Immobilienbranche: Cybersecurity – die nächste Großbaustelle | Immobilien

Robert Betz

Management Consulting Real Estate & EMA Head of Digital Real Estate, KPMG

Immobilienbranche: Cybersecurity – die nächste Großbaustelle — Bild: Pixabay Mitarbeiterlaptops sind ein beliebtes Einfallstor für Hacker – jedoch bei weitem nicht das einzige

Digitalisierung und Smart Building schlagen die Brücke zwischen Immobilien und Cybersicherheit. Zwingend notwendig, da professionelle Angriffe zunehmend zentral und zielgerichtet erfolgen. Eine Studie von KPMG und ZIA beleuchtet den aktuellen Stand: wo die Branche verwundbar ist und was zu tun ist.

"Alle elf Sekunden verliebt sich ein Hacker in ein Unternehmen." So oder ähnlich beginnt eine unheilvolle Liebesgeschichte im Zeitalter der Digitalisierung. Die Vernetzung von Unternehmen und Gesellschaft schreitet immer weiter voran. Immer mehr Daten werden online gespeichert und ausgetauscht. Zudem werden immer mehr Geräte und Systeme miteinander vernetzt.

Smart Building als Brücke zur Cybersicherheit

Auf den ersten Blick mögen die beiden Themenkomplexe Immobilien und Cybersecurity wenig gemeinsam haben, da Cybersecurity in der Regel mit technologischen Themen wie Computersystemen, Netzwerken und Software in Verbindung gebracht wird. Bei genauerer Betrachtung wird jedoch deutlich, dass die Digitalisierung und Begriffe wie Smart Home und Smart Building eine Brücke zwischen Immobilien und Cybersecurity schlagen. Immer mehr Menschen nutzen die Vorteile von Smart-Home-Technologien, wie internetverbundene Haushaltsgeräte und sensorgesteuerte Hausautomation.

Ebenso setzt die Immobilienwirtschaft in ihren neu gebauten Immobilien auf die Vorteile moderner Technologien. Hierbei geht es nicht nur um IT-Systeme und Software zur Gebäudesteuerung, sondern auch um technische Einbauten in Gebäude, die über webbasierte Zugänge verfügen. Beispiele hierfür sind Lösungen für Verbrauchsmessungen (Smart Metering), Photovoltaikanlagen, Fernzugriffe zur Heizungssteuerung und Sensorik für Predictive Maintenance (vorausschauende Instandhaltung).

Cyberangriffe auf die Immobilienwirtschaft können verschiedene Formen annehmen. Die unmittelbaren Bedrohungen, wie Datendiebstahl, Phishing, Denial-of-Service-Angriffe, Ransomware-Angriffe und Malware, sind in diesem Kontext leicht erkennbar. Jeder dieser Angriffe hat seine eigenen spezifischen Methoden und Ziele, aber sie folgen im Allgemeinen dem oben beschriebenen Muster. Mit der zunehmenden Digitalisierung und Vernetzung von Gebäuden und Anlagen steigt jedoch auch das Risiko von Cyberangriffen auf die Infrastruktur. Ein Beispiel sind Attacken auf die Gebäudeautomation, die dazu führen können, dass die Steuerung von Heizung, Lüftung und Klimaanlage gestört wird. Dies kann nicht nur zu Komforteinbußen für die Nutzerinnen und Nutzer führen, sondern auch zu Schäden an der Gebäudetechnik. Ein weiteres Beispiel sind Angriffe auf die Sicherheitssysteme von Gebäuden.

Cyberangriff: Das Gegenteil eines Banküberfalls

Hier können Hacker versuchen, Zugang zu Überwachungskameras oder Alarmsystemen zu erlangen, um Einbrüche oder Diebstähle zu ermöglichen. Auch die Manipulation von Zugangskontrollsystemen ist möglich. Das kann zu Sicherheitsrisiken für die Nutzer führen.

