Schmid: „Alles ist hackbar“, titelte vor einiger Zeit eine populäre deutsche Computerzeitschrift. Auch überregionale Tageszeitungen weisen regelmäßig auf die Gefahren durch Hackerangriffe auf kritische Infrastrukturen hin. Wie groß schätzen Sie das Gefahrenpotenzial für gebäudetechnische Systeme ein?
Gassmann: Hätten Sie mir die Frage vor ein paar Jahren gestellt, hätte ich geantwortet, dass die Bedrohung durch Cyberterror auch für kritische Gebäudeinfrastrukturen ein reiner Mythos ist. Bis dahin waren nur wenige, sehr exquisite Beispiele von Hackerangriffen mit ernsten Konsequenzen bekannt. Stuxnet zum Beispiel infizierte die Überwachungs- und Steuerungssysteme der weitverbreiteten Simatic S7. Damit konnte der Betrieb der iranischen Urananreicherungsanlage in Natanz empfindlich gestört und damit das iranische Atomprogramm verzögert werden.
Ein weiteres Beispiel einer Cyberattacke auf eine kritische Infrastruktur, bei der tatsächlich auch physische Schäden entstanden, war der Angriff auf eine Abwasserentsorgungsanlage im australischen Bundesstaat Queensland. Millionen Liter der stinkenden Abwasserbrühe flossen damals unkontrolliert in die Umwelt. Bei beiden Beispielen taugt der Begriff „Cyber“ nicht wirklich. Man weiß heute, dass diese Angriffe nicht über das Internet kamen.
Schmid: Bei den von Ihnen genannten Beispielen ging es um ganz gezielte Angriffe von innen. Bieten unsere zum Teil hochvernetzten Gebäudeautomationssysteme nicht ein viel größeres Angriffspotenzial?
Gassmann: In einer Zeit, in der gerade die kritischen Objekte auf einen hohen Vernetzungsgrad angewiesen sind, schätze ich das Gefahrenpotenzial als real existent und wesentlich höher ein. Dass es auch ganz gezielt die Gebäudetechnik betrifft, ist mir erst durch das Experiment des für Cybersicherheit weltweit tätigen Unternehmens Trend Micro richtig bewusst geworden: Die Firma hat in diesem Experiment durch Computersimulation ein hochaktives Automationssystem mit Fernzugriff über das Internet inklusive menschlicher Interaktion vorgetäuscht. Dabei wurde auch reale Automationshardware, die in Gebäuden und Industrieanlagen häufig vorkommt, eingesetzt. Schon nach 18 Stunden Betrieb am Netz wurden erste ernst zu nehmende Angriffe detektiert.
Mit ernst zu nehmend sind Versuche eines unautorisierten Zugriffs auf gesicherte Teilnetze des Systems zu verstehen. Die eingesetzten Automationsstationen wurden gezielt gescannt und deren Spezifikationen und Schwachstellen im Netz für andere Hacker anonym veröffentlicht. Nach dieser Vorbereitungsphase folgten direkte Versuche, die Programme der Stationen zu modifizieren oder Kommunikations-Telegramme zu entführen und zu verfälschen.
Im Verlauf von 28 Tagen hat man in dem Ende 2012 durchgeführten Experiment 39 solcher ernst zu nehmenden Attacken aus insgesamt elf Ländern protokolliert. Die führenden Nationen waren China mit 35 % der Angriffe, USA mit 19 % sowie Laos und England. Aufgrund einer Analyse der eingesetzten Hacker-Aktivitäten war das Ziel von China und Laos, möglichst viele Informationen zu sammeln, während die Angreifer aus den USA versuchten, möglichst großen Schaden anzurichten. Dieses Experiment war für mich ein Weckruf. Deshalb hat die GSGI auch diese Tagung organisiert.
Schmid: Die Busprotokolle für Gebäudeautomationssysteme wurden in einer Zeit konzipiert, als es weder Hackerangriffe noch Cyberterror gab. Für wie gefährdet halten Sie BACnet, KNX/EIB, LON und Co.?
Gassmann: Alle von Ihnen genannten Protokolle der Gebäudeautomation arbeiten ohne Verschlüsselung. Hat es ein Angreifer einmal geschafft, in ein Netz einzudringen, ist das Lesen solcher Protokolle ein Kinderspiel und die Manipulation oder Störung nicht mehr weit. Diese Protokolle sind also auf sich alleine gestellt höchst gefährdet! Und dessen sind wir uns in der Gebäudetechnik längst bewusst. Wir bauen deshalb virtuelle private Netzwerke (VPN) – also sozusagen einen virtuellen geschützten Netzwerktunnel, in dem die Protokolle offen kommunizieren.
Inzwischen sind aber alle für die oben genannten Protokolle verantwortlichen Organisationen aktiv geworden und haben Netzwerksicherheitsstandards und Protokoll-Erweiterungen erarbeitet und veröffentlicht. Sehr umfangreich sind die heute verfügbaren Definitionen für die Verschlüsselung und Sicherheit für BACnet. Die Industrie hält aber noch kaum Geräte bereit, die diesen Kommunikations-Overhead für die Sicherheit bewältigen können.
Schmid: Funk-basierende Hausautomationssysteme sollen leicht angreifbar sein. HP will in einer Studie herausgefunden haben, dass rund 60 % der Smart-Home-Geräte Zugangsmöglichkeiten für Dritte aufweisen. Auf der anderen Seite werden gerade diese Smart-Home-Systeme intensiv beworben, auch als Lösungsansatz für einen netzdienlichen Einsatz von Elektrohaushaltsgeräten und Elektro-Wärmepumpen. Hat sich die Branche ausreichend mit den Themen Datensicherheit und Schutz der Privatsphäre auseinandergesetzt?
