Gebäudeautomation im Internet:

Ein riskanter Trend?

Die Zukunft der Gebäudeautomation ist online: Technologie-Anbieter, Betreiber und Nutzer von Gebäuden setzen verstärkt auf internetbasierte, vernetzte Tools und Services. Dieser Trend verspricht zahlreiche neue Möglichkeiten und Vorteile. Viele Anlagen können schon jetzt via Internet gesteuert werden. Aber: Der Online-Zugriff birgt auch Gefahren, die man nicht unterschätzen darf. Rainer Glück, Produktmanager bei Kieback&Peter, wirft einen Blick auf die Chancen und Risiken der Online-Gebäudeautomation.
Facility Manager, Haustechniker und Anlagen-Betreiber träumen davon: Gebäude oder ganze Liegenschaften mit einem zentralen Online-Tool managen – jederzeit und von jedem beliebigen Ort der Welt. Wenn die Störungsmeldung per Push-Nachricht aufs Smartphone oder aufs Display der Smartwatch kommt. Wenn man am Tablet die Ursache der Störung analysieren und per Klick via Internet beheben kann. Dann macht der Job Spaß. Der Online-Zugriff steigert nicht nur den Spaßfaktor. Er erhöht auch die Effizienz der Arbeitsprozesse: Lange Anfahrten für Wartung und Service vor Ort werden seltener, wenn die Anlagen aus der Ferne betreut werden können. Energie- und Anlagen-Daten können in Echtzeit erfasst, aggregiert und für ein umfassendes Monitoring genutzt werden. Reports werden automatisch per E-Mail versandt. Wenn Datenauswertungen und andere Aufgaben an der Anlage zu aufwändig oder komplex werden, kann die gesamte Betreuung via Internet an spezialisierte Dienstleister übergeben werden. Dabei profitiert der Betreiber von den Erfahrungen des Dienstleisters mit anderen Kunden sowie von gut organisierten Prozessen und Services. Gerade die Bereiche Analyse, Benchmarking und Energiemanagement haben großes Potenzial für Kostenersparnis und Synergien. Der Markt wächst – es gibt immer mehr Anbieter, die derartige Online-Services und Tools bereitstellen. Wer auf Online setzt, sollte unbedingt darauf achten, dass der Fern-Zugriff auf die Anlagen sicher und professionell erfolgt. Je sensibler die Anlagen und Daten, desto besser müssen sie geschützt werden. Dies betrifft sowohl die technischen Sicherheitsanforderungen als auch klar definierte Prozesse. Es muss zum Beispiel geregelt sein, wer wann aus welchem Grund auf welche Anlage online zugreifen darf. Die Zugriffe muss der Betreiber transparent einsehen und flexibel managen können. Wer seine Anlagen nicht umfassend absichert, geht beachtliche Risiken ein.

