FKT-Online-Seminar: Cyber-Sicherheitslücken in der Gebäudetechnik aufdecken und handeln
Netzwerk-Separierung ist ein probates Mittel, um Gebäudetechnik zuverlässig vor Hackerangriffen zu schützen und natürlich die Pflege der Systeme durch regelmäßige Software-Updates sowie ein sicherer Entwicklungsprozess.
„Nutzen Sie nur neue Gebäudeautomationsprotokolle und schützen Sie Ihre Anlagen durch moderne Schließsysteme und schlüssige Prozesse auch vor physischen Zugriffen“. Damit zunehmend vernetzte Gebäudetechnik nicht zum Einfallstor für Hacker wird, sollten Technikmanager proaktiv auf die IT-Verantwortlichen in ihren Häusern zugehen. „Machen Sie sie auf dieses Risiko und die unerlässliche Zusammenarbeit in dieser Sache aufmerksam.“
ITler haben Gebäudetechnik oft nicht auf dem Schirm
Aufzüge, GLT, Licht oder Versorgungstechnik hätten ITler oft nicht als potenzielle Ziele für Zugriffe von außen auf dem Schirm, erklärten Soheil Djafari und Timo Dauenhauer beim FKT-Online-Seminar „Cybersicherheitslücken in der Gebäudetechnik aufdecken und handeln“ weiter. Was die beiden Experten von Siemens Smart Infrastructure in ihren Beratungsobjekten an Schwachstellen detektieren, zeigt: Mögliche Angriffspunkte sind oft ebenso banal wie schwerwiegend in den Folgen.
Kleine Ursachen mit großer Wirkung
Ein Casino zum Beispiel wurde durch ein mit dem Internet verbundenes Aquarium-Thermometer gehackt. In einem anderen Fall boten frei zugängliche Netzwerkanschlüsse ein weit geöffnetes Einfallstor zu den Systemen. Der Kunde hatte keine Trennung zwischen der Office-IT und den Netzwerkanschlüssen im öffentlichen Bereich. Immer wieder fehle es an der Zugangskontrolle zu den Systemen und damit an der physischen Sicherheit. Und auch schlecht gepflegte Systeme ohne Sicherung machen es Hackern leicht, mit ihrer Ransomware ganze Betriebe lahmzulegen, berichtet Dauenhauer.
Die Zahl der erfolgreichen Angriffe hat sich verdoppelt
Die Frage laute bei Hackerangriffen nicht ob, sondern wann. Gerade Gesundheitseinrichtungen sollten sich wappnen. Die Branche sei ein lukratives Ziel. Die Zahl der erfolgreichen Angriffe sei von 2019 auf 2020 entsprechend um 100 Prozent gestiegen.
168 Maßnahmen für eine resiliente IT
Mit dem § 75 c „IT-Sicherheit in Krankenhäusern“ im Sozialgesetzbuch fünftes Buch (V) sind seit 1. Januar 2022 alle Krankenhäuser verpflichtet, nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Als Richtschnur dient bei der Erfüllung dieser Vorgabe der branchenspezifische Sicherheitsstandard (B3S). Er beschreibt 168 Maßnahmen, die nötig sind, um eine resiliente Informationstechnik zu gewährleiten und betrachtet 40 verschiedene Bedrohungsszenarien, Schwachstellen und mögliche Gefahren. Mit 88 Seiten sei das Werk überschaubar und als Leitfaden gut abzuarbeiten, so Djafari.
Versorgungstechnik ist Bestandteil des B3S
Was viele nicht wissen: Das Werk richtet sich nicht nur an die IT und die immer mehr mit der IT verbundene Medizintechnik. Ein eigener Themenkomplex zur Versorgungstechnik legt fest, wie elektrischen Anlagen, Lichttechnische Systeme, Gebäudeleittechnik und Gebäudeautomatisierungstechnik, Heizung- und Klimaanlagen, digitale Zugangs- und Schließsysteme sowie Videoüberwachung cybersicher werden.
Maria Thalmayr
Bild von Siemens AG