Die fortschreitende Digitalisierung im Bauwesen schafft enorme Effizienzgewinne, macht die Branche aber gleichzeitig zu einem attraktiven Angriffsziel für Cyberkriminelle. Systeme wie Building Information Modeling (BIM), cloudbasierte Plattformen, mobile Tools für die Baustellenkoordination und IoT-Geräte erhöhen Transparenz und Geschwindigkeit, eröffnen jedoch zugleich zusätzliche Einfallstore. Jüngste Vorfälle zeigen deutlich, dass Bauunternehmen diese Risiken nicht länger unterschätzen dürfen.
Die Gefahrenlage für die Bauwirtschaft ist ernst. Ransomware-Attacken haben spürbar zugenommen; fast ein Viertel aller registrierten Vorfälle im Jahr 2023 richtete sich gegen Baufirmen. Beispiele aus der Schweiz – etwa die Angriffe auf Meier Tobler oder Swisswindows – belegen, dass Cyberattacken Unternehmen lahmlegen und im schlimmsten Fall deren Existenz bedrohen können. Darüber hinaus drohen Datendiebstahl und Industriespionage. Baupläne enthalten hochsensible Informationen: von sicherheitskritischen Infrastrukturlayouts über Tresoranlagen bis hin zu vertraulichen Ausschreibungsunterlagen. Gelangen solche Daten in unbefugte Hände, entstehen erhebliche Risiken für Sicherheit und Wettbewerb.
Zu den typischen Angriffspfaden gehören klassische Malware und Phishing, vor allem jedoch Ransomware und gezielte Sabotageakte. Kriminelle könnten BIM-Dateien manipulieren und Fehler in Planungen einschleusen. Unsichere IoT-Geräte auf Baustellen – Kameras, Sensoren oder Steuerungssysteme – eröffnen zusätzliche Schwachstellen. Auch ein kompromittiertes WLAN reicht häufig, um Zugriff auf zentrale Systeme zu erlangen. Besonders kritisch sind Angriffe über die Lieferkette, die Schwachpunkte in eingesetzter Software ausnutzen.
Die wirtschaftlichen Schäden durch Cybervorfälle in Bauprojekten sind beträchtlich. Ein Angriff auf ein Projektmanagementsystem führt unmittelbar zu Verzögerungen und Kostensteigerungen. Vertragsstrafen werden fällig, wenn Fristen nicht eingehalten werden. Der Verlust von Bauplänen oder vertraulichen Angeboten kann zu Nachteilen im Wettbewerb und Schadensersatzforderungen führen. Ebenso gravierend sind Reputationsschäden: Firmen, die sicherheitsrelevante Bauten betreuen, riskieren nach einem Vorfall, keine Folgeaufträge mehr zu erhalten.
Rechtlich bestehen klare Vorgaben. Das schweizerische Datenschutzgesetz verpflichtet Unternehmen, personenbezogene Daten wirksam zu schützen; bei Verstößen drohen Sanktionen. Baupläne und vertrauliche Unterlagen sind zudem über das UWG als Geschäftsgeheimnisse abgesichert. Fehlende Schutzmaßnahmen können zivilrechtliche Ansprüche auslösen – Bauherren könnten bei Verzögerungen oder manipulierten Plänen Ersatz fordern. In Arbeitsgemeinschaften ist daher vertraglich eindeutig festzulegen, wer die Verantwortung für IT-Sicherheit trägt. Hinzu kommt die Organhaftung: Verwaltungsräte und Geschäftsleiter müssen für angemessene Organisation sorgen, andernfalls droht persönliche Haftung.
Internationale Standards bieten Orientierung. ISO 19650 – insbesondere Teil 5 – legt Vorgaben für den sicheren Umgang mit BIM fest, etwa Risikobewertungen, Klassifizierungen sensibler Daten und Sicherheitskonzepte. Das Cybersecurity Framework des US-NIST strukturiert Schutzmaßnahmen in fünf Kernfunktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Für international tätige Baufirmen gewinnen diese Standards an Relevanz, auch wenn sie nicht zwingend rechtlich vorgeschrieben sind.
Ein Angriff auf die Marti-Gruppe im Jahr 2023 unterstreicht die Problematik. Über eine Zero-Day-Schwachstelle in einer verbreiteten Software erlangten Täter Zugang zu Daten und legten Systeme still. Der Vorfall zeigt, dass selbst große, sicherheitsbewusste Unternehmen durch Lieferkettenangriffe getroffen werden können.
Neben technischer Abwehr kommt der organisatorischen Verankerung entscheidende Bedeutung zu. IT-Sicherheit darf nicht allein als Aufgabe der Technikabteilung verstanden werden, sondern muss Teil der Unternehmensführung sein. Jedes größere Projekt sollte eine klar benannte Sicherheitsverantwortung haben. Mitarbeiterschulungen sind unerlässlich, da menschliches Fehlverhalten häufig die Schwachstelle darstellt. Klare Vorgaben für Passwortnutzung, Softwareeinsatz, externe Datenträger und BYOD-Regeln sind erforderlich. Zudem braucht es Incident-Response-Pläne, die ein strukturiertes Vorgehen im Ernstfall festlegen – von der Isolierung infizierter Systeme bis hin zur Kommunikation mit Auftraggebern.
Unverzichtbar bleiben präventive Maßnahmen: konsequentes Patch-Management, Mehrfaktor-Authentifizierung für Remote-Zugriffe, Netzsegmentierung, Offline-Backups und Integritätsprüfungen für Baupläne. Besonders IoT-Geräte auf Baustellen bedürfen gesonderter Aufmerksamkeit – Standardpasswörter sind zu ändern, Datenverbindungen zu verschlüsseln und Geräte systematisch zu inventarisieren. Ein Zero-Trust-Ansatz verhindert, dass einzelne kompromittierte Geräte die Gesamtinfrastruktur gefährden.
Für die Bauwirtschaft ist es entscheidend, eine Sicherheitskultur zu etablieren, die digitale Risiken genauso ernst nimmt wie Arbeitsschutz. Dazu gehören regelmäßige Risikoanalysen, detaillierte Notfallpläne, der konsequente Einsatz technischer Basisschutzmaßnahmen, dokumentierte und überprüfte Prozesse sowie klar definierte Verantwortlichkeiten – etwa durch die Benennung eines BIM-Security-Officers. Externe Expertise für Penetrationstests und Audits sollte ergänzend herangezogen werden.
Darüber hinaus müssen anerkannte Standards wie ISO 19650-5 und ISO 27001 konsequent angewandt und dokumentiert werden. Zwingend erforderlich sind eine strikte Zugangskontrolle zu Bauplänen, die Verschlüsselung sensibler Daten und die Absicherung aller IoT-Geräte. Schließlich sind Kommunikations- und Meldepläne unverzichtbar, um im Notfall sofort reagieren zu können.
Die Digitalisierung bringt der Branche enorme Chancen, erhöht aber gleichzeitig die Verwundbarkeit. Nur die Kombination aus Technik, Organisation, rechtlicher Absicherung und branchenspezifischen Standards kann die Widerstandsfähigkeit des Bauwesens gewährleisten. Sicherheit digitaler Bauprojekte ist damit keine Nebensache, sondern Grundvoraussetzung für ihren Erfolg.