Risiken lassen sich drastisch reduzieren

Kompakt informieren

• Cyberkriminalität ist eine Bedrohung für alle Arten von Unternehmen.
• Zu diesen spezifischen Risiken der Baubranche gehören mobile Belegschaften, der unvermeidbare Datenaustausch mit anderen Unternehmen, die hohe Personalfluktuation, oft wechselnde Projektpartner und gemeinsame Datenumgebungen.
• Im Wettrüsten der Cybersicherheit ist es praktisch unmöglich, Immunität zu garantieren, aber es ist möglich, die Risiken drastisch zu reduzieren.

Von Diebstahl, Kleinkriminalität und Vandalismus war die Baubranche schon immer betroffen. Die Kombination aus teuren mobilen Geräten und temporären Standorten macht Bauunternehmen und Baustellen oft zu attraktiven Zielen für Diebe. Der Diebstahl von Maschinen, Geräten, Baustoffen und Zubehör kann Unternehmen viel Geld und Produktivität kosten.

Zahlen der Versicherungsgesellschaft Allianz haben kürzlich ergeben, dass Diebstähle auf Baustellen allein in Großbritannien die Branche bis zu 800 Mio. Britische Pfund pro Jahr kosten. Aus diesem Grund versucht jedes vernünftige Bauunternehmen, die Risiken durch den Einsatz der besten Sicherheitspraktiken zu minimieren – mit physischen Barrieren in Form von Zäunen, Schlössern und sicheren Gebäuden, Sicherheitskräften und Patrouillen sowie Betriebsmittelverwaltungen.

Seit den letzten Jahren ist die Baubranche jedoch einer neuen Bedrohung ausgesetzt: Der Cyberkriminalität. Manche halten das Baugewerbe im Vergleich zu Bereichen wie dem Finanzwesen und Einzelhandel nicht für ein risikoreiches Ziel, wenn es um Cyberkriminalität geht. Tatsache ist jedoch, dass diese relativ neue Form der Kriminalität heute eine Bedrohung für alle Arten von Unternehmen darstellt. Das bedeutet auch, dass die Cybersicherheit im Bauwesen genauso ernst genommen werden sollte wie der Schutz vor Diebstahl.

Cybersicherheitsrisiken im Bauwesen

Prinzipiell sind alle Arten von Unternehmen durch Cyberkriminalität gefährdet, aber die Bedrohungen, Risiken, Kosten und Lösungen sind nicht überall gleich. Verschiedene Branchen haben unterschiedliche Herausforderungen und es gibt einige Cybersicherheits-risiken im Baugewerbe, die für die Funktionsweise der Branche von besonderer Bedeutung sind. Zu diesen branchenspezifischen Risiken gehören:

Eine mobile Belegschaft

So wie die Tatsache, dass der Bau an verschiedenen Standorten durchgeführt wird ein physisches Risiko darstellen kann, kann es auch die Risiken der Cyberkriminalität verschärfen. Büros sind oft an temporären Standorten, beispielsweise Container und Anhänger, wo sich die Mitarbeiter über Laptops, Tablets und Smartphones mit den Unternehmensnetzwerken und -systemen verbinden. Sicherheitsvorkehrungen sind oft lockerer als in einem permanenten Büro, besonders wenn es eine BYOD-Policy („bring your own device“) gibt, die es den Mitarbeitern erlaubt, auf kritische Systeme mit eigenen Geräten zuzugreifen. Darum ist es wichtig, Sicherheitsvorkehrungen zu haben, die Passwörter und andere Validierungen erfordern, während mobile Geräte auf Schwachstellen untersucht werden sollten.

Datei- und Datenaustausch außerhalb des Unternehmens

Ein Bauprojekt beinhaltet fast immer die Zusammenarbeit von Fachleuten aus unterschiedlichen Gewerken und zahlreichen Unternehmen. Das bedeutet, dass Pläne, Entwürfe und andere sensible Informationen, wie Finanz- und Mitarbeiterdaten, möglicherweise mit Dritten ausgetauscht werden müssen. Building Information Modeling (BIM) umfasst die Zusammenarbeit mehrerer Parteien und wenn das Projekt darum in eine gemeinsame Datenumgebung (CDE) integriert ist, stellt dies nicht nur einen potenziellen sondern oft einen ganz realen Datenschatz dar. Sicherheit sollte dabei oberste Priorität haben.

Die Datenspeicherung und der Datenschutz müssen auch den geltenden Vorschriften, wie der Datenschutzverordnung (DSGVO) entsprechen, wenn Arbeiten innerhalb der EU ausgeführt werden.

