Cyber-Schutz für smarte Gebäude

In der Schweiz boomen vernetzte Systeme wie Photovoltaikanlagen und Building-Management-Systeme. Smarte Gebäude versprechen Effizienz und Nachhaltigkeit, doch ohne robuste IT-Sicherheit werden sie zu Einfallstoren für gefährliche Cyberangriffe. Viele Technologien aus vergangenen Jahrzehnten sind anfällig. Pragmatische Massnahmen und Strategien – von der Bestandsaufnahme bis zu Penetrationstests – können Sicherheitslücken schliessen und Resilienz aufbauen.

Theorie vs. Realität: Die Diskrepanz der Lifecycles

In der Theorie wirkt Cybersecurity innovativ und allumfassend. In der Gebäudetechnik sieht die Realität anders aus. Basierend auf einer Analyse der BKW gelten etwa 90 Prozent der Schweizer Gebäude als anfällig für Hacker-Angriffe. Sie stehen oft 50 Jahre oder länger; ihre Infrastruktur hält zehn bis 20 Jahre – doch Technologie wird schon nach drei bis fünf Jahren alt, Software nach einem bis drei Jahren und IT-Security gar innerhalb von einem bis zu drei Monaten.

Eine Timeline verdeutlicht den Wandel: 1961 entstanden Gebäudepläne per Handzeichnung, 1970 mit maschineller Hilfe, 1984 wurden die ersten PCs beigezogen. In den 90er-Jahren kamen Mobiltelefone dazu, die im Planungsprozess genutzt wurden, 2006 Smartphones und heute Smartwatches, die vernetzte Systeme steuern. Der rasante Fortschritt macht jede Neuheit alt, sobald sie installiert ist – zwischen Planung und Betrieb entstehen Lücken. Im schlimmsten Fall versucht man Technologie zu sichern, die aus der Zeit der Schreibmaschinen stammt.

Herausforderungen gibt es viele: Zu wenig Bewusstsein bei Sensoren und Kameras mit Standardpasswörtern, Informationsüberfluss durch Gebäudeautomation, fehlende Übersicht über Verbindungen und unzureichende Technologien wie Netzwerksegmentierung oder Monitoring. Auch an direkten Gefahren mangelt es nicht: Malware, webbasierte Angriffe, Phishing, Ransomware, interne Bedrohungen – von der Aufklärung bis zur Erreichung der Angriffsziele.

In der Schweiz meldete das Bundesamt für Cybersicherheit (BACS) 2024 rund 63 000 Vorfälle, ein Anstieg um 26 Prozent gegenüber 2023, wobei Drohanrufe und Phishing dominieren. Auch im ersten Halbjahr 2025 gab es fast 36 000 Cybervorfälle. Unternehmen fühlen sich also aus gutem Grund unsicher: In der KMU-Cyberstudie 2025 geben nur 52 Prozent der KMU an, sich geschützt zu fühlen – im Vorjahr waren es noch 57 Prozent.

Von Störungen zu Lebensgefahr

Vernachlässigte Sicherheit führt zu Beeinträchtigungen wie Störungen in der Heizung, Lüftung, Beleuchtung oder bei Sicherheitssystemen. Sensible Daten – von Zugangsprotokollen bis Personaldaten – sind gefährdet. Schwerwiegender: Menschenleben stehen auf dem Spiel, etwa wenn Kühlanlagen in Spitälern ausfallen oder Zugangskontrollen am Flughafen manipulierbar sind. Besonders im Energiesektor, der eng mit Gebäudetechnik verknüpft ist, drohen Blackouts durch Cyber-Sabotage. Die Übung «Cyber Europe» im Juni 2024, mit rund 5000 Teilnehmern aus über 30 Ländern, simulierte einen Angriff auf den Schweizer Energiesektor und zeigte Schwachstellen in vernetzten Systemen auf. Konkrete Beispiele: 23 webbasierte Regelungssysteme für Heizung und Klima waren direkt aus dem Internet erreichbar, wegen schwacher Firewalls. Ähnlich bei Solar-Log-Systemen: 31 getestete Photovoltaik-Anlagen in der Schweiz boten offene Ports, die einen Passwort-Reset ermöglichten und Zugang zu Automatisierungsnetzen gewährten.

Ein interner Test von Maik Paprott, Leiter des UMB Cyber Defense Centers, zeigte beispielhaft auf, wie einfach es teilweise den Angreifern gemacht wird: Ein Erstzugriff via ungepatchter Firewall, dann Lateral Movement per Scan, Kompromittierung des Systems in Minuten und somit Zugang zu 150 Webservices. Solche Lücken machen smarte Gebäude zum smarten Angriffsvektor.

