Cyberkriminalität sorgt für zunehmende wirtschaftliche Schäden. Auch die Immobilienbranche ist betroffen. Die Unternehmen sind gefordert, geeignete Sicherheitsstrategien zu entwickeln – und müssen dabei unbedingt ihre Mitarbeiter mit auf die Reise nehmen.
Ob Smart Metering, intelligente Licht- und Alarmsysteme oder vernetzte und hochauflösende Videokameras – neue Technologien bieten auch der Immobilienbranche ein enormes Entwicklungspotenzial. „Ein besseres Verständnis über das Verhalten der Nutzer erlaubt ein besseres und auch nachhaltigeres Management der Immobilie“, sagt Thomas Müller, Leiter Segmentsteuerung bei der Union Investment Real Estate GmbH. „Höhere Datenauswertbarkeit führt zu besseren Analysemöglichkeiten und damit auch zu intelligenteren Fonds- und Asset-Management-Entscheidungen.“
Die Immobilienbranche verfügt grundsätzlich über eine Vielzahl an Informationen unterschiedlicher Herkunft und Art, deren Potenzial bisher nicht vollständig ausgeschöpft wurde. Im gleichen Stadium befinden sich allerdings auch die Gedanken zu Datenschutz und Datensicherheit: „Da sich bis heute noch keine Best-Practice-Ansätze zu Sicherheits- und Datenschutzthemen entwickelt haben, sind ein sorgfältiger Umgang und die Einbeziehung der Informationssicherheit und des Datenschutzes eine wesentliche Sicherheitsmaßnahme“, so Thomas Müller.
Gerade bei der Nutzung technischer Neuerungen und auch bei der klassischen Datenverarbeitung der Immobilienbranche, etwa bei der Vermietung oder bei Immobilientransaktionen, spielen die Anforderungen an den Datenschutz eine zunehmend wichtige Rolle. Die Verunsicherung ist dabei groß: So plante beispielsweise ein Vermieter in Wien unter Berufung auf den Datenschutz die Anonymisierung von rund 220.000 Klingelschildern. Auch wenn derartige Maßnahmen völlig übertrieben sind: Es gibt unterschiedliche Themenbereiche in der Immobilienwirtschaft, die von hoher datenschutzrechtlicher Relevanz sind und die die Unternehmen daher unbedingt beachten müssen – nicht zuletzt, um Verfahren vor den Datenschutz-Aufsichtsbehörden und potenziell hohe Bußgelder zu vermeiden.
Newsletter abonnieren
Jetzt den raum und mehr Newsletter abonnieren und keinen Beitrag über Trends aus der Immobilien-Branche mehr verpassen.
Immobilienbranche ist IT-Risiken ausgesetzt
Grundsätzlich gilt für Unternehmen sämtlicher Branchen, dass sensible Daten vor Attacken von außen geschützt werden müssen. Denn Angriffe aus dem Cyberspace machen Unternehmen sämtlicher Branchen immer stärker zu schaffen, zeigt eine Studie des Digitalverbands Bitkom. Demnach hat für gut acht von zehn befragten Unternehmen (84 Prozent) die Anzahl der Cyberattacken in den vergangenen zwei Jahren zugenommen.
In der Immobilienwirtschaft sind vor allem Daten zum Nutzerverhalten und auch die steigende Vernetzung von Gebäuden kritische Faktoren, denn die damit verbundenen Technologien mit sehr kurzen Entwicklungszeiten führen zu erheblichen Risiken bei der Automatisierung von Gebäuden. „Allein in den letzten beiden Jahren wurden erhebliche Sicherheitslücken bei nahezu allen Produkttypen festgestellt“, sagt Marco Wichtermann, Datenschutzexperte bei Union Investment. „Selbst Sicherheitseinrichtungen wie Alarmierungs- und Einbrucherkennungssysteme sowie Überwachungsanlagen blieben nicht verschont.“
Auch die Immobilienbranche ist in der Pflicht, ihre technischen, organisatorischen und personellen Sicherheitsvorkehrungen zu verstärken.
Gerade was die vernetzten Systeme angeht – von der intelligenten Zugangskontrolle bis zur Gebäudesteuerung –, bestehe daher das Risiko einer Fremdsteuerung, warnt Heiko Ruppel, Leiter Information Security Office bei Union Investment. Zudem stelle der Zugang zu relevanten Daten aufgrund der fehlenden Markttransparenz in der Branche einen erheblichen Wettbewerbsvorteil dar.
Wie groß die Risiken in der Immobilienbranche sind, zeigt ein Vorfall aus den USA: Der Immobiliendienstleister First American Financial hatte versehentlich unvorstellbare 885 Millionen Datensätze aus 16 Jahren online zugänglich gemacht, weil die Dokumente unzureichend geschützt waren. Betroffen waren vertrauliche Informationen wie Sozialversicherungsnummern, Führerscheindaten und Kontoauszüge von Privatpersonen und – wenn der Vertragspartner ein Unternehmen war – teilweise sogar firmeninterne Dokumente.
Komplexität von Cyberangriffen nimmt zu
Nicht zuletzt aufgrund derartiger Vorfälle sei auch die Immobilienbranche in der Pflicht, „ihre technischen, organisatorischen und personellen Sicherheitsvorkehrungen zu verstärken“, mahnt Achim Berg, Präsident des Digitalverbands Bitkom. Denn Besserung ist nicht in Sicht, über alle Branchen hinweg: Der Studie zufolge prognostizieren 82 Prozent der Unternehmen, dass die Anzahl der Cyberattacken in den nächsten zwei Jahren weiter zunehmen wird – mit immensen wirtschaftlichen Schäden in der Folge.
Im Bereich der technischen IT-Sicherheit verfügen zwar mittlerweile fast alle Unternehmen über Virenscanner, Firewalls und einen Passwortschutz für die Geräte. Doch der gängige Basisschutz reiche längst nicht mehr aus, denn die IT-Angriffe seien zuletzt immer komplexer geworden. Die IT-Sicherheit im Unternehmen muss daher stetig aktualisiert werden, um neuen Risiken standhalten zu können.
IT-Sicherheit sei aber nicht allein Frage der Einrichtung technischer Maßnahmen wie zum Beispiel einer Firewall, sagt Peter Lotz, Rechtsanwalt und Partner in der Kanzlei Mayrfeld in Frankfurt am Main. „Sie bedarf der Einbindung in einen Sicherheitsprozess, der im Unternehmen fokussiert initiiert, organisiert und durchgeführt werden muss.“ Denn ein Datendiebstahl kann nicht nur wirtschaftliche Schäden nach sich ziehen, sondern auch für Vertrauensverluste sorgen. Und ein solcher Imageschaden ist ein weicher Faktor mit großem Gewicht: Gelten ein Unternehmen oder seine Produkte bei Kunden und Geschäftspartnern erst einmal als unsicher, lässt sich das nur schwer wieder aus der Welt schaffen.
„Aus technisch-organisatorischer Sicht erwarte ich im ersten Schritt ein durchgehendes Sicherheitskonzept, das mindestens einmal jährlich auf Angemessenheit und Wirksamkeit geprüft wird und in dem auch der Schutzbedarf klar definiert wurde“, sagt Friedrich Wimmer, Leiter IT-Forensik und Cyber Security Research bei Corporate Trust Business Risk & Crisis Management. Technisch gelte es, wirksame Maßnahmen unter anderem in den Bereichen Datensicherung und Back-up, Hackerresistenz und Sicherheitsmonitoring zu implementieren. Und schließlich komme es darauf an, „die handelnden Personen mit auf die Reise zu nehmen und entsprechend zu schulen“, so der IT-Sicherheitsexperte. Denn grundsätzlich gilt, dass jedes System nur so lange sicher ist, wie sich sein Benutzer an zuvor vereinbarte Standards hält – und menschliches Fehlverhalten ist nach wie vor mit Abstand die häufigste Ursache für Datenschutzverletzungen.
Bedeutung des IT-Risikomanagements nimmt zu
Nicht zuletzt deshalb messen auch Immobilienunternehmen dem IT-Risikomanagement eine immer größere Bedeutung zu – auch aus aufsichtsrechtlichen Gründen. „In unserem Risikoausschuss ist der Informationssicherheits-Risikomanager fest vertreten“, sagt Thomas Müller von Union Investment. Denn auch die zunehmende Komplexität technischer Vorgänge und die Vielzahl eingesetzter Dienstleister bringen das Risiko mit sich, dass das Sicherheits- und Datenschutzniveau nicht ausreichend eingehalten wird. „Damit geht auch das nicht zu unterschätzende Risiko eines Kontrollverlusts und unberechtigter Einsichtnahmen einher“, warnt Thomas Müller. Insbesondere mit Blick auf die Datenkraken des 21. Jahrhunderts sollten Informationen zudem grundsätzlich sparsam mit Dritten – etwa Partnern und Dienstleistern – geteilt werden. Auch eine Absicherung gegen sogenannte Crawler sei sinnvoll, empfiehlt Union Investment-Experte Marco Wichtermann. „Dadurch kann vermieden werden, dass unerlaubt Daten eines Unternehmens aggregiert werden.“
Es sind aber mitunter auch ganz einfache Verhaltensregeln, die dazu beitragen, das Risiko zu minimieren, Opfer eines Datendiebstahls zu werden. Beim Entsperren mobiler Geräte müsse beispielsweise klar sein, dass das Eingeben von Passwörtern in nicht gesicherten Bereichen durchaus mitgefilmt werden kann, so IT-Sicherheitsexperte Wimmer. „Dem Risiko kann einfach begegnet werden, indem beim Eingeben von Passwörtern der Laptopdeckel etwas nach unten geklappt wird.“ Auch technische Lösungen wie Fingerabdrucksensoren können helfen. „Ferner sollten unbekannte Zertifikate und Warnmeldungen nicht akzeptiert und Sichtschutzfolien genutzt werden.“ Diese helfen dabei, Blicke der Sitznachbarn in Zug oder Flugzeug zu verhindern.
