Eine Automatisierungsinfrastruktur ist überall dort angreifbar, wo Fernzugriff, Managementdienste oder eine Verbindung zum allgemeinen IT-Netz bestehen. Sichere Planung muss deshalb Feldbus, lokale Controller und den menschlichen Bediener einbeziehen.
1. Schutz auf BUS-Ebene
Protokolle wie KNX und BACnet wurden ursprünglich für zuverlässige Kommunikation entwickelt, nicht für moderne Bedrohungsmodelle. Sichere Varianten wie KNX Data Secure und KNX IP Secure sollten deshalb überall aktiviert werden, wo sie verfügbar sind.
2. Server und Gateways
Controller, Logikserver und Gateways sind zentrale Angriffsziele. Port Forwarding sollte vermieden werden. Fernzugriff gehört ausschließlich in VPN- oder gleichwertig geschützte Tunnel, ergänzt durch Netzwerksegmentierung zwischen Automation, Gäste- und Büronetz.
3. Identität und Zugriff
Werkseinstellungen und Standardpasswörter müssen verschwinden. Kritische Funktionen brauchen Rollen, starke Kennwörter und möglichst Multi-Faktor-Authentifizierung. Logging und Monitoring helfen, ungewöhnliches Verhalten früh zu erkennen.
Sicherheits-Checkliste
- Sichere Protokollfunktionen aktivieren.
- Alle Werkspasswörter ersetzen.
- Fernzugriff nur per VPN bereitstellen.
- Automationsverkehr per VLAN trennen.
- Firmware und Gateways aktuell halten.
Fazit
Ein Automationssystem ohne Cybersecurity ist heute unvollständig. Eine sichere Installation schützt Daten, Betriebssicherheit und die physische Integrität der Anlage gleichermaßen.