Abbildung 1: Cube Berlin am Abend der Eröffnung (18.2.2020)
Wir als ComConsult haben das Projekt in den vergangenen zweieinhalb Jahren begleitet und waren für die Konzeptionierung und Planung des Digitalisierungsnetzes, die Konfigurierung und das Troubleshooting zuständig.
Hierbei haben wir die Anforderungen der Gebäudeautomationshersteller berücksichtigt und umgesetzt, ohne dabei die Cyber Security zu vernachlässigen.
Dies war für die meisten Gewerke eine neue Erfahrung. In solchen Netzen gab es bisher fast ausschließlich flache Hierarchien und keinerlei Abgrenzung, was wir jedoch bei diesem Netz bewusst vermieden haben. Lautete doch die Maßgabe, dass auch das Digitalisierungsnetz eine Vielzahl schützenswerter Daten transportiert, die in den falschen Händen beträchtlichen Schaden anrichten können.
Ein Smart Commercial Building ist weit mehr als ein normales Bürogebäude. Beispielsweise weiß das Gebäude aufgrund der verbauten Sensoren, wo sich Menschen befinden und wo nicht, ohne die genaue Person zu kennen. Das wäre eine wichtige Information für potentielle Einbrecher und Diebe.
Viele Funktionen des Gebäudes – von der Steuerung des Lichts über die Temperatur oder den Stand des Sonnenschutzes – sind nicht nur durch Betätigung der verbauten Schalter im Gebäude möglich, sondern können ebenso über eine zentrale Gebäude-App der Firma Thing Technologies GmbH gesteuert werden. Essentielle Dienste wie der Zutritt zum Gebäude – vom Eingangsbereich bis zur Bürotür – werden über die App geregelt. Folglich weiß das Gebäude, welcher Nutzer welches Mobiltelefon benutzt und auch welchen Bereich er damit betreten darf, wie in Abbildung 2 dargestellt. So ist zum einen denkbar, dass dem Servicetechniker in Zukunft die nötigen Schließberechtigungen inklusive Indoor-Navigation und Link zu den digitalen Wartungsunterlagen bis zu seinem Arbeitsbereich direkt auf sein Handy geschickt werden. Zum anderen ist vorstellbar, dass das Gebäude, oder genauer die Künstliche Intelligenz (KI) des Gebäudes, den Servicetechniker zukünftig im Rahmen seiner Prädiktiven Instandhaltung (Predictive-Maintenance) selbst ruft.
Abbildung 2: Zutrittskontrolle über die zentrale App und das Mobiltelefon.
In der App können darüber hinaus auch Arbeitsplätze gebucht, Nachrichten an Kollegen verschickt oder selbige im Gebäude gefunden werden, sofern sie dem zugestimmt haben.
Für mich als Nutzer können Präferenzen festgehalten werden. Demnach weiß das Gebäude, dass ich das Licht gerne auf 70% gedimmt und eine Raumtemperatur von 21°C bevorzuge. Wenn ich dann ein Büro gebucht habe, kann die Gebäudetechnik diese Rahmenbedingungen bereits im Vorfeld schaffen.
Der Weg dahin war eine lange und schwierige Reise, die alle Beteiligten immer wieder vor neue Fragen und Herausforderungen gestellt hat. Es ist eben das erste Gebäude, in dem eine solche Technik umfassend eingesetzt wird.
Dies alles kann nur umgesetzt werden, wenn die Funktionen der Gebäudetechnik von zentraler Stelle aus geregelt werden können. Hier beginnt die große Herausforderung. Einerseits muss die Software die Schnittstellen der Gebäudeautomation bedienen – sowohl lesend als auch schreibend – andererseits schafft man sich so einen zentralen Angriffspunkt für die Infrastruktur des Gebäudes.
Daher waren eine gewissenhafte Netzwerkplanung und ein Cyber-Security-Konzept von Anfang an Teil des Projektes. Vorlagen für eine solche Lösung gab es nicht, sie wurden für den Cube erstmalig von ComConsult erarbeitet.
