Die Awareness gegenüber der digitalen Bedrohung steigt: So schätzten im Jahr 2025 bereits rund 69 Prozent der deutschen Unternehmen das Risiko, Opfer eines Cyberangriffs zu werden, als hoch ein. Zehn Jahre zuvor lag der Anteil noch bei 34 Prozent.[1] Heutige Gebäudeautomationssysteme setzen fundamental auf aktuellen IT-Technologien und IT-Infrastrukturen auf. Dies bedeutet jedoch, dass eine moderne Gebäudeautomation – vergleichbar wie eine IT-Infrastruktur – betrachtet und abgesichert werden muss. Im Zeitalter herstellübergreifender Gebäudeautomation mit umfassender Vernetzung, Cloud-Dienstleistungen, Remote-Verbindungen und Digital Services sind Connected Security Strategien in der Immobilienwirtschaft zum zentralen Thema geworden.
Durch die Manipulation von Heizungs-, Lüftungs- und Klimaanlagen können digitale Angriffe die Nutzung von Büros stark beeinträchtigen oder Rechenzentren sogar komplett lahmlegen. Eine Gebäudeautomation kann bei gemeinsam genutzten Infrastrukturen und nicht ausreichenden Sicherheitskonzepten als Einfallstor in andere IT-Bereiche ausgenutzt werden. Daher ist es heutzutage erforderlich die IT-Sicherheit der Gebäudeautomation bei jeder Planung im Rahmen einer Risikoanalyse zu bewerten. Das schreiben die Normen VDI 3814 und das VDMA-Einheitsblatt (EB) 24774 ausdrücklich vor. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät genauso wie SAUTER bei Gebäuden mit erhöhtem IT-Sicherheitsbedarf zu einer möglichst verschlüsselten Kommunikation wie beispielsweise BACnet/SC. SAUTER berät und unterstützt mit Know-how bei der individuellen Bedrohungsanalyse und bei der Umstellung auf die verschlüsselte BACnet/SC Kommunikation bei neuen und Bestandsprojekten.
BACnet: offener Standard für die effiziente Gebäudeautomation
Gemäß der europäischen EPBD und des deutschen GEG ist für größere Nichtwohngebäude (> 290 kW) eine Gebäudeautomation verpflichtend vorgeschrieben. Die hierdurch zu realisierenden Energieeinsparungen sprechen wie die gleichzeitigen Komfortsteigerungen für eine bedarfsgerechte Gebäudeautomatisierung. Neben klassischen Raumparametern wie Temperatur oder Luftfeuchtigkeit können zum Beispiel Informationen über geplante und gemessene Raumbelegung oder Wetterdaten in das hochkomplexe Regelsystem mit einbezogen werden. So können Raumkonditionen komfortabel auch über eine Smartphone-App an individuelle Bedürfnisse angepasst werden. Eine moderne Gebäudeautomation bietet heute zudem Fernwartungsmöglichkeiten für Digital Services Angebote sowie Analysen zur Auswertung aller aufgezeichneten Gebäudedaten oder digitale Gebäudemodelle zur vorausschauenden, energie- und komfortoptimierten Steuerung und Regelung.
BACnet/SC: Cyber-Security-Layer
Durch diese zunehmende Vernetzung von Gebäuden steigen die Risiken für Cyberangriffe. Dies kann ungeschützt zu Datenmanipulation, Datenverlust oder zum Ausfall der Gebäudeautomation führen, mit Auswirkungen auf den Geschäftsbetrieb oder gar Folgen wie Personenschäden.
Um eine Gebäudeautomation vor solchen Angriffen zu schützen, wurden bewährte Kommunikations- und Sicherheitsstandards wie TCP/IP und TLS 1.3 in die BACnet Kommunikation der Gebäudeautomation integriert. Das Ergebnis ist der zusätzliche, neue BACnet/SC (BACnet Secure Connect) Transport-Layer. Die BACnet spezifischen Kommunikationsstrukturen und die BACnet Semantik ist vollständig kompatibel erhalten geblieben. Änderungen an einer Gebäudeautomationsprogrammierung der HLK-Funktionalität sind nicht erforderlich, denn alle BACnet-Dienste, -Objekte und -Properties bleiben gleich. BACnet/SC basiert außerdem auf den üblichen CAT5e- und CAT6-Verkabelungen oder Lichtwellenleitern; auch hier muss im Vergleich zum bisher üblichen BACnet/IP nichts umgerüstet werden. Hinzugefügt wird lediglich eine zentrale Komponente: der BACnet/SC-Hub. Er kann ebenso redundant ausgelegt werden, damit kein Single Point of Failure entsteht.
