Operational Technology: Security

Die Absicherung von OT-Systemen im technischen Facility Management wird zunehmend durch Gesetze, Normen und Standards eingefordert. In Europa und Deutschland existiert ein vielschichtiger Regelungsrahmen, der Betreiber zu Maßnahmen verpflichtet und zugleich Leitlinien zur Umsetzung bietet.

• EU-Richtlinie NIS2: Die NIS2-Richtlinie (EU 2022/2555) ist im Oktober 2024 in Kraft getreten und erweitert den Geltungsbereich der Vorgängerin (NIS-RL) erheblich. Mit NIS2 werden EU-weit rund 25.000 weitere Unternehmen in Deutschland (und über 400.000 in der EU) verpflichtet, durchgängige Cybersicherheitsmaßnahmen umzusetzen. Darunter fallen viele industrielle und infrastrukturelle Betreiber, die zuvor nicht als Kritische Infrastruktur (KRITIS) galten – etwa größere Fertigungsbetriebe, Abfallentsorger, sehr wichtige Einrichtungen der Daseinsvorsorge u.a. Auch wenn Gebäudeautomation kein eigener Sektor in NIS2 ist, wird sie in betroffenen Unternehmen als betriebsrelevantes System mit betrachtet. Konkret verlangt NIS2 ein Risikomanagement für Cybersecurity, Meldung von erheblichen Zwischenfällen und Nachweis von Sicherheitsmaßnahmen. Die nationale Umsetzung in Deutschland erfolgt voraussichtlich über Anpassungen im BSI-Gesetz und neuen Verordnungen. Unternehmen, die unter NIS2 fallen, müssen also auch ihre OT-Komponenten wie Gebäudeleittechnik angemessen absichern, um den gesetzlichen Vorgaben zu genügen.

• IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0): In Deutschland regelt das IT-Sicherheitsgesetz (seit Mai 2021 in Version 2.0) die Anforderungen an Betreiber Kritischer Infrastrukturen (KRITIS) und andere Betreiber im besonderen öffentlichen Interesse. Das BSI-Gesetz (BSIG) wurde entsprechend verschärft. Für KRITIS-Betreiber gilt insbesondere die Pflicht, bis spätestens Mai 2023 ein System zur Angriffserkennung (SzA) in ihren IT- und OT-Netzen einzuführen. Dies bedeutet praktisch, dass z.B. Versorger, Krankenhäuser, Telekommunikationsunternehmen etc. eine fortlaufende Überwachung ihrer Netzwerke (Intrusion Detection) inklusive der OT-Bereiche implementieren und dem BSI nachweisen müssen. Ergänzend wurden Meldepflichten erweitert (erhebliche Störungen sind ans BSI zu melden, inkl. betroffenem Datenumfang) und hohe Bußgelder eingeführt – bis zu 20 Mio. € bei Verstößen. Neu im IT-SiG 2.0 ist zudem die Anzeige und Genehmigungspflicht kritischer Komponenten: Der Einsatz gewisser OT-Produkte (z.B. in Netzen der Energieversorgung) muss dem BMI gemeldet und von diesem freigegeben werden. Auch Unternehmen im besonderen öffentlichen Interesse (UBI), z.B. bestimmte Rüstungs- und R&D-Unternehmen, fallen nun unter die Vorsorgepflicht. Für das Facility Management bedeutet dies: Wenn ein Gebäude bzw. dessen Betreiber in KRITIS-Kategorien fällt, müssen OT-Systeme wie Gebäudeautomation in das ISMS und die Angriffserkennung integriert werden. Selbst außerhalb der KRITIS definiert das Gesetz den Stand der Technik – viele Unternehmen orientieren sich freiwillig daran, um Haftungsrisiken zu minimieren.

• BSI-Grundschutz und Branchenguidelines: Das BSI IT-Grundschutz-Kompendium bietet einen praxisnahen Leitfaden zur Umsetzung von Informationssicherheit nach dem Stand der Technik. Es enthält Bausteine (Module) für verschiedene Bereiche. Seit 2022 gibt es zwei neue Module speziell für das Umfeld Gebäudebetrieb: INF.13 – Technisches Gebäudemanagement und INF.14 – Gebäudeautomation. Für Bundesbehörden und KRITIS gelten diese als verbindlich; für andere dienen sie als anerkannte Best Practice. INF.13 fordert, Informationssicherheit als integralen Bestandteil bei Planung, Umsetzung und Betrieb des TGM zu etablieren. INF.14 liefert konkrete Hinweise zur Absicherung von GA-Systemen. Die Bausteine decken sowohl organisatorische Maßnahmen (z.B. Rollen, Dokumentation, Policies) als auch technische Anforderungen (z.B. Netzwerksegmentierung, sichere Protokolle, Härtung) ab, um einen sicheren Gebäudebetrieb zu gewährleisten. Ihre Einhaltung wird von Auditoren und Versicherern zunehmend als Nachweis des Standes der Technik gesehen. Neben dem Grundschutz existieren branchenspezifische Sicherheitsstandards (B3S) – etwa für Krankenhäuser, die Aspekte der Gebäude-OT (z.B. Kliniktechnische Anlagen) mit abdecken.

In der Normenreihe ISO/IEC 62443 ist ein international anerkannter Standard für industrielle Automatisierungs- und Steuerungssysteme (Industrial Automation and Control Systems, IACS) verfügbar. Diese Normenreihe (teils auch als IEC 62443 bekannt) definiert Anforderungen an Betreiber, Integratoren und Hersteller von OT-Systemen. Sie umfasst u.a. Management-Praktiken (IEC 62443-2-1 ISMS für IACS), Systemdesign (IEC 62443-3-x, z.B. Zonen- und Kondukt-Modell) und technische Anforderungen an Komponenten (IEC 62443-4-x, z.B. sichere Embedded Devices). Für Facility-OT bieten die 62443-Standards einen holistischen Rahmen, um Security Levels für Anlagen festzulegen und Maßnahmen entlang des Lifecycles umzusetzen. In der Praxis sind ISO 62443 und ISO 27001 (für allgemeines ISMS) oft komplementär – erstere spezialisiert auf OT-Belange. Einige Unternehmen lassen ihre Gebäudeleittechnik bereits nach IEC 62443 zertifizieren, um Kunden und Auditoren gegenüber die Sicherheit zu belegen.

Weitere relevante Normen und Guidelines im deutschsprachigen Raum sind z.B.: VDMA-Einheitsblatt 24774:2021 – ein Leitfaden „Sicherheit in der Gebäudeautomation“ vom Verband Deutscher Maschinen- und Anlagenbau, der konkrete aktuelle Vorgaben und Empfehlungen für GA-Security zusammenfasst. Außerdem spielt die Datenschutz-Grundverordnung (DSGVO) eine Rolle, wenn durch Gebäudeautomation personenbezogene Daten erhoben werden (z.B. bei Zutrittssystemen oder Arbeitsplatzsensorik) – hier sind technische und organisatorische Maßnahmen zum Datenschutz Pflicht (Privacy by Design). Nicht zu vergessen sind Normen der funktionalen Sicherheit (Safety) wie EN ISO 13849 oder IEC 62061, die indirekt relevant werden: Sie fordern, dass Sicherheitsfunktionen (z.B. Not-Aus, Brandsteuerungen) auch im Cyberkontext zuverlässig bleiben. Dies verdeutlicht die Verzahnung von Safety und Security: Ein Cyberangriff darf nicht die funktionale Sicherheit aushebeln.

In Summe entsteht ein Regelwerk-Mosaik, das Betreiber technischer Gebäudeausrüstung zur Absicherung verpflichtet und anleitet. Rechtliche Vorgaben (NIS2, IT-SiG) setzen den Mindestrahmen, während Normen und Standards (BSI-Grundschutz, ISO 62443, VDMA-Leitfäden, ISO 27001) ausführliche Leitlinien bieten, wie dieser Stand der Technik praktisch umzusetzen ist.

Moderne industrielle Gebäude und Anlagen sind hochgradig automatisiert. Die OT-Architektur folgt häufig dem in Kap. 2 erwähnten mehrschichtigen Modell.

• Enterprise-Ebene (Level 5): Unternehmens-IT-Netzwerk mit Office-Systemen, ERP, etc. In Bezug auf TGM: Schnittstelle zur Gebäude-IT, etwa um Berichte aus der GLT in Büroanwendungen auszuwerten. Sicherheitsrelevant ist hier die klare Trennung zum Produktions- bzw. Gebäudenetz (oft mittels Firewalls/DMZ).

• Management-Ebene (Level 3): Die Betriebsführungs- oder Leitebene der Gebäudeautomation. Hier befinden sich Gebäudeleittechnik-Server und -Arbeitsplätze, die Software (BMS/GLT-System) zur Visualisierung und Steuerung aller Anlagen ausführen. Auch gemeinsame Dienste wie Datenbankserver für Historian-Daten, Alarmserver, Backup-Server oder Domain Controller (für ein getrenntes Automationsnetzwerk) können hier angesiedelt sein. Diese Ebene nutzt meist Standard-IT-Betriebssysteme (Windows/Linux) und Schnittstellen zu übergeordneten Systemen (z.B. Wartungssoftware, BI-Systeme). Sie ist daher ein bevorzugtes Ziel für Angriffe, da bekannte Schwachstellen (OS, Datenbanken) ausnutzbar sind.

• Automations-Ebene (Level 2): Hier laufen SCADA/HMI-Systeme und bereichsbezogene Automatisierungssteuerungen. In der Gebäudeautomation entsprechen Level 2 z.B. Bereichs-Leitstände für einzelne Gewerke (etwa ein separates Subsystem für Brandmeldeanlage oder Energiemanagement) sowie Alarmierungs- und Protokollierungssysteme. Charakteristisch ist, dass die Datenverarbeitung noch nicht strikt echtzeitkritisch ist – kurze Verzögerungen sind tolerierbar. Doch eine Störung dieser Ebene kann bereits den Überblick über den Anlagenzustand beeinträchtigen.

• Steuerungs-Ebene (Level 1): Dies entspricht der Feldebene hoher Ordnung – die SPS/Controller direkt an den technischen Anlagen. In Gebäuden sind dies z.B. DDC-Controller (Direct Digital Control) für HLK-Anlagen, Aufzugsteuerungen, Lichtsteuerungen oder Zutrittskontrollzentralen. Sie führen Regelalgorithmen in Echtzeit aus, überwachen Sensoren und steuern Aktoren. Ein Ausfall hier hat unmittelbare Auswirkungen: Prozesse laufen unkontrolliert oder werden unterbrochen. Level 1 nutzt oft spezialisierte, robuste Hardware mit Echtzeit-Betriebssystemen (oft proprietär). Die Kommunikation erfolgt über Feldbusse oder Industrial Ethernet zu den übergeordneten Stationen.

