aus dem Netzwerk Insider Januar 2022
In den letzten Jahren ist der Bereich der smarten Büroimmobilien immer stärker gewachsen. Dabei geht es nicht nur um Neubauten, sondern überwiegend um die „Smartifizierung“ von Bestandsimmobilien. Die Idee dahinter ist, dass man für ein digitales Gebäude einen höheren Mietpreis und somit eine höhere Rendite erwirtschaftet. Und das Gebäude sogar direkt als Plattform begreift. Wenn ich als Betreiber einer großen Büroimmobilie den Nutzern eine App zur Parkplatz- und Arbeitsplatzbuchung zur Verfügung stelle, kann ich auch direkt Catering und weitere Dienste anbieten, an denen ich dann bei der Nutzung partizipiere.
Die Pandemie hat diese Entwicklung nochmals angeschoben, denn plötzlich war es wichtig zu wissen, wie viele Menschen gerade auf einer Fläche arbeiten. Die Nachfrage nach Buchungssystemen für Arbeitsplätze, die zwingend zum Betrieb von Shared-Desk-Konzepten benötigt werden, nahm rasant zu. Dabei gibt es mittlerweile unterschiedlichste Systeme, von batteriegestützten Sensoren, die man unter die Tischplatte klebt, über Standalone-Sensoren, die in der Decke verbaut werden, bis zu integrierten Systemen in Lampen.
Welche Technik dem auch zugrunde liegt, letztlich handelt es sich um IT-Komponenten, die in der Regel mit einem weiteren IT-System, meist Microsoft Exchange, kommunizieren.
Diese Systeme werden der Gebäudetechnik, präziser der Technischen Gebäudeausrüstung (TGA) zugeordnet. In diesem Bereich hat es in den letzten Jahren gleich mehrere disruptive Umbrüche gegeben. Man hat entdeckt, dass in Gebäudeinfrastrukturen Datenschätze schlummern, die es zu heben gilt.
Dabei wird oft nach der Devise verfahren, erstmal mit Hilfe von Sensorik umfassend Daten zu sammeln und später zu entscheiden, was man damit eigentlich machen will. Im Grunde möchte man ja eine Korrelation zwischen unterschiedlichen Ereignissen oder Aktionen erfassen und bewerten.
Das führt allerdings zu dem Problem, dass man einerseits die Nadel im Heuhaufen sucht und sich andererseits mit der zunehmenden Sensorik immer mehr Heu in die eigene Datenbasis schaufelt. Denn die Verbindung von Korrelation und Kausalität muss nicht gegeben sein. Nur weil bestimmte Datenwerte zueinander zu passen scheinen, muss hier nicht wirklich ein Zusammenhang bestehen. Man läuft Gefahr, auf eine Scheinkorrelation hereinzufallen: Manchmal bringen also doch die Störche die Babies[1].
Das Netzwerk eines modernen Gebäudes wird dabei aber immer komplizierter und gleichzeitig wichtiger. Eine Immobilie, die kein geeignetes Netzwerk bereitstellt, ist in der Nutzung ähnlich stark eingeschränkt wie eine Immobilie ohne Wasser oder Strom. Dabei wird die IT der Gebäudetechnik noch immer stark vernachlässigt. Das liegt einerseits an der Honorarordnung für Architekten und Ingenieure (HOAI), die erstmals 1977 erschienen ist. Seitdem hat sich am Stellenwert der IT in der HOAI, die noch immer maßgeblich für die meisten Bauabläufe in Deutschland ist, nichts getan. In der Kostengruppe 450 schlummern die Fernmelde- und informationstechnischen Anlagen und ein Teil davon ist die Kostengruppe 457 „Übertragungsnetze“. Dies mag in den 70er-Jahren noch durchaus dem Anspruch und der Realität entsprochen haben, aber in der heutigen Zeit ist der Anspruch an die Datennetze und deren Kritikalität drastisch gewachsen.
