B_I baumagazin: Herr Steinwedel, die R+V hat 2024 eine groß angelegte Studie zur Unternehmensresilienz durchgeführt. Was hat Sie an den Ergebnissen am meisten überrascht oder besorgt?

Ingo Steinwedel: Zwei Dinge haben mich besonders beschäftigt: Mehr als jedes dritte Unternehmen hat gesagt, dass es zu wenig in die eigene IT-Sicherheit investiert. Und jeder zweite Firmenchef wünschte sich externe Unterstützung, um die Widerstandsfähigkeit des eigenen Betriebs zu stärken. Es gibt also ein Gefahrenbewusstsein, aber zugleich das Gefühl, allein auf weiter Flur zu stehen.

Doch seitdem gibt es auch ermutigende Signale. Bei der CyberRisk Versicherung etwa hatten wir 2024 einen Vertragszuwachs von fast 20 Prozent, und auch bei der Absicherung gegen Wirtschaftskriminalität gab es ein zweistelliges Plus. Immer mehr Firmen handeln also offenbar und sichern sich stärker ab.

Wie hat sich das Risikoumfeld für Unternehmen in Deutschland in den letzten Jahren verändert und was sind derzeit die größten Bedrohungen für die Resilienz von Unternehmen – speziell mit Blick auf die IT-Sicherheit?

I. Steinwedel: Der „Hacker im Kapuzenpulli“ war gestern. Cyberkriminalität ist heute hochprofessionell organisiert. Angriffe kommen oft von arbeitsteilig agierenden Gruppen: Die einen entwickeln Schadsoftware, andere suchen Sicherheitslücken, wieder andere erpressen Unternehmen. So ist ein regelrechter Schwarzmarkt entstanden – mit Serviceangeboten, Geschäftsmodellen und sogar „Kundensupport“ für Kriminelle.

Stichwort „Kundensupport“: Sogar die betroffenen Unternehmen können teils auf solche Angebote zurückgreifen. Nach dem Motto: Sie wissen nicht, wie man ein Bitcoin-Konto einrichtet? Kein Problem, wir führen Sie Schritt für Schritt durch. Damit die Firmen dann das Lösegeld bezahlen können. Unser Rat an die Unternehmen ist jedoch: Zahlen Sie kein Lösungsgeld. Die Hacker lassen sich ohnehin versteckte Zugänge offen, um später nochmal abzukassieren. Man muss die betroffenen Systeme also ohnehin komplett neu aufsetzen.

Sie sagen, Cyberkriminalität sei heute lukrativer als Drogenhandel. Was genau macht IT-Angriffe so gefährlich – und so attraktiv für Kriminelle?

I. Steinwedel: 2024 lag der Schaden durch digitale Angriffe laut dem IT-Branchenverband Bitkom allein in Deutschland bei rund 266 Mrd. €. Das ist weit mehr als der jährliche Umsatz des deutschen Bauhauptgewerbes! Für Kriminelle ist das also ein einträgliches Geschäft, und darum nehmen sie immer mehr Firmen ins Visier, auch Bau- und Handwerksbetriebe. Sie schleusen Schadprogramme ein oder locken Beschäftigte mit gefälschten E-Mails in Fallen. Die künstliche Intelligenz eröffnet ihnen dabei zusätzliche Möglichkeiten.

Können Sie ein typisches Schadensszenario schildern, wie es einem Betrieb widerfahren könnte – oder bereits widerfahren ist?

I. Steinwedel: Eine Besonderheit in der Baubranche ist das verbreitete „Business Information Modelling“, also die Bauwerksdatenmodellierung. Bei diesen BIM legen die am Bau beteiligten Unternehmen alle Dokumente in einer Cloud ab: also etwa Baupläne, Zeitplanungen und Materialbestellungen. Wenn die Hacker bei einem der beteiligten Unternehmen eindringen, können sie auch die regulären Zugangsdaten zur BIM-Cloud stehlen – und diese lahmlegen. Dann können alle am Bau Beteiligten nicht mehr darauf zugreifen. Der Bau steht, mit allen möglichen Folgen: Vermögensschäden, Vertragsstrafen, Haftungsfragen.

Gerade die Baubranche ist oft noch nicht voll digitalisiert – macht sie das weniger oder sogar mehr angreifbar?

I. Steinwedel: In praktisch jedem Unternehmen der Baubranche gibt es kritische Daten in digitaler Form, auch wenn kein BIM genutzt wird. Und die Verantwortlichen sollten sich fragen, welche Geschäftsprozesse in ihren Firmen heute noch ohne IT laufen. Was geht beispielsweise ohne E-Mails, ohne digitale Bestellungen und ohne Zugriff auf Kunden-, Projekt- und Rechnungsdaten?

Welche Risiken sehen Sie speziell für Unternehmen im Bau- und Handwerksbereich? Gibt es typische Schwachstellen?

