Gebäudemanagement auf brösligem Sicherheits-Fundament

Bei der Analyse von fast einer halben Million aktiven Gebäudemanagement-Systemen wurden zahllose gravierende Schwachstellen entdeckt. So nutzen etwa drei Viertel der untersuchten Unternehmen Lösungen mit bekannten und teils ausgenutzten Sicherheitslücken.

Die fortschreitende Digitalisierung hat längst auch die betonierten Assets der Wirtschaft erreicht. Unternehmen, Einzelhandel, Gastgewerbe und Industrie nutzen heute wie selbstverständlich zahlreiche vernetzte Systeme und Komponenten für das digitale und smarte Management ihrer Gebäude und Anlagen. Dort steuern und überwachen die Gebäudemanagementsysteme beispielsweise Sicherheits- und Zutrittssysteme, Aufzüge, Beleuchtung sowie Anlagen der Heizungs-, Lüftungs-, Klima- und Kältetechnik aus dem (HLKK) und helfen, entsprechende Prozesse zu automatisieren. Eigentlich sollte das nicht nur das Gebäudemanagement deutlich vereinfachen, sondern zugleich auch die Sicherheit verbessern.

Digitale Hintertüren im Gebäudemanagement

In der Realität ist allerdings häufig das genaue Gegenteil der Fall und die cyber-physischen Systeme (CPS) werden unbemerkt zur Hintertür für digitale Eindringlinge. Diese können Lücken im Gebäudemanagement beispielsweise dazu nutzen, um Daten abzufischen, Betriebsanlagen zu erpresserischen Zwecken zu kapern, Netzwerke zu infiltrieren oder sich physischen Zugang zu gesperrten Einrichtungen und Bereichen verschaffen. So geschehen etwa 2023, als Cyberkriminelle beim bekannten Hotel- und Casinokonzern MGM Resorts Zugriff auf interne Gebäudemanagementsysteme erlangten und dadurch mehr als 30 Hotel- und Casinokomplexe zeitweise komplett lahmlegten. Ähnliche Angriffe gab es auf zwei große europäische Ingenieursbüros sowie auf die Kette Omni Hotels.

Dies sind längst keine Einzelfälle mehr und die Angriffe nehmen nicht nur zu, sie werden auch immer professioneller. Mehrere Hackergruppen, insbesondere aus dem Erpresser-Milieu, haben den Bereich als lukrativen Angriffsvektor identifiziert und versuchen aktiv die Lücken in der Gebäudesteuerung und –automatisierung aufzuspüren und für ihre unredlichen Zwecke zu nutzen. Wie weit verbreitet das Problem und die damit verbundenen Gefahren sind, zeigt eindrücklich der gerade veröffentlichte "State of CPS Security 2025: Building Management System Exposures", für den CPS-Spezialist Claroty weltweit über 467.000 Gebäudemanagement-Systeme in mehr als 500 Unternehmen analysiert hat.

Fahrlässiger Umgang mit BMS-Sicherheit

Die Ergebnisse decken eine eklatante Vernachlässigung des Gebäudemanagements in der Sicherheitsstrategie der Eigentümer auf. Drei Viertel von ihnen setzen in ihren Gebäuden demnach Systeme ein, die KEVs (Known Exploited Vulnerabilities) aufweisen, also bereits bekannte und ausgenutzte Sicherheitslücken. In der überwiegenden Zahl der Fälle (69 Prozent) handelt es sich dabei um Lücken, die aktiv von Cyberkriminellen für Ransomware-Angriffe genutzt werden. Da die Anwenderunternehmen meist mehrere Systeme und Lösungen für verschiedene Aufgaben in Betrieb haben, vervielfacht sich das Risiko dadurch entsprechend.

Bei mehr als der Hälfte der untersuchten Gebäudemanagement-Systeme fanden die Sicherheitsforscher neben solchen Schwachstellen zusätzlich Geräte mit einer unsicheren Verbindung zum Internet. Solche Zugangsmöglichkeiten werden gerade von Ransomware-Gruppen aktiv im Netz gesucht und ausgenutzt. Bei 55 Prozent der befragten Unternehmen werden mindestens vier verschiedene Remote-Access-Tools in der OT-Umgebung eingesetzt und somit die Angriffsfläche und Fehlerwahrscheinlichkeit unnötig vergrößert. "Die Ergebnisse unserer Untersuchung machen deutlich, dass dem Schutz dieser Systeme eine wesentlich höhere Priorität eingeräumt werden muss", folgert Thorsten Eckert, Regional Vice President Sales Central von Claroty.

Wer angesichts dieser Erkenntnisse die Verantwortung einfach den Softwareherstellern zuschieben will, macht es sich allerdings deutlich zu einfach. Denn während die Betreiber gerne die Vorteile wie Effizienzgewinne und höhere Benutzerfreundlichkeit für sich nutzen, vergessen sie, dass damit steigende Cyberrisiken einhergehen, die entsprechend abgesichert werden müssen. "Das gilt vor allem für kritische Systeme, die nicht einfach vom Netz genommen werden können, etwa die Klimatisierung von Datenzentren oder die Kühlung verderblicher Waren in der Logistik", warnt Eckert.

Tipps für sicheres Gebäudemanagement

Wie sich Gebäudemanagement-Systeme sicher integrieren und effizient schützen lassen, führt unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf. Schon seit einigen Jahren finden sich in dessen IT-Grundschutz-Vorgaben eigene Bausteine, die sich mit dem technischen Gebäudemanagement (Baustein 13) und der Gebäudeautomation (Baustein 14) befassen. Zu den Grundaufgaben gehört es, alle Systeme und Komponenten zu erfassen und eine belastbare Sicherheitsstrategie mit entsprechenden Prozessen dafür zu entwickeln. Dazu gehört beispielsweise auch, die Lösungen ins Patch-Management mit einzubeziehen.

Um sich dabei in der Praxis nicht zu verzetteln und die richtigen Prioritäten zu setzen, empfiehlt Eckert: "Durch einen auf Exposure Management basierenden Ansatz und die Konzentration auf die besonderen Anforderungen und Herausforderungen dieser Umgebungen können Unternehmen die risikoreichsten Geräte identifizieren, bewerten und priorisieren und so wertvolle Zeit und Ressourcen sparen." Genau hier können Dienstleister und Systemhäuser bei ihren Kunden gut ansetzen, das Problembewusstsein der Kunden schärfen und sie anschließend mit Projekten, Lösungen und Services bei der Konsolidierung und Absicherung begleiten.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden