BACnet Addendum 135-2020cp (PR29): Mehr Sicherheit durch Authentifizierung und Autorisierung

Hintergrund: Warum ein neues Addendum?

Der ursprüngliche BACnet-Standard bot bereits grundlegende Sicherheitsmechanismen, die jedoch angesichts moderner Bedrohungsszenarien nicht mehr ausreichen. Vor allem in kritischen Infrastrukturen wie Krankenhäusern, Flughäfen oder Rechenzentren ist es erforderlich, Zugriffe granular zu steuern und Benutzer eindeutig zu identifizieren. Mit BACnet/SC (Secure Connect) wurde 2019 ein erster Schritt in Richtung verschlüsselter Kommunikation getan. PR29 baut nun darauf auf und ergänzt ein umfassendes Framework für Zugriffskontrolle, das über reine Verschlüsselung hinausgeht.

Kernelemente von Addendum 135-2020cp (PR29)

• Authentifizierung: Mit PR29 wird ein standardisierter Mechanismus eingeführt, um sicherzustellen, dass nur eindeutig identifizierte Benutzer oder Geräte Zugriff auf BACnet-Dienste erhalten. Dies geschieht in der Regel über digitale Zertifikate, die eine sichere und überprüfbare Identitätsprüfung ermöglichen.
• Autorisierung: Die große Neuerung liegt in der Autorisierung. Hierbei werden zwei unterschiedliche Modelle berücksichtigt:
  • Zentralisierte Policy (ACE-OAuth, RFC 9200): Der Client übermittelt bei jeder Anfrage ein vom Authorization Server ausgestelltes und signiertes Access Token. Das Zielgerät (Ressource Server) vertraut diesem Token, da es kryptographisch gesichert ist. Für höhere Sicherheit ist es möglich, sogenannte sender-constrained Tokens zu nutzen, die nur vom rechtmäßigen Besitzer verwendet werden können. Diese Lösung ermöglicht eine zentrale Verwaltung von Zugriffsrechten und ist besonders in großen Netzwerken von Vorteil.
  • Verteilte Policy (lokale Regeln/ACLs): In diesem Modell sind die Zugriffsrechte direkt im Gerät hinterlegt, ähnlich wie eine klassische Access Control List (ACL). Der Client benötigt hier kein Token, da die Entscheidung lokal auf Basis der gespeicherten Regeln erfolgt. Dieses Modell ist einfacher zu betreiben, eignet sich jedoch vor allem für kleinere Installationen, weil Änderungen an Zugriffsrechten manuell auf allen Geräten gepflegt werden müssen.

Damit lassen sich sowohl zentralisierte Unternehmensumgebungen als auch kleinere, autarke Installationen mit dem gleichen Standard absichern.

Erweiterungen im Protokoll

Um die neuen Sicherheitsfunktionen zu unterstützen, wurden verschiedene Services ergänzt. Dazu gehören Mechanismen für den Aufbau und die Beendigung von Benutzersitzungen sowie die Abfrage von Autorisierungsentscheidungen.

Beispiele für neue Services:

• Establish User Session: Ein Benutzer oder Gerät meldet sich an und weist seine Identität mit einem Zertifikat oder Token nach.
• End User Session: Beendet eine aktive Sitzung, z. B. wenn ein Benutzer ausgeloggt wird.
• Request Access Decision: Ein Gerät fragt bei einem Autorisierungsserver an, ob eine bestimmte Aktion (z. B. WriteProperty) erlaubt ist.
• Get Authorization Data: Liefert einem Gerät Informationen über Berechtigungen und Rollen.

Darüber hinaus wurden Anpassungen für BACnet/SC vorgenommen, damit Authentifizierung und Autorisierung auch in modernen IP-basierten Netzwerken zuverlässig greifen.

