Sicher oder angreifbar? Die dunkle Seite vernetzter Gebäude

Herr Neureither, in Ihrem Seminar beschäftigen Sie sich intensiv mit der Verbindung von Cybersecurity und IoT in der Gebäudeautomation. Wie würden Sie den aktuellen Stand der Cybersicherheit in diesem Bereich bewerten und welche spezifischen Herausforderungen sehen Sie für Unternehmen, die IoT-basierte Systeme in ihren Gebäuden integrieren?

Jens Neureither: Beim Thema Cybersicherheit von Produkten und insbesondere im IoT sehen wir ein zweiteiliges Bild. Einerseits gibt es (Premium-)Hersteller, die es sich zur Aufgabe gemacht haben, sichere Produkte zu entwickeln und diese auch dauerhaft sicher zu halten. Auf der anderen Seite gibt es eine große Anzahl an Herstellern, die keine adäquaten Maßnahmen zur Absicherung ihrer Produkte getroffen haben. Das beobachten wir beispielsweise bei sogenannten White-Label-Produkten, die häufig bei einem Auftragsfertiger in Fernost in großen Stückzahlen produziert werden und dann von verschiedenen Produktherstellern nur noch mit einem individuellen Branding versehen werden. Sind in dem zugrundeliegenden Produkt Schwachstellen enthalten, so können sich diese dann durch die Sortimente verschiedener Hersteller durchziehen.

Die Effekte von großen Anzahlen verwundbarer Geräte haben wir in der vergangenen Dekade beispielsweise in Form von IoT-Botnetzen kennengelernt, die ihre Größe nutzen, um massive Cyberangriffe durchzuführen. 

Aus der Hersteller-Sicht stellt die Berücksichtigung von Cybersicherheitsanforderungen einen zusätzlichen Kostenblock in der Produktentwicklung und zur Produktlebenszeit dar. Trotzdem der gesteigerten Sicherheit bleibt es für die Hersteller aber herausfordernd, diese Mehrwerte Kund*innen transparent zu machen und die höheren Kosten wieder hereinzuholen. Und das führt zu einer ernüchternden Situation: Obwohl die technischen Möglichkeiten zur Absicherung gegeben sind und viele der beobachteten Schwachstellen mit wenig Aufwand hätten verhindert werden können, schaffen es diese unsicheren Produkte auf den Markt. 

Wechselt man nun den Blick auf die Seite der Betroffenen, dann ist der Leidtragende am Ende das Unternehmen oder Privatperson, das die schwachstellenbehafteten Geräte nutzt. Im besseren Fall wird das verwundbare Gerät „lediglich“ an ein IoT-Botnetz angeschlossen und greift ohne Wissen des Besitzers oder der Besitzerin Ziele im Internet an. Im schlechteren Fall wird das Gerät als schwächstes Glied im Unternehmens- oder Heimnetzwerk ausgemacht und als Eintrittspunkt in interne Netzwerke genutzt. Vom Verlust vertraulicher Unternehmensdaten bis hin zu Erpressung und Verschlüsselung bei einem Ransomware-Angriff ist dann alles möglich. 

Für Unternehmen und Verbrauche*innen, die IoT-basierte GA-Systeme integrieren wollen, stellt sich daher die Frage, wie man mit diesen Risiken umgehen kann. 
Dazu ist jedoch das entsprechende Bewusstsein der notwendige erste Schritt. Ist dieses vorhanden, kann mit einer aktiven Kaufentscheidung zugunsten eines Produktes (oder eines Ökosystems) mit besonderem Fokus auf Cybersicherheit natürlich ein Vorteil erreicht werden.
Letztlich geht es dann aber noch darum, die Produkte auch netzwerkseitig adäquat abzusichern, indem beispielsweise (virtuelle) Zonen definiert und explizite Datenflussregeln im Netz erstellt werden.
Zusätzlich ist auch ein gutes Rechte- und Rollen-Konzept nötig, welches es dem Angreifer erschwert, höhere Berechtigungen zu erlangen. 

