Nutzung von Zertifikaten

Für die Verwendung des TLS1.3-Standards werden X.509-Zertifikate eingesetzt. Damit sich Geräte gegenseitig vertrauen können, werden diese von einer zentralen Certificate Authority (CA) unterzeichnet. Legt ein Teilnehmer dem Hub das Zertifikat vor, prüft dieser unter anderem, ob das Zertifikat gültig und nicht abgelaufen ist und ob dieses von der gemeinsamen CA beglaubigt wurde.

Die CA muss dabei nicht von einem externen Anbieter bereitgestellt werden, sondern kann lokal als Teil der IT-Infrastruktur betrieben werden. Dabei kann zum Beispiel die offene Software „OpenSSL“ eingesetzt werden. Allerdings ist auch hier auf ausreichenden Zugriffsschutz zu achten, da andernfalls die Sicherheit kompromittiert werden könnte.

Organisatorische Herausforderungen für die Gebäudeautomation

Aus den vorgenannten technischen Anforderungen ergeben sich für die Praxis viele neue organisatorische Aufgaben und Herausforderungen. Cyberzertifikate sind nur dann sicher, wenn diese regelmäßig getauscht werden, Zertifikate mit sehr langer (z. B. mehrere Jahre) oder sogar unbegrenzter Gültigkeit sind wertlos. Läuft ein Zertifikat eines Geräts ab und wurde es nicht erneuert, kann mit diesem Gerät nicht mehr kommuniziert werden, so lange, bis das Zertifikat erneuert wurde. Damit stellt sich in Projekten bereits die Frage, wer für diese Aufgaben verantwortlich ist und diesen Austausch regelmäßig durchführt – der Systemintegrator im Rahmen der jährlichen Wartung, der Facility Manager oder die IT.

Damit dieser Vorgang automatisiert werden kann, legt der Bacnet-Standard ein Verfahren fest, bei dem ein Gerät einen Zertifikatsantrag (CSR, Certificate Signing Request) als Datei erstellt. Diese wird dann per Dateitransfer an die CA übertragen, dort signiert und als unterschriebenes Zertifikat wieder an das Gerät zurück übertragen. Mit diesem Verfahren gelingt der Austausch der Zertifikate ohne nennenswerten Aufwand und kann daher in regelmäßigen Intervallen wiederholt werden.