Kein Smart Building ­ohne smarte Cybersecurity

Warum sollten sich IT-Security-Verantwortliche heute auch mit Themen wie technisches Gebäudemanagement und Gebäudeautomation auseinandersetzen?

Max Rahner: Weil in den Smart Buildings von heute immer mehr IP-fähige Systeme zum Einsatz kommen, die Angreifer ins Visier nehmen können. Ziel kann es dabei entweder sein, die Gebäudetechnik selbst zu beeinträchtigen: Dann gibt es im Rechenzentrum plötzlich keinen Strom mehr. Das Hotelzimmer ist nicht mehr klimatisiert. Oder der Aufzug steht still. All das sind echte Betriebsrisiken, die die Betriebsfähigkeit eines Unternehmens unmittelbar gefährden, und damit enormes Erpressungspotenzial bieten. Die Angreifer können die gleichen Systeme aber auch missbrauchen, um darüber Zugang zur gesamten IT zu erhalten und dort beispielsweise sensible Daten zu stehlen. Das ist natürlich nur möglich, wenn die Gebäudetechnik nicht von der restlichen IT getrennt ist, also keine Schutzmechanismen eingebaut wurden. Aber Hand aufs Herz: Welcher Cybersicherheitsverantwortliche hat heute schon ein vollständiges Inventar der Gebäudetechnik und Einblick in die Nutzung sowie Zugriffe auf diese Geräte? Das sind die Allerwenigsten. Die berühmte Schatten-IT schlägt hier häufig zu. Diese Risikolage wiegt so schwer, dass inzwischen auch der Gesetzgeber einschreitet und klare regulatorische Leitplanken für den Schutz der Gebäudetechnik vorgibt oder besser gesagt nicht ausklammert. Wer die Gebäudetechnik im Security-Konzept ausklammert, riskiert also möglicherweise hohe Strafen.

Dann bleiben wir doch kurz beim Thema Compliance: Von welchen gesetzlichen Vorgaben sprechen wir denn genau?

Rahner: Inzwischen gibt es in diesem Umfeld so viele relevante Bestimmungen, sodass letztlich praktisch alle Betreiber von mindestens einer davon betroffen sind: Neben der NIS2-Richtlinie mit ihrem expliziten Allgefahrenansatz, die allerdings erst noch in lokales Recht umgesetzt werden muss, wären da die Critical Entities Resilience Directive (CER) und der Digital Operational Resilience Act (DORA) für das Finanzwesen, der nicht in lokales Recht überführt werden muss, sondern direkt ab Januar 2025 bindend ist. Allen drei ist eines gemeinsam: Sie fordern von den betroffenen Unternehmen ein risikobasiertes Cyber-Sicherheitskonzept. Das bedeutet: Die Verantwortlichen müssen mögliche Gefahrenszenarien identifizieren, die Eintrittswahrscheinlichkeit und das Schadenspotenzial bewerten, und dann aktiv entscheiden, ob sie das Risiko beheben oder akzeptieren möchten.

Und das auch mit Blick auf die Gebäudetechnik?

Rahner: Ja, in allen drei Fällen. Die meisten IT-Verantwortlichen denken beim Thema Risikomanagement zwar erst an die klassische Office-IT. Faktisch schränken die genannten Verordnungen aber nicht ein, welche Technologien betroffen sind. Sie stellen einfach nur fest – und das ist die entscheidende Neuerung –, dass die Security-Maßnahmen angemessen und risikobasiert auf den Geschäftserfolg abgestimmt sein müssen. Ein Klinikum, das unter die NIS2 und / oder CER fällt, muss also überprüfen, welche seiner Systeme sich auf die Behandlungsmöglichkeiten auswirken. Zeigt diese Analyse, dass ohne funktionsfähige Lifte keine Betten in den OP gefahren werden können, werden die Aufzüge automatisch zum kritischen, schützenswerten System. Das ist nur eines von vielen Beispielen, warum im Rahmen von NIS2, DORA und CER auch die gesamte Gebäudetechnik in der Risikoanalyse berücksichtigt werden muss. Daneben trifft der Cyber Resilience Act (CRA) die Inverkehrbringer von Gebäudetechnik. Sie müssen für die von ihnen vermarkteten Produkte für eine gewisse Zeit Sicherheitsupdates bereitstellen, um die Sicherheit entlang der Lieferkette zu gewährleisten. Zu beachten ist hierbei, dass es nicht um Hersteller, sondern um Inverkehrbringer geht. Importieren diese ein Produkt aus dem Ausland in die EU, sind sie zwar kein Hersteller, aber Inverkehrbringer. Zwar sollen nach Angaben der EU-Kommission rund 90 % der Erzeugnisse in die Gruppe der „nicht kritischen Produkte“ fallen,  aber dennoch werden risikoangemessene Cybersecurity-Maßnahmen als Zugangshürde zum EU-Markt gesetzt. Ohne solche keine CE-Kennzeichnung!

Wer nicht unter diese Bestimmungen fällt, kann sich also zurücklehnen?

Rahner: Das ist ein Schluss, den gerade öffentliche Auftraggeber gerne ziehen, der aber leider nicht stimmt: Denn Einrichtungen im öffentlichen Sektor müssen den Vorgaben des BSI IT-Grundschutzes genügen, und der wurde schon vor einigen Jahren um zwei neue Bausteine erweitert: Die Module INF. 13 Technisches Gebäudemanagement und INF. 14 Gebäudeautomation definieren explizit, worauf es beim Schutz der Gebäudetechnik zu achten gilt. Wenn wir es ganz genau nehmen, gibt es sogar noch eine dritten relevante Vorgabe aus dem Arbeitsschutz, die Technische Regel für Betriebssicherheit TRBS 1115, die immer dann greift, wenn Fehlfunktionen eines Geräts zu Personenschäden führen können – Aufzüge zum Beispiel.

Die Security-Verantwortlichen stehen also immer auch in der Pflicht, die Gebäudeinfrastruktur in das Konzept einzubeziehen?

Rahner: Richtig. Und zwar sowohl die technische Infrastruktur des jeweiligen Gebäudes, etwa die Elektrik, die Heizung und die Sanitärsysteme, als auch die zugehörigen, immer öfter Cloud-basierten Überwachungs-, Steuer-, Regel- und Optimierungssysteme. Letztere schließen übrigens auch die Alarm-, Brandschutz- und Einbruchsmeldeanlagen ein, die heute in jeder größeren Einrichtung – ob Schule, Krankenhaus, Bahnhof oder Produktionsanlage – im Einsatz sind. Gerade diese sogenannten Gefahrenmeldeanlagen bieten aus Sicht eines Angreifers sehr interessante Möglichkeiten. Das reicht vom ausgelösten Feueralarm, um ein öffentliches Gebäude zu evakuieren, bis zur ausgelösten Sprinkleranlage. Das Schadenspotenzial reicht von zart bis hart, von der Betriebsunterbrechung bis zum signifikanten Gebäudeschaden. Alle diese Systeme müssen erfasst, bewertet und angemessen geschützt werden.

Was Stand heute aber noch nicht überall der Fall ist, oder?

Rahner: Nein, bislang haben nur die wenigsten Betriebe die entsprechenden Weichen gestellt. Von erschreckend vielen Betreibern wird die Gebäudetechnik weder ausreichend gewartet noch gepatcht, was natürlich dazu führt, dass es in diesem Bereich inzwischen sehr viele Schwachstellen gibt. Wenn man dann im Gespräch nachfasst, wer für deren Behebung verantwortlich ist, heißt es gerne: Darum kümmert sich der Hausmeister. Was der natürlich zurecht vehement verneinen würde. Oder man sieht die Verantwortung beim Vermieter. Wer Mieter ist und die Gebäudetechnik mitmietet, muss aber gegebenenfalls den Vermieter auffordern, tätig zu werden. Bisherige Gespräche mit Kunden und Partnern haben gezeigt, dass Vermieter in der Sache jedoch wenig Bereitschaft zeigen. Cybersicherheit verursacht nun einmal zusätzliche Kosten – und der Margendruck ist hoch. Ein Kunde zeigte mir neulich zum Beispiel, dass sich mit frei käuflich erwerbbaren Mitteln und Anleitungen aus dem Internet Schlüsselkarten zum Gebäude fälschen lassen, ohne großartiges Know-How. Den Einbau einer sicheren Schließanlage lehnte der Vermieter jedoch ab und erklärte, dass man das Fälschen der Schlüsselkarten doch bitte unterlassen solle. Das ist natürlich nicht hilfreich.

Eigentlich obliegt es ganz klar der Cybersecurity, das technische Gebäudemanagement und die Gebäudeautomation in ein zeitgemäßes Sicherheitskonzept auf dem aktuellen Stand der Technik zu integrieren. Dabei müssen externe Lieferanten, wie Vermieter und Dienstleister, berücksichtigt werden. Aber auch da findet glücklicherweise ein Umdenken statt – und spätestens, wenn die IT-, die OT- und die Gebäudetechnik in einem zentralen Inventar und auf einem Dashboard zusammenlaufen, wird die Botschaft verstanden.

Stichwort Bedrohungslage: Von welcher Seite droht der Gebäudeinfrastruktur denn Gefahr?

Rahner: Weite Teile der Gebäudetechnik sind heute über IP drahtgebunden oder kabellos an die Unternehmensnetze, an das Internet oder an unterschiedlichste Clouds angebunden – typischerweise, weil die Systeme darüber gemanagt und überwacht werden, oder weil sie auf diese Weise kontinuierlich Statusdaten übermitteln. Damit werden alle diese Komponenten Teil der Angriffsfläche des Unternehmens, und sind wie jedes andere System über Cyberattacken angreifbar. Besonders gerne nutzen Cyberkriminelle dafür ungepatchte Schwachstellen der Geräte, oder unsichere Identitäten, bei denen zum Beispiel nach wie vor die werkseitigen Passwörter verwendet werden. Gerade letztere können in der Gebäudetechnik wahnsinnig interessant sein, weil es dort sehr viele verknüpfte Identitäten gibt. Digitale Identitäten sind nicht unbedingt personengebunden, sondern sind viel häufiger technische Accounts. Es gibt also keinen menschlichen User, der abnormale Aktivität bemerken würde. Es ist nicht unüblich, dass in der Gebäudetechnik auf eine personenbezogene Identität zwanzig oder mehr technische Identitäten kommen. Wenn ein Angreifer also zum Beispiel einen schlecht abgesicherten Cloud Provider findet und Rückschlüsse auf die von ihm verwalteten Identitäten ziehen kann, erhält er leicht Zugang zu den Tenants aller Endkunden, und kann von dort im Worst Case in deren Netzwerke gelangen. Aber auch ohne diesen Wechsel ins IT-Netzwerk ist es natürlich brandgefährlich, wenn Angreifer die Kontrolle über die Gebäudetechnik übernehmen.

Gibt es in der Gebäudetechnik viele Schwachstellen?

Rahner: Ja, weil die Laufzeit der Systeme sehr lang ist, ist die eingesetzte Software häufig veraltet und nicht optimal geschützt – Stichwort Security by Design: Die Gebäudetechnik war schlicht nicht für Vernetzung gedacht – zumal es in vielen Betrieben, wie angesprochen, an einem robusten Patch-Management mangelt. Schwachstellen sind also weit verbreitet und bleiben lange offen. Die Bedrohungslage verschärft sich also rasant.

…und die Entdeckungswahrscheinlichkeit ist vermutlich auch nicht sehr hoch?

Rahner: Im Gebäudetechnikbereich geht sie aktuell gegen Null, weil es nur in den wenigsten Unternehmen zeitgemäße Monitoring-Lösungen und Schwachstellenscanner für diese Systeme gibt. Wer über den Fernwartungszugang eines Aufzugs infiltriert wird, erfährt es mit hoher Wahrscheinlichkeit gar nicht. Das wissen die Cyberkriminellen sehr gut. Deshalb verzichten sie oft bewusst darauf, die Funktionalität der gekaperten Systeme zu beeinträchtigen. Einfach, weil es für sie wesentlich lukrativer ist, wenn sie stattdessen unbemerkt die Geräte mit der besten Performance heraussuchen und zum Beispiel deren Rechenleistung zum Bitcoin-Mining, für DDoS-Attacken oder anderen Botnet-basierten Unsinn abzweigen. Das kann jahrelang im Hintergrund laufen.

Was können Unternehmen tun, um sich in diesem ­Bereich besser zu schützen?

Rahner: Wie immer in der Cybersecurity gilt auch hier: Man kann nur schützen, was man kennt. Der erste Schritt wird es daher immer sein, sich einen lückenlosen Überblick über alle Systeme in der Gebäudetechnik zu verschaffen. Allerdings ist so ein Scan der Assets alles andere als trivial, weil die Bandbreite der verwendeten Protokolle enorm ist, und manche Legacy-Systeme seit Jahrzehnten laufen. Etablierte IT-Security-Tools stoßen da schnell an ihre Grenzen. Mit einer für Nicht-IT-Systeme optimierten Lösung wie Tenable OT lassen sich erfahrungsgemäß aber alle Devices inventarisieren und mappen, ohne die Verfügbarkeit zu beeinträchtigen. Die Betreiber kriegen im Anschluss sogar eine Übersicht der bekannten Schwachstellen der identifizierten Geräte, inklusive Tipps zu Behebung.

Und wenn das Inventar ­erfasst ist?

Rahner: Dann sollte man sich zunächst die Zeit nehmen, zu ermitteln, wofür die identifizierten Systeme in der Praxis verwendet werden: Ist die gelistete Wasserpumpe Teil der kritischen Kühlsysteme oder bedient sie nur den Springbrunnen vor der Haustür? Das ist eine Frage, die sich in vielen Firmen bis jetzt niemand gestellt hat, die mit Blick auf einen risikobasierten Schutz aber wirklich wichtig ist. Und all diese Antworten sollten dann ebenfalls in das Inventar aufgenommen werden.

Wobei dieses Inventar zu diesem Zeitpunkt isoliert die Gebäudetechnik betrachtet, richtig?

Rahner: Ja, in dieser einfachsten Konstellation schon. Technisch ist es uns heute aber auch möglich, die OT-Daten in unserer Plattform Tenable One mit den IT-Daten zusammenzubringen und zu korrelieren. Die Frage, die sich Betreiber stellen sollten ist: Was alles benötige ich für den unterbrechungsfreien Betrieb? Das ist keine technische Frage, sondern setzt Kenntnis der Geschäftsprozesse voraus. Auf diese Weise lassen sich sehr spannende Einblicke gewinnen: Ein Bank-CISO kann dann zum Beispiel den Zusammenhang herstellen, welche der Klimaanlagen die On-Prem-Mainframes in seinem Rechenzentrum kühlt – und kann in Tenable One diese in der Risikokette seiner mit den Mainframes erbrachten Services berücksichtigen, obwohl kein technischer, sondern nur ein betrieblicher Zusammenhang besteht.

Der Fokus auf betriebliche ­Risiken ist sowohl bei NIS2 als auch bei DORA und CER ein zentraler Aspekt. Warum ist das so?

Rahner: Weil wir ohne Berücksichtigung der betrieblichen Folgen eines Ausfalls sämtliche Geräte und sämtliche Risiken gleich behandeln müssten. Das wäre ungleich teurer, weil man das Unwichtige nicht mehr ausklammern könnte. Zudem würden wir Gefahr laufen, die wirklich wichtigen Aspekte nicht angemessen zu priorisieren. Und drittens könnten wir Zusammenhänge übersehen, die wirklich geschäftskritisch sind. Bleiben wir beim Beispiel Krankenhaus: Sobald wir alles in den Risikozusammenhang stellen, sehen wir, dass einige Klimageräte den OP versorgen und damit absolut kritisch sind, während andere die Temperatur im Wartezimmer regeln, und damit eher niederrangig sind. Dann können wir die unkritischen Systeme hintenanstellen, und die anderen im Schutzmaßnahmenkatalog priorisieren.

Wo stehen die Unternehmen denn heute beim Schutz der Gebäudeinfrastrukturen? Lässt sich die Situation mit dem Schutz von Industrieumgebungen vergleichen?

Rahner: Nun, die Anforderungen sind in beiden Bereichen ähnlich, aber was den Reifegrad betrifft, liegt das Building-Management weit zurück – vielleicht da, wo die OT-Security vor 8 Jahren stand. In der Industrie gibt es inzwischen ein ausgeprägtes Bewusstsein dafür, dass man inventarisieren muss, dass man ein durchgängiges Cybersecurity-Konzept braucht und dass Themen wie Secure-by-Design oder Engineering-Security schon im Einkauf zu berücksichtigen sind. Im Bereich Gebäudetechnik kenne ich niemanden, der entsprechende Einkaufsrichtlinien hat.