CRA-Systemintegrator

Bei solchen Anlagen liegt für den Systemintegrator heute das größte CRA-/Haftungsrisiko weniger im einzelnen Controller selbst, sondern im gemeinsam genutzten IP-Netzwerk.

Genau dort verschwimmen die Verantwortlichkeiten zwischen:

  • Hersteller
  • Systemintegrator
  • IT-Abteilung des Kunden
  • Betreiber

Bei Gebäudeautomation mit BACnet/IP, Modbus TCP, KNX IP, OPC UA, MQTT usw. sollte der Integrator heute vor allem folgende Punkte beachten:

1. Klare Netztrennung

Das wichtigste Thema überhaupt.

Die Gebäudeautomation sollte niemals einfach im normalen Kundennetz hängen.

Mindestens:

  • eigenes VLAN
  • eigene Firewall-Zonen
  • definierte Routing-Regeln
  • getrennte Management-Netze

Typische Struktur

  • Office IT
  • Firewall
  • BMS VLAN, CCTV VLAN, OT VLAN, etc.

Besonders Kritisch:

  • Drucker
  • WLAN-Clients
  • Gäste-Netze
  • IoT-Geräte des Kunden
  • Smart-TVs
  • unmanaged Switches

Diese Geräte sind oft Einfallstore.

2. „Shared Responsibility“ schriftlich festhalten

Der Integrator sollte dokumentieren:

Was in seiner Verantwortung liegt, z.B.:

  • Controller
  • Automation
  • Switch-Konfiguration
  • Firewall-Regeln
  • VPN-Zugang
  • Hardening der gelieferten Systeme

Was nicht, z.B.:

  • Kundengeräte
  • Office-IT
  • Active Directory
  • Kundenswitches
  • WLAN
  • Internetanschluss

Sonst folgt später: „Die Gebäudeautomation wurde kompromittiert — der Integrator ist schuld.“

3. Keine unkontrollierten Fremdgeräte im OT-Netz

Ein riesiges Problem in Gebäuden.

Kunden hängen oft spontan hinein:

  • PCs
  • Access Points
  • NAS
  • Smart-Geräte
  • Kameras
  • Wartungslaptops

Empfehlung:

  • NAC / Port Security
  • dokumentierte Freigaben
  • dedizierte Serviceports
  • DHCP-Reservierungen
  • MAC-Whitelisting bei kritischen Bereichen

4. Fernwartung absichern

Viele Integratoren verwenden leider noch:

  • Port Forwardings
  • offene VPNS
  • TeamViewer
  • AnyDesk
  • statische Passwörter

Heute Minimum:

  • MFA
  • VPN mit Zertifikaten
  • rollenbasierter Zugriff
  • Logging
  • zeitlich begrenzte Zugänge
  • getrennte Servicaccounts

Keine direkte Exponierung ins Internet von:

  • BACnet/IP
  • Modbus TCP
  • KNX IP
  • Webinterfaces
  • MQTT Broker

5. IP-Adressierung sauber planen

Oft unterschätzt, Probleme enstehen durch:

  • überlappende Subnetze
  • DHCP-Chaos
  • Broadcast-Stürme
  • Multicast-Probleme (BACnet)
  • schlecht segmentierte Layer-2-Netze

Empfehlung:

  • feste IP-Bereiche
  • dokumentierte VLANs
  • klare Naming-Konventionen
  • separates Management-Netz
  • begrenzte Broadcast-Domänen

BACnet/IP ist dabei besonders kritisch wegen Broadcast-Discovery.

6. Minimalprinzip bei Netzwerkfreigaben

Nur notwendige Kommunikation erlauben.

Quelle

Ziel

Port

BMS Server

Controller

BACnet

Engineering PC

PLC

HTTPS

Historian

MQTT Broker

1883/8883

Alles andere blockieren.

7. Security-Dokumentation erstellen

Heute fast immer Pflicht.

Der Integrator sollte dem Kunden übergeben:

  • Netzplan
  • VLAN-Konzept
  • Firewall-Matrix
  • IP-Liste
  • offene Ports
  • Fernwartungskonzept
  • Passwort-/Zertifikatsprozess
  • Backup-/Restore-Prozess

Sonst kann später niemand mehr nachvollziehen: „Wer durfte eigentlich wohin kommunizieren?“

8. Lifecycle und Updates klären

Gebäude laufen oft 15–25 Jahre.

Aber:

  • Switches altern
  • Zertifikate laufen ab
  • Linux-Systeme werden unsicher
  • Controller verlieren Support

Deshalb wichtig:

  • definierte Updatezyklen
  • Support-Ende dokumentieren
  • Ersatzteilstrategie
  • Firmwaremanagement

9. OT ≠ klassische IT

Ein häufiger Fehler: IT-Abteilungen behandeln Gebäudeautomation wie Office-IT.

Aber OT hat Besonderheiten:

  • Echtzeit
  • Broadcaast-Protokolle
  • hohe Verfügbarkeitsanforderungen
  • alte Geräte
  • proprietäre Kommunikation

Deshalb müssen IT-Security-Maßnahmen OT-tauglich sein.

z.B: Ein aggressiver Virenscanner kann BACnet-Gateways lahmlegen.

10. Größtes aktuelles Risiko: Laterale Bewegung

Der häufigste reale Angriffspfad heute:

  • Office-PC kompromittiert
  • Zugang ins gemeinsame Netz
  • Gebäudeautomation erreichbar
  • HVAC / Zutritt / Energie betroffen

Deshalb ist Segmentierung heute das zentrale Thema.

Praktisch sinnvoller Mindeststandard 2025/2026

Für moderne Gebäudeautomation sollte ein Integrator mindestens liefern:

  • VLAN-Trennung
  • Firewall zwischen IT und OT
  • VPN mit MFA
  • dokumentierte IP-Struktur
  • deaktivierte Default-Accounts
  • Passwortkonzept
  • Backup-Konzept
  • Updateprozess
  • Netzplandokumentation
  • Rollen-/Rechtekonzept

Der entscheidende CRA-Punkt

Der CRA verlangt zwar primär sichere Produkte.

Aber für Integratoren entsteht die Haftung zunehmend daraus, dass sie:

  • unsichere Gesamtsysteme bauen
  • unsichere Default-Konfigurationen liefern
  • fehlende Segmentierung akzeptieren
  • bekannte Risiken nicht dokumentieren

Das wird künftig bei Ausschreibungen, Versicherungen und Forensik immer wichtiger.