BACnet/SC und PKI: Grundlagen für sichere Gebäudeautomation

BACnet ermöglicht den Datenaustausch zwischen Geräten unterschiedlicher Hersteller. Das klassische BACnet bietet jedoch keine Sicherheitsmechanismen wie Verschlüsselung oder Authentifizierung an. In vielen Projekten steht dies nicht im Vordergrund, da zunächst die Funktionalität eine wichtigere Rolle spielt. Sicherheit wird oft als nachrangig betrachtet oder sogar als störend empfunden, weil sie scheinbar zu Komplikationen führt.

Diese Herangehensweise kann jedoch gravierende Folgen haben. Die nachfolgenden drei Beispiele verdeutlichen potenzielle Risiken:

• Fehlende Verschlüsselung:
  Ohne Verschlüsselung findet die Kommunikation zwischen Geräten im Klartext statt. Angreifer könnten Datenpakete abfangen und mitlesen. So ließen sich zum Beispiel die eingestellten Solltemperaturen oder die Zeiten, zu denen ein System aktiv ist, mitlesen.
• Fehlende Authentifizierung:
  Geräte im BACnet-Netzwerk vertrauen einander grundsätzlich. Gelangt ein fremdes Gerät in das Netz, kann es Steuerbefehle senden und etwa den Befehl geben, die Kühlung eines Serverraums auszuschalten. Das System nimmt den Befehl entgegen, ohne näher zu hinterfragen, ob der Absender überhaupt vertrauenswürdig ist.
• Manipulation von Messwerten:
  Auch die Manipulation von Messwerten stellt ein Risiko dar. Wenn ein Sensor einen Temperaturwert übermittelt, der unterwegs verändert wird, reagiert die Steuerung auf falsche Daten. Dadurch kann beispielsweise die Kühlung eines Serverraums nicht aktiviert werden, obwohl eine Überhitzung droht.

Wenn der Zugriff auf das Gebäudenetz nicht ausreichend abgesichert ist, eröffnen solche Schwachstellen eine nahezu unbegrenzte Angriffsfläche. Um diese Risiken zu reduzieren, wurde BACnet Secure Connect (BACnet/SC) entwickelt. Dieses Protokoll erweitert die klassische BACnet-Kommunikation um moderne Sicherheitsmechanismen. Dabei bauen die Geräte eine sichere Verbindung über einen TLS-Handshake auf. Die Kommunikation wird verschlüsselt, und nur vertrauenswürdige Teilnehmer mit gültigen Zertifikaten werden akzeptiert und können miteinander kommunizieren. Grundlage einer solchen sicheren Verbindung mittels TLS-Handshake sind digitale Zertifikate, von denen jedes Gerät eines benötigt.

Viele Geräte werden bereits mit einem herstellereigenen oder selbstsignierten Zertifikat ausgeliefert. Diese Zertifikate sind jedoch unsicher und sollten immer durch ein eigenes Zertifikat ersetzt werden.

Hersteller bieten dafür in der Verwaltungssoftware ihrer Geräte proprietäre Lösungen zur Zertifikatsausstellung an. Diese sind auf die Ausstellung von Zertifikaten für herstellereigene Geräte spezialisiert, was zu einem Vendor Lock-in führen kann, der die Integration sowie den parallelen Betrieb von Systemen anderer Anbieter erschwert. Drittanbieter-Geräte können in diesen Fällen nur über händische Workflows in die Zertifikatskette integriert werden.

Sinnvoller ist daher der Aufbau einer eigenen sogenannten Public Key Infrastructure (PKI), die unter anderem eine Certificate Authority (CA) umfasst, welche Zertifikate signieren kann.

Die Verteilung eines signierten Zertifikats auf das jeweilige Gerät kann manuell erfolgen, ist jedoch bei einer großen Anzahl von Geräten sehr aufwändig und fehleranfällig. Zudem besteht das Risiko, dass ein Zertifikat abläuft, bevor ein neues eingespielt wurde. In diesem Fall kann das betroffene Gerät plötzlich nicht mehr kommunizieren.

Um solche Probleme zu vermeiden, sollte das Zertifikatsmanagement automatisiert erfolgen. Dafür muss die eigene PKI die entsprechenden Funktionen bereitstellen und ordnungsgemäß eingerichtet sowie konfiguriert sein. Darüber hinaus ist es erforderlich, dass auch das jeweilige Gerät den automatisierten Prozess unterstützt.

In den meisten IT-Bereichen werden dafür standardisierte Protokolle wie SCEP (Simple Certificate Enrollment Protocol) oder EST (Enrollment over Secure Transport) verwendet, die ein Gerät beherrschen muss.

Solche Protokolle sollten daher bei der Beschaffung neuer Geräte überprüft und zuvor als verbindliche Anforderung festgelegt werden, insbesondere da viele Geräte diese derzeit noch nicht anbieten.

Ein Beispiel hierfür sind auch Controller aus der Gebäudeautomation (GA-Controller), bei denen der Einsatz solcher Protokolle nicht vorgesehen ist. Stattdessen wird angestrebt, die Zertifikatsverteilung künftig über das BACnet-Protokoll zu realisieren. Dieses Vorhaben befindet sich jedoch noch im Revisionsprozess und es ist unklar, wann eine finale Spezifikation und Umsetzung erfolgen wird.

Bis dahin erfordern Geräte ohne entsprechende Unterstützung individuelle Implementierungen, die zwar grundsätzlich möglich, jedoch mit einem deutlich höheren Zeitaufwand verbunden sind. Umso wichtiger ist es daher, das Thema weiter voranzutreiben, um künftig ein einfaches und effizientes Zertifikatsmanagement zu ermöglichen.

Fazit

Die Gebäudeautomation ist längst Teil der vernetzten Welt und damit auch Ziel potenzieller Angriffe. Sicherheit sollte aus diesem Grund kein nachträglicher Gedanke sein, sondern ein integraler Bestandteil der Planung und Beschaffung. Die Implementierung oder der Umstieg auf BACnet/SC mag zunächst mehr Aufwand bedeuten, bringt jedoch wesentliche Sicherheitsvorteile mit sich. Entsprechend ist es notwendig, sich mit den Themen Zertifikatsmanagement und PKI auseinanderzusetzen.