Herzlich Willkommen beim beam-Verlag in Marburg, dem Fachverlag für anspruchsvolle Elektronik-Literatur.


Wir freuen uns, Sie auf unserem ePaper-Kiosk begrüßen zu können.

beamnet
Aufrufe
vor 3 Monaten
Flag

3-2025

  • Text
  • Gebaeudetechnik
  • Sicherheitstechnik
  • Videoueberwachung
  • Zutrittskontrolle
  • Elektroinstallation
  • Sat tv
  • Lichttechnik
  • Technisches licht
  • Hausautomation
  • Gebaeudeautomation
  • Photovoltaik
  • Smart home
  • Knx
  • Energiemanagement
  • Netzwerktechnik
  • Gebaeudekommunikation
  • Energie
  • Kommunikation
  • Netzwerk
Zeitschrift für Elektro-, Gebäude- und Sicherheitstechnik, Smart Home

Netzwerke und

Netzwerke und KommunikationSichere Kommunikation als Grundlage moderner GebäudeautomationIT-Sicherheit in der vernetzten GebäudetechnikDer Security-by-Design-Ansatz sorgt für mehr IT-Sicherheit bei Anwendungenin der Gebäudetechnik. Hier erfahren Sie mehr darüber.© tci GmbHDie Digitalisierung von Gebäuden schreitet rasantvoran: Steuerungen für Heizung, Lüftung, Klima(HLK), Beleuchtung, Jalousien, Zutritt, Videoüberwachungund Energiemanagement sind heutedurchgehend vernetzt. Bei den ganzen Vorteilenin Sachen Effizienz und Funktionalität sollteman jedoch die IT-Sicherheit nicht aus den Augenverlieren. Neben der allgemeinen Betrachtungder verschiedenen Facetten der IT-Sicherheit inder Gebäudetechnik wird gezeigt, wie Geräteherstellerdurch den Security-by-Design-Ansatzfür eine Grundsicherheit auf Komponentenebenesorgen können.Autor:Gerhard Bäurlefreier Technikjournalist, fürtci - Gesellschaft für technische InformatikmbHwww.tci.deIP-basierte KommunikationAls Ergänzung zu proprietären Schnittstellenund Protokollen wird in der Gebäudetechnikzunehmend auf eine IP-basierte Kommunikationgesetzt. Spätestens mit der Integrationvon WLAN­ Komponenten, Cloud-Diensten undApp-basierten Steuerungen verschwimmen dieGrenzen zwischen klassischer Gebäudesystemtechnikund Informationstechnik. Das erlaubtauch Remote-Zugriffe über Visualisierungspanels,Browser-Interfaces oder mobile Endgeräteüber Gebäudegrenzen hinweg. Damitgewinnen Themen wie Authentifizierung, Verschlüsselung,Netzwerksegmentierung undPatch-Management an Bedeutung – auch undgerade im Elektrohandwerk.Schnittstellen, Protokolleund AngriffsflächenWo früher potenzialfreie Kontakte oder serielleSchnittstellen dominierten, kommen heute zunehmendIP-basierte Protokolle wie BACnet/IP,KNXnet/IP, Modbus