Cybersicherheit für Gebäudeautomationssysteme

Die Einführung von IoT-basierten Systemen verspricht Betriebskosten bei der Gebäudeautomatisierung zu senken. Ziel dieser Systeme ist es, den Komfort für die Bewohner zu verbessern, den Energieverbrauch zu drosseln und die Gesamtbetriebskosten zu senken. [...]

Intelligente Gebäude haben ein großes Potenzial, vergrößern aber gleichzeitig die Angriffsfläche für Cyberbedrohungen. (c) iStock

Die digitale Transformation im Gebäudeautomationssektor bedeutet aber gleichzeitig die Abkehr von älteren proprietären Systemen und die Einführung von Edge-to-Cloud-Computerarchitekturen. Über eine Vielzahl von kostengünstigen kabelgebundenen und kabellosen Sensoren werden möglichst viele Daten für einen optimalen Betrieb erhoben.

Neben diesen aktuellen Architekturen verfügt die Branche aber noch über eine beachtliche Anzahl installierter Gebäudeautomationssysteme, -anwendungen, -geräte und Netzwerke älteren Datums. Auch die wollen verwaltet, gewartet und schrittweise modernisiert werden. Typische ICS-Bereiche wie Produktion/Fertigung und die Energieversorgung sind bereits mit wachsenden Cyber-Bedrohungen konfrontiert. Das Risiko- und Gefahrenmanagement von intelligenten Gebäuden stellt diese Branche nun vor ähnliche Herausforderungen. Umso mehr als Eigentümer und Betreiber mit schrumpfenden Ressourcen, einem Mangel an Fachkräften und der zunehmenden Verschmelzung von IT-/IoT- und OT-Umgebungen zurechtkommen müssen.

Intelligente Gebäude haben ein großes Potenzial, vergrößern aber gleichzeitig die Angriffsfläche für Cyberbedrohungen und erschweren das Sicherheitsmanagement. Gebäudeautomationssysteme profitieren vor allem hinsichtlich der Energie- und Betriebskosten von der digitalen Transformation. Die Herausforderung besteht darin, die Vorteile zu nutzen und gleichzeitig Cyberrisiken zu senken.

1. Die Digitalisierung von Gebäudemanagementsystemen senkt die Kosten über den gesamten Lebenszyklus eines Gebäudes hinweg

Die Digitalisierung von Gebäudeautomationssystemen deckt vielfältige und komplexe Anwendungsbereiche ab. Typische Anwendungen sind unter anderem

  • HLK – die Heizung, Lüftung und Klimatechnik
  • Energiemanagementsysteme
  • Lichtsteuerung
  • Videoüberwachung
  • Zugangskontrollsysteme
  • Aufzugssteuerung
  • sowie die angeschlossenen Sensoren und Geräte (Kameras, Thermostate, Lichtsensoren).

Jedes einzelne System und Gerät, einschließlich verschiedener Versionen und Überarbeitungen, weist ein bestimmtes Maß an potenziellen Cyberrisiken auf.

Digitalisierung bietet enorme Chancen

Die Digitalisierung dieser Systeme bietet eine enorme Chance, Energie- und Betriebskosten für Gebäude- und Anlagenbetreiber zu senken. Beispielsweise verbrauchen gewerblich genutzte Gebäude über 70 Prozent des in den USA erzeugten Stroms. Viele Gebäude sind zudem älteren Datums und mit entsprechend veralteten Technologien ausgestattet. Dieser Gebäudebestand profitiert fast uneingeschränkt, wenn man die Infrastruktur nachrüstet – sowohl bei den Gesamtbetriebskosten als auch bei der Sicherheit.

Nach Angaben des US-Energieministeriums verursachen Gewerbe- und Wohngebäude rund 38 Prozent der Treibhausgasemissionen. Im Jahr 2010 waren 32 Prozent des weltweiten Energieverbrauchs und 19 Prozent aller Treibhausgasemissionen auf Gebäude zurückzuführen. Gemäß Business as usual-Szenarien könnte sich die weltweit durch Gebäude verbrauchte Energie bis 2050 verdoppeln oder gar verdreifachen, unter anderem weil Milliarden Menschen Zugang zu angemessenem Wohnraum und zu Elektrizität erhalten werden. Die neue Generation von IoT-fähigen Systemen bietet hier eine reelle Chance, den CO2-Fußabdruck der Branche zu verringern. Intelligente digitale Technologien zur Gebäudeüberwachung und -steuerung tragen zu mehr Komfort für die Bewohner bei und stellen gleichzeitig Informationen bereit, mit denen das Gebäude so effizient betrieben wer-den kann, wie es die bauliche Struktur und Ausstattung zulassen.

2. Ein höherer Digitalisierungsgrad sorgt für steigende Cyberrisiken

Neben den schon skizzierten Vorteilen erhöht die zunehmende Digitalisierung aller Gebäude aber auch das Risiko für Cyberbedrohungen. Viele Eigentümer erkennen mittlerweile die Bedeutung einer soliden Cybersicherheitsstrategie. Assets sind weitgehend miteinander vernetzt, was den Bedarf an sicherer Fernüberwachung und -verwaltung für Gebäude erhöht. Gleichzeitig brauchen Betreiber einen besseren Überblick über die möglichen Schwachstellen aller bereits installierten Systeme. Datenflüsse müssen geplant und überwacht werden, was den Einsatz von Einweg-Datendioden erforderlich macht. Ein weiterer wichtiger Aspekt ist die wachsende IT/IoT- und OT-Konvergenz. Endanwender und Eigentümer/Betreiber in der Gebäudeautomation betrachten diese Bereiche oftmals völlig getrennt, auch wenn Angreifer schon vielfach Sicherheitslücken in konvergenten Netzen erfolgreich für sich ausnutzen konnten.

