Smart-Building IT-Sicherheit: Dokumentationsanforderungen für IP-basierte Komponenten der TGA

Leitlinien und Umsetzungshinweise

Mitte August wurde von der CISA1 in Zusammenarbeit mit dem BSI2 und weiteren IT-Sicherheitsbehörden3 der Best-Practice-Leitfaden „Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators” [1] veröffentlicht. OT-Security-Leitlinien sollten auch auf IP-basierte Assets in allen Teilen der TGA übertragen werden. Dafür konsolidieren wir hier Informationen aus der zuvor genannten Leitlinie, den Umsetzungshinweisen insbesondere der BSI-Bausteine INF.13 [2] und IND.1 [3] des IT-Grundschutzes und Best-Practice-Erfahrung aus IT-Sicherheitsprojekten im Bereich Smart-Building (SB).

Im Folgenden wird aufgeführt, welche Informationen ein Asset Inventory enthalten sollte und wie sie zu dokumentieren sind. Dabei werden die Tätigkeiten den Lebenszyklusphasen Planung, Inbetriebnahme, Betrieb und Modernisierung zugeordnet, Verantwortlichkeiten und Rollen geklärt, Prüfzyklen abgeleitet und praktikable Wege zur Automatisierung aufgezeigt.

Die Darstellung folgt einem risikobasierten, lebenszyklusorientierten Verständnis Foundations for OT Cybersecurity: Asset Inventory Guidance for Owners and Operators technischer Gebäudeinfrastrukturen. Die Empfehlungen richten sich an Facility Manager und TGA-Planer sowie den Gebäude- und IT-Betrieb.

Was muss dokumentiert werden – und wie?

Ein SB-Asset-Inventory ist die belastbare, fortlaufend gepflegte Beschreibung aller Komponenten der TGA, die über IP-Kommunikation angebunden sind. In der jüngst gemeinsam von CISA, BSI und weiteren Behörden entwickelten OT‑Leitlinie werden Attributfelder vorgegeben und mit Prioritäten belegt.

Für IP-basierte Smart-Building-Assets sind mindestens die in der OT‑Leitlinie als „hoch prioritären“ Felder zu erfassen, ergänzt um gebäudebezogene Angaben aus den relevanten BSI-Bausteinen. Zu den prioritären Feldern zählen aktive Kommunikationsprotokolle, Kritikalität, eindeutige Assetnummer, Funktion/Rolle bzw. Typ, Hostname, IP-Adresse, Protokollierung, MAC‑Adresse, Hersteller, Modell, Betriebssystem, physischer Standort, Ports und Dienste sowie erwartete Benutzerkonten. Diese Attribute dienen sowohl der netztechnischen Einordnung als auch der Angriffsflächenbewertung und der Kopplung an Monitoring und das Schwachstellenmanagement. Die Felder sind in einer strukturierten, versionierten, auditierbaren Datenbasis zu halten, die Änderungszeitpunkte, Quellen und Verantwortliche nachvollziehbar macht.

Für Gebäude‑OT konkretisiert insbesondere IND.1 die technische Objektbeschreibung. Neben funktionalem Namen und Systemnamen sind zuständiges Administrationspersonal mit Kontaktdaten, physischer Aufstellungsort, MAC‑ und IP‑Adressen, DNS‑Bezeichnungen, FQDN, Hersteller, Modell/Produkttyp, Betriebssystem, installierte Anwendungen und Dienste samt Ports und Protokollen, Patch‑ bzw. Firmwarestände mit Datum, Ergebnisse bzw. Intervalle von Malware‑Prüfungen sowie Backup‑Intervalle und ‑Umfänge zu dokumentieren. Erforderlich sind ferner ein physischer und ein logischer Netzplan, die Standorte, Verbindungen, Zonen, Segmente und Kommunikationsbeziehungen abbilden und so unzulässigen Datenverkehr identifizierbar machen.

Die Protokollierung sollte so gestaltet werden, dass sicherheitsrelevante Ereignisse zentral gesammelt, ausgewertet und den Verantwortlichen automatisiert gemeldet werden können.

Lebenszyklusphasen: Planung, Inbetriebnahme, Betrieb, Modernisierung

Nachfolgend wird grob skizziert, wie das SB-Asset-Inventory über alle Lebenszyklusphasen funktionieren und wirken kann.

Grundlage für ein gutes Asset-Inventory bildet die Dokumentation während der Planung. Die Planungsdokumente sollten Anforderungen an Protokollierung, Monitoring, Härtung, sichere Konfiguration, Rollen und Berechtigungen sowie Integrationen in CAFM/BIM vorsehen, um eine spätere Automatisierung zu ermöglichen. Für eine erfolgreiche Dokumentation ist es zielführend, eine Dokumentationsvorlage bereitzustellen und die Zuarbeit zum Katalog der Attributfelder für Planer verbindlich zu machen.

In der Inbetriebnahmephase erfolgt die initiale physische Begehung und logische Erhebung der Attributfelder, die Verifikation der Netzpläne, die Aktivierung zentraler Protokollierung und die Abnahme definierter Sicherheits- und Funktionsprüfungen.

Die Dokumentation muss den tatsächlich gelieferten Stand widerspiegeln, inklusive Herstellerdokumentation, Härtungs- und Konfigurationsleitfäden sowie Nachweise der Systemtests.

Im Betrieb dient das Inventory als führende Quelle für Change-, Schwachstellen- und Ereignismanagement. Regelmäßige Aktualitätsprüfungen gewährleisten, dass betriebsrelevante Änderungen erfasst werden. So werden undokumentierte Verbindungen konstant verhindert. Die Verantwortung der fortlaufenden Pflege des Asset-Inventory kann dabei von Projekt zu Projekt sehr variieren.

Und in der Realität?

In Bestandsgebäuden mit gewachsenen Strukturen ist die IT-Dokumentation häufig unvollständig. Ein zentrales Asset-Inventory, in dem alle gebäudetechnischen Systeme gepflegt werden, ist umso seltener. Es ist aber nie zu spät dafür, die Inventarisierung nachzuholen, zumal ein automatisiertes Asset-Inventory auch viele Vorteile im Betrieb mit sich bringt.

Automatisierung des Asset-Inventory

Ein wirksamer Automatisierungsansatz kann passive und aktive Datenerhebung, Prozessintegration und Modellierung kombinieren. Auf Netzebene können passive Monitoring‑Lösungen die kontinuierliche Erfassung von Kommunikationsprotokollen, IP‑Adressen, Ports und Diensten sowie die Korrelation mit Asset-Rollen erheben. Die CISA‑Leitlinie verweist hierfür beispielhaft auf das Open‑Source‑Framework „Malcolm“ [4].

In einem Asset-Inventory können über Schnittstellen und automatisiertes Auslesen von RSS Feeds aktuelle Schwachstellen eingelesen werden. So kann das Asset-Inventory auch über aktuelle Schwachstellen informieren und Update/Patch-Prozesse initiieren.

Mit einem automatisierten Asset-Inventory kann eine Menge IT-sicherheitsrelevanter Funktionen abgebildet werden. Aber auch ohne Automatisierung ist die Dokumentation sehr wichtig und hilfreich für den Betrieb und für Modernisierungsprozesse. Denn mit wachsendem IT-Anteil in der Gebäudetechnik verkürzen sich auch die Lebenszyklusphasen der Komponenten. Für jede Life-Cycle-Überführung ist ein aktuelles Asset-Inventory Gold wert.

Quellen

[1] https://www.cisa.gov/sites/default/files/2025-08/joint-guide-foundations-for-OT-cybersecurity-asset-inventory-guidance_508c.pdf

[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Umsetzungshinweise/Umsetzungshinweise_2022/Umsetzungshinweis_zum_Baustein_INF_13_Technisches_Gebaeudemanagement.pdf?__blob=publicationFile&v=2#download=1

[3] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Umsetzungshinweise/Umsetzungshinweise_2022/Umsetzungshinweis_zum_Baustein_IND_1_Prozessleit_und_Automatisierungstechnik.pdf?__blob=publicationFile&v=2#download=1

[4] https://github.com/cisagov/Malcolm

Verweise

1 Cybersecurity and Infrastructure Security Agency

2 Bundesamt für Sicherheit in der Informationstechnik

3 U.S. Environmental Protection Agency, U.S. National Security Agency, U.S. Federal Bureau of Investigation, Australian Signals Directorate’s Australian Cyber Security Centre, Canadian Centre for Cyber Security, Netherlands’ National Cyber Security Centre, New Zealand’s National Cyber Security Centre