Mittlerweile hat die IT-Infrastruktur für das Büro und den „Arbeitsplatz der Zukunft“ riesige Entwicklungssprünge hinter sich; für die TGA stehen diese jedoch noch aus. Die Gebäudetechnik besteht bisher gefühlt aus einigen Aktoren in Form von Pumpen und Gebläsen mit ein paar Klappen und ein wenig Regelungstechnik. Diese Annahme ist natürlich total falsch. Gerade die Gebäudetechnik erlebt in den letzten Jahren den Beginn einer Transformation. Vormals getrennte Inseln wachsen zusammen. Auf einmal muss die Fördertechnik Daten mit der Raumluftsteuerung austauschen: Das erste System meldet dem zweiten, dass die Personen für das Meeting eingetroffen sind und der vorgesehene Meetingraum in 15 Minuten benötigt wird.
Oder der Meetingraum meldet, dass er heute trotz Buchung nicht genutzt wurde und dementsprechend nicht gereinigt werden muss. Diese ineinandergreifenden Prozesse sind aktuell der Hebel zu einem effizienten Gebäudebetrieb. Dafür benötigt man sehr viel IT, deren Kommunikation sich nicht nur auf Kabel beschränkt. Immer mehr Funkdienste abseits vom bekannten WLAN halten Einzug in das moderne Gebäude. Gerade bei der Ertüchtigung von Bestandsimmobilien, dem sogenannten Retrofit, kommen unzählige Funklösungen zum Einsatz.
Für all diese Lösungen werden aktuell IT-Security- oder Cyber-Security-Gesichtspunkten noch nicht ausreichend berücksichtigt.
In den letzten Jahren war die häufigste Haltung zu diesem Thema „Das haben wir noch nie gebraucht“ und „Das macht alles viel zu kompliziert“. Allerdings nehmen die Angriffe auf moderne Gebäude stetig zu. Daher haben neben den Nutzern mittlerweile auch Architekten, Generalunternehmer und Betreiber von Gebäuden das Thema entdeckt und können es nicht mehr einfach wegdiskutieren. Unweigerlich kommt dann die Frage nach vorhandenen Standards, an denen man sich orientieren kann. Und da sah es bisher wirklich recht düster aus. Es gibt die Reihe der ISO-27er-Standards, dann die IEC 62443, die „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“ zum Gegenstand hat, und den bisherigen BSI IT-Grundschutz, der zwar viele Anhaltspunkte für den generellen Aufbau von Netzwerken bietet, aber bisher nicht spezifisch auf den Bereich des Technischen Gebäudemanagements (TGM) und der Gebäudeautomation (GA) eingeht. Dies wird sich mit der neuen Version des BSI-IT-Grundschutz-Kompendiums grundlegend ändern.
Als ComConsult GmbH sind wir häufig beratend für das BSI tätig und haben Ende 2020 den Auftrag erhalten, gemeinsam mit dem BSI Grundschutzbausteine und Umsetzungshinweise für die Bereiche Technisches Gebäudemanagement und Gebäudeautomation zu erarbeiten. Bis zum Sommer 2021 wurden die entsprechenden „Internal Drafts“ entwickelt, die anschließend an ausgewählte Organisationen und Institutionen verteilt wurden. Nachdem deren Rückmeldungen diskutiert und eingearbeitet waren, veröffentlichte das BSI Ende August die Dokumente als Community Drafts, die bis zum 29. September 2021 von jedem kommentiert werden konnte.
Nach Durchsicht und Berücksichtigung der relevanten Rückmeldungen veröffentlichte das BSI im Oktober 2021 die Final Drafts der Dokumente.
Dabei bedeutet „Final Draft“ in den Veröffentlichungsrichtlinien des BSI, dass diese Version für eine Zertifizierung während dieser Phase nicht relevant ist, aber die Bausteine und Umsetzungshinweise Teil der kommenden Version des IT-Grundschutz-Kompendiums werden. Und die erscheint in der Regel in der ersten Februarwoche eines Jahres.
Daher werden ab Februar die Bestandteile des IT-Grundschutz-Kompendiums für einige Planer und ausführende Firmen von Gebäudetechnik relevant werden.
Der Sinn dieses Artikels ist nicht die Erläuterung aller inhaltlichen Punkte, die das BSI kostenlos zur Verfügung stellt. Stattdessen soll der Artikel einen Überblick über die Methodik und ein generelles Verständnis für die zukünftigen Anforderungen insbesondere an Smart Buildings geben.
