Die Cybersicherheit, die als eine der größten Bedrohungen der Gegenwart gilt, wurde noch nicht als Schlüsselthema für den Immobiliensektor hervorgehoben. Mit dem voranschreitenden Übergang zu intelligenten und smarten Gebäuden,  verändert sich der Bedarf an Cyber-Security innerhalb der Branche sich nun schnell. Wie real sind die Bedrohungen und welche Maßnahmen sollte der Sektor ergreifen, um die Risiken zu minimieren? Diese Frage geht weit über die  reine IT hinaus und hat unmittelbare Auswirkungen.

Die Cyber-Bedrohungen von heute

Es ist ein kalter, regnerischer Tag in Köln und die Leute sind in die Einkaufszentren gezogen, um trocken und warm zu bleiben und ihre Weihnachtseinkäufe fortzusetzen. Plötzlich, ohne Vorwarnung, beginnen die Temperaturen zu steigen.

Die Menschen fangen an, in ihrer Winterkleidung zu schwitzen. Die Feuerlöscher und Sprinkleranlagen gehen los, es entsteht Chaos und das gesamte Einkaufszentrum muss schnell geräumt werden. Die Sicherheitskräfte kratzen sich den Kopf, völlig ahnungslos, was passiert. Zumal ihre Systeme ihnen sagen, dass es kein Feuer gibt, das mit der Gebäudetemperaturregelung zu tun hat. Das Problem, das noch nicht erkannt wurde, ist, dass das brandneue, vollelektronische Gebäudemanagementsystem des Einkaufszentrums gehackt wurde und der Hacker nun alle Kontrolleinheiten manipuliert. Es ist nicht der Ort, an dem man erwarten würde, dass Hacker angreifen, aber das Potenzial für Störungen von Unternehmen und Gebäuden ist genauso groß wie bei jedem Virus oder Informationsdiebstahl.

Haftung des Eigentümers

Vorbei sind die Zeiten, in denen sich ein Unternehmen ausschließlich auf die physischen Aspekte der Sicherheit konzentrieren konnte… Die Aufmerksamkeit heute muss auf eine neue digitale Herausforderung gerichtet werden: Gebäudemanagementsysteme, die von der Klimatisierung bis hin zum Fernseher, der Zutrittskontrolle, der Beleuchtung und den Türschlössern alles abdecken, arbeiteten traditionell an seriellen Netzwerken und wurden von herkömmlichen IT-Netzen getrennt. Da diese Systeme internetfähig geworden sind, sind sie nun offen gegenüber  allen möglichen Bedrohungen, denen herkömmliche IT-Systeme ausgesetzt sind. Das Schadenspotenzial ist beträchtlich. Bei Immobilien sind die unmittelbaren Auswirkungen wahrscheinlich nicht vom Eigentümer, sondern von den Mietern des Gebäudes zu spüren, wobei die Umsätze durch Kollateralschäden und der Klientelabbau verloren gehen. Die längerfristigen Auswirkungen spürt das Immobilienunternehmen dann, wenn es plötzlich gezwungen ist, seine Mieter für den Verlust von Handelsumsätzen und Markenreparaturen zu entschädigen, wenn die wahre Ursache des Vorfalls entdeckt wird.

Sicherheitslücken in smarten Gebäuden

Gebäudemanagementsysteme sind offen für Missbrauch, da ihre Netzwerke in der Regel von Facility Managern, Hausmeistern oder Sicherheitskräften verwaltet werden, die oft wenig oder gar keinen Hintergrund in der IT oder Vernetzung haben. Infolgedessen können Gebäudemanagementsysteme trotz des zunehmenden Trends zu smarten Gebäuden, die dazu beitragen, Energieverluste und unzureichende Sicherheit zu reduzieren, die grundlegenden Sicherheitsanforderungen nicht erfüllen. Dies hat die Hersteller von Beleuchtungs-, Zutrittskontroll-, Heizungs- und Klimaanlagen dazu veranlasst, Standards zu entwickeln und zu etablieren, die das Internet der Dinge nutzen und eine bessere Integration bisher ungleicher Systeme unterstützen.

Ein Großteil dieser Bemühungen fällt unter das Dach des Open Building Information Exchange, dessen Ziel es ist, eine einheitliche XML- und Web Services-Richtlinie zu erstellen und zu pflegen, um den Informationsaustausch zwischen intelligenten Gebäuden zu erleichtern und die Integration von Unternehmensanwendungen zu ermöglichen. Viele dieser Systeme werden jedoch ohne Rücksicht auf die Schutzmaßnahmen und Kontrollen der Cybersicherheit entwickelt: So wird beispielsweise eine kurze Google-Suche ergeben, dass jeder Gebäudemanagementsystem-Controller an einem bestimmen öffentlichen Ort verwendet wird, das es einem potenziellen Angreifer ermöglichen würde, einen Angriff zu planen. Dafür muss er einfach eines der Produkte kaufen und testen. Während es schwierig wäre, genau zu wissen, wie diese Systeme konfiguriert sind, wäre ein Angreifer in der Lage, das Basisprodukt durch Open-Source-Informationen zu bestimmen. Das grundlegende Problem ist, dass die Steuerung, das eingebettete Betriebssystem und der Webserver nicht in nennenswertem Umfang geschützt sind. Das ist ein häufiges Problem bei Embedded-Betriebssystemen. Sie sind schwer zu patchen und zu aktualisieren, da sie nicht von traditionellen IT-Teams gepflegt werden. Stattdessen arbeiten sie mit Legacy-Technologie, die nur alle 10-15 Jahre installiert oder aktualisiert wird.

Schutz von Vermögenswerten

Cybersicherheit und physisches Sicherheitspersonal haben ein gemeinsames Ziel: den Schutz von Vermögenswerten. Der Schlüssel besteht jedoch darin, das gesamte Ausmaß der zu schützenden Vermögenswerte zu ermitteln, da die materiellen Vermögenswerte des Sektors einen Vektor für eine schädlichere und breitere Bevölkerung von Organisationen darstellen. Immobilienunternehmen sollten sich auf die geschäftlichen Auswirkungen von Risiken konzentrieren und dabei sicherstellen, dass traditionell unterschiedliche Managementkontrollen und -disziplinen eine gemeinsame Sprache sprechen und einen kooperativen Ansatz zwischen Cybersicherheit und physischem Sicherheitspersonal entwickeln, um die Bedenken der anderen zu berücksichtigen. Dazu gehört auch das Verständnis der verschiedenen Vorschriften und Richtlinien, die jeweils zu befolgen sind, was manchmal widersprüchlich sein kann. Die Folgen eines Ausfalls des Sicherheitssystems können katastrophal sein: In den letzten Jahren haben solche Ausfälle zu vielen gut publizierten Datenschutzverletzungen geführt.

Der Fall der Datenschutzverletzung

In den letzten 10 Jahren gab es ein unvorhergesehenes Ausmaß an Datenschutzverletzungen. Diese Entwicklung geht zurück auf eine Vielzahl gemeldeter Fälle von Viren, Würmern oder Trojanern, die in das Computersystem von Unternehmen eindringen, Malware, webbasierte Angriffe, gestohlene oder verlorene Geräte, Mitarbeiterfehler (fahrlässig oder absichtlich), Phishing und Social Engineering. Da Kriminelle alles von der Identität des Kunden bis zur Bankverbindung stehlen, wächst die Angst der Öffentlichkeit fast ebenso schnell wie der Schutz der Vermögenswerte. Kriminelle und Hacker entwickeln allerdings ständig neue und zuverlässige Methoden, um sichere Systeme zu infiltrieren. Innerhalb des Sektors verfügen Immobilienverwalter, Makler oder Vertreter, Entwickler, Gutachter, Multiservice-Immobilienfirmen und andere über erhebliche Mengen an vertraulichen Informationen Dritter, entweder in Form von persönlich identifizierbaren Informationen oder vertraulichen Unternehmensinformationen, die in Vermietungsanträgen, Kreditberichten, Miet- und Mietverträgen gespeichert sind – alle Arten von Informationen, die Cyberkriminelle anstreben.

