Final Report English

Building Automation Systems (BAS) are traditionally concerned with the control of heating, ventilation, air conditioning, as well as lighting and shading systems. Services from the safety and security domain are typically provided by separated, application specific subsystems.
Nowadays, the rising desire to integrate security-critical services can be observed. The extension of the application of BAS demands the underlying technologies to be reliable and robust against malicious manipulations. An analysis of existing technologies within the BAS domain exposes that they do not fulfil the additional requirements yet. The main reason is that the systems were developed at a time when security relied on physical isolation or "security by obscurity".
The overall aim of the FWF project “Security in Building Automation Systems” (seBAS) was to address these missing security capabilities by establishing a comprehensive secure architecture for BAS of all sizes and types. To reach this ambitious target, three different goals were defined. Since modern BAS are distributed systems where control data are exchanged between the different devices, it is necessary to secure the communication ("Secure Building Automation Network"). The proposed secure communication framework is based on a multi-protocol stack that uses cryptographic techniques to provide secure communication services. Another key feature is the flexible key management concept scalable for large networks with high node counts. Since security attacks, like Denial-of-Service (DoS) attacks, cannot be avoided using cryptographic techniques, the second goal of seBAS is dedicated to Denial-of-Service Prevention and Detection. The developed mechanisms are based on device resource protection and on intrusion detection systems (IDS). If an unusual or abnormal behavior is detected, the sources of the attack are isolated by decoupling network segments and optionally activating redundant communication paths. Finally, the distributed control applications that are hosted at the devices must be protected against security attacks ("Secure Customizable Automation Applications"). The developed concept is based on a high level, abstract and machine readable security policy that is specified at design time which is later enforced during runtime via execution monitoring. The required domain knowledge is defined by security attributes. Based on these attributes, the execution of the control application is limited to its specified behaviour. All deliverables of these three goals were evaluated using simulation and proof-of-concept implementations.
seBAS provided significant input for acknowledging security being an important issue for future building automation systems. This is backed up by current research and development activities of the building automation community where an increased effort for defining new security extensions in open building automation technologies can be observed.

Final Report German

Systeme der Gebäudeautomation (GA) beschäftigen sich traditionell mit der automatischen Steuerung und Regelung von Heizungs-, Lüftungs- und Klimatechniksystemen sowie mit Gerätschaften aus der Beleuchtungs- und Beschattungstechnik. Dienste zur Betriebssicherheit (Safety) sowie Zugriffsschutz und Zugriffssicherheit (Security) werden fast ausschließlich durch getrennte, anwendungsspezifische Subsysteme realisiert. Der Trend der Zeit sieht eine tiefe Integration von sicherheitskritischen Applikationen in GA-Systeme vor. Die notwendige Erweiterung des Anwendungsbereichs bedingt allerdings, dass das darunter liegende Kommunikationssystem zuverlässig und robust gegen böswillige Manipulationen agiert. Eine Analyse von bestehenden Technologien zeigt allerdings, dass diese aktuell den zusätzlichen Anforderungen nicht gewachsen sind. Der Hauptgrund liegt darin, dass sie auf physikalische Isolation vertrauen und zumeist den Leitsatz "Sicherheit durch Verschleierung" (Security by Obscurity) verfolgen.
Das vorliegende Projekt seBAS war auf das Ziel ausgerichtet, eine umfassende Systemarchitektur für ein sicheres Gebäudeautomationssystem zu entwerfen, einsetzbar für GA-Systeme beliebiger Größe und Struktur. Folgende drei Kernpunkte mussten dazu in Angriff genommen werden. Da GA-Systeme in der Regel einem dezentralen Ansatz folgen, bei dem die Gerätschaften untereinander Prozessdaten austauschen, ist es notwendig sichere Datenkommunikation zu gewährleisten. Das erarbeitete Kommunikationssystem basiert auf einer mehrstufigen Protokollarchitektur, die Verschlüsselungsmechanismen und Dienste zum sicheren Datenaustausch bereitstellt. Das Hauptaugenmerk wurde auf ein flexibles Konzept zur Verwaltung von Schlüsseln gelegt, geeignet für große Netzwerke mit einer Vielzahl an Knoten. Angriffe auf das Gebäudeautomationssystem müssen jedoch auch frühzeitig erkannt und bestmöglich verhindert werden. Aus diesem Grund war ein weiteres Ziel, geeignete Mechanismen zu entwickeln, die ein Eindringen in das Netzwerk sichtbar machen, um Gegenmaßnahmen zu ergreifen. In einem solchen Fall werden die Angreifer isoliert, betroffen Netzwerksegmente abgekoppelt und alternative Routen durch das Netzwerk gewählt. Schließlich muss auch die Sicherheit der Kontrollapplikationen, die in Feldgeräten beheimatet sind, gewährleistet werden. Dazu wurde ein Verfahren entwickelt, das das Verhalten von typischen (verteilten) Applikationen der Gebäudeautomation abstrakt aber maschinenlesbar beschreiben lässt. Dazu wurden anwendungsspezifische Sicherheitsattribute definiert, die den Zugriff auf Betriebsmittel während der Laufzeit gewähren oder verweigern. Die Ergebnisse aller Projektziele wurden durch Simulation und prototypische Implementierungen überprüft.
seBAS hat entscheidende Impulse gesetzt, die die Bedeutung und Wichtigkeit von Security in der Gebäudeautomation untermauern. Die Tragweite der Projektergebnisse wird zusätzlich durch aktuelle Entwicklungen von Security Erweiterungen für offene GA-Technologien hervorgehoben.