Projektinterview: Untersuchung des Gebäudeautomationsprotokolls BACnet Secure Connect in einer Smart-Building-Testumgebung

Fabian Lesjak hat an der RWTH Aachen sein Bachelorstudium Wirtschaftsingenieurswesen Fachrichtung Bauingenieurwesen abgeschlossen und schreibt aktuell seine Masterarbeit. Da ihn die technischen Aspekte dieser Fachrichtung besonders interessierten, entschloss er sich 2019 für eine Zweithörerschaft an der FH Aachen im Studiengang Smart Building Engineering, die er 2023 mit seiner Bachelorarbeit abschloss. Im Rahmen dieser Bachelorarbeit im Bereich Gebäudeautomation ist er 2022 für sein Praxisprojekt bei ComConsult eingestiegen und erhielt das Angebot, auch darüber hinaus Unterstützung bei der Erstellung seiner Arbeit zu erhalten. Im März 2024 erhielt er von der BACnet Interest Group Europe (BIG-EU) den „BIG-EU Award“ für herausragende studentische Abschlussarbeiten rund um das Thema BACnet-Protokoll.

In deiner Bachelorarbeit hast du dich mit dem Gebäudeautomationsprotokoll BACnet Secure Connect beschäftigt. Was war deine Motivation für dieses Thema?

Bestandsgebäude machen einen großen Teil der Energieverbräuche des Gebäudesektors aus. Um hier nachhaltig zu handeln und möglichst große Mengen Energie einzusparen, benötigt man insbesondere eine effiziente Gebäudeautomation, welche gut vernetzt ist. Gleichzeitig findet man in Bestandsgebäuden oft in die Jahre gekommene Technik vor. Potentiale, die mit dem Einsatz von smarten Technologien möglich sind, kommen nicht zur Anwendung. Diese Themen gewinnen gesellschaftlich und politisch zunehmend an Bedeutung. Deshalb ist es sehr relevant, dass in der Gebäudeautomation hinsichtlich smarter Funktionen eine Modernisierung stattfindet. Das kann nur funktionieren, wenn man neue und vor allem sichere Gebäudeautomationsprotokolle einsetzt. BACnet Secure Connect ist ein globaler Datenkommunikationsstandard für die Gebäudeautomation, der – wie der Name schon sagt – die Sicherheitsaspekte GA-interner Kommunikation in den Vordergrund stellt und mit dessen Hilfe Verbindungen verschlüsselt werden und sich die Kommunikationsteilnehmer authentifizieren müssen.

Wer waren die Kooperationspartner für deine Arbeit?

Die Herren Dr. Kaup von der ComConsult und Professor Frauenrath von der FH Aachen haben mich während meiner Arbeit betreut. Mit der MBS GmbH aus Krefeld haben wir einen Kooperationspartner gefunden, der uns die Hardware zur Verfügung gestellt hat, um das Kommunikationsprotokoll in Betrieb zu nehmen. Mithilfe der Smart-Building-Plattform des Centers Smart Commercial Building (CSCB) der RWTH Aachen konnten wir das Protokoll im Livebetrieb auf seine Funktionen testen. Die Smart-Building-Plattform ist ein skalierbarer Demonstrator, der Unternehmen und Herstellern die Möglichkeit bietet, Hard- und Software der modernen Gebäudetechnik analog zu einem realen Gebäudeprojekt, in dem die IoT-Bausteine gewerkeübergreifend vernetzt sind, in einem kleinen Maßstab abzubilden und zu erproben. So können Probleme im Vorfeld identifiziert werden, bevor es im Realbetrieb zu Fehlfunktionen kommt, die erhebliche Kosten verursachen können.

Was bietet BACnet Secure Connect?

„Building Automation and Control network“, kurz BACnet, ist ein Gebäudeautomationsprotokoll, das Kommunikationsmöglichkeiten zwischen Management-, Automations- und Feldebene in der Gebäudeautomation zur Verfügung stellt und die Steuerung, Regelung und Optimierung von Komponenten ermöglicht. Es ist eines von vielen Protokollen, welche auf dem Markt angeboten und in Projekten eingesetzt werden. BACnet gilt als eines der bekanntesten und meist verbreiteten Kommunikationsprotolle und zeichnet sich insbesondere durch seine Herstellerneutralität aus. Das ist ein großer Vorteil, denn in großen Gebäuden kommen häufig Geräte verschiedener Hersteller zum Einsatz, die über BACnet miteinander in einem ganzheitlichen System kommunizieren können. Hersteller, die Komponenten für Gebäudeautomationsanlagen entwickeln, lassen ihre Geräte von den BACnet Testing Laboratories zertifizieren, um zum Beispiel bei öffentlichen Ausschreibungen durch das BTL-Siegel, das sie erhalten, ihre Kompatibilität nachzuweisen. Die erste Version von BACnet erschien 1995. Während damals auf, aus heutiger Sicht, alte Kommunikationsmethoden gesetzt wurde, kam später IP-Kommunikation zum Einsatz – zunächst noch unverschlüsselt mit bspw. BACnet/IP, später dann mit BACnet Secure Connect – kurz BACnet/SC – als sichere Version der IP-Kommunikation. 2019 wurde mit BACnet Secure Connect die Erweiterung des Standards freigegeben, die den aktuellen Anforderungen an die Cybersicherheit Rechnung tragen soll.

