BACnet Insight


          IT-Sicherheit in der GA – welchen Beitrag


          leistet BACnet/SC?


          IT Security in BAS – What Contribution

          Does BACnet/SC Make?







         Sowohl aus wirtschaftlicher als auch aus recht-
         licher Sicht ergeben sich hohe Anforderungen an                                                © ICONAG
         die IT-Sicherheit für das Gebäudemanagement. Die
         gesetzlichen Vorgaben, Risiken und Möglichkeiten
         haben sich stark verändert. Welche Rolle BACnet/SC
         dabei spielt, beleuchtet dieser Beitrag.
         Both economically and legally, there are high
 Digital Services  demands on IT security for building management.
         The legal requirements, risks, and opportunities
         have changed significantly. This article examines
 aus der  the role of BACnet/SC in this context.

         Störungen der Systeme können von innen und von außen
         auftreten. Von innen indizierte Störungen der Verfügbar-
 Schöpfen Sie das Potenzial smarter Gebäude aus!  keit, Integrität, Authentizität und Vertraulichkeit betreffen
         die grundsätzliche Betriebssicherheit der Infrastruktur.
         Bei von außen indizierten Störungen handelt es sichin der
 Performance Management  Regel um Sabotage, Spionage oder unerlaubten Zutritt.
 Konsolidierung der Datenfl ut anhand weniger, entscheidender   Die üblichen Angriffspunkte auf Automatisierungssysteme
         befinden sich vor allem auf Automations- und Manage-
 Indikatoren und automatische Warnungen bei Abweichungen   mentebene eines Gebäudes, weniger auf der Feld-
 vom Normalbetrieb.  ebene oder den übergeordneten Ebenen im technischen   Aus wirtschaftlicher und rechtlicher Sicht ergeben sich hohe Anforderungen an die IT-Sicherheit in der GA.
         Gebäudemanagement. Darum besteht hier ein besonderer   From an economic and legal perspective, there are high demands on IT security in the BAS.
         Handlungsbedarf.
 Remote Management
                                              M
                                                                                 D
         Regelwerke für die IT-Sicherheit in der Gebäude-  ƒ  anipulation der Schnittstellen von eigenständigen   ƒ  eaktivierung aller nicht benötigten Dienste und
 Intelligente Fernzugriffsmöglichkeiten auf die lokale Anlage   automation   TGA-Anlagen zur Gebäudeautomation (z. B. über   Zugänge ab Werk („gehärtete“ Geräte und Software)
                                              eine manipulierte Brandmeldung, die alle Türen öffnet).
                                                                                 samt Dokumentation der verwendeten Ports,
 sowie Verfügbarkeit von SAUTER Engineeringtools, auch für   Grundlegende Regelwerke in Deutschland sind die Stan -   ƒ  anagementsoftware mit Funktionen zur Aufzeichnung
                                                                                 M
 externe Servicedienstleister.  dards und das Grundschutzkompendium des Bundes-  Defizite im Technischen Gebäudemanagement   der Benutzeraktivitäten (Audit Trial),
                                                                                 A
         amts für Sicherheit in der Informations technik (BSI). Die   (TBM) als Risikoquellen:  ƒ  bnahme des GA-Systems nur mit der aktuellsten
         Grundschutzbausteine Infrastruktur für Gebäudemanage-                   Firmware (Automationsstationen) bzw. Softwarever-
 Customer Portal  ment  (INF.13)  und  Gebäude automation  (INF.14)  sind   ƒ  Fehlende Grundlagen der IT-Sicherheit für die Planung   sion (BBE, MBE) – zumindest alle Security-relevanten
         verpflichtend für Bundesbehörden und Betreiber     des TBM, da beispielsweise bei der Planung die   Updates insbesondere der aktuellen Patches von
 Technische Pläne, Service-Kontakte sowie Dokumente und   kritischer  Infrastrukturen  (Informationen  unter    Betreiber häufig noch nicht feststehen,  Windows sowie die aktuellen Versionen der
