20 July 2020

Die fünf wichtigsten Trends, die Cybersecurity in Smart Buildings prägen

Smart Buildings können mit ihrem Umfeld interagieren, lernen selbstständig dazu und passen sich an die Bedürfnisse ihrer Nutzer an. Aber wie können wir Menschen, Daten und Gebäude sicher und geschützt halten?

Es gibt viele gute Gründe für Smart Buildings: Sie reagieren intuitiv auf die Bedürfnisse ihrer Nutzer, lernen aus den Erfahrungen und passen sich kontinuierlich an. Sie sind komfortabel, sicher und effizient. Sie nutzen Ressourcen optimal, können Energie erzeugen und speichern sowie den Verbrauch intelligent steuern. Wenn sie an ein intelligente Stromnetz angeschlossen sind, können sie zu einem aktiven Teilnehmer im Energieökosystem werden.

Allerdings können Smart Buildings auch neue Risiken bergen. Das IoT und die zunehmende Konnektivität von Geräten mit der Cloud machen Gebäude anfälliger für Cyberattacken. Die dabei entstehenden Risiken verändern sich dabei kontinuierlich mit dem Grad der Vernetzung des Gebäudes, dem rechtlichen Rahmen, der für die Sicherheit im Netz gilt, und den von Cyberkriminellen angewandten Methoden. Cybersecurity ist für Gebäudeeigentümer und -betreiber keine Option mehr, sondern ein Muss. 

Lassen Sie uns einen genaueren Blick auf die wichtigsten Trends werfen, die sich auf die IT-Sicherheit intelligenter Gebäudetechnologien auswirken, und auf die Maßnahmen, die zur Bewältigung dieser Herausforderungen ergriffen werden sollten.  

Cybersecurity-Trend Nr. 1: Durch die Konvergenz von Informationstechnologie (IT) und Operational Technologie (OT) kommen neue Risiken auf

Wenn IT und OT in Smart Buildings verschmelzen, entstehen neue Risiken.

In der Vergangenheit waren Gebäudeanlagen OT-Geräte mit einem sehr geringen Anteil an IT-Technologie (meist IP-Adresse, Subnetzmaske und Standard-Gateway-Adresse). IT- und OT-Netzwerke wurden voneinander getrennt, da sie gegenseitig keine Informationen austauschen mussten.

Mit der Forderung nach intelligenteren Gebäuden und einer gemeinsam genutzten Infrastruktur begannen domänenübergreifende Informationsflüsse, die zu einer Konvergenz von IT- und OT führte. Dieser Trend macht Gebäude angreifbar für Hacker, wenn sie nicht ausreichend geschützt sind.

Angreifer können bekannte Schwachstellen sowohl in neuen als auch in bestehenden Anlagen ausnutzen, um Vorgänge zu manipulieren, Daten zu stehlen und Schäden in den Gebäuden zu verursachen. Hacker können zum Beispiel Phishing-E-Mails verwenden, um vom Unternehmensnetzwerk aus unberechtigt auf OT-Systeme zuzugreifen und in diese einzudringen; und die Angreifer nutzen OT-Systeme wie Heizungs-, Lüftungs- und Klimaanlagen (HLK-Systeme) als Einstiegspunkte in Data Center und IT-Netzwerke von Unternehmen.

Cybersecurity-Trend Nr. 2: Verbesserte Sicherheit in Gebäudenetzwerken

Den meisten Protokolle in der Gebäudetechnik (BACnet, KNX, Modbus usw.) fehlen eingebaute Sicherheitsfunktionen, wodurch Angriffe auf Gebäudenetzwerke äußerst schwierig zu erkennen und abzuschwächen sind. In diesem Jahr veröffentlichte die American Society of Heating, Refrigerating and Air-Conditioning Engineers (ASHRAE) mit BACnet/SC einen Nachtrag, um die Sicherheit zu erhöhen.

Mit BACnet Secure Connect (BACnet/SC) setzt die Bauindustrie wichtige Schritte um, um Gebäudenetzwerke sicherer zu machen. BACnet/SC verwendet IT-Best-Practices und Techniken und lässt sich leicht in die IT-Infrastruktur integrieren.

Heute werden verschiedene Ansätze zur Sicherung der BACnet-Infrastruktur verwendet, aber diese Lösungen können schwierig einzurichten sein und sind aufwendig einzurichten und belasten die IT-Abteilungen. BACnet/SC wird es zukünftig deutlich einfacher machen, eine sichere und standardisierte Gebäudeautomations-Infrastruktur zu schaffen, die vollständig mit bestehenden BACnet-Implementierungen kompatibel ist. BACnet/SC wirkt sich auf alle Aspekte der BACnet-Automatisierungssysteme und -Tools von Siemens aus und bietet Vorteile für die wichtigsten Stakeholder im Gebäudebereich – Gebäudeeigentümer, -betreiber und Systemintegratoren.

Auch andere Gebäudeprotokolle machen weitere Fortschritte im Bereich Sicherheit, z.B. wird das KNX IP Secure-Protokoll zum neuen ISO-Standard, das die IP-Kommunikation zwischen den KNX-Geräten schützt.

Weitere Informationen zu Gebäudeprotokollen und BACnet/SC finden Sie im “Buildings for Tomorrow”-Podcast.