In der kommenden Edition 2022 des Kompendiums werden die Bausteine „INF.13 Technisches Gebäudemanagement“ und „INF.14 Gebäudeautomation“ erscheinen. Gleichzeitig gibt es die entsprechenden Umsetzungshinweise zu den Bausteinen.
Die Abgrenzung zwischen Bausteinen und Umsetzungshinweisen ist der Abstraktionsgrad. Wird beispielsweise in den Bausteinen gefordert, ein sicheres Passwort zu setzen, wird in den Umsetzungshinweisen erläutert, was ein sicheres Passwort ist[2]: mindestens acht Zeichen, Groß- und Kleinbuchstaben verwenden, Sonderzeichen nutzen und mehrere Ziffern hinzufügen. Hier wird klar, dass insbesondere für ausführenden Firmen und Betreiber die Umsetzungshinweise sehr relevant werden.
Im Folgenden wird der allgemeine Aufbau eines Bausteins kurz beschrieben und dann anhand konkreter Beispiele aus INF.13 und INF.14 erläutert.
Grundlegend beginnt jeder Baustein mit einer Beschreibung, Zielsetzung und Abgrenzung und Modellierung. Insbesondere Abgrenzung und Modellierung sind auch für eine spätere Umsetzung wichtig, da hier die ebenfalls relevanten Bausteine aus anderen Bereichen referenziert werden. So wird beispielsweise in der Abgrenzung von INF.14 auch auf SYS.4.4 Allgemeines IoT-Gerät verwiesen. Wer sich mit der Planung moderner Gebäude befasst, wird vermutlich zustimmen, dass IoT-Geräte immer relevanter werden und aus modernen Gebäuden nicht mehr wegzudenken sind.
Danach folgen die Gefährdungslage, die eigentlichen Anforderungen, weiterführende Informationen inklusive Abkürzungsverzeichnis und schließlich die Kreuzreferenztabelle zu den elementaren Gefährdungen.
Zur Darstellung der Gefährdungslage werden typische Szenarien und dann spezifische Bedrohungen und Schwachstellen benannt. Dies reicht von unzureichender Planung über mangelnde Dokumentation bis zu einem unzureichenden Rollen- und Berechtigungsmanagement. Und ich bin mir sicher, dass dies einige Leser bereits aus der Praxis kennen.
In den Anforderungen, dem Hauptteil des Bausteins, gibt es drei Kategorien von Anforderungen. Als erstes werden Basis-Anforderungen aufgeführt, die erfüllt werden MÜSSEN (die Großschreibung von MUSS und SOLL wird Ihnen beim Lesen des IT-Grundschutz-Kompendiums ständig begegnen). Diese kann man nicht wegdiskutieren. Sie haben oftmals einen ganz grundlegenden Charakter.
Beispielsweise „INF.13.A2 Regelung und Dokumentation von Verantwortlichkeiten und Zuständigkeiten im Gebäude (B) [Institutionsleitung, Planer]“ regelt, was als Minimum dokumentiert werden MUSS, wer zuständig ist (hier grundsätzlich die Haustechnik und zusätzlich Institutsleitung und Planer). Das (B) kennzeichnet die Anforderung als Basis-Anforderung. Zusätzlich gibt es noch die Kennzeichnung (S) für Standard-Anforderung und (H) für Anforderungen bei erhöhtem Schutzbedarf.
