Die Gebäudezukunft ist smart: Buildings regeln ihre Heizung, Lüftung und Klimatisierung selbst. Sie schalten das Licht nach der Außenhelligkeit in die richtige Beleuchtungsstärke. Öffnen und schließen Türen und bieten weitere Annehmlichkeiten über Augmented Reality oder Apps, wie Betreiber, Nutzer oder Bewohner es möchten. Grundlage ist das Internet der Dinge (IoT), das auch anfällig für Sicherheitsrisiken ist. Worauf kommt es also in Sachen Cyber Security bei Smart Buildings an?

 

Damit aus einem Gebäude ein Smart Building wird, müssen technische Anlagen und Bauteile miteinander oder mit dem Internet vernetzt und Prozesse digitalisiert sein. Dann handelt es sich um ein intelligent vernetztes Gebäude, dessen Komponenten sich durch Gebäudemanagementsysteme bequem und zentral steuern lassen.

Das Internet der Dinge (IoT) als vernetztes Fundament

Die Grundlage für solch vernetzte Gebäude ist das Internet der Dinge (IoT), das in Kombination mit digitalen Steuerungs- und Automatisierungstechnologien vor allem mehr Komfort und Energieeinsparungen möglich macht. Das Prinzip klingt einfach: Als Teil des IoT mit einer Vielzahl an Sensoren und Geräten können Gebäudesysteme als Infrastruktur dienen, die wichtige Daten liefert, damit Aktoren dynamisch auf Gegebenheiten (Wetter, Außenhelligkeit, Temperatur etc.) reagieren können.

Smart-Building-Cyber-Security

Mittlerweile hat sich der Trend dahingehend entwickelt, dass Systeme dieser Art durchgehend vernetzt werden. Zum Beispiel soll der Fernzugriff für Betreiber von außen möglich sein, was durch einen Anschluss an das Internet realisierbar ist. Das eröffnet jedoch auch Problemstellen und Gefahren, die das Netzwerk im Vergleich zu den anfangs geschlossenen Systemen unsicherer machen: Angreifer können die steigende Vernetzung und Dynamik nutzen, um in Systeme einzudringen, vernetzte Geräte zu missbrauchen und reale Schäden zu verursachen.

Risiken für IoT-Geräte im Überblick

Vernetzung, Automatisierung und digitale Kontrolle bieten also funktionelle und betriebliche Vorteile – sie führen aber auch neue Risiken für die Cyber Security ein.

Manipulation von Überwachungssystemen: Angreifer können Überwachungssysteme außer Betrieb setzen oder die Kontrolle übernehmen.

Außerbetriebnahme kritischer physischer Systeme: Angreifer können auf Aufzugssteuerungssysteme, Tore oder das gesamte Stromversorgungssystem zugreifen und diese beschädigen.

Übernahme der Kontrolle angeschlossener IP-Geräte: Angreifer können die Kontrolle über angeschlossene Geräte wie Kameras übernehmen, um sensible Daten abzurufen oder als internen Angriffsvektor zu verwenden.

Ein reales Beispiel ist die IoT-Malware Mirai, die Geräte wie Router, Kameras, Smart-TVs oder andere Systeme infiziert und sie dazu zwingt, sich an einen Steuerungsserver zu melden. So werden die infizierten Systeme Teil eines Botnetzes und können ferngesteuert werden, um kriminelle Aktivitäten wie DDoS-Angriffe auszuführen.

Diese Herausforderungen gesellen sich zu den bestehenden IT-Risiken, wie die Kompromittierung sensibler Daten (z. B. der Bewohner) oder auch unbeabsichtigten Missgeschicken wie dem Öffnen eines schadhaften Anhangs hinzu. Und so müssen sich Bauherren, Planer und Betreiber von Smart Buildings auch der Sicherheitsproblematik bewusst sein: Vernetzte Gebäude und Geräte können missbraucht werden und im schlimmsten Fall können konkrete Schäden verursacht werden. Wie aber kann man dem entgegenwirken?

Verhalten & Sichtbarkeit: Ansätze für Cyber Security in Gebäuden

Der wichtigste Sicherheitsaspekt bei der Digitalisierung von Gebäuden ist der Zugang zu den Daten, die hier erhoben werden. Dafür ist es unumgänglich, Nutzerrollen klar zu definieren und Zugriffe über ein Access Gateway zu authentifizieren. Weder sollen Bedrohungen von außen hineingelangen, noch soll sich eingeschleuste Malware über das interne Netzwerk verbreiten können. Und um das Konzept abzurunden, ist auch eine hohe Sichtbarkeit sämtlicher Sicherheitsvorgänge gefragt.

Sicherheit nach außen: Damit das Gebäude-Netzwerk über die gesamte Infrastruktur abgesichert ist, sollten sämtliche Verbindungspunkte durch Virtual Private Networks (VPNs) oder Access Gateways geschützt sein. Vereinfacht gesagt, wird dadurch verhindert, dass einzelne IoT-Komponenten nach außen sichtbar oder erreichbar sind.

Sicherheit im Inneren: Um die interne Ausbreitung von Schadsoftware zu verhindern, wird das interne Netzwerk in einzelne Segmente aufgeteilt, die untereinander durch Firewalls abgesichert sind. Die als Mikrosegmentierung bezeichnete Technologie führt dazu, dass bestimmte Gebäudesysteme in einem Subnetz zusammengefasst und von anderen getrennt sind, um sie einzeln abzusichern.

Zentralisierte Sichtbarkeit: Wenn sämtliche Sicherheitsoperationen des Gebäudes in einem zentralen Security Operations Center (SOC) zusammenlaufen, lässt sich rund und um die Uhr und über alle Systeme hinweg ein Sicherheitsbewusstsein schaffen. Indem alle Systeme z. B. über Dashboards visualisiert sind, hat man im Falle eines Angriffs segmentübergreifende Informationen zur Hand.

 

Cybersecurity-in-smarten-Gebauden

Und was ist mit den Kosten?

Klar ist: Smart Buildings werden unsere Städte prägen und die Sicherheit darf dabei nicht außer Acht gelassen werden – surfen Sie doch einfach mal bei der IoT-Suchmaschine Shodan vorbei und verschaffen Sie sich einen kleinen Eindruck darüber, welche Geräte im Internet der Dinge sichtbar und potentiell angreifbar sind. Und klar ist auch, dass es Sicherheit für Smart Buildings nicht umsonst geben kann. Der größte Hebel für Bauherren und Planer ist es, den Sicherheitsaspekt von Anfang an mitzudenken. Denn so lassen sich nachträgliche und wohlmöglich teure Integrationen vermeiden. Aber natürlich gilt, dass sich Sicherheit und Komfort die Balance halten müssen: Das Cyber-Security-Konzept muss sich in der Größenordnung und dem Funktionsumfang nach dem Smart Building richten und nicht andersrum.

Standardlösungen gibt es dafür nicht. Es kommt auf die Anforderungen an. Und wenn Sie dazu Fragen haben, können Sie ja immer noch auf die Cyber Security Kompetenz unserer Experten bauen.