Baustellen sind heute längst nicht mehr analog. Baupläne, Leistungsverzeichnisse und Vergabeunterlagen werden digital erstellt, versendet und bearbeitet. Tablets, Bauleitungssoftware und Cloud-Speicher gehören zur täglichen Arbeit. Doch mit der zunehmenden Vernetzung steigt auch das Risiko von Cyberangriffen.

Was viele Bauunternehmen, Ingenieurbüros und Handwerksbetriebe erst merken, wenn es zu spät ist: Kommunale Auftraggeber verlangen zunehmend IT-Sicherheitsnachweise – etwa im Rahmen der Unterschwellenvergabeordnung (§ 11 UVgO) oder nach internen Richtlinien, die sich an KRITIS-Mindeststandards orientieren. Wer diese Anforderungen nicht erfüllt, kann bei öffentlichen Ausschreibungen vom Verfahren ausgeschlossen werden – unabhängig vom Preis oder der technischen Qualifikation.

---

1. Warum IT-Sicherheit in der Bauwirtschaft zur Pflicht wird

In der öffentlichen Vergabe spielt die Zuverlässigkeit des Auftragnehmers eine entscheidende Rolle. Früher ging es dabei hauptsächlich um finanzielle Stabilität oder Referenzen. Heute gehört die digitale Sicherheit fest dazu.

Öffentliche Auftraggeber stehen selbst unter Druck: Sie müssen personenbezogene Daten, Gebäudedaten und Projektinformationen schützen. Jede Schwachstelle in der Lieferkette – also auch bei externen Dienstleistern – kann ein Risiko darstellen.

Rechtliche Grundlage

• § 11 UVgO verpflichtet Auftraggeber, die Eignung der Bieter auch in Bezug auf technische und sicherheitsrelevante Leistungsfähigkeit zu prüfen.
• DSGVO (Art. 28) schreibt vor, dass Auftragsverarbeiter ausreichende Sicherheitsmaßnahmen nachweisen müssen.
• NIS-2-Richtlinie verschärft die Anforderungen entlang der Lieferkette – auch für mittelständische Bauunternehmen, die für kommunale Auftraggeber tätig sind.

---

2. Typische IT-Risiken auf Baustellen und in der Bauleitungssoftware

Während Großkonzerne über eigene IT-Abteilungen verfügen, sind viele mittelständische Baufirmen und Handwerksbetriebe noch unzureichend geschützt. Auf modernen Baustellen entstehen jedoch zunehmend digitale Angriffsflächen.

Mobile Geräte und ungesicherte WLAN-Verbindungen

Tablets und Smartphones mit Bauleitungssoftware enthalten vertrauliche Pläne, Vertragsdaten und Zeitpläne. Viele Geräte sind nicht mit Passwörtern, MDM-Lösungen oder Verschlüsselung abgesichert. Öffentliche WLANs oder mobile Hotspots werden oft ohne VPN genutzt – ein Einfallstor für Angreifer.

Cloud-basierte Projektplattformen

Plattformen für Dokumentenaustausch oder Bauzeitenplanung (z. B. Autodesk, PlanRadar) werden häufig ohne Prüfung der Zugriffsrechte betrieben. Unsichere Passwörter oder fehlende Zwei-Faktor-Authentifizierung ermöglichen unbefugten Zugriff auf Baupläne und Leistungsverzeichnisse.

Kommunikation mit Subunternehmern

E-Mails mit Anhängen (z. B. CAD-Dateien, Angebote) sind ein klassischer Angriffsvektor. Ohne Verschlüsselung und Sensibilisierung der Mitarbeiter besteht Phishing-Gefahr – besonders bei gefälschten Ausschreibungsmails oder Rechnungen.

Veraltete Software auf Bürorechnern

Viele kleine Betriebe nutzen noch alte Windows-Versionen oder unsichere Software. Sicherheitsupdates fehlen, wodurch Schadsoftware leichtes Spiel hat.

---

3. Was kommunale Auftraggeber heute prüfen

Bei kommunalen Ausschreibungen achten Auftraggeber zunehmend auf nachweisbare IT-Sicherheitsmaßnahmen. Diese Anforderungen stehen oft in den Vergabeunterlagen oder im Eignungsnachweis.

Beispiele für verlangte Nachweise

• Erklärung über den Einsatz sicherer IT-Systeme (z. B. Virenschutz)
, Firewall, Zugriffsbeschränkungen)
• Nachweis eines Datenschutzkonzepts gemäß DSGVO
• Angaben zur Sicherheitsorganisation (Verantwortlicher, Schulungen, Notfallplan)
• In Einzelfällen: Vorlage eines IT-Sicherheitsaudits oder einer Selbsterklärung zur Cyberresilienz

Viele Kommunen übernehmen dabei Anforderungen aus dem BSI-Grundschutz-Kompendium oder aus ISO 27001-Anlehnungen, auch wenn diese nicht gesetzlich vorgeschrieben sind. Ziel ist, die digitale Lieferkette abzusichern.

---

4. Welche Nachweise KMU einfach umsetzen können

Kleine Bauunternehmen müssen kein ISO-zertifiziertes Informationssicherheitsmanagement aufbauen, um die Ausschreibungsanforderungen zu erfüllen. Aber sie müssen nachvollziehbar dokumentieren, dass grundlegende Schutzmaßnahmen vorhanden sind.

Empfohlene Maßnahmen für Bauunternehmen

1. Zugriffskontrollen: Jeder Mitarbeiter hat nur Zugriff auf die Daten, die er benötigt.
2. Gerätesicherheit: Mobile Geräte werden verschlüsselt, mit PINs oder MDM-Lösungen abgesichert.
3. Backups: Regelmäßige Datensicherungen auf getrennten Speichermedien (z. B. NAS, Cloud).
4. E-Mail-Schutz: Aktivierte Spamfilter, Verschlüsselung und Schulung gegen Phishing.
5. Software-Updates: Automatische Updates für Betriebssysteme und Anwendungen.
6. Datenschutz-Schulung: Mitarbeiter wissen, wie sie personenbezogene Daten sicher behandeln.
7. Notfallplan: Vorgehen bei Datenverlust oder Cyberangriff (z. B. Ansprechpartner, Sofortmaßnahmen).

Diese Punkte reichen in vielen Fällen aus, um Eignungsnachweise nach § 11 UVgO glaubwürdig zu erbringen – insbesondere, wenn sie dokumentiert und aktuell gehalten werden.

---

5. Schritt-für-Schritt-Anleitung: IT-Sicherheitsnachweis für Bauunternehmen

Viele KMU fragen sich: „Wie können wir das praktisch umsetzen?“ Hier ist ein einfacher Leitfaden, um Ausschreibungsanforderungen zu erfüllen:

1. IST-Analyse durchführen: Welche Geräte, Software und Schnittstellen werden genutzt? Wo liegen Daten (Server, Cloud, USB-Sticks)?
2. Risiken bewerten: Welche Systeme sind kritisch für Projekte oder Kundendaten?
3. Maßnahmen ableiten: Geräteabsicherung, Backups, Zugangskontrolle, Schulung.
4. Dokumentation erstellen: Kurzes IT-Sicherheitskonzept (1–2 Seiten) mit Beschreibung der Schutzmaßnahmen.
5. CyberRisikoCheck durchführen: Nachweis der Schwachstellenanalyse und Verbesserungsmaßnahmen.
6. Eignungsnachweis einreichen: Zusammenfassung der Ergebnisse und Nachweise für die Ausschreibung.

So können selbst kleine Betriebe innerhalb weniger Wochen einen professionellen IT-Sicherheitsnachweis erbringen.