Gefahrenabwehr für Technik in Gebäuden und Liegenschaften

Vor einigen Monaten referierte ein hochrangiger Offizier der Cybertruppe der Bundeswehr, dass ihm nicht die Verwundbarkeit von Flugzeugen, Panzern oder Schiffen durch Cyberangriffe Sorgen bereitet, sondern die Anfälligkeit von Gebäuden und Liegenschaften für Angriffe aus dem Internet. Diese Einschätzung gilt ohne Einschränkung auch für den zivilen Sektor.

Moderne Gebäude enthalten viele Anlagen und Anlagenkomponenten, die die Betriebs-IT des Gebäudes bilden. Diese Betriebs-IT – im Technik-Slang als „OT“ (Operational Technology) bezeichnet – wird zur Steuerung und Überwachung der technischen Anlagen des Gebäudes und für die Sicherheitstechnik im Gebäude benötigt und betrieben.

Mittlerweile gleicht die Gebäude- und Sicherheitstechnik in ihrer Komplexität und in ihrer Durchdringung mit Informationstechnik durchaus fortschrittlichen, industriellen Produktionsanlagen. Ein Bürogebäude auf aktuellem technischem Stand ist nur dann nutzbar, wenn die OT, also die „Gebäude-IT“, die die Funktionalität und die Sicherheit des Gebäudes steuert und überwacht, so läuft, wie sie laufen soll.

Angefangen bei der Lüftung und Heizung über Zutrittskontrolle und Videotechnik bis zur Brandmeldeanlage wird eine Menge von klassischer Technik in immer engerem Zusammenwirken mit Informationstechnik zum Betrieb des Gebäudes erforderlich.

Diese OT als Mischung aus Gebäudetechnik und Informationstechnik zur Betriebsführung eines Gebäudes erfordert ein ebenso hohes Maß an Cybersicherheit wie die klassische Informationstechnik oder die Industrie 4.0.

Gefahren aus dem Internet

Der Begriff „Cybersicherheit“ betrachtet einen vergleichsweise neuen Aspekt des Themas Sicherheit. Die „klassische“ Sicherheit betrachtet vor allem Risiken durch das Versagen von Technik, durch Fehlhandlungen von Personen oder durch Ereignisse aus höherer Gewalt. Der Schwerpunkt der Cybersicherheit liegt dagegen auf der Betrachtung und Bekämpfung von Gefährdungen durch vorsätzliche und böswillige Handlungen Dritter. Cybersicherheit betrachtet gewiss auch die Risiken aus Natur und Technik, richtet den Fokus aber auf gezielte und ungezielte Angriffe aus IT-Netzen und dem sogenannten Cyberraum.

Cybersicherheit ist unverzichtbarer Bestandteil, jedoch auch beachtlicher Kostentreiber des Betriebs handelsüblicher IT. Vor allem die Absicherung der Unternehmens-IT (Buero-IT) gegen Ransomware beschäftigt IT-Abteilungen weltweit – leider nicht immer mit ausreichendem Erfolg.

Cybersicherheit spielt auch eine Rolle bei der Digitalisierung der Produktion, der so genannten Industrie 4.0. Frühzeitig wurde erkannt, dass bei allem Fortschritt, der durch Digitalisierung von Konstruktion und Produktion erreicht werden kann, ein Bündel neuer Gefährdungen droht, dem man bei der Entwicklung solcher Systeme hohe Aufmerksamkeit schenken muss.

Diebstahl geht auch virtuell

Bei der Gebäudetechnik und Gebäudeautomation werden offensichtliche Vorteile der Digitalisierung wie preiswerte Fernwartung und Fernüberwachung gern in Anspruch genommen. Die damit verbundenen Risiken interessieren jedoch Eigentümer, Planer, Betreiber oder auch die HOAI nicht.

