In Bürogebäuden findet man heute mehr Computer als in einem Rechenzentrum vor 15 Jahren. Heizungs-Steuerung mit Touchscreen, vernetzte Beleuchtung, Aufzugs-Diagnose über die Cloud, Tür-Öffnungssysteme mit Smartphone-App, Kameras überall, Sensoren für Anwesenheit, Luftqualität, CO₂. Building Automation ist 2026 nicht mehr Spezialthema – es ist Standard. Inklusive der Sicherheits-Probleme, die damit kommen.
Das Bundesamt für Cybersicherheit hat in den letzten zwei Jahren mehrfach auf eine wachsende Klasse von Vorfällen hingewiesen, bei denen Building-Automation-Systeme als Einfallstor in Unternehmensnetze dienten. Hier ist, was KMU konkret tun können.
Warum Building Automation überproportional gefährdet ist
Drei strukturelle Gründe:
Lange Lebenszyklen. Eine Heizungs-Steuerung wird nicht alle 3 Jahre erneuert wie ein Server. Sie läuft 15-20 Jahre. Was 2015 sicher war, ist 2026 längst veraltet – aber das Gerät steht noch. Software-Updates werden vom Hersteller oft nach 5-7 Jahren eingestellt, das Gerät bleibt aber im Einsatz.
Spezialprotokolle ohne Sicherheits-Geschichte. Building Automation arbeitet mit Protokollen wie BACnet, Modbus, KNX, EnOcean. Die meisten wurden in den 80er- oder 90er-Jahren entworfen, ohne Cybersecurity-Anforderungen. Authentifizierung ist optional, Verschlüsselung war lange nicht vorgesehen. Wer Zugang zum lokalen Netzwerk hat, kann mit etwas Aufwand Heizung, Beleuchtung oder Zutrittskontrolle manipulieren.
Verantwortlichkeits-Lücke. Wer ist im Unternehmen für die IT-Sicherheit der Building-Automation zuständig? Die IT-Abteilung verweist auf den Facility Manager, der Facility Manager auf den Installateur, der Installateur auf den Hersteller. In den meisten KMU ist niemand wirklich in der Pflicht – und entsprechend wird das Thema selten aktiv angegangen.
Konkrete Vorfall-Muster
Was in den letzten Jahren in der Schweiz tatsächlich passiert ist:
- Aufzugs-Steuerung als Einstiegspunkt. Eine Aufzugs-Wartungsfirma hatte Fernzugriff auf die Steuerungs-Computer in mehreren Unternehmen. Über einen kompromittierten Account dieser Wartungsfirma kamen Angreifer in das interne Netz – und von dort, weil keine Segmentierung zwischen Aufzug-Netz und Office-Netz bestand, in das Active Directory.
- Heizungssteuerung mit Web-Interface ungesichert im Internet. Über Suchmaschinen wie Shodan finden Angreifer regelmässig Building-Automation-Systeme, die direkt aus dem Internet erreichbar sind, oft mit Standard-Passwörtern. In der Schweiz hat das BACS in den letzten Jahren mehrfach mit den betroffenen Betreibern Kontakt aufgenommen.
- Konferenzraum-Technik als Brückenkopf. Vernetzte Beamer, Displays, Smart-Boards in Konferenzräumen sind oft direkt im Hauptnetz. Ein Vorfall im Welschland: ein kompromittiertes Konferenzraum-Display ermöglichte das Mitschneiden von vertraulichen Gesprächen über Wochen.
Vier Schutz-Massnahmen für KMU
1. Inventur der vernetzten Building-Automation-Systeme. Was steht im Gebäude? Heizung, Lüftung, Klima, Beleuchtung, Verschattung, Aufzüge, Zutrittskontrolle, Kameras, Konferenzraum-Technik. Wer hat darauf Zugriff – Facility Management, Wartungsfirma, Hersteller-Cloud, Smartphone-App? Welche Geräte haben Internet-Verbindung?
Die Inventur ist Voraussetzung für alles weitere. Wer nicht weiss, was er hat, kann nichts schützen. Bei einem mittleren KMU finden sich meistens 30-100 vernetzte BA-Geräte – die wenigsten waren der IT-Abteilung im Detail bekannt.
2. Netzwerk-Segmentierung. Building Automation gehört in ein eigenes VLAN, getrennt vom Office-Netz, vom Server-Netz, vom Gäste-WLAN. Mit klar definierten Firewall-Regeln, was zwischen den Segmenten erlaubt ist. Im Idealfall: aus dem BA-Netz darf nichts ins Office-Netz, und aus dem Office-Netz nur ausgewählte Verwaltungs-Hosts ins BA-Netz.
Bei den meisten KMU mit FortiNet- oder Ubiquiti-Infrastruktur lässt sich das mit wenigen Stunden Konfigurationsaufwand umsetzen. Was schmerzt, ist meistens die Inventur und die Re-Konfiguration der Geräte – nicht die Firewall.
3. Zugang von Wartungsfirmen kontrollieren. Ein eigener VPN-Tunnel pro Wartungsfirma, mit zeitlich begrenzten Credentials. Just-in-Time-Vergabe: der Wartungstechniker bekommt für sein Wartungsfenster Zugang, danach wird der Account gesperrt. Logging aller Aktivitäten.
Der häufigste Fehler: ein Standard-VPN-Login für die Wartungsfirma, der seit Jahren unverändert ist und an alle aktuellen und ehemaligen Mitarbeitenden der Firma weitergegeben wurde. Das ist 2026 nicht mehr akzeptabel.
4. Update-Strategie für BA-Systeme. Wer kümmert sich um Firmware-Updates der vernetzten Geräte? Im günstigsten Fall: der Hersteller bietet eine zentrale Verwaltungs-Plattform, die regelmässig prüft. Im Normalfall: einmal im Jahr eine Wartung mit Update-Stand-Prüfung. Bei sicherheitskritischen Geräten (Zutrittskontrolle, Kameras): häufiger.
Geräte, die seit 5+ Jahren keine Updates mehr bekommen, sind End-of-Life. Sie laufen weiter, sind aber gegen alle in den letzten Jahren gefundenen Lücken ungeschützt. Bei Aufzügen, Zutrittssystemen, Kameras: Austausch planen, nicht warten.
Was Versicherungen zunehmend fragen
Cyber-Versicherungen in der Schweiz haben in den letzten zwei Jahren ihre Fragebögen für KMU verschärft. Drei Fragen tauchen praktisch immer auf:
- «Sind Building-Automation-Systeme vom Office-Netzwerk segmentiert?»
- «Wie kontrollieren Sie den Zugang von Wartungsfirmen zu Ihren Systemen?»
- «Wie aktuell sind die Firmware-Stände Ihrer vernetzten Gebäudetechnik?»
Wer hier «weiss ich nicht» oder «nicht segmentiert» antworten muss, bekommt entweder höhere Prämien oder gar keinen Versicherungsschutz mehr für IoT-bezogene Vorfälle. Was vor drei Jahren Nice-to-have war, wird zum versicherungstechnischen Muss.
Was UCC Pro hier macht
Wir kommen aus zwei Richtungen zum Thema Building Automation: vom IT-Betrieb (Netzwerk-Segmentierung, FortiNet/Ubiquiti-Konfiguration) und von der Gebäudeautomation (Loxone, NOX). Das ist ungewöhnlich, weil die meisten Anbieter entweder das eine oder das andere können – wir machen beides aus einer Hand. Konkret heisst das: Inventur, Segmentierung, Wartungs-Zugangs-Konzept, Update-Strategie für BA-Systeme. Wenn das relevant wird: Kontakt, oder direkt unter Gebäudeautomation.
Drei Sätze zum Mitnehmen
Building Automation ist 2026 ein wachsender Cyber-Risikobereich, weil lange Lebenszyklen, schwache Protokolle und unklare Verantwortlichkeiten zusammenkommen. Vier Schritte – Inventur, Segmentierung, Wartungs-Zugangs-Kontrolle, Update-Strategie – heben das Sicherheits-Niveau deutlich. Versicherungen fragen das zunehmend ab; wer das nicht hat, zahlt höhere Prämien.
Quellen: NCSC – BACS Bundesamt für Cybersicherheit, IoT-Empfehlungen für Unternehmen; BSI BSI-CS 132 (Industrial Control Systems); Praxis-Erfahrung UCC Pro 2014–2026.