IT Security in der Gebäudeautomation
Ist Ihre Gebäudetechnik offen wie ein Scheunentor und von außen und wie von innen angreifbar? … Häufig treffe ich auf Bestandsgebäude, die ein zusammengebasteltes Netzwerk mit uralten Switchen und DDCs bzw. Controllern haben, die man wie auch immer netzwerkfähig gemacht hat. Teilweise sehe ich da wirklich sehr kreative Lösungen, aber von Firewalls und verschlüsselter Netzwerkkommunikation sind die ganz weit weg. Welche Anforderungen werden heute an die IT-Sicherheit bei Gebäude, Gebäudeautomation und Gefährdungslagen gestellt? Die Antwort bietet unter anderem das IT Grundschutz Kompendium 2022. Ich bin beeindruckt, wie übersichtlich und detailliert dieses Kompendium aufgebaut ist. Zu jedem der einzelnen Unterpunkte gibt es eine Beschreibung, was zu beachten ist – natürlich nur die Überschriften, im Detail wird’s dann sehr viel komplexer. Ich zeige hier lediglich einen Teil der Überschriften auf, empfehle aber jedem, sich einmal das Dokument für seinen Bereich genau anzuschauen und natürlich mit der Umsetzung zu beginnen. Also beginnen wir mit den Teilen der Gebäudeautomation.
INF.13 Technisches Gebäudemanagement
Ziel ist, die Informationssicherheit als essentiellen Baustein bei Planung, Umsetzung und Betrieb des TGM zu integrieren.
Thema: Gefährdungslage
- Fehlende Grundlagen für die Planung des TGM führen zu fehlenden Ansprechpartnern, Zielsetzungen und letztendlich zu einem TGM, welches nicht dem tatsächlichen Bedarf entspricht.
- Mangelnde Dokumentation der Zuständigkeiten beim TGM führt zu Verzögerungen und kann Schäden zur Folge haben, wenn der entsprechende Ansprechpartner nicht ausfindig gemacht werden kann.
- Unzureichendes Monitoring der TGA führt zu spät erkannten Fehlfunktionen, die mitunter schwere Schäden nach sich ziehen.
Thema: Basis-Anforderungen, die sein MÜSSEN
- Ein in meinen Augen besonders großes MUSS ist die Beurteilung des Status Quo bei der Übernahme bestehender Gebäude. Darunter fallen Kriterien wie allgemeiner Zustand, Alter, Supportstatus, Zukunftsfähigkeit, Vollständigkeit der Dokumentation, Größe, usw.
- Es gibt nichts Schlimmeres, als wenn man zu einem Gebäude gerufen wird und keiner weiß, wer was wann wie gemacht hat und vor allem dafür noch die Verantwortung trägt. Daher MUSS die saubere Regelung und Dokumentation von Verantwortlichkeiten und Zuständigkeiten im Gebäude exakt gepflegt werden.
- …
Thema: Standard-Anforderungen, die sein SOLLTEN
- Die übergeordnete Sicherheitsrichtlinie des TGM sollte nachvollziehbar sein und klar in die einzelnen Unterbereiche abgeleitet werden. Das sollte auf jeden Fall ganz genau dokumentiert werden.
- Im Rahmen der Planung eines TGM sollte als Mindestanforderung je eine detaillierte Anforderungsanalyse, Grobkonzeptionierung und Fein und Umsetzungsplanung festgelegt werden.
- Auch wenn es aufwendig ist, aber die Durchführung von Systemtests im TGM sollte unbedingt sein – in meinen Augen fast schon ein MUSS.
- Ausgehend von der Sicherheitsrichtlinie für das TGM sollte ein TGMKonzept erstellt und gepflegt werden. Bitte unbedingt die jeweiligen Ansprechpartner dokumentieren und informieren.
- Auch das TGM kann gehackt werden. Daher sollte auf jeden Fall ein ausreichender Schutz vor Schadsoftware installiert werden.
- …
Die Liste ist noch unendlich lang. Da wurde „fast“ nichts vergessen! Abschließend kommen noch weiterführende Informationen, Fachbegrifferklärungen und zum Schluss eine wunderbare tabellarische Zusammenfassung.
Meine Tipps, Ratschläge und Reflexionen
Wenn Sie einen Planer im Bereich Gebäudeautomation engagieren, sollte dieser nicht nur die Regelungstechnik, sondern auch unbedingt IT-Systeme und IT-Sicherheit beherrschen.
Mein Tipp: Holen Sie sich rechtzeitig Ihren IT-Security Compliance Officer in Ihrer Firma zu Ihrem Projekt hinzu und lassen Sie die Planung der Gebäudeautomation von ihm hinsichtlich IT-Security prüfen. Danach wird er Ihnen empfehlen können, wie die IT-Security der Firma optimal ausgeführt werden kann oder wie das Netzwerk aufgebaut sein muss.
Setzen Sie gehärtete Systeme und eine verschlüsselte Netzwerkkommunikation ein. Wenn die Automationsstationen das nicht können, wäre es ratsam, die Netzwerkkommunikation auf einen Knotenpunkt ab dem Schaltschrank/ASP/Controller zu verschlüsseln.
Security bedeutet nicht nur IT-Security, sondern auch, ob die Handebene abgeschlossen ist, ob die Schaltschränke abgeschlossen sind und ob z.B. auch eine Schließberechtigung hierfür vorliegt.
Wenn Sie sagen, ich habe so eine Uraltanlage und bei der habe ich ein komisches Gefühl, dann rufen Sie an, bevor es Ihnen komisch und schlecht wird. Wir überprüfen Ihr System bis ins kleinste Detail und bringen alles auf den neusten Stand.
Weiterführende Links
zurück