I. Steinwedel: Der Digitalisierungsgrad ist bei vielen Bau- und Handwerksunternehmen gering. Daher ist oft auch das Gefahrenbewusstsein nicht sehr ausgeprägt, die Passwörter sind einfach, Firewalls veraltet oder gar nicht vorhanden. Das kann den Hackern Tor und Tür öffnen. Dazu können schon falsche Links oder Anhänge genügen – zum Beispiel: „Hallo, ich muss mich leider krankmelden. AU im Anhang“. Und schon hat der Hacker einen Fuß in der Tür, wenn ein Mitarbeiter unter Zeitdruck oder aus Versehen draufklickt. Davon abgesehen sind die Risiken die gleichen wie in allen Branchen: Die Hacker suchen Daten, die sie zu Geld machen können. Einen Datensatz mit Name, Anschrift, Telefon und E-Mail können sie für rund 10 Euro auf dem Markt verkaufen – und das oft mehrfach. Sind Bankdaten dabei, verlangen die Kriminellen meist sogar ein Vielfaches davon.

Was sind aus Ihrer Sicht die drei dringendsten Maßnahmen, die Unternehmen der Bauwirtschaft jetzt ergreifen sollten, um sich besser abzusichern?

I. Steinwedel: Als Erstens sollten die Betriebe frühzeitig einen guten und vertrauenswürdigen IT-Dienstleister auswählen. Zweitens sollten sie mit Augenmaß in die IT-Sicherheit investieren, gegebenenfalls mit Hilfe einer Partnerbank. Firewalls, Softwareupdates, regelmäßige Daten-Backups, Aufklärung und Schulung der Beschäftigten – aus unserer Beratungspraxis wissen wir, wie wertvoll das im Fall der Fälle ist. Das ist genauso wichtig wie eine Warnweste und ein Helm auf einer Baustelle! Und drittens sollten Unternehmer eine passende Absicherung für sich und die Firma wählen. Denn einen einhundertprozentigen Schutz vor den Hackern gibt es nicht.

Neue Haftungsregeln können ernste Konsequenzen für Unternehmer und Geschäftsführer haben, die IT-Risiken ignorieren. Wie ist das zu beurteilen und was raten Sie gerade kleineren Unternehmen?

I. Steinwedel: Gehackt werden ist eine alptraumhafte Situation, mit der gerade kleinere Firmen überfordert sind. Doch erstmal abwartet ist kein guter Rat: Jeglicher Sicherheitsvorfall, bei dem Daten von Dritten betroffen sein könnten, muss binnen 72 Stunden an die Datenschutzbehörde gemeldet werden. Sonst droht ein Bußgeld von bis zu 4 Prozent des Jahresumsatzes. Selbst nach erfolgreicher Wiederherstellung der Systeme kann also noch eine spürbare Strafe folgen – zusätzlich zum entstandenen Imageschaden und möglichen Schadenersatzforderungen.

Denn der Staatsanwalt kann ein Ermittlungsverfahren wegen Vorsatz einleiten, nach der Logik: Der Unternehmer hat die IT-Sicherheit vernachlässigt. Auch dabei zählt ein verlässlicher Kostenschutz, denn selbst bei der Rechtsform einer GmbH ist die Haftung stark begrenzt. Danach muss der Unternehmer bzw. Geschäftsführer mit seinem Privatvermögen einstehen – dieses unwägbare Risiko sollte man unbedingt absichern.

Können Sie ein Beispiel nennen, wo eine mangelnde Absicherung ernsthafte finanzielle oder gar strafrechtliche Folgen hatte?

I. Steinwedel: Es ist leider so, dass die typische Schadenhöhe in der Baubranche deutlich höher ist als anderen kleinen und mittleren Unternehmen. Wir sprechen hier von über einer halben Million Euro! In anderen Branchen sind es im Durchschnitt eher knapp 200.000 Euro. Ein Grund dafür ist, dass von einem „Hack“ oft gleich mehrere Unternehmen betroffen sind. In solchen Fällen sind nach der Datenschutzgrundverordnung wie gesagt Selbstanzeigen Pflicht. Und bei solchen Selbstanzeigen leitet die Staatsanwaltschaft grundsätzlich immer ein Ermittlungsverfahren ein. Dann brauchen die Unternehmer bzw. Geschäftsführer einen Partner und Anwälte, die sie begleiten.

Ihre Studie zeigt: Viele Entscheider wünschen sich Unterstützung bei diesem Thema. Was kann die R+V hier konkret leisten?

I. Steinwedel: Wir haben eine umfassende Absicherungslösung für Firmen entwickelt, die sich gegen die Folgen eines Hackerangriffs absichern möchten. Diese ist für viele Betriebe zugänglich, da sie für einen Vertragsabschluss lediglich vier klar umrissene Voraussetzungen erfüllen müssen – und keine unüberschaubar lange Liste. Unsere CyberRisk-Versicherung deckt zum einen die finanziellen Auswirkungen eines Cyberangriffs für das Unternehmen selbst ab: etwa Kosten für die Datenrettung, Systemwiederherstellung oder Ertragsausfälle. Zum anderen berücksichtigt sie mögliche Ansprüche Dritter – etwa Verletzungen von Datenschutzbelangen oder Geheimhaltungspflichten. Zudem steigen wir sofort in die Schadenbehebung ein, denn Zeit ist wertvoll: Je schneller die IT wieder läuft, umso früher geht’s am Bau wieder weiter. Wir haben für solche Fälle ein eigenes Team an IT-Experten, denn hier geht es um Existenzen. Darum sind unsere Leute oft auch direkt vor Ort.

Mehr zum Thema: