Cyber-Security in der Immobilienwirtschaft
Wenn Fortschritt zur Falle wird: Das Risiko für Cyber-Angriffe wächst mit der zunehmenden Digitalisierung in der Baubranche und Immobilienwirtschaft
Mit der zunehmenden Digitalisierung in der Baubranche und Immobilienwirtschaft wächst auch das Risiko für Cyber-Angriffe. Betroffen von den virtuellen Angriffen sind Mieter und Nutzer der Immobilien, aber auch Bauunternehmen oder Wohnbaugesellschaften. Neue Technologien bieten ungeahnte Möglichkeiten in der Nutzung und Verwaltung von Gebäuden; innovative Ansätze zur Digitalisierung betreffen den gesamten Lebenszyklus der Immobilie. Sie bieten den Nutzern Komfort und den Eigentümern verbesserte Vermarktungspotentiale. Im Falle von Hacking-Angriffen können sich solche Neuerungen jedoch schnell als wirtschaftliche Bedrohung herausstellen. Umso wichtiger ist es, die möglichen Gefahrenlagen zu kennen und ausreichend Vorkehrungen zu treffen.
Smart Home-Technik im Visier von Cyber-Kriminellen
Ein großes Einfallstor für Cyber-Kriminelle bietet die Smart Home-Technik. Immobilien sind zunehmend mit digitalen Geräten, den sog. IOT-Geräten (Internet of Things) ausgestattet. Dabei handelt es sich um Geräte und Komponenten, die vor allem drahtlos mit einem Netzwerk verbunden sind und so Daten erfassen, speichern, verarbeiten und übertragen können. Nicht nur der klassische Smart-TV oder das digitale Soundsystem, sondern etwa auch netzwerkgesteuerte Beleuchtungssysteme (Smart-Lighting), intelligente Alarmanlagen mit Kamerasystemen oder Heizungen, die sich mit Smart-Devices (Smartphone, Tablet, Smart-Lautsprecher) regulieren lassen, sind für Cyber-Angriffe anfällig.
Sowohl die mangelhafte oder gänzlich fehlende Verschlüsselung von persönlichen Daten als auch die eigene Preisgabe dieser Daten bieten Angriffspunkte für Cyber-Kriminelle. Insbesondere weisen neue digitale Smart-Home-Gadgets häufig große, nicht absehbare Sicherheitslücken mangels ausgereifter Technologie auf. Erhalten Cyber-Kriminelle Zugriff auf die gespeicherten Daten in den eng miteinander vernetzten IOT-Geräten, können die „Hacker“ nicht nur die Anwesenheit und das Verhalten der Bewohner registrieren, sondern auch beispielsweise erlangte Kreditkarteninformationen missbräuchlich verwenden. Zudem besteht die Gefahr, dass scheinbar ungefährliche Gegenstände, wie Glühbirnen in smarten Beleuchtungssystemen, benutzt werden, um eine Schadsoftware (sog. Malware) zu installieren und auf diese Weise in das Heimnetzwerk einzudringen.
Cyber-Attacken auf Privatpersonen und Unternehmen nehmen weltweit zu
Ist eine Privatperson von einem Cyber-Angriff betroffen, sind Identitätsdiebstähle die häufigste Folge. Dabei werden abgeflossene Daten von Angreifern genutzt, um sich als das Opfer auszugeben – beispielsweise, bei der Anmeldung in Online-Plattformen, der Bestellung von Waren oder Dienstleistungen oder der Versendung von Spam. Opfern von Cyberangriffen ist daher zu raten, den Angriff zur Anzeige zu bringen, genutzte Passwörter zu ändern, mit vermehrten Spam oder Phishing E-Mails zu rechnen bzw. darin enthaltene Links nicht anzuklicken und die eigenen Kontobewegungen regelmäßig zu überprüfen.
Ist ein Unternehmen, eine Einrichtung, eine Institution o.ä. (im Folgenden zusammengefasst als: „Unternehmen“) von einer Cyber-Angriff betroffen, zieht dies insbesondere aus rechtlicher Sicht häufig weitere Kreise.
Denn neben umfassend technisierten Gebäuden sind ebenfalls große Immobilien, wie Bürogebäude mit automatisierten Zugangssystemen und Einlasskontrollen, einer omnipräsenten Bedrohungslage ausgesetzt. Durch das Abschöpfen von Zugangspasswörtern können Kriminelle Zutritt zum Gebäude erhalten, aber auch die Systeme derart manipulieren, dass den Nutzern selbst der Zutritt verwehrt wird.
Schutz und Sicherheit beginnt schon mit der Bauphase
Bereits in der Bauphase und bei der Verwaltung von Immobilien nutzen Cyber-Kriminelle fehlende Sicherungsmaßnahmen in Bauunternehmen, Handwerksbetrieben und Wohnbaugesellschaften für den „Datendiebstahl“ sowie das Sperren und Zerstören von sensibler IT-Infrastruktur aus. Insbesondere durch das Aufspielen von Schadsoftware, wie Viren, Trojaner, Ransomware und Spyware, können personenbezogene Daten der Bauherren oder sensible Finanzdaten abgeschöpft, weitverkauft und unter Umständen die entsprechenden Personen damit erpresst werden. Der Vorfall bei der großen Wohnbaugesellschaft GWG aus München im November 2020 zeigt, dass auch das bloße Blockieren notwendiger IT-Systeme mit einer Schadsoftware als Instrument zur Lösegelderpressung genutzt wird.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist der Auffassung, Cyber-Angriffe seien „die größte Bedrohung für Unternehmen“ im Internet. Denn ist ein Angriff erfolgreich, drohen schwerwiegende Folgen für die betroffenen Unternehmen. Neben Schadensersatzansprüchen Dritter (Geschäftspartner, Kunden) drohen, aufsichtsrechtliche Konsequenzen und Imageverluste.
Von Angreifern geforderte Lösegelder zu zahlen scheint für betroffene Unternehmen dann häufig ein vermeintlich attraktiver Lösungsweg. Die zunehmend professionalisierten Cyber-Kriminellen wissen dies und bemessen die Lösegeldforderung meist konkret anhand des Einzelfalls. Die Summe tut weh – ist für das Opfer aber leistbar. Cyber-Kriminalität wird somit zum „Business Case“ für die Angreifer. Besonders lukrativ sind da natürlich Branchen wie der Immobilienwirtschaft, in der die Digitalisierung in den letzten Jahren rasant an Fahrt aufnahm und viele Akteure (nebst ihren Sicherheitsvorkehrungen) auf der Überholspur in die Tasche steckte, so zum Beispiel die Nutzung unausgereifter Technologien.
Vorsicht ist besser als Nachsicht – Auf die Vorbereitung kommt es an
Um nicht abgehängt zu werden und sich in dem unwägbaren Terrain juristischer Fallstricke sicher und komfortabel zu bewegen, benötigt man Lösungen bestenfalls bereits im Vorfeld. Denn im Falle eines Angriff-Szenarios ist keine Zeit, Lösungen erst noch zu erarbeiten.
Man spricht in diesem Zusammenhang von der sog. „Preparedness“. Dazu gehören Themen wie
- Bildung einer Taskforce zur Bearbeitung des Cyber-Angriffs aus den zuständigen Mitarbeitern der wichtigen Bereiche (i.d.R.: IT, Management, Compliance, Recht, Marketing).
- Einrichtung erforderlicher Befugnisse der Taskforce.
- Entwicklung eines Konzeptes für Krisenkommunikation nach innen und außen.
- Schulung von Mitarbeitern zum sicheren Umgang mit IT-Infrastruktur, Endgeräten, Cloudlösungen.
- Technische Maßnahmen zur Sicherung gegen Angriffe z.B. Antiviren-Software, Firewalls, Backups. Unerlässlich ist ferner, dass IOT-Geräte durch Schutzmaßnahmen gesichert werden.
- Abschluss entsprechender Cyber-Versicherungen.
Doch die beste Vorbereitung ist ohne eine konsequente Umsetzung („Incident Response“) wenig wert. Unternehmen sollten daher auch insoweit eine entsprechende Strategie entwickeln und diese in regelmäßigen Abständen auch einmal testweise durchlaufen, um für den Ernstfall gewappnet zu sein.
Dazu gehört:
- Aktivierung der Taskforce.
- Beauftragung eines (am besten vorab ausgesuchten) IT-Forensikers zur Aufarbeitung des Angriffs, Datensicherung, Beweisführung und Widerherstellung der Arbeitsfähigkeit des angegriffenen Systems. Bestenfalls besteht bereits ein vertragliches Verhältnis zu einem Forensiker mit entsprechenden Response-Zeiten, denn man will im Falle eines Angriffes nicht hören „da können wir uns in zwei Wochen drum kümmern, hier ist gerade gut was los“.
- Einschaltung von Staatsanwaltschaft, Polizei und gegebenenfalls BSI.
- Sofern vorhanden: Einschaltung der Cyber-Versicherung.
- Überprüfung datenschutzrechtlicher Meldepflichten sowohl gegenüber Datenschutz-Aufsichtsbehörden (vgl. Artikel 33 DSGVO) als auch Betroffenen, deren Daten geleakt wurden (vgl. Artikel 34 DSGVO). Da hier recht kurze Fristen einzuhalten sind (72 Stunden für die Meldung gegenüber der Aufsicht gelten), sollten Ansprechpartner mit notwendigem Knowhow feststehen.
Rechtliche Folgen bei einem Cyber-Angriff
Sind die ersten Wellen des Angriffs gemeistert, stellen sich diverse (rechtliche) Folgefragen wie bspw. die Prüfung von Regressansprüchen gegen den IT-Provider oder den Hersteller des Gadgets, über das der Angreifer Zugang zu dem betroffenen IT-System erlangte.
Ferner beobachten wir zunehmend, dass die Bearbeitung und Abwehr von Anfragen oder Ansprüchen Dritter im Nachgang eines Cyber-Angriffs ein erheblicher Aufwandstreiber ist. Plötzlich erhalten diverse Kunden, Mitarbeiter oder Besucher ein „unwohles Gefühl“, weil ihre Daten im Internet geleakt wurden und fordern zum Beispiel Auskunft oder Schadensersatz von dem betroffenen Unternehmen. Datenschutzaufsichtsbehörden treten auf den Plan und fordern in langen Fragebögen dezidiert Informationen zum Angriff, dem technischen Background, ergriffenen Präventionsmaßnahmen oder Auskunft darüber, ob und wie der Angriff hätte verhindert werden können.
Fehlen hier Prozesse, Knowhow oder Kapazität wird es schnell ungemütlich – sowohl rechtlich, als auch hinsichtlich des Images des betroffenen Unternehmens in der öffentlichen Wahrnehmung. Unternehmen sind daher gut beraten, sich mit den Themen zeitnah und im Detail auseinanderzusetzen.
P.S.: Das Thema ist Chefsache – wer sein Unternehmen nicht richtig auf Cyberangriffe vorbereitet haftet unter Umständen selbst und viele D&O Versicherung versagen die Deckung bei mangelnder Vorbereitung auf Cyberangriffe.