• 24. Mai 2017, 10:18 Uhr
  • 107× gelesen

IT-Sicherheit in kleinen und mittleren Betrieben: Wie kann sich ein Unternehmen vorbereiten?

Autor: Chris Heinemann
aus Bretten
In seiner Broschüre "Industrie 4.0 - aber sicher!" gibt der DIHK Ratschläge zur Verbesserung der IT-Sicherheit in mittleren und kleinen Unternehmen. | Foto: DIHK
  • In seiner Broschüre "Industrie 4.0 - aber sicher!" gibt der DIHK Ratschläge zur Verbesserung der IT-Sicherheit in mittleren und kleinen Unternehmen.
  • Foto: DIHK
  • hochgeladen von Chris Heinemann

Wir dokumentieren einen Auszug aus der DIHK-Broschüre „Industrie 4.0 – aber sicher!“ mit freundlicher Genehmigung des Deutschen Industrie- und Handelskammertages in Berlin.

Zuallererst ist es wichtig, sich der Risiken bewusst zu werden, welche durch die Vernetzung der Industrie- und Produktionsanlagen entstehen. Dafür bietet es sich an, einen Workshop mit allen verantwortlichen Personen durchzuführen, und sie im Rahmen eines Brainstormings zu fragen, was gerade nicht passieren darf.

Für höchste Risiken ist eine Risikostrategie erforderlich

Zuerst wird der dadurch auftretende Schaden geschätzt und dann mit Hilfe eines Experten bewertet, wie wahrscheinlich dies passiert, auch durch die Vernetzung der Systeme (zum Beispiel wie oft innerhalb von drei Jahren). Die Ergebnisse werden auf einer Risikomatrix nach Schadenshöhe und Eintrittswahrscheinlichkeit aufgetragen.
Für die höchsten Risiken muss eine Risikostrategie her: Es muss jeweils entschieden werden, ob das Risiko überwälzt werden kann (zum Beispiel durch eine Versicherung), minimiert werden kann, oder ob die Geschäftsleitung bereit ist, das Risiko zu akzeptieren (dann bietet sich eine Rücklage in angemessener Größenordnung an). Sollte keine dieser Optionen möglich sein, dann muss das Risiko vermieden werden – und damit auch möglicher Weise die Elemente der Vernetzung, die das Risiko erst so groß machen.

Informationssicherheits-Managementsystem

Eine Risikoanalyse sollte jährlich durchgeführt werden. Um diese vorzubereiten, und die Maßnahmen zur Minimierung zu kontrollieren, sollte ein Verantwortlicher definiert werden. Am besten ist dafür der Informationssicherheitsbeauftragte geeignet. Sofern bereits ein so genanntes Informationssicherheits-Managementsystem (ISMS), also ein Managementsystem analog zum Qualitätsmanagement, nur eben für Informationssicherheit, im Einsatz ist, sollte die IT-Sicherheit in der Produktion mit in den Geltungsbereich aufgenommen werden. Ein ISMS ist etwa erforderlich, wenn das Unternehmen zu einer kritischen Infrastruktur gehört; es ist aber auch Stand der Technik bei der Beherrschung von IT-Sicherheitsrisiken im Kontext von GmbH-Gesetz und KontraG und wird auch zukünftig von der EU-Datenschutzgrundverordnung gefordert.

IT-Sicherheitsrichtlinie Mitarbeitern mitteilen

Damit die Risikolage beherrschbar bleibt, müssen die Mitarbeiter in der Produktion gewisse Regeln einhalten, etwa dass keine fremde Hardware ungeprüft angeschlossen werden darf oder dass die Fernwartung durch den Lieferanten nur über eine gesicherte Verbindung durchgeführt werden darf; die genauen Vorgaben sollten mit einem Experten auf der Basis der Risikoanalyse erstellt werden und in Form einer IT-Sicherheits-Richtlinie für die Produktion allen Mitarbeitern mitgeteilt werden.

Lieferanten und Partner vertraglich einbinden

Vieles kann gerade ein kleines und mittleres Unternehmen (KMU) nur mit Unterstützung durch Lieferanten und Partner erreichen. Im Industrie 4.0-Umfeld ermöglichen Mittelständler ihren Lieferanten prinzipbedingt weitgehenden Einfluss auf ihre Maschinen und Daten. Nicht immer hat der Lieferant dabei jedoch das gleiche Risikoverständnis wie sein Kunde. Man sollte daher alle Lieferanten, die mit der IT des Unternehmens verbunden sind, vertraglich verpflichten, Sicherheitsvorgaben einzuhalten und das Unternehmen über wichtige Veränderungen der Lage sofort zu informieren, indem man die Sicherheitsvorgaben in die Rahmenvereinbarungen mit den Lieferanten aufnimmt. Dies gilt insbesondere für alle IT-Dienstleister, und speziell die Lieferanten von Maschinen und deren Software. Die Verwendung von Sicherheitsvorgaben erlaubt, die Risiken, die durch den Lieferanten entstehen, beherrschen zu können.

Risikoanalyse mindestens jährlich wiederholen

Eine Sache muss die Geschäftsführung selbst angehen: Die Verantwortlichen in der Produktion lassen sich ungern von Dritten reinreden, und die zusätzlichen Sicherheitsmaßnahmen, die vom Informationssicherheitsbeauftragten gefordert werden, sind oft auch mit Verzögerungen oder etwas komplizierteren Abläufen verbunden. Damit die Sicherheit „greift“, müssen die Verantwortlichen mitziehen. Mindestens jährlich sollte die Risikoanalyse erneut durchgeführt beziehungsweise auf erforderliche Anpassungen untersucht werden. In der Folge sollte dann die IT-Sicherheitsrichtlinie in der Produktion angepasst und – wie auch die Einhaltung der Sicherheitsvorgaben durch die Lieferanten – auf Einhaltung geprüft werden (etwa durch Stichproben).

Mehr über Arbeitgeber im Enzkreis finden Sie auf unserer Themenseite.

Autor:

Chris Heinemann aus Bretten

Folgen
following

Sie möchten diesem Profil folgen?

Verpassen Sie nicht die neuesten Inhalte von diesem Profil: Melden Sie sich an, um neuen Inhalten von Profilen und Orten in Ihrem persönlichen Feed zu folgen.

Jetzt anmelden und folgen
6 folgen diesem Profil

Weitere Beiträge zu den Themen

IT-SicherheitIT-SicherheitsrichtlinieLieferantenBroschüreDeutscher Industrie und HandelskammertagArbeitgeberIndustrie 4.0Arbeitgeber im EnzkreisInformationssicherheits-ManagementsystemRisikoverständnisRisikoanalyseRisikostrategie

Kommentare

online discussion

Sie möchten kommentieren?

Sie möchten zur Diskussion beitragen? Melden Sie sich an, um Kommentare zu verfassen.

Jetzt anmelden und kommentieren

Aktuelle Sonderthemen

Ratgeber Ausbildung & Beruf inkl. Brettener Ausbildungstag

Jetzt Leserreporter werden
add_content

Sie möchten selbst beitragen?

Melden Sie sich jetzt kostenlos an, um selbst mit eigenen Inhalten beizutragen.

Jetzt anmelden und beitragen