Smart-Home und Sicherheit – Smart home and security

Doch wie sieht es bei Lösungen zur Gebäudeautomatisierung in Unternehmen aus? Für welche Zwecke setzen sie Smart-Home-Anwendungen ein – und was können sie tun, damit die Hilfstechnologie nicht zum Sicherheitshindernis wird?

Anwendungsbereiche: Überwachung und Steuerung

Unternehmen setzen Smart-Home-Systeme prinzipiell zur Überwachung und Steuerung ein. Die Bereiche, in denen mit Hilfe einer Gebäudeautomationslösung überwacht und gesteuert werden sollen, haben häufig unterschiedliche Anforderungen. Dabei werden, je nach Einsatzgebiet, Informationen zum Gebäudezustand erhoben und zentral gebündelt, sodass Aktionen vorbestimmt und ausgeführt werden: So kann ein solches festgelegtes Szenario etwa ein Konferenzraum sein, in dem eine Präsentation stattfinden soll. Die Anforderungen sind dann eine gedimmte Beleuchtung im Bereich der Projektionsfläche, geschlossene Jalousien und ein entsprechend eingestellter Lamellenwinkel, sodass kein störendes Licht von außen in den Raum eindringen kann.

Neben Komfort-, Energie- und Sicherheitsfunktionen sind in einem Zweckbau Smart-Home-Funktionen zur Kommunikation und Wartung nötig: So kann ein offenes Fenster nach Betriebsschluss zwar ein Alarmsignal auslösen – dieses Signal muss das Gebäude jedoch verlassen können und bei einem Gebäudesicherheitsdienstleister eingehen, damit dieser entsprechend reagieren kann. Das erfordert nicht nur eine Vernetzung innerhalb des Gebäudes, sondern auch außerhalb. Eine der häufigsten Wartungsformen ist das Software-Update von Komponenten eines solchen Systems, das die Behebung von Sicherheitsschwachstellen und Fehlern in Funktionen oder Funktionserweiterungen ermöglicht.

Standardpasswörter sind größtes Sicherheitsrisiko

Eines der häufigsten Sicherheitsprobleme bei der Gebäudeautomation und in Smart-Home-Lösungen sind Standardpasswörter, die nach der Installation nicht geändert werden. Dadurch kann ein potentieller Angreifer durch eine Vorort-Bedienung das System ausspähen oder komplett übernehmen. Verfügt das System über eine Fernzugriffsmöglichkeit, ist der Angriff auch aus der Ferne möglich.

Eine weitere Sicherheitslücke besteht in einer ungesicherten Kommunikation innerhalb der Automatisierungslösung wie auch die ungesicherte Kommunikation mit der Automatisierungslösung. Ein potentieller Angreifer kann hier die Daten der Kommunikation zwischen den vernetzten Geräten mithören und etwa sensible Informationen (beispielsweise Zugangsdaten) abgreifen. Eine (Teil-)Übernahme der Installation wird dadurch möglich.

Oft liefern ausgelassene oder zu spät angewendete Updates des Systems Schwachstellen, die missbraucht werden können. Schwachstellen durch ungesicherte, unzureichend gesicherte und nicht genutzte Verwaltungszugänge oder andere Schnittstellen der Lösung müssen ebenso kritisch betrachtet werden, denn sie stellen in der Regel keine Hürde für einen erfolgreichen Angriff dar.

Tipps für einen bewussten Smart-Home-Umgang

In vielen Unternehmen ordnet man die Cybersicherheit der Gebäudeautomationslösung der IT zu. Allerdings ist für den Betrieb, und damit auch für die Sicherheit einer professionellen Lösung, meist ein Handwerksbetrieb zuständig. Der Elektroinstallateur sollte in einem entsprechenden Wartungszyklus dafür sorgen, dass aktuelle Herstellervorgaben in den Installationen befolgt und umgesetzt werden. Oft läuft die Beauftragung des Installateurs über das Facility Management, da Aufgaben wie Entstörung, Wartung und Erweiterung der Automationslösung von dort aus angestoßen werden.

