Ein deutsches Gebäude lief über seine Sicherungen

Im Oktober 2021 verlor ein mittelgroßer Standort eines deutschen Maschinenbauunternehmens seine Lichtschalter. Nicht das Licht, die Schalter. Mitarbeiter gingen zum Schaltschrank und legten die Sicherungen von Hand um, weil die Gebäudesteuerung nicht mehr antwortete. Die Jalousiesteuerung war auf dieselbe Weise weg. Mehrere hundert KNX-Komponenten saßen in Wänden und Decken und taten überhaupt nichts, drei Viertel von ihnen waren außer Betrieb.

Limes Security, die österreichische Firma, die den Fall dokumentiert hat, stellte den Hergang fest. Angreifer hatten den KNX-Bus über das Internet erreicht, die Geräte entladen und anschließend selbst den BCU-Schlüssel gesetzt. Der Schlüssel ist das Schloss des Busses. Wer ihn setzt, hält ihn. Der Eigentümer hielt ihn nicht.

Jeder Hersteller, den das Unternehmen kontaktierte, sagte dasselbe: ein Zurücksetzen ist nicht möglich, die Geräte sind tot. Der Komplettaustausch wurde mit über 100.000 EUR allein an Hardware beziffert. Limes Security gewann den Schlüssel schließlich zurück, indem die Firma den CPU-Speicher auslas und den Suchraum für die Brute-Force-Suche so weit einschränkte, dass sie zum Ende kam. Der Fall ist als KNXlock bekannt, und es wurde nie ein Lösegeld gefordert.

Was die CISA am 15. Juli tatsächlich getan hat

Am 15. Juli 2026 nahm die CISA CVE-2023-4346 in ihren Katalog bekannter ausgenutzter Schwachstellen auf, veröffentlicht in Katalogversion 2026.07.16 am 16. Juli um 17:00:15Z. Die Frist zur Behebung ist der 29. Juli 2026. Das sind vierzehn Tage. Andere Einträge desselben Juli-Durchgangs bekamen drei Tage.

Die Schwachstelle steckt im KNX-Protokoll der KNX Association, genauer in Connection Authorization Option 1. Sie ist als CWE-645 eingestuft, eine übermäßig restriktive Kontosperre, und trägt CVSS 7.5 HIGH mit dem Vektor AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H. Dieser Wert ist echt und nicht bloß die Lesart eines Herstellers: das NVD führt eine primäre 7.5 von [email protected]. Die CISA verzeichnet bekannte Nutzung durch Ransomware-Kampagnen als unbekannt. Die CVE wurde am 29. August 2023 veröffentlicht und zuletzt am 16. Juli 2026 geändert.

Am zugrunde liegenden Problem ist nichts neu, und der Text, der es beschreibt, ist es ebenso wenig. Das CISA-Advisory ICSA-23-236-01 ist ein Dokument aus 2023, gemeldet von Felix Eberstaller von Limes Security. KNXlock ist ein Vorfall aus 2021. Neu ist einzig die KEV-Aufnahme und die Uhr, die daran hängt. Geändert hat sich die Durchsetzung, nicht die Schwachstelle.

Für dieses Problem gibt es keinen Patch, und genau das ist der Punkt

Kein Software-Update behebt das hier. Das Advisory der CISA fasst die Betroffenheit als KNX-Geräte mit Connection Authorization Option 1 Style, bei denen derzeit kein BCU-Schlüssel gesetzt ist, alle Versionen. Lesen Sie das genau. Die Bedingung ist kein alter Firmware-Stand. Die Bedingung ist eine leere Einstellung.

Die Abhilfe ist das Setzen des BCU-Schlüssels. Das ist eine Konfigurationshandlung während der Inbetriebnahme, in der Projektdatei des Integrators, am physischen Bus. Sie kommt nicht über einen Patch-Zyklus. Sie lässt sich nicht aus einer Managementkonsole ausrollen. Sie ist für die Werkzeuge, die Ihr Sicherheitsteam ohnehin betreibt, unsichtbar, denn diese Werkzeuge suchen nach Versionen, und das hier ist kein Versionsproblem.

