Im ersten Teil unserer Artikelserie haben wir die besonderen Anforderungen in der Gebäudeautomation und ihre spezielle Rolle als Teil der OT betrachtet. Dabei ist der Nutzen einer Annäherung von Gebäudeautomation und IT-Abteilung deutlich geworden, und zwar hinsichtlich gemeinsamer Standards für die Absicherung von IT-Infrastruktur und einer Definition der Zuständigkeiten.  

Wenden wir uns nun den Schwachstellen zu, die Sie auf technischer Ebene überwinden müssen, um Ihr Ziel eines ganzheitlichen IT-Sicherheitskonzeptes zu erreichen.

Die Herausforderungen in der Technik und praxisnahe Lösungsansätze 

Ein Vorgehen, das sich mehr an Pragmatismus orientiert als an Security-Standards ist nicht nur in der Gebäudeautomation ausgeprägt, sondern auch in anderen Bereichen der OT. So wächst die Anzahl der Zugänge signifikant, wenn zum Beispiel Server & Engineering Clients mit zwei Netzwerkkarten ausgestattet werden, damit man direkt vom Arbeitsplatz auf eine Anlage zugreifen kann. Dokumentation? Leider Fehlanzeige! 

Bei einem hohen Vernetzungsgrad von Anlagen ist eine hemdsärmelige Herangehensweise mit einem rasant wachsenden Risiko verbunden.

“Die Absicherung von IT-Systemen in der Gebäudeautomation steckt noch in den Kinderschuhen, aber Cyberkriminelle sind inzwischen erwachsen geworden…”

Aus diesem Grund sollten Sie insbesondere auf folgende Punkte achten:

1) Unregelmäßig oder gar nicht gepatchte Systeme 

Wie in der industriellen Produktion, sind auch in der Gebäudeautomation ungepatchte Systeme ein Einfallstor für Schadcode. Updates aufspielen funktioniert in der Betriebstechnik nicht automatisch wie in der IT, sondern erfordert wegen der Validierung der Funktionalität nach einem Patchvorgang oft mehrstündige Downtimes, die im laufenden Betrieb nicht realisierbar sind.

Nicht nur die langen Stillstände bei Patchvorgängen sind ursächlich dafür, dass Systeme keine aktuellen Versionsstände aufweisen, oftmals ist jedwede Änderung nach der Abnahme einer Anlage vom Hersteller strikt untersagt. Änderungen können zum Verlust von Garantie und Support führen. Und in Safety-relevanten Bereichen erfordern technische Änderungen, egal welchen Ausmaßes, oft direkt einen neuen Audit der gesamten Anlage. Das will gut überlegt und abgewogen sein!

Bei einer Anlagen-Laufzeit von 25 Jahren und mehr kommen die Softwarestände von integrierten Systemen durchaus auf biblische Stände und stellen damit ein hohes Sicherheitsrisiko dar.

Ungepatchte Systeme bremsen zudem den Einsatz bewährter Technologien wie z.B. virtualisierte Gebäudeleittechnik, weil sich Server mit alten Softwareständen, außerhalb gesicherter Rechenzentren aufgestellt, nicht dazu eignen, komplexe Virtualisierungen zu betreiben.

Diese Schwachstelle der unzureichend gepatchten Systeme erfordert eine Lösung, bei der Sie möglichst Hersteller und Integratoren mit ins Boot holen sollten. Bringen Sie die Anforderung regelmäßige Patches durchzuführen auf die Agenda für Ihr Betriebs- und Wartungskonzept und sprechen Sie mit den betroffenen Mitarbeitern, wie die Umsetzung gestaltet werden kann, damit laufende Prozesse möglichst wenig beeinträchtigt werden.

2) Schwachstellen der eingesetzten Software

Bei der in der Gebäudeautomation eingesetzten Software steht vor allem Funktionalität und Verfügbarkeit im Fokus, nicht aber Sicherheit.

In einer Landschaft, bei der viele Systeme nicht dokumentiert sind, ist auch die Anforderung die Software zu patchen nicht in den Köpfen der für den Betrieb zuständigen Mitarbeiter präsent oder Änderungen sind, wie beschrieben, ohne erneute Abnahmen nicht erlaubt.

Für Hersteller ist die Entwicklung von Updates mit hohen Validierungsaufwänden verbunden, daher sind Patches bisher oft nur mit großen Verzögerungen oder gar nicht verfügbar.

Der Betrieb der Hardware, der Software und der Protokolle liegt oftmals in den Händen von Personal, dessen Expertise sich nicht primär auf IT bezieht. Hier steht oft die Bedienerfreundlichkeit im Vordergrund und nicht Sicherheitsfeatures, die einfach zu umgehen und abzuschalten sind.

3) Was von den Protokollen in Punkto Sicherheit zu erwarten ist

Die in der Gebäudeautomation eingesetzten gängigen Protokolle wie BACnet oder KNX werden durch ihre Hersteller weiterentwickelt. Durch den Einsatz zertifikatsbasierter Verschlüsselung soll der Transport der Daten zuverlässiger abgesichert werden, ebenso durch Features, die bei den typischen IT-Protokollen zur Absicherung eingesetzt werden.

