Von Thomas Stocker, CISO bei Nemetschek Group
Ein falscher Klick – und schon müssen Bauprojektverantwortliche mit Cyberkriminellen um Lösegeld verhandeln. Ransomware, eine Schadsoftware, die Daten verschlüsselt und Lösegeld fordert, hat längst die Bauindustrie erreicht. Die Branche digitalisiert mit Hochdruck, doch vielerorts hinkt die Sicherheitsarchitektur hinterher. Dabei ist Cybersecurity längst nicht mehr nur Sache der IT – sie ist auch eine Frage der Unternehmenskultur.
Am 17. März 2023 legte Ransomware die IT-Systeme der Baugruppe Matthäi lahm. Hinter dem Angriff steckte Black Basta – dieselbe Gruppe, die bereits neun Monate zuvor den Baustoffkonzern Knauf ins Visier genommen hatte. Auch wenn beide Unternehmen nach eigenen Angaben das Lösegeld verweigerten, hinterließ der Angriff Spuren: operativ, finanziell und reputativ. Schlagzeilen aus anderen Branchen demonstrieren, wie Hacker Existenzen ruinieren können. So zuletzt geschehen beim Elektronikversicherer Einhaus, der im August 2025 Insolvenz anmelden musste – als unmittelbare Folge eines Ransomware-Angriffs.
Gerade in der Bauindustrie treffen mehrere Faktoren aufeinander, die diesen Sektor besonders verwundbar gegenüber Cyberangriffen machen.
Digitalisierung entwächst der Sicherheitsarchitektur
Wer nicht digitalisiert, verliert den Anschluss – das Signal ist auch in der Bauindustrie angekommen. Vermessungsdrohnen erfassen Geländeprofile auf Großbaustellen in Echtzeit, IoT-Sensoren überwachen Betonaushärtung oder Bauteiltemperaturen, Subunternehmer laden Abrechnungsbelege direkt per Cloud-App hoch. Und mit dem verbindlichen Einsatz von Building Information Modeling (BIM) für Bundeshochbauten ab 2025 zieht auch die öffentliche Hand die Daumenschrauben an.
Doch diese Aufholjagd darf nicht ohne professionelle Berücksichtigung der IT-Sicherheit durchgeführt werden, wenn die Digitalisierung in den Fachabteilungen schneller voranschreitet als die IT-Sicherheit im Unternehmen insgesamt. Während Bau- und Projektleitung zunehmend cloudbasiert arbeiten, fehlen zentrale Richtlinien für Identity Management oder Incident Reporting. Die Verantwortung für Sicherheitsfragen diffundiert zwischen Bauleiter, Systemhaus und Subunternehmen.
Netzwerke sind oft nicht segmentiert, Zugriffsrechte historisch gewachsen statt sauber verwaltet, Software-Updates erfolgen manuell – wenn überhaupt. Mit klaren Prozessen, definierten Zuständigkeiten und abgestimmter Information Security Governance (die außerhalb und auf Augenhöher der IT liegen muss) lassen sich diese Lücken jedoch systematisch schließen.
Fragmentierte IT als Einfallstor: Medienbruch wird zur Angriffsfläche
Die IT-Landschaft im Bauwesen ist genauso heterogen wie der Kreis der Beteiligten. Jedes Bauprojekt ist ein Netzwerk auf Zeit aus eigenständigen Akteuren mit unterschiedlichen Tools und Workflows. Während Hersteller von Baumaschinen zunehmend IoT-fähige Steuerungen einsetzen und Planungsbüros mit cloudbasiertem BIM arbeiten, arbeiten viele Subunternehmer noch immer mit lokalen Excel-Dateien oder nicht abgesicherten E-Mail-Prozessen.
Ob Ausschreibungen, Bauzeitplanung, Dokumentation oder Abrechnung: Bauunternehmen jonglieren mit zahlreichen Lösungen, die oft nicht miteinander integriert sind. Die Folge: Ein digitaler Flickenteppich ohne einheitliche Schnittstellen oder Authentifizierungsstandards.
Ebenfalls zu beachten: In cloudbasierten Kollaborationsplattformen teilen Unternehmen projektübergreifend sensible Informationen wie Leistungsverzeichnisse, Zahlungsdaten oder Planstände. Doch in der Praxis fehlt es oft an rollenbasierten Zugriffsrechten, regelmäßigen Bereinigungsläufen oder Protokollierungspflichten.
Sicherheitsverantwortung wird delegiert – ohne klare Zuständigkeit. In einem solchen Umfeld genügt ein kompromittiertes Partnerunternehmen, um das gesamte Projekt-Ökosystem in die IT-Schieflage zu bringen. Ausschreibungsphasen sind besonders sensibel, da hier Informationen über Aufträge und Umsatz fließen.
Keine falsche Scheu vor der Cloud
In der Bauindustrie gilt die Cloud vielerorts noch als Sicherheitsrisiko. Diese veraltete Ansicht kann teuer zu stehen kommen. Richtig konfiguriert und eingebettet in ein konsistentes Sicherheits- und Berechtigungskonzept, bieten professionell verwaltete Cloud-Services ein Schutzniveau, das On-Premises-Lösungen kaum noch erreichen. Wird sie strategisch eingeführt, kann die Cloud sogar zum Treiber von Sicherheit und Effizienz werden – insbesondere in komplexen Projektumgebungen wie der Bauindustrie.
