Cybersicherheit in der Gebäudeautomation
In den letzten Jahren gibt es verstärkt Angriffe auf IoT-Geräte und Netzwerke, die aus dem Internet zugänglich sind. Umso wichtiger wird es deshalb, eine Gebäudeautomation-Installation auf Schwachstellen bezüglich Daten- und IT-Sicherheit hin zu untersuchen und Konzepte zur Lösung dieser Probleme zu entwickeln. Wir sprachen mit Referent Nils Siebel, Leiter des Seminars „IT-Sicherheit in der Gebäudeautomation” beim VDI Wissensforum, über die Bedeutung der Cybersicherheit in der Gebäudeautomation.
1. Wie wichtig ist es heutzutage, unsere Anlagen und Netzwerke in der Gebäudeautomation vor Hackern zu schützen?
Nils Siebel: Angriffe auf IoT-Geräte und Netzwerke, die aus dem Internet zugänglich sind, werden zum Eindringen in andere Netzwerke im Gebäude verwendet. Andere Nutzen für Hacker sind die Verwendung der gehackten Geräte für DDoS-Angriffe oder das Starten vom Cryptominern auf unseren GA-Komponenten. Ransomware ist auch jedem bekannt. Hiermit werden beispielsweise Geräte gesperrt, bis ein Lösegeld gezahlt wird. Dadurch wird es immer wichtiger, auch scheinbar „uninteressante” Systeme vor Hackerangriffen abzusichern.
2. Müssen die Hacker nicht eine enorme Kompetenz mitbringen, um unsere recht speziellen Geräte übernehmen und ausnutzen zu können?
Nils Siebel: Leider nicht. Normale Hacker greifen schlicht auf eine Bibliothek mit „Exploits” für Tausende von Gerätetypen zurück oder leasen die Schadsoftware im Darknet – Stichwort „Malware as a Service”. So können auch technisch nicht sonderlich versierte Angreifer großen Schaden anrichten.
Besonders leicht machen wir es den Hackern, indem wir zum einen die GA-Komponenten immer häufiger mit dem Internet verbinden, um Fernwartung, Updates, Cloudverbindungen und Funktionen für das Energiemanagement zu ermöglichen. Zum anderen gibt es auf Seiten der Hersteller vergleichsweise wenig über Jahre gewachsene Kompetenz im Bereich IT-Sicherheit, da diese bislang schlicht nicht notwendig war oder von den Kunden nicht eingefordert wurde.
3. Gibt es einige Maßnahmen, die wir sofort ergreifen können?
Nils Siebel: Eine systematische Absicherung beginnt mit einer Analyse des Komplettsystems, der Angriffsfläche und potentieller Angriffsszenarien. Dann werden Gegenmaßnahmen geplant und umgesetzt. Was man jedoch gleich tun kann, wäre zum einen die Trennung des Systems vom Internet durch Filtern (=Blockieren) aller ein- und ausgehenden Verbindungen durch eine entsprechend konfigurierte Firewall. Dann wird für die Fernwartung als einzige erlaubte eingehende Verbindung VPN sicher eingerichtet. Zur Not werden einzelne ausgehende Verbindungen bewusst aktiviert. Zum anderen sollte das GA-Netzwerk von anderen Netzwerksegmenten im Hause getrennt werden – Stichwort VLANs. Dies ist vergleichsweise einfach umzusetzen (oder in der Ausschreibung einzufordern). VDMA 24774 und Werke vom BSI geben weitergehende Empfehlungen.
Ebenso wichtig wie die Umsetzung technischer Maßnahmen ist die Schulung von Mitarbeitenden, denn viele Hacker nutzen aus, dass bei den meisten Verwender*innen von IT keine IT-affine Ausbildung vorliegt. Es fällt natürlicherweise schwer, unsichere Situationen und Technik als solche zu erkennen. Beobachtet man den Markt, sieht man außerdem, dass heutzutage praktisch alle Produkte laut Marketing „sicher” sind. Wie erkennt man, inwieweit das auch stimmt? Nicht ohne eigene Kompetenz. Nur mit eigenem Wissen kann man zudem bei Absicherungsmaßnahmen Prioritäten festlegen, da man Risiken einschätzen kann.