«Cyber Security ist immer mit hohem Aufwand verbunden»
Heutzutage ist kein Unternehmen und keine Branche mehr sicher vor Cyberangriffen. Die Häufigkeit der Angriffe hat weltweit zugenommen. Wie sieht das in der Immo-Branche aus? Marcel Wehrle, CTO des Schweizer PropTech-Unternehmens emonitor mit Sitz in St.Gallen hat Antworten.
Noch bis vor ein paar Jahren musste sich die Immo-Branche den Vorwurf gefallen lassen, dass sie Cyberangriffe nicht ernst genug nimmt. Wie sieht das heute aus? Hat die Branche dazugelernt?
Marcel Wehrle: Grundsätzlich sind Verallgemeinerungen schwierig. Mir persönlich ist kein Fall bekannt, bei dem ein Angriff nicht ernst genommen wurde. Man muss sehen, dass Cyber Security auch immer mit hohem Aufwand und Kosten verbunden ist. Ein Unternehmen muss also regelmässig investieren, um up-to-date zu bleiben. Grössere Unternehmen haben dafür standardisierte Prozesse, wie beispielsweise IT-Security-Konzepte, etabliert. Für kleinere und mittlere Unternehmen ist dies aufgrund der hohen Kosten etwas schwieriger.
Auf was haben es die Kriminellen in dieser Branche hauptsächlich abgesehen? Welches sind die beliebtesten Angriffsziele?
Ich glaube, dass sich die Immobilienbranche diesbezüglich eigentlich gar nicht gross von anderen Branchen differenziert. Die Angriffsziele sind in den meisten Fällen immer schützenswerte Daten, wie beispielsweise personenbezogene Daten. Ein weiteres Ziel solcher Angriffe, das oft vorkommt, ist sicherlich auch die Übernahme bzw. die Infiltration von Infrastruktur. Aktuell gibt es in der Schweiz regelmässig Fälle, bei denen via Ransomware sensible Daten ins Darknet abfliessen, die dann später von Kriminellen zum Kauf angeboten werden. Oft geht es aber in den bekannten Fällen nicht um Inhalt der Daten selber, sondern darum, eine Situation auszulösen, in der Unternehmen erpressbar sind.
Zur Cyber Security gehört bekanntlich auch der Datenschutz – also der Umgang mit personenbezogenen Daten. Ihr betrachtet diese beiden Bereiche aber getrennt voneinander. Weshalb?
Cyber Security umfasst jeglichen Schutz von Systemen, die mit dem Internet verbunden sind. Sie umfasst den Schutz von Software, Daten und Hardware und soll verhindern, dass Cyber-Kriminelle Zugriff auf Geräte oder Netzwerke erhalten. Somit ist Cyber Security ein Werkzeug, dass nötig ist, um den Datenschutz garantieren zu können.
Man sagt, dass oftmals Mitarbeiter das schwächste Glied in der Cyber-Security-Kette sind. Ein Klick zu viel in einer E-Mail und schon ist es passiert. Was unternimmt emonitor, dass so etwas möglichst nicht passiert?
Diese Aussage würde ich nicht zu 100% so unterschreiben. Natürlich machen Menschen Fehler, denn kein Mensch ist unfehlbar. Sei es, weil es eine Sicherheitslücke im Code gibt oder weil man auf ein Phishing-Mail reagiert. emonitor ist noch ein junges und relativ kleines Unternehmen und unsere Mitarbeiter sind, aufgrund des Geschäftsfeldes in dem wir uns bewegen, von Haus aus digital affin und technisch versiert. Zudem sensibilisieren wir unsere Mitarbeiter regelmässig auf aktuelle Gefahren und schulen sie dementsprechend. Ausserdem gibt es ein klares Rollen- und Zugriffskonzept. D.h., dass selbst wenn man Zugriff erhält, ist es nicht möglich Daten im grossen Stil zu entwenden. Um die Daten der Kunden zu schützen, muss man auf sie zugreifen können.
Auf was muss man rechtlich alles achten, wenn man, so wie emonitor, mit personenbezogenen Daten arbeitet?
Auf ein klares Rollen- und damit verbundenes Zugriffskonzept und dem dazugehörigen Monitoring. Jede Aktion die von jemanden durchgeführt wird, wird getrackt. Rechtlich betrachtet, muss man sicherstellen, dass man nicht fahrlässig handelt, also keine grundsätzlichen Prinzipien missachtet.
Auch Immobilien werden bekanntlich immer digitaler. Für Mieter und Nutzer werden vielfältige digitale Services bereitgestellt. Meistens geschieht dies über Mobile und Cloud Computing. Somit werden auch die Immobilien selbst zu Zielen von Cyber-Kriminellen. Auf was müssen Besitzer, Vermieter etc. achten, dass ihre Systeme sicher sind?
Sie müssen darauf achten, mit welchen Unternehmen Sie zusammenarbeiten. Meistens werden diese Services ja nicht von den Eigentümern & Vermietern selber bereitgestellt, sondern sie nutzen, wie beispielsweise auch unsere Vermietungsapplikation, Drittservices. Ob jetzt Immobilien direkt angegriffen werden können, hängt meiner Meinung nach stark davon ab, inwiefern sie mit dem IoT (Internet of Things) verknüpft sind. Ein Stichwort dazu wäre «Smart Homes», die es erlauben einen direkten Einfluss auf das Ökosystem einer Immobilie zu nehmen.
Wer hat eigentlich die Hoheit über die Mieterdaten, die in digitalisierten Immobilien gesammelt werden? Sind das die Vermieter oder bleibt die bei den Mieterinnen und Mietern?
Die Hoheit hat gemäss Datenschutz der Mieter selbst. Der Vermieter hat aber das Recht, die Daten zu verarbeiten und zu nutzen, solange ein klares Interesse seitens des Vermieters besteht, dies zu tun. Dazu gehört, dass nur Daten abgefragt werden dürfen, die dem entsprechen. Grundsätzlich muss ein Mieter jederzeit die Möglichkeit haben, eine Löschung seiner Daten zu beauftragen bzw. durchführen zu lassen.
Auf was sollte man als Mieter achten, wenn man in einem digitalisierten Gebäude, also in einem Smart Home eine Wohnung mietet?
Grundsätzlich sollte man sich immer bewusst sein, was man an persönlichen Daten preisgeben will und was nicht. Insbesondere wenn man virtuelle Assistenten benutzt wie beispielsweise Alexa. Je mehr man mit dem Internet verknüpft ist (IoT), desto grösser ist auch die Möglichkeit für einen Missbrauch.
Kann man sich als Immobilienbesitzer auch gegen Cyber-Risiken versichern?
Grundsätzlich ja. Allerdings ist mir persönlich kein Produkt bekannt, das speziell für die Versicherung im Immobilienkontext auf dem Markt ist.
Was bringen solche Versicherungen?
Wenn das System down ist, nützt mir das Geld von der Versicherung erstmal ja nichts – die Daten sind im schlimmsten Fall weg. Die Daten sind weg, das stimmt. Da kann man auch nicht viel dagegen machen ausser Vorbeugungsmassnahmen. Versicherungen sind dazu da um für den entstandenen Schaden aufzukommen, sind also immer reaktiv. Den Schaden gibt es bereits. Bei den besagten Versicherungen kümmert sich ein Team von Experten darum, den Schaden möglichst zu begrenzen. Zudem kann man den Umsatzausfall abdecken, der entsteht, während das System down ist.