Wie die Digitalisierung der Baustelle neue Angriffsflächen eröffnet

Eigentlich könnten die beiden Bereiche nicht unterschiedlicher sein: die Digitalisierung und das Bauwesen. Während die Digitalisierung sich mit nicht fassbaren Potenzialen ausserhalb der physischen Welt befasst, geht es beim Bauwesen um die Gestaltung ebendieser physischen Welt. Die digitale Transformation und die Cyberrisiken, die mit ihr kommen, scheinen wohl sehr weit entfernt, wenn man unter freiem Himmel Betonarmierungen verarbeitet.

Tatsächlich verläuft die Digitalisierung der Baubranche eher schleppend. Dies zeigt etwa der Digital Real Estate Index. In diesem hält das Beratungsunternehmen Pom+ jährlich seine Einschätzung des digitalen Reifegrads von Bau- und Immobilienunternehmen fest. In der diesjährigen Studie kommt dieser Reifegrad auf lediglich 4 von 10 möglichen Punkten. Damit liegt der Wert für 2025 deutlich unter den Vergleichswerten der vergangenen Jahre und nur knapp über dem Tiefstwert von 2020 (damals erreichte der Index einen Wert von 3,9 Punkten). Gemäss der Studie hemmen insbesondere die Integrationskomplexität, die Datenqualität, Investitionskosten sowie Akzeptanz und Change Management die Digitalisierung in diesem Bereich. 

Wie die aktuelle Ausgabe des Digital Real Estate Index zeigt, geht erstmals seit fünf Jahren auch die Nutzung von Building Information Modeling - kurz BIM - zurück. Dabei handelt es sich um eine ganzheitliche Arbeitsmethode für die Planung, Erstellung und Verwaltung von Informationen für Bauprojekte. Zumindest in der Planung (Architektur, Tragwerksplanung, Technische Gebäudeausrüstung) ist BIM bei grösseren Projekten inzwischen häufig zum Standard geworden, erklärt Oliver Schneider, Dozent für Digitales Bauen an der Fachhochschule Nordwestschweiz (FHNW). "Auf der Baustelle und im Facility Management ist BIM deutlich seltener konsequent umgesetzt. Die Übergabe und Nutzung der Modelle in der Betriebsphase bleibt oft eine Schwachstelle." Die grösste Herausforderung liege aber in der Interoperabilität zwischen den unterschiedlichen Systemen. "Sei es zwischen einzelnen Common Data Environments (CDEs) oder auch die Anbindung an Drittsysteme", sagt Schneider.

Die Technologieschulden einer verspäteten Digitalisierung

Ist dieses Schneckentempo vielleicht auch ein Vorteil? Weil die Branche so auch weniger Cyberrisiken ausgesetzt ist? Oder ist dies ein Problem, weil sie so auch weniger vorbereitet auf diese Gefahren ist? "Kurzfristig kann eine geringere Vernetzung dazu beitragen, dass die Angriffsfläche kleiner bleibt", beantwortet Clélia Runtz, Cyber Awareness Expert beim Bundesamt für Cybersicherheit (BACS), diese Fragen. Mittelfristig stelle diese zögerliche Digitalisierung jedoch ein erhebliches Risiko dar. "Verspätete Digitalisierungen erfolgen häufig überstürzt und ohne solide Sicherheitsarchitektur", erklärt sie. "Dadurch entstehen sogenannte Technologieschulden, die sich in gewachsenen Strukturen wie Excel-Tabellen, USB-Workarounds oder Schatten-IT zeigen."

Oliver Schneider, Dozent für Digitales Bauen an der Fachhochschule Nordwestschweiz. (Source: FHNW)

Ignorieren kann die Branche das Problem nicht; die zunehmende Vernetzung von Prozessen, Daten und Systemen erhöht auch im Bereich des Bauwesens das Risiko von Cyberangriffen. "Es ist keine Frage mehr, ob es zu einem Cybervorfall kommt, sondern wann", sagt Runtz vom BACS. Zwar hält Schneider von der FHNW es für unrealistisch, dass Manipulationen beim BIM konkrete Sicherheitsrisiken für Bauwerke (beziehungsweise deren Bewohnerinnen und Bewohner) darstellen. Für die Unternehmen im Bauwesen selbst bestehen jedoch durchaus reale Risiken: "Cyberangriffe können Abgabetermine gefährden, die Baukosten aufgrund von Verzögerungen erhöhen, und Datenlecks können unter anderem Einfluss auf Ausschreibungen und Angebote haben sowie das geistige Eigentum oder den Ruf gefährden", sagt Runtz. 

