IT-Security in der Produktion

Security-Awareness richtig planen und vermitteln

12.04.2019 von Harald Kesberg
Schlüssel für IT-Sicherheit in der Produktion sind geschulte und qualifizierte Mitarbeiter. Erfolgreiche Awareness-Projekte benötigen kompetente Kommunikatoren und müssen sorgfältig geplant werden.

Bei der Digitalisierung der Produktion tun sich viele Fertigungsunternehmen noch schwer. Häufig wird übersehen, dass bei aller technischer Vernetzung der Mensch die entscheidende Größe ist.

Bei IT-Sicherheit in der Produktion steht der Mensch im Mittelpunkt.
Foto: nd3000 - shutterstock.com

Es gilt, neue Herangehensweisen der Arbeitsorganisation und der Qualifizierung zu erproben und einzuführen. Mitarbeiter benötigen insbesondere zusätzliches Digital-Know-how, da Produktions- und IT-Welten miteinander verschmelzen. Darüber hinaus ist es wichtig, selbstverantwortliche Zusammenarbeit zu fördern und sicherzustellen, dass Mitarbeiter auch in Situationen von Unsicherheit Entscheidungen treffen können und dürfen.

Die Unternehmensführung ist gefordert, die "Marschrichtung" für die Digitalisierung vorzugeben und durch eine klare Kommunikation die Mitarbeiter miteinzubeziehen. Es liegt an ihr, die organisatorischen Rahmenbedingungen für vernetztes, kooperatives und lernendes Arbeiten über Abteilungsgrenzen hinweg zu schaffen.

Insbesondere die IT-Security steht und fällt mit diesen Maßnahmen. Die Verzahnung von IT und OT (Operational Technology) macht die Produktion anfällig für Cyberrisiken mit allen Konsequenzen: von Produktionsausfällen über Liefer- oder Qualitätsprobleme bis hin zum Totalausfall. Viele Risiken lassen sich zurückführen auf fehlendes Wissen und Nachlässigkeit. Weitere Ursachen sind nicht eindeutig definierte Prozesse, die Verwendung ungeprüfter USB-Sticks zur Datenweitergabe oder den fahrlässigen Umgang mit Fremdfirmen, die Zugang zum Produktionsnetzwerk erhalten. Qualifizierte und geschulte Mitarbeiter sind also ein entscheidender Aktivposten, um IT-Sicherheit in der Produktion in den Griff zu bekommen.

Produktion ist nicht gleich Office-IT

Awareness und Mitarbeiterqualifikation zum Thema IT-Sicherheit sind in vielen Produktionsbetrieben noch Neuland. Fachabteilungen sowie Werks- und auch Geschäftsleitungen ist ihr hoher Stellenwert oft nicht bewusst. Darüber hinaus ist es in diesem Sektor nicht trivial, Kommunikations- und Qualifikationsmaßnahmen zu konzipieren und umzusetzen.

Die klassischen Awareness- und Schulungsmaßnahmen aus dem Office-Umfeld lassen sich nicht einfach auf den Produktionsbereich übertragen. Zu unterschiedlich sind die technischen Ausgangssituationen (Patchen in der Produktion unterscheidet sich beispielsweise vollkommen vom Patchen im Office-Bereich) und die jeweils dominierenden Unternehmenskulturen. In produzierenden Betrieben ist letztere in der Regel stärker an Command and Control orientiert.

IT-Sicherheit am Arbeitsplatz in der Fertigung wird von Mitarbeitern der unterschiedlichen Hierarchieebenen häufig als Arbeitshemmnis wahrgenommen. Sie sehen die Security-Verantwortung nicht bei sich, empfinden es als unnötigen Mehraufwand oder argumentieren, dass die Produktivität darunter leidet. Es ist nicht unbedingt zu erwarten, dass Qualifikations- und Trainingsmaßnahmen bei Mitarbeitern, die unter einen hohen Zeitdruck stehen, auf große Freude stoßen werden.

Es bedarf also Fingerspitzengefühls und kommunikativer Kompetenzen, insbesondere im Bereich der Change-Kommunikation.

Kommunikation als Erfolgsfaktor

Ohne klares Commitment und Unterstützung seitens der Geschäftsleitung geht nichts. Daher gilt es, die Geschäftsleitung für das Thema zu gewinnen und dabei kommunikative Brücken zu schlagen.

IT-Security in der Produktion ist kein Selbstzweck, sondern Notwendigkeit. Die Zusammenhänge und die strategische Bedeutung sollten als "Big Picture" in die "Sprache" des Managements übersetzt werden.

Die Führungsebene als "Sinnstifter" im Unternehmen sollten ein sichtbares, positives und klares Engagement zur Bedeutung von IT-Sicherheit in der Produktion und den geplanten Trainingsmaßnahmen abgeben. Awareness- und Maßnahmen zur Kompetenzerweiterung gilt es als unternehmensstrategisch relevant zu positionieren. Dabei lässt sich das Thema durchaus mit positiv aufgeladenen Begriffen wie Zukunftsorientierung oder Qualitätsversprechen (Unternehmenswerte) verbinden und in die Unternehmensstory integrieren.

Die Akzeptanz für Awareness- und Qualifikationsmaßnahmen wird steigen, wenn sie in einen übergeordneten Sinnzusammenhang gestellt werden und nachvollziehbar sind. Wichtig ist auch ein sichtbarer persönlicher Bezug zur eigenen Arbeit. IT-Security in der Produktion darf nicht als abstrakte Größe oder Black Box betrachtet, sondern muss am Arbeitsplatz erlebbar werden. Konkrete Fragestellungen können helfen, das zu erreichen: Welchen praktischen Nutzen hat IT-Sicherheit am Arbeitsplatz in der Produktion? Wieso ist IT-Sicherheit in der Produktion existentiell für das Unternehmen? Was hat das mit Zukunftsfähigkeit und sicheren Arbeitsplätzen zu tun? Inwieweit kann IT-Sicherheit einen Beitrag leisten, die Unternehmenswerte zu unterstützen?

Die einzelnen Maßnahmen sollten unter einem sichtbaren "Dach" gebündelt werden, beispielsweise einem eingängigen Titel oder Logo. Dadurch werden größtmögliche Sichtbarkeit und hoher Wiedererkennungswert erzielt. Eine konzertierte und abgestimmte interne Kommunikation, mittels Blogs, Intranet, Plattformen oder Mitarbeiterzeitschriften bereitet den Boden für die erfolgreiche Durchführung der Qualifizierungsmaßnahmen.

Rechtzeitig relevante Stakeholder einbinden

Awareness- und Qualifizierungsmaßnahmen im Produktionsbereich sind ein komplexes Multi-Stakeholder-Projekt. Um erfolgreich zu sein, gilt es, zahlreiche Interessensgruppen im Unternehmen einzubinden und deren Zusammenarbeit zu koordinieren. Auf der "gestaltenden" Seite sind unterschiedliche Fachbereiche und Hierarchiestufen beteiligt, darunter unter anderem IT, HR, Kommunikation, Training und Arbeitnehmervertretung. Hinzu kommen noch die unterschiedlichsten Anwender-Zielgruppen und Domänen wie etwa Office, Fertigung, Einkauf, Controlling, Logistik und Revision.

Hilfreich ist es, die Stakeholder frühzeitig einzubeziehen und gegebenenfalls ein Steering Committee aufzusetzen, in dem die wesentlichen Stakeholder einschließlich des Betriebsrats vertreten sind. Insbesondere im Verhältnis zwischen der Zentrale und Werken oder anderen Produktionsstätten kann es aufgrund unterschiedlicher Unternehmenskulturen und Interessenlagen zu Widerständen kommen. Die Bedürfnisse und individuellen Charakteristika der Produktion müssen berücksichtigt und gewürdigt werden. Vertreter der Zielgruppen aus der Fertigung gilt es daher, rechtzeitig aktiv in das Projekt einzubinden.

Eine differenzierte Lernzielmatrix erstellen

Eine entscheidende Frage bei der Planung lautet: Wer muss was in welcher Tiefe wie vermittelt bekommen? Nicht jeder Mitarbeiter braucht dasselbe Wissen an seinem Arbeitsplatz.

Eine differenzierte Zielgruppenmatrix hilft dabei, die Antwort zu finden. In ihr können die verschiedenen zu vermittelnden Sicherheitsthemen und vielfältigen Zielgruppen klar aufgeschlüsselt und einander zugeordnet werden. Um die Awareness- und Qualifizierungsmaßnahmen maßgeschneidert für derart heterogene Zielgruppen zu konzipieren, ist erneut Kommunikationsstärke gefragt. In Interviews mit Experten lassen sich die einzelnen Zielgruppen definieren und abgrenzen. Anschließend gilt es, mit diesen Zielgruppen selbst Gespräche zu führen um die Inhalte, die jeweils nötige Vermittlungstiefe und passende Ansprache festzustellen.

Unternehmenskultur berücksichtigen und aktiv gestalten

Ähnlich wie im Safety-Umfeld hängen die Unternehmenskultur und das Niveau an IT-Security eng miteinander zusammen. Eine fortgeschrittene, kooperativ orientierte Unternehmenskultur wirkt sich positiv auf das IT-Sicherheitsniveau aus.

Im besten Fall werden Security-Schulungen mit Maßnahmen verbunden um eine kooperative Unternehmenskultur aufzubauen. Dazu zählen beispielsweise Fehlerkultur und Eigenverantwortlichkeit der Mitarbeiter. Motiviertes Personal in Verbindung mit entsprechenden Qualifizierungsmaßnahmen sind der beste Garant für ein adäquates Sicherheitsbewusstsein.

Praxisbezug und Umsetzbarkeit

Nachdem die Inhalte der Schulungen definiert sind, gilt es, die praktische Umsetzung zu planen. Hier sollte beachtet werden, dass Ausfallszeiten in der Produktion eine große Rolle spielen. Daher müssen die einzelnen Maßnahmen möglichst so anberaumt und durchgeführt werden, dass der reguläre Betrieb so wenig wie möglich eingeschränkt wird.

Bevor IT-Sicherheitsrelevante Handlungsvorschriften und Anweisungen vermittelt werden, sollte geprüft werden, ob die technischen Rahmenbedingungen für die Umsetzung überhaupt gegeben sind. So ist es beispielsweise denkbar, dass Mitarbeiter zur Arbeitsplanung WhatsApp auf privaten Smartphones verwenden, obwohl dies offiziell untersagt ist. Grund dafür kann sein, dass keine alternativen Tools verfügbar sind. Derartige Inkonsistenzen gilt es zu prüfen und zu vermeiden, da dadurch die Glaubwürdigkeit von Awareness- und Qualifizierungsmaßnahmen grundsätzlich konterkariert wird.

In den Schulungen selbst sollte der direkte Zusammenhang und die Bedeutung von IT-Sicherheit und Produktion deutlich zu erkennen sein. Hier ist es hilfreich, die Informationen über praktische Schadenszenarien oder Schadensfälle, die bereits eingetreten sind, zu vermitteln.