Komplexe Systeme kontrollieren

Risikomanagement in der Produktion

Trotz allem technologischen Fortschritt lassen sich Risikismen wie Maschinenstillstände und Produktionsausfälle nicht vollständig vermeiden. Bedingt durch unter Kosten- und Effizienzdruck optimierte Produktionsabläufe, bei denen ‚Just-in-time‘ oder ‚Just-in-sequence‘ geliefert wird, fallen die Folgen von Fehlfunktionen, Unfällen oder anderen Unwägbarkeiten für produzierende Unternehmen sogar zunehmend gravierender aus. Grund genug für Betriebe, potenzielle Risikofelder unter die Lupe zu nehmen, um im Notfall besser gerüstet zu sein. Denn mangelnde Sicherheitsvorkehrungen können die Existenz eines Betriebs gefährden.

Bild: Fotolia – th-photo

Die Zeiten haben sich geändert. Geschäftsführer und Vorstände müssen sich aufgrund komplexer Liefernetzwerke und damit zunehmender Abhängigkeit von äußeren Einflüssen nicht mehr ’nur‘ um den Schutz der eigenen Mitarbeiter und unternehmensinternen Anlagen kümmern. Auch die vertraglichen Verpflichtungen gegenüber Kunden und Lieferanten haben in den letzten Jahren stark zugenommen. Und nicht zu vergessen gilt es die zahlreichen gesetzlichen Verpflichtungen im Bereich IT-Sicherheit entlang der gesamten Wertschöpfungskette – angefangen bei Forschung und Entwicklung (F&E) bis hin zur Auslieferung der fertigen Produkte – die Betriebe ebenfalls erfüllen müssen.

Insgesamt kein leichtes Unterfangen für die Verantwortlichen. Denn das Risiko von negativen Auswirkungen auf den Geschäftserfolg hat sich potenziert: Neben unwägbaren wirtschaftlichen Schwankungen erwächst auch aus dem Bereich der Informationstechnologie zunehmend ein hohes Risikopotenzial. Gleichwohl ist die Bedeutung der IT für die Weiterführung der Geschäftstätigkeit nicht der einzige Grund dafür, ein gehöriges Maß an Aufmerksamkeit auf die Absicherung der eigenen IT-Systeme zu richten. Auch der Gesetzgeber fordert dies mit Nachdruck ein: Zum Beispiel im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (Kontrag), im Bundesdatenschutzgesetz (BDSG) oder auch im Aktiengesetz (AktG) sind Normen aufgeführt, die unter anderem den ordnungsgemäßen Umgang mit Unternehmensdaten festlegen. Besonders bei Branchen, in denen Hersteller unternehmensübergreifend mit vielen Zulieferern und Kunden zusammenarbeiten und ein ständiger Austausch sensibler Daten stattfindet, wird von Unternehmen gefordert, dass sie sich mit Themen rund um IT-Sicherheit und Verfügbarkeit genauestens auseinandersetzen. Bei Nichtbeachtung drohen im schlimmsten Fall zivilrechtliche Haftung gegenüber dem eigenen Unternehmen und Dritten genauso wie strafrechtliche Verantwortlichkeit.

Abhängigkeit von der Infrastruktur birgt Risiken

Auch die Anforderungen in der Produktion sind zunehmend gestiegen: Bedingt durch Fertigung basierend auf Just-in-time- (JIT) und Just-in-sequence-Szenarien (JIS) stehen Betriebe vor drastisch verkürzten Produktentwicklungsprozessen oder dem Anspruch, Änderungen bis zum letzten Moment in die laufende Produktion überführen zu müssen. Dies alles wäre ohne IT-Unterstützung nicht realisierbar, folglich sind IT-Systeme als integraler Bestandteil der Wertschöpfungskette nicht mehr wegzudenken. Darüber hinaus ist die Infrastruktur im Unternehmen auch Träger sämtlicher Prozesse, Anwendungen und Daten. Genau hier liegt der Knackpunkt: Eine unvorhersehbare Krise kann die Existenz des Unternehmens gefährden. Denn aufgrund der hohen Abhängigkeit von der Infrastruktur bedeuten IT-Störungen oftmals eine umgehende Unterbrechung von Geschäfts- und Fertigungsprozessen.

