Projektinterview: IT-Sicherheit in der Gebäudeautomation und Gebäudetechnik

Dr. Andreas Kaup ist im Competence Center Smart Technologis bei ComConsult tätig. Dort berät er Kunden zum Thema Smart Buildings. Zusammen mit den Kunden definiert er im Projekt die Nutzeranforderungen, konsultiert zum aktuellen Stand der Technik und erarbeitet Smart-Building-Konzepte, auf deren Basis die entsprechenden ComConsult Competence Center IT-Infrastruktur-Lösungen und -Konzepte entwickeln. Momentan erarbeitet er in mehreren Projekten IT-Sicherheitsrichtlinien und -konzepte für die Gebäudetechnik und Smart Buildings seiner Kunden, über die er in diesem Interview berichtet.

In den letzten Jahren hat das Thema IT-Sicherheit in der Gebäudetechnik und in der Gebäudeautomation an Bedeutung gewonnen. Warum?

Während früher die einzelnen Gewerke eines Gebäudes Insellösungen waren, sind heute in einem Smart Building möglichst alle technischen Gewerke wie Heizung, Klima, Lüftung, Licht, Aufzüge und Sicherheitstechnik miteinander verknüpft und kommunizieren in der Regel auf der Automationsebene IP-basiert. Durch die erhöhte IP-Kommunikation und die wachsende Zahl an gewerkeübergreifenden Schnittstellen in der Gebäudetechnik und im Smart Building entstehen in der Theorie und in der Praxis vermehrt Einfallstore für Cyberverbrechen.

Welche Normen, Richtlinien und Regelwerke zur IT-Sicherheit sind für die Gebäudeautomation und die Gebäudetechnik relevant?

Im Jahr 2021 hat das Bundesamt für Sicherheit in der Informationstechnik im IT-Grundschutz-Kompendium die neuen Bausteine INF.13 und INF.14 veröffentlicht. Das Kompendium bildet zusammen mit den BSI-Standards die Basis für die Informationssicherheit in Organisationen und Unternehmen. Damit gab es erstmalig Bausteine zu Sicherheit im technischen Gebäudemanagement und in der Gebäudeautomation. Vermutlich haben die verschiedenen Branchenverbände dies zum Anlass genommen, auf der Grundlage dieser BSI-Bausteine als „Inspirationsquelle“ weitere IT-Sicherheitsrichtlinien für die Gebäudeautomation und generell die Gebäudetechnik zu veröffentlichen. So hat zum Beispiel der Verband Deutscher Maschinen- und Anlagenbau das Einheitsblatt VDMA 24774 (2023-03) veröffentlicht, das die aktuellen Vorgaben zur IT-Sicherheit in der Gebäudeautomation beschreibt. Weitere Sicherheitsrichtlinien wurden vom Branchenverband des Facilitymanagements GEFMA, vom Arbeitskreis Maschinen- und Elektrotechnik staatlicher und kommunaler Verwaltungen AMEV und anderen Verbänden im letzten Jahr publiziert. Dies zeigt, dass die Bedeutung des Themas IT-Sicherheit in der Branche erkannt und ernst genommen wird. Die Anforderungen, die in den Richtlinien formuliert werden, enthalten Vieles aus den bereits angesprochenen BSI-Bausteinen und den Normen, auf die wir uns in unserer Beratungs- und Planungstätigkeit immer wieder beziehen. Dies sind vorrangig die internationalen Standards ISO/IEC 27001 und ISO/IEC 27002 sowie die internationale Normenreihe IEC 62443.

Was besagt der Cyber Resilience Act?

Die EU hat mit dem Cyber Resilience Act CRA eine Verordnung erlassen, in der Anforderungen an die Cyberresilienz von Geräten mit digitalen Komponenten formuliert werden. So müssen die Produkte zum Beispiel updatefähig sein, regelmäßig Updates erhalten und über einen geeigneten Zugriffsschutz verfügen. Der europäische Rat hat am 10.10.2024 den CRA beschlossen, nachdem im März bereits das EU-Parlament zugestimmt hatte. Da es eine EU-Verordnung ist, gilt der CRA nach der Veröffentlichung im Amtsblatt und muss nicht von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Wegen einer Übergangsfrist von drei Jahren wird die Verordnung Mitte 2027 zur Anwendung kommen. Alle Geräte, die unter den Cyber Resilience Act fallen, müssen dann eine CE-Kennzeichnung tragen.

