-
» Herausragend «
Die zunehmende Digitalisierung der Bauwirtschaft eröffnet erhebliche Effizienzgewinne, macht die Branche jedoch gleichzeitig zu einem lohnenden Ziel für Cyberangriffe. Digitale Planungs- und Managementsysteme wie Building Information Modeling (BIM), cloudbasierte Plattformen, mobile Anwendungen für die Baustellenkoordination und IoT-Geräte bieten zwar mehr Transparenz und Geschwindigkeit, schaffen jedoch neue Angriffsflächen. Die jüngsten Entwicklungen zeigen, dass Bauunternehmen diese Risiken nicht länger unterschätzen dürfen.
Die Bedrohungslage in der Bauwirtschaft ist alarmierend. Ransomware-Angriffe auf Unternehmen dieser Branche haben stark zugenommen; fast ein Viertel aller registrierten Fälle im Jahr 2023 richtete sich gegen Bauunternehmen. Auch konkrete Vorfälle in der Schweiz – etwa bei Meier Tobler oder Swisswindows – zeigen, dass Cyberattacken Unternehmen lahmlegen und sogar existenzbedrohend sein können. Hinzu kommen Gefahren durch Datendiebstahl und Wirtschaftsspionage. Baupläne enthalten oft hochsensible Informationen: Layouts sicherheitsrelevanter Infrastrukturen, Angaben zu Tresoranlagen oder vertrauliche Ausschreibungsunterlagen. Gelangen diese Daten in die falschen Hände, drohen erhebliche Gefahren für Sicherheit und Wettbewerb.
Zu den typischen Angriffsvektoren zählen klassische Malware und Phishing, insbesondere jedoch Ransomware und gezielte Sabotageakte. Angreifer könnten BIM-Modelle manipulieren, um Fehler in Baupläne einzuschleusen, oder IoT-Geräte auf Baustellen – Kameras, Sensoren, Maschinensteuerungen – ausnutzen, die oft unzureichend abgesichert sind. Ein kompromittiertes WLAN genügt häufig, um Zugang zu zentralen Unternehmenssystemen zu erhalten. Besonders kritisch sind Supply-Chain-Angriffe, bei denen Schwachstellen in eingesetzter Software ausgenutzt werden.
Die ökonomischen Folgen von Cybervorfällen im Bauwesen sind erheblich. Wird ein Projektmanagementsystem lahmgelegt, entstehen sofort Verzögerungen und Mehrkosten. Vertragsstrafen drohen, wenn Bauzeiten nicht eingehalten werden, während der Verlust von Plänen oder vertraulichen Angeboten zu Wettbewerbsnachteilen und Schadensersatzforderungen führen kann. Nicht zu unterschätzen sind Reputationsschäden: Unternehmen, die sicherheitsrelevante Bauwerke betreuen, riskieren nach einem Datenleck, keine Folgeaufträge mehr zu erhalten.
Rechtlich bestehen klare Pflichten. Nach dem schweizerischen Datenschutzgesetz müssen personenbezogene Daten angemessen geschützt werden, Verstöße können sanktioniert werden. Geschäftsgeheimnisse sind über das UWG geschützt, wozu auch Baupläne und Vertragsunterlagen zählen. Im Vertragsrecht können fehlende Sicherheitsmaßnahmen Haftungsansprüche auslösen, etwa wenn Bauherren wegen Verzögerungen oder manipulierten Plänen Schadensersatz verlangen. In Arbeitsgemeinschaften ist eine eindeutige vertragliche Festlegung erforderlich, wer für die IT-Sicherheit verantwortlich ist. Hinzu kommt die Managementverantwortung: Verwaltungsräte und Geschäftsleiter haben für eine angemessene Organisation zu sorgen, ansonsten droht Organhaftung.
