IoT-Sicherheit in Gebäuden: Misstrauen wir unseren Geräten!

IoT-Sicherheit in Gebäuden: Misstrauen wir unseren Geräten!

Ist Ihr Gebäude sicher? IoT-Security ist eines der bestimmenden Themen unserer Zeit. Das kommt nicht von ungefähr, schließlich ist der Schaden groß und die bestehende Infrastruktur zu schwach. Wir müssen unsere Gebäude anders denken, erst dann werden sie sicher.

Ein Albtraum für viele Wienerinnen und Wiener: Vor wenigen Monaten, mitten in einer kalten März-Nacht um 2:11 Uhr, läuteten im Stephansdom alle Glocken. Für 20 Minuten. Ohne Unterbrechung. Doch was ist geschehen? Ist ein Papst gestorben? Eine Hochzeit um diese Uhrzeit? Nichts von alledem. Es war ein Cyberangriff. Nur das beherzte Eingreifen des Dompfarrers, der am Tablet die digital-gesteuerten Glocken ausschaltete, beendete den lauten Zwischenfall. 

Auch dieses Beispiel zeigt eines sehr deutlich: Unsere Gebäude sind verwundbarer geworden. Verwundbarer gegenüber Angriffen von außen. Verwundbar für Cyberangriffe, die bei kritischen Infrastrukturen wie Krankenhäusern auch Menschenleben gefährden können. 

Eine Studie des Security-Consulting-Unternehmens PaloAlto-Networks aus dem Jahr 2020 ergab, dass 57 Prozent der in Gebäuden verwendeten IoT-Devices nicht ausreichend für einen Angriff geschützt sind. Noch gravierenden sind die Zahlen in der Gesundheitsinfrastruktur: Über 80 Prozent der dort verwendeten Anwendungen laufen auf Betriebssystemen, die nicht mehr unterstützt werden.

Der Schaden kann immens sein

Doch warum sind Angriffe auf unsere Gebäude so gefährlich? Weil Gebäudetechnologie einen Zugang zur Gesamtinfrastruktur der Anlage sein kann. Seit Monaten zeige ich an dieser und anderer Stelle gerne die großen Vorteile vernetzter Gebäude. Nur wenn alle Gebäudeteile miteinander agieren, können wir zukünftig diesen Nutzen voll ausschöpfen. Doch natürlich: Wenn alles vernetzt ist, vergrößert sich auch die Angriffsfläche für potenzielle Gefährder:innen. 

Schließlich scheint Deutschland hier ein beliebtes Ziel zu sein: Wie das Versicherungsunternehmen Hiscox berichtet, liegt die durchschnittliche Schadenssumme bei uns um fast 4.000 Dollar über dem internationalen Schnitt. Klar, der Fokus ist auf Betriebsspionage. Doch wer einem Unternehmen schaden möchte, der kann das auch über das Gebäude tun.

Die Basis von Vertrauen ist kein Vertrauen

Um etwas vertrauen zu können, muss ich ihm erst mal misstrauen. Das klingt paradox. Und ich zweifle daran, dass dieser Ansatz die Basis einer gesunden menschlichen Beziehung ist. Doch im Gebäudebereich ist es unerlässlich. Zero-Trust nennen Expert:innen dieses Prinzip. Kern dieses Gedankens ist, dass man nichts und niemandem in einem Unternehmen ein unbegründetes Vertrauen geben sollte. Alles muss überprüft werden. 

Gleichzeitig betrifft dieses gesunde Misstrauen auch die komplette Infrastruktur. So sollen sensible Daten nicht mehr in einem zentralen, oftmals auch lokalen, Rechenzentrum abgespeichert werden, sondern auf eine Cloud-Infrastruktur verteilt werden. Die Anbieter dieser Cloud-Systeme – national wie international – haben in den vergangenen Jahren viel dafür gearbeitet, ihre Systeme abzusichern. Außerdem ist die Gesetzes- und Verordnungslage sehr dicht. Wer heute auf eine sichere IT-Infrastruktur setzen möchte, sollte auch auf die Cloud setzen. 

Es wurde kein Alt-Text für dieses Bild angegeben.

Sicherheit muss bei der Entwicklung mitgedacht werden

Form follows function – die Form folgt der Funktion. Ein Objekt oder ein Gebäude soll in erster Linie funktional sein, bevor es schön ist. Dies war der Leitspruch der Bauhaus-Vertreter:innen, allen voran des Architekten Louis Sullivan. Jeder, der sich glücklich schätzen kann und eine Wagenfeldlampe in seinen Räumlichkeiten stehen hat, hat ein Denkmal dieses Designansatzes. 

