Recht und Vertrag: Warum die Digitalisierung zu erhöhten Cybersicherheitsrisiken führt

Diese technologischen Fortschritte haben zwar den Bauprozess rationalisiert, aber sie haben auch zu höheren Cybersicherheitsrisiken geführt. Diese werden noch verstärkt durch die hohen Cashflows und hohen Zahlungsbeträge innerhalb der Branche sowie die Tatsache, dass es sich bei vielen Projekten um kritische nationale Infrastrukturen handelt – sei es im Vereinigten Königreich oder in der gesamten Europäischen Union.

Aufgrund dieser Faktoren gelten Bauunternehmen für Cyberkriminelle leider als bevorzugte Angriffsziele.

Im Zuge der zunehmenden Digitalisierung in der Baubranche ist die Menge an Daten und vertraulichen Informationen, die innerhalb von Unternehmen elektronisch erfasst und weitergegeben werden, erheblich gestiegen – seien es beispielsweise geschützte Entwürfe oder Personalakten.

Daher können die Folgen eines Cyberangriffs für Bauunternehmen besonders schwerwiegend sein und möglicherweise erhebliche finanzielle Verluste sowie Compliance- oder sogar Sicherheitsrisiken nach sich ziehen.

Zu den Auswirkungen von Cyberangriffen zählen auch Reputationsschäden: Datenschutzverletzungen führen häufig zum Verlust des Kundenvertrauens und der Markentreue.

Dies kann langfristige Auswirkungen auf das Geschäftsergebnis eines Unternehmens haben und unterstreicht letztlich die wachsende Bedeutung einer soliden Cyber-Bereitschaft und -Sicherheit für Bauunternehmen, die an wichtigen Infrastrukturprojekten arbeiten.

Wachsende Angst vor Cyberangriffen im Baugewerbe

Ein Beispiel für einen häufigen Cyberangriff auf Bauunternehmen ist Ransomware. Dabei wird ein Computersystem als Geisel genommen und ein Angreifer verlangt eine Zahlung, um dem Besitzer den Zugriff wiederherzustellen.

Zu den jüngsten Beispielen für Ransomware-Angriffe auf Unternehmen der britischen Baubranche zählen:

Hacker nutzten eine Schwachstelle auf der Website eines Bauunternehmens aus, um auf das Netzwerk des Unternehmens zuzugreifen und einen Ransomware-Angriff durchzuführen. Infolgedessen wurden die Dateien des Unternehmens verschlüsselt und die Angreifer forderten eine Zahlung, um den Zugriff wiederherzustellen.

Ein Infrastrukturmanagementunternehmen wurde Opfer eines Cyberangriffs einer Ransomware-Gruppe. Die Gruppe gab einige ihrer Verträge, vertraulichen Partnerschaftsvereinbarungen, Finanzdokumente und Geheimhaltungsvereinbarungen preis.

Auch betrügerische elektronische Überweisungen, bei denen große Geldbeträge von einem Konto abgebucht werden, kommen immer häufiger vor.

Europäische Gesetze wie die NIS2-Richtlinie und der Cyber Resilience Act bilden derzeit die Grundlage für den Schutz kritischer Organisationen und Infrastrukturen in der EU vor Cyberbedrohungen (Foto: AdobeStock)

Dies liegt häufig an der Fähigkeit von Cyberkriminellen, Einzelpersonen zur Preisgabe vertraulicher Informationen zu manipulieren. Zu diesen Taktiken gehören beispielsweise das Versenden von Phishing-E-Mails, in denen sie sich als Lieferanten ausgeben und Bauunternehmen auffordern, ihre Aufzeichnungen über die Bankdaten des Lieferanten für zukünftige Zahlungen zu aktualisieren.

Europäische Gesetze wie die NIS2-Richtlinie und der Cyber Resilience Act bilden derzeit die Grundlage für den Schutz kritischer Organisationen und Infrastrukturen in der EU vor Cyberbedrohungen und zielen darauf ab, in der gesamten EU ein hohes Maß an gemeinsamer Sicherheit zu erreichen.

Um auf Cyberrisiken zu reagieren, verschärfen Großbritannien und die EU jedoch die regulatorischen Anforderungen und Verpflichtungen zur Cybersicherheit für Betreiber und ihre Lieferkette. Die Regulierungsbehörden prüfen, welche Bereiche der Infrastruktur zusätzlichen Cybersicherheitsschutz benötigen.

Das britische Parlament hat sich kürzlich einer Untersuchung zur Cyberresilienz kritischer nationaler Infrastrukturen unterzogen. Dabei wurde die Rolle der Regierung bei der Festlegung von Standards und Vorschriften zur Cybervorsorge untersucht, nachdem das National Cyber Security Centre (NCSC) vor kurzem gewarnt hatte, dass mit Russland verbündete Gruppen die Absicht hätten, die britische Infrastruktur zu stören.

Die Untersuchung bezieht sich teilweise auf die Energieinfrastruktur. Die Regierung hofft, dadurch ein besseres Verständnis ihrer Rolle bei der Festlegung von Standards und Vorschriften zur Cyber-Resilienz und -Vorsorge zu gewinnen.

Verbesserung der Cybersicherheit vor Ort

Auf einer Baustelle lassen sich Cyberrisiken nur schwer kontrollieren. Subunternehmer und Zeitarbeitskräfte erhöhen das bereits bestehende Risiko durch die technologischen Fähigkeiten von Cyberkriminellen zusätzlich.

Auftragnehmer sollten daher ihre Vertrauensnetzwerke überprüfen und eine Risikobewertung ihrer Anfälligkeit für Cyber-Schwachstellen durchführen. Dabei sollte auch geprüft werden, was sie vor Ort zusätzlich tun können, um sich besser zu schützen, und wo dieser Schutz am dringendsten benötigt wird.

Hierzu gehört beispielsweise, dass jedes Glied in der Baukette unter die Lupe genommen wird und dass von den Subunternehmern verlangt wird, dass sie in ihren Ausschreibungen solide Cybersicherheitspraktiken nachweisen.

In Großbritannien haben sich das NCSC und das Chartered Institute of Building (CIOB) vor Kurzem zusammengeschlossen, um praktische Leitlinien zur Unterstützung von Unternehmen – darunter auch KMU – im Baugewerbe zu erstellen, die als Leitfaden für die Umsetzung von Cybersicherheitsmaßnahmen verwendet werden können.

Diese Leitlinien enthalten Ratschläge zur Zusammenarbeit mit Lieferanten und Partnern, um sicherzustellen, dass vertrauliche Informationen, die zwischen an einem Projekt beteiligten Parteien ausgetauscht werden, geschützt sind. Außerdem sollen Lieferanten ermutigt werden, sich für die Cyber Essentials-Zertifizierung zu qualifizieren. Dabei handelt es sich um ein staatlich gefördertes Programm, das Organisationen hilft, sich vor gängigen Cyberangriffen zu schützen. Das NCSC hat außerdem ein E-Learning-Paket mit dem Titel „Top-Tipps für Mitarbeiter“ entwickelt, das online absolviert werden kann, um Mitarbeiter über Cybersicherheit zu informieren.

Unternehmen, die im Baugewerbe tätig sind, werden außerdem aufgefordert, besonders darauf zu achten, wie künstliche Intelligenz (KI) mit der Cybersicherheit interagiert. Da immer mehr Unternehmen, auch in der Baubranche, untersuchen, wie KI ihren Unternehmen helfen kann, werden Cybersicherheitsrisiken weiterhin ein wichtiger Aspekt bleiben und sollten auch 2024 und darüber hinaus genau beobachtet werden.