Cybersicherheit für OT und IoT in Gebäuden

Deutsche Rahmenbedingungen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht den IT-Grundschutz mit spezifischen Bausteinen zur OT-Sicherheit (IND.1 ff.) und Empfehlungen für Gebäudeautomationssysteme. Die DIN EN IEC 62443-Normenreihe bietet den technischen Rahmen für industrielle Cybersicherheit, anwendbar auf Gebäudesysteme. Das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) und die NIS2-Richtlinie weiten Sicherheitspflichten auf weitere Sektoren aus. Das KRITIS-Dachgesetz (in Vorbereitung) wird kritische Infrastruktur umfassend regulieren. VdS Schadenverhütung hat mit VdS 3473 eine Richtlinie für Cyber-Sicherheit in kleinen und mittleren Unternehmen veröffentlicht.

Schlüsselbegriffe

OT-Sicherheit

Absicherung von Operational Technology: Systemen, die physische Prozesse steuern. Unterscheidet sich von IT-Sicherheit in Lebensdauer, Aktualisierungshäufigkeit und Schadensausmaß.

Netzwerksegmentierung

Trennung von OT- und IoT-Netzwerken vom Büronetzwerk und dem Internet. Verhindert, dass ein Einbruch im Büronetzwerk die Gebäudesysteme erreicht.

Firmware-Update

Software-Aktualisierung von Sensor oder Controller. Essenziell zum Schließen von Sicherheitslücken, aber komplex aufgrund der großen Geräteanzahl und begrenzter Updatefähigkeit.

Standard-Zugangsdaten

Werksseitig voreingestellte Benutzername/Passwort-Kombinationen, mit denen Geräte ausgeliefert werden. Ihr Nicht-Ändern ist einer der häufigsten Sicherheitsfehler bei IoT-Installationen.

NIS2-Richtlinie

Europäische Richtlinie zur Netz- und Informationssicherheit, die die Pflichten auf mehr Sektoren ausweitet und strengere Anforderungen an das Risikomanagement stellt.

Was das Gesetz verlangt

Die NIS2-Richtlinie, die in Deutschland über das NIS2-Umsetzungsgesetz implementiert wird, stellt Anforderungen an das Risikomanagement für Netz- und Informationssysteme. Für Organisationen in festgelegten Sektoren (Energie, Wasser, Gesundheit, öffentliche Verwaltung) kann die Gebäudeautomation unter diese Anforderungen fallen, wenn sie Teil kritischer Prozesse ist.

Die DIN EN IEC 62443 bietet den technischen Rahmen für OT-Sicherheit. Sie beschreibt Sicherheitszonen, Zugangskontrolle und Monitoring spezifisch für industrielle und gebäudetechnische Systeme. Der BSI IT-Grundschutz (Baustein IND.2.1 Allgemeine ICS-Komponente) ergänzt diesen Rahmen mit praxisnahen Maßnahmen. Immer mehr Auftraggeber nehmen diese Normen als Anforderung in Ausschreibungen für Gebäudeautomation auf.

Für FM-Professionals bedeutet dies konkret: Sorgen Sie für Netzwerksegmentierung zwischen OT/IoT und dem Büronetzwerk, ändern Sie bei der Installation stets die Standardpasswörter, halten Sie Firmware über ein strukturiertes Patch-Management aktuell und beschränken Sie den physischen und logischen Zugang zu Gebäudesystemen auf autorisiertes Personal. Nehmen Sie Cybersicherheit als festen Bestandteil der Risikobewertung bei IoT-Implementierungen auf und binden Sie den IT-Sicherheitsbeauftragten bei Entwurf und Betrieb des Sensornetzwerks ein.