Vom Druckerstillstand zum Lieferengpass

Die Ursachen für eine Krise sind mitunter recht trivial. Wenn etwa aufgrund einer defekten Druckerstation keine Fracht- und Lieferpapiere ausgefüllt werden können, behindert dies eventuell eine rechtzeitige Auslieferung von dringend angeforderten Ersatzteilen. Aber die Sachlage kann auch sichtbar gravierend sein, insbesondere in der Fertigung, weil die industriellen Produktionsanlagen immer anfälliger für Angriffe von außen werden. Denn hier sind heute vermehrt statt herstellerspezifischer Kommunikationsprotokolle zusammenhängende Ethernet-Lösungen oder Betriebssysteme wie Windows oder Linux im Einsatz. Die Nutzung von Informationstechnologien ermöglichen dabei eine so genannte vertikale Integration, also die Zusammenführung von technischen Prozessen und Geschäftsprozessen. Eine Kehrseite der Medaille: Durch das Zusammenwachsen der bis dato isolierten Produktions- und Bürobereiche entstehen neue Schwachstellen im System. Denn über diese Vernetzung können auch in Produktionsanlagen schwerwiegende Konsequenzen, etwa Maschinenschäden oder Produktionsausfälle, durch Schadsoftware wie Viren oder Würmer hervorgerufen werden. Das zeigte im letzten Jahr das Schadprogramm Stuxnet.

Einführung und Umsetzung von Risikomanagement

Empfohlene Vorgehensweisen und zentrale Werkzeuge

Business Impact Analyse (BIA): Hierdurch wird unter anderem ermittelt, welche konkreten finanziellen Auswirkungen der Ausfall bestimmter Geschäfts- und Fertigungsprozesse bedeutet.
Information Security Management System (ISMS): Ein Managementsystem für Informationssicherheit klassifizert Daten, etwa nach Relevanz für den Unternehmenserfolg oder gesetzlichen Auflagen – beispielsweise für den Datenschutz.
Bestandsaufnahme der IT: Aufnahme zentraler IT-Komponenten und Prozesse sowie deren verständliche Darstellung in einem geschäftsbezogenen logischen Modell.
Bestandsaufnahme von Risiken (Risk-Assessment): Als Grundlage dient der Abgleich der Prozesse mit zugehörigen IT-Anwendungen, sowie die entsprechende Bewertung der Risiken (Scoring und Priorisierung).
Bestandsaufnahme des Sicherheits-Status (Security-Assessment): Im Rahmen dieser Überprüfung wird zum Beispiel durch Penetrationstests und andere Angriffsverfahren ermittelt, wie schnell sich ein Unbefugter Zugriff zum Unternehmensnetzwerk verschaffen kann.

Gezieltes Risikomanagment als Gegenmittel

Für den richtigen Umgang mit solchen Vorfällen und ihren potenziellen Auswirkungen muss ein Prozess im Unternehmen etabliert werden, um alle internen und externen Risiken systematisch zu identifizieren und erfassen sowie im Weiteren einzeln zu definieren und zu beschreiben. Der nächste Schritt auf dem Weg zur optimalen Einführung von IT-Risikomanagements besteht aus der Bewertung aller Risiken um die kritischen Punkte herauszukristallisieren, die etwa die Existenz des Unternehmens bedrohen könnten. Hierzu muss unter anderem untersucht werden, welche Abläufe essenziell für die Gewinnerzielung des Unternehmens sind, welche Services diese Prozesse unterstützen und welche Verfügbarkeitsanforderungen an die IT bestehen. Dabei gilt es auch Ausfallfolgen wie Konventionalstrafen oder schlechte Reputation zu bedenken. Für die wirtschaftliche Betrachtung von Risiken müssen wiederum Eintrittswahrscheinlichkeit und die zu erwartende Schadenshöhe in Relation gesetzt werden. Eine sorgfältige Abschätzung der Risiken ist auch wichtig, da bei einer vernünftigen Kosten-/Nutzenbetrachtung nicht die gesamte IT gleichmäßig abgesichert werden kann. Daher muss die Geschäftsführung entscheiden, welche Risiken sie noch zu tragen bereit ist.