Die Durchführung eines Cyberangriffs ist dabei das Gegenteil von einem klassischen Banküberfall, bei dem viel physische und psychische Gewalt in möglichst kurzer Zeit ausgeübt wird; jedenfalls wenn man danach der Polizei entkommen möchte – aber das ist ein Thema, welches wir hier nicht vertiefen möchten. Ein Cyberangriff folgt hingegen oftmals einem von Vorsicht und Gelassenheit geprägten Muster, denn hier möchte der Angreifer möglichst nicht auffallen. Zu Beginn erfolgt die Erkundung des anzugreifenden Systems mit dem Ziel, Schwachstellen und Möglichkeiten zu finden, um in ein IT-Netzwerk einzudringen.

Da oftmals viele Ziele gleichzeitig angegriffen werden, herrscht hier keine Eile und Gewalt ist auch nicht notwendig. Sobald eine Schwachstelle entdeckt wurde, nutzt der Angreifer sie, um Zugriff auf das Netzwerk und die damit verbundenen Systeme zu erhalten. Schrittweise wird dann versucht, den Bewegungsspielraum im Netzwerk zu erhöhen, um auf weitere Daten und Systeme zugreifen zu können. Am gewünschten Ziel angekommen, beginnt der Angreifer Daten und Informationen aus dem System zu sammeln, die für ihn von Interesse sind. In aller Ruhe und ohne massiven Netzwerkverkehr auszulösen, kann er diese dann aus dem System auf seine eigenen Server oder Computer kopieren. Um nicht aufzufallen, wird abschließend oftmals versucht, die hinterlassenen Spuren, wie zum Beispiel IP-Adressen oder Werkzeuge, zu verwischen.

Die Folgen von Cyberangriffen können dabei gravierend sein – angefangen beim Datenverlust über Betriebsstörungen bis hin zu finanziellen Verlusten und Reputationsschäden. Im schlimmsten Fall ist man als Unternehmen nicht mehr betriebsfähig. Doch werden die Risiken der fortschreitenden Digitalisierung in der Immobilienwirtschaft ausreichend beachtet und aktiv gemanagt?

Cyberkriminalität in der Immobilienbranche: Befunde einer Studie

Eine Ende November 2023 von KPMG in Deutschland veröffentlichte Studie widmet sich dem Thema "Cybersecurity in der Immobilienwirtschaft" und beleuchtet die wachsende Bedeutung von Cybersecurity in der digitalisierten Welt. Die Studie, die in Zusammenarbeit mit dem Zentralen Immobilien Ausschuss (ZIA) erstellt wurde, spiegelt den Status quo im Umgang mit Cybersecurity in der Immobilienwirtschaft wider. Sie zeichnet ein umfassendes Bild der Wahrnehmung und Umsetzung von Cybersecurity in der Branche und behandelt wesentliche Fragestellungen aus drei Blickwickeln: Unternehmen, Immobilien und Mitarbeitende.

Mehr als die Hälfte der befragten Unternehmen hat Kenntnis von Cyberattacken auf ihre Systeme oder die Systeme ihrer IT-Dienstleister. 93 Prozent der Unternehmen prognostizieren, dass die Anzahl der Cyberattacken in den nächsten fünf Jahren steigen wird. Die Relevanz von Cybersecurity wird hoch eingeschätzt, insbesondere von Unternehmen, die nur ein grobes Verständnis ihrer eigenen Cybersecurity-Lage haben und keine proaktiven Maßnahmen zur Verbesserung durchführen.

