Sicherheit gewinnt durch die Digitalisierung an Brisanz

Bei der Digitalisierung wachsen Unternehmensbereiche zusammen, die vorher getrennt waren. Maschinen werden durch die Digitalisierung bequem über das Internet steuerbar – aber auch angreifbar. Michael Hohl, Vice President beim IT-Dienstleister transtec in Reutlingen, stellt die Rolle von Sicherheitstechnologien für die Digitalisierung ganz oben an.

Erleben Sie in Ihrem Beratungsalltag Sicherheitsbedenken als „Digitalisierungs-Verhinderer“?
Die Bedenken orientieren sich unserer Erfahrung nach in der Hauptsache daran, wie das Thema Sicherheit im Unternehmen gehandhabt wird. Firmen, die zu den kritischen Infrastrukturen zählen – etwa Energieversorger – stehen der Digitalisierung aus Sicherheitsgründen viel skeptischer gegenüber als der Werkzeughersteller oder der Heizungsbauer um die Ecke. Für Unternehmen mit hohem Sicherheitsbedürfnis stellen sich vor allem folgende Fragen: Wie lässt sich die Digitalisierung umsetzen? Funktionieren Prozesse dann noch? In den meisten Fällen ist es uns möglich, ihnen zu zeigen, dass sich die bestehenden Prozesse durch Anpassung in das neue digitalisierte Modell einbetten lassen. Nur in den seltensten Fällen ist ein komplettes Re-Design der Prozesse nötig.

Wie schätzen Sie hier das Bewusstsein für die Chancen aber auch Risiken ein?
Digitalisierung macht Unternehmen in vielen Bereichen schneller, produktiver und verschafft ihnen Wettbewerbsvorteile. Doch mit ihr gewinnt auch das Thema IT-Sicherheit an Brisanz. Der Grund liegt auf der Hand: bei der Digitalisierung wachsen Bereiche zusammen, die zuvor noch getrennt waren, beispielsweise IT und Produktion. Das bedeutet, dass die Produktionssysteme jetzt auch über das Internet ansprechbar und so angreifbar sind. Eine Cyberattacke könnte dann der Grund dafür sein, dass die Maschine das Loch in einem Werkstück ein paar Millimeter versetzt bohrt oder das Mischungsverhältnis einer Chemikalie nicht mehr stimmt. So ein Vorfall führt zu Imageverlust und möglicherweise auch zu Schadensersatzzahlungen. Es reicht nicht mehr aus, einfach nur die IT abzusichern. Die Sicherheits-Lösungen müssen ganzheitlich ausgelegt sein und beispielsweise auch Bussysteme und Protokolle berücksichtigen, über die die Maschinen kommunizieren.

Sie haben IT-Sicherheitsberatung als neuen Zweig in Ihr Beratungsportfolio mit aufgenommen. Von welchem Erfahrungsschatz können Ihre Kunden profitieren?
Wir begleiten seit Jahren verschiedene Kunden aus unterschiedlichen Branchen. Unter ihnen befinden sich auch eine Vielzahl aus den kritischen Infrastrukturen wie Energieversorger oder Forschungseinrichtungen, und genauso aus dem militärischen Bereich. Ohne die nötige Expertise wäre eine Zusammenarbeit mit ihnen nicht möglich, denn die Sicherheit ist ein fester Bestandteil der Verträge, die wir mit ihnen abschließen. Wir wissen daher ganz genau, welche Standards der Gesetzgeber vorschreibt, und welche Maßnahmen nötig sind, Systeme sowohl technisch als auch organisatorisch sicher zu machen. Auch ist transtec bereits seit Jahren nach ISO 27001 zertifiziert. Dadurch gehört Sicherheit zu unserer gelebten Praxis.
Hinzu kommt, dass wir über weitreichende Erfahrungen im Bereich Smart Business verfügen, da er seit über einem Jahr in unserem Fokus steht. Hier gibt es bislang keine einheitlichen Standards und es ist viel Fingerspitzengefühl nötig, um die oft heterogenen Systeme sicher zu machen. Wichtig ist dabei vor allem, einen ganzheitlichen Ansatz zu verfolgen und nicht nur die funktionale Umsetzung zu betrachten. Ein wirksamer Schutz lässt sich nur implementieren, wenn man die Prozesse und die Abhängigkeiten im Unternehmen detailliert analysiert. Erst dann ist eine realistische Einschätzung der nötigen Maßnahmen möglich.

