ComConsult auf der ISH – Teil 2: Smart Building und offene, aber sichere Kommunikationsprotokolle
27.04.2023 / Dr. Andreas Kaup
Die ISH ist die Weltleitmesse für Wasser, Wärme, Luft und findet alle 2 Jahre, im jährlichen Wechsel mit der Light+Building, in Frankfurt am Main statt. Ich kann mich wohl glücklich schätzen, dass ich beide Messen seit meiner Zeit bei der ComConsult erleben konnte, da beide Veranstaltungen nach langer Pandemiepause ihr Comeback gefeiert haben.
Bei meinem Besuch habe mich auf die Themen Anlagen-, Raum-, Gebäudeautomation und Energiemanagement fokussiert und mich insbesondere auf diese beiden Themen fokussiert:
- Offene und sichere Kommunikationsprotokolle
- Ist Smart Building ein Thema in der Gebäudeautomation? (Verlinkung auf Teil 1 des Blogs) wer macht das?
Smart Building – Offen für alle Protokolle
Bei der ComConsult bin ich im Competence Center Smart Technologies aktiv und hier insbesondere im Themenbereich Smart Building. Smart Buildings zeichnen sich dadurch aus, dass alle Gewerke des Gebäudes direkt oder indirekt miteinander kommunizieren und Daten gesammelt werden, um die Nutzungseffizienz des gesamten Gebäudes zu optimieren. Die Kommunikation basiert auf verschiedenen Protokollen. Insbesondere auf der Feldebene gibt es eine Vielzahl an IoT-Geräten, die verschiedene Kommunikationsprotokolle nutzen. Die Liste der Protokolle ist lang. Nachfolgend eine Aufzählung ohne Anspruch auf Vollständigkeit: BACnet, KNX, LoRaWan, EnOcean, LonWorks, Dali, oBIX, LON, MQTT, CoAP, HTTP, OPC, Modbus, AMQP, WebSocket, DDS, LwM2M, Sigfox, NB-IoT, LTE-M, Zigbee, Z-Wave, Profibus, Profinet, LPB, Diematic …
Nicht alle genannten sind offene Protokolle und nicht alle Protokolle bieten das gleiche IT-Sicherheitsniveau. Das ist aber nicht der Fokus dieses Blogs, denn ich möchte mit dieser Aufzählung nur zeigen, wie viele verschiedene Protokolle in einem Smart Building zum Einsatz kommen können. Insbesondere funkbasierte Protokolle eignen sich gut, um Sensorik und Aktorik in Bestandsgebäuden nachzurüsten und so Gebäude nachträglich zu smartifizieren. Auf der ISH habe ich mehrere Multiprotokoll-Gateways präsentiert bekommen, die eine Vielzahl von Industriestandardprotokollen verstehen und in andere Protokolle übersetzen können. Mit solchen Multiprotokoll-Gateways können verschiedenste Things in ein Smart Building, mit einem übergeordneten Protokollstandard, integriert werden. So kann zum Beispiel eine LoRaWan-basierte Sensor-Infrastruktur nachträglich in einem Gebäude installiert und über ein Multiprotokoll-Gateway in eine BACnet-Infrastruktur eingegliedert werden. Die technischen Lösungen dafür wurden von verschiedenen Herstellern auf der ISH präsentiert und ich bin guter Dinge, dass dies die Smart-Building-Branche nochmals einen Schritt nach vorne bringen wird.
Smart Building – BACnet/SC
BACnet ist mit Sicherheit eines der bedeutenden Kommunikationsprotokolle in der Gebäudeautomation. Mit der ASHRAE Protokoll Revision 22 wurde letztes Jahr der Standard BACnet Secure Connect (BACnet/SC) veröffentlicht. Ich möchte nur in Kürze auf BACnet/SC eingehen. Das Protokoll verwendet eine Verschlüsselung gemäß TLS 1.3 und bietet somit ein deutlich höheres IT-Sicherheitsniveau als die vorherigen Protokollvarianten, wie zum Beispiel BACnet/IP. In der neuen Protokollvariante entfällt unter anderem die unsichere Broadcast-Kommunikation. Um die TLS-1.3-Verschlüsselung mit BACnet/SC zu nutzen, bedarf es allerdings eines Zertifikatsmanagement. Für die IT ist das Zertifikatsmanagement nichts Neues, für die GA/TGA hingegen schon.
Auf der ISH stand das Thema BACnet/SC, wie schon bei der Light+Building’22, bei allen GA-Anbietern im Fokus. IT-Sicherheit ist in den letzten Jahren immer wichtiger für die GA und für Gebäude im Allgemeinen geworden. Aus meinen Gesprächen auf der ISH resümiere ich, dass alle Hersteller davon ausgehen, dass BACnet/SC in vielen zukünftigen Projekten gesetzt wird. Allerdings gibt es wenige bis keine Großprojekte, bei denen bereits eine komplette BACnet/SC-Infrastruktur realisiert wurde. Das mag auch daran liegen, dass die BACnet/SC-Komponenten noch nicht lange am Markt verfügbar sind. Als Berater in einem IT-Unternehmen war es für mich besonders interessant, wie die verschiedenen Anbieter mit dem Zertifikatsmanagement umgehen. Mein persönlicher Eindruck ist, dass der Umgang recht unterschiedlich ist. Was auch daran liegen mag, dass die Hersteller erst einmal Praxiserfahrungen mit BACnet/SC-Strukturen machen und die Implementierung dafür nicht von vornhinein zu komplex gestalten wollen. Aus Sicht der IT-Sicherheit ist das aber zumindest bedenklich. In dem Protokollstandard gibt es zum Beispiel weder Regeln noch Empfehlungen zur maximalen Zertifikatsgültigkeit. Und so gibt es BACnet/SC-Geräte, die mit vorinstallierten Zertifikaten geliefert werden, wobei die Zertifikate eine langjährige Gültigkeit haben. In der IT wäre es undenkbar, Zertifikaten eine Gültigkeit von vier oder mehr Jahren zu vergeben. Solche Voreinstellungen erleichtern zwar sicherlich die initiale Implementierung, helfen aber vermutlich nicht dabei, der GA-Branche den Umgang mit TLS-Zertifikaten näherzubringen. Bei der Betrachtung von verschiedenen BACnet/SC-Geräten sind mir zudem auch ein paar Einstellungsmöglichkeiten aufgefallen, die für mich auf den ersten Blick nicht ganz nachvollziehbar waren. Bei mehreren Produkten konnte man auswählen, dass abgelaufene oder ungültige Zertifikate zugelassen sind. Was solche Optionen für Auswirkungen auf das tatsächliche IT-Sicherheitsniveau von BACnet/SC haben, kann ich an dieser Stelle noch nicht abschließend beurteilen. Zuletzt möchte ich noch thematisieren, dass die herstellerübergreifende Zertifikatsweitergabe gemäß meinen Eindrücken von der ISH noch gänzlich unerprobt zu sein scheint. Trotz dieser kritischen Betrachtung bin ich davon überzeugt, dass BACnet/SC einen Beitrag zur IT-Sicherheit von Smart Buildings leisten und in vielen zukünftigen Projekten als Standard gesetzt sein wird.
Fazit
Das Thema IT-Sicherheit spielt eine große Rolle in der Smart-Building-Branche. Durch sicherere Kommunikationsprotokolle wird das IT-Sicherheitsniveau in Gebäuden verbessert. Einen Beitrag dazu liefern unter anderem die Standards BACnet/SC und KNX-Secure das kommt im ganzen Blog und unteren Schlagworten nicht vor. Des Weiteren werden durch die Verfügbarkeit von Multiprotokoll-Gateways die Möglichkeiten für Smart Buildings erweitert.