GEFMA 944: White Paper Cybersicherheit im Facility Management

Die klassischen Schutzziele der Informationssicherheit umfassen Verfügbarkeit, Integrität und Vertraulichkeit. Ergänzt werden sie durch Zurechenbarkeit (Nachvollziehbarkeit), Authentizität und Rechtsverbindlichkeit. Für das FM bedeutet dies: Systeme und Daten müssen jederzeit verfügbar sein, dürfen nicht manipuliert oder unautorisiert verändert werden und müssen vor unbefugter Einsicht geschützt werden. Authentifizierung und Autorisierung sichern, dass nur berechtigte Personen Zugriff erhalten, und die Nachvollziehbarkeit von Änderungen erlaubt das Erkennen und Beweisen von Vorfällen.

Durch die IT-/OT‑Konvergenz erweitern sich die Angriffsflächen deutlich. IT‑typische Bedrohungen wie Malware, Ransomware und gezielte Remote‑Angriffe können auch auf OT‑Systeme übergreifen und zu Ausfällen kritischer Infrastrukturen, Manipulation physischer Prozesse oder langfristigen Betriebsunterbrechungen führen. Weitere Risiken sind ungeschützte Fernzugriffs‑Lösungen, unklare Zuständigkeiten, mangelnde Segmentierung von Netzwerken, Datenverlust durch Ausfall oder Sabotage sowie unbeabsichtigte Fehlbedienungen. Wegen der langen Lebenszyklen vieler GA‑Geräte und fehlender Patch‑Prozesse bleiben Schwachstellen oft jahrelang bestehen.

Cyberangriffe können zu Ausfällen der Gebäudeautomation führen; dadurch ist die Verfügbarkeit von Heizung, Lüftung oder Sicherheitseinrichtungen nicht mehr gewährleistet. Manipulationen physischer Prozesse können Menschen und Umwelt gefährden, etwa wenn Brandmeldeanlagen, Löschanlagen oder Fluchttürsteuerungen beeinträchtigt werden. Längere Betriebsunterbrechungen bedeuten Produktionsausfälle, finanzielle Schäden und Reputationsverlust. Darüber hinaus haben Betreiber bei Schadensereignissen eine Haftungspflicht; sie müssen beweisen, dass angemessene Sicherheitsmaßnahmen getroffen wurden.

Die Betreiberverantwortung leitet sich aus dem Bürgerlichen Gesetzbuch (BGB) und der allgemeinen Verkehrssicherungspflicht ab. Betreiber müssen die Sicherheit von Personen und Sachwerten gewährleisten und haften bei Schadensereignissen. Für den Bereich Informationssicherheit gelten das BSI‑Gesetz und das Gesetz zur Umsetzung der NIS‑2‑Richtlinie. Letzteres wurde am 13. November 2025 im Bundestag verabschiedet, am 05. Dezember 2025 im Bundesgesetzblatt veröffentlicht und trat am 06. Dezember 2025 in Kraft. Das Gesetz erweitert den Anwendungsbereich des BSIG und verpflichtet Betreiber „wichtiger“ oder „besonders wichtiger“ Einrichtungen zur Registrierung, zum Risikomanagement und zur Meldung erheblicher Sicherheitsvorfälle. Weitere Gesetze wie Datenschutz‑, Arbeits‑ und Immissionsschutzrecht sind ebenfalls zu beachten.

Für Informationssicherheits‑Managementsysteme (ISMS) sind der ISO/IEC 27001‑Standard und das NIST Cybersecurity Framework relevant. Für OT‑Umgebungen empfiehlt die KBOB‑Empfehlung die Normen der ISA/IEC 62443‑Reihe, insbesondere ISA/IEC 62443‑2‑1 (organisatorische Kontrollen) und ISA/IEC 62443‑3‑3 (technische Kontrollen). Zudem erwähnen NIS‑2 und der Cyber Resilience Act (CRA) zusätzliche Anforderungen an die Cyber‑Resilienz von Systemen.

Die GEFMA 944 ist kein normatives Regelwerk, sondern eine praxisorientierte Ergänzung. Sie knüpft an vorhandene Normen an, interpretiert sie aber aus der Perspektive des Facility Managements. Das White Paper bietet FM‑Organisationen eine Orientierungshilfe zur Umsetzung der regulatorischen Anforderungen, definiert Mindeststandards und beschreibt Rollen, Prozesse und Maßnahmen, ohne selbst den Anspruch eines Zertifizierungsstandards zu erheben.

