Page 20 - 240221_BACnet_Europe-Journal_40
P. 20
BACnet Insight
© ICONAG
Angriffspunkte und IT-Sicherheitsoptionen / Attack Vectors and Option for IT-Security
Management Level Datenverarbeitung und User Interface Client User Interface Client User Interface Client
-Speicherung
data processing and Server
-storage
Schnittstellen zu / interfaces to
- Systemen mit besonderen Aufgaben / systems for special purpose Übertragung / transmission
- Fremdsystemen / external systems
Datenbank-Anbindungen / database connections
SSL-Verschlüsselung / SSL encryption /IP - Protocol
UDP/IP - Protocol TCP/IP - Protocol Bus Protocol via OPC-Server
Automation Level
GW KNX-IP GW
Gateway
BACnet BACnet/SC
OPC OPC/UA (not anonymous)
ModBus ??? (actually no solution)
KNX KNX Secure
HTTP HTTPS AS AS
BACnet + BACnet/SC ModBus/IP KNX- + KNX-Secure OPC + OPC UA
Interface IP Interface (not secure) Network IP Interface
Field Level
KNX KNX Secure
LoRa LoRa (AppKey)
MQTT MQTT (TLS)
Angriffspunkte GA-Syste-
me und Verschlüsselung.
Attack points on GA
www.iconag.com
systems and encryption.
(insbesondere auf Automationsstationen, BBE, MBE), 3. Machen Sie auf Basis eines Sicherheitskonzeptes tion must be derived from a risk analysis for the respec-
Aktivierung von Auto-Logoff-Funktionen, konkrete IT-Sicherheits-Vorgaben für Planung, Um - tive use case. The BSI standards and Basic Protection
Erstellung der Arbeitsvorschriften und Verhaltens- setzung und Betrieb auf Basis der VDMA 24774. Auch Compendium identify the following threat situations for
anweisungen zum dauerhaften Erhalt der IT-Sicher- vor dem Hintergrund des zunehmenden Cloud-Computing building automation as particularly significant:
heit durch den Errichter (SOP = Standard Operating sollten für neu zu errichtende GA-Systeme und bei Inadequate planning of building automation, for
Procedure), Sanierung vorhandener GA-Systeme verschlüsselte example, due to lack of redundancies or high com-
Erstellung und Übergabe einer GA-Netzwerk-Doku- Protokolle wie BACnet/SC gefordert werden. plexity in the collaboration of different trades,
mentation mit Modellbezeichnungen der Komponenten, 4. Erlassen Sie Arbeitsvorschriften und Verhaltens- faulty integration of building services engineering
MAC-Adressen, Einbauort und Firmware Versions- anweisungen (Policies) zur Schadensvermeidung und systems into building automation or faulty configura-
ständen, Schadensminderung. Vereinbaren Sie Softwarepflege tion of building automation,
IT
-Sicherheitsschulung für die Bediener. und Systemwartung zum regelmäßigen Schließen use of insecure systems and protocols in building
bekannter Sicherheitslücken. automation, such as the “old” BACnet protocol, as
Vorgaben an den Betrieb der GA-Systeme: 5. Prüfen Sie im Zuge regelmäßiger Wartung nicht nur well as KNX or ModBus,
die Einhaltung der Policies, sondern auch die Aktualität manipulation of interfaces of standalone building
individuelle Benutzernamen und Passwörter, des Sicherheitskonzeptes.
regelmäßige securityrelevante Updates/Upgrades services engineering systems to building automa-
tion (for example, via a manipulated fire alarm that
(insbesondere von PCs, Servern und Routern), dabei opens all doors),
Sicherstellung, dass Updates ausschließlich unver- System disruptions can occur from both internal and
fälscht, von Quellen mit Zertifikat heruntergeladen external sources. Internally induced disruptions to avail- Deficiencies in Technical Building Management
werden, ability, integrity, authenticity, and confidentiality affect (TBM) as sources of risk:
regelmäßige Back-ups von Anlagenprogrammierung, the fundamental operational security of the infrastruc-
Konfiguration, Konfigurationsänderungen der MBE- ture. External disruptions typically involve sabotage, Lack of basic IT security principles for TBM planning,
Software sowie der gespeicherten Betriebsdaten, espionage, or unauthorized access. The usual points of since, for example, operators are often not yet deter-
Sicherstellung der Einhaltung der Arbeitsvorschriften attack on automation systems are primarily at the auto- mined during planning,
und Verhaltensanweisungen samt regelmäßiger mation and management levels of a building, less so at insufficient documentation in TBM leads to uncer-
Aktualisierung des IT-Sicherheitskonzeptes im the field level or the higher levels in technical building tainties about the current status quo of IT security,
Rahmen der Wartung des GA-Systems, management. Therefore, there is a particular need for deliberate or unconscious compromise of interfaces
regelmäßige IT-Sicherheitsschulungen. action here. in TBM, especially when protected areas are
connected like burglar- or fire-detection,
Zusammenfassung Regulations for IT security in building automation inadequate monitoring of building services
engineering, so that, for example, system-critical
Auch in der Gebäudeautomation gibt es keine 100-prozen- Fundamental regulations for IT security in building auto- malfunctions are not detected,
tige Sicherheit für Verfügbarkeit, Integrität, Authentizität mation in Germany include the standards and the Basic inadequate role and authorization management
und Vertraulichkeit der Daten. Durch Vorgabe und Protection Compendium of the Federal Office for Infor- (e.g., multiple persons sharing one user account).
Beachtung einfacher technischer und organisatorischer mation Security (“BSI”). The Basic Protection Modules Additionally, the long life cycles of building technical
Maßnahmen kann jedoch ein gutes Sicherheits- Infrastructure for Building Management (INF.13) and systems require a special level of foresighted plan-
niveau erreicht werden. Der konsequente Einsatz von Building Automation (INF.14) are mandatory for federal ning of GA systems and a strategic approach. The
BACnet/SC ist dabei nur ein – wenn auch wichtiger – authorities and operators of critical infrastructures following specifications should therefore always be
Baustein für mehr Zukunftssicherheit. Zusammenfas- (information available at www.bsi.de). The VDMA considered in the planning of GA systems.
send folgende fünf Tipps: 24774 standard sheet (2023-03) describes the current
1. Stellen Sie für jedes Gebäude den Schutzbedarf Specifications for the planning of BA systems
auf Basis einer Risikoanalyse fest. Dies müssen Fach- requirements for IT security in building automation
planer, Bauherr und Betreiber gemeinsam tun. (guideline for building automation), and EU Regulation Encrypted data transmission/communication
2. Machen Sie sich bewusst, dass GA-Systeme besonders 2016/679 provides information on the General Data (especially BACnet/SC, KNX-Secure, etc.),
verwundbar in Bezug auf die IT-Sicherheit sind, wobei Protection Regulation for the protection of personal deactivation of all unnecessary services and
die größten Risiken sich aktuell aus der Anbindung der data in building automation. Nevertheless, there is no accesses ex-works (“hardened” devices and soft-
GA an das Internet ergeben, z. B. aufgrund von Cloud- 100% IT security even for building automation. Specific ware) along with documentation of the used ports,
Computing. precautions to be taken in the field of building automa-
20 BACnet Europe Journal 40 03/24