Was haben Sie vor Augen, wenn von Automatisierung die Rede ist? Weitläufige Fabrikhallen mit betriebsamen Fertigungsstraßen und komplexen Roboteranlagen? Das Naheliegende kommt einem meist erst später in den Sinn: Bereiche, die uns ständig umgeben, die wir aber kaum bewusst wahrnehmen, weil sie selbstverständlich sind: Gebäude.

Wenn die für uns unsichtbare Automatisierung in einem Gebäude störungsfrei abläuft, bemerken wir die Auswirkungen meist nicht, denn Türen öffnen sich wie sie sollen, die Räume sind angenehm klimatisiert und die Fahrstühle bringen uns dahin, wohin wir wollen. Erst wenn die Gebäudeautomation nicht funktioniert, spüren wir sie.

Für Cyberkriminelle ist die Gebäudeautomation jedoch keineswegs eine „vergessene Welt“: Sie bietet bei einer Vielzahl physischer Einrichtungen und technischer Zugänge leicht zu überwindende Angriffsziele. Störfälle basieren jedoch nicht nur auf gezielten Attacken, sondern können auch hausgemacht sein. Die Prozesse in der Gebäudeautomation haben besondere Anforderungen in einer heterogenen, zunehmend vernetzen Umgebung.

Im Hinblick auf die besondere Bedeutung von Gebäuden als Lebensraum (Stichwort smart home) und als Stützpunkt für Geschäftstätigkeit sind wirksame Sicherheitsmaßnahmen unerlässlich.

Schauen wir uns zunächst an, was die grundlegenden Aufgaben der Gebäudeautomation sind und wie diese im Unternehmen eingeordnet wird.

Was ist Gebäudeautomation und welche Anforderungen gibt es?

Zur Gebäudeautomation zählen Maßnahmen, Prozesse, Software und Dienstleistungen, die für die Vernetzung der technischen Gebäudeausstattung eingesetzt werden, z.B. Beschattungsanlagen, Zugangskontrollen und Notfallsteuerungen. Die Vielzahl an Maßnahmen und Prozessen, die in einem ganzheitlichen Konzept auch bereichsübergreifend funktionieren müssen, machen den Betrieb eines Gebäudes zu einer komplexen Herausforderung.

Wichtig ist: Der Begriff „Gebäude“ umfasst in unserem Kontext nicht nur Häuser und Hallen. Auch Konstruktionen wie ein Fernsehturm, ein Gefängnis oder eine Bohrinsel werden im Kontext der Gebäudeautomation relevant.

In den meisten Unternehmen gibt es weitreichende Abhängigkeiten zwischen Gebäudeautomation und Produktion. Häufig ist die Gebäudeautomation ein essenzieller Bestandteil der Produktion selbst z.B. in Abwasseranlagen, Kühlhäusern oder in Konzerthallen. Dennoch wird diese in vielen Unternehmer nur als Nebenanlage geführt.

Dieser Umstand ist für Angreifer ein gefundenes Fressen: Funktioniert beispielsweise eine Brandschutzanlagen nicht korrekt, darf üblicherweise das Gebäude nicht betrieben werden.

Welche Aufgaben leistet eine funktionierende Gebäudeautomation?

Im Fokus der Gebäudeautomation steht zunächst der funktionale Betrieb, also die Steuerung der einzelnen Funktionen eines Gebäudes, sowie die Sicherung der Anlagenverfügbarkeit. Dies schließt auch physische Sicherheitsmaßnahmen, wie z.B. Zugangskontrolle und Videoüberwachung mit ein.

Hieraus lassen sich die zwei Hauptziele der Gebäudeautomation ableiten:

Ein wichtiges Ziel der Gebäudeautomation ist die Optimierung der technischen Einrichtungen hinsichtlich Effizienz und Nachhaltigkeit in den Bereichen Wasser, Heizkraft und Energie. Die Effekte einer Optimierung kommen in der Folge den Kennzahlen im Produktionsprozess und damit den Ergebnissen im Unternehmen zugute. Dabei müssen die Bedürfnisse der Zielgruppen berücksichtigt werden und ein ausreichender Komfort für die Menschen sichergestellt sein, die sich in den Gebäuden aufhalten.

