Gebäudeautomation, NIS2 und Cyber Resilience Act verändern die Verantwortung von Architekten, Planern und Betreibern
Cybersicherheit entwickelt sich zunehmend zu einem zentralen Bestandteil moderner Gebäudeplanung. Vernetzte Türen, Fenster, Zutrittskontrollsysteme, Gebäudeautomation und technische Infrastrukturen schaffen neue Schnittstellen zwischen Architektur, IT und Betriebssicherheit. Gerade im Umfeld kritischer Infrastrukturen (KRITIS) entstehen dadurch Anforderungen, die weit über klassische Sicherheits- oder TGA-Planung hinausgehen.
Vor diesem Hintergrund diskutierten Olaf Thies und Frank Schubert im Rahmen des GEZE-Expertengesprächs „Gebäudehülle unter Kontrolle: KRITIS und Cybersicherheit“ die wachsende Bedeutung von Cybersecurity in Planung, Gebäudeautomation und Betrieb. Die ursprünglich ebenfalls angekündigte Teilnahme von Lennard Kreißl musste krankheitsbedingt kurzfristig entfallen.
Olaf Thies, Architektenreferent der GEZE und selbst Architekt, verantwortet bei GEZE unter anderem den BIM-Bereich sowie die Schnittstelle zwischen Architektur, Gebäudeautomation und digitaler Planung. Frank Schubert ist Cybersecurity- und Automatisierungsexperte bei Beckhoff Automation und beschäftigt sich insbesondere mit sicheren Kommunikationsstandards wie OPC UA und BACnet Secure Connect sowie mit den Auswirkungen von NIS2 und Cyber Resilience Act auf Gebäudeautomation und industrielle Steuerungssysteme.
Das Gespräch ordnet sich in die strategische Ausrichtung von GEZE ein, Gebäudehülle, Automation, Zutrittsmanagement und digitale Vernetzung zunehmend als Bestandteil resilienter Sicherheitsarchitekturen zu verstehen. Im Mittelpunkt standen dabei insbesondere die Auswirkungen von NIS2, Cyber Resilience Act, BACnet Secure Connect und OPC UA auf Architektur, technische Gebäudeausrüstung und Betreiberverantwortung.
Diskutiert wurde nicht nur die technische Dimension von Cybersicherheit, sondern vor allem die Frage, wie früh Sicherheitsanforderungen bereits in den Planungsprozess integriert werden müssen. Ein zentrales Fazit des Gesprächs lautete: Cybersecurity ist keine nachgelagerte IT-Aufgabe mehr, sondern beginnt bereits in den frühen Leistungsphasen der Gebäudeplanung – teilweise sogar noch vor der klassischen HOAI-Systematik.
Vernetzung der Gebäude als zentrale Aufgabe
Cybersicherheit ist längst kein reines IT-Thema mehr. Mit der zunehmenden Vernetzung von Gebäuden, Anlagen und technischen Gewerken wird sie zu einer zentralen Planungsaufgabe. Besonders im Umfeld kritischer Infrastrukturen zeigt sich: Wer heute ein Gebäude plant, entscheidet nicht nur über Raumprogramme, Fassaden, Leitungswege oder technische Ausstattung, sondern auch über die spätere digitale Angriffsfläche des Betriebs.
Im Mittelpunkt steht dabei eine neue Verantwortungslogik. Gebäude werden immer stärker durch technische Systeme geprägt: Zutrittskontrolle, Gebäudeautomation, Brandmeldetechnik, Videoüberwachung, Klima- und Lüftungstechnik, Energiemanagement oder Wartungszugänge sind längst Teil vernetzter Infrastrukturen. Damit entstehen Schnittstellen, die nicht nur funktional, sondern auch sicherheitstechnisch bewertet werden müssen.
KRITIS beginnt früher als viele denken
Der Begriff kritische Infrastruktur wird häufig zu eng verstanden. Zwar zählen Energieversorgung, Wasser, Gesundheit, Verkehr, Ernährung oder Telekommunikation zu den klassischen KRITIS-Sektoren. In der Praxis reicht die Relevanz jedoch weiter. Auch Gebäude mit hohen Personenaufkommen, sicherheitskritischen Betriebsprozessen oder sensiblen Daten können erhöhte Anforderungen auslösen.
Dazu zählen etwa Rechenzentren, Forschungseinrichtungen, Produktionsstandorte, öffentliche Gebäude, Kliniken, Logistikzentren oder Veranstaltungsorte. Entscheidend ist nicht allein die bauliche Hülle, sondern die spätere Nutzung. Genau hier entsteht für Architekten und Fachplaner eine zentrale Aufgabe: Die sicherheitsrelevanten Anforderungen müssen bereits in einer sehr frühen Projektphase geklärt werden.
