Das angreifbare Gebäude: Was NIS2 für Facility und Property Management bedeutet

Es gibt im Facility Management einen Satz, den man in jedem zweiten Maschinenraum hört, wenn man genau fragt: „Den Fernzugang haben wir damals so eingerichtet, das läuft." Damals — das ist oft 2015, 2017, manchmal noch früher. Auf der anderen Seite des Tunnels sitzt eine Wartungsfirma mit einem geteilten Account, einem statischen Passwort und Zugriff auf eine Gebäudeautomation, die heute Heizung, Kälte, Lüftung, Zutritt, Aufzüge, Brandmeldung und in einigen Fällen auch Zählerdaten orchestriert.

Diese Konstellation ist nicht exotisch. Sie ist der Normalzustand in vielen gewerblichen Beständen. Und genau dieser Normalzustand wird gerade still und wenig spektakulär zu einem Compliance-Problem. Mit der EU-Richtlinie NIS2, dem deutschen NIS2UmsuCG, dem KRITIS-Dachgesetz und dem Cyber Resilience Act verschiebt sich Cybersicherheit aus der IT-Abteilung in die operative Verantwortung von Eigentümern, Property Managern und Facility-Management-Organisationen.[¹][²][³][⁴] Wer das übersieht, übersieht eine der größten neuen Pflichtenwellen im Immobilienbetrieb seit Jahren.

Wo das „Smart" im Smart Building gefährlich wird#

Moderne Gebäude sind technisch längst keine isolierten Inseln mehr. Building-Automation-Systeme (BAS) und Operational-Technology-Komponenten (OT) verbinden Heizung, Kälte, Lüftung, Beleuchtung, Aufzüge, Zutrittssysteme, Brandmeldeanlagen und zunehmend auch Zählerinfrastruktur über Bussysteme wie BACnet, KNX, Modbus, OPC UA und LON. Über IP-Gateways, Fernwartungstunnel und Cloud-Plattformen sind diese Systeme in vielen Beständen erreichbar — oft bequemer und gleichzeitig deutlich offener, als die Betreiber wissen.

Die Größenordnung der Angriffsfläche ist seit Jahren öffentlich beschrieben. Die Sicherheitsfirma Forescout / Vedere Labs hat in den vergangenen Jahren mehrere Studien zu Schwachstellen in Operational-Technology-Komponenten veröffentlicht; die Reihe „Project Memoria" identifizierte allein in TCP/IP-Stacks zahlreiche schwerwiegende Schwachstellen, die in Steuerungen, IoT- und Gebäudegeräten verbaut sind. „OT:ICEFALL" dokumentierte 56 Schwachstellen in OT-Produkten von zehn großen Herstellern und beschrieb das zugrunde liegende Muster als „insecure-by-design".[⁵] Über öffentliche Suchmaschinen für vernetzte Geräte sind regelmäßig zehntausende offene BACnet- und Modbus-Endpunkte weltweit auffindbar — also Steuerungen, die ohne Authentifizierung aus dem Internet ansprechbar sind.[⁶]

Das BSI verzeichnet diese Lage seit Jahren mit zunehmender Schärfe. Im Bericht zur Lage der IT-Sicherheit in Deutschland 2024 spricht die Behörde von einer angespannten bis kritischen Cybersicherheitslage, weist auf eine wachsende Professionalisierung von Ransomware-Akteuren und auf zunehmend gezielte Angriffe gegen Betriebstechnologie hin und betont die Bedeutung der Lieferkettenresilienz.[⁷] In der Bundes-CERT-Warnliste finden sich regelmäßig neue Schwachstellenmeldungen für Komponenten, die im Gebäudebetrieb verbaut sind — Steuerungen von Schneider Electric, Siemens, Phoenix Contact, Honeywell, Beckhoff, ABB.

Der eigentliche Punkt ist nicht, dass Hersteller schlechte Produkte bauen. Der Punkt ist, dass Gebäudetechnik historisch in einer Welt entstanden ist, in der Verfügbarkeit, Stabilität und 20-jährige Lebenszyklen wichtiger waren als kryptografische Authentifizierung, Logging und Patch-Hygiene. Diese Welt ist vorbei — die installierten Systeme sind aber noch da.

