Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

ISO/IEC 27000 Informationssicherheit

Facility Management: Security » Sicherheit » Normen » ISO/IEC 27000 Informationssicherheit

ISO/IEC 27000 Informationssicherheit im Facility Management

ISO/IEC 27000 Informationssicherheit im Facility Management

Die Digitalisierung der Gebäudewirtschaft hat dazu geführt, dass Facility‑Management‑Leitungen heute nicht mehr nur für den reibungslosen Betrieb physischer Anlagen verantwortlich sind, sondern auch für die Sicherheit vernetzter Informationssysteme. Moderne Gebäude werden über digitale Leitstellen, Sensoren und Aktoren gesteuert. Heizungs‑, Lüftungs‑ und Klimaanlagen (HVAC), Zutrittskontrollsysteme sowie intelligente Gebäudeautomationssysteme (BAS) sind in ein umfassendes Netzwerk eingebunden, um Energieeffizienz und Nutzerkomfort zu maximieren. Dieser technologische Fortschritt bringt erhebliche Effizienzgewinne, erhöht aber auch die Angriffsfläche für Cyberbedrohungen. Die internationale Normenfamilie ISO/IEC 27000 stellt ein kohärentes Rahmenwerk bereit, mit dem Organisationen ihre Informationssicherheits‑Managementsysteme (ISMS) planen, umsetzen und kontinuierlich verbessern können.

Sie definiert einen Rahmen, der sowohl die technischen als auch die organisatorischen Komponenten der Sicherheit umfasst und durch das PDCA‑Modell eine kontinuierliche Verbesserung sicherstellt. Für Facility Management bedeutet dies, digitale Infrastruktur und physische Gebäudetechnik in einem integrierten Sicherheitsmanagement zu verbinden. Die steigende Zahl von Cybervorfällen und deren hohe wirtschaftliche und operative Auswirkungen zeigen, dass Informationssicherheit längst zur Kernaufgabe des FM geworden ist. Mit der Implementierung von ISO 27001 und verwandten Normen können Leitungskräfte nicht nur Compliance und Kundenzufriedenheit steigern, sondern auch die Resilienz ihrer Organisation stärken, indem sie digitale und physische Risiken zusammen denken. Durch eine vorausschauende Sicherheitsstrategie, fortlaufende Schulungen und konsequente Technologie‑ sowie Prozesskontrollen schaffen sie eine stabile Basis, um vernetzte Gebäude sicher, effizient und nachhaltig zu betreiben.

Die ISO/IEC‑27000‑Reihe: Überblick und Zielsetzungen

Die ISO/IEC‑27000‑Reihe ist ein internationales Normensystem, das gemeinsam von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) entwickelt wurde. Ziel ist es, Organisationen aller Branchen und Größen beim Schutz ihrer Informationen zu unterstützen. Die Serie umfasst heute 46 Einzelnormen; sie bietet eine systematische Methodik, um vertrauliche Unternehmensdaten zu verwalten und Datenlecks zu minimieren. Während ISO/IEC 27000 die Begriffe und Grundbegriffe definiert, legt ISO/IEC 27001 die Anforderungen an ein ISMS fest. ISO/IEC 27002 enthält Leitlinien zur Umsetzung der in ISO 27001 definierten Kontrollen, ISO/IEC 27004 liefert Regeln zur Messung der Informationssicherheit, und ISO/IEC 27005 erläutert das Management von Informationssicherheitsrisiken.

Die Normen zielen auf den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten – die sogenannte CIA‑Triade. Ein wirksames ISMS muss sicherstellen, dass Daten nur autorisierten Personen zugänglich sind, unverändert bleiben und stets verfügbar sind. Dazu nutzt die Normenfamilie das Plan‑Do‑Check‑Act‑Modell (PDCA) als zyklischen Verbesserungsprozess: Planung (Plan) der Sicherheitsstrategie, Umsetzung (Do) geeigneter Kontrollen, Überprüfung (Check) der Wirksamkeit und Anpassung (Act) zur kontinuierlichen Verbesserung.