I Klare Rollen definieren:

Beim Einsatz professioneller Lösungen zur Gebäudeautomation ist darauf zu achten, dass der Installateursbetrieb akkreditiert ist und sich regelmäßig über Maßnahmen zur Cybersicherheit in der eingesetzten Lösung informiert. Entscheidet sich ein Unternehmen, ein Smart-Home-System einzusetzen, sollte eine Rolle für Sicherheitsbelange definiert und von einem geeigneten Mitarbeiter eingenommen werden. Ein aktuelles Siegel des BSI kann ein Entscheidungskriterium sein, da die damit zertifizierten Produkte Basisanforderungen zur Cybersicherheit (vgl.: Standard ETSI EN 303 645) erfüllen müssen.

II Für Cybersecurity sensibilisieren:

Ein Hauptproblem ist, dass Cybersicherheit, als eine nicht-funktionale Anforderung an das System, aus Kostengründen oft vernachlässigt wird. Im Ergebnis wird das System unzureichend gewartet oder bildet das Sicherheitsbedürfnis des Unternehmens nur dürftig ab. Komfort ist ein weiterer Grund dafür, dass der Cybersicherheit häufig ein störender oder aufwändiger Charakter zugeordnet und sie dadurch vernachlässigt wird. Hier helfen Mitarbeiter-Sensibilisierungen und gezielte Schulungen.

III Sicherheitsvorgaben einkalkulieren:

Unternehmen, die Automatisierungslösungen einsetzen, sollten beim Einsatz der Lösungen darauf achten, dass die Sicherheitsvorgaben des Herstellers eingehalten werden. Dies kann in Form von abzuarbeitenden Checklisten während oder unmittelbar nach der Inbetriebnahme erfolgen. Allgemeinen Leitfäden zur Umsetzung von Sicherheitsmaßnahmen in der Gebäudeautomation können die Unternehmen selbst folgen, egal welches Automatisierungssystem sie gerade einsetzen. Diese enthalten Maßnahmen wie dem Schließen von nicht benötigten Schnittstellen (insbesondere, wenn diese nach außen, beispielsweise ins Internet, führen). Andere Maßnahmen zielen auf die restriktive Einrichtung von Zugängen ab, bei denen Rollen für die Nutzung des Automatisierungssystems zugewiesen werden, denen sich die Benutzer unterordnen müssen.

Trotz der Bemühungen auf nationaler und europäischer Ebene (EU Cybersecurity Act), Normen für den IoT/IIoT-Bereich, zu denen Smart-Home Systeme und Systeme zur Gebäudeautomation gehören, zu etablieren, gelten Sicherheitslücken nur in bestimmten Fällen als Mangel, wodurch sich bei einem erfolgreichen Cyberangriff ein Gewährleistungsfall ergäbe. Unternehmen sollten diesen Umstand im Auge behalten und auf Produkte und Dienstleistungen setzen, die ihre Sicherheitsbedürfnisse explizit abbilden und abdecken.

Fazit

Unternehmen setzen Smart-Home-Lösungen zur Gebäudeautomation vornehmlich zur Überwachung und Steuerung innerhalb des Gebäudes ein. Dabei sind Standardpasswörter die größte Sicherheitslücke, die nach dem Einrichten nicht mehr verändert werden. Auch ausgelassene Sicherheitsupdates und eine ungesicherte Kommunikation innerhalb der Lösungen beeinträchtigen den Bereich Cybersecurity. Um die Sicherheit der Technologie und des Unternehmens selbst sicherzustellen, sollten sie klare Rollen in Sachen Verantwortung definieren, ihre Mitarbeiter für das Thema und entsprechende Gefahren sensibilisieren und entsprechende Sicherheitsvorgaben vom Hersteller beachten.

But what about building automation solutions in companies? For what purposes are they using smart home applications – and what can they do to ensure that assistive technology doesn’t become a security obstacle?