NIS2 — die Richtlinie, die im Gebäude ankommt#

Die EU-Richtlinie NIS2 (Richtlinie (EU) 2022/2555) trat am 16. Januar 2023 in Kraft und musste bis zum 17. Oktober 2024 in nationales Recht überführt werden.[¹] Sie löst die alte NIS1-Richtlinie ab und erweitert den Geltungsbereich erheblich. Adressiert werden sogenannte „wesentliche" und „wichtige" Einrichtungen aus inzwischen 18 Sektoren — von Energie, Verkehr, Gesundheit, Wasser, Banken, Finanzmarkt, IKT-Infrastruktur und digitalen Diensten bis zu Verwaltung, Forschung, Post, Abfall, Lebensmitteln, Industrieprodukten, chemischer Industrie und Anbietern öffentlicher elektronischer Kommunikation. Die Schwellen liegen typischerweise bei mittelgroßen Unternehmen ab 50 Beschäftigten oder 10 Mio. € Umsatz; im KRITIS-Bereich gelten zusätzliche, sektor-spezifische Schwellen.[¹]

Die deutsche Umsetzung erfolgt über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), mit dem das BSI-Gesetz, das Energiewirtschaftsgesetz und mehrere weitere Fachgesetze angepasst werden.[²] Das Gesetz war über mehrere Legislaturphasen in Vorbereitung; nach langer Verzögerung wurde es 2025/2026 in der finalen Fassung verabschiedet und tritt schrittweise in Kraft. Das Bundesinnenministerium hat in der Begründung zum Regierungsentwurf angegeben, dass nach Verabschiedung mehrere zehntausend Einrichtungen in Deutschland erstmals oder erweitert betroffen sein werden — neben klassischen KRITIS-Betreibern auch viele bisher nicht regulierte mittelständische Unternehmen aus betroffenen Sektoren.[²]

Was bedeutet das für Gebäude? NIS2 reguliert primär nicht Gebäude, sondern Einrichtungen. Aber die Pflichten dieser Einrichtungen — Risikomanagement, Vorfallserkennung, Meldepflichten, Lieferkettensicherheit, Geschäftsleitungsverantwortung — schlagen unmittelbar in den Gebäudebetrieb durch, sobald sie auf reale Liegenschaften treffen:

• Krankenhäuser, Energieversorger, Wasserwerke, Rechenzentren, große Logistikbetriebe und ähnliche Einrichtungen sind als Betreiber selbst adressiert. Ihre Gebäudeautomation, Zutritts- und Sicherheitssysteme werden Teil der zu schützenden „Netz- und Informationssysteme" im Sinne der Richtlinie.[¹]
• Property-Management- und FM-Dienstleister werden in vielen Fällen über die Lieferkettenklauseln in NIS2 mit reguliert: Auftraggeber müssen Risiken in der Lieferkette steuern, einschließlich der direkten Anbieter von Diensten, die für ihre Sicherheit relevant sind. Wer als FM-Dienstleister Fernwartung, Gebäudeautomation oder Sicherheitssysteme für regulierte Betreiber bedient, fällt mittelbar unter Anforderungen, die der Auftraggeber durchreichen muss.[¹][⁸]
• Mittelgroße und große FM-Dienstleister selbst können unter NIS2 fallen, wenn sie Dienste in betroffenen Sektoren erbringen oder eigene digitale Infrastrukturen betreiben, die für ihre Kunden kritisch sind.

Damit landet ein Thema in der Verantwortung des Betriebs, das dort bisher meist nicht systematisch geführt wurde: die Cybersicherheit der Gebäudetechnik selbst.

KRITIS-Dachgesetz und Cyber Resilience Act — die zweite und dritte Welle#

NIS2 ist nur ein Teil der neuen Regulierungslandschaft. Parallel adressiert das KRITIS-Dachgesetz (KRITIS-DachG) die physische Resilienz kritischer Anlagen und setzt damit die EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER, Richtlinie (EU) 2022/2557) in deutsches Recht um.[³] Während NIS2 die digitale Sicherheit reguliert, geht es im KRITIS-DachG um den Schutz vor physischen Bedrohungen — Sabotage, Naturgefahren, Ausfälle in der Lieferkette, hybride Vorfälle. Beide Regime greifen dort ineinander, wo Gebäude- und Anlagentechnik die Schnittstelle zwischen physischer und digitaler Verwundbarkeit bildet.

