IT-Sicherheit in der Gebäudeautomation

Die Gebäudeautomation (GA) im IT-Umfeld wird zunehmend bedroht durch Schadensszenarien wie Sabotage, Spionage und das Aufspielen von Malware. Dies kann ungeschützt zu Datenmanipulation, Datenverlust und zum Ausfall der Gebäudeautomation mit Folgen wie Personenschäden oder Einschränkung des Geschäftsbetriebs (z. B. Produktionsausfall, Unbenutzbarkeit des Gebäudes) oder Vermögensschäden führen.
Das im Juli 2016 veröffentlichte VDMA-Einheitsblatt 24774 „IT-Sicherheit in der Gebäudeautomation“ soll dabei helfen, die Bedrohung durch Cyberangriffe zu erkennen, zu vermeiden oder deren Auswirkungen zu minimieren. Es soll Planer, Errichter und Betreiber dabei unterstützen, Maßnahmen für IT-Sicherheit von neuen oder schon errichteten GA-Systemen umzusetzen. Dies betrifft den gesamten Lebenszyklus inklusive Wartung, Service und Rückbau.

Systeme wurden geöffnet
Der Auslöser für die wachsende Bedrohung und die Aktualität des Themas IT-Sicherheit in der GA liegt in der technologischen Entwicklung. In der gesamten Automatisierungstechnik wird seit längerer Zeit immer mehr Intelligenz in immer tiefere Ebenen verbaut. SPS und Automationsstationen haben sich längst zu branchenspezifischen Kleinstcomputern mit eingebettetem Betriebssystem entwickelt. Für die Kommunikation wurden als Folge weitgehend die bestehenden Technologien der allgemeinen IT übernommen. Auch bei den Feldgeräten hält der Trend zu immer mehr integrierter Intelligenz und immer höherwertigen Kommunikationstechniken an.
Durch die physische Verbindung der GA mit den technischen Einrichtungen eines Gebäudes (HLK-Anlagen, Beleuchtung, Zutrittskontrolle, Feuertüren usw.) ergibt sich, gegenüber der allgemeinen IT, eine erweiterte Dimension bei den Folgen dieser Bedrohung. Nicht nur Daten können manipuliert oder geändert werden, ein unerwünschter Zugriff kann sich bis hin zu den sicherheitsrelevanten technischen Einrichtungen des Gebäudes auswirken. Bei krimineller Absicht können die Folgen entsprechend schwerwiegend sein.
Die Bedeutung der Bedrohung hängt stark vom Typ und der Nutzung des betroffenen Gebäudes ab. Nicht alle Gebäude sind gleich interessant für Angriffe und gleich sensibel für deren Folgen. GA-Systeme steuern und regeln unter anderem kritische Infrastrukturen, wodurch bei einem Cyberangriff größere wirtschaftliche Schäden oder Personenschäden entstehen können.
Die Sicherheitsvorkehrungen müssen dem Risiko angepasst sein. Eine projektspezifische Risikoanalyse ist in jedem Fall unerlässlich. Grundsätzliche Maßnahmen sollten in allen Anlagen vorgesehen werden.
Ergänzend zu den Grundschutzkatalogen des BSI beschreibt das VDMA-Einheitsblatt 24774 die wichtigsten Maßnahmen zur Erhöhung der IT-Sicherheit in der Gebäudeautomation.