Optimal geschützte Gebäudeautomation

BACnet Secure Connect

 
 
 

 
 

Etwa 25 Millionen Geräte tauschen derzeit ihre Daten via BACnet aus, dessen erste Version 1995 veröffentlicht wurde. Nun besitzt der herstellerübergreifende Kommunikationsstandard seit kurzem eine eigene Sicherheitsinfrastruktur und ist damit fit für die Anforderungen der Digitalisierung.

Abgeschlossene Netzwerke und lange Innovationszyklen – die Gebäudeautomation hatte zunächst ganz andere Anforderungen an die Betriebssicherheit als die Informationstechnologie (IT). Doch Internet-Technologien, das Zusammenwachsen von IT und Gebäudeautomation (GA) sowie Cloud-basierte Anwendungen erfordern ein hohes Maß an Schutz für die Kommunikation – wie Zugangsbeschränkung, Authentifizierung, Autorisierung und Verschlüsselung.

 

Risiken minimieren

Hinzu kommt die KRITIS-Strategie der Bundesregierung. Sie hat sich zum Ziel gesetzt, die kritischen Infrastrukturen zu schützen, die Staat, Wirtschaft und Gesellschaft mit zentralen Gütern bzw. Dienstleistungen versorgen. Ob Flughafen, Chemiefabrik oder kommunale Liegenschaft – immer mehr GA-Betreiber müssen nachweisen, dass sie Versorgungssicherheit gewährleisten können. Dies betrifft auch BACnet-Netzwerke, die bisher aber nur mit hohem Aufwand entsprechend abgesichert werden konnten. Mit BACnet Secure Connect (BACnet/SC) gibt es nun eine Technologie, um sichere Kommunikationsverbindungen mit vergleichsweise geringem Aufwand herzustellen. Denn was in der IT üblich ist, sorgt künftig ebenfalls für die Netz- und Informationssicherheit der Gebäudeautomation.

Um diesen Prozess erfolgreich abzuschließen, sind einige Herausforderungen zu meistern. So ist das Sicherheitsbewusstsein in der Gebäudeautomation längst noch nicht so ausgeprägt wie in der IT. Wer etwa das Internet auf der Suche nach ungesicherten BACnet-Netzwerken durchforstet, wird schnell – und oft – fündig. Gleichzeitig lässt sich die Gebäudetechnik nicht ohne weiteres an die Security-erprobte IT-Administration übergeben, ohne die Gewährleistung der Gerätehersteller aufs Spiel zu setzen. Gefragt sind deshalb pragmatische Wege, um den neuen Standard so zu implementieren, dass die Betreiber ihn problemlos anwenden können. Dementsprechend verwendet er jetzt mehrere Mechanismen, die sich in der Informationstechnologie bewährt haben.

 
BACnet_SC.png
 
 

Vom Hub zum Knoten

Zunächst einmal verändert sich die Netzwerk-Topologie mit BACnet/SC sichtbar. Bisher wurde der initiale Verbindungsaufbau im BACnet mit Broadcasts vollzogen, teilweise dann mit Unterstützung von sogenannten BACnet Broadcast Management Devices (BBMD) – eine Methode, die in der IT nicht üblich ist. Deshalb wurde für die Konfiguration nun ein anderer Ansatz gewählt: Jedes Netzwerk erhält einen zentralen Punkt, den sogenannten Hub. Er steuert den Datenverkehr zwischen einer beliebigen Anzahl von Nodes (Endgeräten). Darüber hinaus übernimmt er die Analyse des Datenverkehrs, um festzustellen, ob Informationen an einen einzigen oder alle Nodes weitergeleitet werden sollen. Für die direkte Kommunikation zwischen zwei Nodes lässt sich außerdem eine direkte Verbindung schalten.

Zugleich enthält BACnet/SC einen Failover-Mechanismus, der sicherstellt, dass das System auch dann funktionsfähig bleibt, wenn der Hub ausfällt oder zwecks Wartung ausgeschaltet ist. Diese neue Topologie vereinfacht Konfiguration, Inbetriebnahme und Verwaltung erheblich. Gleichzeitig werden BBMD sowie deren Konfiguration überflüssig.

 

Verschlüsselung und Zertifikate

Für die geschützte Datenübertragung wird TCP (Transmission Control Protocol) mit WebSocket verwendet – zwei zuverlässige Mechanismen auf Basis des Internet-Protokolls IP, das in der IT nahezu flächendeckend genutzt wird. TCP/IP löst die bisher von BACnet verwendete Netzwerkprotokollschicht UDP (User Data Protocol) ab und für eine abhör- sowie fälschungssichere Kommunikation wird TLS eingesetzt. TLS (Transport Layer Security) ist als Grundlage für den sicheren Webzugriff (https) in der IT ebenfalls weit verbreitet.

