Cybersecurity: Wo geht die Reise hin?

„Gebäudeerrichter und -betreiber in Österreich schauen noch immer viel zu wenig auf Cybersecurity“, so Krammer. Die Kosten sind neben dem Personal- und Ressourcenaufwand ein bremsender Faktor. „Dabei stellt sich heute nicht die Frage, ob ein Unternehmen angegriffen wird, sondern wann.”

Trend Nummer 1 – die IT/OT-Kommunikation

In vielen Unternehmen waren bisher die Verantwortlichkeiten für den IT-Bereich und den OT-Bereich (Operational Technology) getrennt. „Heute findet die Kommunikation zwischen beiden Bereichen statt“, so Krammer. Dies gilt insbesondere für smarte Gebäude, die sich für höchsten Komfort und Energieeffizienz modernster Technologien bedienen. Angreifer könnten versuchen, über das IT- in das OT-Netzwerk einzudringen – und umgekehrt. Grundlegende Sicherheitsmaßnahmen, wie ein Benutzer- und Passwortmanagement, Netzwerksegmentierung, ein passendes Firewall-Konzept, regelmäßige Softwareaktualisierungen oder das rasche Schließen bekannter Sicherheitslücken, seien hier Gebot der Stunde.

Dabei stellt sich heute nicht die Frage, ob ein Unternehmen angegriffen wird, sondern wann.

Martin Krammer, Cybersecurity-Experte

Trend Nummer 2 – sichere Gebäudenetzwerke

Trend Nummer 2 umfasst die verbesserte Sicherheit von Gebäudenetzwerken. Krammer: „Bisher kamen die verschiedenen Netzwerkprotokolle, etwa BACnet, KNX oder MODBUS, ohne jegliche Sicherheitsfunktionen aus.“ Hier sei seit gut einem Jahr ein Umdenken zu sehen. „Bei BACnet Secure etwa verschlüsselt ein zusätzlicher Layer die Kommunikation, versieht diese mit Zertifikaten und macht es Angreifern nahezu unmöglich, sich einzuklinken“, so der Cybersecurity-Experte.

Trend Nummer 3 – die Gesetzeslage

„Österreichische Gesetze und Vorschriften zum Thema Cybersecurity sind bereits vorhanden, aber zum Teil ungenügend und zum Teil in Entstehung“, fasst Krammer die aktuelle Lage zusammen. Hier sei Bedarf, dass die Anstrengungen von Seiten des österreichischen Gesetzgebers beschleunigt werden. Dabei sei es wichtig, neben der kritischen Infrastruktur möglichst alle Gebäudebetreiber verbindlich zum Setzen effizienter Cybersecurity-Maßnahmen nach dem Stand der Technik zu verpflichten.

Trend Nummer 4 – cyberresiliente Lieferketten

Unsichere Lieferketten können Quellen für Cyberangriffe darstellen. Der Trend gehe dahin, an sämtliche Lieferanten jene Anforderungen zu stellen, die nötig sind, um den eigenen Bereich sicher zu gestalten. Siemens hat daher die Charter-of-Trust-Initiative mitgegründet, die in Zusammenarbeit mit anderen führenden Industrieunternehmen grundlegende Anforderungen an die Cybersecurity definiert. Die Cyberresilienz der Lieferketten wird so bereits umgesetzt.

Trend Nummer 5 – Sicherheit erhalten

Im Interesse eines reibungslosen Betriebs muss der Stand der Cybersecurity laufend verbessert oder zumindest gehalten werden. Ein Beispiel hierfür ist etwa das bisweilen vernachlässigte Benutzer- und Passwortmanagement. „Hilfreich und ressourcenschonend ist daneben ein Update- bzw. Upgrade- Service oder ein Patch Management Service, welches Siemens in Kürze anbieten wird und das erkannte kritische Schwachstellen in Kooperation mit dem Gebäudebetreiber rasch schließt“, fasst Martin Krammer zusammen.

Trend Nummer 6 – Cybersecurity by Design & by Default

Bisher wurden Produkte entwickelt und höchstens danach ein Sicherheitskonzept erdacht. „Beim genannten Übergang von BACnet auf BACnet Secure Connect ist das zwar geglückt – dennoch wird sich diese Vorgehensweise in Zukunft umkehren“, weiß Krammer, denn „auf Grund der gestiegenen Anforderungen, etwa bei der Verknüpfung von IT und OT, ist die Cybersecurity bei neuen Produkten bereits in der Designphase zu berücksichtigen.“ Ein Prinzip, welches Siemens bereits lebt, z. B. bei den neuen Desigo-Controllern PXC4, PXC5, und PXC7. Cybersecurity by Default baut darauf auf: Produkte sind bereits bei der Auslieferung mit sicheren Einstellungen konfiguriert.

Mehr Informationen:

Cybersecurity für Smart Buildings