An dieser Stelle muss also Aufklärung her: In der physischen Welt wird ein Gebäude seit jeher als geschlossen betrachtet. Es besitzt eine widerstandfähige Hülle, in der kontrollierte Zugänge in Gestalt von Toren und Türen geschaffen sind. Diese Zugänge müssen aushalten können, was als Angriff zu erwarten ist.

Wie widerstandsfähig eine Tür ist, welche Art von Schlüssel gebraucht würde, ob hinter ihr eine zweite Tür liegt, ob eine Einbruchmeldeanlage lauert, all das kann der Einbrecher nur vor Ort erkennen und erproben.

Einbruch durch den Fernwartungszugang

Wenn ein Gebäude auch virtuell betreten werden kann, weil z. B. ein Fernwartungszugang zur Heizungs- und Lüftungstechnik vorhanden ist, dann ist das ein Zugang zu einem (physisch) gesicherten Technikraum. Welche Tür und welches Schloss (d. h. welche Fernwartungssoftware) eingebaut sind, kann weltweit jeder nachschauen. Verraten wird das z. B. die Suchmaschine „shodan.com“. Deren Zweck ist, jedes Gerät zu identifizieren und anzuzeigen, das im Internet sichtbar ist.

Mit diesen Angaben ließe sich dann versuchen, Schloss und Tür zu öffnen. Bei einigen Türen und Schlössern ist das sehr einfach: ein veralteter Windows-PC mit der Windows-Fernzugriffssoftware RDP ist kein Hindernis für kundige Angreifer, dennoch gar nicht so selten im Einsatz.

Oft ist diese schwache erste Tür nicht das einzige Problem. Hinzu kommen fehlende Cyber-Einbruchmeldeanlagen und die fehlende Trennung in gesicherte Räume. Wenn die OT-Gerätschaften für Betrieb und Sicherheit in einem lokalen Netz zusammengefasst sind, dann stehen dem Einbrecher, der gerade zur Heizung gelangt ist, auch die Wege zur Einbruchmeldeanlage und zur Zutrittskontrolle frei. Was er an diesen Geräten erreichen kann, ist oft vom Können der Errichter abhängig.

Die von zur Mühlen’sche GmbH (VZM), Bonn, arbeitet seit mehreren Jahren gemeinsam mit Bauherren und Betreibern daran, das neue Problemfeld Cybersicherheit der Gebäude-OT zu überblicken und typische Fehler zu vermeiden. Die nachfolgend beschriebenen Maßnahmen haben sich dabei für die Schaffung eines angemessenen Maßes an Cybersicherheit für die Betriebs-, Steuerungs- und Sicherheitstechnik von Gebäuden als unabdingbar herauskristallisiert.

Zuständigkeit für OT in die richtigen Hände

So wie sich ein Brandschutzbeauftragter von Anfang an um den Schutz von Gesundheit und Leben aller Menschen im zukünftigen Gebäude Gedanken macht und die Planung begleitet und bewertet, so muss sich ebenso frühzeitig ein Mensch mit passender Vorbildung Gedanken um die Cybersicherheit von Haus und Technik machen. Häufig muss in der zuständigen Abteilung Facility Management auch erst einmal Wissen zu diesem Thema aufgebaut werden.

Physische Sicherheit der OT

Komponenten der OT müssen sicher stationiert sein. Das heißt, sie müssen in gesicherten Räumen unter IT-tauglichen Bedingungen betrieben werden. Vor allem muss die Elektroversorgung der Geräte den Ansprüchen der Technik und Funktion entsprechen, die sie steuern. Gefahrenmeldeanlagen müssen auch einen lang dauernden Stromausfall ohne funktionale Einschränkung überstehen. Redundante Versorgungsstränge für Strom und Daten stellen sicher, dass ein punktueller Schaden im Gebäude keine wichtigen Funktionen im gesamten Gebäude gravierend stört oder ausfallen lässt.

OT-Sicherheitsarchitektur/Netztrennung

Von Beginn an muss eine Netzarchitektur für das OT-Netz geschaffen werden, die einerseits das Schadenpotenzial der OT und vor allem der durch die OT gesteuerten und überwachten Anlagen beachtet, andererseits Anforderungen und Wünsche an den Betrieb realisierbar macht.

