Sicherheitslücken schließen

Unter „GA“ fallen die gesamten Regel-, Überwachungs-, Steuer- und Optimierungs-einrichtungen eines Gebäudes, die einen wichtigen Bestandteil des technischen Facilitymanagements bilden. Eine Vielzahl von integrierten Regelungsfunktionen in der Heizungs-, Lüftungs-, Klima- und Kältetechnik (HLK) sowie intelligente Lichtsteuerung sind mittlerweile zum Standard geworden.

In der Tat werden IT-Sicherheitslücken der GA-Systeme seit Jahren durchaus ausgenutzt. Im Mai 2013 ist es zwei IT-Sicherheitsforschern gelungen, in das GA-System des Google Australia Offices einzudringen, welches auf der Tridium-Niagara-AX-Plattform basierte. Durch erhebliche Sicherheitslücken, die sie aufwies, erhielten die Forscher Zugriff auf die gesamte Systemsteuerung. Danach veröffentlichte Tridium zwar einen Sicherheitspatch, doch zahlreiche GASysteme blieben weiterhin auf dem alten Stand.

Ein weiteres Beispiel betrifft das St. Regis Shenzhen Hotel, welches jedem Gast ein iPad mit einer App für die Steuerung und Bedienung der Raumautomation zur Verfügung stellt. Im Juli 2014 demonstrierte ein Hotelgast, wie sich sein Gast-iPad mithilfe eines Skripts fernbedienen ließ. Anschließend stellte er fest, dass die Netzwerkadressen aller Zimmer sequenziell vergeben wurden, was ihm erlaubte, jedes der 250 Zimmer gezielt kontrollieren zu können.

Durch viele Faktoren, wie Bedenken hinsichtlich des Schutzes der Privatsphäre oder das Risiko, sich weiteren derartigen Angriffen auszusetzen, bleibt die Mehrzahl solcher Vorfälle unveröffentlicht. Laut dem U.S. Computer Emergency Readiness Team (USCert), einer Meldestelle für Cyber-Angriffe, finden sie dennoch regelmäßig statt.

Ausgehend von den aktuellen Prognosen des Marktforschungsunternehmens Gartner werden 20 Prozent aller Smart Buildings bis Ende 2018 von „digitalem Vandalismus“ betroffen sein. Zu dieser Bewertung tragen im Wesentlichen vier Faktoren bei. Eine Studie von Research and Markets verweist erstens auf das erwartete Marktwachstum für automatisierte HLK-Systeme von acht Prozent jährlich in den nächsten fünf Jahren, wodurch auch die Anzahl der Smart Buildings kontinuierlich steigen wird.

Zweitens werden immer mehr GA-Systeme online zugänglich, einerseits durch eine wachsende Zahl an integrierten Komponenten und andererseits durch eine zunehmende Tendenz zur Nutzung von Cloud-Lösungen für die Kernfunktionen der GA.

Zahlreiche Sicherheitsvorfälle sind aber drittens auf menschliche Faktoren zurückzuführen. Beispielsweise können sich aus einem Mangel an strengen Passwortrichtlinien ernsthafte Auswirkungen ergeben. Viertens bleibt jedoch eine unzureichende Absicherung von GA-Systemen der Hauptgrund für erfolgreiche Cyberangriffe.

Die Unsicherheit von GA-Systemen hat seine Ursache darin, dass die ersten GASysteme während einer Zeit entstanden sind, in der IT-Sicherheit bei Weitem nicht im Mittelpunkt stand. Die eingesetzte Klimatechnik ist beispielsweise im Schnitt 25 Jahre alt. Hinzukommt noch die Tatsache, dass die Hersteller der GA-Systeme über einen starken elektrotechnischen, aber nicht sicherheitsrelevanten Hintergrund verfügen, und ihren Hauptfokus auf die Langlebigkeit und Verwendbarkeit ihrer Produkte legen. Dabei wird der sicherheitstechnische Aspekt der gebauten Systeme höchstens oberflächlich behandelt oder ganz beiseite gelassen. Dieser sicherheitstechnische Aspekt unterscheidet sich dennoch in vielerlei Hinsicht von der ITSicherheit im Internet, bei der das Basiswissen mittlerweile praktisch jedem Administrator bekannt ist.

