Cybersicherheit im Baugewerbe

3 wichtige Cybersicherheitsmaßnahmen für Bauunternehmen

Der Schutz von Projektdaten vor Cyberkriminalität ist heutzutage nicht einfach, da diese Bedrohungen sich ständig weiterentwickeln. Die folgenden drei grundlegenden Schritte sollten Bauunternehmen jedoch auf den richtigen Weg bringen:
Share on facebook
Share on linkedin
Share on twitter
Share on email

Illustration von Dalbert Vilarino

Cybersicherheit wird zu einem immer wichtigeren Thema in der Baubranche.

Mit der zunehmenden Vernetzung der Welt durch mobile Technologien und vernetzte Cloud-Computing-Systeme sind Unternehmen aller Branchen gezwungen, ihre Sicherheitsmaßnahmen zu verschärfen, um die Daten ihrer Kund:innen und andere vertrauliche Unternehmensinformationen zu schützen.

Das Baugewerbe bildet dabei keine Ausnahme. In der Branche werden vermehrt neue Technologien eingesetzt, von der Datenanalyse über künstliche Intelligenz bis hin zu Werkzeugen, die zur kontinuierlichen Digitalisierung in der Industrie beitragen. Das Baugewerbe wird so zunehmend anfällig für Risiken und Bedrohungen, die mit der Arbeit in einem stärker digitalisierten Ökosystem einhergehen.

Bauunternehmen müssen wachsam bleiben und stets die neuesten Sicherheitsmaßnahmen einsetzen, um den immer häufiger auftretenden Cyberangriffen entgegensteuern zu können. Dieser Artikel zeigt einige von Branchenexpert:innen empfohlene Strategien und Taktiken.

Verpflichten Sie Ihre Mitarbeiter:innen zur Nutzung von SSO

Beim Thema Cybersicherheit ist kein Unternehmen auf sich allein gestellt. Die Branche für den Bereich Cybersicherheit wächst, und so gibt es auch mehr Unternehmen, die sich auf Maßnahmen spezialisiert haben, die andere Unternehmen bei der Sicherung ihrer Betriebsabläufe unterstützen.

Bauunternehmen brauchen also keine Scheu davor zu haben, mit einem Drittanbieter an ihrer Cybersicherheit zu arbeiten. Zudem sollten sie interne Führungskräfte und Teams einstellen, um die Maßnahmen zu beaufsichtigen.

Die Cybersicherheit ist im Baugewerbe noch angreifbarer, da neben dem:der Generalunternehmer:in eine Vielzahl von Subunternehmer:innen an einem Projekt arbeitet. Im Rahmen eines größeren Bauprojekts gibt es möglicherweise Hunderte von Subunternehmer:innen, die mit der Technologie und den Daten in Kontakt kommen. Deshalb sind diese Projekte anfälliger für potenzielle Cybersicherheitsangriffe.

L. Russell Dalton, Associate Vice President, Digital Practice and Technology Building Information Modeling (BIM) für den Unternehmer AECOM, leitet die internen Projekte des Bauunternehmens. Das Unternehmen „arbeitet bei unseren Projekten mit einer Vielzahl von Subunternehmer:innen und Handelsunternehmer:innen in den gesamten USA zusammen. Sicherheit ist hier von allergrößter Bedeutung“, erklärte er.

Zudem verwendet AECOM für die Anmeldung Single Sign-on (SSO) über ein virtuelles privates Netzwerk (VPN), um sich vor Cyberbedrohungen zu schützen. Darüber hinaus sind alle Mitarbeiter:innen des Unternehmen verpflichtet, SSO auf allen von ihnen verwendeten Technologien zu aktivieren. 

„Wir haben SSO firmenintern verpflichtend eingeführt, damit nicht für alles eine eigene Anmeldung benötigt wird“, so Dalton. „Wir verwenden ein VPN für Single Sign-on und kombinieren damit unsere Zugriffsberechtigungen. Um das US-amerikanische Defense Federal Acquisition Regulation Supplement (DFARS) für unsere Verträge auf Bundesebene einzuhalten, verwenden wir außerdem eine sichere VDI-Domäne (Virtual Desktop Environment).“

Laut Dalton stieg die Relevanz der DFARS-Anforderungen im November 2020 für bestimmte Bereiche in den staatlichen Verträgen des Unternehmens mit den Behörden, in denen letztere Zugang zu geschützten Informationen haben. „Wir betreiben eine sichere Service-Domain in einer VDI-Umgebung, bei der sich jegliche Daten auf veschlüsselten PCs hinter der Firewall befinden. Im Grunde handelt es sich um eine kontrollierte Hochsicherheitszone [Sensitive Compartmented Information Facility, SCIF] in einem virtuellen Umfeld.“

Neben der Verwendung von SSO und einem VPN empfiehlt Dalton Bauunternehmen dringend, alle Daten hinter einer Firewall zu speichern oder eine sichere Cloud-Lösung zu verwenden.

