Bauen digital, BIM - Building Information Modeling
Cyberangriffe und BIM: wie man sich vorbereitet
Cyberangriffe nehmen bekanntlich zu, und die Bauindustrie scheint einen eher laxen Ansatz in Sachen Cybersicherheit zu präferieren. Paul Shillcock, Geschäftsführer bei Operam, und Chris Waynforth, Area Vice President – Nordeuropa bei Imperva, vertreten hier die Meinung, dass der Leitfaden ISO 19650-5 der Branche helfen wird, dieser so eindeutigen wie aktuellen Gefahr zu begegnen.
Heute ist jedes Unternehmen ein digitales Unternehmen, unabhängig von der Branche in der es tätig ist – mit wertvollen Informationen, die es zu einem potenziellen Ziel für Hacker und Insider-Bedrohungen machen. Obgleich die Bedrohungen für Bauunternehmen vielleicht nicht ganz so offensichtlich sind wie für Finanzinstitute oder Einzelhändler, sind sie doch sehr real, wie die neuesten Richtlinien der ISO 19650-5 deutlich machen.
„Mehr als ein Drittel der Unternehmen im Baugewerbe behandeln die Cybersicherheit immer noch als eine untergeordnete Geschäftspriorität.“ - Paul Shillcock, Operam (Anyaberkut | Dreamstime.com)
Notwendigkeit der Informationskoordinierung und CDE
Die Komplexität moderner Bauprojekte hat die Notwendigkeit der Informationskoordinierung und der Verwendung einer gemeinsamen Datenumgebung (CDE) viel wichtiger gemacht; besonders wenn es um eine bessere Zusammenarbeit und Effizienz zwischen Kunden und ihren Lieferteams geht. Infolgedessen werden tagtäglich Informationen über sensible Vermögenswerte und kritische Infrastrukturen über eine umfangreiche, oft internationale Lieferkette ausgetauscht.
Gehen nun solche Informationen verloren oder werden gar gestohlen, können sie für Dutzende von Unternehmen gleichzeitig einen enormen finanziellen und zugleich rufschädigenden Schaden verursachen, ganz zu schweigen von der Gefährdung der Sicherheit von Mitarbeiter:innen, die diese Anlagen betreiben und nutzen. Dennoch verfügen die meisten Unternehmen nur über unzureichende oder womöglich überhaupt keine vorhandenen Verfahren und Technologien zur Informationssicherheit.
Ein leichtes Ziel
Cyber-Kriminelle sind wie Elektrizität – wenn es darum geht, ein Ziel zu finden, wollen sie eines, das den geringsten Widerstand bietet, und leider sind die meisten Bauunternehmen derzeit sehr attraktive Ziele.
Der jüngste Bericht der britischen Regierung über Verstöße gegen die Cybersicherheit ergab, dass mehr als ein Drittel (36 %) der Unternehmen im Baugewerbe die Cybersicherheit immer noch als eine “geringere Geschäftspriorität” behandeln, während nur ein Fünftel (20 %) über ein Vorstandsmitglied verfügt, das für Cybersicherheit verantwortlich zeichnet.
Besonders besorgniserregend ist, dass ca. 35 % es versäumt haben, grundlegende Maßnahmen zur Erkennung von Cyber-Risiken durchzuführen, z. B. in Überwachungsinstrumente zu investieren oder Penetrationstests durchzuführen. All diese Zahlen liegen deutlich unter dem nationalen Durchschnitt und zeichnen das Bild einer Branche, die die Bedeutung ihrer digitalen Werte konsequent herunterspielt.
Wer versteckt sich in Ihrer Lieferkette?
Diese nachlässige Einstellung zur Cybersicherheit öffnet Hackern im Grunde Tür und Angel; vor allem, wenn Informationen mit Dutzenden – möglicherweise Hunderten – von Partnern und Zulieferern ausgetauscht werden. Einige der größten Sicherheitsverletzungen in der Geschichte sind auf schwache Kontrollen bei Unterauftragnehmern oder privilegierten Lieferanten zurückzuführen. Während große Tier-1-Unternehmen vielleicht über einen angemessenen Schutz verfügen, ist die Wahrscheinlichkeit groß, dass dies bei den meisten ihrer Zulieferer nicht der Fall ist.
Gelingt es Cyberkriminellen, in das Netzwerk eines kleinen Zulieferers einzudringen, könnten sie damit höchstwahrscheinlich auf eine Fülle von Informationen zugreifen, die sich auf die Planung, den Bau oder den Betrieb kritischer Infrastrukturen beziehen, und Lösegeld für diese erpressen. Solche Szenarien könnten massive Auswirkungen auf Lieferung oder Betrieb der Anlage haben und eventuell katastrophalen finanziellen Schaden verursachen, von der langfristigen Rufschädigung gar nicht erst zu sprechen.
