Feld-Bus gegen Manipulation und Sabotage schützen

Muss gegen Manipulationen geschützt werden: Smarte Haus- und Steuerungstechnik. Foto: Urbansky
Muss gegen Manipulationen geschützt werden: Smarte Haus- und Steuerungstechnik. Foto: Urbansky

Die Energiewende im Haus und ins­be­son­dere die Hebung von Einsparpotenzialen wird nicht ohne Digitalisierung gelin­gen. Das Münchener IGT – Institut für Gebäudetechnologie gibt monat­lich Tipps her­aus, mit denen Mietern, Verwaltern und TGA-Verantwortlichen die Steuerung der Haustechnik leicht gemacht wer­den soll.

Im Juli befas­sen sich die Wissenschaftler mit dem Schutz von Bus-Systemen gegen Manipulierung und Sabotage.

Sowohl im Smart Home als auch in Büros oder sons­ti­gen Nichtwohngebäuden erfolgt die Kommunikation der Sensoren und Aktoren über den soge­nann­ten Feld-Bus. Das ist z.B. ein Bus-Kabel, ein Funk-System oder es wird eine vor­han­dene Stromleitung ver­wen­det. In allen Fällen kann die­ser Feld-Bus ver­wen­det wer­den, das Smarthome- oder Raumautomationssystem zu mani­pu­lie­ren oder zu sabo­tie­ren. Wer um die Gefahren und die Risiken weiß, kann sich gegen sol­che Angriffe schüt­zen.

Bedrohungspotenzial von innen

Ohne Kommunikation mit bzw. zwi­schen den Sensoren und Aktoren funk­tio­niert kein Gebäudeautomationssystem. Sensoren müs­sen z.B. ihren Temperaturwert oder Fensterstatus mel­den und Aktoren müs­sen Anweisungen erhal­ten, wie hell die Beleuchtung anzu­steu­ern ist oder wie weit das Heizkörperventil geöff­net wer­den soll. Gemäß der CEN TC 247 wer­den Sensoren und Aktoren als „Feld-Elemente“ bezeich­net – somit ist das ver­wen­dete Kommunikationsmedium der „Feld-Bus“.

In der Praxis kann die Kommunikation über ein Bus-Kabel (z.B. bei KNX, LON, RS485-Komponenten), über Funksignale (z.B. bei EnOcean, Zig-Bee, Z-Wave oder den vie­len pro­prie­tä­ren Smarthome-Systemen) oder als Powerline-Signal über die Stromleitung (z.B. digi­tal­strom) erfol­gen. Wenn man Zugang zu die­sem Feld-Bus hat, ist die Gefahr gege­ben, dass man die Datenübertragung mani­pu­lie­ren oder sabo­tie­ren kann. Im Umkehrschluss kann man bei Beachtung eini­ger wesent­li­cher Aspekte genau das ver­hin­dern oder zumin­dest deut­lich erschwe­ren.

Bus-Systeme

Bei Verwendung von Bus-Systemen erfolgt die Kommunikation übli­cher­weise unver­schlüs­selt. Wenn man Zugang zum Bus-Kabel hat, kann man an einer belie­bi­gen Stelle z.B. eine USB-Schnittstelle an das Bus-Kabel anschlie­ßen und daran wie­derum einen Computer. Mit einer pas­sen­den Software las­sen sich alle Bus-Telegramme anzei­gen – bei KNX ist die­ser „Bus-Monitor“ eine Standardfunktion inner­halb der ETS-Software. Das Buskabel fin­det man meist hin­ter Tastern – also direkt neben den Türen und sogar in jeweils bequem zugäng­li­cher Höhe. Es wird nicht lange dau­ern bis man zuord­nen kann, wel­che Telegramme wel­che Aktionen aus­lö­sen. Damit ist es kein gro­ßer Aufwand, einen zusätz­li­chen Taster so zu pro­gram­mie­ren, dass die­ser einen gewünsch­ten Zentralbefehl aus­löst. Diesen Taster schließt man ein­fach zusätz­lich an das Bus-Kabel an.

Gemeiner ist es, die bei­den Adern des Bus-Kabels ein­fach kurz­zu­schlie­ßen. Damit hat man jeg­li­che Kommunikation auf dem gesam­ten Bus-Segment lahm­ge­legt. Bei KNX kann ein Bus-Segment bis zu 1.000 m lang sein und eine ganze Büro-Etage oder ein gan­zes Haus abde­cken.

