Im Rahmen unserer Kundenprojekte befassen wir uns in den letzten Jahren immer häufiger mit den Netzwerken der Gebäude. Damit ist hier allerdings nicht das klassische Office-Netz gemeint, sondern die Netzwerke zum Betrieb des Gebäudes. Insbesondere die Netze der Technischen Gebäudeausrüstung (TGA) werden immer anspruchsvoller, je smarter und vernetzter ein Gebäude wird. Da gerade der Bedarf an smarten Bürogebäuden, sogenannten Smart Commercial Buildings, rasant wächst, muss hier auch das Netzwerk Schritt halten.
Dabei sind die Anforderungen an den Datendurchsatz noch vergleichsweise gering, jedoch wurde der gesamte Bereich der IT-Sicherheit hier in den letzten Jahren schmerzlich vernachlässigt. Bei unseren Projekten hören wir dann häufig von Betreibern und ausführenden Firmen, dass es hierzu keinen Standard gibt und man bisher auch ohne IT-Sicherheit meist gut gefahren ist.
Abbildung 1: Veröffentlichungsworkflow des BSI, https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Drafts/Veroeffentlichungsworkflow/veroeffentlichungsworkflow_node.html
Beide Argumente sind mittlerweile hinfällig. Einerseits nehmen die Angriffe auf Gebäude rasant zu, und andererseits hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich den Final Draft für die Grundschutzbausteine „INF 13 Technisches Gebäudemanagement“ und „INF 14 Gebäudeautomation“ inklusive Umsetzungshinweisen veröffentlicht.[1]
Das Erscheinen der beiden neuen Bausteine und deren Umsetzungshinweisen ist für uns dabei in doppelter Hinsicht ein Erfolg, da wir den Bedarf an Richtlinien und Leitplanken bei der Gebäude-IT als sehr hoch einschätzen und ebenso für den Inhalt weitgehend verantwortlich sind.
Im Dezember 2020 wurden wir als ComConsult GmbH mit der Ausarbeitung dieser Bausteine und deren Umsetzungshinweise beauftragt und konnten bis August 2021 mehrere „working Drafts“ vorlegen, die im September zur öffentlichen Kommentierung in die „Community Drafts“ überführt wurden. Nach Sichtung der Rückmeldungen sind diese Bausteine nun als „Final Draft“ erschienen.
Dabei bedeutet der Status „Final Draft“, dass für eine aktuelle Umsetzung gemäß BSI die Bausteine nicht angewendet werden müssen, sie jedoch in der nächsten Ausgabe des IT-Grundschutz-Kompendiums in der aktuell vorliegenden Form erscheinen werden − wie in Abbildung 1 dargestellt. Da die Novellierung des IT-Grundschutz-Kompendiums immer im Februar vollzogen wird, sollte man sich langsam mit den Inhalten beschäftigen.
Abbildung 2: NTP-Uhrenhierarchie aus INF14.M30
Dabei geht es bei den Bausteinen um grundlegende Dinge wie eine koordinierte Planung der GA-Anlagen (leider keine Selbstverständlichkeit) bis zu sehr konkreten Anforderungen wie der Bereitstellung eines eigenen Zeitservers für die GA bei hohem Schutzbedarf. Diese Anforderungen aus den Bausteinen werden dann in den Umsetzungshinweisen technisch beschrieben und konkreter wie in Abbildung 2 dargestellt.
In den kommenden Wochen werden wir an dieser Stelle detaillierter auf die neuen Anforderungen der Gebäudetechnik eingehen.
Sollten sie hierzu Fragen oder Anregungen haben, können Sie mich gerne kontaktieren.
Verweis
[1] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Drafts/Final-Drafts/final_drafts_node.html (aufgerufen am 22.10.21)
