Skip to main content

Cybersecurity im Bauwesen: Was Sie wissen müssen

Während Baustellen schon immer ein attraktives Ziel für Diebstähle waren, muss sich die Bauindustrie nun mit Bedrohungen in einem relativ neuen Bereich auseinandersetzen: dem Cyberspace. In diesem Beitrag erfahren Sie, welchen Bedrohungen Ihr Unternehmen ausgesetzt ist und wie Sie diese Risiken minimieren können.

Von Diebstahl und Kleinkriminalität wie Vandalismus war die Baubranche schon immer betroffen. Die Kombination aus teuren mobilen Geräten und temporären Standorten macht Bauunternehmen und Baustellen oft zu attraktiven Zielen für Diebe. Der Diebstahl von Maschinen, Geräten, Baustoffen und Zubehör kann dabei einem Unternehmen viel Geld kosten.

Zahlen der Versicherungsgesellschaft  Allianz haben kürzlich ergeben, dass Diebstähle auf Baustellen allein in Großbritannien die Branche bis zu 800 Millionen Pfund pro Jahr kosten. Aus diesem Grund versucht jedes vernünftige Bauunternehmen, die Risiken durch den Einsatz der besten Sicherheitspraktiken zu minimieren: physische Barrieren in Form von Zäunen, Schlössern und sicheren Gebäuden, Sicherheitskräfte und Patrouillen sowie Betriebsmittelverwaltungen.

Seit den letzten Jahren ist die Baubranche jedoch einer neuen Bedrohung ausgesetzt: der Cyberkriminalität. Manche halten das Baugewerbe im Vergleich zu Bereichen wie dem Finanzwesen und Einzelhandel nicht für ein risikoreiches Ziel, wenn es um Cyberkriminalität geht. Tatsache ist jedoch, dass diese relativ neue Form der Kriminalität heute eine Bedrohung für alle Arten von Unternehmen darstellt. Das bedeutet auch, dass die Cybersicherheit im Bauwesen genauso ernst genommen werden sollte wie der Schutz vor Diebstahl.

Cybersicherheitsrisiken im Bauwesen

Wie bereits erwähnt, sind alle Arten von Unternehmen durch Cyberkriminalität gefährdet, aber die Bedrohungen, Risiken, Kosten und Lösungen sind nicht überall gleich. Verschiedene Branchen haben unterschiedliche Herausforderungen und es gibt einige Cybersicherheitsrisiken im Baugewerbe, die für die Funktionsweise der Branche von besonderer Bedeutung sind.

Zu diesen branchenspezifischen Risiken gehören:

Eine mobile Belegschaft

So wie die Tatsache, dass der Bau an verschiedenen Standorten durchgeführt wird ein physisches Risiko darstellen kann, kann es auch die Risiken der Cyberkriminalität verschärfen. Büros sind oft an temporären Standorten wie Kabinen und Anhänger, wo sich die Mitarbeiter über Laptops, Tablets und Smartphones mit den Unternehmensnetzwerken und -systemen verbinden. Sicherheitsvorkehrungen sind oft lockerer als in einem permanenten Büro, besonders wenn es eine "bring your own device" (BYOD) Policy gibt, die es den Mitarbeitern erlaubt, auf kritische Systeme mit eigenen Geräten zuzugreifen. Darum ist es wichtig, Sicherheitsvorkehrungen zu haben, die Passwörter und andere Validierungen erfordern, während mobile Geräte auf Schwachstellen untersucht werden sollten.

Datei- und Datenaustausch außerhalb des Unternehmens

Ein Bauprojekt beinhaltet oft die Zusammenarbeit von Fachleuten aus unterschiedlichen Gewerken. Das bedeutet, dass Pläne, Entwürfe und andere sensible Informationen wie Finanz- und Mitarbeiterdaten möglicherweise mit Dritten ausgetauscht werden müssen. Building Information Modeling (BIM) umfasst die Zusammenarbeit mehrerer Parteien und wenn das Projekt darum in eine gemeinsame Datenumgebung (CDE) integriert ist, stellt dies einen potenziellen Datenschatz dar. Sicherheit sollte dabei natürlich oberste Priorität haben.

Die Datenspeicherung und der Datenschutz müssen auch den geltenden Vorschriften wie der Allgemeinen Datenschutzverordnung (DSGVO) entsprechen, wenn Arbeiten innerhalb der EU ausgeführt werden.

Hohe Personalfluktuation

Innerhalb eines Unternehmens kann es zu einer hohen Fluktuation an Mitarbeitern und einer Abhängigkeit von Subunternehmern kommen. Dies erschwert die Möglichkeit, eine einheitliche IT- und Cybersicherheitsschulung zu organisieren und durchzuführen.

