BACnet Secure Connect – Gebäudeautomation sicher machen
Erschienen in: building&automation 07/2023, VDE Verlag, www.vde-verlag.de
Als der BACnet-Standard (BACnet = Building Automation and Control Networks) im Jahr 1995 veröffentlicht wurde, war Cybersicherheit noch kein Thema im Bereich der Gebäudeautomation. Durch seinen offenen, interoperablen Ansatz hat sich BACnet sehr schnell und weit verbreitet. Die weltweite Vernetzung und die Verbindung von Gebäudeautomationseinrichtungen mit dem Internet stellen nun aber neue Herausforderungen an die IT-Sicherheit, denen mit BACnet Secure Connect begegnet wird.
Bereits in der ersten BACnet-Version wurde Verschlüsselung mit 56-bit DES standardisiert, jedoch in der Praxis nicht eingesetzt. Seit Herbst 2019 ist mit BACnet Secure Connect (BACnet/SC) nun allerdings eine Erweiterung des Standards freigegeben, die einen aktuellen Stand an Cybersicherheit spezifiziert.
Neben den Sicherheitsaspekten fehlt bei bisherigen BACnet-Projekten oft die Akzeptanz bei IT-Verantwortlichen. Die Nutzung von Broadcast-Nachrichten sowie die etwas „exotische“ Festlegung des verwendeten Ports (dez. 47808 = hex BAC0) werden von IT-Abteilungen häufig kritisch betrachtet.
Daher wurden für die Entwicklung von BACnet/SC drei Ziele festgelegt:
- hohes Maß an Cybersicherheit durch Nutzung des aktuellen TLS1.3-Standards und die Verwendung von X.509-Zertifikaten
- IT-Freundlichkeit durch Nutzung etablierter Standards und Protokolle aus dem IT-Bereich
- Abwärtskompatibilität (Routing) zu bestehenden BACnet-Anlagen
Technischer Aufbau von BACnet Secure Connect
Bei BACnet/SC werden für die Kommunikation sogenannte WebSockets auf Basis des TCP-Protokolls eingesetzt. Diese basieren auf einer Weiterschaltung von HTTPS-Verbindungen, ein für IT-Abteilungen bekanntes und etabliertes Verfahren. Dabei spielt es keine Rolle, ob das aktuell noch häufig verbreitete IPv4 oder IPv6 verwendet wird. Auch das Medium (Data-Link-Layer) kann variieren: z. B. Ethernet, WIFI, 4G, 5G. BACnet/SC ergänzt die bisherigen acht Data-Link-Layer wie z. B. BACnet/IP oder MS/TP. Damit ist sichergestellt, dass sich bestehende BACnet-Netzwerke sehr einfach mit einer sicheren BACnet/SC-Infrastruktur verbinden lassen (BACnet-Routing).
BACnet/SC basiert auf einer „Nabe-Speiche“-Architektur, bei der sämtliche Kommunikation sowie die Authentifizierung der Geräte über einen zentralen Hub erfolgt (PH = Primary-Hub). Im Fall einer Kommunikationsstörung übernimmt ein Failover-Hub (FH) diese Aufgabe. Idealerweise ist dieser an eine andere Stromversorgung angeschlossen und befindet sich in einem anderen Brandabschnitt und IT-Segment. Als zusätzliche Option, z. B. um eine bessere Skalierbarkeit zu gewährleisten oder für den Transport wichtiger Meldungen, können zwei Geräte auch direkt miteinander kommunizieren (Direct Connect). Hierbei übernehmen die Geräte untereinander die gegenseitige Authentifizierung.
Für einen Fernzugriff von außen über das unsichere Internet können PH und FH auch außerhalb der Liegenschaft in Cloud-Systemen gehostet werden. Die lokale Firewall ist in Bezug auf die notwendige Konfiguration ebenfalls sehr „IT-freundlich“ und damit unkompliziert zu betreiben. Lediglich der ausgehende HTTPS-Verkehr muss freigegeben sein, was jedoch in den meisten IT-Netzwerken bereits konfiguriert ist.
Nutzung von Zertifikaten
Für die Verwendung des TLS1.3-Standards werden X.509-Zertifikate eingesetzt. Damit sich Geräte gegenseitig vertrauen können, werden diese von einer zentralen Certificate Authority (CA) unterzeichnet. Legt ein Teilnehmer dem Hub das Zertifikat vor, prüft dieser unter anderem, ob das Zertifikat gültig und nicht abgelaufen ist und ob dieses von der gemeinsamen CA beglaubigt wurde.
