Recht und gesunder Sachverstand

Aus wirtschaftlicher Sicht ist die IT-Sicherheit relevante Grundlage für die Sicherung des Geschäftsmodells eines Rechenzentrums, nicht zuletzt weil in der Regel in Service-Level-Agreements konkrete Zusagen zu Verfügbarkeiten festgelegt werden. Allerdings haben sich in den vergangenen Jahrzehnten haben sich Aufbau, Struktur und technische Ausstattung von Rechenzentren umfassend verändert.

So fasste das Bundesamt für Sicherheit in der Informationstechnik (BSI) die aus der Mitte der 1990er Jahre stammenden Definitionen der Begriffe 'Rechenzentrum' und 'Serverraum' neu. Dabei wurden Empfehlungen und Vorgaben – beispielsweise in den Mindeststandards nach § 8 Abs. 1 BSIG – praxisnäher formuliert.

Der rechtliche Rahmen

Für den Betrieb von Rechenzentren gelten mittlerweile eine Vielzahl von Gesetzen und Regelwerken wie

• das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ (BSIG),

• das IT-Sicherheitsgesetz (IT-SIG2),

• die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie) sowie

• die Critical Entities Resilience Directive (CER) als KRITIS-Dachgesetz.

Zum Beispiel schreibt das BSIG § 8a insbesondere vor: „Betreiber Kritischer Infrastrukturen sind verpflichtet, …angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen.“

Störungen in Rechenzentren

Störungen in Rechenzentren können von innen und von außen indiziert auftreten. Von innen indizierte Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit betreffen die grundsätzliche Betriebssicherheit der Datacenter-Infrastruktur. Der ICONAG-Fachbeitrag „Checkliste zum Einsatz einer Management- und Bedieneinrichtung (MBE) mit Energiemanagementsystem (EnMS) in Rechenzentren“ führt wichtige Schritte zur Vermeidung solcher Störungen bei Planung und Umsetzung einer Management- und Bedieneinrichtung (MBE) im Rahmen des Datacenter Infrastructure Management (DCIM) auf (Die Checkliste kann bestellt werden.).

Automationssysteme sind insbesondere in den Purdue-Zonen 0 bis 2, also auf der Feldebene, Steuerungsebene und Prozessleitebene besonders für von außen indizierte Störungen gefährdet, wie eine Fire Eye-Studie aus dem Jahr 2016 zeigt.

(Bild: Fire Eye: „2016 Industrial Control Systems (ICS) Vulnerability Trend Report“)

Bei von außen indizierten Störungen handelt es in der Regel um Sabotage, Spionage oder unerlaubten Zutritt. Bei Sabotage kommt es zum Fremdeingriff in eine Anlage, der zu Störungen oder Ausfällen führt. Ziel ist die Erpressung von Lösegeld. Über die Bedrohung Spionage wird unerlaubt auf Informationen zugegriffen, mit dem Ziel, Geschäftsinterna und -geheimnisse auszuspionieren. Der unerlaubte Zutritt in das Gebäude erfolgt mit der Absicht des Diebstahls.

Die IT-Sicherheit

Die wichtigsten Regelwerke zur IT-Sicherheit, die konkret für die Gebäude-Automation gelten, sind:

• BSI-Standards und -Grundschutzkompendium vom Bundesamt für Sicherheit in der Informationstechnik. Grundschutzbausteine Infrastruktur für Gebäude-Management (INF.13) und Gebäude-Automation (INF.14), sie sind verpflichtend für Bundesbehörden und Betreiber kritischer Infrastrukturen

• VDMA 24774 (2023-03): IT-Sicherheit in der Gebäude-Automation, Leitfaden für die Gebäude-Automation

• EU-Verordnung 2016/679, die Datenschutzgrundverordnung für den Schutz personenbezogener Daten in der Gebäude-Automation

Dabei ist zu bemerken, dass es auch für die Gebäude-Automation keine 100-prozentige IT-Sicherheit gibt. Der Schutzbedarf für ein hochverfügbares Rechenzentrum ist als hoch beziehungsweise sehr hoch einzustufen.

Welche Vorkehrungen im Gewerk Gebäudeautomation konkret zu treffen sind, müssen aus einer Risiko-Analyse für den jeweiligen Anwendungsfall abgeleitet werden. Im BSI-Standards- und Grundschutzkompendium werden folgende Gefährdungslagen für die Gebäudeautomation als besonders bedeutend genannt:

Unzureichende Planung der Gebäude-Automation, zum Beispiel durch fehlende Redundanzen oder hohe Komplexität der Zusammenarbeit unterschiedlicher Gewerke.

