Die Notwendigkeit IT-basierte Infrastrukturen in OT-Bereichen (Operational Technology) abzusichern, das ist inzwischen unstrittig. In vielen Unternehmen werden Industrial Security-Projekte mit der Zielsetzung, die Anlagenverfügbarkeit sicherzustellen, geplant oder sind längst in der Umsetzung. Allerdings ist nicht jeder OT-Bereich gleichermaßen im Fokus der Sicherheitsbetrachtung und dieser Umstand kommt Cyber-Kriminellen zugute, die in der Gebäudeautomation offene Einfallstore vorfinden.

Die Automation in einem Gebäude nehmen wir meist nur dann bewusst wahr, wenn etwas nicht funktioniert, das wir als selbstverständlich erachten. Wenn die Klimaanlage ausfällt und die Aufzüge außer Betrieb sind, dann merken wir, dass im Gebäude, das uns umgibt, eine umfassende Infrastruktur mit einer weitreichenden Vernetzung existiert, auf die wir angewiesen sind. Es gibt noch mehr, das von einer funktionierenden Gebäudeautomation abhängig ist, als nur unsere Bequemlichkeit und unsere Sicherheit – die industriellen Produktionsanlagen selbst.

Um zu verstehen, wie weitreichend die Abhängigkeiten zwischen Gebäudeautomation und Produktion sind, hilft es sich klarzumachen, dass Gebäude in diesem Kontext nicht nur Fabrikhallen sind, die die unterschiedlichen OT-Bereiche beherbergen. Oftmals sind sie auch physischer Teil der Produktion, wie beispielsweise Bohrinseln, Klärwerke und Kühlhäuser oder auch Konzertsäle.

Störungen in der Gebäudeautomation, verursacht durch technische Fehlfunktionen oder durch Angreifer, die sich Zugang ins Unternehmensnetzwerk verschaffen, haben direkte Auswirkungen auf die industriellen Anlagen.
Der Betrieb eines Gebäudes ist eine komplexe Gesamtaufgabe, die bereichsübergreifend funktionieren muss. Zur Gebäudeautomation zählen Maßnahmen, Prozesse, Software und Dienstleistungen, die für die Vernetzung der technischen Gebäudeausstattung erforderlich sind.

Aufgaben und Ziele der Gebäudeautomation

Die wesentlichen Aufgaben der Gebäudeautomation bestehen einerseits im funktionalen Betrieb eines Gebäudes, d.h. in der Steuerung der einzelnen Funktionen und andererseits in der Sicherung der Anlagenverfügbarkeit, was die physischen Sicherheitsmaßnahmen einschließt.

Das Ziel der Gebäudeautomation ist ein wirtschaftlich optimierter Einsatz von Ressourcen wie zum Beispiel Wasser und Energie, wodurch ein wichtiger Beitrag für die Kennzahlen im Produktionsprozess und für die Ergebnisse des Unternehmens erbracht wird.

Das zweite Hauptziel ist Safety, also der Schutz von Menschen und Umwelt. Es gilt, Schäden durch technische Defekte, Naturgewalten oder auch Cyberattacken bestenfalls zu verhindern, aber mindestens begrenzen zu können. Dafür sind entsprechende Schutzmaßnahmen im Rahmen des Brandschutzes, der Notfallsteuerung, etc. anzuwenden, die über die Gebäudeautomation gesteuert werden.

Wie viel Sicherheit steckt in der Gebäudeautomation?

Die zunehmende Vernetzung betrifft alle OT-Bereiche gleichermaßen, innovative Technologien aus Industrie 4.0 werden für zahlreiche datenbasierte Anwendungen zum Messen, Steuern und Regeln genutzt. (I)IoT-Komponenten und -Systeme sind direkt über das Internet erreichbar und übernehmen unterschiedliche Aufgaben in der Betriebstechnik, zu der auch die Gebäudeautomation zählt. Die Absicherung der Gebäudeautomation ist aber, anders als andere industrielle Bereiche, noch immer nicht im Fokus. Wenn es um ganzheitliche Schutzkonzepte geht, ist die Gebäudeautomation außen vor, eine Schattenlandschaft, die irgendwie vergessen scheint.

Ganz anders wird die Gebäudeautomation von Cyber-Kriminellen betrachtet, immerhin gewährt sie mit ihren vielen ungesicherten Schwachstellen ideale Bedingungen, um mit überschaubarem Aufwand in die Netzwerke von Unternehmen eindringen zu können. Die Schäden, die durch Cyberattacken verursacht werden, können bis zum Anlagenstillstand führen und sind bei Supply-Chain-Angriffen für viele miteinander verbundene Unternehmen meist mit sehr hohen Kosten verbunden.

Die Ursachen für die Vernachlässigung in puncto Industrial Security

Integratoren und Betreiber planen den sicheren Betrieb eines Gebäudes und sind für die Umsetzung verantwortlich. Wenn es um die Absicherung geht, dann können Betreiber nicht auf die Anlagenhersteller oder Integratoren zählen, die sich dafür schlicht nicht zuständig fühlen. Immerhin besteht die technische Gebäudeausstattung und die Automation dahinter aus einer Vielzahl vernetzter Komponenten und Systeme, für die ein ganzheitliches, übergreifendes Schutzkonzept erforderlich ist.

Dabei müssen sehr viele unterschiedliche Elemente und Aspekte eines Gebäudes einbezogen werden. Wer im Unternehmen für Security in der Gebäudeautomation zuständig ist, das ist meist gar nicht geklärt und es fehlt die Abstimmung zwischen den Bereichen, die dafür in Frage kommen.

Die Absicherung von IT-Infrastrukturen liegt thematisch am nächsten bei der IT-Abteilung. Diese ist jedoch kaum involviert, wenn es um die Gebäudeautomation geht: Die Errichtung eines Gebäudes wird vom Fachplaner verantwortet, der für bestimmte Aufgaben direkt die Elektriker beauftragt und der Betrieb des Gebäudes fällt in die Zuständigkeit des Facility Managements.

Dort bleibt dann meist auch die Verantwortung für den Betrieb der IT-basierten Gebäudeautomation oder es werden die IT-Plattformen und die Netzwerke der Gebäudeautomation an einen externen Dienstleister vergeben, der den Betrieb übernimmt. Die IT-Abteilung kennt diese Infrastrukturen meist überhaupt nicht, sie werden seit vielen Jahren einfach an ihr vorbei betrieben. Diese weit verbreitete Praxis macht es schwierig für die IT-Abteilung, die Gebäudeautomation in die grundlegenden Security-Betrachtungen für IT und OT einzubeziehen.

Starten mit Industrial Security für die Gebäudeautomation

Die IT-Systeme in IT und OT haben meist dieselbe Funktion und dieselbe Kritikalität, deswegen sind auch ihre Anforderungen an Security dieselben. Damit die Integration der Gebäudeautomation in das ganzheitliche Security-Konzept des Unternehmens gelingt, sollten Sie die Zusammenarbeit der IT-Abteilung und der Verantwortlichen für die Gebäudeautomation durch einen intensiven Austausch und eine gute Kommunikation unterstützen. Know-how und wichtige Informationen, die bislang die Abteilungsgrenzen nicht passiert haben, sollten geteilt werden, damit das Verständnis für die besonderen Anforderungen auf beiden Seiten aufgebaut wird.

Die Zusammenarbeit bezieht jedoch noch weitere Bereiche mit ein, denn die Gebäudeautomation erschließt den gesamten öffentlichen Raum, der von allen genutzt wird. Security ist eine Gemeinschaftsaufgabe, die alle Bereiche und alle Mitarbeiter einschließt und die letztlich nur Mittel zum Zweck ist, nämlich sicherzustellen, dass die Geschäftsprozesse des Unternehmens möglichst ungestört funktionieren.

Sichere IT-Infrastrukturen in allen OT-Bereichen haben außer der Abwehr von Cyber-Angriffen und der Eindämmung von Störfällen noch weitere Mehrwerte, die die Zukunftsfähigkeit eines Unternehmens unterstützen: Der technologische Fortschritt wird weitere innovative Technologien für Industrie 4.0 hervorbringen, die Sie nur mit einer stabilen und sicheren IT-Infrastruktur nachhaltig nutzen können.

Tim Bauer

Sichere Industrie