• Feld-Ebene (Level 0): Die Prozess-/Geräte-Ebene mit den physischen Geräten: Pumpen, Ventilatoren, Heizkessel, Ventile, Schaltschütze, Sensorik aller Art. Diese Geräte sind über I/O-Module mit den Steuerungen verbunden. Security auf Level 0 bedeutet vor allem physischer Schutz (Zugriff nur für Befugte) und Ausfallsicherheit (damit auch bei IT-Störungen wichtige Funktionen weiterlaufen, z.B. Not-Aus).

• Netzwerktopologie: In industriellen Gebäuden sind OT-Netze häufig sternförmig oder in Linien strukturiert, mit separaten Segementen pro Gewerk (z.B. ein VLAN für HVAC, ein VLAN für Sicherheitstechnik). Gateway-Geräte oder Buskoppler verbinden unterschiedliche Protokolle. Fernwartung ist ein wichtiger Bestandteil: Oft werden via VPN oder sogar direkten Internetzugriff Steuerungen gewartet (z.B. Liftwartung per Mobilfunkmodem). Diese Zugänge sind kritisch, wenn sie nicht abgesichert oder überwacht sind, da sie Angreifern einen direkten Einstieg erlauben können.

• Ein Beispiel für die Architektur in einem Industriekomplex: Die Produktionshalle einer Fabrik hat neben der industriellen Steuerung für Maschinen auch Gebäudeautomation für Lüftung, Kühlung und Zugang. Alle diese Systeme melden an eine zentrale Leitwarte (GLT). Die GLT ist mittels Firewall mit dem Firmennetz verbunden, damit z.B. das Facility-Team Alarme per E-Mail erhält und Berichte ins Intranet stellen kann. Die Anlagensteuerungen (SPS) der Lüftung kommunizieren über BACnet/IP mit der GLT, während die Brandmeldeanlage über ein Gateway an den GLT-Server angebunden ist. Feldgeräte (Rauchmelder, Temperaturfühler) hängen wiederum an eigenen Busleitungen (z.B. über LON oder KNX-Backbone). Dieses Konstrukt zeigt: Die Schnittstellen zwischen OT-Bereichen untereinander und zur IT häufen sich, je digitaler das Gebäudemanagement wird. Genau diese Übergänge müssen besonders geschützt werden, da hier unterschiedliche Sicherheitsdomänen aufeinandertreffen.

• Angriffspunkte in der Architektur: Erfahrungen zeigen, dass Angreifer sich insbesondere auf den oberen OT-Ebenen festsetzen – also Management- und Automationsleitebene – weil dort häufig Windows-basierte Systeme mit Standardsoftware laufen. Beispielsweise können ungepatchte GLT-Server oder Fernwartungsrechner über bekannte Exploits kompromittiert werden. Von dort lässt sich oft in die tieferen Ebenen pivotieren. Die Feldebene (Sensoren/Aktoren) ist zwar ebenfalls teils angreifbar (z.B. via manipulierte Firmware in einer SPS), aber hier ist der Aufwand höher und es braucht spezifisches Prozesswissen. Ein Bericht des BSI beschrieb eindrücklich, wie Angreifer über Phishing zuerst Büro-IT kompromittierten, dann schrittweise ins Produktionsnetz vordrangen und schließlich die Steuerungsrechner eines deutschen Stahlwerks manipulierten – mit der Folge, dass ein Hochofen nicht mehr kontrolliert heruntergefahren werden konnte und schweren physischen Schaden nahm. Dieses Beispiel (BSI-Lagebericht 2014) zeigt, dass insbesondere die Koppelung von IT und OT-Netzen der Pfad für Angriffe ist, die von oben nach unten eskalieren. Im Gebäudekontext wäre ein analoges Szenario denkbar: z.B. Einstieg über einen ungesicherten Gebäudeautomations-PC im Verwaltungsnetz, dann Überspringen ins Gebäudenetz und Ausschalten kritischer Anlagen (Heizung, Kühlung) als finale Schadenswirkung.

Zusammenfassend sind typische Schwachstellen in der Architektur: Fehlende Netztrennung zwischen Office und Gebäude-OT, ungesicherte Fernzugänge, veraltete Betriebssysteme auf Leit- und Steuerungsrechnern, unsichere Protokolle auf der Feldebene, sowie komplexe Abhängigkeiten (viele Schnittstellen), die schwer zu überblicken sind. Kapitel 5 analysiert die daraus resultierende Gefährdungslage näher.

Die Bedrohungslage für OT-Systeme in Gebäuden hat sich in den letzten Jahren erheblich verschärft. Cyberangriffe auf technische Infrastrukturen sind heute keine Seltenheit mehr und nehmen laut Statistik jährlich zu.

• Interne Gefährdungen: Dazu zählen unbeabsichtigte Störungen durch Bedienfehler, mangelnde Wartung oder Fehlkonfiguration. Beispielsweise können von innen induzierte Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit auftreten, etwa durch unachtsame Mitarbeiter oder Wartungstechniker. Solche internen Vorfälle beeinträchtigen die betriebliche Sicherheit und können Systeme ausfallen lassen (z.B. Auslösen eines Fehlalarms, der das Gebäude evakuiert, oder versehentliches Ändern von Steuerungsparametern). Auch Insider-Sabotage ist denkbar, etwa ein verärgerter Techniker, der absichtlich Steuerungen manipuliert. Ein weiteres internes Problem ist die oft unzureichende Dokumentation und Verteilung von Verantwortlichkeiten: Wenn unklar ist, wer für welche Anlage zuständig ist, werden Sicherheitslücken übersehen und im Störfall geht wertvolle Zeit verloren.

• Externe Bedrohungen: Von außen drohen klassischerweise Cyberangriffe wie Sabotage, Spionage oder unbefugter Zugriff. OT-Systeme in Gebäuden galten lange als Nischenziel; doch im Zuge der allgemeinen Angriffswelle auf Unternehmen (Ransomware, APTs) rücken auch Gebäudeleitsysteme in den Fokus. Oft nutzen Angreifer die OT als „zweiten Schritt“: Sie brechen zunächst in die IT ein und bewegen sich dann lateral in OT-Netze (wie beim erwähnten Stahlwerk-Fall). Oder sie missbrauchen OT-Komponenten als Einstiegspunkt ins Firmennetz, wenn diese ans Internet angebunden sind. Gebäudeautomation ist mitunter vergleichsweise schwach gesichert und damit attraktiv. Externe Angriffe können gezielt sein (z.B. Sabotage eines Konkurrenten, Terrorakte gegen Kritische Infrastrukturen) oder opportunistisch (Breitwürfe von Ransomware, die dann auch eine Gebäude-SPS verschlüsselt). So wurden z.B. 2017 deutsche Krankenhäuser Opfer von WannaCry-Ransomware, was teilweise medizinische und gebäudetechnische Systeme lahmlegte. In Finnland gab es 2016 einen aufsehenerregenden Fall, bei dem Hacker mittels DDoS-Angriff die Heizungssteuerungen mehrerer Wohnblocks lahmlegten – bei winterlichen Minusgraden ein ernstes Problem. Die Gebäudeleittechnik startete ständig neu und kam nicht mehr in den Betriebszustand, bis der Netzwerkverkehr blockiert wurde. Dieser Vorfall zeigt die realen Auswirkungen: Mieter saßen in der Kälte, weil eine vernetzte Heizanlage Ziel eines Cyberangriffs wurde.

• Unzureichende Planung der OT-Sicherheit: In frühen Phasen (Planung/Bau eines Gebäudes) werden Security-Aspekte oft vernachlässigt. Häufig steht beim Bau noch nicht fest, wer später Betreiber ist, und Sicherheitsanforderungen werden nicht definiert. Folge: Im Betrieb fehlen Redundanzen, es gibt unnötig hohe Systemkomplexität und keine klaren Sicherheitsziele. BSI INF.13 nennt dies „Planung TGM: Fehlende Grundlagen“ als Gefährdung.

• Fehlerhafte Integration und Konfiguration: Wenn verschiedene TGA-Anlagen in die GA eingebunden werden, treten oft Integrationsfehler auf – etwa Standardschnittstellen, die falsch parametriert sind. Ebenso führen fehlkonfigurierte Systeme (z.B. Default-Passwörter nicht geändert, falsche Netzwerkbereiche) zu Schwachstellen. Ein Beispiel: Wird eine Brandmeldeanlage unsachgemäß an die GLT angebunden, könnte ein Fehlalarm per GA alle Türschlösser entriegeln (Security by Design-Problem).

• Veraltete und unsichere Komponenten/Protokolle: In vielen Gebäuden laufen Legacy-Systeme. „Unsichere Systeme und Protokolle“ – etwa das alte unverschlüsselte BACnet, ungesicherte KNX- oder Modbus-Implementationen – sind laut BSI erhebliche Risiken. Solche Protokolle können mit einfachen Mitteln manipuliert werden (z.B. BACnet-Broadcast-Flooding, Replay von KNX-Telegrammen). Die langen Lebenszyklen tun ein Übriges: Geräte von vor 15 Jahren haben selten zeitgemäße Sicherheitsmechanismen und erhalten oft keine Updates mehr.

• Kompromittierung von Schnittstellen: Gebäudeautomation verknüpft diverse Systeme, u.a. Sicherheitstechnik. Ein manipulierter Sensor oder eine Schnittstelle kann gravierende Folgen haben. BSI nennt als Beispiel: Wird eine Brandmeldung in einer manipulierten Weise an die GA gegeben, könnten alle Brandschutztüren ungewollt öffnen (Sicherheitsrisiko). Oder umgekehrt: eine echte Alarmmeldung wird durch einen Cyberangriff unterdrückt – dann bleiben Türen verschlossen, was im Brandfall Leben gefährdet.

• Mangelndes Monitoring und Incident Response: Viele Gebäudebetriebe haben keine ausreichende Überwachung ihrer OT-Netze. D.h. Anomalien (z.B. ungewöhnliche Netzwerk-Scans im HLK-Netz) bleiben unbemerkt. Ebenso fehlt oft ein strukturierter Incident-Management-Prozess für OT-Störungen – Ausfälle werden reaktiv technisch behoben, aber eine Ursachenanalyse (möglicher Cyberangriff) findet nicht statt.

