Der Fachverband Automation + Management für Haus + Gebäude des VDMA hat das Einheitsblatt 24774 zum Thema IT Sicherheit in der Gebäudeautomation veröffentlicht.
Die Gebäudeautomation (GA) im IT-Umfeld wird zunehmend bedroht durch Schadensszenarien wie Sabotage, Spionage und das Aufspielen von Malware. Dies kann ungeschützt zu Datenmanipulation, Datenverlust und zum Ausfall der Gebäudeautomation mit Folgen wie Personenschäden oder Einschränkung des Geschäftsbetriebs (z.B. Produktionsausfall, Unbenutzbarkeit des Gebäudes) oder Vermögensschäden führen.
Das im Juli 2016 veröffentlichte VDMA-Einheitsblatt 24774 „IT-Sicherheit in der Gebäudeautomation“ soll dabei helfen, die Bedrohung durch Cyberangriffe zu erkennen, zu vermeiden oder deren Auswirkung zu minimieren. Das VDMA-Einheitsblatt soll Planer, Errichter und Betreiber dabei unterstützen, Maßnahmen für IT-Sicherheit von neuen oder schon errichteten GA-Systemen umzusetzen. Dies betrifft den gesamten Lebenszyklus, inklusive Wartung, Service und Rückbau.
Der Auslöser für die wachsende Bedrohung und die Aktualität des Themas IT-Sicherheit in der GA liegt in der technologischen Entwicklung. In der gesamten Automatisierungstechnik wird seit längerer Zeit immer mehr Intelligenz in immer tiefere Ebenen verbaut. SPS und Automationsstationen haben sich längst zu branchenspezifischen Kleinstcomputern mit eingebettetem Betriebssystem entwickelt. Für die Kommunikation wurden als Folge weitgehend die bestehenden Technologien der allgemeinen IT übernommen. Auch bei den Feldgeräten hält der Trend zu immer mehr integrierter Intelligenz und immer höherwertigen Kommunikationstechniken an.
In der Gebäudeautomation war die Entwicklung der letzten ca. 15 Jahre darüber hinaus geprägt von Standardisierung der „offenen“ Kommunikation (z.B. BACnet, KNX, LON). Die Integrationsfähigkeit der Systeme verschiedener Hersteller wurde zu einem wichtigen Verkaufsargument. Während die Systeme zuvor in jeder Hinsicht proprietär aufgebaut waren und damit kaum oder nur schwierig miteinander kommunizieren konnten, wurden um die Jahrtausendwende Standards auf Netzwerk-, Protokoll- und Objektebene definiert und die Systeme damit geöffnet.
Durch die Nutzung allgemeiner IT-Standards für die Kommunikation wurde die Integration der GA in die bestehenden Strukturen der Business-IT eines Gebäudes ermöglicht. Für die Fernkommunikation hat sich die Nutzung des Internets etabliert, womit sich der GA fast unbegrenzte Kommunikationsmöglichkeiten eröffnet haben.
All diese Modernisierungen ermöglichen den Kunden und Betreibern der Gebäudeautomation Mehrwerte in Form von immer besseren Funktionalitäten, unbegrenzten Kommunikationsmöglichkeiten und völliger Wahlfreiheit bei Neu- und Erweiterungsprojekten. Dadurch ergeben sich aber für die GA auch neue Dimensionen der Bedrohung, wie sie aus dem IT-Bereich bekannt sind. Durch die physische Verbindung der GA mit den technischen Einrichtungen eines Gebäudes (HLK-Anlagen, Beleuchtung, Zutrittskontrolle, Feuertüren etc.) ergibt sich jedoch, gegenüber der allgemeinen IT, eine erweiterte Dimension bei den Folgen dieser Bedrohung. Nicht nur Daten können manipuliert oder geändert werden, ein unerwünschter Zugriff kann sich bis hin zu den sicherheitsrelevanten technischen Einrichtungen des Gebäudes auswirken. Bei krimineller Absicht können die Folgen entsprechend schwerwiegend sein.
Die Bedeutung der Bedrohung hängt stark vom Typ und der Nutzung des betroffenen Gebäudes ab. Nicht alle Gebäude sind gleich interessant für Angriffe und gleich sensibel für deren Folgen. GA-Systeme steuern und regeln unter anderem. kritische Infrastrukturen, wodurch bei einem Cyberangriff größere wirtschaftliche Schäden oder Personenschäden entstehen können. Die Sicherheitsvorkehrungen müssen dem Risiko angepasst sein. Eine projektspezifische Risikoanalyse ist in jedem Fall unerlässlich. Grundsätzliche Maßnahmen sollten in allen Anlagen vorgesehen werden. Ergänzend zu den Grundschutzkatalogen des BSI beschreibt das VDMA-Einheitsblatt 24774 die wichtigsten Maßnahmen zur Erhöhung der IT-Sicherheit in der Gebäudeautomation.
www.vdma.org