In vielen Bauunternehmen scheitert es bei der Cloud nicht am „ob“, sondern am „wie“: Unklare Zuständigkeiten, mangelndes Identitäts- und Berechtigungsmanagement, fehlende Protokollierung und ungesicherte Freigabelinks zählen zu den häufigsten Schwachstellen. Gerade in dynamischen Projektstrukturen werden cloudbasierte Tools oft dezentral eingeführt, ohne dezidiertes Security-Konzept. So entsteht ein Paradox: Aus Sorge um die Datensicherheit verzichten Unternehmen auf die deutlich sicherere Cloud – und gefährden durch schlecht gewartete On-Premises-Systeme oder falsch konfigurierte Cloud-Dienste ihre Daten erst recht.
Angriffsvektor Mensch
Das erste Einfallstor für Cyberangriffe ist und bleibt der Mensch – auch in der Baubranche. Nach wie vor ist Phishing der häufigste Angriffsvektor. Die Angreifer gehen dabei zunehmend raffiniert vor: Social-Engineering-Kampagnen nutzen KI-generierte E-Mails, täuschend echte Sprachnachrichten oder Deepfakes von Geschäftsführern und Projektbeteiligten.
Gerade in der Bauwirtschaft ist das Risiko besonders hoch, da Kommunikationswege oft informell, Sicherheitsstandards uneinheitlich und Prozesse wenig formalisiert sind. Bauprojekte involvieren zahlreiche Partner mit wechselnden Kontaktpersonen – ideale Bedingungen für Identitätsdiebstahl oder CEO-Fraud.
Aufholbedarf gibt es nicht nur bei der IT-Kompetenz der Belegschaft, sondern der Unternehmenskultur insgesamt: Gerade Mittelständler betrachten IT-Sicherheit gerne als Sache „des IT-lers“. Somit fehlt es in vielen Unternehmen an regelmäßigen Awareness-Trainings, Notfallprozeduren oder klaren Reporting-Strukturen für verdächtige Vorfälle – für alle Mitarbeitenden.
Wettbewerbsfaktor IT-Sicherheit
Besonders brisant wird die Verwundbarkeit der Baubranche gegenüber Cyberangriffen, wenn Unternehmen an sicherheitsrelevanten Infrastrukturen arbeiten, etwa Flughäfen oder Gefängnissen. Diese sensiblen Bauten sind im Visier staatlich unterstützter Hackergruppen, die politisch motiviert Malware & Co. in Umlauf bringen.
Wer sich den Sicherheitsrisiken nicht systematisch stellt, scheitert zunehmend im Wettbewerb um Aufträge. Immer mehr Ausschreibungen fordern belastbare IT-Sicherheitsnachweise der Softwarelieferanten in Form von ISO 27001-Zertifizierungen oder dokumentierten Schutzmaßnahmen entlang der Projektkette.
Zugleich wächst der regulatorische Druck: Mit der NIS2-Richtlinie, die voraussichtlich bis Ende 2025 in deutsches Recht überführt wird, verpflichtet die EU-Unternehmen zu aktivem Risikomanagement, klar definierten Meldewegen bei Sicherheitsvorfällen und technischen wie organisatorischen Schutzmaßnahmen entlang der gesamten Lieferkette.
Noch weiter greift der Cyber Resilience Act, der seit Dezember 2024 verabschiedet ist und in 2026 und 2027 schrittweise ausgerollt wird: Ab Ende 2027 müssen Hersteller von Software und digitalen Produkten nachweisen, dass ihre Lösungen grundlegende Sicherheitsanforderungen erfüllen. Für Bauunternehmen, die eigene Applikationen betreiben oder Fremdsysteme integrieren, bedeutet das: Cybersicherheit avanciert von einer Compliance-Frage zur Existenzgrundlage.
Cybersecurity – von der IT-Frage zum Governance-Thema
Wie sich IT-Sicherheit ganzheitlich in einem Unternehmen, egal welcher Branche, verankern lässt, zeigt die gelebte Praxis bei der Nemetschek Group. Mit ihren spezialisierten Marken betreibt der nach ISO 27001 zertifizierte Softwarekonzern ein zentral verwaltetes Cloud-Ökosystem für den gesamten Baulebenszyklus.
Einheitliche Sicherheitsrichtlinien, kontrollierte Schnittstellen und ein konsequenter Zero-Trust-Ansatz bilden dabei das technische Rückgrat. Die Nutzung von Privatgeräten (bekannt als Bring you own device – kurz BYOD) ist ausgeschlossen, Zugriffe erfolgen nur auf Grundlage klar definierter Rollen, und Anomalien wie standortübergreifende Logins werden automatisiert erkannt und bewertet.
Doch Technik allein genügt nicht. Nemetschek setzt auf eine Organisationskultur, die Sicherheit als gemeinsame Verantwortung begreift. Sicherheitsprozesse und Incident Management sind klar geregelt, Zuständigkeiten dediziert verteilt. Ein spezialisiertes Security-Team ist dauerhaft erreichbar. Schulungen und Awareness-Programme stellen sicher, dass alle Mitarbeitenden Risiken wie Phishing-Versuche erkennen und richtig reagieren.
Nemetschek versteht Cybersicherheit als strategische Führungsaufgabe: Verankert auf Vorstandsebene und regelmäßig Thema im Austausch zwischen Informationssicherheitsverantwortlichen und Management.
Ein Beispiel, das zeigt: Wer Cybersicherheit ganzheitlich denkt, kann Risiken nicht nur minimieren – sondern digitale Zukunft aktiv und sicher gestalten.
