Swissbau Blog Swissbau 2024

Cybersicherheit: Übung macht den Meister

Die Cybersicherheit hat auch in der Baubranche Priorität. Dies zeigen die steigenden Zahlen der gemeldeten Vorfälle beim Bundesamt für Cybersicherheit (BACS).

  • Das Projektteam von links nach rechts: Sandra Lüthi, BACS, Urs Wiederkehr, SIA, Peter Vonesch, gii-SIA, Dominique Trachsel, BACS (sitzend).
    Das Projektteam von links nach rechts: Sandra Lüthi, BACS, Urs Wiederkehr, SIA, Peter Vonesch, gii-SIA, Dominique Trachsel, BACS (sitzend).

Deshalb ist es für Bauunternehmen wichtig, sich proaktiv mit dem Thema zu beschäftigen und präventive Massnahmen schon vor dem Ernstfall umzusetzen. Bei der Sensibilisierung hilft ein praxisnahes Cybersicherheitsspiel, das der Schweizerische Ingenieur- und Architektenverein (SIA) gemeinsam mit dem BACS an der Swissbau 2024 lanciert hat. Das Cybersicherheitsspiel ist integraler Bestandteil der gestarteten Sensibilisierungsinitiative des SIA für die Cybersicherheit in der Bauwirtschaft.

«Mal schauen, ob ihr den nächsten Streich abwehren könnt», sagte Sebastian. «Dieses Mal haben wir die Spionagesoftware schon vor der Lieferung im WLAN-Drucker installiert. So zapfen wir zu einem späteren Zeitpunkt die geschäftskritischen Daten eures Unternehmens an. Habt ihr dem etwas entgegenzusetzen?» Er blickte erwartungsvoll in die Runde.

Sebastian, der eigentlich anders heisst, war ein Teilnehmer des praxisnahen Swissbau-Workshops «Ein Cyberangriff – Sind Sie vorbereitet?». Nach einer allgemeinen Einführung in die Grundlagen der Cybersicherheit, konnten die Teilnehmerinnen und Teilnehmer in einem eigens für die Bauwirtschaft entwickelten Cyberspiel die Wechselwirkungen zwischen Cyberangriff und Schutz erleben. Hierfür teilten sie sich in zwei Gruppen auf, nämlich Cyberkriminelle und Mitarbeitende eines Unternehmens.

Zuerst zogen sich die beiden Gruppen zurück, um sich mögliche Angriffs- bzw. Abwehrszenarien für einen Cyberangriff zurecht zu legen. Dann kamen sie im Plenum zusammen und die Cyberkriminellen griffen die potenziellen Opfer mit ihren Szenarien gezielt an. Der Haken: Die Gruppe der potenziellen Opfer musste die Lücken für alle möglichen Angriffsszenarien voraussehen und schliessen, noch ehe sie wusste, über welchen Vektor der Angriff tatsächlich erfolgen würde. Mit verschiedenen Vorgehensweisen versuchten die «Cyberkriminellen» ihre Opfer in die Knie zu zwingen und in das Unternehmen einzudringen.

Zur Abwehr des Angriffs von Sebastians Gruppe suchte die Unternehmer-Gruppe in ihrem Repertoire nach geeigneten Massnahmen. Sie hatten zwar daran gedacht, den Zugang zu ihrem WLAN zu sichern, doch dass die Schadsoftware schon auf einem neuen Gerät mitgeliefert werden könnte, hatten sie nicht bedacht. Dementsprechend stand im Ernstfall keine geeignete Abwehr bereit.

«Dieses Mal haben sie euch mit einem sehr ausgeklügelten Angriff erwischt. Der Cyberangriff war erfolgreich. Es gilt aber zu bedenken, dass die meisten Cyberangriffe viel trivialer durchgeführt werden», sagte Sandra Lüthi, Expertin für Cybersicherheit, die für das BACS das Spiel moderierte.

Ausgangsituation: Cybersicherheit in der Bauwirtschaft
Durch die zunehmende Digitalisierung und Vernetzung steigt auch in der Bauwirtschaft die Gefahr von Cybervorfällen. Diese kosten Unternehmen viel Geld, schädigen ihren Ruf und gefährden Existenzen. Umso wichtiger ist es für die Unternehmerinnen und Unternehmer der Bau- und Immobilienbranche, dass sie ihre branchenspezifischen Angriffsvektoren kennen und wissen, wie sie sich mit grundlegenden Massnahmen effektiv schützen können.

Beim Schutz gegen Cyberangriffe spielen insbesondere präventive Massnahmen eine entscheidende Rolle. Denn Tatsache ist: Heutzutage ist die Frage nicht, ob ein Unternehmen Opfer eines Cybervorfalls wird, sondern wann.

