Wie steht es um die Cyber Security von Smart Buildings?

Juli 2018 – Vernetzten Gebäuden, intelligenten Fabriken und schlauen Wohnhäusern wird eine große Zukunft vorausgesagt. Experten des amerikanischen Research-Instituts Memoori zufolge sind bereits 2,7 Milliarden intelligente Steuerungs- und Regelungsgeräte und 84 % der verbauten Gebäudeautomationssysteme mit dem Internet verbunden. Das schlaueste und zugleich umweltfreundlichste Anschauungsobjekt der Welt steht in Amsterdam: “The Edge”, so der Name der 40.000 m² umfassenden Büroimmobilie, ist mit einer selbstlernenden Gebäudetechnik ausgestattet, die alle Funktionalitäten aufeinander abgestimmt steuert und sich den Nutzervorlieben anpasst. Zudem erzeugt das Gebäude selbst Energie über integrierte Solarmodule in der Südfassade und über Photovoltaik-Panele auf dem Dach und versorgt sich auf diese Weise mit Sonnenstrom. Wer würde nicht gerne in einer solchen “Intelligenzbestie” arbeiten wollen, die weiß, welche Lichtstimmung man wann bevorzugt, die das Büro an kalten Tagen wohlig temperiert und an heißen angenehm kühlt und einem vielleicht noch empfiehlt, wann es Zeit für die Mittagspause ist und was man dann Essen sollte. Schöne, neue Arbeitswelt.

Hacker haben leichtes Spiel

So weit, so gut. Doch wie verhält es sich mit der Cyber Security derartiger Gebäude, damit Unbefugte keinen Schabernack treiben können? Wie verwundbar Smart Buildings sind, hat IBM in einem “Ethical Hacking Experiment” in 2016 getestet, bei dem ein Hackerangriff auf ein real vernetztes Gebäude simuliert wurde. Rund ein Dutzend Schwachstellen traten zu Tage, die sich Cyberkriminelle hätten zunutze machen können. Sogar der Zugriff auf den zentralen Server wäre möglich gewesen. Es ist also noch viel Basisarbeit zu leisten. Zumal erst 29 % der in den USA mit Smart Buildings befassten Unternehmen Maßnahmen zur Verbesserung der Cyber Security ergriffen haben. Die Mehrheit hingegen verfügt noch über keinerlei Sicherheitskonzept. Dass das Risiko, Opfer einer Hackerattacke zu werden, jedoch äußerst Ernst genommen werden muss, erläuterte unlängst Sicherheitsspezialist Billy Rios anschaulich im nachfolgenden Webinar.

Gebäude im Kontext der Digitalisierung

Wie geht die Bau- und Immobilienwirtschaft in Deutschland das Thema IT-Sicherheit in Gebäuden an? Ohnehin stehen die beiden Branchen hierzulande am Anfang, was die Digitalisierung von Prozessen und Strukturen betrifft. Die Notwendigkeit zu mehr Effizienz, Transparenz und Nutzerfreundlichkeit drängt allerdings zum Handeln. Hinzu kommt die Energiewende, die mehr und mehr von digitalen Technologien bestimmt wird. Smart Metering ist hier nur ein Stichwort. In einigen Jahren sollen Gebäude als Energiespeicher funktionieren und am intelligenten Stromnetz, dem sogenannten Smart Grid, hängen. Von Smart City-Visionen gar nicht zu reden. Ein Aspekt, der immanent für die Sicherheit und Akzeptanz von smarten Gebäudelösungen ist, wird bisher jedoch kaum oder nur am Rande in den beiden Branchen diskutiert: Cyber Security.

