Cybersecurity in der Baubranche

Unternehmens Lammel Bau, sowie mit Matthias Börsig, Spezialist für

IT- und IoT-Sicherheit am FZI Forschungszentrum Informatik in Karlsruhe.

Baugewerbe:

Herr Börsig, wie ernst nehmen die Unternehmen, vor allem kleine und mittelständische Unternehmen, das Thema Cybersicherheit?

Matthias Börsig:

Es ist ein Umdenken zu beobachten. Am Anfang unseres Forschungsprojekts waren die beteiligten Unternehmen sehr überrascht, dass sie gehackt werden können. Inzwischen ist man sich dieser Gefahr sehr viel bewusster, auch weil mehr darüber geredet wird. Dennoch müssen wir uns die Frage stellen: Warum wird im Bereich Netzwerksicherheit bisher noch so wenig getan? Ich glaube, es liegt hauptsächlich daran, dass IT-Sicherheit erstmal vor allem viel Geld kostet und keinen direkten Mehrwert bringt. Dazu gehört auch, dass man Mitarbeiter schulen muss, die dafür vom Dienst freigestellt werden müssen. Und es gibt darüber hinaus zu wenige Experten, die solche Schulungen anbieten.

BGW:

Frau Lammel, beschäftigen sich die Unternehmen ausreichend mit der Sicherung ihrer Arbeitsdaten?

Laura Lammel:

Ich stimme Herrn Börsig zu. An erster Stelle muss die Schulung der Mitarbeiter stehen, weil über den richtigen Umgang, zum Beispiel mit Phishing-E-Mails, viel verhindert werden kann. Hier müssen wir auch die Lieferketten im Blick behalten und von oben nach unten, also von den größeren Unternehmen zu den kleinen, das Bewusstsein für das Thema Cybersecurity schärfen. Seitens der Bauinnung, wo ich sehr aktiv bin, bieten wir immer wieder Schulungen und Fortbildungen an. Trotz dieser Aufklärung wird das Thema immer noch nicht ernst genug genommen.

BGW:

Können Sie jenseits Ihrer Forschungstätigkeit am FZI auch ganz konkrete Hinweise und Hilfestellungen geben?

Börsig:

Ja, durchaus. Ein Beispiel ist das vom Land Baden-Württemberg geförderte Projekt Cyberwehr, das als Anlaufstelle gedacht ist, Unternehmen zu helfen, die gehackt wurden. Zum Beispiel dabei, jemanden zu finden, der tiefer in die Systeme "eintaucht", um dadurch den Angriffsweg zu ermitteln: Hat ein Mitarbeiter auf eine Mail geklickt oder war ein bestimmter Dienst veraltet bzw. Daten nicht richtig gesichert? Das ist vor allem für große Unternehmen sinnvoll. In einem kleinen Handwerksbetrieb mit zwei, drei Rechnern brauche ich nicht mit digitaler Forensik starten. In diesen Fällen ist vielleicht auch der PC-Doktor "um die Ecke" passend. Als Forschungseinrichtung haben wir sehr viele Direktbeauftragungen. Beispielsweise kommt ein Hersteller auf uns zu, der ein vernetztes Produkt entwickelt hat und nun wissen möchte, ob die getroffenen sicherheitstechnischen Vorkehrungen ausreichend sind. Hier können wir einen klassischen Pentest machen. Das heißt, mit den Mitteln, die ein Hacker zur Verfügung hat, versuchen wir, das System anzugreifen und die Schwachstellen zu finden.

BGW:

Frau Lammel, Sie führen seit vielen Jahren ein erfolgreiches Bauunternehmen. Welche Strategien verfolgen Sie zum Schutz Ihrer Daten, nachdem Sie selbst Opfer eines Cyberangriffs wurden?

Lammel:

Meine Mitarbeiter werden in regelmäßigen Abständen geschult. Insbesondere zum Thema E-Mail. Das ist nach wie vor das erste Einfallstor und die Tarnung wird immer besser. Ein weiteres Thema ist, mit unserer IT regelmäßige Updates durchzuführen. Hier haben wir aus dem Angriff gelernt. Denn seinerzeit hatten wir auf ein anstehendes Update einfach nicht schnell genug reagiert. Hier lohnt es sich auch zu bestimmten Produktherstellern zu wechseln, die zum Beispiel automatische Updates anbieten. Eine dritte Maßnahme ist, dass wir viele Daten noch direkt bei uns auf dem Server verwalten und dort auch lassen, solange wir nicht sicherstellen können, dass die Cloud- Lösungen auf Serveranlagen in Europa, wenn nicht sogar in Deutschland, zurückgreifen.