Insgesamt enthalten der Baustein INF.13 Technisches Gebäudemanagement und INF.14 Gebäudeautomation jeweils 30 Anforderungen:
INF.13 Technisches Gebäudemanagement
- INF.13.A1 Beurteilung des Ist-Zustands bei der Übernahme bestehender Gebäude (B)
- INF.13.A2 Regelung und Dokumentation von Verantwortlichkeiten und Zuständigkeiten im Gebäude (B) [Institutionsleitung, Planer]
- INF.13.A3 Dokumentation von Gebäudeeinrichtungen (B)
- INF.13.A4 Erstellung einer Sicherheitsrichtlinie für TGM (S)
- INF.13.A5 Planung des TGM (S) [Planer]
- INF.13.A6 Erstellung eines TGM-Konzepts (S) [Planer]
- INF.13.A7 Erstellung eines Funkfrequenzkatasters (S)
- INF.13.A8 Erstellung und Pflege eines Inventars für das TGM (S) [Planer]
- INF.13.A9 Regelung des Einsatzes von Computer-Aided Facility Management (S) [Planer]
- INF.13.A10 Regelung des Einsatzes von Building Information Modeling (S) [Planer]
- INF.13.A11 Angemessene Härtung von Systemen im TGM (S)
- INF.13.A12 Sichere Konfiguration der TGM-Systeme (S)
- INF.13.A13 Sichere Anbindung von eingeschränkt vertrauenswürdigen Systemen im TGM (S) [Planer]
- INF.13.A14 Berücksichtigung spezieller Rollen und Berechtigungen im TGM (S)
- INF.13.A15 Schutz vor Schadsoftware im TGM (S)
- INF.13.A16 Prozess für Änderungen im TGM (S)
- INF.13.A17 Regelung von Wartungs- und Reparaturarbeiten im TGM (S)
- INF.13.A18 Proaktive Instandhaltung im TGM (S) [Planer]
- INF.13.A19 Konzeptionierung und Durchführung des Monitorings im TGM (S) [Planer]
- INF.13.A20 Regelung des Ereignismanagements im TGM (S) [Planer]
- INF.13.A21 Protokollierung im TGM (S)
- INF.13.A22 Durchführung von Systemtests im TGM (S) [Planer]
- INF.13.A23 Integration des TGM in das Schwachstellenmanagement (S)
- INF.13.A24 Sicherstellung der Kontrolle über die Prozesse bei Cloud-Nutzung für das TGM (S) [Planer]
- INF.13.A25 Aufbau einer Testumgebung für das TGM (H) [Planer]
- INF.13.A26 Absicherung von BIM (H) [Planer]
- INF.13.A27 Einrichtung einer Private Cloud für das TGM (H) [Planer]
- INF.13.A28 Sichere Nutzung von Künstlicher Intelligenz im TGM (H)
- INF.13.A29 Integration des TGM in ein SIEM (H) [IT-Betrieb]
- INF.13.A30 Durchführung von Penetrationstests im TGM (H)
INF.14 Gebäudeautomation
- INF.14.A1 Planung der Gebäudeautomation (B) [Planer]
- INF.14.A2 Festlegung eines Inbetriebnahme- und Schnittstellenmanagements für die GA (B)
- INF.14.A3 Sichere Anbindung von TGA-Anlagen und GA-Systemen (B)
- INF.14.A4 Berücksichtigung von Gefahrenmeldeanlagen in der GA (B) [Planer]
- INF.14.A5 Dokumentation der GA (B)
- INF.14.A6 Separierung von Netzen der GA (B) [Planer, IT-Betrieb]
- INF.14.A7 Festlegung einer Sicherheitsrichtlinie für die GA (S)
- INF.14.A8 Anforderungsspezifikation für GA-Systeme (S)
- INF.14.A9 Entwicklung eines GA-Konzepts (S)
- INF.14.A10 Bildung von unabhängigen GA-Bereichen (S) [Planer]
- INF.14.A11 Absicherung von frei zugänglichen Ports und Zugängen der GA (S) [Planer]
- INF.14.A12 Nutzung sicherer Übertragungsprotokolle für die GA (S)
- INF.14.A13 Netzsegmentierung in der GA (S) [Planer]
- INF.14.A14 Nutzung eines GA-geeigneten Zugriffsschutzes (S)
- INF.14.A15 Absicherung von GA-spezifischen Netzen (S)
- INF.14.A16 Absicherung von drahtloser Kommunikation in GA-Netzen (S) [Planer]
- INF.14.A17 Absicherung von Mobilfunkkommunikation in GA-Netzen (S) [Planer]
- INF.14.A18 Sichere Anbindung von GA-externen Systemen (S)
- INF.14.A19 Nutzung dedizierter Adressbereiche für GA-Netze (S) [Planer]