Zu den Folgen von Angriffen auf die GA zählen unter anderem Datenverlust, Vandalismus, massive Störung der Arbeitsabläufe sowie zahlreiche wirtschaftliche Schäden. Beim Datenverlust werden vertrauliche oder sensible Informationen mithilfe der Gebäudeautomation an Unbefugte übermittelt. Beispielsweise könnte ein Praktikant die Anwesenheit seines Vorgesetzten in dessen Büro durch die Abfrage von Anwesenheitssensoren, CO2-Sensoren oder Temperatursensoren überwachen. Ebenso gut könnten private Daten Tausender von Menschen an Versicherungsunternehmen verkauft werden (etwa wer nachts häufig zur Toilette geht und vermutlich krank ist). Ein weiteres denkbares Szenario befasst sich mit der Analyse, zu welchem Zeitpunkt und wo genau ein Einbruch in einem Gebäudekomplex am besten erfolgen soll. Dieses wäre durch automatisches Öffnen von Fenstern oder Türen möglich.

GA-Systeme sind allerdings nicht nur deshalb anfällig für Angriffe, weil Altsysteme mit dem Internet verbunden werden, sondern auch, weil ihre Absicherung mit horrenden Kosten verbunden ist. Bestehende Altsysteme können kaum oder nur mit hohem Aufwand nachgerüstet werden, sodass sie etwa aktuelle kryptografische Algorithmen unterstützen.

Diese Problematik führt zu der Frage, wer die entsprechenden Kosten zur Nachrüstung von bestehenden GA-Systemen und zur Entwicklung neuer, sicherer GA-Systeme tragen soll. Hier verweisen Hersteller auf ihre Kunden, die nicht dafür bereit seien, die höheren Kosten auszugeben. Tatsächlich sind sicherere GA-Systeme oft teurer und Ausschreibungen mit ihnen schlechter zu gewinnen. Betreiber können wiederum kaum das Know-how bereitstellen, das zum Verfassen einer entsprechenden Ausschreibung notwendig wäre. Selbst den meisten Herstellern fehlt das notwendige Know-how noch immer. Auf diese Weise dreht sich die Argumentation im Kreis.

Um die Sicherheit in der GA effektiv zu verbessern, müssen zwei Wege eingeschlagen werden. Zunächst muss den Herstellern geholfen werden, sicherere Produkte zu entwickeln beziehungsweise müssen sie dieses Know-how selber aufbauen, indem Experten angeworben werden. Zum anderen müssen Bestandssysteme bei Betreibern analysiert und abgesichert werden. Derlei Sicherheitsanalysen geben einen Überblick über bestehende Sicherheitsprobleme und liefern eine Einschätzung ihrer Relevanz.

Anschließend können Maßnahmen integriert werden – etwa Traffic Normalization, ein Ansatz aus dem BMBF-geförderten Barni-Projekt, der den Datenverkehr vor Bestandssystemen so modifiziert, dass Altsysteme nur sehr begrenzt Schaden durch Angriffe nehmen können.

Doch insbesondere die Absicherung von Außenzugängen beziehungsweise die Abschottung der GA-Anlagen sind relativ einfach umsetzbar. Die Angriffsvektoren für Externe werden somit minimiert. Interne Angriffe, etwa von unzufriedenem Personal, können damit jedoch nicht immer abgewehrt werden und resultieren manchmal in überraschend hohen Kosten. Zur Absicherung vor solchen Fällen helfen nur ausgefeilte Schutzlösungen, die Datenübertragungen verschlüsseln und überwachen, Zugriffsschutz integrieren oder GA-Daten, wie zum Beispiel Aufzeichnungen von Sensoren, verschlüsselt speichern.