Art der Arbeit: Projekt

Fachlicher Hintergrund:

Geb√§udeautomationssysteme werden unter anderem zur Steigerung des Komforts, zum Sparen von Energie, Wasser, Fernw√§rme und anderen Versorgungsleistungen und zur Erh√∂hung der Ausfallsicherheit eingesetzt.

Die verschiedenen Bausteine der Geb√§ude-Automatisierungstechnik liegen oftmals weit auseinander und werden obendrein fern√ľberwacht. Daher kommen durchg√§ngige Netzwerke auf unterschiedlichsten Ebenen zum Einsatz. Dabei werden wiederum eine Vielzahl von Netzwerkprotokollen verwendet, angefangen von einfachsten, seriellen Protokollen auf der untersten Ebene bis hin zu IP-basierten Protokollen.

Eine leider nahezu √ľberall zu verzeichnender Missstand ist die mangelhafte Absicherung dieser Netzwerke. Entweder sind die bekannten Schutzma√ünahmen, wie Authentisierung und Verschl√ľsselung, gar nicht im Protokoll vorgesehen oder die vorhandenen - oftmals primitiven und unzureichenden M√∂glichkeiten - werden aus Kostengr√ľnden oder aus Bequemlichkeit nicht genutzt.

Das Ergebnis ist ein unsicheres Gesamtsystem, das Angreifern eine Vielzahl von M√∂glichkeiten bietet. Die m√∂glichen Sch√§den sind vielf√§ltig. Sie reichen von Angriffen gegen die Privatheit der Nutzer (z.B. "Wer kommt wann zur Arbeit?") √ľber Angriffe mit dem Ziel das Geb√§udeautomationssystem bewusst zu manipulieren (z.B. Einstellen unbequemer Temperaturen) oder unbenutzbar zu machen (z.B. √Ąndern der Konfiguration als Denial of Service Angriff) bis hin zu Personensch√§den (z.B. Manipulation von L√ľftungsanlagen in chemischen Laboren).

Demgegen√ľber stehen jahrelange Erfahrungen im Umgang mit Verfahren und Ger√§ten zur Absicherung von Computernetzwerken. Oftmals wird dieses Know-How selbst dann nicht genutzt, wenn sich die Geb√§udeautomation zur Geb√§udeverkabelung den bekannten Technologien und Protokollen der Computernetzwerke bedient und entsprechendes Fachpersonal beteiligt ist.

Aufgabenbeschreibung:

Im Rahmen der Arbeit soll zun√§chst der typische Aufbau eines Geb√§udeautomationssystem erfasst, dokumentiert und im Labor nachgestellt werden. Mit diesem System soll anschlie√üend der Netzwerkverkehr in einem eng vernetzten Systems aus verschiedenen Controllern mit realer Hardware unter Laborbedingungen √ľberwacht und getestet werden.

Dazu stehen Hardware eines Herstellers als Laboraufbauten zur Verf√ľgung.

Die Bearbeiter des Projekts sollen nun M√∂glichkeiten zur Absicherung der Kommunikation erarbeiten. Dabei kann beispielsweise auf einen umfangreichen Erfahrungsschatz aus der Computernetzwerke zur√ľckgegriffen werden. Hier finden sich seit langem Firewalls, Intrusion Detection und Prevention, Proxies, VPNs und viele weitere M√∂glichkeiten.

M√∂gliche Arbeitsschritte:

  • Einarbeitung in Grunds√§tze Geb√§udeautomatisierung
  • Recherche der verwendeten Protokolle und Spezifikationen
  • Erfassen, Dokumentieren und Nachstellen eines Experimentalaufbaus im Labor
  • Aufzeichnung und Auswertung der unter normalen Bedingungen gesendeten Netzwerknachrichten
  • Zusammentragen m√∂glicher Angriffe
  • Risikoabsch√§tzung durch Analyse der m√∂glichen Angriffe, deren Auswirkungen auf das System und Kosten f√ľr den Angreifer sowie der erwarteten Eintrittswahrscheinlichkeit
  • Entwicklung von Verfahren zur Absicherung des Systems
  • Prototypische Implementierung eines Sicherheitssystems (Soft- und ggfs. Hardware)

Die genaue Festlegung des Themas erfolgt in Abstimmung mit den Betreuern unter Ber√ľcksichtigung eventuell schon an andere Studenten vergebener Themengebiete. Eine gemeinsame Bearbeitung verschiedener Teilthemen durch mehrere Studenten ist unter Umst√§nden m√∂glich. 

Literatur und Ressourcen:

  • Aschendorf, Bernd. "Funktionen der Geb√§udeautomation." Energiemanagement durch Geb√§udeautomation. Springer Fachmedien Wiesbaden, 2014. 25-39.
  • Merz, Hermann, Thomas Hansemann, and Christof H√ľbner. "Geb√§udeautomation." M√ľnchen: Carl-Hanser-Verlag (2010).
  • Standards der entsprechenden Protokolle (BACnet, IP usw.)
  • Dokumentation von Kieback & Peter √ľber die gelieferte Hardware.

Betreuer: Dr. Thomas Mundt (thm@informatik.uni-rostock.de)

Voraussetzungen: Erste Linux-Erfahrungen w√§ren von Vorteil.