www.Bauingenieure.de > IT-Sicherheit in der Baubranche > Sicherheitskonzepte

In der Baubranche ist es schwierig eine genaue Entwicklungsstufe im Hinblick auf den Stand der IT zu definieren, da einerseits die unterschiedlichen Unternehmensgrößen, angefangen vom kleinen Ingenieurbüro bis hin zum Baukonzern, mit über Deutschland verteilten und untereinander vernetzten IT-Systemen, andererseits die Innovationsfreude der Unternehmen, im Bezug auf den IT-Einsatz, sehr unterschiedlich sind. Deshalb seien hier nur einzelne, modellhafte Typen herausgegriffen und die spezifischen Sicherheitsanforderungen beispielhaft definiert.

Kleine Architektur- und Ingenieurbüros, Baufirmen und Bauhandwerker

Da Ingenieurbüros oder auch kleine Baufirmen oder Handwerker meist weder über das notwenige Knowhow im IT-Bereich, noch über komplexe Systeme verfügen, sind hier vorallem die wichtigsten operativen Punkte für eine effektive Sicherheitsarbeit in diesem IT-Umfeld genannt. Die Umsetzung sollte entweder intern oder, wenn das entsprechende Knowhow nicht vorhanden ist oder vorgehalten werden soll, mit externen Partnern erfolgen. Die Initiative muß dabei immer von der verantwortlichen Führung ausgehen, um auch bei allen Mitarbeitern die notwendige Akzeptanz zu erzeugen. Zur Planung von Maßnahmen, der Schulung oder der Überwachung der Ausführung durch Externe kann auch auf die Unterstützung von Dienstleistern, wie etwa Unternehmensberatungen oder den IT-Spezialisten des TÜV zugegriffen werden.

Hauptrisiken für Ingenieur- und Architekturbüros ergeben sich im IT-Bereich vorallem aus:

Information und Schulung im sachgerechten und sicheren Umgang mit den im Einsatz befindlichen IT-Systemen

Alle Mitarbeiter sollten für die Systeme, die sie im Arbeitsalltag bedienen, entsprechend den Anforderungen ausgebildet sein. Dies darf aber nicht nur die rein funktionale Seite der Anwendungssoftware betreffen, sondern muß auch die sichere Anwendung beinhalten. Schwerpunkte sollten hierbei die Nutzung der Informations- und Kommunikationssoftware, wie Browser und Mailclient, aber auch die Erkennung von sicherheitsrelevanten Vorfällen und der Einsatz von Sicherheitssoftware, wie Verschlüsselung und digitale Signatur sein. Mitarbeiter, die mit besonders sensiblen Daten, wie Angeboten, Kalkulationen, Finanz- oder Personaldaten arbeiten, müssen neben den technischen auch über die rechtlichen Aspekte Ihrer Arbeit aufgeklärt werden, wie Datenschutz, Signaturgesetz und Risikomanagement.

Einsatz eines dedizierten Serversystems mit Backupmöglichkeit und unterbrechungsfreier Stromversorgung

Um die während der Arbeitszeit enstandenen Daten beim Ausfall eines Systems (Festplattencrash) nicht zu verlieren, müssen regelmäßig Backups der Daten erstellt werden. Da der Backupvorgang in verteilten Umgebungen (Netzwerke) sehr schwierig ist, und bei mehreren Bearbeitern eines Dokumentes zu Redundanzen und Inkonsistenzen führt, sollen alle Mitarbeiter verpflichtet werden, ihre Daten auf einem Serversystem abzulegen. Die Daten dieses Servers können nun, mittels einer Backupsoftware, gesichert werden. Für große Datenmengen (ab 1 GB) empfiehlt sich der Einsatz eines Tapelaufwerks, darunter kann auch mit CD- oder DVD-Brennern gearbeitet werden. Backups sollten täglich in den Abend- oder Nachtstunden, am Wochenende Sonntags erstellt werden, um den regulären Betrieb des Servers während der Geschäftszeiten nicht zu beeinträchtigen. An Wochentagen können sogenannte inkrementelle Backups angefertigt werden. Diese enthalten nur die Daten, die seit dem letzten Backup verändert wurden. Das Wochendbackup sollte über den gesamten Datenbestand erfolgen. Datenträger dürfen nicht in unmittelbarer Umgebung des Servers gelagert werden, sondern sollten, wenn möglich, sogar in einem anderen Gebäude aufbewahrt werden. Für sehr wichtige Daten bietet sich die regelmäßige Hinterlegung in einem Bankschließfach an. Um dem Risiko eines Datenverlustes bei Stromausfällen entgegen zu wirken, sollte der Server über eine unterbrechungsfreie Stromversorgung (USV) verfügen, die im Falle eines Stromausfalls ein Sichern der Daten und Herunterfahren des Systems erlaubt.

