Neue Sicherheitsanforderungen an die Gebäudeautomation
Cybersicherheit wird in der Gebäudeautomation zunehmend zu einer grundlegenden Anforderung an Planung, Betrieb und eingesetzte Geräte. NIS2 und das BSIG verpflichten Betreiber kritischer Infrastrukturen zu angemessenem Risikomanagement und wirksamen Sicherheitsmaßnahmen. Gleichzeitig erhöht der Cyber Resilience Act (CRA) die Anforderungen an Hersteller von Geräten und Komponenten.
Für die Gebäudeautomation bedeutet das: Kommunikation muss geschützt, Geräteidentitäten zuverlässig abgesichert und Vertrauensbeziehungen technisch sauber aufgebaut werden. Eine zentrale Rolle spielen dabei digitale Zertifikate aus einer Public Key Infrastruktur (PKI). Eine PKI stellt diese Zertifikate aus und verwaltet sie über ihren gesamten Lebenszyklus hinweg. Sie ermöglichen sichere Kommunikation und schaffen die Grundlage für eine belastbare Vertrauenskette zwischen Systemen und Geräten.
Gerätezertifikate über den gesamten Lebenszyklus sicher verwalten
Digitale Zertifikate sind kein einmaliges Thema. Um regulatorische Anforderungen zu erfüllen und ein hohes Sicherheitsniveau sicherzustellen, müssen sie über den gesamten Lebenszyklus eines Geräts hinweg verwaltet werden. Hersteller statten ihre Geräte in der Regel bereits in der Produktion mit initialen Zertifikaten aus. Vor dem operativen Einsatz im Gebäude sind diese jedoch durch Zertifikate aus einer vertrauenswürdigen Unternehmens-PKI des Gebäudemanagements zu ersetzen. Hinzu kommt: Zertifikate laufen ab und müssen überwacht, rechtzeitig erneuert und sauber ausgetauscht werden.
Mit BACnet Secure Connect (BACnet/SC) hat die Gebäudeautomation die Voraussetzungen geschaffen, um auf gestiegene Sicherheitsanforderungen zu reagieren. BACnet/SC-fähige Geräte nutzen digitale Zertifikate, um Kommunikation abzusichern und vertrauenswürdige Geräteidentitäten aufzubauen.
BACnet/SC erstmals praxistauglich automatisieren
Implementation PKI Use-Cases mit BACnet/SC (© MTG AG)
Nach der Auslieferung müssen Herstellerzertifikate in der Regel durch Zertifikate des Gebäudemanagements ersetzt werden – in der Praxis bislang meist manuell pro Gerät. Bei wenigen Komponenten mag das noch handhabbar sein. In größeren Gebäuden mit vielen vernetzten Geräten, unterschiedlichen Herstellern und verschiedenen Zertifikatslaufzeiten führt dieser Ansatz jedoch zu erheblichem Aufwand und damit zu höheren Kosten.
Unbeabsichtigt abgelaufene Zertifikate können in der Folge die Gebäudeautomation ganz oder teilweise zum Erliegen bringen. Manuelle Prozesse sind fehleranfällig. Betriebskosten steigen. Zertifikatslaufzeiten müssen dauerhaft im Blick behalten werden. Die Praxistauglichkeit für reale Gebäude ist dadurch deutlich eingeschränkt. Auch die wirtschaftliche Umsetzung neuer Sicherheitsvorgaben wird erschwert.
In der Praxis stellt sich eine zentrale Herausforderung: Der manuelle Umgang mit Zertifikaten skaliert nicht.
Die eigentliche Herausforderung liegt nicht in der Laufzeit einzelner Zertifikate, sondern im effizienten und skalierbaren Management über den gesamten Lebenszyklus hinweg.
Rechenbeispiel für den manuelle Aufwand beim Zertifikatswechsel in einer mittleren Liegenschaft (© MTG AG)
Ein einfaches Beispiel verdeutlicht den Aufwand
Wird für die Einrichtung oder den Austausch eines Zertifikats pro Gerät mit nur 10 Minuten gerechnet – ein durchaus optimistischer Wert – ergibt sich bei 100 Controllern in einer mittleren Liegenschaft bereits ein Aufwand von 1.000 Minuten pro Durchlauf.
Bei zwei erforderlichen Zertifikatswechseln pro Jahr entspricht das rund 2.000 Minuten bzw. über 30 Stunden jährlich. Gleichzeitig ist in der IT-Welt eine klare Entwicklung hin zu deutlich kürzeren Zertifikatslaufzeiten zu beobachten. Entscheidungen des CA/Browser Forum sehen perspektivisch Laufzeiten von deutlich unter 100 Tagen vor, ab 2029 nur noch 47 Tage. Für dieselbe Liegenschaft würde das bedeuten: Der manuelle Aufwand steigt von rund 30 Stunden auf deutlich über 120 Stunden jährlich. Damit wird eine Größenordnung erreicht, die manuell kaum noch zuverlässig beherrschbar ist.
Auch wenn diese Vorgaben nicht unmittelbar auf die Gebäudeautomation übertragbar sind, zeigen sie die Richtung: Kürzere Laufzeiten reduzieren das Risiko kompromittierter Schlüssel und erhöhen die Sicherheit von Systemen nachhaltig. In der Praxis werden daher häufig Laufzeiten von sechs bis zwölf Monaten gewählt – als bewusster Kompromiss zwischen Sicherheitsanforderungen und operativem Aufwand. Mit zunehmender Anzahl vernetzter Geräte und steigenden Anforderungen an die IT-Sicherheit wird jedoch deutlich: Manuelle Prozesse stoßen schnell an ihre Grenzen.
In der Praxis kommt neben dem rechnerischen Aufwand weitere Komplexität hinzu, weil unterjährig ausgetauschte Geräte und zeitlich verteilte Bearbeitungsfenster häufig zu unterschiedlichen Zertifikatslaufzeiten führen. Umso wichtiger werden Transparenz, Kontrolle und die automatisierte Erneuerung von Zertifikaten, um das Risiko unbeabsichtigt abgelaufener Zertifikate und von Fehlkonfigurationen zu reduzieren.
Mit einer geeigneten PKI ist die Automatisierung der Zertifikatsbeantragung und Zertifikatsverlängerung grundsätzlich möglich. Standardprotokolle wie EST, CMP oder SCEP schaffen dafür die Grundlage. BACnet/SC ermöglicht zwar sichere Kommunikation mit Zertifikaten, unterstützt aber keine direkte Automatisierung der Zertifikatsprozesse über Standardprotokolle wie EST oder CMP, die üblicherweise für Geräte genutzt werden.
Auch die eingesetzte PKI kann zum limitierenden Faktor werden, wenn sie diese Automatisierungsprotokolle nicht unterstützt. Eine weit verbreitete Microsoft-PKI kann zwar Zertifikate ausstellen, ohne Unterstützung von Protokollen wie beispielsweise EST ist jedoch keine durchgängige Automatisierung möglich.
Die Lösung: Das MBS PKI Gateway | BACnet/SC unterstützt EST
Genau an dieser Stelle setzt das PKI Gateway | BACnet/SC an, realisiert auf Basis von MBS-Universal-Gateways. Damit schafft MBS die notwendige Brücke zwischen BACnet/SC und moderner PKI-Automatisierung. Das Gateway unterstützt das Standardprotokoll EST und schafft damit die Grundlage für eine herstellerunabhängige und automatisierte Zertifikatskommunikation. MBS übernimmt dabei die Rolle, Kommunikation zwischen Systemen möglich zu machen, die ohne diese Integration nur mit erheblichem manuellem Aufwand realisierbar wäre.
In Kombination mit der MTG Corporate PKI wird so der Weg für ein leistungsfähiges, automatisiertes Zertifikatsmanagement bereitet. Geräte können effizient mit Anwenderzertifikaten versorgt, Zertifikate zentral verwaltet und rechtzeitig erneuert werden. Erst durch diesen kombinierten Ansatz entsteht aus einer regulatorischen und technischen Anforderung ein praxistauglicher Prozess.
Die MTG Corporate PKI kann dabei unter Beachtung der strengen Anforderungen an Schutzzonentrennung lokal im Gebäude betrieben werden. Die MTG Software wird in einem eigens dafür entwickelten virtuellen Appliance-Format ausgeliefert und ist ohne hohen Setup-Aufwand schnell einsatzbereit. Zugriffe von außen erfolgen ausschließlich kontrolliert und in abgesicherten Bereichen. Gerade in sensiblen Umgebungen bietet dieser Ansatz Vorteile. Sicherheitsrelevante Kernfunktionen bleiben lokal verfügbar. Integrationswege sind klar steuerbar. Die PKI lässt sich leichter in bestehende Betriebs- und Sicherheitskonzepte einbinden.
Automatisiertes Zertifikatsmanagement frühzeitig an realen Geräten testen
Die M&P Gruppe hat ihre bewährte Teststellung gezielt um diese innovativen Bausteine von MBS und MTG erweitert. Sie zeigt den aktuellen Stand der Technik mit marktüblichen BACnet/SC-fähigen Komponenten. Direkt beim Kunden aufgebaut, bildet sie eine vollständige Gebäudeautomation in einem bewusst anspruchsvollen Best-Case-Szenario ab, einschließlich PKI und Certificate Lifecycle Management.
Teststellung der M&P Gruppe: Proof of Concept OT-Security mit MBS PKI Gateway | BACnet/SC und MTG Corporate PKI (© M&P Gruppe)
So lässt sich praxisnah zeigen, wie sichere, resiliente und herstellerunabhängige Gebäudeautomationsnetze aufgebaut und betrieben werden können. Individuelle Anforderungen und konkrete Szenarien können risikofrei getestet werden, bevor sie in realen Projekten umgesetzt werden. Neue Sicherheitsanforderungen in der Gebäudeautomation lassen sich damit frühzeitig prüfen. Gleichzeitig wird deutlich, wie sich kosteneffiziente und automatisierte Prozesse etablieren lassen. So entsteht ein konkret testbarer und planbarer Lösungsansatz für die moderne Gebäudeautomation.
Bei Fragen kontaktieren Sie uns. Wir bringen Sie für einen PoC mit den richtigen Ansprechpartnern bei der M&P Gruppe und MBS zusammen.