Schneller, wettbewerbsfähiger, globaler. Die Verantwortlichen der Unternehmen schwanken zwischen mehreren Zielen hin und her. Die Gewinne sollen sich natürlich maximieren. Neue Produkte und die Flexibilisierung der Produktionsanlage (Besonders wenn man in der Produktion an „Stückzahl EINS“ denkt), Serviceangebote und zusätzliche Märkte sollen helfen das Ziel zu erreichen. Die Kosten sollen sinken. Hier vor allem wohl Betriebs-, Investitions- und Personalkosten. Das ist nicht neu. Und wieviel bleibt für die Sicherheit über?
Aber es ist ein Dilemma! Und zwar, weil hierdurch auch die Risiken für das Unternehmen steigen. Zum Beispiel der Einsatz neuer Technologien und Produkte oder die gesicherte Verfügbarkeit von Fachpersonal mit Erfahrung. Bei all diesen und weiteren Möglichkeiten ist ein Risikomanagement zur Beurteilung der Chancen und Gefahren für das Unternehmen ein elementarer Bestandteil. Wie hoch sind die Investitionen? Was sind die Einsparungen? Wie hoch ist die Gewinnerwartung? Wann erfolgt der Return on Investment? Welche Anforderungen haben die Kunden oder Märkte und in welchem Zeitrahmen?
Man sollte sich aber nur auf den Weg zu Neuem machen, wenn die Risiken betrachtet wurden. Denn man kann nicht davon ausgehen, dass es keine Komplikationen im Cyberraum gibt. Wie so häufig in den letzten Jahrzehnten bildet der technologische Fortschritt auch Gefahren für die Unternehmen, die bewusst getragen werden müssen. Ohne Security wird das Geschäft sehr unsicher und gefährlich.
Für die Umsetzung müssten oft die bestehenden Anlagen „retrofittet“ werden, neue Funktionen hinzugefügt oder integriert werden. Neu ist, dass die Basis der elektrisch verkabelten Automatisierungen und Produktionsanlagen für die Ziele - entschuldigen Sie die Wortwahl - teilweise besinnungslos, vernetzt werden.
Ohne aktuelle Informationen zur Anlage geht das gar nicht:
Risikomanagement basiert auf allen verfügbaren Informationen: Erfasse alle IT-Assets und erkenne nicht dokumentierte Schnittstellen durch automatisierte Netzanalyse.
- Aktuelles Asset Register: Name Hersteller, Standort, Adresse, Technologie Kategorie, Besitzer, Kritikalität, u.w. (Vgl. auch IEC 62443 [6])
- Visualisierte Anschaulichkeit durch einen übersichtlichen aktuellen Netzplan / Netzstrukturpläne.
- Darstellung der Datenverbindungen / Kommunikationsverbindungen in Listen oder Netzplänen
- Liste der Dienstleister, Art und Weise der Erbringung (Remote, vor Ort, eigenes Equipment, ...)
- Liste von Maschinen / Anlagen die vom Hersteller gewartet werden. (Remote, vor Ort, eigenes Equipment, ...)
So starten Sie ohne die Risiken der Vernetzungen und Einsatz neuer Technologien, wenn alles gleichzeitig erfolgt ist es auch kein Dilemma.