Konfiguration der Benutzerkonten und Einstellung der Zugriffsberechtigungen auf Daten des Dateisystems

Jeder Benutzer sollte über ein eigenes Benutzerkonto verfügen. Dies beinhaltet einen eigenen Benutzernamen, ein Kennwort für den Zugriffsschutz und die Authentifizierung, einen dedizierten Speicherbereich auf dem Server, der gegen den Zugriff anderer geschützt ist und einen eigenen Email-Account. Für den Austausch von Dokumenten sollten sogenannte Austauschverzeichnisse angelegt werden, auf die jeder Mitarbeiter zugreifen kann. Werden Projekte in Gruppen bearbeitet oder bestimmte Bereiche von mehreren Mitarbeitern aber nicht allen erreichbar sein (Buchhaltung, Kalkulation) so müssen Abteilungs- oder Projektverzeichnisse angelegt werden und die Zugriffsberechtigten Benutzer definiert werden.

Einsatz sicherer Betriebssysteme wie Windows NT/2000 oder Unix-Systemen

Häufig befinden sich auch in geschäftlichen IT-Umgebungen noch Systeme mit Windows 95 oder 98 Betriebssystemen. Diese Systeme gelten im Einsatz in Netzwerken, insbesondere mit Internetanbindung, als extrem unsicher. Da ein Gesamtsystem nur so sicher ist, wie die schwächste Einheit und die Sicherheit von Windows 95 und 98 Systemen nur mit extremem Aufwand möglich ist, sollten sie nicht zum Einsatz kommen. Als verhältnismäßig sichere Systeme haben sich Windows NT/2000 und Unixsysteme, wie Linux, FreeBSD, Solaris oder HP-UX, erwiesen. Für die Auswahl eines Systems ist, neben der Verfügbarkeit der einzusetzenden Software, vorallem das Knowhow des verantwortlichen Administrators (intern wie extern) entscheidend.

Schutz des Systems gegen unbefugten Zugriff aus dem Internet durch Firewalls

Jedes System das mit dem Internet verbunden ist, ist einer erhöhten Gefährdung ausgesetzt. Um diese Gefährdung auf ein Minimum zu reduzieren, ohne die Vorteile einer offenen Kommunikation zu verlieren, sollte jedes noch so kleine System, das an das Internet angebunden wird, über eine Firewall verfügen. Diese Systeme gibt es in unterschiedlichen Ausführungen. Für einzelne Rechner mit Internetanbindung gibt es eigene Software, die eine Firewall darstellt und auf dem Rechner installiert werden muß. Bei kleineren Netzwerken, kann die Firewall direkt in die zentrale Kommunikationseinheit, die die Verbindung mit dem Internet herstellt integriert sein. Entsprechende Angebote sind im Fachhandel erhältlich. Wenn das notwendige Knowhow vorhanden ist, kann auch auf Lösungen, basierend auf freier Software, zurückgegriffen werden.

Einführung eines gesetzeskonformen Verschlüsselungs- und Signatursystems

Um den rechtlichen Anforderungen der VOB und des BGB in Bezug auf rechtskräftige elektronische Dokumente und Willenserklärungen zu genügen, sollten mindestens für zeichnungsbefugte Mitarbeiter und Verantwortliche, Systeme zur Erstellung solcher beschafft werden. Um weitergehende Sicherheitsarbeit zu betreiben, z.B zur Verschlüsselung relevanter Daten innerhalb der Unternehmung, kann das System auf alle Mitarbeiter ausgeweitet werden. Alternativ kann auch parallel hierzu intern ein eigenes System eingeführt werden (vgl. PGP^4.3 ). Parallel zur Einführung müssen die Prozesse in der Firma überarbeitet und definiert werden, welche Daten rechtliche Relevanz besitzen, z.B. Verträge, Angebote und Protokolle, bzw. welche Daten verschlüsselt gespeichert oder übermittelt werden sollen, z.B Personal- oder Finanzdaten. Für ein eigenes Schlüsselmanagement ist zu sorgen, um zu gewährleisten, daß auch nach dem Ausscheiden von Mitarbeitern oder einem Austausch der Schlüssel, verschlüsselte Dokumente noch lesbar sind.

