Es müssen die Rechte, Pflichten, Aufgaben und Befugnisse aller Nachfrager- und Betreiberorganisationen erfasst, geregelt, dokumentiert und die Dokumentation aktuell und verfügbar gehalten werden.

    Bestandteil der Dokumentation müssen auch physische Zugänge und Fernzugänge für die Durchführung bestimmter Aufgaben wie Wartungsvorgänge durch externe Dienstleister sein.
    Außerdem müssen Schnittstellen und Zuständigkeiten für Netze und Plattformen, die TGA und IT gemeinsam nutzen, geklärt und dokumentiert sein.
    Weil die Dokumentation auch vertrauliche Daten beinhalten kann, ist dafür der Baustein ORP.4 (Identitäts- und Berechtigungsmanagement) zu berücksichtigen.

    INF.13.A3 Dokumentation von Gebäudeeinrichtungen

    Die Dokumentation der Einrichtungen der TGA ist obligatorisch. Dazu gehören alle Daten und Pläne eines Gebäudes.

    Pro Einrichtung ist eine Inventarisierung zu erstellen, die alle relevanten Systeme mit den verfügbaren Systeminformationen (Hersteller, Kommunikationsschnittstellen, Zugriffsmöglichkeiten, Systemstände) sowie Standort und weitere relevante Informationen beinhaltet.

    In den Standard-Anforderungen (INF.13.A4 bis INF.13A24) sind Maßnahmen beschrieben, die gemeinsam mit den Basis-Anforderungen angewendet werden SOLLTEN, um dem Stand der Technik zu erreichen.
    Folgende Themen sind in den einzelnen Anforderungen beschrieben:

    Sicherheitsrichtlinien und TGM-Konzept

    Die Etablierung einer Sicherheitsrichtlinie für das TGM (INF.13.A4) und die Planung des Technischen Gebäudemanagements mittels Konzepts (INF.13.A5), das auf einer Anforderungsanalyse aufbaut, das sind grundlegende Maßnahmen für einen sicheren Betrieb. Im TGM-Konzept sollten die einzelnen Sicherheitsmaßnahmen ausgewiesen sein.

    Härtung von Systemen

    Bereits im Einkaufsprozess sollte darauf geachtet werden, dass Systeme, die vom TGM betrieben werden sollen, während der geplanten Nutzungsdauer sicherheitsrelevante Updates vom Hersteller beziehen können. Während des Einsatzes sollten bestimmte Maßnahmen ergriffen werden, die die Risiken minimieren, wie beispielsweise unsichere Protokolle nicht zu nutzen und nicht benötigte Dienste zu deaktivieren. Auch auf die Umstellung von der Default-Einstellung auf eine Passwort-basierte Nutzung sollte geachtet werden. (INF13.A11)

    Sichere Konfiguration

    Die Konfiguration der Systeme sollte regelmäßig überprüft werden, um Störungen aufgrund fehlerhafter Konfigurationen auszuschließen. Änderungen sollten dem Betriebspersonal entsprechend bekanntgemacht werden. Vor der Inbetriebnahme sollten Konfigurationstests durchgeführt werden und für eine zentrale Speicherung der Konfiguration Sorge getragen werden. Software-Updates und Konfigurationen für gleichartige Systeme, auch für Automations- und Feldgeräte, sollten automatisiert verteilt werden.

    Ungeplante Änderungen sollten durch ein geeignetes Rollen- und Berechtigungsmanagement sowie durch sichere Authentifizierung vermieden werden. Vor allem die vielen verschiedenen Rollen, die beim Betrieb von Gebäuden involviert sind, erfordern die Festlegung der Zugriffsmöglichkeit für die Rollen (nur lesend, Berechtigung für Änderung oder voller Zugriff)
    (INF.13.A6, INF.13.A12, INF13A14)

    Inventarisierung

    Für die Systeme, die vom TGM verwaltet werden, sollte ein Inventar angelegt und gepflegt werden. Darin sollten Informationen zum Alter, Hersteller, Wartungsanforderungen, Zuständigkeiten und Verantwortlichkeiten gelistet sein. „Wünschenswert“ sind außerdem die Zugriffsmöglichkeiten auf die Systeme, die Kommunikationsschnittstellen sowie Informationen zur Konfiguration. (INF.13.A8)

    Schutz für unsichere Systeme

    Unsichere Systeme können externe Geräte wie Laptops sein, die während Wartungsvorgängen von einem Mitarbeiter eines Dienstleisters mit dem Netzwerk verbunden werden. Netzzugangskontrollen schränken die Kommunikation solcher Geräte ein und schützen das Netzwerk gegen unbefugte Zugriffe auf andere Bereiche.

    Unsichere Systeme sind aber auch ungepatchte Bestandsanlagen, deren beschränkte Ressourcen oder Echtzeit-Anforderungen den Einsatz von Virenschutzprogrammen verhindern. Für diese Anlagen sollten wirksame Schutzmaßnahmen, wie sie Netzsegmentierung und der Einsatz von Firewalls bieten, angewendet werden. Updates, wo möglich, schützen Bestandssysteme vor Bedrohungen und Backups helfen beim schnellen Wiederherstellen, wenn Störfälle Ausfälle verursacht haben.
    (INF.13A13, INF.13A14)

    Monitoring und Protokollierung

    Trotz der Diversität und der großen Vielzahl sollte für so viele Systeme wie möglich, deren Betrieb das Technische Gebäudemanagement verantwortet, ein einheitliches Monitoring durchgeführt werden. Eine wichtige Hilfestellung bietet dafür ein vollständiges und aktualisiertes Inventar. Dafür sind die Werte, die überwacht werden sollen, festzulegen. Die Anforderungsanalyse im Beschaffungsprozess sollte die Anforderung enthalten, dass neue Systeme in die bestehende Monitoring-Lösung eingebunden werden und die Schnittstellen überwacht werden können.
    Das bestehende Monitoring-Konzept sollte regelmäßig daraufhin überprüft werden, ob es dem Stand der Technik entspricht. (INF.13.A19)

    Im Technischen Gebäudemanagement sollten sicherheitsrelevanter Ereignisse erfasst und dokumentiert werden. Bei der Übertragung von Protokollierungsdaten sollten sichere Wege eingehalten werden. (INF.13.A21)

    Schwachstellenmanagement

    Das TGM sollte ins Schwachstellenmanagement des Unternehmens integriert werden, so dass adäquat auf bekannt gewordene Schwachstellen reagiert werden und gegebenenfalls Patches eingespielt werden können.
    Regelmäßig sollten im Technischen Gebäudemanagement Systemkonfigurationen daraufhin geprüft werden, ob sie bekannt gewordene Schwachstellen aufweisen oder anfällig für Schwachstellen sind. Dafür eignen sich Schwachstellen-Scans, die unübliche Netzaktivitäten und Abweichungen aufzeigen.

    Bei der Identifizierung des Bestandes und des jeweiligen Software-Standes hilft das Inventar.

    Für kritische und anfällige Systeme können die Schwachstellen-Scans in Testumgebungen vorgenommen werden.

    Gravierende Schwachstellen sollten ins Risikomanagement aufgenommen werden.
    (INF.13.A23)

    Wartung und Reparatur

    Für Wartung und Reparatur sollten nicht nur die entsprechend festgelegten oder gegebenenfalls gesetzlich geforderten Fristen eingehalten werden. Es sollten Personalressourcen eingeplant werden, um Wartungsarbeiten, die durch Externe durchgeführt werden, zu autorisieren, zu überwachen, abzunehmen und zu dokumentieren. Wenn im Rahmen von Predictive Maintenance (vorausschauende Wartung) Künstliche Intelligenz (KI) eingesetzt wird, so sollte dies nur mit sicherer KI umgesetzt werden. Beim Hersteller sollten entsprechende sicherheitsrelevante Informationen zum Produkt eingeholt werden. (INF13.A17)

    Cloud-Nutzung

    Für die Nutzung von Clouds im Technischen Gebäudemanagement sollte sichergestellt sein, dass die Kontrolle über die Prozesse beim TGM bleiben. Hier ist speziell der BSI Kriterienkatalog Cloud Computing relevant sowie der Baustein OPS.2.2

    Die exemplarischen Vorschläge für Anforderungen bei erhöhtem Schutzbedarf SOLLTEN umgesetzt werden, wenn ein Schutzniveau erreicht werden soll, das über dem liegt, welches der Stand der Technik erreicht. Ein Anwendungsbereich ist etwa die vorrangige Absicherung der kritischen Geschäftsprozesse. Der Umsetzung sollte eine individuelle Risikoanalyse vorausgehen.

