Unternehmenssicherheitsmanagement: Gesicherte Kommunikation

Technische Schutzlösungen entfalten nur dann volle Wirkung, wenn sie durch geeignete organisatorische Maßnahmen flankiert werden. Im Unternehmenssicherheitsmanagement für Facility Management müssen Governance-Strukturen, Richtlinien, Prozesse und Verantwortlichkeiten klar definiert sein, um sichere Kommunikation dauerhaft zu gewährleisten.

Eine zentrale Maßnahme ist die Etablierung eines formalen Informationssicherheits-Managementsystems (ISMS), z.B. nach ISO 27001 oder BSI-Grundschutz. Darin werden Zuständigkeiten, Prozesse und Leitlinien für die Informationssicherheit festgelegt. Für den FM-Bereich sollten spezifische Sicherheitsrichtlinien entwickelt werden – etwa eine „Richtlinie für Gebäudekommunikation und -automation“. Diese legt fest, welche Verschlüsselungsstandards zu verwenden sind, wie Zugriffskontrollen gestaltet werden (z.B. Vergabe von Admin-Rechten für Gebäudeleitsysteme), wie mit externen Partnern (Wartungsfirmen, Lieferanten) sicher zu kommunizieren ist und welche Prozesse bei Sicherheitsvorfällen greifen. Wichtig ist, dass Governance vom Top-Management getragen wird: Die Leitung muss Security-Ziele vorgeben und z.B. in einer Sicherheitsleitlinie verankern, dass der Schutz der Gebäudetechnik Teil der Unternehmensstrategie ist.

Zum Governance-Framework gehört auch die Einrichtung eines lenkenden Gremiums (z.B. Security Board), in dem FM-Verantwortliche, IT-Security, Gebäudetechnik und ggf. Datenschutz regelmäßig zusammenkommen. Dieses Gremium überwacht die Umsetzung der Sicherheitsmaßnahmen, priorisiert Risiken und genehmigt Maßnahmenpläne. Klare Policies sorgen für bereichsübergreifendes Verständnis: Beispielsweise muss geregelt sein, dass Techniker im Facility Management Änderungen an Konfigurationen nur nach einem definierten Freigabeprozess durchführen dürfen (Change Management) und dass Kommunikationswege ins Gebäudeleitsystem nur über freigegebene Kanäle erfolgen. Solche Richtlinien sollten möglichst an bestehende Standards angelehnt sein (BSI IT-Grundschutz, IEC 62443-2-1 für Sicherheitsmanagement in Industriebetrieben usw.), damit sie umfassend und anerkannt sind.

Eine zentrale organisatorische Frage ist: Wer ist wofür verantwortlich? Im Facility Management sind traditionell viele Parteien involviert – interne Technikabteilungen, externe FM-Dienstleister, verschiedene Gewerke wie Klima, Sicherheit, IT etc.. Daher ist es essenziell, ein Verantwortlichkeitsmodell festzulegen. Best Practice ist die Benennung eines Informationssicherheitsbeauftragten (CISO) sowie spezifisch eines Sicherheitskoordinators für FM/OT, der als Schnittstelle zwischen IT-Security und Gebäudemanagement fungiert. Dieser Koordinator stellt sicher, dass Sicherheitsanforderungen im täglichen Betrieb eingehalten werden und fungiert als Ansprechpartner bei Vorfällen.

Operative Prozesse müssen angepasst werden: Patch- und Schwachstellenmanagement z.B. auch für Gebäudesysteme etablieren (regelmäßige Updates bzw. Herstellerinfos einholen, Risikobewertung von Schwachstellen in z.B. Aufzugsteuerungen etc.). Ein Änderungsmanagement-Prozess (Change Management) verhindert unautorisierte Änderungen an kritischen Kommuniktationsschnittstellen. Zugriffsmanagement stellt sicher, dass nur berechtigte Personen Zugang zu Steuerzentralen oder Netzwerkknoten erhalten – dies umfasst sowohl IT-Zugriffe (Accounts, Rollen) als auch physische Zugänge (Schlüssel, Zutrittskarten zu Serverräumen oder Technikzentralen). In vielen Organisationen bewährt sich das Vier-Augen-Prinzip für kritische Aktionen: Zwei Personen (z.B. FM-Leiter und IT-Sicherheitsbeauftragter) müssen gemeinsam Freigaben für neue Remote-Zugänge oder Systemänderungen erteilen.

