Wenn Unternehmen vernetzte Dinge (Produkte, Dienste, Geräte, ...) für das Internet der Dinge oder Internet of Things (IoT) produzieren, vertreiben oder nutzen, ist die Sicherheit dieser Dinge und der hiermit verbundenen Daten von hoher Priorität. Wenn Unternehmen sich für Industrie 4.0 entscheiden und damit auch für eine enge Verzahnung von Produktionsprozessen und Geschäftsprozessen einschließlich einer flexiblen Steuerbarkeit der Produktion, ist ein hohes Maß an Sicherheit ebenfalls essentiell.
Haftungsrisiken, Reputationsrisiken und mögliche Schäden an den produzierten Gütern ebenso wie an Produktionsanlagen, aber auch das Risiko von Industriespionage und des Verlustes von geistigem Eigentum erfordern, dass Sicherheit von Beginn an bei allen IoT- und Industrie 4.0-Initiativen berücksichtigt und integriert wird.
Das bedeutet aber auch, dass sich Organisationsstrukturen verändern müssen. Dabei ist zwischen der technischen Umsetzung der Sicherheitsmaßnahmen und der Governance-Funktion zu unterscheiden, die getrennt sein müssen.
Die Governance-Funktion, also die Aufgabe des Chief Information Security Officer (CISO) im klassischen Sinn - auch wenn dieser heute oft auch operative Aufgaben hat - muss sich dabei auf alle Aspekte der Sicherheit erstrecken. Es geht nicht mehr nur um Informationssicherheit und deren Umsetzung über die IT-Sicherheit auf technologischer Ebene aus Business-Sicht, sondern auch um die Sicherheit von Dingen und der Produktionsinfrastruktur, also der Operational Technology.
Mit der immer stärkeren Vernetzung von Dingen, Produktionssystemen und Geschäftsanwendungen auf der einen Seite und einer weiter wachsenden Mobilität und Öffnung von Systemen für immer mehr Nutzergruppen, kann man Sicherheit für einzelne Bereiche nicht mehr isoliert betrachten.
Von Beginn an mit im Boot
Gleichzeitig muss Sicherheit aber sowohl beim Weg zu Industrie 4.0 und damit der Weiterentwicklung und zunehmenden Vernetzung von Produktionsumgebungen als auch beim IoT von Anfang an ein zentrales Thema sein. Man kann sich weder bei Industrie 4.0 noch bei IoT leisten, erst am Ende noch ein bisschen Sicherheit dazu zu stecken - die Risiken und Kosten einer solchen Vorgehensweise sind zu hoch. "Security as an afterthought", wie es heute noch viel zu oft geschieht, funktioniert nicht mehr.
Das bedeutet aber, dass IT-Sicherheitsexperten Teil der Unternehmensorganisation werden müssen, die sich mit Industrie 4.0 respektive IoT beschäftigt. Also beispielsweise der Produktion, der Produktentwicklung oder auch anderen Kerngeschäftsbereichen, wenn Dinge beispielsweise nur zugekauft und genutzt werden, um Daten von Kunden zu sammeln.
Während die Governance-Funktion, wie oben ausgeführt, zentral bleiben muss, verändert sich damit die Struktur der IT, die dezentraler wird, insbesondere was die technische Umsetzung von IT-Sicherheit bei Dingen und OT betrifft. Damit stellt sich in der Konsequenz auch die Frage nach der zukünftigen Rolle des CIO. Wird der CIO nur noch der CIO für die Business-Organisation? Hat er in einer Querschnittsfunktion auch die Aufgabe, sich um die IT-Aspekte von Produktion (also OT) und Dingen zu kümmern? Oder wächst er in die Rolle eines CDBO oder CDO, also eines Chief Digital Business Officer oder Chief Digital Transformation Officer?
Wie auch immer Unternehmen ihre IT-Organisation und insbesondere die Informations- und IT-Sicherheitsorganisation verändern: Klar ist, dass die Digitale Transformation hier Änderungen erfordert, um sowohl agil zu sein als auch Risiken mitigieren zu können. Nachträgliche, unkoordinierte Sicherheit kostet Geld, verlangsamt Innovation und kann für die Unternehmen sehr teuer werden, wenn vermeidbare Fehler bei der Nutzung von Dingen, bei Industrie 4.0 oder in der Business-IT passieren. (bw)