Zu den Akteuren gehören der Eigentümer/Betreiber, Facility Manager, IT‑Abteilung, Fachplaner, Hersteller und externe FM‑Dienstleister. Der Eigentümer bleibt primär verantwortlich, delegiert jedoch Aufgaben an Facility Manager und Dienstleister. Die IT‑Abteilung betreut Büro‑IT und unterstützt OT‑Sicherheitsmaßnahmen; Hersteller und Planer sind für sichere Produktdesigns und Integrationskonzepte verantwortlich.

Die Schnittstellen zwischen FM, IT und Dienstleistern bergen besondere Risiken. Unklare Zuständigkeiten können zu Sicherheitslücken führen. Vertragliche Vereinbarungen sollten daher explizit festlegen, wer für die Sicherheit der einzelnen Systeme, Fernwartungszugänge und Patches verantwortlich ist. Zudem sind Ansprechpartner und Eskalationswege für Sicherheitsvorfälle festzulegen.

Eine klare Governance regelt die Aufgabenteilung zwischen Betreiber, Facility Manager und IT. Verantwortlichkeiten sollten schriftlich dokumentiert werden. Empfehlenswert sind Rollenmodelle, die den Vorgaben der ISA/IEC 62443‑2‑1 folgen: eine übergeordnete Sicherheitsorganisation, verantwortliche Führungskräfte, dedizierte Cybersecurity‑Beauftragte und Projektleiter für Sicherheitsprojekte. Ein Sicherheitskomitee mit Vertretern von FM, IT und Dienstleistern sichert die laufende Koordination.

Bevor Maßnahmen ergriffen werden, müssen alle Geräte und Systeme im Gebäudeautomationsnetzwerk erfasst werden. Die KBOB‑Empfehlung nennt als Bestandteile der Inventarisierung: Typ und Kategorie der Geräte (Sensoren, Aktoren, Steuerungen), Verwendungszweck, Verbindungsarten, Netzwerkeinstellungen, Standort sowie Firmware‑ und Software‑Versionen. Auch Übergänge zwischen OT‑ und IT‑Netzwerken, Fernzugriffe (VPN), IoT‑Geräte und Sicherheitszertifikate sind zu berücksichtigen.

Die Risikobewertung umfasst eine Schwachstellenanalyse (bekannte Sicherheitslücken, Angriffsvektoren, fehlende Sicherheitsfunktionen) sowie die Bewertung der Kritikalität für den Betrieb. Die möglichen Auswirkungen bei Ausfall, Manipulation oder unautorisiertem Zugriff sind zu analysieren; anschließend werden die Systeme nach Schutzbedarf klassifiziert (hoch, mittel, niedrig). Die Bewertung dient als Grundlage für Prioritäten und sollte regelmäßig aktualisiert werden, insbesondere bei Systemänderungen oder neuen Bedrohungen.

Aus der Risikobewertung werden Prioritäten für technische, organisatorische und personelle Maßnahmen abgeleitet. Hochkritische Systeme (z. B. Sicherheitssteuerungen) erhalten höchste Schutzstufe, während weniger kritische Anlagen mit angemessenem Aufwand gesichert werden. Die Ableitung sollte in einem Maßnahmenplan dokumentiert werden, der die Verantwortlichen, Fristen und Ressourcen definiert. Integriert werden sollten auch Lifecycle‑Aspekte wie die geplante Außerbetriebnahme, Ersatzinvestitionen und Notfallmaßnahmen.

Ein effektives Sicherheitskonzept beruht auf Netzsegmentierung und Zonenkonzepten. Die KBOB‑Empfehlung empfiehlt, unterschiedliche VLANs für verschiedene Systemtypen (z. B. HLK‑Systeme, Zutrittskontrollen, Videoüberwachung) zu konfigurieren und sie in separate Subnetze zu unterteilen. Firewalls zwischen den Zonen und eine dedizierte demilitarisierte Zone (DMZ) zwischen Unternehmens‑IT und Gebäudeautomation schützen den Datenverkehr. Für Fernzugriffe sind VPN‑Tunnel zu konfigurieren, und Intrusion‑Detection‑/Prevention‑Systeme können verdächtige Aktivitäten überwachen. Darüber hinaus müssen standardisierte Prozesse für Software‑Updates und Patches etabliert werden. In der Praxis fehlen solche Prozesse häufig, wodurch GA‑Geräte über ihren gesamten Lebenszyklus hinweg nicht mit Sicherheitsupdates versorgt werden. Betreiber sollten daher vertraglich festlegen, dass Lieferanten und Integratoren regelmäßige Updates bereitstellen, vor der Einspielung Tests durchführen und den Betreiber informieren.