Im Handlungsfeld "Unternehmen" werden wichtige Erkenntnisse präsentiert:

Je größer ein Unternehmen ist, desto wahrscheinlicher ist es, Opfer einer Cyberattacke zu werden. Die durchschnittliche Anzahl von über 280 erwarteten Angriffen pro Jahr unterstreicht die Dringlichkeit von robusten Sicherheitsmaßnahmen.
Interessanterweise ergreifen Unternehmen, die die Relevanz von Cybersecurity als besonders hoch einschätzen, eher seltener proaktive Maßnahmen zur Verbesserung ihrer Absicherung.
Rund 51 Prozent der befragten Unternehmen haben bereits eine Cybersecurity-Strategie etabliert, während etwa 33 Prozent sich in der Phase der Strategieumsetzung befinden. Diese wird bisher jedoch vielfach noch nicht regelmäßig überprüft und angepasst, um auf neue Bedrohungen reagieren zu können. Auch die Zusammenarbeit mit externen Expertinnen und Experten kann dabei helfen, die Cybersicherheit zu verbessern.
Die Relevanz von Cybersecurity auf Vorstandsebene korreliert stark mit der Implementierung von Vorgaben und Richtlinien. Im Handlungsfeld "Immobilie" wird deutlich, dass Smart-Building-Technologien eine wichtige Rolle spielen:
89 Prozent der Befragten erkennen die Bedeutung von Smart-Building-Technologien. Bei 69 Prozent der Unternehmen ist in den Immobilien mindestens eine Smart-Building-Technologie verbaut, die es zu schützen gilt.
Leider hat nur eine Minderheit der Unternehmen eine Strategie erarbeitet, um die Gebäudetechnik vor Cybersecurity-Attacken zu schützen. Tatsächlich geben fast 80 Prozent der Befragten an, dass ihr Unternehmen keine unternehmensweite beziehungsweise portfolioweite Strategie für den Schutz seiner Gebäudetechnik entwickelt hat. Lediglich 20 Prozent haben eine solche Strategie.

Regelmäßige Schulung entscheidet über Erfolg

Im Handlungsfeld "Mitarbeitende" zeigt die vorgelegte Studie klar, dass eine effektive Cyber-Sicherheitsstrategie nicht nur von der Unternehmensführung, sondern von allen Ebenen innerhalb des Unternehmens getragen werden sollte. Hierbei sind kontinuierliche Sensibilisierung und Schulung über Cybersicherheitsrisiken für alle Ebenen essenziell, um ein umfassendes Verständnis und eine proaktive Herangehensweise zur Risikominimierung zu gewährleisten. Die Studie hält ausdrücklich fest:

Es gibt eine Diskrepanz zwischen der Eigenwahrnehmung und der Wahrnehmung der Führungspersonen hinsichtlich der Kenntnisse zu Cyberrisiken von nicht-leitenden Mitarbeitenden.
Über 70 Prozent der Unternehmen binden externe Dienstleister in Fragen der Cybersecurity ein.
Nur 47 Prozent der Unternehmen haben formelle Regelungen zur Einhaltung von Sicherheitsvorgaben für Dienstleister getroffen.
Die Studie betont die Wichtigkeit von Schulungen zur Cybersecurity für die Mitarbeitenden, von denen 79 Prozent der teilnehmenden Unternehmen berichten.

Technik und Organisation: Die Vorkehrungen

Die Befragung zeigt, dass durch die zunehmende Digitalisierung und Vernetzung nicht nur das Risiko von Cyberangriffen weiter steigen wird, sondern die Angriffe gleichzeitig immer raffinierter und gezielter werden. Immobilienunternehmen sollten auf allen Ebenen die geeigneten Cybersicherheitsmaßnahmen ergreifen, um solche Angriffe zu verhindern. Zahlreiche der nachfolgenden Maßnahmen (siehe Kasten) zum Schutz vor Cyberangriffen erscheinen dabei auf den ersten Blick für professionelle IT-Bereiche wie eine Selbstverständlichkeit. Leider zeigt die tägliche Praxis aber, dass diese noch nicht flächendeckend eingesetzt werden.

