Unsere Themenseite Gebäudeautomation beleuchtet die Rolle der Gebäudeautomation in einem ganzheitlichen IT-Sicherheitskonzept. Hier haben wir bereits die Anforderungen, die sich für die Gebäudeautomation als besonderer Teil der OT ergeben, behandelt. Nachdem es gemeinsame Standards für die Absicherung von IT-Infrastrukturen gibt, wird der Nutzen einer Zusammenarbeit von OT/Gebäudeautomation und IT-Abteilung deutlich.
Kommen wir nun zu den Schwachstellen, die Sie auf technischer Ebene überwinden müssen, um Ihre Gebäudeautomation wirksam abzusichern.
Die Herausforderungen in der Technik und praxisnahe Lösungsansätze
Ein Vorgehen, das sich mehr an Pragmatismus orientiert als an Security-Standards hat sich nicht nur in der Gebäudeautomation etabliert, sondern auch in anderen Bereichen der OT. So ergibt sich durch eine hemdsärmelige Herangehensweise oft ein rasant anwachsendes Risiko für Anlagen mit einem hohen Vernetzungsgrad. Um direkt vom Arbeitsplatz auf eine Anlage zugreifen zu können, werden zum Beispiel Server und Engineering Clients mit zwei Netzwerkkarten ausgestattet. Dadurch wächst die Anzahl der Zugänge signifikant. Dokumentation? Leider Fehlanzeige!
“Die Absicherung von IT-Systemen in der Gebäudeautomation steckt noch in den Kinderschuhen, aber Cyberkriminelle sind inzwischen erwachsen geworden.”
Diesen Schwachstellen sollten Sie mit wirksamen Gegenmaßnahmen begegnen:
1) Unregelmäßig oder gar nicht gepatchte Systeme
Wie in der industriellen Produktion, so stellen auch in der Gebäudeautomation ungepatchte Systeme offene Einfallstore für Schadcode dar. Das Aufspielen von Software-Updates funktioniert in der Betriebstechnik nicht automatisch, wie es in der IT der Fall ist. Patchvorgänge erfordern oft mehrstündige Downtimes, weil die Funktionalität der Systeme nach dem Update validiert werden muss. Im laufenden Betrieb ist das nicht realisierbar.
Aber die Stillstände bei Patchvorgängen sind nicht allein ursächlich dafür, dass Systeme keine aktuellen Versionsstände aufweisen. Oftmals ist jedwede Änderung nach der Abnahme einer Anlage vom Hersteller strikt untersagt. Änderungen können zum Verlust von Garantie und Support führen. Und in Safety-relevanten Bereichen erfordern technische Änderungen, egal welchen Ausmaßes, oft direkt einen neuen Audit der gesamten Anlage. Das will gut überlegt sein!
Bei einer Anlagenlaufzeit von 25 Jahren und mehr kommen die Softwareversionen von integrierten Systemen durchaus auf biblische Stände und stellen damit in vernetzten Umgebungen ein hohes Sicherheitsrisiko dar.
Ungepatchte Systeme bremsen zudem den Einsatz bewährter Technologien, wie zum Beispiel virtualisierte Gebäudeleittechnik, weil sich Server mit alten Softwareständen, außerhalb gesicherter Rechenzentren aufgestellt, nicht dazu eignen, komplexe Virtualisierungen zu betreiben.
Das Problem unzureichend gepatchter Systeme erfordert eine Lösung, bei der Sie möglichst Hersteller und Integratoren mit ins Boot holen sollten. Setzen Sie die Durchführung regelmäßiger Patches auf die Agenda für Ihr Betriebs- und Wartungskonzept und sprechen Sie mit den betroffenen Mitarbeitern, wie die Umsetzung so gestaltet werden kann, dass laufende Prozesse möglichst wenig beeinträchtigt werden.
2) Schwachstellen der eingesetzten Software
Bei Software, die in der Gebäudeautomation eingesetzt wird, steht vor allem Funktionalität und Verfügbarkeit im Fokus, nicht aber Sicherheit.
