BACnet Insight



          dern über den gesamten Lebenszyklus ihrer Produkte   Nationale Ergänzungen: TRBS 1115-1 & IT-Grund-  hilfen über das Konzept „Weg in die Basis-Absicherung“
          hinweg nachweisen, dass IT-Sicherheit berücksichtigt   schutz++      (WiBA) bereitstellen.
          wurde.
                                            Neben den EU-Vorgaben konkretisieren in Deutschland   IT-Grundschutzbausteine INF.13 und INF.14
          Zentrale Anforderungen sind:      nationale Regelungen wie TRBS 1115-1 und der neue IT-
          ƒ  sichere Entwicklung und Produktion („Security by   Grundschutz++ die Sicherheitsanforderungen.  Im IT-Grundschutz-Kompendium 2022 wurden zwei neue
           Design“),                                                           Bausteine eingeführt, die sich direkt an Betreiber von
          ƒ  standardisierte Schwachstellenbehandlung,  TRBS 1115-1            Gebäudeautomationssystemen richten.
          ƒ  transparente und verbindliche Meldeprozesse bei
           Sicherheitslücken,               Die Technische Regel für Betriebssicherheit TRBS 1115-1  ƒ  INF.13 Technisches Gebäudemanagement (TBM)
          ƒ  regelmäßige Updates und klare Kommunikation über   konkretisiert die Anforderungen der Betriebssicherheits-  deckt Planung und Betrieb gebäudetechnischer Anla-
           Sicherheitsrisiken.              verordnung (BetrSichV) im Hinblick auf Arbeitsmittel, die   gen ab – etwa Heizung, Lüftung, Klima, Energiever-
                                            aus einer Kombination von Hard- und Software bestehen   sorgung – mit Sicherheitsanforderungen und Gefähr-
          Für Komponenten in der Gebäudeautomation wie BACnet-  – sogenannte „digitale Arbeitsmittel“. Auch Gebäudeau-  dungsanalysen. Dabei werden Risiken adressiert, die
          Gateways, Steuergeräte oder KNX-Router bedeutet dies   tomationssysteme fallen unter diese Kategorie, wenn sie   etwa durch ungesicherte Fernwartungszugänge, feh-
          Sicherheit „by design“, und „by default“ wird zum Pflicht-  sicherheitsrelevante Funktionen erfüllen oder über das   lende Rechtekonzepte oder veraltete Protokolle ent-
          programm  – samt  transparenter  Schwachstellenkom-  Internet wartbar sind. Die TRBS 1115-1 betont die Ver-  stehen.    6
          munikation  und  verpflichtender  Meldewege  im  Fall von   antwortung des Betreibers für die Gefährdungsbeurteilung
          Sicherheitslücken.            2  solcher Systeme unter Berücksichtigung von Cyberrisiken.  ƒ  INF.14 Gebäudeautomation (BACS) konzentriert sich
                                            Dies beinhaltet beispielsweise die Bewertung von Update-  auf Automations- und Regelungssysteme im Gebäude,
          Das BSI hat zur Umsetzung des CRA die Technische   Mechanismen, Fernzugriffswegen oder Sicherheitsfunkti-  insbesondere Schnittstellen zu IT-Netzen sowie Daten-
          Richtlinie TR-03183 veröffentlicht. Diese gliedert   onen. Die Regel verdeutlicht: Cybersicherheit ist kein iso-  sicherheit, Verfügbarkeit und Integrität und fokussiert
          sich in drei Teile:               liertes IT-Thema mehr, sondern integraler Bestandteil der   auf die technische Infrastruktur von Gebäuden, insbe-
          ƒ   General Requirements – Übersicht zu sicherheitsre-  Arbeitssicherheit – mit direkten Auswirkungen auf War-  sondere Stromversorgung, Klimatisierung, Zugangssi-
           1.
           levanten Produktanforderungen    tung, Instandhaltung und Schutzmaßnahmen vor Ort. 5  cherheit oder Brandschutz.    7
          ƒ   Software Bill of Materials (SBOM) – Transparenz
           2.
           über verwendete Softwarekomponenten  Modernisierung des IT-Grundschutzes  Beide Bausteine liefern praxisnahe  Anforderungen zur
          ƒ   Vulnerability Reports and Notifications – Regeln zum             Segmentierung von Netzwerken, zur Protokollhärtung und
           3.
           Umgang mit eingehenden Schwachstellenmeldungen  Der IT-Grundschutz des BSI wird derzeit grundlegend über-  zum Schutz der physischen Anlagen. Für Betreiber bedeu-
                                        3  arbeitet. Ab dem 1. Januar 2026 soll der neue „Grund-  tet dies: Sowohl die digitale als auch die physische Archi-
                                            schutz++“ stufenweise eingeführt werden. Wesentliche   tektur von Gebäuden muss aktiv geschützt und regelmä-
          RED: Cybersicherheit drahtloser Komponenten  Neuerung ist die Bereitstellung eines maschinenlesbaren   ßig überprüft werden. Hersteller profitieren, wenn sie ihre
                                            Regelwerks, das als JSON-Datei strukturiert alle Anforde-  Produkte direkt mit Blick auf diese Bausteine entwickeln
          Ab dem 1. August 2025 ist die überarbeitete Radio Equip-  rungen umfasst. Dies erleichtert die automatisierte Integ-  und dokumentieren.
          ment Directive (RED) in Kraft. Gemeinsam mit dem CRA   ration in ISMS-Tools und unterstützt Unternehmen bei der
          schafft sie eine doppelte Verpflichtung:  kontinuierlichen Sicherheitsbewertung.   Schwachstellenmanagement bei Hard- und
          ƒ  Geräte müssen funktechnisch und elektromagnetisch                 Softwarekomponenten
           sicher sein.                     Die neue Struktur verfolgt einen objektbasierten Ansatz,
          ƒ  Zusätzlich sind IT-Schutzmechanismen (z. B. Ver-  reduziert Redundanzen und erhöht die Transparenz. Um   Komponenten in der Gebäudeautomation bestehen
           schlüsselung, Zugriffskontrolle) verpflichtend.  die Anwendbarkeit weiter zu erleichtern, werden die Absi-  heute oft aus komplexen Kombinationen aus Software
                                            cherungsstufen Basis, Standard und erhöhter Schutz-  und Hardware – etwa Embedded Linux, Webschnittstel-
          Betroffen sind u. a.  WLAN-fähige Steuerungen, LoRa-  bedarf durch flexible Leistungszahlen in Verbindung mit   len, Netzwerkprotokollen  und physischen  Schnittstellen.
          Gateways und GSM-Module.      4   dynamischen Schwellwerten ersetzt. Für kleine und mitt-  Schwachstellen in solchen Systemen können sich auf vie-
                                            lere Organisationen wird das BSI praxisnahe Einstiegs-  len Ebenen manifestieren.




                             Verabschiedung   Umsetzung in nationales
          Regelwerk                                          Wer ist betroffen?             Umsetzungsfristen
                             auf EU-Ebenel  Recht
          NIS-2              Dezember 2022  Erforderlich (Umsetzung in DE   Betreiber kritischer und wichtiger Einrichtungen,   Spätestens 17. Oktober 2024
          (Richtlinie (EU) 2022/2555     über NIS2UmsuCG in Arbeit)  darunter auch größere Betreiber von Gebäuden
          CER                Dezember 2022  Erforderlich (nationale   Betreiber kritischer physischer Infrastrukturen   Spätestens 17. Oktober 2024
          (Richtlinie (EU) 2022/2557)    Umsetzung in Arbeit)  (u. a. im Bereich Energie, Transport, öffentliche
                                                             Verwaltung)
          CRA                März 2024   Nicht erforderlich (Verordnung   Hersteller und Anbieter von Produkten mit digitalen  Verpflichtende Anforderungen
          (Cyber Resilience Act)         – gilt direkt in allen   Elementen, inkl. GA-Komponenten  gelten ab Q4 2027 (36 Monate
                                         Mitgliedstaaten)                                   Übergangsfrist)
          RED (Änderung der   Änderungen   Nicht erforderlich (automatisch   Hersteller funktechnischer Geräte, inkl. IoT- und   Neue Anforderungen gelten ab
          Funkanlagenrichtlinie durch   beschlossen am   gültig)  GA-Komponenten            1. August 2025
          delegierten Rechtsakt)  7. Januar 2022



          28  BACnet Europe Journal 43 09/25