5 Maßnahmen, die jeder Bauunternehmer zum Schutz gegen Cyber-Kriminalität treffen sollte

Von Joshua Glazer
- 26. Apr 2018 - 6 min-LEKTÜRE
construction business cybersecurity header graphic

Haben Sie auch schon einmal wider besseren Wissens auf einen fragwürdigen Link geklickt, aus reiner Langweile eine Online-Umfrage ausgefüllt oder waren schlicht zu faul, eine App zu aktualisieren? Wenn Ihnen bei dem Gedanken an die realen oder potenziellen Folgen solcher Nachlässigkeiten ein wenig unwohl zumute ist, dann ist es nicht unbedingt tröstlich zu wissen, dass es noch viel schlimmer hätte kommen können. Stellen Sie sich vor, die Beantwortung einer einzigen dubiosen E-Mail hätte Ihre Baufirma Millionenbeträge gekostet und Ihre Mitarbeiter und Sie selbst arbeitslos gemacht!

Alles schon vorgekommen – von schlagzeilenträchtigen Datenschutzverletzungen bei Konzernen wie UberEquifax und Target bis hin zu Hackerangriffen auf kleine und mittelständische Baufirmen, die quasi schon zum Tagesgeschäft gehören. So wurden auch beim Diebstahl von Kundendaten der Einzelhandelskette Target im Jahr 2013 Zugangsdaten genutzt, die die Hacker zuvor von einem Subunternehmer gestohlen hatten, der im Auftrag des Konzerns Klimaanlagen installiert hatte.

Womöglich ist es diesem aufsehenerregenden Fall zu verdanken, dass Cyber-Kriminelle Baufirmen als leichte Beute wahrnehmen. Inwieweit diese Wahrnehmung zutrifft, hängt jedoch vom Risikoprofil der einzelnen Firmen ab, wie der Technologie-Experte Ashkan Soltani betont. Soltani spricht aus über zwanzigjähriger Erfahrung, unter anderem als Cheftechnologe bei der Federal Trade Commission, Berater der US-Regierung und Mitwirkender an mehreren Pulitzer-Preis-gekrönten Reportagen zu Datenschutzthemen.

„Nehmen wir einmal an, Ihre Firma ist am Bau einer Bank beteiligt. Durch einen solchen Auftrag erhöht sich Ihr Gefährdungs- bzw. Risikoprofil“, erläutert Soltani. „Selbst wenn derart exponierte oder profilierte Auftraggeber für Ihr Unternehmen eher die Ausnahme als die Regel sind, sollten Sie dennoch eine Verbesserung Ihrer betrieblichen Sicherheitsmaßnahmen erwägen.“

construction business cybersecurity internet hacking

Soltani vergleicht eine solche Risikoabwägung mit der Sicherung eines Autos gegen Diebstahl: „Ist Ihr Wagen mit einer Alarmanlage ausgestattet? Haben Sie eine Lenkradsperre? Wenn Sie in einem Problemviertel mit hoher Kriminalitätsrate wohnen und ein teures Auto besitzen, dann würden Sie zusätzliche Vorsichtsmaßnahmen treffen. Das gilt analog für Unternehmen. Sie müssen Ihr Risiko kalkulieren und sich überlegen, an welchen Stellen Sie investieren müssen.“

Laut Angaben des US-amerikanischen Fachportals Construction Dive nahm die Häufigkeit von Ransomware-Angriffen im Baugewerbe 2016 um 400 Prozent gegenüber dem Vorjahr zu. Bei einer Umfrage britischer Forscher an der Universität Bolton stimmten 70 Prozent der Teilnehmer der Aussage zu: „Sicherheitsrisiken im Zusammenhang mit der Nutzung von Gebäudedatenmodellierung (BIM) werden nicht ernst genug genommen.“ Wenn man die nicht minder virulenten traditionelleren Formen des Betrugs in den betroffenen Branchen hinzurechnet, müssen Sie mit an Sicherheit grenzender Wahrscheinlichkeit damit rechnen, dass Ihr Bauunternehmen früher oder später einem Hackerangriff zum Opfer fällt.

Absolute Sicherheit ist eine Illusion. Dennoch gibt es Vorsichtsmaßnahmen, die jedes einzelne Bauunternehmen zur Abwehr von Cyberangriffen treffen kann. Im Folgenden stellen wir Ihnen fünf Schritte zum besseren Schutz Ihrer Daten und Systeme vor.

1. Sind Ihre Mitarbeiter in der Telefonzentrale zu freundlich?

The media portrayal of a hacker is usually some vitamin-D-deprived loner using his modem to penetrate your digital systems through screens of code. The truth is, most hacks include at least a component of social engineering. Bits of banal information given out by a friendly employee on the phone can be used to trick others into allowing in nefarious code online.

“Social engineering is always the weakest link,” Soltani says. “Bad actors or hackers may go after the receptionist or junior associate. Make security a priority and provide Internet-safety training just like you provide job-site-safety training.”

2. Wie sicher ist Ihr E-Mail-System?

Die meisten Leute sind intelligent genug, offensichtliche Phishing-Versuche als solche zu erkennen. Was ist jedoch mit E-Mails, die von einem Kollegen, einem Mitglied der Geschäftsführung oder gar dem Unternehmenschef selbst kommen? Immer wieder werden Leistungen von Budget-E-Mail-Anbietern zum Verschicken gefälschter E-Mails von scheinbar legitimen Absendern missbraucht – im Fachjargon werden solche gezielten Phishing-Angriffe als „Spear-Phishing“ bezeichnet.

