Das Industrie 4.0 Arbeitsbuch: IT-Sicherheit, Datenschutz und Informationssicherheit

Gerne möchten wir euch auf das aktuelle Buch „Das Industrie 4.0 Arbeitsbuch“ von unserem Gastautor Nicki Borell hinweisen. Er setzt sich mit der Frage auseinander, ob Digitalisierung, Industrie 4.0 und Disruption unterschiedliche Dinge sind.

Hier ein Auszug aus dem Kapitel: IT-Sicherheit, Datenschutz und Informationssicherheit:

Themen wie „der Wandel in der Arbeitswelt“, die durch sich veränderte Anforderungen und gesellschaftliche Trends ausgelöst werden, sind nicht neu. Solche Veränderungen von Markt und Gesellschaft haben zwangsläufig auch immer Einfluss auf Unternehmen. Ethik, Moral und Nachhaltigkeit sind ebenfalls keine neuen Themen und ganz klar war der Bereich Infrastruktur schon immer ein wesentlicher Faktor für die Industrie. Etwas anders verhält es sich mit dem Thema Datenschutz und Datensicherheit. Zumindest was die gesetzlichen Vorgaben und Regulierungen angeht, musste man sich mit dem Thema bei der letzten industriellen Revolution wie der Dampfmaschine oder der Elektrifizierung nicht auseinandersetzen.

Der Gesetzgeber macht hier bisher lediglich dann Vorgaben, wenn sogenannte personenbezogene Daten betroffen sind. Da aber auch schon die Anmeldedaten eines Benutzers als personenbezogene Daten eingestuft werden, greifen gesetzliche Vorgaben damit trotzdem fast überall. Ein anderes Szenario ergibt sich, wenn Sie als Unternehmen oder Organisation unter das Gesetz zur kritischen Infrastruktur fallen. Kritische Infrastrukturen sind Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Sie sehen also, wie wichtig es ist, die genauen Handlungsfelder im unternehmerischen Kontext herauszufinden, um zu identifizieren, in welchem Zusammenhang das Thema Datenschutz und Informationssicherheit betrachtet werden muss.

Beispiel 1: Sie planen, für Ihre Kunden und Partner einen neuen Service anzubieten. Teil dieses Angebots ist eine Portallösung, an der man sich anmelden muss. Zu diesem Zweck erzeugen Sie für Ihre Kunden und Partner Benutzeraccounts. Diese enthalten Informationen wie z. B. Vorname, Nachname, Benutzername, Passwort, E-Mail-Adresse usw. In diesem Fall müssen Sie die Anforderungen des Bundesdatenschutzgesetzes sowie der neuen europäischen Datenschutzgrundverordnung berücksichtigen.

Beispiel 2: Sie sind als Unternehmen aufgrund Ihrer Produkte oder Dienstleistungen verpflichtet, einen Industrie- oder Branchenstandard zu erfüllen. Unternehmen aus dem Gesundheitswesen müssen z. B. in der Regel den HIPAA-(Health Insurance Portability and Accountability Act)-Standard erfüllen. Fallen Sie also unter diesen Standard, muss selbstverständlich auch ein innovatives neues Produkt oder Geschäftsmodell diesen Standard erfüllen. Das hat aber dann nichts mehr mit gesetzlichen Vorgaben zu tun.

Beispiel 3: Im Rahmen einer Messeveranstaltung möchten Sie weiterführendes Informationsmaterial zu Ihren Produkten zur Verfügung stellen. Mittels eines Passcodes, den Sie frei und anonym auf der Messe verteilen, können Interessierte sich die Daten von Ihrer Website herunterladen. In diesem Szenario sind Sie ganz alleine gefordert zu bewerten, wie wichtig und sensibel die Informationen sind, die Sie zur Verfügung stellen. Sie alleine müssen bewerten, wie hoch das Risiko bzw. der Schaden ist, wenn die Daten in falsche Hände gelangen.

Das Bundesministerium für Wirtschaft und Energie hat eine Studie mit dem Titel „IT-Sicherheit für die Industrie 4.0“ herausgegeben. Darin wird das Thema mit all seinen Aspekten sehr ausführlich behandelt.

 

 

Die Studie gliedert sich in folgende Bereiche:

  • Thematische Einführung
  • Existierende Wissensbestände
  • Herausforderungen, Bedrohungen & Risiken
  • IT-Sicherheitsmaßnahmen sowie Implementierungshindernisse
  • Vorhandene und neuartige Sicherheitskonzepte
  • Ableitung von Handlungsvorschlägen

Eine sehr hohe Praxisrelevanz hat die Bewertungsmatrix zum Thema „Risikoeinschätzung der Bedrohungen“ und ist damit erwähnenswert im Kontext dieses Arbeitsbuchs. Ihre neuen und innovativen Produkte oder Services sollten unbedingt einer solchen Bewertung unterzogen werden!

Hier ein paar Beispiele aus der Studie:

(Quelle: it-sicherheit-fuer-industrie-4-0-langfassung.pdf)

Um sich einen ersten Überblick zu verschaffen, welche Funktions- und Unternehmensbereiche aus Sicht des Daten- und Informationsschutzes gefordert sind, empfehle ich die Handlungsvorschläge, die ebenfalls Teil der Studie sind:

(Quelle: it-sicherheit-fuer-industrie-4-0-kurzfassung.pdf)

Die komplette Studie können Sie kostenlos hier herunterladen: http://www.bmwi.de/DE/Mediathek/publikationen,did=764200.html

 

Das Industrie 4.0 Arbeitsbuch: Der Arbeitsplatz der Zukunft