Das nennen wir dann mehrschichtige Cybersicherheit, da wir uns hier nicht mehr alleine auf die Sicherheit des Produktes selbst verlassen.
 

Welche Entwicklungen oder Trends beobachten Sie derzeit, die die Cybersicherheit im Bereich der Gebäudeautomation in den nächsten Jahren maßgeblich beeinflussen könnten? Wie sollten Unternehmen sich auf diese Veränderungen vorbereiten, um ihre Systeme langfristig sicher zu halten?

Jens Neureither: Bei Trends sollte zwischen technologischen und regulatorischen Entwicklungen unterschieden werden. Wie bereits in der letzten Frage angerissen, bietet die heutige Technologiereife der Cybersicherheit unzählige Möglichkeiten, sichere Geräte herzustellen und sensible Daten ausreichend zu schützen. Das gilt sowohl für Grundlagenbereiche wie Kryptographie und Hardware-Security als auch für Software-Tools um Schwachstellen in der Entwicklung zu entdecken und zu beseitigen.

Mit künstlicher Intelligenz erhalten wir aktuell zusätzlich ein Hilfsmittel, was die Einstiegshürde, sich mit Schwachstellen und deren Behebung zu beschäftigen, weiter senkt. Potenziell kann der Einsatz von KI-Tools zur sicheren Softwareentwicklung auch die Kosten weiter senken.
Zu beachten ist aber, dass auch der Einsatz von KI wieder neue Risiken einbringt und die Entwickler*innen nicht von ihrer fälligen Sorgfaltspflicht entbindet.

Der größte Trend, den ich aktuell in diesem Umfeld beobachte, ist aber regulatorischer Natur. Die Europäische Union hat den Missstand der vergangenen Dekade erkannt und sehr konsequent adressiert.
Mit Verordnungen zur Funkgeräterichtlinie „Radio Equipment Directive“, welche ab August 2025 in Kraft treten, wurden nun Anforderungen an die Cybersicherheit für mit dem Internet verbundene Geräte, Kinderspielzeug und darüber hinaus definiert.

Der Cyber Resilience Act wurde vergangenes Jahr verabschiedet und sieht für die noch größere Klasse an Geräten, die „digitale Elemente“ beinhalten, umfassende Cybersicherheitsanforderungen vor.

Erste Anforderungen werden 2026 von Herstellern erfüllt werden müssen, bevor 2027 dann der vollständige Anforderungskatalog gilt. Nichterfüllung ist hier keine Option, da sonst ein Verkaufsverbot in der EU droht. Das sind nur zwei Beispiele, es gibt darüber hinaus noch weitere Richtlinien und Verordnungen, die relevant werden. Das alles zusammengenommen sorgt dafür, dass ordentlich Fahrt in die Frage rund um Produkt-Cybersicherheit kommt. 

Daraus ergibt sich die Chance, dass der allgemeine Sicherheitszustand der Geräte deutlich steigen könnte. Man muss aber auch anerkennen, dass gerade die Hersteller vor keine leichte Aufgabe gestellt werden. Die Anforderungen sind umfangreich und greifen tief in den Produktentwicklungsprozess ein. Zusätzlich erstrecken sie sich über den gesamten Produktlebenszyklus. Daher ist gerade für Hersteller wichtig, sich frühzeitig mit dem neuen Rahmen auseinanderzusetzen.

Unternehmen, die die Produkte schließlich einsetzen wollen, profitieren von gesteigerter Cybersicherheit und verbesserter Produktdokumentation. Für sie empfiehlt es sich, am Ball zu bleiben, sich aktiv über neue Entwicklungen zu informieren und schließlich eine Produktauswahl zu treffen, die ihre individuellen Cybersicherheitsanforderungen erfüllt.
 

Herr Jüdiges, wie sehen Sie die Entwicklung von IoT-basierten Lösungen in der Gebäudetechnik in den kommenden Jahren, insbesondere in Bezug auf die Integration von smarten Sensoren und vernetzten Geräten? Welche neuen Möglichkeiten ergeben sich für die Optimierung von Energieverbrauch und Gebäudeoperationen durch diese Technologien?

Michael Jüdiges: Das Internet der Dinge (IoT) spielt eine zunehmend zentrale Rolle in der Gebäudetechnik. Zum einen ermöglichen IoT-Technologien die Digitalisierung technischer Anlagen auf breiter Front, zum anderen schaffen sie die Grundlage für übergeordnete, liegenschaftsübergreifende Lösungen – etwa im Zusammenspiel mit künstlicher Intelligenz.

Die drängendsten Herausforderungen in der Gebäudetechnik sind aktuell die Dekarbonisierung der Energieversorgung sowie das effiziente Betriebsmanagement der technischen Gebäudeausrüstung. Angesichts des Fachkräftemangels und steigender Anforderungen an Effizienz und Nachhaltigkeit sehe ich keine realistische Zukunft, in der diese Aufgaben ohne den flächendeckenden Einsatz vernetzter Technologien bewältigt werden könnten.

Die zunehmende Vernetzung und „Smartifizierung“ von Sensoren, Aktoren und Geräten ist daher nicht nur ein Trend, sondern eine Notwendigkeit. Sie eröffnet neue Möglichkeiten, etwa zur kontinuierlichen Überwachung und Optimierung des Energieverbrauchs, zur vorausschauenden Instandhaltung oder zur dynamischen Steuerung von Systemen in Abhängigkeit von Nutzerverhalten und Umgebungsbedingungen.

Kurzum: IoT-basierte Lösungen entwickeln sich zum Rückgrat einer zukunftsfähigen, ressourcenschonenden und intelligenten Gebäudebewirtschaftung.“
 

Künstliche Intelligenz spielt zunehmend eine Rolle in der Automatisierung von Gebäudetechniken. Wie schätzen Sie das Potenzial von KI-gesteuerten Systemen in der Vorhersage und dem Management von Wartungsanforderungen oder der Optimierung von Klimaanlagen und Beleuchtung? Welche praktischen Anwendungen könnten in der Zukunft auf uns zukommen?

Michael Jüdiges: Das Potenzial KI-gestützter Systeme in der Gebäudeautomation ist erheblich, insbesondere im Hinblick auf die Abkehr von starren, modellbasierten Regelstrategien hin zu adaptiven, datengetriebenen Ansätzen. Gebäude, gebäudetechnische Anlagen und vor allem deren Nutzung unterliegen einer hohen Individualität und Variabilität, die mit klassischen Steuerungs- und Regelungskonzepten nur eingeschränkt abgebildet werden kann. Hier bietet KI die Möglichkeit, Betriebsdaten kontinuierlich auszuwerten, Muster zu erkennen und Regelstrategien fortwährend im gesamten Lebenszyklus des Gebäudes zu adaptieren.

Ein Beispiel ist die KI-basierte Optimierung des thermischen und hydraulischen Betriebspunkts von Heizungs-, Lüftungs- und Kälteanlagen unter Berücksichtigung von Nutzungsprofilen, Wetterprognosen und dynamischen Lastanforderungen. Durch den Einsatz von KI-basierten Regelstrategien können Versorgungsanlagen so geregelt werden, dass Komfortvorgaben eingehalten und gleichzeitig Energieeinsparungen realisiert werden.

Darüber hinaus eröffnen KI-Methoden erhebliche Vorteile im Bereich der vorausschauenden Wartung (Predictive Maintenance). Anhand von Anomalieerkennung auf Basis historischer Sensordaten lassen sich potenzielle Störungen frühzeitig identifizieren und Instandhaltungsmaßnahmen bedarfsgerecht einleiten – deutlich effizienter als mit klassischen Wartungsintervallen.

Zukünftige Anwendungen werden zunehmend auf selbstlernenden Systemen basieren, die sich kontinuierlich an das Nutzerverhalten und sich ändernde Umgebungsbedingungen anpassen. Dies betrifft insbesondere die Bereiche Raumklimaregelung, Beleuchtungssteuerung sowie übergreifende Energiemanagementsysteme.