Skip to main content

Zack und weg!

Datensicherheit bei BIM

Wenn Hacker die Daten in der BIM-Cloud attackieren und unbrauchbar machen, vernichten sie die Arbeit mehrerer Jahre schneller, als der Admin „BIM!“ rufen kann. BIM ohne Datensicherheit ist wie Selbstmord mit Ansage.

Es vergeht so gut wie kein Tag, an dem nicht in den Medien über Sicherheitslücken, Hackerangriffe oder die Verschärfung von Gesetzen zur Datensicherheit berichtet wird. Für uns Baumenschen sind diese Berichte oft eher verunsichernd als hilfreich. Welche Nachrichten betreffen mich? Welche Version des angesprochenen Programms setze ich ein (diese unterscheiden sich häufig in den Versionsnummern hinter der Nachkommastelle) oder – wie die neuesten Entwicklungen zeigen – ist meine Hardware angreifbar?

Im Hinblick auf die Veränderungen im Bauwesen, insbesondere durch Building Information Modeling (BIM), ist die Frage der Datensicherheit elementar. Im Bauwesen ist es der Normalfall, dass die zukünftigen Nutzer eines Bauwerks interne Informationen zum Gebäude und seine Eigenarten nicht in falschen Händen wissen möchte. Dieses betrifft sowohl private als auch öffentliche Auftraggeber. Doch nicht nur Planungsdaten, auch die Durchführung der Planung an sich und der Betrieb müssen unter Sicherheitsaspekten Grundvoraussetzungen erfüllen. Schon diese allgemeine Betrachtungsweise zeigt, dass Datensicherheit alle Bereiche im Lebenszyklus eines Bauwerks betrifft und diese schon früh in der Planungsphase berücksichtigt werden muss.

Wo fallen im Bauwesen sicherheitsrelevante Daten an?

Im Bauwesen herrscht eine große Vielfalt an eingesetzter Software und Hardware, an Standards und Wissen der beteiligten Personen. Jedes Bauprojekt ist einzigartig, und dieses setzt sich in den Daten, die mehr oder weniger sicherheitsrelevant sind, fort. Die Einstufung nach der Sicherheitsrelevanz ist nicht leicht, da der Aufwand, die Daten zu schützen, mit der Sicherheitsstufe kontinuierlich zunimmt. 

Besonders schutzwürdige Daten können sein: Personendaten, Daten des Zahlungsverkehrs und Transaktionen, Baudaten, Abrechnungen, Mails, Protokolle und Gesprächsaufzeichnungen. Hinzu kommen Daten, die nicht offensichtlich sind, wie Sensordaten, Telefonate, Fotos, Positionsdaten und weitere nicht sofort ersichtliche Daten wie Bewegungsprofile oder Tonaufzeichnungen. Die Liste ist nicht vollständig, sie zeigt jedoch, dass schutzwürde Daten bei Planung, Bau und Betrieb von Bauwerken durchaus vorhanden sind. 

Einen besonderen Schutz besitzen alle personengebundenen Daten. Auch sollte die Frage gestellt werden, ob man sie überhaupt verarbeitet darf. Sollten diese Daten nicht mehr benötigt werden, so sind sie zu löschen. Das wird auch in der neuen Europäischen Datenschutzgrundverordnung (EU-DSGVO) verbindlich gefordert. Die EU-DSGVO ist für alle Unternehmen verpflichtend, die personengebundene Daten digital speichern, verarbeiten und auswerten. In der einschlägigen Literatur wird sogar die Implementierung eines Information Security Management Systems (ISMS) in den Unternehmen nahegelegt, die sich an den in Abbildung 1 dargestellten Schutzzielen orientiert (Vgl. DIN 27001).

Abbildung 1: Schutzziele

Sicherheit ist Chefsache!
Sicherheit muss im Unternehmen von der Führung her gelebt und gemanagt werden. 

