the man in the hightower

Von Nina Wagner news 7 Min. Lesezeit
the man in the hightower

Das Bundesministerium des Innern und für Heimat (BMI) stellte am Montag in Berlin ein neues Rahmenkonzept zur Absicherung digitaler Steuerungssysteme in deutschen Hochhäusern und Regierungsgebäuden vor. Die unter dem Arbeitstitel The Man in the Hightower geführte Initiative reagiert auf die steigende Zahl von Cyberangriffen auf die Gebäudeleittechnik (GLT), die laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im vergangenen Jahr um 12 Prozent zugenommen haben. Bundesinnenministerin Nancy Faeser betonte während der Pressekonferenz, dass die physische Sicherheit moderner urbaner Zentren untrennbar mit der Integrität ihrer digitalen Netzwerke verbunden sei.

Das Konzept sieht vor, die bisher oft isolierten Sicherheitsstandards für Fahrstuhlsysteme, Klimatechnik und Brandschutzvorrichtungen in einer einheitlichen Prüfarchitektur zusammenzuführen. Experten des BSI und Vertreter der privaten Immobilienwirtschaft entwickelten die Richtlinien über einen Zeitraum von 18 Monaten. Das Ziel besteht darin, Sicherheitslücken zu schließen, die durch die Vernetzung von Gebäuden im Sinne des "Smart Building"-Konzepts entstanden sind.

Implementierung der Richtlinien von The Man in the Hightower

Die Umsetzung der neuen Vorgaben erfolgt schrittweise und betrifft zunächst alle Gebäude mit einer Höhe von mehr als 60 Metern sowie Objekte mit besonderer öffentlicher Bedeutung. Das BMI stuft diese Bauwerke als Teil der kritischen Infrastruktur ein, sofern sie Verwaltungsstäbe oder zentrale Knotenpunkte der Telekommunikation beherbergen. Die technischen Spezifikationen verlangen eine strikte Trennung zwischen den öffentlichen WLAN-Netzen und den internen Steuerungskreisläufen der Gebäudetechnik.

Laut einer Pressemitteilung des BSI müssen Betreiber künftig halbjährliche Sicherheitsaudits durchführen lassen, um die Betriebserlaubnis für automatisierte Systeme aufrechtzuerhalten. Diese Audits werden von zertifizierten Drittanbietern vorgenommen, die dem Ministerium direkt berichtspflichtig sind. Das Regelwerk definiert zudem klare Eskalationsstufen für den Fall, dass Unregelmäßigkeiten in der Datenübertragung registriert werden.

Technische Anforderungen an die Sensorik

Innerhalb der neuen Struktur nehmen Sensoren zur Anomalieerkennung eine zentrale Rolle ein. Diese Geräte überwachen den Datenverkehr innerhalb der gebäudeeigenen Netzwerke in Echtzeit und schlagen Alarm, wenn unautorisierte Zugriffsversuche auf die Aufzugssteuerung oder die Notstromversorgung erfolgen. Das Fraunhofer-Institut für Materialfluss und Logistik (IML) lieferte für diese Technologie die wissenschaftlichen Grundlagen.

Die Hardware für diese Überwachungssysteme muss laut den Vorgaben aus europäischer Fertigung stammen oder durch nationale Sicherheitsbehörden validiert worden sein. Damit möchte die Bundesregierung Abhängigkeiten von Anbietern aus Drittstaaten reduzieren, deren Hard- und Software in der Vergangenheit durch Hintertüren in der Kritik stand. Die Kosten für die Umrüstung tragen die Eigentümer der Immobilien, wobei staatliche KfW-Kredite für Modernisierungsmaßnahmen zur Verfügung stehen.

Wirtschaftliche Auswirkungen auf den Immobiliensektor

Der Zentrale Immobilien Ausschuss (ZIA) bewertet die Einführung der neuen Sicherheitsstandards als notwendigen, aber kostenintensiven Schritt für die Branche. ZIA-Präsident Dr. Andreas Mattner erklärte in einem offiziellen Statement, dass die Investitionen pro Objekt im hohen fünfstelligen Bereich liegen könnten. Er forderte steuerliche Anreize, um die Belastung für Projektentwickler und Bestandshalter abzufedern.

