Presse

Smart Building, IoT Sicherheit

Sicherheit als Voraussetzung für Smart Building in integrale Planung 05/2018

Verschlüsselung garantiert Absicherung bei steigenden Sicherheitsanforderungen

Wie auch alle anderen Sektoren, steht auch die Baubranche vor einem deutlichen Wandel aufgrund der Digitalisierung. Fachbereich und IT sind immer weniger zu trennen und Digitalisierung und Vernetzung werden Basis für eine zunehmende Automatisierung. Während noch vor wenigen Jahren diskutiert wurde, ob sich diese Entwicklung durchsetzt, ist die Durchdringung der Branche heute schon sehr deutlich: Planung und Prozesse werden digitalisiert, Produkte wie Heizungen oder Klimaanlagen nicht nur im Gebäude sondern zentral und global vernetzt und die vielfältigen Entwicklungen werden in neuen Kategorien wie Smart Building und Smart City zusammengefasst. Diese Entwicklung beweist: es geht nicht mehr um das ob, sondern nur noch um das wann und wie. Doch bei aller Begeisterung über den schnellen Fortschritt: dies erfordert eine neue Ausgestaltung der Sicherheit, bei der funktionelle Sicherheit von Mensch, Gebäude und Umwelt mit der IT-Sicherheit zu verbinden ist.

Die Digitalisierung ist einfach zu charakterisieren: Es wird vernetzt, was vernetzt werden kann. Zentrale Folge der Digitalisierung und Vernetzung ist eine nachhaltige Veränderung der Sicherheitsarchitektur. Heutige Gebäudeleittechnik wird erfahrungsgemäß meist lokal betrieben und nur selten mit dem Internet gekoppelt. Dies steht aber bevor, denn die Systeme früherer Generationen, in welchen Geräte über Bussysteme von M-Bus, Modbus, KNX oder bacNET angeschlossen und z.B. in der Gebäudeleitechnik verwaltet wurden, werden zunehmend ergänzt und ersetzt. Dies ist einerseits der Motivation von Herstellern geschuldet, die eigene Systeme zur Vernetzung anbieten. Hiermit werden zunehmend Funktionen wie Wartung 4.0 („Condition Monitoring“ oder auch „Predictive Maintenance“) realisiert und insbesondere auch Produkte über das sogenannte „over-the-air-update“ während der Produktlebensdauer mit immer neuen Funktionen bestückt – ein Prozess, der vom iPhone initiiert nun auch professionelle Produkte erreicht. Andererseits entstehen aber auch neue vernetzte Produkte, sowohl im Bereich der Sensorik als auch der Aktorik, die heute vielfältig einsetzbar, kostengünstig und hochfunktional sind. Dieser Aufbau von vernetzten Systemen generiert kontinuierlich Daten, die wiederrum ausgewertet und zur automatischen Überwachung und Optimierung von Prozessen genutzt werden können. Hierbei kommen zunehmend neue Technologien wie das Maschinelle Lernen, einem Teilbereich der sogenannten „Künstlichen Intelligenz“ zum Einsatz.

In Zukunft werden sich die Szenarien also signifikant verändern – es stehen deutlich mehr und komplexere Anwendungen ins Haus: einheitliche Leistungsindikatoren aggregieren Daten und bieten die Chance Probleme schneller zu diagnostizieren, Geräteausfallzeiten können via Überwachung in Echtzeit gesenkt werden – Voraussetzung ist in all diesen Fällen die in- und externe Vernetzung. Vor diesem Hintergrund wird schnell deutlich, altbekannte IT-Sicherheitsregeln wie Virenscanning, Backup-Strategie, Zugriffsrechte oder Firewalls zur Abwehr ungewollter Zugriffe reichen nicht mehr aus. Denn Offenheit in der Kommunikation der Netzwerke mit Kunden, Partnern oder Zulieferern ist wesentliche Basis einer vernetzten Wirtschaft und Sicherheit durch Abschottung damit Vergangenheit.

Schutz des Datenverkehrs als oberste Prämisse

Diese offene Kommunikation erfordert folglich eine entsprechend ausgearbeitete IT-Sicherheits Policy, um den Schutz des wachsenden Datenverkehrs zu gewährleisten. Nur so können Unternehmen gegen Vorfälle wie gehackte Anlagen oder auch dem Ausspähen von (Profil-) Daten geschützt werden. Da es sich hierbei auch um persönliche Daten handelt, die auch ein gesetzlich verankertes Schutzbedürfnis haben, ist hier erhebliche Sorgfalt notwendig. Hilfreiches Instrument ist dafür aktuell – und langfristig – die Verschlüsselung. Diese wird jedoch teilweise noch als kompliziert und anwenderunfreundlich angesehen. Doch gerade die steigende Leistungsfähigkeit in der Digitalisierung bietet heute die Möglichkeit, Verschlüsselung einfach zu integrieren, so Datendiebstahl zu verhindern und unberechtigte Infrastruktur- oder Prozessmanipulation zu unterbinden.