BGW:

Ist das eine Strategie, die gerade kleine und mittelständische Unternehmen verfolgen sollten?

Börsig:

Ja, auf jeden Fall ist das ein guter Start! Wie Frau Lammel sagte, sind die zwei größten Einfallstore wirklich veraltete oder schlecht gesicherte Systeme und die Mitarbeiter, die auf bösartige, manipulierte Mails klicken. Insbesondere bei größeren Unternehmen lohnt es sich, einen Experten für die IT-Sicherheit einzustellen, der sich darum kümmert, dass stets alle Updates der Systeme durchgeführt werden.

BGW:

Und wie sicher ist die Daten-Auslagerung oder die Nutzung von Cloud-Lösungen?

Börsig:

Zunächst einmal gebe ich damit die Verantwortung ab, mich um die Updates zu kümmern zu müssen. Ich habe aber das damit verbundene Risiko, die Hoheit über meine Daten zu verlieren. Meine Daten liegen dann auf einem Server, auf den ich unter Umständen keinen Zugriff mehr habe. Das heißt, ich muss dem jeweiligen Anbieter wirklich vertrauen, dass er mit meinen Daten sorgsam umgeht. Was die Sicherheit meiner Daten angeht, würde ich schon sagen, dass diese gegeben ist – weil sich wirklich ein Expertenteam darum kümmert. Allerdings muss man darauf hinweisen, dass solche Cloud-Dienste als Ziele für Angreifer sehr attraktiv sind, was die Menge und Tiefe der Daten auf den Servern angeht. Das sollte man abwägen.

BGW:

Cyberkriminelle verfolgen meist das Ziel, Geld von ihren Opfern zu erpressen. Sehen Sie darüber hinaus noch weitere Motive, die dahinterstecken?

Börsig:

Eigentlich geht es immer um Geld. Wir haben inzwischen einen groben Einblick, wie die Täter vorgehen, und haben festgestellt, dass sie teilweise wie normale Betriebe organisiert sind: Es gibt eine Entwicklungsabteilung, die Viren programmiert, eine andere Abteilung erstellt Phishing-Mails. Wenn jemand erfolgreich infiziert wurde, folgt die nächste Abteilung, die Trojaner einschleust und die Daten im Netzwerk des Geschädigten verschlüsselt. Daraufhin folgt meist der Kontakt durch eine Art "Support-Abteilung", die eine auf das Unternehmen zugeschnittene Lösegeldforderung stellt, um die IT wieder neu aufzusetzen. Dahinter stecken kriminelle, effiziente Strukturen!

BGW:

Gibt es denn eine Art Checkliste, die Sie uns an die Hand geben können, um zu prüfen, ob ein Unternehmen bereits gut abgesichert ist?

Börsig:

Nein. Das ist das große Problem: Es ist nicht wie beim TÜV fürs Auto, wo man einfach eine Checkliste abhakt. Es sind immer individuelle Prozesse. Am ehesten ist hierbei das Information Security Management (ISMS) hilfreich. Und haben Sie vielleicht schon vom IT-Grundschutzkatalog des BSI oder der ISO 27001 oder gehört? Diese richtet sich allerdings vorrangig an größere Unternehmen und ist auch mit einer entsprechenden Zertifizierung verbunden. Für eine erste Übersicht kann aber auch die DIN SPEC 27076 helfen. Hierin werden Fragen aufgeworfen, wie: Gibt es einen Datenschutzbeauftragten? Oder: An wen kann ich mich wenden, wenn jemand auf meiner Webseite eine Sicherheitslücke findet? Die darin publizierte Liste kann man durchgehen und nach einem Punktesystem einordnen, wo man ungefähr steht bei der Sicherheit im eigenen Unternehmen.

BGW:

Welchen Rat geben Sie unseren Lesern und Leserinnen abschließend, damit sie in einer zunehmend digitalen Arbeitswelt weiterhin sicher unterwegs sind?

Lammel:

Erstens: Ich kann den Newsletter vom BSI nur wärmstens empfehlen. Und zweitens: Die Kollegen schulen, schulen, schulen!

Börsig:

Es ist notwendig, ein Bewusstsein für Cybersicherheit zu schaffen – zuerst bei sich selbst und dann bei den Mitarbeitern und über Schu

lungen. Ich kann darüber hinaus die Transferstelle Cybersicherheit empfehlen. Dort gibt es wertvolle Informationen zur Vorbeugung von Attacken und wo ich bei einem Hack wertvolle Hilfe bekomme.