Bei der Verschlüsselung ist zu beachten, dass für die notwendigen digitalen Zertifikate ein unternehmensweites Procedere angelegt werden muss. Die für das Internet im Rahmen von Public-Key-Infrastrukturen zuständigen Zertifizierungs- und Registrierungsstellen sind in BACnet/SC nicht vorgegeben. Damit kann ein GA-Betreiber seinen individuellen Netzwerkstrukturen Rechnung tragen.

Für die problemlose Implementierung in vorhandene Netzwerke wurden die Sicherheitsmechanismen als zusätzlicher Data Link Layer in BACnet definiert. Zudem ist der neue Standard in der aktuellen Revision 22 abwärtskompatibel. Das hat den Vorteil, dass die bereits vorhandene Ausstattung über entsprechende Router grundsätzlich mit neuen BACnet/SC-Geräten kommunizieren kann. Für Investitionssicherheit ist also gesorgt.

 

Jetzt beginnen!

Doch zeigt sich bereits, dass erste Hersteller mit den notwendigen Geräten auf den Markt kommen, mit denen ein BACnet-Netzwerk SC-fähig gemacht werden kann. Erst einmal abzuwarten, ist daher keine Option. Vielmehr sollten Betreiber jetzt aktiv werden, denn Sicherheit wird nicht allein dadurch geschaffen, dass man ein Netzwerk mit BACnet/SC-fähigen Geräten aufbaut oder ergänzt. Vielmehr ist es zunächst notwendig, ein Sicherheitsbewusstsein zu schaffen, das alle mit einem BACnet-Netzwerk befassten Personen einschließt.

Betreiber sollten sich zudem mit den Details der Revision 22 vertraut machen, um den Umstieg zu planen: Was bedeutet es, von UDP auf auf IP mit TLS umzusteigen? Was ist aus technischer Perspektive notwendig, um den Übergang möglichst reibungslos zu gestalten? Sind zusätzliche Geräte oder Leitungsstränge nötig? Was ist zu tun, um digitale Zertifikate zu erstellen, zu unterzeichnen und auf die Feldgeräte zu laden? Welche Tools stehen für den Wechsel zur Verfügung? Wo kann man von den Mechanismen der bestehenden IT profitieren?

Was die neue Produktpalette betrifft, so ist BACnet/SC eine Technologie, die die meisten GA-Hersteller künftig implementieren werden. Kleinere Unternehmen sind dabei möglicherweise schneller mit neuen Produkten am Markt als große. Vielleicht lohnt es sich auch, nach Herstellern Ausschau zu halten, die an der aktuellen Revision mitgearbeitet haben. Außerdem kann es für Liegenschaftsbetreiber sinnvoll sein, sich in allgemeinen oder unternehmensspezifischen Schulungen Beratung einzuholen. Auf diese Weise wird es gelingen, BACnet/SC in der eigenen Liegenschaft erfolgreich anzuwenden.

 

MBS ist vorn dabei

Was die neue Produktpalette betrifft, so ist BACnet/SC eine Technologie, die die meisten GA-Hersteller künftig implementieren werden. Auch die MBS GmbH, die an der Revision 22 aktiv mitgearbeitet hat, spendiert ihren Produkten sukzessive ein Upgrade. Im vergangenen Jahr stellte sie bereits gemeinsam mit Delta Controls allen Herstellern eine kostenfreie Testumgebung für die sichere Kommunikation mit BACnet/SC zur Verfügung. Dies war die erste deutsche Kooperation, die die verschlüsselte Datenübertragung über das Internet für ein verteiltes Test-Netzwerk anbot.

Nun ist mit BACeye/SC die beliebte Software für die Netzwerk-Diagnose verfügbar, die die Inbetriebnahme, Wartung, Diagnose sowie Reparatur von Netzwerken für die Gebäudeautomation erheblich vereinfacht. BACeye/SC vereint die Features des bewährten Werkzeugs BACeye 2.0 mit dem vollständigen Funktionsumfang von BACnet/SC – wie Zugangsbeschränkung, Authentifizierung, Autorisierung und Verschlüsselung. Es lässt sich in geschützten Kommunikationsumgebungen einsetzen und erlaubt verschlüsseltes Browsing. Produkte dieser Art werden dazu beitragen, BACnet/SC in der eigenen Liegenschaft erfolgreich anzuwenden.

 
Sie benötigen Unterstützung zu BACnet/SC?
Sprechen Sie uns an! →
 

Download

In dem PDF ‘Optimal geschützte Gebäudeautomation’ sind nochmals alle wesentlichen Meilensteine zusammengefasst.

Deutsch
Englisch