Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

BSI IT-Grundschutz

Facility Management: Security » Sicherheit » Normen » BSI IT-Grundschutz

BSI IT-Grundschutz im Facility Management als etablierter Sicherheitsstandard zur Umsetzung eines Informationssicherheits-Managementsystems für IT- und Gebäudetechnik

BSI IT‑Grundschutz im FM – Sicherheitsnormen und strategische Implikationen

Die fortschreitende Digitalisierung vernetzt Heizungs‑, Klima‑, Aufzugs‑ und Zutrittskontrollsysteme eng mit der Unternehmens‑IT. Dadurch steigen Effizienz und Komfort, zugleich entstehen neue Angriffsflächen. Um diese Risiken zu adressieren, benötigen Leitungspersonen im Facility Management belastbare Sicherheitsstandards.

Das IT‑Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt eine etablierte Methode zum Aufbau eines Information‑Security‑Management‑Systems (ISMS) bereit, das technische, organisatorische, infrastrukturelle und personelle Aspekte umfasst. Die Digitalisierung der Gebäudetechnik macht das Facility Management zu einem zentralen Akteur der Informationssicherheit. Der BSI IT‑Grundschutz bietet mit seinen Standards 200‑1 bis 200‑4 einen robusten methodischen Rahmen und mit den Bausteinen INF.13 und INF.14 spezifische Vorgaben für das Technische Gebäudemanagement und die Gebäudeautomation. Für Leitungspersonen im Facility Management heißt das: Informationssicherheit muss in jede Phase der Planung, Errichtung und des Betriebs integriert werden. Das schließt eine sorgfältige Analyse von Gefährdungen, ein vollständiges Asset-Inventar, klare Zuständigkeiten, sichere Netzarchitekturen, kontinuierliches Monitoring sowie regelmäßige Tests mit ein. Die Module des IT‑Grundschutzes sind dabei kein starres Korsett, sondern bieten abgestufte Schutzniveaus und lassen sich mit internationalen Normen kombinieren. Eine konsequente Umsetzung schafft die Voraussetzung für sichere, resilienter und zukunftsfähige Gebäude – und ist damit nicht nur eine Compliance-Pflicht, sondern auch eine strategische Investition.

BSI IT-Grundschutz als Sicherheitsrahmen

Grundlagen des BSI IT‑Grundschutzes

Der IT‑Grundschutz basiert auf vier Standards. BSI‑Standard 200‑1 beschreibt die Anforderungen an ein ISMS. BSI‑Standard 200‑2 erläutert unterschiedliche Vorgehensweisen zur Umsetzung, darunter die Basis-, Kern- und Standard-Absicherung. Diese flexiblen Varianten erlauben eine an den Schutzbedarf angepasste Umsetzung – vom Einstieg für kleinere Einrichtungen über die Absicherung kritischer Prozesse bis hin zur Zertifizierung. Standard 200‑3 ergänzt das Risiko­management, und Standard 200‑4 behandelt das Notfallmanagement. Der modernisierte Ansatz gestattet es, einzelne Informationsverbünde zu betrachten und so Ressourcen zu schonen. Für Behörden und kritische Infrastrukturen ist die Zertifizierung nach ISO 27001 auf Basis des IT‑Grundschutzes Pflichtf; private Betreiber profitieren von einem anerkannten Sicherheitsnachweis.

Das Kompendium umfasst eine Vielzahl von Bausteinen, die typische Systeme (z. B. Server, Netzwerke) und Prozesse abdecken. Alle Bausteine bestehen aus grundsätzlichen Gefährdungen, Basis-Anforderungen (obligatorische Maßnahmen) sowie optionalen Standard‑ und erhöhten Anforderungen. Erstmalig beziehen die Module INF.13 und INF.14 auch die physische Gebäudetechnik ein.

Bedeutung für das Facility Management

Facility Management verantwortet den störungsfreien und sicheren Betrieb von Gebäuden, Infrastrukturen und technischen Anlagen. Mit der zunehmenden Digitalisierung verschwimmen die Grenzen zwischen klassischer IT und Betriebstechnik (Operational Technology, OT). Alte TGA‑Anlagen wurden ohne Sicherheitskonzept entwickelt und sind oft ungehärtet; gleichzeitig gibt es organisatorische Silos zwischen IT‑Abteilung, Energieversorgung und Gebäudetechnik.

Für Leitungspersonen entstehen daraus drei zentrale Herausforderungen:

  • Sicherheitslücke schließen: Eine Attacke auf die Gebäudeautomation kann Betriebsprozesse stören oder Personen gefährden. Das Beispiel eines manipulierten vernetzten Thermometers, das als Einfallstor für Angriffe diente, verdeutlicht die reale Bedrohung.

  • Compliance erreichen: Bauliche Anlagen und Sicherheitstechnik unterliegen strengen regulatorischen Anforderungen. Der IT‑Grundschutz ermöglicht den Nachweis, dass gesetzliche und branchenspezifische Vorgaben eingehalten werden.

  • Governance etablieren: Facility‑Management‑Organisationen benötigen klare Verantwortlichkeiten und Verfahren, um IT- und OT-Systeme integriert zu betreiben und zu sichern. Der IT‑Grundschutz gibt hierzu methodische Hilfestellung.

