Stell dir vor, dein Haus (Asset) ist längst gehackt und keiner merkt es!

All denen die sich mit dem Themenfeld der Sicherheit im Bauwesen etwas beschäftigen geht es sicherlich wie mir: Wir stellen uns die Frage wann denn nun uns der erste so richtig große Sicherheitsskandal im Bauwesen heimsucht! Vor dem Hintergrund des steigenden BIM Einsatzes und der nun (endlich) zunehmenden Digitalisierung ist es sicherlich nur eine Frage der Zeit.

Ich möchte an dieser Stelle keine Warnung geben oder solche Worte wie “ich hab es euch doch gesagt”. Nein, vielmehr merke ich selbst, welche Schwierigkeiten ich mit dem Thema habe. So ertappe ich mich selbst, wie ich hier und da meine Firewall deaktiviere um ein Datenaustausch “endlich” hinzubekommen, wie ich selbst für unwichtige Dienste immer wieder dasselbe Passwort verwende (und alle in meiner Umgebung es vermutlich auch kennen) oder wie Stiefmütterlich ich selbst das Verschlüsselungsthema halte.

Doch jetzt ist es genug der Beichte, vor ein paar Wochen ist mir folgender Beitrag aufgefallen:

https://www.ndr.de/fernsehen/sendungen/hallo_niedersachsen/Sicherheitsluecken-im-Smart-Home,hallonds60594.html

Hier geht es um schwer wiegende Sicherheitslücken in Smart Home Geräten (Insbesondere Kamerasysteme), die jeden der sich irgendwie mit Datensicherheit auseinandersetzt, geläufig sein sollten. Und hier habe ich mir die Frage gestellt, was ist, wenn der Bau schon längst durchseucht ist? Wenn schon jetzt kein BIM Modell den Anforderungen des BSI gerecht werden kann? Sind wir im Bauwesen überhaupt in der Lage uns mit dem Thema der Datensicherheit auseinanderzusetzen. Stichworte sind hier fehlendes Problembewusstsein, der Blick über den Tellerrand und Fachnomadentum?

Wo das Thema weiter oben vielen bekannt sein dürfte, so schlägt der folgende Beitrag in dieselbe Kerbe:

https://www.heise.de/news/Sicherheitsalbtraum-Viele-vernetzte-Tuerklingeln-lassen-Hacker-ins-Haus-4998372.html

Hier geht es um smarte Türklingeln die unter Sicherheitsaspekten nicht nur als EDV Nerd Gadget gefährlich sind. Doch nun zum eigentlichen Problem, was ist, wenn wir im Bauwesen mit BIM, smarten Baumaschinen oder CDE in Gefilden vordringen die wir selbst gar nicht händeln können? Ähnlich den Zwergen in Mordor die zu gierig und zu schnell ihr Bergwerk gebaut haben?

Gut, gut beide Beispiele sind aus der Kategorie “ich hab es euch doch gesagt”, doch so einfach ist es leider nicht. Im Bau müssen wir uns darüber im Klaren sein, das BIM, mit allen darauf aufbauenden Diensten und Möglichkeiten, eine hohe Verantwortung mit sich bringt. Wir erzeugen Informationen die für externe unglaublich Interessant sind (hier schließe ich die großen Softwarehäuser unserer Welt mit ein) und die vor diesen Geschützt werden müssen! Das Modell ist, konsequent umgesetzt, die Grundlage für Sicherheitssysteme, Assistenzsysteme, KI in der Planung, im Betrieb und koppelt in nie dagewesener weise auf den Menschen zurück. Zudem haben es viele der anderen Industriezweige in EDV technischer Hinsicht sehr leicht, der Bau erstellt Bauwerke inkl. zugehöriger Strukturen für die nächsten 20 – 50 Jahre! So lange müssen die Sicherheitskonzepte streng genommen überdauern! Welch andere Industriezweige haben solch eine Aufgabe?

Wie tiefgreifend diese Herausforderung sein kann möchte ich an zwei Beispielen verdeutlichen.

https://www.forescout.com/research-labs/amnesia33/

Beim ersten Beispiel handelt es sich um ein grundlegenden Softwarebug im TCP/IP-Stack einiger (älterer) Open-Source-Software (kleine Anmerkung, ähnliche Probleme betreffen auch proprietäre Software hier wissen es aber nur die Angreifer). Ein großes deutsches Unternehmen ist von dieser Sicherheitslücke ebenfalls betroffen.

(https://www.heise.de/news/Amnesia-33-Sicherheitshinweise-und-Updates-zu-den-TCP-IP-Lecks-im-Ueberblick-4984341.html)

Was ist hier passiert? Aus meiner (ich gebe zu Recht geschönter Sichtweise) ganz einfach: Es wurden veraltete Softwareframeworks (oder Treiber oder Module) eingesetzt, die danach nicht mehr aktualisiert wurden! Und schon gar nicht, nachdem die Produkte den Auftraggeber (Asset Owner) übergeben wurden!

Ein anderes schönes Beispiel ist folgendes:

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/UKDuesseldorf_170920.html

Hier liegt ein Sicherheitsproblem mit dem VPN (Ganz grob, Nutzung von externen Computerressourcen über das Internet) Dienst vor. Das prekäre hier ist, dass wenn die Schwachstelle bereits ausgenutzt wurde und auch die neuste Softwareversion eingespielt wurde, kann die Lücke weiter bestehen bleiben. Warum? Weil die Angreifer die Konfigurationsdateien manipuliert haben könnten. Interessant ist der Fall, weil ebenfalls das BSI drei Monate zuvor die IT-Sicherheit in deutschen Krankenhäuser und Laboren gelobt haben:

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/UKDuesseldorf_170920.html

Sie sehen, ein komplexes Thema welches unter dem Aspekt der Daten – Interoperabilität im Bauwesen von besonderer Bedeutung ist. Wenn wir im Bauwesen auf vorhandene Strukturen aufbauen, so müssen wir uns auch den Gefahren bewusst sein! Mein (wieder recht vereinfachter und sicherlich praxisferner) Rat: Verwenden Sie niemals alte Frameworks oder seit Jahren nicht mehr weiterentwickelte Software, auch wenn es verlockend sein mag. Bauen Sie Updatemöglichkeiten ein und erkennen Sie die Möglichkeit eine neue Dienstleistung anbieten zu können.

Um wieder zur Eingangsfrage zu kommen “Merken wir, wenn wir gehackt wurden?”. Nein! wenn der Hack gut ist vermutlich nicht, Nein! wenn wir alte Software verwenden vermutlich nicht, Nein! wenn uns das notwendige Gespür fehlt und Nein! wenn sich nach der Übergabe des Assets womöglich sich keiner mehr um BIM und die eingesetzte Software am Asset bemüht auch nicht.

P.S. Zum Schluss ein interessanter Leitfaden des BSI für kommunale Verwaltungen zum Umgang mit Erpressungstrojanern (Der für alle anderen ebenfalls Interessant sein könnte):

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Ransomware-Empfehlung-Kommunen_020320.html