Gemäß der Abstract der ISO/IEC 27000:2018‑Norm vermittelt die Norm einen Überblick über ISMS und stellt die Begriffe bereit, die in der gesamten Normenfamilie verwendet werden. Sie ist für Organisationen jeder Art – kommerzielle Unternehmen, Behörden, NGOs – anwendbar und schränkt die Definition neuer Begriffe nicht ein. Die Reihe unterstützt Organisationen dabei, die Sicherheit von Vermögenswerten wie Finanzinformationen, geistigem Eigentum, Mitarbeiterdaten und durch Dritte anvertrauter Informationen zu verwalten. Diese breite Anwendbarkeit macht die Normenfamilie auch im Facility Management relevant.

Relevanz für das Facility Management

Facility Management (FM) dient der strategischen Planung, Steuerung und Kontrolle aller gebäudebezogenen Leistungen. Mit der zunehmenden Integration digitaler Technologien hat sich die Rolle des FM grundlegend verändert. Gebäudeautomation und IoT‑Geräte ermöglichen es, Energieverbräuche zu optimieren und Komfortparameter dynamisch zu steuern. Gleichzeitig steigt dadurch die Abhängigkeit von IT‑Systemen. In der heutigen vernetzten Welt spielt Technologie eine entscheidende Rolle bei der Verwaltung und Instandhaltung von Gebäuden. HVAC‑ und Gebäudeautomationssysteme sind zu integralen Bestandteilen moderner Einrichtungen geworden, und obwohl sie erhebliche Vorteile bringen, erhöhen sie die Angriffsfläche für Cyberbedrohungen.**

Die Folgen eines Cyberangriffs auf ein Gebäude können erheblich sein. Die Fachpresse weist darauf hin, dass eine Cyberattacke zu kompromittierten Zugangsdaten, Betriebsunterbrechungen, physischen Schäden und Sicherheitsrisiken führen kann. Facility‑Manager müssen deshalb die Schwachstellen von IoT‑Geräten, Kommunikationsprotokollen und zentralen Managementsystemen kennen und eine aktive Rolle beim Schutz dieser Systeme übernehmen. Die International Facilities Management Association (IFMA) weist ausdrücklich darauf hin, dass die Integration von physischer und Cyber‑Sicherheitsarchitektur zunehmend an Bedeutung gewinnt und FM‑Fachkräfte maßgeblich zur Sicherheit von Menschen und Organisationswerten beitragen.

Auch die wirtschaftlichen Risiken sind enorm: 2023 wurden weltweit 3 205 Datenkompromisse gemeldet, 72 % mehr als 2021; die überwiegende Mehrheit war auf Cyberangriffe zurückzuführen. Laut einer Studie betrugen die durchschnittlichen Kosten einer Datenpanne im selben Jahr 4,45 Mio. US‑Dollar, während Unternehmen durchschnittlich 204 Tage zur Entdeckung und 73 Tage zur Eindämmung eines Vorfalls benötigten. Für Facility‑Manager bedeutet dies, dass ein erfolgreicher Angriff nicht nur den Betrieb gefährdet, sondern auch hohe Kosten, Reputationsschäden und gesetzliche Meldepflichten nach sich zieht. Das Verständnis potenzieller Einfallstore und die Nutzung geeigneter Technologien und Prozesse sind daher wesentliche Aufgaben des FM.

Risiko‑ und Bedrohungslandschaft: Ransomware, Cyberattacken und IoT

Mit dem Aufkommen von Industrie‑ und Gebäude‑IoT hat sich die Bedrohungslandschaft erweitert. Kriminelle nutzen spezialisierte Suchmaschinen, die nach vernetzten Geräten im Internet suchen und diese katalogisieren, um potenzielle Ziele zu identifizieren. Für Facility‑Manager bedeutet dies, dass jeder internetfähige Sensor oder Controller des Gebäudes auffindbar und angreifbar sein kann. Daher ist der erste Schritt zur Risikominimierung, zu wissen, welche Geräte mit dem Internet verbunden sind.