Durch Maßnahmen zur Aufbewahrung und Vernichtung vertraulicher Aufzeichnungen wird sichergestellt, dass diese Daten nur so lange aufbewahrt werden, wie es rechtmäßig erforderlich ist, um sie vor möglichem Identitätsdiebstahl zu schützen und die Einhaltung der Datenschutzgesetze zu gewährleisten. Die auf mehreren Online- und Mobilgeräten gespeicherten vertraulichen Daten müssen geschützt und  angemessen entsorgt werden. Dies kann mit einer Software erreicht werden, die automatisch Informationen von Festplatten löscht und die Wiederherstellung von gelöschtem Material verhindert.

Der Verlust von Daten

Missbräuchliche Kunden- oder Mieterinformationen von zum Beispiel verlorenen Laptops, können zu einer erheblichen Haftung für einen Eigentümer und bzw. oder Vermieter führen. Immer wieder sind wir mit Fällen konfrontiert, in denen durch Mitarbeiter von Unternehmen Lapotops oder andere Enderäte verloren oder gestohlen werden. Problematisch werden solche Vorfälle, wenn die Geräte eine Vielzahl von empfindlichen und personenbezogenen Daten enthalten, die nicht verschlüsselt oder anderweitig geschützt sind. Während Immobilienunternehmen zunehmend die Speicherung von Informationen auslagern, um effektive, kosteneffiziente IT-Services zu erhalten, muss die Nutzung von IT-Systemen von Drittanbietern angemessen verwaltet werden, indem sie vertragliche Verantwortung, wie z.B. die Meldung von Verstößen, auf ihre Serviceanbieter übertragen.

Die Kosten der Cyberkriminalität

Der Schlüsselbereich, in dem Unternehmen das Bewusstsein für die finanziellen Auswirkungen fehlt, sind die Kosten der Sanierung. Das Bewusstsein für Cyberkriminalität mag zunehmen, aber die mit der Behebung dieser Angriffe verbundenen Kosten haben sich nur langsam entwickelt. Die durchschnittlichen Kosten einer forensischen Untersuchung eines verlorenen Laptops können heute bei etwa 50.000 Euro liegen, von denen 80% mit Bußgeldern für Datenschutzverletzungen und Korrekturmaßnahmen für betroffene Kunden und Privatpersonen zusammenhängen. Der Verlust von Daten Die Kosten für Besitzer von Cyberkriminalitätsdaten, verglichen mit nur 3-4% für die Kosten des Austauschs des Computers. Um einen Verstoß zu untersuchen und zu beheben, werden oft forensische Unternehmen beauftragt, um die Quelle zu identifizieren, was weitere Kosten verursacht. Auch die Kosten für die Benachrichtigung von Personen, deren vertrauliche Informationen möglicherweise gefährdet sind, können erheblich sein. Die Reaktion auf Verstöße kann sich auch negativ auf die Produktivität auswirken, indem sie auf wichtige Unternehmensressourcen zurückgreift, um schnell und effektiv reagieren zu können. Schließlich können Netzunterbrechungen auch zu Einkommensverlusten und unnötigen Mehraufwendungen für Immobilienunternehmen und deren Mieter führen, die auf ihr Netzwerk angewiesen sind, um ihr Tagesgeschäft zu betreiben, was das Potenzial für weitere Haftungen schafft. Zusammen können diese Verbindlichkeiten und Kosten in die Millionenhöhe steigen, die Bilanzen größerer Immobilienunternehmen schädigen und kleinere Unternehmen lähmen.