Experten warnen vor einer steigenden Gefahr für die IT-Sicherheit durch Cyberangriffe. Dabei besteht auch ein hohes Risikopotenzial für die Baubranche, die sich aktuell in der Digitalisierungsphase befindet.
Zunächst sollte geklärt werden, wie ein Cyberangriff genau aussehen kann. Angreifer kommen bei Erfolg zum einen kostengünstig an riesige Datenmengen, zum anderen sind die Attacken durch die Internet-Anonymität und die Ortsunabhängigkeit nur schwer rückverfolg- und damit allgemein schwer sanktionierbar. Ein weiteres Problem besteht darin, dass es verschiedene Arten von Cyberangriffen gibt, deren Vorgehen und Ziele stark variieren.
Da wäre zum einen Malware, die als Schadsoftware in Form von Viren oder Trojanern vor allem auf die Beschädigung des jeweiligen Systems abzielt. Darauf aufbauend kann die sogenannte Ransomware dazu genutzt werden, Geld von den entsprechenden Unternehmen und Institutionen zu verlangen, um den Schaden aufzuhalten, rückgängig zu machen oder zum Beispiel blockierte empfindliche IT-Elemente freizugeben.
Was jeder Mitarbeiter und jede Mitarbeiterin kennen sollte, ist außerdem die berühmt-berüchtigte Phishing-Attacke. Hier wird durch die Aktivierung von Hyperlinks oder dem Öffnen von Mail-Anhängen, die auf den Interessen der Opfer beruhen, Malware installiert oder das Opfer auf Fake-Seiten weitergeleitet, um dort persönliche Daten einzugeben. Welche Methode auch genutzt wird, sie dient der Sammlung individueller und geschäftlicher sensibler Daten.
Es gibt noch etliche andere Angriffstypen wie Passwort-Cracking oder Distributed Denial of Service – also die gezielte Attacke auf eine Webseite, um diese zu überlasten und den Zugriff zu verhindern.
Diese ganzen Vorgehensweisen können zur Cyberspionage auf Industrieebene, zur gezielten Sabotage von Unternehmen oder politischen Einrichtungen oder auch zur Generierung von Einfluss verwendet werden. Jetzt könnte jemand gegenargumentieren, dass das Wissen um verschiedene Arten der Cyberkriminalität doch die Abwehr vereinfacht. Stimmt auch. Allerdings gibt es selbst für die verschiedenen Kategorien keine Standardvorgehensweisen, was den gezielten und allumfassenden Schutz deutlich erschwert oder gar unmöglich macht. Im schlimmsten Fall werden etwa Spionageangriffe zu spät oder gar nicht bemerkt, weil sich die Opfer der Attacke gar nicht bewusst sind oder nicht registrieren, dass etwas nicht stimmen könnte.
Und hierin besteht auch ein weiteres essenzielles Problem bei Cyberangriffen: PICNIC, wie es in der IT genannt wird – ausgeschrieben „Problem in Chair, not in Computer“. Das bedeutet, dass selbst Unternehmen, die entsprechend viel Budget in Cybersicherheit und die zugehörigen Softwarelösungen investieren, häufig versäumen, ihre Mitarbeiterinnen und Mitarbeiter in Sachen IT- und Cybersicherheit zu schulen. Daraus resultiert ein doch unbekümmerter Umgang mit der IT-Infrastruktur: Webseiten werden geöffnet, jeder Pop-Up wird ohne Zögern bestätigt, Links in E-Mails werden angeklickt, Anhänge von angeblichen Kolleginnen oder Kollegen geöffnet.
Hier wird keineswegs böswillige Absicht unterstellt. Diese Fehler beruhen einzig und allein auf Unwissenheit und der fehlenden Schulung zur kritischen Reflexion unbekannter Web-Inhalte. Weiß das Opfer nicht, wie eine reguläre E-Mail aus der Führungsebene von einer Phishing-Mail unterschieden werden kann, drückt es auf den Link oder lädt die Datei im Anhang herunter, was das Risiko einer Cyberseuche erhöht. PICNIC ist kein Einzelphänomen, es gibt auch die Begriffe PEBKAC (Problem exists between Keybord and Chair), IBM Error (Idiot behind Machine error) und so weiter. Die Begriffe klingen alle ganz witzig, meinen auch alle dasselbe, beschreiben aber ein großes und risikoreiches Problem in der Digitalisierungsphase vieler Unternehmen.
