Offen aber sicher –

IT Sicherheit in der Gebäudeautomation

ppa. Dr. Andreas Wetzel

Leiter Gebäudeautomation

Telefon +49 (761) 5105-0,

E-Mail: sauter-cumulus@de.sauter-bc.com

SAUTER Deutschland

Sauter-Cumulus GmbH

Hans-Bunte-Str.15

79108 Freiburg

http://www.sauter-cumulus.de

Thematisierung in den Medien:

Berichterstattung in den Medien:

• Heise Newsletter vom 02.05.2013

• CT 2013, Heft 11, S.78 ff

Industrieanlagen / GA Anlagen werden

immer häufiger mit dem Internet

verbunden und sind somit teilweise

ungeschützt von außen erreichbar.

• CCI 04/14 S. 22 ff

• Der Facility Manager Juni 2014,

S.40ff

• ….

Proprietäre vs.

offene Systeme in der GA

Proprietäre Systeme (z.B. Sauter novaNet: EY3600, EY-modulo 2)

• Häufig 2 Draht Technik

(RS485/RS232)

• Eigene, abgetrennte

Busverkabelung

• Herstellerspezifische, propritäre

Datenkommunikation und AS

Kernel

• Nur herstellerspezifischer Zugriff

Offene Systeme (z.B. BACnet/IP: EY-modulo 5)

• Nutzung standardisierter Ethernet Übertragungsmedien und

IT Hardware.

• ggf. Nutzung vorhandener IT Infrastruktur senkt GA

Investitionskosten.

• Nutzung standardisierter Übertragungsprotokolle (TCP/IP)

• Die Nutzung herstellerunabhängiger GA Kommunikations-

protokolle schafft Wettbewerb und unabhängige

Erweiterungsmöglichkeiten für Nutzer.

• Unabhängige Tools zur Protokollanalyse und Geräte-

darstellung (Wireshark / BACnet Browser) für mehr

Transparenz, bedeuten aber auch neue Risiken.

• Externer Zugang einfach möglich für

• Fernwartung, Fernoptimierung und Fernbedienung.

• Alarmierung via Mail / SMS auf Arbeitsplatzrechner

und mobile Endgeräte.

• Zusatzdienste (Wettervorhersage).

Trend in GA hin zu standardisierten,

offenen Kommunikationsstandards

wie BACnet/IP, KNX, (LON)

Offenes System:

BACnet Browser

BACnet Device

BACnet Objekttyp

BACnet Objekt

BACnet

Property

Änderungs-

möglichkeit

• Standard mit Client-/

Serverarchitektur.

• z.B. ist ein BACnet

Browser ein

herstellerunabhängiger

Zugang zu allen ange-

schlossenen BACnet

Devices mit der

Möglichkeit zur

nichtdokumentierten

Änderung von Adressen,

Alarmeinstellungen,

Regelparametern …

Offenes System:

Wireshark Protolollanalyse

Benutzeradresse

NC-Mapping

Priorität

Ereignis-Status

Quittierung nötig: Ja

Glocke: Rot

Ereignis kommend

• Protokollunabhängiges IP Kommunikationsanalysetool inkl.

Aufzeichnungsfunktionalität.

In Deutschland sieht der Gesetzgeber Tools wie Wireshark und Co. äußerst kritisch:

So ist es analog zu den Regelungen im sogenannten "Hackerparagraphen" (§202c StGB)

untersagt, Passwörter und Zugangscodes eines fremden Netzwerks ohne die explizite Erlaubnis

des Betreibers zu beschaffen oder Programme für diesen Zweck bereitzuhalten.

GA Sicherheit

Trend:

Gebäudeautomation und IT nähern sich an.

Verantwortlich für Sicherheit in der

Gebäudeautomation sind Hersteller,

Anlagenbauer und Betreiber!

• Die Hersteller müssen geeignete Technologien in

ihren Produkten integrieren

• Die Anlagenbauer müssen die Technologien in

ihnen Projekten anbieten und einrichten.

• Die Betreiber müssen die geeigneten

Technologien anwenden.

Hersteller:

Verschlüsselte Kommunikation

• GA Produkte (Automationsstationen, Webserver,

Scada Software), die am offenen IT (Inter-)

Netzwerk angeschlossen sind und eine

Benutzerschnittstelle (z.B. via Webserver)

implementiert haben (Port 80, 433), müssen eine

konfigurierbare (!) Benutzerauthentifizierung

implementiert haben.

• Vorzugsweise ist das HTTPS Protokoll für eine

verschlüsselte Datenübertragung zu wählen.

• z.B. SAUTER moduWeb Vision Webserver

Hersteller:

interne Firewalls

• GA Produkte (Automationsstationen, Webserver,

Managementbedienstationen) müssen eine

Firewall Funktion implementiert und aktiviert

haben.

• z.B. SAUTER EY-modulo 5 (modu525) (In der Standardeinstellung kann die DDC beispielsweise

nicht via „Ping“ Funktionalität lokalisiert werden.)

Hersteller:

Hardware GA vs. IT

• GA Produkte (Automationsstationen, Raumcontroller) heutzutage

üblicherweise Kleinstcomputer mit branchenspezifischen

Firmwareapplikationen.

z.B. SAUTER EY-modulo 5 (modu521)

• Erwartete Lebensdauer GA Hardware ca. 15 Jahre! ≠

Erwartete Lebensdauer IT Hardware ca. 5 Jahre!

d.h. GA Hardware kann über die Jahre im aktuellem IT Umfeld nicht alle

Anforderungen an Performance und IT Sicherheit erfüllen!