Abschluss von Service-, Wartungs- und Austauschverträgen

Um beim Ausfall von wichtigen Komponenten, wie Serverhard- und software, einen schnellen Wiederanlauf der Systeme zu ermöglichen, müssen für fremdadministrierte Systeme Verfügbarkeitsgarantien bzw. bei Hardwarekomponenten die Lieferzeiten für den Ersatz vertraglich bestimmt sein.

In allen Verträgen mit Servicefirmen und Lieferanten im IT-Umfeld sollten Passi über die Einhaltung von allgemeingültigen Sicherheitsstandards enthalten sein. Gerade Service-Unternehmen sollten über das sonst übliche Maß hinaus auf ihre Kompetenz im Einsatz der vorhandenen Komponenten überprüft werden, da eine kompetente Administration Grundvoraussetzung für den Grundschutz eines Systems ist.

Regelmäßige Aktualisierung der sicherheitsrelevanten Software und Einsatz von Antivirensoftware

Software unterliegt einem ständigen Wandel und es werden von Sicherheitsexperten und Computerkriminiellen stets Sicherheitslücken entdeckt, für die dann Gegenmaßnahmen entwickelt werden bzw. die geschlossen werden. Die Veröffentlichung findet in Form von Bugfixes oder Patches statt, die nachinstalliert werden müssen. Das Einspielen dieser Ergänzungen und Verbesserungen sollte regelmäßig für Betriebssysteme, Serversoftware, Browser und Mailclients erfolgen. Als Zeitraum für die Recherche beim Hersteller empfiehlt sich ein wöchentlicher bis zweiwöchentlicher Turnus.

Um bei der Datenkommunikation oder dem Austausch von Datenträgern kein unnötiges Risiko einzugehen, ist der Einsatz von Antivirensoftware unerlässlich. Eingesetzte Software sollte dabei ein- und ausgehende Mails, Wechseldatenträger, wie Disketten, und in regelmäßigen Abständen auch den gesamten Datenbestand der Festplatte überprüfen. Die Software muß in regelmäßigen Abständen (wöchentlich) aktualisiert werden, was durch kleine Zusatzpakete, die kostenlos aus dem Internet geholt werden können erfolgt. Tritt ein Fall eines neuen gefährlichen Virus auf, sollten innerhalb kürzester Zeit die notwendigen Aktualisierungen eingespielt werden. Wichtig ist, daß die Antivirensoftware auf allen eingesetzten Systemen aktiv ist und auch auf den Servern installiert wird.

Regelung von sicheren Datenformaten im Datenaustausch

Der Datenaustausch stellt in zweierlei Hinsicht ein Risiko dar. Entweder können empfangene Daten nicht gelesen oder weiterverarbeitet werden, da die notwendige Spezialsoftware nicht zur Verfügung steht oder der Sender bereits mit einem neueren Format arbeitet (z.B. Austausch von Worddokumenten oder CAD^4.4-Plänen in nicht standardisierten Formaten). Ein noch größeres Risiko stellt die Verbreitung von Viren über solche Formate dar. Sehr gefährlich sind in dieser Beziehung Word- und Exceldokumente, aktive Programme (Endung .exe) oder Emails im html Format, die die Einbettung aktiver Inhalte ermöglichen. Um diesen Fehlerquellen entgegen zu wirken, müssen mit Kommunikationspartnern die austauschbaren Formate definiert werden. Für Emails empfiehlt sich hier das reine "Text Format", um aktive Inhalte zu vermeiden. Textdokumente können im "rtf Format" ausgetauscht werden, für CAD-Daten hat sich mittlerweile das "dxf/dwg Format" als Standard etabliert. Empfangene Daten müssen immer sofort auf Viren untersucht werden. Hierfür sollte die aktuellste Version einer Antivirensoftware verwendet werden, da die Weiterentwicklung und Verbreitung von Viren sehr schnell voranschreitet.

Mittelständische Bauunternehmen und Baukonzerne

Die Anforderungen an die Sicherheitsarbeit in einer Baufirma oder einem Baukonzern sind wesentlich vielschichtiger und sollten bereits auf strategischer Ebene beginnen. Im Hinblick auf die operative Sicherheitsarbeit können die Vorschläge und Anregungen aus Abschnitt 4.4 als Grundlage dienen. Um aber der höheren Komplexität von IT-Systemen im Mittelstand und Konzernbereich gerecht zu werden, wird hier mehr auf die strategischen Erfordernisse einer Baufirma eingegangen.