Gassmann: Sicher noch nicht! Gerade im Bereich Home Automation hat die Standardisierung und Konsolidierung auf einige wenige und brauchbare Funkprotokolle noch nicht stattgefunden. Die Geräte werden heute zwar über Funk digital vernetzt und auch im Adressbereich genügend breit kodiert. So ist mindestens sichergestellt, dass mein Nachbar mir nicht unbewusst die Heizung abstellt oder das Garagentor öffnet. Mit relativ einfachen technischen Mitteln können diese Codes über Funk jedoch abgehört und für den böswilligen Einsatz repliziert werden.
Schmid: Muss in einem Gebäude wirklich alles digital vernetzt sein? Ist es unter den gegebenen Umständen nicht sinnvoller, über innovative analoge Systeme nachzudenken? Brauchen wir eine Bewegung zurück zu analog?
Gassmann: Keinesfalls! Die analoge Informationsübertragung ist außerordentlich störungsanfällig. Und eine wirksame Absicherung einer analogen Kommunikation ist kaum wirtschaftlich realisierbar. Also keinesfalls zurück in die Steinzeit der Analogtechnik, sondern die heute verfügbaren digitalen Technologien der Verschlüsselung nutzen. Selbst die kostengünstigsten Prozessoren sind heute schon in der Lage, eine minimale Verschlüsselungsroutine abzuwickeln.
Man muss solche Dinge einfach frühzeitig in der Entwicklung spezifizieren. Ebenso soll für jede Anwendung die Verhältnismäßigkeit gewahrt werden. Es macht beispielsweise keinen Sinn, eine funkgesteuerte Bürobeleuchtung mit einer 256-Bit Blowfish-Verschlüsselung zu schützen – für die Absicherung einer funkübertragenden Alarmanlage eventuell aber schon.
Schmid: Cyberangriffe sind eine Sache, das systematische Aushorchen von Nutzern eine andere. Daten aus Gebäudeautomations- und Energiemanagementsystemen, die früher uninteressant waren, bekommen durch Auswertungs-Algorithmen plötzlich einen neuen Stellenwert. Big Data ist inzwischen auch bei der Gebäudeautomations-Branche ein Thema. Wie sollte die Branche damit umgehen, damit die Persönlichkeitsrechte von Nutzern gewährleistet sind. Im Grunde genommen kann durch Data Digging aus GA-Systemen in gewissem Maße auch Know-how über die internen Strukturen und Prozesse eines Unternehmens generiert werden. Wem gehören die benannten Daten und wie könnte man diese konfliktfrei nutzen?
Gassmann: Das Thema Big Data wird in der Gebäudeautomations-Industrie meiner Meinung nach erst dann aktuell, wenn generell alle SCADA-Systeme in sogenannten Clouds aufgebaut werden. Denn dann befinden sich alle Daten und Prozesse in einer von einem externen Anbieter betriebenen Datenbank. Vorbehaltlich neuer Lösungsansätze wird heute und in naher Zukunft kein Anlagenbetreiber mit kritischer Infrastruktur so etwas tun wollen. Clouds werden allenfalls intern betrieben – da liegen die Vorteile auf der Hand. Das Unternehmen ist dann in der Lage, über die heute verfügbaren Algorithmen des „Data Mining“ die Informationen in der eigenen Cloud gewerkeübergreifend zu analysieren und damit ganz neue, unvorhersehbare Erkenntnisse zu Tage fördern.
Schmid: Vonseiten der Gebäudeautomations-Industrie wird das Thema Cyberterror in der Fachöffentlichkeit noch wenig thematisiert. Gibt es Aktivitäten auf Verbandsebene, um Betreiber, Anlagenersteller, Systemanbieter und Gerätehersteller für das Thema stärker zu sensibilisieren?
Gassmann: Mir ist bis heute in der Schweiz nur die jetzt von der GSGI lancierte Tagung zu diesem Thema bekannt. Weitere werden in Kürze folgen, da bin ich mir sicher. Im internationalen Kontext beschäftigt man sich aber schon seit Längerem damit: Wie bereits erwähnt, hat ASHRAE, also die American Society of Heating, Refrigerating and Air-Conditioning Engineers, mit der Erweiterung des BACnet-Standards einen wichtigen ersten Schritt getan.
Schmid: Vielen Dank für das Gespräch.
Vita
Felix Gassmann (Jahrgang 1962), Dipl. El. Ing. ETH und Dr. sc. Tech, studierte Elektrotechnik an der ETH Zürich und an der University of California, Berkely (Master El. Ing. Microprocessing); Zusatzstudien an der University of Pennsylvania (Financial Management) und am Management Zentrum, St. Gallen. Zur beruflichen Laufbahn gehören unter anderem Beschäftigungen bei ABB Schweiz und USA. 1998 erfolgte der Eintritt in die Fr. Sauter AG, Basel, als Leiter der nationalen Verkaufsorganisation und Mitglied der Geschäftsleitung. Seit 1999 ist Gassmann CEO der Sauter Building Control Schweiz AG, Reinach.
2 Gassmann: „Durch das Experiment von Trend Micro ist mir bewusst geworden, dass das Gefahren-potenzial für Gebäude real existiert.“
3 Gassmann: „Alle von Ihnen genannten Protokolle der Gebäudeautomation (gemeint sind BACnet, KNX/EIB und LON) arbeiten ohne Verschlüsselung.“
4 Gassmann: „Mit relativ einfachen Mitteln können Codes von Funkprotokollen abgehört und für den böswilligen Einsatz repliziert werden.“