Offen aber sicher –
IT Sicherheit in der Gebäudeautomation
ppa. Dr. Andreas Wetzel
Leiter Gebäudeautomation
Telefon +49 (761) 5105-0,
E-Mail: [email protected]
SAUTER Deutschland
Sauter-Cumulus GmbH
Hans-Bunte-Str.15
79108 Freiburg
http://www.sauter-cumulus.de
Thematisierung in den Medien:
Berichterstattung in den Medien:
• Heise Newsletter vom 02.05.2013
• CT 2013, Heft 11, S.78 ff
Industrieanlagen / GA Anlagen werden
immer häufiger mit dem Internet
verbunden und sind somit teilweise
ungeschützt von außen erreichbar.
• CCI 04/14 S. 22 ff
• Der Facility Manager Juni 2014,
S.40ff
• ….
Proprietäre vs.
offene Systeme in der GA
Proprietäre Systeme (z.B. Sauter novaNet: EY3600, EY-modulo 2)
• Häufig 2 Draht Technik
(RS485/RS232)
• Eigene, abgetrennte
Busverkabelung
• Herstellerspezifische, propritäre
Datenkommunikation und AS
Kernel
• Nur herstellerspezifischer Zugriff
Offene Systeme (z.B. BACnet/IP: EY-modulo 5)
• Nutzung standardisierter Ethernet Übertragungsmedien und
IT Hardware.
• ggf. Nutzung vorhandener IT Infrastruktur senkt GA
Investitionskosten.
• Nutzung standardisierter Übertragungsprotokolle (TCP/IP)
• Die Nutzung herstellerunabhängiger GA Kommunikations-
protokolle schafft Wettbewerb und unabhängige
Erweiterungsmöglichkeiten für Nutzer.
• Unabhängige Tools zur Protokollanalyse und Geräte-
darstellung (Wireshark / BACnet Browser) für mehr
Transparenz, bedeuten aber auch neue Risiken.
• Externer Zugang einfach möglich für
• Fernwartung, Fernoptimierung und Fernbedienung.
• Alarmierung via Mail / SMS auf Arbeitsplatzrechner
und mobile Endgeräte.
• Zusatzdienste (Wettervorhersage).
Trend in GA hin zu standardisierten,
offenen Kommunikationsstandards
wie BACnet/IP, KNX, (LON)
Offenes System:
BACnet Browser
BACnet Device
BACnet Objekttyp
BACnet Objekt
BACnet
Property
Änderungs-
möglichkeit
• Standard mit Client-/
Serverarchitektur.
• z.B. ist ein BACnet
Browser ein
herstellerunabhängiger
Zugang zu allen ange-
schlossenen BACnet
Devices mit der
Möglichkeit zur
nichtdokumentierten
Änderung von Adressen,
Alarmeinstellungen,
Regelparametern …
Offenes System:
Wireshark Protolollanalyse
Benutzeradresse
NC-Mapping
Priorität
Ereignis-Status
Quittierung nötig: Ja
Glocke: Rot
Ereignis kommend
• Protokollunabhängiges IP Kommunikationsanalysetool inkl.
Aufzeichnungsfunktionalität.
In Deutschland sieht der Gesetzgeber Tools wie Wireshark und Co. äußerst kritisch:
So ist es analog zu den Regelungen im sogenannten "Hackerparagraphen" (§202c StGB)
untersagt, Passwörter und Zugangscodes eines fremden Netzwerks ohne die explizite Erlaubnis
des Betreibers zu beschaffen oder Programme für diesen Zweck bereitzuhalten.
GA Sicherheit
Trend:
Gebäudeautomation und IT nähern sich an.
Verantwortlich für Sicherheit in der
Gebäudeautomation sind Hersteller,
Anlagenbauer und Betreiber!
• Die Hersteller müssen geeignete Technologien in
ihren Produkten integrieren
• Die Anlagenbauer müssen die Technologien in
ihnen Projekten anbieten und einrichten.
• Die Betreiber müssen die geeigneten
Technologien anwenden.
Hersteller:
Verschlüsselte Kommunikation
• GA Produkte (Automationsstationen, Webserver,
Scada Software), die am offenen IT (Inter-)
Netzwerk angeschlossen sind und eine
Benutzerschnittstelle (z.B. via Webserver)
implementiert haben (Port 80, 433), müssen eine
konfigurierbare (!) Benutzerauthentifizierung
implementiert haben.
• Vorzugsweise ist das HTTPS Protokoll für eine
verschlüsselte Datenübertragung zu wählen.
• z.B. SAUTER moduWeb Vision Webserver
Hersteller:
interne Firewalls
• GA Produkte (Automationsstationen, Webserver,
Managementbedienstationen) müssen eine
Firewall Funktion implementiert und aktiviert
haben.
• z.B. SAUTER EY-modulo 5 (modu525) (In der Standardeinstellung kann die DDC beispielsweise
nicht via „Ping“ Funktionalität lokalisiert werden.)
Hersteller:
Hardware GA vs. IT
• GA Produkte (Automationsstationen, Raumcontroller) heutzutage
üblicherweise Kleinstcomputer mit branchenspezifischen
Firmwareapplikationen.
z.B. SAUTER EY-modulo 5 (modu521)
• Erwartete Lebensdauer GA Hardware ca. 15 Jahre! ≠
Erwartete Lebensdauer IT Hardware ca. 5 Jahre!
d.h. GA Hardware kann über die Jahre im aktuellem IT Umfeld nicht alle
Anforderungen an Performance und IT Sicherheit erfüllen!
