Die Gefahr durch Cyberattacken ist in den letzten Jahren auch für die Immobilienbranche deutlich gestiegen. Viele Unternehmen der ohnehin wenig digitalisierungsaffinen Branche sind davor zu wenig geschützt. Gerade für KVGen könnte das gravierende Folgen haben.
Die Immobilienbranche redet in einer Tour über Digitalisierungsthemen wie einheitliche Datenstandards, Schnittstellenoptimierung, automatisierte Reportings, Desktop-Bewertungen etc. Was dabei häufig viel zu wenig berücksichtigt wird, ist das Thema IT-Sicherheit. Viele Unternehmen wiegen sich in falscher Sicherheit – gemäß dem Motto, dass eher Staaten, Behörden oder kritische Infrastruktur im Fokus der Angreifer stünden. Dies ist jedoch ein Irrtum. Die Frage ist – auch für Immobilienunternehmen – mittlerweile nicht mehr, ob es passiert, sondern wann und in welchem Umfang.
Zum einen ist in den vergangenen Jahren die IT-Infrastruktur in Immobilienunternehmen immer weitergewachsen, da ständig neue Themen wie Regulierung, Risikomanagement, ESG u.a. abgebildet werden müssen. Die Folge: Je stärker das Geschäft und die Prozesse digitaler werden, desto mehr Angriffsflächen bieten sich Cyber-Kriminellen. Es ist unerlässlich, dass die IT-Security mitwächst. Dies ist in der Praxis jedoch in den meisten Fällen nicht der Fall und passt im Übrigen zum generell langsamen und schwerfälligen Umgang der Branche mit der Digitalisierung.
Zum anderen hat die Wahrscheinlichkeit, Opfer eines Hacker-Angriffs zu werden zugenommen. Der Grund: Die Frequenz von neu entwickelten Schadprogrammen hat die letzten Jahre – vor allem seit Beginn der Pandemie – exponentiell zugenommen. Mittlerweile existieren weit über eine Milliarde verschiedener Schadsoftware am Markt. Diese kontinuierliche Zunahme fordert eine stets zu aktualisierende IT-Sicherheitsstrategie samt technischer Maßnahmenumsetzung. Dazu zählt auch eine fortlaufende Sensibilisierung aller Mitarbeiter, entsprechende Neuinvestitionen und dauerhaft höhere laufende Kosten für IT-Sicherheit. Dies passiert nicht flächendeckend. In der Praxis trifft es derzeit quasi täglich Unternehmen verschiedener Branchen.
Welche Folgen kann ein Cyberangriff nach sich ziehen? Zuerst einmal ist ein Immobilienunternehmen für mehrere Tage bis mehrere Wochen nicht handlungsfähig. Zwar können Kapital oder gar die Immobilien nicht entwendet werden. Was aber regelmäßig gestohlen wird, sind Daten – und nicht nur die eigenen, sondern auch die Daten Dritter – wie beispielswiese von Dienstleistern, Mietern und Anlegern. Letzteres kann beispielsweise bei institutionellen Investoren oder Family-Offices sehr negative Folgen haben. In der Praxis werden die betroffenen Unternehmen häufig erpresst. Die Drohung: Entweder wird Lösegeld bezahlt oder die Daten werden ins Darknet gestellt und dort verkauft.
Besonders groß kann der Schaden unter den Immobilienunternehmen für Kapitalverwaltungsgesellschaften (KVGen) werden, da sie für Schäden, die den Anlegern entstehen, laut Kapitalanlagegesetzbuch (KAGB) haften. Die Anforderungen an einen sicheren IT-Betrieb wurden zudem 2019 eigens in der KAIT (Kapitalverwaltungsaufsichtliche Anforderungen an die IT) konkretisiert. Demnach müssen KVGen auch die IT-Umgebung von Dienstleistern, mit denen sie arbeiten, prüfen. Wird beispielsweise ein Fondspartner einer KVG gehackt, muss die KVG nachweisen, dass sie ihrer Sorgfaltspflicht nachgekommen ist. Kann sie das nicht, haftet sie für den entstandenen Schaden gegenüber dem Anleger. Ebenfalls geht Datendiebstahl meist mit Datenschutzverstößen einher. Hier greifen die Regelungen der DSGVO, die auch möglich behördliche Bußgelder oder Schadenersatzzahlungen gegenüber den Betroffenen regelt. Die Bußgelder der DSGVO bemessen sich an dem Umsatz des Unternehmens, in Abhängigkeit zur Schwere des Vorfalls. Diese können schnell mehrere Millionen betragen.
Bei Datendiebstahl können diese Schäden schnell sehr hoch sein. Unternehmen können sich dagegen zwar mit einer Versicherung gegen Dritthaftungsschäden versichern. Dies ist allerdings nicht preiswert und die Kosten dafür steigen kontinuierlich. Der wohl aber größte Schaden, der durch eine Cyber-Attacke entsteht, ist der Reputationsschaden.
Die Nutzungsrechte wurden The Property Post zur Verfügung gestellt von INTREAL Solutions GmbH
Erstveröffentlichung: Reactnews, Februar 2023