Deshalb ist das Gebäude auch eine private Cloud
Smarte Gebäude sind wie Rechenzentren schützenswerte Gebäude. Es braucht einen ganzheitlichen Sicherheitsansatz, damit virtuelle Einbrecher nicht weit kommen.
Er wirkt unverdächtig. Er steht einfach so da in den Wohnzimmern, vor dem Sofa. Doch mit den Geräten früherer Tage hat er nichts mehr gemein; Fernseher sind Computer mit direktem Internetanschluss. Intelligent also. Greift ein Hacker auf das Betriebssystem zu, ist es aus mit der Privatsphäre. Auch Häuser stehen unverdächtig im Ortsbild, man sieht ihnen nicht an, wie smart sie sind. Immer mehr werden mit Gebäudeautomation, mit Sensoren und Künstlicher Intelligenz smart gemacht. Das bedeutet gleichzeitig auch: Sie sind auf einmal verwundbar.
Räuber müssen keine Scheiben einschlagen, sondern Schwachstellen im Netzwerk ausnutzen. Wenn plötzlich der Heizungsregler hochdreht, der Fernseher heimlich mitlauscht oder die Waschmaschine in Gang gesetzt wird, mag das zuerst harmlos erscheinen. Doch was, wenn das eigentliche Ziel der Hacker ein anderes ist? Wenn sie die Kontrolle über sensibelste Bereiche und Daten übernehmen wollen? So lässt sich etwa über Alexa & Co. im WLAN Unfug treiben und ein smartes Türschloss öffnen, um vor der Tür wartenden Verbrechern leichten Zugang zum Gebäude zu gewähren.
IP-Technologien dringen vor
Bis 2025 werden nach Studien von Cisco 75 Milliarden Internet-of-Things-Geräte verbaut werden, oft ohne Security-Fokus. Neue Technologien sind ein Segen und Fluch zugleich. Mit zunehmendem Intelligenzgrad von Häusern, Büros und Wohnungen dringen Geräte vor, die per IP im Netzwerk hängen und via Cloud kommunizieren. Wasser-, Gas- und Strommesser etwa, Leuchtmittel, Solaranlagen, Ventilatoren, Lifte, Zutrittskontrollen und mehr. Im Zuge der Pandemie verbreiten sich langsam technologiegestützte Schutzsysteme, die beispielsweise via Collaboration-Technologie die Auslastung von Räumen messen und Abstände prüfen.
Gebäude stehen oft über Jahrzehnte und werden nach und nach aufgerüstet; ein Mix aus alten und neuen Technologien entsteht, eine durchgängige Sicherheitsplanung fehlt häufig. Oft sind die IT-Abteilungen nicht involviert, die ihr Wissen um die Datenströme und Cybersecurity-Risiken einbringen könnten. Fragezeichen bleiben im Raum, wer die Installationen kontrolliert, wer die Geräte und Steuerungselemente mit den neuesten Updates versorgt – wenn überhaupt Patches verfügbar sind. Den Zugang zum Netzwerk und zum Rechenzentrum sicherzustellen, sollte ein Aufgabe für Cybersecurity-Spezialisten sein. Es braucht nur ein schwaches Glied in der Kette, ein Sensor, der nicht mehr produziert und gepflegt wird und schon steht der Hacker mit einem Bein in der Tür.
Schnittstellen zur IT analysieren
Ein Gebäude mit Automatisierungskomponenten ist ein komplexes heterogenes System aus verschiedenen Standards, Technologien und Prozessen mit zahlreichen Abhängigkeiten. Es ist somit als Teil der Betriebstechnologie (Operational Technology, OT) zu betrachten, denn für Hacker sind Elemente der Gebäudeautomation interessant: Selbst das kleinste Schlupfloch kann sich im automatisierten Gebäude zum Einfallstor ausweiten. Somit muss die Gebäudeautomation selbst als "lebenswichtiger" Gebäudeteil betrachtet und geschützt werden. Erschwerend: Jedes Gebäude verfügt über ein einzigartiges Design auf architektonischer und technischer Ebene. Und wichtige IT-Komponenten werden oft offen untergebracht, bildhaft im Besenschrank oder unter dem Schreibtisch – anders als im Rechenzentrum, wo höchste Sicherheitsmassnahmen zum physischen Schutz der Infrastruktur wirken.
