Warum reale Angriffe auf HLK-Systeme nur schwer erkannt werden - und wie eine Cybersecurity-Testbench hier Aufklärung schafft

Ein Interview mit Prof. Olivier Steiger und Reto Marek von der HSLU

hslu-Overview — Versuchsaufbau an der HSLU.

Cyberangriffe auf Gebäudeautomation werden oft unterschätzt – mit gravierenden Folgen. Prof. Dr. Olivier Steiger und Reto Marek von der Hochschule Luzern erklären im Interview, wo die blinden Flecken beim Fernzugriff liegen wo die blinden Flecken beim Fernzugriff liegen, warum fehlende Verantwortlichkeiten besonders kritisch sind und wie sich Betreiber auf kommende Standards vorbereiten sollten.

Redaktionelle Bearbeitung: Phase5

Welche «blinden Flecken» sehen Sie aktuell beim Fernzugriff auf HLKS- und Gebäudeautomationssysteme?

Prof. Dr. Olivier Steiger - HSLU — Prof. Dr. Olivier Steiger von der HSLU

Der wichtigste blinde Fleck ist, dass Cyberangriffe bei der Gebäudeautomation (GA) oft gar nicht als Gefahr wahrgenommen werden. Das bedeutet, dass die GA häufig ohne Berücksichtigung der Cybersicherheit geplant und umgesetzt wird – in der Annahme, dass die IT-Abteilung mögliche Probleme auf übergeordneter Ebene abfängt, indem sie für die GA beispielsweise eigene virtuelle Netze verwendet.

Dies garantiert jedoch keine vollständige Sicherheit beim Fernzugriff, da die Web-Anbindung Angriffe wie die Befehlsinjektion über die Web-Management-Oberflächen oder den Zugriff auf einzelne Geräte mit hardcodierten Zugangsdaten ermöglicht. Auch die Manipulationssicherheit, beispielsweise bei Firmware-Updates, ist damit nicht automatisch gewährleistet.

Zudem fehlt oft weiterhin das Bewusstsein dafür, welchen Gefahren die GA und somit das Gebäude und seine Nutzer durch Cyberangriffe ausgesetzt sind. Dazu zählen Datendiebstahl, Betriebsstörungen, der unbefugte physische Zugang zum Gebäude, die Einbindung in DDoS-Attacken (Distributed Denial of Service), Erpressung und die Preisgabe privater Nutzerdaten, beispielsweise von Anwesenheitszeiten.

Weitere Punkte:

Lifecycle-Management: Wichtig ist nicht nur die initiale Absicherung, sondern auch ein durchgängiges Lifecycle-Management mit regelmässigen Firmware-Updates, Passwortänderungen und Updates auf neuere Techniken wie die Multi-Faktor-Authentifizierung (MFA). Werden Sicherheitslücken durch den Hersteller geschlossen, dann stellt dieser die Firmware-Updates oft nur im Rahmen von Serviceverträgen bereit. Oft hat der Kunde keine Möglichkeit zur eigenständigen Konfiguration oder Installation von Updates. In der klassischen IT ist dies anders.

«Security through Obscurity»: In der Gebäudeautomation wird fälschlicherweise oft davon ausgegangen, dass proprietäre Protokolle oder physische Trennung bereits ausreichenden Schutz bieten. Diese Annahme ist trügerisch und kann zu einem gefährlichen Sicherheitsrisiko führen. Auch moderne «Secure»-Varianten bieten lediglich eine zusätzliche Schutzschicht – sie machen ein zuvor ungeschütztes Protokoll sicherer, aber nicht unangreifbar. Absolute Sicherheit, wie der Begriff «Secure» suggerieren könnte, existiert nicht.

Standardkonfiguration: Es werden unsichere Standardkonfigurationen verwendet. – Fernzugriff teils ohne IT-Logging, Ablaufdatum und ohne MFA.

Welche organisatorischen Versäumnisse oder Unsicherheiten sind aus Ihrer Sicht besonders kritisch?

Reto Marek - HSLU — Dozent Reto Marek von der HSLU

Das wohl kritischste Versäumnis sind fehlende Verantwortlichkeiten. Für jede Anlage müssen die Zuständigkeiten bezüglich der Cybersicherheit zwischen den Verantwortlichen der Bereiche IT und OT, dem Facility Management sowie externen Dienstleistern und Herstellern festgelegt werden. Die IT ist beispielsweise für abgesicherte Netze zuständig, die OT für sichere Updates und der technische Dienst bzw. das Facility Management für die Vermeidung nicht autorisierter physischer Zugriffe auf die Anlage. Die Hersteller liefern sichere Hardware und Software. Zudem ist technisches und nicht-technisches Personal häufig nicht ausreichend für die Cyberrisiken im Bereich der Gebäudeautomation geschult.

