(Source: ASHRAE)
Bereits in der ersten Bacnet-Version wurde Verschlüsselung mit 56-bit DES standardisiert, jedoch in der Praxis nicht eingesetzt. Seit Herbst 2019 ist mit Bacnet Secure Connect (Bacnet/SC) nun allerdings eine Erweiterung des Standards freigegeben, die einen aktuellen Stand an Cybersicherheit spezifiziert.
Neben den Sicherheitsaspekten fehlt bei bisherigen Bacnet-Projekten oft die Akzeptanz bei IT-Verantwortlichen. Die Nutzung von Broadcast-Nachrichten sowie die etwas „exotische“ Festlegung des verwendeten Ports (dez. 47808 = hex BAC0) werden von IT-Abteilungen häufig kritisch betrachtet. Daher wurden für die Entwicklung von Bacnet/SC drei Ziele festgelegt:
- hohes Maß an Cybersicherheit durch Nutzung des aktuellen TLS1.3-Standards und die Verwendung von X.509-Zertifikaten,
- IT-Freundlichkeit durch Nutzung etablierter Standards und Protokolle aus dem IT-Bereich sowie
- Abwärtskompatibilität (Routing) zu bestehenden Bacnet-Anlagen.
Technischer Aufbau von Bacnet Secure Connect
Bei Bacnet/SC werden für die Kommunikation sogenannte Web Sockets auf Basis des TCP-Protokolls eingesetzt. Diese basieren auf einer Weiterschaltung von HTTPS-Verbindungen, ein für IT-Abteilungen bekanntes und etabliertes Verfahren. Dabei spielt es keine Rolle, ob das aktuell noch häufig verbreitete IPv4 oder IPv6 verwendet wird. Auch das Medium (Data-Link-Layer) kann variieren: Zum Beispiel Ethernet, Wifi, 4G oder 5G. Bacnet/SC ergänzt die bisherigen acht Data-Link-Layer, wie Bacnet/IP oder MS/TP. Damit ist sichergestellt, dass sich bestehende Bacnet-Netzwerke sehr einfach mit einer sicheren Bacnet/SC-Infrastruktur verbinden lassen (Bacnet-Routing).
Bacnet/SC basiert auf einer „Nabe-Speiche“-Architektur, bei der sämtliche Kommunikation sowie die Authentifizierung der Geräte über einen zentralen Hub erfolgt (PH, Primary-Hub). Im Fall einer Kommunikationsstörung übernimmt ein Failover-Hub (FH) diese Aufgabe. Idealerweise ist dieser an eine andere Stromversorgung angeschlossen und befindet sich in einem anderen Brandabschnitt und IT-Segment. Als zusätzliche Option, zum Beispiel um eine bessere Skalierbarkeit zu gewährleisten oder für den Transport wichtiger Meldungen, können zwei Geräte auch direkt miteinander kommunizieren (Direct Connect). Hierbei übernehmen die Geräte untereinander die gegenseitige Authentifizierung.
Für einen Fernzugriff von außen über das unsichere Internet können PH und FH auch außerhalb der Liegenschaft in Cloudsystemen gehostet werden. Die lokale Firewall ist in Bezug auf die notwendige Konfiguration ebenfalls sehr „IT-freundlich“ und damit unkompliziert zu betreiben. Lediglich der ausgehende HTTPS-Verkehr muss freigegeben sein, was jedoch in den meisten IT-Netzwerken bereits konfiguriert ist.