All denen die sich mit dem Themenfeld der Sicherheit im Bauwesen etwas besch\u00e4ftigen geht es sicherlich wie mir: Wir stellen uns die Frage wann denn nun uns der erste so richtig gro\u00dfe Sicherheitsskandal im Bauwesen heimsucht! Vor dem Hintergrund des steigenden BIM Einsatzes und der nun (endlich) zunehmenden Digitalisierung ist es sicherlich nur eine Frage der Zeit. <\/p>\n\n\n\n\n\n\n\n
Ich m\u00f6chte an dieser Stelle keine Warnung geben oder solche Worte wie “ich hab es euch doch gesagt”. Nein, vielmehr merke ich selbst, welche Schwierigkeiten ich mit dem Thema habe. So ertappe ich mich selbst, wie ich hier und da meine Firewall deaktiviere um ein Datenaustausch “endlich” hinzubekommen, wie ich selbst f\u00fcr unwichtige Dienste immer wieder dasselbe Passwort verwende (und alle in meiner Umgebung es vermutlich auch kennen) oder wie Stiefm\u00fctterlich ich selbst das Verschl\u00fcsselungsthema halte.<\/p>\n\n\n\n
Doch jetzt ist es genug der Beichte, vor ein paar Wochen ist mir folgender Beitrag aufgefallen:<\/p>\n\n\n\n
https:\/\/www.ndr.de\/fernsehen\/sendungen\/hallo_niedersachsen\/Sicherheitsluecken-im-Smart-Home,hallonds60594.html<\/a><\/p>\n\n\n\n Hier geht es um schwer wiegende Sicherheitsl\u00fccken in Smart Home Ger\u00e4ten (Insbesondere Kamerasysteme), die jeden der sich irgendwie mit Datensicherheit auseinandersetzt, gel\u00e4ufig sein sollten. Und hier habe ich mir die Frage gestellt, was ist, wenn der Bau schon l\u00e4ngst durchseucht ist? Wenn schon jetzt kein BIM Modell den Anforderungen des BSI gerecht werden kann? Sind wir im Bauwesen \u00fcberhaupt in der Lage uns mit dem Thema der Datensicherheit auseinanderzusetzen. Stichworte sind hier fehlendes Problembewusstsein, der Blick \u00fcber den Tellerrand und Fachnomadentum?<\/p>\n\n\n\n Wo das Thema weiter oben vielen bekannt sein d\u00fcrfte, so schl\u00e4gt der folgende Beitrag in dieselbe Kerbe:<\/p>\n\n\n\n https:\/\/www.heise.de\/news\/Sicherheitsalbtraum-Viele-vernetzte-Tuerklingeln-lassen-Hacker-ins-Haus-4998372.html<\/a><\/p>\n\n\n\n Hier geht es um smarte T\u00fcrklingeln die unter Sicherheitsaspekten nicht nur als EDV Nerd Gadget gef\u00e4hrlich sind. Doch nun zum eigentlichen Problem, was ist, wenn wir im Bauwesen mit BIM, smarten Baumaschinen oder CDE in Gefilden vordringen die wir selbst gar nicht h\u00e4ndeln k\u00f6nnen? \u00c4hnlich den Zwergen in Mordor die zu gierig und zu schnell ihr Bergwerk gebaut haben?<\/p>\n\n\n\n Gut, gut beide Beispiele sind aus der Kategorie “ich hab es euch doch gesagt”, doch so einfach ist es leider nicht. Im Bau m\u00fcssen wir uns dar\u00fcber im Klaren sein, das BIM, mit allen darauf aufbauenden Diensten und M\u00f6glichkeiten, eine hohe Verantwortung mit sich bringt. Wir erzeugen Informationen die f\u00fcr externe unglaublich Interessant sind (hier schlie\u00dfe ich die gro\u00dfen Softwareh\u00e4user unserer Welt mit ein) und die vor diesen Gesch\u00fctzt werden m\u00fcssen! Das Modell ist, konsequent umgesetzt, die Grundlage f\u00fcr Sicherheitssysteme, Assistenzsysteme, KI in der Planung, im Betrieb und koppelt in nie dagewesener weise auf den Menschen zur\u00fcck. Zudem haben es viele der anderen Industriezweige in EDV technischer Hinsicht sehr leicht, der Bau erstellt Bauwerke inkl. zugeh\u00f6riger Strukturen f\u00fcr die n\u00e4chsten 20 – 50 Jahre! So lange m\u00fcssen die Sicherheitskonzepte streng genommen \u00fcberdauern! Welch andere Industriezweige haben solch eine Aufgabe?<\/p>\n\n\n\n Wie tiefgreifend diese Herausforderung sein kann m\u00f6chte ich an zwei Beispielen verdeutlichen. <\/p>\n\n\n\n https:\/\/www.forescout.com\/research-labs\/amnesia33\/<\/a><\/p>\n\n\n\n Beim ersten Beispiel handelt es sich um ein grundlegenden Softwarebug im TCP\/IP-Stack einiger (\u00e4lterer) Open-Source-Software (kleine Anmerkung, \u00e4hnliche Probleme betreffen auch propriet\u00e4re Software hier wissen es aber nur die Angreifer). Ein gro\u00dfes deutsches Unternehmen ist von dieser Sicherheitsl\u00fccke ebenfalls betroffen. <\/p>\n\n\n\n (https:\/\/www.heise.de\/news\/Amnesia-33-Sicherheitshinweise-und-Updates-zu-den-TCP-IP-Lecks-im-Ueberblick-4984341.html<\/a>)<\/p>\n\n\n\n Was ist hier passiert? Aus meiner (ich