Wer ist hier arrogant?

Kommentar von Ursula Coester

Wenn Spezialisten aus zwei Fachabteilungen aneinander vorbeireden, dann schieben sie sich schon mal gegenseitig die Schuld zu. Gefährlich wird das, wenn unter diesem Dielemma die Sicherheit der eigenen Produktion leidet. Genau das scheint in vielen Firmen zu passieren.

Eigentlich sollte es jedem klar sein: Wer in Produktion und Fertigung von moderner IT und bequemer Vernetzung profitieren will, erkauft sich das mit den IT-typischen Problemen - allen voran Sicherheitsgefahren durch Viren, Würmer und andere Schädlinge. Spätestens seit Stuxnet sein Unwesen treibt und in Siemens-Anlagen weltweit für Stillstände und Schäden sorgt, müsste jeder Fertigungsspezialist wissen, dass es hier nicht um ein hypothetisches Restrisiko geht, sondern um eine reale Gefahr, der man sich stellen muss. Die Realität sieht leider anders aus: Spezialisten aus Produktion und IT reden aneinander vorbei und der Stand der Technik bei IT-Sicherheitsfragen hat die Werkshallen noch lange nicht erreicht.

Dabei ist heutzutage sogar der berüchtigte Cyberwar gegen Industrienationen in das Reich des Möglichen gerückt. Sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschäftigt sich mit einem Themengebiet - und das, obwohl der Schutz von privatwirtschaftlichen Unternehmen vom Grundsatz her nicht in ihren unmittelbaren Wirkungskreis fällt. Denn: hier besteht ein großes Potenzial zur Manipulation unter Einsatz von Technik und niemand kann nicht auszuschließen, dass dieses genutzt wird.

Die verzwickte Praxis

Wolfgang Straßer, Geschäftsführer der @-yet GmbH, berät seit mehreren Jahren Unternehmen über IT-Sicherheit in Fertigung und Produktion. Da er - neben den technischen Aspekten - ebenso von der hohen Dringlichkeit organisatorischer Maßnahmen überzeugt ist, betreibt er hierzu Aufklärung in seinen Informationsveranstaltungen. Schön während der Vorträge über Risiken, Pitfalls und Security Management entbrennen immer wieder rege Diskussionen zwischen den Teilnehmern: Die kommen sowohl aus dem IT-, als auch den Produktionsabteilungen.

Die Debatte in der letzten Veranstaltung Mitte März entzündete sich an der Aussage des Referenten Prof. Fritjof Klasen vom Institut für Automation & Industrial IT, dass seiner Erfahrung nach „IT-Sicherheit in der Produktion nicht angemessen berücksichtigt wird". Prompt erklärte einer der Anwesenden, dies sei für ihn nicht verwunderlich „allein aufgrund der ‚territorialen' Abgrenzungsschwierigkeiten - oder mit anderen Worten, wo zieht man tatsächlich die organisatorische Grenze zwischen den Netzwerken der Büroautomation und der Fertigung?" Dabei käme dann seines Erachtens auch zum Tragen, dass „im Prinzip immer die Frage im Raum stehe, wer störe eigentlich wen - die IT die Produktion oder umgekehrt".

Der teils tiefe Graben zwischen beiden Welten offenbarte sich an der Aussage eines IT-Kollegen, der meinte „wir aus der IT kommen uns manchmal vor, als wären wir die Sklaven der Produktion." Insbesondere wenn es um IT-Sicherheit geht, finde man selten Gehör bei den Kollegen aus der Produktion, „denn diese fühlen sich durch uns IT-ler definitiv nur gestört und solange wir nicht mit konkreten Schadensfällen im Produktionsbereich aufwarten können, stoßen unsere Anliegen auf keinerlei Verständnis." Dies liege, so konterte ein Verantwortlicher aus der Produktion, allein daran, dass „die Leute aus der IT so überheblich sind". Anscheinend haben - so zeigte die Diskussion im Fortgang - die „Leute aus der IT" dasselbe Problem. Die Teilnehmer einigten sich schließlich darauf, dass „in vielen Fällen die fachliche Kompetenz beider Abteilungen gegeneinander ausgespielt wird".

Darin liegt genau der Knackpunkt, wie Wolfgang Straßer immer wieder feststellt - die Verantwortlichen aus beiden Abteilungen sprechen eine unterschiedliche Sprache und haben sich in gewisser Weise mit den möglichen Konsequenzen arrangiert. Doch - und das hat Stuxnet zweifelsohne gezeigt - eine solche Haltung ist nicht mehr tragbar. Im Sinne der Sicherheit müssen beide Parteien an einen Tisch und die Bereitschaft zeigen, gemeinsam Lösungen zu erarbeiten.

(lei)