Verschiedene Arten von Bedrohungen

Cyberkriminalität ist weltweit eine wachsende Bedrohung. In Deutschland beispielsweise warnen Geheimdienste davor, dass zunehmende Cyber-Angriffe "tickende Zeitbomben" sind, die sowohl kritische Infrastrukturen als auch wirtschaftliche Interessen bedrohen.

Laut HUB International ”hinkt die Baubranche den anderen Wirtschaftszweigen hinterher, wenn es um die Investition in Sicherheit geht. Hacker sind sich dessen bewusst und nutzen dies aus.”

Es gibt noch eine Reihe weiterer Arten von Cyberangriffen und Bedrohungen, die eine Baufirma gefährden könnten. Dazu gehören unter anderem:

Malware

Malware, wie Viren, Trojaner und andere Schadsoftware ist darauf ausgelegt, Ihre Systeme und Daten zu beschädigen. So wird unter anderem versucht, Geld zu erpressen wie zum Beispiel durch Ransomware.

Ransomware

Diese spezielle Art von Malware verschlüsselt und "sperrt" kritische Systeme und Daten eines Unternehmens, bevor die Cyberkriminellen dann ein "Lösegeld" fordern, um sie wieder freizugeben. Diese Art von Angriffen nimmt zu: In den letzten Jahren gab es einige hochkarätige Fälle, wie der WannaCry-Angriff auf das NHS in Großbritannien und den spanischen Telekommunikationsriesen Telefonica.

Phishing

Dabei wird versucht, persönliche Daten zu sammeln, indem Einzelpersonen einen Hyperlink anklicken oder einen Anhang in einer Phishing-E-Mail öffnen. Dies kann die Installation von Malware auf dem System ermöglichen oder das Opfer auf eine gefälschte Webseite bringen, wo sie sensible persönliche oder geschäftliche Informationen eingeben soll.

Passwort-Angriffe

Das Knacken von Benutzerkennwörtern kann Cyberkriminellen ungehinderten Zugriff auf kritische Daten und Systeme ermöglichen.

Distributed Denial of Service (DDoS)

Diese Methode des Hackings kann verwendet werden, um eine Webseite zum Absturz zu bringen oder die Fähigkeit gültiger Benutzer, auf Netzwerke und Systeme zuzugreifen, zu stören. Dies geschieht in der Regel dadurch, dass die Webseite oder das System mit einer Unmenge an Anfragen bombardiert wird.

Wie man diese Risiken minimieren kann

Glücklicherweise gibt es einige relativ einfache Schritte, mit denen Bauunternehmen das Risiko, durch Cyberkriminalität Schaden zu nehmen, reduzieren können.

Alle Netzwerke sollten mit Sicherheitssoftware und Firewalls geschützt werden. Firewall-as-a-Service (FaaS) ermöglicht eine dynamische und skalierbare Barriere, die sich an die aktuellen Bedürfnisse eines Unternehmens anpassen kann. Sie können auch erweiterte E-Mail- und Webfilterungen in allen Unternehmensnetzwerken eingeführt werden. Dies verhindert nicht nur, dass Mitarbeiter bei der Arbeit auf unangemessene Inhalte zugreifen können, sondern auch den Zugriff auf potenziell schädliche Webseiten.

Die Advanced Treat Detection (erweiterte Bedrohungserkennung; ATD) kann alle E-Mail-Anhänge und Links scannen, bevor sie den Benutzer erreichen. Die Einrichtung eines eigenen, passwortgeschützten Wi-Fi-Netzwerks vor Ort anstelle des Einloggens über fremde Netzwerke kann Ihnen ebenfalls helfen, potenziellen Risiken zu minimieren. Starke Berechtigungskontrollen können die Dateien, Daten und Teile des Netzwerks, auf die verschiedene Personen zugreifen können, einschränken.

Während Cybersicherheitstechniken, -software und -systeme eine große Rolle spielen, kann auch menschliches Versagen Unternehmen gefährden. Daher ist es wichtig, solide Richtlinien einzuführen und die Mitarbeiter zu schulen, um sicherzustellen, dass jeder in Ihrem Unternehmen die besten Sicherheitspraktiken befolgt. Im Wettrüsten der Cybersicherheit ist es praktisch unmöglich, Immunität zu garantieren, aber es ist möglich, Ihre Risiken drastisch zu reduzieren, indem Sie einen vernünftigen Ansatz verfolgen und die Bedrohung ernst nehmen.