Drei von vier Unternehmen setzen Gebäude-managementsysteme ein, die bekannte ausgenutzte Schwachstellen (Known-Exploited-Vulnerabilities, KEVs) aufweisen. Jedes zweite Unternehmen (51 %) ist sogar von Schwachstellen betroffen, die zusätzlich über unsichere Verbindungen zum Internet verfügen und aktiv von Ransomware-Gruppen verwendet werden. Dies zeigt der neue Report „State of CPS Security 2025: Building Management System Exposures” von Claroty, Spezialist für die Sicherheit von cyberphysischen Systemen (CPS). Für die Studie wurden mehr als 467.000 Gebäudemanagement-Systeme in über 500 Unternehmen weltweit analysiert.
Gebäudemanagementsysteme werden in nahezu allen modernen Gebäuden von Gewerbeimmobilien über Einzelhandel und Gastgewerbe bis hin zu Rechenzentren eingesetzt. Sie steuern etwa HLKK-Anlagen (Heizungs-, Lüftungs-, Klima- und Kältetechnik), Beleuchtung, Aufzüge und Sicherheitssysteme und tragen so wesentlich zum reibungslosen Geschäftsbetrieb bei. Die Kombination der Risikofaktoren (bekannte Schwachstelle plus unsichere Verbindung mit dem Internet plus Ausnutzung durch Ransomware-Akteure) bietet Angreifern leicht zugängliche Einstiegspunkte, die kostspieligen und potenziell gefährlichen Störungen Tür und Tor öffnen.
„Oft werden Gebäude-managementsysteme und Gebäudeautomation im Netzwerk betrieben, ohne an die Auswirkungen auf die Cybersicherheit zu denken“, erklärt Thorsten Eckert, Regional Vice President Sales Central von Claroty. „Auf der einen Seite stehen Effizienzgewinne und höhere Benutzerfreundlichkeit, auf der anderen jedoch steigende Cyberrisiken. Das gilt vor allem für kritische Systeme, die nicht einfach vom Netz genommen werden können, etwa die Klimatisierung von Datenzentren oder die Kühlung verderblicher Waren in der Logistik.“
Längst ist Gebäudeautomatisierung kein Nischenthema mehr und wird auch durch das BSI mit den beiden Bausteinen 13 (Technisches Gebäudemanagement) und 14 (Gebäudeautomation) explizit thematisiert. „Die Ergebnisse unserer Untersuchung machen deutlich, dass dem Schutz dieser Systeme eine wesentlich höhere Priorität eingeräumt werden muss“, so Eckert. „Durch einen auf Exposure-Management basierenden Ansatz und die Konzentration auf die besonderen Anforderungen und Herausforderungen dieser Umgebungen können Unternehmen die risikoreichsten Geräte identifizieren, bewerten und priorisieren und so wertvolle Zeit und Ressourcen sparen.“
Info: Der komplette Report „State of CPS Security 2025: Building Management System Exposures“ mit den vollständigen Ergebnissen, einer detaillierten Analyse und gezielten Empfehlungen kann hier heruntergeladen werden.
#Claroty
powered by Borlabs Cookie 