Die Metadaten des Advisorys sprechen den Rest laut aus. Eingesetzt in Ländern und Gebieten: Europa. Sitz des Unternehmens: Belgien. Sektor: Critical Manufacturing. Ein Scan von Alpha Strike Labs, durchgeführt im Jahr 2023, fand mehr als 16.000 potenziell verwundbare Systeme im DACH-Raum. Diese Zahl ist drei Jahre alt und als Momentaufnahme aus 2023 zu lesen, nicht als heutiger Stand.

Warum die Lücke drei Jahre überlebt hat

Die Lücke ist organisatorisch, nicht technisch. Das Setzen eines BCU-Schlüssels gehört demjenigen, der das Gebäude in Betrieb genommen hat. Das ist ein Integrator oder ein Gebäudedienstleister, der aus einer Projektdatei heraus arbeitet, oft vor Jahren, häufig unter einem Vertrag, der mit der Übergabe endete. Diese Person sitzt nicht in Ihrem Sicherheitsteam und nimmt in vielen Fällen Ihre Anrufe längst nicht mehr an.

Also landet der Befund in einer IT-Warteschlange, in der niemand die Abhilfe besitzt. Das Sicherheitsteam sieht das Advisory und kann nicht handeln. Das Gebäudeteam könnte handeln und sieht das Advisory nie. In dieser Naht sind drei Jahre vergangen. MITRE nahm die Technik im Frühjahr 2023 als T0892, Change Credential, in ATT&CK for ICS auf, was der Methode einen Namen gab, aber nicht der Zuständigkeit.

Auch das Verlustmodell erklärt die Vernachlässigung. Die meisten Sicherheitsbudgets sind um eine Zahlung oder eine Datenschutzpflicht herum gebaut, und dieser Schadensfall hat beides nicht. Niemand hat von dem deutschen Unternehmen Geld verlangt, und es sind keine personenbezogenen Daten abgeflossen. Der Angreifer setzte schlicht den Schlüssel, die Hersteller bestätigten, dass es keinen Weg zurück gibt, und die Hardwarerechnung lief trotzdem über 100.000 EUR.

Die Frist bindet Sie nicht, die Gefährdung bleibt trotzdem

Zum Geltungsbereich Klartext. Das Datum 29. Juli 2026 ergibt sich aus der Binding Operational Directive BOD 26-04 der CISA, und es bindet US-Bundesbehörden der Zivilverwaltung. Europäische Eigentümer bindet es rechtlich nicht. Wenn Ihr Bestand in Frankfurt oder Manchester steht, verpflichtet Sie keine amerikanische Direktive, bis zu diesem Datum irgendetwas zu tun.

Die Asymmetrie ist die Geschichte. Die Gebäude stehen ganz überwiegend in Europa, der Standard ist europäisch, seine Association sitzt in Belgien, und die bindende Frist ist amerikanisch. Nach unserer Lesart ist der europäische Anknüpfungspunkt NIS2 und nicht das CISA-Datum, und wir bieten das als unsere Lesart an, nicht als geltendes Recht. Die Pflichten aus NIS2 hängen an Ihrem Sektor und an Ihren Risikomanagementpflichten, und ein aus dem Internet erreichbarer Gebäudebus ist eine Tatsache des Risikomanagements, welchen Kalender Sie auch führen.

Die Handlung passt in einen Satz, und sie geht nicht an die IT. Fragen Sie Ihren Gebäudeintegrator oder Ihren Facility-Dienstleister zweierlei: ist der KNX-Bus aus dem Internet erreichbar, und wurde bei der Inbetriebnahme jemals ein BCU-Schlüssel gesetzt. Lautet die zweite Antwort nein, oder findet niemand die Projektdatei, um sie zu beantworten, dann liegen Sie in dem Bereich, den die CISA beschrieben hat, und Sie sind einen aus dem Internet erreichbaren Pfad vom Ergebnis des Oktobers 2021 entfernt.