Auch wenn viele Architekten, Bauingenieure, Beratende Ingenieure, Vermessungsingenieure und andere Bauplaner in jüngster Vergangenheit kräftig in die Cyber-Sicherheit Ihres Büros investiert haben, bleibt die Gefahr von Cybercrime in absehbarer Zeit außergewöhnlich hoch und im tatsächlichen Schadenfall wird es erheblich teurer als noch vor Kurzen. Denn Hacker breiten sich oft zunächst unbemerkt im IT-System aus, um dann den größtmöglichen Schaden anzurichten. Die durch die Corona-Pandemie notgedrungen hervorgerufene Verlagerung vieler Arbeitsplätze ins Homeoffice sowie die Umwandlung persönlicher Geschäftstreffen in digitale Zoom-Meetings bzw. Video-Calls (MS Teams) hat die Gefahr von Cybercrime auch in den Architektur-, Bauingenieur-, Vermessungsingenieur- und sonstigen Bauplanungsbüros aufs Massivste erhöht. Doch mit dem Abklingen der Corona-Pandemie wird diese Gefahr nicht sinken. Denn bereits jetzt ist klar: Auch nach der Corona-Pandemie werden viele Beschäftigten weiterhin im Homeoffice bzw. abwechselnd im Büro und im Homeoffice arbeiten. Und Zoom-Meetings bzw. Video-Calls (MS Teams) werden eine dauerhafte Alternative zu persönlichen Geschäftstreffen bleiben. Die Corona-Pandemie hat unsere Arbeitswelt nachhaltig verändert.
Hinzu kommt: Die Digitalisierung der Bauplanungsbranche schlägt voll durch. BIM wird immer mehr zum Standard für – zumindest größere – Bauplanungsprojekte (mehr unter https://momentum-magazin.de/de/beim-einsatz-von-bim-loesungen-folgen-von-cybercrime-absichern/). Außerdem entwickeln die Cyber-Kriminellen immer neue Raffinessen. Dabei ist Cybercrime keineswegs nur eine Sache für Technik-Freaks und Computer-Experten; Cybercrime kann heutzutage jeder! Mit Hilfe einfacher Software und Anleitungen, die im Internet (z. B. über Tutorial-Videos auf YouTube) zu finden sind, kann jeder binnen 24 Stunden eine „cyber-kriminelle Laufbahn“ starten. Dieser einfache Zugang zu Cybercrime-Maßnahmen lässt somit unter Umständen auch die Harmlosesten schnell kriminell werden – z. B. entlassene, auf Rache sinnende Mitarbeiter. Schlimmer ist jedoch, wenn durch eine Cyber-Attacke Daten von Dritten gestohlen werden. In diesem Fall ist man nicht nur Opfer, sondern man wird auch zum „unfreiwilligen Helfer“ aufgrund mangelnder Schutzmaßnahmen. Die Rechtsprechung ist eindeutig: Wer durch eine unzureichende Sicherung eine Schädigung der Daten von Dritten begünstigt, ist Mitschuldiger. Damit sind auch Schadensersatzforderungen möglich. Aus finanzieller Sicht fatal.
Betroffen sind keineswegs nur große Bauplanungsbüros. Viele Architekten, (Bau-) Ingenieure, Beratende Ingenieure, Vermessungsingenieure und andere Bauplaner glauben irrtümlich, sie seien zu klein und es lohne sich für Hacker nicht, sie anzugreifen. Doch das genaue Gegenteil ist der Fall: Wegen der zumeist niedrigeren Sicherheitsvorkehrungen sind sie für Hacker leichtere Opfer. Die massiv gestiegene Gefahr von Cybercrime ist und bleibt somit in der Bauplanungsbranche – wie auch in anderen Branchen – omnipräsent. Die meisten Cyber-Versicherer haben darauf reagiert, durch Leistungskürzungen (Verringerung der angebotenen Versicherungssummen) und/oder Preiserhöhungen. Es ist inzwischen gar nicht mehr so einfach, als Inhaber eines Architektur-, Bauingenieur-, Vermessungsingenieur- und sonstigen Bauplanungsbüros eine angemessene und weitreichende Cyber-Versicherung zu bekommen. Die meisten Angebote sind zum Beispiel für BIM-Projekte von den Deckungssummen unangemessen niedrig. Die pisa Versicherungsmakler GmbH als unabhängiger Fachversicherungsmakler für die Bauplanungsbranche hat jedoch noch Sonderkonditionen mit Versicherern ausgehandelt, um eine für Architekten, Bauingenieure, Beratende Ingenieure, Vermessungsingenieure angemessene und weitreichende Absicherung gegen die finanziellen Folgen von Cybercrime gewährleisten zu können.
