5 Maßnahmen, die jeder Bauunternehmer zum Schutz gegen Cyber-Kriminalität treffen sollte
Cyber-Sicherheit ist ein durch die Entwicklung neuer Technologien ständig im Wachstum und Wandel begriffenes Must-Have – denn Hackerangriffe auf kleine und mittelständische Baufirmen sind keine Seltenheit. Fünf Schritte zum besseren Schutz von Daten und Systemen.
Haben Sie auch schon einmal wider besseren Wissens auf einen fragwürdigen Link geklickt, aus reiner Langweile eine Online-Umfrage ausgefüllt oder waren schlicht zu faul, eine App zu aktualisieren? Wenn Ihnen bei dem Gedanken an die realen oder potenziellen Folgen solcher Nachlässigkeiten ein wenig unwohl zumute ist, dann ist es nicht unbedingt tröstlich zu wissen, dass es noch viel schlimmer hätte kommen können. Stellen Sie sich vor, die Beantwortung einer einzigen dubiosen E-Mail hätte Ihre Baufirma Millionenbeträge gekostet und Ihre Mitarbeiter und Sie selbst arbeitslos gemacht!
Alles schon vorgekommen – von schlagzeilenträchtigen Datenschutzverletzungen bei Konzernen wie Uber, Equifax und Target bis hin zu Hackerangriffen auf kleine und mittelständische Baufirmen, die quasi schon zum Tagesgeschäft gehören. So wurden auch beim Diebstahl von Kundendaten der Einzelhandelskette Target im Jahr 2013 Zugangsdaten genutzt, die die Hacker zuvor von einem Subunternehmer gestohlen hatten, der im Auftrag des Konzerns Klimaanlagen installiert hatte.
Leichte Beute für Hacker?
Womöglich ist es diesem aufsehenerregenden Fall zu verdanken, dass Cyber-Kriminelle Baufirmen als leichte Beute wahrnehmen. Inwieweit diese Wahrnehmung zutrifft, hängt jedoch vom Risikoprofil der einzelnen Firmen ab, wie der Technologie-Experte Ashkan Soltani betont. Soltani spricht mit über zwanzigjähriger Erfahrung, unter anderem als Cheftechnologe bei der Federal Trade Commission, Berater der US-Regierung und Mitwirkender an mehreren Pulitzer-Preis-gekrönten Reportagen zu Datenschutzthemen.
„Nehmen wir einmal an, Ihre Firma ist am Bau einer Bank beteiligt. Durch einen solchen Auftrag erhöht sich Ihr Gefährdungs- bzw. Risikoprofil“, erläutert Soltani. „Selbst wenn derart exponierte oder profilierte Auftraggeber für Ihr Unternehmen eher die Ausnahme als die Regel sind, sollten Sie dennoch eine Verbesserung Ihrer betrieblichen Sicherheitsmaßnahmen erwägen.“
Soltani vergleicht eine solche Risikoabwägung mit der Sicherung eines Autos gegen Diebstahl: „Ist Ihr Wagen mit einer Alarmanlage ausgestattet? Haben Sie eine Lenkradsperre? Wenn Sie in einem Problemviertel mit hoher Kriminalitätsrate wohnen und ein teures Auto besitzen, dann würden Sie zusätzliche Vorsichtsmaßnahmen treffen. Das gilt analog für Unternehmen. Sie müssen Ihr Risiko kalkulieren und sich überlegen, an welchen Stellen Sie investieren müssen.“
Laut Angaben des US-amerikanischen Fachportals Construction Dive nahm die Häufigkeit von Ransomware-Angriffen im Baugewerbe 2016 um 400 Prozent gegenüber dem Vorjahr zu. Bei einer Umfrage britischer Forscher an der Universität Bolton stimmten 70 Prozent der Teilnehmer der Aussage zu: „Sicherheitsrisiken im Zusammenhang mit der Nutzung von Gebäudedatenmodellierung (BIM) werden nicht ernst genug genommen.“ Wenn man die nicht minder virulenten traditionelleren Formen des Betrugs in den betroffenen Branchen hinzurechnet, müssen Sie mit an Sicherheit grenzender Wahrscheinlichkeit damit rechnen, dass Ihr Bauunternehmen früher oder später einem Hackerangriff zum Opfer fällt.
Absolute Sicherheit ist eine Illusion. Dennoch gibt es Vorsichtsmaßnahmen, die jedes Bauunternehmen zur Abwehr von Cyberangriffen treffen kann. Im Folgenden stellen wir Ihnen fünf Schritte zum besseren Schutz Ihrer Daten und Systeme vor.
1. Sind Ihre Mitarbeiter in der Telefonzentrale zu freundlich?
Banale Informationen, die von einem freundlichen Mitarbeiter am Telefon weitergegeben werden, können für einen Hacker-Angriff missbraucht werden. „Schlechte Schauspieler oder Hacker können hinter der Empfangsdame her sein. Machen Sie Sicherheit zu einer Priorität und bieten Sie Internet-Sicherheitstraining an, so wie Sie auch Sicherheitstraining am Arbeitsplatz anbieten”, sagt Soltani.
2. Wie sicher ist Ihr E-Mail-System?
Die meisten Leute sind intelligent genug, offensichtliche Phishing-Versuche als solche zu erkennen. Was ist jedoch mit E-Mails, die von einem Kollegen, einem Mitglied der Geschäftsführung oder gar dem Unternehmenschef selbst kommen? Immer wieder werden Leistungen von Budget-E-Mail-Anbietern zum Verschicken gefälschter E-Mails von scheinbar legitimen Absendern missbraucht – im Fachjargon werden solche gezielten Phishing-Angriffe als „Spear-Phishing“ bezeichnet.
