Was haben Sie vor Augen, wenn von Automation die Rede ist? Weitläufige Fabrikhallen mit betriebsamen Fertigungsstraßen und komplexen Roboteranlagen? Das Naheliegende kommt einem meist erst später in den Sinn: Bereiche, die uns ständig umgeben, die wir aber kaum bewusst wahrnehmen, weil sie selbstverständlich sind: Gebäude.

Wenn die für uns unsichtbare Automation in einem Gebäude störungsfrei abläuft, bemerken wir die Auswirkungen meist nicht, denn Türen öffnen sich wie sie sollen, die Räume sind angenehm klimatisiert und die Fahrstühle befördern uns wohin wir wollen. Erst wenn die Gebäudeautomation nicht funktioniert, spüren wir sie.

Für Cyberkriminelle ist die Gebäudeautomation jedoch keineswegs eine „vergessene Welt“: Sie bietet bei einer Vielzahl physischer Einrichtungen und technischer Zugänge leicht zu überwindende Angriffsziele. Störfälle basieren jedoch nicht nur auf gezielten Attacken, sondern können auch hausgemacht sein. Die Prozesse in der Gebäudeautomation haben besondere Anforderungen in einer heterogenen, zunehmend vernetzen Umgebung.

Im Hinblick auf die besondere Bedeutung von Gebäuden als Lebensraum (Stichwort smart home) und als Stützpunkt für Geschäftstätigkeit sind wirksame Sicherheitsmaßnahmen unerlässlich.

Schauen wir uns zunächst an, was die grundlegenden Aufgaben der Gebäudeautomation sind und wie diese im Unternehmen eingeordnet wird.

Was ist Gebäudeautomation und welche Anforderungen gibt es?

Zur Gebäudeautomation zählen Maßnahmen, Prozesse, Software und Dienstleistungen, die für die Vernetzung der technischen Gebäudeausstattung eingesetzt werden, z.B. Beschattungsanlagen, Zugangskontrollen und Notfallsteuerungen. Die Vielzahl an Maßnahmen und Prozessen, die in einem ganzheitlichen Konzept auch bereichsübergreifend funktionieren müssen, machen den Betrieb eines Gebäudes zu einer komplexen Herausforderung.

Wichtig ist: Der Begriff „Gebäude“ umfasst in unserem Kontext nicht nur Häuser und Hallen. Auch Konstruktionen wie ein Fernsehturm, ein Gefängnis oder eine Bohrinsel sind für die Gebäudeautomation relevant.

In den meisten Unternehmen gibt es weitreichende Abhängigkeiten zwischen Gebäudeautomation und Produktion. Häufig ist die Gebäudeautomation ein essenzieller Bestandteil der Produktion selbst, z.B. in Abwasseranlagen, Kühlhäusern oder in Konzerthallen. Dennoch wird sie in vielen Unternehmen nur als Nebenanlage geführt, die nicht im Fokus von IT-Sicherheitskonzepten steht. Dieser Umstand ist für Angreifer hochwillkommen: Funktioniert beispielsweise eine Brandschutzanlage nicht einwandfrei, darf üblicherweise das Gebäude nicht betrieben werden. Produktionsausfälle sind teuer, daher ist die Bereitschaft der Unternehmensleitung, im Fall einer erfolgreichen Ransomware-Attacke das geforderte Lösegeld zu zahlen, groß.

Welche Aufgaben leistet eine funktionierende Gebäudeautomation?

Im Fokus der Gebäudeautomation steht zunächst der funktionale Betrieb, also die Steuerung der einzelnen Funktionen eines Gebäudes, sowie die Sicherung der Anlagenverfügbarkeit. Dies schließt auch physische Sicherheitsmaßnahmen, wie z.B. Zugangskontrolle und Videoüberwachung mit ein.

Hieraus lassen sich die zwei Hauptziele der Gebäudeautomation ableiten:

Ein wichtiges Ziel der Gebäudeautomation ist ein optimierter Betrieb der technischen Einrichtungen durch einen effizienten und nachhaltigen Einsatz von Wasser, Heizkraft und Energie. Die Effekte der Optimierung kommen in der Folge den Kennzahlen im Produktionsprozess und damit den Ergebnissen im Unternehmen zugute. Dabei müssen die Bedürfnisse der Zielgruppen berücksichtigt werden und ein ausreichender Komfort für die Menschen, die sich in den Gebäuden aufhalten, sichergestellt sein.

