Cybersecurity Gebäudeautomatisierung: Beckhoff, BACnet & KNX sicher konfigurieren

So schützen Sie HLK-Anlagen, Lüftungstechnik und Smart Buildings vor Cyberangriffen – Praxisleitfaden für Facility Manager und Gebäudetechniker

Cybersecurity in der Gebäudeautomatisierung: Das Wichtigste in Kürze

In der Gebäudeautomatisierung und HLK-Technik zählen Verfügbarkeit und Sicherheit des Prozesses

Das gelingt, wenn Sie:

  • Ihr Netz in Zonen trennen

  • Den Feldbus .z.B. EtherCAT strikt kapseln

  • Beckhoff-Kommunikation auf Secure ADS umstellen

  • BACnet/SC als sicheren Backbone etablieren

  • KNX Secure aktivieren

  • Fernzugriff nur über VPN + Jump-Host erlauben

So reduzieren Sie die Angriffsfläche spürbar – ohne die Anlage auszubremsen.

HLK-Anlagen und Smart Buildings: Das unterschätzte Cybersecurity-Risiko

Die brutale Wahrheit: Während Ihre IT-Abteilung Millionen in Firewalls und Endpoint-Protection investiert, hängen viele Gebäudeautomatisierungs­systeme ungeschützt im Netz. BACnet läuft unverschlüsselt, Building-Gateways sind direkt aus dem Internet erreichbar, und Steuerungskomponenten antworten bereitwillig auf Anfragen.

Die gefährliche Wissenslücke

Das Problem: Ihre IT weiß oft nicht einmal, dass diese Building Automation Systems (BAS) existieren. Facility Management installiert „mal eben“ eine neue Lüftungssteuerung, der Elektriker konfiguriert Smart-Building-Gateways mit Standardpasswörtern, und die HLK-Firma richtet „für die Fernwartung“ einen direkten Internetzugang ein.

 

Das Ergebnis: Ein Paralleluniversum aus ungemanagten, ungeschützten Systemen, die direkten Einfluss auf Ihren Geschäftsbetrieb haben.

Facility-Security im KMU: besonders verwundbar

KMU-Realität:

  • Keine Building-Security-Expert:innen im Team

  • Budget fließt in „sichtbare“ IT

  • Gebäudetechnik läuft „seit Jahren problemlos“

  • Externe Facility-Dienstleister arbeiten mit veralteten Sicherheitsstandards

Die Folge: Ein 50-Mitarbeiter-Unternehmen kann genauso hart getroffen werden wie ein Konzern – wenn die Klimaanlage ausfällt, die Zutrittskontrolle versagt oder die Heizung in der Produktion streikt.

Auch Großunternehmen tappen im Dunkeln

Konzern-Problem: Je größer das Unternehmen, desto mehr Standorte, desto mehr „gewachsene“ Systeme – desto weniger Überblick.

 

Typische Szenarien:

  • Facility Management meldet sich nie bei der IT

  • Wartungsfirmen installieren eigene Fernzugänge

  • Verschiedene Gewerke (HLK, Elektro, Sicherheit) arbeiten parallel

  • Legacy-Systeme laufen seit 10+ Jahren unverändert

  • Dokumentation ist unvollständig oder veraltet

Die ernüchternde Realität: vieles ist bereits exponiert

Shodan-Suche gefällig? Suchen Sie nach „BACnet“ oder „port:47808“ – es finden sich zahlreiche ungeschützte Gebäudesteuerungen weltweit: Objektlisten, Temperaturen, Zeitpläne, Alarme. Frei zugänglich. Ohne Passwort.

Die häufigsten Denkfehler

„Das ist ja nur die Heizung.“ → Die „nur“-Heizung kann Ihren Serverraum überheizen.
„Unsere Gebäudetechnik ist nicht mit dem Internet verbunden.“ → Modems, WLAN-Bridges und „temporäre“ VPN-Zugänge schaffen Wege.
„Das macht unser Facility-Dienstleister.“ → Deren Standards entsprechen oft nicht Ihren Anforderungen.
„Die Systeme laufen seit Jahren stabil.“ → Stabilität ≠ Sicherheit. Viele Angriffe bleiben unentdeckt.
„Dafür ist nicht genug Budget da.“ → Ein Ausfall kostet mehr als die Absicherung aller Systeme.