Wichtig sind auch Schulungen und Sensibilisierung: Mitarbeiter im FM-Betrieb, die vielleicht primär einen technischen Hintergrund haben, benötigen Awareness für Cybersecurity-Themen. Sie müssen z.B. Phishing-Mails erkennen (wenn die Gebäudeleitzentrale per E-Mail gesteuert wird) oder wissen, dass USB-Sticks an Gebäudeanlagen ein Risiko darstellen. Laut BSI-Empfehlung gehören regelmäßige Schulungen der Nutzer und Betreiber zu den Grundmaßnahmen, um das Sicherheitsbewusstsein zu steigern. Organisatorisch sollte zudem festgelegt sein, wie Notfallpläne aussehen: Etwa definierte Reaktionsschritte, wenn die gesicherte Kommunikation ausfällt (Backup-Kanäle, manuelle Verfahren) oder ein Angriff erfolgt (Incident Response Team einbinden, Forensik). Diese Pläne gilt es in Übungen zu testen.

Die Bedrohungslage für die Kommunikations- und IT-Infrastruktur im Facility Management ist vielfältig. Neben klassischen Cyberangriffen treten hier hybride Bedrohungen auf, welche sowohl digitale als auch physische Angriffsvektoren kombinieren können.

• Hybride Angriffe: Darunter versteht man Attacken, die IT und physische Aktionen verknüpfen. Beispielsweise könnte ein Angreifer zunächst die Gebäudetechnik auskundschaften (digital etwa via gehackter Kameras oder Sensoren) und dann vor Ort durch physischen Zugriff Schäden anrichten oder weitere Geräte kompromittieren. Solche Angriffe sind schwer erkennbar, da sie verschiedene Ebenen betreffen. In FM-Szenarien ist denkbar, dass etwa ein Täter sich Zugang zum Gebäude verschafft und dort ein scheinbar harmloses Gerät ins Netzwerk einsteckt (z.B. ein präparierter Raspberry Pi in einer Technikdose), um dann aus der Ferne Daten abzugreifen. Hybride Angriffsformen – also das Ausnutzen sowohl physischer Schwachstellen (wie ungesicherte Technikräume) als auch cybertechnischer Lücken – nehmen laut Sicherheitsexperten an Bedeutung zu, da viele Gebäude inzwischen stark vernetzt sind und somit Angriffsflächen in beiden Domänen bieten.

• Insider-Bedrohungen: Eine besondere Gefahr geht von Mitarbeitern oder Dienstleistern aus, die legitimen Zugang zu FM-Systemen haben und diesen missbrauchen. Insider können aus böswilligen Motiven handeln (Sabotage, Datendiebstahl) oder unbeabsichtigt Schaden anrichten (fahrlässige Konfiguration, unbeachtete Sicherheitsregeln). Im FM-Kontext könnten z.B. Techniker mit weitreichenden Zugriffsrechten ein Ziel für Social Engineering sein oder im schlimmsten Fall gekündigte Mitarbeiter absichtlich Störungen verursachen. Organisatorisch ist dem durch strikte Berechtigungskonzepte (Least Privilege), Logging aller administrativen Aktivitäten und rasches Deaktivieren von Zugängen bei Rollenwechsel entgegenzuwirken. Auch Hintergrundüberprüfungen bei sensiblen Positionen (Sicherheitszentrale, Leitstand) können Teil des Schutzkonzeptes sein. Dennoch bleibt das Risiko bestehen, weshalb kontinuierliches Monitoring und das Vier-Augen-Prinzip bei Änderungen durch Insider ratsam sind.

