Unsere Artikelserie beleuchtet die Rolle der Gebäudeautomation in einem ganzheitlichen IT-Sicherheitskonzept. Im ersten Teil werden die Anforderungen, die sich für die Gebäudeautomation als besonderer Teil der OT ergeben, behandelt. Nachdem es gemeinsame Standards für die Absicherung von IT-Infrastrukturen gibt, wird der Nutzen einer Zusammenarbeit von OT/Gebäudeautomation und IT-Abteilung deutlich.  

Kommen wir nun zu den Schwachstellen, die Sie auf technischer Ebene überwinden müssen, um Ihre Gebäudeautomation wirksam abzusichern.

Die Herausforderungen in der Technik und praxisnahe Lösungsansätze 

Ein Vorgehen, das sich mehr an Pragmatismus orientiert als an Security-Standards hat sich nicht nur in der Gebäudeautomation etabliert, sondern auch in anderen Bereichen der OT. So ergibt sich durch eine hemdsärmelige Herangehensweise oft ein rasant anwachsendes Risiko für Anlagen mit einem hohen Vernetzungsgrad. Um direkt vom Arbeitsplatz auf eine Anlage zugreifen zu können, werden zum Beispiel Server und Engineering Clients mit zwei Netzwerkkarten ausgestattet. Dadurch wächst die Anzahl der Zugänge signifikant. Dokumentation? Leider Fehlanzeige! 

“Die Absicherung von IT-Systemen in der Gebäudeautomation steckt noch in den Kinderschuhen, aber Cyberkriminelle sind inzwischen erwachsen geworden.”

Diesen Schwachstellen sollten Sie mit wirksamen Gegenmaßnahmen begegnen:

1) Unregelmäßig oder gar nicht gepatchte Systeme 

Wie in der industriellen Produktion, so stellen auch in der Gebäudeautomation ungepatchte Systeme offene Einfallstore für Schadcode dar. Das Aufspielen von Software-Updates funktioniert in der Betriebstechnik nicht automatisch, wie es in der IT der Fall ist. Patchvorgänge erfordern oft mehrstündige Downtimes, weil die Funktionalität der Systeme nach dem Update validiert werden muss. Im laufenden Betrieb ist das nicht realisierbar.

Aber die Stillstände bei Patchvorgängen sind nicht allein ursächlich dafür, dass Systeme keine aktuellen Versionsstände aufweisen. Oftmals ist jedwede Änderung nach der Abnahme einer Anlage vom Hersteller strikt untersagt. Änderungen können zum Verlust von Garantie und Support führen. Und in Safety-relevanten Bereichen erfordern technische Änderungen, egal welchen Ausmaßes, oft direkt einen neuen Audit der gesamten Anlage. Das will gut überlegt sein!

Bei einer Anlagenlaufzeit von 25 Jahren und mehr kommen die Softwareversionen von integrierten Systemen durchaus auf biblische Stände und stellen damit in vernetzten Umgebungen ein hohes Sicherheitsrisiko dar.

Ungepatchte Systeme bremsen zudem den Einsatz bewährter Technologien, wie z.B. virtualisierte Gebäudeleittechnik, weil sich Server mit alten Softwareständen, außerhalb gesicherter Rechenzentren aufgestellt, nicht dazu eignen, komplexe Virtualisierungen zu betreiben.

Das Problem unzureichend gepatchter Systeme erfordert eine Lösung, bei der Sie möglichst Hersteller und Integratoren mit ins Boot holen sollten. Setzen Sie die Durchführung regelmäßiger Patches auf die Agenda für Ihr Betriebs- und Wartungskonzept und sprechen Sie mit den betroffenen Mitarbeitern, wie die Umsetzung so gestaltet werden kann, dass laufende Prozesse möglichst wenig beeinträchtigt werden.

2) Schwachstellen der eingesetzten Software

Bei Software, die in der Gebäudeautomation eingesetzt wird, steht vor allem Funktionalität und Verfügbarkeit im Fokus, nicht aber Sicherheit.

In einer Landschaft mit vielen undokumentierten Systemen ist die Anforderung für Software-Patches nicht immer in den Köpfen der für den Betrieb zuständigen Mitarbeiter präsent oder Änderungen sind, wie bereits beschrieben, ohne erneute Abnahmen gar nicht erlaubt.

Für Hersteller ist die Entwicklung von Updates mit hohen Validierungsaufwänden verbunden, daher sind Patches bisher oft nur mit großen Verzögerungen oder gar nicht verfügbar.

Der Betrieb der Hardware, der Software und der Protokolle liegt oftmals in den Händen von Personal, dessen Expertise sich nicht primär auf IT bezieht. Da steht meist Bedienerfreundlichkeit mehr im Vordergrund als Sicherheitsfeatures, die einfach zu umgehen und abzuschalten sind.