• Schwaches Berechtigungs- und Zugriffsmanagement: Häufig teilen sich mehrere Techniker ein Admin-Konto auf dem GLT-System, oder es werden generische Logins für Dienstleister genutzt. Solche Praktiken unterlaufen jede Nachvollziehbarkeit und erleichtern Angriffe (weil Passwörter breiter bekannt sind). Fehlen strenge Rollenkonzepte, können unbefugte Personen Einstellungen ändern oder auf sensible Anlagenteile zugreifen – teils sogar versehentlich.

• Physische Unzugänglichkeit vs. Remote-Zugriff: Paradoxerweise sind manche OT-Systeme physisch ungeschützt (offene Schaltschranktüren, frei zugängliche Ethernet-Ports in Technikräumen), während gleichzeitig aus der Ferne weitreichende Eingriffe möglich sind (VPN ins Gebäudenetz ohne Multifaktor-Auth). Dieser Gegensatz führt zu einer breiten Angriffsfläche sowohl vor Ort (Angreifer steckt Laptop an Wartungsport) als auch entfernt (Hacker nutzt schwaches VPN-Passwort).

Risikoanalyse im TFM: Angesichts dieser Bedrohungen ist eine systematische Risikoanalyse für OT-Systeme unabdingbar. Im Unterschied zur IT, wo standardisierte Risikoassessments (z.B. ISO 27005, BSI 200-3) etabliert sind, muss im OT-Bereich verstärkt das Umfeld und der Prozess betrachtet werden. Für jedes Gebäude und jede Anlage sollte gefragt werden: Was sind die kritischsten OT-Komponenten? Was wäre die Auswirkung eines Ausfalls oder einer Kompromittierung? Beispielsweise hat in einem Rechenzentrum die Klimaanlage höchste Kritikalität (Überhitzung würde Betrieb unmöglich machen), in einem Pharmawerk vielleicht die Reinraumsteuerung, in einem Bürohochhaus die Aufzugsteuerung. Entsprechend sind Schutzziele zu priorisieren (meist Verfügbarkeit und Sicherheit vor Vertraulichkeit) und Szenarien zu analysieren: von Worst-Case-Szenarien (z.B. kompletter GA-Ausfall im Krankenhaus) bis zu häufigeren Störungen (z.B. kurze Ausfälle einzelner Sensoren).

Aus einer solchen Risikoanalyse leitet man konkrete Anforderungen ab. Das BSI betont, dass es keine absolute 100% Sicherheit geben kann – vielmehr müssen die passenden Maßnahmen für die jeweilige Nutzung identifiziert werden. In einem Feldtest stellte das BSI bei Gebäudemanagement-Systemen u.a. fehlende Segmentierung, veraltete Software und unsichere Konfiguration als häufige Risiken fest. Ein Praxisbeispiel liefert der Betreiber des Internetknotens DE-CIX Leipzig (Envia Tel): Bei einer initialen Überprüfung der Gebäudeautomation fanden sich ungünstige Konfigurationen, unsichere Kommunikation sowie veraltete Betriebssysteme und Firmware, die zuvor ein blinder Fleck waren. Solche Ergebnisse bilden die Basis, um eine OT-Sicherheitsstrategie aufzubauen – im genannten Fall wurde ein kontinuierliches OT-Monitoring eingeführt, um die Risiken laufend zu adressieren.

Zusammengefasst ist die Bedrohungslage ernst zu nehmen: Sie reicht von alltäglichen „digitalen Pannen“ bis hin zu gezielten Cyberattacken, die immensen Schaden anrichten können. Der Handlungsdruck wächst – nicht zuletzt, weil Angriffe zunehmend auch OT-Netze treffen und die Angreifer professionalisiert vorgehen.

Die Sicherung von OT-Systemen im Facility Management erfordert einen ganzheitlichen Maßnahmenkatalog, der technische Schutzvorkehrungen mit organisatorischen Prozessen verbindet. Im Folgenden werden die wichtigsten Maßnahmen vorgestellt, wie sie dem aktuellen Stand der Technik entsprechen.

• Netzwerksegmentierung und Bereichstrennung: Eine fundamentale Maßnahme ist die Aufteilung des OT-Netzwerks in sichere Zonen. Kritische Anlagenbereiche sollen unabhängig und separat steuerbar sein, um Störausbreitung zu verhindern. Konkret bedeutet dies z.B.: Physikalische oder VLAN-basierte Trennung von Gebäudetechnik-Netzen nach Gewerken oder Schutzbedarf. Netzübergänge – etwa zwischen Gebäudenetz und Unternehmensnetz – müssen durch Firewalls oder mindestens Paketfilter geschützt werden. Das Purdue-Modell (Abb. 1) liefert hier eine Vorlage: z.B. Implementierung einer Industrie-DMZ zwischen Office-IT und GA-Management-Ebene, um Datenaustausch kontrolliert zu ermöglichen. Ebenso sollten Produktionsanlagenetz und Gebäudenetz getrennt sein, falls Wechselwirkungen bestehen. Zonen mit erhöhtem Schutzbedarf (z.B. Leben-sichernde Systeme wie CO₂-Löschanlagen) können zusätzlich physisch getrennte Netze oder dedizierte Firewalls bekommen. Insgesamt gilt: „Schotten dicht machen“, wo immer möglich – jede unnötige Verbindung kappen, notwendige Verbindungen absichern.

• Einsatz sicherer Protokolle und Hardening: Traditionell nutzen GA-Systeme unverschlüsselte Protokolle (BACnet, KNX Classic, Modbus RTU/TCP etc.). Hier ist der Stand der Technik, auf sichere Varianten zu migrieren: z.B. BACnet/SC (Secure Connect) mit TLS-Verschlüsselung, KNX Secure mit authentifizierter Kommunikation, oder generell VPN-Tunnel über unsichere Transportwege. Wo ein Austausch über unsichere Netze erfolgt (z.B. Remote-Anbindung eines HLK-Dienstleisters über das Internet), muss zwingend eine starke Verschlüsselung und Authentisierung eingesetzt werden. Ebenso wichtig ist das generelle Hardening von Systemen: Abschalten nicht benötigter Dienste und Ports auf Geräten (z.B. USB-Ports an Steuerungen deaktivieren, ungenutzte Netzwerkdienste abstellen). BSI INF.14 fordert, dass Ethernet/IP-Komponenten nur über sichere Protokolle angesprochen werden sollen, wenn kein vertrauenswürdiges internes Netz vorliegt. Geräte sollten ab Werk gehärtet sein oder spätestens bei Inbetriebnahme (Default-Passwörter ändern, unnötige Features aus, Security-Patches einspielen). Ein besonderes Augenmerk liegt auf Engineering- und Management-Software: Diese benötigt aktuelles Patchlevel und Malware-Schutz, da über sie Angriffe (z.B. manipulierte Projektdateien) eingeschleust werden können.

• Authentifizierung, Zugriffs- und Berechtigungsmanagement: OT-Systeme müssen ein striktes Identity and Access Management (IAM) besitzen, analog zur IT. Das bedeutet: Kein Gerät ohne Zugriffsschutz! Jeder Nutzer – ob Operator, Techniker oder externer Dienstleister – braucht eigene Accounts mit passenden Rechten (Least Privilege). Gemeinsame Logins sind zu vermeiden. Ein zentrales Benutzer- und Berechtigungsmanagement sollte etabliert sein, idealerweise angebunden an bestehende Verzeichnisdienste (falls machbar). Beispiel: Einführung einer zentralen Authentisierung (RADIUS/LDAP) für alle Bedienplätze und einer rollenbasierten Rechtevergabe für GA-Software (z.B. Rolle „GLT-Admin“, „Operator“, „Viewer“ jeweils mit differenzierten Befugnissen). Zugänge sollten mindestens Passwortschutz mit Komplexitätsanforderungen haben, besser noch Zwei-Faktor-Authentisierung für kritische Aktionen oder Fernzugriff. Account-Lifecycle-Management ist ebenfalls relevant (Entzug von Rechten bei Personalwechsel, regelmäßige Überprüfung der Berechtigungen). BSI empfiehlt, ein identitätsbasiertes Zugriffssystem einzusetzen, das alle relevanten Komponenten der GA einbindet.

• Physische Sicherung und Perimeterschutz: Technische Anlagen sind auch physisch zu schützen, damit Angreifer nicht durch direkten Zugriff Sicherheitsmechanismen umgehen. Maßnahmen umfassen: Abschließbare Schaltschänke und Technikräume, Zugang nur für autorisiertes Personal; Port Security – also Sperren offener Netzwerkports oder USB-Schnittstellen, um unbefugtes Anstöpseln von Geräten zu verhindern. Sicherheitsrelevante Steuerungen (z.B. Feuerlöschanlagen) sollten in Bereichen installiert sein, die nicht öffentlich zugänglich sind. Zudem gehört zur physischen Sicherheit ein Notfall-Stromversorgungskonzept (USV für zentrale Komponenten), damit ein Stromausfall nicht gleichzeitig die Sicherheitsfunktionen lahmlegt.

• Monitoring, Anomalieerkennung und Protokollierung: Da Angriffe trotz aller präventiven Maßnahmen nicht hundertprozentig ausgeschlossen werden können, ist ein laufendes Monitoring der OT unerlässlich. BSI INF.14 fordert, dass Abweichungen vom Sollzustand erkannt und gemeldet werden.

• Auf Ebene der Prozesssteuerung sollten Alarmmeldungen definiert sein, die ungewöhnliche technische Zustände anzeigen (z.B. gleichzeitiger Ausfall mehrerer Sensoren oder unerklärliche Stellgrößenänderungen).

• Auf Netzwerk-/Kommunikationsebene sollten Intrusion Detection Systeme (IDS) für OT-Netze eingesetzt werden, die verdächtige Muster (Scans, unbekannte Protokolle, ungewöhnliche Stationen) erkennen. Tools wie spezialisierte OT-NIDS (Network IDS) können gelerntes Normalverhalten überwachen.

• Wichtige Systeme sollten Logdaten aufzeichnen: GLT-Systeme, Firewalls, Remote-Access-Systeme etc. müssen so konfiguriert sein, dass sicherheitsrelevante Ereignisse protokolliert werden (Login-Versuche, Konfig-Änderungen, etc.). Diese Logs sind idealerweise zentral zu sammeln (z.B. in einem SIEM-System), damit Korrelationen erkannt werden können. In vielen KRITIS-Umgebungen ist dies bereits Pflicht (siehe Kapitel 3, IT-SiG Vorgabe zum Angriffserkennungssystem).

• Ergänzend kann man auf Ebene der Anlagen diagnostische Funktionen nutzen: Einige GA-Komponenten bieten integrierte Diagnose, die z.B. Buskommunikationsfehler oder Geräteausfälle sofort melden. Diese sollten aktiv genutzt und an die Leitstelle weitergeleitet werden.

Ein Beispiel für fortgeschrittenes Monitoring liefert wieder der Rechenzentrumsbetreiber Envia Tel: Dort wurde ein netzwerkbasiertes OT-Monitoring mit Anomalieerkennung in die Gebäudeautomation integriert, gekoppelt mit dem bestehenden Security Operations Center (SOC). Bereits während einer ersten Risikoanalyse deckte dieses Monitoring diverse Sicherheitsrisiken in der Kommunikation auf, die direkt adressiert werden konnten. Seit der Überführung in den Dauerbetrieb konnten bisher alle potenziellen Vorfälle früh erkannt und behoben werden, bevor Schaden entstand. Dieses Beispiel zeigt den Nutzen: Monitoring erhöht nicht nur die Sicherheit, sondern verbessert auch die Verfügbarkeit (schnelleres Finden und Beheben von Störungen).

• Notfall- und Incident-Management: Trotz aller Schutzmaßnahmen muss vorbereitet sein, wenn ein Sicherheitsvorfall eintritt. Im TFM-Kontext bedeutet das: Notfallplanung für Ausfälle oder Angriffe auf OT-Systeme. Für kritische Anlagen sollte es definierte Notfallbetriebsmodi geben – etwa bei GA-Ausfall eine manuelle Übersteuerung der Lüftungsanlage oder provisorische Steuerung über mobile Geräte. Die Auswirkungen eines Ausfalls einer Anlage auf andere Systeme sind regelmäßig zu analysieren und mit Maßnahmen zu hinterlegen (z.B. was tun, wenn die Gebäudeleittechnik komplett ausfällt? Ist dann vor Ort-Bedienung möglich?). Dazu kommt ein organisatorischer Incident Response Plan: Verantwortlichkeiten klären (wer entscheidet bei Cybervorfall im Gebäude?), Kommunikationswege festlegen (Alarmierung IT-Security-Team, evtl. BSI-Meldung erstatten) und Schritte definieren (Eindämmen – Wiederanlauf – forensische Analyse). Das Personal – insbesondere die Leitstellen-Mitarbeiter und Haustechniker – sollte in diesen Plänen geschult sein, damit im Ernstfall koordiniert gehandelt wird.

• Organisatorische Governance und Policies: Eine wirksame OT-Sicherheit erfordert von oben verankerte Richtlinien. Eine Sicherheitsrichtlinie für das TGM sollte erstellt werden, die Ziele und Mindeststandards festlegt (analog zur IT-Sicherheitsrichtlinie). BSI INF.13 fordert genau dies (Maßnahme INF.13.A4) sowie ein umfassendes TGM-Sicherheitskonzept (INF.13.A5) als Planungsgrundlage. In diesem Konzept werden alle erforderlichen Sicherheitsmaßnahmen, Zuständigkeiten und Abläufe dokumentiert. Wichtig ist auch die Regelung von Verantwortlichkeiten: Alle beteiligten Organisationen – interner FM-Betrieb, externe Dienstleister, IT-Abteilung – müssen mit Rollen, Aufgaben und Befugnissen benannt und abgestimmt sein. Service Level Agreements (SLAs) mit Dienstleistern sollten Sicherheitsanforderungen (Reaktionszeiten, Patchpflichten, Zugangsregeln) enthalten. Die Dokumentation ist ein weiterer Eckpfeiler: Eine aktuelle Inventarliste aller Anlagen inkl. Softwareständen, Netzwerkplänen und Schnittstellen ist Pflicht. Diese muss gepflegt werden, um im Falle von Schwachstellen (z.B. bekanntwerdende Geräteverwundbarkeit) gezielt reagieren zu können.

• Schulung und Awareness: Da Mitarbeiter oft das schwächste Glied sind, ist regelmäßige Schulung essenziell. Betriebs- und Wartungspersonal im TGM sollte Grundwissen in OT-Security haben: z.B. erkennen von Social-Engineering-Versuchen (kein Fremder unbeaufsichtigt im Technikraum), sorgfältiger Umgang mit Passwörtern, Melden von Anomalien. Auch IT-Security-Teams brauchen Schulung, um OT-spezifische Risiken zu verstehen (z.B. dass man einen laufenden Produktionsserver nicht ohne Abstimmung neu starten darf). Ein kultureller Wandel ist anzustreben, der Sicherheit als Bestandteil der Anlagenverfügbarkeit begreift, nicht als hinderliche Compliance-Übung.

• Zusammenarbeit IT und OT: Ein oft genannter Erfolgsfaktor ist die enge Kooperation der IT-Sicherheitsabteilung mit dem Facility-Management. Die früher getrennten Welten (IT vs. Haustechnik) müssen zusammengeführt werden – Stichwort Converged Security. Praktisch kann dies bedeuten: Das OT-Netz wird in das bestehende ISMS der IT integriert; OT-Assets kommen ins zentrale Asset-Management; bei Security-Meetings sitzen Vertreter des FM mit am Tisch. So können Synergien genutzt werden (die IT hat Security-Tools und -Know-how, das OT-Team kennt die Anlagen und Prozesse). Kaspersky-Empfehlungen betonen, IT- und OT-Sicherheit gemeinsam und ganzheitlich zu betrachten. Dadurch lässt sich auch eine Konsolidierung der Sicherheitslösungen erzielen – z.B. gemeinsames SOC für beide Bereiche.

• Stand der Technik und fortgeschrittene Maßnahmen: Für besonders sicherheitskritische Bereiche (etwa Rechenzentren, Militäranlagen) sind zusätzliche State-of-the-Art-Maßnahmen relevant: Network Zoning in Tiefe (bis hinunter auf einzelne Controller eigene Zonen), Deception-Technologien (Honeytokens oder Fake-Geräte im OT-Netz zur Angreiferfrüherkennung), Application Whitelisting auf Leitstellenrechnern (nur erlaubte Programme können laufen), regelmäßige Penetrationstests der OT-Umgebung durch Spezialisten, etc. Auch die Nutzung von Private Cloud-Lösungen anstelle öffentlicher Cloud für gebäudebezogene Dienste (wie Gebäude-Digitalzwillinge) wird empfohlen, um mehr Kontrolle über die Daten und Zugriffe zu haben.

Im Ergebnis ergibt sich ein mehrlagiges Sicherheitskonzept, analog zur IT, angepasst an die Bedingungen der OT. Die in diesem Kapitel beschriebenen Maßnahmen decken Technik (Netz, Systeme, Geräte) und Organisation (Prozesse, Richtlinien, Menschen) ab. Sie entsprechen dem, was in Normen als Stand der Technik gefordert wird, und sollten – angemessen priorisiert nach Risiko – im Facility Management implementiert werden. Kapitel 7 geht nun darauf ein, wie diese Maßnahmen in Managementsysteme eingebettet werden können.

Ein entscheidender Erfolgsfaktor für nachhaltige Sicherheit ist die Verankerung von OT-Security im Managementsystem der Organisation. OT-Sicherheit darf kein isoliertes Projekt sein, sondern muss integraler Bestandteil der betrieblichen Abläufe und Führungsprozesse im Facility Management werden.

• Informationssicherheits-Managementsystem (ISMS): Viele Unternehmen betreiben ein ISMS nach ISO/IEC 27001, das typischerweise die IT-Sicherheit adressiert. Es ist empfehlenswert, den Scope des ISMS auf OT- und gebäudetechnische Systeme auszuweiten. Das heißt, im Sicherheitsprozess (Plan-Do-Check-Act Zyklus) werden die Gebäudeautomation und TGA-Anlagen explizit mit einbezogen. Ziele, Risikobewertungen und Kontrollen (Controls) müssen OT einschließen. ISO 27001 lässt dies zu, indem man den Geltungsbereich passend definiert (z.B. "Informationssicherheit aller Büro- und Produktions-IT sowie der Gebäudeleittechnik am Standort X"). Ergänzend helfen die ISO 27019 (für Energieversorger-OT) oder IEC 62443-2-1 als Leitfäden, ein OT-spezifisches ISMS aufzubauen. Wichtig ist, dass IT- und OT-Risiken gemeinsam betrachtet werden – keine separaten Silos. So können Überschneidungen (etwa bei Notfallplänen, Berechtigungsmanagement) einheitlich geregelt werden. Viele Unternehmen richten dazu bereichsübergreifende Cybersecurity-Gremien ein, in denen auch Facility-Verantwortliche sitzen.

• Sicherheitsrichtlinien und -prozesse im FM: Wie in Kap. 6 erwähnt, sollte es eine Sicherheitsleitlinie für das Technische Gebäudemanagement (TGM) geben. Diese Policy ist vom Management zu verabschieden und an alle Beteiligten (intern und extern) zu kommunizieren. Sie definiert z.B.: "Alle gebäudetechnischen Systeme sind nach Stand der Technik abzusichern; Änderungen an sicherheitsrelevanten Anlagen dürfen nur nach Freigabe erfolgen; externe Dienstleister müssen Sicherheitsanforderungen erfüllen; im Ereignisfall sind folgende Stellen zu informieren..." etc. Durch eine solche Richtlinie wird Security zu einem integrierten Qualitätskriterium im FM. In der Organisationsstruktur kann dies untermauert werden, etwa durch Benennung eines OT-Sicherheitsbeauftragten oder Informationssicherheitskoordinators für den FM-Bereich, der als Bindeglied zur CISO-Organisation fungiert.

