Das Gebäudemanagement vor Cyberangriffen schützen

Wenn man heute ein modernes Bürogebäude betritt, um an seinen Arbeitsplatz zu gelangen, trifft man, ohne es womöglich zu bemerken, an diversen Stellen auf vernetzte Technologie. [...]

Foto: NenadMaric/Pixabay

Das fängt bei den automatischen Eingangstüren an, auf dem Weg zum intelligent gesteuerten Aufzug durchquert man den klimatisierten Eingangsbereich und passiert schließlich womöglich noch ein Zeiterfassungsgerät. Im Zuge der Digitalisierung werden die ehemalig isolierten Gebäudemanagementsysteme (GMS) immer häufiger mit IT-Netzwerken verbunden.

Das Internet der Dinge (IoT) verspricht eine effektivere Steuerung bei geringeren Kosten, wodurch sich in den letzten Jahren die Zahl „intelligenter“ Gebäude erheblich erhöht hat. Ende 2020 wurden Schätzungen zufolge weltweit für die Überwachung und Verwaltung von Gebäuden 1,7 Milliarden Geräte eingesetzt. Bis 2025 soll diese Zahl auf über drei Milliarden ansteigen.

Doch mit der Vernetzung steigen auch die Risiken: Wird ein GMS mit dem Internet verbunden, ist es potenziell für Cyberkriminelle zugänglich, die versuchen, Störungen zu verursachen oder Daten zu entwenden.

Dabei stellen Gebäudemanagementsysteme häufig ein relativ leichtes Ziel für Angreifer dar. Wie viele ehemals getrennten Systeme (etwa in der Industrie) verfügen sie oftmals nicht über die Sicherheitsfunktionen, die in modernen IT-Systemen und -Geräten üblich sind.

So wurde die US-Einzelhandelskette Target über ihr mit dem IT-Netz verbundenes Klimaanlagen-Überwachungssystem erfolgreich kompromittiert: Die Angreifer nutzten dabei eine Schwachstelle in der Klimaanlage, um auf das IT-Netzwerk zuzugreifen und sich Zugang zu den Kreditkartendaten von 40 Millionen Kunden zu verschaffen.

Auch im Rahmen des WannaCry-Angriffs wurden zahlreiche GMS zum Opfer der Ransomware. Der Angriff auf ein Gebäudemanagementsystem bieten Cyberkriminellen jedoch deutlich mehr Möglichkeiten als Datendiebstahl oder Erpressung. So könnten Angreifer die Produktion stören, indem sie in sensiblen Bereichen etwa die Raumtemperatur manipulieren.

Warum Gebäudemanagementsysteme anfällig für Cyberangriffe sind

Der Schutz des Gebäudemanagements hat also größte Wichtigkeit, um kritische Prozesse sicherzustellen. Zugleich darf es kein Einfallstor zu den IT-Systemen darstellen. Allerdings ist die Sicherung dieser Systeme eine große Herausforderung. Dies hat mehrere Gründe:

  • Zunehmende Konvergenz:
    • Früher waren GMS funktionsbezogen und isoliert: Das System zur Steuerung der Klimaanlage war beispielsweise von dem für die Zugangsverwaltung getrennt. In den intelligenten Gebäuden von heute ist jede Management-Funktion Teil eines integrierten Systems, das mit dem Internet verbunden ist. Dies macht die potenziellen Auswirkungen einer Kompromittierung wesentlich größer.
  • Zahlreiche Altsysteme:
    • Viele Gebäudemanagementsysteme basieren auf veralteter Software, die nur selten, wenn überhaupt, gepatcht wird, um Sicherheitsschwachstellen zu beseitigen. Dadurch ist es für Angreifer oft relativ leicht, sich durch einfache Aktionen, wie z. B. das Zurücksetzen eines Passworts, Zugang zu verschaffen.
  • Fehlendes Sicherheitsbewusstsein:
    • Die isolierte Sicherheit und die kaum vorhandene Bedrohungslage traditioneller Gebäudesteuerungen haben vielfach eine Kultur der Sorglosigkeit unter den technischen Mitarbeitern geschaffen. So ist es nach wie vor nicht unüblich, Passwörter zu teilen.
  • Mangelhafte Transparenz:
    • Gerade bei größeren Einheiten ist das Gebäudemanagementsystem oft sehr komplex und besteht aus vielen Geräten verschiedener Hersteller. Es ist eine große Herausforderung, ein umfassendes Inventar all dieser Geräte und der Softwareversionen, mit denen sie arbeiten, zu führen. Noch schwieriger ist es, sicherzustellen, dass jedes einzelne dieser Geräte sicher und frei von Schwachstellen ist. Darüber hinaus benötigen alle Hersteller in der Regel einen Fernzugriff auf ihre Produkte für die laufende Verwaltung, was bedeutet, dass jeder dieser Zugriffskanäle ein weiterer potenzieller Angriffsvektor ist.

Vier Schritte zum Schutz von Gebäudemanagementsystemen

Gleichwohl gibt es für jede dieser Herausforderungen Lösungen, die ein sehr hohes Maß an Sicherheit gewährleisten können. Vier Schritte sind dabei essenziell.