 Rechnungen sorgen für ein transparentes Gebäudemanage-  www.bsi.de). Das Einheitsblatt VDMA 24774 (2023-03)   ƒ  mangelnde Dokumentation beim TBM führt zu   eingesetzten Softwaresysteme.
                                              Unklarheiten über den Status Quo der IT-Sicherheit,
 ment. Die Einbindung von Performance-Indikatoren unterstützt   beschreibt die aktuellen Vorgaben zur IT-Sicherheit in   ƒ  bewusste oder unbewusste Kompromittierung der   Vorgaben an die Umsetzung und Ausführung der
         der Gebäudeautomation (Leitfaden für die Gebäude-
 Sie beim Risikomanagement.  automation)  und  die  EU-Verordnung  2016/679 infor-  Schnittstellen mit dem TBM, insbesondere wenn   GA-Systeme:
         miert  über  die  Datenschutzgrundverordnung  für  den   schützenswerte Bereiche an das TBM angeschlossen
         Schutz  personenbezogener  Daten  in  der  Gebäude-  sind, wie z. B. Einbruch- oder Brandmeldeanlagen,  ƒ  Einrichtung physikalisch oder virtuell getrennter IP-
 Die Digital Services sind Teil kundenspezifi scher Service-  automation). Dennoch gibt es auch für die Gebäude-  ƒ  unzureichendes Monitoring der TGA, so dass zum   Netzwerke für die GA samt Absicherung besonders
                                                                                 gefährdeter Netzwerksegmente durch Firewalls,
 pakete der SAUTER Vertriebsorganisationen.  automation keine 100-prozentige IT-Sicherheit. Welche   Beispiel systemkritische Fehlfunktion nicht erkannt   ƒ  gesicherter Zugriff für Fernwartung,
         Vorkehrungen  im  Gewerk  Gebäudeautomation  konkret   werden,
         zu treffen sind, müssen aus einer Risikoanalyse für die   ƒ  unzureichendes Rollen- und Berechtigungsmanage-  ƒ  Festlegung eines Back-up-Konzeptes für
         jeweilige Nutzung abgeleitet werden. Im BSI-Standards-   ment (z. B. mehrere Personen teilen sich ein Benut-  Automations stationen und Managementebene samt
 Nehmen Sie Kontakt auf!  und Grundschutzkompendium werden folgende Gefähr-  zerkonto).  Anweisungen für ein Recovery,
         dungslagen für die Gebäudeautomation als besonders                    ƒ  physische Sicherung von Schaltschränken, Technik-
         bedeutend genannt:                 Hinzu kommen noch die langen Lebenszyklen gebäude-  räumen etc. samt Deaktivierung von USB- oder
 Treffen Sie uns am Gemeinschafts-  ƒ  Unzureichende Planung der Gebäudeautomation   technischer Anlagen, die ein besonderes Maß an voraus-  ƒ  Ethernet-Zugängen,
           – zum Beispiel durch fehlende Redundanzen oder   schauender Planung von GA-Systemen und ein strate-   Malwareschutz und aktuellste Sicherheitspatches
 stand der BACnet Interest Group   hohe Komplexität der Zusammenarbeit unterschied-  gisches Vorgehen erfordern. Folgende Vorgaben sollten   für Engineering-Werkzeuge,
 E11 in Halle 9.0!  licher Gewerke,         darum in jedem Fall bei der Planung von GA-Systemen   ƒ  projektspezifische Anpassung der Zugriffsberechti-
            e
         ƒ  hlerhafte Integration von TGA-Anlagen in die   Berücksichtigung finden.  gungen und Änderung der Passwörter (insbesondere
           f
           Gebäudeautomation bzw. fehlerhafte Konfiguration                      auf Automationsstationen, BBE, MBE), Aktivierung
           der Gebäudeautomation,           Vorgaben an die Planung von GA-Systemen:  von Auto-Logoff-Funktionen,
           N
         ƒ  utzung unsicherer Systeme und Protokolle in der                    ƒ  Nachhärtung der Systeme durch Deaktivierung bzw.
                                              V
 Systems   Gebäudeautomation, wie es z. B. das „alte“ BACnet-  ƒ  erschlüsselte Datenübertragung/Kommunikation    Löschung aller ungenutzter Dienste, physikalischen
           Protokoll, ebenso wie KNX oder ModBus sind,
                                              (insbesondere BACnet/SC, KNX-Secure, o. ä.),
 Components                                                                      Zugänge, Benutzerkonten, Prozesse und Programme
 Services
 Facility Management
                                                                                     BACnet Europe Journal 40 03/24 19