 


Abbildung 2: Kreislauf eines ISMS [modifiziert nach Wüpper (2017)]

 

Abbildung 2 gibt den kontinuierlichen Verbesserungskreislauf eines ISMS wieder und zeigt, dass alle Arten von Prozessen zumindest bewertet und überwacht werden können. Hieraus können im nächsten Schritt Maßnahmen abgeleitet und die Ergebnisse überprüft werden. Dieses Vorgehen gibt der Unternehmensführung auch bei schwach ausgeprägter IT Affinität ein Handwerkszeug in die Hand, um das eigene Unternehmen zu bewerten. Erste Fragen können sein:

  • Bestehen bekannte Sicherheitsschwachstellen in meiner Soft- und Hardware? Verwende ich alte Software?
  • Welche Daten werden wo von meinen Unternehmen gespeichert?
  • Welche Daten sind personenbezogen?
  • Welche Anforderungen stellt mein Auftraggeber, welche Anforderungen sind Branchenstandard?
  • Wie kann ich meine Firma rechtlich und versicherungstechnisch bei einem Schadenereignis absichern? Wo beginnt Fahrlässigkeit?
  • Wie beziehe ich meine MitarbeiterInnen ein und sensibilisiere sie? Mitarbeiter müssen ausreichend geschult werden!

Leider gibt es derzeit keine rein auf das Bauwesen in Deutschland bezogene Vorgehens- und Verhaltensweisen, wie mit dem Thema der Datensicherheit umgegangen werden soll. Dieses wird sich zukünftig ändern. So ist z. B. derzeit die ISO 19650-5 mit dem Thema der kollaborativen Zusammenarbeit inklusive Sicherheitsaspekten in Arbeit. Auch in den Blättern der Richtlinie der VDI 2552 wird stellenweise auf Sicherheitsaspekte und die Beschreibung von Prozessen Bezug genommen. In England existiert die PAS 1195-5 mit dem Titel „A specification für security-minded building information modelling, digital build environments and smart asset management“, die gezielt BIM im Hinblick auf Sicherheitsfragen aufgreift. Industrieübergreifend sind DIN ISO/IEC 27001, DIN ISO/IEC 27017 und die Publikationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu nennen.

Sofortmaßnahmen

Sicherheit beginnt im Kopf aller Beteiligten und setzt konsequentes Handeln voraus. Wie im vorherigen Abschnitt dargestellt, ist kein Meister vom Himmel gefallen. Das ganze Unternehmen kann nur aus der Praxis lernen. Die folgenden Punkte sind Maßnahmen, die jeder umsetzen kann, sie ersetzen jedoch nicht eine dauerhafte Auseinandersetzung und eine professionelle Beratung und Analyse.

Maßnahmen, die sofort umgesetzt werden können:

  • Aktuelle Sicherheitsupdates (Patches) der eingesetzten Software einspielen.
  • Software stets auf dem aktuellen Stand halten. Alte Softwareversionen nicht so lange einsetzen, bis der Markt den Nutzer dazu zwingt, eine neuere Version einzusetzen.
  • Passwörter individuell und einmalig vergeben und in regelmäßigen Abständen ändern (lassen).
  • Antivirenprogramm aktuell halten.
  • Personenbezogene Daten besonders behandeln (Besonderer Datenschutz).
  • Wenn sich der Computer nicht wie gewohnt verhält, sofort misstrauisch werden.
  • Keine Anlagen öffnen, die nicht vertrauenswürdig erscheinen. Lieber den Absender zur Bestätigung anrufen.
  • Mails sind kein sicheres Kommunikationsmedium. Das bedeutet, dass man sich darüber im Klaren sein muss, dass Mails von dritten mitgelesen oder analysiert werden können.
  • Daten in einer Cloud zu speichern ersetzt kein Backup. Cloudlösungen sind praktisch, jedoch kritisch zu hinterfragen (Stehen die Server z. B. in einem Land der EU?).
  • Alle Systeme sollten über die Standardeinstellungen so konfiguriert sein, dass diese Einstellungen das größtmögliche Maß an Sicherheit gewährleisten. Nur bei zwingenden Gründen sollte hiervon abgewichen werden.
     

Zu viel des Guten?

Vermutlich verunsichert dieser Artikel stark, und es kommt die Frage nach dem zu viel des Guten auf. Deswegen lautet der wichtigste Rat, anzufangen und sich zu sensibilisieren – auch gegenüber Panikmache.

