Anzeige
Anzeige
Anzeige
Beitrag drucken

'Bring your own device' im Firmennetz

Richtlinien für den Einsatz von Fremd-IT

Mittelständische Unternehmen sind verpflichtet, für angemessene Informationssicherheit zu sorgen. Doch vielerorts fehlen Personal oder Know-how zur Umsetzung passender Maßnahmen. Zudem wird Informationssicherheit meist noch als reiner Kostenfaktor gesehen, da sich etwa Wettbewerbsvorteile durch Informationssicherheit schlecht betriebswirtschaftlich darstellen lassen. Aber nicht jede Maßnahme muss hohe Kosten verursachen.

Bild: Fotolia / srphotos

Als erste Maßnahme zur Verbesserung der betrieblichen Informationssicherheit empfiehlt sich das Durchführen einer Risiko-Analyse. Damit erlangt das Unternehmen zumindest erste Klarheit darüber, welchem Risiko die eingesetzten Systeme ausgesetzt sind. Hinweise dazu bieten etwa die Webseiten der Nationale Initiative für Informations- und Internet-Sicherheit (Nifis) und das Bundesamt für Informationssicherheit (BSI).

Die IT-Taskforce des Bundeswirtschaftsministers bietet außerdem unter der Webadresse www.it-sicherheit-in-der-wirtschaft.de eine zentrale Anlaufstelle für Informationen rund um die Informationssicherheit. Auch ein Blick in Paragraph 9 des Bundesdatenschutzgesetzes (BDSG) liefert Anhaltspunkte.

Informationssicherheit beginnt von oben

Wenn aus dieser Analyse erste Maßnahmen abgeleitet werden, müssen Vorgesetzte voranschreiten: Mitarbeiter müssen Probleme und Gefahren regelmäßig in Form von Schulungen angemessen bewusst gemacht werden, da ihre Unerfahrenheit einen wesentlicher Problembereich darstellt. Allerdings dürfen die Mitarbeiter nicht überrannt und mit zu vielen Vorschriften ‚drangsaliert‘ werden.

Den Risikofaktor mobile Geräte absichern

In der Produktion werden inzwischen eine Vielzahl von Computern eingesetzt, die durch den Betrieb nicht oder nur rudimentär gewartet werden können. Insbesondere Steuersysteme für Maschinen sind nicht durch den Benutzer auf den neuesten Stand zu bringen. Auch werden die Softwareelemente dieser Geräte meist wenig auf Sicherheit geprüft. Hier ist es sinnvoll, diese Geräte in ein eigenes, weitgehend abgeschottetes Netzwerk zu stellen und Zugang nur ganz gezielt zu gewähren. Der Laptop eines Wartungstechnikers sollte im nur den Zugang zu der Maschine erhalten, die er warten muss.

Das gilt auch für die eigenen Mitarbeiter: Das BDSG fordert ohnehin das Erstellen von Zugriffsregeln auf die Betriebsdaten, und in der Regel benötigt bei weitem nicht jeder Mitarbeiter Zugriff auf alle Daten. Entsprechende Gruppenregeln können dabei die Administration vereinfachen. Generell sind mobile Systeme sowie die mit dem Schlagwort ‚Bring your own device‘ (BYOD) bezeichnete Geräte, die dem Mitarbeiter gehören – Laptops, USB-Sticks, oder Smartphones – inzwischen notwendige Arbeitswerkzeuge. Ein Verbot wäre wenig sinnvoll und würde in den meisten Fällen ohnehin umgangen werden. Hier ist ein effizientes System des Managements notwendig.

Als Mindestvoraussetzung muss sichergestellt werden, dass alle Geräte auf dem jeweils neuesten Softwarestand sind. Die Datenträger sollten soweit möglich verschlüsselt sein, so dass ein Verlust des Geräts nicht den Verlust von Daten nach sich zieht. Anhand einer Positivliste der verwendbaren Apps sollten Mitarbeiter verpflichtet werden, nur diese Apps zu verwenden. Allerdings sollten die Restriktionen die tägliche Arbeit nicht behindern. Zugänge zum internen Netzwerk – etwa VPN-Tunnel – sollten so gestaltet sein, dass darüber kein direkter Kontakt zum internen Netzwerk möglich ist. Die Einrichtung von Terminalservern als Zugangspunkt ist dabei hilfreich. Diese Anregungen stellen eine gute Basis für den Weg hin zu höherer Informationssicherheit dar. Doch eine einmal erstellte Risikostrategie ist auf keinen Fall der Weisheit letzter Schluss: Unternehmen sollten in puncto IT-Sicherheit niemals an einem Punkt stehen bleiben – potenzielle Angreifer machen dies auch nicht.