Trotz der finanziellen Hürden sieht die Branche langfristig Vorteile in der Standardisierung. Einheitliche Protokolle erleichtern die Wartung und senken die Versicherungsprämien für Gebäude, die nachweislich gegen digitale Sabotage geschützt sind. Mehrere große Versicherungsgesellschaften haben bereits angekündigt, ihre Policen an die Erfüllung der staatlichen Sicherheitsvorgaben zu knüpfen.

Reaktion der Versicherungswirtschaft

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) begrüßte die Initiative als wichtigen Beitrag zur Risikominimierung. Ein Sprecher des Verbandes wies darauf hin, dass die Schadenssummen bei Betriebsausfällen in Bürokomplexen durch Cyberattacken jährlich Millionenbeträge erreichen. Durch die verbindlichen Prüfzyklen lasse sich das Haftungsrisiko für Betreiber deutlich klarer definieren.

Die Versicherer planen, Rabatte auf die Prämien zu gewähren, wenn Immobilienbesitzer über die Mindestanforderungen hinausgehende Schutzmaßnahmen ergreifen. Dazu zählen beispielsweise redundante Serverstandorte innerhalb der Gebäude oder die Beschäftigung von fest angestelltem Sicherheitspersonal für die IT-Infrastruktur. Diese Maßnahmen sollen die Resilienz der urbanen Zentren gegenüber gezielten Angriffen stärken.

Kritik am Umfang der staatlichen Überwachung

Datenschutzorganisationen und Bürgerrechtsbewegungen äußerten Bedenken hinsichtlich der potenziellen Überwachungsmöglichkeiten, die durch die zentrale Vernetzung entstehen könnten. Der Verein Digitalcourage kritisierte, dass die Erfassung von Bewegungsdaten innerhalb der Gebäude durch die Sensoren missbraucht werden könnte. Die Organisation fordert eine strikte Zweckbindung der erhobenen Daten und eine Löschpflicht nach spätestens 24 Stunden.

Das Innenministerium wies diese Vorwürfe zurück und betonte, dass keine personenbezogenen Daten gespeichert würden. Die Sensoren erfassten lediglich technische Parameter und keine Profile von Besuchern oder Mitarbeitern. Dennoch bleibt die Frage der Datenhoheit ein Streitpunkt zwischen Sicherheitsbehörden und Datenschützern.

Parlamentarische Debatte im Bundestag

Im Innenausschuss des Deutschen Bundestages wurde das Thema kontrovers diskutiert. Während die Regierungskoalition die Bedeutung für die nationale Sicherheit hervorhob, bemängelte die Opposition eine unzureichende Einbindung kleinerer Kommunen. Viele mittelgroße Städte verfügen ebenfalls über Gebäude, die unter die neuen Kriterien fallen könnten, aber nicht über die notwendigen Fachkräfte zur Umsetzung verfügen.

Die Abgeordneten forderten zudem einen klaren Zeitplan für die Evaluierung der Maßnahmen. Es müsse sichergestellt werden, dass die Technologie nicht veralte, bevor die flächendeckende Installation abgeschlossen sei. Das Ministerium sicherte zu, das Programm regelmäßig an den Stand der Technik anzupassen.

Technologischer Hintergrund und internationale Standards

Die deutsche Initiative orientiert sich teilweise an internationalen Richtlinien wie dem Cyber Resilience Act der Europäischen Union. Informationen hierzu finden sich auf den Seiten der Europäischen Kommission. Ziel ist eine Harmonisierung der Sicherheitsstandards innerhalb des Binnenmarktes, um den Export deutscher Sicherheitstechnologie zu erleichtern.

In den Vereinigten Staaten existieren mit dem NIST Cybersecurity Framework ähnliche Ansätze, die jedoch stärker auf Freiwilligkeit setzen. Die Bundesregierung entschied sich für einen regulatorischen Weg, da die Erfahrung der letzten Jahre gezeigt habe, dass freiwillige Selbstverpflichtungen im Bereich der kritischen Infrastruktur oft nicht ausreichen. Die technische Dokumentation zur neuen Strategie ist beim Bundesministerium des Innern hinterlegt.

Zukünftige Entwicklung und Erweiterung des Programms

In einem zweiten Schritt plant das BMI, die Vorgaben auf Krankenhäuser und Flughäfen auszuweiten. Diese Einrichtungen verfügen über ähnlich komplexe Leitsysteme wie moderne Hochhäuser und stehen zunehmend im Fokus von Ransomware-Gruppen. Die Erfahrungen aus der ersten Phase der Implementierung sollen direkt in die Erweiterung des Regelwerks einfließen.