Das Risiko nicht unterschätzen

Grundsätzlich ist es immer riskant, wenn Anlagen über das Internet zugänglich sind. Das ist nicht nur ein theoretisches Risiko, sondern eine echte Gefahr: Im Frühjahr 2013 berichteten mehrere Medien, darunter die Computer-Zeitschrift ‚c’t‘ von kritischen Sicherheitslücken bei Hunderten von Anlagen in Deutschland. Fachleute von ‚heise Security‘ spürten zahlreiche Anlagen auf, deren IP-Adressen öffentlich übers Internet erreichbar waren. Betroffen waren unter anderem Fabriken, Rechenzentren, eine Bekleidungskette mit rund 250 Filialen, eine Justizvollzugsanstalt, ein Stadion mit 40.000 Sitzplätzen und eine Kirche. Die Sicherheitsexperten fanden im Netz auch die Anlage eines Fernwärmekraftwerks. „Per Mausklick hätten wir die Wärmeversorgung lahmlegen können, was zu einem Ausfall von mehreren Stunden geführt hätte“, heißt es in ihrem Bericht. Derartige Manipulationen durch unbefugte Dritte können zu Betriebsausfällen und beträchtlichen Sachschäden führen. Weniger wahrscheinlich, aber trotzdem nicht auszuschließen sind Gefährdungen der Sicherheit und Gesundheit. Die Berichte sorgten nicht nur in der Branche für Aufsehen und beschädigten den Ruf namhafter Unternehmen. Sie führten auch dazu, dass sich der Bundestag und das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem Thema intensiver beschäftigten. So wurde eine breitere Öffentlichkeit für das Thema sensibilisiert und einzelne Maßnahmen eingeleitet. Dies war jedoch nur der erste Schritt. Das BSI veröffentlicht jedes Jahr einen Bericht zur Lage der IT-Sicherheit in Deutschland. Das Fazit des BSI-Berichts 2015: Industrielle Steuerungsanlagen sind noch immer stark gefährdet, auch wenn eine steigende Sensibilität für das Thema zu erkennen ist. In diesem Zusammenhang warnt Innenminister Thomas de Maizière: „Die Zahl der Angriffe auf industrielle Produktionsanlagen steigt. Hierdurch entstehen neue betriebs- und volkswirtschaftliche Risiken. [.?] Aspekte der IT-Sicherheit werden bei der Digitalisierung nicht immer ausreichend berücksichtigt, und zwar auch dann nicht, wenn ein Ausfall der betreffenden Systeme zu weitreichenden persönlichen oder gesellschaftlichen Folgen führen kann.“ In der Gebäudeautomation wird die Bedrohung durch gezielte Attacken vermutlich zunehmen, weil Gebäudeinfrastruktur und IT immer stärker miteinander verschmelzen. Beide Seiten – also Anbieter und Betreiber – werden im Ernstfall mit der Frage konfrontiert, ob sie alle erforderlichen Vorkehrungen getroffen haben. Unter Umständen müssen sie dann auch mit rechtlichen Konsequenzen rechnen.

Online-Zugriff? Ja, aber sicher!

Wer von den Vorteilen eines Online-Zugriffs auf seine Anlagen profitieren möchte, muss sich von den Risiken nicht abschrecken lassen. Denn es gibt vernünftige Wege, die Gefahren auf ein Minimum zu reduzieren. Eigenlösungen, die nicht professionell entwickelt wurden, sind grundsätzlich kritisch zu betrachten. Sie wirken auf den ersten Blick zwar charmant, weil sie günstig und schnell zu haben sind. Aber diese ‚Schnellschüsse‘ verfügen meist nicht über eine solide Sicherheitsarchitektur und es gibt keine transparente Kontrolle über die Zugriffe. Die Folgekosten für das Nachjustieren und Beheben der Mängel sowie für tatsächliche Schadensfälle können entsprechend groß sein. Auf der sicheren Seite ist man in der Regel mit Fernzugriffslösungen und Online-Services, die von professionellen, erfahrenen Unternehmen angeboten werden. Sie sind auf derartige Systeme spezialisiert, kennen die aktuellen Gefahren und bieten standardisierte, vielfach erprobte Lösungen. Diese können unter Umständen sogar günstiger sein als Eigenlösungen. Und in der Regel können die Anbieter auch haftbar gemacht werden. Connect von Kieback&Peter ist ein gutes Beispiel für eine solide, professionelle Fernzugriffslösung. Connect wird von Kieback&Peter innerhalb einer sehr gut abgesicherten Infrastruktur betrieben. Die Daten werden grundsätzlich nur verschlüsselt und im Rahmen von klar definierten Arbeitsabläufen übertragen. Mithilfe der übersichtlichen Benutzeroberfläche von Connect können die Anwender jeden Anlagen-Zugriff des Service-Dienstleisters transparent überwachen. Spezielle IT-Kenntnisse benötigen die Nutzer hierfür nicht. Das gewohnte User-Interface der Anlagen ist in Connect integriert. Benötigt ein Anwender Unterstützung, kann er einem Experten von Kieback&Peter für diesen Zweck einen zeitlich limitierten Zugriff gewähren.