Page 58 - 210922_BACnet_Europe-Journal_35

Page 58 - 210922_BACnet_Europe-Journal_35_low

P. 58

BACnet Insight

Die regulatorische Landschaft verschärft zusehends
die Anforderungen an den Schutz der Gebäudetech-
nik. Die NIS2-Richtlinie und das BSIG verpflichtet
Betreiber kritischer Infrastrukturen zur Durchführung
eines Risikomanagements und Erfüllung umfassender
Sicherheitsmaßnahmen, während der Cyber Resilience
Act (CRA) Hersteller von Komponenten, welche über
Netzwerke kommunizieren können, zur Einhaltung tech-
nologischer Sicherheitsstandards, wie z.B. Verschlüs-
selung, zwingt.

Die technische Umsetzung verschlüsselter Kom-
munikation ist mit Herausforderungen verbunden.
Unternehmen benötigen dafür eine Public-Key-
Infrastruktur oder müssen die bestehende IT-PKI für
die Building-OT erweitern. Dazu bedarf es eines profes-
sionellen Zertifikatsmanagements, um die Kompatibil-
ität mit bestehenden Systemen zu gewährleisten. Das
Zertifikatsmanagement erfordert eine präzise Strategie
für die initiale Generierung, Verteilung, Revokation und
regelmäßige Erneuerung kryptografischer Schlüssel.

Lebenszyklus von BACnet/SC – von der An-
forderung bis zum Zertifikat

BACnet/SC fordert mehr als nur das einfache
Figure 2 Proof of Concept: Hands-on OT security from M&P Braunschweig
Abbildung 2 Proof of Concept: OT-Security zum Anfassen der M&P Braunschweig © M&P Braunschweig „Umschalten“ von unverschlüsselter auf verschlüsselte
Kommunikation. Der Prozess startet beim zukünftigen
Betreiber und Nutzer, die zunächst die grundlegenden
are immediately withdrawn. To achieve this, existing the functionality of BACnet/SC across manufacturers. Sicherheitsanforderungen definieren. Was sind unsere
structures must be broken down and expanded in order spezifischen Sicherheitsziele (Schutzbedarfsfeststellung)?
to ensure continuous cyber security. A particular highlight is the implementation of a multi- Welche Schutzmechanismen müssen implementiert
level public key infrastructure (PKI) from a German werden? Diese strategischen Überlegungen bilden das
Practical implementation of BACnet/SC in M&P manufacturer as a critical component for the vari- Fundament für alle weiteren Schritte hinsichtlich der
proof of concept ous protection areas of a GA system. The PKI ena- organisatorischen und technischen Schutzmaßnahmen.
bles dynamic certificate management throughout the
The theoretical feasibility of BACnet/SC has been prom- entire life cycle. This also includes automated certifi- Die Fachplanung Gebäudeautomation übersetzt diese
ised by the BACnet standard and various manufacturers cate exchange via BACnet, possible from protocol revi- konzeptionellen Anforderungen in eine konkrete Sys-
who have BACnet/SC-compatible devices in their port- sion 24, which is currently in the PoC pilot phase. The tem- bzw. Netzwerkarchitektur. Sie entwickelt eine
folios. However, there are still very few projects, build- results currently emerging are promising. umfassende Zertifikatsstrategie, die nicht nur die tech-
ings or facilities in which BACnet/SC has been funda- nische Umsetzung, sondern auch langfristige Sicher-
mentally implemented, let alone thought through and The success of BACnet/SC as a protective measure for heitsaspekte berücksichtigt. Wie häufig werden Zerti-
implemented across the entire life cycle. HVAC systems depends on a holistic concept. OT secu- fikate ausgetauscht? Wie werden sie verwaltet? Diese
rity must be considered from the outset – from initial Fragen werden iterativ mit dem Betreiber beantwortet.
True to the motto ‘OT security: just do it’, M&P's life requirements planning to daily system monitoring. This
cycle-oriented planning and consulting concepts were requires clear responsibilities, well-thought-out system Die Gerätehersteller spielen eine wichtige Rolle im
implemented in the form of a proof of concept for architectures, continuous training and a high degree of Lebenszyklus, da sie bereits werkseitig initiale Sicher-
secure building automation systems in accordance with adaptability on the part of all those involved.  heitszertifikate in ihre BACnet/SC-fähigen Geräte inte-
the ‘state of the art’. From the management to the field grieren. Diese vorinstallierten Zertifikate schaffen eine
level, everything has been thoroughly thought through, Verschlüsselte Kommunikation in der Gebäudetechnik erste grundlegende Vertrauensebene und ermöglichen
built to be hands-on and tested (‘security by design’). eine sichere Übernahme und Integritätsprüfung bei der
Die digitale Transformation der Gebäudetechnik (OT- Inbetriebnahme.
This also includes encrypted communication using Building) stellt Organisationen und Infrastrukturbe-
BACnet/SC, regardless of whether it is a new sys- treiber vor komplexe Herausforderungen im Bereich der Auf der Baustelle übernehmen die Auszuführenden/
tem, integration or migration in existing systems Cybersicherheit (OT-Security). BACnet Secure Connect Integratoren die weitere Absicherung. Sie binden die
(BACnet/IP to BACnet/SC). The system architecture entwickelt sich dabei zu einer entscheidenden Technol- Geräte in die PKI-Infrastruktur ein und tauschen, in
consisting of BACnet/SC hubs and failover hubs, both ogie, die Sicherheitslücken in der Gebäudeautomation Abstimmung mit dem Betreiber, die initialen Zertifi-
physical and virtual, as well as specific BACnet/IP/ systematisch schließt und eine verschlüsselte Kommu- kate mit organisationsspezifischen Zertifikaten aus.
SC routers, enables all scenarios and demonstrates nikation für sensible Gebäudetechnik ermöglicht. Dies ermöglicht eine durchgängig nachvollziehbare

58 BACnet Europe Journal 44 03/26

53 54 55 56 57 58 59 60 61 62 63