IT/OT-Sicherheit: Wenn Bestandsgebäude intelligent werden

Wenn ressourceneffiziente Smart Buildings für die Zukunft benötigt werden, während der Großteil der Gebäude bereits besteht, müssen viele Objekte in einen neuen Lifecycle überführt und smartifiziert werden. Dieser Artikel fokussiert sich auf Nichtwohngebäude, insbesondere Gewerbe- und Industrieimmobilien. Das Bewusstsein für die Bedeutung von IT-Sicherheit ist in den vergangenen Jahren gestiegen, doch die IT/OT-Sicherheit der Gebäudetechnik spielt weiterhin nur eine kleine Rolle. Gebäude, die in den 90er und 00er Jahren modern entwickelt wurden, müssen aktuell in einen neuen Lifecycle überführt werden. Das liegt in der Natur der Sache und an exponentiellen technischen Entwicklungen. Selbst ehemals modernste Gebäude verfügen nicht über eine (Netzwerk-)Infrastruktur, die den heutigen Ansprüchen genügt – was letztlich daran liegt, dass diese Ansprüche damals nicht existierten.

Wenn ursprünglich in sich geschlossene Gewerke, die niemals für eine gewerkeübergreifende Kommunikation oder eine Anbindung an Cloud- und Remote-Zugänge entwickelt wurden, in holistische Gebäudebetriebskonzepte integriert werden sollen, müssen IT/OT-Sicherheitsmaßnahmen durchgeführt werden.

IT/OT-Sicherheit: Status quo

Bei einem IT/OT-Check-up von Bestandsimmobilien stößt man üblicherweise auf mehrere der nachfolgend gelisteten Probleme. Die genannten Risiken sind ein Auszug aus vielen echten und selbst ermittelten Projektergebnissen.

• Dedizierte und ungesicherte Fernwartungszugänge: Manche Systeme im Gebäude nutzen eine mehr oder weniger sichere VPN-Tunnelverbindung für die Fernwartung. Das hat aber keinen großen Impact auf die Sicherheit des gesamten Netzwerks, wenn im gleichen Netzwerk andere Systeme ungesicherte Zugänge nutzen. In der Zeit von gewerkeübergreifenden Konzepten hilft es nicht mehr, nur auf sich selbst zu schauen.
  • In fast jeder großen Bestandsimmobilie wird mindestens ein für Fernwartungszwecke genutzter Router existieren, von dem keiner weiß, woher er stammt, und/oder auf dem alte Standardpasswörter genutzt werden.
• Switch-Kaskadierungen: In Bestandsgebäuden finden wir sehr häufig die Situation vor, dass über die Jahre bei der Modernisierung einzelner Gewerke oder Etagen, schnelle und teils unsaubere Lösungen bezüglich der IT-Infrastruktur umgesetzt wurden. Ein Beispiel dafür sind mehrere hintereinander gepatchte Unmanaged Switches.
• Fehlende oder unzureichende Dokumentation: Dies betrifft sowohl Netzwerktopologien, die nicht auf dem aktuellen Stand sind, als auch häufig gänzlich fehlende Asset-Inventories. Man kann nur schützen, was man auch kennt.
  • Single-Point-of-Knowledge: Es besteht die erhebliche Gefahr, dass viele Personen, die seit der Inbetriebnahme eines Gebäudes den Betrieb führen, in naher Zukunft in Rente gehen und mit ihnen das Wissen über die gewachsenen Strukturen verschwindet, wenn dieses nicht langfristig prozessual gesichert wurde.
• Alte (Server-)Betriebssysteme und End-of-Service-Komponenten: Für viele Systeme und Komponenten wurde über Jahre ein Update- und Patchmanagement weder angewendet noch benötigt, da es sich um in sich geschlossene Systeme handelte.
• Unverschlüsselte Kommunikation: Verschlüsselte Kommunikation von IP-basierten Kommunikationsprotokollen ist in der Gebäudetechnik immer noch Neuland und dementsprechend im Bestand erst recht nicht zu finden.
• Ungesicherte Luftschnittstelle: Viele mit Standardpasswörtern betriebene Geräte strahlen eine SSID aus, ohne dass dem Betreiber bewusst ist, dass diese Geräte überhaupt Funktechniken unterstützen. Das können die Raumautomationsstation, das Beleuchtungs-Gateway oder die Mikrowelle sein. Manchmal ist die Luftschnittstelle der einfachere Zugang als die Eingangstüre.

Diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit und ließe sich weiter fortführen. Sie ist ausdrücklich keine Kritik am Gebäudebestand, sondern beschreibt das natürliche Ergebnis von im Betrieb gewachsener Strukturen. Wichtig ist, die gleichen Fehler nicht zu wiederholen und den Bestand Schritt für Schritt und Gewerk für Gewerk in die Zukunft zu führen. Nahezu alle Gewerke der Kostengruppe 400 nach DIN 276 kommunizieren heute IP-basiert. Das modernisierte Gebäude benötigt daher nicht nur den holistischen Gebäudebetrieb, sondern auch ein ganzheitlich gedachtes Netzwerkkonzept.