In den USA erregte ein Betrugsfall Aufsehen, bei dem ein Schulamtsbezirk in Colorado sich durch gefälschte E-Mails, die angeblich von einer Baufirma kamen, zur Überweisung von 850.000 US‑Dollar (umgerechnet knapp 700.000 Euro) auf ein Geisterkonto veranlassen ließ. Ein ähnlicher Schwindel kostete die MacEwan University im kanadischen Edmonton fast 12 Millionen CAD (7,5 Millionen Euro).
Als nächstes fragt sich, welche Lösung am sichersten ist: der unternehmenseigene Server im Keller Ihres Bürogebäudes; ein externer Server, der von einem Rechenzentrum geleast und verwaltet wird; oder ein Cloud-basiertes E-Mail-System?
„Viele Menschen haben Bedenken bezüglich Cloud-E-Mail, weil der Anbieter die E-Mails mitlesen kann“, so Soltani. „Aber was ist Ihre eigentliche Sorge – dass Google Ihre E-Mails liest oder dass Hacker in der Ukraine sie lesen? Im letzteren Fall bieten sich Cloud-Speicherkonzepte mit aktivierten Sicherheitsfunktionen wie z. B. Zwei-Faktor-Authentifizierung an. Cloud-basierte Konzepte ermöglichen die Überwachung und Sicherung von Systemen vor Millionen Nutzern.“ Zusätzlich sollten Sie auch Ihre Zugangsdaten für Cloud-basierte Versionsverwaltungssysteme sichern.
3. Lohnt sich die Einstellung eines Sicherheitsbeauftragten?
Eine unternehmenseigene IT-Abteilung kostet Geld, und Ihre Margen sind im Wettbewerb um lukrative Aufträge bereits ziemlich ausgereizt. Wer die Datensicherung vernachlässigt, riskiert jedoch Verluste, die nicht nur den Bankrott des Unternehmens, sondern schlimmstenfalls Sanktionen seitens der Regulierungsbehörden nach sich ziehen könnten.
„Die Frage lautet, hat Sicherheit einen so hohen Stellenwert, dass sich die Einstellung eines entsprechenden IT-Beauftragten auf unterster Gehaltsstufe lohnt?“ so Soltani. „Wenn ja, dann sollten Sie eine entsprechende Person einstellen und ihr oder ihm die Verantwortung für die Implementierung von Konzepten zur Verringerung Ihres Sicherheitsrisikos übertragen – z. B. durch Patches oder die Einrichtung von VPNs für Mitarbeiter, die extern an öffentlichen WLAN-Hotspots mit Kundendaten arbeiten.“
Wer sich keine festangestellten IT-Mitarbeiter leisten kann oder will, sollte zur Bewältigung ständig neuer Cyber-Risiken zumindest mit entsprechend qualifizierten Experten zusammenarbeiten. Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ins Leben gerufene Allianz für Cyber-Sicherheit stellt aktuelle einschlägige Informationen für deutsche Unternehmen bereit.
4. Wie viele Mitarbeiter haben Administrator-Rechte?
Allzu oft wird auch bei der Einrichtung von Administrator-Privilegien die Sicherheit der Bequemlichkeit geopfert. Diese sollten auf einige wenige Mitarbeiter beschränkt werden. Durch die Nutzung von BIM- und anderen vernetzten Systemen, die zahlreichen externen Projektbeteiligten den Zugriff auf urheberrechtlich geschützte Ressourcen ermöglichen, wird das Problem noch verschlimmert.
„Wenn nur eine einzige Person die Passwörter kennt, dann haben Hacker, die auf die Server des Unternehmens zuzugreifen versuchen, nur diese eine Chance“, erläutert Soltani. „Wenn aber 20 Mitarbeiter Administrator-Rechte haben, habe ich als Hacker 20 Chancen, an die Passwörter zu kommen.“
Zur Verhütung derartiger Probleme hat der britische Berufsverband Institution of Engineering and Technology eine Reihe von Empfehlungen [PDF] zum Umgang mit BIM veröffentlicht. Unter anderem sollten Unternehmen einen Datenbeauftragten ernennen, dem die „Verantwortung für die Verwaltung der gemeinsamen Datenumgebung, Verwaltung von Projektdaten und Unterstützung von Zusammenarbeit, Datenaustausch und Betreuung des Projektteams“ obliegt.
5. Wann haben Sie Ihre Software zuletzt aktualisiert?
Cyber-Sicherheit ist ein durch die Entwicklung neuer Technologien (man denke etwa an IoT-Sensoren und digitale Schlösser) ständig im Wachstum und Wandel begriffenes Risiko. Deswegen sollten Sie Ihre gesamte Software regelmäßig aktualisieren und dadurch sicherstellen, dass neu auftretende Sicherheitslücken so schnell wie möglich geschlossen werden. Das ist oft mit beträchtlichem Zeitaufwand verbunden, zumal wenn durch die Aktualisierung Funktionen beeinträchtigt werden, auf die Sie bei der Arbeit angewiesen sind. Hier muss jedoch gelten: Sicherheit hat Vorrang.
„Bei vielen Software-Aktualisierungen geht es nicht bloß um die Aktualisierung von Funktionen“, betont Soltani. „Sie dienen der Behebung von Programmfehlern – und vor allem von Sicherheitslücken. So dient etwa die iOS-Aktualisierung von Apple beim genaueren Hinsehen dazu, eine Angriffsstelle zu schließen, die jemand entdeckt hat. Und sobald diese Angriffsstelle bekannt ist, ist Ihr System verwundbar, wenn Sie sie nicht schließen.“
Dieser Artikel wurde aktualisiert. Die ursprüngliche Veröffentlichung war am 26. April 2018.