Das Thema Informationssicherheit bekommt für kleine und mittlere Unternehmen (KMU) einen immer größeren Stellenwert. Von Vorfällen und Cyberangriffen, bei denen Schäden in Millionenhöhe entstehen, wird immer häufiger berichtet. Inzwischen gibt es Normen, die Unternehmen dabei unterstützen, Schutzmaßnahmen einzurichten. Die Auseinandersetzung damit kann für KMU allerdings mit einem enormen Aufwand verbunden sein. Beim Mittelstand-Digital Zentrum Hannover steht nun eine Handlungsempfehlung zum kostenlosen Download bereit, die dabei Hilfestellung gibt.
Unterschiede zwischen Bürobereich und Produktionsbereich
Unternehmen des produzierenden Gewerbes stehen vor der Herausforderung, sich mit dem Thema Informationssicherheit auseinanderzusetzen. Hierfür kann man die Unternehmen in die beiden Bereiche „Büro“ und „Produktion“ teilen.
- Im Bürobereich kommen IT-Systeme beispielsweise für Email, Dateiablage, Auftragsabwicklung und Webpräsenz zum Einsatz. Die Aktivitäten in diesem Bereich werden im Folgenden unter dem Stichwort „IT-Security“ zusammengefasst.
- Typische Systeme im Produktionsbereich sind Automatisierungssysteme zur Steuerung der Produktion, Industrieroboter sowie Software zur Steuerung der Aufträge und zur Erfassung von Qualitätsdaten. Diese Systeme werden der Operational Technology zugeordnet und im Weiteren als „OT-Security“ bezeichnet.
Die Anforderungen dieser beiden Bereiche unterscheiden sich deutlich voneinander. Während im IT-Bereich beispielsweise großer Wert auf die Vertraulichkeit von Daten (Geschäftsgeheimnisse) gelegt wird, hat im OT-Bereich vor allem die Verfügbarkeit der Produktionsanlage einen hohen Stellenwert. Aus diesem Grund kommen für diese beiden Bereiche unterschiedliche Normen zur Anwendung.
Normreihe ISO 27000 für die IT-Sicherheit
Die Normreihe ISO 27000 liefert einen umfassenden Normen-Satz für die Etablierung eines Information-Security-Management-Systems (ISMS) im Unternehmen. Die Norm deckt alle denkbaren Aspekte der IT-Security ab, dazu gehören ein sicherer Standort für Server, Absicherung der Netzwerkzugänge, Regelungen für die dienstliche Nutzung privater Geräte, aber auch die Erstellung einer Prozessbeschreibung für die Einstellung oder das Ausscheiden von Mitarbeitenden. Anwendung und Umsetzung entsprechender Maßnahmen im Betrieb ist mit großem Aufwand verbunden. Eine auf KMU angepasste Untermenge findet sich zum Beispiel in der VdS 10000. Wesentliches Merkmal dieser Prozessbeschreibungen ist die Organisation der IT-Security im Unternehmen, wobei der Fokus nur zu einem relativ geringen Teil auf den besonderen Anforderungen des Produktionsbereiches liegen.
Normreihe IEC 62443 für OT-Sicherheit
Die Normreihe IEC 62443 kommt im Produktionsbereich (OT-Security) zum Einsatz. Hier steht die Verfügbarkeit der Produktionsanlage im Vordergrund. Besondere Themen sind zum Beispiel die Abschottung des Produktionsbereichs gegenüber anderen Teilen des Unternehmens, das Einspielen von SW-Patches in die Anlage, die Qualifikation von Dienstleistern sowie OT-Security-Anforderungen an Komponenten der Automatisierungstechnik.
Welche Normreihe für welches KMU?
KMU stellen sich nun die Frage, ob sie sich künftig mit beiden Systemen parallel beschäftigen müssen oder ob eine der beiden Normreihen ausreicht, um das Unternehmen zu schützen. Weiterhin ist oft unklar, wie sich der erforderliche Aufwand in Grenzen halten lässt. Als Hilfestellung hat Prof. Dr. Karl-Heinz Niemann vom Mittelstand-Digital Zentrum Hannover gemeinsam mit der ABB AG eine umfassende Beschreibung und Analyse der beiden Normreihen vorgenommen und eine Handlungsempfehlung erstellt. Das Dokument kann kostenlos heruntergeladen werden.
Weitere Infos zum Download finden Sie beim Mittelstand-Digital Zentrum Hannover.
(Bild: Field Engineer/Pexels)
Hat Ihnen dieser Inhalt gefallen?
Mit dem Digitalagentur-Newsletter informieren wir Sie regelmäßig über Neuigkeiten, Events und Ausschreibungen im Kontext der Digitalisierung.