Die Frage ist nicht ob, sondern wann ein Cyberangriff passiert

Smarte Technologien in modernen Gebäuden bieten Komfort, Effizienz und Sicherheit. Doch genau diese Vernetzung macht sie anfällig für Cyberangriffe von Hackern, die es auf intelligente Systeme abgesehen haben, um Zugang zu sensiblen Daten oder sogar zur Steuerung kritischer Infrastruktur zu erhalten. „Moderne Gebäude nutzen zahlreiche vernetzte Systeme wie Sicherheitskameras und Zugangskontrollen, die über das Internet gesteuert werden, Beleuchtungs- und Klimasteuerungen, die durch KI-Algorithmen optimiert werden, sowie Aufzugs- und Notfallsysteme, die mit externen Servern kommunizieren. Und diese Systeme sind oft nicht ausreichend gegen Cyberangriffe geschützt“, stellt Gottfried Tonweber, Leiter Cybersecurity der EY Management Consulting GmbH, fest. „Fehlende Updates, schwache Passwörter oder unsichere Netzwerke machen sie zu einem leichten Ziel für Hacker.“ Besonders problematisch sei, dass ein einziger kompromittierter Sensor als Einfallstor für weitreichendere Angriffe dienen könne.

Um die Sicherheit smarter Gebäude zu gewährleisten, sollten laut Tonweber folgende Schutzmaßnahmen ergriffen werden:

• Starke Zugriffskontrollen: Nutzung von Zwei-Faktor-Authentifizierung (2FA) und rollenbasierten Zugriffsrechten.
• Regelmäßige Software-Updates: Sicherheitslücken können durch veraltete Software entstehen. Regelmäßige Updates sind essenziell.
• Verschlüsselung von Daten: Kommunikation zwischen den smarten Systemen sollte mit modernen Verschlüsselungsstandards geschützt werden.
• Netzwerksegmentierung: IT- und Gebäudetechnik sollten in getrennten Netzwerken laufen, um Angriffe auf kritische Infrastruktur zu erschweren.
• Monitoring und Anomalie-Erkennung: Smarte Systeme sollten kontinuierlich überwacht werden, um verdächtige Aktivitäten frühzeitig zu erkennen.
• Sensibilisierung und Schulung: Mitarbeiter sollten im Umgang mit smarten Technologien geschult werden, um Social-Engineering-Angriffe zu vermeiden.
• Technische Sicherheitsüberprüfungen: Regelmäßige Sicherheitsaudits und Penetrationstests helfen, Schwachstellen frühzeitig zu erkennen und zu beheben.

Die Rolle der NIS2-Richtlinie

Den Gefahren von Cyberangriffen soll auch die im Oktober 2024 in Kraft getretene NIS2-Richtlinie der EU entgegenwirken. Sie verpflichtet die Unternehmen und Institutionen dazu, ihre Cybersicherheitsstandards zu erhöhen. Besonders betroffen sind Betreiber kritischer Infrastrukturen wie öffentliche Gebäude, Energieversorger sowie das Gesundheitswesen. Die Richtlinie fordert verpflichtende Risikobewertungen und Sicherheitsstrategien, Meldepflicht bei Sicherheitsvorfällen und strengere Sicherheitskontrollen für Dienstleister und Zulieferer – „ein wichtiger Schritt, um das Bewusstsein für Cybersicherheit zu schärfen und verbindliche Standards durchzusetzen“, sagt Tonweber. Bereits kurz nach Inkrafttreten zeige sich, dass Unternehmen verstärkt in Sicherheitsmaßnahmen investierten. Dennoch bleibe die Umsetzung eine Herausforderung, insbesondere für kleine und mittlere Unternehmen.

Je digitaler die Gebäudetechnik wird, desto wichtiger ist jedenfalls das Thema Cybersicherheit. „Doch noch wird diesem Thema von Gebäudeerrichtern und -betreibern in Österreich zum Teil nicht die erforderliche Priorität gegeben“, sagt Martin Krammer, Cybersecurity-Experte bei Siemens Österreich. Dabei stelle sich nicht die Frage, ob ein Unternehmen angegriffen werde, sondern wann. „Grundlegende Sicherheitsmaßnahmen wie ein Benutzer- und Passwortmanagement, Netzwerksegmentierung, ein passendes Firewall-Konzept, regelmäßige Softwareaktualisierungen oder das rasche Schließen bekannter Sicherheitslücken sollten also selbstverständlich sein.“ Außerdem müsse aufgrund der gestiegenen Anforderungen, etwa bei der Verknüpfung von IT und OT, die Cybersecurity bei neuen Gebäudetechnik-Produkten bereits in der Designphase zu berücksichtigt werden.

Sensibilisierung der Betreiber und Nutzer

Auch bei Dormakaba stellt man fest, „dass die Sicherheitsrisiken smarter Gebäudetechnologien häufig unterschätzt werden.“ Ob Büroobjekte, Hotels oder Logistikzentren – Zutrittsrechte könnten einfach per Smartphone empfangen und aus der Ferne gesteuert werden. Doch genau diese Vernetzung mache smarte Gebäude angreifbar. Hinzu komme, dass viele Liegenschaften mit veralteter Hard- und Software ausgestattet seien, sagt Felix Hoellt, DVP Electronic Access & ERP, Dormakaba. Gerade in die Jahre gekommene Systeme würden oft nicht mehr mit aktuellen Sicherheitsupdates versorgt. Ein weiteres häufiges Problem seien Fehlkonfigurationen. Die Verwendung von Standardpasswörtern oder einfache Zugangscodes seien ein leichtes Ziel für Hacker. Wenn darüber hinaus starke Authentifizierungsmechanismen fehlten, werde das System unweigerlich für unbefugte Zugriffe anfällig. Und: „Ein weiteres Risiko entsteht, wenn Daten zwischen Geräten und Steuerzentralen unverschlüsselt übertragen werden“, so Hoellt. Solche Daten könnten leicht abgefangen und manipuliert werden.

Als Hersteller für elektronische Zutrittskontrollsysteme sieht es Dormakaba „als Aufgabe, sowohl die Vorteile dieser Technologien zu maximieren als auch effektive Schutzmaßnahmen gegen mögliche Bedrohungen zu implementieren, da ein erfolgreicher Cyberangriff schwerwiegende Folgen haben kann.“ Um die Sicherheit smarter Gebäudetechnologien zu gewährleisten, müssten jedenfalls Hersteller, Betreiber und Nutzer gleichermaßen proaktiv handeln, wobei ein zentrales Element die Sensibilisierung der Betreiber und Nutzer für mögliche Risiken sei: „Sie sollten nicht nur informiert, sondern auch in die Lage versetzt werden, Sicherheitslücken mit geeigneten Tools selbst zu erkennen und beheben zu können“, betont Hoellt. Ebenso relevant sei die frühzeitige Umsetzung von Sicherheitsstandards durch die Hersteller: „Sicherheitsaspekte sollten von Anfang an in die Produktentwicklung einfließen und kontinuierliche Penetrationstests zur Routine werden, um Schwachstellen zu identifizieren, bevor Hacker sie ausnutzen können.“