• Planung, Bau und Übergabe: Integration beginnt bereits im Lebenszyklus von Gebäuden. In der Planungsphase neuer Anlagen muss Security berücksichtigt werden (Security by Design). Das bedeutet: Sicherheitsanforderungen gehören in die Lastenhefte für Gebäudeautomation, in Ausschreibungen und Verträge mit Systemintegratoren. BSI INF.13 betont die Anforderungsanalyse und Planung des TGM unter Einbezug der Informationssicherheit. Beispielsweise sollte bei einem Neubau definiert werden, dass VLAN-Strukturen für GA vorgesehen sind, dass nur Equipment mit definierter Security-Zertifizierung (z.B. BSI-konform) verbaut wird, usw. Übergabeprozesse sind ebenso kritisch: Bei Inbetriebnahme oder Übernahme eines Bestandsgebäudes muss der OT-Sicherheitsstatus geprüft werden (INF.13.A1). Ein integraler Prozess wäre hier z.B.: Vor Abnahme eines GA-Systems prüft die IT/Fachplaner gemeinsam, ob neueste Patches installiert sind, keine Default-Logins mehr existieren, und ob eine Sicherheitsdokumentation geliefert wurde. Solche Checks können als fester Abnahmekriterium in Bauprojekte aufgenommen werden.

• Betriebsprozesse im Facility Management: Im laufenden Betrieb sollten Security-Aspekte in die Standardprozesse eingebunden sein.

• Change Management: Jede Änderung an Anlagen (Upgrade, neue Schnittstelle, Konfig-Änderung) durchläuft eine Risikoabwägung hinsichtlich Security. Dazu kann das bestehende Change-Management-System des Unternehmens genutzt werden, in dem FM-Änderungen ein eigenes Ticket inkl. Security-Freigabe erhalten.

• Wartung und Instandhaltung: Wartungsarbeiten durch interne Techniker oder externe Firmen sollten nach klaren Sicherheitsvorgaben erfolgen. Z.B.: Bei Wartung eines HVAC-Systems keine unbekannten USB-Sticks verwenden; nach dem Service wird überprüft, ob Konfigurationen unverändert und Backdoors ausgeschlossen sind. Verträge mit Dienstleistern müssen Security-Hygiene einfordern (Schulungen, aktuelle Virenscanner auf deren Laptops, Verschwiegenheitsklauseln etc.). Zudem sollten Dienstleister-Zugriffe überwacht werden (evtl. Begleitung oder Logging der Remote-Session).

• Backup und Recovery: Ein integraler Prozess im FM sollte die Datensicherung von OT-Systemen umfassen (Regelung: Wer macht wann Backups der GLT-Server, der SPS-Programme?). Ebenso müssen Wiederanlauf-Tests eingeplant werden, damit im Notfall die Anlagen zügig wiederhergestellt werden können. Ein Beispiel ist ein Offline-Backup aller SPS-Konfigurationen: Sollte ein Ransomware-Angriff SPSen lahmlegen, kann man sie mit Originalprogrammen neu aufsetzen.

• Schwachstellen-Management: Wenn neue Schwachstellen bekannt werden (z.B. eine Zero-Day in einer SCADA-Software), muss ein definierter Prozess laufen: Security-Team bewertet, informiert FM-Verantwortliche, diese prüfen Betroffenheit anhand der Inventarliste, planen ggf. Updates oder Mitigations. Dies analog zum Patch-Management in der IT, aber angepasst an die Wartungsfenster der OT (ggf. Zusammenlegung mit geplanten Anlagenstillständen).

• Verzahnung mit Safety- und Qualitätsmanagement: In vielen Organisationen sind Managementsysteme für Arbeitssicherheit (ISO 45001) und Qualität (ISO 9001) etabliert. Die Integration der OT-Security kann hier Anknüpfungspunkte finden, denn ein ungeplanter OT-Ausfall ist auch ein Qualitäts- und ggf. Sicherheitsproblem. Beispielsweise kann man OT-Risiken in das Enterprise Risk Management aufnehmen, damit sie in der Gesamtunternehmensbewertung berücksichtigt werden. Im Qualitätsmanagement von FM-Dienstleistern könnten Kennzahlen zur OT-Sicherheit (Anzahl kritischer Schwachstellen, Zeit bis Patch-Einspielung) als KPI verankert sein.

• Audits und kontinuierliche Verbesserung: Genauso wie die IT sollten auch die OT-Bereiche regelmäßigen Audits unterzogen werden. Dies kann Teil interner Audits im Rahmen ISO 27001 sein oder eigenständige Überprüfungen durch externe Spezialisten. BSI-Grundschutz gibt hier mit seinen Anforderungen eine Grundlage, die man auditieren kann (Erfüllungsgrad der INF.13/INF.14 Maßnahmen). Audits decken Schwachstellen und Compliance-Lücken auf und treiben die Verbesserung an. Versicherer oder Aufsichtsbehörden könnten in Zukunft ebenfalls gezielt Audits verlangen – z.B. ob NIS2-Vorgaben umgesetzt sind.

• Kultur und Verantwortungsbewusstsein: Letztlich ist Integration auch eine Frage der Kultur. Führungskräfte im Facility Management müssen Security zur Chefsache machen und klare Verantwortung übernehmen. Das Konzept der Nachfrageorganisation (BSI-Terminologie für alle Beteiligten im Gebäudebetrieb) bedeutet, dass jeder Stakeholder seine Anforderungen einbringtsichere-industrie.de – und damit auch Mitverantwortung für Security trägt. Durch regelmäßige Reports im Management (z.B. in Management-Review-Meetings das Thema OT-Sicherheit behandeln) bleibt es sichtbar. Erfolge (wie "1 Jahr keine sicherheitsrelevante Störung", "Alle Anlagen auf aktuellem Patchstand gebracht") sollten kommuniziert werden, um Bewusstsein zu stärken.

Zusammengefasst ist die Integration der OT-Sicherheit in bestehende Managementsysteme essentiell, um Security im TFM effektiv zu leben. Nur so wird aus einzelnen technischen Maßnahmen ein robustes Gesamtsystem, das organisatorisch getragen wird. Die Vorteile liegen auf der Hand: höhere Resilienz, klare Zuständigkeiten, Compliance-Erfüllung und im Ergebnis ein sicherer, störungsfreier Betrieb der gebäudetechnischen Anlagen.

Die Implementierung von OT-Sicherheitsmaßnahmen im Facility Management ist nicht nur eine technische und organisatorische Herausforderung, sondern auch eine wirtschaftliche Frage. Unternehmen müssen Investitions- und Betriebskosten für Security aufwenden und gegen den Nutzen (Risikoreduktion, Vermeidung von Schäden) abwägen.

• Kosten von Sicherheitsvorfällen: Zunächst gilt es zu berücksichtigen, welche finanziellen Schäden drohen, wenn keine angemessenen Schutzmaßnahmen vorhanden sind. Studien zeigen, dass Cyberangriffe in der Industrie regelmäßig Millionenschäden verursachen. Laut einer aktuellen EMEA-Studie von Kaspersky gaben 88% der befragten Industrieunternehmen an, in zwei Jahren Schäden von bis zu 5 Mio. US-Dollar erlitten zu haben; bei 12% lagen die Verluste sogar darüber, teils im zweistelligen Millionenbereich. Diese Schäden setzen sich u.a. zusammen aus Produktionsausfällen (Stillstandkosten), Umsatzeinbußen, Kosten für Incident Response, Reparatur von Anlagen, Ausschuss und ggf. Lösegeldzahlungen. Besonders teuer sind ungeplante Ausfallzeiten: 86% der betroffenen Unternehmen berichteten von Produktionsunterbrechungen bis zu 24 Stunden, was direkt Umsatzverlust und Folgekosten bedeutet. Ein Tag Stillstand in einer kritischen Produktion oder in einem Rechenzentrum kann Millionen kosten – plus Vertrauensverlust der Kunden.

• Im Facility-Management-Kontext können Kosten noch andere Facetten haben: Fällt z.B. in einem Hotel die Gebäudeautomation (Klimaanlage, Schließsystem) durch einen Cybervorfall längere Zeit aus, hat man neben direkten Reparaturkosten auch Imageschäden, Vertragsstrafen (wegen Nicht-Einhaltung von SLAs gegenüber Mietern) und ggf. Schadenersatzforderungen. Bei kritischen Infrastrukturen (z.B. Krankenhaus) sind zusätzlich regulatorische Strafen denkbar, wenn Ausfälle Patienten gefährden. In Summe zeigt sich: Das finanzielle Risiko ohne Security ist erheblich. Ein BSI-Statement bringt es auf den Punkt: „Wer Cybersicherheitsrisiken ignoriert, riskiert Ertragseinbußen und langanhaltende Stillstände.“ – letztlich eine betriebswirtschaftliche Bedrohung für das Unternehmen.

• Investitionskosten für Sicherheit: Dem gegenüber stehen die Kosten für präventive Maßnahmen. Diese lassen sich in einmalige Investitionen (CapEx) und laufende Betriebskosten (OpEx) gliedern.

• Einmalig: Anschaffung von Firewalls/OT-IDS, Nachrüstung von Hardware (z.B. VPN-Router), Consulting-Kosten für Sicherheitskonzept oder Penetrationstest, Schulungskosten initial.

• Laufend: Personalaufwand (z.B. Stelle für OT-Security-Manager), Wartungsverträge für Security-Systeme, regelmäßige Schulungen, Lizenzkosten für Software (SIEM, Monitoring), ggf. Versicherungsprämien (die bei gutem Security-Level evtl. sinken).

Hier ist eine wirtschaftliche Betrachtung nicht trivial, denn Sicherheit erwirtschaftet nicht direkt Gewinn. Es handelt sich um präventive Kosten, um Verluste zu vermeiden – vergleichbar mit einer Versicherung. Daher argumentiert man oft mit Return on Security Investment (ROSI) oder qualitativ: mit Risk Mitigation. Ein mögliches Vorgehen: man schätzt das jährliche Risiko (z.B. 10% Chance eines Vorfalls mit 1 Mio € Schaden => erwarteter Schaden 100k€ pro Jahr) und vergleicht es mit den jährlichen Kosten der Sicherheitsmaßnahme. Wenn letztere niedriger sind, ist es ökonomisch sinnvoll zu investieren. Solche Rechnungen sind aber mit Unsicherheit behaftet, da Eintrittswahrscheinlichkeiten schwer quantifizierbar sind.

• Monitoring-Systeme erhöhen nicht nur Security, sondern oft auch die Anlagenverfügbarkeit (weil z.B. Anomalien, die auf Wartungsbedarf hinweisen, früh erkannt werden). Das kann Wartungskosten reduzieren oder Ausfälle verkürzen.

• Aktuelle Softwarestände/Patches können neben Sicherheit auch Performance-Verbesserungen oder neue Funktionen bieten, die den Betrieb effizienter machen.