Hohe Personalfluktuation

Innerhalb eines Unternehmens kann es zu einer hohen Fluktuation an Mitarbeitern und einer Abhängigkeit von Subunternehmern kommen. Dies erschwert die Möglichkeit, eine einheitliche IT- und Cybersicherheitsschulung zu organisieren und durchzuführen.

Verschiedene Arten von Bedrohungen

Cyberkriminalität ist weltweit eine wachsende Bedrohung. In Deutschland beispielsweise warnen Geheimdienste davor, dass zunehmende Cyber-Angriffe „tickende Zeitbomben“ sind, die sowohl kritische Infrastrukturen als auch wirtschaftliche Interessen bedrohen. Allgemein wird eine Cyberattacke oder ein Cyberangriff als „gezielter Angriff auf größere, für eine spezifische Infrastruktur wichtige Rechnernetze von außen“ definiert.

Laut der Versicherungsagentur HUB International „hinkt die Baubranche den anderen Wirtschaftszweigen hinterher, wenn es um die Investition in Sicherheit geht. Hacker sind sich dessen bewusst und nutzen dies aus“.

Es gibt noch eine Reihe weiterer Formen der Cyberkriminalität, die Baufirmen quasi kontinuierlich bedrohen:

Malware

Malware, wie Viren, Trojaner und andere Schadsoftware, ist darauf ausgelegt, Systeme und Daten zu beschädigen. So wird unter anderem versucht, Geld zu erpressen, zum Beispiel durch Ransomware (englisch: ransom „Lösegeld“ und Software).

Ransomware

Ransomware (auch als Erpressungs-, Krypto- oder Verschlüsselungstrojaner bezeichnet) ist eine spezielle Art von Malware und verschlüsselt und „sperrt“ kritische Systeme und Daten eines Unternehmens, bevor die Cyberkriminellen dann ein „Lösegeld“ fordern, um sie wieder freizugeben.

Diese Art von Angriffen nimmt zu: In den letzten Jahren gab es einige hochkarätige Fälle, wie im Mai 2017 der WannaCry-Angriff unter anderem auf das staatliche Gesundheitssystem NHS in Großbritannien und den spanischen Telekommunikationsriesen Telefonica, insgesamt wurden damals über 230 000 Rechner in 150 Ländern infiziert. In Deutschland tauchte 2016 Locky auf, der Zehntausende PCs infizierte und sogar über eine deutsche Sprachversion verfügte. Einfallstor waren Word-Dokumente mit angeblichen Rechnungen.

Phishing

Beim Phishing wird versucht, persönliche Daten zu sammeln, indem Einzelpersonen einen Hyperlink anklicken oder einen Anhang in einer Phishing-E-Mail öffnen. Dies kann die Installation von Malware auf dem System ermöglichen oder das Opfer auf eine gefälschte Webseite bringen, wo sie sensible persönliche oder geschäftliche Informationen eingeben soll.

Passwort-Angriffe

Das Knacken von Benutzerkennwörtern (Password Cracking) kann Cyberkriminellen ungehinderten Zugriff auf kritische Daten und Systeme ermöglichen. Sicherheitsexperten gehen davon aus, dass es lediglich eine Frage der Zeit ist, um ein Passwort zu knacken. Neben Spezial-Hardware und -Software gibt es „Dienstleister“, an die sich das Password Cracking outsourcen lässt. Eine höhere Sicherheit bieten beispielsweise die Multi-Faktor-Authentifizierung und die Biometrik.

Distributed Denial of Service (DDoS)

Diese Methode des Hackings kann verwendet werden, um eine Website zum Absturz zu bringen oder die Fähigkeit gültiger Benutzer, auf Netzwerke und Systeme zuzugreifen, zu stören. Dies geschieht in der Regel dadurch, dass die Website oder das System mit einer Unmenge an „Anfragen“ bombardiert wird.

Wie man die Risiken minimieren kann

Die gute Nachricht ist: Es gibt einige relativ einfache Schritte, mit denen Bauunternehmen das Risiko, durch Cyberkriminalität Schaden zu nehmen, erheblich reduzieren können:

Alle Netzwerke sollten mit Sicherheitssoftware und Firewalls geschützt werden. Firewall-as-a-Service (FaaS) ermöglicht eine dynamische und skalierbare Barriere, die sich an die aktuellen Bedürfnisse eines Unternehmens anpassen kann. Sicherheitssoftware und Firewalls können auch für erweiterte E-Mail- und Webfilterungen in Unternehmensnetzwerken eingeführt werden. Dies verhindert nicht nur, dass Mitarbeiter bei der Arbeit auf unangemessene Inhalte zugreifen können, sondern auch den Zugriff auf potenziell schädliche Websites.