Neben den technischen Maßnahmen sind auch organisatorische Vorkehrungen zu treffen. Wie erwähnt, sollten die Mitarbeitenden für die Cybersecurity im eigenen Unternehmen sensibilisiert werden. Denn oft sind es menschliche Fehler, die zu Sicherheitslücken führen. Mitarbeitende sollten daher regelmäßig geschult werden, um sichere Passwörter zu verwenden, verdächtige E-Mails zu erkennen und auf Phishing-Attacken zu reagieren. Im Fall der Fälle hilft dann auch ein vorab abgestimmter und vor allem eingeübter Incident-Response-Plan. Dieser ist der entscheidende Notfallplan, der festlegt, wie auf Cyberangriffe reagiert werden soll. Dies umfasst Maßnahmen wie die Isolierung von infizierten Systemen, die Wiederherstellung von Daten und die Kommunikation mit betroffenen Parteien.

Neben den selbst zu initiierenden Schutzmaßnahmen fordert auch der Gesetzgeber in vielen Konstellationen den Schutz von Daten und Systemen. Es existieren verschiedene regulatorische Anforderungen für Cybersecurity, die je nach Branche und Region variieren. Im Folgenden werden einige der wesentlichen Anforderungen aufgeführt.

Der Faktor EU-Datenschutzgrundverordnung (DSGVO)

Die DSGVO legt fest, dass personenbezogene Daten angemessen geschützt werden müssen. Unternehmen müssen daher geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit von personenbezogenen Daten zu gewährleisten. IT-Sicherheitsgesetz: Das IT-Sicherheitsgesetz gilt für kritische Infrastrukturen, wie Energieversorger, Telekommunikationsunternehmen oder Krankenhäuser. NIS-Richtlinie: Die NIS-Richtlinie gilt für Betreiber von wesentlichen Diensten wie Energieversorger, Verkehrsbetriebe oder Gesundheitseinrichtungen. ISO 27001: Die ISO 27001 ist ein internationaler Standard für Informationssicherheitsmanagement. Unternehmen können sich nach diesem Standard zertifizieren lassen, um ihre Cybersicherheit zu verbessern und das Vertrauen ihrer Kunden zu stärken.

Geeignete Cybersicherheitsmaßnahmen in der Immobilienwirtschaft:

Firewall: Eine Firewall ist eine Software oder Hardware, die den Datenverkehr zwischen dem internen Netzwerk und dem Internet überwacht und unautorisierte Zugriffe blockiert.
Antivirus-Software: Eine Antivirus-Software erkennt und blockiert schädliche Software wie Viren, Trojaner oder Malware.
Verschlüsselung: Die Verschlüsselung ist eine Methode, um Daten so zu verschlüsseln, dass sie nur von autorisierten Personen gelesen werden können. Dies ist besonders für den Schutz von sensiblen Daten wie Passwörtern oder Kreditkarteninformationen relevant. Regelmäßige
Updates: Regelmäßige Updates von Betriebssystemen, Anwendungen und Antivirus-Software sind wichtig, um bekannte Sicherheitslücken zu schließen und die Cybersicherheit zu verbessern.
Zugangsbeschränkungen: Zugangsbeschränkungen wie Passwörter, Zwei-Faktor-Authentifizierung oder Zugangskontrollen, um den Zugriff auf sensible Daten und Systeme zu beschränken.

DORA: Digital Operational Resilience ACT – die Übergangsfrist

Wichtigste EU-Regulierung auf diesem Gebiet ist der Digital Operational Resilience Act (DORA). Dieser ist eine EU-Verordnung, die im Januar 2023 in Kraft getreten ist. Er ist Teil des digitalen Finanzpakets der EU-Kommission und soll die digitale Widerstandsfähigkeit des europäischen Finanzmarkts erhöhen. Es soll sichergestellt werden, dass Marktteilnehmer auch bei größeren Vorfällen, die die Informations- und Kommunikationstechnologie (IKT) betreffen, sicher und zuverlässig weiterarbeiten. Für die von der Verordnung betroffenen Unternehmen, wie beispielsweise Finanzdienstleister, Versicherungen und IKT-Drittanbieter, gilt für die vollständige Umsetzung der Verordnung eine Übergangsfrist bis Januar 2025. Dies bedeutet, dass auch eine große Anzahl von Marktteilnehmern aus der Immobilienwirtschaft direkt oder indirekt betroffen sind. Betroffene sollten sich daher über die relevanten Anforderungen informieren und geeignete Maßnahmen ergreifen, um ihre Cybersicherheit zu verbessern und gesetzliche Anforderungen zu erfüllen.