Das andere Ziel der Gebäudeautomation betrifft den Schutz der Gesundheit und des Lebens für Personen im Gebäude und die Vermeidung von Schaden für die Umwelt und für Sachwerte. Dieses als Safety bekannte Schutzziel begründet eine Vielzahl von Aufgaben, weil es zahlreiche Ausgangssituationen für Gefahrenlagen in Gebäuden gibt. Technische Defekte, Naturgewalten, Cyberangriffe, etc. können vielfältige Notfälle verursachen, auf die sowohl die Organisation als auch die Technik mit ganzheitlichen Schutzmaßnahmen reagieren müssen. Hierzu zählen zum Beispiel Konzepte und Maßnahmen zum Brandschutz, zur Notfallsteuerung, etc.

Smart oder nicht – Gebäudeautomation nimmt zu, Sicherheit nicht

Das IoT (Internet of Things) vernetzt nicht nur komplexe Fertigungssysteme in Produktionshallen und ermöglicht die Kommunikation mit und zwischen den einzelnen Komponenten. Längst ist auch die funktionale Haustechnik in smart homes über das Internet ansprechbar und steuerbar und zwar nicht nur Jalousien, Heizung und Rasenbewässerungssysteme, sondern auch Geräte wie die Kaffeemaschine und der Kühlschrank.

Das Bewusstsein, dass wirksame Schutzmaßnahmen nötig sind, um Komponenten und Systeme abzusichern, ist noch nicht besonders ausgeprägt, vor allem nicht bei den Herstellern. In betrieblich genutzten Gebäuden ist die Anforderung an Sicherheit nicht geringer als in smart homes, allerdings ist die Kritikalität wesentlich höher, weil die Auswirkungen von Funktionsausfällen weitreichende Folgen haben können.

Gebäudeautomation ist OT

Die Gebäudeautomation ist ein Bereich, der meist als Nebenanlage vermerkt ist, anders als die industrielle Produktion, die naturgemäß als Operational Technology bezeichnet wird. Dabei sind die Grenzen zwischen Gebäudeautomation und industrieller Produktion fließend und es gibt viele Abhängigkeiten und Interaktionen. Bei näherer Betrachtung zeigt sich, dass die Aufgaben der Gebäudeautomation dieselben sind, wie die der klassischen Produktion: Messen, steuern, regeln, leiten. Es gelten dieselben Richtlinien und Rahmenbedingungen. Beide Bereiche erfahren eine zunehmende Vernetzung der Komponenten und Anlagen und stehen vor denselben technischen und organisatorischen Herausforderungen.

Die Anforderungen an Industrial Security sind in der Gebäudeautomation deckungsgleich mit denen im Produktionsumfeld, es besteht ein dringender Bedarf an fundamentalen Sicherheitsmaßnahmen bei der Integration von IT-Diensten.

Während in der klassischen OT die Notwendigkeit wirksamer Schutzkonzepte zumindest auf dem Radar ist, ist die Gebäudeautomation ein blinder Fleck geblieben. Woran liegt das?

“Schwachstellen sind keine punktuellen Probleme, sie sind ineinandergreifende Herausforderungen, auf die keine adäquate Antwort erfolgt.”

Einige Schwachstellen wachsen seit langer Zeit unbeachtet vor sich hin, so dass die sich verschärfende Gefahrenlage sie längst überholt hat. Das Rennen ist jedoch zu gewinnen, wenn man bei der Lösungsfindung mit den Ursachen beginnt.

Kulturelle Diskrepanzen und unklare Zuständigkeiten

Den sicheren Betrieb eines Gebäudes zu planen und umzusetzen, das ist Sache von Integratoren und Betreibern. Doch obwohl es ausreichend Richtlinien und Ansätze für die Absicherung der Prozesse und der Kommunikation gibt, so kommt die Umsetzung doch nicht recht in Gang.

Das liegt zum einen an der fehlenden Awareness für die Notwendigkeit von Sicherheitsmaßnahmen, die bei den Herstellern von Komponenten sichtbar wird und sich dann weiter im produktiven Betrieb fortsetzt. Security-Maßnahmen gehören für die meisten Hersteller und Integratoren für Anlagen, wie z.B. Personenfahrstühle, schlicht nicht in ihr Ressort. Und selbst wenn doch an einer Stelle auf Security geachtet wird, so muss die Absicherung auch in jedem anderen Bereich eines Gebäudes erfolgen, um eine ganzheitliche Sicherheit zu erreichen. Dass die Absicherung der IT-basierten Komponenten nicht vorankommt, liegt schlicht auch an ungeklärten Zuständigkeiten und an einer fehlenden Abstimmung zwischen den betroffenen Bereichen.

