Standpunkt Swissbau 2024
Bedrohung durch Cyberangriffe nimmt zu
Kritische Infrastrukturen beispielsweise für die Energie- und Wasserversorgung sind elementare Bestandteile einer funktionierenden Gesellschaft. Entsprechend gut müssen sie geschützt werden – auch vor Cyberangriffen.
Deshalb starten das Bundesamt für Cybersicherheit (NCSC) und der SIA an der Swissbau 2024 eine Sensibilisierungsinitiative für die Bauwirtschaft.
Text: Peter Vonesch und Urs Wiederkehr
Gebäude, Verkehrsbauten oder die Wasser- und Stromversorgung: Sie alle sind Teil der Infrastruktur, die für das einwandfreie Funktionieren unseres Landes wie selbstverständlich zur Verfügung steht. Einige dieser Infrastrukturen sind kritisch. Das heisst sie sind essenziell, weil sie für das Funktionieren der Wirtschaft und für die Lebensgrundlage der Bevölkerung unverzichtbar sind. Fällt nur ein einzelnes Element von ihnen aus, bricht das Chaos aus.
Gemäss der SIA-Vision «Gemeinsam wirkungsvoll für einen nachhaltig gestalteten Lebensraum» verantworten Planerinnen und Planer das Grundlegende hinter diesen Infrastrukturen: also die Gestaltung, die Formgebung und das Aussehen, bei vorausgesetzter Funktionalität. Zusammen mit den Bauherrschaften, Bauausführenden, Zuliefern und Betreibenden stellen sie den Betrieb über die ganze Wertschöpfungskette sicher. Damit alles wunschgemäss klappt, sind heute alle Involvierten miteinander digital vernetzt. Aber nicht nur sie: Auch die Infrastrukturen selbst – wie beispielsweise diejenigen der Energieversorgung oder im Facility Management – sind ohne Fernüberwachung und Fernzugriff kaum mehr betreibbar. Zudem sind unter anderem auch die Projektierung, die Projektsteuerung und die Baustellenlogistik miteinander digital vernetzt.
Die Welt ein globales Dorf
Vor über 50 Jahren hat der kanadische Philosoph und Kommunikationstheoretiker Marshal McLuhan (1911-1980) die Sozialstruktur der Gesellschaft als globales Dorf mit gegenseitiger elektronischer Abhängigkeit beschrieben. Laut ihm, muss der Vorteil der unverzögerten Kommunikation mit fast jedem beliebigen Partner auf der Welt mit Nachteilen erkauft werden: Denn nicht alle «Nachbarn» im globalen Dorf sind nett. Ausserdem ist der Sicherheit bei der Entwicklung dieses weltumspannenden Netzwerks nicht die gebührende Aufmerksamkeit gewidmet worden. Bei der Weiterentwicklung des damals überblickbaren Forschernetzwerks «Internet» zu einem Informationsnetzwerk für schnelle ökonomische Erfolge in der Wirtschaft ist der Faktor Sicherheit nie vollumfänglich zum Besseren korrigiert worden. Das hat zur Folge, dass auch Kriminelle diesen freien Markt für sich entdeckt haben. Sie wirken im Verborgenen irgendwo auf der Welt und tätigen dank der globalen Vernetzung mehrere Angriffsversuche parallel. Bei der erfolgversprechendsten Gelegenheit schlagen sie zu.
Verlust von intellektuellen Dienstleistungen
Nachdem in der Vergangenheit bereits Unternehmen der Haustechnik- und der Systemkomponenten-Branche von Cyberkriminellen angegriffen, in der Arbeit behindert und erpresst worden sind, hat es diesen Sommer unter anderen auch ein Architekturbüro in Bern getroffen. Möglicherweise ist es aber nicht das einzige. Die Dunkelziffer dürfte nämlich hoch sein, weil nur ein Bruchteil der Fälle an die Öffentlichkeit kommt. Denn es ist unangenehm über dieses Tabuthema zu sprechen. Insbesondere darüber, ob Lösegelder bezahlt worden sind, zum Beispiel um verschlüsselte Daten wieder zu entschlüsseln oder um zu verhindern, dass illegal erworbene Daten veröffentlicht oder weiterverwendet werden. Für alle Baubeteiligten ist Datendiebstahl ärgerlich, auch weil andere kostenlos zu intellektuellen Leistungen kommen. Datenverlust heisst in diesem Fall, dass kreative und mit viel Knowhow behaftete Arbeitsergebnisse auf alle Ewigkeit verloren sind. Cyberkriminelle sehen in diesem Bereich viel Potenzial, denn bei kreativ Tätigen dürfte die Zahlungsbereitschaft hoch sein. Auch gestohlen Pläne, Projektierungsunterlagen und Betriebskonzepte, die es erlauben, die Nutzer der Infrastrukturen direkt oder indirekt in Gefahr zu bringen, haben einen potenziell hohen Erpressungswert.
Wieso ist die Bauwirtschaft ein lohnendes Ziel?
Die Bauwirtschaft braucht in ihrer Wertschöpfungskette zur Realisierung von Bauprojekten ein weiterverzweigtes Netzwerk an Beteiligten. Während der Planung und des Ablaufs werden grosse Mengen an Daten wie beispielsweise Ideen, Pläne, Prozess-, Finanz- oder Personaldaten zunehmend digital erarbeitet und ausgetauscht. Die Wichtigkeit der Baubranche für das Funktionieren der gesamten Wirtschaft gepaart mit der Komplexität der Datenflüsse erhöht die Anfälligkeit auf Cyberangriffe und macht die Bauwirtschaft attraktiv für diese Art von Kriminalität. Die Motive der Angreifer sind unterschiedlichster Art. Einerseits versuchen Einzeltäter und hoch organisierte Banden an geschäftsrelevante Informationen zu gelangen, um damit Gelder zu erpressen oder Wirtschaftsspionage zu betreiben. Andererseits dienen staatlich organisierte Cyberangriffe beispielweise von Propagandastellen oder Geheimdiensten auf der politischen und sicherheitspolitischen Ebene Schaden zu verursachen. Für Letzteres ist die Bauwirtschaft besonders in der Wertschöpfungskette der kritischen Infrastrukturen anfällig. Gezielte Störungen von lebensnotwenigen Infrastrukturen beispielsweise bei Wasserversorgungen, können zu Verunsicherungen in der Bevölkerung führen. Mit dem Eindringen in die IT-Infrastruktur können denunzierende und kriminelle Beeinflussungsoperationen unter fremdem Namen, das heisst mit der Identität des gehackten Opfers oder mit bei ihm gestohlener Daten von Dritten, starten. All diese Angriffe haben ein gemeinsames Ziel: Vorteile für den Angreifer und Nachteile für den Angegriffenen zu schaffen.
Professionelle und vielfältige Angriffsmethoden
In der realen Welt und in der virtuellen Welt, ist trotz Verboten und ethischen Regeln die Kriminalität nicht ausgestorben. Im Gegenteil, in der virtuellen Welt nimmt sie drastisch zu. Cyberkriminelle bedienen sich zunehmend hoch professioneller und vielfältiger Angriffsmethoden. Wegen der Leistungssteigerungen im Netzwerk und bei den Computern ist es weiterhin ein Rennen gegen die Zeit, um auf neue Gefahren rasch reagieren zu können. Deshalb ist es wichtig, dass sich die Akteure in der Bauwirtschaft dieser Gefahren und Risiken bewusst sind, um ihre Cyberresilienz zu stärken. Das gelingt nicht mit technischen Mittel allein. Zur Erhöhung und Sicherstellung der Cybersicherheit braucht es organisatorische Massnahmen, denn jeder einzelne Mitarbeitende in der Wertschöpfungskette der Bauwirtschaft kann durch Unachtsamkeit zum Einfallstor für Angreifer werden. Anders formuliert: Eine starke menschliche Firewall gegen einen Angriff ist essenziell.
Sensibilisierungsinitiative an der Swissbau 2024
Um das Bewusstsein für die Gefahren eines Cyberangriffs zu stärken, startet der SIA zusammen mit dem Bundesamt für Cybersicherheit (NCSC) an der Swissbau 2024 eine Sensibilisierungsinitiative. Da in der Wertschöpfungsketten das schwächste Glied als Einstiegstor ausgewählt wird, richtet sich die Initiative an die ganze Bauwirtschaft. Die Initiative will nicht nur für die Gefahren und Risiken sensibilisieren, sondern das notwendige Knowhow gemäss Betroffenheit vermitteln, sodass es gezielt zur Abwehr angewendet werden kann. Cybersicherheit ist Chefsache und sollte nicht an einen einzelnen IT- oder Sicherheitsverantwortlichen delegiert werden. Die Sicherheit sollte in der Unternehmenskultur integriert sein. Nur so können sich die Mitarbeitenden umsichtig verhalten und zum Schutz vor möglichen Bedrohungen beitragen. Auch sollte sich ein Unternehmen überlegen, wie es im Ernstfall reagiert und wie es im Krisenfall organisiert ist. Es braucht einen Notfallplan, ein Krisenkommunikationskonzept und einen Notfallkontakt. Des Weiteren hilft es, wenn man Notfallszenarien regelmässig übt. Welche Möglichkeiten zur Abwehr bestehen, können Interessierte zudem in einem Workshop an der Swissbau spielerisch erarbeiten. Der SIA und das Bundesamt für Cybersicherheit haben dazu gemeinsam ein Cyberspiel entwickelt. Mitarbeitende des Bundesamts werden es begleiten und Tipps geben. Das Spiel kann später auch in den Unternehmen genutzt werden.