Allein die Tatsache, dass auf den Switches der Gebäudetechnik standardmäßig die Ports deaktiviert waren, löste bei einigen Herstellern große Überraschung und Verwirrung aus. Oftmals gibt es in aktuellen Gebäuden ein flaches Layer 2-Netz ohne Beschränkungen der Kommunikationswege und realisiert über ungemanagte aktive Komponenten. Auch konnten einige Hersteller nicht direkt beantworten, welche Dienste und Ports sie denn eigentlich für den Betrieb benötigen. Daher haben wir damit begonnen, alle Komponenten zu erfassen und eine Kommunikationsmatrix zu erstellen, die in Abbildung 3 dargestellt ist. Den daraus entstehenden Abstimmungsbedarf sollte man keinesfalls unterschätzen. Einerseits ist das Vorgehen für einige Gewerke völlig neu, andererseits ändern sich auch Komponenten, Ports und Protokolle während des Bau- und Inbetriebnahmeprozesses. Zusätzlich ist der Zeitplan sehr straff organisiert und solche Abstimmungen sind darin oftmals nicht vorgesehen, obwohl sie nötig sind. Da ist dann auch fehlendes WLAN und schlechter Mobilfunkempfang auf der Baustelle ein einschränkender Faktor, der es schwierig macht, Abstimmungsrunden mit vielen Beteiligten über Collaboration-Tools wie Microsoft Teams oder Cisco Webex Teams umzusetzen.
Glücklicherweise konnten wir bei der Konfiguration und Inbetriebnahme auf einen Demonstrator in Aachen zurückgreifen, der gemeinsam mit ComConsult, dem Projektsteuerer Drees & Sommer und dem Errichter des Gebäudes im Vorfeld geplant und realisiert wurde.
An diesem Demonstrator konnten alle realen Komponenten in einem realistischen Umfeld konfiguriert und getestet werden. Die einzelnen Gewerke haben hierzu teilweise Prototypen verbaut und erste Erfahrungen gesammelt. Ebenso gelang es den Softwareentwicklern der App, dort ihre Implementierung zu testen. ComConsult hat wiederum die aktiven Komponenten des Demonstrators konfiguriert und die ausführenden Gewerke schon in dieser Phase für die kommenden Anforderungen sensibilisieren können. Zudem konnte man hier beobachten, was passiert, wenn man diese unterschiedlichen Komponenten in einem Netz betreibt. Des Weiteren haben wir wichtige Informationen über den anfallenden Traffic erhalten und waren somit in der Lage, die entsprechenden Firewalls richtig zu dimensionieren, zu beschaffen und schließlich für den realen Betrieb zu konfigurieren.
Schon in einer frühen Projektphase war klar, dass die Cyber Security für dieses Gebäude eine hohe Priorität genießt. Dies ist insbesondere der „Prominenz des Gebäudes“ und der Nutzungsform geschuldet. So wurde über das Bauvorhaben Cube Berlin in den letzten Jahren international berichtet. Die Lage am Washingtonplatz direkt am Berliner Hauptbahnhof könnte kaum exponierter sein. Hinzu kommt die geplante Nutzungsform von einigen Büroflächen als Shared- und Coworking-Space. Man erwartet hier eine Vielzahl von wechselnden Nutzern mit unterschiedlichen Endgeräten.
Da ComConsult das Cyber-Security-Konzept erstellt und umgesetzt hat, war früh klar, dass der Errichter dieses Konzept durch eine weitere unabhängige Firma testen lassen sollte, um die Ergebnisse validieren zu lassen.
Allerdings hat die ComConsult in einem ersten Schritt einen eigenen Penetration-Test bei den verbauten Komponenten, insbesondere den Controllern der Gebäudetechnik, durchgeführt. Dies war dank des Demonstrators bereits im Sommer 2019 und damit viele Monate vor dem eigentlichen Einbau in das Gebäude möglich. Hierbei hat sich Handlungsbedarf ergeben, den wir mit den Firmen gemeinsam besprochen haben. So konnte einerseits sofort mit dem Schließen von einigen Sicherheitslücken begonnen werden, andererseits konnte ComConsult die Firewall-Regeln und das Netz- und Zonenkonzept schärfen und frühzeitig Probleme erkennen. Auch war das Risiko zu groß, dass im fertigen Gebäude Komponenten verbaut wurden, die sich unter Umständen gar nicht absichern ließen. Dieses Vorgehen hat den Beteiligten mehrere Monate Zeit gegeben, sich auf die Anforderungen eines Smart Commercial Buildings einzustellen und die Umsetzung zu planen.
