Neben dem Schutz vor Hackern, die weit entfernt am Computer sitzen, müssen die GA-Systeme und zugehörige IT-Infrastruktur auch gegen einen unerwünschten Zugriff vor Ort geschützt sein. Ein solcher Zugriff könnte einerseits zu kritischen Vorfällen im GA-System führen oder den Weg in andere Firmenbereiche mit wertvollen Daten ebnen. Es sollte nicht vergessen werden, dass der Zugang zu einem einzigen RJ45-Anschluss ausreichen kann, um die ganze GA-Domäne zu kompromittieren.

Gegenmassnahmen

Die folgenden Gegenmassnahmen sind nach Bedarf zu implementieren.

Zutritt einschränken

Der physische Zugang zu Schaltschränken muss durch verschliessbare Türen verhindert werden und der Zugriff auf die Schlüssel kontrolliert werden.

Der Zutritt zu Räumen mit GA-Schaltschränken ist einzuschränken.

Der Zugriff auf GA-IT-Infrastruktur wie Router, Switches oder Hubs muss kontrolliert sein (z.B. Einsatz in einem Schaltschrank mit verschliessbarer Türe). Nicht verwendete Ports an diesen Geräten sind zu deaktivieren oder einer nicht benutzten VLAN-ID zuzuweisen. Es ist eine physische Zutrittskontrolle anzuwenden.

Für Serviceaktivitäten ist ein LAN-Zugriff (RJ45-Anschluss) in der Nähe der GA-Geräte notwendig. Solche Dosen sollten in einem verschlossenen Schaltschrank montiert werden.

Der Zugriff auf nicht-BACnet-Geräte und deren Netzwerke muss ebenfalls gesichert sein. So ist z.B. ein Angriff auf ein GA-System über Modbus möglich.

Kann der Zugriff auf Schaltschränke und IT-Schränke nicht ausreichend kontrolliert werden, sind diese Schränke mit Türkontakten für den Empfang von Alarmen zu sichern.

LAN-basierte Raumbediengeräte

LAN-basierte Raumbediengeräte sind zwar benutzerfreundlich, stellen jedoch ein Sicherheitsrisiko dar, da deren physische Sicherung schwierig sein kann. So besteht z.B. das Risiko, dass sich jemand durch das temporäre Entfernen eines LAN-basierten Raumbediengeräts Zugriff auf die GA-Domäne verschafft.

Temporär verbundene/getrennte Geräte

Geräte wie Drucker an der Managementstation werden manchmal temporär vom GA-VLAN getrennt, um andere Geräte anzuschliessen. Ein Beispiel dazu wäre ein Nachtportier, der sein eigenes, privates Notebook ansteckt, um die Langeweile während der Nachtschicht mit Surfen im Internet zu vertreiben. Solch ein Computer kann eine Gefahr für das GA-System darstellen.

Das Risiko kann durch den Einsatz von Port-Sicherheit auf Routern und Switches gesenkt werden. Dies über die MAC adressbasierte Port-Sicherheit, die statisch konfiguriert sein muss.

USB-Ports

Leicht zugängliche USB-Ports und weitere Ports an Servern und Clients der Managementstation müssen deaktiviert werden.

Portable Geräte

Für portable Geräte wie Engineering-Laptops sollte ein Kensington-Schloss oder ähnliches nach Bedarf verwendet werden.

Bei Geräten wie Engineering-Laptops oder lokalen Engineering-PCs ist eine Festplattenverschlüsselung wie z.B. BitLocker Drive Encryption zu verwenden.