Cybersicherheit in der Gebäudeautomation

Bacnet wurde seit 1987 mit dem Anspruch einer möglichst hohen Interoperabilität und damit verbunden einer großen Offenheit in der Kommunikation – auch über Herstellergrenzen hinweg – entwickelt. Bereits in der ersten Revision des Bacnet-Standards im Jahr 1995 wurde das Thema Cybersicherheit spezifiziert (damals mit einer DES56-Verschlüsselung). Mit dem Addendum-G folgte 2008 bis 2010 ein weiterer Ansatz, der sich jedoch als wenig praxistauglich erwiesen hat. Im Jahr 2019 wurde dann nach intensiver Spezifikationsarbeit Bacnet Secure Connect (Bacnet/SC) in der Revision 22 standardisiert. In der Revision 24 wurde als Erweiterung ein Verfahren festgelegt, mit dem Zertifikate ausgetauscht bzw. erneuert werden können. In der Revision 29 wurde darüber hinaus festgelegt, wie Benutzer oder Benutzerrollen authentifiziert und für bestimmte Zugriffe autorisiert werden können.

Cybersicherheit war und ist bisher eher optional, daher sind viele der heute im Betrieb befindlichen Netzwerke nicht oder nur wenig gegen Cyberangriffe geschützt. Mit gesetzlichen Anforderungen wie dem CRA (Cyber Resiliance Act) oder NIS-2 (Network and Information Security Directive 2) kommen daher in Kürze auf alle Beteiligten neue Herausforderungen und Verantwortlichkeiten hinzu.

Technischer Überblick zu Bacnet/SC

Bacnet/SC wurde als weitere Netzwerkoption (Data-LinkLayer) dem bestehenden Standard hinzugefügt, was insbesondere die Migration bestehender Netzwerke (z. B. MS/TP oder Bacnet/IP) durch Bacnet-Routing ermöglicht. Verwendet wird TCP/IP (bei Bacnet/IP kam UDP/IP zum Einsatz). Dies kommt vielen Wünschen von IT-Verantwortlichen entgegen. Für die Authentifizierung der Geräte und die Verschlüsselung der Nachrichten wurde der aktuelle Standard TLS 1.3 (TLS = Transport Layer Security) verpflichtend festgelegt. Optional können zwar auch ältere (zum Teil bereits als unsicher eingestufte) Standards wie TLS 1.0 verwendet werden, wofür es im Praxiseinsatz jedoch nur wenige Anwendungsfälle gibt.

Neben dem Internetprotokoll IPv4 kann auch IPv6 zum Einsatz kommen. Jedes Netzwerkmedium, welches IP-Telegramme transportieren kann, ist also für den Einsatz von Bacnet/SC nutzbar (z. B. Ethernet-Netzwerke, W-LAN, 4G/5G-Mobilfunk, usw.). Für den Datenaustausch selbst wird das Websocket-Protokoll verwendet, ein in der IT akzeptierter und häufig genutzter Standard.

Grundlagen verschlüsselter Kommunikation

Eine besondere Herausforderung bei verschlüsselter Kommunikation besteht darin, dass sich zwei Partner über eine unsichere Verbindung (z. B. das Internet) auf eine gemeinsame Verschlüsselung verständigen müssen. Dies geschieht durch sogenannte Private/Public-Schlüsselpaare. Der private Schlüssel verbleibt als besonders schutzwürdig innerhalb des Geräts – optimal ist die Verwendung eines TPM (Trusted Platform Module), entweder als Chip oder als Software. Der öffentliche Schlüssel kann über unsichere Infrastrukturen offen kommuniziert werden, dieser darf für jeden sichtbar sein.

Mithilfe komplexer mathematischer Einwegfunktionen berechnen beide Kommunikationspartner mit ihrem internen privaten Schlüssel und dem öffentlichen Schlüssel des Gegenübers ein gemeinsames „Geheimnis“, kommen also auf dasselbe mathematische Ergebnis. Dieses wird dann für die verschlüsselte Kommunikation verwendet. Die eingesetzten mathematischen Einwegfunktionen sind sehr leicht zu berechnen, die Rückrechnung jedoch benötigt mit den heutigen Rechenleistungen Jahrzehnte oder sogar Jahrhunderte. Die in Zukunft evtl. zur Verfügung stehenden Quantencomputer könnten den Zeitbedarf für die Entschlüsselung zwar drastisch reduzieren, aber auch für diese Fälle gibt es bereits Vorkehrungen in der Cybersicherheit (Post-Quanten-Kryptografie, PQC).