In einer Landschaft mit vielen undokumentierten Systemen ist die Anforderung für Software-Patches nicht immer in den Köpfen der für den Betrieb zuständigen Mitarbeiter präsent oder Änderungen sind, wie bereits beschrieben, ohne erneute Abnahmen gar nicht erlaubt.
Für Hersteller ist die Entwicklung von Updates mit hohen Validierungsaufwänden verbunden, daher sind Patches bisher oft nur mit großen Verzögerungen oder gar nicht verfügbar.
Der Betrieb der Hardware, der Software und der Protokolle liegt oftmals in den Händen von Personal, dessen Expertise sich nicht primär auf IT bezieht. Da steht meist Bedienerfreundlichkeit mehr im Vordergrund als Sicherheitsfeatures, die einfach zu umgehen und abzuschalten sind.
3) Was von den Protokollen in Punkto Sicherheit zu erwarten ist
Die in der Gebäudeautomation eingesetzten gängigen Protokolle wie BACnet oder KNX werden durch ihre Hersteller weiterentwickelt. Durch den Einsatz zertifikatbasierter Verschlüsselung soll der Transport der Daten zuverlässiger abgesichert werden, ebenso durch Features, die bei den typischen IT-Protokollen zur Absicherung eingesetzt werden.
Neue Protokollversionen wie BACnet Secure Connect mit verbesserter Sicherheit beim Datentransfer sind jedoch nur ein kleiner Teil der gesamten IT-Kette. Die umfassende Absicherung der OT-Systeme hängt entscheidend davon ab, ob der Rest der Kette ebenfalls gleichwertig abgesichert ist.
Und dann sind wir wieder bei der Sache mit der langen Laufzeit der Anlagen in der Gebäudeautomation. Bis die neuen Protokollversionen tatsächlich zum Einsatz kommen, vergeht noch sehr viel Zeit, in der der Sicherheitsstandard weiterhin zu wünschen übrig lässt. Somit ist auch eine Verbesserung der Sicherheitsstandards bei den Protokollen nur eine Einzelmaßnahme und ersetzt nicht die Entwicklung und Realisierung eines ganzheitlichen Sicherheitskonzeptes.
4) Security by Design – wieviel echte Sicherheit steckt hinter der Parole?
Wenn Hersteller ihren Marktanteil durch eine möglichst schnelle Time-to-Market halten oder ausbauen können, dann ist Security keine Anforderung, der sie Systemressourcen und Entwicklungszeit opfern, zumal oft nicht klar ist, wie ein Markt sich entwickeln wird.
Die Validierung von Programmcode ist in der Gebäudeautomation nicht üblich wie in der IT, gleichzeitig ist die Gefährdung ihrer ungeschützten IT-Infrastruktur schon durch die Vielzahl der eingesetzten Technologien und Komponenten immens. Nahezu jedes Gerät mit Kabel, wie beispielsweise ein Schalter, kann zur Datenübertragung genutzt werden. Es sollte daher in eine Sicherheitsbetrachtung mit einbezogen werden, genauso wie die komplexen Steuerungssysteme.
Nachdem von den Herstellern nicht zu erwarten ist, dass sie die Sicherheitslücke im Design wirksam und systemübergreifend schließen werden, müssen Sie für Ihr Unternehmen ein nachhaltiges und ganzheitliches Sicherheitskonzept gemäß Ihren eigenen Anforderungen etablieren.
Defense in Depth – Unabhängige Schutzmaßnahmen zur Tiefenverteidigung
OT-Schutzkonzepte sind auch für die Gebäudeautomation geeignet, es geht immerhin um identische Komponenten mit identischen Anforderungen. Die Maßnahmen werden in allen Ebenen des Prozesses angewendet, in der Management-Ebene, der Automationsebene und in der Feldebene. Jede Vorkehrung ist für sich einzeln wirksam, in der Summe ergibt sich eine umfassende und nachhaltige Absicherung.
Folgende Möglichkeiten bieten sich an:
Netzwerkdesign und Netzwerksegmentierung
Die Grundlage einer wirksamen Absicherung ist die Kenntnis über die Gesamtheit der eingesetzten Assets und Endgeräte sowie deren Kommunikation. Auf Basis der Asset-Informationen und deren Klassifizierungen wird das Netzwerk in Layer, Zonen, Conduits (Zonenübergänge), Segmente und Zellen unterteilt.