    Aufbau einer Testumgebung

    Sowohl für die Systeme des Technischen Gebäudemanagements als auch für die Systeme deren Betrieb die TGM verantwortet sollte eine Testumgebung aufgebaut werden, in der Hardware und Software vor der Inbetriebnahme oder bei Änderungen hinsichtlich Stabilität und Sicherheit getestet werden. Dies hilft, Fehler im produktiven Betrieb zu vermeiden, was vor allem vor dem Hintergrund der Betriebssicherheit (Safety) von großer Bedeutung ist.
    Für Systeme, für die keine Testumgebung aufgebaut werden können, sollten andere Regelungen getroffen werden, was herausfordernd sein kann, weil Gebäude kaum je vollständig ungenutzt sind. (INF.13.A25)

    Absicherung von BIM (Building Information Modeling)

    BIM-Systeme und BIM-Daten sollten über eine 2-Faktor-Authentifizierung abgesichert werden oder über eine Verschlüsselung von Daten und Transportwegen. Auch ein eigenes BIM-Netzsegment stellt eine Möglichkeit der Absicherung für einen erhöhten Schutzbedarf dar.

    Integration des TGM in ein SIEM

    Wenn im Unternehmen ein SIEM (Security Information and Event Management) vorhanden ist, dann sollten die Systeme der TGM und die Systeme, die durch das TGM verwaltet werden, in das SIEM integriert werden. (INF.13.A29)

    Sichere KI, Private Cloud und Pentests im TGM

    Für die Systeme des TGM und für die Systeme, deren Betrieb das TGM verwaltet, sollten je nach Bedarf Pentests durchgeführt werden. Dies gilt auch für KI-Funktionen, die im TGM genutzt werden. Diese sollten als sicher eingestuft sein und nachweislich keine Daten in fremde oder nicht vertrauenswürdige Netze weiterleiten. (Inf.13.A30, INF.13.A28)

    Cloud-Dienste zum TGM sollten über eine private Cloud bereitgestellt werden oder über einen vertrauenswürdigen Anbieter.

    Baustein INF.14: Gebäudeautomation

    Die im Baustein INF.14 formulierte Zielsetzung ist die Etablierung von „Informationssicherheit als integraler Bestanteil bei Planung, Realisierung und Betrieb von GA“. INF.14 ist auf die Schnittstellen der GA zu den Anlagen der Technischen Gebäudeausrüstung anzuwenden und behandelt Systeme und Leistungen für die Planung, Aufbau und den Betrieb der Gebäudeautomation.

    Gefährdungslage

    Unzureichende Planung der GA

    Personen- und Sachschäden können verursacht werden, wenn der Komplexität der Planung für die Gebäudeautomation nicht ausreichend Rechnung getragen wird. Zu berücksichtigen ist, dass es eine große Anzahl von Dienstleistern in Gebäuden gibt sowie TGA-Anlagen, die sehr heterogen aufgebaut sind.

    Fehler bei der Integration von Anlagen der TGA in die GA

    Aufgrund der Tatsache, dass die GA übergreifend Anlagen steuert, kann ein Fehler in einer Anlage große Auswirkungen auf andere oder alle anderen Anlagen haben und die gesamte Gebäudeautomation behindern. Nötige Reaktionen können dann unterbleiben oder werden falsch ausgeführt, was Schäden verursachen kann.

    Nutzung unsicherer Systeme und Protokolle

    Alte ungepatchte Bestandsanlagen in der Technischen Gebäudeausrüstung, die durch die GA gesteuert werden, verfügen meist nur über begrenzte Systemressourcen und entsprechen nicht mehr dem Stand der Technik. Solche Systeme weisen in der Regel viele Schwachstellen auf.

    Konfiguration in der Gebäudeautomation ist fehlerhaft

    Weil ein Gebäude fast nie ungenutzt ist, können Konfigurationen vor der Inbetriebnahme oder nach Updates für alle Bereiche nicht immer ausreichend getestet werden. Fehlerhafte Konfigurationen können Betriebsabläufe stören, Zugänge in Bereiche gewähren, die beschränkt sind oder Sach- und Personenschäden verursachen.

    Schnittstellen von TGA zur GA können manipuliert sein

    Manipulationen von Schnittstellen zwischen Systemen der Gebäudeautomation und Anlagen der TGS bergen das Risiko, dass falsche Reaktionen ausgeführt werden. Als Beispiel ist eine manipulierte Brandmeldeanlage angeführt. Wenn sich Türen durch verfälschte Meldungen öffnen, können Unbefugte sich Zutritt zum Gebäude verschaffen.

    Nicht ausreichend gesicherte Zugänge zur GA und zu Bedienelementen der GA

    Cyberangriffe können über drahtlose Kommunikationswege erfolgen, wenn die Zugänge ins Netz nicht ausreichend geschützt sind.

    Ungesicherte Zugänge zu Bedienelementen können einen unbefugten Zugriff auf die Gebäudeautomation ermöglichen.

    Unzureichend geschützte Anschlüsse für Mobilfunk

    Permanent offene Mobilfunk-Schnittstellen von Komponenten auf der Automations- und Feldebene, über die Hersteller Daten von den Systemen ziehen, können ein Einfallstor für Angreifer darstellen.

    Anforderungen

    Basis-Anforderungen, die umgesetzt werden MÜSSEN, um alle Geschäftsprozesse grundlegend nach dem Stand der Technik abzusichern, sind die folgenden. Wie die Umsetzung erreicht wird, zeigen die Ausführungen in den Umsetzungshinweisen.

    INF.14.A1 Planung der Gebäudeautomation

    Die Gebäudeautomation und wie ihr Betrieb sicher gestaltet wird, muss während der Planung eines Neubaus oder eines Umbaus berücksichtigt werden. Bei der Planung der Gebäudeautomation muss eine Spezifizierung der GA-Systeme erfolgen, die eingerichtet werden und ebenso der Umfang der automatisierten Steuerung der TGA-Anlagen.

    INF.14.A2 Festlegung eines Inbetriebnahme- und Schnittstellenmanagements für die Gebäudeautomation

    Alle Festlegungen, die für die Inbetriebnahme eines Gebäudes und die Schnittstellen getroffen werden, müssen vollständig dokumentiert werden. Im Rahmen des Inbetriebnahme-Managements wird eine Koordination zwischen allen Beteiligten und der Vielzahl an unterschiedlichen Gewerken in der Bauphase sichergestellt.
    Für Zugriffe auf die GA müssen die Anforderungen entsprechend der unterschiedlichen Aufgaben zahlreicher Rollen berücksichtigt werden, beispielsweise von Nutzern, internen und externen Betreiberorganisationen, externen Dienstleistern, Facility-Managern, Systemadministratoren und anderen. Konkret geht es um die Reihenfolgen für die Inbetriebnahme von TGA-Anlagen und für die Anbindungen an ein System der Gebäudeautomation und der GA-Systeme untereinander.

    Aufgrund der großen Komplexität von Gewerken, Systemen und TGA-Anlagen sowie der Abhängigkeiten untereinander ist eine detaillierte Planung der Schnittstellen von wesentlicher Bedeutung.

    INF.14.A3 Sichere Anbindung von TGA-Anlagen und GA-Systemen

    Es muss festgelegt werden, welche Kopplung und welche Integration zwischen Systemen der GA und der TGA-Anlagen erlaubt sind und wie diese abzusichern sind. Die Festlegungen müssen vollständig dokumentiert werden und für die Ablauf- und Funktionsketten müssen umfassende Tests durchgeführt werden.

    INF.14.A4 Berücksichtigung von Gefahrenmeldeanlagen in der GA

    Gefahrenmeldeanlagen und Sicherheitsanlagen müssen an GA-Systeme gekoppelt werden und dürfen nicht integriert werden.

    INF.14.A5 Dokumentation der GA

    Komponenten und Zugänge müssen für die GA dokumentiert und die Dokumentation regelmäßig aktualisiert werden. Es müssen „alle deaktivierten physischen Kommunikationsschnittstellen, Protokolle und Zugänge bzw. Zugriffsmöglichkeiten zur GA dokumentiert werden.“ Das schließt die Abhängigkeiten ein sowie die Wechselwirkungen zwischen GA-relevanten Komponenten und Anlagen der Technischen Gebäudeausrüstung.