Hinzu kommt der Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847), der seit dem 10. Dezember 2024 in Kraft ist und Hersteller von Produkten mit digitalen Elementen zu Security-by-Design, Schwachstellenmanagement und Update-Pflichten verpflichtet. Die wesentlichen Pflichten gelten ab dem 11. Dezember 2027.[⁴] Der CRA betrifft eine sehr breite Geräteklasse: Steuerungen, Sensoren, Gateways, Building-Management-Systeme, IoT-Komponenten — also genau die Hardware, die in Gebäuden verbaut wird. Hersteller müssen über mindestens fünf Jahre Sicherheitsupdates bereitstellen, kritische Schwachstellen melden und ihre Produkte mit einer CE-Kennzeichnung versehen, die die Cybersicherheits-Compliance bezeugt.[⁴]

Für Eigentümer und Betreiber bedeutet diese Dreifach-Architektur — NIS2, KRITIS-DachG, CRA — nicht, dass sie selbst Cybersicherheit neu erfinden müssen. Sie bedeutet aber, dass sich die Erwartungshaltung an Gebäudetechnik strukturell verschiebt: weg vom „eingebauten und vergessenen System" hin zum gepflegten, dokumentierten, segmentierten und überwachten Bestand.

Was tatsächlich passiert ist — Vorfälle, die das Muster zeigen#

Das Risiko klingt theoretisch, ist es aber nicht. Eine Auswahl gut dokumentierter Vorfälle macht das Muster konkret:

Lappeenranta, Finnland, November 2016. Ein DDoS-Angriff legte die Steuerung der zentralen Heizungs- und Warmwasserversorgung in zwei Wohngebäuden lahm; die Anlagen reagierten auf den Netzwerkstress mit endlosen Reboot-Schleifen. In der finnischen Winterkälte musste der Betrieb eingreifen, das System vom Internet trennen und manuell hochfahren. Der Vorfall wurde anschließend als einer der ersten öffentlich dokumentierten Cyberangriffe auf Gebäudetechnik diskutiert.[⁹]

Marriott Hotel, China, 2017. Sicherheitsforscher demonstrierten, wie über offene KNX-Systeme die Schiebetüren und teilweise weitere Gebäudefunktionen eines Smart-Hotelzimmers ferngesteuert werden konnten. Die Untersuchung war eine Schlüsselarbeit für die spätere Forschungsdiskussion zur KNX-Sicherheit.[¹⁰]

Schwachstellen in OT-Komponenten — laufend. Forescout / Vedere Labs hat in der Studienreihe „Project Memoria" und später in „OT:ICEFALL" insgesamt mehrere Dutzend Schwachstellen in TCP/IP-Stacks und OT-Produkten dokumentiert. Betroffen sind unter anderem Steuerungen, Schutzrelais und Netzwerkkomponenten von Herstellern, die regelmäßig in Gebäudetechnik eingesetzt werden.[⁵]

Bundes-CERT-Warnungen. Die CERT-Bund-Warnliste verzeichnet kontinuierlich neue Schwachstellen in Komponenten von Schneider Electric, Siemens, Phoenix Contact, Beckhoff, Honeywell, ABB und weiteren — viele davon mit hohem oder kritischem Schweregrad. Diese Warnungen erreichen das BSI und die Hersteller, aber selten die Property-Management- oder FM-Ebene, die operativ entscheiden müsste.[⁷]

ENISA Threat Landscape und sektorale Reports. Die EU-Cybersicherheitsbehörde dokumentiert in jährlichen Berichten die Bedrohungslandschaft. Parallel hat ENISA dedizierte Leitfäden veröffentlicht, etwa „Smart Cars" oder Studien zur Sicherheit von Smart-Building-Umgebungen, die die spezifischen Risiken von BAS, OT und Gebäudeautomation aufgreifen.[¹¹]

Was an diesen Vorfällen lehrreich ist, ist nicht die Spektakularität, sondern die Trivialität: offene Ports, Standardpasswörter, fehlende Segmentierung, vergessene Wartungszugänge, ungepatchte Steuerungen. Das Muster ist nicht „Hochbegabter Angreifer überwindet starke Verteidigung", sondern „durchschnittlicher Angreifer findet eine offene Tür".

Die genauen Prozentwerte schwanken je nach Studie und Stichprobe; das Muster ist über Studien hinweg stabil. Praktisch heißt das: Die kritische Schwachstelle in einem Bestandsobjekt ist selten die nicht-eingespielte Patch-Version einer einzelnen SPS, sondern die fehlende Trennung zwischen IT- und OT-Netz, ein offener Wartungs-VPN ohne Mehrfaktor-Authentifizierung und das Wissen darüber, das gar nicht erst dokumentiert ist.

