Gebäudedaten – Verletzbar wie andere Daten in der IT?
„Ach, es sind doch nur Daten der Gebäudeautomation. Meine IT ist sicher!“ – es klingelt noch heute wie 2018 in meinen Ohren. Mit diesem Satz eröffnete der Risk-Manager einer Bank in Frankfurt am Main das Gespräch mit mir. Heute bin ich ihm sehr dankbar für diese Eröffnung. Dieses Gespräch war einer der Auslöser für die BAScloud.
Aber sind denn Daten der Gebäudeautomation unternehmenskritische Daten? Oftmals sind Systeme der Gebäudeautomation und der Gebäudeleittechnik zwar stiefmütterlich behandelt, aber streng getrennt von Office- und Produktions-IT. Dieser Frage und den möglichen Schutzszenarien möchte ich in den folgenden drei Artikeln nachgehen, um ein möglichst komplettes Bild zur Relevanz und Kritikalität zu zeichnen.
Sie werden es vermutlich ahnen: Es würde sich kaum jemand die Mühe machen und drei aufeinanderfolgende Artikel zu einem Thema verfassen, wenn nicht doch etwas dran wäre an der Schutzbedürftigkeit dieser Daten. Aber der Reihe nach und lassen Sie sich gerne überzeugen, falls Sie noch an dieser These zweifeln.
Teil 1 – Sind Gebäudedaten verletzbar wie andere Daten in der IT? – „Was soll denn schon passieren?“
Teil 2 – Und nun? – Wie schütze ich diese Daten jetzt?
Teil 3 – Alles über einen Kamm? – Warum ist ein Berechtigungsmanagement sinnvoll?
Dann lassen Sie uns direkt eintauchen und lauschen Sie der kleinen Geschichte eines Banking Risk-Managers, der plötzlich ziemlich blass wurde.
Teil 1 – „Was soll denn schon passieren?“
Erlauben Sie mir zu Beginn eine ganz kurze Einführung in die Welt der Gebäudeautomation und deren Begrifflichkeiten. Die MSR-Profis unter Ihnen dürfen gerne zum Risk-Manager weiter scollen.
Was sind Gebäudedaten?
In heutigen Gebäuden steckt eine Menge Elektronik. Sensoren, Aktoren, Mess- und Regeltechnik. Automation überall. Aktuelle und vor allem zukünftige Anforderungen an die Energiebilanz und die Klimaneutralität von Immobilien sind ohne intelligente Systeme unerreichbar und nicht zuletzt der Nutzer gerade von größeren gewerblichen Immobilien hat einen steigenden Bedarf an Interaktion mit seinem Mietobjekt.
Alle diese Systeme und Funktionen erzeugen und benötigen Daten. Stellen Sie sich vor: Sie betreten einen Meetingraum und verdunkeln diesen mit Außenjalousien, dimmen das indirekte Licht und aktivieren den Beamer. Je nach Ausstattung haben Sie hierfür mehrere Taster neben der Eingangstür betätigt, das mobile iPad zur Multimediasteuerung bemüht oder gar ihr eigenes Smartphone mit der Mieter-App genutzt. Einen herkömmlichen Schalter aus den 80er-Jahren des letzten Jahrhunderts, Kipptaster und einen Schlüsselschalter werden Sie zunehmend selten vorfinden. Also haben Sie soeben eine ganze Reihe von Informationen in Form von Befehlen, Rückmeldungen und Statusinformationen durch unzählige Bussysteme, Steuerungen und IT Systemen gejagt.
Was ist konkret geschehen: Der Tastsensor neben der Tür hat über ein Bussystem ein Telegramm verschickt und der Controller für die Jalousie hat das Telegramm empfangen. Es besagt, dass der Behang vollständig heruntergefahren und die Lamellen komplett geschlossen werden sollen. Der Controller „weiß“, dass sich die Jalousien auf halber Höhe befinden und durchlässig gestellt sind. Also schickt auch er ein Telegramm über ein Bussystem auf die Reise und der Aktor am Motor der Außenjalousie empfängt diesen Befehl. Er setzt sich in Bewegung und der Sensor am unteren Ende des Fahrweges erkennt kurze Zeit später, dass der Behang unten angekommen ist. Dies meldet er sogleich über den Bus an den Aktor, der den Motor in der Endlage stoppt. Sie können sich schnell vorstellen, dass auf diesen Datenautobahnen einiges los ist.
Aber diese Daten bleiben nicht ungesehen. Alle Informationen werden von Controllern auf diesen Bussystemen mitgehört und an ein Gebäudeleittechniksystem (GLT) weitergeleitet. Dort angekommen, können diese Daten visualisiert werden. So sieht der Betriebsmanager des Gebäudes 18 Etagen tiefer auf seinem Kontrollmonitor, dass die Jalousien jetzt unten sind. Und er kann sie bei Bedarf mit nur einem Mausklick wieder nach oben fahren. Auch der Windsensor auf dem Dach liefert derweilen Daten und wenn es zu stürmisch wird, sendet er über Controller und Bussysteme ein Telegramm an den Aktor der Jalousie, der diese dann in eine sichere Lage bringt. Ab hier können Sie wild an den Tasten an der Eingangstür spielen – Ihr Wunsch wurde durch ein System mit höherer Priorität überschrieben.
In der Gebäudeautomation spricht man von Datenpunkten (DP), die Informationen von Sensoren aufnehmen oder Informationen an Aktoren abgeben können. Die Gebäudeautomation kennt drei Ebenen:
- Managementebene (Gebäudeleittechnik / GLT) mit Visualisierung und Interaktionsmöglichkeiten
- Automationsebene (DDC / Controller) über Bussysteme oder TCP/IP vernetzt
- Feldebene (Sensoren und Aktoren) direkt an den Geräten der DDC angebunden
Abhängig von Größe des Gebäudes und Grad der Automation können schnell 50.000 und mehr Datenpunkte erreicht werden. Auch sechsstellige Anzahlen sind heute keine Seltenheit mehr und erfordern ein sehr strukturiertes Vorgehen bei Planung, Implementierung und Wartung.
Der Risk-Manager
Nach dem kurzen Ausflug in die Automation von Gebäuden komme ich nun aber wieder auf die Sache mit dem Banking Risk-Manager zurück. Unsere damalige Aufgabe bestand darin, das eingesetzte GLT System zu sichten und Version sowie Ausbau zu dokumentieren. Der Weg zum Server der Gebäudeleittechnik und die Kontrollen waren überschaubar und im Betriebsraum stand ein offenes 19″ Rack mit genau einem Server, einem Switch und schier unzähligen Kabeln, die in alle Himmelsrichtungen in Kabelpritschen und Wänden verschwanden. Teilweise lagen Router, LTE Modems und DSL Endgeräte auf dem Schrankboden. Ein besonders chaotischer GLT Schrank? Nein, leider eher die Regel. Der im Raum sitzende Mitarbeiter des aktuellen FM Betreibers quittierte alle Fragen damit, dass alles schon so war, als er hier seinen Dienst angetreten hatte und er keine Ahnung hat, wohin die ganzen Kabel und Systeme führen. Auch ob diese noch notwendig sind, war unklar.
Wenn Sie sich an dieser Stelle als Verantwortlicher für die Gebäudeautomation oder die IT Ihren GLT-Schrank vor Augen rufen und erleichtert feststellen, dass es anderswo noch schlimmer ist. Freuen Sie sich nicht zu früh, denn auch ein scheinbar aufgeräumter Schrank und weniger Kabel birgt eine Menge Problempotential. Suchen Sie doch einmal die Dokumentation und die vollständige Sicherung der GA- und GLT-Systeme und schauen Sie ins Protokollbuch, wann die letzte Desaster-Recovery Rücksicherung erfolgreich getestet wurde (vgl. VDI 3814 – Gebäudeautomation)
Die Sichtung ergab, dass der Windows-Server hoffnungslos veraltete Versionen aufweist und stehende Verbindungen zu offenbar externen Gegenstellen aktiv waren. Da keiner sagen konnte, wer das verantwortet und wer Auskunft geben kann, ließen wir den Risk-Manager der Bank zu uns kommen. Der erschien auch wenig später im Raum, den er nach eigenem Bekunden niemals zuvor betreten hatte und tat den schon erwähnten Ausspruch: „Ach, es sind doch nur Daten der Gebäudeautomation. Meine IT ist sicher!“. Ganz im Gegenteil, er war regelrecht sauer, warum wir ihn wegen eines so unbedeutenden und nicht an seine IT integrierten Systems gerufen hatte.
Wetten dass …?
Es gibt Situationen, in denen sich in meinem Inneren eine Stimme meldet und sagt: „Na warte, Dir zeig ich es. Wetten, dass Du gleich Deine Meinung änderst?“. Und das meine ich gar nicht böse, aber derartig ignorante Haltungen von Verantwortlichen passen nicht zur Kritikalität des Themas. Ich hoffte auf schlichte Unwissenheit und nicht auf Absicht bei unserem Gegenüber. Also bat ich um weitere 5 Minuten seiner wertvollen Zeit und wettete mit ihm, dass er sich in Zukunft intensiver um diesen Raum und alles darin kümmern würde. Immerhin war er der Risk-Manager einer großen Bank und hat eine Menge an Vorschriften zu definieren und für deren Einhaltung zu sorgen. Die Wette zog und wir hatten seine Aufmerksamkeit.
Das Szenario
„Ich schlüpfe für die kommenden Minuten in die Rolle eines Kriminellen“. Wir sind heute hier in das Gebäude eingelassen worden, weil wir angaben, einen Termin für die Wartung der Gebäudeautomation zu haben. Wir wurden bis zu diesem Raum begleitet und vom Mitarbeiter des FM Dienstleisters empfangen. Bereitwillig wurde der Zugang und der Zugriff gewährt. Für eine Manipulation eines Systems dieser Art müsste ich nicht einmal in diesem Raum sein und schon gar nicht ein Passwort kennen oder raten, ich muss keine Tastatur anfassen oder über tiefgreifendes Hacker Know-how verfügen. Ich benötige eine Netzwerkdose der Gebäudeautomation und gerade in diesem Raum fällt eine weitere kleine Box in der Größe eines herkömmlichen Feuerzeugs mit einem Netzwerkstecker garantiert nicht auf. Und schon ist das LTE Modem installiert, aktiv und ich kann auf das Netzwerk der Gebäudeautomation zugreifen. Weltweit und vollkommen unbemerkt.
Was das denn mit seiner IT und seinen extrem abgesicherten Bank-Handelsräumen zu tun haben soll, wollte der Risk-Manager wissen. Recht hat er – zunächst zumindest.
Wir waren uns einig, dass ich nun von einem beliebigen Ort aus auf die Gebäudeautomation zugreifen konnte. Aber was sollte das schon an Auswirkungen auf die Bank und den Betrieb haben? Immerhin sind die Systeme in keinster Weise miteinander gekoppelt. Ich zeichnete „Stellen wir uns vor, Sie erhalten eine E-Mail, in der eine unbekannte Person einen hohen Geldbetrag fordert, weil er ansonsten das Gebäude kompromittieren würde.“ „Damit kann man uns nicht erpressen“, lachte er. „Was sehen Ihre Sicherheitsvorschriften vor, wenn im Haus das Licht ausgeht und die Lüftungsanlage mit +40 °C die Räume flutet?“. Er muss das Haus evakuieren lassen. Wir waren uns schnell einig, dass dieses Szenario sehr realistisch war und in der Kürze der Zeit keine Chance besteht, die Ursache zu lokalisieren. „Was passiert, wenn Ihre hochgradig auf Ebene der IT abgesicherten Serverräume keine Kühlung mehr erfahren?“ – „Das dürfen Sie nicht, dann fällt die Handels-IT an diesem wichtigen Standort aus und das hat Auswirkungen auf andere Standorte! Das halten wir nicht lange durch.“
Schlussfolgerung
Ohne hier zusehr ins Detail zu gehen und gar noch eine Vorlage für einen konkreten Erpressungsversuch zu liefern, wird hoffentlich eines klar: Systeme der Gebäudeautomation und Gebäudeleittechnik müssen einen mit der Office- und Produktions-IT vergleichbaren Stellenwert bekommen, wenn es um Sicherheit, Betrieb, Dokumentation und Risikoszenarien geht. Denn: Es handelt sich um sehr sensible Daten.
Betrachtet man dies alles im Kontext von heutigen und zukünftigen Anforderungen an Gebäude in den Bereichen Automation, Interaktivität, Optimierungen und dem großen Themenkomplex Klima, ESG und EU Taxonomie, steht eines fest: Gebäudedaten haben eine große Wichtigkeit, bilden die Grundlage für viele der vorgenannten Schritte. Es braucht geeignete Werkzeuge, diese anspruchsvolle und komplexe Thema zu beherrschen. Die Abschottung gegen externe Zugriffe ist keine Alternative und steht konträr zu den aktuellen Verfahren der Errichtung und Wartung, sowie den kommenden Entwicklungen und Anforderungen an solche Systeme.
In den nächsten Blogbeiträgen werde ich hierauf detaillierter eingehen und Lösungen aufzeigen:
Teil 2 – Und nun? – Wie schütze ich diese Daten jetzt?
Teil 3 – Alles über einen Kamm? – Warum ist ein Berechtigungsmanagement sinnvoll?