Chance und Risiko zugleich

Vernetzung der Sicherheitssysteme

11. März 2019

-

Gefahrenmeldeanlagen und andere Sicherheitssysteme ­­werden immer mehr untereinander und mit Gewerken der Gebäudetechnik vernetzt. Dadurch werden die Systeme in die Lage versetzt, Informationen auszutauschen und gegenseitig nutzbar zu ­machen.

Anzeige
Quelle: Adobe Stock / nirutft

Quelle: Adobe Stock / nirutft

Um einen Überblick über die möglichen Schnittstellen allein zwischen den sicherheitstechnischen Gewerken und der angrenzenden Peripherie (Gebäudeleittechnik, Notruf- und Service-Leitstellen etc.) zu erhalten, hat die Arbeitsgemeinschaft (Arge) Errichter und Planer im ZVEI bereits vor einiger Zeit einen Leitfaden mit dem Titel »Vernetzte Sicherheitstechnik – Schnittstellenübersicht und Ausblick auf die IP-Vernetzung» erstellt.

Gebäudenutzer und Anwender können von einer verbesserten Funktionalität, höherer Energieeffizienz und geringerem Kostenaufwand profitieren – und künftig von ganz neuen Geschäftsmodellen und Services. Der europäische Sicherheitsverband Euralarm hat daher eine Norm »Remote Services« angestoßen.

Kosteneffiziente und vom Markt immer stärker geforderte Funktionalitäten wie Ferninspektion und -wartung werden durch die IP-Vernetzung den Zugriff von außen erleichtert.

Sicherheitssysteme schützen Menschen und Sachwerte. Zu diesen Systemen zählen u.a. Gefahrenmeldeanlagen nach DIN VDE 0833, die vor Brand, Einbruch und Überfall schützen, aber auch Videoüberwachungsanlagen, Rauch- und Wärmeabzugsanlagen (RWA) oder Zutrittskontrollsysteme. An sie werden hohe Anforderungen bezüglich Übertragungssicherheit, Verfügbarkeit und Zuverlässigkeit gestellt, die in zahlreichen Gesetzen, Normen und Richtlinien geregelt sind.

Ihre sicherheitsrelevanten Funktionen – wie die Gefahrendetektion, die Internalarmierung sowie die Alarmierung von Polizei, Feuerwehr oder Leitstellen und das Steuern nachgeordneter Systeme im Gefahrenfall – dürfen durch eine Vernetzung unter keinen Umständen beeinträchtigt werden.

Vernetzte Daten schützen

Datenschutzaspekte müssen dabei genauso berücksichtigt werden wie der Schutz durch Sabotage von außen, beispielsweise durch Cyberangriffe oder Computerviren. Jedoch wächst mit einer steigenden Anzahl von Schnittstellen und möglichen Zugriffen von außen auch das Risiko von Rückwirkungen auf sicherheitsrelevante Kernfunktionen der vernetzten Systeme.

Denkbar sind beispielsweise Angriffe auf einzelne Geräte (Code-Injection, Ausnutzung von Schwachstellen in der Firmware oder Wartungszugängen) oder auf das IP-Netz insgesamt (Denial-of-Service-Attacken). In allen Bereichen, in denen personenbezogene oder als solche aggregierbare Daten erhoben werden, sind die Aspekte des Datenschutzes in Einklang mit den entsprechenden Gesetzen zu berücksichtigen.

Offene IP-Video-Plattform

Dank der offenen Plattform Onvif (Open Network Video Interface) ist die Nutzung von IP-Vernetzungen in Videoüberwachungssystemen am weitesten fortgeschritten. Durch den Wandel von analogen zu digitalen Kameras und Speichersystemen sowie der notwendigen Übertragung großer Datenmengen sind IP-Netze erforderlich; es werden dabei auch IP-Netze der Betreiber genutzt. Auch die Vernetzung von Unterzentralen innerhalb verschiedener Safety- und Security-Gewerke erfolgt verstärkt über IP-Netze, allerdings in der Regel zwischen Geräten eines Herstellers und über separate Netzwerkverbindungen. Für andere Gewerke der Sicherheitstechnik existieren bereits heute Regelungen zur Vernetzung und zu den Schnittstellen solcher Systeme, die sich allerdings über verschiedene Normen und Richtlinien verteilen.