Die Advanced Treat Detection (erweiterte Bedrohungserkennung; ATD) kann alle E-Mail-Anhänge und Links scannen, bevor sie den Benutzer erreichen. Die Einrichtung eines eigenen, passwortgeschützten Wi-Fi-Netzwerks vor Ort anstelle des Einloggens über fremde Netzwerke kann ebenfalls helfen, potenzielle Risiken zu minimieren. Starke Berechtigungskontrollen können die Dateien, Daten und Teile des Netzwerks, auf die verschiedene Personen zugreifen können, einschränken.

Während Cybersicherheitstechniken, -software und -systeme eine große Rolle spielen, kann auch menschliches Versagen Unternehmen gefährden. Daher ist es wichtig, solide Richtlinien einzuführen und die Mitarbeiter zu schulen, um sicherzustellen, dass jeder in Ihrem Unternehmen die besten Sicherheitspraktiken befolgt. Im Wettrüsten der Cybersicherheit ist es praktisch unmöglich, Immunität zu garantieren, aber es ist möglich, die Risiken drastisch zu reduzieren, indem ein vernünftiger Ansatz verfolgt und die Bedrohung ernst genommen wird.

Mehr als die Hälfte der Unternehmen in Deutschland (53 %) sind in den Jahren 2015 und 2016 Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Dadurch ist ein Schaden von rund 55 Mrd. Euro pro Jahr entstanden. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die 1069 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen repräsentativ befragt wurden.

„Unternehmen müssen viel mehr für ihre digitale Sicherheit tun. Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist. Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden“, mahnt Bitkom-Präsident Achim Berg. In jedem sechsten Unternehmen (17 %) wurden in den Jahren 2015 und 2016 sensible digitale Daten gestohlen. Vor allem Kommunikationsdaten, wie E-Mails (41 %) oder Finanzdaten (36 %) fielen dabei häufig in die Hände der Angreifer. In 17 % der Fälle von Datendiebstahl wurden Kundendaten entwendet, in 11 % Patente oder Informationen aus Forschung und Entwicklung, in 10 % Mitarbeiterdaten. Die Angreifer haben es aber nicht immer ausschließlich oder direkt auf digitale Daten abgesehen. Häufigstes Delikt ist der Diebstahl von IT- oder Telekommunikationsgeräten, wie Notebooks oder Smartphones. Davon waren 30 % der Unternehmen in den vergangenen zwei Jahren betroffen, wobei in der Regel unklar ist, ob die Täter es auf die Geräte an sich oder auf die darauf gespeicherten Daten abgesehen haben.

Rund jedes fünfte Unternehmen berichtet von Social Engineering (Analoges Social Engineering 20 %, Digitales Social Engineering 18 %). Dabei werden Mitarbeiter manipuliert, um an sensible Informationen zu kommen, mit denen dann in einem weiteren Schritt zum Beispiel Schadsoftware auf die Firmenrechner gebracht werden kann. Jedes achte Unternehmen (12 %) ist Opfer von digitaler Sabotage geworden, durch die zum Beispiel die Produktion gestört wurde. 8 % berichten vom Ausspähen der digitalen Kommunikation wie E-Mails, 7 % vom Abhören von Telefonaten oder Besprechungen. Klassische analoge Angriffe kommen demgegenüber eher selten vor. So wurden 17 % der Unternehmen Opfer eines klassischen Diebstahls von Dokumenten, wie Papieren, Mustern oder Bauteilen, in lediglich 4 % der Unternehmen wurden Produktionssysteme oder Betriebsabläufe auf analogem Weg sabotiert und lahmgelegt.

Täter sind besonders häufig aktuelle oder ehemalige Mitarbeiter des Unternehmens. 62 % der Unternehmen, die im Untersuchungszeitraum Opfer von Spionage, Sabotage oder Datendiebstahl wurden, haben die Täter in diesem Personenkreis identifiziert. 41 % der betroffenen Unternehmen machen Wettbewerber, Kunden, Lieferanten oder Dienstleister für die Angriffe verantwortlich, 21 % Hobby-Hacker und 7 % Personen aus der organisierten Kriminalität. www.bitkom.org

ist Global Content Manager / Editor der MEP Division von Trimble, mep.trimble.eu