Swissbau Blog Swissbau 2024

Cybersicherheit im Fokus: So kann sich die Baubranche schützen

Die Bauwirtschaft verantwortet viele systemkritische Infrastrukturen in der Schweiz. Mit der zunehmenden Digitalisierung und Vernetzung der Branche steigt das Risiko von Cyberangriffen.

  • Dominique Trachsel, Leiterin Sensibilisierung und Prävention, Nationales Zentrum für Cybersicherheit
    Dominique Trachsel, Leiterin Sensibilisierung und Prävention, Nationales Zentrum für Cybersicherheit

Deshalb sensibilisiert der Schweizerische Ingenieur- und Architektenverein gemeinsam mit dem Nationalen Zentrum für Cybersicherheit, dem künftigen Bundesamt für Cybersicherheit, an der Swissbau 2024. Für eine erste Einordnung des Themas sprachen wir mit Dominique Trachsel, Leiterin Sensibilisierung und Prävention beim Nationalen Zentrum für Cybersicherheit.

Dominique Trachsel, Cyberbedrohungen stellen heute eine wichtige Realität im Unternehmensalltag dar. Wie ordnen Sie die aktuelle Lage ein?
Unsere Welt wird immer digitaler und vernetzter und Cyberkriminelle nutzen Schwachstellen in Unternehmenssystemen oder die Leichtgläubigkeit der Internetnutzenden rücksichtslos aus. Allein letztes Jahr wurden dem Nationalen Zentrum für Cybersicherheit über 34'000 Cybervorfälle von der Bevölkerung, Unternehmen und Behörden gemeldet. Dazu kommt eine hohe Dunkelziffer von nicht gemeldeten Fällen.

Es gilt dabei jedoch zu betonen: Die grosse Mehrheit der Cyberangriffe ist ein Massengeschäft und bereits einfach umzusetzende Massnahmen helfen dabei, das Risiko erheblich zu reduzieren.

Wie definieren Sie einen Cyberangriff?
Unter einem Cyberangriff verstehen wir einen Cybervorfall, der sich mit böswilliger Absicht gegen ein Unternehmen, eine Behörde oder Privatperson richtet. Die Art des Angriffs kann dabei unterschiedlich ausfallen: In der Cyberkriminalität werden ungefähr 50 Cyberkriminalitätsphänomene unterschieden, von Phishing über Hacking bis hin zu verschiedenen Arten von Betrügereien, die mithilfe des Internets verübt werden.

Was sind die Angriffsvektoren von Cyberkriminellen?
Grundsätzlich beobachten wir zwei Infektionsvektoren: Zum einen sind dies Angriffe über die Mitarbeitenden, wie zum Beispiel Phishing, CEO Fraud oder Business Email Compromise. Bei diesen mit Hilfe von Social Engineering durchgeführten Angriffen findet ein Vertrauensaufbau statt, der dann zu einer Forderung führt. Zum anderen werden Schwachstellen im IT-System des Unternehmens ausgenutzt, über welche die Täterschaft auf ein Gerät oder in ein Computersystem eindringen kann.

Wie gestaltet sich gute Prävention im Unternehmen?
Wir beobachten, dass die meisten gut vorbereiteten Unternehmen Cybersicherheit zur Chefsache erklärt haben. Die Geschäftsleitung muss Cybersicherheit als geschäftskritische Herausforderung ganzheitlich angehen und sollte sie nicht einfach an die IT-Abteilung delegieren. Nur so können sich die Mitarbeitenden umsichtig verhalten und zum Schutz vor möglichen Bedrohungen beitragen.

 

Was können Unternehmen tun, damit sie weniger angreifbar sind?
Der strategische Sicherheitsansatz eines Unternehmens sollte neben den technischen vor allem auch organisatorische Aspekte berücksichtigen.