Ein weiteres Problem ist Ransomware. Fachquellen berichten, dass im Bereich der Gebäudeautomation Ransomware‑Angriffe am häufigsten vorkommen und dass zwischen 2022 und 2023 die Zahl der gemeldeten Ransomware‑Attacken um nahezu 73 % auf 4 611 Fälle gestiegen ist. Die Schadsoftware verschlüsselt Daten oder sperrt Systeme, bis ein Lösegeld gezahlt wird. Schulungen der Mitarbeitenden und regelmäßige Software‑Updates sind wesentliche Maßnahmen, um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu senken.

Auch die „Bequemlichkeitsfalle“ birgt Risiken: Um Kosten und Zeit zu sparen, greifen Servicetechniker häufig per Fernzugriff auf Systeme zu oder teilen sich Benutzerkonten. Dadurch wird die Nachvollziehbarkeit eingeschränkt und ein Angriff begünstigt. Experten raten zu individuellen Zugangsdaten für jede Person und zur Nutzung von Mehr‑Faktor‑Authentifizierung, um unberechtigten Zugriff zu erschweren. Zudem müssen Zugriffsrechte bei Personalwechseln umgehend entzogen werden.

Um die Kommunikation über unsichere Netzwerke abzusichern, empfehlen sich Virtual Private Networks (VPN). Sie verschlüsseln die Verbindung zwischen Gerät und Netzwerk und können verhindern, dass Daten abgefangen werden. Ergänzend dazu sollten OT‑Monitoring‑Tools eingesetzt werden, die speziell für Gebäude‑Systeme entwickelt wurden und Schwachstellen erkennen, ohne die Systeme zu stören. Sicherheitsstrategien sollten außerdem davon ausgehen, dass Angreifer trotz aller Schutzmaßnahmen in das Netz gelangen können. Ziel muss es sein, den Abfluss von Daten zu verhindern; Edge‑Geräte an der Netzgrenze können den eingehenden und ausgehenden Datenverkehr überwachen und unerlaubte Datenübertragungen stoppen.

Integration von ISO 27000 in das Facility‑Management‑System

Die Umsetzung der ISO/IEC‑27000‑Reihe im Facility Management erfordert einen strategischen Ansatz und die Einbettung in bestehende Managementsysteme (u. a. Qualitäts‑, Umwelt‑, Arbeits‑ und Sicherheitsmanagement). Zentral ist die Einführung eines Informationssicherheits‑Managementsystems (ISMS) nach ISO/IEC 27001. Die Norm definiert Anforderungen für die Planung, Einführung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS.

Kontext, Führung und Planung

Nach ISO 27001 müssen Unternehmen zunächst den organisatorischen Kontext bestimmen, interne und externe Einflussfaktoren analysieren und den Anwendungsbereich des ISMS festlegen. Die Leitung muss Engagement zeigen, geeignete Sicherheitsziele und –politiken formulieren sowie Rollen und Verantwortlichkeiten klar zuordnen. Im Planungsprozess sind sowohl die Risikobewertung als auch der Umgang mit Risiken zu definieren. Dazu gehört die Festlegung messbarer Informationssicherheitsziele, die mit der Unternehmensstrategie in Einklang stehen.

Unterstützung, Betrieb und Performance Evaluation

Die Organisation muss ausreichende Ressourcen bereitstellen, das notwendige Fachwissen sicherstellen und das Personal über seine Rollen im Bereich Informationssicherheit aufklären. Alle betrieblichen Prozesse sind unter Berücksichtigung identifizierter Risiken zu gestalten und in einem transparenten Verfahren zu dokumentieren. Die Leistungsbewertung umfasst regelmäßige Überwachung, Messung und interne Audits, um die Wirksamkeit des ISMS zu prüfen und Verbesserungsmöglichkeiten zu identifizieren. Auf Grundlage dieser Analysen wird das System stetig verbessert.

Relevante Kontrollen für das Facility Management

Die revidierte ISO 27001:2022 enthält 93 Kontrollen, von denen 11 neu hinzugekommen sind.

Besonders für das Facility Management relevant sind beispielsweise:

  • A.5.7 Threat intelligence – das Sammeln und Bewerten von Informationen über Bedrohungen, um geeignete Schutzmaßnahmen zu planen.

  • A.5.23 Information Security for the Use of Cloud Services – Absicherung cloudbasierter Facility‑Management‑Plattformen.