Langfristig strebt die Bundesregierung eine KI-gestützte Gefahrenabwehr an. Algorithmen sollen in der Lage sein, Angriffsmuster bereits in der Entstehungsphase zu erkennen und infizierte Segmente des Netzwerks automatisch zu isolieren. Dies würde die Reaktionszeit bei Attacken von mehreren Stunden auf wenige Millisekunden verkürzen.

Sicherheit als Standortfaktor für deutsche Städte

Wirtschaftsexperten sehen in der hohen Sicherheit digitaler Infrastrukturen einen Wettbewerbsvorteil für den Standort Deutschland. Unternehmen, die hochsensible Daten verarbeiten, bevorzugen Standorte mit einer stabilen und geschützten Umgebung. Die Investitionen in die Gebäudesicherheit werden daher auch als Wirtschaftsförderung betrachtet.

Die Metropolen Frankfurt am Main, Berlin und München sind besonders von den neuen Regelungen betroffen. Hier konzentrieren sich die meisten Objekte, die in die Kategorie der schützenswerten Hochbauten fallen. Die Stadtverwaltungen haben bereits damit begonnen, eigene Koordinierungsstellen einzurichten, um die privaten Eigentümer bei der Umsetzung zu beraten.

Ausbildung von Fachpersonal

Ein Engpass bei der Umsetzung bleibt der Mangel an qualifizierten Fachkräften im Bereich der IT-Sicherheit für Gebäude. Viele klassische Elektriker und Haustechniker sind nicht für die Absicherung komplexer digitaler Netzwerke ausgebildet. Universitäten und Fachhochschulen planen daher neue Studiengänge und Weiterbildungen an der Schnittstelle zwischen Architektur und Informatik.

Die Bundesagentur für Arbeit hat angekündigt, Umschulungsprogramme in diesem Bereich finanziell zu unterstützen. Damit soll sichergestellt werden, dass die ambitionierten Ziele der Sicherheitsstrategie nicht an fehlendem Personal scheitern. Die ersten zertifizierten Fachkräfte für digitale Gebäudesicherheit werden für das kommende Jahr erwartet.

💡 Das könnte Sie interessieren: stehlampe für draußen mit strom

The Man in the Hightower dient hierbei als Blaupause für die künftige Zusammenarbeit zwischen staatlichen Stellen und privaten Akteuren. Die Identifikation von Schwachstellen in einer so frühen Phase der technologischen Transformation wird als Modell für andere Sektoren der kritischen Infrastruktur angesehen.

Das Bundesamt für Bauwesen und Raumordnung (BBR) wird in den kommenden Monaten die technischen Richtlinien für Neubauten anpassen. Ab 2025 müssen alle Bauanträge für Gebäude der entsprechenden Kategorie ein detailliertes IT-Sicherheitskonzept enthalten. Dieser Schritt markiert den Übergang von einer rein baurechtlichen zu einer kombinierten baulich-digitalen Sicherheitsprüfung, wobei die genauen Kriterien für die Zertifizierung durch das BSI noch im Detail ausgearbeitet werden.

NW

Nina Wagner

Nina Wagner verbindet redaktionelle Sorgfalt mit erzählerischer Klarheit und macht relevante Themen greifbar.

Ähnliche Artikel

Warum politische Brandmauern in Deutschland ins Wanken geraten und was jetzt passieren muss

Warum politische Brandmauern in Deutschland ins Wanken geraten und was jetzt passieren muss
Hansestadt Verabschiedet Integriertes Stadtentwicklungskonzept Zur Bewältigung Des Demografischen Wandels

Hansestadt Verabschiedet Integriertes Stadtentwicklungskonzept Zur Bewältigung Des Demografischen Wandels
Roland Koch Diskutiert Wirtschaftliche Folgen Der Aktuellen Haushaltskrise Auf Einem Wirtschaftskongress In Frankfurt

Roland Koch Diskutiert Wirtschaftliche Folgen Der Aktuellen Haushaltskrise Auf Einem Wirtschaftskongress In Frankfurt
Das Echo aus dem Kanzleramt und die Vermessung der neuen Berliner Republik

Das Echo aus dem Kanzleramt und die Vermessung der neuen Berliner Republik