Durch den Einsatz standardisierter Netzwerktechnik können auch Produkte zum Einsatz kommen, die nicht ausschließlich für den Einsatz in Gefahrenmeldeanlagen konzipiert werden, wie handelsübliche Switches oder Router. Die Verantwortung für die Konfiguration und langfristige Administration dieser Netzwerkkomponenten muss im Vorfeld geklärt und für die gesamte Lebensdauer der Gefahrenmeldeanlage aufrechterhalten werden. Dazu erarbeitet gegenwärtig der DKE-Arbeitskreis »Vernetzung« einen Normentwurf, der sich mit der Verwendung konventioneller IT-Komponenten, Netztypen und -topologien beschäftigt.

Ferner wurde das »Selbstverständnis« der Sicherheitstechnik in Bezug auf Smart Home in der vor kurzem veröffentlichten Vornorm DIN VDE V 0826-1 »Gefahrenwarnanlagen (GWA) sowie Sicherheitstechnik in Smart-Home-Anwendungen für Wohnhäuser, Wohnungen und Räume mit wohnungsähnlicher Nutzung – Planung, Einbau, Betrieb, Instandhaltung, Geräte- und Systemanforderungen« definiert.

Die Erweiterung wurde notwendig, »da bei vielen Smart-Home-Komponenten und -Systemen die erforderliche Sicherheit im Kontext der Sicherungs- und Sicherheitstechnik nur ungenügend Berücksichtigung findet; um Herstellern Hinweise zu geben, welche sicherheitstechnischen Gegebenheiten bei der Konzeption neuer Produkte im Smart-Home-Bereich mit Security-Anwendungen zu berücksichtigen sind; um Planern, Errichtern, Architekten, Bauherren, Wohnungsbau­gesellschaften, Kommunen, etwaigen Finanzierungsstellen usw. Voraussetzungen für Ausschreibungen entsprechender Systeme zu geben; um Errichtern und Nutzern Hinweise zu Auswahl, Einsatz und Installation von Smart-Home-Komponenten mit Security-Anwendungen unter Beachtung eines sicheren Betriebes zu geben.«

Vernetzung mit Rückwirkungsfreiheit

Smart Building bietet viele Möglichkeiten, Gebäude künftig effizienter zu gestalten. ­Sicherheitstechnik kann hier einen Beitrag leisten und durch die Vielzahl der Sensoren unterstützen. Dabei muss jederzeit die Rückwirkungsfreiheit der Produkte sowie der realisierten Vernetzungstechnologie gewährleistet werden. Gerade für Dienstleister ist dies in Zukunft eine spannende ­Herausforderung.

Netzwerk­infrastruktur ändern

Im Allgemeinen liegt die Lebensdauer von Geräten der klassischen IT weit unterhalb der von Gebäudeleittechnik und damit vernetzter Systeme. Das Auftreten defekter Netzwerkgeräte oder Änderungen an der Netzwerk­infrastruktur sind deshalb vorzusehen und können auch Auswirkungen auf die Gefahrenmeldeanlage haben. Änderungen am Netzwerk müssen mit dem Planer oder Errichter sowie dem Betreiber abgestimmt werden.

Ebenso können Wartungszyklen für Updates an den Netzwerkkomponenten die Verfügbarkeit der Gefahrenmeldeanlage beeinflussen. Es sollte daher ein Prozessansatz benutzt werden, der die beschriebenen Fälle für den gesamten Lebenszyklus eines Produkts oder eines Systems abdeckt. Dabei müssen Hersteller, Planer/Errichter und Betreiber zusammenarbeiten und gemeinsam Gegenmaßnahmen ergreifen. Je nach Anwendungsgebiet und in Abhängigkeit einer Risikobetrachtung muss man verschiedene gestaffelte Ansätze zur Absicherung zu einem sogenannten Defense-in-Depth-Ansatz kombinieren. Ein starker Perimeterschutz allein – beispielsweise durch Firewalls – deckt nicht alle Angriffswege ab und kann deswegen überwunden werden.

Einfallstor Gebäudeleittechnik

Es ist davon auszugehen, dass vernetzte Gefahrenmeldeanlagen mit der allgemeinen Netzwerkinfrastruktur der Gebäudeleittechnik zusammen betrieben werden und dass komplett eigenständige Netzwerke nur bei besonders hohen Schutzforderungen zum Einsatz kommen. Eine vollständige Trennung (sogenannte Airgap) ist technisch nur schwer möglich und würde viele der Vorteile einer Vernetzung wieder zunichtemachen.