Vollständige Sicherheit kann es nicht geben. Welchen Beratungsansatz verfolgen Sie?
Da muss ich zustimmen, ein absolut sicheres System gibt es nicht. Zwar ließe sich die Sicherheit drastisch erhöhen, beispielsweise indem man das System von allen externen Kommunikationskanälen trennt, doch dadurch würde die Produktivität eines Unternehmens gegen Null sinken. Das kann nicht das Ziel sein. Um wirtschaftlich zu bleiben, muss man vielmehr Kompromisse eingehen. Wir verfolgen daher einen Ansatz, der einen Mittelweg beschreitet. Dazu analysieren wir das bestehende Sicherheitskonzept und erweitern es Schritt für Schritt nach realistischen, erreichbaren Zielen. Der kontinuierliche Verbesserungsprozess, der in vielen Bereichen des Unternehmens ein fester Bestandteil ist, wird in der Folge auch auf den Sicherheitsbereich übertragen.

Wie nehmen Sie die Belegschaft Ihrer Kunden bei diesem wichtigen Thema mit?
Neben dem klassischen IT-Consulting übernehmen wir für Unternehmen auch die Aufgabe des externen Datenschutzbeauftragten. Die EU-Datenschutz-Grundverordnung schreibt Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, vor, einen Datenschutzbeauftragten zu bestellen. Im Rahmen dieser Aufgabe überprüfen wir, ob alle Anforderungen erfüllt sind und machen Vorschläge, wenn nachgebessert werden muss. Zum Leistungsumfang gehört es auch, die Mitarbeiter regelmäßig zu schulen und sie für aktuelle Sicherheits-Bedrohungen sensibel zu machen. Wenn sie mit kritischen Daten umgehen, sorgen spezielle Schulungen, die auf ihren Arbeitsbereich zugeschnitten sind, für das nötige Sicherheitsbewusstsein. Alle Maßnahmen zusammen realisieren im Unternehmen eine Art von gelebter Sicherheit.

Sie bieten ein überdurchschnittlich integriertes Portfolio. Ausgehend vom Thema Sicherheit: welche Entwicklungen können wir in den nächsten Monaten von Ihrer Seite aus erwarten?
Das Thema IT-Sicherheit hat in den letzten Jahren immer mehr an Bedeutung zugenommen – nicht zuletzt durch die EU-Datenschutz-Grundverordnung, die im Mai 2018 vollständig in Kraft tritt. Viele Unternehmen wissen noch gar nicht, was auf sie zukommt und was es bedeutet, einen Verstoß zu riskieren. Aufgrund der hohen Strafen ist es geradezu fahrlässig, wenn ein Unternehmen nicht jetzt schon Maßnahmen ergreift und seine Prozesse entsprechend optimiert.
Unser Portfolio ist bezüglich Sicherheit und Datenschutz sehr gut ausgerichtet, weswegen eine Erweiterung auf anderen Gebieten nicht nötig ist. Aufgrund der hohen Nachfrage werden wir uns aber in nächster Zeit auf die Services konzentrieren, die wir bereits im Angebot haben und dort die Leistungen weiter ausbauen. Um dem wachsenden Bedarf gerecht zu werden, planen wir beispielsweise uns intern personell zu vergrößern, um alle Aspekte der Anforderungen noch besser zu erfüllen – sowohl auf der Beratungsseite als auch in technischer Hinsicht. So können wir auf die Wünsche unserer Kunden noch besser eingehen.

Weitere Informationen unter:
www.transtec.de

Bildquelle / Lizenz: transtec AG