Du hast für deine Arbeit Komponenten der Firma MBS genutzt.

Richtig. Die MBS GmbH ist ein spezialisierter Hersteller von Hard- und Software im Bereich der Industrie- und Gebäudeautomation. Die Komponenten von der MBS, die ich auch für meine Arbeit genutzt habe, können in einem Gebäudenetzwerk eingesetzt werden und bieten unter anderem die Möglichkeit, zwischen unterschiedlichen Protokollen wie zum Beispiel BACnet und Modbus oder anderen Protokollen zu übersetzen. Die MBS stellt selber ebenfalls ein BACnet-Prüflabor, von welchen es weltweit nur eine Handvoll gibt. Außerdem entwickelt die MBS neben eigenen Hardwarekomponenten auch eigene Software, wie zum Beispiel das BACnet Test Framework für Pretesting von BACnet-Komponenten vor einer offiziellen Prüfung für die BACnet-Zertifizierung im Labor oder auch die BACeye-Software für Inbetriebnahme, Wartung und Diagnose von BACnet-Netzwerken.

Welche Geräte hast du getestet?

Ich habe den UBR-01 Universal-BACnet-Router und das UGW Universal-BACnet-Gateway von der MBS getestet. Ich habe mir angeschaut, wie die Geräte eingerichtet und in Betrieb genommen werden. Dazu habe ich zunächst die Geräte selbst hinsichtlich der Funktionen untersucht, die sie bieten. Nach der Inbetriebnahme konnte ich in einem lokalen Netzwerk mithilfe der Software Wireshark testen, welche Datenpakete mit welchem Kommunikationsprotokoll im Netzwerk ausgetauscht werden. Im Rahmen dieses Versuchs habe ich die verschiedenen Sicherheitsfunktionen geprüft und unterschiedliche Konfigurationsmöglichkeiten ausprobiert und getestet, was soweit gut funktionierte.

Du hast die Komponenten in die Smart-Building-Plattform des Centers Smart Commercial Building eingebunden. Wie war der Testaufbau?

Ich habe die Geräte am Demonstrator des CSCB in eine bereits vorliegende BACnet-Installation, die ein Gebäude mit physischen Komponenten wie Sensoren und Aktoren simuliert,

integriert. Diese Bestandsinstallation verfügte zu dem Zeitpunkt noch über keine Komponenten, welche BACnet Secure Connect unterstützen. Aufgrund der Fähigkeit der MBS-Komponenten, sowohl über BACnet/IP als auch BACnet/SC zu kommunizieren, konnte somit die Integration in ein Bestandsgebäude getestet werden. Ich habe eine sichere Verbindung von meinem Laptop über BACnet Secure Connect auf die Komponenten hergestellt und konnte im Gebäude sozusagen hinter den Komponenten den Rest der Installation sehen sowie in deren nicht verschlüsselte Kommunikation einsehen. Das Szenario war: Es liegt ein älteres Bürogebäude vor, in dem die weit verbreitete Vorversion des Standards, BACnet/IP, eingesetzt ist. Durch den Einsatz von BACnet Secure Connect auf kompatiblen Komponenten und den dazugehörigen Bereichen des Netzwerks kann auch nachträglich die Kommunikation an kritischen Stellen im Netzwerk abgesichert werden. Dabei ist zu beachten, dass die Abschnitte des Netzwerks mit BACnet/IP-Kommunikation keine direkte Verbesserung der Sicherheit erfahren, da hier immer noch unverschlüsselt kommuniziert wird.

Wieso ist das Zertifikatsmanagement aufwendig?