Warum Gebäudeautomatisierung andere Security-Anforderungen hat

In Büronetzwerken gilt oft „Vertraulichkeit zuerst“. In der Gebäudeautomatisierung – bei Lüftungsanlagen, Heizregistern, Pumpen und Antrieben – stehen Prozesssicherheit und Verfügbarkeit vorn. Ein falsch gesetzter Port-Forward ist hier nicht nur Theorie, sondern kann Wartungen verhindern oder ganze Gebäudeteile außer Betrieb setzen.

Darum braucht es eine Architektur, die Risiken eindämmt, ohne den Betrieb zu stören.

Das reale Setting: Eine HLK-Anlage, drei Welten

Ihre typische Ausgangslage:

  • Ein Beckhoff-Controller (CX-Serie) spricht per EtherCAT mit I/Os

  • Auf Gebäudeebene laufen Bestandsanlagen über BACnet/IP

  • Neue Systeme sollen sicher angebunden werden

  • In der Raumautomation dominiert KNX; moderne Geräte können KNX Secure

  • Engineering passiert mit TwinCAT und ETS

  • Berichte laufen nordwärts ins IT-Netz

Konkrete Schwachstellen aus der Praxis

Was Angreifer wirklich finden:

  • 🔓 Offene BACnet-Systeme: UDP-Port 47808 weltweit erreichbar; Objektlisten, Zeitpläne, Alarme einsehbar

  • 🔓 Standard-Credentials: „admin/admin“ auf Gateways und Steuerungen, Jahre nach der Inbetriebnahme

  • 🔓 Ungeschütztes Beckhoff-ADS: klassische ADS-Kommunikation (TCP 48898) ohne Transportverschlüsselung; bei Exposition oder Fehlkonfiguration können Engineering-Funktionen aus dem Netz erreichbar sein → Secure ADS (TLS, TCP 8016) erzwingen und klassische ADS-/Discovery-Ports sperren

  • 🔓 Offenes VNC/RDP: HMI-Panels direkt aus dem Internet administrierbar

  • 🔓 Veraltete Firmware: bekannte CVEs, nie gepatcht

  • 🔓 Unsegmentierte Netze: Ein kompromittiertes Gerät = Seitwärtsbewegung in alle Gewerke

Was passiert bei einem erfolgreichen Angriff?

Szenario 1: Produktionsausfall

  • Klimaanlage wird sabotiert → Serverraum überhitzt → IT-Systeme fallen aus
  • Kosten: Produktionsstillstand + Datenverlust + Wiederanlauf

Szenario 2: Physischer Schaden

  • Heizungssteuerung manipuliert → Rohrleitungen defekt → Wasserschaden
  • Kosten: Gebäudeschaden + Versicherung + monatelange Sanierung

Szenario 3: Subtile Manipulation

  • Lüftungszeiten verändert → Energieverbrauch steigt unmerklich
  • Kosten: Jahrelang überhöhte Betriebskosten, schwer zu entdecken

Szenario 4: Compliance-Verstoß

  • Temperaturprotokollierung manipuliert → Pharma-Chargen ungültig
  • Kosten: Vernichtung + Audit + Behördensanktionen

Architektur, die schützt: Zonen & Conduits

Der wichtigste Schritt ist simpel und wirksam: trennen und nur gezielt verbinden.

Die Zonen-Struktur

  • EtherCAT-Segment: Bleibt strikt im Feldbus
  • Steuerungszone: Controller und Engineering-Schnittstellen
  • Gebäudezone: BACnet mit BACnet/SC-Hub als sicherem Knoten
  • KNX-VLAN: Eigenes Netz für Raumautomation
  • Jump-Host-Zone: Engineering erfolgt hier
  • IT/SCADA-Conduits: Daten fließen nur über definierte Kanäle (z.B. zertifikatsbasiertes OPC UA)

Grundprinzip: Alles, was nicht explizit erlaubt ist, bleibt zu.

Fazit: Sichere Gebäudeautomatisierung durch durchdachte Architektur

Cybersecurity in der Gebäudeautomatisierung ist vor allem gute Architektur. Mit klaren Zonen, verschlüsselten Engineering-Kanälen, einem sicheren Gebäude-Backbone und sauberem Fernzugriff halten Sie Angreifer auf Distanz – und sorgen gleichzeitig für ruhige, planbare Wartungsfenster.

 

Das Ergebnis spüren Sie nicht nur im Audit, sondern im Alltag: weniger Überraschungen, mehr Kontrolle.

Brauchen Sie Unterstützung bei der Absicherung Ihrer Gebäudeautomatisierung?

CYBS hilft Ihnen bei der praktischen Umsetzung – von der Architektur-Analyse bis zur sicheren Konfiguration Ihrer Gebäudetechnik-Systeme.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert