Capgemini: Industrielles Internet fordert auch Prozesse und Organisation

Mehr und mehr Partner werden in das Unternehmensnetzwerk eingebunden, wodurch dieses zunehmend „dynamischer“ und damit unübersichtlicher wird. Hinzu kommt: Herkömmliche Sicherheits-Ansätze greifen zu kurz, denn das industrielle Internet bedeutet weitaus mehr als die Vernetzung von Maschinen. Gerade die Prozesse und die Organisation müssen an die neuen Gegebenheiten angepasst werden, damit das Potenzial der Vernetzung ausgeschöpft werden kann. Davon jedenfalls ist das Beratungshaus Capgemini überzeugt.

So werden externe Akteure viel stärker als bisher in Kernprozessen der Entwicklung und Produktion mitwirken und auch Daten aus ausgewählten Abläufen werden Externen zur Auswertung und Optimierung zur Verfügung gestellt werden müssen (zum Beispiel Produktdaten, Maschinendaten, Kapazitätsdaten). Capgemini hat deshalb mehrere Empfehlungen erarbeitet, die Unternehmen aus der Sicht der Berater beachten sollten, wenn sie den Schritt Richtung Industrie 4.0 gehen. Ich stelle sie hier gerne zur Diskussion:

· Die Etablierung von klaren Regeln für die häufig ad-hoc entstehende Zusammenarbeitsmodi mit Lieferanten, Kunden und Konkurrenten ist entscheidend, um Sicherheit und Flexibilität in ein Gleichgewicht zu bringen.

· Übergreifende Zusammenarbeit: IT, Produktentwicklung, Produktion und die Datenschutz- und Informationssicherheitsbeauftragten müssen in Projekten mit sicherheitsrelevanten Daten und Abläufe frühzeitig eingebunden werden, idealerweise in gemeinsamen Workshops.

· Die Kontrolle der intelligenten Systeme und Maschinen durch menschliche Akteure ist ein wichtiges Element des industriellen Internets. In Bezug auf Informationssicherheit ist in diesem Rahmen das Monitoring von Events und Schnittstellen hervorzuheben, welches technisch durch sogenannte SIEM-Produkte (Security information and event management) unterstützt werden kann.

· Regelmäßige Trainings und Anpassungen müssen sicherstellen, dass Mitarbeiter sich über die Gefahren und Regelungen bewusst sind und somit kritische Daten nicht in die Hände von Zulieferern oder gar Konkurrenten kommen.

· Klare Regeln für Beschaffung und Betrieb: In Maschinen integrierte, hochkomplexe elektronische Hardware-Softwaresysteme (Embedded Systems) sind potenzielle Gefährdungsquellen, wenn sie weitreichend vernetzt werden. Veraltete Firmwares, unsichere Architekturen, proprietäre und nicht transparente Betriebssysteme sind in bestehenden Produktionslagen üblich und können ebenfalls ein Risiko darstellen. Systeme und bestehende Anlagen müssen analysiert und ggf. modernisiert werden, bevor sie an das Internet oder weitreichende Firmennetzwerke angeschlossen werden.

· Die lange Lebensdauer von Produktionsmaschinen (zumeist ein Vielfaches klassischer IT-Hardware). Die potenziellen Auswirkungen im Falle von Hacker-Angriffen oder Fehlfunktionen sind in einem übergreifenden Security-Konzept hervorzuheben. Ein gehackter Roboterarm in der Produktion kann – um ein überspitztes Beispiel zu wählen – weit mehr realen Schaden anrichten als es etwa eine kurze Downtime bei einem Online-Bestellformular vermag.

· Eine neue, übergreifende Rolle im Unternehmen: In der Organisation ist ein Security Manager zur funktionsübergreifenden Steuerung und Kontrolle, mit einem direkten Bezug zu den herkömmlichen und zukünftig auch produktionsnahen IT-Systemen, sinnvoll. Eine direkte Berichtslinie an die Unternehmensführung ist dabei vorzusehen, um die besondere Verantwortung und die neue Rolle zur Sicherstellung der Produktion, zu unterstreichen.

Hier @carstenknop auf Twitter folgen.