gebe zu Recht gesch\u00f6nter Sichtweise) ganz einfach: Es wurden veraltete Softwareframeworks (oder Treiber oder Module) eingesetzt, die danach nicht mehr aktualisiert wurden! Und schon gar nicht, nachdem die Produkte den Auftraggeber (Asset Owner) \u00fcbergeben wurden! <\/p>\n\n\n\n Ein anderes sch\u00f6nes Beispiel ist folgendes:<\/p>\n\n\n\n https:\/\/www.bsi.bund.de\/DE\/Presse\/Pressemitteilungen\/Presse2020\/UKDuesseldorf_170920.html<\/a><\/p>\n\n\n\n Hier liegt ein Sicherheitsproblem mit dem VPN (Ganz grob, Nutzung von externen Computerressourcen \u00fcber das Internet) Dienst vor. Das prek\u00e4re hier ist, dass wenn die Schwachstelle bereits ausgenutzt wurde und auch die neuste Softwareversion eingespielt wurde, kann die L\u00fccke weiter bestehen bleiben. Warum? Weil die Angreifer die Konfigurationsdateien manipuliert haben k\u00f6nnten. Interessant ist der Fall, weil ebenfalls das BSI drei Monate zuvor die IT-Sicherheit in deutschen Krankenh\u00e4user und Laboren gelobt haben:<\/p>\n\n\n\n https:\/\/www.bsi.bund.de\/DE\/Presse\/Pressemitteilungen\/Presse2020\/UKDuesseldorf_170920.html<\/a><\/p>\n\n\n\n Sie sehen, ein komplexes Thema welches unter dem Aspekt der Daten – Interoperabilit\u00e4t im Bauwesen von besonderer Bedeutung ist. Wenn wir im Bauwesen auf vorhandene Strukturen aufbauen, so m\u00fcssen wir uns auch den Gefahren bewusst sein! Mein (wieder recht vereinfachter und sicherlich praxisferner) Rat: Verwenden Sie niemals alte Frameworks oder seit Jahren nicht mehr weiterentwickelte Software, auch wenn es verlockend sein mag. Bauen Sie Updatem\u00f6glichkeiten ein und erkennen Sie die M\u00f6glichkeit eine neue Dienstleistung anbieten zu k\u00f6nnen. <\/p>\n\n\n\n Um wieder zur Eingangsfrage zu kommen “Merken wir, wenn wir gehackt wurden?”. Nein! wenn der Hack gut ist vermutlich nicht, Nein! wenn wir alte Software verwenden vermutlich nicht, Nein! wenn uns das notwendige Gesp\u00fcr fehlt und Nein! wenn sich nach der \u00dcbergabe des Assets wom\u00f6glich sich keiner mehr um BIM und die eingesetzte Software am Asset bem\u00fcht auch nicht. <\/p>\n\n\n\n P.S. Zum Schluss ein interessanter Leitfaden des BSI f\u00fcr kommunale Verwaltungen zum Umgang mit Erpressungstrojanern (Der f\u00fcr alle anderen ebenfalls Interessant sein k\u00f6nnte):<\/p>\n\n\n\n https:\/\/www.bsi.bund.de\/DE\/Presse\/Pressemitteilungen\/Presse2020\/Ransomware-Empfehlung-Kommunen_020320.html<\/a><\/p>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" All denen die sich mit dem Themenfeld der Sicherheit im Bauwesen etwas besch\u00e4ftigen geht es sicherlich wie mir: Wir stellen uns die Frage wann denn nun uns der erste so richtig gro\u00dfe Sicherheitsskandal im Bauwesen heimsucht! Vor dem Hintergrund des steigenden BIM Einsatzes und der nun (endlich) zunehmenden Digitalisierung ist es sicherlich nur eine Frage … Stell dir vor, dein Haus (Asset) ist l\u00e4ngst gehackt und keiner merkt es!<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[6,8],"tags":[],"_links":{"self":[{"href":"https:\/\/laburnum.de\/Arnim-Spengler\/index.php?rest_route=\/wp\/v2\/posts\/278"}],"collection":[{"href":"https:\/\/laburnum.de\/Arnim-Spengler\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/laburnum.de\/Arnim-Spengler\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/laburnum.de\/Arnim-Spengler\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/laburnum.de\/Arnim-Spengler\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=278"}],"version-history":[{"count":15,"href":"https:\/\/laburnum.de\/Arnim-Spengler\/index.php?rest_route=\/wp\/v2\/posts\/278\/revisions"}],"predecessor-version":[{"id":308,"href":"https:\/\/laburnum.de\/Arnim-Spengler\/index.php?rest_route=\/wp\/v2\/posts\/278\/revisions\/308"}],"wp:attachment":[{"href":"https:\/\/laburnum.de\/Arnim-Spengler\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=278"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/laburnum.de\/Arnim-Spengler\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=278"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/laburnum.de\/Arnim-Spengler\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=278"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}