Vorsorge lohnt sich
«Gouverner, c'est prévoir; et ne rien prévoir, c'est courir à sa perte.» Der Ausspruch des französischen Verlegers, Journalisten und Politikers Emile de Girardin (1802-1881) hat an Aktualität gewonnen. Dabei soll «gouverner» als Lenken und Steuern verstanden werden. Im Voraus definierte Massnahmen für möglich eintretende Situationen sind effektiver als stresssituationsgesteuerte Feuerwehrübungen. Zusätzlich darf nicht vergessen werden, dass am Schluss das nicht-konforme Verhalten aller Unternehmensangehörigen das grösste Risiko für den Erfolg der Cyberkriminellen darstellen. Soll man nun wegen der Gefahren und Risiken auf die positiven Eigenschaften des globalen Dorfs verzichten? Die Empfehlung lautet klar nein. Es lohnt sich aber frühzeitig die notwendigen Vorkehrungen zu treffen. Sind wir also auf der Hut und sorgen wir vor.
Vergleich «Cyber Kill Chain» – Ausgewählte Teilphasen SIA 112 «Modell Bauplanung»
Ein Bauprojekt verläuft nach SIA 112 Modell Bauplanung in einzelnen Phasen und Teilphasen. Ein ähnliches Modell gibt es auch für Cyberangriffe, die sogenannte «Cyber Kill Chain», aufbauend auf sieben Teilschritten. Die Tabelle stellt die Professionalität der «Branche» der Cyberkriminellen vergleichend dar:
|
Cyber Kill Chain |
Fragestellungen |
Ausgewählte Teilphasen SIA 112 |
|
1. Identifizierung des Ziels (Reconnaissance) |
Wer kann angegriffen werden, um das Ziel zu erreichen? |
11 Bedürfnisformulierung, Lösungsstrategien |
|
2. Vorbereitung des Angriffs (Weaponization) |
Welche Mittel (Ressourcen) stehen für den Angriff zur Verfügung? |
21 Definition des Bauvorhabens, Machbarkeitsstudie |
|
3. Erste Schritte zur Durchführung des Angriffs entlang der Cyber Kill Chain (Delivery) |
Mit welchen Schritten kann erfolgreich gestartet, quasi die erste Lieferung gemacht werden? |
31 Vorprojekt |
|
4. Das systematische Aufspüren von Sicherheitslücken (Exploitation) |
Welche Sicherheitslücken bietet der Anzugreifende an? Welche sind erfolgversprechend? |
41 Ausschreibung, Offertvergleich, Vergabeantrag |
|
5. Implementierung einer Backdoor (Installation) |
Wie kann der Angriff erfolgreich ausgeführt werden? |
52 Ausführung |
|
6. Fernsteuerung des Zielsystems (Command & Control) |
Wie kann der Angriff erfolgreich abgeschlossen werden? |
53 Inbetriebnahme, Abschluss |
|
7. Zielerreichung (Actions on objective) |
Wie kann der Angriff dauerhaft im Betrieb bleiben? |
61 Betrieb |
Quelle: Lockheed-Martin entwickelte die Cyber Kill Chain: https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html, SIA 112:2014 Modell Bauplanung
Der SIA an der Swissbau
Die Swissbau findet vom 16. bis 19. Januar 2024 in Basel statt. Der SIA ist als Leading Partner mit einem vielfältigen Programm vertreten. Das gesamte Engagement des SIA und Informationen zum Gratisticket für SIA-Mitglieder in der Übersicht: sia.ch/swissbau
Veranstaltungen zum Thema Cybersecurity
Ein Cybervorfall – sind Sie darauf vorbereitet? Sicherheit ist Chefsache, auch in der Bauwirtschaft.
Freitag, 19. Januar 2024, 11 - 12, Swissbau Focus
Ein Cybervorfall – sind Sie vorbereitet? Ein Cyberspiel für die Bauwirtschaft.
Freitag, 19. Januar 2024, 13.30 - 15, Swissbau Lab
Autoren
Peter Vonesch: dipl. El.-Ing. ETH/SIA et lic. oec. HSG, Cybersicherheitsexperte und Sensibilisierungscoach, Vorstandsmitglied der Gesellschaft der Ingenieure der Industrie GII des SIA
Urs Wiederkehr: Dr. sc. techn., dipl. Bau-Ing. ETH/SIA, Leiter Fachbereich Digitale Prozesse SIA