Das Risiko für Cyberattacken steigt proportional zur digitalen Vernetzung der Gebäudetechnik. Aktuelle Zahlen des Bundesamts für Sicherheit in der Informationstechnik (BSI)1 und des Digitalverbands Bitkom2 lassen keinen Zweifel daran, dass Cyberbedrohungen zu einem zentralen Thema geworden sind, mit dem wir uns in allen Lebensbereichen verstärkt auseinandersetzen müssen: So wurden 2023 allein in Deutschland mehr als 27.000 Schwachstellen in Softwareprodukten bekannt. Im Gegenzug haben deutsche Unternehmen im Jahr 2022 nach Bitkom-Schätzungen durch Cyberangriffe einen Schaden von 203Mrd.€ erlitten. Das BSI wiederum schätzt, dass „nahezu jedes deutsche Unternehmen schon einmal von einem Angriff betroffen gewesen“ sei und kommt zu dem Fazit: „Die Bedrohung im Cyberraum ist so hoch wie nie zuvor.“ Unternehmen sind also mit einer Gefährdungslage konfrontiert, für die angemessene Maßnahmen getroffen werden müssen – auch in der Gebäudetechnik. Leider wird sich dieser Trend noch verstärken. Denn KI hilft nicht nur für gute Zwecke. Schon heute ist KI in der Lage, Teile eines Cyberangriffs zu automatisieren und die Einstiegshürde für Angreifer deutlich zu senken.3

Schutzmaßnahmen für IT und OT

gleichermaßen wichtig

Glücklicherweise gibt es angesichts dieser bedrohlichen Szenarien auch eine gute Nachricht: Geeignete Präventivmaßnahmen helfen dabei, das Risiko bzw. die Angriffsfläche von Cyberattacken zu verringern, die Widerstandsfähigkeit gegenüber Angriffen zu erhöhen oder zumindest den möglichen Schaden zu begrenzen. Besonders wichtig ist es dabei, dass Sicherheitssysteme fachgerecht aufgesetzt und fortlaufend gepflegt werden. Andernfalls steigt das Risiko für unentdeckte Sicherheitslücken – was zu massiven Zwischenfällen führen kann. Die ganzheitliche Betrachtung von Cybersicherheit im Smart Building wird vor diesem Hintergrund immer wichtiger, denn: die Frage für Unternehmen ist nicht, ob sie zum Ziel eines Cyberangriffs werden, sondern wann.

Gap Assessment: Bewährte Vorgehensweise gegen Cyberbedrohungen

Durch die ganzheitliche Betrachtung des Cybersicherheitsstatus eines Gebäudes ermöglicht ein Gap Assessment eine strukturiert-analytische Vorgehensweise zur effektiven Risikominimierung in Bezug auf mögliche Cyberangriffe. Das systematische Erkennen und Beseitigen von Sicherheitslücken kann wie folgt in drei Phasen ablaufen:

• 1. Discovery Session: Im Zuge der sogenannten Discovery Session werden die Schutzziele des Unternehmens erörtert. Diese Schutzziele werden oftmals bestimmt durch ein nach ISO27001 zertifiziertes Informationssicherheits-Managementsystem, durch die Vorgaben der internationalen Normenreihe IEC62443 (Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme) oder durch branchenspezifische Sicherheitsstandards. Darüber hinaus werden Informationen über kritische Bereiche der Liegenschaft eingeholt und Teilnehmer benannt, die in das Sicherheitskonzept eingebunden sind. Das können z.B. Verantwortliche für Gebäudetechnik und die IT-Leitung sein. Anhand dieser Informationen erfolgt eine Voranalyse durch Cybersecurity-Experten sowie die Vorbereitung des nachfolgenden Assessments.
• 2. Gap Assessment: Das eigentliche Gap Assessment erfolgt im Rahmen eines Workshops inklusive Begehung, der (abhängig von der Größe der Liegenschaften) in der Regel zwei Tage dauert. Am ersten Tag werden z.B. Serverstandorte oder Technikzentralen in Augenschein genommen. Darauf folgt ein interviewgestütztes Analyseverfahren. Dabei steht nicht nur die Technik im Fokus, sondern auch Prozesse und Organisation. Am Ende des zweiten Tages erfolgen eine Auswertung und Feedbackrunde mit dem Kunden sowie gegebenenfalls die Vereinbarung eines Folgetermins.
• 3. Handlungsempfehlung: Der Kunde erhält einen detaillierten Bericht mit Beschreibung der Ist-Situation und einer entsprechenden Handlungsempfehlung. Die Informationen werden als Präsentation aufbereitet, die im Unternehmen verteilt werden kann. Diese Informationen bilden die Basis für den gezielten Einsatz effektiver Sicherheitsmaßnahmen im Unternehmen.

Der ideale Einstieg in die digitale und cybersichere Gebäudetechnik

Das Gap Assessment ist der ideale Einstieg in die Cybersicherheit in der Gebäudetechnik und unterstützt insbesondere Kunden, die sich erstmals mit dem Thema auseinandersetzen müssen. Um sich vor Cyber-Angriffen zu schützen, wird es für Unternehmen immer wichtiger, den Status der Cyber-Sicherheit ganzheitlich und systematisch zu erfassen – nicht nur für die IT. Dazu gehört auch die vernetzte digitale Gebäudetechnik / OT. Mit den aus dem Gap Assessment abgeleiteten Handlungsempfehlungen können die nächsten Schritte zur Umsetzung eines systematischen Cyber-Schutzes für die Gebäudetechnik definiert werden. Die Analyse hilft auch bei der Erfüllung der Cybersecurity relevanten Gesetze (NIS2 Umsetzungsgesetz) und/oder der geforderten branchenspezifischen Sicherheitsstandards (B3S) wie z.B. für B3S Krankenhäuser oder B3S Pharma. Immer mit dem Ziel vor Augen, das eigene Unternehmen und sein Kerngeschäft besser vor bestehenden Cyber-Risiken auch in der Gebäudetechnik zu schützen.

Seiten: 1 2 3