„Die weitverbreitete Ansicht, die Einrichtung von Sicherheitsmaßnahmen sei zwangsläufig mit hohen Investitionen in Technik und Sicherheitsexperten verbunden, ist nicht notwendigerweise zutreffend“, sagt Rechtsexperte Lotz. „Was zählt, sind ein gesunder Menschenverstand, eine durchdachte Sicherheitsstrategie und Mitarbeiter, die selbstständig Sicherheitserfordernisse umsetzen.“ Im Rahmen der Umsetzung könne dann gegebenenfalls auch über die Durchführung weiterer Schritte entschieden werden. Es gelte, so Lotz, „die sachgerechte Abwägung zwischen dem rechtlich Notwendigen auf der einen Seite und dem technisch Machbaren und Notwendigen auf der anderen Seite zu treffen“.
Von Harald Czycholl
„Aufmerksamkeit und Risikobewusstsein der Mitarbeiter müssen erhöht werden“
Johanna M. Hofmann über IT-Sicherheitsstrategien, gesetzliche Vorgaben und die Sensibilisierung der Mitarbeiter für die Herausforderungen der digitalen Arbeitswelt
raum und mehr: Ob Datendiebstahl oder Wirtschaftsspionage: Unternehmen sämtlicher Branchen sehen sich immer häufiger Cyberangriffen ausgesetzt. Wie kann man sich dagegen wappnen?
Johanna M. Hofmann: Die Art des Angriffs spielt aus Sicht des Angegriffenen letztlich keine Rolle, wenn er sich mit den Folgen auseinandersetzen muss. Denn dann hat Schadensbegrenzung oberste Priorität. Deshalb sollte eines klar sein: Sicherheitsmaßnahmen müssen rechtzeitig ergriffen werden, um Angriffe auf vertrauliche Daten im Vorfeld zu verhindern, zumindest aber zu erschweren. Durch angemessene IT-Sicherheitsmaßnahmen können Unternehmen nicht nur Datenverlust verhindern, sondern einer Haftung und drohenden massiven Bußgeldern entgehen.
In welchen Bereichen haben Unternehmen Nachholbedarf in Sachen IT-Sicherheit?
IT-Sicherheit kann gar nicht ernst genug genommen werden. Unternehmen sollten in diesem Bereich nicht einfach wegschauen. Es besteht häufig Nachholbedarf in dieser Hinsicht, nicht zuletzt angesichts rasant fortschreitender Entwicklung auf dem Gebiet der Informationstechnik. Angreifer und ihre Technik entwickeln sich unaufhaltsam fort. Genauso muss auch die IT-Sicherheit im Unternehmen stetig aktualisiert werden, um neuen Bedrohungen trotzen zu können.
Wie sollte eine IT-Sicherheitsstrategie in Unternehmen aussehen?
IT-Sicherheit betrifft alle Abteilungen im Unternehmen. Alle sollten an einem Strang ziehen. Gleichwohl muss der Impuls von oben kommen. Incentives können allerdings die einzelnen Abteilungen motivieren. Auf jeden Fall sollten Zuständigkeiten klar zugewiesen sein, es sollte einen Ansprechpartner für Fragen der IT-Sicherheit geben. Regelmäßige Überprüfungen, Monitoring der Systeme und Aktualisierungen sind elementar. Zudem sollten Aufmerksamkeit und Risikobewusstsein der Mitarbeiter erhöht werden.
Die Mitarbeiter gelten häufig als Risikofaktor. Was kann man tun, um sie für IT-Risiken zu sensibilisieren?
Menschliches Fehlverhalten ist nach wie vor mit Abstand die häufigste Ursache für Datenschutzverletzungen. Dieses Problem kann man durch Schulungen und Information angehen. Zudem kann Machine Learning helfen, Fehlerquellen zu reduzieren. Hier sind die Unternehmen in der Pflicht, ihre Mitarbeiter vor den Gefahren der digitalen Welt bestmöglich zu schützen.
Sind strengere gesetzliche Regelungen notwendig, um die IT-Sicherheit zu gewährleisten?
Die existierenden Regelungen sind streng genug. Es ist nun an den Datenverarbeitern, die Vorgaben im eigenen Interesse adäquat umzusetzen. Oftmals wissen Anwender allerdings nicht, was die abstrakten Vorgaben zur IT-Sicherheit für sie konkret bedeuten. Zertifikate, Stellungnahmen und technische Richtlinien von Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik können helfen, unbestimmte Rechtsbegriffe mit Leben zu füllen und einzuhalten. Insoweit kommt den Aufsichtsbehörden nicht nur eine Vollzugs-, sondern auch eine Beratungsfunktion zu. Unternehmen sollten den Rat ihrer Aufsichtsbehörde suchen, Anonymität kann dabei durch Einschaltung eines Rechtsanwalts hergestellt werden, der die Anfrage für das Unternehmen stellt.
Das Gespräch führte Harald Czycholl.