Damit zu den speziellen Risiken in der Baubranche: Die Baubranche ist anfällig für Cyberangriffe, weil sie sich in vielen Bereichen noch im Aufbau der Digitalisierung befindet. Nicht zuletzt kommt im Mittelstand immer wieder auch die Aufklärung bezüglich der Gefahren zu kurz, da mittelständische Unternehmen sich nicht unbedingt als Ziele solcher Cyberangriffe sehen. Außerdem setzt die Baubranche verstärkt auf mobile Zusammenarbeit. Hier sind es gerade die oft verwendeten privaten Endgeräte (BYOD = Bring your own device), die hohes Risiko mit sich bringen, da die private und ungeschützte Fehlnutzung Auswirkungen auf das ganze Unternehmen haben kann. Besteht in entsprechenden Unternehmen zudem eine hohe Personalfluktuation, ist ein einheitlicher Stand zur Sicherheit nur schwer durchführbar oder zu prüfen. Daher stellen sich Bauunternehmen als interessante und lukrative Ziele heraus.
Die Gefahr für Bauunternehmen besteht zum einen in der Spionage in Form von Industrie- und Wirtschaftsspionage, in deren Verlauf zum Beispiel bestimmte interne Informationen beispielsweise zu Projekten veröffentlicht oder an andere Unternehmen verkauft werden können. Andererseits können auch Pläne oder wichtige Interna abgerufen und im schlimmsten Fall für zerstörerische und gefährdende Zwecke wie Sabotageakte verwendet werden. Dabei ist auch die oben genannte Erpressung mit Verschlüsselung durch Ransomware denkbar.
Es ist also wichtig, am Ball zu bleiben. Was vor fünf Jahren noch als omnipotente Sicherheitslösung galt, ist heute unter Umständen schon massiv veraltet und gehört aktualisiert und ersetzt. Jedes Unternehmen muss auf dem neuesten Stand sein und die Cyberrisiken ernst nehmen. Neben dem technologischen Schutz ist und bleibt es jedoch das immer aktuell gehaltene Bewusstsein aller Mitarbeiterinnen und Mitarbeiter. Nur wenn alle um Bauunternehmen die Gefahren inklusive aller Methoden und Einfallstore kennen und in den Vorsichtsmaßnahmen geschult sind, können Cyberangriffen wirksam abgewehrt werden.
Tipp: Machen Sie den Schnellcheck und prüfen Sie, ob Sie die IT-Sicherheit im Blick haben.
Oder gehen Sie in Sachen IT-Schutz auf Nummer sicher. Vereinbaren Sie eine individuelle Sicherheitsschulung. Die BRZ-Sicherheitsexperten zeigen potenzielle Security-Lücken und schulen Sie und Ihre Mitarbeiter. Hier erfahren Sie alle Einzelheiten:
„IT-Sicherheit im Bauunternehmen – Individualschulung zum optimalen Schutz Ihres Firmennetzwerkes“
Ansatzpunkte für die zielgerichtete Weiterentwicklung Ihrer Digitalisierung im Baubetrieb finden Sie auf www.brz.eu/de.
Weitere Informationen:
BSI warnt vor Kaspersky-Antiviren-Software – BRZ empfiehlt Microsoft Defender (www.brz.eu)
IT-Systeme und IT-Sicherheit für Bauunternehmen (www.brz.eu)
BMI – Cyberspionage – Mehr Angriffe auf Politik, Behörden & Wirtschaft durch Cyber-Spionage (www.bund.de)
BMI – Cyberkriminalität (www.bund.de)
Sie möchten alle Neuigkeiten immer aus erster Hand erhalten?
Dann abonnieren Sie jetzt den kostenlosen BRZ-Newsletter.
BRZ Deutschland GmbH verpflichtet sich, Ihre Privatsphäre zu schützen und zu respektieren. Wir verwenden Ihre persönlichen Daten nur zur Verwaltung Ihres Kontos und zur Bereitstellung der von Ihnen angeforderten Produkte und Dienstleistungen. Von Zeit zu Zeit möchten wir Ihnen weitere Informationen über brz, die für Sie von Interesse sein könnten, zusenden. Wenn Sie damit einverstanden sind, dass wir Sie zu diesem Zweck kontaktieren, klicken Sie bitte das Kästchen:
Sie können diese Benachrichtigungen jederzeit abbestellen. Weitere Informationen zu unseren Datenschutzverfahren und dazu, wie wir Ihre Privatsphäre schützen und respektieren, finden Sie in unserer Datenschutzrichtlinie.
Indem Sie unten auf „Einsenden“ klicken, stimmen Sie zu, dass BRZ Deutschland GmbH die oben angegebenen persönlichen Daten speichert und verarbeitet, um Ihnen die angeforderten Inhalte bereitzustellen.