Die Lieferkette ist die eigentliche Front#

Die schwierigste Pointe an NIS2 ist nicht, dass Eigentümer plötzlich Cybersicherheit selbst machen müssen. Sie ist, dass Eigentümer sich nicht mehr darauf verlassen können, dass ihre Dienstleister es schon richtig machen. Artikel 21 der Richtlinie verlangt von wesentlichen und wichtigen Einrichtungen ausdrücklich Risikomanagement-Maßnahmen, die unter anderem Lieferkettensicherheit und Sicherheit in den Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern abdecken — einschließlich „direkter Anbieter oder Diensteanbieter" mit Bedeutung für Sicherheit der Netze und Informationssysteme.[¹]

Im Gebäudebetrieb sind diese „direkten Anbieter" ein präzise beschreibbarer Kreis: der Hersteller der Gebäudeautomation, der Systemintegrator, die Wartungsfirma mit Fernzugang, der Aufzugswartungsdienst mit eigenem Modem, der Cloud-Anbieter für die Energie-Plattform, der CAFM-Anbieter, das Sicherheitsdienstleistungsunternehmen mit Anbindung an die Brandmeldeanlage. Jede dieser Verbindungen ist — wenn man sie ernst nimmt — eine eigene Risikolinie. Und jede dieser Linien wird unter NIS2 zum dokumentierten, nachweisbaren und prüffähigen Bestandteil des Risikomanagements der adressierten Einrichtung.

Der Cyber Resilience Act setzt parallel auf der Hersteller-Seite an. Komponenten, die ab Ende 2027 in den EU-Markt eingeführt werden, müssen dann Security-by-Design erfüllen, ein dokumentiertes Schwachstellenmanagement und Update-Versorgung über mindestens fünf Jahre nachweisen.[⁴] Für Bestandshalter heißt das nicht, dass alle alten Geräte morgen verboten wären — es heißt aber, dass beim nächsten größeren Erneuerungs- oder Modernisierungszyklus eine andere Erwartung an Hardware mitschwingt: bewertbare Cybersicherheit, dokumentierte Updatefähigkeit, klare Lebenszyklen.

Was Property Management und FM jetzt operativ tun müssen#

Die unangenehme Wahrheit lautet: Niemand wird den Bestand morgen sauber haben. Sinnvoller ist es, mit einer Reihenfolge zu arbeiten, die Risiko, Aufwand und Sichtbarkeit ernst nimmt. Aus den Anforderungen von NIS2, dem KRITIS-DachG und der einschlägigen ISO/IEC 27001/27002 sowie den IEC-62443-Familien für industrielle Steuerungssysteme lassen sich sechs Arbeitsfelder ableiten, die im Gebäudebetrieb realistisch sind:[¹²][¹³]

Erstens: Inventar. Die Ausgangsbedingung jeder Cybersicherheit ist die Antwort auf die Frage „Was haben wir eigentlich?". Ein Asset-Inventar für Gebäudeautomation, OT-Komponenten, Gateways, Zutritts- und Sicherheitssysteme — mit Hersteller, Firmware-Stand, Netzwerksegment, Verantwortlichkeit, Wartungsvertrag — ist banal in der Idee und außerordentlich selten in der Realität. Ohne dieses Inventar ist jede weitere Maßnahme symbolisch.

Zweitens: Netzsegmentierung. Die häufigste reale Schwäche ist nicht die einzelne schwache Steuerung, sondern die fehlende Trennung zwischen IT- und OT-Netz. Eine saubere Segmentierung — eigene VLANs für BAS und OT, klare Firewall-Regeln zur Office-IT, dedizierte Demilitarisierte Zonen für Fernwartungstunnel — reduziert die Angriffsfläche dramatisch, bevor man eine einzige Steuerung anfasst. Die IEC-62443-Familie beschreibt dieses Konzept als „Zones and Conduits".[¹³]

Drittens: Identitäten und Fernzugänge. Geteilte Wartungsaccounts mit statischen Passwörtern sind in einer NIS2-Welt nicht mehr haltbar. Personalisierte Identitäten, Mehrfaktor-Authentifizierung für jeden Fernzugang, Just-in-time-Zugänge mit zeitlich begrenzter Freigabe und protokollierten Sitzungen sind Pflichtteil — und gleichzeitig der Punkt, an dem viele Dienstleisterverträge nachverhandelt werden müssen.