Hacker gegen Unternehmen: Das ewige Hase-und-Igel-Spiel

Trotz aller regulatorischen, technischen und organisatorischen Maßnahmen bleibt jedoch das Thema Cybersecurity ein „Hase-und-Igel-Spiel“ zwischen Angreifern und Verteidigern. Im Vergleich zu den Verteidigungsbemühungen der Immobilienbranche sind die Attacken auf der Angreiferseite wesentlich schneller professioneller geworden. Früher waren es eher Hobby-Hacker, die bei sporadischen Anschlägen mehr ein technisches Interesse an der Veränderung der Internetpräsenz oder der Verbreitung von Viren zeigten. Doch nun sind es professionelle Strukturen, die mit zentral gesteuerten Angriffen zielorientierten Identitätsdiebstahl oder Wirtschaftsspionage betreiben. Vom „einfachen“ Datenklau ganz abgesehen. Sie nutzen dabei nicht nur moderne Hacking-Tools, sondern setzen auch vermehrt Künstliche Intelligenz bei ihren digitalen Raubzügen ein.

Immobilienunternehmen sollten sich daher der Risiken ihres wachsenden Datenschatzes bewusst werden. Sie sollten ihre Systeme und Mitarbeitenden bestmöglich mit angemessenen Maßnahmen auf unerwünschte Gäste vorbereiten. Denn: „Alle elf Sekunden verliebt sich ein Hacker...“

Dieser Beitrag stammt aus der aktuellen Ausgabe 08/2023 des Fachmagazins "Immobilienwirtschaft". Lesen Sie das gesamte Heft auch in der Immobilienwirtschaft-App.

Meistgelesene beiträge

Die degressive AfA für den Wohnungsbau kommt

11.527
Balkonkraftwerk: Experten pro Rechtsanspruch für WEG & Mieter

8.020
Mehrwertsteuer wird wieder erhöht: Gas ab dem 1. April teurer

7.733
Verbesserte Sonder-AfA für Neubau von Mietwohnungen

6.143

6
Mieterstrom und Balkonkraftwerke: Das steckt im Solarpaket

3.998

1
CO2-Abgabe soll stärker steigen: Was auf Vermieter zukommt

3.960

7
EZB stellt Zinssenkung im Juni in Aussicht

3.464
Hydraulischer Abgleich ist Pflicht: Neue Fristen für Vermieter

2.898
Baukindergeld 2024: KfW verdoppelt Zinsbindung auf 20 Jahre

2.848
Ohne Sanierungspflicht: EU-Gebäuderichtlinie wird umgesetzt

2.557

3

Neueste beiträge

Solarpaket: Neue Regeln für Mieterstrom und Balkonkraftwerke

26.04.2024

1
Bundestag beschließt Reform des Klimaschutzgesetzes

26.04.2024
Gesetzentwurf zu Schrottimmobilien: Bundesrat will Änderungen

26.04.2024
Zweitwohnungssteuer: Neue Satzungen im Norden unwirksam

26.04.2024
Wohnungsbau-Turbo § 246e steckt in Ampel-Beratungen fest

25.04.2024

1
BAFA Förderkompass 2024: Alle Programme auf einen Blick

22.04.2024
Immobilienunternehmen in der CSRD-Berichtspflicht

19.04.2024
Hamburg zieht Solarpflicht bei Dachsanierungen vor

18.04.2024
CREM-Studie: Digitalisierung und KI sind die große Hoffnung

17.04.2024
"Ausgewogen, praktikabel" – ein Plädoyer fürs Immobilienrecht

16.04.2024

Cybersecurity ist die nächste Großbaustelle