 

Was heisst das konkret?
Cybersicherheit im Unternehmen muss ein Bestandteil der Unternehmenskultur sein. Alle Mitarbeitenden sollten kontinuierlich sensibilisiert werden, damit sie die Cyberrisiken ihres Arbeitsalltags kritisch einschätzen können. Eine Mitarbeiterin in der Finanzabteilung eines Unternehmens ist dabei anderen Bedrohungen ausgesetzt als ein Mitarbeiter im Aussendienst. Die Geschäftsleitung muss deshalb sicherstellen, dass alle ihre rollenspezifischen Bedrohungen einordnen können und adäquat reagieren. Zusätzlich tragen klare, aktuell gehaltene und für die Mitarbeitenden nachvollziehbare Richtlinien und Anforderungen zum guten und sicheren Unternehmensbetrieb bei.

 

Wie sieht es bei den technischen Aspekten aus?
Wie schon gesagt, Cyberkriminalität ist ein Massengeschäft und schon einfache technische Sicherheitsmassen können viel bewirken. Dazu gehören beispielsweise das Updaten der IT-Systeme, um Schwachstellen zu beheben, regelmässige Backups oder die Verwendung von sicheren Passwörtern und Mehrfachauthentifizierung.

 

Welche Ressourcen stehen Unternehmen zur Verfügung?
Das NCSC stellt auf seiner Website viele Informationen und Anleitungen für Unternehmen und IT-Spezialisten bereit, die eine Umsetzung einer umsichtigen Strategie für Cybersicherheit ermöglichen. Wenn firmenintern kein IT-Wissen vorhanden ist, empfiehlt es sich, für die Umsetzung Experten beizuziehen.

 

Was sollten Unternehmen im Ernstfall tun?
Vorbeugen ist auch hier die beste Medizin. Unternehmen sollten nicht erst aktiv werden, wenn der Ernstfall eingetroffen ist. Umsichtiges Wirtschaften bedingt, sich präventiv auf einen Cybervorfall vorzubereiten. Dazu gehört, das Vorgehen für den Ernstfall mit einem Krisenkonzept zu planen, einen Krisenstab zu definieren und die Notfallszenarien regelmässig zu üben.

 

Wie entwickelt sich die Bedrohungslandschaft in Zukunft?
Die Bedeutung der Informationstechnologie in Geschäftsprozessen und Finanztransaktionen wird weiter zunehmen. Ebenso werden immer mehr Stellen in diese Prozesse involviert und die Vernetzung wird enger. Damit erweitern sich auch die Möglichkeiten für digitale Betrügereien, Spionage oder Erpressung. 

 

* Dominique Trachsel ist Leiterin Sensibilisierung und Prävention beim Nationalen Zentrum für Cybersicherheit. Das Nationale Zentrum für Cybersicherheit (NCSC) und künftige Bundesamt für Cybersicherheit ist das Kompetenzzentrum des Bundes für Cybersicherheit und damit erste Anlaufstelle für Wirtschaft, Verwaltung, Bildungseinrichtungen und Bevölkerung bei Cyberfragen.

Cybersicherheit in der Bauwirtschaft
Durch zunehmende Digitalisierung und Vernetzung wird Cybersicherheit auch in der Baubranche zu einer immer grösseren Herausforderung. Insbesondere die langen und verzweigten Wertschöpfungsketten – von Planung und Bau bis hin zum Betrieb einer Immobilie – machen Bauprojekte anfällig für Cyberangriffe.

Deshalb lanciert der Schweizerische Ingenieur- und Architektenverein (SIA) in Zusammenarbeit mit dem Nationalen Zentrum für Cybersicherheit (NCSC) an der Swissbau 2024 eine Sensibilisierungsinitiative unter dem Motto «Ein Cybervorfall – sind Sie darauf vorbereitet?». Ziel der Initiative ist es, das Thema Cybersicherheit branchenweit zu lancieren und praxisnahe Hilfsmittel und Dienstleistungen zur Prävention zu erarbeiten und dann zur Verfügung zu stellen.

 

Cybersicherheit an der Swissbau 2024

Möchten auch Sie sich über Fragen der Cybersicherheit in der Bauwirtschaft informieren? Dann nehmen Sie an der Swissbau 2024 an den entsprechenden Veranstaltungen teil.

