BIM Resilienz & Cyber Security

An BIM führt in der Baubranche bald kein Weg mehr vorbei. Doch rund um BIM und Digitalisierung ist kaum von digitalen Bedrohungen die Rede!

Ob Immobilienbesitzer, Architekt, Baumeister, Fachplaner oder Handwerksbetrieb: Die Digitalisierung hat als eine der letzten auch die Baubranche erreicht. Digitalisierung und Building Information Modeling heissen die Schlüsselbegriffe. Wer sein Unternehmen für die Zukunft rüsten will, muss sich mit BIM auseinandersetzen. Ansonsten ist man bei zukünftigen Bauprojekten nur noch Zuschauer: Immer öfter wird in der Ausführung BIM verlangt, zunehmend werden Projekte sogar digital ausgeschrieben. War BIM anfangs vor allem ein erweitertes 3D-Planungstool, findet es heute immer mehr auch auf der Baustelle selbst integrierte Anwendung und reicht bald bis in den Betrieb und die Bewirtschaftung des Gebäudes: Ausführende können Pläne und Infos aus einer Cloud beziehen, wo alle Beteiligten am selben Datenmodell, beziehungsweise am «digitalen Zwilling» des Projekts arbeiten. Facility Manager nutzen später dieselben Daten, um die Gebäudetechnik zu steuern und den Unterhalt zu planen. Und genau in diesem gemeinsamen Zugriff liegt das Problem.

 

 

Sicherheitsvorkehrungen treffen

«An Diskussionen oder BIM-Kongressen zum Beispiel wird viel vom Common Data Environment gesprochen, von App- und Datenbank-Clouds, auf die alle von überall aus Zugriff haben. Aber niemand fragt nach der Integrität, Datensicherheit und dem Datenschutz der Daten. Oder was passiert, wenn diese BIM-Cloud mehrere Tage ausfällt.» Man begnüge sich meist mit der meist naiven Annahme, dass der Software-Entwickler und/oder Anbieter, beziehungsweise Betreiber der Cloud die nötigen Sicherheitsvorkehrungen gemäss «Stand der Technik» getroffen hat. Tatsächlich aber schaffen solche Cloud-Lösungen ebenso umfassende Einfallstore für Akteure von CyberCrime.

 

Trojaner legen alles lahm

Ein Präzedenzfall für die Branche ereignete sich im Juli letzten Jahres: Die IT-Infrastruktur des Gebäudetechnikspezialisten Meier Tobler wurde durch einen Cyberangriff lahmgelegt. Das Fachmagazin «inside IT» führt die Details auf: Blockiert waren SAP-System, Lagerleitsystem, Telefonie, Website und alle E-Mailadressen: Ein eingeschleppter Trojaner hatte das gesamte System verschlüsselt, keiner der weltweit 1400 Mitarbeitenden hatte mehr Zugriff. Eingeschleppt wurde die Schadsoftware über die Hotelbuchung eines Mitarbeitenden, über welche die Hacker ins System des Unternehmens gelangten. Das Unternehmen konnte eine Woche lang keine Auslieferungen vornehmen, der unmittelbare Schaden belief sich auf fünf Millionen Franken. Nicht zu beziffern sind der Ärger der Kunden, der Stress für die Mitarbeitenden und der Imageschaden fürs Unternehmen, das aus seiner Not eine Tugend gemacht hat und offen über den Vorfall kommunizierte. So hat es vor wenigen Tagen bekannt gegeben, dass der Vorfall einen zusätzlichen Umsatzverlust in ähnlicher Grössenordnung verursacht habe, unter zwar im Wärmeerzeugungsgeschäft aufgrund der mangelnden Verfügbarkeit der Informatiksysteme.

 