Phishing-Kampagnen werden beispielsweise genutzt, um sich in den Besitz von Zugriffsberechtigungen zu bringen – auch für OT-Systeme. Hacker nutzen HLK und andere vergleichsweise schlecht gesicherte OT-Systeme als Einstiegspunkte in Rechenzentren und IT-Netzwerke. Dazu kommt, dass OT-Systeme selbst immer mehr IT enthalten. Der Aufstieg des Internets der Dinge, von Industrie 4.0 und anderen Technologieinitiativen hat für eine riesige Welle von IT-Akzeptanz auf allen Ebenen der Gebäudesystemarchitektur gesorgt. In einer Vielzahl von Anwendungen ersetzen Edge-Computing-Geräte bereits proprietäre Controller. ARC –Technologien nutzen auf breiter Basis kostengünstige, intelligente und pervasive Sensoren.

Abgesehen von den eigentlichen Systemfunktionen und besonderen Anforderungen an die Sensorik, wird es aus immer schwieriger, zwischen Gebäudeautomationssystemen und Systemen auf Unternehmensebene zu unterscheiden.

Steigende Anzahl von Cyberattacken

Steigende Zahl von Cyberangriffen auf OT-Ebene – Cyberangriffe auf intelligente Gebäude sowie damit verbundene Angriffe auf intelligente Städte und Infrastrukturen haben potenziell weitreichende Auswirkungen und gefährden unter Umständen die Sicherheit von Menschen. Ein Angriff in einem großen öffentlichen Gebäude oder Bauwerk (insbesondere in einem dicht besiedelten Gebiet) löst möglicherweise ein Chaos aus.
Cyberphysikalische Assets in intelligenten Gebäuden, Städten und Infrastrukturen sind weit verteilt, insbesondere wenn man den neuen Trend betrachtet, ganze Gebäudezüge von einer zentralen Stelle aus zu überwachen. Auf einem Campus oder in einem medizinischen Komplex erstrecken sich diese Systeme über mehrere Häuserblöcke und sind unter Umständen für ein funktionierendes Gemeinwesen von nicht zu unterschätzender Bedeutung.

Vergrößerte Angriffsfläche – Moderne „smart buildings“ verfügen über eine Vielzahl von Systemen und Verbindungen. Diese vergrößern naturgemäß die potenzielle Angriffsfläche. Beim erfolgreichen Hack der Einzelhandelskette Target verschafften sich die Angreifer Zugang zu einem HLK-System. Von dort aus arbeiteten sich die Hacker bis in die Finanzsysteme der Kette vor und zogen von dort über 40 Millionen Kreditkartendaten ab.

Unsichere Protokolle – Unsichere Industrieprotokolle sind eine weitere und naheliegende Möglichkeit, wie Angreifer den Betrieb stören und gefährden können. Dies gilt insbesondere für Gebäudeautomationssysteme. Beliebte Protokolle wie BACnet und LonWorks sind von Natur aus nicht besonders sicher konzipiert und weisen wie die im Fertigungssektor verwendeten ihre ganz eigenen Schwachstellen auf. Versierte Angreifer kennen diese Lücken und können vergleichsweise leicht auf die Dokumentation zugreifen, die zum Erstellen von Befehlen erforderlich ist. So lässt sich beispielweise der reibungslose Betrieb von Controllern und anderen Geräten stören.

Cybersicherheit für Gebäudeautomationssysteme

Ein umfassendes Cybersicherheitsprogramm für intelligente Gebäude umfasst die drei üblichen Grundlagen für jedes System: Menschen, Prozesse und Technologien. Gebäudeeigentümer und Unternehmen mit Gebäudeportfolios haben zum Teil erhebliche Schwierigkeiten die richtigen Teams zusammenzustellen, eine Sicherheitskultur zu etablieren und Prozesse einzuziehen, die für den richtigen Umgang mit den Cybergefahren bei intelligenten Gebäuden nötig sind.

Aber es gibt auch eine gute Nachricht. Inzwischen gibt es ausgereifte Sicherheitslösungen für diesen Bereich. Sie bieten umfassende Netzwerktransparenz für sämtliche OT- und IoT-Geräte und –Netzwerke, und überwachen kontinuierlich und zentral hinsichtlich von Bedrohungen und Anomalien. Gerade weil die digitale Transformation von Gebäudeautomationssystemen enorme Vorteile mit sich bringt, gilt es die damit verbundenen Cyberrisiken aktiv zu überwachen und zu managen. Man also nur jeden Gebäudebetreiber ermutigen, aktiv ein umfassendes Cybersicherheitsprogramm zu entwickeln und umzusetzen.

*Larry O’Brien ist Vice President Research bei der ARC Advisory Group.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*