Und die Bedrohung nimmt zu: Ransomware-Angriffe nehmen zu, und der Leiter der Cybersicherheitsabteilung des GCHQ (des britischen Government Communications Headquarters, dt. etwa: Regierungskommunikationszentrale) bezeichnete sie als eine größere Bedrohung für Großbritannien als feindliche Staaten. Dies verweist auf den Umstand, dass die Einstiegshürden drastisch niedriger sind als früher. Heute können unerfahrene Hacker für nur 10 US$ im Netz Tools kaufen, die sie bei der Realisierung eines Ransomware-Angriffs unterstützen. Das hat zu einer Flutwelle von Angriffen geführt, deren Zahl im letzten Jahr um 150 % gestiegen ist, während gleichzeitig die von den Opfern zu zahlenden Beträge um 300 % zunahm.
„Ein Fehler, den viele Unternehmen machen, ist, dass sie versuchen, alles auf einmal abzudecken.“ - Chris Waynforth, Imperva (Anyaberkut | Dreamstime.com)
Wie sieht ein sicherheitsorientierter Ansatz aus?
Das Problem für Unternehmen besteht darin, dass die Informationssicherheit in den Griff zu bekommen, alles andere als einfach ist. Selbst kleinere Unternehmen verfügen über Informationen, die an so vielen Orten verstreut sind – in der Cloud, auf persönlichen Laptops, auf USB-Sticks usw., dass es wie eine einigermaßen unlösbare Aufgabe erscheinen kann, die Kontrolle über all diese Daten zu behalten.
Ein Fehler, den viele Unternehmen machen, vor allem Inhaber von Anlagen, ist der Versuch, alles auf einmal abzudecken. Stattdessen können Unternehmen durch die Einführung von Prozessen wie sie die ISO 19650-5 ermöglicht, eine klare Strategie sowie Pläne und Anforderungen für ein sicherheitsorientiertes Informationsmanagement aufstellen, indem sie ermitteln, welche Bereiche als sensibel gelten, und somit einen angemessenen Schutz der zugehörigen Informationen sicherstellen.
Darüber hinaus müssen Unternehmen wissen, dass alle Informationen, für die sie verantwortlich sind, sicher sind, insbesondere wenn sie sich außerhalb eines CDE befinden. Dies bedeutet, dass präventive Maßnahmen ergriffen werden müssen, wie z. B. der Einsatz von Prüf- und Sicherheitsüberwachungsinstrumenten in allen lokalen Umgebungen, in denen sensible Informationen gespeichert oder erstellt werden, sowie die Durchführung von Routineprüfungen zur Aufdeckung versteckter Informationen.
Ebenso wichtig ist es für Unternehmen, strenge Verfahren zur Überprüfung der Sicherheitsnachweise von Zulieferern einzuführen, einschließlich der Prüfung ihres Cybersicherheitsrahmens vor und während des Projekts sowie der Kontrolle in Sachen einer angemessenen Cyber-Haftpflichtversicherung für den Fall des Falles.
Schließlich ist es wichtig, einen umfassenden Plan für das Management von Sicherheitsverletzungen aufzustellen, der auch die Aktivitäten oder ggf. die Fahrlässigkeit von Unterauftragnehmern abdeckt, um auf Sicherheitsverletzungen oder Cyberangriffe reagieren zu können.
Aufbau eines sicherheitsbewussten Ansatzes
Art und Weise von Cyber-Bedrohungen entwickeln sich rasch weiter, und je langsamer die Bauindustrie reagiert, desto attraktiver wird sie für Hacker. Da BIM für Unternehmen in der gesamten Lieferkette immer wichtiger wird, muss jeder gewährleisten können, sich für einen sicherheitsorientierten Ansatz einzusetzen, und zwar nicht nur intern, sondern auch bei Partnern, Anbietern und Subunternehmern.
Glücklicherweise gibt es eine Fülle von Informationen und Ressourcen, wie z. B. die ISO 19650-5, welche die Grundlage für eine wirksame Sicherheitsstrategie bilden können, die das Risiko eines Angriffs verringert und den Schaden minimiert, falls es zu einem Verstoß kommt. Derzeit besteht die Gefahr, dass die Branche ins Hintertreffen gerät, aber mit ein paar einfachen Schritten können Unternehmen die Prozesse einrichten, die eine Katastrophe verhindern.
Aus dem britischen Englisch von DeepL und Burkhard Talebitari
Der Beitrag erschien zuerst auf www.bimplus.co.uk am 9.7.2021
