Verschlüsselung und Zertifikate
Für die geschützte Datenübertragung wird TCP mit WebSocket verwendet – zwei Mechanismen auf Basis des Internet-Protokolls IP, das in der IT nahezu flächendeckend genutzt wird. TCP/IP löst die bisher von BACnet verwendete Netzwerkprotokollschicht UDP (User Data Protocol) ab und für eine abhör- sowie fälschungssichere Kommunikation wird TLS eingesetzt. TLS (Transport Layer Security) ist als Grundlage für den sicheren Webzugriff (https) in der IT ebenfalls weit verbreitet. Bei der Verschlüsselung ist zu beachten, dass für die notwendigen digitalen Zertifikate ein unternehmensweites Procedere angelegt werden muss. Die für das Internet im Rahmen von Public-Key-Infrastrukturen zuständigen Zertifizierungs- und Registrierungsstellen sind in BACnet/SC nicht vorgegeben. Damit kann ein Betreiber seinen individuellen Netzwerkstrukturen Rechnung tragen. Für die problemlose Implementierung in vorhandene Netzwerke wurden die Sicherheitsmechanismen als zusätzlicher Data Link Layer in BACnet definiert. Zudem ist der neue Standard in der aktuellen Revision 22 abwärtskompatibel. Das hat den Vorteil, dass die vorhandene Ausstattung über entsprechende Router grundsätzlich mit neuen BACnet/SC-Geräten kommunizieren kann.
Jetzt beginnen!
BACnet/SC ist noch jung. Es dauert sicherlich einige Jahre, bis der Standard in Deutschland und Europa flächendeckend ausgerollt ist. Erst einmal abzuwarten, ist dabei aber keine Option. Vielmehr sollten Betreiber jetzt aktiv werden, denn Sicherheit wird nicht allein dadurch geschaffen, dass man ein Netzwerk mit BACnet/SC-fähigen Geräten aufbaut oder ergänzt. Vielmehr ist es notwendig, ein Sicherheitsbewusstsein zu schaffen, das alle mit einem BACnet-Netzwerk befassten Personen einschließt. Betreiber sollten sich zudem mit den Details der Revision 22 vertraut machen, um den Umstieg zu planen: Was bedeutet es, von UDP auf auf IP mit TLS umzusteigen? Was ist aus technischer Perspektive notwendig? Sind zusätzliche Geräte oder Leitungsstränge nötig? Was ist zu tun, um digitale Zertifikate zu erstellen? Welche Tools stehen für den Wechsel zur Verfügung? Wo kann man von den Mechanismen der bestehenden IT profitieren? Was die neue Produktpalette betrifft, so ist BACnet/SC eine Technologie, die die meisten Hersteller implementieren werden. Kleinere Unternehmen sind dabei möglicherweise schneller mit Produkten am Markt als große. Vielleicht lohnt es sich auch, nach Herstellern Ausschau zu halten, die an der aktuellen Revision mitgearbeitet haben. Außerdem kann es für Liegenschaftsbetreiber sinnvoll sein, sich in allgemeinen oder unternehmensspezifischen Schulungen Beratung einzuholen. Auf diese Weise wird es gelingen, BACnet/SC in der eigenen Liegenschaft erfolgreich anzuwenden.
