Welche Folgen hat ein Cyber-Angriff auf Architekturbüros?

Wie kommt es zu Cyber-Angriffen auf Architekturbüros?

Cyber-Angriffe auf Architekturbüros sind meist erfolgreich, weil sie alltägliche Schwachstellen im Arbeitsalltag als Einfallstor nutzen. Mit der zunehmenden Nutzung digitaler Planungstools, Cloud-Diensten und BIM-Software wachsen die Risiken.

Typische Einfallstore sind:

• Phishing-Mails, über die Zugangsdaten abgegriffen werden
• unsichere Passwörter oder fehlende Mehrfaktor-Authentifizierung
• veraltete Software oder nicht geschlossene Sicherheitslücken
• ungeschützte Zugriffe auf Projektdateien über externe Netzwerke

Gerade weil viele Prozesse digital vernetzt sind, können Angreifer nach einem erfolgreichen Zugriff gezielt auf sensible Planungsdaten zugreifen. Derartige Attacken bleiben dabei oft lange unentdeckt. Genau das macht Cyberangriffe auf Architekturbüros besonders gefährlich.

Wie beeinflusst ein Cyber-Angriff die Bauplanung?

Ein Cyberangriff wirkt sich nicht nur auf IT-Systeme aus, sondern kann direkt die Qualität der Bauplanung beeinflussen. Werden Planungsdaten manipuliert oder unbemerkt verändert, entstehen Fehler, die sich durch das gesamte Projekt ziehen.

Typische Auswirkungen sind:

• veränderte oder fehlerhafte Daten in BIM-Modellen
• falsche Maße, Materialien oder technische Spezifikationen
• unvollständige oder widersprüchliche Planungsstände

Besonders kritisch wird es, wenn solche Veränderungen nicht sofort erkannt werden. Die Planung wirkt auf den ersten Blick plausibel, sodass die fehlerhaften Daten in die weitere Bearbeitung und schließlich in die Bauausführung übernommen werden. Damit wird aus einem IT-Vorfall schnell ein konkretes Problem auf der Baustelle. Das hat direkte Auswirkungen auf Kosten, Zeitplan und Qualität.

Wie führt ein Cyber-Angriff zu einem Planungsfehler?

Im vorliegenden Fall arbeitete ein Architekturbüro mit BIM-Software an der Planung eines Bauprojekts. Diese Software ermöglicht die digitale 3D-Modellierung, Planung, Ausführung und Bewirtschaftung von Bauwerken, indem sie alle Daten vernetzt. Durch eine Sicherheitslücke im Code der Software verschafften sich Angreifer Zugriff auf die Projektdateien und manipulierten einzelne Planungsparameter, um den Bau eines Krankenhauses zu sabotieren.

Die Veränderungen blieben zunächst unbemerkt. Die betroffenen Daten waren weiterhin Teil der laufenden Planung. Auf dieser Grundlage wurden Bauteile geplant und später umgesetzt. Erst im weiteren Projektverlauf fiel auf, dass bestimmte Ausführungen nicht den tatsächlichen Anforderungen entsprachen. Nach langer Ursachenforschung konnte man die Fehler schließlich auf die manipulierten Planungsdaten zurückführen.

Welche Folgen hatte der Cyber-Angriff auf das Architekturbüro?

Durch die manipulierten Planungsdaten kam es zu fehlerhaften Ausführungen auf der Baustelle. Die Folgen zeigten sich in mehreren Bereichen gleichzeitig:

• Bauteile mussten korrigiert oder vollständig neu umgesetzt werden
• es entstanden erhebliche Nachbesserungskosten
• der Bauablauf verzögerte sich deutlich
• sensible Projektdaten wurden abgegriffen, was zu einer Datenschutzverletzung führte
• das Architekturbüro erlitt einen Reputationsschaden gegenüber dem aktuellen Kunden und künftigen Auftraggebern

Wer haftet, wenn ein Cyber-Angriff zu einem Planungsfehler führt?

In diesem Fall liegen zwei Schadensarten vor. Das Architekturbüro selbst erlitt aufgrund der Cyberattacke auf die eigenen IT-Systeme einen sogenannten Eigenschaden. Gleichzeitig resultierte aus diesem Cyberangriff ein Drittschaden für den Auftraggeber.

• Zusatzkosten für die Korrektur der Bauteile sowie Nachbesserungskosten
• Datenschutzverletzung aufgrund der erbeuteten sensiblen Projektdaten

Der Auftraggeber nahm das Architekturbüro für die fehlerhaften Leistungen in Anspruch, die durch die manipulierten Planungsdaten entstanden waren.

Wie hilft die Berufshaftpflicht bei einem Cyber-Angriff auf Architekturbüros?

Die Cyberattacke sorgte für einen Schaden von insgesamt 120.000 Euro. Nachdem die Ursache für die fehlerhafte Planung identifiziert war, mussten die betroffenen Bauteile aufwendig nachgebessert werden. Bereits umgesetzte Elemente wurden zurückgebaut und auf Basis korrigierter Planungsdaten neu ausgeführt. Dank der abgeschlossenen Berufshaftpflicht für Architekten und Ingenieure von exali, prüfte der Versicherer die Haftung und regulierte den Schaden im Rahmen berechtigter Ansprüche.

Parallel dazu arbeitete das Architekturbüro den Datenvorfall auf, da sensible Projektinformationen in falsche Hände geraten waren. Auch hier gab es Unterstützung durch den Versicherer. Denn zusätzlich zur Berufshaftpflicht hatten der Versicherungsnehmer den optional zubuchbaren Zusatzbaustein Datenschutz- und Cyber-Eigenschaden-Deckung (DCD) abgeschlossen. Mit dieser Hilfe gelang es, die IT-Systeme wiederherzustellen, Einfallstore für potenzielle neue Attacken zu schließen und Krisen-PR zu betreiben, um den Vertrauensverlust bei aktuellen und künftigen Auftraggebern zu mindern.
Auch der Abschluss einer eigenständigen Cyber-Versicherung kann sinnvoll sein, um beispielsweise die teuren Konsequenzen von Cyber-Angriffen und daraus resultierendem Datenverlust abzufedern.

Der Schadenfall zeigt, dass sich ein Cyberangriff auf mehreren Ebenen gleichzeitig auswirken kann. Während der Angriff selbst das Architekturbüro trifft, entstehen weitere finanzielle Risiken durch die daraus resultierenden Schäden bei Dritten.

Für Architekturbüros bedeutet das: Digitale Risiken gehören heute genauso zum Berufsalltag wie klassische Planungsfehler. Umso wichtiger ist es, diese Risiken zu erkennen, Prozesse entsprechend abzusichern und die finanziellen Folgen im Blick zu behalten.