Cybersicherheit in der Gebäudeautomation

Deutsche Rahmenbedingungen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht technische Richtlinien zur Absicherung von Industriellen Steuerungssystemen (ICS), unter die Gebäudeautomation fällt. Die NIS2-Richtlinie (EU) gilt ab 2024 für Betreiber kritischer Anlagen und wichtiger Einrichtungen, wozu auch bestimmte Gebäude mit kritischen Funktionen zählen können. Das BSI-Grundschutz-Kompendium enthält spezifische Bausteine für OT-Sicherheit. Das IT-Sicherheitsgesetz 2.0 verschärft die Anforderungen an kritische Infrastrukturen.

Schlüsselbegriffe

OT-Sicherheit

Schutz Operationeller Technologie: Systeme, die physische Prozesse steuern (BMS, HLK, Zutrittskontrolle). Unterscheidet sich grundlegend von IT-Sicherheit.

NIS2

EU-Richtlinie zur Netz- und Informationssicherheit (NIS2). Stellt Cybersicherheitsanforderungen an wesentliche und wichtige Einrichtungen, ggf. auch Gebäude mit kritischen Funktionen.

Netzwerksegmentierung

Trennung des BMS-Netzwerks vom Büro-IT-Netzwerk und Internet. Verhindert, dass ein Angriff auf das Büronetzwerk das Gebäudesteuerungssystem erreicht.

Standard-Anmeldedaten

Benutzernamen und Passwörter, die Hersteller ab Werk mitliefern. Werden oft nicht geändert und gehören zu den am häufigsten ausgenutzten Schwachstellen in Gebäudesystemen.

Firmware-Update

Software-Aktualisierung für Controller-Hardware im BMS. Enthält häufig Sicherheits-Patches. Wird in der Gebäudeautomation weit seltener durchgeführt als in der IT.

Gesetzliche Anforderungen

Die NIS2-Richtlinie verpflichtet Organisationen in festgelegten Sektoren zu angemessenen Cybersicherheitsmaßnahmen. Für Gebäude mit kritischen Funktionen (Krankenhäuser, Energieinfrastruktur, Behörden) kann die Gebäudeautomation in den Anwendungsbereich fallen. Das Gesetz verlangt Risikomanagement, Vorfallsmeldung und Supply-Chain-Sicherheit.

Die DSGVO ist relevant, wenn das BMS personenbezogene Daten verarbeitet: Belegungsdaten, Zugangsprotokoll, Kamerabilder. Ein Datenleck im Gebäudesystem ist ein Datenleck im Sinne der DSGVO, mit Meldepflicht an die zuständige Datenschutzaufsichtsbehörde.

Ihre Verantwortung als FM-Verantwortlicher: Arbeiten Sie mit der IT zusammen, um das BMS-Netzwerk zu segmentieren, ändern Sie alle Standardpasswörter, beschränken Sie den BMS-Zugang auf autorisierte Nutzer und stellen Sie sicher, dass Firmware-Updates regelmäßig eingespielt werden. Nehmen Sie Cybersicherheit als Anforderung in BMS-Serviceverträge und die Beschaffung neuer IoT-Sensoren auf. Ein Sensor ohne Sicherheits-Updates ist eine offene Tür.