BSI-IT-Grundschutz

Ein Großteil der oben gelisteten Schwachstellen wird behoben, wenn man sich an Basis- und Standard-Anforderungen und den zugehörigen Umsetzungshinweisen aus den BSI-IT-Grundschutz-Bausteinen INF.13 Technisches Gebäudemanagement und INF.14 Gebäudeautomation orientiert [2]. Auch wenn sie unter der Rubrik Gebäudeautomation geführt werden, lassen sich die Anforderungen dennoch auf die gesamte Gebäudetechnik übertragen. In Tabelle 1 sind jedem oben genannten Sicherheitsrisiko entsprechende BSI-Anforderungen (A) und Umsetzungshinwiese (M) des Bausteins INF.14 zugeordnet. Eine solche Zuordnung könnte auch analog zu den grundsätzlichen Anforderungen (Fundamental Requirements) der IEC 62443-3-3 durchgeführt werden [2].

Tabelle 1: Abgleich typischer Sicherheitsrisiken in Bestandsgebäuden mit Anforderungen (A) und Umsetzungshinweisen (M) aus dem BSI-IT-Grundschutzkompendium mit Fokus auf die Bausteine INF.13 Technisches Gebäudemanagement und INF.14 Gebäudeautomation.

Risiko	Anforderung / Umsetzungsmaßnahe	Textauszug
Dedizierte und ungesicherte Fernwartungszugänge	INF.14.M1 Planung der Gebäudeautomation INF.14.A14 Nutzung eines GA-geeigneten Zugriffsschutzes Grundsätzlich definiert im Baustein OPS.1.2.5 Fernwartung	INF.14.M1: „In der Detailplanung der GA-Netze sollten mindestens folgende Punkte angemessen berücksichtigt werden: (…) die Absicherung und Nachverfolgung eingerichteter Fernwartungszugriffe (siehe INF.14.M14 Nutzung eines GA-geeigneten Zugriffsschutzes, INF.14.M18 Sichere Anbindung von GA-externen Systemen und INF.14.M26 Protokollierung in der GA).“
Switch-Kaskadierungen	INF.14.M11 Absicherung von frei zugänglichen Ports und Zugängen der GA Grundsätzlich in den Bausteinen NET.1.1 Netzarchitektur und -design, NET 1.2 Netzmanagement definiert.	INF.14.M11: „Bei der Kaskadierung von mehreren Switches kann es vorkommen, dass der für die Authentisierung genutzte übergeordnete Switch das Ausschalten oder Abstecken einer GA-relevanten Komponente nicht mitbekommt.“
Fehlende oder unzureichende Dokumentation	INF.14.M5 Dokumentation der GA	„Die gesamte GA [und Gebäudetechnik] muss nachhaltig dokumentiert werden. Hierfür müssen die erstellten Dokumentationen regelmäßig geprüft und aktualisiert werden, um sicherzustellen, dass sie stets den aktuellen Stand (…) abbilden.“
Alte (Server-) Betriebssysteme und End-of-Service-Komponenten	INF.13.A11 Angemessene Härtung von Systemen im TGM Grundsätzlich in den Baustein OPS1.1.3 Patch- und Änderungsmanagement	INF.13.A11: „Für alle Systeme (…), SOLLTE bei der Beschaffung sichergestellt werden, dass diese angemessen gehärtet werden können und insbesondere sicherheitsrelevante Updates für die geplante Nutzungsdauer bereitgestellt werden.“
Unverschlüsselte Kommunikation	INF.14.A12 Nutzung sicherer Übertragungsprotokolle für die GA	„Außerhalb vertrauenswürdiger Netzsegmente SOLLTE die Kommunikation über Ethernet und IP zwischen GA-Systemen verschlüsselt erfolgen.“
Ungesicherte Luftschnittstelle:	INF.14.A16 Absicherung von drahtloser Kommunikation in GA-Netzen	„Insbesondere SOLLTEN eine angemessene Authentisierung und eine Verschlüsselung auf der Luftschnittstelle umgesetzt werden.“

Literaturverzeichnis

[1] D. A. Kaup, „Smart Building und IT-Sicherheit: Alles ist verbunden,“ Febraur 2026.
[2] BSI, IT-Grundschutz-Kompendium, BONN: Reguvis Fachmedien GmbH, 2023.
[3] IEC, IEC 62443-3-3:2013 Industrial communication networks – Network and system security – Part 3-3: System security requirements and security levels, 2013.

Veröffentlichungen

Messe Frankfurt Exhibition GmbH:

• Deutsche Version: https://building-technologies.messefrankfurt.com/frankfurt/de/mediathek/fachartikel/it-ot-sicherheit-bestandsgebaeude-smart-schuetzen.html
• Englische Version: https://building-technologies.messefrankfurt.com/frankfurt/en/media-library/specialized-articles/it-ot-security-protecting-existing-buildings-smart.html