IT-Sicherheit für Hausverwaltungen · von Buzzard AI

Das schwächste Gerät der Verwaltung steht oft im Heizungskeller.

Heizung, Aufzug, Zutritt und Zähler hängen häufig am selben Netz wie Ihr Verwaltungs-ERP mit Mieterakten und Lastschriftdaten. TULPAR zeichnet den Weg vom ungewarteten Gebäudegerät bis zur verschlüsselten Mieterakte nach und nennt den einen Schnitt, der ihn kappt. Im Verwaltungsbüro, ohne Cloud.

Im Verwaltungsbüro · ohne Cloud · Mieter- & Bankdaten bleiben im Haus Standard nur mitlesen — aktiver Nachweis nur nach Ihrer Freigabe Bericht in Klartext: Schulnote & Ampel je Befund
Das Besondere

Vom Wartungszugang am Aufzug bis zur verschlüsselten Mieterakte.

Kein Stapel aus hunderten Einzelbefunden, sondern die Kette: wie aus einem Steuergerät, das niemand auf dem Schirm hat, Schritt für Schritt der Zugriff auf Ihr Verwaltungs-ERP wird. Tippen Sie einen Schritt an und sehen Sie, wo er sich kappen lässt.

Beispielhafte Kette in einer Hausverwaltung · so liest TULPAR Ihr Netz

🛗
Aufzug- & Heizungssteuerung
Wartungs-Gateway · 10.20.30.40
Werks-Login des Fachbetriebs · Firmware von 2018
✅ Hier kappen: Gebäudetechnik in ein eigenes, vom Büronetz getrenntes Segment legen und Wartungszugänge auf eigene Passwörter umstellen — schon der erste Sprung fällt aus.
💻
Platz der Sachbearbeitung
WS-018 · 10.20.30.18
Anmeldung wird unbemerkt mitgelesen
✅ Hier kappen: signierte Anmeldung im Netz erzwingen und alte Protokolle abschalten — die abgefangene Anmeldung lässt sich nicht weiterverwenden.
🔑
Dienstkonto des Verwaltungs-ERP
svc_hausverwaltung
Zu viele Rechte · schwaches Passwort
✅ Hier kappen: dem ERP-Dienstkonto ein langes Zufallspasswort geben und Rechte eng schneiden — kein Durchgriff auf die zentrale Benutzerverwaltung.
👑
Mieterakten & SEPA-Daten verschlüsselt
ERP-Server · Mieterstammdaten, IBAN, Abrechnungen
Abrechnung steht · DSGVO-Meldefall
✅ Wäre nur einer der Schritte davor geschlossen, käme niemand an Mieterstammdaten und Lastschriftmandate heran.
Vom Wartungszugang im Keller bis zu verschlüsselten Mieterakten — ein einziger Schnitt trennt die Kette. TULPAR sagt Ihnen, welcher es ist.
Das Problem

Die Gebäudetechnik betreut der Fachbetrieb — nicht Ihre IT.

🛗

Geräte, die auf keiner Liste stehen

Aufzugsmodem, Heizungsregler, Zutritts- und Klingelanlage, Smart-Meter-Gateway: angeschlossen vom Fachbetrieb, danach vergessen. Werks-Passwort und alte Firmware bleiben jahrelang stehen — bequemer Einstieg ins Verwaltungsnetz.

🗂️

Mieterakten und IBAN sind das Ziel

Stammdaten, Mietverträge, SEPA-Mandate, Nebenkostenabrechnungen. Werden sie verschlüsselt oder kopiert, steht die Abrechnung still und es kann eine Verletzung von DSGVO Art. 32 vorliegen. Sachliche Einordnung, keine Rechtsberatung.

🔌

Alles im selben flachen Netz

In vielen Verwaltungen reden Kellergerät und Mieterserver ungehindert miteinander — ein Sprung genügt. Laut BSI treffen rund 80 % der gemeldeten Angriffe kleine und mittlere Betriebe; eine kleine Verwaltung ist genau so ein Ziel.

Was TULPAR ist

Eine zweite Sicht auf Ihr Verwaltungsnetz.

Software, die im Verwaltungsbüro mitläuft und Büronetz und Gebäudetechnik aus einem Blickwinkel betrachtet: Wie nah liegen Heizungssteuerung, Aufzugsmodem und Mieterserver wirklich beieinander? TULPAR übersetzt das in eine Sprache, die auch ohne IT-Abteilung trägt, und sagt, welche Trennung zuerst gehört.

  • Bleibt im Büro. Kein Cloud-Zwang, kein Upload — Mieterakten, IBAN und Abrechnungen werden nicht nach außen gegeben.
  • An laufender Technik wird nicht herumprobiert. Standard ist reines Mitlesen; ein aktiver Nachweis an Aufzug, Heizung oder Zutritt nur nach Ihrer ausdrücklichen Freigabe.
  • Die Kette statt der Liste. Sie sehen den Weg vom Kellergerät bis zur Mieterakte und den einen Schnitt, der ihn trennt.
So läuft es im Büro

Drei Schritte, kein Eingriff ins ERP.