• Segmentierung kann im Fehlerfall verhindern, dass ein Problem alle Bereiche lahmlegt – das spart eventuell Produktionsausfallzeit, was wiederum Geld spart.

• Zertifizierungen (ISO 27001/IEC 62443) kosten zwar Geld, können aber Marktvorteile bringen: Ein FM-Dienstleister, der zertifizierte OT-Security bietet, kann Kunden gewinnen und Haftungsrisiken minimieren.

• Versicherungsprämien: Einige Cyber-Versicherer honorieren nachweislich robuste Security-Maßnahmen mit niedrigeren Prämien. Zudem kann gute OT-Sicherheit im Ernstfall dazu führen, dass Versicherungsschutz greift (schlechte Security könnte als grob fahrlässig gewertet werden und Leistungsansprüche gefährden).

Betrachtet man diese Aspekte, relativieren sich die Kosten: Es handelt sich oft um Investitionen in Resilienz und Qualität. In Branchen wie der Chemie oder Energie sind Sicherheitsausgaben selbstverständlich, weil man weiß, was ein Unfall kosten würde. Ähnlich sollte es im TFM gesehen werden – ein Teil der Betriebskosten, um einen sicheren, gesetzeskonformen Betrieb zu gewährleisten.

• Netzwerk-Firewalls für GA-Netze: Kosten: Anschaffung ~5.000–20.000€ plus Konfigurationsaufwand. Nutzen: Reduzierung des Risikos eines externen Angriffs drastisch (schwer quantifizierbar, aber essentiell). Bereits ein kleiner Vorfall verhindert, rechtfertigt die Ausgabe.

• OT-IDS System: Kosten: z.B. 10.000€/Jahr (Software + Betrieb). Nutzen: Früherkennung von Angriffen, Reduktion möglicher Downtime. Wenn dadurch pro Jahr ein halber Tag Ausfall vermieden wird, hat es sich ggf. amortisiert (bei großen Produktionsanlagen können Stunden sechsstellige Beträge wert sein).

• Regelmäßige Updates der SPS und GLT-Systeme: Kosten: Planbare Wartungszeiten (Produktionsunterbrechungen) und Personalzeit. Nutzen: Vermeidung eines großen Vorfalls (im Extremfall Millionen). Hier lassen sich Opportunity Costs ansetzen: Statt totalausfallbedingtem Anlagenstillstand investiert man lieber kleinere geplante Stillstände für Updates.

• Schulung der Mitarbeiter: Kosten: vielleicht ein paar tausend Euro pro Jahr. Nutzen: Weniger Fehler und potentielle Sicherheitsverletzungen, schwer monetär zu fassen aber vermutlich hoch (jede verhinderte Fehlbedienung kann teure Folgen ersparen).

• Budgetierung und Ressourcen: Ein Problem in vielen Unternehmen ist, dass OT-Security keinem klaren Budget zugeordnet ist – weder der IT (fühlt sich nicht zuständig) noch dem FM (traditionell kostengetrieben). Hier muss ein Umdenken stattfinden. Sicherheit muss als Bestandteil der Betriebskosten einkalkuliert werden. In Jahresbudgetplanungen des Facility Management sollte eine Position "Maßnahmen OT-Security" auftauchen. Oft hilft es, Pilotmaßnahmen mit begrenztem Umfang umzusetzen, um den Nutzen zu demonstrieren (z.B. ein OT-Security Assessment durchführen und Quick Wins realisieren). Danach fällt es leichter, Budget für breitere Implementierung zu rechtfertigen.

• Regulatorischer und Marktdruck: Nicht zu vernachlässigen: Gesetzliche Anforderungen (Kap. 3) zwingen zu Investitionen, unabhängig von ROI-Rechnungen. Wer als KRITIS-Betreiber bis 2023 kein Angriffserkennungssystem implementiert hat, dem drohen Bußgelder bis 10 Mio. € – deutlich teurer als die Implementierungskosten. Auch Markterwartungen spielen eine Rolle: Geschäftskunden fragen vermehrt nach der Sicherheit der Infrastruktur. BSI-Grundschutz als Orientierung wird z.B. von Versicherern und Auditoren als Kriterium herangezogen. Ein Unternehmen, das hier nicht mindestens Grundschutz-Level vorweisen kann, riskiert Wettbewerbsnachteile bzw. höhere Versicherungsprämien. Somit wird OT-Security zur wirtschaftlichen Notwendigkeit, um am Markt zu bestehen und Haftungsrisiken zu begrenzen.

• Fazit (wirtschaftlich): Die Investition in OT-Sicherheit ist proaktiv gesehen deutlich günstiger als die Kosten und Folgewirkungen eines erfolgreichen Angriffs. Während Sicherheitsmaßnahmen laufende Kosten verursachen, bewahren sie vor potenziell existenzbedrohenden Ereignissen. In der Sprache des Risikomanagements: Es handelt sich um eine Art Versicherungsprämie, die das Unternehmen zahlt, um ein unbegrenztes finanzielles Risiko (Cybervorfall) auf ein kalkulierbares Maß zu reduzieren. Idealerweise wird dies untermauert durch Kosten-Nutzen-Analysen, um die Geschäftsleitung zu überzeugen. Sobald jedoch ein einziges größeres Ereignis vermieden wurde, hat sich die Summe meist rentiert. Daher lautet die wirtschaftliche Empfehlung: In Security investieren, bevor es zum Schaden kommt, nicht erst danach – was leider immer noch oft der Fall ist, dass Budgets erst nach einem schmerzhaften Vorfall bereitgestellt werden. Klare Kennzahlen (KPI) und ein Business-Case-Ansatz können hier hilfreich sein, um das Management von der Wirtschaftlichkeit präventiver Maßnahmen zu überzeugen.

Zur Veranschaulichung der bisherigen Ausführungen werden nun Fallstudien und Best Practices betrachtet. Diese realen Beispiele zeigen, wie OT-Sicherheit im Facility Management entweder erfolgreich umgesetzt wurde oder welche Folgen Versäumnisse haben können.

• Fallstudie 1 – Hackerangriff auf Gebäudeheizungen in Finnland (2016): In Ostfinnland wurden im Winter 2016 zwei Wohnblöcke Opfer eines Cyberangriffs, bei dem die Zentralheizungssteuerungen der Gebäude über das Internet attackiert wurden. Die Angreifer nutzten ein Botnet, um mittels DDoS-Attacken die Steuerungsrechner ständig neu zu starten. Ergebnis: Die Heizungen fielen über längere Zeit aus, bei Außentemperaturen von –7 °C. Erst als die Verbindungen blockiert wurden, konnte das Problem gelöst werden. Diese Fallstudie – auch wenn es “nur” Wohngebäude waren – illustriert mehrere Punkte: (a) Gebäudeautomation war hier direkt ans Internet angebunden, offensichtlich ohne ausreichend Schutz (ein DDoS-Schutz oder Segmentierung fehlte). (b) Die Angreifer hatten kein spezifisches Ziel außer der Verfügbarkeitsschädigung, was zeigt, dass jede vernetzte OT-Komponente potenziell Angriffsziel werden kann. (c) Die Auswirkungen waren real und spürbar für die Bewohner (kalte Wohnungen). Lerneffekt: Selbst scheinbar triviale Anlagen wie Heizungssteuerungen benötigen Basisschutz (z.B. isolierte Anbindung, ggf. Cloud mit DDoS-Protection). Zudem sollte ein Notfallplan existieren, wie man im Fall des Ausfalls die Wärmeversorgung anderweitig sicherstellen kann. Dieser Vorfall schreckte auch deutsche Experten auf – Medien fragten „Wie sicher sind deutsche Heizungen?“. Er kann als Weckruf dienen, OT-Security auch bei Gebäudetechnik ernst zu nehmen.

• Fallstudie 2 – Cyberangriff auf ein deutsches Stahlwerk (2014): Bereits erwähnt wurde der Fall eines deutschen Stahlwerks, in dem Angreifer über IT-Netzwerke in die OT vordrangen und einen Hochofen beschädigten. Zwar handelt es sich nicht um Gebäudetechnik im engeren Sinne, sondern um Produktions-OT, dennoch lassen sich Parallelen ziehen. Der Angriff erfolgte über Spear-Phishing auf Office-PCs, dann Bewegten sich die Hacker ins Werke LAN, schließlich auf die Steuerungsrechner der Anlage, was zu unkontrollierten Zuständen führte. Das BSI berichtete von „massiven Schäden“, da der Hochofen nicht geregelt heruntergefahren werden konnte. Lehren: Erstens, die IT/OT-Koppelung war das Einfallstor – ein besser segmentiertes Netz und restriktive Firewall/Monitoring hätten den Vorfall evtl. verhindert oder eingedämmt. Zweitens, offensichtlich hatten die Angreifer detailliertes Anlagenwissen (Steuerungen, Prozesse), was auf Industriespionage oder Insiderwissen hindeutet. Für Facility-OT bedeutet das: Man sollte die Annahme, Gebäudeautomation sei kein lohnendes Ziel, aufgeben. Gerade in Industrieumgebungen können Angriffe auf TGA-Anlagen auch genutzt werden, um Hauptprozesse zu stören (z.B. Klimasteuerung eines Reinraums manipulieren, sodass Produktion unbrauchbar wird). Drittens zeigt der Fall, dass Menschen (Phishing) oft der Startpunkt sind – Security Awareness ist also auch im OT-Kontext wichtig.

• Fallstudie 3 – Sicherheitsinitiative bei einem Rechenzentrumsbetreiber (DE-CIX Leipzig): Envia Tel, Betreiber eines kritischen Rechenzentrums (Internetknoten DE-CIX in Leipzig), hat proaktiv seine Gebäudeleittechnik abgesichert. Das Unternehmen gilt nach NIS2 als “sehr wichtige Einrichtung” und hat schon früh Cybersicherheit fest im Alltag verankert. Zu den Maßnahmen gehören Zertifizierungen nach ISO 27001 (ISMS) und DIN EN 50600 (Rechenzentrums-Sicherheit) sowie der Einsatz eines OT-Monitoring- und Anomalieerkennungssystems speziell für die Gebäudeautomation. Bereits beim initialen Basisscan fanden sie unsichere Konfigurationen, alte Firmware und unverschlüsselte Kommunikation, die dann behoben wurden. Dieses Monitoring läuft nun im 24/7-Betrieb, sodass auch kleinste Unregelmäßigkeiten (z.B. ausgefallene Services oder Fehlbedienungen durch Dienstleister) sofort erkannt und adressiert werden können. Ein besonderes Augenmerk legt Envia Tel auf Third-Party-Zugriffe: Wartungsfirmen, die auf die Gebäudeleittechnik zugreifen, werden nun überwacht – das OT-Security-Team kann menschliche Fehler der Dienstleister erstmals nachvollziehen und ggf. eingreifen. Best Practice hier: Integration der OT in ein bestehendes SOC/Monitoring-Konzept, Nutzung moderner Anomaliedetektion und strikte Lieferantenkontrolle. Bisher verzeichnete man keine erfolgreichen Angriffe, was das wirksame Zusammenwirken der Maßnahmen belegt. Diese Fallstudie ist ein Positivbeispiel, wie man mit überschaubarem Aufwand (Monitoring-Tool, interne Prozesse) in einem kritischen Gebäudeumfeld ein hohes Maß an Sicherheit erreicht und dabei zugleich die Betriebsabläufe verbessert.

