Der Spezialist für die Sicherheit von cyber-physischen Systemen (CPS) Claroty hat mehr als 467.000 Gebäudemanagement-Systeme in über 500 Unternehmen weltweit analysiert und die Ergebnisse im Report „State of CPS Security 2025: Building Management System Exposures” zusammengefasst. Demnach setzen drei von vier Unternehmen Gebäudemanagementsysteme ein, die bekannte ausgenutzte Schwachstellen (Known Exploited Vulnerabilities, KEVs) aufweisen. Jedes zweite Unternehmen (51 %) ist sogar von Schwachstellen betroffen, die zusätzlich über unsichere Verbindungen zum Internet verfügen und aktiv von Ransomware-Gruppen verwendet werden.
Gebäudemanagementsysteme werden in nahezu allen modernen Gebäuden von Gewerbeimmobilien über Einzelhandel und Gastgewerbe bis hin zu Rechenzentren eingesetzt. Sie steuern etwa HLKK-Anlagen (Heizungs-, Lüftungs-, Klima- und Kältetechnik), Beleuchtung, Aufzüge und Sicherheitssysteme und tragen so wesentlich zum reibungslosen Geschäftsbetrieb bei. Die Kombination der Risikofaktoren (bekannte Schwachstelle plus unsichere Verbindung mit dem Internet plus Ausnutzung durch Ransomware-Akteure) bietet Angreifern leicht zugängliche Einstiegspunkte, die kostspieligen und potenziell gefährlichen Störungen Tür und Tor öffnen.
Effizienzgewinne vs. Cyberrisiken
„Oft werden Gebäudemanagementsysteme und Gebäudeautomation im Netzwerk betrieben, ohne an die Auswirkungen auf die Cybersicherheit zu denken“, erklärt Thorsten Eckert, Regional Vice President Sales Central von Claroty. „Auf der einen Seite stehen Effizienzgewinne und höhere Benutzerfreundlichkeit, auf der anderen jedoch steigende Cyberrisiken. Das gilt vor allem für kritische Systeme, die nicht einfach vom Netz genommen werden können, etwa die Klimatisierung von Datenzentren oder die Kühlung verderblicher Waren in der Logistik.“
Gebäudeautomatisierung rückt immer mehr in den Security-Fokus
Längst ist Gebäudeautomatisierung kein Nischenthema mehr und wird auch durch das BSI mit den beiden Bausteinen 13 (Technisches Gebäudemanagement) und 14 (Gebäudeautomation) explizit thematisiert. „Die Ergebnisse unserer Untersuchung machen deutlich, dass dem Schutz dieser Systeme eine wesentlich höhere Priorität eingeräumt werden muss“, so Eckert. „Durch einen auf Exposure Management basierenden Ansatz und die Konzentration auf die besonderen Anforderungen und Herausforderungen dieser Umgebungen können Unternehmen die risikoreichsten Geräte identifizieren, bewerten und priorisieren und so wertvolle Zeit und Ressourcen sparen.“
Der komplette Report „State of CPS Security 2025: Building Management System Exposures“ mit den vollständigen Ergebnissen, einer detaillierten Analyse und gezielten Empfehlungen kann hier heruntergeladen werden.