    INF.14.A6 Separierung von Netzen der GA

    Es muss eine logische Netztrennung zwischen GA-Netzen und anderen Netzen der Organisation erfolgen und die Übergänge mit Firewall-Funktionalität gesichert werden. Die Kommunikation zwischen Systemen der Gebäudeautomation und anderen IT-Systemen muss geregelt und kontrolliert werden.

    Die Standard-Anforderungen SOLLTEN zusätzlich zu den Basis-Anforderungen erfüllt sein, damit der Stand der Technik erreicht wird. Der Baustein INF.14 listet eine Vielzahl von Standard-Anforderungen für besondere Aspekte, wir beschreiben nachfolgend einige wesentliche Inhalte:

    Sicherheitsrichtlinie, Anforderungsspezifikation und GA-Konzept

    Wie im INF.13-Baustein, wird auch für die Gebäudeautomation empfohlen, eine Sicherheitsrichtlinie auf Basis der allgemeinen Sicherheitsrichtlinie zu erstellen und diese allen Beteiligten bekanntzumachen. (INF.14.A7)

    Basierend auf der Sicherheitsrichtlinie der Gebäudeautomation sollte eine Anforderungsspezifikation sowohl für die GA insgesamt als auch für jedes GA-System erfolgen, das relevante Designaspekte und die Architekturanforderung für jedes GA-System vorgibt. Die Authentisierung von Komponenten, die in der GA eingesetzt werden, sollten mindestens in einem änderbaren Nutzernamen und einem änderbaren Passwort bestehen. (INF.14.A8)

    Das übergeordnete GA-Konzept sollte eine detaillierte Ableitung von Sicherheitskonzepten für alle GA-Systeme ermöglichen. Darin sollten jeweils die Informationen zu allen TGA-Anlagen enthalten sein, die in das einzelne GA-System integriert werden. Außerdem sollten alle an das GA-System gekoppelten GA-Anlagen ausgewiesen werden sowie alle Komponenten, die für die GA relevant sind, samt der Kommunikationsverbindungen. (INF.14.A9)

    Bereichstrennung und Netzsegmentierung

    Um die Ausbreitung von Störungen zu verhindern oder zu begrenzen, sollten für die Gebäudeautomation unabhängige Bereiche mit möglichst wenigen Abhängigkeiten gebildet werden, die einzeln und separat steuerbar sind. (INF.14.A20)

    Das GA-Netz sollte segmentiert und die Netzübergänge mindestens mit Paketfiltern gesichert werden. (INF14.A.13)

    Einsatz sicherer Protokolle

    Ethernet- und IP-basierte Komponenten, die für die GA relevant sind, sollten für Konfigurations-, Steuerungs- und Wartungszwecke über sichere Übertragungsprotokolle angesprochen werden, wenn die Kommunikation nicht über vertrauenswürdige Netzsegmente durchgeführt werden kann. In nicht vertrauenswürdigen Netzsegmenten sollte die Kommunikation zwischen den GA-Systemen über aktuelle Verschlüsselungsmechanismen erfolgen. (INF.14.A12)

    Zugriffsschutz, Rollen- und Berechtigungsmanagement

    Ein Identitäts- und Berechtigungsmanagement, wie es im Baustein ORP.4 beschrieben ist, sollte entsprechend den Anforderungen der Gebäudeautomation genutzt werden. Daei sollte eine Authentisierungslösung für die GA eingesetzt werden, die alle Komponenten anbindet, die für die Gebäudeautomation relevant sind, sowie ein Berechtigungsmanagement für die unterschiedlichen Rollen.