• Lieferkettenrisiken: Facility Management ist oft auf externe Lieferanten angewiesen – sei es für Software-Updates der Gebäudeleittechnik, für IoT-Geräte oder Cloud-Dienste. Verwundbarkeiten in der Lieferkette zählen laut BSI inzwischen zu den Top-Bedrohungen für industrielle Kontrollsysteme. Beispielsweise könnte ein Hersteller von Heizungssteuerungen unwissentlich Malware in ein Firmware-Update einbringen (Supply-Chain-Angriff), der dann alle vernetzten Heizungsanlagen betrifft. Oder ein Dienstleister mit Fernzugriff auf das Gebäudemanagement wird selbst kompromittiert, was dem Angreifer eine indirekte Eintrittskarte in das eigene System bietet. Um dem zu begegnen, sollten Unternehmen ein Lieferketten-Risikomanagement etablieren: Sicherheitsanforderungen vertraglich fixieren (z.B. nachweislich getestete Software, Compliance mit Normen wie IEC 62443 bei Komponenten), Zugänge Dritter streng limitieren und überwachen, sowie im Rahmen des ISMS die Vertrauenswürdigkeit von Dienstleistern regelmäßig evaluieren. Bei kritischen Komponenten kann es sinnvoll sein, zweite Quellen oder unabhängige Prüfungen (Penetrationstests der gelieferten Systeme) einzusetzen.

• Cyberangriffe und Malware: Wie in jeder IT-Umgebung drohen auch im FM Malware-Infektionen, Ransomware-Angriffe, Denial-of-Service (DoS) und andere Cyberattacken. Allerdings zeigen Statistiken, dass insbesondere vernetzte Gebäudetechnik häufig mit älteren Windows-Systemen oder Embedded Systemen arbeitet, die von Standard-Malware getroffen werden können. Ein Beispiel: Ein Kryptotrojaner könnte ein Gebäudemanagement-Server verschlüsseln und den kompletten Steuerungsbetrieb lahmlegen. Ebenso können DoS-Angriffe (auch durch Fehlkonfiguration) Kommunikationsschnittstellen blockieren – etwa wenn durch einen Netzwerkwurm die Bandbreite im Gebäudenetz ausgelastet wird, was den Ausfall von Sensor-Kommunikation zur Folge hat. Die besondere Gefahr liegt darin, dass Verfügbarkeitsverluste in FM-Systemen unmittelbar den Geschäftsbetrieb stören (z.B. Klimaausfall im Rechenzentrum). Daher zählen Cyber-Resilienz-Maßnahmen wie regelmäßige Backups der Steuerungskonfigurationen, Notfallpläne für manuelle Bedienung und Redundanzen zu den essenziellen Vorkehrungen gegen solche Angriffe.

Abschließend sollen bewährte Best Practices und Modelle vorgestellt werden, die sich in der Unternehmenssicherheit – auch speziell im Facility Management – als effektiv erwiesen haben. Dazu zählen der Zero-Trust-Ansatz, die Implementierung eines ISMS sowie das Three-Lines-of-Defense-Modell zur organisatorischen Verankerung von Sicherheitsrollen.

Zero Trust ist ein Sicherheitskonzept, das davon ausgeht, standardmäßig niemandem zu vertrauen – weder extern noch innerhalb des eigenen Netzwerks. Für die Kommunikation bedeutet das: Jeder Zugriff, jede Datenübertragung muss explizit authentifiziert und autorisiert werden. Kernelemente von Zero Trust sind das Prinzip der minimalen Berechtigungen (Least Privilege) und ein ständiges „Assume Breach“-Denken (gehe davon aus, dass ein Angriff bereits erfolgt ist). Im Facility Management kann Zero Trust z.B. so umgesetzt werden, dass Steuerzentralen niemals direkt vertrauenswürdig sind nur weil sie im internen Netz stehen – jede Anfragende Komponente muss sich ausweisen (per Zertifikat, Token etc.). Netzwerksegmente werden mikro-segmentiert, so dass selbst innerhalb eines Gebäude-Netzes keine unkontrollierten Bewegungen möglich sind (ein kompromittierter Sensor sollte nicht einfach alle anderen Geräte erreichen können). Zero Trust erfordert typischerweise eine Kombination aus starker Identitäts- und Zugriffsverwaltung, laufender Überwachung und kontinuierlicher Verifizierung bei jeder neuen Verbindung. Beispielsweise sollte ein Wartungsingenieur, der sich morgens ins System einloggt, nicht den ganzen Tag freies Geleit haben, sondern bei jeder sensiblen Operation erneut geprüft werden. Für FM empfiehlt es sich, Zero Trust Network Access (ZTNA)-Lösungen einzusetzen, die speziell auf OT zugeschnitten sind – einige Anbieter bieten hier Systeme an, die granulare Zugriffskontrolle bis auf Geräteebene erlauben. Der Zero-Trust-Ansatz fördert insgesamt eine sicherheitsorientierte Architektur, die ideal ist, um Cloud-Dienste, mobile Zugriffe und traditionelle Netzwerke zusammen abzusichern, wie es in modernen Gebäudemanagement-Szenarien erforderlich ist. Wichtig ist, Zero Trust als Strategie zu begreifen, nicht als einzelnes Produkt – es durchdringt im besten Fall alle Ebenen, von der Personalphilosophie („Misstrauen ist gesund“) bis zur Technik (jedes Paket prüfen).

