Corporate Trust beschäftigt sich intensiv mit der Identifikation von Risiken in speziellen Wirtschafts- und Unternehmensbereichen und den dazu passenden Lösungen. Um Unschärfen vorwegzunehmen, muss darauf hingewiesen werden, dass Corporate Trust kein durchschnittlicher IT- (Sicherheits-)Dienstleister ist, sondern aufgrund der außergewöhnlichen Zusammensetzung des Personals nicht alltägliche Dienstleistungen wie
- Vorbeugung von und Ermittlung von Wirtschaftskriminalität,
- Abwehr von Industriespionage,
- ganzheitliche Informationsschutzkonzepte,
- Auslandssicherheit für Unternehmensangehörige oder
- ganzheitliche Corporate Security- Konzepte
erbringen kann – und das als strategischer Partner. Vermehrt wird unser Unternehmen mit Angriffen aus dem Cyberraum konfrontiert, die mit hoher krimineller Energie geführt werden. Die Experten von Corporate Trust gehen davon aus, dass solche Angriffe auch für Wohn- und Gebrauchsimmobilien zum Problem werden können.
Vernetzte Computerfunktionen haben unsere Unternehmens-, Zweck- und Wohnimmobilien bereits erreicht. Und zwar in Form von Smart-Devices, Smart-Home-Anlagen und sogenannten Smart-Buildings, die alle Annehmlichkeiten der vernetzten Umwelt bieten. Wenn wir dem Mooreschen Gesetz Glauben schenken (müssen), entwickelt sich die Vernetzung so rasant, dass wir schon in weniger als Zwei-Jahres-Zyklen mit Verdoppelungen und somit von exponentiellem Wachstum konfrontiert sind.
Daraus ergibt sich eine interessante Frage: Wo stehen wir (vernetzungstechnisch) beispielsweise im Jahre 2021?
Welche Risiken ergeben sich im Hinblick auf Immobilienentwicklungen?
Und hier sprechen wir nicht von den bekannten und aus unserer Sicht gesetzlich gut abgesicherten Risikozugängen der feuerpolizeilichen Bestimmungen, der OIB- Richtlinien oder der technischen Richtlinien des vorbeugenden Brandschutzes.
Wir sprechen von Risiken, die sich aus der rasanten Entwicklung des Internets der Dinge, oder im Englischen Internet of Things, ergeben. Risiken, die durch Manipulation zu bekannten Schäden wie Feuer, Wasser, Elektrik und der Gleichen führen können, aber auch von Risiken, die als kriminelle Handlungen zu bezeichnen sind, wie Erpressungen mittels Ransomware oder schwere Störungen und Ausfälle der Gebäudetechnik durch DDoS- Angriffe (Distributed Denial of Service) mittels gekaperter Bot-Netze.
Wo finden sich Ansatzpunkte für Angriffe?
In der Gebäudetechnik (Aufzugstechnik, Elektrotechnik, Raumlufttechnik, Reinraumtechnik, Sanitärtechnik, Wärme- und Heiztechnik, Zutrittssysteme etc.), in der Haustechnik (Lichtsteuerung, Jalousien, Heizungssteuerung, Alarmanlage, Gegensprechanlage, Multimedia-Systeme, Smart-Metering, Energie-, Wasser-, Gaszähler etc.) oder bei Haushaltsgeräten (Kühlschrank, Herd, Waschmaschine, Kaffeeautomat, Toaster, Staubsaugerroboter, Smart-TV oder Smart-DVD-Recorder).
Und als Angreifer könnte – schon jetzt und in Zukunft noch einfacher – zum Beispiel der smarte Kühlschrank, der eine Einkaufsliste erstellt, wenn die Milch zur Neige geht, identifiziert werden.
Zu beachten ist, dass zurzeit an der nächsten Generation des Internets gearbeitet wird. Das heißt, in naher Zukunft wird es so viele Internet-Ports (Adressen) geben, dass jedes Sandkorn mit einem Internetanschluss versehen werden könnte. Wir sprechen von mehreren Billionen Anschlüssen.
Der Praxistest.
Corporate Trust hat den Praxistest durchgeführt, um zu überprüfen, ob die Unkenrufe, dass eine große Anzahl von Internetusern keinerlei Sicherheit haben und jedermann auf ihre Applikationen zugreifen kann, richtig sind.
Und der Test ergab: Ja, sie sind richtig. Der Umgang mit, an das Internet angeschlossene, Haustechnikfunktionen ist fallweise grob fahrlässig.
Die Spezialisten von Corporate Trust haben allgemein zugängliche Serviceseiten benutzt, also nicht gehackt, auch keine sonstigen Gesetzesverletzungen begangen und waren nach kurzer Zeit fündig:
Der Bogen spannte sich vom vollkommen ungeschützten Fernwartungslink (Remote-Zugriff) auf eine Heizanlage eines (5 Sterne-) Hotels, über die Smart-Home-Anlage einer Luxusimmobilie inklusive dokumentiertem Passwort, bis hin zu einer kommunalen Abwasserkläranlage, die mit etwas Böswilligkeit zum Überlaufen hätte gebracht werden können.
Mögliche Cyber-Risikoszenarien für Immobilien.
Ein Business-Tower verfügt über eine Fernwartungsschnittstelle für die vernetzte Gebäudetechnik. Die Anbindung ist nicht nach dem Stand der Technik abgesichert, wodurch sich Angreifer Zugang zur Gebäude-IT verschaffen können:
Vertraulichkeit:
- Spionage – Anzapfen von Mikrofonen, Kameras und Sensorik in Haustechnik und Haushaltsgeräten
- Handel mit Metadaten – Detailliertes Wissen über Mieter/Bewohner anhand der Lebensgewohnheiten
- Veröffentlichung von und Erpressung mit intim(st)en Informationen oder Betriebsgeheimnissen
Verfügbarkeit:
- Angriffe gegen Smart-Building-Haustechnik – Systemausfälle auf Grund von DDoS-Attacken
Integrität:
- Infektion des Gebäudenetzwerks mit Verschlüsselungstrojaner inklusive Lösegeldforderungen
- Anzeige falscher Betriebsstatusinformationen (Stuxnet) und Zerstörung der Infrastruktur im Hintergrund
Welche Risikoklassen könnten sich für Immobilienentwicklungen ergeben?
Risikoklassen im Kontext vernetzter Immobilien:
- Haftungsrisiken für Betreiber vernetzter Immobilien
- Reputationsrisiken für Betreiber und gewerbliche Mieter im Schadensfall
- Gesundheitsrisiken für Mieter bei Manipulation von z.B. Raumlufttechnik
- Finanzielle Risiken durch Betriebsunterbrechungen
- Strategische Risiken für Entwickler im Bereich der Lieferanten von Gebäude-IT
- Technische Risiken für Betreiber durch Schadsoftware-Infektion
Fazit.
Im Wesentlichen muss klar sein, dass wir uns mit den Risiken der Vernetzung im Immobiliensektor beschäftigen und den Risikomanagementprozess so zeitig als möglich bei Immobilienentwicklungen einhängen müssen.
Schon alleine deshalb, weil sich für Verantwortliche keine Ausrede nach dem Motto „Das habe ich nicht gewusst“ ausgeht. Adäquate Maßnahmen bewegen sich in einem vernünftigen Kostenrahmen und können schwerwiegende Nachteile für Entwickler und Nutzer vermeiden.
