Zusammenfassung
Produktionsumgebungen sind heute in vielfältiger Weise durch Informationstechnik (IT) geprägt. Diese Entwicklung trägt in einem erheblichen Maße zur Flexibilisierung und Effizienzsteigerung in der industriellen Produktion bei. Damit erbt dieser Bereich aber auch die üblicherweise mit IT verknüpften Gefährdungen, etwa die Anfälligkeit gegen Schadsoftware oder Hackerangriffe. Die daraus resultierenden Risiken verschärfen sich, je stärker die IT-Lösungen miteinander vernetzt sind und umso mehr Schnittstellen sie über Unternehmens- oder Standortgrenzen hinweg aufweisen. Insbesondere die Zielvorstellung „Industrie 4.0“ stellt hohe Anforderungen an die Informationssicherheit. Im Bereich der Office-IT existieren weithin anerkannte Standards zur IT-Sicherheit, und es hat sich eine Fülle an Maßnahmen etabliert, mit denen IT-Risiken begegnet werden kann. Diese Best Practices können jedoch nicht ohne weiteres auf Produktionsumgebungen übertragen werden. Der Beitrag beschreibt die Gründe hierfür und die besondere Problemlage für das IT-Risikomanagement im Produktionsumfeld. Er gibt darüber hinaus eine Übersicht zu den vorhandenen Best-Practice-Dokumenten für das Produktionsumfeld und zeigt auf, wie sich etablierte Verfahren zum IT-Risikomanagement auch in diesem Bereich anwenden lassen. In einem abschließenden Beispiel werden die beschriebene Vorgehensweise und die Anwendung von Best Practices zur Risikominimierung am Beispiel der Fernwartung skizziert.
Überarbeiteter Beitrag basierend auf Kraft & Stöwer (2017) IT-Risikomanagement im Produktionsumfeld – Herausforderungen und Lösungsansätze, HMD – Praxis der Wirtschaftsinformatik Heft 313, 54(1):84–96.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
Unter www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/140627_LARS_ICS_Light_and_Right.html bietet das BSI einen Download für das Tool LARS ICS und ein Handbuch zum Werkzeug.
- 2.
Bei der Zusammenstellung der Risikoszenarien können Musterkataloge als Hilfsmittel und Ausgangspunkt dienen, beispielsweise die Zusammenstellungen exemplarischer Bedrohungen und Schwachstellen im Anhang der Norm ISO/IEC 27005 oder der Katalog G.0: Elementare Gefährdungen der IT-Grundschutz-Kataloge (BSI 2016a).
- 3.
Üblicherweise verwendete Schadensszenarien sind finanzielle Verluste, Prozessstörungen, Beeinträchtigungen der körperlichen Unversehrtheit, Image-Schäden und Verstoß gegen Gesetze oder vertragliche Verpflichtungen.
- 4.
In der zwei Jahre zuvor publizierten Ausgabe dieser Zusammenstellung belegte diese Bedrohungskategorie den fünften Platz.
Literatur
Allianz (2017) Allianz Risk Puls, Allianz Risk Barometer, die 10 wichtigsten Geschäftsrisiken 2017. München. www.agcs.allianz.com/assets/PDFs/Reports/Allianz_Risk_Barometer_2017_DE.pdf. Zugegriffen am 11.12.2017
BMWi (2016) IT-Sicherheit für Industrie 4.0. Abschlussbericht. Berlin. www.bmwi.de/Redaktion/DE/Publikationen/Studien/it-sicherheit-fuer-industrie-4-0. Zugegriffen am 11.12.2017
BSI (2013) ICS-Security-Kompendium, Bonn. www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ICS/ICS-Security_kompendium_pdf.pdf. Zugegriffen am 11.12.2017
BSI (2014) Die Lage der IT-Sicherheit in Deutschland 2014. Bonn. Unterhalb von www.bsi.bund.de/Lageberichte. Zugegriffen am 11.12.2017
BSI (2015) Die Lage der IT-Sicherheit in Deutschland 2015. Bonn. Unterhalb von www.bsi.bund.de/Lageberichte. Zugegriffen am 11.12.2017
BSI (2016a) IT-Grundschutz-Kataloge. 15. Ergänzungslieferung. Bonn. www.bsi.bund.de/IT-Grundschutz-Kataloge. Zugegriffen am 11.12.2017
BSI (2016b) Industrial Control System Security – Top 10 Bedrohungen und Gegenmaßnahmen 2016, BSI – CS 005. Bonn. www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf. Zugegriffen am 11.12.2017
BSI (2017) Bausteine und Umsetzungshinweise zur industriellen IT. Bonn. Unterhalb von www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/itgrundschutzKompendium_node.html. Zugegriffen am 11.12.2017
Golem (2016) Schwachstellen aufgedeckt, der leichtfertige Umgang mit kritischen Infrastrukturen, www.golem.de/news/schwachstellen-aufgedeckt-der-leichtfertige-umgang-mit-kritischen-infrastrukturen-1607-122063.html. Zugegriffen am 11.12.2017
IEC/TS 62443 (2008–2010) Industrial Industrial communication networks – Network and system security. IEC/TS, Genf
ISO/IEC 27002 (2013) Information technology – Security techniques – Code of practice for information security controls. ISO/IEC, Genf
ISO/IEC 27005 (2011) Information technology – Security techniques – Information security risk management. ISO/IEC, Genf
ISO/IEC 27019 (2013) Information technology – Security techniques – Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry. ISO/IEC, Genf
KPMG (2017) e-Crime in der deutschen Wirtschaft 2017. München, http://hub.kpmg.de/hubfs/LandingPages-PDF/e-crime-studie-2017-KPMG.pdf. Zugegriffen am 11.12.2017
NIST (2015) Guide to Industrial Control Systems (ICS) Security. NIST Special Publication 800–82. Revision 2. https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final. Zugegriffen am 11.12.2017
VDI/VDE 2182 (2011) Informationssicherheit in der industriellen Automatisierung. Allgemeines Vorgehensmodell. VDI/VDE, Düsseldorf
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2017 Springer Fachmedien Wiesbaden GmbH
About this chapter
Cite this chapter
Kraft, R., Stöwer, M. (2017). IT-Risikomanagement für Produktionssysteme – Basis zur Gestaltung sicherer Fertigungsprozesse. In: Knoll, M., Strahringer, S. (eds) IT-GRC-Management – Governance, Risk und Compliance. Edition HMD. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-20059-6_7
Download citation
DOI: https://doi.org/10.1007/978-3-658-20059-6_7
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-20058-9
Online ISBN: 978-3-658-20059-6
eBook Packages: Computer Science and Engineering (German Language)