Cybersecurity-Trend Nr. 3: Strengere Gesetze und Vorschriften weltweit

Das wachsende Risiko Cyberangriffe auf Infrastrukturanlagen und -netzwerke hat Regulierungsbehörden auf der ganzen Welt dazu veranlasst, rechtliche Rahmenbedingungen zu entwickeln, die hauptsächlich auf die Notwendigkeit des Schutzes kritischer nationaler Infrastrukturen ausgerichtet sind. 

In der ersten Hälfte des Jahres 2020 ist weltweit eine Welle neuer Gesetze in Kraft getreten. Vom California IoT Bill und dem California Consumer Privacy Act (CCPA) in den USA bis hin zum Telecommunications Business Law in Japan und dem Entwurf des IT-Sicherheitsgesetz in Deutschland (IT-Sicherheitsgesetz 2.0).

Die Weichen sind gestellt, und es werden zweifellos weitere Regelungen auf globaler, nationaler und regionaler Ebene folgen. Organisationen sollten sich darauf vorbereiten, indem sie Best-Practices befolgen und Cybersecurity-Standards wie IEC 62443, ISO 27001, NIST 800-53 usw. in ihren Produkten, Systemen und Prozessen implementieren. Die Zusammenarbeit mit globalen Partnern wird ebenfalls eine Rolle bei der Gestaltung des zukünftigen Erfolgs und Zuverlässigkeit von Cybersecurity spielen.

Cybersecurity-Trend Nr. 4: Cyberresiliente Lieferketten

Unsichere Stellen in Lieferketten können eine Quelle von Cyberangriffen sein.

Da dies ein steigender Trend ist, konzentriert sich die Charter of Trust-Initiative (eine Zusammenarbeit zwischen Siemens und anderen führenden Industrieunternehmen, um globalen Cybersecurity-Bedürfnissen gerecht zu werden) auf die Verbesserung von Cybersecurity entlang der gesamten  Lieferkette, als Grundlage für Vertrauen in die Digitalisierung und zur Verringerung des Risikos von Sicherheitsvorfällen. 

Die Mitglieder der Charter of Trust haben die grundlegenden Anforderungen umrissen, um sicherzustellen, dass Cybersecurity in allen Schritten von digitalen Lieferketten angemessen berücksichtigt wird. Diese Anforderungen betreffen alle Aspekte der Cybersecurity – einschließlich Menschen, Prozessen und Technologie. Beispielsweise müssen neue Lieferanten von Siemens verbindliche Mindestanforderungen an die Cybersecurity einhalten, die in einer separaten, verbindlichen Klausel in allen neuen Verträgen verankert sind.

Cybersecurity-Trend Nr. 5: Cybersecurity by design und by default

In der Vergangenheit waren Gebäudeanlagen und -systeme isoliert und nur wenigen Cyberdrohungen ausgesetzt. Im Laufe der Jahre verbesserten sich die Gebäude durch die Bereitstellung von Interkonnektivität, Cloud-Verbindung und Datenanalyse. Im Rahmen dieses Trends kamen IoT-fähige Geräte auf den Markt, die über das Internet mit Cloud-Diensten verbunden waren – was Cyberangriffen Tür und Tor öffnete.

Produkte mit eingebauter Sicherheit sind die neue Norm.

Um solche Geräte zu schützen, haben die Hersteller von Gebäudetechnik daher einen neuen Ansatz zur Cybersecurity gewählt. Sie haben damit begonnen, Cybersecurity bereits beim ersten Entwurf von Produkten zu berücksichtigen (“Cybersecurity by Design”) und sichere Standardeinstellungen in ihren neuen Produkten und Portfolios vor der Auslieferung an die Kunden vorzunehmen (“Cybersecurity by Default”), wie z.B. bei den neuen Desigo-Reglern PXC4 und PXC5 von Siemens.

Die wichtigsten Funktionen, die direkt in neue Produkte eingebaut werden können, sind

  • Sicherung der Integrität der Firmware durch kryptografische Signaturen
  • TLS-/SSL-gesicherte Web-Interfaces
  • Werkseitige Vergabe von eindeutigen Geräteidentitäten mittels Zertifikaten Vordefinierte Richtlinien zur Erhöhung der Passwortqualität sowie Mechanismen, die Vergabe von kundenspezifischen Passwörtern bei der Inbetriebnahme erzwingen
  • Vorgehärtete Konfigurationen: bei der Inbetriebnahme sind die Dienste aktiviert, die zwingend erforderlich sind.

Cybersecurity für Smart Buildings 2020 und darüber hinaus

2020 war bereits ein interessantes Jahr, Die Bedrohungslandschaft im Bereich der Cybersecurity verändert sich angesichts der rasanten Digitalisierung und des technologischen Fortschritts in der Baubranche ständig. Eines ist sicher: Ein ganzheitlicher Ansatz zur Cybersecurity für Smart Buildings ist unerlässlich.

Es handelt sich um eine globale Herausforderung, die das Bewusstsein, die ständige Wachsamkeit und eine konsolidierte Anstrengung der wichtigsten Akteure im Gebäudebereich – Eigentümer, Planer, Designer, Gebäudebetreiber, Systemintegratoren, Benutzer und Gerätehersteller – erfordert. Überlegene Technologie, Informationsvorteile und die richtigen Partner sind wichtige Schlüssel zum Erfolg.

Related Tags