TCP oder MQTT zum Einsatz.Diese Standards ermöglichen herstellerübergreifendeKommunikation und eine flexibleSystemintegration. Allerdings verfügen viele dieserProtokolle in ihren ursprünglichen Spezi fikationennicht über integrierte Sicherheits mechanismenwie Verschlüsselung oder Authenti fizierung – odersie werden in der Praxis ohne deren Aktivierungbetrieben. Das macht sie anfällig für Manipulationund unautorisierten Zugriff, sofern nicht zusätzlicheSicherheitsmaßnahmen getroffen werden.Viele Komponenten – vom Raumcontroller biszum Touchpanel – verfügen über integrierteWebinterfaces. Ohne zusätzliche Maßnahmenwie HTTPS-Verschlüsselung oder Zugangskontrollekönnen diese Schnittstellen potenziellvon jedem erreicht werden, der sich im gleichenNetzwerk befindet.Hinzu kommt: In vielen Projekten fehlt eine klareTrennung der Netzwerke. Gebäudetechnik, Büro-IT und Gäste-WLAN hängen nicht selten amselben Switch – ein konzeptioneller Fehler, derdie Sicherheit der gesamten Anlage gefährdet.Für mögliche Angreifer bieten sich dadurch zahlreicheEinfallstore: sei es über ungesicherte Telnet­Ports, Fernwartungszugänge mit Standardpasswörternoder veraltete Firmware-Versionen ohneaktuelle Sicherheits-Patches.Sichere Kommunikationbeginnt mit PlanungIT-Sicherheit lässt sich nicht nachrüsten – siemuss von Anfang an eingeplant werden. Dazugehört in erster Linie eine saubere Netzwerkarchitektur:Die Trennung der Systeme über VLANs,Subnetze oder dedizierte physische Infra strukturist essenziell.Kommunikationsverbindungen zwischen Komponenten– insbesondere bei Fernzugriffen– sollten grundsätzlich verschlüsselt sein.Ob HTTPS, SSH, TLS oder VPN: Eine unverschlüsselteKommunikation in der Gebäudetechnikist praktisch eine Einladung an potentielleAngreifer.Auch im WLAN-Bereich ist Sorgfalt gefragt: WPA3sollte der Standard sein, idealerweise ergänztdurch Client-Isolation, deaktiviertes WPS undein separates Gäste-Netzwerk. Steuerungsgerätewie Touchpanels oder Gateways sollten vorzugsweiseper LAN angebunden sein, um Störungenund potenzielle Angriffe über Funkverbindungenzu vermeiden.Ein weiterer wichtiger Punkt ist die Zugriffssicherheit.Systeme mit Benutzerverwaltung solltennicht nur über starke Passwörter geschützt werden,sondern – wenn möglich – die Zwei-Faktor-Authentifizierung (2FA) unterstützen. So lässt sichverhindern, dass ein kompromittiertes Passwortallein zum Zugriff ausreicht.30 Haus und Elektronik 3/2025