Die CA muss dabei nicht von einem externen Anbieter bereitgestellt werden, sondern kann lokal als Teil der IT-Infrastruktur betrieben werden. Dabei kann z. B. die offene Software „OpenSSL“ eingesetzt werden. Allerdings ist auch hier auf ausreichenden Zugriffsschutz zu achten, da andernfalls die Sicherheit kompromittiert werden könnte.
Organisatorische Herausforderungen für die Gebäudeautomation
Aus den vorgenannten technischen Anforderungen ergeben sich für die Praxis viele neue organisatorische Aufgaben und Herausforderungen. Cyberzertifikate sind nur dann sicher, wenn diese regelmäßig getauscht werden, Zertifikate mit sehr langer (z. B. mehrere Jahre) oder sogar unbegrenzter Gültigkeit sind wertlos! Läuft ein Zertifikat eines Geräts ab und wurde es nicht erneuert, kann mit diesem Gerät nicht mehr kommuniziert werden, so lange bis das Zertifikat erneuert wurde. Damit stellt sich in Projekten bereits die Frage, wer für diese Aufgaben verantwortlich ist und diesen Austausch regelmäßig durchführt – der Systemintegrator im Rahmen der jährlichen Wartung, der Facility Manager oder die IT.
Damit dieser Vorgang automatisiert werden kann, legt der BACnet-Standard ein Verfahren fest, bei dem ein Gerät einen Zertifikatsantrag (CSR = Certificate Signing Request) als Datei erstellt. Diese wird dann per Dateitransfer an die CA übertragen, dort signiert und als unterschriebenes Zertifikat wieder an das Gerät zurück übertragen. Mit diesem Verfahren gelingt der Austausch der Zertifikate ohne nennenswerten Aufwand und kann daher in regelmäßigen Intervallen wiederholt werden.
Konvergenz von IT und OT
In heutigen Gebäudeautomationsprojekten verlaufen die Grenzen zwischen IT (Informationstechnologie) und OT (operative Technologie) oft fließend und sind nicht mehr eindeutig voneinander trennbar. Angriffe auf diese Systeme nehmen in den letzten Jahren exponentiell zu und damit steigen die Anforderungen an Cybersicherheit stetig. Oft sind nicht oder nur rudimentär geschützte OT-Systeme Einfallstore für Cyberangriffe. Andererseits können aber auch Gebäudeautomationskomponenten über einen Eindringling aus dem IT-Bereich beeinflusst werden.
Daher müssen sich die Fachabteilungen IT und GA miteinander austauschen und Hand-in-Hand arbeiten, um sich so gut wie möglich gegen Angriffe zu schützen. Auch sollten für den Fall eines erfolgreichen Angriffs organisatorische Abläufe festgelegt werden sowie entsprechende Datensicherungen zur Verfügung stehen. Allerdings kann selbst bei bester Vorbereitung ein erfolgreicher Angriff mehrere Monate Ausfall und damit ein hohes Maß an finanziellem Schaden bedeuten.
Eine Benutzer- oder Rollen-basierte Authentifizierung und Autorisierung befindet sich aktuell ebenfalls in einem ersten Entwurf einer Erweiterung des BACnet-Standards.
Sichere Kommunikationssysteme
BACnet/SC hat es gegen etablierte, ebenfalls sichere Kommunikationssysteme wie z. B. OPC UA zunächst einmal schwer, die gewünschte Akzeptanz zu erlangen. Die Notwendigkeit, offenes BACnet sicher zu gestalten, wird von vielen als dringend erforderlich eingestuft. Jedoch drängen IT-Abteilungen oft auf die Verwendung von OPC UA oder MQTT. Firewall-Regeln für die Erkennung von Anomalien sind hierfür bereits vorhanden, während diese für das verhältnismäßig neue BACnet/SC oft noch fehlen.
Es bleibt daher abzuwarten, welches Protokoll bzw. welcher Standard sich durchsetzen und die erforderliche Akzeptanz aller Beteiligten finden wird. Auf der anderen Seite verwendet BACnet/SC weiterhin das etablierte BACnet-Objektmodell und die gleichen Dienste wie z. B. bei MS/TP oder BACnet/IP. Bestehende Anlagen lassen sich also mit geringem Aufwand migrieren. Eines steht jedoch auf jeden Fall fest: In einer vernetzten Welt muss Gebäudeautomation sicher gestaltet werden!