Explosives Risiko durch Smart Building-Systeme: BMS-Sicherheit: Ransomware zielt auf Gebäude

Ob Klimaanlage, Aufzug, Beleuchtung oder Zugangskontrolle – Gebäudemanagementsysteme (BMS) sind heute aus modernen Unternehmen nicht mehr wegzudenken. Doch genau diese Systeme entpuppen sich zunehmend als blinder Fleck in der IT-Sicherheit. Laut dem neuen Bericht „State of CPS Security 2025“ des auf die Sicherheit von cyber-physischen Systemen (CPS) spezialisierten Unternehmens Claroty weisen 75 Prozent der eingesetzten BMS bekannte, bereits ausgenutzte Schwachstellen auf. Jedes zweite Unternehmen (51 Prozent) nutzt zudem Systeme mit unsicheren Internetverbindungen, die aktiv von Ransomware-Gruppen ins Visier genommen werden.

Automatisiert – aber ungeschützt

In der Praxis bedeutet das: Angreifer können über das Internet direkt auf verwundbare Komponenten zugreifen, etwa durch unsichere Remote-Verbindungen, offene Ports oder fehlende Segmentierung. Besonders riskant ist dies in Bereichen, in denen ein Ausfall direkte Auswirkungen auf den Geschäftsbetrieb hat – zum Beispiel bei der Klimatisierung von Rechenzentren oder der Kühlung temperaturempfindlicher Waren. Thorsten Eckert, Regional Vice President Central bei Claroty, warnt: „Gebäudeautomation wird häufig ohne Berücksichtigung der Cybersicherheitsfolgen in Netzwerke eingebunden. Die Folge sind Systeme mit maximalem Komfort, aber minimalem Schutz.“

Ein unterschätzter Angriffspfad

Laut Claroty basiert der Report auf einer Analyse von über 467.000 Gebäudemanagementsystemen in mehr als 500 Unternehmen weltweit. Das alarmierende Ergebnis: In vielen Fällen sind es nicht einmal Zero-Day-Exploits, die Angreifern Zugang verschaffen, sondern längst bekannte Schwachstellen – teils seit Jahren öffentlich dokumentiert und in der Liste der Known Exploited Vulnerabilities (KEVs) geführt.

Noch kritischer wird es, wenn diese Systeme zusätzlich über das Internet erreichbar sind – ein Setup, das bei der Hälfte der untersuchten Unternehmen vorliegt. In Kombination mit den von Ransomware-Akteuren gezielt eingesetzten Angriffswerkzeugen entsteht eine gefährliche Lage.

BSI warnt, aber viele reagieren nicht

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits auf das Thema reagiert und die Bausteine 13 (Technisches Gebäudemanagement) und 14 (Gebäudeautomation) in den IT-Grundschutz aufgenommen. Doch die Umsetzung in vielen Unternehmen hinkt hinterher. „Die Ergebnisse unserer Untersuchung zeigen klar, dass der Schutz dieser Systeme eine höhere Priorität braucht“, so Eckert. „Gerade in hybriden IT/OT-Umgebungen ist ein umfassendes Exposure Management entscheidend.“

Wie Unternehmen jetzt reagieren sollten

Claroty empfiehlt einen auf Exposure Management basierenden Ansatz, der auf der Erkennung und Priorisierung der am stärksten gefährdeten Komponenten basiert. Ziel ist es, gezielt Schwachstellen zu schließen, bevor sie ausgenutzt werden – ohne gleichzeitig kritische Abläufe zu unterbrechen. Konkrete Maßnahmen umfassen etwa:

• Inventarisierung aller BMS-Komponenten
• Überprüfung auf bekannte Schwachstellen (KEVs)
• Trennung von produktiven Netzwerken und Gebäudetechnik
• Regelmäßige Penetrationstests und Patch-Management
• Awareness-Schulungen für Facility- und IT-Teams

BMS-Sicherheit ist Chefsache

Die Studie zeigt deutlich: Gebäudeautomatisierung ist längst keine Nischentechnologie mehr – und darf auch sicherheitstechnisch nicht mehr so behandelt werden. Angriffe auf diese Systeme sind nicht hypothetisch, sondern Realität. Wer die Risiken unterschätzt, gefährdet nicht nur Komfort, sondern Verfügbarkeit, Integrität und Sicherheit ganzer Geschäftsprozesse.

Den vollständigen Report „State of CPS Security 2025: Building Management System Exposures“ mit Analyse und Handlungsempfehlungen gibt es hier.