• Beschaffung und Planung: Bereits in der Ausschreibung von Bau‑ und FM‑Leistungen sind Sicherheitsanforderungen (z. B. ISA/IEC 62443‑Konformität, Supportdauer, Update‑Verpflichtung) festzuschreiben.

• Dokumentation und Änderungsmanagement: Der Betrieb erfordert vollständige Dokumentation, ein Konfigurationsmanagement und klar geregelte Änderungsprozesse, um unautorisierte Änderungen zu verhindern.

• Instandhaltung: Wartungsarbeiten an GA‑Systemen dürfen nur durch qualifizierte Dienstleister mit sicherem Fernzugriff durchgeführt werden; Sicherheitsupdates müssen in Wartungsfenstern geplant und dokumentiert werden.

• Notfallmanagement: Ein Notfallplan für Cybervorfälle definiert Meldewege, technische Maßnahmen und Wiederanlaufprozesse. Tabletop‑Übungen und regelmässige Tests erhöhen die Wirksamkeit.

Mitarbeitende sind ein zentrales Element der Sicherheitskultur. Laut KBOB‑Empfehlung sind Sensibilisierung und Ausbildung essenzieller Bestandteil jedes Sicherheitsprogramms. Mitarbeitende, die ihre Rollen verstehen und gute IT‑Hygiene pflegen, können Anomalien frühzeitig erkennen und auf Vorfälle reagieren. Sicherheitsbewusstsein sollte als Ergänzung bestehender Safety‑Schulungen vermittelt werden. Ein strukturiertes Schulungsprogramm umfasst Einstiegsschulungen, regelmäßige Auffrischungen und praxisnahe Übungen (z. B. Phishing‑Simulationen, Tabletop‑Exercises). Eine offene Sicherheitskultur ohne Schuldzuweisungen fördert das Melden von Vorfällen.

Cybersicherheitsanforderungen sollten bereits in der Planungsphase berücksichtigt werden. Ausschreibungen für Gebäudeautomationssysteme müssen Mindeststandards, Update‑Verpflichtungen und die Kompatibilität mit Sicherheitsstandards wie ISA/IEC 62443 festlegen. Die Auswahl von Komponenten erfolgt anhand der Schutzbedarfsanalyse; Lieferanten müssen die langfristige Verfügbarkeit von Sicherheitsupdates zusichern.

Während des Betriebs sind Systemupdates, Wartungen und Änderungen sorgfältig zu planen. Aufgrund der langen Lebenszyklen vieler GA‑Komponenten müssen Tests und Updates während des laufenden Betriebs durchgeführt werden, wobei die Verfügbarkeit nicht beeinträchtigt werden darf. Änderungen an Systemen sind nur mit Freigabe durch die Sicherheitsorganisation zulässig. Ein Change‑Management‑Prozess sorgt dafür, dass Sicherheitsauswirkungen analysiert und dokumentiert werden.

Bei Stilllegung oder Betreiberwechsel sind Daten, Zugänge und Dokumentation sicher zu behandeln. Zugriffsrechte und Passwörter sind zu löschen, Speicherträger fachgerecht zu entsorgen und verbleibende Systeme auf Werkseinstellungen zurückzusetzen. Die Dokumentation muss an den neuen Betreiber übergeben werden, damit dieser seine Betreiberverantwortung wahrnehmen kann.

Facility‑Management‑Verträge sollten Cybersicherheit explizit adressieren. Vertragspartner müssen klare Leistungsgrenzen und Zuständigkeiten festlegen: Wer übernimmt die Verantwortung für Systemhärtung, Patch‑Management, Backup und Incident‑Response? Die Delegation von Betreiberpflichten befreit den Eigentümer nicht von seiner Verantwortung; daher muss er sicherstellen, dass Dienstleister über geeignete Sicherheitsprozesse verfügen und ihre Leistungen dokumentieren.

Im Vertrag sind Kommunikationswege und Meldepflichten für Sicherheitsvorfälle zu regeln. Service‑Level‑Agreements sollten Reaktionszeiten für Meldungen, Eskalationsstufen und Berichtspflichten definieren. Ein zentrales Incident‑Management sammelt und bewertet Meldungen und koordiniert die Maßnahmen.

Cybersicherheit erfordert eine partnerschaftliche Sicherheitskultur. Betreiber und Dienstleister sollten regelmäßig Sicherheitskennzahlen, Schwachstellen und Lessons Learned austauschen. Gemeinsame Audits, Notfallübungen und Feedback‑Runden fördern die kontinuierliche Verbesserung und stärken das Vertrauen in die Zusammenarbeit.