 

Swissbau Focus – Keynote

Freitag, 19. Januar 2024 / 11:00-12:00

Focus-Event zum Thema Cybersicherheit in der Bauwirtschaft

Keynote-Session mit Podiumsdiskussion mit Florian Schütz, ab 01.01.2024 Direktor des Bundesamts für Cybersicherheit (NCSC).

https://www.swissbau.ch/de/e/ein-cybervorfall-sind-sie-darauf-vorbereitet-sicherheit-ist-chefsache-auch-in-der-bauwirtschaft.37459

 

Swissbau Lab

Freitag, 19. Januar 2024 / 13:30-15:00

Cyberspiel zum Thema Cybersicherheit in der Bauwirtschaft

Workshop mit einem Cyberspiel für die Bauwirtschaft, entwickelt vom SIA in Zusammenarbeit mit dem Nationalen Zentrum für Cybersicherheit NCSC.

https://www.swissbau.ch/de/e/ein-cybervorfall-sind-sie-vorbereitet-ein-cyberspiel-fuer-die-bauwirtschaft.39498

 

Swissbau Lab

Dienstag, 16. Januar 2024, 09:30-10:30

Kurzvorstellung der Sensibilisierungsinitiative zur Cybersicherheit in der Bauwirtschaft

Team Innovation Session: Neue Ideen für zukunftsweisende Konstruktionen und Happy People.

https://www.swissbau.ch/de/e/neue-ideen-fuer-zukunftsweisende-konstruktionen-und-happy-people.40347

 

Swissbau Lab

Dienstag, 16. Januar 2024, 10:45-11:45

Diskussion zur Sensibilisierungsinitiative zur Cybersicherheit in der Bauwirtschaft

World Café mit neuen Ideen für zukunftsweisende Konstruktionen und Happy People.

https://www.swissbau.ch/de/e/world-caf-mit-neuen-ideen-fuer-zukunftsweisende-konstruktionen-und-happy-people.41358

 

Swissbau Lab

Donnerstag, 18. Januar 2024, 12:30-13:30

Kurzvorstellung der Sensibilisierungsinitiative zur Cybersicherheit in der Bauwirtschaft

Team Innovation Session zu Neue Ideen für zukunftsweisende Konstruktionen und Happy People.

https://www.swissbau.ch/de/e/neue-ideen-fuer-zukunftsweisende-konstruktionen-und-happy-people.40332

Weitere Informationen

Weitere Informationen zur Initiative finden Sie im Fachartikel von Peter Vonesch und Urs Wiederkehr im Beitrag vom SIA. 

Unbenannt.PNG (2.9 MB)

Den Fachartikel von Peter Vonesch und Urs Wiederkehr finden Sie auch in der aktuellen Ausgabe des SIA-Magazins «Espazium» 

* Die Idee, die Cybersicherheit in der Bauwirtschaft mit einer Sensibilisierungsinitiative gesamthaft zu stärken und somit den Schutz ihrer sensiblen Daten, die Assets, das Kapital der Bauwirtschaft, zu unterstützen, wurde von Peter Vonesch initiiert. Urs Wiederkehr und Peter Vonesch bilden das Kernteam dieses Projekts.

Peter Vonesch: dipl. El.-Ing. ETH/SIA et lic. oec. HSG, ehemaliger IT-Consultant und Sektionschef Sicherheits- und Riskmanagement im IT-Bereich der Gruppe Verteidigung im VBS, ist Cybersicherheitsexperte, Berater und Sensibilisierungscoach und Vorstandsmitglied der Gesellschaft der Ingenieure der Industrie gii des SIA.

 

Urs Wiederkehr: Dr. sc. techn., dipl. Bau-Ing. ETH/SIA ist Leiter Fachbereich Digitale Prozesse SIA

Zugehörige Themengebiete (3)

Planung, Architektur, Ingenieurwesen

790 Elemente

Swissbau Focus & Lab

276 Elemente

Gesellschaft und Lebensraum

125 Elemente