Nemetschek zeigt, wie Cybersecurity systematisch umgesetzt werden kann: Ransomware, Schadsoftware, die Daten verschlüsselt und Lösegeld fordert, hat längst die Bauindustrie erreicht. Am 17. März 2023 legte der Angriff von Black Basta auf die Baugruppe Matthäi IT-Systeme lahm, nachdem neun Monate zuvor bereits Knauf betroffen war. Auch wenn beide Unternehmen das Lösegeld verweigerten, hinterließen die Angriffe Spuren: operativ, finanziell und reputativ. "IT-Sicherheit ist längst nicht mehr nur Sache der IT – sie ist auch eine Frage der Unternehmenskultur", betont Thomas Stocker, CISO bei Nemetschek Group.

Die Digitalisierung beschleunigt diese Risiken. Drohnen, IoT-Sensoren und Building Information Modeling (BIM) verbessern Projektsteuerung, schaffen aber zugleich Angriffsflächen, wenn Sicherheitsarchitekturen hinterherhinken. Häufig fehlen zentrale Richtlinien für Identity Management oder Incident Reporting, Netzwerke sind historisch gewachsen, Zugriffsrechte uneinheitlich, Software-Updates manuell. Fragmentierte Tools und ungesicherte cloudbasierte Plattformen erhöhen die Gefahr, dass kompromittierte Partner die IT-Integrität ganzer Projekte gefährden.

Die Cloud kann Sicherheit stärken, sofern sie strategisch mit Berechtigungskonzepten, Protokollierung und klaren Zuständigkeiten eingesetzt wird. Fehlende Awareness bleibt jedoch ein Hauptrisikofaktor: Phishing, Social Engineering und KI-generierte Deepfakes nutzen menschliche Schwachstellen aus. Mittelständische Bauunternehmen delegieren IT-Sicherheit oft allein an die IT, wodurch Schulungen, Notfallprozeduren und klare Reporting-Strukturen fehlen.

Dabei ist IT-Sicherheit schon längst ein Wettbewerbsfaktor: Ausschreibungen verlangen ISO- 27001-Zertifikate oder dokumentierte Schutzmaßnahmen. Regulatorisch verschärft NIS2 die Anforderungen, der Cyber Resilience Act verpflichtet Hersteller ab 2027 zur Einhaltung von Sicherheitsstandards.

Nemetschek zeigt, wie Cybersecurity Bestandteil der Unternehmensführung wird: ISO-27001-zertifiziertes Cloud-Ökosystem, Zero-Trust-Ansatz, rollenbasierte Zugriffe, automatisierte Anomalieerkennung und dedizierte Security-Teams bilden das Rückgrat. Stocker betont: "Wer Cybersicherheit ganzheitlich denkt, kann Risiken nicht nur minimieren – sondern digitale Zukunft aktiv und sicher gestalten."

Dieser Artikel erschien zuerst in der Januar/Februar-Ausgabe 2026 des Baugwerbe Magazins.