Cy­ber­si­cher­heit im Pla­nungs­bü­ro

Die Bedeutung der Risikoanalyse

Planungsbüros sind vor Cyberangriffen nicht gefeit. Eine Risikoanalyse im Voraus ist unumgänglich, um den Verpflichtungen gegenüber allen Projektbeteiligten nachzukommen und gewappnet zu sein, sollte es trotzdem zu einem Angriff kommen. Wie kann vorgegangen werden?

Publikationsdatum
07-06-2024
Peter Vonesch
dipl. El.-Ing. ETH/SIA et lic. oec. HSG, Cybersicherheitsexperte und Sensibilisierungscoach, Vorstandsmitglied der Gesellschaft der Ingenieure der Industrie GII des SIA
Urs Wiederkehr
Bauingenieur und Leiter des Fachbereichs Digitale Prozesse beim Schweizerischen Ingenieur- und Architektenverein SIA
Risikomanagementprozess nach gängigen Normen.

1 / 2

Risikomanagementprozess nach gängigen Normen.
Beispiel einer Risikomatrix. Die Risikotoleranzstufen (Farbverteilung) werden von der Unternehmensführung festgelegt (Risikoappetit).

2 / 2

Beispiel einer Risikomatrix. Die Risikotoleranzstufen (Farbverteilung) werden von der Unternehmensführung festgelegt (Risikoappetit).
© Peter Vonesch
Risikomanagementprozess nach gängigen Normen.

1 / 2

Risikomanagementprozess nach gängigen Normen.
Beispiel einer Risikomatrix. Die Risikotoleranzstufen (Farbverteilung) werden von der Unternehmensführung festgelegt (Risikoappetit).

2 / 2

Beispiel einer Risikomatrix. Die Risikotoleranzstufen (Farbverteilung) werden von der Unternehmensführung festgelegt (Risikoappetit).
© Peter Vonesch
Risikomanagementprozess nach gängigen Normen.
Beispiel einer Risikomatrix. Die Risikotoleranzstufen (Farbverteilung) werden von der Unternehmensführung festgelegt (Risikoappetit).

Cyberangriffe sind gemäss Nationaler Cyberstrategie NCS des Bundes – Bundesamt für Cybersicherheit (BACS) – absichtlich herbeigeführte Ereignisse, um bei der Nutzung der Informations- und Kommunikationstechnologie (IKT) die Vertraulichkeit, Verfügbarkeit oder die Integrität von Informationen beziehungsweise die Nachvollziehbarkeit ihrer Bearbeitung zu beinträchtigen. Da Planerinnen und Planer die IKT intensiv nutzen, ist es unabdingbar, dass sie die Risiken diesbezüglich kontinuierlich beurteilen und einschätzen, um nicht Opfer von Cyberangriffen zu werden. Denn ist es einmal so weit, ist es schlicht unmöglich, die eigenen Verpflichtungen oder die gegenüber dem Projektverbund zeitgerecht zu erfüllen. So kann es beispielsweise passieren, dass die fristgerechte Auszahlung der Löhne verunmöglicht wird, der Bauleitung der Zugang zum digitalisierten Bauprogramm und den Protokollen genommen wird oder wegen unpünktlicher Planlieferung Projektverzögerungen entstehen, die zu Schadenersatzforderungen führen. Im schlimmsten Fall kann das bis zum Konkurs des Unternehmens führen. 

Risiken sind das Ergebnis menschlichen Handelns und kein Produkt des Zufalls. Nur wer seine Cyberrisiken gut kennt, kann sie in Grenzen halten oder ganz vermeiden. Diese ergeben sich im Wesentlichen aus der für das Unternehmen relevanten Bedrohungslage und den eigenen Schwachstellen. Zur Beurteilung der Lage können mögliche und häufigste Bedrohungen unter anderem auf der Website des BACS entnommen werden, die eigenen Schwachstellen sind mittels Analysen zu ermitteln. Die daraus hergeleiteten Cyberrisiken sind im Kontext einer Unternehmensrisikoanalyse zu beurteilen. Dies kann letztendlich nur die Unternehmensführung verantworten. Deshalb ist die Cybersicherheit Chefsache und nicht nur ein technisches IT-Problem. Denn eine der grössten Schwachstelle ist der Mensch und sein Umgang mit den sich rasant weiterentwickelnden Technologien.

