Leitfaden für produktionsnahe IT
IT-Risiko-Management: Terra incognita als Chefsache
Der Autor des Leitfadens will Sicherheit in der produktionsnahen IT nicht nur als Abwehr von Schäden verstanden wissen - sie ist schließlich auch gesetzlich vorgeschrieben. Seit 2003 gelten unterlassene Maßnahmen in der deutschen Rechtsprechung als grobe Fahrlässigkeit, das Versicherungsrecht verpflichtet ohnehin zur Risikominimierung. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) macht die Unternehmensführung in Fällen der Versäumnis vom Risiko-Management persönlich haftbar. Und im Streitfall gilt eine Umkehr der Beweislast.
Entscheider haben also für eine SecuritySecurity Policy zu sorgen, in der festgelegt wird, welche Systemzugriffe erlaubt und welche Sicherheitsmaßnahmen einzuhalten sind. Die sieht für IT in der Produktion anders aus als für reine Büroarbeiter: Maschinen, Anlagen und Werke müssen schon vor Inbetriebnahme gesichert sein. Alles zu Security auf CIO.de
Wichtigster Punkt ist allerdings immer noch der Mensch: "Was Mitarbeiter nicht verstehen, werden sie auch nicht tun", so Ralph Langner. Das gilt auch für Mitarbeiter aus Fremdfirmen, die in Werkshallen eingesetzt werden.
Ein falscher Klick und der Staudamm bricht
Über die genannten Punkte hinaus will der Berater eine Lanze für das Risiko-Management brechen, für systematische Überlegungen also, die im Vorfeld ansetzen. Dabei müssen die Eintrittswahrscheinlichkeit und die zu erwartende Höhe eines Schadens abgewogen werden. Auch dabei sind in Produktionsbetrieben spezifische Fälle zu berücksichtigen. Dazu ein Beispiel: Wenn Büronetz und Produktionsnetz nicht getrennt voneinander laufen, muss unter allen Umständen ausgeschlossen werden, dass durch einen zufälligen oder absichtlichen Fehlzugriff aus dem Büronetz die Schleusentore eines Staudamms geöffnet oder giftige Prozesse ausgelöst werden.
Grundlage der Budgetverhandlungen für IT-Sicherheit ist ein Return on Security Investment (ROSI). Dieser bezeichnet den Betrag, der jährlich durch vermiedene Störfälle eingespart wird, abzüglich der Kosten für die Schutzmaßnahmen. Die Krux dabei liegt darin, dass die Kosten für Störfälle fiktiv, die für Schutzmaßnahmen aber sehr real sind. Hinzu kommt, dass mögliche Personen- oder Umweltschäden nicht nur eine regulatorisch-juristische, sondern auch eine ethische Komponente haben.