Der Aufbau des Automatisierungsservices ist entscheidend, dazu die sicherheitstechnische Beurteilung der Anlagen. Wie fast überall geht es zudem primär um die Frage, ob Computing nur innerhalb des Gebäudes betrieben oder Ressourcen aus einer oder mehreren Clouds genutzt werden sollen. Hier beginnt oft schon das Problem: Integratoren und Hersteller befassen sich zu wenig mit dem Thema, denn der Betrieb eines automatisierten Gebäudes kommt in den meisten Fällen ohne IT-Abteilung aus. Die IT-Sicherheit der Gebäudeautomation bleibt ein Nebenschauplatz. Im ersten Schritt müssen Prozesse etabliert werden, welche die IT-Abteilung ins Spiel bringen.
Wenn Gebäude mehr als smart werden, ist die IT mit der Künstlichen Intelligenz aus der Cloud definitiv an Bord: Klug konzipierte Netzwerke überwachen sich selbst und identifizieren Anomalien. Visibilität im Netzwerk schafft Sicherheit: Automatisierte Gebäude mit ihren IT-fremden Protokollen werden als Private Cloud in die Hybrid Cloud von Unternehmen integriert, die mit Hilfe von Werkzeugen zur vollständigen Netzwerktransparenz überwacht werden.
Was nun zu tun ist
Betreiber von smarten Gebäuden sollten sich die Unterstützung ihrer IT-Abteilung sichern, einen versierten IT-Partner ansprechen und ihr Gebäude analog zum Rechenzentrum sichern, es als Private Cloud in die IT-Infrastruktur des Unternehmens integrieren. Das heisst konkret:
Netzwerksegmentierung: Assets, Endgeräte und Kommunikationsströme müssen erfasst, klassifiziert und das Netzwerk entsprechend segmentiert werden. So dürfen beispielsweise Geräte der Home-Automatisierung absolut keinen Zugriff auf interne Server haben.
Cybersecurity: Jede zukünftige Installation muss mit einem Cybersecurity-Experten besprochen werden. Mit einer standardisierten und weitgehend automatisierten IT-Infrastruktur fällt die Überwachung leichter, kann sich die IT-Abteilung auf ihre Kernkompetenzen konzentrieren, etwa Threads vorausschauend erkennen und eliminieren, bevor sie sich zum Schadensfall entwickeln. Es gelten dieselben Prinzipien wie in der IT: Netzübergänge müssen gesichert, Patches und Endgeräte gemanaget werden.
Überwachung: Sämtliche Zugriffe müssen in Echtzeit überwacht werden. Mit dem Zero-Trust-Ansatz ist auch im Gebäude stets klar, wer mit welchem Endgerät worauf Zugriff hat. Künstliche Intelligenz im Netzwerk erkennt Änderungen im Traffic oder Pattern und schlägt Alarm.
Integration: IT-Abteilungen müssen die Gebäudeautomatisierung als ihre ureigene Kernaufgabe verstehen. Diese muss sich nach den Standards richten.
Mitarbeitende: Sie müssen ihr Bewusstsein schärfen, dass sie sich in einem sicherheitsrelevanten Umfeld bewegen.
Normen: Man muss für einen sicheren IT-Betrieb im Gebäude geltende Normen als Grundlage zur Entwicklung der Schutzkonzepte nutzen. Zentral sind ISO/IEC 27000, eine Familie von Normen für IT-Systeme (ISO/IEC Joint Technical Committee JTC1) sowie die IEC 62443 für OT-Systeme (IEC Technical Committee TC 65). Beide Normen, gemeinsam eingesetzt und gepaart mit den entsprechenden Konformitätszertifizierungen und Gegentests, sind wichtige Eckpfeiler eines erfolgreichen und holistischen Cybersecurity-Programms im Gebäudebereich.
Fazit und Ausblick: Schutz des digitalen Gebäudes
Es braucht neue Planungsansätze und neue Sicherheitsstandards auf technologischer, organisationeller und prozessualer Ebene. Die sicherheitstechnische Entwicklung in Gebäuden hinkt den Entwicklungen in der IT und in der OT (Betriebstechnologie) hinterher. Bei beiden nutzen wir heute höchste Sicherheitsstandards und automatisierte Systeme zur Kontrolle der Zugriffe und Datenströme. Nun ist es an der Zeit, smarte Gebäude zu integrieren, konvergente Systeme zu schaffen, die transparent und zentral geschützt werden, und zwar von Technologien, die von Experten entwickelt und angewendet werden. Es steht ausser Frage, dass die Verschmelzung mit den IT-Infrastrukturen wirtschaftlich und technologisch ebenso sinnvoll wie sinnstiftend ist: Gerade in den hybriden Arbeitsumfeldern des "new normal" sollten Gebäude für den Schutz von Menschen in den Informations- und Arbeitsprozessen sorgen.