Der Faktor Mensch als grösste Schwachstelle

«Amateure hacken Systeme, Profis hacken Menschen», meint der amerikanische Experte für Computersicherheit Bruce Schneider. Dabei sind Menschen nicht das Primärziel. Sie sind eher die «passage obligé», also der obligatorische Durchgang zur gewünschten technischen Einrichtung, die ausser Betrieb gesetzt werden soll, um zum Beispiel das Unternehmen zu erpressen. Deshalb reicht es nicht, die entsprechenden Risiken nur zu verwalten. Schützen heisst vorbereitet und sensibilisiert zu sein. Es muss eine IKT-Resilienz, quasi eine von Innen kommende Widerstandskraft, aufgebaut werden. Diese muss von allen Mitarbeitenden im Planungsbüro getragen werden, bei Bauprojekten zwingend auch über alle beteiligten Stakeholder in der gesamten Wertschöpfungskette, von der strategischen Planung bis zum Betrieb. Cyberkriminellen sind die Organisationsformen der angegriffenen Systeme egal: Die schwächste Stelle wird ausgenutzt, was durch eine von Unternehmen gewünschte, starke Vernetzung begünstigt wird.

Zum Glück gibt es Vorbeugemassnahmen

Eine einheitliche Schutzlösung gibt es nicht. Je nach Positionierung und Auftragslage eines Planungsbüros und der aktuellen, relevanten Bedrohungslage sowie dem Engagement seiner Mitarbeitenden sind die Cyberrisiken unterschiedlich. Und sie können sich laufend ändern. 

Wegen anfallenden Kosten und fehlenden Ressourcen ist es nicht möglich, gegenüber allen Risiken eine volle Abwehrbereitschaft zu schaffen. Deshalb ist eine Risikoabschätzung angebracht: Dazu werden die Risiken bezüglich ihrer Auswirkungen bewertet und mit den Kosten der dafür notwendigen Vorbeugemassnahmen in Relation gesetzt. In der Beurteilung werden diejenigen Massnahmen bestimmt, die für das Unternehmen entscheidend sind und mit einem vertretbarem Aufwand umgesetzt werden können. Gleichzeitig werden gewisse Risiken als kontrollierter Risikoappetit bewusst in Kauf genommen. Das heisst, es besteht die Bereitschaft entsprechende Risiken auch einzugehen. Dabei muss beim Eintritt des Ereignisses der Schaden getragen werden können.

Am Anfang steht die Auslegeordnung

Die Ermittlung und Beurteilung von Risiken ist Teil eines fortlaufender Risikomanagementprozesses und damit eine Führungsaufgabe. Es gibt diverse Vorgehensweisen und auch entsprechende Normen wie die ISO-31000 (Risk Management) oder die ISO-27000 (Information Security Management Systems, ISMS). Jeder Risikomanagementprozess beginnt mit einer Bestandesaufnahme, also einer Auslegeordnung und Zusammenstellung der unternehmerischen Zusammenhänge, Abhängigkeiten und Rahmenbedingungen, um daraus die unternehmerischen Risiken zu identifizieren. Dazu sollen alle möglichen Risiken auf den Tisch kommen, unabhängig von deren Wichtigkeit. Anschliessend stellen sich Fragen zum Eintreten möglicher Störfälle: Ist dadurch das Unternehmen noch operativ? Kann das Unternehmen seine Verpflichtungen zeitgerecht erfüllen? Hat der Störfall Auswirkungen auf Dritte, die Schadenersatz fordern könnten? Im weiteren Vorgehen kann nun die Analyse, Bewertung und Dokumentation stattfinden.

