The Property Post - Das Online-Meinungsportal für die deutsche Immobilienwirtschaft
Das Online-Meinungsportal für die deutsche Immobilienwirtschaft
29.11.2022

Das unterschätzte Risiko

Warum Cyberattacken erheblich zugenommen haben.

Christian Schmidt, Geschäftsführer, INTREAL Solutions GmbH
Christian Schmidt

IT-Sicherheit steht bei Immobilienunternehmen oft nicht weit oben auf der Prioritätenliste. Dies ist jedoch eine Fehleinschätzung, die erhebliche negative Konsequenzen nach sich ziehen kann. Warum Cyberattacken erheblich zugenommen haben und wie Unternehmen sich vorbereiten können, haben wir Christian Schmidt, Geschäftsführer der INTREAL Solutions gefragt.

Herr Schmidt, IT-Sicherheit bzw. Cybersecurity wird auch im Immobilienbereich immer wichtiger. Wie groß ist die Gefahr derzeit?
CS: Dass ein Unternehmen Opfer eines Hackerangriffs wird, ist zumindest ein sehr präsentes Risikoszenario, das täglich mehrfach Unternehmen verschiedener Branchen trifft. Die Frage ist mittlerweile nicht mehr, ob es passiert, sondern viel mehr wann und in welchem Umfang. Kein Unternehmen kann mehr behaupten, es sei sicher. Die Frequenz von neu entwickelten Schadprogrammen hat die letzten Jahre exponentiell zugenommen, mittlerweile existieren weit über eine Milliarde verschiedener Schadsoftware am Markt.

Wiegen sich viele Unternehmen in falscher Sicherheit?
CS:
Das kann man so sagen. In den letzten Jahren lag der Fokus auf anderen Digitalisierungsthemen wie einheitliche Datenstandards, Schnittstellenoptimierung, Automatisierung etc. Hinzu kommt: Die IT-Infrastruktur in Immobilienunternehmen ist in den vergangenen Jahren immer weitergewachsen, da ständig neue Themen wie Regulierung, Risikomanagement, ESG u.a. abgebildet werden müssen. Die Folge: Je stärker das Geschäft und die Prozesse digitaler werden, desto mehr Angriffsflächen bieten sich Cyber-Kriminellen. Es ist unerlässlich, dass die IT-Security mitwächst. Dies ist in der Praxis jedoch in den meisten Fällen nicht der Fall.

Welche Folgen kann ein Cyberangriff nach sich ziehen?
CS:
Zuerst einmal ist ein Immobilienunternehmen für mehrere Tage bis mehrere Wochen nicht handlungsfähig. Zwar können Kapital oder gar die Immobilien nicht entwendet werden. Was aber regelmäßig gestohlen wird, sind Daten – und nicht nur die eigenen, sondern auch die Daten Dritter – wie beispielsweise von Dienstleistern, Mietern und Anlegern. Letzteres kann beispielsweise bei institutionellen Investoren oder Family-Offices sehr negative Folgen haben. In der Praxis werden die betroffenen Unternehmen häufig erpresst. Die Drohung: Entweder wird Lösegeld bezahlt oder die Daten werden ins Darknet gestellt und dort verkauft. Ein anderes Szenario, das vielleicht noch schlimmer für die Betroffenen ist, ist der Einbau von Verschlüsselungen durch die Angreifer. In der Folge kann es bis zum Arbeitsstillstand des gehackten Unternehmens kommen. Um die Sperren aufzuheben bzw. zu beseitigen, sind umfangreiche und teilweise langwierige IT-Maßnahmen notwendig.

Was raten Sie Immobilienunternehmen, um sich fit für das Thema zu machen?
CS:
Sie müssen sich vor allem der Gefahr bewusst werden und entsprechend vorbereiten. Die Vorbereitungen reichten von der Schulung und Sensibilisierung der Mitarbeiter über die Etablierung geeigneter technischer Sicherheitsmaßnahmen bis hin zu einer regelmäßigen Wirksamkeitskontrolle der umgesetzten Maßnahmen. Dieser Prozess erfordert spezielles Know-how im Bereich der IT-Sicherheit und Regulatorik, welches in den Unternehmen oftmals nicht ausreichend vorhanden ist. Eine entsprechend externe Unterstützung bzw. Fachberatung ist daher unerlässlich.  

Es gibt im Bereich IT-Sicherheit auch aufsichtsrechtlichen Anforderungen. Was gibt der Regulator hier vor?
CS:
Am meisten beschäftigt uns in diesem Kontext die sogenannten Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (kurz KAIT). Diese beschreiben die Anforderungen von regulierten Unternehmen – also Kapitalverwaltungsgesellschaften –bzgl. der Inanspruchnahme von IT-Dienstleistungen und IT-Auslagerungen.
Hinzu kommt aktuell eine weitere EU-Norm mit Namen „Digital Operational Resilience Act“ (kurz: DORA). DORA zielt nicht auf die KVG selbst, sondern auf die IT-Dienstleister ab, die regulierte Unternehmen versorgen. Wie der Name Resilience schon sagt, soll die Betriebsstabilität von IT-Systemen gesteigert werden. DORA ist Teil eines Maßnahmenpakets zur Digitalisierung des Finanzsektors der EU. Mit dem Paket will die Europäische Kommission Europas Wettbewerbsfähigkeit und Innovation im Finanzsektor fördern.

Herr Schmidt, wir danken für das Gespräch!

Die Nutzungsrechte wurden The Property Post zur Verfügung gestellt von INTREAL Solutions
Erstveröffentlichung: TPP, November 2022

Konversation wird geladen