Organisation

Mittelständische Bauunternehmen und Baukonzerne verfügen meist über eine eigene IT-Abteilung und weitausgebaute und überregional vernetze Systeme, Niederlassungen sind über eine größere Region oder ganz Deutschland verstreut. Bauleitungsbüros, z.B. bei Großprojekten, verfügen über eine eigene IT-Infrastruktur. Aus dieser Situation heraus sollte im Vordergrund der Sicherheitsarbeit eine standortübergreifende Sicherheitsarbeit stehen. Neben dem IT-Verantwortlichen muß durch die Firmenleitung ein IT-Sicherheitsverantwortlicher benannt werden (vgl.: Abb.4.1). Dieser kann sich in der Person, auf Grund der Ähnlichkeit der Aufgaben, auch mit dem Qualitätsmanager oder dem Verantwortlichen für Risikomanagement überschneiden. Dieser ist der Firmenleitung verantwortlich und hat Entscheidungsvorlagen vorzubereiten sowie die Sicherheitsarbeit zu koordinieren.

**Abbildung 4.1:** Sicherheits- und Notfallorganisation von Baufirmen

An jedem Standort sollte ein Sicherheitsbeauftragter verfügbar sein, der notwendige Maßnahmen plant und die Umsetzung und Einhaltung überprüft. Zentral muß ein eigenes Sicherheitsteam die Standards für die Gewährleistung der Sicherheit des Gesamtsystems, unter Berücksichtigung der Anforderungen der Niederlassungen, Zweigstellen und Mitarbeiter, erstellen und deren Umsetzung durch die regionalen Beauftragten überprüfen (vgl.: Abb.4.1). Grundlage für die Sicherheitsarbeit kann hierbei das BSI Grundschutzhandbuch und die ISO 17799 sein.

Es empfiehlt sich die Gründung eines Firmen eigenen CERT ^4.5 das sich aus den Mitarbeitern der IT-Abteilungen und den Sicherheitsbeauftragten und Systemadministratoren der einzelnen Zweigstellen zusammensetzt. Aufgabe eines CERT's ist die koordinierte Planung und Umsetzung von Sicherheitsmaßnahmen und die Durchführung von Notfallmaßnahmen sowie deren Koordinierung innerhalb einer komplexen Organisation. Hierzu gehören definierte Eskalationsstufen, fallspezifische Notfallpläne, Wiederanlaufpläne für Systeme und eine Sammlung aller relevanten Informationen über und um die im Einsatz befindlichen Systeme. Diese werden am besten in einem Notfallhandbuch konzentriert, das allen Sicherheitsmitarbeitern und auszugsweise, soweit sie betroffen sind, auch allen anderen Mitarbeitern zur Verfügung steht.

Alle Maßnahmen zur Erhaltung der Sicherheit und der sicheren Bedienung der IT-Systeme können, ähnlich einem Qualitäts-Handbuch, in einem Sicherheitshandbuch festgeschrieben werde. Hierfür sollten zwei Varianten existieren:

Schutz von Systemen und Daten

**Abbildung 4.2:** Backup und Datenhaltung auf Baustellen und in Firmen entweder lokal (Baustelle 2) oder in einem SAN (Baustelle 1 und Firmenzentrale)

Die Aufrechterhaltung wichtiger IT-Systeme ist eines der Hauptziele der Sicherheitsarbeit in größeren Bauunternehmungen. Hierzu zählen betriebswirtschaftliche Systeme, wie ERP^4.6, Buchhaltung oder Lagerwirtschaft, aber auch Intranet und Mailservices. Den Rechnern, die diese Dienste anbieten, sollte nicht nur aus Hard- und Software Sicht besondere Aufmerksamkeit geschenkt werden, sondern auch baulich. Die Unterbringung der Server erfolgt am besten in eigenen Räumen. Diese sind mit einer Klimaanlage oder anderen Möglichkeiten des Warmluftabtransportes zu versehen, um einer Temperaturüberlastung der Systeme vorzubeugen. Neben einer USV^4.7 muß auch der Zugangs- und Brandschutz beachtet werden. Eine Möglichkeit die Verfügbarkeit der Systeme zu erhöhen bietet der Standbybetrieb eines zweiten Servers, der bei Ausfall oder Wartung des Hauptsystems dessen Dienste übernimmt. In diesem Zusammenhang ist auch der Einsatz von Storage Area Networks (SAN) zu sehen, die als Speicherserver den datenverarbeitenden Servern ihre Speichersysteme zugänglich machen und somit das Umschalten zwischen zwei Systemen erleichtern.