- INF.14.A20 Vermeidung von Broadcast-Kommunikation in GA-Netzen (S) [Planer]
- INF.14.A21 Anzeigen der Gültigkeit von Informationen in GA-Systemen (S)
- INF.14.A22 Sicherstellung von autark funktionierenden GA-Systemen und TGA-Anlagen (S) [Planer]
- INF.14.A23 Einsatz von physisch robusten Komponenten für die GA (S) [Planer]
- INF.14.A24 Zeitsynchronisation für die GA (S)
- INF.14.A25 Dediziertes Monitoring in der GA (S)
- INF.14.A26 Protokollierung in der GA (S)
- INF.14.A27 Berücksichtigung von Wechselwirkungen zwischen Komponenten der GA in der Notfallplanung (S)
- INF.14.A28 Physische Trennung der GA (H) [Planer]
- INF.14.A29 Trennung einzelner TGA-Anlagen (H)
- INF.14.A30 Bereitstellung eines GA-eigenen Zeitservers zur Zeitsynchronisation (H)
Unter diesen 60 Anforderungen gibt es einige, die von den meisten Gebäuden und Betreibern bereits erfüllt werden. Aber einige Anforderungen bedeuten insbesondere bei Bestandsgebäuden Herausforderungen an die Umsetzung. So wird mit „INF.14.A6 Separierung von Netzen der GA (B) [Planer, IT-Betrieb]“ eine Basis-Anforderung Teil des neuen IT-Grundschutz-Kompendiums, von der ich aus meinem beruflichen Alltag weiß, dass sie aktuell von vielen Gebäuden nicht erfüllt wird.
In INF.14.A6 wird gefordert, dass jegliche Kommunikation zwischen GA-Systemen und sonstigen IT-Systemen kontrolliert und reglementiert werden MUSS. Hierfür MÜSSEN an allen Übergängen einer solchen Segmentierung entsprechende Komponenten mit Sicherheitsfunktionen, mindestens mit Firewall-Funktion, vorgesehen werden.
In den vergangenen Jahren haben wir für eine Vielzahl von Bestandsgebäuden einen sogenannten „Digital Ready Check“ angeboten und durchgeführt. Hierbei wurde vor Ort der Stand der Digitalisierung bewertet und ein Konzept erarbeitet, welches dem Besitzer oder Betreiber aufzeigt, welche Digitalisierungsmaßnahmen den größten Nutzen in Relation zu den Kosten bringen. Dabei sind wir auch auf sehr neue und repräsentative Gebäude gestoßen, bei denen schon nach wenigen Jahren eine gewachsene GA-Infrastruktur vorlag, die weder definierte Zuständigkeiten noch eine ausreichende Dokumentation aufwies.
Daher kann ich mit Sicherheit sagen, dass INF.14.A6 in vielen Bestandsgebäuden nicht erfüllt ist und ich auch bei Neubauten häufig für den Einsatz einer Firewall-Komponente argumentieren muss. Man hat die Sorge, dass die Einrichtung den Bauablauf verzögert und der nachfolgende Betrieb komplizierter und teurer wird. Dies ist in gewissem Maße korrekt, da es bisher meist keine zuständige Stelle zur Erstellung und Koordination einer solchen IT-Komponente gibt. Erst mit immer häufigeren Angriffen auf Gebäude wächst langsam das Bewusstsein für den Bedarf von IT-Sicherheit im Umfeld der GA.
Oftmals wird für die gesamte Gebäudeautomation ein einziges flaches Layer-2-Netz verwendet, das ohne Regelwerk, geschweige denn mit Firewalls, ausgestattet ist. Diese Trennung und Kontrolle ist mit dem IT-Grundschutz-Kompendium Edition 2022 jedoch eine Basis-Anforderung und MUSS umgesetzt werden, wenn man die Umgebung gemäß BSI-IT-Grundschutz zertifizieren lässt.
Da wir in der Vergangenheit solche Konzepte bei einigen sehr herausragenden Gebäuden erstellt und umgesetzt haben, kann ich sagen, dass die Umsetzung im üblichen Bauablauf und mit den ausführenden Firmen schwierig ist und oftmals weder das technische Know-how noch die Einsicht zur Notwendigkeit besteht.
