BACnet Secure Connect
Optimal geschützte Gebäudeautomation
Etwa 25Mio. Geräte tauschen derzeit ihre Daten via BACnet aus, dessen erste Version 1995 veröffentlicht wurde. Nun besitzt der herstellerübergreifende Kommunikationsstandard eine eigene Sicherheitsinfrastruktur und ist damit fit für die Anforderungen der Digitalisierung.
Bild: MBS GmbHAbgeschlossene Netzwerke und lange Innovationszyklen - die Gebäudeautomation hatte zunächst ganz andere Anforderungen an die Betriebssicherheit als die IT. Doch Internet-Technologien, das Zusammenwachsen von IT und Gebäudeautomation (GA) sowie Cloud-basierte Anwendungen erfordern ein hohes Maß an Schutz für die Kommunikation - wie Zugangsbeschränkung, Authentifizierung, Autorisierung und Verschlüsselung.
Risiken minimieren
Hinzu kommt die KRITIS-Strategie der Bundesregierung. Sie hat zum Ziel, die kritischen Infrastrukturen zu schützen, die Staat, Wirtschaft und Gesellschaft mit zentralen Gütern bzw. Dienstleistungen versorgen. Ob Flughafen, Chemiefabrik oder kommunale Liegenschaft - immer mehr GA-Betreiber müssen nachweisen, dass sie Versorgungssicherheit gewährleisten können. Dies betrifft auch BACnet-Netzwerke, die bisher nur mit hohem Aufwand abgesichert werden konnten. Mit BACnet Secure Connect (BACnet/SC) gibt es nun eine Technologie, um sichere Kommunikationsverbindungen mit vergleichsweise geringem Aufwand herzustellen. Denn was in der IT üblich ist, sorgt künftig ebenfalls für die Netz- und Informationssicherheit der Gebäudeautomation. Um diesen Prozess erfolgreich abzuschließen, sind einige Herausforderungen zu meistern. So ist das Sicherheitsbewusstsein in der Gebäudeautomation längst noch nicht so ausgeprägt wie in der IT. Wer etwa das Internet auf der Suche nach ungesicherten BACnet-Netzwerken durchforstet, wird schnell fündig. Gleichzeitig lässt sich die Gebäudetechnik nicht ohne weiteres an die Security-erprobte IT-Administration übergeben, ohne die Gewährleistung der Gerätehersteller aufs Spiel zu setzen. Gefragt sind deshalb pragmatische Wege, um den neuen Standard so zu implementieren, dass die Betreiber ihn problemlos anwenden können. Dementsprechend verwendet er jetzt mehrere Mechanismen, die sich in der Informationstechnologie bewährt haben.
Vom Hub zum Knoten
Zunächst einmal verändert sich die Netzwerk-Topologie mit BACnet/SC sichtbar. Bisher wurde der initiale Verbindungsaufbau im BACnet mit Broadcasts vollzogen, teilweise dann mit Unterstützung von sogenannten BACnet Broadcast Management Devices (BBMD). Deshalb wurde für die Konfiguration nun ein anderer Ansatz gewählt: Jedes Netzwerk erhält einen zentralen Punkt, den sogenannten Hub. Er steuert den Datenverkehr zwischen einer beliebigen Anzahl von Nodes (Endgeräten). Darüber hinaus übernimmt er die Analyse des Datenverkehrs, um festzustellen, ob Informationen an einen einzigen oder alle Nodes weitergeleitet werden sollen. Für die direkte Kommunikation zwischen zwei Nodes lässt sich außerdem eine direkte Verbindung schalten. Zugleich enthält BACnet/SC einen Failover-Mechanismus, der sicherstellt, dass das System auch dann funktionsfähig bleibt, wenn der Hub ausfällt oder zwecks Wartung ausgeschaltet ist. Diese Topologie vereinfacht Konfiguration, Inbetriebnahme und Verwaltung. Gleichzeitig werden BBMD sowie deren Konfiguration überflüssig.
Verschlüsselung und Zertifikate
Für die geschützte Datenübertragung wird TCP mit WebSocket verwendet - zwei Mechanismen auf Basis des Internet-Protokolls IP, das in der IT nahezu flächendeckend genutzt wird. TCP/IP löst die bisher von BACnet verwendete Netzwerkprotokollschicht UDP (User Data Protocol) ab und für eine abhör- sowie fälschungssichere Kommunikation wird TLS eingesetzt. TLS (Transport Layer Security) ist als Grundlage für den sicheren Webzugriff (https) in der IT ebenfalls weit verbreitet. Bei der Verschlüsselung ist zu beachten, dass für die notwendigen digitalen Zertifikate ein unternehmensweites Procedere angelegt werden muss. Die für das Internet im Rahmen von Public-Key-Infrastrukturen zuständigen Zertifizierungs- und Registrierungsstellen sind in BACnet/SC nicht vorgegeben. Damit kann ein Betreiber seinen individuellen Netzwerkstrukturen Rechnung tragen. Für die problemlose Implementierung in vorhandene Netzwerke wurden die Sicherheitsmechanismen als zusätzlicher Data Link Layer in BACnet definiert. Zudem ist der neue Standard in der aktuellen Revision 22 abwärtskompatibel. Das hat den Vorteil, dass die vorhandene Ausstattung über entsprechende Router grundsätzlich mit neuen BACnet/SC-Geräten kommunizieren kann.
