In den Smart Cities und Smart Buildings der Zukunft nehmen Sensorik, Big Data Plattformen, Künstliche Intelligenz (KI) und autonome Systeme eine zunehmend wichtigere Stellung ein. Gebäude werden immer öfter durch mobile Applikationen mit der Infrastruktur der modernen Stadt im Internet of Things (IoT) vernetzt. Dadurch entstehen mannigfach neue Einfallstore für Cyber-Attacken.

Cyber Security Maßnahmen über die gesamte Wertschöpfungskette und den Lebenszyklus der Produkte und Prozesse, werden deshalb auch in der Bauindustrie zum erfolgsentscheidenden Faktor.

Cyber Security Management Systeme (CSMS), die für die Zulassung von Fahrzeugen demnächst gesetzlich vorgeschrieben sind, werden auch in der Bauindustrie und in der Immobilienbranche in Zukunft eine bedeutsame Rolle spielen.

Maximilian Schock - Senior Berater magility

Q: Herr Schock, die Cyber Security von Fahrzeugen wird jetzt für die Typzulassung relevant. Denken Sie, dass ähnliche Regularien für die Cyber Security von Gebäuden folgen?

A: In der Automobilindustrie hat man mittlerweile erkannt, dass Fahrzeuge immer mehr zu fahrenden Computern geworden sind, die man als Teil des Internet of Things (IoT) betrachten muss. Das Fahrzeug ist über seine physischen Grenzen wie Reifen oder Kotflügel hinaus Teil eines sogenannten End-to-End Gesamtsystems. Das bedeutet, dass es über den gesamten Lebenszyklus und über alle Stellen in der Wertschöpfungskette geschützt sein muss. Hierzu zählen neben dem Produkt selbst auch Cloud Dienste, Backends und mobile Applikationen. Die Hersteller werden in Zukunft ein Konformitätszertifikat für das Management von Cyber-Sicherheit für ihre Organisation, ihre Prozesse und Produkte vorweisen müssen, um weiterhin Fahrzeuge zulassen zu können. Unser Geschäftsführer Herr Dr. Michael Müller hatte vor einigen Wochen in einem Interview zu diesem Thema gesprochen.

Auch Gebäude sind heutzutage immer mehr vernetzt. Das beginnt bereits bei Smart Home Applikationen wie z.B. Klingelsystemen mit Videoschaltung, intelligente Backöfen oder ganze Datenbusse, mit denen sich Licht und Temperatur im gesamten Haus steuern lassen. Moderne Gebäude in einer Smart City besitzen teilweise schon eine Anbindung an ein Smart Grid und sind durch Energieversorgung oder Mobilitätsdienstleistungen wie z.B. Ladesäulen bereits voll integriert und mit der Infrastruktur vernetzt. Wenn man Parallelen zur Automobilindustrie zieht, ist es nur eine Frage der Zeit, bis auch die Cybersicherheit von Gebäuden auf Gesetzesebene reguliert wird, da sich in einer vernetzten Infrastruktur zahlreiche Angriffsflächen für Cyber-Attacken ergeben.

Q: Wie kann sich die Bauindustrie sinnvoll vorbereiten?

Ein Ansatz wäre, sich die aktuellen Best Practices aus der Automobilindustrie anzuschauen und diese auf die Bauindustrie anzuwenden. Dabei könnten z.B. Steuergeräte oder Sensoren, die im Gebäude verbaut werden sollen, beim Sourcing-Prozess bereits auf Cybersicherheit überprüft werden. Im Umkehrschluss bedeutet dies für die Lieferanten, dass die Prozesse in Entwicklung, Produktion und Vertrieb zukünftig angepasst werden müssen, um den Cyber-Anforderungen des Kunden zu entsprechen und sich weiter als Lieferant zu qualifizieren.

Die Einführung eines sogenannten Cyber Security Management Systems (CSMS) das Produkte, Prozesse und Organisation um das Thema Cyber Security erweitert, ist hierfür die beste Lösung. So können alle beteiligten Stakeholder eines Bauprojektes sicherstellen, dass ihre Organisation, sowie ihre Lieferanten cyber-sicher sind und sie, im Falle der Einführung einer verpflichtenden CSMS-Zertifizierung, weiterhin ihre Bauvorhaben umsetzen dürfen.

Q: Wir haben gelernt: Die Integration eines ganzheitlichen CSMS ist ein kritischer Erfolgsfaktor für das Wohnen der Zukunft. Smart Cities, die ohne Vernetzung und somit ohne Angriffsflächen nicht funktionieren, bedürfen einer ganzheitlichen Cyber Security Strategie. Wie kann solch eine Strategie aussehen?