Das bedeutet aber auch, dass das Netzwerk, über das die vernetzte Gefahrenmeldeanlage angegriffen werden kann, als poten­tiell kompromittiert angesehen werden muss. Es ist als ein Haupteinfallsweg anzusehen und deshalb ist die Absicherung des Netzwerks besonders wichtig. Diese kann über physikalische oder logische Netzwerksegmentierung erfolgen.

Zusätzlich sollten sichere Netzwerkprotokolle eingesetzt werden, was jedoch komplex und aufwändig ist. Es ist empfehlenswert, dafür einheitliche, bereits existierende und offengelegte Standards mit nachgewiesenen Schutzfunktionalitäten zu verwenden, wobei die korrekte Implementierung sehr genau geprüft werden sollte.

Themenbezogene Merkblätter des ZVEI

Dokumentierte Systemöffnung

Einer der großen Vorteile der Vernetzung ist die Möglichkeit, Diagnose und Wartungsunterstützung der vernetzten Gefahrenmeldeanlage aus der Ferne durchzuführen. Dazu müssen gezielt Schutzmechanismen außer Kraft gesetzt werden, um eine Verbindung von der Anlage zu der Stelle, die die Fernwartung durchführt, zu erlauben. Hierbei ist sicherzustellen, dass der Zugriff zeitlich und auf das zu wartende System beschränkt bleibt. Aus Dokumentationsgründen sollten alle diese Zugriffe protokolliert werden. Die Möglichkeit der Fernwartung sollte frühzeitig berücksichtigt werden und in der Ausschreibung ggf. eine eigene Position im Leistungsverzeichnis mit der Definition der Schnittstellen geschaffen werden.

Zusätzlich sollten Anforderungen an das Sicherheitsniveau der zugreifenden Stelle gestellt werden. Selbst in kleinsten Sensoren mit Netzwerkanbindung kommen oft Standardbetriebssysteme zum Einsatz. Diese Geräte erben die Schwachstellen dieser Betriebssysteme. Deshalb ist es wichtig, dass diese Geräte oder Bedienterminals über Update-Mechanismen verfügen, um Schwachstellen zu patchen. Hersteller sollten den Umgang mit Schwachstellen offensiv, d. h. über Benachrichtigung der Errichter oder Betreiber sowie das Bereitstellen von Updates, betreiben. Die Gefährdungslage sollte permanent abgeschätzt und verfügbare Sicherheits-Updates kurzfristig ausgerollt werden können.

Selbstverständlich muss vor allem für kritische Anwendungen auch ein Test der Updates erfolgen. Bis diese Sicherheits-Updates verfügbar sind, müssen wirksame Maßnahmen gegen die Ausnutzung offener Schwachstellen, zum Beispiel eine temporäre Isolation oder Härtung des Systems, ergriffen werden. Die Update-Mechanismen selbst sind ebenfalls ein Angriffsweg und müssen beispielsweise durch Verschlüsseln und Signieren der Firmware oder zusätzlichen Hardwareschutz gegen Manipulation geschützt werden.

Komplexe Konfiguration

Verglichen mit vielen Anlagen, bei denen heutzutage oft noch Zweidraht-Verkabelung eingesetzt wird, stellt ein vernetztes System einen Evolutionssprung dar. Damit steigen die Anforderungen an den Errichter enorm, denn mit der gestiegenen Komplexität gibt es viel mehr Konfigurationsmöglichkeiten und damit die zunehmende Gefahr fehlerhafter Einstellungen.

Dasselbe gilt auch für die Gerätehersteller, die zusätzliche Software programmieren müssen. Moderne Entwicklungsprozesse unterstützen zwar gezielt bei der Programmierung sicherer Software, trotzdem treten Schwachstellen nach wie vor auf. In der Praxis ist ein entsprechendes Management von Schwachstellen und Sicherheitsupdates durch alle Beteiligten erforderlich. Im ZVEI wurde daher ein übergreifendes Projektteam »Horizontale Security-Produktanforderungen« ins Leben gerufen. Ziel ist die Erstellung einer industrietauglichen Definition, was als horizontale Security-Produktanforderungen für vernetzbare Geräte gelten könnte.

Kommentare aus der Community (0)

Noch keine Kommentare


Einen Kommentar schreiben

Mit * markierte Felder müssen ausgefüllt werden. Ihre E-Mailadresse wird nicht angezeigt.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Datenschutzerklärung.