Internationale Standards können als Orientierung dienen. Die Normenreihe ISO 19650 – insbesondere Teil 5 – legt Sicherheitsanforderungen für BIM fest und verlangt Risikobewertungen, Klassifizierung sensibler Daten und Sicherheitspläne. Das Cybersecurity Framework des US-NIST bietet ebenfalls einen praxisnahen Ansatz mit den fünf Kernfunktionen Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Für international tätige Unternehmen gewinnen diese Vorgaben zunehmend an Bedeutung, auch wenn sie rechtlich nicht zwingend vorgeschrieben sind.
Exemplarisch verdeutlicht ein Angriff auf die Marti-Gruppe im Jahr 2023 die Relevanz des Themas. Über eine Zero-Day-Schwachstelle in einer weit verbreiteten Software konnten Angreifer Daten stehlen und Systeme außer Betrieb setzen. Der Fall zeigte, dass selbst große und sicherheitsbewusste Unternehmen durch Supply-Chain-Angriffe getroffen werden können.
Neben technischen Lösungen kommt der organisatorischen Einbettung zentrale Bedeutung zu. IT-Sicherheit darf nicht allein an die IT-Abteilung delegiert werden, sondern muss Teil der Unternehmensführung sein. Jedes größere Bauprojekt sollte eine verantwortliche Person für IT-Sicherheit benennen. Regelmäßige Mitarbeiterschulungen sind unverzichtbar, da menschliches Fehlverhalten eine häufige Ursache von Sicherheitsvorfällen darstellt. Policies zum Passwortgebrauch, zur Softwareinstallation, zum Umgang mit externen Datenträgern und zu Bring-Your-Own-Device müssen verbindlich festgelegt werden. Incident-Response-Pläne sind ebenso erforderlich, um im Ernstfall schnell und strukturiert reagieren zu können – von der Isolierung betroffener Systeme bis zur Kommunikation mit Auftraggebern.
Präventive Maßnahmen bleiben unverzichtbar. Dazu zählen konsequentes Patch-Management, Multi-Faktor-Authentifizierung für Remote-Zugänge, Netzwerksegmentierung, Offline-Backups und Integritätsprüfungen von Bauplänen. Besondere Aufmerksamkeit verdienen IoT-Geräte auf Baustellen. Standardpasswörter müssen geändert, Datenübertragungen verschlüsselt und Geräte zentral inventarisiert werden. Ein Zero-Trust-Ansatz verhindert, dass ein kompromittiertes Gerät die gesamte Infrastruktur gefährdet.
Für die Baupraxis ist es entscheidend, eine Sicherheitskultur zu etablieren, die Cybersicherheit auf dieselbe Ebene wie Arbeitsschutz stellt. Dazu gehören regelmäßige Risikoanalysen und klar definierte Notfallpläne, die Umsetzung technischer Basisschutzmaßnahmen, schriftlich dokumentierte und regelmäßig überprüfte Prozesse, klar benannte Verantwortlichkeiten – etwa in Form eines BIM-Security-Officers – sowie die Einbindung externer Expertise für Penetrationstests und Audits. Ergänzend sollten international anerkannte Standards wie ISO 19650-5 und ISO 27001 konsequent angewandt und dokumentiert werden. Besonders wichtig sind die strikte Zugangskontrolle zu Bauplänen, die Verschlüsselung sensibler Daten und die Absicherung sämtlicher IoT-Geräte. Schließlich müssen Kommunikations- und Meldepläne vorliegen, um im Ernstfall unverzüglich reagieren zu können.
Die Digitalisierung eröffnet der Bauwirtschaft enorme Chancen, macht sie jedoch zugleich verwundbarer für Cyberangriffe. Nur eine Kombination aus technischen Maßnahmen, organisatorischer Verankerung, rechtlicher Absicherung und branchenspezifischen Standards kann die Widerstandsfähigkeit der Branche nachhaltig sichern. Die Sicherheit digitaler Bauprojekte ist keine Nebensache, sondern Voraussetzung für ihre erfolgreiche Realisierung.