Insgesamt unterstützt ein so aufgebauter Risikomanagement-Prozess neben dem bewussten Umgang mit organisatorischen Risiken durch den Einsatz von IT letztlich auch eine optimale Absicherung der Infrastruktur, orientiert an Unternehmenszielen und Geschäftsfunktionen. Dazu ist es unumgänglich, alle zur Absicherung nötigen technischen, organisatorischen und rechtlichen Schritte zusammenzufassen. Daraufhin können konkrete Maßnahmen für Business Continuity und Business Secirity angeleitet werden. Darunter fällt das Einrichten eines Backup-Servers, der im Bedarfsfall sofort in Betrieb genommen werden kann, genauso wie Verschlüsselungsmaßnahmen, um das Unternehmen gegen Spionage abzusichern. Der hohe Schutzbedarf produzierender Unternehmen fordert eine intelligente und umfassende Strategie – überhastete, punktuelle Aktionen sind nur selten zielführend.

Durchgehende Sicherheit benötigt einen Regelkreis

Risikomanagement ist Chefsache – für Einführung und Kontrolle bedarf es der Festlegung klarer Zuständigkeiten. Des Weiteren muss ein systematischer Regelkreislauf etabliert werden. Denn für eine effiziente Sicherheitsstrategie gilt es, unternehmensspezifische Gegebenheiten regelmäßig zu überprüfen – und damit unter anderem auch, ob Schutzziele und Bedrohungsszenarien noch bestehen oder ob sich neue Sachverhalte ergeben haben. Insgesamt entsteht durch diesen Prozess eine Transparenz, die nicht nur zur Reduzierung von Kosten führt, sondern auch das zeitnahe Schließen von Sicherheitslücken ermöglicht. So trägt Risikomanagement dazu bei, betriebliche und IT-bedingte Ausfälle möglichst im Vorfeld zu verhindern und notfalls auf mögliche Folgen eines Ausfalls angemessen reagieren zu können.

Datum:17. August 2011

Autoren:

Themen: Industrielle IT

Schlagwörter: Information Security Management System (ISMS), IT-Sicherheit

Webseite: www.add-yet.de

Das könnte Sie auch interessieren:

Produktionsmanagement

Robotic Sales Solutions
Vertriebsprozesse tanzen lassen

Mit sogenannten Robotic Sales Solutions sollen Vertriebler nicht mehr vor einer Liste mit eintausend Kontakten sitzen müssen und sich das Hirn zermartern, wen sie denn als nächstes ansprechen. Die Programme helfen, den Blick der Verkäufer stets auf die vielversprechensten Kontakte zu richten und sorgen so für effiziente Arbeit und mehr Umsatz. Mitarbeiter braucht es jedoch weiterhin, denn zum Kundenbesuch rücken die Programme nicht aus.‣ weiterlesen

Hardware und Infrastruktur

Device Management
Maschinen verwalten in der M2M-Cloud

Mit dem VPN-Serviceportal Digicluster von Lucom können komplette Anlagen, Maschinen und Netzwerke miteinander verbunden werden. Eine Festlegung der Zugriffsrechte und die Verschlüsselung der VPN-Verbindungen dienen als Schutz. Das Berechtigungsmanagement kann zudem schnell und für jedes Device einzeln eingerichtet werden.‣ weiterlesen

Märkte und Trends

Internet of Things
T-Systems ernennt neuen IoT-Chef

Rami Avidan soll zum 1. April die Leitung des Geschäftsbereichs Internet der Dinge (IoT) bei T-Systems übernehmen. ‣ weiterlesen

News

Microsoft-Studie
Künstliche Intelligenz verändert die Unternehmensführung

Der Einsatz von künstlicher Intelligenz ist in Unternehmen mit zweistelliger Wachstumsrate mit 37,8 Prozent mehr als doppelt so hoch wie in langsam wachsenden (17,1 Prozent) – das ist das Ergebnis einer Studie von Microsoft, für die weltweit 1.150 Entscheider befragt wurden. ‣ weiterlesen

