BACnet Network Security

Gebäudeautomation nach allen Regeln der Sicherheit

 
 

Der aktuelle Trend, in der Gebäudeautomation unternehmensweite IT-Strukturen zu nutzen, stellt neue Anforderungen an den Schutz der Übertragungswege. Deshalb wurde das Netzwerkprotokoll BACnet (Building Automation and Control Networks), der robuste Standard für den Datenaustausch zwischen Geräten unterschiedlicher Hersteller, mit einer Sicherheitsarchitektur ergänzt. Diese Mechanismen hat die Krefelder MBS GmbH nun in einen BACnet-Router eingebaut. Damit kann die vernetzte Haustechnik isoliert betrieben werden. Gleichzeitig lässt sich die übergreifende BACnet-Kommunikation via Unternehmensnetzwerk verschlüsseln und der Datenzugriff autorisieren.

Wie halten Sie es mit der Sicherheit? Diese Frage ist nun auch in der Gebäudeautomation angekommen. Hackerattacken wie die auf den Bundestag, bei der die Angreifer Administrationsrechte für die komplette Infrastruktur erbeuten, verursachen nicht nur IT-Verantwortlichen eine Gänsehaut. Auch Facilitymanager sind heute gefordert, ihre Geräte und Kommunikationswege vor Angriffen aus dem Cyberspace zu schützen – im Gegensatz zu den Anfängen der vernetzten Haustechnik, als die Netzwerke physikalisch abgeschlossen sowie nur autorisierten Personen zugänglich waren.

Unternehmens-IT ohne Risiko nutzen

BACnet-Anwender müssen sich dieser Situation ebenfalls stellen. Bei der Einführung des herstellerübergreifenden Netzwerkprotokolls ergaben sich aus dem vereinheitlichten Datenaustausch zwischen den Geräten verschiedener Hersteller zunächst vor allem unbestreitbare Vorteile für die Gebäudeautomation. Schließlich lässt sich ihr Erfolg auch daraus ableiten, dass die Schwelle für ihren Einsatz sehr niedrig war.

Nun wird der Trend sichtbar, in einem nächsten Schritt unternehmensweite IT-Strukturen für die übergreifende BACnet-Kommunikation zu nutzen. Damit wird prinzipiell auch der Internet-Zugriff auf die Infrastruktur der Gebäudeautomation möglich. Doch dafür war das offene BACnet-Protokoll zunächst nicht ausgelegt – Verschlüsselung sowie nutzerbezogene Authentifizierungsmechanismen fehlten. Hinzu kommt, dass Client-Applikationen für BACnet leicht erhältlich und schnell erlernbar sind. An das Unternehmensnetzwerk angebunden, würden die abgeschlossenen Netze von Gebäudeautomation und sicherheitssensitiven Anlagen somit potenziell für jeden Nutzer sichtbar sowie manipulierbar. Dem Missbrauch wären damit Tür und Tor geöffnet.

Ob Unachtsamkeit, Nichtwissen oder böse Absicht: Die Folgen eines solchen Vorfalls können sehr teuer werden. Schlecht für das Image sind sie auf jeden Fall. Man denke nur an einen Flughafen, der ja zu evakuieren ist, sobald die Lüftungsanlage nicht mehr funktioniert. Nicht von ungefähr wurde der BACnet-Standard deshalb jüngst um eine Netzwerk-Sicherheitsarchitektur erweitert. Entsprechende Produkte, die diese Mechanismen umsetzen, bahnen sich nun ihren Weg auf den Markt.

Getunnelter BACnet-Verkehr

Der BACnet-Router UBR-02 der Krefelder MBS GmbH routet wie sein Vorgänger UBR-01 Pakete zwischen den Medien MS/TP (RS485), Ethernet und IP. Damit können diese Medien zu einem gemeinsamen BACnet-Netzwerk zusammengeschaltet werden. Der UBR-02 verfügt nun zusätzlich über zwei Netzwerkanschlüsse, mit denen sich zwei getrennte IP-Bereiche verbinden lassen. Durch die Anwendung der jüngst definierten BACnet-Sicherheitsmechanismen kann der neue Router den übergreifenden BACnet-Verkehr tunneln. Verbindet man mehrere UBR-02 miteinander, so lässt sich die Kommunikation zwischen Netzwerksegmenten verschlüsseln sowie der Datenzugriff autorisieren. Im Ergebnis bleibt die Feldebene isoliert und für die dafür nicht zugriffsberechtigten Nutzer des Unternehmensnetzwerks unsichtbar. Gleichzeitig kann der übergreifende BACnet-Datenaustausch geschützt über das unternehmensweite Netzwerk abgewickelt werden.

Ein Anwendungsszenario auf einem fiktiven Klinik-Campus stellt sich beispielsweise folgendermaßen dar: In jedem Gebäude besteht bereits ein in sich abgeschlossener Technikraum mit Reglern und Sensoren, die untereinander via BACnet kommunizieren. Diese Netzwerke haben bisher keine Verbindung zu der unternehmensweiten IT-Struktur des Campus. Für den Datenaustausch mit der zentralen Leittechnik, die die Feldebene aus dem Verwaltungstrakt der Klinik überwacht und steuert, soll nun aber das Campus-Netzwerk eingesetzt werden. Um diese Absicht sicher zu realisieren, kommt zu den abgeschlossenen Netzwerken der Feldebene jeweils ein UBR-02 hinzu, der Regler und Sensoren mit der Haus-IT verbindet. Ein weiterer Router, der die zentrale Leittechnik an die unternehmensweite IT anschließt, macht das abgesicherte BACnet-Netzwerk komplett. Das Campus-Netzwerk wird jetzt als Übertragsmedium zwischen den verschiedenen BACnet-Einheiten genutzt, ohne dass jemand die Kommunikation abhören oder manipulieren kann.

 
 

Kostengünstige Lösung, optimaler Schutz

Die Vorteile: Der lokale BACnet-Verkehr läuft weiterhin mit den handelsüblichen vorhandenen Geräten, an denen man keinerlei Änderungen vornehmen muss. Der Bestand wird lediglich pro Gebäude durch einen UBR-02 ergänzt – eine kostengünstige Lösung. Gleichzeitig lässt sich der übergreifende BACnet-Verkehr kostengünstig über das vorhandene Unternehmensnetzwerk abwickeln. Durch die Trennung der Kommunikationswege sind zudem Abhörsicherheit und Zugriffsschutz gewährleistet.

Überdies sticht diese Lösung auch Ansätze aus, die Kommunikation via VPN (Virtual Private Network) oder VLAN (Virtual Local Area Network) zu führen. Denn die hierfür notwendige Zusammenarbeit von EDV und Haustechnik lässt sich in der Praxis erfahrungsgemäß nur schwer aufrechterhalten. Der Einsatz des UBR-02 dagegen kann durch die BACnet-Anwender selbst erfolgen und auch mit deren Mitteln verwaltet werden.

Sie benötigen Unterstützung beim Einrichten von BACnet Network Security?
Sprechen Sie uns an! →