Entsteht ein Gebäude oder Quartier auf der grünen Wiese neu, ist die IT-Absicherung relativ einfach – sie wird einfach mit geplant. In der Regel sind jedoch in bestehenden Installationen längst nicht alle Komponenten mit der erforderlichen Technologie für die durchgängige Digitalisierung ausgestattet. Daher sollte bei der Investitionsentscheidung für Komponenten deren Fähigkeit im Vordergrund stehen, mit dem Retrofit-Ansatz bestehende Infrastrukturen nachträglich in eine digitale Prozesskette einbinden zu können. Solche Komponenten weisen am besten bereits auf Ebene der Microcontroller eine Verschlüsselung auf, sodass die Daten sicher und unverfälscht über die gängigen Übertragungswege Funk, Kabel oder WLAN übertragen werden können. bei der Verschlüsselung der Verbindung hat sich der Advanced Encryption Standard (AES mit 128 Bit) bewährt. Dies reicht aber noch nicht aus. Es empfiehlt sich, zusätzlich auch die Nutzdaten zu verschlüsseln und mit einer eindeutigen Identität – über ein Zertifikat – auszustatten. Besitzen zudem alle Geräte einen individuellen Schlüssel, korrumpiert selbst ein erfolgreicher, interner Angriff nicht das gesamte System. Moderne Lösungen erhöhen das Sicherheitsniveau nochmals und setzen vorinstallierte Schlüssel nur zur Generierung neuer Schlüssel in definierten Abständen ein. Erhält ein Angreifer einmal einen Schlüssel ist dessen Gültigkeit zeitlich begrenzt. Die Dauer der Gültigkeit kann dabei individuell definiert werden.

Zyklische Redundanzprüfung

Eine weitere Absicherung bietet die zyklische Redundanzprüfung, der sogenannte CRC-Check (Cyclic Redundancy Check). Weisen übertragene Daten Fehler auf oder wurden sie von Unbefugten erzeugt, werden sie direkt verworfen – der Sensor überträgt das entsprechende Datenpaket nochmals. Dieses Vorgehen steigert gepaart mit einem integrierten Zeitstempel nachhaltig das Sicherheitsniveau, sind doch auch nachträgliche Angriffe (Replay-Attacken) ausgeschlossen. Der Zeitstempel ist integraler Bestandteil der AES-Verschlüsselung. Daher können Angreifer einmal aufgezeichnete Daten nicht mit einem anderen Zeitstempel versehen und in das System einschleusen. Abgerundet wird eine professionelle Verschlüsselungs-Lösung durch ein granulares, integriertes User-Management, das externen Beteiligten wie Partnern, Lieferanten oder Kunden nur einen temporären Zugriff auf vorab definierte Datensätze gestattet. Die dauerhafte und komplette Offenheit der Produktionskette ist nicht nötig. Last but not least können auch Aktoren sicher angesteuert werden, denn auch deren Kommandos werden geschützt. Angreifer haben entsprechend keine Gelegenheit, diese mitzulesen, wiederzuerkennen oder zu verfälschen.

Technische Begrenzungen behindern dieses Security-by-Design-Prinzip nicht. Denn der Aufwand beim Versand der Daten ist so gering, dass Strom- und Datennetz alle Maßnahmen problemlos realisieren können. Die Vertraulichkeit der gesamten Fertigung von Sensordaten über Schaltbefehle an Aktoren können mit der Verschlüsselung ebenso gewahrt werden, wie die an- und abgehenden Daten von Partnern, Lieferanten und Kunden. Das Sicherheitsniveau kann somit an die neuen Herausforderungen angepasst, die Integrität und Vertraulichkeit der Produktion garantiert werden – die altbekannte Verschlüsselung stellt die notwendige Sicherheit zur Verfügung.

Zukünftig sind hier auch weitere Verfahren zur Erhöhung der Sicherheit zu erwarten. So wird aktuell auch schon die Blockchain-Technologie bei einigen innovativen Unternehmen zur Anwendung gebracht, um rechtssicher Vorgänge, Umgebungsbedingungen und Qualität zu dokumentieren. Diese rechtssichere Dokumentation aller Handlungen wird immer bedeutender, denn in vollautomatisierten Prozessen schließen ja nicht nur Menschen, sondern auch Maschinen direkte Verträge untereinander (z.B. Bestellung einer Wartung in einem predictive Maintenance Szenario), womit die entsprechenden Anlässe unbedingt belegt werden müssen.

Checkliste Sicherheit:

  • IoT-Lösungen ohne Verschlüsselung setzen Produktion und Datenaustausch mit Partnern hohem Risiko aus!
  • Können auch ältere Maschinen eingebunden werden?
  • Flexible Übertragungswege (Funk, LAN, WLAN) erleichtern die Anbindung der Maschinen!
  • Welche Verschlüsselungstechnik wird eingesetzt? (Standard AES 128 Bit)
  • Zeitlich limitierte Schlüssel verbessern nochmals die Sicherheit.
  • Prüfung der Daten auf Redundanz inklusive Zeitstempel vermeidet Fehler und nachträgliche Angriffe.
Praxisleitfaden_IoT_2017_Kapitel4

Praxisleitfaden Internet der Dinge

Geschäftspotenziale mit Smart Services. Dieser Leitfaden bietet wertvolle praktische Hilfe für Unternehmer, die mit ihren Geschäftsmodellen die Chancen des Internet der Dinge nutzen möchten und müssen. Umfassende Beispiele und Use-Cases zeigen auf, wie Produkt- und Serviceinnovationen realistisch umgesetzt werden können.

Subscribe Here!

Bleiben Sie auf den Laufenden

Christian Pereira

Christian Pereira

Christian J. Pereira ist Geschäftsführer von Q-loud, einem der führenden Full-Stack IoT-Anbieter. Der studierte Maschinenbauer und Informationswissenschaftler (Dipl.-Ing., Dipl.-Inf.wiss.) verfügt über mehr als 25 Jahre Erfahrung in der Telekommunikationsindustrie. Er war Mitgründer eines Beratungsunternehmens für die Deutsche Telekom-Gruppe, wo er maßgeblich für das Wachstum von 2 auf 250 Mitarbeiter verantwortlich war, und eines Cloud-Unternehmens für die dtms AG, welches er später an die SDAX notierte D+S AG veräußerte. Zuletzt war Christian Pereira Mitgründer der neuland GmbH & Co. KG, einem auf die digitale Transformation spezialisierten Beratungsunternehmen.

Schreiben Sie einen Kommentar