BACnet/SC (BACnet Secure Connect) läutet ein neues Zeitalter der modernen IT-Infrastruktur ein. So ist es endlich möglich, die weltweit rund 25 Millionen installierten BACnet-Geräte aufgrund der hundertprozentigen Kompatibilität zu bereits bestehenden BACnet-IP- oder BACnet-MS/TP-Netzwerken zu verschlüsseln. Aufwendige BBMD-Konfigurationen, statische IP-Adressen oder unverschlüsselte Telegramme gehören ab jetzt der Vergangenheit an! Mit BACnet/SC lassen sich Segmente, Netzwerke, Gebäude oder sogar ganze Liegenschaften einfach und sicher miteinander verbinden.
Was ist BACnet/SC?
Die neue Kommunikation über BACnet/SC erweitert den bestehenden BACnet-Standard und erfüllt die bekannte herstellerübergreifende Interoperabilität. Unabhängige Labore testen BACnet/SC-kompatible Geräte, welche anschließend durch BACnet-International zertifiziert werden. Auf diese Weise wird eine hohe sowie herstellerunabhängige Qualität sichergestellt. Für die Kompatibilität mit den spezifischen Managementfunktionen im neuen Kommunikationsstandard BACnet/SC müssen kompatible Geräte zusätzlich mit dem neuen BACnet-Profil B-SCHUB (BACnet Secure Connect Hub) zertifiziert sein.
Wie ist BACnet/SC aufgebaut?
Unterschied zu BACnet
BACnet-Secure Connect, kurz BACnet/SC, ist ein neuer Protokoll-Layer im OSI/ISO-Schichtenmodell des BACnet-Standards. Diese Integration in den bestehenden BACnet-Standard bringt den Vorteil, dass zwischen BACnet-IP- oder BACnet-MS/TP-Netzwerken und dem BACnet/SC-Netzwerk eine hundertprozentige Kompatibilität besteht.
Dies bedeutet, dass bestehende BACnet-IP- und BACnet-MS/TP-Netzwerke durch das BACnet-Routing in ein BACnet/SC-Netzwerk verschlüsselt werden. Um auf eine verschlüsselte, herstellerübergreifende Datenübertragung über BACnet-Secure Connect umzustellen, ist somit keine erneute Programmierung der BACnet-Objekte notwendig.
Wie funktioniert BACnet/SC?
Für die Kommunikation der BACnet/SC-Geräte untereinander wird die Hub-and-Spoke-Topologie verwendet. Eines der BACnet/SC-Geräte ist als Hub (Primary Hub) konfiguriert und managt die Kommunikation und die Datenübertragung der verschlüsselten BACnet-Objekte. Alle anderen BACnet/SC-Netzwerkteilnehmer sind als einfache Knoten (Nodes) konfiguriert und kommunizieren zum Primary Hub. Im gesamten BACnet-Secure-Connect-Netzwerk darf es maximal einen Primary Hub geben. Im Gegensatz dazu ist die Anzahl einfacher Nodes unbeschränkt. Um eine hohe Ausfallsicherheit zu garantieren, bietet BACnet/SC die Besonderheit, dass zusätzlich zum Primary Hub ein weiterer Reserve-Hub (Failover Hub) konfiguriert wird. Für den Fall, dass der Primary Hub ausfällt, übernimmt der Failover Hub automatisch das Kommunikationsmanagement im BACnet-Secure-Connect-Netzwerk. Die Konfiguration eines Failover Hubs ist optional.
Mit dem OPEN.WRX Controller liefern wir den ersten BACnet/SC zertifizierten Controller am Markt, der sowohl als Primary als auch als Failover Hub eingesetzt werden kann, um Gebäude sicher zu betreiben.
Hohe Netzwerkflexibilität durch Hub-and-Spoke-Topologie
Your Subtitle Goes Here
Die Hub-and-Spoke-Topologie bietet Ihnen weiterhin eine hohe Netzwerkflexibilität im Aufbau sowie bei einer Erweiterung des Netzwerks. Neue BACnet/SC-Teilnehmer lassen sich schnell und einfach integrieren, indem sie die passende Netzwerknummer und die Adresse (IP-Adresse oder Hostname) des als Hub konfigurierten Gerätes mitgeteilt bekommen. Eine aufwendige BBMD (BACnet-Broadcast-Management-Device) Konfiguration ist nicht mehr notwendig. Weiterhin ist nun die Adressierung der Netzwerk-Teilnehmer über dynamische IP-Adressen möglich, was dem Netzwerkaufbau, der Netzwerkkonfiguration und dem Änderungsmanagement im Betrieb deutlich mehr Flexibilität einräumt.
Weitere Vorteile einer verschlüsselten Kommunikation
Your Subtitle Goes Here
Die verschlüsselte Kommunikation bietet zusätzlich den Vorteil, dass für den Zugriff auf die BACnet-Objekte eines Gebäudes keine separate VPN-Verbindung mehr aufgebaut werden muss. Über bekannte Werkzeuge wie BACeye/SC greifen Teilnehmer aus der Ferne direkt auf die BACnet-Objekte eines Gebäudes zu und nehmen eine Konfiguration oder eine Visualisierung vor.