Ebenso wichtig ist eine lückenlose Verwaltung und Dokumentation aller sicherheitsrelevanten Aspekte der Anlage. Dazu gehören die eingesetzten Komponenten, die Firmware- und Softwareversionen, die Passwörter, die Sicherheitszertifikate und die Sicherheitseinstellungen. Dies ermöglicht einen Überblick über verwundbare oder veraltete Komponenten, bildet die Grundlage für Risikoanalysen und erleichtert die Wiederherstellung der Anlage nach einem Vorfall.

Letztlich fehlen oft strukturierte, periodische Prüfungen – sogenannte Audits –, um Sicherheitslücken zu erkennen.

Wie gut ist das IT-Sicherheitsverständnis im Bereich Gebäudetechnik im Vergleich zur klassischen IT-Branche?

Das IT-Sicherheitsverständnis ist im Bereich der Gebäudetechnik weniger stark ausgeprägt als in der klassischen IT-Branche. Das liegt unter anderem vermutlich daran, dass es in diesem Bereich noch keine spektakulären Fälle gab, die an die Öffentlichkeit gelangt sind. Solche Fälle haben im IT-Bereich stark zur Sensibilisierung der Branche und der breiten Öffentlichkeit beigetragen.

Verschiedene Studien sowie unsere eigenen Untersuchungen haben jedoch gezeigt, dass auch in Komponenten der Gebäudeautomation zahlreiche Schwachstellen vorhanden sein können und mit dem Internet verbundene Systeme zahlreichen Attacken ausgesetzt sind.

Zudem lag und liegt der Fokus bei der Gebäudeautomation nach wie vor hauptsächlich auf Funktionalität und Preis, während Cybersicherheit lange Zeit als zweitrangig betrachtet wurde. Aktuell nimmt jedoch das Bewusstsein für diese Problematik bei den Herstellern stark zu. Dies manifestiert sich in immer besser abgesicherten (IoT-)Komponenten sowie dem Aufkommen sicherer Kommunikationsstandards wie BACnet Secure Connect und KNX Secure. Es ist davon auszugehen, dass durch diese Entwicklung auch Planende und Nutzende zunehmend für das Thema sensibilisiert werden.

Oft besteht zudem eine Kommunikationslücke zwischen der IT und der GA vor Ort. Den IT-Verantwortlichen sowie den Mitarbeitern im Bereich der Gebäudeautomation fehlt das Verständnis für die jeweiligen Anforderungen und Rahmenbedingungen der anderen Seite. Dieses fehlende gegenseitige Verständnis führt in der Praxis nicht selten zu unsicheren Kompromissen. Ein Beispiel hierfür ist, wenn Netzwerke für kurze Zeit (z.B. bei der Inbetriebnahme der Anlage) geöffnet und anschliessend dauerhaft ungesichert belassen werden.

Welche Standards sind für Betreiber relevant – und wo scheitert deren Umsetzung?

Die klassischen Bussysteme der Gebäudeautomation wie KNX, BACnet oder DALI wurden ursprünglich ohne Sicherheitskonzepte entwickelt. Es werden jedoch zunehmend abgesicherte Varianten davon entwickelt.

In der klassischen Gebäudeautomation sind dies vor allem BACnet/SC (Secure Connect), KNX Secure und das selten eingesetzte Modbus/TCP Security. In der Welt des Internets der Dinge (IoT) sind abgesicherte Kommunikationsprotokolle wie OPC UA, Z-Wave, ZigBee oder Thread dagegen bereits gut etabliert. Die zentralen Sicherheitsmechanismen all dieser Protokolle sind die Verschlüsselung der Daten und die Authentifizierung, also die Identitätsprüfung der Kommunikationspartner.

Die Umsetzung abgesicherter Lösungen scheitert in erster Linie an den vergleichsweise wenigen verfügbaren Produkten – vor allem in der klassischen GA – sowie an der Komplexität der Umsetzung. Damit die Lösung sicher funktioniert, müssen durchgängig abgesicherte Komponenten eingesetzt werden, die Protokolle wie BACnet/SC oder KNX Secure unterstützen. Der Ersatz bestehender Komponenten durch diese neuen Produkte ist kostenintensiv und aufwändig.