• Fallstudie 4 – Target-Datenpanne über HLK-Dienstleister (USA 2013): Ein oft zitiertes Beispiel aus den USA: Beim Einzelhändler Target gelang es Hackern 2013, über die Zugangsdaten eines HVAC-Facility-Dienstleisters ins Netzwerk einzudringen. Jener Dienstleister betreute die Kühlanlagen und hatte Remote-Zugriff. Die Angreifer nutzten diese Verbindungen, um schließlich Kreditkartendaten von Kassen auszulesen. Rund 40 Millionen Kundendatensätze wurden gestohlen, der finanzielle Schaden lag bei über 200 Mio. $ (inkl. Schadenersatz). Dieser Vorfall zeigt, dass Gebäudetechnik-Zugänge nicht nur die OT selbst betreffen, sondern als Sprungbrett für klassische Datenangriffe dienen können. Er unterstreicht die Wichtigkeit von Lieferanten-Management und Netzwerksegmentierung: Hätte Target den HLK-Zugriff strikt isoliert und überwacht, wären die Kassendaten vermutlich geschützt geblieben. Auch hier wurde als Konsequenz branchenweit gefordert, dass Facility-Zugänge streng limitiert und Dienstleister verpflichtet werden, hohe Security-Standards einzuhalten.

• Best Practice – Maßnahmenkatalog (Branchenübergreifend): Viele große Unternehmen haben interne Richtlinien, die mit den in Kap. 6 genannten Maßnahmen übereinstimmen.

• Allgemeine Zugangskontrolle: Kein externer Techniker bekommt Zugang zum OT-Netz ohne Anmeldung und Beaufsichtigung. Fernzugriffe laufen nur über zentrale Gateways mit starker Authentifizierung.

• Statische Netzwerkabwehr: Wo immer möglich, OT-Netz physisch getrennt; wenn Datenübertragung nötig, dann nur über definierte Protokoll-Gateways (Datendiode/OPC UA Proxy etc.).

• Patchdays für OT: Etablierung eines regelmäßigen Wartungszyklus (z.B. quartalsweise), wo Patches in einer Testumgebung geprüft und dann in Produktion ausgerollt werden.

• Security-Test vor Inbetriebnahme: Bei neuen Anlagen wird vor Abnahme ein Sicherheitstest (Vulnerability Scan, ggf. Penetrationstest) durchgeführt. Festgestellte Mängel müssen vom Lieferanten behoben werden (vertraglich fixiert).

• Continuous Improvement: Jährliches Review der Security-Maßnahmen im TGM; Anpassung an neue Bedrohungen (z.B. Aktualisierung der Risikobewertung bei Auftauchen einer OT-Malware).

• Erfolgsmessung: Nutzung von KPIs wie "Anzahl erkannter/abgewehrter Angriffsversuche", "Mean Time to Recovery bei OT-Vorfall", "Prozentsatz gepatchter Systeme" etc., um Fortschritt zu messen. Diese KPIs werden dem Management berichtet.

• Rolle von Austausch und Kooperation: Als Best Practice kann auch genannt werden, sich Brancheninitiativen anzuschließen. In Deutschland gibt es z.B. Arbeitskreise zu "Cybersecurity in Gebäuden" bei Verbänden wie GFMA (Deutscher Verband für Facility Management) oder BITKOM. Der Erfahrungsaustausch mit Peers hilft, Best Practices zu teilen und auf dem neuesten Stand zu bleiben. Ebenso wichtig: Zusammenarbeit mit dem BSI bzw. CERTs bei Vorfällen. Hier zeigt sich, dass Unternehmen, die offen mit Sicherheitsproblemen umgehen und Hilfe suchen, oft glimpflicher davonkommen (z.B. koordiniertes Vorgehen, Hinweise auf Patches, Warnung anderer).

• Kein Bereich ist gefeit: Selbst vermeintlich "langweilige" Haustechnik kann Angriffsziel sein und große Wirkung entfalten (Heizungsausfall, Datenklau).

• Proaktives Handeln zahlt sich aus: Wer frühzeitig investiert (Monitoring, Policies), erspart sich teure Schäden und kann beruhigt den regulatorischen Anforderungen entgegensehen.

• Der Mensch und die Organisation sind ebenso wichtig wie Technik: In allen Fällen spielte menschliches Verhalten (Phishing, Fehlkonfiguration, etc.) eine Rolle – Security-Kultur und klare Prozesse sind essentiell.

• Security als Qualitätsmerkmal: Positivfälle zeigen, dass sich gute Security auch als Wettbewerbsvorteil darstellen lässt (Vertrauen der Kunden, Sicherstellung der Dienstleistung).

• Branchenstandard etablieren: Langfristig werden die hier geschilderten Best Practices vermutlich zum Standard werden – was heute "nice to have" ist (z.B. OT-SOC), könnte morgen Pflicht sein. Unternehmen tun gut daran, sich daran zu orientieren, bevor sie von Gesetzgeber oder Markt dazu gezwungen werden.

Abschließend richtet sich der Blick nach vorn: Wie wird sich die OT-Sicherheit im Facility Management weiterentwickeln, und welche Handlungsempfehlungen lassen sich daraus ableiten?

• Zunehmende Digitalisierung des Facility Management: Die Zukunftsperspektive für TFM ist geprägt von Smart Building-Konzepten, IoT-Sensorik, KI-gestützter Gebäudesteuerung und Cloud-Integrationen. Gebäude werden immer "intelligenter" – von autonomen Energiemanagement-Systemen bis hin zu sensorbasiertem Asset-Tracking. Dies führt zu einer weiter wachsenden Angriffsfläche: Mehr vernetzte Geräte bedeuten mehr potenzielle Einfallstore. Trends wie Edge Computing in Gebäuden oder 5G-Campusnetze für die Kommunikation der TGA können zwar Performance und Flexibilität erhöhen, bringen aber neue Sicherheitsfragen (z.B. 5G-Slice-Security). Auch der verstärkte Einsatz von KI – z.B. zur Anomalieerkennung oder autonomen Regelung – erfordert, dass die KI-Modelle und -Infrastrukturen selbst geschützt sind (Manipulation einer KI könnte falsche Steuerbefehle generieren).

• Steigende regulatorische Anforderungen: Die Regulierung wird voraussichtlich Schritt halten: Über NIS2 hinaus plant die EU den Cyber Resilience Act (CRA), der Hersteller von Hard- und Software stärker in die Pflicht nimmt, sichere Produkte bereitzustellen. Dies könnte insbesondere IoT-Devices in Gebäuden betreffen – z.B. müssten Kameras, Router, Sensoren nachweislich Grundsecurity-Features haben und Sicherheitsupdates liefern. Für Betreiber bedeutet das, in Beschaffungsprozessen künftig auf zertifizierte Secure-by-Design-Produkte zu setzen. National ist denkbar, dass weitere Branchen als KRITIS oder "wesentliche Einrichtungen" klassifiziert werden (etwa große Immobilienunternehmen, Rechenzentrumsbetreiber), was die Pflichten auf mehr Facility-Bereiche ausdehnt. Auch Versicherungsgesellschaften könnten strengere Compliance-Nachweise fordern, bevor sie Cyber-Schäden abdecken – was faktisch zu einer Privatregulierung führt.

• IT/OT-Konvergenz und zentrale Plattformen: Technologisch werden IT- und OT-Welten weiter verschmelzen. Beispielsweise setzen moderne Gebäudemanagement-Plattformen auf Cloud-Dienste, die verschiedene Liegenschaften zentral steuern. Das bietet Vorteile (globale Optimierung, geringere lokale Infrastruktur), aber auch zentralisierte Risiken (Angriff auf die Cloud-Plattform betrifft alle angeschlossenen Gebäude). Hier muss die Zukunft Sicherheitsarchitekturen hervorbringen, die cloudbasiertes Facility Management absichern – etwa durch Zero-Trust-Modelle, bei denen jedes Gerät sich ständig authentifizieren muss und geringstmögliche Rechte hat.

• Threat Landscape der Zukunft: Auf der Angreiferseite ist zu erwarten, dass spezialisierte OT-Malware weiter zunimmt. Schon 2022/2023 wurden drei neue OT-fähige Schadprogramme bekannt (z.B. Industroyer2, PipeDream), die gezielt industrielle Steuerungen anvisieren. Solche könnten perspektivisch auch Gebäudeautomation ins Visier nehmen – etwa Erpressungstrojaner, die die Klimaanlage eines Rechenzentrums abschalten und Lösegeld fordern. Staatliche Akteure (APT-Gruppen) könnten Gebäude-OT als indirektes Ziel nutzen, um z.B. kritische Infrastruktur lahmzulegen (man denke an gezielte Angriffe auf die Gebäudeversorgung von Kraftwerken oder Verkehrsknoten). Supply-Chain-Angriffe dürften ebenfalls eine Rolle spielen: Wenn z.B. ein großer Hersteller von Gebäudesteuerungen kompromittiert wird, könnten tausende Gebäude durch ein manipuliertes Update betroffen sein. Die Abwehr muss darauf vorbereitet sein, und Initiativen wie Software-Stücklisten (SBOM) könnten helfen, die Lieferkette transparenter zu machen.