Häufig führen wir in den Projekten mit den beteiligten Firmen Workshops zur Bedrohungslage durch und erarbeiten gemeinsam Szenarien, die den Betrieb des Gebäudes maßgeblich stören würden. Gleichzeitig stellen wir dar, was ein Angreifer dafür tun müsste (was oftmals erstaunlich wenig ist!). Oft setzt sich dabei langsam aber sicher die Einsicht durch, dass IT-Sicherheit im Umfeld moderner Gebäude eine Selbstverständlichkeit sein sollte und auch bei Bestandsgebäuden großer Nachholbedarf besteht.
Die Herausforderung bei Bestandsgebäuden besteht darin, das Sicherheitsniveau zu erhöhen, ohne die Funktionalität des Gebäudes auch nur kurzzeitig zu stören. Aufgrund schlechter oder gar nicht vorhandener Dokumentation schrecken hiervor noch viele Betreiber zurück und argumentieren, dass bisher auch alles gutgegangen sei. Man sollte jedoch nicht unterschätzen, welch lukratives Geschäftsmodell sich für Cyber-Kriminelle bei der Gebäudeinfrastruktur bietet. Minimale Sicherheitsvorkehrungen bei alten, oftmals ungepatchten Systemen sind verbunden mit einem hohen Maß an geforderter Verfügbarkeit. Dies macht Gebäude zu attraktiven zukünftigen Zielen. Verglichen mit dem Schadenspotential erscheint die Investition in IT-Sicherheit dann plötzlich gar nicht mehr so hoch, lediglich der Aufwand für Betrieb, Instandhaltung und Wartung des Systems schreckt viele ab. Dabei spielen weniger die Kosten als die Verfügbarkeit von geeignetem Personal eine Rolle.
Daher bietet ComConsult auch die Konzeptionierung, Umsetzung, Dokumentation und Betriebsunterstützung für Gebäude-Netzwerke an.
Zur Erprobung solcher Konzepte und dem Test neuer GA-Komponenten haben wir gemeinsam mit dem Center Smart Commercial Building[3] an der RWTH Aachen einen Demonstrator für moderne Gebäude entwickelt (siehe Abbildung 1), an dem wir aktuelle Komponenten (im Zusammenspiel) testen und Messungen durchführen können. Auch Penetrationstests (siehe INF.13.A30) können an einem solchen System gefahrlos durchgeführt werden. Derartige Tests haben bereits zu sehr aufschlussreichen Ergebnissen geführt, die direkten Einfluss auf die Umsetzung hatten und einige Hersteller zum Patchen ihrer Systeme bewegt haben.
Ein solcher Demonstrator bietet die Möglichkeit, gefahrlos unterschiedlichste Komponenten auf ihre Funktion sowie auf ihre Wechselwirkung mit anderen Systemen (siehe INF.14.A27) zu testen und Prozesse wie Inbetriebnahme, Installation von Firmware-Updates oder Austausch einzelner Komponenten in einer sicheren und dennoch aussagekräftigen Umgebung ohne Risiken zu testen.
Allerdings ist auch ein Demonstrator leider kein Allheilmittel für den gut funktionierenden Gebäudebetrieb. Wenn jedoch eine Komponente oder ein Update schon im Demonstrator nicht funktioniert, sollte man dies auf keinen Fall im realen Gebäude versuchen.
Im nächsten Netzwerk-Insider werde ich im Zusammenhang mit den Umsetzungshinweisen noch detaillierter auf den Aufbau des Demonstrators und sinnvolle Testszenarien eingehen. Denn in bisherigen Smart-Building-Projekten haben wir fast immer einen solchen Demonstrator genutzt, der auch nach der Inbetriebnahme des Gebäudes wertvolle Informationen beispielsweise bei dem Rollout von Updates oder Patches liefert.
Sollten Sie hierzu Fragen haben oder Interesse an einem Besuch des Demonstrators haben, freue ich mich auf Ihre Nachricht.
Verweise
[1] https://onlinelibrary.wiley.com/doi/10.1111/1467-9639.00013
[2] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
[3] https://smart-commercial-building.de/