Wie oben beschrieben, bildet ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 oder BSI-Grundschutz das organisatorische Rückgrat der Security. Best Practice hierbei ist die Anwendung des PDCA-Zyklus (Plan-Do-Check-Act): also Planung der Sicherheitsziele und -maßnahmen, Umsetzung dieser, Überprüfung (z.B. interne Audits, Monitoring von Security-KPIs) und kontinuierliche Verbesserung. Insbesondere im Facility Management sollten regelmäßige Risiko-Assessments fest etabliert sein – da sich Technik und Bedrohungslage stetig ändern (neue IoT-Devices, neue Schwachstellen), muss das ISMS entsprechend dynamisch angepasst werden.

Eine gute Praxis ist die Integration des FM-ISMS in das Unternehmensweite ISMS. Das heißt, FM-spezifische Risiken (z.B. Ausfall Gebäudeleittechnik durch Cyberangriff) werden im zentralen Risikoregister geführt und erhalten eine Bewertung wie andere Unternehmensrisiken. Maßnahmen daraus – z.B. „Implementierung Monitoring für Gebäudenetzwerk“ – werden im Rahmen des ISMS gesteuert, mit Verantwortlichen und Meilensteinen. Auch Notfallmanagement (Business Continuity und Disaster Recovery) sollte FM-Szenarien einschließen: etwa Pläne für den Weiterbetrieb eines Gebäudes bei IT-Ausfall (manuelle Steuerung von Klima, Wachdienst bei Zutrittsausfällen etc.).

Für die praktische Umsetzung von Sicherheitskontrollen stellt ISO 27002 (als Best-Practice-Katalog) oder der BSI-Grundschutz konkrete Maßnahmenbausteine bereit. Unternehmen sollten die relevanten Controls auswählen – im FM z.B.: physische Sicherheitszonen einrichten, dokumentierte Betriebsprozesse (Betriebshandbücher für Sicherheitsanlagen), regelmäßige Backup-Prozeduren für Steuerungsrechner, Netzwerksicherheits-Gateways etc. Es hat sich bewährt, die Erfüllungsgrade dieser Maßnahmen regelmäßig zu überprüfen (z.B. jährliche Self-Assessments oder externe Audits). Ein wichtiger Best-Practice-Aspekt ist zudem die Zertifizierung: Wer ISO 27001 oder VdS 10000 zertifiziert ist, schafft Vertrauen und muss jährlich seine Wirksamkeit nachweisen – das erhöht intern den Druck, Security nicht schleifen zu lassen.

• Zentrales Asset-Inventar pflegen: Alle Geräte und Systeme erfassen (inkl. Hersteller, Modell, Firmwarestand), um vollständige Übersicht zu haben – Grundlage jeder Schutzmaßnahme.

• Netzwerkverkehr überwachen und minimieren: Nur notwendige Verbindungen zulassen, ungewöhnlichen Traffic durch Monitoring erkennen (deutet auf Kompromittierung hin).

• Schwachstellenmanagement betreiben: Kontinuierlich Geräte und Software gegen bekannte Schwachstellen prüfen (CVE-Abgleich, unsichere Protokolle identifizieren), Lücken priorisiert schließen. Gerade weil Patchen im laufenden Betrieb schwierig sein kann, ist Priorisierung und Planung hier essenziell.