Umgang mit Schadcode
- Intrusion Detection und Prevention bei den Netzübergängen
- Anti-Virus-Schutzsysteme, möglichst auch auf Endgeräten
- Patch-Management (Sicherheitslücken schließen, die ein Schadcode nutzen könnte)
Anomalieerkennung
- Änderungen im Traffic erkennen und darauf reagieren
- Traffic mit Hilfe von Industrial Threat Libraries vergleichen und analysieren (schadhaftes Verhalten bereits in der Kommunikation erkennen)
OT-Security Baselines
- In der IT bewährte Methoden in der OT anwenden
Resiliency
- Awareness bei den Mitarbeitern steigern
- Backup und Restore-Konzepte
- Redundanzen
- Versicherungen
Normen helfen bei der Orientierung
Die Basis-Aufgaben für einen sicheren IT-Betrieb sind auch für die Gebäudeautomation in den einschlägigen Normen festgelegt. Diese Normen und Standards sind ein sinnvoller Ausgangspunkt für die Entwicklung eines Schutzkonzeptes. Wir empfehlen Ihnen, sich an folgenden Vorgaben zu orientieren:
- VDMA Einheitsblatt 24774 (Titel: IT-Sicherheit in der Gebäudeautomation)
- IEC 62443 (industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme)
- VDI 6041 – “Technisches Monitoring von Gebäuden und gebäudetechnischen Anlagen”
Fazit
Die Gebäudeautomation trägt mit einer Vielzahl vernetzter Anlagen wesentlich dazu bei, dass Unternehmen produktiv sein können. Wegen der weitreichenden Abhängigkeiten zwischen Gebäudeautomation und Produktion ist es erforderlich, dass die IT-basierten vernetzten Systeme in der Gebäudeautomation in die Konzeption eines ganzheitlichen Schutzkonzeptes für die Betriebstechnik eingeschlossen werden. Bereits überschaubare Maßnahmen erhöhen das Sicherheitsniveau und bilden die Grundlage für eine nachhaltige Absicherung.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
Danke für den lesenswerten Beitrag zu Systeme der Gebäudeautomatik, toll zusammengefasst. Gerne mehr davon. Liebe Grüsse
Vielen Dank für das positive Feedback. Mehr davon kommt, versprochen 😊
Interessanter Beitrag! Haben Sie Gebäudeautomationssysteme auch schon an SIEM Systeme angebunden? Um natürlich die Sicherheit zu erhöhen, aber auch fûr tiefere Einblicke in die Prozesse. vllt findet sich ja an der ein oder anderen stelle Optimierungspotential.
Und man könnte eventuelle Anomalien nicht nur auf Netzwerkebene, sondern auch darüber erkennen.
Hallo Irakli,
besten Dank für’s Feedback.
Nein, darüber habe ich noch nicht nachgedacht, aber ein sehr interessanter Gedanke!
Die meiste GLT lässt Informationen nur per E-Mail/SMS/Text-2-Speech nach draußen, in der typischen Form von Alarmierungen… oder eben das klassische Reporting, die ich mir im Vorfeld selbst zusammenbaue. Hier wäre wirklich die Frage, welche Informationen hier Sinn machen in einem SIEM und auf welchem Standard eine Anbindung erfolgen könnte. Vermutlich könnte man am meisten über Schnittstellen zu Historians abgreifen. Wenn die Informationen vorliegen, damit man Anomalien nicht nur im Netzwerk sondern auch in der Automationslogik erkennen könnte, dann wäre ganz neue Use-Cases möglich und Instandhaltung und Betreiber könnten ordentlich davon profitieren. Sag gerne Bescheid, wenn Du hier noch konkretere Ideen hast.
Viele Grüße
Tim
Ich wollte schon immer mehr wissen über Gebäudeautomatisierung. Ich denke, das ist etwas, über das jeder mehr wissen sollte. Ich werde diesen Artikel auch mit meinem Onkel teilen. Das interessiert ihn auch.