Dieser Beitrag ist unter dem Titel „Cyberrisiken für Architekturbüros“ im Deutschen Architektenblatt 07. + 08.2024 erschienen.
Markus Prause, Justiziar der Architektenkammer Niedersachsen, stellt fünf Fragen an Dipl.-Ing. Marek Naser, Cyberexperte und Produktentwickler bei der VHV Allgemeine Versicherung in Hannover. Am Ende des Beitrags finden Sie eine Checkliste für Vorsorge und Ernstfall.
Wie groß ist die Bedrohung durch Cyberangriffe?
Marek Naser: Laut Lagebericht 2023 des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat sich in den letzten Jahren die Situation für Unternehmen, besonders in Deutschland, zunehmend verschlechtert. Cyberkriminelle haben ihre Angriffsmethoden immer wieder angepasst und verstärkt professionalisiert. Mittlerweile nutzen sie auch aktuelle Technologien wie ChatGPT, geklonte Stimmen und andere KI-Techniken. Wir beobachten, dass Cyberkriminelle, ebenfalls getrieben von einem „Fachkräftemangel“, für neue „Vertriebsmodelle“ offen sind. In der Vergangenheit suchten sie beispielsweise Unterstützung im „Vertrieb“, indem sie ganze Softwarekits anboten, mit denen auch Menschen ohne Cyberkenntnisse Unternehmen infizieren konnten.
Welche Arten von Cyberrisiken gibt es speziell für Architekturbüros?
Marek Naser: Die Angriffsmethoden der Cyberkriminellen sind eigentlich für alle Branchen gleich. Nach wie vor werden die meisten Unternehmen über E-Mails mit gefährlichen Anhängen oder Links zu Phishing-Seiten gehackt – 87 Prozent der erfolgreichen Angriffe beginnen mit einer Mail an einen Mitarbeiter. Gerade in diesem Zusammenhang profitieren die Cybergangs von den neuen Technologien.
Dabei kann man sich nicht darauf verlassen, dass man als kleines Unternehmen unter dem Radar fliegt, denn um angegriffen zu werden genügt es, dass nur ein einziger Geschäftspartner gehackt wurde. Dies geschieht teilweise auch unbemerkt. Die Cyberkriminellen stehlen dann häufig das Adressbuch und kopieren diverse Mails. Diese Daten werden genutzt, um mit einer Vielzahl an glaubwürdigen Mails weitere Unternehmen zu infizieren. Es ist also eher Zufall, ob man Opfer wird.
Was Architekturbüros aber von anderen Branchen unterscheidet, sind die Folgen eines erfolgreichen Cyberangriffs. Dies liegt vor allem an dem Digitalisierungsgrad der Unternehmen. Anders als bei Bauunternehmen stockt die Arbeit eines Architekten sofort, wenn die IT nicht mehr zur Verfügung steht. Auch die bereits geleistete Arbeit ist zumindest teilweise in digitaler Form auf den IT-Systemen des Architekturbüros gespeichert. Darüber hinaus nimmt mit zunehmender digitaler Vernetzung der einzelnen am Bau Beteiligten auch die Abhängigkeit voneinander zu. Und gerade hier nehmen Architektinnen und Architekten oft eine Schlüsselfunktion ein.
Welche Verantwortung tragen Architektinnen und Architekten?
Marek Naser: Grundsätzlich ist der Firmeninhaber beziehungsweise die Geschäftsführerin verantwortlich für die IT-Sicherheit und den Datenschutz. Es ist seine oder ihre Aufgabe, sicherzustellen, dass die Mitarbeiterinnen und Mitarbeiter geschult sind und alle erforderlichen technischen Voraussetzungen geschaffen wurden, die einen sicheren Betrieb des Unternehmens ermöglichen.
Dabei kann und sollte natürlich professionelle Unterstützung in Form eines IT-Dienstleisters eingekauft werden. Wichtig in diesem Zusammenhang ist, dass vertraglich klar geregelt ist, wer für die Wartung – Installation von Updates und Sicherheitspatches, Wartung der Firewall etc. – verantwortlich ist und in welchem Turnus die Geräte beispielsweise mit Updates versorgt werden müssen. Mit dieser Verantwortung droht auch immer eine potenzielle Haftung des Geschäftsführers im Schadensfall.
Wie kann man sich gegen Cyberangriffe schützen?
Marek Naser: Moderne IT-Systeme können auch durch umfassende technische Maßnahmen nicht hundertprozentig sicher sein, solange sie über das Internet mit anderen Systemen kommunizieren. Da dies einer der Hauptzwecke ist, kann die Strategie der Abschottung nur bis zu einem bestimmten Grad umgesetzt werden. Wie bereits erläutert, versuchen Cyberkriminelle häufig Mitarbeiter durch möglichst glaubwürdig aussehende Mails dazu zu bewegen, einen Anhang zu öffnen oder einem Link zu folgen. Hier kann durch geeignete Präventionsmaßnahmen gegengesteuert werden.
Wenn sie regelmäßig geschult und über die gängigsten Angriffsmethoden aufgeklärt werden, steigt das Gefahrenbewusstsein der Mitarbeiterinnen und Mitarbeiter. Versicherer, die eine Cyberversicherung im Portfolio haben, bieten solche Schulungen mit an. Die Dokumentation solcher Schulungsmaßnahmen kann im Schadensfall enthaftend für die Geschäftsführerin, etwa gegenüber Geschäftspartnern, aber auch gegenüber der Datenschutzbehörde wirken und damit nicht zuletzt die Höhe eines Bußgeldes reduzieren.