Die bewerteten Risiken müssen vergleichbar gemacht werden, insbesondere bezüglich der Eintretenswahrscheinlichkeit und dem Schadenspotenzial. Dazu lohnt es sich, die verschiedenen Risiken in einer Risikolandkarte zu erfassen und vom unwahrscheinlichsten Eintritt mit unbedeutendem Schaden bis zum wahrscheinlichsten Eintritt mit existenzbedrohendem Schaden zuzuordnen. Daraus ergibt sich die Notwendigkeit von Massnahmen zur Minimierung oder Beseitigung der Risiken abhängig vom Risikoappetit der Unternehmensführung. Die Matrix (siehe Bildergalerie) zeigt ein Beispiel mit Risiken (R) und deren möglicher Entwicklung durch geeignete Gegenmassnahmen (Pfeile). Tipps wirkungsvoller Gegenmassnahmen für die digitale Sicherheit gibt es auf den Websites vom BACS und SUPER. Beispiele: Sicherheits-Updates überlegt umgehend installieren, regelmässige Schulung der Mitarbeitenden im Umgang mit potenziellen Gefahren, mit dem Internet, mit E-Mails, mit Passwörtern und vieles mehr. Diese getroffenen Gegenmassnahmen müssen umgesetzt und von allen mitgetragen werden. Schlussendlich ist jede Vorkehrung im Voraus besser als sich unvorbereitet überraschen zu lassen. Das gilt sowohl für das gesamte Unternehmen wie auch für neue und abgeschlossene Projekte, besonders wenn sie je nach weltweiter Bedrohungslage verstärkt ins Visier von Cyberkriminellen geraten und sie unter anderem kritische Infrastrukturen umfassen.

Und wenn es trotzdem passiert?

Trotz allen Vorkehrungen kann ein Cybervorfall dennoch passieren. Aber dank des vorsorgenden Risikomanagements bestimmt mit geringeren Auswirkungen. 

In welchem Umfang die eigene Reaktion auf die möglicherweise eintretenden Cyberangriffe in realistischer Umgebung geübt werden kann, muss seriös abgeklärt werden. Auch ohne üben wirkt sich die Auseinandersetzung mit möglichen Ereignissen und das Durchdenken von Szenarien positiv auf die Cyber-Resilienz des Unternehmens aus. Es ist auch wichtig, sich im Voraus Gedanken zu machen, wie der Normalbetrieb wieder erreicht werden kann (Business Continuity Management BCM). All das verlangt eine gemeinsame Anstrengung aller Stakeholder im betroffenen Umfeld. In der Regel lohnt es sich, dafür entsprechende Fachleute beizuziehen. 

Projekt «Cybersicherheit und Cyber-Resilienz in der Bauwirtschaft» an der Swissbau 2024
Das Projekt «Cybersicherheit und Cyber-Resilienz in der Bauwirtschaft» wurde von Peter Vonesch initiiert und wird zusammen mit Urs Wiederkehr geleitet und entwickelt. Für die Swissbau 2024 gestalteten und organisierten sie fünf Veranstaltungen zum Thema, führten diese mit dem Bundesamt für Cybersicherheit (BACS) durch und publizierten Fachartikel. In den beiden Veranstaltungen «Neue Ideen für zukunftsweisende Konstruktionen» und «Happy People» präsentierten und starteten die Projektleiter eine integrale Sensibilisierungsinitiative für die Bauwirtschaft. Sie führten mit dem BACS ein gemeinsam entwickeltes Cybersicherheitsspiel durch und Florian Schütz, Direktor BACS, erklärte in seiner Keynote-Session die Cybersicherheit zur Chefsache. Die Publikationen, Präsentationen und Video-Aufzeichnungen stehen auf der Swissbau-Website unter dem Suchstichwort «Cybersicherheit» zur Verfügung. Im GII-Newsletter 2_2024 gibt es eine Zusammenfassung mit weiteren Links.