Die Digitalisierung schreitet weiter voran. Das gilt auch für die Baubranche. Vor allem der zunehmende Einsatz von BIM erhöht die Anzahl an Schnittstellen und damit das Risiko, Opfer eines Cyberangriffs zu werden. Wie sich Architekturbüros gegen die Schäden durch Hackerangriffe absichern können, thematisierte die Vortragsveranstaltung "Cyberrisiken bei Architekten und Ingenieuren" am 25. Oktober im Brückenturm Mainz.

"Nicht erst seit dem Film `Krieg der Sterne´ von 1977 ist `Cyber ´ein Begriff", sagte Kammerpräsident Gerold Reker in seinem Grußwort. Bereits 1960 hatte der amerikanische Mathematiker Norbert Wiener (1894 - 1964)in einem Vortrag in Hannover erklärt: "Die Kybernetik ist die Wissenschaft von Information und Kontrolle, gleichgültig, ob es sich um eine Maschine oder ein lebendiges Wesen handelt." Und auch im Münchener Tatort von vergangenem Wochenende ging es um das Thema "Cyber": Nachdem eine 14-Jährige als vermisst gemeldet wurde, entdeckten Ermittler auf deren Laptop das hochkomplexe, lernfähige Computerprogramm Maria, das anscheinend etwas mit dem Verschwinden zu tun hatte. Letztlich waren die Verknüpfungen von Mensch und Maschine dann aber doch nicht so tiefgreifend, wie der Cyberkrimi suggerierte: Schuld am Tod der 14-Jährigen war die Mutter. "Beide Filme haben eines gemeinsam: Es geht um Künstliche Intelligenzen, die versuchen, sich zu emanzipieren. Und damit geht es letztlich auch um die Frage nach dem Verhältnis von Mensch und Maschine," so Reker.

Film und Fiktion beiseite schiebend betonte er: "Wie real die von Computer erzeugten virtuellen Welten sind, zeigen nicht zuletzt die großen Hackerangriffe und Industrie-Spionagen, die in den vergangenen Jahren Schlagzeilen machten." Auch vor der Baubranche mache die zunehmende Digitalisierung keinen Halt. "Geschäftsprozesse sowie der Bauablauf werden immer öfter digitalisiert, was zu einer stärkeren Abhängigkeit von IT-Infrastruktur führt. Vor allem mit dem verstärkten Einsatz von BIM – einem Datenmodell, an dem viele gemeinsam arbeiten – steigt das Cyberriskio. Zudem sind Fragen der Haftung aus rechtlicher Sicht noch nicht eindeutig geklärt. Ein besonders sensibler Umgang ist hier geboten", so Reker. Die im Mai in Kraft getretene Datenschutzgrundverordnung macht einen sicheren Umgang mit Daten für Architektur- und Ingenieurbüros zur Pflicht; für Verstöße haftet der jeweilige Geschäftsführer oder Inhaber. In der Praxis aber variiert die Sicherheitslage von keinem Schutz bis hin zum überdurchschnittlichen Schutz.

Mehr als 700 Millionen Schadprogramme, rund 23 Millionen Cybercrime-Opfer und geschätzte 55 Milliarden Euro Schaden in 2017 allein in Deutschland – Marek Naser, Experte für Technische Versicherungen und Cyberversicherungen, konfrontierte in seinem anschließenden Vortrag das Publikum mit Zahlen. Die Dunkelziffer dürfte noch weitaus höher liegen, so der Experte, der für Deutschland ein hohes Cyberrisiko sieht. Denn längst werden nicht mehr nur große Wirtschaftskonzerne Opfer von Cyberkriminalität, sondern auch kleinere und mittelständische Unternehmen sowie Privatpersonen. Die Schadenspotenziale sind vielfältig: Die Liste möglicher Auswirkungen von Cyber-Angriffen reicht vom Produktionsausfall über Know-how-Verlust bis hin zum Imageschaden; die Summe der Schäden steigt. Angriffe könnten zwar mithilfe sogenannter honey bots (Honig Töpfe) aufgespürt werden, in der Regel sei die Identität der Hacker aber sehr gut verschlüsselt. Wie gut, das ließ die Präsentation erahnen, die eine unkenntliche Person mit tief ins Gesicht gezogenem Kapuzenpulli und Binärcodes aus Nullen und Einsen, die Computersprache, zeigte. "Cyberkriminalität hat sich zu einem professionellen `Wirtschaftszweig´ entwickelt, mit dem sich viel Geld verdienen lässt. Hacker werden immer professioneller, sowohl hinsichtlich ihrer Organisationsstruktur als auch der Qualität der Angriffe. Sie sind international vernetzt, hochgradig spezialisiert und stark arbeitsteilig: Muttersprachler übersetzen finanzielle Forderungen in verschiedene Sprachen, IT-Experten verschlüsseln die Computer, andere wiederum erschleichen sich in sozialen Medien wie Facebook, Xing und Co das Vertrauen ihrer Opfer", so der Cyberversicherung-Experte. Hinzu kommt: Neben bereits bekannten Computerviren und Betrugsmaschen gebe es immer wieder neue Viren und Trojaner, die IT-Lücken für Cyberangriffe nutzen. Selbst vorhandene Sicherheitsmaßnahmen könnten oftmals nur reaktiv angewendet werden.

"Phising, Trojaner, Spam – alles schon einmal gehört. Oft fehlt jedoch das Verständnis, wie die Schadprogramme funktionieren und Hacker vorgehen", sagte Naser. Die Gefahr werde durchaus wahrgenommen. Viele Firmen würden aber ihr eigenes Risiko unterschätzen. Auch weil die Presse primär über spektakuläre Cyberattacken auf große, namhafte Unternehmen berichte. Die dort genannten Schadenszenarien würden dann für das eigene Unternehmen als unrealistisch eingestuft.

"Cyberkriminelle greifen nur selten einzelne Unternehmen gezielt an. Vielmehr trifft es allgemein Unternehmen mit geringen IT-Sicherheitsvorkehrungen. Ein großes Einfallstor sind E-Mails", erläuterte Naser. Cyberkriminelle nutzen aus, dass nur allzu oft E-Mails samt Anhängen – eine wichtige digitale Schnittstelle zu Kunden und Lieferanten – gedankenlos geöffnet werden. Mit ihrer Schadsoftware legen sie nicht nur die IT-Systeme, sondern ganze Betriebe lahm.

"Grundsätzlich gilt: Verifizieren Sie Ihre Daten niemals über einen Link. Rufen Sie die Websites beispielsweise für Online Banking oder Finanzdienstleistungen jedes Mal direkt auf. Auf diese Weise verhindern Sie, auf einer gefälschten Seite zu landen," erklärte der IT-Sicherheitsexperte. Selbst für technische Laien wäre es ein leichtes, Schadsoftware in Umlauf zu bringen. "Im Darknet werden Viren-Baukästen verkauft, die leicht zu handhaben sind und die Entwicklung individueller Schadsoftware ermöglichen. Unter Rent-a-hacker bieten Hacker sogar ihre Dienste an", sagte Naser.

Doch nun die gute Nachricht: Mit Präventionsmaßnahmen wie einer guten Firewall, Antiviren-Programmen, regelmäßigen Updates, komplexen Passwörtern, der Trennung von Administrator- und Userrechten und Datensicherung sei schon viel getan, so Naser. Regelmäßige Updates der verwendeten Programme helfen Sicherheitslücken auszuschließen. Denn Virenscanner reagieren nur auf bereits bekannte Viren. Auch ein aktuelles Betriebssystem und ein verantwortungsvoller Umgang mit dem Internet seien wichtig. Elementar für den Schutz der Daten sind zudem Passwörter mit mindestens acht, besser noch zehn bis fünfzehn Zeichen. Außerdem sollten sie Groß- und Kleinbuchstaben sowie Ziffer und Sonderzeichen (z.B. #,$) enthalten. Und am besten für jede Anwendung ein eigenes Passwort verwenden. Regelmäßige Backups schützen vor unwiderruflichem Verlust der Daten. Eine einhundertprozentige Sicherheit gebe es jedoch nicht. "Restrisiken bleiben. Doch sind Sie besser abgesichert, als die Mehrheit, sind Sie schon gut geschützt!", resümierte Naser.

Was aber tun, wenn ein Cyberangriff erfolgreich war? Für diesen Fall gab der Experte anhand eines konkreten Schadenbeispiels praktische Tipps: Bei einem Architekturbüro hatte sich – zunächst unbemerkt – auf den Firmencomputern eine Schadgutsoftware installiert. Eine oberflächliche Bereinigung half nicht. Die Festplatten mussten ausgetauscht und eine neue Firewall installiert werden. "Scheuen Sie keine Mühen und Kosten und ziehen Sie frühzeitig Experten zu Rate", sagte Naser. Denn die Kosten durch Arbeitsausfall und Schäden Dritter seien um ein vielfaches größer. "Gerade BIM sorgt mit der steigenden Vernetzung für ein erhöhtes Cyberrisiko", untermauerte er das Eingangsstatement von Kammerpräsident Gerold Reker.

Im Anschluss an den lebhaften Vortrag gab es eine intensive Fragerunde. Die Besucher wollten unter anderem wissen, wie hoch die Aufdeckungsrate bei Cyberkriminalität sei, was es bei mobilen Endgeräten zu beachten gelte und ob die Nutzung von "Teamviewer" aus Sicht der IT-Sicherheit Gefahren berge. Im Schlusswort appellierte Präsident Reker an den Berufsstand, sich dem ungemein wichtigen, bisweilen unliebsamen Thema "Cyberrisiken" anzunehmen und sensibel hierfür zu sein: "Gerade in Zeiten fortschreitender Digitalisierung und BIM wird die IT-Sicherheit immer wichtiger für unsere Mitglieder."