(Was heute aktueller IT Standard ist, kann/wird in 10 Jahren
voraussichtlich nicht mehr als sicher angesehen werden.)
• Trend zur Bereitschaft von IT Lebensdauerzyklen in der
Gebäudeautomation nicht erkennbar.
Projektierung:
Hardware- und Netzwerkplanung
• Auswahl geeigneter IT-Komponenten:
• Ethernet Hub (passiv) Alle Informationen stehen gleichzeitig an allen Ausgängen an (mittlerweile üblicherweise nicht
mehr genutzt).
• Switch (aktiv) Alle Informationen können vom Gerät an alle Ausgänge weitergeleitet werden. Wg.
Performancesteigerung leitet der Switch die Datenpakete automatisch nur an die Ausgänge
weiter, an denen die adressierten Komponenten (MAC Adresse) angeschlossen sind.
Broadcasttelegramme werden an alle Ausgänge weitergeleitet.
• Managed Switch (aktiv) Über eine gerätespezifische Konfiguration kann die Informationsverteilung beeinflusst werden.
Einzelne Ausgänge können so u.a. zu separaten, logischen Netzwerkgruppen V-LAN
zusammengefasst werden.
(So kann beispielsweise ein GA Netzwerk von einem IT Kommunikationsnetzwerk auf einem
physikalischem Netzwerk dennoch sicher logisch voneinander separiert werden.)
Manipulationsmöglichkeit
in Feld- und AS- Ebene
Zugang zu Technikbereichen ?
Feldgeräte:
Verkabelung offen zugänglich:
Automationsstationen /
Schaltsachrank:
Projektierung:
Zugangsmöglichkeiten
• Erstellen einer projektspezifischen Risikoanalyse.
• Limitierung Zugang zu GA.
• Physikalisch (ggf. am Schaltschrank)
• IT –seitig (z.B. Einsatz von gesicherten VPN
Zugängen von außen)
Inbetriebsetzung:
Audit-Trail
• Für den Gebäudebetrieb nicht genutzte
Funktionen / Oberflächen (z.B. Webserver von
Gateways) müssen deaktiviert werden.
• Die HMI Oberflächen der GA-Komponenten
müssen die Benutzeraktivitäten sicher
aufzeichnen (können).
Inbetriebsetzung:
Zugangsbeschränkung
• Die Zugänge zu den HMI Schnittstellen der GA
müssen gruppenspezifisch geplant, eingerichtet
und vergeben werden.
• Die Zugänge der GA-HMI Schnittstelle müssen
spezielle Zugangs-/Passwortvoraussetzungen
erfüllen (können).
Inbetriebnahme:
Passwortsicherheit
• Die werksseitigen (Standard-) Passwörter müssen
geändert werden.
• Es müssen Mindestanforderungen an Passworte
definiert und eingehalten werden.
Ein gutes Passwort (BSI)
• Es sollte mindestens acht Zeichen lang sein.
(Ausnahme: Bei Verschlüsselungsverfahren wie
z.B. WPA und WPA2 für WLAN sollte das
Passwort mindestens 20 Zeichen lang sein. )
• Es sollte aus Groß- und Kleinbuchstaben sowie
Sonderzeichen und Ziffern (?!%+…) bestehen.
• Tabu sind Namen von Familienmitgliedern, des
Haustieres, des besten Freundes, des
Lieblingsstars oder deren Geburtsdaten usw.
• Wenn möglich sollte es nicht in Wörterbüchern
vorkommen.
• Es soll nicht aus gängigen Varianten und
Wiederholungs- oder Tastaturmusternmustern
bestehen, also nicht asdfgh oder 1234abcd usw.
• Einfache Ziffern am Ende des Passwortes
anzuhängen oder eines der üblichen
Sonderzeichen $ ! ? #, am Anfang oder Ende
eines ansonsten simplen Passwortes zu ergänzen
ist auch nicht empfehlenswert.
Betreiber:
Passwortsicherheit
• Es müssen Mindestanforderungen an Passworte
definiert und eingehalten werden.
• Die individuellen Passwörter sind vor Ort
vertraulich zu behandeln.
(Nicht notieren! d.h. kein Post-it am Monitor oder
kein Aufkleber unter Tastatur)
• Passworte müssen regelmäßig geändert werden.
So bitte nicht:
(Hit-) Liste internationaler
„Standardpassworte (2012):
1. password
2. 123456
3. 12345678
4. abc123
5. Qwerty / qwertz
6. monkey
7. letmein
8. dragon
9. 111111
10. baseball
White Paper:
IT Sicherheit in der GA
Fazit:
Die neuen IT-Techniken bieten viele Möglichkeiten.
Auch um die Gebäudeautomation gegen unbefugte
Zugriffe abzusichern. Diese sollten für effiziente und
zeitgemäße GA-Anlagen auch nachgefragt und
genutzt werden.
Ein Abwägen der Chancen und Risiken ist
projektspezifisch erforderlich.
Die größte Gefahr geht in BACnet-
Kommunikationsnetzwerken aber voraussichtlich nicht
von absichtlichen Manipulationen mit krimineller
Energie aus, sondern oftmals sind die Ursachen für
Fehlfunktionen in fehlendem Anlagen-Knowhow oder
fehlender Abstimmung zu suchen.
Oft ist auch die tägliche Routine und die
Bequemlichkeit für Verantwortlich, dass GA-Anlagen
ungeschützt betrieben werden, weil die Risiken
unterschätzt werden.