Sensibilisierungsworkshop an der Swissbau 2024
Um das Bewusstsein für die Gefahren eines Cyberangriffs zu stärken, führte der SIA gemeinsam mit dem BACS an der Swissbau 2024 einen Sensibilisierungsworkshop durch. Neben einer Keynote Session, Kurzvorträgen und verschiedenen Diskussionen veranstalteten die Organisatoren beim SIA, Urs Wiederkehr und Peter Vonesch, auch einen Workshop für interessierte Unternehmerinnen und Unternehmer. Mit einem gemeinsam mit dem BACS entwickelten Cybersicherheitsspiel konnte die Cyberabwehr praxisnah geübt werden. Das Ziel des Spiels ist, die Theorie erlebbar zu machen, Fehler in einem geschützten Rahmen zu erkennen und Diskussionen anzuregen.

Sebastian und die anderen Teilnehmenden am Swissbau-Workshop engagierten sich in einer angeregten Diskussion über konkrete Szenarien im Alltag. Die Abwehransätze reichten von organisatorischen Massnahmen wie Schulungen für Mitarbeitende, bis hin zu der technischen Sicherung von Glasfaserkabeln und Servern. Die Cyberkriminellen indessen wurden immer kreativer, und entführten im Spiel unter zunehmendem Gelächter einen Mitarbeitenden des Unternehmens. Am Ende waren aus ungefähr 20 Angriffen zwei erfolgreich.

Sandra Lüthi hielt fest: «Dass nur zwei Angriffe erfolgreich waren, zeugt von einer guten Vorbereitung seitens Unternehmen. Wenden Sie nun das Erlernte auch bei Ihnen in der Unternehmung an. Denken Sie daran: Eine gute Vorbereitung schützt Ihr Unternehmen und hilft auch im Ernstfall.»

4 Tipps, wie Unternehmen sich schützen können
In der heutigen Zeit ist es wichtig, dass Unternehmen die Berührungsangst mit dem Thema Cybersicherheit verlieren. Hier sind einige einfache Tipps, die Unternehmen beachten sollten, um ihre Cybersicherheit zu stärken.

1. Zur Chefsache erklären: Cybersicherheit muss in die Geschäftstätigkeit integriert werden. Die Geschäftsleitung sollte Cybermassnahmen in der strategischen Planung und Umsetzung miteinzubeziehen. Es reicht nicht aus, die Verantwortung für Cybersicherheit den IT-Verantwortlichen zu übertragen.

2. Integration in die Unternehmenskultur: Sicherheit sollte in der Unternehmenskultur im Alltag integriert sein. Nur so können sich alle Mitarbeitenden umsichtig verhalten und zum Schutz vor möglichen Bedrohungen beitragen.

3. Übung macht den Meister: Menschen sind Gewohnheitstiere und deshalb hilft es, wenn man achtsames Verhalten regelmässig übt. Eine Möglichkeit dazu bietet das Cybersicherheitsspiel.

4. Krisenszenario bereithalten: Unternehmen sollten einen Notfallplan bereithalten, der das Vorgehen im Ernstfall festlegt. Oftmals lohnt es sich, dafür professionelle Hilfe in Anspruch zu nehmen.

Weitere Ressourcen für Unternehmen

  • Das Cybersicherheitsspiel als Dienstleistung für Unternehmen

Im Rahmen der Sensibilisierungsinitiative des SIA wird das Cybersicherheitsspiel derzeit weiterentwickelt und später als Dienstleistung für Unternehmen auf der SIA-Website publiziert. Das Cybersicherheitsspiel kann dann beim SIA bezogen werden. 

  • Replay der Keynote Session

Wollen Sie mehr zu Cybersicherheit erfahren und die Präsentation herunterladen? Dann schauen Sie hier die Aufzeichnung der Keynote Session mit Florian Schütz, dem Direktor des Bundesamts für Cybersicherheit, sowie den SIA-Fachleuten.

  • Replay der Kurzvorträge zur SIA Initiative Cybersicherheit in der Bauwirtschaft

Wollen Sie mehr zur Sensibilisierungsinitiative für die Cybersicherheit in der Bauwirtschaft erfahren und die Präsentation herunterladen? Hier finden Sie die Aufzeichnung der Team Innovation Session «Neue Ideen ... Happy People» mit Peter Vonesch, Vorstand gii-SIA, Initiant und Projektleiter der Initiative, und Urs Wiederkehr, Leiter Fachbereich digitale Prozesse SIA. Ab Filmsequenz 33 min. 19 sec.

  • Informationen vom Bundesamt für Cybersicherheit

Auf der Webseite finden Unternehmen weitere Informationen und Merkblätter vom Bundesamt für Cybersicherheit.

Zugehörige Themengebiete (3)

Planung, Architektur, Ingenieurwesen

789 Elemente

Swissbau Focus & Lab

276 Elemente

Gesellschaft und Lebensraum

125 Elemente