Die kleinen Einfallstore

An Bauprojekten sind zudem oft viele kleine Unternehmen beteiligt. Einerseits fördern die immer wieder neu zusammengesetzten Projektteams eine zielgerichtete, sichere und nachhaltige Digitalisierung nicht, erklärt Runtz. Andererseits ist diese Konstellation selbst auch ein Risiko. "Zwar kennen viele Unternehmen die Risiken, jedoch bleibt der Reifegrad innerhalb der Branche uneinheitlich." So hätten beispielsweise viele KMU-Zulieferer noch kein systematisches Informationssicherheits-Managementsystem (ISMS), dafür aber schwache Zugriffs- und Patch-Prozesse und wenig Routine bei der Bewältigung von Vorfällen. "Gerade die kleineren Unternehmen können für einen Cyberangriff zum Einfallstor werden und die von den anderen fixierten Massnahmen abschwächen oder gar zunichte machen."

Clélia Runtz, Cyber Awareness Expert beim Bundesamt für Cybersicherheit. (Source: BACS)

Das BACS rät den Unternehmen hier zu einer klaren Governance sowie der Verankerung des Sicherheitsbewusstseins in der Unternehmenskultur und die Verwendung internationaler Standards wie ISO 27001 oder ISA/IEC 62443. Auf der technischen Seite empfiehlt das Bundesamt Massnahmen wie Netzwerksegmentierung, Multi-Faktor-Authentifizierung, regelmässige Updates und Backups sowie den Einsatz und die Schulung zu organisatorischen Instrumenten wie Notfallplänen, Incident-Response-Konzepten und Business-Continuity-Strategien. Eine weitere Hilfe bietet die Koordinationskonferenz der Bau- und Liegenschaftsorgane der öffentlichen Bauherren; diese veröffentlichte am 1. Juli 2025 ihre "Empfehlung IKT-Sicherheit in der Gebäudeautomation".

Wie Bauwesen und Security zusammenfinden

Es ist klar, dass das Bauwesen und die IT-Security näher zusammenrücken müssen, um Cyberaspekte im Bauprozess besser zu berücksichtigen. Und um dies zu erreichen, braucht es mehr Zusammenarbeit zwischen den Experten aus diesen Bereichen, erklärt Schneider von der FHNW. Die Fachhochschule etwa hat zu dieser Thematik bereits ein Forschungsprojekt angedacht. Die Grundlage des Projektes basiere auf der SN-EN-ISO-19650-5-Norm "Security-minded approach to information management". "Dabei werden die Schritte von a) ‘initiate a security-minded approach’, b) ‘develop a security strategy’ und c) ‘develop a security management plan’ erarbeitet", wie Schneider erklärt. 

Das BACS setzt ebenfalls verschiedene Massnahmen um, um diesen Cyberrisiken entgegenzuwirken. "Der Schweizerische Ingenieur- und Architektenverein (SIA) hat in Zusammenarbeit mit dem BACS 2024 eine Sensibilisierungsinitiative gestartet", sagt Runtz. Diese Initiative beinhaltete Schulungen, Onboarding-Checklisten für Lieferanten, eine Liste von Mindeststandards in Projekten, Table Top Exercises (Szenario-Übungen), ein Cybersicherheitsspiel und Best Practices. "Ziel war es, dass alle Beteiligten der Lieferkette, vom Bauherrn über den Planer bis zum Betreiber, ihre Verantwortung erkennen und wahrnehmen." Diese Zusammenarbeit wollen die beiden Organisationen 2026 fortsetzen. So planen sie etwa nächstes Jahr gemeinsam am Swissbau-Anlass in Basel aufzutreten, um die Cyberrisiken in der Lieferkette vorzustellen. 

Das könnte Sie ebenfalls interessieren: Die digitale Transformation in der Schweizer Baubranche schreitet langsam voran. Dies zeigt ein Blick über die Landesgrenzen. Expertinnen und Experten sind sich einig, dass ein Umdenken nötig ist. Ein Schweizer Kies- und Betonhersteller zeigt, wie umfassende Digitalisierung gelingen kann. Lesen Sie hier mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.