IoT-Sicherheit in Gebäuden: Misstrauen wir unseren Geräten!
Ist Ihr Gebäude sicher? IoT-Security ist eines der bestimmenden Themen unserer Zeit. Das kommt nicht von ungefähr, schließlich ist der Schaden groß und die bestehende Infrastruktur zu schwach. Wir müssen unsere Gebäude anders denken, erst dann werden sie sicher.
Ein Albtraum für viele Wienerinnen und Wiener: Vor wenigen Monaten, mitten in einer kalten März-Nacht um 2:11 Uhr, läuteten im Stephansdom alle Glocken. Für 20 Minuten. Ohne Unterbrechung. Doch was ist geschehen? Ist ein Papst gestorben? Eine Hochzeit um diese Uhrzeit? Nichts von alledem. Es war ein Cyberangriff. Nur das beherzte Eingreifen des Dompfarrers, der am Tablet die digital-gesteuerten Glocken ausschaltete, beendete den lauten Zwischenfall.
Auch dieses Beispiel zeigt eines sehr deutlich: Unsere Gebäude sind verwundbarer geworden. Verwundbarer gegenüber Angriffen von außen. Verwundbar für Cyberangriffe, die bei kritischen Infrastrukturen wie Krankenhäusern auch Menschenleben gefährden können.
Eine Studie des Security-Consulting-Unternehmens PaloAlto-Networks aus dem Jahr 2020 ergab, dass 57 Prozent der in Gebäuden verwendeten IoT-Devices nicht ausreichend für einen Angriff geschützt sind. Noch gravierenden sind die Zahlen in der Gesundheitsinfrastruktur: Über 80 Prozent der dort verwendeten Anwendungen laufen auf Betriebssystemen, die nicht mehr unterstützt werden.
Der Schaden kann immens sein
Doch warum sind Angriffe auf unsere Gebäude so gefährlich? Weil Gebäudetechnologie einen Zugang zur Gesamtinfrastruktur der Anlage sein kann. Seit Monaten zeige ich an dieser und anderer Stelle gerne die großen Vorteile vernetzter Gebäude. Nur wenn alle Gebäudeteile miteinander agieren, können wir zukünftig diesen Nutzen voll ausschöpfen. Doch natürlich: Wenn alles vernetzt ist, vergrößert sich auch die Angriffsfläche für potenzielle Gefährder:innen.
Schließlich scheint Deutschland hier ein beliebtes Ziel zu sein: Wie das Versicherungsunternehmen Hiscox berichtet, liegt die durchschnittliche Schadenssumme bei uns um fast 4.000 Dollar über dem internationalen Schnitt. Klar, der Fokus ist auf Betriebsspionage. Doch wer einem Unternehmen schaden möchte, der kann das auch über das Gebäude tun.
Die Basis von Vertrauen ist kein Vertrauen
Um etwas vertrauen zu können, muss ich ihm erst mal misstrauen. Das klingt paradox. Und ich zweifle daran, dass dieser Ansatz die Basis einer gesunden menschlichen Beziehung ist. Doch im Gebäudebereich ist es unerlässlich. Zero-Trust nennen Expert:innen dieses Prinzip. Kern dieses Gedankens ist, dass man nichts und niemandem in einem Unternehmen ein unbegründetes Vertrauen geben sollte. Alles muss überprüft werden.
Gleichzeitig betrifft dieses gesunde Misstrauen auch die komplette Infrastruktur. So sollen sensible Daten nicht mehr in einem zentralen, oftmals auch lokalen, Rechenzentrum abgespeichert werden, sondern auf eine Cloud-Infrastruktur verteilt werden. Die Anbieter dieser Cloud-Systeme – national wie international – haben in den vergangenen Jahren viel dafür gearbeitet, ihre Systeme abzusichern. Außerdem ist die Gesetzes- und Verordnungslage sehr dicht. Wer heute auf eine sichere IT-Infrastruktur setzen möchte, sollte auch auf die Cloud setzen.
Bei jedem System, das wir in unsere Gebäude verbauen, muss Sicherheit konsequent mitgedacht werden.
Sicherheit muss bei der Entwicklung mitgedacht werden
Form follows function – die Form folgt der Funktion. Ein Objekt oder ein Gebäude soll in erster Linie funktional sein, bevor es schön ist. Dies war der Leitspruch der Bauhaus-Vertreter:innen, allen voran des Architekten Louis Sullivan. Jeder, der sich glücklich schätzen kann und eine Wagenfeldlampe in seinen Räumlichkeiten stehen hat, hat ein Denkmal dieses Designansatzes.
Für unsere Arbeit bei Aufzughelden und Digital Spine möchte ich diesen Ansatz umdichten: Everything follows Security – alles folgt der Sicherheit. Als wir für Aufzughelden nun bereits vor einigen Jahren unser Produkt entworfen haben, haben wir Sicherheit konsequent mitgedacht. Wir haben eine Struktur geschaffen, die in erster Linie einmal sicher ist. Dann haben wir die möglichen Funktionalitäten rund um diese Struktur gebaut.
Denken Sie an die Nutzung Ihres Smartphones: Es kann tolle Features haben, Ihr Leben vereinfachen, einen echten Mehrwert bringen. Doch sobald Sie merken würden, dass Ihre Daten nicht sicher sind. Fremde Menschen auf Ihre Bankverbindungen und Fotos zugreifen können, würden Sie das Gerät nicht mehr nutzen wollen.
Deswegen misstrauen wir unseren Geräten bei Aufzughelden. Ein gesundes Misstrauen versteht sich. Wir prüfen sie. Setzen sie neuen Gefahren aus, um das Risiko für die Nutzer:innen zu minimieren.
Fazit: Sicherheit ist eine Herausforderung, die wir annehmen (müssen)
Sprechen Sie mal mit den Data Scientists und Engineers in Ihrem Unternehmen. Es ist Kern ihrer Tätigkeit, sich ständig weiterzubilden. Neue Ansätze und neue Modelle in ihre Arbeit zu integrieren. Nur so passiert fortschrittliche IT. Diesen Ansatz der ständigen Weiterentwicklung verfolgen leider auch die, die eher auf der dunklen Seite stehen. Unsere Aufgabe muss es sein, vor der Welle zu schwimmen. So gut es geht, versuchen diese Angriffe abzuwehren. Ein System zu schaffen, das diesen Angriffen gegenüber resilienter ist.
Bei jedem System, das wir in unsere Gebäude verbauen, muss Sicherheit konsequent mitgedacht werden. Bei der Integration verschiedener Ansätze muss sichergestellt werden, dass keine Sicherheitslücken entstehen. Dies ist eine Kernaufgabe des modernen Gebäudemanagements und von Infrastrukturgebern wie uns. Misstrauen Sie Ihren Systemen, lassen Sie sie prüfen. Wenn wir das verpassen, wird eine unruhige Nacht durch gellendes Kirchengeläut der kleinste Schaden sein, den wir erleben müssen.