(Was heute aktueller IT Standard ist, kann/wird in 10 Jahren

voraussichtlich nicht mehr als sicher angesehen werden.)

• Trend zur Bereitschaft von IT Lebensdauerzyklen in der

Gebäudeautomation nicht erkennbar.

Projektierung:

Hardware- und Netzwerkplanung

• Auswahl geeigneter IT-Komponenten:

• Ethernet Hub (passiv) Alle Informationen stehen gleichzeitig an allen Ausgängen an (mittlerweile üblicherweise nicht

mehr genutzt).

• Switch (aktiv) Alle Informationen können vom Gerät an alle Ausgänge weitergeleitet werden. Wg.

Performancesteigerung leitet der Switch die Datenpakete automatisch nur an die Ausgänge

weiter, an denen die adressierten Komponenten (MAC Adresse) angeschlossen sind.

Broadcasttelegramme werden an alle Ausgänge weitergeleitet.

• Managed Switch (aktiv) Über eine gerätespezifische Konfiguration kann die Informationsverteilung beeinflusst werden.

Einzelne Ausgänge können so u.a. zu separaten, logischen Netzwerkgruppen V-LAN

zusammengefasst werden.

(So kann beispielsweise ein GA Netzwerk von einem IT Kommunikationsnetzwerk auf einem

physikalischem Netzwerk dennoch sicher logisch voneinander separiert werden.)

Manipulationsmöglichkeit

in Feld- und AS- Ebene

Zugang zu Technikbereichen ?

Feldgeräte:

Verkabelung offen zugänglich:

Automationsstationen /

Schaltsachrank:

Projektierung:

Zugangsmöglichkeiten

• Erstellen einer projektspezifischen Risikoanalyse.

• Limitierung Zugang zu GA.

• Physikalisch (ggf. am Schaltschrank)

• IT –seitig (z.B. Einsatz von gesicherten VPN

Zugängen von außen)

Inbetriebsetzung:

Audit-Trail

• Für den Gebäudebetrieb nicht genutzte

Funktionen / Oberflächen (z.B. Webserver von

Gateways) müssen deaktiviert werden.

• Die HMI Oberflächen der GA-Komponenten

müssen die Benutzeraktivitäten sicher

aufzeichnen (können).

Inbetriebsetzung:

Zugangsbeschränkung

• Die Zugänge zu den HMI Schnittstellen der GA

müssen gruppenspezifisch geplant, eingerichtet

und vergeben werden.

• Die Zugänge der GA-HMI Schnittstelle müssen

spezielle Zugangs-/Passwortvoraussetzungen

erfüllen (können).

Inbetriebnahme:

Passwortsicherheit

• Die werksseitigen (Standard-) Passwörter müssen

geändert werden.

• Es müssen Mindestanforderungen an Passworte

definiert und eingehalten werden.

Ein gutes Passwort (BSI)

• Es sollte mindestens acht Zeichen lang sein.

(Ausnahme: Bei Verschlüsselungsverfahren wie

z.B. WPA und WPA2 für WLAN sollte das

Passwort mindestens 20 Zeichen lang sein. )

• Es sollte aus Groß- und Kleinbuchstaben sowie

Sonderzeichen und Ziffern (?!%+…) bestehen.

• Tabu sind Namen von Familienmitgliedern, des

Haustieres, des besten Freundes, des

Lieblingsstars oder deren Geburtsdaten usw.

• Wenn möglich sollte es nicht in Wörterbüchern

vorkommen.

• Es soll nicht aus gängigen Varianten und

Wiederholungs- oder Tastaturmusternmustern

bestehen, also nicht asdfgh oder 1234abcd usw.

• Einfache Ziffern am Ende des Passwortes

anzuhängen oder eines der üblichen

Sonderzeichen $ ! ? #, am Anfang oder Ende

eines ansonsten simplen Passwortes zu ergänzen

ist auch nicht empfehlenswert.

Betreiber:

Passwortsicherheit

• Es müssen Mindestanforderungen an Passworte

definiert und eingehalten werden.

• Die individuellen Passwörter sind vor Ort

vertraulich zu behandeln.

(Nicht notieren! d.h. kein Post-it am Monitor oder

kein Aufkleber unter Tastatur)

• Passworte müssen regelmäßig geändert werden.

So bitte nicht:

(Hit-) Liste internationaler

„Standardpassworte (2012):

1. password

2. 123456

3. 12345678

4. abc123

5. Qwerty / qwertz

6. monkey

7. letmein

8. dragon

9. 111111

10. baseball

White Paper:

IT Sicherheit in der GA

Fazit:

Die neuen IT-Techniken bieten viele Möglichkeiten.

Auch um die Gebäudeautomation gegen unbefugte

Zugriffe abzusichern. Diese sollten für effiziente und

zeitgemäße GA-Anlagen auch nachgefragt und

genutzt werden.

Ein Abwägen der Chancen und Risiken ist

projektspezifisch erforderlich.

Die größte Gefahr geht in BACnet-

Kommunikationsnetzwerken aber voraussichtlich nicht

von absichtlichen Manipulationen mit krimineller

Energie aus, sondern oftmals sind die Ursachen für

Fehlfunktionen in fehlendem Anlagen-Knowhow oder

fehlender Abstimmung zu suchen.

Oft ist auch die tägliche Routine und die

Bequemlichkeit für Verantwortlich, dass GA-Anlagen

ungeschützt betrieben werden, weil die Risiken

unterschätzt werden.

Danke für die Aufmerksamkeit !