• Zugänge streng kontrollieren und protokollieren: Speziell Fernzugriffe nur über sichere, dafür vorgesehene Lösungen erlauben; alle Remote-Session-Aktivitäten mitloggen, live mitverfolgen und bei Bedarf sofort beenden können.

Solche praktischen Schritte erhöhen unmittelbar die Sicherheit der Kommunikationsinfrastruktur im FM-Bereich.

Ein bewährtes Governance-Modell zur Organisation von Risikomanagement und Sicherheitsfunktionen in Unternehmen ist das Three Lines of Defense (TLoD), zu Deutsch Drei-Linien-Modell.

• Verteidigungslinie: Alle operativen Einheiten (im FM etwa: das Facility Management-Team, technische Abteilungen) sind Risikoeigentümer. Sie tragen die unmittelbare Verantwortung, Risiken in ihrem Tagesgeschäft frühzeitig zu erkennen, zu bewerten und durch geeignete Maßnahmen zu steuern. Im Kontext gesicherter Kommunikation heißt das: Das FM-Team muss z.B. sicherstellen, dass die von ihm betriebenen Systeme gemäß den Richtlinien konfiguriert sind, dass bekannte Schwachstellen adressiert werden etc. Sie melden Risiken und Vorfälle weiter und setzen Sicherheitsvorgaben um.

• Verteidigungslinie: Hierzu zählen alle Bereiche, die steuernd und überwachend auf das operative Geschäft einwirken. Das sind typischerweise Funktionen wie Risikomanagement, Informationssicherheit, Compliance und ggf. ein zentraler Security Manager für FM. Ihre Aufgabe ist es, Methoden und Verfahren vorzugeben, Richtlinien zu erarbeiten und das Berichtswesen ans Management zu gewährleisten. Konkret würde die zweite Linie beispielsweise eine konzernweite Password-Policy definieren oder eine Verfahrensanweisung „Sicherer Betrieb von IoT-Geräten im Gebäude“ bereitstellen. Sie überwacht die Einhaltung (z.B. durch regelmäßige Kontrollen oder Kennzahlen-Reports) und unterstützt die erste Linie durch Beratung und Training.

• Verteidigungslinie: Diese wird durch die Interne Revision (bzw. interne/externe Audits) gebildet. Sie agiert unabhängig und objektiv und prüft sowohl die operativen Aktivitäten als auch die Überwachungsinstanzen auf Wirksamkeit. Im Sicherheitskontext bedeutet das: Die Revision kontrolliert z.B., ob die FM-Abteilung und die IT-Security (Linie 1 und 2) ihre Pflichten erfüllen – wurden Risiken angemessen gemeldet? Sind die Kontrollen wirksam? Sie testet z.B. stichprobenartig die Zugangskontrollen oder die Notfallpläne. Die dritte Linie berichtet an die Geschäftsleitung und ggf. den Aufsichtsrat, um sicherzustellen, dass erkannte Mängel adressiert werden.

Ergänzt werden diese drei Linien oft noch durch externe Stellen (Wirtschaftsprüfer, Regulatoren) als vierte Linie, die zusätzliches Feedback geben. Das Drei-Linien-Modell hat sich als klar verständlich und effektiv erwiesen, um Verantwortlichkeiten abzugrenzen und Überschneidungen zu vermeiden. Für das Facility Management bedeutet die Anwendung dieses Modells, dass Security-Aufgaben nicht allein bei einer Person hängen bleiben, sondern in alle Ebenen integriert sind: Operative FM-Mitarbeiter tragen Mitverantwortung (1st Line), ein Security Governance-Team steuert und kontrolliert (2nd Line), und interne Audits validieren unabhängig (3rd Line). Dies fördert das Bewusstsein und schafft robuste Kontrollmechanismen im Unternehmen. Allerdings muss man aufpassen, dass die Linien eng zusammenarbeiten und kein Silodenken entsteht – regelmäßige Kommunikation und gemeinsame Ziele (Schutz der Organisation) helfen hierbei. Moderne Weiterentwicklungen des Modells betonen daher die Kollaboration und Rollen statt starrer Linien. Nichtsdestotrotz bietet das TLoD-Modell ein nützliches Framework, um Sicherheitsgovernance im Unternehmen aufzusetzen, gerade auch im komplexen Zusammenspiel von FM, IT und anderen Bereichen.