Abbildung 3: Kommunikationsmatrix der Gebäudetechnik
Somit konnte einige Zeit später ein externes IT-Security-Unternehmen erneut die Cyber Security der verbauten Komponenten, des Netzwerks und der App testen und einen umfangreichen Bericht mit den Findings und Handlungsempfehlungen erstellen. Dies haben wir als ComConsult bewusst nicht selbst durchgeführt, da wir als Planer und Umsetzer nicht unsere eigene Arbeit seriös testen konnten. Man ist dann mit ziemlicher Sicherheit betriebsblind, denn hätten wir die Sicherheitslücke gekannt, hätten wir sie natürlich berücksichtigt.
Der Wert einer Laborumgebung im Rahmen eines solchen Demonstrators kann gar nicht stark genug betont werden. Die Kosten sind überschaubar und die gewonnenen Informationen bares Geld wert, denn in Relation zu einem Verzug bei der Inbetriebnahme eines Gebäudes und den damit entstehenden Kosten durch Mietausfall, Strafzahlungen usw. sollte diese Investition bei einem Smart Commercial Building immer getätigt werden. Wir arbeiten aktuell an den Digitalisierungsfunktionen weiterer Smart Commercial Buildings und konnten in nahezu jedem Projekt den Auftraggeber vom Bau eines Demonstrators überzeugen. Spätestens wenn die IT-Abteilung involviert wird, muss der Nutzen einer solchen Laborumgebung nicht mehr inhaltlich diskutiert werden. Früher waren Gebäude IT-Inseln, die einmal in Betrieb genommen wurden und dann keinerlei Updates über die Nutzungsdauer erhalten haben. Diese Praxis funktioniert bei einem vernetzten Gebäude aber nicht mehr. Ein gutes Beispiel ist hier der Rückbau problematischer Software. Damit ist gemeint, dass man ein fehlerhaftes Firmwarerelease auch wieder durch eine vorherige Version ersetzen kann. Dies ist bei aktiven Komponenten absolut üblich, bei DDC-Controllern der Gebäudetechnik allerdings nicht immer und sollte in Ausschreibungen abgefragt und auch in der Laborumgebung einmal getestet werden.
Auch hat sich gezeigt, dass auf der Baustelle eine Projektsteuerung mit IT-Know-how unverzichtbar ist, da sie die entstehenden Probleme verstehen und Gegenmaßnahmen einleiten kann. So ist es normalerweise auch unüblich, in einer frühen Bauphase bereits über einen funktionierenden und staubfreien Serverraum zu verfügen. Der konstante Betrieb eines solchen Raums mittels Baustrom und USV ist dabei dann nur eine von vielen Herausforderungen, denen man sich zukünftig beim Bau moderner Gebäude stellen muss.
Ebenso hat sich eine personelle Schnittstelle zwischen dem Errichter und dem Softwareentwickler bewährt. Gerade wenn Bau auf Softwareentwicklung trifft, spricht man nicht die gleiche Sprache und hat stark unterschiedliche Prozesse auf beiden Seiten. Da hilft es organisatorisch, wenn die Belange der jeweiligen Seite bei entsprechenden Personen auflaufen, die diese dann bündeln, weitergeben und kontrollieren. Ebenso hilft ein Berichtswesen, das die Belange der jeweils anderen Seite berücksichtigt und regelmäßig an alle Beteiligten verteilt.
Die Errichtung und der Betrieb eines solchen Gebäudes sind tatsächlich das berüchtigte Neuland für alle Beteiligten und werden klassische Betreiber vor gigantische Herausforderungen stellen. Gleichzeitig bietet sich plötzlich für Betreiber von Rechenzentren und IT-Infrastrukturen ein neuer Markt mit viel Potential. Die Betreiberlandschaft wird sich in den kommenden Jahren drastisch verändern, denn die Digitalisierung der Immobilienwelt wird nicht aufzuhalten sein. Ein Smart Commercial Building ähnelt eher einem Rechenzentrum als einem klassischen Bürogebäude. Dementsprechend werden sich die bisherigen Betreiber anpassen und ihre Kompetenzen erweitern müssen. Der Aufbau von IT-Know-how wird unverzichtbar sein. Hierzu bieten wir gezielt Schulungen für die unterschiedlichsten Zielgruppen und Skillstufen an.
Unsere gesammelten Erfahrungen aus diesem und ähnlichen Projekten werden wir in zukünftigen Artikeln aufbereiten und im Netzwerk Insider veröffentlichen. Sollten Sie Interesse an bestimmten Themen oder Fragen haben, geben Sie uns Feedback. Wir werden versuchen, es zu berücksichtigen!
