Cyber Security in der Gebäudeautomation durch BACnet/SC
Freiburg, 30.06.2025 (lifePR) - Effiziente und herstellübergreifende Gebäudeautomation wurde mit BACnet erst möglich und praktikabel. Der international genormte Kommunikationsstandard der Gebäudeautomation hat sich durchgesetzt, musste aber noch um einen zusätzlichen Netzwerk-Layer erweitert werden. Denn im Zeitalter gebäudeübergreifender Vernetzung und zahlreicher Remote-Verbindungen muss der zuverlässige Schutz vor unbefugtem Zugriff auf die eingesetzte IT-Funktionalität und Infrastruktur auch in BACnet-Netzwerken der Gebäudeautomation gewährleistet sein. Dank BACnet/SC haben Cyber-Kriminelle keine Chance.
Digitale Angriffe auf kritische Infrastrukturen machen immer wieder Schlagzeilen. Die meisten denken dabei an Ransomware oder Identitätsdiebstahl in klassischen Büronetzwerken. Jedoch kann ebenso die moderne Gebäudeautomation heute ins Visier von Kriminellen geraten. Gelingt es ihnen, die Kontrolle über die Gebäudeautomation zu erlangen, können sie beispielsweise durch Manipulation der Heizungs-, Lüftungs- und Klimaanlagen die Gebäudenutzung stark beeinträchtigen oder sogar ganze Rechenzentren lahmlegen. Nach VDI3814 und dem VDMA EB 24774 ist es daher bei jeder Gebäudeplanung vorgeschrieben, die Cyber Sicherheit der Gebäudeautomation im Rahmen einer Risikoanalyse zu bewerten.
BACnet unentbehrlich für effiziente Gebäudeautomation
Natürlich ermöglicht ein standardisierter und offener M2M-Kommunikationsstandard wie BACnet mehr Angriffsvektoren als ein einzelner Schaltschrank mit Knebelschaltern und Folientastatur im Keller. Die Kommunikation aus Sicherheitsgründen zu unterbinden oder gar wieder auf proprietäre Standards zurückzugreifen, wäre indes keine gute Idee. Eine intelligente Gebäudeautomation ist heute ein hoch komplexes Regelsystem, das neben klassischen Messwerten zum Beispiel auch Informationen über Raumplanung und -belegung, Heizung, Lüftung und Beleuchtung oder Wetterdaten mit einbeziehen kann – und somit das Smart Building zu einem energie- und kosteneffizienten wie auch benutzungsfreundlichen Gebäude verwandelt. Außerdem sind Fernwartung oder eine integrative Analyse aller aufgezeichneter Gebäudedaten zur Gebäudeoptimierung heute Standard – und wären ohne BACnet kaum vorstellbar.
BACnet/SC: next Step in Sachen Cyber Security
Daher war es nur logisch, gängige Daten- und Sicherheitsstandards wie TCP/IP und TLS 1.3 auch auf die Gebäudeautomation zu übertragen, wie beim mittlerweile ebenfalls etablierten BACnet/SC (BACnet Secure Connect). Hierbei handelt es sich um einen reinen Transport-Layer, vollständig abwärtskompatibel zum restlichen Standard-BACnet. Das bedeutet in der Praxis: Alle BACnet-Dienste, -Objekte und -Properties bleiben gleich, sodass keine Änderungen an der Gebäudeautomationsprogrammierung der HKL-Funktionalität erforderlich sind. Auch die Hardware-Anforderungen der IT-Infrastruktur bleiben unverändert: BACnet/SC basiert auf den üblichen CAT5e/CAT6-Verkabelungen oder Lichtwellenleitern. Das GA-Netzwerk muss lediglich um eine zusätzliche zentrale Komponente, den BACnet/SC-Hub, erweitert werden. Um einen Single Point of Failure zu vermeiden, kann dieser BACnet/SC-Hub auch redundant ausgelegt werden.
Mit dem BACnet/SC-Hub als abgesicherte Kommunikationszentrale können BACnet/SC-fähige Geräte und Systeme aus der Gebäudeautomation über sicher verschlüsselte Datenverbindungen in moderne IT-Infrastrukturen integriert werden. Bei der M2M-Kommunikation kommen öffentliche und private Schlüssel zum Einsatz, wie man sie auch von HTTPS-Connects im Internet kennt. BACnet/SC verfügt sogar über eine eigene Geräteauthentifizierung.
Bei einer BACnet/SC-Planung ist ein Novum zu beachten: Es werden TLS-Zertifikate benötigt. Diese müssen regelmäßig aktualisiert werden, sonst kann es zu Sicherheitslücken und Kommunikationsunterbrechungen kommen. Wird der Zertifikatswechsel manuell vorgenommen, empfehlen Fachkundige eine Zertifikats-Lebensdauer von 18 Monaten.
BACnet/SC: sicher und einfach zu implementieren
Vollständige Abwärtskompatibilität und bewährte Standards machen eine Implementation von BACnet/SC in bestehende Systeme oder Neuplanung beherrschbar. Daher sollte BACnet/SC beispielsweise bei kritischen Infrastrukturen (KRITIS) Standard werden. Auch auf niedrigeren Sicherheitsebenen empfiehlt es sich, auf BACnet/SC als Übertragungsstandard zurückzugreifen, sobald die Gebäudeautomation den separierten, vertrauenswürdigen Bereich verlässt, etwa bei Anbindung weiter entfernter Gebäudeteile und Liegenschaften oder bei Cloud-Anwendungen. BACnet/SC macht hierbei eine zusätzliche VPN-Technologie überflüssig. Vorhandene BACnet/IP Segmente können in Bestandsprojekten direkt über BACnet/IP zu BACnet/SC-Router in eine neue BACnet/SC-Kommunikation integriert werden.
SAUTER Deutschland bietet BACnet/SC fähige GA-Komponenten und rät, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), bei Gebäuden mit einem erhöhten Cyber-Sicherheitsbedarf zu einer solchen BACnet/SC-Architektur. Das Unternehmen berät und unterstützt Kunden von der Planung bis zum täglichen Betrieb bei ihrer individuellen Cyber-Sicherheitsstrategie und der Umstellung auf die gesicherte M2M-Kommunkation.
Nicht alle Gebäude sind naturgemäß für Angriffe gleich interessant und da sie auch nicht gleich verwundbar sind, ist eine projektspezifische Risikoanalyse in jedem Fall unerlässlich. Um einen Basisschutz der Gebäudeautomation zu gewährleisten, müssen dennoch grundsätzliche Maßnahmen in allen Anlagen vorgesehen werden.