Viertens: Patch- und Lebenszyklus-Management. Steuerungen lassen sich nicht so leicht patchen wie Endpunkte; das ist real. Trotzdem braucht es einen geordneten Prozess: Hersteller-CVE-Monitoring, Risikobewertung neuer Schwachstellen, geplante Wartungsfenster, dokumentierte Ausnahmen und ein klarer Lebenszyklus-Plan für Komponenten, die nicht mehr versorgt werden. Die ENISA hat das in mehreren Leitfäden für ICS und Smart Buildings adressiert.[¹¹]

Fünftens: Detektion und Meldepflichten. NIS2 verlangt ausdrücklich ein Verfahren zur Erkennung, Bewertung und Meldung erheblicher Sicherheitsvorfälle — mit einer 24-Stunden-Erstmeldung und einer 72-Stunden-Folgemeldung an die zuständige nationale Stelle.[¹] Operativ heißt das: Ein Monitoring, das nicht nur die Heizung, sondern auch die Kommunikationsmuster der Steuerungen sieht; klare Eskalationswege; ein Vorfall-Playbook, in dem Property Manager, FM-Dienstleister und Eigentümer wissen, wer wann wen informiert.

Sechstens: Verträge und Rollen. Cybersicherheit verläuft im Gebäudebetrieb fast immer über Vertragsgrenzen. Die zentralen Werkzeuge sind angepasste Wartungs- und Dienstleisterverträge mit Sicherheits-Pflichten, vereinbarten Reaktionszeiten und Audit-Rechten; Auftragsverarbeitungs- und Datenschutzregelungen, wo personenbezogene Daten betroffen sind; und eine klare interne Rollenaufteilung zwischen Eigentümer, Property Manager, technischem FM, externen Dienstleistern und IT.

Keiner dieser Punkte ist neu. Neu ist, dass sie zusammen — und im Verbund mit einer dokumentierten Risikoanalyse, einem Plan und einer nachweisbaren Umsetzung — zur Pflicht werden, deren Verletzung Geldbußen auslösen kann. NIS2 sieht für „wesentliche" Einrichtungen Geldbußen von bis zu 10 Mio. € oder 2 Prozent des weltweiten Jahresumsatzes vor; für „wichtige" Einrichtungen bis zu 7 Mio. € oder 1,4 Prozent. Geschäftsleitungen können persönlich in die Verantwortung genommen werden.[¹]

Was das für Bewertung und Investitionsentscheidung bedeutet#

Cybersicherheit verlässt damit endgültig den Bereich „IT-Hygiene" und betritt den Bereich, in dem Eigentümer und Investoren ihre Entscheidungen treffen. Drei Effekte sind absehbar:

Erstens werden Bestände, die NIS2-Pflichten ihrer Mieter berühren, mitreguliert. Ein Krankenhaus, ein Energieversorger oder ein Rechenzentrumsbetreiber wird zukünftig systematisch prüfen, ob die Gebäudetechnik des angemieteten Objekts die eigenen Sicherheitsanforderungen abbildet — von Zutrittssystemen über Fernwartungszugänge bis zur Gebäudeautomation. Eigentümer und Property Manager, die diese Anforderungen nicht erfüllen, erleben Reibung im Vermietungs- und Verlängerungsprozess.

Zweitens werden Cybersicherheits-Risiken Teil der Due-Diligence. Die einschlägigen Bewertungsstandards verlangen eine strukturierte Berücksichtigung wesentlicher ESG- und Resilienzfaktoren in der Immobilienbewertung; Cybersicherheit gehört implizit dazu, sobald sie operative oder Compliance-Risiken auslösen kann.[¹⁴] Mängel in der Cybersicherheit der Gebäudetechnik werden damit nicht mehr ein Randthema im technischen Anhang, sondern ein Bewertungs- und Verhandlungspunkt.

Drittens verändert sich die Erwartung an Service-Provider. Wartungsfirmen, FM-Dienstleister, Aufzugsbetreiber, Sicherheitsdienste und Anbieter von Gebäudeplattformen werden in den nächsten Jahren ihre Sicherheitsstandards offenlegen, dokumentieren und auditierbar machen müssen — oder sie verlieren systematisch Aufträge an Anbieter, die das tun. Wer als Eigentümer oder Property Manager früh damit beginnt, das in Verträgen und Ausschreibungen zu spiegeln, baut sich einen operativen und kommerziellen Vorteil auf.