Unsere Aufgabe besteht immer noch darin, ein Bauwerk zu erstellen. Auch kann ein kleines oder mittelständiges Unternehmen in der Regel keinen EDV-Spezialisten einstellen. Was jedoch nicht passieren darf, ist zu resignieren oder die Hoffnung zu pflegen, dass es schon gut gehen wird. Es ist immer wieder erstaunlich, wie viele Personen versuchen, in fremde IT-Systeme einzubrechen und mit einfachsten Mitteln sogar Erfolg haben. Gedruckte oder gezeichnete Pläne lassen sich nicht digital hacken, BIM-Daten jedoch schon.

Ausblick

Es ist anzunehmen, dass die Digitalisierungswelle im Bauwesen erst am Anfang steht. Neue Technologien wie Internet of Things (IoT), autonome Systeme und die verstärkte digitale Zusammenarbeit sind große Herausforderungen für alle Beteiligten. Augen zu und durch ist zu kurz gegriffen, weil Innovationen in allen Bereichen der Industrie verstärkt zunehmen und das Bauwesen, mit leichter Verzögerung, ebenfalls stark von zukünftigen Innovationen profitieren wird.

Das Themenfeld Datensicherheit ist sehr komplex und kann nicht nebenher bearbeitet werden. Sich nicht mit dem Thema zu beschäftigen, hätte nur einen Vorteil: Besteht wirklich ein Sicherheitsproblem, fällt es firmenintern erst mal nicht auf – bis daraus schwerwiegende Probleme entstehen. Welche (BIM-) Daten bis dahin von Fremden gelesen, verteilt oder manipuliert wurden, lässt sich dann nur noch erahnen.
 

Diese Checkliste ersetzt keine professionelle Beratung und dient lediglich einem ersten Abschätzen der eigenen Sicherheitslage und als Impuls sich mit Datensicherheit zu beschäftigen. Ausgelegt ist er auf ehr kleine Unternehmen mit wenigen Mitarbeitern. Wenn Sie mehrere Fragen mit Ja oder „Weiß nicht“ beantwortet haben, dann sollten Sie sich dringend mit Datensicherheit auseinandersetzen. Schon bei einer positiven Antwort ist die eigene Sensibilisierung zur Datensicherheit anzuraten.

 

Literatur
  • BSI Leitfaden Informationssicherheit: IT-Grundschutz kompakt, Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn, 2012
  • Karl C. K., Spengler A.J., Huhn M.: IT im Stahlbau – Informationsverarbeitung, Kommunikation und Technik, in: Baubetrieb im Stahlbau. Hrsg.: Siebers R., Malkwitz A., Helmus M., Meins-Becker A., Beuth Verlag, Berlin, 2018
  • Wüpper, Ellen: Den Datenschutz sicher im Griff, in: Sicherheit und Datenschutz. Heise Medien, Hannover, 2017
  •  EU-DSGVO: Verordnung (EG) Nr. 5419/16 des Europäischen Parlaments, Datenschutz – Grundverordnung vom 06.April 2016
  • DIN/ISO 27001:2017: Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme - Anforderungen, Deutsches Institut für Normung, Berlin, Stand Juni 2017
© pspn/stock.adobe.com
Symbolbild
Autoren

Christian K. Karl, Dr.-Ing. (Baumanagement), Dipl.-Ing. (Baubetrieb und Bauwirtschaft), Dipl.-Ing. (Konstruktiver Ingenieurbau), ursprünglich tätig in nationalen und internationalen Projekten, ist seit 2016 Leiter des Lehr- und Forschungsbereichs Bautechnik an der Universität Duisburg-Essen, Lehrbeauftragter an der Nationalen Technischen Universität Athen und der Hochschule Ruhr-West, Autor und Co-Autor zahlreicher Fachveröffentlichungen, selbständiger Berater und Coach u.a. für Unternehmen der Bau- und Baustoffindustrie.


Armin Spengler (M.Sc) ist Mitinitiator des BIM-Clusters NRW und der buildingSMART-Regionalgruppe Rhein-Ruhr. Er ist als Wissenschaftlicher Mitarbeiter an der Universität Duisburg-Essen im Bereich Forschungs- und Innovationsmanagements tätig. Darüber hinaus ist er Mitgründer der Startups Builders Mind UG und Hover Storage.

Kommentare
  • Keine Kommentare
Diesen Artikel teilen
WhatsAppE-MailDrucken
Anzeige
botMessage_toctoc_comments_9210