  • Schritt 1: Erstellen Sie eine Übersicht über das Netzwerk und alle angeschlossenen Geräte. 
    • Ein umfassendes Inventar bildet die Grundlage für sämtliche Sicherheitsinitiativen. Dazu muss man genau wissen, wie viele und welche Geräte sich im Netzwerk befinden und wie die Kommunikationswege zwischen ihnen aussehen. Hierzu stehen eine Reihe von Lösungen zur Netzwerkabbildung und Anlagenerkennung zur Verfügung. Diese erfassen und analysieren unabhängig von Marke oder Modell automatisch Details zu jedem Gerät innerhalb des Gebäudemanagementsystems und halten das Inventar stets auf dem aktuellen Stand.
  • Schritt 2: Bewerten Sie Ihr Risiko. 
    • Zu wissen, welche Geräte sich im Netzwerk befinden, ist nur der erste Schritt zur Sicherung eines GMS. Darauf basierend sollte das Sicherheitsrisiko, das jedes einzelne Gerät darstellt, bewertet werden. Auch dies kann mit entsprechender Software automatisiert erfolgen. Einige fortschrittliche Tools bieten zudem auch Hinweise zur Behebung der festgestellten Sicherheitslücken.
  • Schritt 3: Ermöglichen Sie einen sicheren Fernzugriff. 
    • Gerade der Remote Access stellt für Angreifer ein interessantes Ziel dar, zumal häufig dabei immer noch überholte Technologien eingesetzt werden. Sicherheitsverantwortliche sollten auf eine einzige umfassende, auf die Gebäudeleittechnik zugeschnittene Fernzugriffslösung setzen, die sowohl die Anforderungen des Gebäudemanagements als auch die der Gerätehersteller für die regelmäßige Überwachung, Verwaltung und Aktualisierung erfüllen kann.
  • Schritt 4: Erkennen Sie Bedrohungen und wehren Sie diese ab. 
    • Wie bei allen Cybersystemen ist es auch beim GMS nur eine Frage der Zeit, bis Angreifer auch hier die Verteidigungsmaßnahmen überwinden. Deshalb ist es unbedingt erforderlich, einen Verstoß so früh wie möglich zu erkennen und geeignete Maßnahmen zu ergreifen, um den Schaden zu minimieren. Das gesamte Gebäudemanagementsystem muss permanent auf verdächtige Aktivitäten überwacht und entsprechende Warnungen ausgegeben werden. Entsprechende Lösungen können auch durch gezielte Dienstleistungen ergänzt werden, was angesichts des Fachkräftemangels im Bereich der Cybersecurity für viele Unternehmen einen echten Mehrwert bietet. Auf diese Weise werden Bereiche wie Untersuchung, Risikobewertung, Untersuchung von Vorfällen und Reaktion abgedeckt.

Die Umwandlung veralteter Gebäudemanagementsysteme in intelligente Gebäude und ihre Integration in IT-Netze ist in vollem Gange. Es ist daher von entscheidender Bedeutung, dass Gebäudemanager der Sicherheit von GMS mehr Aufmerksamkeit schenken und entsprechende Ressourcen dafür aufbringen.

powered by www.it-daily.net


Mehr Artikel

News

Agenda Europe 2035: für eine sichere und wettbewerbsfähige Zukunft in der EU

Das effiziente Zusammenspiel zwischen Europas Wirtschaft und der Öffentlichen Hand ist gerade in unseren bewegten Zeiten unerlässlich. Viele IKT-Entscheider beider Sektoren sehen sich mit einer Vielzahl von Herausforderungen konfrontiert, die es zu bewältigen gilt. Doch was können die Digitalisierung und Informations- und Kommunikationstechnologie (IKT) zur Bewältigung dieser Herausforderungen beitragen? […]

News

Digitale Transformation für viele Unternehmen noch immer zweitrangig

Wie eine aktuelle Deloitte-Studie unter 300 Führungskräften zeigt, lässt eine umfassende Digitalisierung der österreichischen Wirtschaft noch immer auf sich warten. Während einige Vorreiter die Teuerungen und gestiegenen Kosten zum Anlass nehmen, die Digitalisierung noch stärker voranzutreiben, setzt ein Drittel der Unternehmen momentan gar keine Transformationsprojekte in diesem Bereich um. […]

News

Das Pingpong von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien Privileged Identity Management (PIM) und Privileged Access Management (PAM) für die sichere Identifikationen und deren Verwaltung vermischt. Dabei ist es für Unternehmen wichtig zu wissen, was sie mit welchen Lösungen tatsächlich erreichen können. […]

v.l. Jasmin Öztürk, Bianca Edenhofer, Doris Pokorny, Gentics Software (c) Melzer PR/Kührer
Karriere

Mehr Frauenpower bei Gentics Software

Mit Doris Pokorny in der Geschäftsführung sowie Denise Schindelböck als Prokuristin konnte die Gentics Software GmbH schon bisher mit einer Frauenquote von 66,6 Prozent im Führungsteam aufwarten. Per Oktober bzw. November 2024 wurde den beiden 32-jährigen Managerinnen Jasmin Öztürk und Bianca Edenhofer ebenfalls die Prokura verliehen und die Frauenquote damit noch einmal erhöht. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*