• Gebäudeautomation und Energieeffizienz: Ein Betreiber installiert intelligente Sensoren zur Optimierung des Energieverbrauchs. Ohne Netzsegmentierung konnte ein Angreifer über den Sensorenbus in das Unternehmensnetz eindringen. Erst durch getrennte VLANs und eine DMZ konnte das Risiko reduziert werden.

• Zutrittskontrollsysteme: In einem Verwaltungsgebäude wurde die Zutrittssteuerung über eine IP‑basierte Lösung realisiert. Der Dienstleister aktualisierte die Software nicht; eine bekannte Sicherheitslücke ermöglichte unbefugten Zugriff. Die regelmäßige Durchführung von Patch‑Management und die vertragliche Verpflichtung zu Updates hätten das verhindert.

• Fernwartung: Externe Servicefirmen betreuen Aufzüge per Fernzugriff. In einem Fall war der Remote‑Zugang ungeschützt und konnte von Unbefugten missbraucht werden. Ein sicherer VPN‑Tunnel mit Zwei‑Faktor‑Authentifizierung und Firewalls zwischen Zonen sowie klar definierte Rechte minimieren solche Risiken.

Häufige Fehler sind unvollständige Inventarisierungen, fehlende Netzsegmentierung, unzureichende Patch‑Prozesse und eine unklare Aufgabenverteilung. Ebenso unterschätzen viele Betreiber die Bedeutung von Awareness‑Schulungen und dokumentierter Delegation. Aus Vorfällen lässt sich lernen, dass technische Maßnahmen ohne organisatorische Verankerung nicht ausreichend sind: Nur durch das Zusammenspiel von Technik, Organisation und Menschen lässt sich ein angemessenes Schutzniveau erreichen.

Die Cybersecurity‑Strategie definiert das angestrebte Sicherheitsniveau für Gebäude und Anlagen. Sie orientiert sich am Risikoprofil und den Betreiberzielen und berücksichtigt gesetzliche Anforderungen (NIS‑2, BSIG) sowie Normen (ISO 27001, ISA/IEC 62443). Leitlinien sind die Umsetzung eines ganzheitlichen Cybersecurity‑Managementsystems, die klare Definition von Rollen und Verantwortlichkeiten, die regelmäßige Schulung des Personals und die kontinuierliche Verbesserung.

Die Strategie muss in bestehende FM‑Systeme integriert werden, etwa in Qualitäts‑, Energie‑, Umwelt‑ und Sicherheitsmanagement. Schnittstellen zum Risikomanagement, zur Instandhaltung, zur Betreiberverantwortung und zu digitalen Zwillingen (CAFM) sind zu definieren. Ein integriertes Managementsystem ermöglicht Synergien und reduziert Doppelarbeit.

Zur Umsetzung gehören der Aufbau eines Cybersecurity‑Programms, die Durchführung von Risiko‑ und Reifegradanalysen sowie die Ausarbeitung von Maßnahmenplänen. Steuerungs‑ und Kontrollmechanismen (z. B. interne Audits, Penetrationstests, Kennzahlen) überwachen die Wirksamkeit und leiten Korrekturmaßnahmen ein. Die Strategie muss regelmäßig an neue Technologien, Bedrohungen und regulatorische Anforderungen angepasst werden.

Cybersicherheit ist im Facility Management keine einmalige Aufgabe, sondern eine dauerhafte Management‑ und Betreiberverantwortung. Die zunehmende Digitalisierung und Vernetzung erfordern, dass Betreiber, Facility Manager und Dienstleister gemeinsam Verantwortung übernehmen, Risiken systematisch analysieren und technische wie organisatorische Maßnahmen umsetzen. Normen wie ISO 27001 und ISA/IEC 62443 bieten Orientierungsrahmen; die GEFMA 944 übersetzt diese in FM‑gerechte Handlungsempfehlungen. Mit dem Inkrafttreten des NIS‑2‑Umsetzungsgesetzes am 06. Dezember 2025 steigen die Anforderungen an Unternehmen, ihre Cyber‑Resilienz zu stärken und Meldepflichten einzuhalten. Zukünftige technologische Entwicklungen wie digitale Zwillinge, Künstliche Intelligenz und neue IoT‑Plattformen werden die Gebäudewelt verändern und bieten Chancen für effizientere Prozesse – erfordern aber zugleich robuste Sicherheitskonzepte.