Avelon Systeme von TÜV SÜD für BACnet/SC zertifiziert
BACnet Secure Connect (SC) sorgt für Verschlüsselung des BACnet-Protokolls, einem führenden Standard in der Gebäudeautomation. BACnet sorgt für Offenheit, Interoperabilität und Unabhängigkeit im Gebäude. Was beim Online-Banking schon lange Zeit Standard ist, wurde in die Gebäudeautomation portiert: die Verschlüsselung mittels TLS.
Warum ein neues Transportmodell?
BACnet (Building Automation and Control Networks) ist seit 1995 der dominierende offene Standard für Gebäudeautomation – genormt unter ANSI/ASHRAE 135 und ISO 16484-5. Die klassischen Transportvarianten BACnet/IP und BACnet MS/TP wurden in einer Zeit entworfen, in der Sicherheit noch kein primäres Designziel war: Kommunikation erfolgt unverschlüsselt, ohne Authentifizierung, häufig über flache Layer-2-Broadcast-Segmente. Routing zwischen Netzwerken wird mittels BACnet Broadcast Management Devices (BBMD) sichergestellt. Das ist oftmals keine triviale Aufgabe.
In modernen IT/OT-konvergenten Netzwerken ist das ein strukturelles Problem. Angriffe auf Gebäudeleittechnik sind keine Ausnahme mehr – sie sind dokumentiert, zunehmend und teils einfach durchführbar, wenn Geräte im Netz exponiert sind. Der Wechsel von isolierten Automationsnetzen zur Integration in Enterprise-Infrastrukturen verstärkt diese Angriffsfläche erheblich.
Die empfohlene Mindest-Revision für BACnet/SC ist 24. Ab dieser Revision ist der herstellerunabhängige Zertifikatsaustausch definiert.
BACnet Addendum 125-2020cc, Seite 40
Wir empfehlen in Ausschreibungen mindestens BACnet Revision 24 zu fordern.
Wie BACnet/SC funktioniert
BACnet/SC ersetzt den UDP-basierten Transport durch WebSocket-Verbindungen über TLS 1.3. Das Resultat ist ein verschlüsseltes, authentifiziertes, verbindungsorientiertes Netz, das Standard-IT-Firewall-Konzepte unterstützt und über Netzwerkgrenzen hinweg routebar ist.
Was sich ändert, ist die Kommunikation. Anstelle einer Peer-to-peer-Kommunikation kommt eine Client-Server-Kommunikationsarchitektur zum Einsatz, wobei Clients als „Knoten“ bezeichnet werden und Server als „Hubs“, wobei die Verschlüsselung zwischen Knoten und Hub lokalisiert ist.
Der Hub ist der zentrale Knotenpunkt jeglicher Kommunikation zwischen den Knoten und damit auch ein einzelner Ausfallpunkt. Damit der Ausfall des zentralen Knotens nicht zum Problem wird, hat die ASHRAE einen redundanten Konten, den „Failover-Hub“ eingeführt. Der Failover-Hub wird dann aktiv verwendet, wenn der Primärhub ausfällt.
Zertifikate und Onboarding
Die Installation von zwei gültigen Zertifikaten (Issues Certificate und Operational Certificate) ermöglicht die Kommunikation zwischen Knoten und Hubs. Bei Avelon lässt sich eine neue Steuerung einfach über die grafische Benutzeroberfläche anlegen, die Zertifikate herunterladen und auf der Steuerung (in der Regel per Web) installieren. Damit ist die verschlüsselte Kommunikation etabliert.
Zyklischer Zertifikatstausch
Eine der kritischsten Neuerungen ab Revision 24 ist der offene, herstellerunabhängige Zertifikatstausch. In proprietären Systemen mit niedriger Revision ist der Zertifikatsaustausch an den Hersteller gebunden – das erzeugt Lock-ins und macht Multi-Vendor-Deployments unnötig komplex.
Avelon Systeme rotieren die Zertifikate zyklisch und weit vor ihrem Ablaufdatum, sodass ein temporär ausgeschalteter Schaltschrank nicht Verzögerungen und Kosten verursacht.
Zusammenfassung
🔒 BACnet Secure Connect (BACnet/SC) – verschlüsselte, TLS-basierte Kommunikation für maximale Cybersicherheit in vernetzten Anlagen
🔑 Herstellerunabhängiger Zertifikatsaustausch – offene Interoperabilität über Systemgrenzen hinweg, ohne Abhängigkeit von proprietären Lösungen ab Revision 24