Zudem sind die Inbetriebnahme und Wartung abgesicherter Komponenten vergleichsweise komplex. Das liegt in erster Linie an den notwendigen Sicherheitsschlüsseln und Zertifikaten. Diese müssen generiert, verwaltet und regelmässig erneuert werden. Bevor sich abgesicherte Lösungen breit durchsetzen können, müssen die dafür notwendigen Prozesse entwickelt und standardisiert sowie das notwendige Know-how im Feld aufgebaut werden.

Welche konkreten Mindestanforderungen an sicheren Remote Access würden Sie Betreibern heute empfehlen?

Einzelne Sicherheitsmassnahmen allein reichen nicht aus – wirklich sichere Lösungen erfordern einen ganzheitlichen Ansatz. Bevor Technologien wie Fernzugriff oder Cloud-Anbindung eingesetzt werden, sollte grundsätzlich hinterfragt werden, ob diese Funktionen überhaupt notwendig sind. Geräte, die lokal und ohne Internetverbindung betrieben werden, bieten oft eine geringere Angriffsfläche und können potenzielle Cyberangriffe somit von vornherein verhindern.

Wenn der Fernzugriff notwendig ist – was zunehmend oft der Fall ist –, sollte dieser durch einen zentralen Automationsrechner sichergestellt werden, beispielsweise über einen sicheren VPN-Zugang. Remote-Zugriffe direkt auf Automationsgeräte sollten wenn möglich vermieden werden. Die Kommunikation zwischen den für den Fernzugriff eingesetzten Geräten (z.B. PC oder Smartphone) und dem zentralen Rechner muss verschlüsselt erfolgen. Wichtig sind auch eine starke Authentifizierung mittels sicherer und einzigartiger Passwörter sowie eine Zwei-Faktor-Authentifizierung. Zudem sollten alle involvierten Komponenten durch Software-Updates auf dem neuesten Stand gehalten werden.

Ebenso wichtig ist eine klare Verwaltung der Rollen und Rechte. Das bedeutet beispielsweise, dass keine gemeinsamen Admin-Accounts verwendet werden dürfen und externe Dienstleister einen zeitlich begrenzten, personalisierten Zugang mit genau den Rechten erhalten, die sie benötigen. Fernzugriffe sollten lückenlos aufgezeichnet und regelmässig auditiert werden. „Just-in-Time-Zugriffskonzepte” (Zugriffszeitfenster und Genehmigungsprozesse) verhindern zudem unkontrollierte Dauerzugriffe.

Gibt es aus Ihrer Sicht belastbare Studien oder Vorfälle zur Bedrohungslage in der Gebäudeautomation in der Schweiz?

Leider sind mir keine Studien speziell zur Gebäudeautomation in der Schweiz bekannt. Laut dem Nationalen Zentrum für Cybersicherheit (NCSC) haben sich Cybervorfälle in der Schweiz in den letzten Jahren jedoch vervielfacht. Betroffen ist sowohl die klassische IT (Informationstechnologie) mit Büro- und Netzwerktechnik wie Servern, PCs oder Cloud-Diensten als auch die OT (Operational Technology), zu der beispielsweise Gebäudeautomation, Industrieanlagen oder die Energieversorgung gehören. Entsprechende Statistiken und Berichte sind auf der Webseite des NCSC abrufbar: www.ncsc.admin.ch.

Fragen zum Projekt «Cybersecurity der Gebäudeautomation»

Erklären Sie das Projekt «Cybersecurity der Gebäudeautomation»: Worum geht es und welche Ziele wollen Sie erreichen?

In diesem Projekt wollen wir die mit der Gebäudeautomation verbundenen Cyberrisiken ermitteln und die Absicherung verschiedener Produkte und Kommunikationsprotokolle gegen Angriffe untersuchen.

Zu diesem Zweck wurde eine Testumgebung entwickelt, die ein Gebäudeautomationssystem möglichst realitätsnah abbildet. Die Testumgebung setzt sich aus verschiedenen «Standorten» zusammen. Ein Standort repräsentiert eine komplette Gebäudezone und umfasst Steuerungen für eine Lüftungsanlage, eine Wärmeerzeugungsanlage (zum Beispiel eine Wärmepumpe) sowie Heiz- und Kühlverteilungsgruppen und Raumautomatisierungsgeräte für Beleuchtung, Beschattung und Temperaturregelung. Alle Standorte sind über ein zentrales Backbone-Netzwerk miteinander verbunden und kommunizieren entweder mittels BACnet IP oder BACnet/SC (Secure Connect). Die Testumgebung wird für die Durchführung von Tests, das Erlernen verschiedener Sicherheitsbedrohungen und die Entwicklung wirksamer Abwehrmassnahmen benötigt.