• Fehlerhafte Integration von TGA-Anlagen (Technische Gebäude-Ausrüstung) in die Gebäude-Automation kann zum Beispiel dazu führen, dass ein kleiner Fehler in einem Gewerk die Funktion der gesamten Gebäude-Automation einschränkt.

• Nutzung unsicherer Systeme und Protokolle in der Gebäude-Automation, zum Beispiel durch fehlende Aktualisierung der TGA-Anlagen aufgrund von Alter oder mangelnder Wartung.

• Fehlerhafte Konfiguration der Gebäude-Automation kann dazu führen, dass zum Beispiel die IT-Systeme bei entsprechenden Wetterlagen überhitzen oder auch zu nicht funktionierendem Zusammenspiel der Gebäude-Automation im Krisenfall.

• Manipulation der Schnittstellen von eigenständigen TGA-Anlagen zur Gebäude-Automation, so dass fehlerhafte Reaktionen der Gebäude-Automation erreicht werden, zum Beispiel über eine manipulierte Meldung einer Brandmelde-Anlage alle Türen geöffnet werden.

Darüber hinaus sieht das BSI folgende Defizite im Technischen Gebäude-Management (TGM) beziehungsweise Datacenter Infrastructure Management (DCIM) als Risikoquellen:

• Fehlende Grundlagen der IT-Sicherheit für die Planung des TGM, da beispielsweise bei der Planung die Betreiber häufig noch nicht feststehen.

• Mangelnde Dokumentation beim TGM führt zum Beispiel zu Unklarheiten über den Status Quo der IT-Sicherheit sowie zu unklaren Zusammenhängen, die im Krisenfall nicht nachvollzogen werden können.

• Bewusste oder unbewusste Kompromittierung der Schnittstellen mit TGM, insbesondere wenn schützenswerte Bereiche an das TGM angeschlossen sind wie Sicherheitsdienst, Brandmelde-Anlagen, Automationsstationen mit erhöhten Sicherheitsanforderungen (Safety Instrumented Systems - SIS).

• Unzureichendes Monitoring der TGA, so dass zum Beispiel systemkritische Fehlfunktion nicht erkannt werden.

• Unzureichendes Rollen- und Berechtigungs-Management, beispielsweise wenn mehrere Personen dasselbe Benutzerkonto nutzen oder Berechtigungen ausgeschiedener Nutzer nicht gelöscht werden.

Allgemeine Risiko-Analyse für ein Rechenzentrum

Die Risiken im Infrastruktur-Management für Rechenzentren (DCIM) werden häufig durch entsprechende Systeme und Prozesse schon aus Gründen des Geschäftsbetriebs in Planung und Betrieb berücksichtigt. Eine Ausnahme bildet eventuell das konsequente Monitoring der TGA, vor allem in kleineren Rechenzentren.

Hier ist davon auszugehen, dass spätestens mit der Umsetzung des Gebäude-Energiegesetzes und Energie-Effizienzgesetzes bis 2025 nachgebessert wird und alle Rechenzentren mit Management- und Bedieneinrichtungen sowie Energie-Management-Systemen im Rahmen des Datacenter Infrastructure Managements ausgestattet werden.

Auch für die Feld- und Automationsebene der Gebäude-Automation muss gelten, dass Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Daten gewährleistet ist. Die meisten Risiken ergeben sich, wenn die Automationssysteme an das Internet angekoppelt werden.

Die Ableitungen

Als Ableitungen von praktischen Anforderungen an die Gebäude-Automation für Ausführung und Betrieb von Rechenzentren aus dem BSI-Grundschutzkompendium in Verbindung mit der VDMA 24774 (2023-03) IT-Sicherheit in der Gebäude-Automation können folgende Punkte besonders relevant sein und einen nützlichen Leitfaden bilden. Bei der Aufzählung wird davon ausgegangen, dass im Rechenzentrumsbetrieb ohnehin ein erhöhtes Niveau an die IT-Sicherheit gewährleistet ist und die Grundlagen hierfür nicht nochmal explizit aufgeführt werden müssen:

Ableitungen als Vorgaben für die Planung der Gebäude-Automation

• Verschlüsselte Datenübertragung / Kommunikation (KNX-Secure, BACnet SC, OPC/UA,…).

• Deaktivierung aller nicht benötigten Dienste und Zugänge ab Werk („gehärtete“ Geräte und Software) samt Dokumentation der verwendeten Ports.

