Datensicherheit in technischen Unternehmen

Werkstoffe 05. 08. 2018
  • Autoren dieses Artikels
  • 1017x gelesen
Von Susanne Domke, Auditorin, Industry Expert, Dekra Certification GmbH, Stuttgart

1 Istzustand

Die Unterstützung der Fertigungsprozesse erfolgt immer häufiger auch mit IT-gestützten Verfahren, dabei werden sowohl personenbezogene als auch technische Daten wie beispielsweise Rohstoffarten oder Fertigungspläne verarbeitet. Ebenso erfolgt in allen Bereichen eine verstärkte Digitalisierung.

Das Wissen über die Produkte und deren Herstellung beziehungsweise Fertigung sind in der Regel Geschäftsgeheimnisse und es liegt im Interesse der Unternehmen, diese zu schützen. Digitalisierte Daten, die aus der Geschäftstätigkeit entstehen, wie zum Beispiel Aufträge, Rechnungen, Umsätze, Vertragsdaten oder Finanzdaten müssen gegen Manipulation, Verlust, Zerstörung, Einsicht Unbefugter oder unberechtigte Übermittlung geschützt und so gesichert werden, dass diese auch in einer festgelegten Zeit wieder hergestellt werden können.

Die Mitarbeiter werden meist auf die Einhaltung der Geschäftsgeheimnisse verpflichtet, Regelungen zur Entsorgung von vertraulichen Unterlagen sind getroffen. Oftmals weniger eindeutig festgelegt sind Umgang oder Nutzung möglicher IT-Lösungen. Hier müssen Vorkehrungen getroffen werden, um einen Datenabfluss zu vermeiden und die Informationssicherheit aufrecht zu erhalten.

Die Risiken bestehen darin, dass beispielsweise per Fernwartung auf die entsprechenden Informationen zugegriffen werden kann. Die Wartung von Programmen und Maschinen erfolgt in der Regel durch Dienstleister, so dass die verarbeiteten Informationen oder Pläne auch an diese offengelegt beziehungsweise übermittelt werden können.

2 Mögliche Maßnahmen

Zur Erhöhung der Sicherheit im Zusammenhang mit IT-basierten Daten bieten sich folgende Maßnahmen an:

  • Dienstleister müssen vertraglich auf Einhaltung der Verschwiegenheit über Informationen, die sie bei der vertraglichen Arbeit erhalten können, verpflichtet werden. Ebenso sind Regelungen für Zugriffe zu vereinbaren, Protokollpflicht, Festlegung von verantwortlichen und berechtigten Personen, Vertragsstrafen festzulegen.
  • Technische Vorkehrungen zur Überwachung der Fernwartung von Software, zum Beispiel eine explizite Freischaltung des Zugangs, der in der Produktion eingesetzt wird, müssen getroffen werden. Es dürfen keine Fernwartungszugänge geschaffen werden, die unkontrolliert genutzt werden dürfen. Zugriffe des Dienstleisters sollten protokolliert werden.
  • Eine Sensibilisierung der Mitarbeiter gegen Anrufe von außen, mit der Absicht, Zugang zu den Systemen zu erhalten, ist erforderlich. Eindeutige Regelungen und Zuständigkeiten sollten festgelegt werden, um das Erschleichen von Zugangsdaten und Informationen zu verhindern.
  • Ein Einsatz von IT-Systemen, die sich auf dem Stand der Technik befinden beziehungsweise regelmäßige Updates sind erforderlich. Des Weiteren empfiehlt sich die Prüfung der Firewallprotokolle, eine Regelung zur Installation von Software beziehungsweise Änderung oder Anpassung von Systemen. Der Einsatz von qualifiziertem Personal und die Schaffung von Vertretungsregelungen sind notwendig.

    3 Schutz der Sicherheit von Informationen

Durch Auswahl, von für ein Unternehmen geeigneten Maßnahmen, und Einrichtung beziehungsweise Umsetzung einiger der aufgeführten Punkte kann nach heutigem Stand der Technik der Schutz von Informationen stark verbessert werden.

  • Erstellung einer Informationssicherheitsrichtlinie, unter anderem für die Nutzung der Systeme, Passwortvorgaben oder technische Vorgaben zum Beispiel nach ISO/IEC 27001.
  • Verpflichtung der Mitarbeiter auf die Einhaltung des Datenschutzes, der Datensicherheit und Verschwiegenheitspflicht oder Meldung von Sicherheitsvorfällen.
  • Regelungen zu Verwendung von mobilen Geräten wie Mobiltelefone, Laptops oder USB-Sticks.
  • Abwägung zwischen der Erlaubnis private Geräte (nicht kontrollierbar durch den Arbeitgeber) zu nutzen und dem Verbot von privaten Geräten.
  • Einsatz von firmeneigenen Mobiltelefonen mit Vorgaben zum Schutz durch PIN, Regelung zur Installation von Apps, beispielsweise ein Verbot von WhatsApp, oder verschlüsselte Laptops.
  • Regelungen für Besucher, zum Beispiel ein Verbot der Nutzung von Mobiltelefonen oder Fotografierverbot. Des Weiteren sollte ausreichend Begleitpersonal für Besucher organisiert werden, wenn eine Gruppe von Besuchern in das Unternehmen kommt; eine Protokollierung der Besuche sollte erfolgen.
  • Regelmäßige Backups der Daten sind zu erzeugen sowie eine Kontrolle der Backups, so dass diese auch wieder hergestellt werden können. Überlegungen zur Lagerung der Datensicherungen sind anzustellen, auch im Hinblick auf Feuer oder Naturkatastrophen.

Hinweis: Die aufgeführten Risiken und Maßnahmen sind ein Auszug aus den möglichen Risiken und Anforderungen an Unternehmen und erheben keinen Anspruch auf Vollständigkeit.

Kontakt

Dekra Certification GmbH, Susanne Domke

  • susanne.domke@dekra.com

Relevante Unternehmen

Video(s) zum Thema

Werbepartner

Links zu diesem Artikel

Aus- und Weiterbildung

Top