Datenschutz und Cyber Security Maßnahmen in der Immobilien- und Baubranche

Im Jahr 2016 betrug der auf Cyberkriminalität zurückgehende Schaden für die Weltwirtschaft mehr als 450 Milliarden USD. Weltweit wurden mehr als 2 Mrd. Personendaten gestohlen. Allein in den USA wurden 100 Millionen Krankendaten missbräuchlich entwendet. Jüngste Untersuchungen wie bspw. der Hiscox Cyber Readiness Report 2017 zeigen, dass weniger als die Hälfte der 3.000 in den USA, UK und Deutschland analysierten Unternehmen wirksam gegen Cyber-Attacken gerüstet waren.Dieser leichtfertige Umgang mit Cyber Security ist besorgniserregend, da zweifelsohne alle Unternehmen gefährdet sind. Vor allem in den traditionell analogen Industrien wie bspw. dem Immobilien- und Bausektor hält sich jedoch hartnäckig ein Gefühl der Immunität in Bezug auf Cyber-Attacken, was letztlich ein hohes Risiko birgt.Durch die zunehmende Verwendung von digitalen Technologien werden die vermeintlich sicheren Informationen und Daten in verschiedenster Weise gefährdet: Onlinetransaktionen, Clouds, Smartphones und Social-Media bieten Angriffspunkte für Hacker. Mit jedem neuen digitalen Vorgang bzw. Austausch erhöht sich die Komplexität der Datensicherheit sowie die Wahrscheinlichkeit eines Cyberangriffs. Der Immobilien- und Bausektor ist für potentielle Angreifer äußerst attraktiv und aufgrund der geringen Cyberabwehr in hohem Maße gefährdet. Was sind die Gefahren und wie kann sich die Immobilien- und Baubranche schützen?Immobilien- und Bauunternehmen verfügen über sensible Daten wie bspw. Baupläne, Infrastrukturdesigns, Kunden- oder Finanzdaten. Oftmals verwalten Immobilienunternehmen auch beträchtliche Geldmittel, sodass sie ein ideales Ziel für Hacker darstellen. Erste Bedenken über Risiken bei Großtransaktionen sind in der Branche bereits zu vernehmen.Regelmäßig sollten Kommunikationskanäle auf ausreichende Sicherheit geprüft und Online-Messaging-Apps möglichst vermieden werden. Erhöhte Vorsicht beim Öffnen von verdächtigen E-Mails oder Anhängen ist generell dringend zu empfehlen. Unternehmensweite Informationen und Schulungen zur Identifikation von Onlinerisiken helfen bei der Prävention. Überprüfen Sie Ihre KommunikationswegeSichere Kommunikationskanäle sind essenziell. Immobilien- und Bauunternehmen speichern Details über vertrauliche Angebote, die eventuell Informationen über äußerst gewinnbringende Verträge enthalten. Ohne angemessene Cyber Security ist das betroffene Unternehmen ein potentielles Ziel von Unternehmens-spionage. Der Anreiz, die Angebotspreise der Konkurrenz zu kennen und diese anschließend zu unterbieten, ist groß.Immobilien- und Bauunternehmen werden häufig von unternehmensexternen Personen (Berater, Vermittler, Sachverständige etc.) unterstützt, die in kleineren Büros oder auch zuhause arbeiten. Diese Personen sind besonders anfällig für gezielte Cyberangriffe. Ebenso weist die Unternehmensführung von Immobilien- und Bauunternehmen ein erhöhtes Risiko auf, Opfer von Unternehmensspionage zu werden auf. Sensible Informationen können dabei auch als Druckmittel verwendet werden. Aus diesen Gründen müssen Smartphones, Tablets und Laptops regelmäßig überprüft werden, um sicher zu stellen, dass Nachrichten, Anrufe oder Emails nur vom eigentlichen Empfänger gesehen bzw. gehört werden.  Smart Cities und BuildingsSogenannte ‚Smart Cities‘ stellen ein wesentliches Risiko dar: jedes internetfähige Gerät ist der Gefahr ausgesetzt, missbräuchlich verwendet zu werden. In Smart Cities sind zahlreiche dieser potentiellen Risikoquellen vorhanden: Videoüberwachungsanlagen, Verkehrssteuerungs- sowie Infrastruktursysteme, Stromleitungen, Abwasserkanäle usw.Zusätzlich bieten Smart Buildings und die Verwendung von Geräten, die stets noch vernetzbarer werden, Angriffsflächen für den Missbrauch personenbezogener Daten und auch der physischen Sicherheit. Beispielsweise regeln Gebäudemanagementsysteme (GMS) Klimaanlagen-, Fernseher-, Beleuchtungs- und Schließsysteme. Obwohl hierfür i.d.R. separate Systeme verwendet werden, sind diese GMS oftmals internetfähig.  Dies setzt sie denselben Gefahren wie konventionelle IT-Systeme aus. Der potenzielle Missbrauch des GMS wird durch die Verwaltung der dazugehörigen Netzwerke durch Personal ohne fundierte IT-Kenntnisse wie Gebäudemanager oder Wachdienst begünstigt. Die physische Sicherheit ist bei GMS besonders im Fokus: man stelle sich nur einen fremdgesteuerten Lift oder eine falsch gesteuerte Heizung vor. Ebenso sollten Gebäudepläne nicht in falsche Hände gelangen. Generell sind die langfristigen Auswirkungen eines Cyberangriffs auf das Unternehmen zu bedenken, die sich in Umsatz- und Reputationsverlusten äußern können. Reputations- und finanzielle Risiken Die wesentlichen Risiken für Unternehmen sind direkt finanzieller Natur sowie Reputationsschäden. Jeder Reputationsschaden hinterlässt allerdings auch finanzielle Spuren. Zahlreiche Staaten implementierten bereits neue Vorschriften zum Schutz der Konsumenten vor Hackerangriffen. Unterlassen Unternehmen die Anpassung ihrer Cyber Security-Maßnahmen an die geänderten Regulierungen, schaden sie ihrer Reputation.Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union soll die Datensicherheit aller Personen in der EU stärken und eine EU-weite Vereinheitlichung der Datensicherheit bewirken. Das Hauptziel der DSGVO ist es, den Bürgern die Kontrolle über die eigenen Daten zurückzugeben. Die Verordnung sieht eine Strafe von bis zu 4 % der globalen Jahresumsätze für Unternehmen vor, die ihre Datensicherheitsmaßnahmen nicht entsprechend anpassen. Ebenso wie die Strafzahlungen, sind Immobilien- und Baugesellschaften nunmehr von einem breiter gefächerten Risiko eines Reputationsschadens betroffen. Eine Datenschutzverletzung oder ein Reputationsschaden eines Managers durch eine Social-Media-Kampagne kann dazu führen, dass Geschäftspartner und Kunden sich vom Unternehmen abwenden.Noch haben Immobilien- und Bauunternehmen bis Mai nächstes Jahres Zeit, ihre IT- und Datenver-arbeitungssysteme zu überarbeiten und auf den neusten Stand zu bringen, um eine Anpassung an die neuen Vorschriften zu erreichen. Die Aufsichtsbehörden der EU gaben bekannt, dass keine Verlängerung der Umsetzungsfristen vorgesehen ist. Ein Versäumnis der Evaluierung der Cyber-Security-Maßnahmen gefährdet die Unternehmensreputation und letztlich auch die wirtschaftliche Stabilität der Unternehmen. Für Fragen steht Ihnen unser Partner, Markus Trettnak, gerne zur Verfügung.