Schwachstelle Mitarbeiter

Noch schlimmer traf es die Swisswindows AG, die Ende Februar dieses Jahres ihre Insolvenz erklären musste. Bei der Begründung dieser Massnahme heisst es: «Eine massive Cyberattacke auf unsere Systeme führte im Mai 2019 zu einem herben Rückschlag für unser Unternehmen. Die Folge war ein Produktionsausfall von über einem Monat, begleitet von massiven Folgekosten. Dieser Vorfall und die zu diesem Zeitpunkt nur begrenzten finanziellen Mittel, reichten aus um das Unternehmen in arge Bedrängnis zu bringen.» Der Angriff auf Swisswindows wie derjenige auf Meyer Tobler erfolgte mit einem klassischen Verschlüsselungs-Trojaner und war auch ansonsten exemplarisch: Beide Male erfolgte der Zugriff aufs System nicht direkt, sondern über einen Mitarbeitenden der Firma. Die bedeutendste Schwachstelle im Bereich der IT-Sicherheit ist und bleibt der Mensch. Bei unglaublichen rund 95 Prozent aller Angriffe hilft der Anwender, sprich Mitarbeiter, aktiv unbewusst mit, dem Täter ein Erfolgserlebnis zu verschaffen. Meist ist es ein zu schneller unbedachter, reflexartiger Klick auf einen Link, einen potentiell gefährlichen Anhang oder aber auch ein zu schwaches Passwort ohne weitergehende Schutzmassnahmen, was fatale Folgen hat.

 

Wo muss gehandelt werden?

So müssen sich spätestens dann die Verantwortlichen diverse Fragen stellen wie: Wie lange können wir ohne E-mail arbeiten? Wie verhalten wir uns, wenn das Internet ausfällt? Was tun, wenn kein Zugang mehr auf die CAD-Umgebung oder sonstige auftragsrelevante Daten besteht? Wie lange und wie kann man solche Unterbrüche oder Einschränkungen überbrücken? Ab wann müssen Vertragspartner informiert werden, weil die Verbindlichkeiten im Werkvertrag kritisch werden? Mittels solcher Fragen lässt sich ermitteln, wo das Unternehmen schon resilient ist, also widerstandsfähig, und wo gehandelt werden muss. Zugleich lässt sich abschätzen, inwieweit die firmeneigene IT diese Fragen beantworten und abdecken kann. Die Verantwortlichen des Unternehmen können dann abschätzen, ob sie sich externe Unterstützung holen müssen oder aber das Thema intern angehen können.

 

Orientierung an «Best Practices»

Für die konkrete Umsetzung der Digitalisierung und der begleitenden IT-Security gibt es eine Reihe von «Best Practices», so auch von Bauen digital Schweiz, an denen man sich orientieren kann. Die Organisation soll schrittweise Erfahrungen sammeln, über möglichst viele messbaren «Use Cases» im Rahmen der Transformation und Innovation. So lässt sich die Digitalisierung schrittweise implementieren und die betroffenen Mitarbeitenden können Erfahrungen sammeln und werden Teil der Transformation. Die Digitalisierung und Transformation ist keine lineare Leiter, sondern viel mehr eine Kletterwand mit unterschiedlichen Pfaden zum Ziel zum höheren Level. Und bei diesem iterativen Prozess wird die IT-Sicherheit von selbst ein wichtiges Thema und integraler Bestandteil der gesamten Transformation und Entwicklung.

 

Sicherheit wird vernachlässigt

Während also BIM überall auf der Agenda steht, hat der Aspekt der Sicherheit und Widerstandskraft mittels Angriffs- und Betriebssicherheit noch nicht den gebührenden Stellenwert. Ich sehe, dass bei den Firmen ein Umdenken beginnt. Die Leute sind eher bereit, komplexe Texte zu lesen und ein paar Fachbegriffe im Internet nachzuschauen, um gewisse Themen besser zu verstehen. Die Notwendigkeit ist bei immer mehr Entscheidungsträgern angekommen. Das ist gut so, denn die Digitalisierung ist nicht aufzuhalten, und damit auch die mit ihr verbundenen Risiken und Chancen. Das Bauunternehmen, das sich digital ausrichtet, muss neben aller Expertise im eigenen Fachbereich auch die Bereiche Computersicherheit und Widerstandsfähigkeit der ganzen Organisation berücksichtigen, also Cyber Security und Resilienz. Das Implementieren der nötigen Massnahmen und Tools in diesem Bereich sollte so selbstverständlich sein wie der Helm auf der Baustelle.

 

 

IT-Experte Fridel Rickenbacher (46) ist Senior Consultant der Execure AG, Member of Swiss IT Security Group. Dank seiner langjährigen Erfahrungen berät und begleitet er Firmen sowohl bei der Digitalisierung und bei der Vorbeugung und Gegenmassnahmen von Cyber-Attacken im IT-Bereich, wie auch bei  «Incident Response» Aktivitäten. Ein weiterer Bereich seiner Arbeit ist die Beratung von Fachverbänden und Expertengruppen, unter anderem im Informatiksteuerungsorgan des Bundes «Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS1 und NCS2)». 

Autor: Fridel Rickenbacher

Artikel teilen