Klimawandel muss für Wandel in der Klimaanlagen-Sicherheit sorgen

Von industriellen Anlagen über die Logistik bis hin zum Gesundheitswesen: Eine funktionierende Kühl- und Klimatechnik ist in vielen Bereichen essenziell und ihr Ausfall kann fatale Folgen haben. Als Teil des erweiterten Internet der Dinge (XIoT) werden diese cyber-physischen Systeme zunehmend zum Angriffsziel von Cyberkriminellen und staatlich geförderten Angreifern. Entsprechend hat das BSI die Bereiche technisches Gebäudemanagement und Gebäudeautomation neu in den IT-Grundschutz aufgenommen. Höchste Zeit also für die Sicherheitsverantwortlichen, die nötigen Schritte zum Schutz einzuleiten.
Von   Max Gilg   |  Sales Director für kritische Infrastrukturen   |  Claroty
20. September 2023

Der Sommer 2023 sorgte für einen Hitzerekord nach dem anderen. Die Freude über „gutes Wetter“ ist vielerorts einer Erschöpfung, Stress und gesundheitlichen Auswirkungen gewichen. Die hohen Temperaturen sorgen dabei nicht nur bei Menschen für hohe Belastungen. Auch Klimaanlagen, die uns vor der Hitze schützen sollen, werden durch hohe Außentemperaturen stärker beansprucht und sind dadurch störungsanfälliger und verschleißen schneller. Stellte vor einigen Jahren ein Ausfall der Kühl- und Klimatechnik vielfach noch eher eine Unannehmlichkeit dar, so warnen jetzt Ärzte vor ernsthaften gesundheitlichen Gefahren. So fordert etwa Bundesärztekammer-Präsident Dr. Klaus Reinhardt einen nationalen Hitzeschutzplan. Ein Viertel der rund 18 Millionen über 65-Jährigen in Deutschland haben ein erhöhtes Risiko, hitzebedingt ins Krankenhaus zu müssen.

Kühl- und Klimatechnik sorgt nicht nur im Zug, im Büro oder in Ladengeschäften für eine angenehme Kühle, sondern kommt in vielen verschiedenen Bereichen und Umgebungen zum Einsatz. So wird in industriellen Anlagen Kühltechnik verwendet, um die Temperaturen von Maschinen, Prozessen oder Produkten zu kontrollieren. Dies ist insbesondere in der Lebensmittelproduktion, der chemischen Industrie, der Pharmazie und der High-Tech-Branche, wie etwa bei der Chip-Herstellung, notwendig. Auch Datenzentren sind auf einen bestimmten Temperaturbereich angewiesen: Da elektronische Geräte viel Wärme erzeugen, werden Kühltechnologien in Datenzentren verwendet, um eine optimale Betriebstemperatur für die Server und die IT-Infrastruktur aufrechtzuerhalten. Darüber hinaus ist eine funktionierende Kühlkette, die sowohl die Lagerung als auch den Transport umfasst, für die Lebensmittelversorgung essenziell. Ausfälle hier haben unmittelbare Auswirkungen auf die Bevölkerung. Ähnlich verhält es sich im Bereich der Medizin und Pflege: In Krankenhäusern, Laboren und medizinischen Einrichtungen werden spezielle Klimatisierungssysteme eingesetzt, um die Umgebungsbedingungen für empfindliche Geräte und medizinische Prozesse zu optimieren. Und in Pflege- und Senioreneinrichtungen sind besonders vulnerable Personen auf moderate Temperaturen angewiesen, um ihre Gesundheit nicht (weiter) zu beeinträchtigen.

Dementsprechend haben Ausfälle unterschiedliche, aber zunehmend gravierende Folgen. Diese reichen von lahmgelegten Rechenzentren, wie im letzten Juli bei Oracle und Google, über Bahnfahrgäste, die ins Krankenhaus gebracht werden mussten, bis hin zu einen Millionenschaden in einer Radiologie-Praxis in Schwäbisch Gmünd. Neben technischen Defekten der Anlagen selbst wird auch in diesem Bereich die zunehmende Vernetzung immer häufiger zur Ursache von Störungen.

