Bauen 4.0! In Bauplanung und Bauausführung hat längst die Digitalisierung ihren Siegeszug angetreten. Ohne digitale Daten geht nichts mehr. Über BIM (Building Information Modeling) sind Bauplaner, Bauausführende, Bauherren, Gebäudenutzer, Bausanierer und Bauabrissunternehmer (inklusive aller Gebäudedaten) digital (und visualisiert über ein virtuelles Gebäudemodell) über die gesamte Zeit eines Lebenszyklus‘ eines Gebäudes miteinander vernetzt. Dieser umfangreiche und mit vielen Zugriffsberechtigungen versehene Datenpool erhöht für Architekten, Beratende Ingenieure und andere Berufsgruppen der Bauplanungsbranche (wie auch für alle anderen Beteiligten) das Risiko eines Cyber-Angriffs. Aber wie kann man sich vor den finanziellen Folgen von Cybercrime schützen? Was ist, wenn Ihre Kunden Schadensersatzansprüche stellen, die aufgrund eines Cyber-Vorfalls (Hackerangriff, Computervirus, etc.) bei Ihnen entstanden sind? Die pisa Versicherungsmakler GmbH als unabhängiger, inhabergeführter Fachversicherungsmakler für Architekten, Beratende Ingenieure sowie andere Berufsgruppen der Bauplanungsbranche gibt im Folgenden wichtige Tipps.
Ohne digitale Daten kommen inzwischen weder Bauplanung, noch Bauausführung aus. BIM wird immer mehr zum Standard für -- zumindest größere -- Bauplanungsprojekte. „Common Data Environment“ (CDE), also ein digitaler Raum (eine Cloud), in dem alle Projektinformationen und -daten zusammengeführt werden und zugleich allen Projektbeteiligten jederzeit zur Verfügung stehen, bietet Chancen für eine kollaborative Arbeitskultur, birgt aber auch Risiken: Wenn alle Projektbeteiligten von überall aus Zugriff auf die Daten haben, kommen Fragen auf nach der Integrität der Projektbeteiligten und deren Daten bzw. nach der Datensicherheit und dem Datenschutz. Was passiert, wenn die BIM-Cloud mehrere Tage ausfällt? Die Sicherheitsvorkehrungen der Cloud-Betreiber „gemäß Stand der Technik“ reichen dabei oft nicht aus. Tatsächlich sind die BIM-Clouds mögliche Einfallstore für Cyber-Kriminelle. Zumal die BIM-Methode nicht nur die Vernetzung von Daten zu einem Gebäude in der Bauplanungs- und Bauausführungsphase vorsieht, sondern die Daten des kompletten Lebenszyklus‘ eines Gebäudes: Bedarfsplanung, Entwurfsplanung, Ausführungsplanung, Ausschreibung, Bauphase, Inbetriebnahme, Nutzung, Umnutzung, Renovierung und Abriss. Es sind also immense Datenmengen, die dabei vernetzt im digitalen Raum gespeichert werden. Zugriff auf diese Daten haben je nach Bedarf Architekten, Beratende Ingenieure, Vermessungsingenieure, Projektsteuerer, Generalplaner, Fachplaner, Baubehörden, Tiefbauer, Straßenbauer, Städtebauer, Eisenbahnbauer, Wasserbauer, Geotechniker, Haustechniker, Bauherren, Gebäudeeigentümer und das Facility-Management.
Und jeder der oben genannten User greift vom (Dienst-) Laptop (im Büro und/oder Homeoffice) bzw. vom (Dienst-) Handy jederzeit auf die vernetzte Datensammlung zu. Was ist aber bei einem Hackerangriff? Was ist, wenn jemand die Daten „klaut“ (= sperrt) und nur gegen Zahlung eines Lösegelds wieder freigibt? Was ist, wenn Kunden auf Schadensersatz klagen, weil deren Daten von der Cyber-Attacke betroffen waren? Kurzum: Spätestens seit BIM ist die Bauplanungsbranche besonders anfällig für Cybercrime. Hinzu kommt: Cybercrime, das ist keineswegs nur eine Sache für Technik-Freaks und Computer-Experten; Cybercrime kann heutzutage jeder! Mit Hilfe einfacher Software und Anleitungen, die im Internet (zum Beispiel über Tutorial-Videos auf YouTube) zu finden sind, kann jeder binnen 24 Stunden eine „cyber-kriminelle Laufbahn“ starten. Dieser einfache Zugang zu Cybercrime-Maßnahmen lässt somit unter Umständen auch die Harmlosesten schnell kriminell werden -- zum Beispiel entlassene, auf Rache sinnende Mitarbeiter. Schlimmer ist jedoch, wenn durch eine Cyber-Attacke Daten von Dritten gestohlen werden. In diesem Fall ist man nicht nur Opfer, sondern man wird auch zum „unfreiwilligen Helfer“ aufgrund mangelnder Schutzmaßnahmen. Die Rechtsprechung ist eindeutig: Wer durch eine unzureichende Sicherung eine Schädigung der Daten von Dritten begünstigt, ist Mitschuldiger. Damit sind auch Schadensersatzforderungen möglich. Aus finanzieller Sicht fatal.