A: Zunächst muss man sich mit dem neuen vernetzten Ökosystem vertraut machen, in welchem sich eine moderne Smart City heutzutage befindet. Dieses System besteht aus einer immer weiter wachsenden Anzahl an vernetzten Sensoren, die rein theoretisch aus jedem Produkt, Objekt oder Gerät ein Smart Device machen können. Das bedeutet, dass für jedes dieser Objekte ein individueller Lebenszyklus und eine ganz eigene Wertschöpfungskette besteht. All diese verschiedenen Zyklen und Ketten sind in der Folge von Cyber Security betroffen, weshalb die Integration eines Management Systems hier der zentrale Punkt einer jeden Cyber Security Strategie sein sollte.

Nehmen wir ein neues Bauvorhaben als Beispiel. Zunächst haben wir hier verschiedene Akteure, um ein solches Vorhaben umzusetzen. Diese sind meistens Investoren, Bauplaner, die eigentlichen Baufirmen und später dann die Betreiber. Jede Partei muss sich darüber im Klaren sein, was auf der Cyber-Seite zu tun ist, damit alle Schnittstellen abgesichert sind. Investoren sind vor allem bei der Auswahl der Partner gefragt und müssen ein Gesamtbild und eine Zielvorstellung vorgeben, z.B. dass ein geplantes smartes Bürogebäude auch cyber-secure ist. Diese Anforderungen müssen bei der Auswahl der Partner berücksichtigt werden.

Auf Seiten der Bauplaner bedarf es einer nachhaltigen Planung von Gebäude-Elektrik und -Elektronik, und zwar von der ersten Idee bis zur Fertigstellung des Objektes. Das bedeutet, dass hier ein großes Know-How bezüglich Vernetzung, Sensorik und Kommunikationssystemen vorhanden sein muss, um sicherzustellen, dass Cyber Security an jedem Schritt mitgedacht und implementiert wird.

Beim tatsächlichen Bau des Objektes steht vor allem das Projektmanagement und die Überwachung der Implementierung und Einhaltung der Cyber-Aktivitäten im Fokus. Alle E/E-Systeme und Sensoren sowie Aktuatoren müssen korrekt verbaut sein und auf ihre funktionale Sicherheit und Cyber Security getestet werden.

Letztlich müssen Betreiberfirmen von der Abnahme bis zum Ende des Gebäudelebenszyklus – entweder durch Abriss oder Umwidmung – sicherstellen, dass die Cybersicherheit des Objektes dauerhaft gegeben ist. Dies kann durch ein sogenanntes Security Operation Center (SOC) geschehen. Dieses SOC überwacht das entsprechende Objekt 24/7 und reagiert im Falle einer Cyber-Schwachstelle in kürzester Zeit, um Fehler zu beheben oder potenzielle Attacken abzuwehren.

Q: Welche Rolle nimmt magility dabei ein?

A: Wir bei magility verstehen uns als Systemintegrator von CSMS für den europäischen Markt. Durch unsere Partnerschaften mit Technologieunternehmen wie Argus Cyber Security und High-Tech Startups aus den Bereichen Cyber Security, Sensorik, AI u.a. sowie dem unabhängigen Zertifizierungsdienstleister DEKRA und unserem internationalen Netzwerk können wir bei Bauvorhaben schnittstellenübergreifend in der Strategie- und Maßnahmenplanung beraten, den Implementierungsprozess des CSMS sowie die Umsetzung der Cyber-Security-Maßnahmen begleiten. Hierzu arbeiten wir zudem bereits mit Akteuren aus der Bauindustrie, wie z.B. Drees & Sommer zusammen.

Q: Vielen Dank für die ausführlichen Antworten. Herr Schock, geben Sie uns zum Abschluss des Interviews noch eine persönliche Einschätzung? Wo geht die Reise der Bauindustrie hin?

A: Die Bauindustrie befindet sich seit einigen Jahren in einem signifikanten digitalen Wandel, der auch in Zukunft durch die ständig wachsende digitale Vernetzung von Gebäuden und Infrastruktur weiter fortschreitet. Aktuell ist die Automobilindustrie Vorreiter, da hier bereits Regulationen mit verpflichtenden Maßnahmen und Deadlines für die Umsetzung dieser bekannt gegeben wurden. In Zukunft wird ein CSMS aber auch für die Bauindustrie implementiert werden müssen, da nur so sichergestellt werden kann, dass die Infrastruktur geschützt wird und somit die Gefahren durch Cyber-Attacken für die Gesellschaft minimiert werden. Daher raten wir unseren Kunden aus der Bauindustrie, sich jetzt schon mit dem Thema CSMS zu befassen, um für die Zukunft gerüstet zu sein und die Chance zu ergreifen, eine Vorreiterrolle in dieser Industrie einzunehmen.

Bei weiteren Fragen zum Thema helfen wir von magility sehr gerne weiter. Wenden Sie sich bitte direkt an unsere CMO Nada Lea Welker nada.welker@magility.com oder nehmen Sie hier Kontakt mit uns auf.