Cybersecurity-Maßnahmen für sichere Smart Buildings

Wie in allen anderen Bereichen reichen auch die Ansätze der Digitalisierung im Gebäudesektor bereits viele Jahre zurück. Genannt seien hier nur plakativ die mobilfunkbasierte Fernwirktechnik Ende der achtziger Jahre oder der Europäische Installationsbus (EIB) als Standard der European Installation Bus Association (EIBA) Anfang der neunziger Jahre des vorigen Jahrhunderts, letzterer heute in seiner aktuellsten Version als KNX-Standard bekannt. 

Waren zu Anfang Akzeptanz und Einsatzmöglichkeiten noch eher begrenzt, lässt sich in der Gegenwart eine sehr breite und umfassende Anwendung feststellen, nicht zuletzt dadurch, dass sich unter wirtschaftlicher Betrachtung Amortisation und sonstige Kostenvorteile jetzt ganz anders darstellen als vor 30 Jahren. Das Ergebnis kann sich sehen lassen: Immer mehr Gebäude sind mit innovativen digitalen Steuerungssystemen ausgestattet; Klimaanlagen, Beleuchtung, intelligente Stromzähler, Aufzüge und vieles mehr werden smart. Selbst Bestandsgebäude werden durch Nachrüsten der entsprechenden Technik relativ kostengünstig zum Smart Building. 

Moderne Gebäudeautomation als Folge der Digitalisierung führt dazu, dass die an und im Gebäude eingesetzte Technik zunehmend vernetzter wird und mit der das Gebäude verwaltenden Firma und dem Internet für entsprechende Datenanalysen oder technisches und proaktives Monitoring kommuniziert. Ursprüngliche Insellösungen, die als Einzelsysteme isoliert voneinander gearbeitet haben, werden in einem großen Netzwerk zusammengeführt. Die Vorteile, die die Automatisierung für Nutzerkomfort, energetische Nachhaltigkeit und Fernwartungsmöglichkeiten bringt, sind immens. Es können Energie-Einsparpotenziale detektiert und die Betriebseffizienz sowie die Anlagenverfügbarkeit optimiert werden. 


Gebäudeautomation vs. Cybersecurity

Allerdings macht die Vernetzung das große digitale System auch anfälliger für Angriffe von außen. Die mannigfaltige Gebäudetechnik bietet Hackern und Cyberkriminellen vielfältige Einfallstore für Attacken. Wenn früher ein Einbrecher um das Gebäude schlich, um durch unverschlossene oder ungesicherte Türen oder Fenster ins Gebäude zu gelangen, dann sind es heute Cyberkriminelle, die Lücken im IT-Sicherheitssystem nutzen, um entsprechende Netzwerke zu kompromittieren. Deshalb ist es für Gebäudeeigentümer und -betreiber unumgänglich, Cybersecurity-Maßnahmen zum Schutz des Smart Building einzurichten. Da bei zahlreichen Gebäuden ursprünglich als Offline-Variante geplante Elemente erst im Nachhinein vernetzt wurden bzw. in Zukunft vernetzt werden sollen, müssen die Betreiber hier besonders sensibel mit Einfallstoren für Cybersecurity umgehen. 

Grundsätzlich sollte das Risiko eines Hackerangriffs auf ungeschützte Gebäudetechnik und dessen Folgen nie unterschätzt werden. Es geht bei weitem nicht nur um den Verlust sensibler Daten. Vielmehr sind bei einem Hackerangriff in der Mehrzahl der Fälle Verfügbarkeit und Integrität von gebäudetechnischen Anlagen betroffen. Die Negativfolgen, die neben wirtschaftlichen und imageseitigen Beeinträchtigungen sogar Schaden an Leib und Leben verursachen können, sind oftmals immens.

Beispielhafte Szenarien für solche Situationen können sein:
  • Verriegeln aller Zugangsmöglichkeiten zum und im Gebäude
  • Ausfall der Belüftung in speziellen Bereichen, z.B. OP-Räume
  • Unterbrechung der Überwachungs- oder Alarmierungsanlage
  • Störung der Stromversorgung
  • Fremdsteuerung der Aufzugsanlage

IT-Sicherheitsmaßnahmen für gefährdete Gebäudetechnik

Entsprechende Sicherheitsmaßnahmen können gefährdete Gebäudetechnik wirksam schützen. Es sollten daher auf jeden Fall Prozesse mit dem Fokus auf die Sicherheit gegen Netzwerkangriffe im Unternehmen installiert als auch eine geeignete Abwehrtechnologie beschafft werden. Zu guter Letzt spielt die Sensibilisierung des Personals hinsichtlich der Cybersecurity eine wesentliche Rolle. Der Faktor Mensch ist oftmals das erste Einfallstor für Hacker und ihre immer ausgeklügelteren Techniken, die Anwender aufs sprichwörtliche Glatteis zu führen. 

Beispiele für prozessual technisch organisatorische Maßnahmen sind:
Prozesse

  • Gefährdungs- und Bedrohungsanalyse: Systematisches und kontinuierliches Erfassen, Strukturieren und Bewerten der verschiedenen Bedrohungen für IT-Systeme und IT-Prozesse 

  • Integration eines Rollen- und Pflichtensystems: Vergabe von Zugriffsrechten und Erlass von Richtlinien über die Länge der benutzten Passwörter 
Technik
  • Datenverschlüsselung: Kodierung von Daten zum Ausschluss des Zugriffs Dritter
     
  • kontrollierte Fernwartung: Nutzung einer Fernwartungsanwendung, die die Fernwartung ohne ausdrückliche Zustimmung des Anwenders und ohne seine Kenntnis ausschließt 
Organisation 
  • Mitarbeitersensibilisierung: Schulung der Belegschaft zum Erkennen typischer und atypischer Angriffsmuster von Cyberkriminellen mit dem Ziel des Aufbaus einer entsprechenden Awareness

  • Patchmanagement: Schnellstmögliche Installation von Sicherheits-Patches bei allen lokal installierten und webbasierten Anwendungen, wenn Schwachstellen bekannt werden. 

Detaillierte Beschreibungen zu IT-Sicherheitsmaßnahmen liefert das IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik. Es gibt neben technischen und personellen Empfehlungen wertvolle Hinweise zur Absicherung der Organisation und Infrastruktur. Die aktuelle Ausgabe bietet erstmalig die konkreten IT-Grundschutz-Bausteine „Technisches Gebäudemanagement“ und „Gebäudeautomation“ an. 

Bleiben Sie wissbegierig.