Schluss#

Das angreifbare Gebäude ist kein Schlagwort, sondern eine ziemlich präzise Beschreibung eines Bestandsproblems. Über Jahrzehnte ist Gebäudetechnik in der Annahme installiert worden, dass Verfügbarkeit wichtiger ist als Sicherheit, dass Wartung Vertrauenssache ist und dass das Internet draußen bleibt. Diese Annahmen sind nicht mehr tragfähig, und mit NIS2, dem KRITIS-Dachgesetz und dem Cyber Resilience Act werden sie auch rechtlich nicht mehr akzeptiert.

Für Eigentümer, Property Manager und FM-Organisationen ist das keine Spezialfrage der IT, sondern eine Eigentümer- und Betreiberfrage. Die Antwort darauf wird selten in einem einzelnen Tool oder einer einzelnen Audit-Maßnahme liegen, sondern in einer nüchternen Reihenfolge: zuerst wissen, was im Gebäude steht, dann sauber trennen, was nicht zusammen gehört, dann verlässlich kontrollieren, wer worauf zugreift, dann die Verträge nachziehen, dann die Detektion organisieren. Wer früh damit anfängt, wird seinen Bestand nicht in eine Festung verwandeln. Aber er wird ihn aus der Lage bringen, in der heute ein durchschnittlicher Angreifer eine offene Tür findet — und das ist im Mai 2026 schon ziemlich viel.

Quellen#

[1] Europäische Union: Richtlinie (EU) 2022/2555 (NIS2) über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Veröffentlicht im Amtsblatt am 27. Dezember 2022, in Kraft seit 16. Januar 2023, Umsetzungsfrist 17. Oktober 2024. https://eur-lex.europa.eu/eli/dir/2022/2555/oj

[2] Bundesministerium des Innern und für Heimat: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) — Regierungsentwurf und Begründung; nationale Umsetzung der NIS2-Richtlinie. https://www.bmi.bund.de/

[3] Bundesministerium des Innern und für Heimat: KRITIS-Dachgesetz (KRITIS-DachG) zur Umsetzung der CER-Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen. https://www.bmi.bund.de/

[4] Europäische Union: Verordnung (EU) 2024/2847 — Cyber Resilience Act (CRA). In Kraft seit 10. Dezember 2024, wesentliche Pflichten ab 11. Dezember 2027. https://eur-lex.europa.eu/eli/reg/2024/2847/oj

[5] Forescout / Vedere Labs: Project Memoria (TCP/IP-Stack-Schwachstellen, mehrere Reports 2020–2022) und OT:ICEFALL (56 Schwachstellen in OT-Produkten von zehn Herstellern, 2022). https://www.forescout.com/research-labs/

[6] Studien zu öffentlich erreichbaren BACnet- und Modbus-Endpunkten via Shodan und Censys, u. a. Trend Micro / Trellix / Kaspersky ICS-CERT-Reports 2022–2024.

[7] Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Lage der IT-Sicherheit in Deutschland 2024. https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

[8] ENISA: NIS2 — Implementation Handbook for Operators of Essential and Important Entities (2024) und Threat Landscape Reports. https://www.enisa.europa.eu/

[9] Berichte zum DDoS-Angriff in Lappeenranta, Finnland (November 2016), bei dem Heizungssteuerungen in Wohngebäuden ausfielen, u. a. Metropolitan Magazine / Helsingin Sanomat / einschlägige Sicherheits-Trade-Press.

[10] Forschungsarbeiten zur Sicherheit von KNX-basierten Smart-Hotelräumen (Marriott / China, 2017/2018), publiziert auf einschlägigen Sicherheitskonferenzen (DEF CON, Black Hat).

[11] ENISA: Smart Cars, Cybersecurity in Industrial IoT and Smart Buildings, ICS-/OT-Security Guides. https://www.enisa.europa.eu/topics/iot-and-smart-infrastructures

[12] ISO/IEC 27001:2022 — Information Security, Cybersecurity and Privacy Protection — Information Security Management Systems — Requirements sowie ISO/IEC 27002:2022 für Maßnahmenkatalog. https://www.iso.org/standard/27001

[13] IEC 62443 — Industrial communication networks — Network and system security — Familie von Standards für ICS/OT-Sicherheit, u. a. mit dem Modell „Zones and Conduits". https://webstore.iec.ch/

[14] RICS: ESG and sustainability in commercial property valuation, 1st Edition (Global) — strukturierte Berücksichtigung wesentlicher ESG- und Resilienzfaktoren in der Bewertung. https://www.rics.org/

Stand: Mai 2026. Externe Inhalte können sich verändern; die Verfügbarkeit der verlinkten Quellen wurde zum Zeitpunkt der Veröffentlichung geprüft.