Modul INF.13 – Technisches Gebäudemanagement

Der Baustein INF.13 legt Anforderungen an die Informationssicherheit im Technischen Gebäudemanagement fest. Er versteht TGM als Sammelbegriff für alle Aktivitäten zur Planung, Errichtung, Inbetriebnahme und Wartung der technischen Gebäudeausrüstung. Typische Gefährdungen sind fehlende Planung, unzureichende Dokumentation, manipulierte Schnittstellen und unterschätzte Rollen- und Berechtigungsfragen.

Der Baustein benennt gestaffelte Anforderungen. Die Basis‑Anforderungen verlangen eine Beurteilung des Ist‑Zustands, die Dokumentation der Verantwortlichkeiten und die Inventarisierung aller TGA‑Anlagen. Darauf aufbauend sollen Organisationen ein Sicherheitskonzept entwickeln, das Richtlinien, Härtung, sichere Konfiguration, Rollen‑ und Berechtigungsmanagement, proaktive Wartung, Monitoring und Protokollierung umfasst und in das Schwachstellenmanagement integriert wird. Für hochkritische Umgebungen nennt das Modul zusätzliche Maßnahmen wie Testumgebungen, Penetrationstests, den sicheren Einsatz von BIM, private Cloud-Lösungen und SIEM‑Integration.

Modul INF.14 – Gebäudeautomation

Der Baustein INF.14 erweitert den IT‑Grundschutz auf die Gebäudeautomation. GA-Systeme steuern und überwachen TGA-Anlagen, vernetzen Sensoren, Aktoren und Leitsysteme. Sie bieten Komfort, bergen aber spezifische Sicherheitsrisiken: Planungsfehler durch heterogene Dienstleister, fehlerhafte Integration zwischen TGA-Komponenten, unsichere oder veraltete Systeme und Protokolle sowie unzureichende Zugänge. Die Anforderungen dieses Bausteins lassen sich ähnlich gliedern:

Im Baustein werden, analog zu INF.13, Basis-, Standard- und erhöhte Anforderungen unterschieden. Die Basismaßnahmen definieren, dass Sicherheitsziele bereits in die Planung und Ausschreibung einfließen, dass Inbetriebnahme und Schnittstellen dokumentiert werden und dass TGA- und GA‑Systeme sicher gekoppelt sowie inventarisiert werden. Darauf aufbauend fordert INF.14 ein GA‑Sicherheitskonzept, das Netzsegmentierung, sichere Protokolle, Identitätsmanagement, Monitoring und Notfallplanung umfasst. Für Umgebungen mit hohem Schutzbedarf empfiehlt der Baustein zusätzliche physische Trennungen und erweiterte Testverfahren.

Internationale Normen und Ergänzungen

Die Module INF.13 und INF.14 sind in einen internationalen Kontext eingebettet. Die Normenreihe IEC 62443 beschreibt Sicherheitsanforderungen für industrielle Automatisierungs- und Steuerungssysteme. Das VDMA‑Einheitsblatt 24774 legt branchenspezifische Richtlinien für die Gebäudeautomation fest, und die US-amerikanische Publikation NISTIR 8228 betont, dass OT-Systeme nicht wie klassische IT gehandhabt werden dürfen. Diese Standards ergänzen den IT‑Grundschutz um detaillierte technische Anforderungen. Für Facility-Manager bedeutet dies: Der IT‑Grundschutz liefert die Methodik und Governance, während IEC 62443 und VDMA 24774 die technische Umsetzung im industriellen Umfeld spezifizieren.

Strategische Empfehlungen

Die Bausteine bieten keine Patentrezepte, doch sie ermöglichen der Leitungsebene, systematisch vorzugehen.

Wichtige Handlungsfelder sind:

  • Risikoorientierung und Inventarisierung: Eine strukturierte Risikoanalyse zeigt, welche Gebäude und Anlagen besonderen Schutz benötigen. Grundlage ist ein aktuelles Asset‑Inventar, das Geräte, Softwarestände und Schnittstellen erfasst und kontinuierlich gepflegt wird.

  • Governance und Verantwortlichkeiten: Rollen, Zuständigkeiten und Schnittstellen müssen klar festgelegt und dokumentiert werden. Ein geeignetes Rollen‑ und Berechtigungsmanagement verhindert unautorisierte Eingriffe.

  • Sicherheitskonzepte und Netzarchitektur: Aufbauend auf den Modulen sind Sicherheitsrichtlinien und Konzepte für TGM und GA zu entwickeln, die Netzsegmentierung, sichere Protokolle, Mindestanforderungen an Lieferanten und Verfahren zur Änderungssteuerung festlegen. Härtung der Systeme und der Schutz von Übergängen durch Firewalls reduzieren die Angriffsfläche.

  • Monitoring und Notfallmanagement: Kontinuierliches Monitoring, Protokollierung und Schwachstellenmanagement ermöglichen die Früherkennung von Angriffen. Ergänzend sind Notfall- und Wiederanlaufpläne sowie regelmäßige Testverfahren erforderlich.

  • Personal und internationale Standards: Schulungen und Sensibilisierung des Personals erhöhen die Sicherheitskompetenz. Ergänzen Sie den IT‑Grundschutz mit branchenspezifischen Normen wie IEC 62443 und VDMA 24774, insbesondere wenn Gebäudeautomation mit Produktionsanlagen interagiert.