1

Anschließen

TULPAR ans Verwaltungsnetz hängen — in Minuten bereit, ohne Änderung an der Verwaltungssoftware.

2

Mitlesen lassen

🟢 Nur mitlesen (empfohlen) erfasst, wie eng Gebäudetechnik und ERP-Netz liegen — 🟡 aktiver Nachweis nur nach Ihrer Freigabe.

3

Entscheiden

Klartext-Bericht mit Schulnote und Ampel, getrennt nach Verwaltungssoftware und Gebäudetechnik — Sie wissen, was zuerst getrennt gehört.

4Ausreichend
Sicherheits-Zeugnis
Beispiel-Auswertung · Netz „Musterverwaltung GmbH"
Gebäudetechnik im selben Netz wie ERPkritisch
Dienst-Konto Verwaltungssoftware schwachkritisch
IoT-Gateway mit Standardpasswortmittel
Windows-Updates teils veraltetmittel
Backup & Virenschutz aktivok
Ihre wichtigste Maßnahme: Gebäudetechnik vom Verwaltungsnetz trennen — schließt allein den gefährlichsten Weg zu den Mieterdaten. Illustratives Beispiel.
Warum TULPAR

Lesbar für die Verwaltungsleitung.

Kein Befund-Berg, sondern eine Entscheidungsvorlage: eine Schulnote, eine Ampel je Risiko und die Maßnahmen in der Reihenfolge, die für eine Hausverwaltung am meisten bringt.

📋

Getrennt nach ERP und Technik

Je ein Befund-Block für Verwaltungssoftware und für Gebäudetechnik — so sehen Sie sofort, wo die beiden gefährlich nah liegen.

⚖️

Belege für Mieterdaten

Technische Dokumentation Ihrer Schutzmaßnahmen für die Prüfung nach DSGVO Art. 32 — keine Garantie, kein Ersatz für Beratung.

🔒

Datenhoheit im Büro

Läuft offline — Mieterakten, IBAN und Abrechnungen verlassen das Verwaltungsnetz nicht.

🛡️

Aufzug bleibt unangetastet

Wir greifen nichts an, was Sie nicht freigeben — laufende Heizungs-, Aufzugs- und Zutrittstechnik schon gar nicht.

Anlässe

Wann ein Sicherheitscheck jetzt sinnvoll ist.

Preis

Erst sehen, wie eng es liegt. Auf Ihre Verwaltung zugeschnitten.

TULPAR Sicherheitscheck
Individuell
Im Verwaltungsbüro schnell angeschlossen · Angebot auf Anfrage
  • Aufnahme von Verwaltungs-ERP und Gebäudetechnik im selben Durchgang
  • Die Kette vom Wartungszugang im Keller bis zur Mieterakte — und der eine Schnitt
  • Klartext-Bericht mit Schulnote, Ampel und Reihenfolge der Maßnahmen
  • On-Premise, ohne Cloud — Mieterakten, IBAN und Abrechnungen bleiben im Büro
  • Standard nur mitlesen — aktiver Nachweis an der Technik nur nach Ihrer Freigabe
Sicherheitscheck anfragen →
Häufige Fragen

Was Verwalterinnen und Verwalter zuerst fragen.

Weil Heizungs- und Lüftungssteuerung, Aufzugsmodem, elektronische Klingel- und Zutrittsanlagen oder das Smart-Meter-Gateway in vielen Häusern am selben Netz hängen wie die Arbeitsplätze und das Verwaltungs-ERP. Gewartet werden diese Geräte vom Fachbetrieb, nicht von der IT — Standard-Zugangsdaten und alte Firmware bleiben jahrelang stehen, und auf keiner Inventarliste taucht das auf. Wer ein solches Gerät übernimmt, sitzt schon im Verwaltungsnetz und tastet sich von dort zu den Servern mit Mieterstammdaten und Bankverbindungen vor. TULPAR macht diese Verbindung sichtbar, bevor sie jemand nutzt.

Das, was eine Hausverwaltung täglich verarbeitet: Mieterstammdaten und Mietverträge, IBAN und SEPA-Lastschriftmandate der Eigentümer und Mieter, Nebenkosten- und Hausgeldabrechnungen, WEG-Beschlüsse, Schriftverkehr und oft auch Bonitäts- und Ausweiskopien. Werden diese Bestände durch Ransomware verschlüsselt, steht die Abrechnung still; werden sie kopiert, sind die sensibelsten Daten Ihrer Mieter in fremder Hand. TULPAR zeigt, über welchen Weg ein Angreifer an genau diese Bestände käme, damit Sie den Weg vorher schließen.

