Die Cyber-Tücken des Komforts
Die Immobilienbranche erlebt eine rasante Welle der Digitalisierung. Mit der intelligenten Gebäudetechnologien – von vernetzten Heizungs-, Lüftungs- und Klimasteuerungssystemen bis hin zu komplexen Gebäudeverwaltungssystemen – wächst aber auch die Angriffsfläche für Cyberkriminalität. „Diese pervasive Digitalisierung von Gebäuden macht deutlich, dass wir es nicht nur mit isolierten IT-Systemen zu tun haben, sondern mit einem Ökosystem, in dem physische und digitale Infrastrukturen zunehmend miteinander verschmelzen. Die Cybersicherheit muss daher in die Architektur jedes intelligenten Gebäudes integriert werden, beginnend bei der Planungsphase bis hin zum täglichen Betrieb“, sagt Gottfried Tonweber, Leiter Cybersecurity der Ernst & Young Management Consulting GmbH.
Nun gelten ab Oktober 2024 mit der NIS2-Richtlinie für viele Unternehmen verpflichtende Sicherheitsmaßnahmen und Meldepflichten im Bereich der Cybersicherheit. Wie wirksam ist das? Tonweber: „Die NIS2-Richtlinie, auch wenn die Immobilienbrache von ihr nicht direkt betroffen ist, trägt dieser Entwicklung Rechnung, indem sie nicht nur klassische IT-Systeme, sondern auch die Sicherheit von IoT-Geräten und vernetzten Systemen adressiert.“ Die Richtlinie schaffe somit ein Bewusstsein für die Sicherheitsrisiken, die mit der fortschreitenden Integration von Technologie in unsere Lebens-/Arbeitsräume einhergingen. Indem Unternehmen verpflichtet würden, ihre Sicherheitsvorkehrungen zu verstärken und Vorfälle zu melden, entstehe ein wichtiger Informationsfluss, der für die Analyse und Prävention von Cyberangriffen unerlässlich sei. Zusammenfassend, so Tonweber, lasse sich sagen, „dass die Verpflichtungen der NIS2-Richtlinie eine Orientierung für die Verbesserung der Sicherheitsstandards in der Immobilienwirtschaft darstellen.“
Große Angriffsbläche
Ist Smart-Building-Technologie denn nicht von (Entwicklungs-)Haus aus cyberseitig abgesichert? „Zwar handelt es sich in der Regel um industrielle Operational-Technology-Systeme, die zum Zeitpunkt der Entwicklung cyberseitig state-of-the-art abgesichert werden, aber: Über deren Lebensdauer erfolgt in den meisten Fällen keine weitere Security-Härtung mehr. Dadurch entsteht langfristig eine nicht zu unterschätzende Angriffsfläche“, erklärt Georg Schwondra, Cyber-Security-Experte und Partner bei Deloitte Österreich. Die EU habe das bereits erkannt und formalisiere mit der Einführung des EU Cyber Resilience Acts einen Ansatz zur Cybersicherheit digitaler Produkte über deren kompletten Lifecycle.
Deloitte habe 2023 gemeinsam mit dem Verband der Sicherheitsunternehmen Österreichs eine Cyber-Sicherheitsrichtlinie erarbeitet, die sich derzeit im Freigabeprozess befinde. „Dadurch soll zukünftig sichergestellt werden, dass die Cybersecurity etwa von Alarmanlagen, Zutrittssystemen oder Schließsystemen über deren gesamten Lifecycle abgesichert wird“, so Schwondra.
Cyberschäden alles andere als ein Mythos
Schwondra zur NIS2-Richtlinie: Deren Ziel sei es, die Resilienz der kritischen Infrastrukturen zu steigern und standardisierte verpflichtende Meldeprozesse aufzusetzen. „Neu ist hierbei, dass die Verantwortung für die Einhaltung und Sicherherstellung der Informationssicherheit stets bei der Geschäftsleitung liegt und die NIS2 die Leitungsorgane somit deutlich stärker in die Haftung nimmt, als das bisher üblich war.“
Dass Cyberschäden kein Mythos sind, weiß auch Versicherungsmakler Johann Gross: „Die Anzahl von Cyberangriffen hat sich gegenüber 2022 mehr als verdreifacht.“ Dennoch werde diese Bedrohung nach wie vor unterschätzt und nur von jedem dritten Unternehmen ernst genommen. Bei Einzelunternehmen würden sogar 63 Prozent der Befragten davon ausgehen, dass sie keine Cyberversicherung benötigten (KPMG „Cybersecurity in Österreich 2023“). Warum ist das so? Die gesetzliche Vermögensschadenhaftpflichtversicherung übernehme das schon, würden viele denken. Aber Achtung: „Für den Eintritt der Haftpflichtversicherung bedarf es einer entsprechenden Sondervereinbarung im Versicherungsvertrag. Außerdem eine fahrlässige Handlung des Immobilientreuhänders. Und einen Schaden bei einem Dritten. Fehlt eine dieser drei Voraussetzungen, hat man aus dieser Versicherung keinen Schutz“, erklärt Gross.
Die Versicherungsfrage
Aufräumen möchte Gross auch mit dem Mythos, eine Cyberversicherung sei nur für Produktionsbetriebe von Interesse und habe keinen Nutzen in der Immobilienbranche. „Dabei werden gerade in der Immobilienbranche enorme Summen transferiert beziehungsweise treuhänderisch verwaltet. Ebenso verfügen diese über Unmengen an Bankdaten, die gerade für Hacker interessant sind.“ Der Schaden einer erfolgreichen Cyberattacke könne nicht nur nominell, sondern auch reputativ vernichtend sein. „Wenn es mal passiert, dann sind die Aufwendungen für die Beseitigung der Folgen unter Umständen extrem teuer.“
Und: Die von der Versicherung vorgeschriebenen Sicherheitsmaßnahmen seien nicht umsetzbar und ein Vergleich der Versicherungen sei nicht möglich, spricht Gross einen weiteren Punkt, den er richtigstellen möchte, an: „Sicherheitsmaßnahmen, wie Firewall-Strukturen oder regelmäßige Sicherheitsupdates, werden zwischen Versicherung und Versicherten individuell ausgehandelt und verfolgen das Ziel eines gewissen Grundschutzes. Um die Unterschiede verschiedener Versicherungen herauszuarbeiten und vernünftige Sicherheitsmaßnahmen zu vereinbaren, ist es unerlässlich, einen Versicherungsmakler hinzuzuziehen, die Versicherungssummen sind – noch – frei wählbar.“