Für die sichere Datenübermittlung im BACnet/SC-Netz sind TLS-Zertifikate erforderlich, die regelmäßig aktualisiert werden müssen. Dabei kommt die schon bei HTTPS-Verbindungen bewährte Kombination aus öffentlichen und privaten Schlüsseln zum Einsatz. Hiermit lassen sich BACnet/SC-fähige Geräte und Systeme aus der Gebäudeautomation zugriffssicher in moderne IT-Infrastrukturen integrieren. Wer die Zertifikate manuell wechselt, sollte dies bei der jährlichen GA-Wartung oder spätestens nach 18 Monaten tun. BACnet/SC verfügt zusätzlich über eine eigene Geräteauthentifizierung.
BACnet/SC als KRITIS-Standard
In besonders gefährdeten Bereichen und insbesondere bei kritischen Infrastrukturen (KRITIS) führt angesichts der dramatisch verschärften Bedrohungslage an BACnet/SC kaum ein Weg mehr vorbei. Der BACnet/SC Transport Layer ist bei der Neuplanung wie auch in Bestandssysteme integrierbar. Vorhandene BACnet/IP-Segmente können bei Bestandsprojekten ebenfalls über BACnet/IP-zu-BACnet/SC-Router in eine neue BACnet/SC-Kommunikation integriert werden.
BACnet/SC empfiehlt sich zudem immer, wenn Daten aus der Gebäudeautomation einen separierten, vertrauenswürdigen Bereich verlassen. Dies ist beispielsweise bei der Anbindung weiter entfernter Gebäudeteile und Liegenschaften der Fall oder bei den heutzutage sehr verbreiteten Cloud-Anwendungen. BACnet/SC steht hier für maximale Sicherheit, auch ohne zusätzliches VPN.
BACnet/SC-fähig
SAUTER entwickelt gemäß IEC 62443-4-1 IT-sichere Produkte und bietet langfristigen Support mit zeitnahen Sicherheitsupdates. Im Praxisbetrieb hat sich zum Beispiel das leistungsstarke Automationssystem modulo 6 bewährt: eine modular aufgebaute Gebäudeautomations-Hardware, die komplett BACnet/SC-BTL-zertifiziert ist. Vielseitig und gut skalierbar, bietet modulo 6 ein komplettes Sortiment aus Automationsstationen, BACnet-Routern und SC-Hubs sowie zahlreichen anderen Komponenten. BACnet/SC kommt ebenfalls beim webbasierten SAUTER Vision Center für das ganzheitliche Gebäude-, Energie- und Wartungsmanagement zum Einsatz. Durch das HTTPS-Protokoll des Webservers erfolgt auch die Kommunikation zu den Web-Bedienplätzen sicher und verschlüsselt.
In der Praxis zeigt sich allerdings häufig, dass eine sorglose Anwendung selbst bei ausgereiften Hardware-Schutzkonzepten zum Risiko werden kann. Daher erfordert ein Sicherheitskonzept für die Gebäudeautomation neben der technischen Ausstattung auch die umfassende Schulung und Sensibilisierung aller Beteiligten im Hinblick auf potenzielle Angriffsvektoren.
Die Bedrohungslage hat sich dramatisch verschärft. Nicht zuletzt aufgrund der weltweiten Tendenz zur Konfrontation auf allen Ebenen. Das gilt auch für die Gebäudetechnik und ist durchaus ein Grund zu erhöhter Vorsicht, doch kein Grund zur Angst oder gar Panik. Es gibt heute ausgereifte Technologien, die Gebäudeautomationssysteme nahezu unerreichbar für Cyberkriminalität oder Sabotage machen. Wer sich auf zeitgemäße Hardware und einen kompetenten Lifecycle Partner wie SAUTER Deutschland verlässt, kann sich auf seine Gebäudetechnik verlassen.
SAUTER Deutschland ist mit 100 Jahren Expertise spezialisiert auf die Bereiche Gebäudeautomation, Systemintegration, Facility Management sowie HLK Anlagenbau. Als Teil der SAUTER Gruppe ist SAUTER Deutschland mit über 1.700 Mitarbeitenden an mehr als 30 Standorten bundesweit vertreten. SAUTER ist Ihr Lifecycle Partner für nachhaltige Gebäude.
Die Technologien und Services werden sowohl bei Neubauten als auch bei Modernisierungsmaßnahmen eingesetzt. Wesentliches Ziel der SAUTER Lösungen: Immobilien werthaltig, energieeffizient und somit fit für die Zukunft machen. Zu den Produkten und Dienstleistungen gehören Automations- und Raumautomationssysteme, Sensoren sowie Aktoren für die gesamte HLK- und Raumautomations-Technik, ganzheitliches Facility Management und spezielle Softwarelösungen.
SAUTER Deutschland
Hans-Bunte-Str. 15
79108 Freiburg
Telefon: +49 (761) 5105-0
Telefax: +49 (761) 5105-234
http://www.sauter-cumulus.de
Content Managerin
E-Mail: analisa.cresso@de.sauter-bc.com