• Ausgehend von einer Risikobetrachtung muss mit Blick auf die Technik, die im Gebäude zum Einsatz kommt oder kommen soll, und mit Blick auf die Anforderungen an Betrieb und Nutzung der Gebäudetechnik – und damit der Gebäude-OT – eine Architektur für das „OT-Netz“ entwickelt werden.
• Dieses OT-Netz ist ein virtuelles oder physisches Netz, abgetrennt von der „normalen“ IT. In sich wird es wiederum durch Kontrolle (= Firewalls) und Überwachung (= Monitoring) in Schutzzonen gegliedert. So wird „offene“ Gebäude-OT, die wenig kritisch ist (z. B. Präsentations- und Veranstaltungstechnik) von der wirklich kritischen OT (z. B. Zutrittskontrolle, Einbruchmeldeanlage) abgeschottet.

Inventarisierung der OT-Konfiguration

Ein Problem, das alle dem Verfasser dieses Artikels bekannten Gebäude mit ihrer OT aufweisen, ist das Fehlen einer brauchbaren Dokumentation. Weder zur Errichtung und erst recht nicht mehr im laufenden Betrieb werden die Komponenten so detailliert dokumentiert, dass grundlegende Abläufe des Betriebs der Systeme, wie die systematische Identifikation und Behebung (oder zumindest Entschärfung) von Schwachstellen, möglich wären.

Ein ausreichend detailliertes Inventar von Hard- und Software ist jedoch die Grundlage aller Bemühungen um die Cybersicherheit.

Lieferanten und Dienstleister verpflichten und einbinden

Je stärker der Glaube daran ist, dass das eigene OT-Netz abgeschottet von allen anderen Netzen und vor allem vom Internet ist, desto argloser wird zugelassen, dass Wartungstechniker sich mit dem mitgebrachten Notebook per USB in das Netzwerk einklinken. Und von Fernwartungszugängen des Lieferanten ist oftmals wenig mehr bekannt als deren Existenz.

Verträge mit Dritten müssen Vorgaben machen, wie sie Zugriff auf „ihre“ Technik erhalten.

Betriebssichere Konfiguration der OT herstellen und testen

Die ersten Schritte hin zu einem sicheren IT/OT-Betrieb bestehen darin, Standardeinstellungen wie Passwörter zu ändern und nicht benötigte Dienste dauerhaft zu deaktivieren.

Es muss Bestandteil der Abnahme des Gebäudes samt seiner Gebäude- und Sicherheitstechnik werden, durch Kontrollen und Testwerkzeuge festzustellen, dass keine vermeidbaren Schwachstellen und Sicherheitslücken aus der Errichtung übrigbleiben.

Diese erste „sichere“ Konfiguration der OT muss detailliert vorzugsweise in einer Konfigurationsdatenbank dokumentiert und gespeichert werden, inklusive aller zum Betrieb erforderlicher Daten und Informationen.

Sicherer OT-Betrieb

Mindestanforderung an einen sicheren Betrieb ist die Fähigkeit, Ereignisse rechtzeitig zu bemerken und zu bewerten. Fast alle Geräte und Anwendungen protokollieren intern („Logging”) und es gibt bewährte Lösungen, um übergreifend das Zusammenwirken einzelner Komponenten zu beobachten („Monitoring”). Solche Instrumente müssen zielgerichtet eingesetzt werden.

Zum Zweiten müssen die häufigen Änderungen, die der Betrieb mit sich bringt, kontrolliert durchgeführt und auch dokumentiert werden. Dieser „Change-Management“-Prozess ist die einzige Chance, die Dokumentation aller Komponenten aktuell zu halten oder – gröber ausgedrückt – den Durchblick durch die üblicherweise komplexe OT-Informationstechnik zu behalten.