Produktionsmanagement

Komplettsysteme für ERP und CRM
Alle Funktionen aus einer Hand

Im verarbeitenden Gewerbe dürften rund 95 Prozent der Firmen eine mehr oder weniger ausgefeilte ERP-Anwendung betreiben. Bei CRM-Systemen geht dieser Prozentsatz bereits rapide zurück, obwohl diese Werkzeuge rund um die Kundenbeziehungspflege kritisch für das Geschäft sein können. Der Grund für die Zurückhaltung ist oft der Aufwand, der mit der Pflege mehrerer mächtiger Systeme einhergeht. Mit einer Komplettlösung für ERP und CRM samt einheitlichem Datenmodell lässt sich dieses Problem auf ein überschaubares Maß einhegen.‣ weiterlesen

Märkte und Trends

Umsatz mit Maschinen und Anlagen legt weltweit um 4% zu

Der Umsatz mit Maschinen und Anlagen hat weltweit um 4 Prozent zugelegt. China bleibt mit Abstand größter Produzent, Deutschland hält Platz 3. Für 2019 erwartet der Branchenverband VDMA allerdings erste Bremseffekte.

‣ weiterlesen

Reihe Wissen Kompakt

MES Manufacturing Execution Systems

Um alle Potenziale eines MES umfassend ausnutzen zu können, beleuchten unsere Autoren in der Serie von MES Wissen Kompakt die erfolgskritischen Faktoren, um Fertigungsunternehmen präventiv zu steuern. Darüber hinaus präsentiert MES Wissen Kompakt ein breites Spektrum an Firmenportraits, Produkt- neuheiten und Dienst- leistungen im MES-Umfeld.
ERP und CRM

Ein Unternehmen, das sich mit der Auswahl eines ERP- Systems befasst, muss sich gleichsam mit einem viel- schichtigen Software-Markt und unklaren Interessen- lagen an interne Abwick- lungsprozesse auseinander- setzen. Guter Rat bei der Investitionsentscheidung ist teuer. ERP/CRM Wissen Kompakt unterstützt Sie bei der gezielten Investition in die IT-Infrastruktur.
PRODUKTENTWICKLUNG

Ingenieure stehen im Epizentrum der betrieblichen Wertschöpfung und Digitalisierung gleichermaßen. Die Sonderausgabe "Produktentwicklung Wissen Kompakt" berichtet auf mehr als 70 Seiten, wie Entwicklungsabteilungen agil werden, wie Fertigungssdaten Produkte verbessern und Computer Routineaufgaben erledigen helfen.

Partner-Netzwerke

Microsoft Partner

Mittelständische Unternehmen investieren selbst in schwierigen Zeiten in Microsoft-Technologien, weil sie überzeugt sind, dass ihre Produktivität steigt und sich ihre Kostenstruktur bessert. Microsoft hat mit dem Microsoft-Partner-Network ein Netz werk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet.
SAP-Partner

Auf der Suche nach Innovation, nach neuen Lösungen und der Abgrenzung zum Mitbewerb vernetzen sich zunehmend mehr Unternehmen mit externen Experten und Partnern. SAP hat mit dem SAP Ecosystem ein Netzwerk aufgebaut, das ein Forum für den Aufbau von Partnerschaften, Zugang zu Ressourcen und einen Rahmen für Dialoge und Kooperationen bietet.
PTC Partner

Mit der Ausweitung des Geschäftsmodells von PTC und durch Akquisitionen wie Thingworx, Kepware oder Vuforia entstanden zuletzt vollkommen neue sowie komplementäre Partnernetzwerke. Auch verändern sich durch die Digitalisierung Rollen und Ziele in den Partnernetzwerken spürbar. Der amerikanische Softwarehersteller hat deshalb sein Partner Netzwerk neu ausgerichtet, um für produzierende Unternehmen von Creo bis ThingWorx das Beste aus dem PTC-Portfolio herauszuholen.