Die Professoren Dr. Olivier Steiger und Dr. Sebastian Obermeier von der Hochschule Luzern erklären, warum das Thema jetzt drängt, wo die Stolpersteine liegen und weshalb ohne Know-how der allerbeste Standard wenig nützt.

Text: Markus Back

Was war die ursprüngliche Motivation hinter der Entwicklung von BACnet Secure Connect?

Prof. Dr. Olivier Steiger: BACnet/IP war über viele Jahre hinweg der Standard in der Gebäudeautomation. Durch die fehlende Verschlüsselung und Authentifizierung war es allerdings wie ein offenes Buch, in dem man nicht nur mitlesen, sondern sogar eingreifen konnte. BACnet/SC setzt mit seiner TLS-Verschlüsselung und einer sicheren Authentifizierung der Teilnehmer genau hier an. Gleichzeitig wurden alte Schwächen, wie beispielsweise die Broadcasts, die im BACnet/IP immer nötig waren, behoben. Das vereinfacht die Verwaltung erheblich.

Prof. Dr. Sebastian Obermeier: Aus IT-Sicht sind Broadcasts ein schwieriges Thema. Sie belasten die Netze, sind unsicher und verhindern praktisch jede saubere Cloud-Anbindung. BACnet/SC bricht mit diesem Prinzip und setzt auf eine Hub-and-Spoke-Architektur, die eine verlässliche, Firewall-taugliche Kommunikation erlaubt. Die Motivation bei der Entwicklung von BACnet SC war also zweifach: Sicherheitslücken zu schliessen und das Protokoll auf einer zukunftsfähigen Architektur aufzusetzen.

Was sind die wesentlichen Unterschiede zwischen BACnet/IP und BACnet/SC?

Steiger: Über die entfallenden Broadcasts haben wir bereits gesprochen, doch es gibt natürlich weitere wichtige Unterschiede. Während BACnet/IP beispielsweise die Daten im Klartext überträgt, verschlüsselt BACnet/SC diese zuverlässig und ermöglicht zudem die Authentifizierung von Netzwerkteilnehmern. Bei BACnet/SC muss sich jedes Gerät mit einem gültigen Zertifikat anmelden, bevor es kommunizieren kann. Das ist ein radikaler Bruch zur bisherigen Praxis, bei der ein eingestecktes Gerät sofort mit dem Netz verbunden war. Zu guter Letzt: BACnet/SC setzt auf TCP statt UDP, wodurch die Kommunikation verbindungsorientiert und damit zuverlässiger als bei BACnet/IP ist.

Obermeier: Dieser Wechsel ist gerade bei Firewalls entscheidend. Bei UDP muss ich die Firewall mittels zustandsloser Regeln weit öffnen, um eingehende Antworten durchzulassen. Bei TCP entfällt dieses Risiko, da es verbindungsorientiert arbeitet. Dadurch lassen sich die Antworten eindeutig zuordnen und können somit kontrolliert die Firewall passieren. Für die Integration in moderne IT-Landschaften ist das ein grosser Vorteil.

Welche Herausforderungen ergeben sich beim Zertifikatsmanagement in der Praxis?

Obermeier: Zertifikate sind ein Fluch und ein Segen zugleich. Sie schaffen Vertrauen, müssen allerdings über die gesamte Laufzeit organisiert werden Für das Ausstellen, das Verteilen, das Erneuern und das Widerrufen braucht es klare Prozesse und eine Public-Key-Infrastruktur. Während das in der klassischen IT längst Standard ist, fängt man in der Gebäudeautomation erst damit an, sich über solche Aspekte Gedanken zu machen. Ohne Verantwortlichkeiten und dokumentierte Abläufe wird das schnell chaotisch und genau hier liegt die Herausforderung: Wer kümmert sich um was?

Steiger: Besonders knifflig wird es in Multi-Hersteller-Umgebungen. Jeder Hersteller kocht seine eigene Suppe, aber am Ende muss der Gebäudebetreiber diese auslöffeln und damit umgehen können. Da Best Practices und einheitliche Leitfäden fehlen, forschen wir an diesem Thema, damit nicht jeder das Rad neu erfinden muss.

Welche typischen Stolpersteine treten bei der Inbetriebnahme von BACnet/SC auf?

Steiger: Der erste Stolperstein ist fast banal: Es ist oft unklar, wer zuständig ist. Wer verwaltet die Zertifikate? Wer legt die Schlüssel fest? Wer sorgt für Updates? Ohne Rollen und Prozesse funktioniert das System nicht, weshalb diese schon lange vor der Fertigstellung eines Gebäudes und der darin verbauten Anlagen definiert sein müssen.

Obermeier: Ein Beispiel aus unserem Labor zeigt, wie heikel das ist: Studierende sollten eine Zertifikatskette konfigurieren. Ein einziges fehlendes Häkchen in der Anleitung führte dazu, dass sich alle ausgesperrt haben und das Gerät erst nach einem Hardware-Reset wieder nutzbar war. Solche Fehler sind lehrreich, aber in der Praxis fatal. Sicherheit geht immer mit einem Initialaufwand einher und selbst kleinste Versäumnisse können grosse Folgen haben.

Wie wirkt sich das auf den Alltag im Gebäudebetreib beziehungsweise Facility Management aus?

Steiger: Kurzfristig wird es komplexer. Einige Facility Manager und technische Verantwortliche haben einen elektrotechnischen Hintergrund, aber wenig Erfahrung mit IKT-Sicherheit. Zertifikate, Schlüsselmanagement und sicherheitsbezogene Prozesse sind Neuland für sie, was den Alltag nicht einfacher, sondern schwerer macht. Langfristig, so meine Hoffnung, werden sich automatisierte Tools und standardisierte Prozesse etablieren, die vieles vereinfachen. Aber noch stecken diese Lösungen in Kinderschuhen.

Obermeier: Erste Ansätze für automatisiertes Zertifikatsmanagement gibt es. Manche Hersteller experimentieren mit Werkzeugen, welche die Erneuerung und Verteilung vereinfachen sollen. Sobald der Markt gross genug ist, werden weitere professionelle Lösungen folgen, was den Facility Managern den Alltag einfacher machen wird.

Ist eine parallele Koexistenz von BACnet/IP und BACnet/SC möglich?

Steiger: Ja, das ist derzeit sogar die Regel. Viele bestehende Anlagen laufen mit BACnet/IP, während neue Anlagenteile auf SC laufen. Technisch ist das möglich, aber die technische Integration von BACnet/SC ist oft schwieriger als gedacht. Selbst Hersteller-Profis, die uns beim Einrichten unterstützen wollten, brauchten mitunter viel Zeit, bis alles sauber und zuverlässig lief. Das liegt daran, dass es in diesem Bereich kaum Erfahrungen gibt, auf welche man zurückgreifen könnte.

Obermeier: In diesem Zusammenhang sollte allerdings beachtet werden, dass ein System nur so sicher wie sein schwächstes Glied ist. Wenn ich alte, unsichere Komponenten weiterlaufen lasse, besteht das Risiko weiterhin. Deshalb ist eine schrittweise Migration sinnvoll, etwa stockwerkweise bei Renovierungen. Aber mittelfristig führt kein Weg an einer kompletten Umstellung auf BACnet/SC vorbei.

«Der erste Stolperstein ist fast banal: Es ist oft unklar, wer zuständig ist.»

Prof. Dr. Olivier Steiger

Was sollten Planer und Systemintegratoren beachten, wenn BACnet/SC gefordert wird?

Steiger: Sie sollten früh eine klare Netzwerkarchitektur entwickeln und sich hierbei beispielsweise Gedanken über die Verwaltung der Zertifikate und Schlüssel machen oder auf was bei Updates zu achten ist. Diese Fragen müssen schon in der Planung beantwortet werden und nicht erst später vom Betreiber. Ausserdem muss der Integrator dem Betreiber erklären können, welche Prozesse ihn erwarten.

Obermeier: BACnet/SC ist nur ein Baustein in einem grösseren Sicherheitskonzept und kein Allheilmittel. Planer müssen deshalb eng mit IT-Sicherheitsverantwortlichen zusammenarbeiten und Schnittstellen sauber definieren. Wer BACnet/SC isoliert betrachtet, denkt zu kurz.

Wie gut lässt sich BACnet/SC in moderne IT-Sicherheitskonzepte integrieren?

Obermeier: Durch Fähigkeiten wie Zero Trust, bei dem keinem Datenpaket blind vertraut wird, sehr gut. Gleiches gilt für OT/IT-Schnittstellen, die sich mit BACnet/SC sicher in die Cloud bringen lassen.

Steiger: Hinzu kommt ein weiterer Aspekt, der in der Branche immer wichtiger wird: das Nachhaltigkeitsreporting. Betreiber grosser Immobilienportfolios müssen heute ihre Energie- und Verbrauchsdaten auf Knopfdruck bereitstellen können. Damit wird BACnet/SC zum Enabler für Smart Building und Green Building, da es eine sichere Kommunikation gewährleistet.

Wo stehen wir bei der Marktdurchdringung von BACnet/SC?

Steiger: BACnet ist bei grösseren Projekten längst Standard. BACnet/SC ist als Teil der aktuellen Revision definiert und erste Produkte verfügbar, aber in der Umsetzung stehen wir immer noch am Anfang. Die meisten Anlagen laufen weiterhin auf IP und viele Verantwortliche sind der Meinung: «Wir sichern einfach das IT-Netz, das reicht.» Doch das ist trügerisch, weil man ein unsicheres System in einer sicheren Hülle hat. Sobald jedoch die Hülle durchbrochen wird, ist man schutzlos.

Obermeier: Ausserdem muss BACnet/SC aktiv in Ausschreibungen genannt werden. Wer es nicht fordert, bekommt weiterhin klassische BACnet/IP-Geräte. Der Standard allein bewirkt also erst einmal wenig, vielmehr braucht es ein klares Bekenntnis zu mehr Sicherheit.

Welche Schulungsangebote gibt es heute und wie hoch ist der Bedarf?

Steiger: Einige Hersteller bieten Seminare an, aber hierbei handelt es sich zumeist um Insellösungen, die sich auf proprietäre Lösungen beschränken. Was fehlt, ist ein übergreifender Leitfaden, der Multi-Hersteller-Umgebungen abdeckt. Genau daran arbeiten wir in einem Forschungsprojekt. Ziel ist eine Richtlinie, die allen Beteiligten, vom Planer über den Integrator bis zum Facility Manager, eine bestimmte Rolle zuweist.

Obermeier: Viele in der Branche haben kaum Berührung mit IT-Sicherheit. Während die Kernkompetenz von Elektrofachkräften in der elektrischen Installation liegt, erfordert die sichere Gebäudeautomation zusätzliche Kenntnisse in der IT-Sicherheit. Gezielte Grundlagenschulungen werden daher in vielen Fällen unerlässlich sein.

Woran forschen Sie aktuell an der HSLU?

Steiger: Gemeinsam mit dem Cyber Defense Campus von Armasuisse untersuchen wir aktuell die Cybersicherheit in der Gebäudeautomation. Dabei gehen wir der Frage nach, wie gefährlich unsichere Protokolle in der Praxis sind und welche Prozesse es braucht, um die Sicherheit zu erhöhen. Zukünftig werden wir zusätzlich auf Smart Meter und PV-Anlagen schauen, da es sich in beiden Fällen um Massenphänomene handelt und diese somit sicherheitsrelevant sind.

Obermeier: Ein weiteres Thema ist Post-Quantum-Sicherheit. Heute ist BACnet/SC nicht resistent gegen Angriffe mit Quantencomputern. Noch sind diese in der Praxis nicht relevant, aber wir wollen vorbereitet sein, weshalb wir auch in unseren Laboren an der optimalen Anwendung von Post-Quantum-Algorithmen und Quantum-Key-Distribution forschen.