Das XIoT wird zunehmend zum Sicherheitsproblem

Seit rund 20 Jahren wird die Kühl- und Klimatechnik immer stärker vernetzt. Dies sorgt einerseits für Vorteile im Bereich der Effizienz, Funktionalität, Komfort sowie Produktivität und ermöglicht eine bequeme Fernwartung. Andererseits öffnet die Vernetzung jedoch neue Angriffsflächen. Dabei treten hier wie bei anderen cyber-physischen Systemen (CPS) ähnliche Probleme auf: Häufig finden sich alte, in die Jahre gekommene Geräte. Viele von ihnen wurden schon um die Jahrtausendwende installiert, werden aber noch etliche weitere Jahre (bis zum Ende der typischen Abschreibungsdauer von 30 Jahren) laufen. Dies liegt vor allem an den recht hohen Investitionskosten sowie dem Aufwand einer (Neu-)Installation. Zudem sind Kühl- und Klimasysteme wie gesehen weit verbreitet, wodurch sich der Aufwand nochmals verstärkt. Dabei versteht es sich von selbst, dass diese Legacy-Systeme nicht auf Vernetzung konzipiert wurden und entsprechend Cybersecurity bei der Entwicklung keine Rolle gespielt hat. Zudem laufen sie vielfach noch auf alten, teilweise proprietären Betriebssystemen, für die längst keine Updates mehr zur Verfügung gestellt werden.

Gleichwohl werden sie als Teil des erweiterten Internet der Dinge (XIoT) zunehmend zum Angriffsziel von Cyberkriminellen und staatlich geförderten Angreifern. Vor diesem Hintergrund hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die beiden Bereiche technisches Gebäudemanagement und Gebäudeautomation neu in den IT-Grundschutz aufgenommen. Somit wird das Bewusstsein für die Sicherheitsherausforderungen auch im Klima- und Kühlbereich geschaffen. Dies ist vor allem deshalb von Bedeutung, da dieser Bereich in kaum einem Unternehmen Teil des Cybersecurity-Konzepts ist. Wie in anderen Bereichen des Gebäudemanagements sind auch hier vielfach die Kompetenzen nicht eindeutig geregelt und es gibt unterschiedliche Zuständigkeiten, wobei die Cybersecurity (noch) kaum involviert ist.

Ein entsprechendes umfassendes Security-Konzept muss dabei zum einen die Integrität der Systeme sicherstellen, zum anderen den aktuellen Sicherheitsstatus der Geräte fortlaufend kontrollieren und gegebenenfalls verbessern. Dazu ist ein automatisch aktualisiertes Asset-Inventar grundlegend. Die alte Security-Weisheit „Man kann nur schützen, was man kennt“ trifft auch in diesem Bereich zu. Sicherheitsverantwortliche müssen genau wissen, welche Geräte in den eigenen Systemen vorhanden sind (inklusive Informationen wie Hersteller, Modell und Firmware-Version), um sie adäquat zu schützen. Dies bildet auch die Grundlage für ein aktives Schwachstellenmanagement. Jedes Gerät vom Computer bis hin zur Kühltechnik ist anfällig für Sicherheitslücken. Deshalb muss jedes Asset fortlaufend mit unsicheren Protokollen, CVEs und anderer Schwachstellen abgeglichen werden, um Sicherheitslücken effektiv zu identifizieren, zu priorisieren und schließlich zu schließen.  Darüber hinaus gilt es, den Netzwerkverkehr der Geräte auf das funktional notwendige Minimum zu reduzieren und zu überwachen. Ebenso muss der Fernzugriff durch für diese Umgebungen und Einsatzszenarien entwickelte Lösungen kontrolliert und protokolliert werden. Workarounds wie VPNs sind hierfür schlicht ungeeignet und schaffen eher eine größere Angriffsfläche, anstatt die zu verkleinern.

Durch die zunehmende Konvergenz kann Kühl- und Klimatechnik von Angreifern als Einstiegspunkt in die IT-Netzwerke genutzt werden. Dies ist eine ernstzunehmende Bedrohung, wenngleich die noch größere Gefahr von einer Kompromittierung der Geräte selbst ausgeht. Hierdurch können wesentlich schwerwiegendere Schäden verursacht werden – bis hin zur Gesundheit von Menschen! Deshalb muss ihrem Schutz höchste Priorität eingeräumt werden. Die neuen IT-Grundschutz-Bausteine weisen hierzu den Weg. Der Klimawandel und seine Folgen sowie die Bedrohungslage für cyber-physische Systeme werden sich beide weiter verstärken. Deshalb ist es jetzt höchste Zeit, sich um die Sicherheit von Klima- und Kühlanlagen zu kümmern.

Max Gilg ist seit mehr als 15 Jahren im IT-Bereich tätig und ist ein Experte für die Sicherheit industrieller Anlagen und den Schutz kritischer Infrastrukturen (KRITIS).

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

43092

share

Artikel teilen

Top Artikel

Ähnliche Artikel