Jetzt beginnen!
BACnet/SC ist noch jung. Es dauert sicherlich einige Jahre, bis der Standard in Deutschland und Europa flächendeckend ausgerollt ist. Erst einmal abzuwarten, ist dabei aber keine Option. Vielmehr sollten Betreiber jetzt aktiv werden, denn Sicherheit wird nicht allein dadurch geschaffen, dass man ein Netzwerk mit BACnet/SC-fähigen Geräten aufbaut oder ergänzt. Vielmehr ist es notwendig, ein Sicherheitsbewusstsein zu schaffen, das alle mit einem BACnet-Netzwerk befassten Personen einschließt. Betreiber sollten sich zudem mit den Details der Revision 22 vertraut machen, um den Umstieg zu planen: Was bedeutet es, von UDP auf auf IP mit TLS umzusteigen? Was ist aus technischer Perspektive notwendig? Sind zusätzliche Geräte oder Leitungsstränge nötig? Was ist zu tun, um digitale Zertifikate zu erstellen? Welche Tools stehen für den Wechsel zur Verfügung? Wo kann man von den Mechanismen der bestehenden IT profitieren? Was die neue Produktpalette betrifft, so ist BACnet/SC eine Technologie, die die meisten Hersteller implementieren werden. Kleinere Unternehmen sind dabei möglicherweise schneller mit Produkten am Markt als große. Vielleicht lohnt es sich auch, nach Herstellern Ausschau zu halten, die an der aktuellen Revision mitgearbeitet haben. Außerdem kann es für Liegenschaftsbetreiber sinnvoll sein, sich in allgemeinen oder unternehmensspezifischen Schulungen Beratung einzuholen. Auf diese Weise wird es gelingen, BACnet/SC in der eigenen Liegenschaft erfolgreich anzuwenden.
Etwa 25Mio. Geräte tauschen derzeit ihre Daten via BACnet aus, dessen erste Version 1995 veröffentlicht wurde. Nun besitzt der herstellerübergreifende Kommunikationsstandard eine eigene Sicherheitsinfrastruktur und ist damit fit für die Anforderungen der Digitalisierung.
Bild: MBS GmbHAbgeschlossene Netzwerke und lange Innovationszyklen - die Gebäudeautomation hatte zunächst ganz andere Anforderungen an die Betriebssicherheit als die IT. Doch Internet-Technologien, das Zusammenwachsen von IT und Gebäudeautomation (GA) sowie Cloud-basierte Anwendungen erfordern ein hohes Maß an Schutz für die Kommunikation - wie Zugangsbeschränkung, Authentifizierung, Autorisierung und Verschlüsselung.
Risiken minimieren
Hinzu kommt die KRITIS-Strategie der Bundesregierung. Sie hat zum Ziel, die kritischen Infrastrukturen zu schützen, die Staat, Wirtschaft und Gesellschaft mit zentralen Gütern bzw. Dienstleistungen versorgen. Ob Flughafen, Chemiefabrik oder kommunale Liegenschaft - immer mehr GA-Betreiber müssen nachweisen, dass sie Versorgungssicherheit gewährleisten können. Dies betrifft auch BACnet-Netzwerke, die bisher nur mit hohem Aufwand abgesichert werden konnten. Mit BACnet Secure Connect (BACnet/SC) gibt es nun eine Technologie, um sichere Kommunikationsverbindungen mit vergleichsweise geringem Aufwand herzustellen. Denn was in der IT üblich ist, sorgt künftig ebenfalls für die Netz- und Informationssicherheit der Gebäudeautomation. Um diesen Prozess erfolgreich abzuschließen, sind einige Herausforderungen zu meistern. So ist das Sicherheitsbewusstsein in der Gebäudeautomation längst noch nicht so ausgeprägt wie in der IT. Wer etwa das Internet auf der Suche nach ungesicherten BACnet-Netzwerken durchforstet, wird schnell fündig. Gleichzeitig lässt sich die Gebäudetechnik nicht ohne weiteres an die Security-erprobte IT-Administration übergeben, ohne die Gewährleistung der Gerätehersteller aufs Spiel zu setzen. Gefragt sind deshalb pragmatische Wege, um den neuen Standard so zu implementieren, dass die Betreiber ihn problemlos anwenden können. Dementsprechend verwendet er jetzt mehrere Mechanismen, die sich in der Informationstechnologie bewährt haben.
MBS GmbH
Dieser Artikel erschien in GEBÄUDEDIGITAL 1 (Light+Building) 2020 - 19.02.20.Für weitere Artikel besuchen Sie www.gebaeudedigital.de