Areas of application: Monitoring and control

In principle, companies use smart home systems for monitoring and control. The areas that are to be monitored and controlled with the help of a building automation solution often have different requirements. Depending on the area of application, information on the building condition is collected and centrally bundled so that actions are predetermined and executed: For example, one such predetermined scenario might be a conference room in which a presentation is to take place. The requirements are then dimmed lighting in the area of the projection surface, closed blinds and an appropriately set slat angle so that no disturbing light from outside can enter the room.

In addition to comfort, energy and security functions, smart home functions for communication and maintenance are necessary in a functional building: for example, an open window after closing time may trigger an alarm signal – but this signal must be able to leave the building and be received by a building security service provider so that they can respond accordingly. This requires networking not only inside the building, but also outside. One of the most common forms of maintenance is software updates to components of such a system, which allows security vulnerabilities and bugs in features or functional enhancements to be fixed.

Default passwords are biggest security risk

One of the most common security issues in building automation and smart home solutions is default passwords that are not changed after installation. This allows a potential attacker to spy on or completely take over the system through on-site operation. If the system has remote access capability, the attack is also possible remotely.

Another security vulnerability is unsecured communication within the automation solution as well as unsecured communication with the automation solution. A potential attacker can eavesdrop on the communication between the networked devices and obtain sensitive information (such as access data). This makes a (partial) takeover of the installation possible.

Often, system updates that have been omitted or applied too late provide vulnerabilities that can be abused. Vulnerabilities due to unsecured, inadequately secured and unused administrative access or other interfaces of the solution must be viewed just as critically, because they are usually not a hurdle for a successful attack.

Tips for a conscious smart home approach

In many companies, cybersecurity of the building automation solution is assigned to IT. However, the operation, and thus the security of a professional solution, is usually the responsibility of a craftsman’s company. The electrical installer should ensure, in an appropriate maintenance cycle, that current manufacturer specifications are followed and implemented in the installations. Often, the commissioning of the installer runs through facility management, as tasks such as fault clearance, maintenance and expansion of the automation solution are triggered from there.

I Define clear roles:

When using professional building automation solutions, ensure that the installer company is accredited and regularly updates itself on cybersecurity measures in the deployed solution. If a company decides to use a smart home system, a role for security concerns should be defined and taken by a suitable employee. A current seal of the BSI can be a decision criterion, since the products certified with it must fulfill basic requirements for cybersecurity (cf.: standard ETSI EN 303 645).

II raise awareness of cybersecurity:

A major problem is that cybersecurity, as a non-functional requirement of the system, is often neglected for cost reasons. As a result, the system is inadequately maintained or poorly represents the security needs of the business. Convenience is another reason why cybersecurity is often assigned a disruptive or burdensome character and thus neglected. This is where employee awareness and targeted training can help.

III Factor in security requirements:

When deploying automation solutions, companies should ensure that they comply with the manufacturer’s security specifications. This can take the form of checklists to be worked through during or immediately after commissioning. General guidelines for implementing safety measures in building automation can be followed by the companies themselves, regardless of which automation system they are currently using. These include measures such as closing interfaces that are not required (especially if these lead to the outside, for example to the Internet). Other measures are aimed at restrictively setting up access, assigning roles for the use of the automation system to which users must submit.

Despite efforts at the national and European level (EU Cybersecurity Act) to establish standards for the IoT/IIoT sector, which includes smart-home systems and building automation systems, security vulnerabilities are only considered a defect in certain cases, which would result in a warranty case in the event of a successful cyberattack. Companies should keep this circumstance in mind and focus on products and services that explicitly map and cover their security needs.

Conclusion

Companies use smart home solutions for building automation primarily for monitoring and control within the building. In this context, standard passwords are the biggest security vulnerability and are not changed once they have been set up. Omitted security updates and unsecured communication within the solutions also affect the cybersecurity area. To ensure the security of the technology and the company itself, they should define clear roles in terms of responsibility, make their employees aware of the issue and corresponding threats, and follow appropriate security guidelines from the manufacturer.