• Management-Software mit Funktionen zur Aufzeichnung der Benutzeraktivitäten (Audit Trial).

• Abnahme des GA-Systems mit der aktuellsten Firmware (Automationsstationen) beziehungsweise Softwareversion (BBE, MBE), zumindest alle Security-relevante Updates, insbesondere die aktuellen Patches von Windows sowie die aktuellen Versionen der eingesetzten Softwaresysteme.

Ableitungen für die Umsetzung beziehungsweise Ausführung der Gebäude-Automationssysteme

Einrichtung physikalisch oder virtuell getrennte IP-Netzwerke für die Gebäude-Automation samt Absicherung besonders gefährdeter Netzwerksegmente durch Firewalls.

Gesicherter Zugriff für Fernwartung.

Festlegung eines Backup-Konzeptes für Automationsstationen und Management-Ebene samt Anweisungen für ein Recovery.

Physische Sicherung von Schaltschränken, Technikräumen zum Beispiel samt Deaktivierung von USB- oder Ethernet-Zugängen.

Malware-Schutz und aktuellste Sicherheits-Patches für Engineering-Werkzeuge.

Projektspezifische Anpassung der Zugriffsberechtigungen und Änderung der Passwörter (insbesondere auf Automationsstationen, BBE, MBE), Aktivierung von Auto-Logoff-Funktionen.

Nachhärtung der Systeme durch Deaktivierung beziehungsweise Löschung aller ungenutzter Dienste, physikalische Zugänge, Benutzerkonten, Prozesse und Programme (insbesondere auf Automationsstationen, BBE, MBE), Aktivierung von Auto-Logoff-Funktionen.

Erstellung der Arbeitsvorschriften und Verhaltensanweisungen zum dauerhaften Erhalt der IT-Sicherheit durch den Errichter (SOP = Standard Operating Procedure).

Erstellung und Übergabe einer GA-Netzwerk-Dokumentation mit Modellbezeichnungen der Komponenten, MAC-Adressen, Einbauort und Firmware Versionsständen.

IT-Sicherheitsschulung für die Bediener.

Ableitungen für den Betrieb der Gebäude-Automationssysteme

• Individuelle Benutzernamen und Passwörter.

• Regelmäßige Security-relevante Updates/Upgrades (insbesondere von PCs, Servern und Routern), dabei Sicherstellung, dass Updates ausschließlich unverfälscht, von Quellen mit Zertifikat heruntergeladen werden.

• Regelmäßige Backups von Anlagenprogrammierung, Konfiguration, Konfigurationsänderungen der MBE-Software sowie der gespeicherten Betriebsdaten.

• Sicherstellung der Einhaltung der Arbeitsvorschriften und Verhaltensanweisungen samt regelmäßiger Aktualisierung des IT-Sicherheitskonzeptes im Rahmen der Wartung des GA-Systems.

• Regelmäßige IT-Sicherheitsschulungen.

Ratschläge

Auch in der Gebäude-Automation gibt es keine 100-prozentige Sicherheit für Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Daten. Durch Vorgabe und Beachtung einfacher technischer und organisatorischer Maßnahmen kann jedoch ein gutes Sicherheitsniveau erreicht werden. Zusammenfassend folgende 5 Tipps:

• 1. Stellen Sie für jedes Gebäude den Schutzbedarf auf Basis einer Risiko-Analyse fest. Dies müssen Fachplaner, Betreiber und Bauherr gemeinsam tun.

• 2. Machen Sie sich bewusst, dass GA-Systeme als Purdue Zone 0 bis 3 besonders verwundbar in Bezug auf die IT-Sicherheit sind, wobei die größten Risiken sich aktuell aus der Anbindung der Gebäude-Automation an das Internet ergeben.

• 3. Machen Sie auf Basis eines Sicherheitskonzeptes konkrete IT-Sicherheits-Vorgaben für Planung, Umsetzung und Betrieb auf Basis der VDMA 24774 (als besondere Leistung der GA anzubieten).

• 4. Erlassen Sie Arbeitsvorschriften und Verhaltensanweisungen (Policies) zur Schadensvermeidung und Schadensminderung.

• 5. Vereinbaren Sie Softwarepflege und Systemwartung zum regelmäßigen Schließen bekannter Sicherheitslücken.

• 6. Prüfen Sie im Zuge regelmäßiger Wartung nicht nur die Einhaltung der Policies, sondern auch die Aktualität des Sicherheitskonzeptes.