Der zweite Schwerpunkt in der Zielsetzung geht weit über den Komfort hinaus, er betrifft den Schutz von Leib und Leben für Personen im Gebäude sowie die Vermeidung von Schaden für die Umwelt und für Sachwerte. Dieses als Safety bekannte Schutzziel schließt in der Gebäudeautomation eine Vielzahl von Aufgaben mit ein, weil es zahlreiche Ausgangssituationen für Gefahrenlagen in Gebäuden gibt. Technische Defekte, Naturgewalten, Cyberangriffe, etc. können vielfältige Notfälle verursachen, denen sowohl die Organisation als auch die Technik mit ganzheitlichen Schutzmaßnahmen begegnen müssen. Hierzu zählen Brandschutz, Notfallsteuerung, etc.

Smart oder nicht – Gebäudeautomation nimmt zu, Sicherheit nicht

Das IoT (Internet of Things) vernetzt nicht nur komplexe Fertigungssysteme in Produktionshallen und ermöglicht die Kommunikation mit und zwischen den einzelnen Komponenten. Längst ist auch funktionale Haustechnik via Internet ansprechbar und steuerbar, und zwar nicht nur Jalousien, Heizung und Rasenbewässerungssysteme, sondern selbst Kaffeemaschine, Herd und Kühlschrank.

Hier fehlt es oftmals am Bewusstsein für die Notwendigkeit wirksamer Schutzmaßnahmen, vor allem bei den Herstellern von Komponenten und Systemen.

In betrieblich genutzten Gebäuden ist die Anforderung an Sicherheit nicht geringer, allerdings ist die Kritikalität wesentlich höher, weil die Auswirkungen von Funktionsausfällen weitreichende Folgen haben können.

Gebäudeautomation ist OT

Gebäudeautomation ist ein Bereich, der oftmals als Nebenanlage vermerkt ist und dessen Grenzen fließend sind. Dabei gibt es viele Abhängigkeiten und Interaktionen mit den klassischen Produktionsbereichen. Während die industrielle Produktion naturgemäß als Operation Technology bezeichnet wird, ist eine Betrachtung der Gebäudeautomation als Teil der OT nicht nahe liegend.

Bei näherer Betrachtung werden sie aber feststellen: Die Aufgaben der Gebäudeautomation sind dieselben wie die der klassischen Produktion: Messen, steuern, regeln, leiten. Es gelten dieselben Richtlinien und Rahmenbedingungen. Beide Bereiche erfahren eine zunehmende Vernetzung der Komponenten und Anlagen und stehen vor denselben technischen und organisatorischen Herausforderungen.

Die Anforderungen an Industrial Security, der Absicherung der IT-basierten Komponenten in der Infrastruktur ist in der Gebäudeautomation deckungsgleich mit denen im Produktionsumfeld. Es besteht ein dringender Bedarf an fundamentalen Sicherheitsmaßnahmen bei der Integration von IT-Diensten.

Während in der OT die Notwendigkeit wirksamer Schutzkonzepte zumindest auf dem Radar ist, ist die Gebäudeautomation ein blinder Fleck geblieben. Woran liegt das?

“Schwachstellen sind keine punktuellen Probleme, sie sind ineinandergreifende Herausforderungen, auf die keine adäquate Antwort erfolgt.”

Einige Schwachstellen wachsen seit langer Zeit unbeachtet vor sich hin, so dass die Gefahrenlage sie längst überholt hat. Das Rennen ist jedoch zu gewinnen, wenn man bei der Lösungsfindung mit den Ursachen beginnt.

Kulturelle Diskrepanzen und unklare Zuständigkeiten

Den sicheren Betrieb eines Gebäudes umzusetzen, das ist Sache von Integratoren und Betreibern. Doch obwohl es ausreichend Richtlinien und Ansätze für die Absicherung der Prozesse und der Kommunikation gibt, so kommt die Umsetzung doch nicht recht in Gang.

Das liegt zum einen an der fehlenden Awareness für die Notwendigkeit Sicherheitsmaßnahmen zu implementieren, die bei den Herstellern von Komponenten sichtbar wird und sich dann weiter im produktiven Betrieb fortsetzt. Securitymaßnahmen gehören für die meisten Hersteller und Integratoren für Anlagen, wie z.B. Personenfahrstühle schlicht nicht in ihr Ressort, und selbst wenn an dieser einen Stelle auf Security geachtet wird, so müsste dies auch in jedem anderen Bereich eines Gebäudes umgesetzt werden, um eine ganzheitliche Sicherheit zu erreichen. Dass die Absicherung der IT-basierten Komponenten nicht vorankommt, liegt jedoch schlicht auch an ungeklärten Zuständigkeiten und an einer fehlenden Abstimmung zwischen den betroffenen Bereichen.

Zwei Welten nebeneinander und einige Fragezeichen

Der Betrieb eines Gebäudes kommt prinzipiell ohne die Einbeziehung der IT-Abteilung aus. Das beginnt mit der Errichtung eines Gebäudes, das meist von Fachplaner geplant wird. Der Fachplaner für die Gebäudeautomation oder Elektrik macht auch gleich noch das zugrundeliegende Netzwerk mit. Das Gesamtwerk geht nach Fertigstellung in die Verantwortung des Facility Managements über, welches auch für den Betrieb der IT-basierten Gebäudeautomation zuständig ist.

Die IT-Abteilung ist weder bei den integralen Abnahmetests des Gebäudes planmäßig involviert, noch später, wenn Kabel für automatische Türschließanlagen verlegt werden. Das macht der Elektriker halt noch mit. Und wenn der Betrieb eines Gebäudes als Gesamtauftrag an einen externen Dienstleister vergeben wird, so geschieht auch das ohne Beteiligung der IT-Abteilung, obwohl dabei auch IT-Plattform und Netzwerke der Gebäudeautomation nach extern gegeben werden. Diese Infrastruktur wurde meist ohnehin jahrelang an der IT vorbei betrieben.

Vor dem Hintergrund, dass eine grundlegende Security-Betrachtung für IT und OT in Unternehmen meist von der IT-Abteilung getrieben wird, ist dieser Ansatz natürlich bedenklich, erklärt aber, warum die Gebäudeautomation eine Art Nebenschauplatz geblieben ist, der bei der Entwicklung von Sicherheitskonzepten schlicht nicht im Fokus ist. Die machen ihr eigenes Ding.

Die IT-Abteilung wird erst dann einbezogen, wenn es spezifische Anforderungen gibt, z.B. Fernwartung über Zugänge realisiert werden soll, die in der Verantwortung der IT liegen. Und dann werden die Fragen nach Zuständigkeiten und Verantwortung schnell zum Showstopper.

Dem sollten Sie unbedingt entgegenwirken und mit einem Austausch beginnen. Das Format spielt dabei keine Rolle, Hauptsache, sie sprechen miteinander, beziehen die Kollegen bei den relevanten Themen und Projekten mit ein und profitieren von der Erfahrung, die in der IT-Abteilung längst vorhanden ist.

Rechenzentrum oder Schreibtischschublade – unterschiedliche Betrachtung und Herangehensweisen

Der unterschiedliche Anspruch von IT und OT/Gebäudeautomation an Security wird schon im Umgang mit IT-Systemen deutlich: Obwohl sie dieselbe Funktion und Kritikalität haben, wird der Server einer IT-Abteilung in einem gesicherten Rechenzentrum mustergültig untergebracht. Dagegen finden sich zuweilen Systeme und Komponenten für die IT-Infrastruktur in der Gebäudeautomation auch an unkonventionellen Plätzen wie unter einem Schreibtisch oder in einer Werkstatt.

Weiterhin muss Security in der GA auch mit allen Fachabteilungen umgehen, da der öffentliche Raum, der Fahrstuhl und jeder Bereich in einem Gebäude durch die GA erschlossen wird. Benutzer sind quasi alle. Bedeutet auch: Wenn ein Hersteller Security integriert oder ein Protokoll sicherer wird, dann ist es, aufgrund der ganzheitlichen Betrachtung, eben nicht mal die halbe Miete.

Mit welchen Herausforderungen Sie in technischer Hinsicht konfrontiert werden und wie Sie damit erfolgreich umgehen können, beleuchten wir im zweiten Teil unserer Artikelserie zur IT Sicherheit in der Gebäudeautomation.

Wie auch in der OT gilt auch bei der Gebäudeautomaton: Profitieren Sie vom Know-how Ihrer IT-Abteilung und holen Sie auch bei kleineren Projekten IT-Kollegen mit ins Boot! Fördern Sie den Austausch und den Wissenstransfer zwischen den Abteilungen!