Netzwerke und KommunikationSecurity by Design –was moderne Geräte leisten müssenSichere Kommunikation endet nicht an derNetzwerkkante. Auch die eingesetzten Gerätemüssen heutigen Anforderungen genügen.Eine wachsende Zahl professioneller Hersteller,darunter tci, verfolgt deshalb bei den Touchpanelsfür die Gebäudeautomation das Prinzip„Security by Design“.Ein zentrales Element ist dabei der Einsatzvon Secure Boot: Nur signierte Firmware undBetriebssystem-Komponenten werden beimStartvorgang der Touchpanels geladen – eineeffektive Maßnahme gegen das Einschleusenvon Rootkits oder manipulierten Images.Ergänzt wird dieses Konzept durch den Einsatzeines Trusted Platform Modules (TPM). DieserSicherheitschip ist in der Lage, kryptografischeSchlüssel und Zertifikate sicher zu speichern –unabhängig vom Betriebssystem. Das machtAngriffe auf die Vertrauensbasis der Geräteerheblich schwerer.Ein weiterer Aspekt ist die Integrität des Dateisystems:Moderne Linux-basierte Panels setzenauf schreibgeschützte Root-Partitionen, umManipulationen zuverlässig auszuschließen.Systemupdates werden über sichere, signierteProzesse eingespielt – entweder manuell oderautomatisiert über eine cloudbasierte Plattformmit End-to-End-Verschlüsselung.Langfristige Sicherheitdurch Update-StrategienEin weitverbreitetes Sicherheitsproblem in derGebäudetechnik ist die Vernachlässigung vonFirmware- und Software-Updates. Viele Systemelaufen über Jahre oder gar Jahrzehnte – häufigohne je ein Update erhalten zu haben.Das mag im Sinne von „never change a runningsystem“ nachvollziehbar erscheinen, ist jedochriskant. Sicherheitslücken werden mit der Zeitbekannt und lassen sich von Angreifern gezieltausnutzen. Daher sollte bereits bei der Geräteauswahldarauf geachtet werden, dass die Systemeregelmäßig gewartet und aktualisiert werden.Zeitgemäße Panels und Steuergeräte solltendaher über eine dokumentierte Update-Strategieverfügen. Idealerweise lassen sich Updates zentralverwalten, im Vorfeld testen und in geplantenWartungsfenstern einspielen. Panels mit abgesichertenRemote-Update-Funktionen – etwaüber eine verschlüsselte Cloud-Anbindung –bieten hier einen echten Mehrwert.Fazit: Elektrotechnik undIT-Sicherheit wachsen zusammenDie Anforderungen an Fachbetriebe imBereich Elektro- und Gebäudetechnik verändernsich. Netzwerktechnik, IT-Sicherheit undKommunikations protokolle sind heute ebensoTeil der Planung wie Stromlaufpläne oder Schaltschranklayouts.Verschlüsselung, sichere Updates, Secure Boot, TPM (Trusted Platform Module) und Long-TermSupport ermöglich sichere Systeme in der GebäudetechnikWer ein modernes Gebäude zuverlässig betreibenwill – sei es im Wohnbau, Gewerbe oder inder Industrie – muss IT-Sicherheit als Teil desGesamtkonzepts verstehen und anwenden.Natürlich sind sie darauf hingewiesen, dassauch die Komponentenhersteller ihre Hausaufgabenmachen. Statt der Nutzung vorgegebenerStandard-Passwörter, die oft jahrelangunverändert bleiben – sollten die Geräteherstellerneben langzeitverfügbarer Hardwareauch Sicherheitsmechanismen einbauen, wiedie zwangsweise Vergabe eines sicheren Passwortesbei Inbetriebnahme des Geräts.Für Planer, Integratoren und Betreiber bedeutetdas: Wer bei Kommunikation und Sicherheit mitdenkt,schafft die Grundlage für einen störungsfreienund zukunftssicheren Betrieb – und schütztgleichzeitig die Investitionen seiner Kunden.Sicherheit durch signierteUpdates am Praxisbeispiel einesTouchpanelsAls Basis für ein sicheres Gebäudetechnik-Touchpanel bietet sich ein gehärtetes Yocto-Linux mit Secure Boot und TPM an. Die Softwareläuft auf einem schreibgeschützten Root­Dateisystem und akzeptiert nur signierte System-Images.Updates erfolgen über eine verschlüsselte,cloudbasierte Plattform – automatisch,sicher und nachvollziehbar dokumentiert.Solche Lösungen eignen sich für Anwendungenin sicherheitskritischer Infrastruktur,öffentlichen Gebäuden und in Zweckbautenwie Büro- oder Hotelkomplexen. ◄Glossar• TPM (Trusted Platform Module)Sicherheitschip zur sicherenSpeicherung von kryptografischenSchlüsseln, Zertifikaten undPasswörtern.• Secure BootStartmechanismus, bei dem nursignierte Systemkomponenten geladenwerden. Er verhindert Manipulationenund das Einschleusen von Schad-Software.• 2FA (Zwei-Faktor-Authentifizierung)Kombination zweier unabhängigerAuthentifizierungsmerkmale – z.B.Passwort + Einmalcode.• VLAN (Virtual Local Area Network)Virtuelle Trennung vonNetzwerksegmenten zur Steigerungder Sicherheit und Strukturierung vonNetzwerken.• TLS (Transport Layer Security)Verschlüsselungsprotokoll zurAbsicherung der Kommunikation inIP-NetzenHaus und Elektronik 3/2025 31

hf-praxis

PC & Industrie

© beam-Verlag Dipl.-Ing. Reinhard Birchel
Suche