Selten Bewusstsein für Risiken vorhanden

Reinhard Heymann, der sich seit über 30 Jahren mit IT und seit mehr als 15 Jahren mit intelligenter Elektrotechnik beschäftigt, wünscht sich dringend einen intensiven Dialog innerhalb der Bau- und Immobilienbranche darüber, wie Gebäude fit für das Internetzeitalter werden: “Das Problem ist, dass Gebäude, Infrastrukturen und Systeme bisher nicht dafür geplant und ausgelegt werden, Teil des Internets der Dinge zu sein. Entsprechend rudimentär sind viele Sicherheitsvorkehrungen.” Im Vorfeld einer Fachtagung hat er selbst über die Suchmaschine Shodan ausprobiert, welche vernetzten Steuerungssysteme im Internet auffindbar sind und aufgrund niedriger Sicherheitseinstellungen kompromittiert werden könnten. Was er gesehen hat, stimmt ihn nachdenklich: “Es ist schon paradox. Wenn es um die Datensicherheit in Facebook & Co. geht, sind alle alarmiert. Aber dass ihr Smart Home, die Überwachungskamera im Garten oder der Drucker im Arbeitszimmer in Nullkommanichts gehackt werden kann, interessiert anscheinend niemanden.”

Plattformbasiertes Energiemanagement stark nachgefragt

Doch was privat angeschafft und “vom Neffen am Samstag nachmittag” installiert wird, ist dem QDS-Geschäftsführer gleich. Er sieht die IT-Sicherheit von Gebäuden in einem professionellen Kontext. Als Smart Building-Berater, -Planer und Systemintegrator werden er und sein Team insbesondere dann kontaktiert, wenn die Energieeffizienz von Gebäuden mittels Digitaltechnik erhöht werden soll. Immer häufiger geht es dabei – neben gebäude- und energietechnischen Effizenzmaßnahmen – auch um die mögliche spätere Gebäudewartung über ein in der Cloud befindliches, plattformbasiertes Energiemanagement, das einen Managed Service in Echtzeit von der Datenvisualisierung über ein proaktives Monitoring bis zu optimalen Energieströmen erlaubt. Auch Nutzerdaten werden dort abgebildet, verarbeitet und gespeichert. Zudem sollen die Gebäude- und Energiedaten mit weiteren Informationen verknüpfbar sein. Eine derartige Konzeption, Umsetzung und Maintenance ist höchst anspruchsvoll und erfordert sowohl IT-Wissen als auch Ingenieur-Know-how und Immobilien-Sachverstand.

Datenschutz gilt auch für Gebäudenutzerdaten

Nun stelle man sich vor, ein auf diese Weise gemanagtes Gebäude würde aufgrund mangelhafter Cyber Security Opfer eines Hackerangriffs, wobei sensible Daten – auch Nutzerdaten – erbeutet werden, die im Netz landen oder sonst wie verwendet werden, etwa zu erpresserischen Zwecken, gibt der Experte zu bedenken. Was dann? Dann könnte es teuer werden. Denn sofern sich die Gebäude- und Nutzerdaten in der Cloud (bei einem Cloud-Anbieter) befinden, unterliegen sie der seit Mai 2018 geltenden europäischen Datenschutzgrundverordnung (EU-DSGVO) und die schreibt dezidiert vor, wie der Schutz von Nutzerdaten zu gewährleisten ist. Unter anderem muss der Cloud-Anbieter ein Risikomanagement nachweisen sowie geeignete technische und organisatorische Maßnahmen. Geschieht dies nicht, drohen Bußgelder in Millionenhöhe. Die Zeiten unstrukturierter Daten, inkompatibler Schnittstellen und ungesicherter Gebäudeautomationssysteme sind damit passé.

Smart Buildings unbedingt mit IT-Profis planen

Noch sei in Deutschland kein Gebäude “gehackt” worden, beruhigt Heymann. Zumindest wäre ihm kein Fall bekannt. “Doch die spektakulären Angriffe werden kommen, davon können wir ausgehen”, warnt der IT-Experte. Er jedenfalls setzt konsequent auf Aufklärung und berät seine Auftraggeber intensiv weit vor dem eigentlichen Projektstart. “Dadurch wird deutlich, dass Investitionen in sichere Gebäudetechniken strategisch und langfristig betrachten werden müssen”. Denn jetzt, wo Smart Buildings hierzulande noch in den Kinderschuhen steckten, bestünde die Chance, umfassende Planungs- und Betreiberkonzepte zu entwickeln, in denen Cyber Security integraler Bestandteil sei. Die Arbeit hat also gerade erst begonnen.

Text: Dagmar Hotze