In den USA erregte jüngst ein Betrugsfall Aufsehen, bei dem ein Schulamtsbezirk in Colorado sich durch gefälschte E-Mails, die angeblich von einer Baufirma kamen, zur Überweisung von 850.000 US‑Dollar (umgerechnet knapp 700.000 Euro) auf ein Geisterkonto veranlassen ließ. Ein ähnlicher Schwindel kostete die MacEwan University im kanadischen Edmonton fast 12 Millionen CAD (7,5 Millionen Euro).

construction business cybersecurity cheap email

Als nächstes fragt sich, welche Lösung am sichersten ist: der unternehmenseigene Server im Keller Ihres Bürogebäudes; ein externer Server, der von einem Rechenzentrum geleast und verwaltet wird; oder ein Cloud-basiertes E-Mail-System?

„Viele Menschen haben Bedenken bezüglich Cloud-E-Mail, weil der Anbieter die E-Mails mitlesen kann“, so Soltani. „Aber was ist Ihre eigentliche Sorge – dass Google Ihre E-Mails liest oder dass Hacker in der Ukraine sie lesen? Im letzteren Fall bieten sich Cloud-Speicherkonzepte mit aktivierten Sicherheitsfunktionen wie z. B. Zwei-Faktor-Authentifizierung an. Cloud-basierte Konzepte ermöglichen die Überwachung und Sicherung von Systemen vor Millionen Nutzern.“ Zusätzlich sollten Sie auch Ihre Zugangsdaten für Cloud-basierte Versionsverwaltungssysteme sichern.

3. Lohnt sich die Einstellung eines Sicherheitsbeauftragten?

Eine unternehmenseigene IT-Abteilung kostet Geld, und Ihre Margen sind im Wettbewerb um lukrative Aufträge bereits ziemlich ausgereizt. Wer die Datensicherung vernachlässigt, riskiert jedoch Verluste, die nicht nur den Bankrott des Unternehmens, sondern schlimmstenfalls Sanktionen seitens der Regulierungsbehörden nach sich ziehen könnten.

„Die Frage lautet, hat Sicherheit einen so hohen Stellenwert, dass sich die Einstellung eines entsprechenden IT-Beauftragten auf unterster Gehaltsstufe lohnt?“ so Soltani. „Wenn ja, dann sollten Sie eine entsprechende Person einstellen und ihr oder ihm die Verantwortung für die Implementierung von Konzepten zur Verringerung Ihres Sicherheitsrisikos übertragen – z. B. durch Patches oder die Einrichtung von VPNs für Mitarbeiter, die extern an öffentlichen WLAN-Hotspots mit Kundendaten arbeiten.“

Wer sich keine festangestellten IT-Mitarbeiter leisten kann oder will, sollte zur Bewältigung ständig neuer Cyber-Risiken zumindest mit entsprechend qualifizierten Experten zusammenarbeiten. Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ins Leben gerufene Allianz für Cyber-Sicherheit stellt aktuelle einschlägige Informationen für deutsche Unternehmen bereit.

4. Wie viele Mitarbeiter haben Administrator-Rechte?

Allzu oft wird auch bei der Einrichtung von Administrator-Privilegien die Sicherheit der Bequemlichkeit geopfert. Diese sollten auf einige wenige Mitarbeiter beschränkt werden. Durch die Nutzung von BIM- und anderen vernetzten Systemen, die zahlreichen externen Projektbeteiligten den Zugriff auf urheberrechtlich geschützte Ressourcen ermöglichen, wird das Problem noch verschlimmert.

construction business cybersecurity too many admins

„Wenn nur eine einzige Person die Passwörter kennt, dann haben Hacker, die auf die Server des Unternehmens zuzugreifen versuchen, nur diese eine Chance“, erläutert Soltani. „Wenn aber 20 Mitarbeiter Administrator-Rechte haben, habe ich als Hacker 20 Chancen, an die Passwörter zu kommen.“

Zur Verhütung derartiger Probleme hat der britische Berufsverband Institution of Engineering and Technology eine Reihe von Empfehlungen [PDF] zum Umgang mit BIM veröffentlicht. Unter anderem sollten Unternehmen einen Datenbeauftragten ernennen, dem die „Verantwortung für die Verwaltung der gemeinsamen Datenumgebung, Verwaltung von Projektdaten und Unterstützung von Zusammenarbeit, Datenaustausch und Betreuung des Projektteams“ obliegt.

5. Wann haben Sie Ihre Software zuletzt aktualisiert?

Cyber-Sicherheit ist ein durch die Entwicklung neuer Technologien (man denke etwa an IoT-Sensoren und digitale Schlösser) ständig im Wachstum und Wandel begriffenes Risiko. Deswegen sollten Sie Ihre gesamte Software regelmäßig aktualisieren und dadurch sicherstellen, dass neu auftretende Sicherheitslücken so schnell wie möglich geschlossen werden. Das ist oft mit beträchtlichem Zeitaufwand verbunden, zumal wenn durch die Aktualisierung Funktionen beeinträchtigt werden, auf die Sie bei der Arbeit angewiesen sind. Hier muss jedoch gelten: Sicherheit hat Vorrang.

„Bei vielen Software-Aktualisierungen geht es nicht bloß um die Aktualisierung von Funktionen“, betont Soltani. „Sie dienen der Behebung von Programmfehlern – und vor allem von Sicherheitslücken. So dient etwa die iOS-Aktualisierung von Apple beim genaueren Hinsehen dazu, eine Angriffsstelle zu schließen, die jemand entdeckt hat. Und sobald diese Angriffsstelle bekannt ist, ist Ihr System verwundbar, wenn Sie sie nicht schließen.“

Ähnliche Artikel

Erfolgreich!

Sie sind angemeldet

Für alle, die mehr über die Gestaltung der Zukunft wissen wollen.

Unseren Newsletter abonnieren