Offen aber sicher IT Sicherheit in der Gebäudeautomation

Größe: px

Ab Seite anzeigen:

Download "Offen aber sicher IT Sicherheit in der Gebäudeautomation"

Jacob Lorenz
vor 7 Jahren
Abrufe

1 Offen aber sicher IT Sicherheit in der Gebäudeautomation ppa. Dr. Andreas Wetzel Leiter Gebäudeautomation Telefon +49 (761) , SAUTER Deutschland Sauter-Cumulus GmbH Hans-Bunte-Str Freiburg

2 Thematisierung in den Medien: Berichterstattung in den Medien: Heise Newsletter vom CT 2013, Heft 11, S.78 ff Industrieanlagen / GA Anlagen werden immer häufiger mit dem Internet verbunden und sind somit teilweise ungeschützt von außen erreichbar. CCI 04/14 S. 22 ff Der Facility Manager Juni 2014, S.40ff.

Proprietäre vs. offene Systeme in der GA Proprietäre Systeme (z.b.

BACnet/IP: EY-modulo 5) Häufig 2 Draht Technik (RS485/RS232) Eigene, abgetrennte Busverkabelung Herstellerspezifische, propritäre Datenkommunikation und AS Kernel Nur

Nutzung standardisierter Übertragungsprotokolle (TCP/IP) Die Nutzung herstellerunabhängiger GA Kommunikationsprotokolle schafft Wettbewerb und unabhängige Erweiterungsmöglichkeiten

3 Proprietäre vs. offene Systeme in der GA Proprietäre Systeme (z.b. Sauter novanet: EY3600, EY-modulo 2) Offene Systeme (z.b. BACnet/IP: EY-modulo 5) Häufig 2 Draht Technik (RS485/RS232) Eigene, abgetrennte Busverkabelung Herstellerspezifische, propritäre Datenkommunikation und AS Kernel Nur herstellerspezifischer Zugriff Nutzung standardisierter Ethernet Übertragungsmedien und IT Hardware. ggf. Nutzung vorhandener IT Infrastruktur senkt GA Investitionskosten. Nutzung standardisierter Übertragungsprotokolle (TCP/IP) Die Nutzung herstellerunabhängiger GA Kommunikationsprotokolle schafft Wettbewerb und unabhängige Erweiterungsmöglichkeiten für Nutzer. Unabhängige Tools zur Protokollanalyse und Gerätedarstellung (Wireshark / BACnet Browser) für mehr Transparenz, bedeuten aber auch neue Risiken. Externer Zugang einfach möglich für Trend in GA hin zu standardisierten, offenen Kommunikationsstandards wie BACnet/IP, KNX, (LON) Fernwartung, Fernoptimierung und Fernbedienung. Alarmierung via Mail / SMS auf Arbeitsplatzrechner und mobile Endgeräte. Zusatzdienste (Wettervorhersage).

ist ein BACnet Browser ein herstellerunabhängiger Zugang zu allen angeschlossenen BACnet

4 Offenes System: BACnet Browser BACnet Device BACnet Objekttyp Standard mit Client-/ Serverarchitektur. z.b. ist ein BACnet Browser ein herstellerunabhängiger Zugang zu allen angeschlossenen BACnet Devices mit der Möglichkeit zur nichtdokumentierten Änderung von Adressen, Alarmeinstellungen, Regelparametern BACnet Property BACnet Objekt Änderungsmöglichkeit

Offenes System: Wireshark Protolollanalyse Protokollunabhängiges IP Kommunikationsanalysetool

In Deutschland sieht der Gesetzgeber Tools wie Wireshark und Co.

StGB) untersagt, Passwörter und Zugangscodes eines fremden Netzwerks ohne die explizite

5 Offenes System: Wireshark Protolollanalyse Protokollunabhängiges IP Kommunikationsanalysetool inkl. Aufzeichnungsfunktionalität. In Deutschland sieht der Gesetzgeber Tools wie Wireshark und Co. äußerst kritisch: So ist es analog zu den Regelungen im sogenannten "Hackerparagraphen" ( 202c StGB) untersagt, Passwörter und Zugangscodes eines fremden Netzwerks ohne die explizite Erlaubnis des Betreibers zu beschaffen oder Programme für diesen Zweck bereitzuhalten. Benutzeradresse Ereignis kommend NC-Mapping Priorität Glocke: Rot Quittierung nötig: Ja Ereignis-Status

GA Sicherheit Trend: Gebäudeautomation und IT nähern sich an. Verantwortlich für Sicherheit in der Gebäudeautomation sind Hersteller, Anlagenbauer und Betreiber!

