Wie bereits erklärt, muss jedes moderne Gebäudeautomationssystem ein angemessenes Mass an IT-Sicherheit gewährleisten. Vollständige Sicherheit ist jedoch nicht möglich, so dass immer ein Restrisiko verbleibt. Die Kosten einer Gegenmassnahme dürfen die Eindämmungskosten nicht überschreiten. Ein Systembetreiber muss sich immer des Restrisikos bewusst sein und entscheiden, was für das Unternehmen akzeptabel ist.
Die systematische Betrachtung der Sicherheitsanforderungen als Ganzes ist wichtig, damit die Wirksamkeit der Massnahmen insgesamt und nicht jeder einzelnen Komponente bewertet wird. Insbesondere können kompensatorische Gegenmassnahmen eingesetzt werden, um Schwachstellen gegebener Subsysteme einzudämmen und die insgesamt gewünschte Sicherheitsstufe zu erreichen.
Ebenso ist es wichtig, dass die verschiedenen Beteiligten entsprechend ihrer Rolle (Hersteller, Systemintegratoren, Bediener) zur Systemsicherheit beitragen. Hersteller sind zuständig dafür, dass ihre Produkte die in ihrer Produktdokumentation angegebene Sicherheitsstufe erreichen. Integratoren sind zuständig für das Design und den Einsatz einer Lösung gemäss Sicherheitsspezifikationen des Betreibers sowie die korrekte Betriebsumgebung für die verwendeten Produkte. Systembetreiber sind schliesslich für die Aktualität der Sicherheit über die gesamte Lebensdauer einer Lösung zuständig.
Ist bei einem Kunden kaum IT-Sicherheit vorhanden, reicht es aus, unsere Systeme gegen Remote-Zugriff zu schützen. Gleichzeitig müssen wir zu unserem eigenen Schutz den Kunden schriftlich über die IT-Schwächen, die wir gefunden haben, informieren.
Liegt ein klares und ausreichendes IT-Sicherheitskonzept des Kunden vor, dient dieses als Baseline dafür, was wir min. erfüllen müssen. GA-spezifische Zusätze werden zusammen mit der IT-Abteilung des Kunden umgesetzt.
Die Sicherheit der Lösung wird durch ein fortlaufendes Sicherheitskonzept erreicht, im Rahmen dessen periodisch die gewünschte Sicherheitsstufe, die Systemrisiken, der Status und die Wirksamkeit der eingesetzten Massnahmen beurteilt und Gegenmassnahmen umgesetzt werden.
Die in diesem Dokument aufgeführten Richtlinien unterstützen die fortlaufende IT-Sicherheitsarbeit auf Systemebene.