22 · Immobilienwirtschaft · 02 / 2025 Schwerpunkt Zukunftstechnologien Neben dem Cyber Resilience Act kommt auch die NIS-2-Richtlinie (Network and Information Security Directive) in der Gebäudeautomation zum Tragen. NIS-2 ist bereits von der EU veröffentlicht worden. Sie wird in Deutschland wahrscheinlich im Herbst 2025 in nationales Recht überführt werden. In der Zwischenzeit sollten sich die betroffenen Unternehmen auf die Anforderungen vorbereiten. Zur Implementierung der Anforderungen des CRA und von NIS-2 bietet sich die internationale Normenreihe IEC 62443 an. Dabei handelt es sich um ein Regelwerk für die Cybersecurity in industriellen Automatisierungs- und Steuerungssystemen (IACS). Da die IEC 62443 umfassend ist und die Gebäudeautomation nicht speziell anspricht, hat der VDMA (Verband Deutscher Maschinen- und Anlagenbau) das Einheitsblatt VDMA 24774 herausgegeben. Der praxisorientierte Leitfaden unterstützt sowohl Planer als auch Systemintegratoren und Betreiber von Gebäuden bei der Realisierung der Security-Anforderungen. OT IST NICHT GLEICH IT In Unternehmen wird zwischen der IT (Informationstechnologie) und OT (Operational Technology) unterschieden. Während sich die IT auf die Informationsverarbeitung konzentriert, umfasst die OT die direkte Steuerung und Überwachung physischer Geräte und Prozesse. Aus diesem Grund lassen sich OT-Geräte nicht genauso behandeln wie IT-Komponenten. Viele OT-Geräte – etwa Steuerungen – sind älter und können nicht aus der Ferne neu gestartet oder ausgelesen werden, um ein Update oder eine neuere Firmware-Version aufzuspielen. Das funktioniert lediglich mit smarten Geräten, wie der Gebäudesteuerung ILC 2050 BI. Hier lassen sich die verfügbaren Patches automatisch ausrollen. Zudem kann die Steuerung selbst Schwachstellen anzeigen. Es ist wesentlich zu wissen, welche IP-basierten Geräte im Facility-Netzwerk installiert sind und wie diese untereinander kommunizieren. Die Assets müssen inventarisiert werden. Die Verantwortung dafür obliegt dem Facility Management, weil Defekte immer Einfluss auf die operationale Infrastruktur haben. Dabei sollten die wichtigsten Merkmale der Geräte aufgeführt werden, zum Beispiel deren Verortung sowie die Hardware- oder FirmwareRevisionsstände. Ist der Status der netzgebundenen Geräte nicht sichtbar, kann dies die Cybersecurity beeinträchtigen. Kompromittierte oder defekte Komponenten können zu unerwarteten Maschinenoperationen führen und somit Sicherheitsrisiken darstellen. Eine Netzwerksegmentierung zur Trennung bei Cyberangriffen ist sinnvoll, denn dem Angreifer wird ein deutlich geringeres Angriffsspektrum geboten. Die Anforderungen an ein Netzwerk- und Firewalling beinhalten sowohl technische als auch organisatorische Aspekte, die einer engen Verknüpfung zur IT bedürfen. Je nach vertikalem Segment ist entweder die IT oder OT für den Betrieb der Netzwerk- und Firewalling-Ausrüstung verantwortlich. Die IT steht beim Betrieb in der Pflicht, während die OT die Zuständigkeit für Konfigurationen und Regeln hat. Authentifizierungslösungen schützen zusätzlich vor unbefugten Zugriffen – wie etwa starke Passwörter und MultiFaktor-Authentifizierung. Zudem sollte die Sprach-, Video- und Textkommunikation abgesichert werden, um sensible Informationen im Krisenfall abhörsicher austauschen zu können. Ergänzend ist die systematische Nutzung von Kryptografie und Verschlüsselung in den Alltag zu integrieren: Das gilt etwa für den Datentransfer zwischen den Gebäudemanagementsystemen oder Fernzugriffen. Technische Maßnahmen und gut geschultes Personal bilden zusammen eine widerstandsfähige Sicherheitsstruktur, die Bedrohungen erkennt, abwehrt und im Ernstfall handlungsfähig bleibt. In der Gebäudeautomation ist das Thema IT- und OT-Sicherheit längst kein Add-on mehr, das Betreiber lediglich umsetzen könnten. Inzwischen gibt es bereits viele Richtlinien, Normen und gesetzliche Anforderungen, die es einzuhalten gilt. Hier den Überblick zu behalten, gestaltet sich schwierig. Eine wesentliche Verordnung stellt etwa der Cyber Resilience Act (CRA) dar, der im Dezember 2024 von der EU verabschiedet wurde und ab Dezember 2027 angewendet werden muss. Im Kontext der Gebäudeautomation kommt dem Cyber Resilience Act eine besondere Bedeutung zu, da zahlreiche Systeme und Geräte in diesem Umfeld vernetzt sind und digital gesteuert werden. Hersteller müssen erklären, dass sich ihre Produkte über den gesamten Lebenszyklus von mindestens fünf Jahren cybersicher betreiben lassen. NOTWENDIGE SICHERHEITSMASSNAHMEN In der Gebäudeautomation sollte ein Informationssicherheits- Managementsystem (ISMS) eingeführt werden. Dabei müssen die Gebäudebetreiber mindestens die folgenden Aspekte beachten: • Risikomanagement • Bewältigung von Sicherheitsvorfällen • Aufrechterhaltung des Betriebs, Back-up-Management, Wiederherstellung nach einem Notfall, Krisenmanagement • Sicherheit der Lieferkette • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung • Systematische Bewertung der Wirksamkeit von RisikomanagementMaßnahmen der IT-Sicherheit • Grundlegende Cyberhygiene • Schulungen zur Informationssicherheit • Systematischer Einsatz von Kryptografie und Verschlüsselung • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen • Verwendung von Lösungen zur Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation 1 SICHERHEITSLÜCKEN Die Vernetzung der Kameras und die zentrale Speicherung der Daten machen das System an- fällig für Cyberangriffe 1
RkJQdWJsaXNoZXIy Mjc4MQ==