    Es sollten in der GA keine Komponenten genutzt werden, die keinen Zugriffsschutz haben. (INF.14.A14)

    Absicherung von Netzen und Kommunikation

    Mechanismen für sichere Kommunikation, Authentisierung und Verschlüsselung in Netzen, die für die GA relevant sind, sollten genutzt werden. (INF.14.A15)

    In Netzen mit drahtloser Kommunikation sollten die entsprechenden Schutzmechanismen für die Kommunikation verwendet werden sowie Authentisierung und Verschlüsselung auf der Luftschnittstelle umgesetzt werden (INF.14.A16)

    Beim Einsatz von Mobilfunk in der GA, sollten die Schutzmechanismen dieser Mobilfunknetze angewendet werden. (A.14.A17)

    Monitoring und Protokollierung

    Die Überwachung von Komponenten, die für die Gebäudeautomation relevant sind, sollte entsprechend des Monitoring-Konzeptes fortlaufend erfolgen, so dass Abweichungen vom gewünschten Zustand gemeldet werden können. (INF.14.A25)

    Sicherheitsrelevante Ereignisse bei Komponenten, die für die GA relevant sind, sollten protokolliert werden. (INF.14.A27)

    Die Übermittlung von Daten sollte ausschließlich über sichere Übertagungswege erfolgen.

    Notfallplanung

    Wie sich technische Defekte oder Angriffe auf eine TGA-Anlage oder ein GA-relevantes System auf andere auswirkt und wie die Folgen minimiert werden können, das sollte im Rahmen der Notfallplanung regelmäßig analysiert werden. Für den Fall, dass die GA-Systeme ausfallen, sollte eine Regelung für den Notfallbetrieb der TGA-Anlagen vorhanden sein.

    Die Anforderungen bei erhöhtem Schutzbedarf in der GA umfassen unter anderem physisch getrennte Zonen für GA-Netze (INF.14.A28), die Sicherung von relevanten TGA-Anlagen in separaten Netzsegmenten sowie der Einsatz von Firewalls vor dem Anlagennetz, um die Kommunikation zu kontrollieren (INF.14.A29).

    Fazit

    Die neuen Bausteine im IT-Grundschutz für das Technisches Gebäudemanagement und die Gebäudeautomation sind ein wichtiger und für diesen speziellen OT-Bereich überfälliger Schritt, um das Sicherheitsniveau vernetzter IT-Infrastrukturen in Gebäuden zu verbessern. Dabei geht es nicht nur um die ganzheitliche Vorgehensweise, die Anwender dabei unterstützt, die für ihr Unternehmen oder ihre Institution passenden Schutzmaßnahmen zu identifizieren und umzusetzen. Das Thema Informationssicherheit in Gebäuden im IT-Grundschutz zu finden, das hat Signalwirkung und unterstreicht die Bedeutung der Aufgabe.

    Die Orientierung am IT-Grundschutz bietet für viele Unternehmen abseits von Regulation und Zertifizierung praktische Anleitung, um mindestens eine Grundsicherung für ihre Geschäftsprozesse zu erreichen. Dass dies nach dem Stand der Technik umgesetzt wird, das wird zunehmend zur Marktanforderung und betrifft deswegen die Wettbewerbsfähigkeit von Unternehmen – eine Orientierung am IT-Grundschutz weist den Stand der Technik nach!


    Maßgeblich ist der IT-Grundschutz sowohl für Auditoren als auch für Versicherer, wenn es beispielsweise um Haftungsfragen geht. Daher ist es notwendig, sich auch mit den neuen Bausteinen INF.13 und INF.14 ausreichend zu befassen.

    Neben dem IT-Grundschutz gibt es für die Absicherung der Gebäudeautomation einschlägige anwendbare Industriestandards und Normen, wie die folgenden:

    • NISTIR 8228
    • VDMA Einheitsblatt 24774:2021-02 Sicherheit in der Gebäudeautomation
    • Normenreihe IEC62443: Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme
    • Normen zur funktionalen Sicherheit – EN ISO 13849 und IEC 62061.

    Der wichtigste Schritt ist: Fangen Sie mit Security für Ihre Gebäudeautomation an!

    Praxistipp

    Um ein ausreichendes Schutzniveau zu erreichen, raten wir zu einer individuellen Vorgehensweise: Wählen Sie aus dem Baukastenprinzip des IT-Grundschutz diejenigen Bereiche, die für Ihre Sicherheitsbetrachtung relevant sind und aus den passenden Industriestandards und Normen die Teile, deren Umsetzung für Sie wirtschaftlich sinnvoll und zielführend ist.

    Möchten Sie noch mehr Wissen zur Industrial und IIoT Security? Erhalten Sie die wichtigsten Erkenntnisse und Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr E-Mail-Postfach.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie den Einstieg in die Industrial Security und profitieren Sie von Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung