Moderne Gebäude: Smart – aber auch sicher?

Ein Cyber-Angriff auf die Gebäudetechnik, das war noch vor nicht allzu langer Zeit ein ziemlich aussichtsloses Unterfangen: Der Schaltschrank stand wohl verschlossen im Keller, Einstellungen konnte man nur per Schalter am Schaltschrank oder per Folientastatur direkt am Gerät vornehmen. Zudem war die Kommunikations-Hard- und -Software in der Regel herstellerspezifisch. Ein digital vorgehender externer Angreifer stand also von vornherein auf verlorenem Posten.

Dies hat sich im Smart-Building-Zeitalter fundamental geändert: Die intelligente Gebäudetechnik nutzt heute Kommunikationsstandards wie BACnet, KNX, SMI, Dali, Modbus oder Mbus sowie etablierte IT-Techniken; Automationskomponenten sind nicht selten Cloud-basiert und haben Verbindung zum Internet. Über praktische Smartphone-Apps können Gebäudenutzer komfortabel und direkt verschiedene Raumparameter einstellen, aber auch Besprechungsräume oder Shared-Desk-Arbeitsplätze buchen. Nur mit einer derart vernetzten und offenen Architektur lassen sich heute die modernen Anforderungen an Energieeffizienz, Fernwartungsfreundlichkeit und Anwenderkomfort erfüllen. Gebäudeautomation als proprietäre Insellösung wie früher, das wäre zwar prinzipiell so sicher wie ein alter C64 ohne Modem – doch auch genauso wirkungslos.

Das zeitgemäße Gebäude ist ein hochgradig vernetztes IT-System und Bestandteil des Internets der Dinge – und sollte als solches betrachtet werden, vor allem in punkto IT-Sicherheit. Hier fehlt es vielerorts noch an Awareness. Man muss sich bewusst machen, dass die Gebäudeautomation in vielen Fällen in die IT-Infrastruktur mit integriert ist und somit ebenfalls gehärtet werden muss. Denn die Folgen eines Cyber-Angriffs sind hier vergleichbar mit einem Einbruch ins Firmennetzwerk. Ein Ausfall in der Raumklimatisierung oder Beleuchtung bedeutet nicht nur einen Komfortverlust. Er kann die Nutzung einzelner Räume oder eines kompletten Gebäudes – zumindest temporär – unmöglich machen.

Dass ein solches Szenario sogar Menschenleben gefährden kann, demonstrierte ein Hacker-Angriff auf das Universitätsklinikum Düsseldorf im September 2020, in dessen Folge Operationen abgesagt wurden und die gesamte Notaufnahme geschlossen werden musste. Da die Anwender der Gebäudeautomation heute zudem noch persönliche Daten anvertrauen, wären Datenlecks in jedem Fall ein schwerer Schlag und Vertrauensverlust.

Die Verantwortung auch für die IT-Sicherheit einer Anlage in der Gebäudeautomation liegt im ersten Schritt bei dem Bauherrn und Planer und später beim Betreiber. Der Schutz eines Smart Buildings muss in der Planungsphase mit einer Risiko- und Schwachstellenanalyse beginnen, die gemäß der Richtlinienreihe VDI3 814 Blatt 2 zu einem IT-Lastenheft für die Gebäudeautomation führen sollte. Cyber-Security ist ein fortdauerndes Projekt, das schon mit der Planung beginnt und sich über den gesamten Lebenszyklus eines Gebäudes fortsetzt.

Für einen Technologieanbieter, Systemintegrator und Dienstleister wie Sauter mit langjähriger Expertise ist die IT-Sicherheit bei jedem Projekt oberstes Gebot. Grundlage für die Planung und Realisierung sämtlicher Gebäudeautomationslösungen sind dabei die aktuellen Standards der Informationstechnologie im Hinblick auf Datenschutz und Informationssicherheit. Der in der Gebäudeautomation verbreitete Kommunikationsstandard Bacnet wurde um einen zusätzlichen Bacnet Secure Connect (Bacnet/SC) Netzwerk-Layer erweitert. Sauter integriert diese Bacnet/SC Kommunikation in die eigene modulo 6 Baureihe und die Sauter Vision Center Gebäudevisualisierung. Neue Produkte werden nach den Vorgaben der IEC 62443-3-3 entwickelt und unterstützen „Security by Design“.

Im laufenden Betrieb betreut Sauter seine Kunden kontinuierlich bei dem alltäglichen Aufbau und der Aufrechterhaltung der Resilienz. Denn Letztere ist wie bei Bürocomputern entscheidend davon abhängig, ob das System durch regelmäßige Security-Updates auf den neuesten Stand gebracht wird. Dies ist bei Service und Wartung sowohl bei der Hardware vor Ort als auch bei den Softwarelösungen über Updates und Upgrades periodisch erforderlich. Die MBE-Softwarelösung kann alternativ als cloudbasierte Softwaredienstleistung eingesetzt werden. Hier erweisen sich die neuen Vision Services Cloud-Dienste mit ihrer Online-Anbindung keineswegs als Achillesferse: Das Prinzip der gehosteten Software as a Service (SaaS) entlastet den Betreiber auch von dieser sensiblen Verantwortung für Sicherheits-Updates und der allgemeinen Absicherung der sonst lokal angreifbaren Software.

Für bestehende Systeme sollten Anwender von Gebäudeautomation zudem einen IT-Check durchführen: Dabei werden die gesamte Gebäudeautomation und die dafür genutzte IT-Infrastruktur von geschulten Fachleuten auf Schwachstellen untersucht. Wo wir selbst als Betreiber fungieren – und damit in der Verantwortung für die IT-Sicherheit stehen – nutzen wir unser gesamtes Know-how als einer der führenden Anbieter in der Gebäudeautomation, um die Systeme kontinuierlich zu sichern und zu härten. Wichtig dabei ist, dass es keine allgemeinen Standardlösungen gibt, da die IT-Sicherheitsanforderungen zum einen kontinuierlich angepasst werden müssen und zum anderen die Sicherheitsanforderungen auch jeweils gebäudespezifisch ausgelegt sind.

Die beste Sicherheitstechnik nützt allerdings wenig, wenn Zugangsdaten über gezielte Spear-Phishing-Attacken abgegriffen werden können oder die zuständigen IT-Verantwortlichen sorglos mit Passwörtern umgehen. Bereits die Verbindung aus der OT-Gebäudeautomation zu einem IT-Arbeitsplatzrechner mit Internetanbindung innerhalb eines lokalen Netzwerks kann als Einfallstor für Malware und andere Cyber-Attacken missbraucht werden. Daher muss jedes IT-Sicherheitskonzept durch entsprechende Informations- und Schulungsprogramme flankiert werden.

Ähnlich wie bei energetischer Sanierung und energieeffizientem Betrieb, gilt bei der IT-Sicherheit: Erfolgreich agiert nur, wer das Gebäude als Gesamtsystem betrachtet und entsprechend integrativ vorgeht. Investoren, Bauherren, Planer und Betreiber von Anlagen der Gebäudeautomation sollten sich daher einen ganzheitlich ausgerichteten Technologiepartner und Dienstleister an die Seite nehmen, der sie bei allen Schritten auf dem Weg zum digitalen Gebäude begleitet. Dies gilt für den Bereich IT-Security genauso wie für die Energieeffizienz und den Nutzerkomfort. Für alle Bereiche gibt es längst ausgereifte Lösungen. Wer sie nutzt, schafft Immobilienwerte, die auch auf lange Sicht hohe Erträge bei Vermietung und Verkauf erzielen.