Backupsysteme sollten in der Lage sein, auch im laufenden Betrieb Kopien der aktuellen Daten zu erstellen, da, wie im Falle von kleineren Systemen, tägliche Sicherungskopien ein zu hohes Risiko bergen und schlimmsten Falls der Verlust der Daten eines Arbeitstages einen zu großen Schaden darstellen würde. Auch hier können SANs unterstützen, da ihre Medien unabhängige Verwaltung und hohe Performanz zusätzliche Sicherheit garantieren. Die Speicherung von Daten in einem SAN bleibt dem Benutzer verborgen und ist somit komfortabel und transparent (vgl.: Abb.4.2).

Um, neben der Sicherheit der Daten, auch die Rechtskonformität zu erfüllen, muß eine eigene organisatorische Infrastruktur zur Verschlüsselung und digitalen Signatur eingeführt werden. Es sollte klar definiert sein, welche Dokumente zu verschlüsseln oder zu signieren sind, bzw. wer über die notwendigen Mittel verfügen soll. Für die technische Umsetzung gibt es zwei Möglichkeiten:

Dezentrale und temporäre Einrichtungen

**Abbildung:** Anbindung dezentraler Einrichtungen an die Firmenzentrale über eine VPN-Verbindung

Eines der Hauptprobleme ist die Denzentralität der einzelnen Einrichtungen (Hauptniederlassung, Niederlassungen und Bauleitung) einer Baufirma und im Gegensatz dazu, die Notwendigkeit des Zugriffs aller auf einen gemeinsamen, meist zentralen, Datenbestand. Die feste oder temporäre Verbindung dieser Einrichtungen wird in Zukunft aus finanziellen Gründen immer öfter über das Internet erfolgen, bei Baustellenbüros über ISDN oder DSL, bei Niederlassungen evtl. auch über Standleitungen zu einem ISP^4.8. Da die Übertragung der Daten dann über ein öffentliches und bekanntlicher Maßen nicht sicheres Netz erfolgt, sollte die Verbindung nur über ein sogenanntes VPN^4.9 (vgl.: Abb4.3) erfolgen und eine sichere Authentifizierung z.B. über ein Name-Passwort-System stattfinden sowie der Kreis der berechtigten Personen auf ein Minimum eingeschränkt werden. Damit ist gewährleistet, daß die Daten verschlüsselt zwischen den Systemen ausgetauscht werden und der Zugriff auf die Daten nur einem ausgewählten und bekannten Nutzerkreis möglich ist. Remote Access Dienste für Mitarbeiter im Außendienst sollten auch sehr restriktiv gehandhabt werden, vorallem aber müssen die betroffenen Mitarbeiter im sicheren Umgang mit ihren mobilen Systemen geschult und sich der Gefahren bewußt sein.

Gerade Baustellenbüros stellen eine besondere Herausforderung dar, da sie als stärker gefährdet einzustufen sind als ständige Einrichtungen (vgl. Abschnitt 3.2.1). Hauptaspekt stellt der leichte Zugang zu den Systemen dar (Einbruch, Diebstahl in Baucontainern). Serversysteme auf größeren Baustellen sollten deshalb auch aus Gründen des Schutzes vor Umwelteinflüssen (Staub) in gesondert abgeschirmten Räumen aufgestellt und je nach Bedarf mit Klimaanlagen und Notstromversorgung versehen werden. Für Arbeitsplatzsysteme bieten sich mobile Systeme an, die nach Arbeitsende entweder an einem sicheren Ort aufbewahrt werden können oder vom Mitarbeiter mitgenommen werden.

Findet auf der Baustelle eine dezentrale Datenhaltung, z.B. auf eigenen Servern oder den Mitarbeiter-PCs statt, ist auch hier für die Erstellung von regelmäßigen Backups zu sorgen. Alternativ kann die Datenhaltung auf den Firmenserver in der Zentrale oder zu einem Datenhoster im Internet ausgelagert werden, die dann auch für die Sicherung der Daten verantwortlich sind.

Jede Firma sollte über ein Entscheidungs- und Organisationssystem verfügen, um diese Probleme von Fall zu Fall schnell klären und anschließend standardisiert umsetzen zu können.