KI sucht den unerlaubten Zugang

In der Schweiz, mit ihrer hohen Autodichte – über 75 Prozent der Haushalte besitzen ein Auto – können smarte Garagen oder Ladestationen zu Einfallstoren werden. Aktuelle Trends verschärfen diese Gefahr: Gemäss Microsoft Digital Defense Report stiegen identitätsbasierte Angriffe im ersten Halbjahr 2025 um 32 Prozent, 97 Prozent davon waren Passwort-Sprays, also das massive Ausprobieren gängiger Passwörter. In der Elektrobranche nutzen Angreifer zunehmend KI-gestützte Phishing-Mails oder Deepfakes, um Wartungspersonal zu täuschen. Ein Beispiel aus 2024: Ransomware traf einen Genfer Energieversorger, der über ungesicherte Building-Management-Systeme (BMS) lahmgelegt wurde – Kosten: 4,5 Millionen CHF pro Vorfall (gemäss Deloitte-Studie 2025). Seit April 2025 wurden 164 Angriffe auf kritische Infrastrukturen gemeldet, die zu Systemausfällen oder Erpressung führten. Die revidierte NIS-2 der EU verpflichtet Betreiber kritischer Anlagen zu Risikoanalysen. In der Schweiz gilt zudem eine neue sektorübergreifende Meldepflicht für Cyberangriffe auf kritische Infrastrukturen (CSV), die ab April 2025 eine 24-Stunden-Meldepflicht für Vorfälle einführt. Die EU-NIS-2-Richtlinie erweitert dies auf Lieferketten und betrifft auch Schweizer Firmen mit EU-Bezug, indem sie Resilienz in 18 Sektoren, inklusive der Gebäudetechnik, fordert.

Sechs Schritte zur Resilienz

Praxisnahe Lösungen basieren auf Standards wie ISO 27001. Diese sechs Schritte sind skalierbar und priorisieren Wissensvermittlung, ergänzt durch BACS-Empfehlungen wie Netzwerksegmentierung, Multi-Faktor-Authentisierung (MFA), Updates und Incident-Response-Pläne:

• Bestandsaufnahme und Sichtbarmachung: Erstellung eines Inventars der vernetzten Systeme, zum Beispiel mit Hilfe von Attack-Surface-Management-Plattformen oder Digital-Risk-Monitoring-Services.
• Netzwerksegmentierung und Trennung von IT/OT: Isolierung der Gebäudetechnik durch VLANs, Firewalls und OT-Monitoring.
• Zugriffsmanagement: Least-Privilege-Prinzip, MFA, sichere VPNs und Protokollierung.
• Regelmässige Updates und Patch-Management: Patchen der Steuergeräte und Gateways, einfordern der Herstellerverantwortung.
• Sensibilisierung und Zuständigkeiten: Rollen müssen zwingend definiert werden, Schulungen reduzieren zudem menschliche Fehler um bis zu 70 Prozent.
• Red Teaming/Penetration Testing: Angriffe simulieren, um Schwachstellen früh zu entdecken.

Zusätzlich empfehlenswert: Advanced Managed Detection and Response (MDR), Logging mit externer Speicherung und Network Detection and Response (NDR) für Echtzeit-Analysen sowie strikte Rechtevergabe mit zyklischen Revisionen.

Diese Massnahmen amortisieren sich schnell: Vermiedene Ausfälle sparen Millionen. Das Bundesamt für Energie (BFE) fördert seit 2023 Gebäudezertifizierungen mit Cybersecurity-Standards. Ergänzend publizierte die KBOB im Juli 2025 die Empfehlung «IKT-Sicherheit in der Gebäudeautomation».

Resilienz durch Kultur und Pragmatismus

Innovative Smart Buildings ohne Security stellen ein grosses Risiko dar – sie werden zu Einstiegspunkten für Cyber-Angriffe. Cybersecurity muss von Anfang an mitgedacht werden, vom Lastenheft bis zur Betriebsübergabe. Notwendig sind pragmatische Lösungen, klare Verantwortlichkeiten und eine verankerte Sicherheitskultur – von der reaktiven «Feuerwehr» bis zur proaktiven Prävention und forensischen Analyse. Technologie allein reicht aber nicht; Resilienz schützt Nachhaltigkeit und Betriebssicherheit. Gerade in der Elektrobranche, wo smarte Grids und E-Mobilität konvergieren, herrscht Handlungsbedarf.

umb.ch