Um eine verschlüsselte Verbindung zwischen den Komponenten herzustellen, müssen sie über Zertifikate verfügen. Vergleichbar ist dies mit dem Aufrufen von beispielsweise einer Bank-Webseite. Dabei wird im Hintergrund ein Zertifikat überprüft, ob die Webseite tatsächlich die Webseite ist, die sie vorgibt zu sein. Diese Überprüfung muss auch zwischen den BACnet-Geräten stattfinden, weshalb sie in einem ersten Schritt mit Zertifikaten versorgt werden müssen. Ich habe mich in meiner Arbeit damit beschäftigt, wie das in der Praxis aussehen kann. Dazu habe ich händisch Zertifikate auf die Geräte aufgespielt. Für meine zwei Geräte und meinen Laptop war das natürlich kein Problem. Doch für eine Gebäudeinstallation mit mehreren tausend Geräten ist diese Vorgehensweise überhaupt keine Option. Da wären mehrere Mitarbeiter über einen langen Zeitraum mit dem Zertifikatsmanagement beschäftigt, zumal Zertifikate auch immer wieder erneuert werden müssen, weshalb ein wichtiges Fazit meiner Arbeit war: Ein manuelles Zertifikatsmanagement ist aus Gründen der Kosteneffizienz, der Fehleranfälligkeit und der hohen Personalressourcen kein effizienter Prozess. Die Lösung ist eine, im besten Fall herstellerneutrale, automatisierte Zertifikatsverwaltung. Hier bleibt abzuwarten, ob sich eine Softwarelösung von Drittanbietern durchsetzen kann oder ob herstellerspezifische Lösungen das Zertifikatsmanagement übernehmen werden. Diese Frage gilt es insbesondere auch bei anstehenden Ausschreibungen für Projekte bereits frühzeitig zu berücksichtigen. An dieser Stelle ist anzumerken, dass sich diesbezüglich seit meiner Abschlussarbeit bei den Big Playern der GA-Branche schon viel getan hat und das Zertifikatsmanagement in der Regel in den entsprechenden GA-Managementsystemen nutzerfreundlich integriert ist.

Was ist der große Vorteil von BACnet Secure Connect?

Der große Vorteil von BACnet Secure Connect ist, dass es sich in Bestandsgebäude einpflegen lässt und durch den Einsatz der Komponenten ein Sicherheitsgewinn für den Datenverkehr entsteht. Ob ein Update für die bereits vorhandenen Komponenten angeboten wird, hängt vom jeweiligen Hersteller und den einzelnen Komponenten ab. Wichtig ist hierbei die Performance von Bestandskomponenten zu berücksichtigen. Andere Bestandsverbindungen verfügen je nach Konfiguration natürlich auch über einen gewissen Grad an IT-Sicherheit, aber in einem smarten Gebäude, in dem Mitarbeiter zum Beispiel über die App ihrer Mobilgeräte Raumtemperaturen einstellen oder Arbeitsplätze buchen können, braucht es auch für das GA-Netzwerk je nach Bereich verschlüsselte Verbindungen. Diese könnten mithilfe von BACnet/SC realisiert werden.

Kann man Komponenten eines BACnet/SC-Netzwerks auch in der Cloud betreiben?

Im Labor von ComConsult haben wir das Szenario eines Cloud-Zugriffs nachgestellt. Die BACnet-Gebäudeautomationskomponenten können über beliebige Entfernungen von einem Gebäude in ein anderes Gebäude an einem beliebigen Ort sicher kommunizieren, weil für sie eine verschlüsselte Verbindung vorliegt. Man könnte alle Gebäude einer Organisation von einer Zentrale aus über die Cloud ansteuern und betreiben und dies als Service anbieten. Auch ein Betrieb der BACnet/SC-spezifischen Infrastruktur kann aus der Cloud heraus erfolgen. Ein großer Vorteil von BACnet/SC ist wie schon erwähnt, dass es herstellerübergreifend eingesetzt werden kann und nicht nur Komponenten desselben Herstellers über herkömmliche IP-Kommunikation sicher in der Cloud miteinander kommunizieren können. Ob man sich für BACnet-Komponenten entscheidet, ist immer eine Kosten-Nutzen-Frage. Liegt eine Installation vor, die bereits ohne BACnet/SC verschlüsselt in die Cloud kommunizieren kann oder die unter keinen Umständen ins öffentliche Internet kommunizieren soll, ist ein nachträglicher Einsatz von BACnet/SC nicht unbedingt notwendig. Bei einem Bestandsgebäude, das noch nicht über eine solche sichere Installation verfügt, doch online kommunizieren soll, wäre es sicher eine gute Option, den herstellerneutralen BACnet-Secure-Connect-Standard mit kompatibler Hardware auf den kritischen Netzwerkabschnitten einzusetzen.

Du hast auf der Light + Building-Messe den „BIG-EU Award“ für deine Abschlussarbeit erhalten. Was bedeutet das für dich?

Die BACnet Interest Group Europe, kurz BIG-EU, ist ein europäischer Anwender- und Industrieverband, der die Anwendung des BACnet-Protokolls in der Gebäudeautomation durch ein Qualifikationsangebot, die Erarbeitung technischer Richtlinien, Bildungsprogramme und Marketingaktivitäten fördert. Mein Professor hat meine Arbeit bei der BIG-EU eingereicht und auf der Light + Building-Messe in Frankfurt durfte ich dann den „BIG-EU Award“ für meine Abschlussarbeit in Empfang nehmen. Ich habe eine kleine Rede gehalten und resümiert, dass BACnet/SC im Allgemeinen gut funktioniert. Es war für mich eine tolle Erfahrung, meine Bachelorarbeit über BACnet/SC zu schreiben und eine große Ehre, den Award zu erhalten.