Zwei Welten nebeneinander und einige Fragezeichen

Der Betrieb eines Gebäudes kommt prinzipiell ohne die Einbeziehung der IT-Abteilung aus. Das beginnt mit der Errichtung eines Gebäudes, das meist von Fachplaner konzipiert wird. Der Fachplaner für die Gebäudeautomation oder Elektrik macht auch gleich noch das zugrundeliegende Netzwerk mit. Das Gesamtwerk geht nach Fertigstellung in die Verantwortung des Facility Managements über, das auch für den Betrieb der IT-basierten Gebäudeautomation zuständig ist.

Die IT-Abteilung ist weder bei den integralen Abnahmetests des Gebäudes planmäßig involviert, noch später, wenn z.B. Kabel für automatische Türschließanlagen verlegt werden. Das macht der Elektriker halt noch mit. Und wenn der Betrieb eines Gebäudes als Gesamtauftrag an einen externen Dienstleister vergeben wird, so geschieht auch das ohne Beteiligung der IT-Abteilung, obwohl dabei auch die IT-Plattform und die Netzwerke der Gebäudeautomation nach extern gegeben werden. Diese Infrastruktur wurde meist ohnehin schon jahrelang an der IT vorbei betrieben.

Vor dem Hintergrund, dass eine grundlegende Security-Betrachtung für IT und OT in Unternehmen meist von der IT-Abteilung getrieben wird, ist dieser Ansatz natürlich bedenklich. Und es erklärt, warum die Gebäudeautomation eine Art Nebenschauplatz geblieben ist, der bei der Entwicklung von Sicherheitskonzepten schlicht nicht im Fokus ist. Die machen ihr eigenes Ding.

Die IT-Abteilung wird erst dann einbezogen, wenn es spezifische Anforderungen gibt, z.B. Fernwartung über Zugänge realisiert werden soll, die in der Verantwortung der IT liegen. Und dann werden die Fragen nach Zuständigkeiten und Verantwortung schnell zum Showstopper.

Dem sollten Sie unbedingt entgegenwirken und mit einem Austausch beginnen. Das Format spielt dabei keine Rolle, Hauptsache, Sie sprechen miteinander, beziehen die Kollegen bei den relevanten Themen und Projekten mit ein und profitieren von der Erfahrung, die in der IT-Abteilung längst vorhanden ist.

Rechenzentrum oder Schreibtischschublade – unterschiedliche Betrachtung und Herangehensweisen

Der unterschiedliche Anspruch von IT und OT/Gebäudeautomation an Security wird schon im Umgang mit IT-Systemen deutlich: Obwohl sie dieselbe Funktion und Kritikalität haben, wird der Server einer IT-Abteilung in einem gesicherten Rechenzentrum mustergültig untergebracht. Dagegen finden sich zuweilen Systeme und Komponenten für die IT-Infrastruktur in der Gebäudeautomation auch an unkonventionellen Plätzen, beispielsweise unter einem Schreibtisch oder in einer Werkstatt.

Security in der GA heißt, mit allen Fachabteilungen zusammenzuarbeiten, da der öffentliche Raum, der Fahrstuhl und jeder Bereich in einem Gebäude durch die GA erschlossen wird. Benutzer sind quasi alle. Bedeutet auch: Wenn ein Hersteller Security integriert oder ein Protokoll sicherer wird, dann ist das nicht einmal die halbe Miete, weil es um eine ganzheitliche Betrachtung geht.

Mit welchen Herausforderungen Sie in technischer Hinsicht konfrontiert werden und wie Sie damit erfolgreich umgehen können, beleuchten wir im zweiten Teil unserer Artikelserie zur IT Sicherheit in der Gebäudeautomation.

Wie auch in der OT gilt auch bei der Gebäudeautomation: Profitieren Sie vom Know-how Ihrer IT-Abteilung und holen Sie auch bei kleineren Projekten IT-Kollegen mit ins Boot. Fördern Sie den Austausch und den Wissenstransfer zwischen den Abteilungen!