Die meisten Architekten, Beratende Ingenieure und andere Akteure der Bauplanungsbranche haben erkannt, dass zumindest ein Grundschutz gegen Cyber-Attacken notwendig ist. Regelmäßige Datensicherungen und Software-Updates, ein ausgereiftes Anti-Virus-Programm, eine zuverlässige Firewall und ein Sicherheitskonzept (dazu gehören passwortgeschützte Benutzer-Accounts und klar definierte Benutzerrechte) bilden ein gutes Basispaket. Doch ein Restrisiko bleibt. Genau für dieses Restrisiko ist eine Cyber-Versicherung gedacht. Sie kann vor den finanziellen Folgen von Cybercrime schützen. Es ist wichtig, sowohl den möglichen Eigenschaden, als auch den Fremdschaden über die Cyber-Versicherung abzusichern. Zudem sollten die vielseitigen Facetten von Cybercrime versichert sein: Verschlüsselungstrojaner verbunden mit digitaler Erpressung, Datenmissbrauch, Datensabotage, Mail-Bomben, und Denial-of-Service-Attacken (DDoS-Attacken). Auf Basis einer Risiko-Analyse wird der individuelle Schutzbedarf definiert und die damit verbundene Versicherungssumme ermittelt, die in der Cyber-Versicherung festgehalten wird. Im Falle einer Cyber-Attacke wird die zuvor vereinbarte Summe ausgezahlt, um die – zum Beispiel durch einen Betriebsausfall oder zur Bezahlung der IT-Forensik – entstandenen Kosten zu decken. Eine Cyber-Versicherung setzt sich aus mehreren Bausteinen zusammen, die entsprechende Kosten abdecken. So lassen sich Kosten für Eigenschäden, Support und Drittschäden versichern.
Eigenschadendeckung
• IT-Forensik
• Betriebsunterbrechung
• Informationskosten/Reputation
• Erpressungsgelder
• Wiederherstellung von Programmen und Daten
• Lösegelder
• Sicherheitsverbesserungen
• Betrug
• Vertragsstrafen wegen verzögerter Leistungserbringung
Support
• Rechtsberatung
• Krisenmanagement
• PR-Beratung
Drittschadendeckung
• Haftung für Netzwerk & Informationssicherheit
• Schadensersatzansprüche bei Datendiebstahl
• Verteidigungskosten bei Anmeldung von Schadensersatzansprüchen
Und wie verhält es sich mit dem Versicherungsschutz bei Cyber-Schäden durch Anwendung der BIM-Methode? Schauen wir doch mal, wie ein Bauplanungsprojekt, bei der die BIM-Methode zum Einsatz kommt, in der Praxis beginnt: Ein Bauherr bzw. Investor entschließt sich (womöglich auf Anraten des Architekten seines Vertrauens), die BIM-Methode für sein Großbauprojekt zu verwenden. In der Regel wird er bzw. der Architekt seines Vertrauens einen BIM-Manager suchen (es sei denn, der Architekt ist selbst BIM-Manager). Als BIM-Manager sind fast immer Architekten, Beratende Ingenieure oder andere Bauplaner tätig. Denn er benötigt nebst Kenntnissen in der IT-Anwendung auch viel architektonisches bzw. bauplanerisches Fachwissen. Dem BIM-Manager sind in der Regel mehrere BIM-Koordinatoren für die verschiedenen Baufachgewerke beigestellt. Der BIM-Manager jedoch ist erster Ansprechpartner, wenn es um den Versicherungsschutz geht. Er muss sich von allen am BIM-Projekt Beteiligten den erforderlichen Berufshaftpflichtschutz vorlegen lassen (alternativ: eine Baukombi-Versicherung, in der u. a. die Berufshaftpflicht für alle Beteiligten für dieses eine Projekt in einem Vertrag integriert ist) bzw. für eine Absicherung gegen den finanziellen Risiken durch Cybercrime sorgen. Auch hierfür gibt es die Möglichkeit einer projektbezogenen Cyber-Versicherung, durch die alle Projektbeteiligten gegen die finanziellen Risiken von Cybercrime, bezogen auf dieses BIM-Projekt, abgesichert sind.
Gar nicht so leicht, für BIM-Projekte eine geeignete Cyber-Versicherung zu finden. Zumal die Cyber-Versicherer in Deutschland derzeit in Habtachtstellung sind -- angesichts der Corona-Pandemie und der damit verbundenen Situation, dass viele Menschen im cybercrime-anfälligeren Homeoffice arbeiten. Die Versicherungsprämien steigen und gleichzeitig sinken die versprochenen Deckungssummen im Schadenfall. Deckungssummen jenseits von fünf Millionen Euro, für viele BIM-Projekte eine realistische Größenordnung, werden vielfach gar nicht angeboten. Hinzu kommt: Welche Leistungen in einer Cyber-Versicherung enthalten sind, ist von Versicherer zu Versicherer unterschiedlich. Wichtig ist eine individuelle Risiko-Analyse. Lassen Sie am besten von einem unabhängigen Fachversicherungsmakler Ihre individuelle Situation erfassen. Dieser berät Sie unverbindlich, welche Cyber-Versicherung für Sie bzw. Ihr Unternehmen die richtige ist, und hat durch Sondervereinbarungen mit Versicherern die realistische Chance, auch größere Deckungssummen abgesichert zu bekommen. Damit Ihr BIM-Projekt bzw. die am BIM-Projekt Beteiligten hinreichend gegen mögliche finanzielle Schäden durch Cybercrime abgesichert sind. https://www.pisa-versicherungsmakler.de/versicherungen/cyber-risk-versicherung