Im Rahmen eines einwöchigen Hackathons mit Cybersicherheitsexperten wurden die kritischsten Sicherheitsrisiken gängiger GA-Lösungen ermittelt. Zu diesem Zweck wurden netzwerkbasierte Angriffe durchgeführt, eine Analyse der Firmware vorgenommen und physische Angriffe auf die Testumgebung ausgeführt. Im Rahmen dieser Veranstaltung wurden mehrere Sicherheitslücken entdeckt. Alle wurden den betroffenen Anbietern gemeldet und werden derzeit behoben.

Was war der konkrete Anlass für den Aufbau Ihrer Cybersecurity-Testbench – gab es reale Sicherheitsvorfälle?

Nein, bei diesem Projekt stehen Prävention und Wissensaufbau im Vordergrund. Sowohl uns als auch dem Auftraggeber Armasuisse (Cyber Defense Campus, armasuisse W+T) geht es in erster Linie darum, die bestehenden Sicherheitsrisiken und ihre Auswirkungen auf den Gebäudebetrieb und darüber hinaus zu verstehen. Im Kern steht die Frage, ob die Gebäudeautomation ein Sicherheitsrisiko für Gebäude, Menschen und die Gesellschaft darstellt. Weiter geht es um das eingehende Verständnis der Risiken neuer, abgesicherter Technologien wie BACnet/SC und darum, zu ermitteln, wie diese eingesetzt werden müssen, um Sicherheit zu gewährleisten.

Welche Komponenten und Protokolle sind in der Testbench integriert – wie realitätsnah ist die Umgebung?

Bisher wurden Komponenten von fünf grossen Herstellern verbaut, darunter Sensoren, Aktoren, Bedien- und Anzeigegeräte, Automationsstationen sowie Leitsysteme. Die Testumgebung wird jedoch stetig um zusätzliche Hersteller und Funktionen erweitert, beispielsweise um Energiemanagement- oder Zutrittskontrollsysteme. Auf der Feldebene wird eine Vielzahl von Protokollen für die Kommunikation verwendet, beispielsweise DALI, KNX, Modbus und LoRaWAN. Diese stehen jedoch (noch) nicht im Mittelpunkt der Untersuchungen. Der Fokus liegt auf der Kommunikation zwischen den Automations- und Managementeinrichtungen mittels BACnet IP und BACnet/SC.

Aus unserer Sicht ist die Umgebung realitätsnah, da gängige Produkte und eine realistische Systemstruktur zum Einsatz kommen. Allerdings bildet die Testumgebung natürlich nicht alle möglichen Konstellationen ab. Das heisst, es gibt zahlreiche weitere Anordnungen, Produkte und Anwendungen, die in der Praxis zum Einsatz kommen – und damit möglicherweise zusätzliche Sicherheitsrisiken bergen.

Welche Angriffsszenarien simulieren Sie – und was waren bisher die überraschendsten oder alarmierendsten Ergebnisse?

Bisher wurden netzwerkbasierte Angriffe, Analysen der Firmware sowie physische Angriffe auf die Testumgebung durchgeführt. Dadurch konnten verschiedene Schwachstellen identifiziert werden, darunter Befehlsinjektionen über Webschnittstellen, fest codierte kryptografische Schlüssel und Anmeldedaten, ungeschützte Hardware-Debug-Schnittstellen sowie Denial-of-Service-Angriffe durch fehlerhafte BACnet-Pakete. Im Rahmen weiterer Tests sollen zusätzliche Angriffsstrategien eingesetzt und spezifische Strategien für abgesicherte Protokolle entwickelt werden.

Mit welchen Tools oder Methoden analysieren Sie Schwachstellen, und wie werden diese dokumentiert?

Bisher fanden die Angriffe der Sicherheitsexperten auf die Testumgebung weitgehend unstrukturiert statt. Die Ergebnisse wurden den Veranstaltern des Hackathons zurückgemeldet und anschliessend aggregiert an die betroffenen Hersteller weitergegeben. Die Schwachstellen werden jeweils anhand ihrer entsprechenden CWE-Kennungen beschrieben. Der CWE-Standard (Common Weakness Enumeration) ist ein weltweit anerkanntes System zur Klassifizierung von Sicherheitslücken in Software und Hardware. Jede Schwachstelle erhält eine eindeutige ID und eine Beschreibung.

Wie lassen sich Ihre Erkenntnisse auf reale Gebäudeprojekte übertragen – gibt es schon Kooperationen mit der Industrie?