  • A.5.30 ICT readiness for business continuity – Sicherstellung, dass Gebäudesysteme im Notfall weiter betrieben werden können.

  • A.7.4 Physical security monitoring – Überwachung der physischen Sicherheit, insbesondere in vernetzten Gebäuden.

  • A.8.9 Configuration Management und A.8.10 Information deletion – Verwaltung von Geräte‑Konfigurationen und sichere Löschung sensibler Daten.

  • A.8.16 Monitoring activities und A.8.23 Web filtering – Überwachung von Netzaktivitäten und Filtern von Webzugriffen.

  • A.8.28 Secure coding – sichere Programmierung bei der Entwicklung individueller FM‑Software.

Diese Kontrollen müssen in die Prozesse des Gebäudebetriebs integriert werden. Da Facility‑Manager häufig auch für physische Sicherheit und Notfallmanagement zuständig sind, sollten sie ISO 27001 mit ISO 31000 (Risikomanagement), ISO 22301 (Business Continuity Management) und der branchenspezifischen ISO 41001 (Facility‑Management‑Systeme) koppeln.

Die Einbindung in das Gesamt‑Managementsystem erfordert zudem ein interdisziplinäres Team, das aus IT‑Sicherheitsexperten, Gebäudetechnikern und Risiko‑ bzw. Compliance‑Beauftragten besteht. Dieser integrierte Ansatz entspricht der Forderung der Norm, Menschen, Prozesse und Technologie ganzheitlich zu betrachten. Schließlich müssen Facility‑Manager die Migration zur revidierten ISO 27001:2022 bis zum 31. Oktober 2025 vollziehen.

Handlungsempfehlungen für Facility‑Management‑Leitungen

  • Inventarisierung und Klassifizierung von Informationswerten: Erfassen Sie alle IT‑ und OT‑Assets (Sensoren, Steuerungen, Server, Netzwerke) sowie die zugehörigen Daten und kategorisieren Sie diese nach Schutzbedarf. Nur wer weiß, welche Geräte verbunden sind, kann Risiken gezielt managen.

  • Risikobewertung und Bedrohungsanalyse: Analysieren Sie systematisch alle potenziellen Bedrohungen, Schwachstellen und Auswirkungen. Nutzen Sie dabei Bedrohungsinformationen (Threat Intelligence) gemäß A.5.7.

  • Zugangskontrolle und Authentifizierung: Implementieren Sie individuelle Benutzerkonten, Mehr‑Faktor‑Authentifizierung und rollenbasierte Berechtigungen. Bequeme, gemeinsam genutzte Logins erhöhen das Risiko.

  • Netzwerksicherheit und Segmentierung: Nutzen Sie VPNs, Firewalls und Netzsegmentierung, um Produktionsnetze (OT) von Unternehmensnetzen (IT) zu trennen. Dadurch wird die Angriffsfläche reduziert.

  • Schulung und Sensibilisierung: Schulen Sie alle Mitarbeitenden regelmäßig in Sicherheitsfragen. Ein Großteil der Cyberangriffe beginnt mit Phishing; durch Aufmerksamkeit kann die Erfolgsquote von Angreifern massiv reduziert werden.

  • Patch‑ und Konfigurationsmanagement: Sorgen Sie für aktuelle Software‑Stände und sichere Konfigurationen. Neue Schwachstellen müssen zeitnah behoben werden, sonst dienen sie als Einfallstor.

  • Incident Response und Business Continuity: Entwickeln Sie Notfallpläne für Cyber‑Zwischenfälle und testen Sie diese regelmäßig. Ein effektives Business‑Continuity‑Management stellt sicher, dass kritische Prozesse (z. B. Versorgung mit Wärme oder Zugangssicherung) auch bei Sicherheitsvorfällen fortgeführt werden können.

  • Kontinuierliche Verbesserung: Führen Sie interne Audits und Management‑Reviews durch, um den Reifegrad des ISMS zu überwachen und stetig zu verbessern. Dokumentieren Sie Prozesse und passen Sie Richtlinien kontinuierlich an neue Technologien und Bedrohungen an, um die „Alterung“ der Sicherheitsmaßnahmen zu verhindern.