6 GA Sicherheit Trend: Gebäudeautomation und IT nähern sich an. Verantwortlich für Sicherheit in der Gebäudeautomation sind Hersteller, Anlagenbauer und Betreiber! Die Hersteller müssen geeignete Technologien in ihren Produkten integrieren Die Anlagenbauer müssen die Technologien in ihnen Projekten anbieten und einrichten. Die Betreiber müssen die geeigneten Technologien anwenden.

via Webserver) implementiert haben (Port 80, 433), müssen eine konfigurierbare (!

7 Hersteller: Verschlüsselte Kommunikation GA Produkte (Automationsstationen, Webserver, Scada Software), die am offenen IT (Inter-) Netzwerk angeschlossen sind und eine Benutzerschnittstelle (z.b. via Webserver) implementiert haben (Port 80, 433), müssen eine konfigurierbare (!) Benutzerauthentifizierung implementiert haben. Vorzugsweise ist das HTTPS Protokoll für eine verschlüsselte Datenübertragung zu wählen. z.b. SAUTER moduweb Vision Webserver

8 Hersteller: interne Firewalls GA Produkte (Automationsstationen, Webserver, Managementbedienstationen) müssen eine Firewall Funktion implementiert und aktiviert haben. z.b. SAUTER EY-modulo 5 (modu525) (In der Standardeinstellung kann die DDC beispielsweise nicht via Ping Funktionalität lokalisiert werden.)

15 Jahre! Erwartete Lebensdauer IT Hardware ca. 5 Jahre! d.h. GA Hardware kann über die Jahre im aktuellem IT Umfeld nicht alle Anforderungen an Performance und IT Sicherheit erfüllen!

9 Hersteller: Hardware GA vs. IT GA Produkte (Automationsstationen, Raumcontroller) heutzutage üblicherweise Kleinstcomputer mit branchenspezifischen Firmwareapplikationen. z.b. SAUTER EY-modulo 5 (modu521) Erwartete Lebensdauer GA Hardware ca. 15 Jahre! Erwartete Lebensdauer IT Hardware ca. 5 Jahre! d.h. GA Hardware kann über die Jahre im aktuellem IT Umfeld nicht alle Anforderungen an Performance und IT Sicherheit erfüllen! (Was heute aktueller IT Standard ist, kann/wird in 10 Jahren voraussichtlich nicht mehr als sicher angesehen werden.) Trend zur Bereitschaft von IT Lebensdauerzyklen in der Gebäudeautomation nicht erkennbar.

Projektierung: Hardware- und Netzwerkplanung Auswahl geeigneter IT-Komponenten: Ethernet Hub (passiv) Alle Informationen stehen gleichzeitig an allen Ausgängen an (mittlerweile üblicherweise nicht

Performancesteigerung leitet der Switch die Datenpakete automatisch nur an die Ausgänge weiter, an denen die adressierten Komponenten (MAC Adresse) angeschlossen sind.

10 Projektierung: Hardware- und Netzwerkplanung Auswahl geeigneter IT-Komponenten: Ethernet Hub (passiv) Alle Informationen stehen gleichzeitig an allen Ausgängen an (mittlerweile üblicherweise nicht mehr genutzt). Switch (aktiv) Alle Informationen können vom Gerät an alle Ausgänge weitergeleitet werden. Wg. Performancesteigerung leitet der Switch die Datenpakete automatisch nur an die Ausgänge weiter, an denen die adressierten Komponenten (MAC Adresse) angeschlossen sind. Broadcasttelegramme werden an alle Ausgänge weitergeleitet. Managed Switch (aktiv) Über eine gerätespezifische Konfiguration kann die Informationsverteilung beeinflusst werden. Einzelne Ausgänge können so u.a. zu separaten, logischen Netzwerkgruppen V-LAN zusammengefasst werden. (So kann beispielsweise ein GA Netzwerk von einem IT Kommunikationsnetzwerk auf einem physikalischem Netzwerk dennoch sicher logisch voneinander separiert werden.)

11 Manipulationsmöglichkeit in Feld- und AS- Ebene Zugang zu Technikbereichen? Automationsstationen / Schaltsachrank: Feldgeräte: Verkabelung offen zugänglich:

12 Projektierung: Zugangsmöglichkeiten Erstellen einer projektspezifischen Risikoanalyse. Limitierung Zugang zu GA. Physikalisch (ggf. am Schaltschrank) IT seitig (z.b. Einsatz von gesicherten VPN Zugängen von außen)

13 Inbetriebsetzung: Audit-Trail Für den Gebäudebetrieb nicht genutzte Funktionen / Oberflächen (z.b. Webserver von Gateways) müssen deaktiviert werden. Die HMI Oberflächen der GA-Komponenten müssen die Benutzeraktivitäten sicher aufzeichnen (können).

14 Inbetriebsetzung: Zugangsbeschränkung Die Zugänge zu den HMI Schnittstellen der GA müssen gruppenspezifisch geplant, eingerichtet und vergeben werden. Die Zugänge der GA-HMI Schnittstelle müssen spezielle Zugangs-/Passwortvoraussetzungen erfüllen (können).

15 Inbetriebnahme: Passwortsicherheit Ein gutes Passwort (BSI) Die werksseitigen (Standard-) Passwörter müssen geändert werden. Es müssen Mindestanforderungen an Passworte definiert und eingehalten werden. Es sollte mindestens acht Zeichen lang sein. (Ausnahme: Bei Verschlüsselungsverfahren wie z.b. WPA und WPA2 für WLAN sollte das Passwort mindestens 20 Zeichen lang sein. ) Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+ ) bestehen. Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten usw. Wenn möglich sollte es nicht in Wörterbüchern vorkommen. Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmusternmustern bestehen, also nicht asdfgh oder 1234abcd usw. Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $!? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen ist auch nicht empfehlenswert.

Betreiber: Passwortsicherheit So bitte nicht: (Hit-) Liste internationaler Standardpassworte (2012): Es müssen Mindestanforderungen an Passworte definiert und eingehalten werden.

16 Betreiber: Passwortsicherheit So bitte nicht: (Hit-) Liste internationaler Standardpassworte (2012): Es müssen Mindestanforderungen an Passworte definiert und eingehalten werden. Die individuellen Passwörter sind vor Ort vertraulich zu behandeln. (Nicht notieren! d.h. kein Post-it am Monitor oder kein Aufkleber unter Tastatur) Passworte müssen regelmäßig geändert werden. 1. password abc Qwerty / qwertz 6. monkey 7. letmein 8. dragon baseball

White Paper: IT Sicherheit in der GA Fazit: Die neuen IT-Techniken bieten viele Möglichkeiten. Auch um die Gebäudeautomation gegen unbefugte Zugriffe abzusichern.

17 White Paper: IT Sicherheit in der GA Fazit: Die neuen IT-Techniken bieten viele Möglichkeiten. Auch um die Gebäudeautomation gegen unbefugte Zugriffe abzusichern. Diese sollten für effiziente und zeitgemäße GA-Anlagen auch nachgefragt und genutzt werden. Ein Abwägen der Chancen und Risiken ist projektspezifisch erforderlich. Die größte Gefahr geht in BACnet- Kommunikationsnetzwerken aber voraussichtlich nicht von absichtlichen Manipulationen mit krimineller Energie aus, sondern oftmals sind die Ursachen für Fehlfunktionen in fehlendem Anlagen-Knowhow oder fehlender Abstimmung zu suchen. Oft ist auch die tägliche Routine und die Bequemlichkeit für Verantwortlich, dass GA-Anlagen ungeschützt betrieben werden, weil die Risiken unterschätzt werden.

18 Danke für die Aufmerksamkeit!

Ähnliche Dokumente

IT Sicherheit in der Gebäudeautomation

IT Sicherheit in der Gebäudeautomation Dr. Andreas Wetzel 1 GA / IT - Bedrohung - Gegenmaßnahmen Bedrohung Schadensvermeidung Grafik: BSI Schadensminderung Schaden 2 Bedrohung - Gegenmaßnahmen Bedrohung