Neue Protokollversionen wie BACnet Secure Connect mit Verbesserung für die Sicherheit beim Datentransfer sind jedoch nur ein kleiner Teil der gesamten IT-Kette. Die umfassende Absicherung der OT-Systeme hängt entscheidend davon ab, ob der Rest der Kette ebenfalls gleichwertig abgesichert ist.

Und dann sind wir wieder bei der Sache mit der langen Laufzeit der Anlagen in der Gebäudeautomation. Bis die neuen Protokollversionen tatsächlich zum Einsatz kommen, vergeht noch sehr viel Zeit, in der der Sicherheitsstandard weiterhin zu wünschen übriglässt.

Somit ist auch eine Verbesserung der Sicherheitsstandards bei den Protokollen nur eine Einzelmaßnahme und ersetzt nicht die Entwicklung und Realisierung eines ganzheitlichen Sicherheitskonzeptes.

4) Security By Design – wieviel echte Sicherheit steckt hinter der Parole?

Wenn Hersteller Ihren Marktanteil durch eine möglichst schnelle time-to-market halten oder ausbauen können, dann ist Security keine Anforderung, der sie Systemressourcen und Entwicklungszeit opfern, zumal oft nicht klar ist, wie ein Markt sich entwickeln wird.

Die Validierung von Programmcode ist in der Gebäudeautomation nicht üblich wie in der IT, gleichzeitig ist die Gefährdung ihrer ungeschützten IT-Infrastruktur schon durch die Vielzahl der eingesetzten Technologien und Komponenten immens. Nahezu jedes Gerät mit Kabel, wie z.B. ein Schalter, kann zur Datenübertragung genutzt werden und ist daher in eine Sicherheitsbetrachtung mit einzubeziehen, genauso wie die komplexen Steuerungssysteme.

Nachdem von den Herstellern nicht zu erwarten ist, dass sie die Sicherheitslücke im Design wirksam und systemübergreifend füllen werden, müssen Sie für Ihr Unternehmen ein nachhaltiges und ganzheitliches Sicherheitskonzept gemäß Ihren eigenen Anforderungen etablieren.

Defense-In-Depth – Unabhängige Schutzmaßnahmen zur Absicherung in der Tiefe

Schutzkonzepte für OT sind auch für die Gebäudeautomation geeignet, es geht immerhin um identische Komponenten mit identischen Anforderungen. Die Maßnahmen werden in allen Ebenen des Prozesses angewendet, in der Management-Ebene, der Automationsebene und in der Feldebene. Jede Vorkehrung ist für sich einzeln wirksam, in der Summe ergibt sich eine umfassende und nachhaltige Absicherung.

Folgende Möglichkeiten bieten sich an:

Grundlage ist die Kenntnis über die Gesamtheit der eingesetzten Assets und Endgeräte sowie deren Kommunikation. Auf Basis der Assetinformationen und deren Klassifizierungen gilt es, das Netzwerk in Layer, Zonen, Conduits, Segmente und Zellen zu unterteilen.

  • Intrusion Detection und Prevention bei den Netzübergängen
  • Anti-Virus Schutzsysteme, möglichst auch auf Endgeräten
  • Patch-Management (Sicherheitslücken schließen, die ein Schadcode nutzen könnte)

  • Änderungen im Traffic erkennen und darauf reagieren
  • Traffic mit Hilfe von Industrial Threat Libraries vergleichen und analysieren (Schadhaftes Verhalten bereits in der Kommunikation erkennen)

  • In der IT bewährte Methoden in der OT anwenden

  • Awareness bei den Mitarbeitern steigern
  • Backup und Restore Konzepte
  • Redundanzen
  • Versicherungen

Normen helfen bei der Orientierung

Die Basis-Aufgaben für einen sicheren IT-Betrieb sind auch für die Gebäudeautomation in den einschlägigen Normen festgelegt. Diese Normen und Standards sind ein sinnvoller Ausgangspunkt für die Entwicklung eines Schutzkonzeptes. Wir empfehlen Ihnen, sich an folgenden Vorgaben zu orientieren:

  • VDMA Einheitsblatt 24774 (Titel: IT-Sicherheit in der Gebäudeautomation)
  • IEC 62443 (Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme)
  • VDI 6041 – “Technisches Monitoring von Gebäuden und gebäudetechnischen Anlagen”

 

Lieber erreichbare kleine Etappen planen als Mammutprojekte! Hierzu 3 Praxistipps: Definieren Sie Zuständigkeiten und fördern Sie die Kommunikation zwischen den Ansprechpartnern der IT und der Gebäudeautomation. Identifizieren Sie die Assets und dokumentieren Sie dazu auch IT-Dienste. Die Risikobewertung definiert den Start, nämlich dort, wo das Risiko am größten ist.