3) Was von den Protokollen in Punkto Sicherheit zu erwarten ist

Die in der Gebäudeautomation eingesetzten gängigen Protokolle wie BACnet oder KNX werden durch ihre Hersteller weiterentwickelt. Durch den Einsatz zertifikatbasierter Verschlüsselung soll der Transport der Daten zuverlässiger abgesichert werden, ebenso durch Features, die bei den typischen IT-Protokollen zur Absicherung eingesetzt werden.

Neue Protokollversionen wie BACnet Secure Connect mit verbesserter Sicherheit beim Datentransfer sind jedoch nur ein kleiner Teil der gesamten IT-Kette. Die umfassende Absicherung der OT-Systeme hängt entscheidend davon ab, ob der Rest der Kette ebenfalls gleichwertig abgesichert ist.

Und dann sind wir wieder bei der Sache mit der langen Laufzeit der Anlagen in der Gebäudeautomation. Bis die neuen Protokollversionen tatsächlich zum Einsatz kommen, vergeht noch sehr viel Zeit, in der der Sicherheitsstandard weiterhin zu wünschen übrig lässt. Somit ist auch eine Verbesserung der Sicherheitsstandards bei den Protokollen nur eine Einzelmaßnahme und ersetzt nicht die Entwicklung und Realisierung eines ganzheitlichen Sicherheitskonzeptes.

4) Security by Design – wieviel echte Sicherheit steckt hinter der Parole?

Wenn Hersteller ihren Marktanteil durch eine möglichst schnelle Time to Market halten oder ausbauen können, dann ist Security keine Anforderung, der sie Systemressourcen und Entwicklungszeit opfern, zumal oft nicht klar ist, wie ein Markt sich entwickeln wird.

Die Validierung von Programmcode ist in der Gebäudeautomation nicht üblich wie in der IT, gleichzeitig ist die Gefährdung ihrer ungeschützten IT-Infrastruktur schon durch die Vielzahl der eingesetzten Technologien und Komponenten immens. Nahezu jedes Gerät mit Kabel, wie z.B. ein Schalter, kann zur Datenübertragung genutzt werden. Es sollte daher in eine Sicherheitsbetrachtung mit einbezogen werden, genauso wie die komplexen Steuerungssysteme.

Nachdem von den Herstellern nicht zu erwarten ist, dass sie die Sicherheitslücke im Design wirksam und systemübergreifend schließen werden, müssen Sie für Ihr Unternehmen ein nachhaltiges und ganzheitliches Sicherheitskonzept gemäß Ihren eigenen Anforderungen etablieren.

Defense in Depth – Unabhängige Schutzmaßnahmen zur Tiefenverteidigung

OT-Schutzkonzepte sind auch für die Gebäudeautomation geeignet, es geht immerhin um identische Komponenten mit identischen Anforderungen. Die Maßnahmen werden in allen Ebenen des Prozesses angewendet, in der Management-Ebene, der Automationsebene und in der Feldebene. Jede Vorkehrung ist für sich einzeln wirksam, in der Summe ergibt sich eine umfassende und nachhaltige Absicherung.

Folgende Möglichkeiten bieten sich an:

Die Grundlage einer wirksamen Absicherung ist die Kenntnis über die Gesamtheit der eingesetzten Assets und Endgeräte sowie deren Kommunikation. Auf Basis der Asset-Informationen und deren Klassifizierungen wird das Netzwerk in Layer, Zonen, Conduits (Zonenübergänge), Segmente und Zellen unterteilt.

  • Intrusion Detection und Prevention bei den Netzübergängen
  • Anti-Virus-Schutzsysteme, möglichst auch auf Endgeräten
  • Patch-Management (Sicherheitslücken schließen, die ein Schadcode nutzen könnte)

  • Änderungen im Traffic erkennen und darauf reagieren
  • Traffic mit Hilfe von Industrial Threat Libraries vergleichen und analysieren (schadhaftes Verhalten bereits in der Kommunikation erkennen)

  • In der IT bewährte Methoden in der OT anwenden

  • Awareness bei den Mitarbeitern steigern
  • Backup und Restore-Konzepte
  • Redundanzen
  • Versicherungen

Normen helfen bei der Orientierung

Die Basis-Aufgaben für einen sicheren IT-Betrieb sind auch für die Gebäudeautomation in den einschlägigen Normen festgelegt. Diese Normen und Standards sind ein sinnvoller Ausgangspunkt für die Entwicklung eines Schutzkonzeptes. Wir empfehlen Ihnen, sich an folgenden Vorgaben zu orientieren:

  • VDMA Einheitsblatt 24774 (Titel: IT-Sicherheit in der Gebäudeautomation)
  • IEC 62443 (industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme)
  • VDI 6041 – “Technisches Monitoring von Gebäuden und gebäudetechnischen Anlagen”

 

Lieber erreichbare kleine Etappen planen als Mammutprojekte! Hierzu 3 Praxistipps: Definieren Sie Zuständigkeiten und fördern Sie die Kommunikation zwischen den Ansprechpartnern der IT und der Gebäudeautomation. Identifizieren Sie die Assets und dokumentieren Sie dazu auch IT-Dienste. Die Risikobewertung definiert den Start, nämlich dort, wo das Risiko am größten ist.