Die Erkenntnisse aus dem Projekt fliessen auf verschiedene Weise in die Praxis ein. Zunächst werden alle gefundenen Schwachstellen an die Hersteller zurückgemeldet, damit diese sie beheben können. Somit werden die Produkte auf dem Markt sicherer.

Darüber hinaus können aus dem Projekt «Best Practices» für die Gebäudeautomation abgeleitet werden. Das heisst, es entsteht ein Leitfaden, der aufzeigt, wie die GA umzusetzen ist, um möglichst sicher zu sein: Welche Protokolle sind einzusetzen, wie ist mit Sicherheitszertifikaten und Schlüsseln umzugehen usw. An einem solchen Leitfaden arbeiten wir aktuell. Mit dem Projekt möchten wir die Branche für das Thema sensibilisieren und beabsichtigen auch, entsprechende Ausbildungen anzubieten.

Neben unserem Auftraggeber Armasuisse sind auch die grossen GA-Hersteller bereits stark in das Projekt eingebunden. Sie steuern Komponenten, Software und Know-how bei. Auch Systemintegratoren sind am Projekt beteiligt. In Zukunft soll zudem die Zusammenarbeit mit Planern, Bauherrschaften, Betreibern und Nutzern intensiviert werden.

Welchen Beitrag kann eine solche Testumgebung langfristig zur Weiterentwicklung von Sicherheitsstandards leisten?

Da die Testumgebung aufgrund ihrer modularen und flexiblen Architektur laufend an technologische Entwicklungen angepasst und mit neuen Produkten ergänzt werden kann, können damit neue Versuche, beispielsweise mit neuen Kommunikationsprotokollen, durchgeführt und neue Testverfahren entwickelt werden. Dies ermöglicht einerseits die Gewinnung neuer Erkenntnisse, die in die Weiterentwicklung von Sicherheitsstandards einfliessen, und andererseits die Schulung von Sicherheitsexperten an der Anlage.

Ein weiterer Aspekt, der in Zukunft stark an Bedeutung gewinnen wird, ist die Erkennung und Abwehr von Angriffen in Echtzeit. In der klassischen IT sind Intrusion-Detection- (IDS) und Intrusion-Prevention-Systeme (IPS) bereits weit verbreitet. Diese Systeme analysieren den Datenverkehr und erkennen typische Anzeichen für Angriffe, wie beispielsweise ungewöhnliche Zugriffe oder manipulierte Datenpakete. In der Folge können sie entweder Alarm schlagen oder automatisch Schutzmassnahmen einleiten, wie etwa die Sperrung verdächtiger Verbindungen.

Hersteller passen ihre Produkte zunehmend so an, dass diese auch in der Gebäudeautomation eingesetzt werden können und dort ähnliche Schutzfunktionen bieten wie in der klassischen IT. Das Ziel besteht darin, Angriffe nicht nur zu verhindern, sondern auch frühzeitig zu erkennen und aktiv auf sie zu reagieren, beispielsweise durch das Trennen betroffener Komponenten vom Netz oder das Zurücksetzen in einen sicheren Zustand.

Um solche Sicherheitsmechanismen wirksam zu entwickeln, ist es entscheidend, die typischen Angriffs- und Verhaltensmuster in der Gebäudeautomation systematisch zu erfassen und zu analysieren. Unsere realitätsnahe Testumgebung, ergänzt durch eine Anlagesimulation, bildet dabei einen zentralen Baustein: Sie generiert authentischen Netzwerkverkehr, der sowohl den Normalbetrieb (Baseline) als auch abweichende, potenziell schadhafte Zustände realistisch abbildet.

Dies ermöglicht die Identifikation und Klassifikation typischer Angriffsmuster sowie das Training und die Validierung von Erkennungssystemen wie IDS/IPS unter praxisnahen Bedingungen. Dadurch leisten wir einen wichtigen Beitrag zur Entwicklung von Sicherheitslösungen, die in der Lage sind, zwischen regulären Betriebszuständen und sicherheitsrelevanten Anomalien zu unterscheiden. Dies ist ein wesentlicher Schritt hin zu intelligenten, adaptiven Abwehrmechanismen in der Gebäudeautomation.

Weitere Experteninterviews zum Thema «Fernzugriff auf HLKS-Systeme: Sicherheitsrisiko oder Effizienzgewinn?»

Dieses Interview war Teil einer Recherche zum Thema und Printartikel «Fernzugriff auf HLKS-Systeme: Sicherheitsrisiko oder Effizienzgewinn?» Die vier weiteren Interviews finden Sie hier.