In Konsequenz sollte man bei Bus-Systemen fol­gende Dinge beach­ten:

  • Bus-Systeme kön­nen in Segmente unter­teilt wer­den – bei KNX geschieht dies mit soge­nann­ten Linienkopplern. Diese kön­nen so ein­ge­rich­tet wer­den, dass nicht alle son­dern nur die jeweils nöti­gen Telegramme auf das andere Segment über­tra­gen wer­den. Auch die Auswirkung eines Kurzschlusses wird damit auf ein Segment begrenzt.
  • Grundsätzlich sollte das Bus-Kabel nicht dort instal­liert wer­den, wo man einen unbe­fug­ten Zugang befürch­tet. Statt z.B. einen KNX-Taster zu instal­lie­ren kann man auch einen nor­ma­len binä­ren Taster ver­wen­den, der bei Tastendruck die binä­ren Signale an einen KNX-Binärsensor an ande­rer (nicht zugäng­li­cher) Stelle mel­det.
  • Der KNX-Bus sollte nicht in den Außenbereich gelegt wer­den – zumin­dest nicht an von außen erreich­bare Stellen. Wenn das doch nötig ist, sollte die Außen-Buslinie durch Verwendung eines zusätz­li­chen Linienkopplers als eige­nes Segment aus­ge­führt wer­den.
  • Die genaue Verlegung der Bus-Kabel sollte doku­men­tiert sein. Im Falle eines Kurzschlusses weiß man dann, an wel­chen Stellen der Bus test­weise auf­ge­trennt wer­den muss, um zu ermit­teln, ob der Kurzschluss „links“ oder „rechts“ von der Trennstelle ist.

Funk-Systeme

Funk-Systeme sind prak­tisch, da zur Übertragung kein Kabel ver­legt wer­den muss. Damit wird aber das Telegramm inner­halb des Senderadius in alle Richtungen über­tra­gen und hält sich nicht an Raum-, Gebäude- oder gar Grundstücksgrenzen. Sofern man in der Nähe des Sensors ist, kann man die­ses Signal rela­tiv ein­fach erfas­sen und pro­to­kol­lie­ren – und wenn der Inhalt des Telegramms unver­schlüs­selt ist, auch ent­spre­chend aus­wer­ten.

Das „Reproduzieren“ von Telegrammen, also die gezielte Manipulation des Funk-Systems, ist theo­re­tisch mög­lich. Allerdings ist das nur mit aus­rei­chen­dem Know-How durch­führ­bar und meist benö­tigt man auch noch ein soge­nann­tes „Developer-Kit“. Auch das Sabotieren des Funk-Systems ist theo­re­tisch mög­lich. Dazu braucht man aller­dings einen Störsender, der für die Dauer der Sabotage vor Ort ver­blei­ben muss.

In Konsequenz sollte man bei Funk-Systemen fol­gende Dinge beach­ten:

  • Dort, wo sicher­heits­re­le­vante oder ver­trau­li­che „Telegramme“ über­tra­gen wer­den, sollte man auf die Verwendung von Verschlüsselung ach­ten. Die Freigabe eines Türöffners sollte also nicht über einen unver­schlüs­sel­ten Funktaster aus­ge­löst wer­den. In der Praxis kann man direkt beim Kauf dar­auf ach­ten, ob die Datenübertragung ver­schlüs­selt statt­fin­det; bei man­chen Komponenten lässt sich die Verschlüsselung nach­träg­lich akti­vie­ren.
  • Sensoren für z.B. die Gebäudeüberwachung soll­ten womög­lich nicht funk­ba­sier­tet aus­ge­führt wer­den. Auch wenn es bis­her noch in kei­nem poli­zei­li­chen Einbruchsbericht vor­kam: Theoretisch könn­ten sich Einbrecherbanden mit Störsendern für die Dauer des Einbruchs aus­stat­ten. So wären funk­ba­sierte Fensterkontakte tem­po­rär nutz­los.

Powerline-Systeme

Bei Powerline-Systemen erfolgt die Datenübertragung über die nor­male 230V-Versorgungsleitung. Das bedeu­tet, dass die Signale an jeder Steckdose im Haus mit­pro­to­kol­liert wer­den kön­nen – womög­lich auch direkt bei Steckdosen in der Wohnung des Nachbarn. Für das Reproduzieren gilt das glei­che wie bei den Funk-Systemen: Grundsätzlich ist das mög­lich, aber es erfor­dert Know-How und zusätz­li­ches Equipment.

Eine Sabotage erfolgt im ein­fachs­ten Fall dadurch, dass ein Kurzschluss oder ein Fehlerstrom erzeugt wird (um in Konsequenz das ent­spre­chende Schutzelement im Verteilerkasten aus­zu­lö­sen). Theoretisch ist auch hier ein Störsender mög­lich, den man ledig­lich an eine Steckdose anschlie­ßen muss – noch sind aber sol­che Geräte in der Praxis unüb­lich.

In Konsequenz sollte man bei Powerline-Systemen fol­gende Dinge beach­ten:

  • Einsatz von Sperrfiltern im Verteilerkasten, damit die Datentelegramme nicht in das Versorgungsnetz (und damit zum Nachbarn) gelan­gen kön­nen. Auch ver­hin­dern diese Filter Störsignale oder mani­pu­lierte Signale aus dem Versorgungsnetz in das eigene System.
  • Einsatz von Sperrfilter für alle Stromkreise, die in den Außenbereich gelegt wer­den (Außen-Steckdose, Außenleuchte, Garten-Springbrunnen, von außen zugäng­li­che 230V-Rollladen-Antriebe etc.)

Der Tipp des Monats des IGT kann hier abon­niert wer­den.


Mit dem Smart Home, ohne dass sich eine moderne TGA-Anlage kaum sinn­voll steu­ern lässt, befasst sich auch Energieblogger-Kollege Björn Katz hier auf sei­nem Blog Stromauskunft.