Weitere Schwierigkeit: Eine erhebliche Verschärfung in der Zeichnungspolitik der Cyber-Versicherer. Sprich: Die Versicherer setzen teilweise die Zeichnung von Neugeschäft ganz aus oder haben zumindest die Voraussetzungen (IT-Schutzmaßnahmen) für den Abschluss einer Cyber-Versicherung weiter nach oben geschraubt. So wird inzwischen für die Beschäftigten im Homeoffice eine so genannte Multi-Faktor-Authentifizierung (MFA) verlangt, bei der neben einem Passwort mindestens weiterer Identitätsnachweis nötig ist. Die Zwei-Faktor-Authentifizierung (2FA) ist also die „einfachste“ Form der MFA. Denn die MFA ist ein Authentifizierungsverfahren, bei dem der Benutzer mindestens zwei oder eben auch mehr Identitätsnachweise (Faktoren) zur Verifizierung liefern muss, bevor er Zugriff auf die gewünschte Ressource erlangt, beispielsweise auf eine Anwendung, ein Benutzerkonto oder ein Virtuelles Privates Netz (VPN). Statt nur einen Benutzernamen und ein Kennwort abzufragen, erfordert die MFA zusätzliche Identitätsnachweise, sodass das Risiko eines erfolgreichen Cyber-Angriffes sinkt. Sehr häufig muss der Benutzer ein zu diesem Zweck generiertes Einmalkennwort (One-Time-Password, OTP) eingeben. Dabei handelt es sich um einen vier- bis achtstelligen Code, der beispielsweise per E-Mail, SMS oder App an den Benutzer gesendet wird. Solch ein OTP muss entweder in regelmäßigen Abständen oder bei jeder Authentifizierungsanfrage neu erzeugt werden. Auch über eine Chipkarte, einen Software-Token oder auch per Fingerabdruck bzw. Gesichtsscan kann eine MFA erfolgen. Möglich ist auch eine sogenannte standortbasierte Authentifizierung; hierbei wird üblicherweise die IP-Adresse des Benutzers und, sofern möglich, auch der geografische Standort geprüft. Diese Informationen könnten beispielsweise genutzt werden, um dem Benutzer den Zugriff zu verweigern, wenn er sich nicht an einem per „Whitelist“ autorisierten Standort aufhält. Alternativ könnte der Standort neben einem Kennwort oder OTP auch als zusätzlicher Identitätsnachweis dienen. Eine weitere MFA-Kategorie ist die adaptive Authentifizierung, auch bekannt als risikobasierte Authentifizierung. Dieses Verfahren analysiert bei der Authentifizierung den Kontext und das Benutzerverhalten als zusätzliche Faktoren, um das mit dem Zugriffsversuch verbundene Risiko einzustufen. Zum Beispiel wird geprüft: Von wo aus versucht der Benutzer, auf die Anwendung oder Daten zuzugreifen? Wann findet der Zugriffsversuch statt? Während der üblichen Arbeitszeiten oder nach Feierabend? Welches Gerät wird für den Zugriffsversuch verwendet? Dasselbe Gerät wie am Vortag? Wird die Verbindung über ein privates oder ein öffentliches Netzwerk hergestellt? Die Risikostufe wird anhand der Antworten auf diese Fragen berechnet. Ist das Risiko hoch, kann der Benutzer zur Übermittlung weiterer Identitätsnachweise aufgefordert werden oder unter Umständen gar nicht auf die Anwendung oder Daten zugreifen. Deswegen wird dieses Verfahren auch als risikobasierte Authentifizierung bezeichnet. Soweit in aller Kürze zum MFA.
Welche Form der MFA Architekten, Bauingenieure, Beratende Ingenieure, Vermessungsingenieure oder andere Bauplaner auch immer wählen (im Zweifelsfall IT-Experten zu Rate ziehen), Fakt ist: MFA wird von immer mehr Cyber-Versicherern verlangt als Grundvoraussetzung für die Zeichnung einer Cyber-Versicherung. Also bitte – falls nicht bereits geschehen – die IT-Sicherheit entsprechend aufrüsten.
Davon ist auszugehen: Die Anforderungen/Voraussetzungen zum Abschluss einer Cyber-Versicherung werden weiter steigen, die Leistungen der Cyber-Versicherungen (v.a. die Versicherungssummen) werden weiter sinken, die Preise für Cyber-Versicherungen aber weiter steigen. Deshalb – falls nicht bereits geschehen – möglichst bald mit der pisa Versicherungsmakler GmbH Kontakt aufnehmen mit Hinblick auf eine auf die Bedürfnisse von Architekten, Bauingenieure, Beratenden Ingenieuren, Vermessungsingenieuren und anderen Bauplanern zugeschnittene Cyber-Versicherung.
