Vernetzte Gebäude sind effizient – und angreifbar. Dieser Leitfaden zeigt, wie Sie GA-Systeme (z. B. KNX/IP, BACnet, Modbus, BMS) wirksam schützen: vom Netzwerkdesign bis zum Notfallplan.

Warum Cybersecurity in Gebäuden entscheidend ist

Gebäudeautomation steuert Heizung, Lüftung, Klima, Beleuchtung, Zutritt und Energie. Manipulationen führen zu Ausfällen, Komfort- und Produktivitätsverlusten – im schlimmsten Fall zu Sicherheits- und Haftungsrisiken. Viele Anlagen laufen jahrelang unverändert und sind deshalb attraktive Ziele.

Typische Angriffsflächen

  • Unsegmentierte Netze: GA, IT und Gast-WLAN in einem Segment – Seitwärtsbewegung für Angreifer.
  • Unsichere Protokolle: Klartext/ohne Authentisierung (z. B. klassisches Modbus TCP, ungehärtetes BACnet/IP).
  • Standardpasswörter & veraltete Firmware: „admin/admin“, ungepatchte Steuerungen.
  • Offene Remote-Zugänge: Port-Forwarding, unsichere Cloud-Dienste.
  • Drittanbieter ohne Sicherheitsvorgaben: Wartungszugänge, Laptops, Speichermedien.

Sichere Architektur: Grundprinzipien

  • Netzwerksegmentierung: Trennung von IT, OT/GA, Gast und Management. Zugriff über Firewalls mit strikten Regeln.
  • Zero-Trust-Ansatz: Minimalprinzip: Nur notwendige Dienste/Ports, Device- und Nutzer-Identitäten prüfen.
  • „Defense in Depth“: Mehrschichtiger Schutz aus Netzwerk-, Host-, Applikations- und Zugriffs-Kontrollen.
  • Sichere Fernwartung: VPN mit MFA, Jump-Hosts, Protokollierung – kein direktes Port-Forwarding ins GA-Netz.

Härtung von GA-Komponenten

  • Passwort- und Kontopolitik: Einzigartige, starke Passwörter, MFA wo möglich, keine Default-Credentials.
  • Firmware & Patches: Geplantes Update-Fenster, Testumgebung, dokumentierte Stände.
  • Dienste & Ports: Deaktivieren, was nicht gebraucht wird; verschlüsselte Varianten bevorzugen.
  • Protokoll-Absicherung: Wo verfügbar TLS/Signierung nutzen; Broadcast-Funktionen begrenzen; BBMD/BBR kontrolliert betreiben.
  • Logging: Zentrale Syslog/SIEM-Anbindung mit Zeitstempelsynchronisation (NTP).

Zugriffe & Identitäten

  • Rollenkonzepte (RBAC): Planung, Betrieb, Service, Extern – differenzierte Rechte.
  • On-/Offboarding-Prozess: Benutzer/Lizenzen zeitnah vergeben/entziehen; Wartungsfenster dokumentieren.
  • Protokollierung & Nachvollziehbarkeit: Jeder Eingriff wird geloggt; 4-Augen-Prinzip bei kritischen Änderungen.

Monitoring & Reaktion

  • Netzwerk- und Geräte-Monitoring: Anomalien, neue Geräte, ungewöhnliche Datenflüsse erkennen.
  • Alarmierung: Schwellwerte und Verhaltensregeln (z. B. unzulässige Broadcasts, Scan-Muster).
  • Backup & Wiederanlauf: Konfigurations- und Server-Backups, Restore-Tests, Notbetriebsmodi der Anlagen.
  • Incident Response: Kontaktliste, Eskalationsstufen, Kommunikationsplan, forensische Sicherung.

Rollen & Verantwortlichkeiten

Sicherheit ist Teamarbeit. Klare Zuständigkeiten reduzieren Lücken.

  • Bauherr/Betreiber: Sicherheitsziele, Budget, Policies, Freigaben.
  • Planer: Sicherheitsanforderungen in LV/Leistungsbeschreibung, Netzdesign, Abnahme-Checklisten.
  • Integrator/Errichter: Umsetzung, Härtung, Dokumentation, Übergabeprotokolle.
  • IT/OT-Security: Firewall-Regeln, Zertifikate, Monitoring, Incident Response.
  • Wartungspartner: Geregelt angebundene Fernwartung, Nachweise, Change-Management.

Checkliste: Mindestanforderungen

  • GA-Netz von IT/Gast logisch getrennt (VLAN/Zonen/Firewalls)
  • Keine Standardpasswörter; MFA für Fernzugänge
  • Aktuelle Firmware, dokumentierte Patchpolitik
  • Nur benötigte Ports/Protokolle offen; verschlüsselte Varianten bevorzugt
  • Zentralisiertes Logging & Alarmierung
  • Gesicherte, getestete Backups (Offline-Kopie)
  • Regelmäßige Penetrationstests/Schwachstellenscans
  • Notfallhandbuch inkl. Wiederanlauf und Kontaktliste

FAQ: Cybersecurity in der GA

Muss GA unbedingt ins Internet?

Nein. Lokaler Betrieb ist oft sicherer. Remote-Zugriff nur über abgesicherte Wege (VPN/MFA) und mit klaren Freigaben.

Bringt ein reines „IT-Firewall-Setup“ genug Schutz?

Nicht allein. GA hat eigene Protokolle und Anforderungen. Es braucht OT-spezifische Regeln, Gerätekontrolle und Härtung.

Wie oft sollte gepatcht werden?

Regelmäßig nach definiertem Wartungsfenster. Kritische Lücken priorisiert schließen – vorher testen, nachher dokumentieren.

Was kostet ein sinnvolles Sicherheitsniveau?

Weniger als ein Vorfall. Mit Segmentierung, Härtung und sauberer Fernwartung lassen sich 80 % der Risiken mit vertretbarem Aufwand reduzieren.

Hinweis: Maßnahmen sind projektspezifisch. Wir empfehlen ein Sicherheitskonzept mit Anforderungsprofil, Netzplan, Härtungsliste und Test-/Abnahmekriterien. Ersetzen Sie Platzhalter-Links und ergänzen Sie interne Verlinkungen (Leistungen, Referenzen, Kontakt).