Gibt es Geräte aus dem Bereich der Gebäudetechnik und der Gebäudeautomation, die die im Cyber Resilience Act beschriebenen Anforderungen schon erfüllen?

In der Verordnung wird explizit auf Geräte aus der Gebäudetechnik eingegangen wie zum Beispiel IoT-Geräte. Des Weiteren gelten die neuen Sicherheitsanforderungen für viele Netzwerkkomponenten, die nicht nur jedoch auch im Gebäudeautomationsnetzwerk eingesetzt werden. Darunter fallen beispielsweise Switches, Router und Firewalls. Im Bereich der Gebäudeautomation werden über Controller Heizungs-, Klima- und Lüftungsanlagen gesteuert. Auch hier ist ein hohes Sicherheitsniveau gefordert. Viele Geräte für die Gebäudetechnik und die Gebäudeautomation im hochpreisigen Enterprise-Segment können bereits die Anforderungen an die Cybersicherheit erfüllen. Wir von ComConsult empfehlen unseren Kunden, im Rahmen von Ausschreibungen in ihrer Leistungsbeschreibung die Sicherheitsanforderungen an die Geräte bereits jetzt zu berücksichtigen.

Welche Beweggründe haben Unternehmen, eine IT-Sicherheitsrichtlinie für ihr Gebäude von ComConsult erstellen zu lassen?

Die Beweggründe sind ganz unterschiedlich. Zum einen gibt es Kunden, die intrinsisch motiviert sind. Sie haben erkannt, dass die IT-Sicherheit der Gebäudeautomation und generell für Smart Buildings zunehmend an Bedeutung gewinnt. Der Kunde beauftragt uns mit der Erarbeitung einer IT-Sicherheitsrichtlinie inklusive Bestandsaufnahme, um einschätzen zu können, wie sicher sein Gebäude ist, um gemeinsam mögliche Maßnahmen einzuleiten. Oder er möchte mithilfe unseres Regelwerks seinen Neubau von Anfang an entsprechend sicherheitskonform planen.

Zum anderen gibt es Kunden, die eine Zertifizierung ihres Gebäudes anstreben. Es gibt zum Beispiel die Gebäudezertifizierungen SmartScore von WiredScore. Hier ist es je nach Scorecard-Version zur Erreichung der Zertifizierungsstufe Gold oder Platinum verpflichtend, dass eine IT-Sicherheitsrichtlinie vorliegt.

Was ist der erste Arbeitsschritt beim Erstellen einer IT-Sicherheitsrichtlinie?

Wie bereits erwähnt, orientieren wir uns bei der Erstellung einer IT-Sicherheitsrichtlinie unter anderem an den Bausteinen des BSI. Diese sind generell so strukturiert, dass sie Basisanforderungen, Standardanforderungen und Anforderungen mit erhöhtem Schutzbedarf umfassen. Die IT-Sicherheitsrichtlinien berücksichtigen in der Regel mindestens die Basis- und die Standardanforderungen. Eine grundlegende Basisanforderung ist die Dokumentation der Gebäudeautomation. Vor der Erarbeitung von Richtlinie und Konzept erfolgt eine Gebäudebegehung und Sichtung der Bestandsunterlagen. Wir untersuchen also im ersten Schritt, welche Assets genau im bestehenden Gebäude vorhanden sind, genutzt werden und wer wohin kommuniziert. Oft treffen wir auf historisch gewachsene Strukturen, in denen sukzessive Änderungen und Neuerungen vorgenommen wurden, die nirgendwo schriftlich festgehalten worden sind. In einem Gebäude werden immer Modernisierungen vorgenommen: die Heizung oder die Zutrittskontrolle werden erneuert, ein neues Videoüberwachungssystem wird eingeführt, Controller werden ausgetauscht oder neue Switche eingebaut. Aufgrund der Dynamik dieser Prozesse bleibt deren lückenlose Dokumentation häufig auf der Strecke. So ist häufig z. B. nicht bekannt, welche Komponenten im Gebäude über einen Fernzugriff gewartet werden können. Um eine umfassende IT-Sicherheitsrichtlinie für die vorhandene Gebäudeautomation, Gebäudetechnik und Smart-Building-Infrastruktur zu erstellen, beginnen wir unsere Arbeit mit einer detaillierten schriftlichen Bestandsaufnahme des Ist-Zustands. Wenn wir das Gebäude kennengelernt haben, können wir einschätzen, ob die Rahmenbedingungen eines Bestandsgebäudes bestimmte High-End-Anforderungen überhaupt zulassen.

Was passiert, nachdem die IT-Sicherheitsrichtlinie erarbeitet ist?

Der Sinn einer IT-Sicherheitsrichtlinie besteht darin, dass sie gelebt und umgesetzt wird. Sobald die Richtlinie fertig ist, setzen wir uns mit dem Kunden zusammen und führen eine Gap-Analyse durch. Das bedeutet, dass wir die „Lücken“ zwischen Anspruch und Realität ausfindig machen. Wir schauen uns an, welche Anforderungen, die in der IT-Sicherheitsrichtlinie festgehalten sind, vom Gebäude aktuell nicht erfüllt werden und welche Maßnahmen eventuell noch getroffen werden müssen, um den Vorgaben gerecht zu werden.

Was ist der Unterschied zwischen der IT-Sicherheitsrichtlinie und dem IT-Sicherheitskonzept?

In der IT-Sicherheitsrichtlinie legen wir allgemeingültige Regeln fest. Im IT-Sicherheitskonzept werden die Regeln spezifiziert und auf den individuellen Bedarf des Gewerkes angepasst. Während in der IT-Sicherheitsrichtlinie eine Regel lauten könnte: „Zur Authentifizierung ist die Nutzung eines Passworts erforderlich“, könnten im IT-Sicherheitskonzept die exakten Anforderungen der Passwortrichtlinie stehen. Der Vorteil an dieser Trennung ist, dass ein übergeordnetes Regelwerk existiert, das gewerkeübergreifend gültig ist und auf möglichst lange Zeit Bestand hat. Im IT-Sicherheitskonzept können dann dynamisch Änderungen vorgenommen werden. Wenn in der Richtlinie gefordert ist, dass ein sicheres Übertragungsprotokoll genutzt werden muss, steht im Konzept die Version des Protokolls, die aktuell sicher ist.

Wie siehst du generell die aktuelle Situation hinsichtlich der IT-Sicherheit in der Gebäudeautomation und Gebäudetechnik?

Ich habe in den drei Jahren, in denen ich jetzt bei ComConsult beschäftigt bin, in meiner Projektarbeit gemerkt, dass das Thema IT-Sicherheit in der Gebäudeautomation zunehmend an Bedeutung gewinnt. Gründe dafür sind meiner Meinung nach, wie erwähnt, zum einen die vielen Zusatzregelwerke der einzelnen Verbände, zum anderen der Trend zu Zertifizierungen für Smart Buildings. Die Zertifizierung fordert, dass man sich mit dem Thema IT-Sicherheit auseinandersetzt. IT-Sicherheitsabteilungen, die sich vielleicht schon länger mit dem Thema IT-Sicherheit in der Gebäudeautomation und Gebäudetechnik beschäftigen wollten, können sich deshalb vermutlich nun besser durchsetzen. Auch im Hinblick auf sichere Komponenten für die Gebäudeautomation gibt es eine gute Entwicklung. Die Gebäudeautomationsprotokolle BACnet Secure Connect und KNX IP Secure zeigen vielversprechende Ansätze, um die Sicherheit von Gebäuden zu erhöhen. Wir versuchen in unseren Projekten, egal ob bei Neubauten oder bei der Modernisierung von Gebäuden, sichere Komponenten einzusetzen, jedoch befinden wir uns hier noch am Anfang der Entwicklung.