Cybersecurity lässt sich nicht nachträglich wie ein einzelnes Bauteil ergänzen. Sie muss organisatorisch, technisch und baulich vorbereitet werden.
Verantwortung: Der Architekt als Koordinator
Ein zentrales Problem in der Praxis ist die unklare Zuständigkeit. Der Nutzer verweist auf den Bauherrn, der Bauherr auf den Architekten, der Architekt auf den Elektroplaner, der Elektroplaner auf den Betreiber oder die IT-Abteilung. Genau diese Kette führt häufig dazu, dass Cybersicherheit zu spät oder gar nicht systematisch betrachtet wird.
Dabei liegt die Gesamtkoordination im Planungsprozess zunächst häufig beim Architekten. Er muss nicht alle technischen Details selbst lösen, aber er muss dafür sorgen, dass die richtigen Akteure rechtzeitig eingebunden werden. Dazu gehören insbesondere TGA-Planer, Elektroplaner, Integrationsplaner, IT-Verantwortliche, Betreiber, Facility Management und gegebenenfalls externe Sicherheitsberater.
Gerade bei vernetzten Gebäuden reicht es nicht aus, Gewerke isoliert zu betrachten. Die entscheidenden Risiken entstehen an Schnittstellen: zwischen Gebäudeautomation und IT, zwischen Wartungszugang und Betreiberverantwortung, zwischen Zutrittskontrolle und Alarmierung, zwischen Brandschutzfunktion und physischer Sicherheit.
NIS2 und Cyber Resilience Act: Zwei Ebenen der Regulierung
Für Betreiber ist insbesondere die NIS2-Richtlinie relevant. Sie adressiert Sicherheitsanforderungen an Unternehmen und Einrichtungen, die für Wirtschaft und Gesellschaft eine besondere Bedeutung haben. Dazu gehören unter anderem Risikoanalyse, organisatorische Sicherheitsmaßnahmen, Meldepflichten, Backup-Konzepte und Incident-Management.
Der Cyber Resilience Act betrifft dagegen vor allem Hersteller digitaler Produkte. Ab Ende 2027 werden Produkte mit digitalen Elementen nur noch dann in Verkehr gebracht werden können, wenn sie definierte Anforderungen an Cybersicherheit erfüllen. Dazu gehören etwa Updatefähigkeit, Schwachstellenmanagement und Sicherheitsdokumentation.
Für die Planung bedeutet das: Gebäude, die heute konzipiert werden, werden in einer regulatorischen Realität betrieben, die sich bereits verschärft hat oder weiter verschärfen wird. Wer jetzt plant, muss künftige Anforderungen bereits mitdenken.
Gebäudeautomation als Angriffsfläche
Ein besonders kritischer Bereich ist die Gebäudeautomation. Sie steuert und überwacht zentrale Funktionen eines Gebäudes – von Heizung, Kühlung und Lüftung bis zu Alarmierung, Energieversorgung und Zugangssystemen.
In der Vergangenheit war offene Kommunikation ein großer Fortschritt. Heute kann sie zum Risiko werden, wenn Anlagen ungeschützt über das Internet erreichbar sind oder Wartungszugänge ohne ausreichende Absicherung bestehen. Offene Schnittstellen, Standardpasswörter, fehlende Verschlüsselung oder schlecht dokumentierte Fernzugriffe können dazu führen, dass Angreifer über die Gebäudeautomation in weitere Systeme eindringen.
Gerade Rechenzentren zeigen das Problem deutlich. Die IT-Systeme im Kernbereich sind häufig hoch abgesichert. Wird jedoch die Gebäudetechnik – etwa Kühlung oder Alarmierung – manipuliert, kann der Betrieb dennoch massiv beeinträchtigt werden. Gebäudeautomation kann damit zum Sprungbrett für Angriffe auf IT-Infrastrukturen werden.
Physische Planung bleibt entscheidend
Cybersicherheit beginnt nicht erst im Netzwerk. Sie hat auch eine bauliche Dimension. Technikräume, Leitungswege, Schaltschränke, Serverräume und Wartungszugänge müssen so geplant werden, dass unbefugter Zugriff erschwert wird.
Dazu gehören gesicherte Technikräume, kontrollierte Zugangszonen, geschützte Leitungsführungen, nachvollziehbare Trassenplanung und klar geregelte Wartungspunkte. Ein einfacher Dreikantschlüssel für sicherheitsrelevante Schaltschränke ist in kritischen Umgebungen nicht mehr zeitgemäß.
Auch die Frage, wo externe Dienstleister Zugriff erhalten, muss früh geklärt werden. Fernwartung kann sinnvoll und wirtschaftlich notwendig sein, darf aber nicht zu dauerhaft offenen Einfallstoren führen. VPN-Verbindungen, Zertifikate, verschlüsselte Protokolle und rollenbasierte Zugriffsrechte werden damit zu planerisch relevanten Anforderungen.
OPC UA und BACnet Secure Connect
Für die sichere Kommunikation in Gebäude- und Automationssystemen gewinnen Standards wie OPC UA und BACnet Secure Connect an Bedeutung.
OPC UA stammt aus der Industrieautomation und ermöglicht standardisierten Datenaustausch zwischen Systemen. Richtig konfiguriert kann es sichere Kommunikation unterstützen. BACnet Secure Connect überträgt ähnliche Anforderungen stärker in die Gebäudeautomation und arbeitet ebenfalls mit Zertifikaten und verschlüsselten Verbindungen.
Wichtig ist jedoch: Ein sicherer Standard allein garantiert noch keine sichere Anlage. Entscheidend sind Konfiguration, Zuständigkeit, Zertifikatsmanagement, Dokumentation und Betrieb. Auch ein grundsätzlich sicheres Protokoll kann unsicher betrieben werden, wenn Zertifikate fehlen, Zugänge falsch eingerichtet sind oder Verantwortlichkeiten ungeklärt bleiben.
Integrationsplanung als Schlüsselrolle
Eine wichtige Rolle kommt dem Integrationsplaner zu. Er denkt gewerkeübergreifend und verbindet technische Gebäudeausrüstung, IT, Automation und Betriebsperspektive. Gerade bei komplexen Gebäuden sollte diese Funktion nicht zu spät eingebunden werden.
Die Praxis zeigt: Wird der Integrationsplaner erst in späten Leistungsphasen hinzugezogen, sind viele bauliche und technische Entscheidungen bereits getroffen. Dann lassen sich Sicherheitsanforderungen oft nur noch teuer oder unvollständig nachrüsten.
Sinnvoll ist eine frühe Einbindung bereits in der Bedarfsplanung und Grundlagenermittlung. Dort müssen Nutzung, Betreiberstruktur, Sicherheitsniveau, Wartungskonzepte und Nachweispflichten definiert werden.
Nachweisbarkeit: Wer schreibt, der bleibt
Ein weiterer Kernpunkt ist die Dokumentation. Cybersicherheit muss nachweisbar sein. Dazu gehören klare Verantwortlichkeiten, abgestimmte Sicherheitskonzepte, dokumentierte Schnittstellen, Übergabeprotokolle, Zertifikate, Backup-Konzepte und Betriebsanweisungen.
Gerade beim Übergang vom Bau in den Betrieb entstehen häufig Lücken. Der Betreiber erhält ein Gebäude, dessen technische Logik nicht ausreichend erklärt oder dokumentiert wurde. Für einen sicheren Betrieb reicht eine klassische Schlüsselübergabe nicht mehr aus. Notwendig ist ein strukturiertes Abnahmemanagement, das auch digitale Systeme, Zugriffsrechte, Wartungsprozesse und Notfallabläufe umfasst.
Kommunikation ist Sicherheitsarchitektur
Die wichtigste Erkenntnis lautet: Cybersicherheit im Gebäude entsteht nicht durch ein einzelnes Produkt. Sie entsteht durch frühe Kommunikation, klare Verantwortlichkeiten, realistische Anforderungen und saubere Dokumentation.
Architekten und Planer müssen Cybersicherheit nicht allein lösen. Aber sie müssen erkennen, dass vernetzte Gebäudetechnik Teil der Sicherheitsarchitektur ist. Wer KRITIS, NIS2, Cyber Resilience Act und Gebäudeautomation erst am Ende der Planung betrachtet, handelt zu spät.
Moderne Gebäude sind keine statischen Baukörper mehr. Sie sind technische, digitale und organisatorische Systeme. Genau deshalb muss Sicherheitsplanung heute früher beginnen – idealerweise schon vor der ersten klassischen Leistungsphase.
Zum Teil 2 des Fachartikel: https://euro-security.de/teil-2-des-fachartikels-zum-geze-expertengesprach-smarte-gebaudeautomation-als-bestandteil-resilienter-kritis-strategien/