Das könnte Sie auch interessieren:

Der Mittelstand öffnet sich immer mehr den Themen Industrie 4.0 und Digitalisierung: Das geht aus einer Umfrage des Finanzdienstleisters Creditshelf unter rund 250 Finanzentscheidern aus mittelständischen Industrieunternehmen hervor. So haben in 2019 bereits 86 Prozent der befragten Unternehmen Echtzeit-Daten erfasst, um diese im Sinne einer Industrie 4.0 zu nutzen. Gegenüber 2017 ist das ein Anstieg um 9 Prozent.‣ weiterlesen

Im zweiten Teil unserer VDI-Serie zu autonomen Systemen und künstlicher Intelligenz geht es um die Frage, wie autonom unsere Systeme überhaupt sein sollen. Im Interview der Reihe spricht Dr. Eckhard Roos, Leiter Industry Segment Management Process Automation bei Festo, Mitglied des Vorstands der VDI/VDE-GMA, außerdem über den feinen Unterschied zwischen Autonomie und Automatisierung.‣ weiterlesen

Dr. Wolfgang Weber (Bild), Vice President Unternehmenskommunikation und Regierungsbeziehungen für die Region Europa, Naher Osten und Afrika bei BASF, wechselt als Vorsitzender der Geschäftsführung zum ZVEI.‣ weiterlesen

Transparente Entwicklungsprozesse, ein gemeinsames Systemverständnis und eine gute, vernetzte Zusammenarbeit intern und mit Marktteilnehmern liefern die Basis für eine erfolgreiche Produktentwicklung. Um den immer komplexeren Produkten Rechnung zu tragen, lassen sich dabei die Qualitätsmanagementprozesse direkt im PLM-System verankern.‣ weiterlesen

Gerade die Hersteller von Beförderungsanlagen wie Aufzügen und Rolltreppen nutzen das Internet der Dinge schon vergleichsweise lange. Bei der Wartung der Anlagen werden nun neben Sensoren auch Smartphones zu zentralen Werkzeugen für Servicetechniker.‣ weiterlesen

Der Verband AIM-D hat mit der OPC Foundation in 2016 einen Kommunikationsstandard für AutoID-Geräte herausgebracht. Daraufhin implementierten viele Hersteller diesen in ihre Hardware. Seither ist die Integration von AutoID-Applikation einfacher als je zuvor - und auch der Autobauer Volkswagen engagiert sich rund um den aktuell wohl spannendsten Kommunikationsstandard für die Industrie.‣ weiterlesen

Die Inbetriebnahme ist beim Anlagenbau für die Intralogistik der zentrale Punkt, gleich ob Neuplanung oder Retrofit. Sie soll schnell gehen und die Anlage sofort perfekt 'durchlaufen'. Die virtuelle Inbetriebnahme mit einem digitalen Anlagenzwilling ermöglicht es, das Automatisierungssystem vorab zu testen und Probleme zu lösen, bevor es richtig Geld kostet.‣ weiterlesen

Der Anstieg an vernetzten Geräten und Services könnte zukünftig dazu führen, dass IT-Umgebungen nicht mehr allein von Menschenhand gesteuert werden. Dies ist das Ergebnis des ‘2020 Global Networking Technology Report‘ von Cisco.‣ weiterlesen

Bei Predictive Maintenance werden mit datenbasierten Prognosemethoden Servicearbeiten an einer Maschine relativ präzise geplant, um ungeplanten Anlagenstillstand vorzubeugen. Diese Lösungen arbeiten meist cloudbasiert, werden aber immer häufiger von Edge-Computern im Werk vor Ort unterstützt.‣ weiterlesen

Anzeige
Anzeige
Anzeige