Die Vernetzung von Gebäudefunktionen wie Heizung, Strom, Wasser und Sicherheit ist ein unverzichtbarer Bestandteil moderner Gebäude. Die fortschreitende Integration dieser Systeme ins Internet birgt neue Risiken. Ein Cyberangriff kann den Betrieb beeinträchtigen und im schlimmsten Fall Menschenleben gefährden. Die Information Security Society Switzerland (ISSS), deren Kooperationspartner wir sind, hat dazu Empfehlungen und Best-Practices veröffentlicht. Das ISSS-Dokument richtet sich an Projektleiter und Betreiber von Gebäuden, insbesondere kritischer Infrastrukturen und öffentlicher Gebäude wie Schulen und Spitäler. Es gibt praxisorientierte Empfehlungen und Best-Practices zur Implementierung von Sicherheitsmassnahmen. Hier können Sie eine kurze Zusammenfassung lesen.

Ziel und Zweck des ISSS-Dokuments

Das ISSS-Dokument dient als Hilfestellung für Projektleiter und Betreiber. Ziel ist es, die Integrität und Verfügbarkeit von Systemen zu gewährleisten, die für den Betrieb kritischer Infrastrukturen und öffentlicher Gebäude entscheidend sind. Die Cybersicherheit soll von Beginn an in die Planung integriert werden, und eine vorherige Risikoanalyse wird empfohlen, um kritische Systeme und Bedrohungen zu identifizieren.

Umsetzung der Massnahmen und Verantwortlichkeiten

Die Umsetzung der Massnahmen kann auf drei Weisen erfolgen:

• Eigenständige Umsetzung
• Zusammenarbeit mit dem Dienstleister: Dieser kennt die Systeme im Detail.
• Zusammenarbeit mit einem Beratungsunternehmen mit Erfahrung im Bereich der Gebäudeautomation-Cybersicherheit.

Die Verantwortung für Cybersicherheit soll sowohl in der Projektierung als auch im Betrieb klar definiert werden. Der Projektleiter muss in der Planungsphase sicherstellen, dass die Gebäudeautomation sicher konzipiert wird. Im Betrieb ist der Gebäudebetreiber für Wartung, Updates und die Überwachung des Fernzugriffs zuständig.

Essenzielle Anforderungen (Tier 1)

Aus Sicht des ISSS stellen die folgenden Anforderungen eine nachdrückliche Empfehlung dar und definieren die minimal erforderlichen Sicherheitsmassnahmen:

• Inventar: Führen Sie ein vollständiges und aktuelles Inventar aller Geräte, Systeme und Softwareanwendungen, um eine ausreichende Sichtbarkeit und Kontrolle über Sicherheitsrisiken zu haben.
• Netzwerkarchitektur/Zonierung: Implementieren Sie eine segmentierte Netzwerkarchitektur, die kritische Systeme physisch oder logisch von weniger sicheren Bereichen trennt.
• Netzwerkverkehr mit Whitelisting regeln: Erlauben Sie nur autorisierte Geräte und Anwendungen, um böswillige Aktivitäten zu erkennen und zu blockieren.
• Zugriffsmanagement & sichere Grundkonfiguration: Ändern Sie Standardpasswörter, verwenden Sie das Prinzip der geringsten Privilegien (Least Privilege) und implementieren Sie, wenn möglich, Multi-Faktor-Authentifizierung (MFA) für alle Systeme.
• Backup: Erstellen Sie ein Backup, das mindestens die Konfiguration des Systems zur Gebäudeautomation umfasst.

Empfohlene Anforderungen (Tier 2)

Diese Massnahmen dienen als Vorschläge zur Optimierung des Gesamtsicherheitskonzepts:

• Kommunikationsmatrix & Protokoll Best-Practices: Erstellen Sie eine Kommunikationsmatrix und verwenden Sie moderne Protokolle wie BACnet/SC, KNX Secure oder OPC UA bei allen Projekten.
• Patchmanagement: Entwickeln Sie einen strukturierten Patchmanagement-Prozess, der regelmässige Überprüfungen und Updates für alle Systeme und Geräte umfasst.
• Recovery: Erstellen Sie ein Recovery-Konzept und testen Sie die Wiederherstellung regelmässig.
  
  

Haben Sie Fragen oder benötigen Sie Unterstützung bei der Absicherung Ihrer IT-, OT- oder IoT-Umgebung? Wir verfügen über die Erfahrung, um Sie auf diesem Weg zu begleiten. Als Service Anbieter mit viel Erfahrung im Bereich OT-/IoT-Security sind wir der richtige Partner für Sie, egal ob es um ein Architektur Review geht, einen Penetration Test, eine Angriffs-Simulation, einen Physical Access Test oder das Aufsetzen eines Business Continuity Management Konzepts (BCM). Wir freuen uns über Ihre Kontaktaufnahme.