Moderner Sicherheitsmechanismus: TLS 1.3-Standard
Your Subtitle Goes Here
Um eine sichere und verschlüsselte Kommunikation zu gewährleisten, setzt BACnet/SC auf moderne Sicherheitsmechanismen wie den aktuellen TLS 1.3-Standard. Dieser bietet eine 256-Bit-Verschlüsselung und nutzt die Public-Key-Infrastruktur. Damit sich BACnet/SC-Geräte verschlüsselt miteinander unterhalten können, müssen also bestimmte Zertifikate ausgetauscht werden. Über den Zertifikatsaustausch wird eine Authentifizierung der Teilnehmer untereinander durchgeführt, dabei werden die Teilnehmer eindeutig identifiziert und eine Autorisierung der Kommunikation sichergestellt. Der Zertifikatsaustausch ist das Schlüsselelement im neuen BACnet-Standard.
Jeder BACnet/SC-Teilnehmer benötigt einen „private key“ und einen „public key“, der als signiertes „operational certificate“ bei der Kommunikation ausgetauscht wird. Mit Hilfe dieser beiden Schlüssel werden Nachrichten ver- und entschlüsselt.
Damit dauerhaft eine hohe Sicherheit gewährleistet wird, müssen die Zertifikate regelmäßig ausgetauscht werden.
BACnet/SC in der Gebäudeautomation
Für die Gebäudeautomation spielt der neue BACnet-Standard eine zentrale Rolle, da das BACnet-Protokoll bisher unverschlüsselt war. Das BACnet-Protokoll bietet in der Gebäudeautomation den höchsten Interoperabilitätsgrad. Daher wird es in vielen Projekten eingesetzt, um Herstellerunabhängigkeit der eingebauten Systeme zu erreichen. Weiterhin ist BACnet aufgrund seiner herstellerübergreifenden standardisierten Semantik ideal geeignet, verschiedene Systeme miteinander zu vernetzen.
Beides sind relevante Faktoren dafür, dass bisher über 25 Millionen BACnet-Geräte verbaut worden sind. Mit der Verschlüsselung der BACnet- Kommunikation mittels BACnet-Secure Connect wird dem BACnet-Standard der Weg in die Zukunft der Gebäudeautomation geebnet. Denn die IT-Sicherheit spielt aufgrund zunehmender Vernetzung eine immer zentralere Rolle.
Einsatzbereiche des BACnet/SC-Netzwerks
Ein Stand-Alone-BACnet/SC-Netzwerk ist problemlos in einem Gebäude aufbaubar, indem alle Netzwerk-Teilnehmer BACnet/SC-fähige Geräte sind. Auf diese Weise ist die gesamte BACnet-Kommunikation in einem Gebäude komplett verschlüsselt.
Für den Fall, dass Sie BACnet-Netzwerke bereits im Gebäude installiert haben, eignet sich BACnet/SC ideal, um die bestehende BACnet-Kommunikation aufzunehmen und zu verschlüsseln. Hierzu wird eine Automationsstation oder ein Gateway eingesetzt, dass die bisherigen BACnet-IP oder BACnet-MS/TP-Netzwerke integriert und auf BACnet/SC routet.
Weitere BACnet/SC-fähige Geräte im Gebäude sorgen dann dafür, dass mittels BACnet/SC das Backbone in Ihrem Gebäude sicher und verschlüsselt ist und einzig die Abzweigungen auf beispielsweise den Etagen das unverschlüsselte BACnet-IP oder BACnet-MS/TP-Netzwerk enthalten.
BACnet/SC im zentralen Gebäudemanagement
Hierbei ist die zentrale Gebäudeleittechnik bzw. Management-Bedieneinrichtung (MBE) entfernt vom Gebäude installiert, wodurch ein gesicherter Zugriff auf die Daten in das Gebäude unverzichtbar wird. BACnet-Secure Connect stellt eine verschlüsselte Kommunikation und Datenübertragung zwischen dem Gebäude und den dort ansässigen BACnet/SC-Geräten sowie der entfernt installierten MBE her. Die Management-Bedieneinrichtung muss in diesem Fall ebenfalls das Protokoll BACnet/SC unterstützen.
Das gleiche Prinzip der Vernetzung ist ebenso verwendbar, um mehrere Gebäude und somit mehrere BACnet/SC-Netzwerke miteinander zu vernetzen. Auf diese Weise findet innerhalb einer Liegenschaft die Datenübertragung zwischen einzelnen Gebäuden vollständig verschlüsselt statt.
BACnet/SC bietet die bisher fehlende und immer wichtig werdende IT-Sicherheit in der Gebäudeautomation
BACnet-Secure Connect ergänzt als neuer Protokoll-Layer den bisherigen BACnet-Standard. Es bietet neben der hundertprozentigen Kompatibilität zu bestehenden BACnet-Netzwerken auch die hohe Interoperabilität zwischen verschiedenen Systemen in der Gebäudeautomation.
Die implementierten Netzwerk- und Sicherheitsmechanismen entsprechen den Standards aus der modernen IT-Welt und bieten erheblich mehr Flexibilität beim Netzwerkaufbau, der Konfiguration oder dem Änderungsmanagement im Betrieb. Als herausfordernd für die Gebäudeautomationsbranche wird sich das Management der Zertifikate darstellen, die in allen BACnet/SC-fähigen Geräten enthalten und regelmäßig erneuert werden müssen, damit eine sichere Datenübertragung garantiert und aufrechterhalten wird.