Artikel

Absicherung von Gebäuden mit intelligenter Raumautomation

Wie mit BlueRange die Cybersicherheit für smarte Gebäude gewährleistet werden kann.

Absicherung von Gebäuden mit intelligenter Raumautomation

Die Vernetzung der Welt

In der modernen Welt durchdringen das Internet und die Digitalisierung alle Bereiche der Gesellschaft, Politik und Wirtschaft. Der Megatrend Konnektivität betrifft Unternehmen, Behörden und Privatanwender gleichermaßen. Die Vernetzung auf Basis digitaler Infrastrukturen fördert die Interaktion von Individuen, Systemen und Dingen. Auf Basis von ständig verfügbaren Daten und Informationen in Echtzeit entstehen völlig neue Möglichkeiten in Form von innovativen Technologien, automatisierten Prozessen und intelligenten Netzen. So auch im Bereich von smarten Gebäuden, in denen mittels dezentraler, sensorbasierter Raumautomation vernetzte Komponenten für eine optimale Raumsteuerung sorgen, völlig autark und vor allem effizient und nachhaltig.

Herausforderungen der Digitalisierung

Neben all den Chancen für sämtliche Märkte und Branchen neue Lösungen für eine bessere Welt zu entwickeln, steigt gleichzeitig die Anfälligkeit für unbefugte Zugriffe und das Risiko Opfer eines Cyberangriffs zu werden. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI)1 ist ein dramatischer Anstieg sowohl versuchter als auch erfolgter Versuche, Systeme zu kompromittieren, zu verzeichnen. Ein besorgniserregender Trend, bei dem vor allem kleine und mittelständische Unternehmen sowie Kommunalverwaltungen im Fokus stehen. Die ständige Bedrohung im Cyberraum ist so hoch wie nie. Die Frage ist nicht ob, sondern wann es zu einem Angriff kommt. Cyberangriffe und -Sabotage bedrohen die Sicherheit aller Beteiligten und stellen ein enormes wirtschaftliches Risiko dar. Betroffene Unternehmen erfahren neben einem erheblichen finanziellen Schaden im schlimmsten Fall den Totalausfall Ihrer Systeme bis hin zum Verlust aller Daten.

Der Cyber Resilience Act

Vor dem Hintergrund dieser Entwicklung ist es zwingend erforderlich, umfassende Gegenmaßnahmen einzuleiten und Unternehmen „fit“ für diese Herausforderungen zu machen. Allerdings wäre eine erhöhte Sorgfaltspflicht für Betreiber und Nutzer von Systemen zu kurz gedacht. Vielmehr müssen Hersteller in die Pflicht genommen werden, in die Sicherheit ihrer Produkte zu investieren, um nachhaltig ein höheres Sicherheitsniveau zu erreichen. Zu diesem Zweck hat das Europäische Parlament jüngst eine neue Verordnung, den sogenannten Cyber Resilience Act, kurz „CRA-E“, verabschiedet. Mit einer Übergangszeit von 24 Monaten für die Vorbereitung der EU-Mitgliedsstaaten auf die Umsetzung in nationales Recht, müssen verbindliche Anforderungen an die Cybersicherheit von Produkten mit digitalen Bestandteilen für den Europäischen Markt erfüllt werden. Genau genommen sind hiermit jegliche Hard- und Software, die während ihres Gebrauchs eine Daten- oder Netzwerkverbindung haben können, also digital kommunizieren, gemeint. Diese Produkte werden von Unternehmen hergestellt und an Endkunden vertrieben. Sie werden aber auch in Unternehmen für die Produktion eingesetzt, sowie als Vorprodukte bezogen und weiter verbaut beziehungsweise veredelt und sind damit Bestandteil von Lieferketten2. Die Vorgaben sind durch alle Unternehmen, die solche Produkte herstellen, einzuhalten und sicherzustellen. Darüber hinaus gibt es Verpflichtungen für Händler und Importeure.

Cybersecurity als permanenter Wegbegleiter

Cybersicherheit beschreibt alle Maßnahmen zum Schutz von elektronischen Systemen, Netzwerken, Programmen und Daten, aber auch Endgeräten wie Computern und Smartphones, zur Abwehr von digitalen Angriffen. Ziel ist es, durch vorgegebene Standards die „Widerstandsfähigkeit“ von vernetzten Produkten, die auf den EU-Markt gebracht werden, signifikant gegen Cyberangriffe zu stärken und Schwachstellen im Hinblick auf Sicherheitslücken in Systemen fortlaufend zu eliminieren. Dies beginnt bereits bei der Anforderungsanalyse und Konzeption nach dem „Security by Design“-Ansatz und begleitet den gesamten Entwicklungsprozess eines Produktes. Die „Resilience“ bezieht sich dabei auf die Fähigkeit, gut auf solche Ereignisse vorbereitet zu sein und im Ernstfall schnell und effektiv reagieren zu können, um Schäden abzuwenden. Hersteller müssen demnach während des gesamten Lebenszyklus ihrer eingeführten Produkte die Cybersecurity gewährleisten, damit im Ergebnis Betreiber und Nutzer von einer höheren Sicherheit profitieren. Hierzu zählen unter anderem Maßnahmen wie beispielsweise:

  • Die Auslieferung von Produkten ohne bekannte Schwachstellen und einer sicheren Standardkonfiguration, die die Möglichkeit für das Zurücksetzen auf seinen ursprünglichen Zustand bietet.
  • Eine Authentifizierungs-, Identitäts- oder Zugangsverwaltung, die Schutz vor unbefugten Zugriffen gewährleistet.
  • Schutz von sämtlichen Daten, die gespeichert oder gerade verwendet oder übermittelt werden, durch modernste Verschlüsselungstechnologien.
  • Schwachstellenmanagement in Form von regelmäßigen Sicherheitstests.
  • Bereitstellung von Sicherheitsaktualisierungen nach dem Verkauf für die Lebensdauer des Produkts oder fünf Jahre, je nachdem, welcher Zeitraum kürzer ist3.

Im Umlauf befindliche Produkte und Komponenten werden so fortlaufend geschützt, und stellen auch bei längerem Gebrauch ein deutlich geringeres Sicherheitsrisiko dar.

Risikoklassen für vernetzte Produkte

Der Cyber Resilience Act unterteilt Produkte mit digitalen Elementen abhängig von ihrer Funktion, dem Verwendungszweck und Kriterien wie dem Ausmaß möglicher Auswirkungen in vier Risikoklassen. Unterschieden wird nach folgenden Klassifizierungen4:

UNKRITISCHKRITISCH Klasse IKRITISCH Klasse IIHOCHKRITISCH
Speichermedien, GrafikprogrammeBrowser, Passwortmanager, Antivirenprogramm, Firewall, VPN, physische Netzwerk-SchnittstelleBetriebssysteme, Desktop- und Mobilgeräte, Mikrocontroller, Chipkarten, Smart Meter, Robotersensoren, alle IoT-Geräte, Router, Firewalls für den industriellen EinsatzNoch nicht definiert, Sind für die Resilienz der gesamten Lieferkette relevant.

Für jede Kategorie gelten bestimmte rechtliche Anforderungen: Während für unkritische Produkte künftig eine Selbsteinschätzung der Hersteller genügen wird, gelten für kritische Produkte strengere Anforderungen. Das betrifft vor allem die Konformitätsbewertung, die auf EU-weit harmonisierten Normen beruht und durch CE-Kennzeichnung angezeigt wird. So müssen Erzeugnisse der Klasse II grundsätzlich eine Bewertung durch zertifizierte Dritte durchlaufen5.

Smarte Gebäude mit vernetzten Komponenten

Für die sensorbasierte Raumautomation bedeutet dies, dass alle Komponenten mit digitalen Elementen, die im Gebäude zum Einsatz kommen und sich für eine intelligente Raumsteuerung miteinander vernetzten, dem Cyber Resilience Act unterliegen. Dies können unter anderem Leuchten, Ventile für Heizen und Kühlen, Lüftungsgeräte, Klimaanlagen und Sonnenschutz sein. Auf Basis der von Raumsensoren gelieferten Werte sorgen diese Aktoren vollautomatisch für ein energetisch optimiertes Gebäude und ein angenehmes Raumklima. Um die Kommunikation von Sensoren und Aktoren untereinander zu ermöglichen, erfolgt bei BlueRange die Vernetzung über einen Mikroprozessor von Nordic (nrf52840), der auf einem Mikrocontroller im Bauteil z.B. einer Leuchte, verbaut ist. Der dort installierte Softwareanteil, die Firmware, ist für den Verbindungsaufbau zum BlueRange Mesh mittels Bluetooth-basierter Funktechnologie zuständig. Zusätzlich gibt es für die Steuerungsintelligenz der Leuchte einen Mikrocontroller mit der entsprechenden Firmware des Leuchten-Herstellers für die Ausführung der Lichtsteuerung. Diese digitalen Elemente in dem Produkt Leuchte sind nach Klassifizierung des Cyber Resilience Acts kritische Produkte der Klasse II und erfordern besondere Maßnahmen bei der Erfüllung strengerer Cybersecurity-Anforderungen. Dies betrifft ebenso Smart Meter, die an Verbrauchern anliegen und Messdaten in das System geben. Oder das BlueRange Gateway für die TCP/IP-Verbindung, um Sensordaten für eine Visualisierung und weitere Auswertung an den BlueRange Server oder Drittsysteme weiterzuleiten.

BlueRange leistet einen signifikanten Beitrag zur Sicherheit

Im Kontext von smarten Gebäuden ist es entscheidend, die Netz- und Informationssicherheit als integralen Bestandteil für die Kommunikation von vernetzten Komponenten zu etablieren. Dagegen sind viele Gebäude, die ein konventionelles Bussystem im Einsatz haben, seit Jahren einem ständigen Risiko ausgesetzt. Eine Absicherung von kabelgebundenen KNX- und BACnet-Komponenten hat bis dato nicht stattgefunden. Durch einen ungeschützten Zugang ist es möglich Datenströme mitzulesen und sogar steuernd einzugreifen.

Im Gegensatz dazu sichert BlueRange sein funkbasiertes Mesh auf BLE-basis über eine 128 Bit AES-Verschlüsselung (Advanced Encryption Standard) Ende-zu-Ende ab. Die sichere Kommunikation zwischen Netzteilnehmern wie Sensoren und Aktoren innerhalb des BlueRange Mesh ist damit gewährleistet. Aufgebaute Netzwerkverbindungen über das BlueRange Gateway zum BlueRange Server oder angebundenen Drittsystemen werden mittels dem TLS-Protokoll (Transport Layer Security) verschlüsselt. Zudem wird die sichere Datenübertragung über das Kommunikationsprotokoll HTTPS (Hypertext Transfer Protocol Secure) und MQTTS (Message Queuing Telemetry Transport Secured) sichergestellt.

Als Basis für die Digitalisierung von Neu- Und Bestandsbauten ermöglicht BlueRange mit seiner IoT-Plattform die zentrale Verwaltung von BlueRange-fähigen Geräten für die sensorbasierte Raumautomation. Dazu zählt auch die Aktualisierung der Anteile, die digitalen Elemente, auf den physischen Produkten der im BlueRange OEM-Partner-Netzwerk angebundenen Hersteller. Mittels Over-the-Air-Updates (OTA) lassen sich bequem – per Fernzugriff – alle eingebundenen Komponenten aktualisieren. Dazu gehört die herstellereigene Firmware für die Steuerungslogik des Bauteils sowie die BlueRange Firmware für den Mesh-Anteil. Zusätzlich lassen sich für das BlueRange Gateway automatisiert Betriebssystem-, BlueRange-Gateway-Software- und Mesh-Firmware-Updates ausrollen. Über eine Update-Konfiguration im BlueRange Dashboard können die entsprechenden Download-URLs zu bereitgestellten Update-Paketen von BlueRange und relevanten OEM-Herstellern hinterlegt werden. Mittels Aktivierung von Auto-Updates lässt sich ein Update-Plan abbilden und regelmäßig automatisiert durchführen. Eine Update-Ansicht informiert den Betreiber transparent über die Verfügbarkeit neuer Softwarepakete. Updates können direkt auf eingeschriebene Komponenten mit älteren Versionsständen ausgerollt werden. So lassen sich eingesetzte Komponenten konsequent auf den neuesten Softwarestand bringen, ohne zeitaufwendige manuelle Eingriffe im Gebäude vor Ort vornehmen zu müssen.

BlueRange ermöglicht einen datenschutzkonformen Betrieb, wahlweise in der eigenen Infrastruktur im Gebäude (On Premises) oder in einer deutschen verschlüsselten Cloud (SaaS). Neben der Datenhoheit gewährleistet die Mandantenfähigkeit von BlueRange zusätzliche eine strikte Datentrennung zwischen Organisationen. Die Zugangskontrolle wird über eine zentrale Benutzerverwaltung in der BlueRange IoT-Plattform sichergestellt. Angelegte Benutzer und Benutzergruppen erhalten ihre Zugriffsrechte über ein integriertes Berechtigungsmanagement. Verwaltete Benutzer erhalten individuelle Benutzerdaten bestehend aus Benutzername und Passwort für den Systemzugang. Passwörter können jederzeit zurückgesetzt und neu vergeben werden. Definierte Passwort-Richtlinien sorgen für eine erzwungene Passwortstärke für alle Benutzer einer Organisation.

Fazit

Aufgrund der stetig zunehmenden Bedrohungslage durch Cyberattacken stehen Hersteller von Gebäudekomponenten für eine sensorbasierte Raumautomation in der Verantwortung, ihre vernetzten Produkte gegen digitale Angriffe permanent abzusichern. Durch ein professionelles Patch Management und die Bereitstellung und Durchführung regelmäßiger Sicherheitsupdates lässt sich die Sicherheit eines Systems zur intelligenten Raumsteuerung maßgeblich steigern. Das BlueRange Mesh und die BlueRange IoT-Plattform machen es Betreibern einfach, integrierte Bauteile stets zukunftsfähig zu halten. Zusätzlich schützen modernste Verschlüsselungstechnologien und ein Authentifizierungs- sowie Autorisierungssystem vor unbefugten Zugriffen. Eine Gefährdung des Gebäudebetriebs durch sicherheitsrelevante Schwachstellen im gewählten System für Raumautomation kann so nachhaltig vermieden werden.

Join the Evolution

Jonas Kaufmann

Jonas Kaufmann

Andre Maas

Andre Maas