Vernetzung vs Abschottung

Heftiger Streit um IT-Security

Von Christian Raum · 2020

Die Diskussion um Ursachen und Folgen von IT-Sicherheitslücken scheint komplex und emotional. Sicherheitsexperten kritisieren, dass die verschiedenen Verantwortungsbereiche und Abteilungen zu sehr auf ihre eigenen Interessen und Ziele fokussieren. Darüber würden sie den Nutzen für die gesamte Organisation aus den Augen verlieren.

Konzept IT Security: Schloss auf einer Platine
Foto: iStock/Traitov

Aus Sicht der Sicherheitsverantwortlichen und Compliance-Manager war die Entscheidung, unternehmenskritische Arbeitsprozesse ins Homeoffice zu verlegen, kaum zu verantworten. Wer keinen Firmenlaptop hat, bekam Remote Access (Fernzugriff) vom Familiencomputer direkt in die Zentrale. Die Verantwortlichen planten ihre Produktionsprozesse im Wohnzimmer und speicherten vertrauliche Mails, Daten und Listen auf dem Heim-PC des Homeoffice. Videokonferenzen galten als eine willkommene Abwechslung, um die Kollegen zu sehen – sind aber aus Security-Sicht eine Katastrophe und ein potentielles Einfallstor für alle Arten von Kriminellen, die etwa Sicherheitslücken für Lauschangriffe nutzen.

Wette auf das Homeoffice

„Die Risikoabwägung war es, ob die Sicherheitsbedenken rund um die Arbeit im Homeoffice gegen die Gefahren des kompletten Stillstandes aller Geschäftsprozesse aufzuwiegen sind“, sagt ein Sicherheitsanalyst im Gespräch. „Offensichtlich wetteten die allermeisten Verantwortlichen auf das Homeoffice – allerdings nicht ohne ein schnellstmögliches Sicherheitsupdate anzustoßen.“ In Rekordzeit schafften Industrie, Staat und Mittelstand hunderttausende Lizenzen für Virtual Private Networks (VPN) an und bauten sichere digitale Tunnel durch das Internet. Positiv sei, dass diese Sicherheitssysteme nicht verloren sind, wenn die Homeoffice-Welle abebbt, versichert mir der Analyst. Denn auch in anderen Bereichen ließen sich die VPNs einsetzen – etwa für die Fernwartung von Produktionsanlagen. Hier sehen Sicherheitsexperten die nächste Modernisierungswelle in der Wirtschaft. 

Allerdings sind längst nicht alle Verantwortlichen überzeugt: Aufgrund der unübersichtlichen Risikoeinschätzungen schütteln sie die Köpfe, wenn Mitarbeiter für Digitalisierung, Industrie 4.0 und IIoT (Industrial Internet of Things) werben. Bei der Entscheidung für das Homeoffice sind sie voll ins Risiko gegangen. Beim Schutz ihrer Produktion entscheiden sie sich für das Gegenteil: Sie schotten sie lieber von der Außenwelt ab, unterbrechen alle Arbeitsprozesse, gestalten sie unangreifbar. Ihre Argumentation ist, dass der Tag der ersten Inbetriebnahme mancher Maschine vor der Zeit lag, in der Computerprozessoren oder Netzwerke in die Produktionen kamen. Ihre Vorgänger in der Produktionsleitung oder im Management hätten die alten Anlagen niemals mit der Vorstellung aufgebaut, dass sie eines Tages kommunizieren sollen. Aber genau diese Einstellung ist in der Corona-Krise zu einem großen Problem geworden.

Grafik: Würden Sie bei möglichen gesundheitsgefährdenden Situationen (zum Beispiel Corona-Virus) gerne von zu Hause arbeiten?

Vernetzung vs Abschottung: Industrieller Kern ist isoliert und geschützt

Denn heute zeigt sich, wie die Bewertung unterschiedlicher Sicherheitsrisiken rund um diesen industriellen Kern zum Faktor für das Überleben eines Unternehmens werden kann. Ich habe mich zur Recherche mit einem Produktionsleiter verabredet, auf-grund der Krise treffen wir uns in einer Videokonferenz. Seine größte Sorge sei, dass er keinen Zugang mehr zu „seinen“ Maschinen habe. Reisebeschränkungen, Kontaktbeschränkungen, geschlossene Grenzen und Quarantäneregelungen lassen sein gut eingespieltes Team verzweifeln. „Weil das Management um die Sicherheit besorgt ist, sind unsere Maschinen nicht vernetzt. Aus demselben Grund sind sie auch für Mitarbeiter und für Servicetechniker verschlossen. Wartung, Rüstung und Umstellung der Produktion auf die Bedürfnisse während der Krise sind nicht möglich.“

Später bin ich am Telefon mit einem IT-Leiter verabredet. Er berichtet mir, wie er Konflikte und Diskussionen im Unternehmen rund um die sicheren Netzwerke wahrnimmt. Sorge bereite ihm, dass bei strategischen Entscheidungen und bei Diskussionen mit der Geschäftsführung und Abteilungsleitern die Sicherheit der Systeme und Netzwerke häufig den Unternehmenszielen im Weg ständen. „Sicherheitsexperten gelten als Spaßbremsen“, klagt er. „Denn die Sicherheit ist ein Kostenfaktor, mit dem kein Unternehmen einen Gewinn erzielen kann. Security-Funktionen werden häufig nur dann installiert, wenn ein Kunde sie ausdrücklich verlangt und möglicherweise auch auditiert.“ 

Sicherheit ist teuer und ohne Mehrwert

Aber nicht nur die Diskussionen zwischen Sicherheitsspezialisten und Management sind schwierig. Hinzu kommt, dass die Kommunikation zwischen den Verantwortlichen in der Produktion und im Management, im Vertrieb und der IT-Abteilung offensichtlich nicht problemlos laufe. Dies zeige sich schon in der Sprache, sagt der IT-Leiter. Die Informationstechniker sprächen von „Security“ oder „IT-Sicherheit“ und meinten den Schutz vor dem digitalen Zugriff von außen.

„Dagegen sprechen die Kollegen in der Produktion von ‚Safety‘ und meinen, dass die Maschinen keinen Menschen verletzen oder schädigen dürfen“, erklärt er. „Alle Seiten haben in der Vergangenheit nicht besonders häufig und auch nicht besonders gerne miteinander gesprochen. Aber wenn unser Management IoT-Konzepte und die dazugehörigen Sicherheitsszenarien angehen möchte, dann müssen wir miteinander sprechen und uns verstehen. Sonst kommen wir nicht zu einer Lösung.“ Und das würde bei der Inbetriebnahme der neuen Maschinengeneration sowohl die IT-Sicherheit als auch die Safety in den Produktionshallen nachhaltig in Frage stellen. Und damit womöglich den Wert der getätigten Investitionen vernichten.

Quellen:
Studie "IT-Sicherheit für die Industrie 4.0" im Auftrag des BMWI
Nadine Bausback (2007): Positionierung von Business-to-Business-Marken: Konzeption und empirische Analyse zur Rolle von Rationalität und Emotionalität.
www.datenschutzbeauftragter-dsgvo.com/dsgvo-homeoffice-empfehlung-fuer-arbeitgeber-auch-zur-corona-pandemie/

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)