Für unsere Arbeit bei Aufzughelden und Digital Spine möchte ich diesen Ansatz umdichten: Everything follows Security – alles folgt der Sicherheit. Als wir für Aufzughelden nun bereits vor einigen Jahren unser Produkt entworfen haben, haben wir Sicherheit konsequent mitgedacht. Wir haben eine Struktur geschaffen, die in erster Linie einmal sicher ist. Dann haben wir die möglichen Funktionalitäten rund um diese Struktur gebaut. 

Denken Sie an die Nutzung Ihres Smartphones: Es kann tolle Features haben, Ihr Leben vereinfachen, einen echten Mehrwert bringen. Doch sobald Sie merken würden, dass Ihre Daten nicht sicher sind. Fremde Menschen auf Ihre Bankverbindungen und Fotos zugreifen können, würden Sie das Gerät nicht mehr nutzen wollen.

Deswegen misstrauen wir unseren Geräten bei Aufzughelden. Ein gesundes Misstrauen versteht sich. Wir prüfen sie. Setzen sie neuen Gefahren aus, um das Risiko für die Nutzer:innen zu minimieren. 

Fazit: Sicherheit ist eine Herausforderung, die wir annehmen (müssen)

Sprechen Sie mal mit den Data Scientists und Engineers in Ihrem Unternehmen. Es ist Kern ihrer Tätigkeit, sich ständig weiterzubilden. Neue Ansätze und neue Modelle in ihre Arbeit zu integrieren. Nur so passiert fortschrittliche IT. Diesen Ansatz der ständigen Weiterentwicklung verfolgen leider auch die, die eher auf der dunklen Seite stehen. Unsere Aufgabe muss es sein, vor der Welle zu schwimmen. So gut es geht, versuchen diese Angriffe abzuwehren. Ein System zu schaffen, das diesen Angriffen gegenüber resilienter ist. 

Bei jedem System, das wir in unsere Gebäude verbauen, muss Sicherheit konsequent mitgedacht werden. Bei der Integration verschiedener Ansätze muss sichergestellt werden, dass keine Sicherheitslücken entstehen. Dies ist eine Kernaufgabe des modernen Gebäudemanagements und von Infrastrukturgebern wie uns. Misstrauen Sie Ihren Systemen, lassen Sie sie prüfen. Wenn wir das verpassen, wird eine unruhige Nacht durch gellendes Kirchengeläut der kleinste Schaden sein, den wir erleben müssen.

Fernando Santos

Hardware & Firmware Developer "PixelBox" The Elevators Digitalization Solution - Lift Controller Systems specialist

2 Jahre

Die gesamte Aufzugsfunktionalität soll und kann in der Regel nicht von außen, d.h. aus dem Internet, beeinflusst werden. Bei der Aufzugsdigitalisierung werden die Daten von der Steuerung gelesen und ausgewertet. Kurzgefasst. Das IoT-System zur Digitalisierung des Aufzugs sollte so entwickelt werden, dass eine Beeinflussung der Aufzugsfunktionalität in keiner Weise möglich ist.

Simon McGrath

13 years connecting and creating bespoke software digital solutions that add real business value

2 Jahre

Another great article Simon Vestner hope to see you at Expo Real.

Sebastian Mitscherlich

Data Center Infrastructure / DC-Monitoring & Building Automation

2 Jahre

Hand aufs Herz, Gebäudeautomation ist ein Bereich der die letzten Jahre eine Digitalisierung in Richtung all over IP erfahren hat und meist nicht im Fokus der IT Security liegt. Viele Protokolle sind schon mehrere Jahre alt und haben keine Security implementiert. #KNX und #BACnet sind mit Secure Updates dabei diese Lücken zu schließen. Dennoch finden sich aus meiner Erfahrung in Gebäudeautomationsinfrastrukturen viele #Security Lücken, welche ohne größere Aufwände Anpassung/Manipulation von Datenpunkten zulassen. (ungünstig für die Verfügbarkeit wenn der Kaltwassersatz des #Rechenzentrum ein neuen Sollwert von 40⁰C gesetzt bekommt) Hier bedarf es dringend auf logischer Netzwerkebene Sicherheit zu schaffen.

Zum Anzeigen oder Hinzufügen von Kommentaren einloggen

Ebenfalls angesehen

Themen ansehen