Nein. TULPAR ist eine autorisierte Selbstprüfung Ihres eigenen Netzes, kein Angriffswerkzeug. Im Standard liest TULPAR nur mit (read-only) und betrachtet, wie das Netz aufgebaut ist und welche Geräte miteinander reden, ohne in die Steuerung einzugreifen. Gerade bei empfindlicher Technik wie Aufzug, Heizung oder Zutrittsanlage ist das entscheidend — hier wird nicht herumprobiert. Ein aktiver Nachweis, der eine Schwachstelle tatsächlich nachstellt, läuft ausschließlich nach Ihrer ausdrücklichen Freigabe und nur in Ihrem Netz. Es wird nichts angegriffen, was Sie nicht freigeben.

Nein. TULPAR läuft on-premise und offline direkt bei Ihnen im Verwaltungsbüro. Es gibt keinen Cloud-Zwang und keinen Upload — die Prüfung und ihr Ergebnis bleiben in Ihrem Netz. Für eine Hausverwaltung ist das der Kern: Mieterstammdaten, SEPA-Mandate und Abrechnungen werden nicht an einen externen Dienst übertragen, und Sie behalten die Datenhoheit, die Sie Ihren Mietern und Eigentümern schulden.

Ja, dafür ist er gemacht. Der Bericht kommt im Klartext: eine Schulnote für den Gesamtstand, eine Ampel je Befund und eine Reihenfolge, was zuerst zu tun ist — getrennt danach, was die Verwaltungssoftware betrifft und was die Gebäudetechnik. Eine Geschäftsführung, WEG-Verwaltung oder Büroleitung ohne IT-Hintergrund sieht auf einen Blick, ob Heizungssteuerung und Mieterserver gefährlich nah beieinanderliegen und welche Maßnahme am meisten bringt. Kein Fachchinesisch.

Ein üblicher Scan liefert eine lange Liste einzelner Befunde, oft nach Gerät sortiert und ohne Zusammenhang. TULPAR zeigt stattdessen den Angriffspfad: wie sich der Wartungszugang am Aufzug, ein mitgelesenes Passwort am Sachbearbeiter-Platz und ein zu starkes Dienstkonto des Verwaltungs-ERP zu einer Kette verbinden, an deren Ende die verschlüsselte Mieterakte steht. Und es nennt den einen Schnitt, der diese Kette trennt — meist die Trennung von Gebäudetechnik und Büronetz. So wissen Sie, wo Sie zuerst ansetzen, statt hundert Punkte abzuarbeiten.

TULPAR identifiziert Schwachstellen technisch und dokumentiert sie nachvollziehbar — Belege, die in die nach DSGVO Art. 32 geforderte Überprüfung der Wirksamkeit Ihrer Schutzmaßnahmen für Mieterdaten, in einen BSI-Einstiegscheck oder in einen Cyberversicherungsantrag einfließen können. TULPAR ist aber keine Zertifizierung und keine Rechtsberatung und macht Sie nicht automatisch konform. Ob NIS2 oder andere Vorgaben für Ihre Verwaltung gelten, hängt von Größe und Struktur ab; das klären Sie mit Ihrem Datenschutzbeauftragten.

TULPAR wird im Verwaltungsbüro an Ihr Netz angeschlossen — meist in wenigen Minuten startklar, ohne Eingriff in die Verwaltungssoftware. Zuerst läuft die Prüfung im Modus „nur mitlesen“ und erfasst, wie eng Gebäudetechnik und ERP-Netz beieinanderliegen. Sie erhalten den Klartext-Bericht mit Schulnote, Ampel und priorisierten Maßnahmen, getrennt nach Verwaltungssoftware und Gebäudetechnik. Erst wenn Sie es freigeben, wird ein einzelner Weg aktiv nachgestellt, um die reale Angreifbarkeit zu bestätigen. Sie behalten in jedem Schritt die Kontrolle.

TULPAR ist ein autorisiertes Selbstprüfungs-Werkzeug für das eigene Netzwerk und wird von Buzzard AI angeboten. Aktive Tests erfolgen nur im eigenen Netz und ausschließlich mit ausdrücklicher Freigabe. TULPAR liefert technische Belege zur Schwachstellen-Dokumentation, ist aber keine Zertifizierung und keine Rechtsberatung und garantiert keine DSGVO-, NIS2- oder BSI-Konformität. Hinweise zu §203 StGB, DSGVO Art. 32 oder NIS2 sind sachliche Einordnung, keine Rechtsberatung; die Bewertung Ihres Einzelfalls klären Sie mit Ihrem Datenschutzbeauftragten. Genannte Marken und CVE-Kennungen gehören ihren Inhabern und dienen der sachlichen Einordnung.
Kostenloses Erstgespräch

Wissen Sie, wie nah Heizungskeller und Mieterserver wirklich liegen?

Finden wir es heraus. In einem kurzen Gespräch gehen wir Ihr Netz durch — Verwaltungs-ERP und Gebäudetechnik — und zeigen, wie der Sicherheitscheck bei Ihnen abläuft: im Verwaltungsbüro, Standard nur mitlesen, Klartext-Bericht inklusive.

Schritt 1 von 3
Was ist gerade Ihr größtes Thema?
Mustafa Sahinli
Mustafa Sahinli · Buzzard AI
Prozessarchitekt · 06183 / 909 99 92 · WhatsApp