So bleiben Cyber-Kriminelle draußen

Gebäude mit vernetzter Betriebstechnik sind für Angriffe aus dem Cyberspace besonders anfällig. Passende Sicherheitstechnik gibt es, doch die sollte möglichst früh mitgeplant oder nachgerüstet werden.

Diese Gäste waren nicht willkommen: Unbekannte drangen in die IT-Infrastruktur eines Hotels ein und legten die Buchungs- und Kassensysteme lahm. Auch die elektronische Schließanlage der Zimmer soll betroffen gewesen sein. Den Herbergsbetreibern drohte der Verlust aller Dokumente und Reservierungen. Gegen die Zahlung eines Lösegeldes entsperrten die Cyberkriminellen schließlich die Systeme, und der ungebetene Besuch zog von dannen.

Das Beispiel zeigt: Vernetze Gebäude haben ein hohes Risiko, früher oder später von Hackern angegriffen zu werden. Die zunehmende Digitalisierung und die steigende Konnektivität machen „Smart Buildings“ immer attraktiver für Angreifer aus dem Cyberspace. Moderne Bürogebäude werden heute mit innovativen digitalen Steuerungssystemen ausgestattet: für Klimaanlagen, Beleuchtung, intelligente Stromzähler, Fahrstühle und vieles mehr.

„Diese vielfältige Gebäudetechnik bietet eine breite Angriffsfläche“, sagt Stephan Engel, Chief Cybersecurity Officer (CCSO) bei Siemens Deutschland. Der Grund: Während die einzelnen Komponenten früher weitgehend isoliert waren, sind sie heute immer stärker mit den IT-Systemen der die Gebäude verwaltenden Firmen und dem Internet vernetzt. Die Vernetzung bringt viele Vorteile für den Nutzer, spart z.B. Energie und ermöglicht auch Fernwartung oder Datenanalyse zur Optimierung der Betriebsabläufe, schafft aber auch Angriffspunkte für Cyberkriminelle.

Gebäudetechnik als Einfallstor in die Firmen-IT

Im Prinzip unterscheiden die virtuellen Kriminellen sich nicht von Einbrechern aus Fleisch und Blut, meint Stephan Engel. „Der reale Angreifer läuft ums Gebäude herum, rüttelt an den Türen und Fenstern und schaut, wo sich eine Gelegenheit zum Einsteigen ergibt.“ So ähnlich passiert es auch beim Cyberangriff: Trial und Error, bis eine Schwachstelle entdeckt wird. „Die IT kann gut abgesichert sein. Doch wenn zum Beispiel die Steuerung der Klimaanlage lediglich durch ein Standard-Passwort geschützt ist, werden Hacker es ausnutzen, um in das Gesamtsystem einzudringen.“

So machen Unternehmer Hackern das Leben schwer

Hier mehr erfahren

Die Folgen sind kaum zu beziffern, denn das finanzielle Risiko hängt stark vom jeweiligen Unternehmen ab und den Auswirkungen, die ein Angriff auf dessen Infrastruktur haben kann. „Je tiefer das Gebäude in die Wertschöpfungskette reicht“, erklärt Sicherheitsexperte Engel, „also je wichtiger das Gebäude ist für das, was dessen Betreiber tut, desto größer können die potenziellen Schäden sein.“ Bei einem Mitarbeiter-Parkhaus, dessen Schranken sich nicht mehr öffnen, mögen die Folgen überschaubar bleiben. Kann aber in einem Krankenhaus nicht mehr operiert werden, weil OP-Säle ohne Belüftung, Licht und Klimaanlage sind, kann die Situation lebensbedrohliche Ausmaße annehmen.

Stephan Engel stellt eine gewisse Sorglosigkeit auf diesem Gebiet fest. „Es fehlt das Bewusstsein und die Sensibilität dafür, was passieren kann und welche Folgen potenzielle Sicherheitslücken auf den Geschäftsbetrieb haben können.“ In den Schutz der IT vor Viren, Trojanern und Co. investierten Unternehmen Millionenbeträge, bei der Gebäudetechnik gebe es nach wie vor oft so gut wie keine Cybersicherheit.

Ein sicheres Smart Building benötigt Vorausplanung

Dabei greifen auch dort im Prinzip die gleichen Schutzmechanismen. Die Sicherheitstechnik ist bereits am Markt vorhanden, muss aber von Beginn an mitgedacht werden. Besondere Bedeutung erlangt die ganzheitliche Sicht bereits bei der Planung eines intelligenten Gebäudes, wenn viele unterschiedliche Subsysteme der Betriebstechnik am Ende miteinander harmonieren müssen. Die Sicherheit der einzelnen Komponenten ist dabei nicht die größte Herausforderung, sagt CCSO Engel, sondern das sichere Zusammenspiel der Einzelteile über den gesamten Lebenszyklus hinweg.

Die Stadt der Zukunft ist vernetzt – und sicher

Hier mehr erfahren

Oft werden die verschiedenen Bestandteile der smarten Infrastruktur von unterschiedlichen Anbietern geliefert. „Wenn Sie das nicht vorher planen, sind Sie verloren. Denn am Ende versteht keiner mehr, wie das Ganze zusammenspielt.“ Das ohne qualifizierte Planung kein sicherer Betrieb eines Gebäudes mehr möglich ist, mussten jüngst die Bauherren des Humboldt-Forums in Berlin erfahren. Dort fehlte nach Medienangaben eine zentrale Sicherheitsarchitektur der mehr als 100 verschiedenen IT-Systeme, weswegen Hackerangriffe oder Virus-Attacken auf das Gebäude nicht zweifelsfrei abgewehrt werden konnten.

IT-Sicherheitsgesetz schafft regulatorischen Rahmen

Der Gesetzgeber nimmt mit dem IT-Sicherheitsgesetz 2.0 Unternehmen künftig stärker in die Pflicht. Vor allem Betreiber kritischer Infrastruktur und sogenannte „Unternehmen im besonderen öffentlichen Interesse“ werden gefordert, die Anstrengungen zu erhöhen. Die öffentliche Hand beginne verstärkt, Cybersicherheit als Bestandteil bei Neubauten konkret auszuschreiben, berichtet Engel.

Privatwirtschaftliche Branchen wie der Bankensektor, Energieerzeugung oder die herstellende Industrie zögen langsam nach. „Mittel- bis langfristig erwarte ich einen Anstieg der Ausschreibungen, die explizit Cybersicherheit für die Gebäudetechnik verlangen“, so Engel.

Je früher Maßnahmen starten, desto sicherer

Dass dies von Vorteil ist, zeigt laut Sicherheitsexperte Engel die eigene Erfahrung: „Aus den vielen Projekten, die wir bisher begleitet haben, haben wir gezeigt, dass wir dann sichere Anlagen erhalten, wenn die Systeme bereits im Hinblick darauf geplant werden.“ Siemens verfügt zudem über die nötige Expertise, um Produkte, Lösungen und Services in der Gebäudetechnik zu schützen und Cybersecurity-Richtlinien und -Lösungen zu implementieren.

„Das Thema Cybersicherheit ist grundsätzlich beherrschbar und bezahlbar“, betont Engel. Ob Neubau eines Gebäudes oder Umbau im Bestand: Je früher man mit Ist-Analysen und der Definition erforderlicher Maßnahmen und Prozesse startet, desto besser ist der Geschäftsbetrieb geschützt. Denn mit innovativer Sicherheitstechnik lassen sich die vielen Vorteile bei smarten Gebäuden nutzen und alle digitalen Hintertüren zuverlässig verschließen.