Neue Fehlercodes sorgen für präzisere Rückmeldungen, wenn etwas schiefläuft, zum Beispiel:

• AUTHENTICATION_FAILED: Benutzer oder Gerät konnte nicht eindeutig identifiziert werden.
• NOT_AUTHORIZED: Der Zugriff wurde verweigert, weil die nötigen Rechte fehlen.
• CONFIG_SCOPE_REQUIRED: Zugriff ist nur in einem bestimmten Konfigurationsbereich erlaubt.
• SESSION_TERMINATED: Eine Sitzung wurde vom System beendet, etwa wegen Inaktivität oder Sicherheitsverletzung.

Ein zentrales Prinzip dabei ist das Sicherheitskonzept „Zero Trust“:

Geräten oder Benutzern wird nicht automatisch vertraut, nur weil sie sich im selben Netzwerk befinden. Jeder Zugriff erfordert eine explizite Authentifizierung und Autorisierung. Damit wird verhindert, dass ein kompromittiertes Gerät unkontrolliert auf andere Systeme zugreifen kann.

Um die neuen Sicherheitsmechanismen in der Praxis abbilden zu können, erweitert das Addendum die BACnet Interoperability Building Blocks (BIBBs).

Was sind BIBBs?

BIBBs sind Funktionsbausteine, die festlegen, welche BACnet-Funktionen ein Gerät unterstützen muss, um bestimmte Aufgaben zu erfüllen. So gibt es beispielsweise BIBBs für das Lesen und Schreiben von Daten, Alarmierungen oder Zeitpläne. In den sogenannten PICS-Dokumenten (Protocol Implementation Conformance Statement) geben Hersteller an, welche BIBBs ihre Geräte implementieren. Dadurch lassen sich Geräte verschiedener Hersteller direkt vergleichen und die Interoperabilität zwischen Produkten sicherstellen.

Mit dem Addendum 135-2020cp (PR29) wurden neue BIBBs eingeführt, die speziell für Authentifizierung und Autorisierung entwickelt wurden. Beispiele sind:

• AA-S (Authorization and Authentication – Server): beschreibt die Rolle eines Geräts, das Autorisierungsentscheidungen entgegennimmt und prüft.
• AA-C (Client): beschreibt ein Gerät, das Autorisierungsentscheidungen von einem anderen System anfordert.
• AA-DAC-A (Decision and Access Control – Application): definiert komplexere Geräte, die Zugriffsentscheidungen eigenständig treffen können.

Durch diese Erweiterungen können Hersteller transparent dokumentieren, in welchem Umfang ihre Geräte die neuen Sicherheitsfunktionen unterstützen. Für Anwender entsteht damit Klarheit und Vergleichbarkeit bei der Produktauswahl, insbesondere im Hinblick auf die Umsetzung von Sicherheitsanforderungen.

Bedeutung für die Praxis

Mit PR29 wird BACnet in die Lage versetzt, den gestiegenen Anforderungen an Cybersecurity in Smart Buildings gerecht zu werden. Für Betreiber bedeutet dies:

• Mehr Sicherheit: Es existiert Schutz vor unbefugtem Zugriff und Manipulation.
• Bessere Compliance durch die Möglichkeit, Anforderungen aus Normen wie ISO 27001 oder branchenspezifischen Richtlinien – der KRITIS-Verordnung, IEC 62443 oder VDI 3814 – einzuhalten.
• Zukunftsfähigkeit: Gerätehersteller können sich mit klar definierten BIBBs an einem internationalen Sicherheitsstandard orientieren.

Fazit

Das Addendum 135-2020cp (PR29) ist eine sinnvolle Weiterentwicklung des BACnet-Standards. Durch die Einführung von Authentifizierung und Autorisierung wird der Standard um einen weiteren Sicherheitsbaustein ergänzt, der zukünftig durch Planer, Berater und Bauherren eingefordert werden sollte.

Für Integratoren, Planer und Betreiber eröffnet sich damit eine neue Dimension der betrieblichen Sicherheit, die in Zeiten zunehmender Vernetzung unverzichtbar ist.

Quelle

ANSI/ASHRAE Addendum cp to ANSI/ASHRAE Standard 135-2020