Backup und Restore

Ein heikles Thema ist immer die Datensicherung. Während es bei „normalen“ Bestandteilen der Gebäude-OT wie PC und Servern noch klar sein mag, was wie oft gesichert werden muss, ist das bei Anlagenteilen wie Prozessrechnern oder der „Firmware“ irgendwelcher Komponenten überhaupt nicht klar.

Unklar ist oft nicht nur das „Wie oft“ bei der nötigen Frequenz einer Datensicherung, sondern vor allem das „Wie“ bei einer Rücksicherung. Die Wiederherstellung eines Verzeichnisses oder einer virtuellen Maschine ist eher einfach. Die Wiederherstellung einer Anlagensteuerung muss hingegen nicht nur gut dokumentiert sein, sondern sogar geübt werden, damit sie auch im Notfall funktioniert.

Schutz vor Schadsoftware

Cybersicherheit befasst sich mit dem Schutz vor Angriffen auf bekannte Schwachstellen. Damit diese Schwachstellen nicht nur den Angreifern, sondern auch den Verteidigern bekannt sind, muss sich jemand mit Informationsquellen zum Thema befassen.

Auf Grundlage der eigenen Bestandsdokumentation muss verfolgt werden, ob neue Schwachstellen in eingesetzten Produkten bekannt wurden und welche Gegenmaßnahmen für die eigene OT-Landschaft möglich und wirksam sind.

Geringere Bedeutung sollte nach Einschätzung des Verfassers der immer noch beliebten Anti-Viren-Software zugemessen werden. Ein Verzicht auf Windows-PC und -Server mit ihrer überkomplexen Active-Directory-Infrastruktur und ein gut strukturiertes OT-Netz mit nachvollziehbaren Übergängen zwischen Teilnetzen sind gewiss wirksamer als ein scheinbarer Schutz durch AV-Software.

Benutzermanagement/Authentisierung

Der Zugriff auf Anwendungen im OT-Netz ist oft auch ein direkter Zugriff auf die Steuerung von Anlagen und Geräten. Selbstverständlich muss organisatorisch geregelt und technisch umgesetzt werden, wer wann und was bedienen darf. Das gilt für den Zugriff „vor Ort“ und erst recht für den Zugriff aus der Ferne (Remote Access).

In der Praxis stößt man allerorten auf Sammelaccounts für jeden, der gerade einmal etwas nachsehen muss, auf Anmeldungen als „administrator“ mit dem Kennwort „123456“ und auf aus dem Internet erreichbare Remote-Desktops in unklarer Konfiguration.

Obsoleszenz-Management

Die Sorge um die Lebens- oder Nutzungsdauer von Produkten und Leistungen ist ein Thema, das die Büro-IT nur am Rande beschäftigt. Die OT jedoch, also die IT rund um „konventionelle“ Technik, hat viel kürzere Lebenszyklen als die Gebäude- und Sicherheitstechnik, die mit ihr überwacht und gesteuert wird.

Das gilt für die sichtbare IT und noch mehr für die unsichtbaren, in Geräten und Anlagen eingebauten IT-Komponenten zur Bedienung, Steuerung und Überwachung.

Angefangen vom vertraglich vereinbarten, vom Lieferanten garantierten Support, bis zu einem festgeschriebenen Zeitpunkt, der darauffolgenden „Updatefähigkeit“ eines Produkts, sowie Mitarbeiterinnen und Mitarbeitern, die wichtiges Wissen nicht mit in den wohlverdienten Ruhestand nehmen dürfen, muss die Verfügbarkeit von Technik und Informationen konstant sichergestellt werden.

Tests und Audits

„Vertrauen ist gut, Kontrolle ist besser“, ein guter Spruch eines schlechten Menschen! Sei es der Bestand an Hard- und Software, irgendwelche Schutzmechanismen und Konfigurationen oder die Liste der berechtigten Benutzer – all das muss regelmäßig geprüft werden. Nur so lässt sich ein angestrebtes Niveau an Sicherheit halten oder gar verbessern.