Gleichzeitig werden die Folgen eines Cyberangriffs durch die zunehmende Vernetzung der Unternehmen immer gravierender. Aus diesen Gründen gewinnt die Fähigkeit, sich nach einem Angriff wieder zu erholen, die sogenannte Resilienz, an Bedeutung. Dafür ist zunächst einmal wichtig, dass man sich auf die eigene Datensicherung hundertprozentig verlassen kann. Wenn man dann auch die Wiederherstellung geübt hat, können die Verluste begrenzt werden. Aus einem existenzbedrohenden Angriff wird so ein kalkulierbarer finanzieller Verlust.
Einen Schutz vor den finanziellen Folgen bietet zudem eine Cyberversicherung, die als Zusatz zur Berufshaftpflichtversicherung abgeschlossen werden kann. Neben den Kosten für die Wiederherstellung der Daten und Systeme ersetzt eine Cyberversicherung auch weitere Kosten, wie beispielsweise für eine Betriebsunterbrechung oder für die Benachrichtigung der Bauherren oder Geschäftspartnerinnen, falls deren persönliche Daten entwendet worden sind. Gerade bei Architekten ist bei einem weitreichenden Angriff mit einer sofortigen Betriebsunterbrechung zu rechnen, da die Mitarbeiter ohne IT nicht arbeiten können. Dazu kommen womöglich Forderungen aufgrund von Verzögerungen aus laufenden Projekten. Hier hilft der Haftpflichtbaustein der Cyberversicherung.
Was ist zu tun, wenn ein Cyberangriff erfolgreich war?
Marek Naser: Cyberangriffe sind immer individuell. Für die richtige erste Reaktion kommt es darauf an, wann der Angriff bemerkt wird. Wenn der Angriff noch im Aufbau ist und sein volles Schadenspotenzial noch nicht entfaltet hat, besteht die Chance, den Angriff einzudämmen und damit die Ausbreitung der Angreifer im IT-System zu stoppen. Manchmal genügt es hierfür, die Systeme vom Netz zu trennen und die Log-in-Daten zu ändern. Um hier die richtigen Schritte einzuleiten, ist die umgehende Unterstützung von IT-Expertinnen mit Erfahrung in der Reaktion auf Cyberangriffe notwendig.
Ist der Angriff bereits weit fortgeschritten, wurde vielleicht schon das gesamte IT-System verschlüsselt. Dann bleibt manchmal nur noch die Möglichkeit, das IT-System aus den – hoffentlich funktionsfähigen Datensicherungen – komplett neu aufzubauen. In diesem Fall muss man davon ausgehen, dass die Angreiferinnen bereits detaillierte Kenntnisse über das IT-System und beispielsweise die Mitarbeiter gesammelt haben. Diese Kenntnisse werden dann teilweise Wochen oder Monate später für einen erneuten Angriff genutzt.
Daher ist es wichtig, beim Wiederaufbau die Systeme zu härten, um es den Angreifern so schwer wie möglich zu machen. Basis für den Wiederaufbau ist also eine forensische Aufarbeitung des Angriffs durch IT-Experten. Wie sind die Angreiferinnen ins System gekommen? Welche Sicherheitslücken wurden ausgenutzt? Wurden E-Mail-Konten geknackt und Mails kopiert?
Neben der reinen Deckung der entstandenen Schäden spielen Cyberversicherungen hier ihre Stärke aus, denn die meisten von ihnen bieten über eine Hotline rund um die Uhr Zugriff auf IT-Expertinnen und -Experten, die helfen, den Angriff abzuwehren und die Systeme wiederherzustellen.
<<< Jump Mark: checkliste >>>
Checkliste gegen Cyberangriffe
- Die Angriffsmethoden der Cyberkriminellen werden durch neue Technologien, wie zum Beispiel ChatGPT, immer ausgefeilter und damit effektiver.
- Ohne gute Vorbereitung kann ein Cyberangriff schnell existenzbedrohend für ein Architekturbüro werden.
- Hundertprozentiger Schutz ist nicht möglich, trotzdem ist ein gut gewartetes, mit aktuellen Sicherheitspatches ausgestattetes und sinnvoll konfiguriertes IT-System absolut notwendig.
- Die Datensicherung stellt die letzte Verteidigungslinie dar. Sie muss halten!
- Durch Awareness-Schulungen können Mitarbeiterinnen und Mitarbeiter sensibilisiert werden. Einige Cyberversicherungen haben hier umfangreiche Lösungen im Versicherungsschutz integriert. Nutzen und dokumentieren Sie diese Schulungen, um gegenüber Datenschutzbehörden und Geschäftspartnern nachweisen zu können, dass Sie sich um das Thema gekümmert haben.
- Ist ein Angriff erfolgreich, ist eine schnelle und kompetente Hilfe essenziell, um den Schaden zu begrenzen – die meisten Cyberversicherungen bieten eine Hotline an, bei der der Kunde rund um die Uhr Hilfe von ausgewiesenen Cyberexpertinnen bekommt. Darüber hinaus ist die Erfahrung von Experten beim Wiederaufbau des IT-Systems notwendig, um zu verhindern, dass die Cyberkriminellen erneut erfolgreich angreifen.
