Cybesecurity in der Gebäudeautomation : Wenn das veraltete BACnet-Protokoll zur Sicherheitslücke wird

Von Kommunikationsinseln zu vernetzten Gewerken – in den letzten Jahren hat sich in der Gebäudeautomation so einiges getan. Sicherheits- und Gebäudemanagementsysteme, die die Mess-, Steuer- und Regelungstechnik der TGA mit Zutrittssystemen, Alarmanlagen oder Videoüberwachung zusammenführen, tragen zum effizienten und energiesparenden Gebäudebetrieb bei.

Aber: „Die Risiken für Cyberangriffe, die sich daraus ergeben, liegen auch auf der Hand“, weiß Martin Krammer, Business Development Manager Cybersecurity bei Siemens Österreich. Die potenzielle Fläche für interne und externe Angreifer*innen werde damit größer und biete mehr Möglichkeiten, Schwachstellen auszunutzen.

Nach den USA und China schafft es Cyberkriminalität auf Platz drei der weltweit größten Volkswirtschaften und landet damit vor Nationen wie Japan, Deutschland oder auch Indien. Die Bedrohung wächst also und betrifft auch die Gebäudesicherheit: Der Produktlebenszyklus der klassischen IT-Sicherheit erstreckt sich auf 3-5 Jahre. Geräte wie PCs oder Handys können zwangsmigriert werden, wodurch das Betriebssystem einheitlich ausgerollt und upgedatet werden kann – dadurch ist ein standardisiertes Schutzkonzept umsetzbar. In der Betriebs- und Gebäudesicherheit kann sich der Lebenszyklus hingegen durchaus auf bis zu 40 Jahre erstrecken. Die Systeme werden eingesetzt, solange Ersatzteile verfügbar sind, auch die Betriebssysteme können von Windows XP bis 11 variieren – all das führt dazu, dass Schutzkonzepte in diesem Bereich eher fall- und risikobasiert ausgelegt sind.

„Neben einer guten Sicherheitsarchitektur und organisatorischen Maßnahmen ist die laufende Wartung extrem wichtig“, betont Krammer. Grundvoraussetzung sei es, alle Assets – das sind alle Geräte, die mit dem Netzwerk verbunden sind – zu erfassen, am besten tagesaktuell. Damit kenne man die gesamte Infrastruktur und kann auf dieser Basis mögliche Schwachstellen identifizieren und je nach Kritikalität die Maßnahmen wie zum Beispiel das Durchführen von Updates priorisieren. Zudem solle regelmäßig überprüft werden, ob die Sicherheitsarchitektur, die organisatorischen Maßnahmen aber auch die Infrastruktur auf dem aktuellen technischen Stand in Bezug auf die Cybersicherheit sind. Gegebenenfalls müssen Geräte getauscht bzw. auch Migrationen von Bestandsanlagen initiiert werden, so der Experte.

1987 startete das heutige BACnet-Komitee mit der Entwicklung des 1995 veröffentlichten Protokolls BACnet. Das Protokoll war eine Reaktion auf die Erkenntnis, dass es eine kostengünstige Möglichkeit braucht, um verschiedene Systeme von unterschiedlichen Anbietern in ein kohärentes Automatisierungs- und Steuerungssystem zu integrieren. Heute ist der offene Standard weit verbreitet, er wird in etwa 70 Prozent aller kommerziellen Gebäudemanagementsysteme eingesetzt und gestattet dort die Einbindung in das Ethernet und den Zugriff auf alle Anlagen des Betreibers.

„Das Protokoll BACnet stammt noch aus einer Zeit vor dem kommerziellen Internet. Da man damals noch keine Bedrohungen aus dem Internet kannte und zu dieser Zeit die Kommunikation über zwei Drahtleitungen – ähnlich wie in der Telefonie – erfolgte, wurden bei BACnet keine Sicherheitsmechanismen eingebaut. Später wurde das Protokoll BACnet/IP entwickelt, wobei das Protokoll an sich unverändert blieb und nur der ‚Kommunikationslayer‘ für die IP-Kommunikation dazukam“, wie Krammer erklärt. Folglich verfügt BACnet in seiner ursprünglichen Form über keine Verschlüsselung oder Authentifizierung.

Diese Lücke hat auch das BACnet-Komitee erkannt und 2019 den BACnet Secure Connect (BACnet/SC) als Erweiterung des Protokolls freigegeben. Dabei handelt es sich um eine sichere, verschlüsselte Kommunikationsdatenverbindung, auf dessen Standard basierend Siemens 2022 die ersten Controller auf den Markt gebracht hat. Kramer fasst zusammen: „Neben einigen Verbesserungen in der IP-Kommunikation wird auf Basis dieses neuen Standards auch der gesamte BACnet Netzwerkverkehr verschlüsselt und die einzelnen Geräte müssen sich gegenseitig authentifizieren, Verschlüsselung und Authentifizierung sind zertifikatsbasiert, diese digitalen Zertifikate sollten regelmäßig erneuert werden und nur eine eingeschränkte Gültigkeit besitzen.“ BACnet/SC ist zudem abwärtskompatibel, das heißt die bestehende Infrastruktur kann weiter genutzt werden.

Eine ähnliche Situation gibt es auch mit dem KNX-Protokoll, das vorwiegend in der Einzelraumregelung eingesetzt wird und ebenfalls weitverbreitet genutzt wird: Bis vor kurzem gab es auch dort keine Verschlüsselung, erste Produkte mit der neuen Version, die ebenfalls eine verschlüsselte Kommunikation und Authentifizierung bietet, kommen nun auf den Markt.

Mit der NIS-2-Richtlinie wird die Gebäudetechnik verstärkt in die Cybersecurity miteinbezogen werden. Eine Verschlüsselung der Kommunikationsprotokolle werde damit laut Krammer nicht per se verpflichtend, denn „das hängt von der Risikoanalyse und den darauf basierenden Risikomanagementmaßnahmen ab“. Die Verwendung von BACnet/SC stelle aber auf jeden Fall eine „massive Verbesserung“ der Cybersicherheit dar. Denn es gebe weiterhin sehr viele Unternehmen, die sich potenziellen Sicherheitsrisiken nicht bewusst sind, und auch nicht einschätzen können, was es für sie bedeutet, wenn Teile oder die gesamte Gebäude- und Sicherheitstechnik ausfallen, warnt Krammer abschließend.