Nutzen Sie Anbieter mit einer SOC 2-konformen Verschlüsselung

Laut Dalton sollten sich Bauunternehmen bei der Arbeit an Projekten mit einem hohen Sicherheitsrisiko in einem SOC 2-konformen, verschlüsselten Umfeld bewegen. Technologien sollten demnach mit Bedacht ausgewählt werden. „Um SOC 2-Konformität zu erreichen, muss man zuerst ein Jahr lang ein cloudbasiertes Systems oder ein FTP-Touch-System anbieten“, so Dalton. 

Unabhängig vom Standort des Datenspeichers müssen Technologieanbieter jahrelange Erfahrung und eine Erfolgsbilanz nachweisen können, bevor sie die SOC 2-Konformität beantragen können.

Wenn Bauunternehmen im Rahmen von behördlichen Verträgen unter einer DFARS-Anforderung arbeiten, empfiehlt Dalton ihnen einen Besuch beim Bundesrisikoregister, dem FedRAMP Marketplace, eine offizielle Website der US-Regierung. Hier können sie überprüfen, ob der Anbieter diese Norm erfüllt. Auf der Website finden Unternehmen laut Dalton eine vollständige Auflistung aller gängigen Datenumgebungsanwendungen und Anbieter, die über eine FedRAMP-Autorisierung verfügen, sowie eine Liste der Anbieter, die sich momentan im Autorisierungsprozess befinden.

Der Cloud-Computing-Anbieter Amazon Web Services beispielsweise verfügt über 420 von FedRAMP autorisierte Berechtigungen. „Wenn wir an einem Projekt arbeiten und die Kundschaft ein bestimmtes Produkt verwenden möchte und es sich um eine FedRAMP-Anforderung handelt, müssen wir uns diesen Ort anschauen und sicherstellen, dass das auch stimmt“, erläuterte Dalton.

Schulen Sie Ihre Mitarbeiter:innen

Laut Michael Bonelli, Projektarchitekt bei Michael Pagnotta Architecture & Construction, ist die wichtigste Aufgabe beim Thema Cybersicherheit in der Baubranche die Schulung der Mitarbeiter:innen, damit sie die Art der Bedrohungen und die von Hackern häufig verwendeten Taktiken kennen. 

Mitarbeiter:innen sollten:

  • Auf seltsame E-Mails mit ungewöhnlichen Anhängen von unbekannten Absendern achten
  • E-Mail-Anhänge vor dem Öffnen immer mit einem Virenscanner überprüfen
  • Computer und andere Technologien auf dem neuesten Stand halten und stets das neueste Betriebssystem verwenden

Wie Dalton riet auch Bonelli den Bauunternehmen, „eine Firewall in ihrem Netzwerk zu installieren und alle ungewöhnlichen Aktivitäten nachzuverfolgen, die versuchen, den installierten Schutz zu umgehen. Überprüfen Sie die Liste der mit Ihrem Netzwerk verbundenen IPs und achten Sie auf ungewöhnliche Muster“, erklärte er.  

Zudem sollten Bauunternehmen laut Bonelli über mehrere Back-up-Quellen verfügen, um im Falle eines Dateiverlustes die Dateien effizient wiederherzustellen und den Geschäftsbetrieb aufrechtzuerhalten. Dazu gehören Back-ups in der Cloud sowie Back-ups auf physischen Festplatten vor Ort.

Im Zuge der stärkeren Integration von Technologie in der Baubranche und der Bevorzugung hybrider Arbeitsmodelle und Fernarbeit nach der Pandemie ist es von entscheidender Bedeutung, dass Bauunternehmen ihre Cybersicherheitslage gut im Auge behalten und ihre Daten und Betriebsabläufe sichern. Diese Tipps sind ein guter Ausgangspunkt, aber denken Sie daran, dass sich die Branche gemeinsam mit der Technologie weiterentwickelt. Das bedeutet, dass die Methoden der Hacker, die sich Zugriff zu vertraulichen Unternehmensdaten verschaffen und diese stehlen möchten, sich ebenfalls weiterentwickeln.

Um angemessene Cybersicherheitsmaßnahmen zu gewährleisten, reicht es nicht, sich nur einmal mit der Materie auseinanderzusetzen. Die Maßnahmen müssen ständig überprüft und auf den neuesten Stand gebracht werden.  

Sind hybride Arbeitsplatzmodelle auch für das Baugewerbe geeignet?