• Für Betreiber (Facility Manager, Unternehmen): Starten Sie jetzt mit OT-Security! – Warten auf den perfekten Moment oder vollständige Budgets ist riskant. Beginnen Sie mit einer Bestandsaufnahme und Risikoanalyse, definieren Sie Mindestmaßnahmen (Quick Wins) und bauen Sie schrittweise aus. Integrieren Sie OT-Sicherheit in die Unternehmensstrategie und das ISMS. Schaffen Sie eine Stellenrolle oder Verantwortlichkeit, die das Thema vorantreibt. Schulen Sie Ihr Personal regelmäßig. Und: Üben Sie den Ernstfall – führen Sie Incident Response Übungen für OT-Szenarien durch, um vorbereitet zu sein.

• Für Hersteller und Integratoren: Entwickeln Sie Ihre Produkte nach Security-by-Design-Prinzipien. Stellen Sie sicher, dass Ihre Steuerungen und Sensoren aktuelle Verschlüsselungsstandards unterstützen (Beispiel: zukünftig könnte Post-Quanten-Kryptografie relevant werden, um langfristig abgesichert zu sein). Bieten Sie regelmäßige Updates an und informieren Sie Ihre Kunden proaktiv über Schwachstellen. Erwägen Sie Zertifizierungen (IEC 62443-4-1 für sichere Entwicklungsprozesse, 62443-4-2 für Komponenten), um Vertrauen zu schaffen. Arbeiten Sie mit Betreibern eng zusammen, um sichere Konfigurationen bereitzustellen – "secure defaults" sollten Standard sein.

• Für Dienstleister (FM-Service-Provider): Machen Sie OT-Sicherheit zum Verkaufsargument. Qualifizieren Sie Ihre Techniker in Cybersecurity-Grundlagen, um sich vom Wettbewerb abzuheben. Erstellen Sie interne Security-Richtlinien: Firmen-Laptops stets gepatcht, keine Nutzung privater USB-Sticks, Remote-Zugriffe nur via sichere Kanäle, etc. Seien Sie bereit, Kunden auf deren Sicherheitsvorgaben zu committen (z.B. Teilnahme an deren Schulungen, Unterzeichnung von Sicherheitsvereinbarungen). Investieren Sie in eigene Monitoringlösungen, um beim Kunden mögliche Anomalien zu erkennen (manche FM-Dienstleister bieten bereits "Security as a Service" für Gebäude an, das könnte ein Zukunftsmarkt sein).

• Für die Politik/Regulatoren: Stellen Sie klare, praxisnahe Vorgaben für die Sicherung von Gebäude-OT auf. Dies könnte z.B. in Form von branchenspezifischen Sicherheitsstandards (B3S) für Immobilienwirtschaft erfolgen oder durch Anpassung von Bauvorschriften (z.B. verpflichtende IT-Sicherheitskonzepte bei Smart-Building-Neubauten). Unterstützen Sie kleinere und mittlere Betreiber mit Leitfäden und vielleicht Förderprogrammen (ähnlich dem cyber-sicherheitscheck Mittelstand, aber für Gebäude-OT). Fördern Sie auch die Ausbildung – es fehlt an Fachleuten, die sowohl Gebäudetechnik als auch IT-Security verstehen. Hochschulen und Weiterbildungseinrichtungen sollten entsprechende Curricula anbieten (z.B. "Cybersecurity im Facility Management").

• Für die Forschung und Entwicklung: Es gibt zahlreiche offene Forschungsfragen, etwa: Wie kann man Safety und Security Co-Engineering betreiben? (d.h. Methoden, um Sicherheitsfunktionen so zu designen, dass sie auch unter Cyberangriff robust sind). Oder: Nutzung von KI zur autonomen Abwehr in OT-Systemen – kann eine KI z.B. selbstständig einen Angriff erkennen und Gegenmaßnahmen einleiten, ohne den Prozess zu stören? Auch das Feld Digital Twin für Gebäude böte Chancen: Ein digitaler Zwilling könnte helfen, Sicherheitstests in einer virtuellen Umgebung zu fahren, um reale Anlagen nicht zu gefährden. Ferner ist Standardisierung ein Thema: Interoperabilität von Sicherheitslösungen in der Gebäudeautomation (einheitliche Protokolle für Ereignislogs, Alarmmeldungen etc.) würde sehr helfen – hier könnten Forschung und Industrie gemeinsame Standards erarbeiten.

Vision: In Zukunft könnte ein sicheres Gebäude genauso zertifiziert und selbstverständlich sein wie ein energieeffizientes Gebäude heute. Man kann sich Gütesiegel für Cyber-sichere Gebäude vorstellen, die Investoren und Nutzern signalisieren: Hier wurden umfassende Vorkehrungen getroffen, Risiken sind minimiert. Das wäre analog zu Brandschutzabnahmen oder TÜV-Prüfungen von technischen Anlagen – eine regelmäßige "Cybersecurity-Prüfung" im Gebäudebereich.

Zum Abschluss folgt eine zusammenfassende Liste wichtiger Rechtsvorschriften, Normen und Standards, die im Kontext der OT-Sicherheit im technischen Facility Management relevant sind.

• EU-Richtlinie NIS2 (2022/2555): Europäische Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau. Weitet den Kreis verpflichteter Einrichtungen erheblich aus (u.a. viele industrielle und digitale Dienste). Verpflichtet zu Risiko-Management, Vorfallsmeldungen und Mindeststandards in Cybersecurity. Umsetzung in nationales Recht bis Oktober 2024.

• BSI-Gesetz & IT-Sicherheitsgesetz 2.0 (Deutschland): Nationales Gesetz (BSIG, zuletzt geändert 2021) mit Pflichten für Betreiber Kritischer Infrastrukturen und weitere. Kernpunkte: Angriffserkennungssysteme in IT/OT bis 2023, erweiterte Meldepflichten, Zulassungspflicht für kritische Komponenten, höhere Bußgelder. Branchen: Energie, Gesundheit, Wasser, Telekom, Finanz, Verkehr, Ernährung, Entsorgung u.a.

• BSI-Kritisverordnung (BSI-KritisV): Rechtsverordnung, die Schwellenwerte definiert, ab wann Einrichtungen als kritische Infrastrukturen gelten (z.B. ab x Mio. versorgten Kunden). Indirekt relevant, um zu bestimmen, ob ein Gebäude (z.B. Rechenzentrum, Krankenhaus) KRITIS-Status hat.

• Datenschutz-Grundverordnung (DSGVO, EU 2016/679): Regelt den Schutz personenbezogener Daten. Relevant für Gebäudeautomation, sofern personenbezogene Daten (z.B. Zutrittslogs, Arbeitsplatzsensoren) verarbeitet werden – erfordert technische und organisatorische Maßnahmen zu deren Schutz.

• ISO/IEC 27001 (2013/2022): Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS). Bietet einen Rahmen, um Security organisatorisch zu verankern. Erweiterbar auf OT; ergänzt durch ISO 27002 (Controls) und branchenspezifische Ableger wie ISO 27019 (Energie) oder IEC 27011 (Telekom).

• IEC 62443 (Serie seit 2007 ff.): Umfassende Normenreihe “Security for industrial automation and control systems”. Relevanteste Teile: 62443-2-1 (Anforderungen an ein OT-Sicherheitsmanagement/Systeme), 62443-3-3 (System Security Requirements, inkl. Zonenmodel), 62443-4-2 (Komponentenanforderungen). Branchenübergreifend anerkannt als OT-Security-Standard.

• VDMA Einheitsblatt 24774 (2021): Leitfaden “Sicherheit in der Gebäudeautomation” vom deutschen Maschinenbau-Verband. Behandelt aktuelle Vorgaben und Best Practices für GA-Betreiber und -Hersteller. Hilft v.a. bei praktischer Umsetzung und Interpretation von Normen in deutschen Gebäuden.

• DIN 32736 (2019): Deutsche Norm “Facility Management – Begriffe und Leistungen im technischen Gebäudemanagement”. Definiert den Verantwortungsbereich des Technischen Gebäudemanagements (Aufgaben: Betrieb, Instandhaltung etc.). Indirekt wichtig, um Zuständigkeiten abzugrenzen.

• VDI 3814 & VDI 2166 (Gebäudeautomation): Richtlinien des Vereins Deutscher Ingenieure zur Gebäudeautomations-Technik. Enthalten Planungs- und Ausführungshinweise, z.T. mit Security-Hinweisen (neue Blätter berücksichtigen IT-Sicherheit).

• DIN EN 50600 (2012 ff.): Europäische Normenreihe für Rechenzentren (Planung, Bau und Betrieb). Beinhaltet auch Anforderungen an physische Sicherheit und einige an die Informationssicherheit (z.B. Monitoring). Für Rechenzentrums-FM relevant.

• Branchenspezifische Sicherheitsstandards (B3S): Spezielle Richtlinien für bestimmte Sektoren gemäß §8a(2) BSIG. Beispiele: B3S Krankenhaus (für Kliniken – enthält Vorgaben auch für gebäudetechnische Systeme im Krankenhaus), B3S Energie etc. Wenn ein Gebäude zu einer solchen Branche gehört, sind diese Standards zu berücksichtigen.

• NISTIR 8228 (2019, USA): Ein Report des US NIST “Considerations for Managing IoT Cybersecurity and Privacy in Federal Facilities”. Hervorgehoben im BSI-Grundschutz als zusätzliche Infoquelle. Gibt Einblicke, wie IoT/OT-Geräte in Gebäuden sicher integriert werden können (inkl. Risikobewertung).

• Normen zur funktionalen Sicherheit (EN ISO 13849, IEC 61508/62061): Zwar primär Safety-Normen, aber relevant, wenn es um die Wechselwirkung von Safety und Security geht. Z.B. definieren sie Anforderungen an zuverlässige Steuerungen – ein Security-Zwischenfall darf diese nicht außer Kraft setzen. Zunehmend wird gefordert, Safety-Systeme auch gegen Cyberangriffe robust zu machen (z.B. sichere Not-Aus-Systeme).

Anmerkung: Diese Liste ist nicht abschließend, aber umfasst die wesentlichen Rahmenwerke. Betreiber sollten je nach Branche prüfen, ob weitere spezifische Vorgaben gelten (etwa für Energieversorger das IT-Sicherheitskatalog der BNetzA, für Banken die BAIT der Bafin, etc., die teilweise auch OT-Aspekte berühren können). Es empfiehlt sich stets die aktuelle Rechtslage und Normenentwicklung im Blick zu behalten, da in diesem Bereich fortlaufend Anpassungen erfolgen (z.B. kommt mit NIS2 eine neue Welle von nationalen Regelungen, und Normen wie IEC 62443 werden laufend erweitert).