OT-Sicherheit in der Gebäudeautomation
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Warum ist die Gebäudeautomation ein unterschätztes OT-Sicherheitsrisiko?
Gebäudeautomationssysteme (BAS/BMS) steuern Heizung, Lüftung, Klimaanlagen, Zugangssysteme und Brandschutz in Bürogebäuden, Rechenzentren und öffentlichen Einrichtungen. Claroty berichtet, dass 78% aller Gebäudeautomationssysteme nicht isoliert vom IT-Netzwerk betrieben werden (Claroty, 2025). Dieses Sicherheitsdefizit macht Gebäudeautomation zu einem häufig genutzten Einstiegspunkt für Netzwerkangriffe.
Wichtige Erkenntnisse
- 78% der Gebäudeautomationssysteme sind nicht vom IT-Netzwerk isoliert (Claroty)
- BAS-Angriffe stiegen 2025 um 112% gegenüber 2023 (Forescout)
- Gebäudeautomation ist in Rechenzentren direkt mit der IT-Infrastruktur verknüpft
- BACnet und LonWorks sind die häufigsten BAS-Protokolle ohne eingebaute Sicherheit
- Smarte Gebäude für KRITIS-Betreiber unterliegen erweiterten Sicherheitsanforderungen
Der Angriff auf das Gebäudeautomationssystem des Target-Konzerns (USA, 2013) über einen HVAC-Auftragnehmer bleibt das bekannteste Beispiel. Aber vergleichbare Szenarien sind in deutschen Bürokomplexen, Rechenzentren und Regierungsgebäuden möglich.
[INTERNAL-LINK: OT-Sicherheitsgrundlagen → Was ist OT-Sicherheit?]
Welche Gebäudeautomationssysteme sind besonders gefährdet?
Moderne Gebäude integrieren dutzende spezialisierter OT-Systeme, die über Gebäudemanagementsysteme (GMS) zentralisiert werden. Forescout berichtet, dass BAS-spezifische Angriffe 2025 um 112% gegenüber 2023 gestiegen sind (Forescout, 2025).
HVAC und Klimatisierungssysteme
Heizungs-, Lüftungs- und Klimaanlagen (HVAC) in Rechenzentren sind besonders kritisch, weil Überhitzung durch Klimaausfall die gesamte IT-Infrastruktur gefährdet. HVAC-Steuerungssysteme haben oft direkte Verbindungen zum Unternehmens-IP-Netzwerk für Fernüberwachung und Wartung. Diese Verbindungen werden selten ausreichend gesichert.
Zutrittskontrolle und Videoüberwachung
Elektronische Zugangssysteme und IP-Kameras sind physische Sicherheitssysteme mit Netzwerkanschluss. Kompromittierte Zugangssysteme können physischen Zugang zu gesicherten Bereichen ermöglichen. IP-Kameras werden häufig als Botnet-Komponenten für DDoS-Angriffe missbraucht oder als Lauschangriffswerkzeuge.
Brandschutz und Notfallsysteme
Brandmeldeanlagen und Sprinkleranlagen sind sicherheitskritische OT-Systeme. Manipulierte Brandschutzsysteme können entweder Fehlalarme auslösen (betriebliche Disruption) oder im schlimmsten Fall echte Brände nicht melden. Notfallbeleuchtungs- und Evakuierungssysteme haben ähnliche Sicherheitsimplikationen.
Brauchen Sie Unterstützung bei OT-Sicherheit in der Gebäudeautomation?
Unsere Cloud-Architekten unterstützen Sie bei OT-Sicherheit in der Gebäudeautomation — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.
Wie werden Gebäudeautomationssysteme angegriffen?
Angreifer nutzen spezifische Charakteristika von Gebäudeautomationssystemen aus. Das Industrial Control System-CERT der CISA dokumentiert regelmäßig Schwachstellen in gängigen BAS-Produkten (CISA, 2025). Die häufigsten Angriffsvektoren sind ungesicherte Remote-Zugänge und unsichere Protokolle.
Ungesicherte BACnet-Implementierungen
BACnet ist das häufigste Gebäudeautomationsprotokoll, hat aber keine eingebaute Authentifizierung oder Verschlüsselung. Shodan findet täglich Tausende BACnet-Geräte mit direktem Internetzugang. Diese Geräte können ohne Anmeldung ferngesteuert werden, weil BACnet keine Zugangskontrolle kennt.
Fernwartungszugänge von Facility-Management-Unternehmen
Facility-Management-Dienstleister haben permanente Fernzugänge zu Gebäudeautomationssystemen. Diese Zugänge sind oft über einfache VPNs oder sogar direkte RDP-Verbindungen realisiert. Kompromittierte Facility-Management-Unternehmen sind ein direkter Weg in die Gebäudeautomation ihrer Kunden.
Wie schützen Sie Gebäudeautomationssysteme wirksam?
Der Schutz von Gebäudeautomationssystemen folgt denselben Grundprinzipien wie industrielle OT-Sicherheit. NIST SP 800-82 empfiehlt Netzwerksegmentierung als wichtigste Einzelmaßnahme auch für Gebäudeautomation (NIST, 2023).
Netzwerksegmentierung für BAS
Isolieren Sie Gebäudeautomationssysteme in einem dedizierten VLAN oder Netzwerksegment. Kein direkter Datenverkehr zwischen BAS-Netzwerk und Unternehmens-IT. Alle Kommunikation läuft über eine kontrollierte DMZ mit expliziter Firewall-Freigabe. Fernwartungszugänge gehen ausschließlich über ein sicheres Jump-Server-System.
Asset-Discovery für Smart Buildings
Erfassen Sie alle BAS-Komponenten in einem vollständigen Asset-Inventar. Viele Gebäudebetreiber wissen nicht, welche Geräte in ihrem Gebäudeautomationsnetzwerk vorhanden sind. Passive Discovery-Tools identifizieren BACnet-, LonWorks- und KNX-Geräte ohne Betriebsunterbrechung.
Vertragliche Sicherheitsanforderungen für Dienstleister
Definieren Sie in Facility-Management-Verträgen explizite Sicherheitsanforderungen für Fernzugänge. Erfordern Sie Multi-Faktor-Authentifizierung, zeitlich begrenzte Zugangsverbindungen und Sitzungsaufzeichnung. Prüfen Sie die Sicherheitslage Ihrer Facility-Management-Dienstleister regelmäßig.
[PERSONAL EXPERIENCE] In Projekten mit großen Büroimmobilien stellen wir regelmäßig fest, dass Gebäudeautomationssysteme von der IT-Sicherheitsstrategie vollständig ausgeschlossen sind, weil sie als "Haustechnik" und nicht als IT-System betrachtet werden. Diese konzeptionelle Lücke ist gefährlich.
[UNIQUE INSIGHT] Rechenzentrum-Betreiber, die Gebäudeautomations-OT in ihr Security Information and Event Management (SIEM) integrieren, berichten von einer erheblich verbesserten Gesamtlagebild-Qualität. BAS-Anomalien korrelieren oft mit frühen Phasen von IT-Angriffen auf die betreute Infrastruktur.
Häufig gestellte Fragen
Ist Gebäudeautomation OT oder IT?
Gebäudeautomation ist OT: Sie steuert physische Systeme und Prozesse in Gebäuden. Für Sicherheitszwecke sollte sie wie industrielle OT behandelt werden, mit denselben Prinzipien der Netzwerksegmentierung, Zugriffsverwaltung und Überwachung. Die irrtümliche Einordnung als "Haustechnik" ist ein häufiger Fehler.
Wie beeinflusst Gebäudeautomation KRITIS-Anforderungen?
Gebäudeautomation in KRITIS-Einrichtungen (Krankenhäuser, Rechenzentren, Behörden) fällt unter die Sicherheitsanforderungen des jeweiligen KRITIS-Sektors. Ein Krankenhaus, das KRITIS-pflichtig ist, muss auch seine Gebäudeautomation entsprechend sichern, weil sie Teil der kritischen Infrastruktur ist.
Fazit: Gebäudeautomation gehört in die OT-Sicherheitsstrategie
Gebäudeautomation ist ein unterschätztes OT-Sicherheitsrisiko, das in den meisten Sicherheitsstrategien nicht ausreichend adressiert wird. Die Verbindung zu kritischer IT-Infrastruktur in Rechenzentren und die Präsenz in KRITIS-Einrichtungen machen BAS-Sicherheit zu einer strategischen Priorität.
Erfahren Sie mehr über unsere OT-Sicherheitsservices für Gebäudeautomation und Smart Buildings.
[INTERNAL-LINK: OT-Asset-Discovery → Was ist OT-Asset-Discovery?]
Über den Autor
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.