Eine zeitgemäße IT-Infrastruktur für Gewerbeimmobilien ist wichtiger denn je. Laut einer Studie* geben 44 Prozent der befragten Sicherheitsexperten an, dass Cybervorfälle das größte unternehmerische Geschäftsrisiko weltweit sind. Zugleich haben 80 Prozent der Unternehmen keine Strategie zum Schutz ihrer Immobilie vor Cyberangriffen! Gerade durch die fortschreitende Digitalisierung von Immobilien, etwa durch Smart-Building-Technologien oder IoT-Technologien rückt zunehmend das Gebäude selbst in den Fokus von Angreifern. Zu den Smart-Building-Technologien zählen beispielsweise elektronische Zugangssysteme, Smart Meter, internetbasierte Raumautomation oder auch Ladestationen.
Die Ansätze, mittels derer Angreifer Cyberangriffe auf Betreiber durchführen, sind vielfältig. Es gibt zum Beispiel das wohlbekannte Phishing, um an sensible Daten zu gelangen, Denial-of-Service-Attacken (DoS), um gezielt IT-Systeme zu überlasten und lahmzulegen, das aktive Ausnutzen von Schwachstellen in Softwareanwendungen oder den CEO-Fraud, bei dem sich Kriminelle als Mitglieder der Geschäftsleitung ausgeben, um Zahlungen auszulösen oder Daten zu erbeuten. So vielfältig wie die Attacken sind auch die Ziele von Kriminellen. Während viele Attacken rein finanziell motiviert sind, sind andere von geopolitischen Interessen getrieben oder verfolgen aktivistische Ziele.
Selbstredend gibt es eine Reihe von Sicherheitsmaßnahmen und Best-Practices, mit denen man die Sicherheit der Gewerbeimmobilie erhöhen kann. Dazu zählen:
Eine regelmäßige Schulung und Sensibilisierung des Teams
Leider ist es so, dass der Mensch das größte IT-Risiko darstellt. Ein falscher Anhang, das Eingeben von Daten auf vermeintlich echten Seiten – und schon ist das Einfallstor für Kriminelle geöffnet. Mit Hilfe von Workshops und der regelmäßigen Aufklärung über aktuelle kriminelle Vorgehensweisen kann innerhalb des Teams die Achtsamkeit für Angriffsversuche erhöht werden. Es gibt zahlreiche externe Dienstleister, die Unternehmen bei der Entwicklung einer Awareness-Strategie unterstützen können.
Einbeziehung der IT-Sicherheit schon in der Projektplanung
Egal, ob Umbau, Umzug oder Neubau, die Einbeziehung der IT-Sicherheit sollte stets gegeben sein. Braucht es eine redundante Medienversorgung, um im Krisenfall weiter agieren zu können? Kann sich ein Angreifer über einen offenen LAN-Port unentdeckt Zugang zum Firmennetz verschaffen? Diese Fragen müssen bei einer Projektierung individuell beantwortet werden. Empfehlenswert ist zudem, für digitale Einbauten ein Register anzulegen und zu pflegen, um einen Überblick über alle Gebäudebestandteile mit Relevanz für die Cyber Security zu haben. Auf dieser Basis können die am besten passenden Schutzmaßnahmen konzeptioniert und ausgerollt werden.
Die Durchführung von Rundgängen mit Fachexperten
So wie beim Brandschutz auf Expertise vertraut wird, empfehlen sich auch Rundgänge mit Experten für digitale Infrastruktur. Diese können helfen, betriebsblinde Flecken zu entdecken, etwa ungeschützte und doch kritische Infrastruktur oder veraltete Sicherheitsarchitektur.
Eine regelmäßige Überprüfung von Zugängen und Rechten von Dienstleistern
Genauso, wie sich ein Register für die Einbauten mit Relevanz für die Cyber Security empfiehlt, ist es ratsam, regelmäßig die Zugänge und Rechte von externen Dienstleistern nachzuhalten, zu kontrollieren und im Zweifelsfall einzuschränken. Dazu zählt auch ein aktives Passwortmanagement im Sinne regelmäßiger Änderungen.
Regelmäßige Tests zur Aufdeckung möglicher Schwachstellen
Regelmäßige Schwachstellenanalysen und Penetrationstests helfen dabei, die Sicherheitsmaßnahmen aktuell zu halten. Bei der Schwachstellenanalyse wird das IT-System in seiner Gänze gescannt und auf bekannte Sicherheitslücken hin überprüft. Beim Penetrationstest (Pentest) wird, in der Regel durch einen externen Dienstleister, ein Cyber-Angriff auf die Immobilie simuliert. Auf diese Weise wird versucht, sicherheitskritische Punkte im System zu erkennen und auszunutzen. Pentests unterscheiden sich in ihrem Umfang und in ihrer Aggressivität.
*Quellen: Allianz Risk Barometer, Studie Cybersecurity KPMG / Webinar „IT-Sicherheit in Gewerbeimmobilien“, durchgeführt von OHB Digital und Peper & Söhne