IT-Security in der Produktion

Security-Awareness richtig planen und vermitteln

07.10.2020
Von 
Harald Kesberg ist Kommunikations- und Unternehmensberater in Bonn. Seine Schwerpunkte sind die Gestaltung und Begleitung des Innovations- und Wissenstransfers mit inhaltlicher Ausrichtung auf Digitale Transformation, IT-Sicherheit und Industrial Security. Seine Themen sind unter anderem Sensibilisierung und Awareness, Qualifizierung, Change- und Führungskommunikation sowie Entwicklung neuer Rollenbilder und Work 4.0.
Schlüssel für IT-Sicherheit in der Produktion sind geschulte und qualifizierte Mitarbeiter. Erfolgreiche Awareness-Projekte benötigen kompetente Kommunikatoren und müssen sorgfältig geplant werden.

Bei der Digitalisierung der Produktion tun sich viele Fertigungsunternehmen noch schwer. Häufig wird übersehen, dass bei aller technischer Vernetzung der Mensch die entscheidende Größe ist.

Bei IT-Sicherheit in der Produktion steht der Mensch im Mittelpunkt.
Bei IT-Sicherheit in der Produktion steht der Mensch im Mittelpunkt.
Foto: nd3000 - shutterstock.com

Es gilt, neue Herangehensweisen der Arbeitsorganisation und der Qualifizierung zu erproben und einzuführen. Mitarbeiter benötigen insbesondere zusätzliches Digital-Know-how, da Produktions- und IT-Welten miteinander verschmelzen. Darüber hinaus ist es wichtig, selbstverantwortliche Zusammenarbeit zu fördern und sicherzustellen, dass Mitarbeiter auch in Situationen von Unsicherheit Entscheidungen treffen können und dürfen.

Die Unternehmensführung ist gefordert, die "Marschrichtung" für die Digitalisierung vorzugeben und durch eine klare Kommunikation die Mitarbeiter miteinzubeziehen. Es liegt an ihr, die organisatorischen Rahmenbedingungen für vernetztes, kooperatives und lernendes Arbeiten über Abteilungsgrenzen hinweg zu schaffen.

Insbesondere die IT-Security steht und fällt mit diesen Maßnahmen. Die Verzahnung von IT und OT (Operational Technology) macht die Produktion anfällig für Cyberrisiken mit allen Konsequenzen: von Produktionsausfällen über Liefer- oder Qualitätsprobleme bis hin zum Totalausfall. Viele Risiken lassen sich zurückführen auf fehlendes Wissen und Nachlässigkeit. Weitere Ursachen sind nicht eindeutig definierte Prozesse, die Verwendung ungeprüfter USB-Sticks zur Datenweitergabe oder den fahrlässigen Umgang mit Fremdfirmen, die Zugang zum Produktionsnetzwerk erhalten. Qualifizierte und geschulte Mitarbeiter sind also ein entscheidender Aktivposten, um IT-Sicherheit in der Produktion in den Griff zu bekommen.

Produktion ist nicht gleich Office-IT

Awareness und Mitarbeiterqualifikation zum Thema IT-Sicherheit sind in vielen Produktionsbetrieben noch Neuland. Fachabteilungen sowie Werks- und auch Geschäftsleitungen ist ihr hoher Stellenwert oft nicht bewusst. Darüber hinaus ist es in diesem Sektor nicht trivial, Kommunikations- und Qualifikationsmaßnahmen zu konzipieren und umzusetzen.

Die klassischen Awareness- und Schulungsmaßnahmen aus dem Office-Umfeld lassen sich nicht einfach auf den Produktionsbereich übertragen. Zu unterschiedlich sind die technischen Ausgangssituationen (Patchen in der Produktion unterscheidet sich beispielsweise vollkommen vom Patchen im Office-Bereich) und die jeweils dominierenden Unternehmenskulturen. In produzierenden Betrieben ist letztere in der Regel stärker an Command and Control orientiert.

IT-Sicherheit am Arbeitsplatz in der Fertigung wird von Mitarbeitern der unterschiedlichen Hierarchieebenen häufig als Arbeitshemmnis wahrgenommen. Sie sehen die Security-Verantwortung nicht bei sich, empfinden es als unnötigen Mehraufwand oder argumentieren, dass die Produktivität darunter leidet. Es ist nicht unbedingt zu erwarten, dass Qualifikations- und Trainingsmaßnahmen bei Mitarbeitern, die unter einen hohen Zeitdruck stehen, auf große Freude stoßen werden.

Es bedarf also Fingerspitzengefühls und kommunikativer Kompetenzen, insbesondere im Bereich der Change-Kommunikation.

Kommunikation als Erfolgsfaktor

Ohne klares Commitment und Unterstützung seitens der Geschäftsleitung geht nichts. Daher gilt es, die Geschäftsleitung für das Thema zu gewinnen und dabei kommunikative Brücken zu schlagen.

IT-Security in der Produktion ist kein Selbstzweck, sondern Notwendigkeit. Die Zusammenhänge und die strategische Bedeutung sollten als "Big Picture" in die "Sprache" des Managements übersetzt werden.

Die Führungsebene als "Sinnstifter" im Unternehmen sollten ein sichtbares, positives und klares Engagement zur Bedeutung von IT-Sicherheit in der Produktion und den geplanten Trainingsmaßnahmen abgeben. Awareness- und Maßnahmen zur Kompetenzerweiterung gilt es als unternehmensstrategisch relevant zu positionieren. Dabei lässt sich das Thema durchaus mit positiv aufgeladenen Begriffen wie Zukunftsorientierung oder Qualitätsversprechen (Unternehmenswerte) verbinden und in die Unternehmensstory integrieren.

Die Akzeptanz für Awareness- und Qualifikationsmaßnahmen wird steigen, wenn sie in einen übergeordneten Sinnzusammenhang gestellt werden und nachvollziehbar sind. Wichtig ist auch ein sichtbarer persönlicher Bezug zur eigenen Arbeit. IT-Security in der Produktion darf nicht als abstrakte Größe oder Black Box betrachtet, sondern muss am Arbeitsplatz erlebbar werden. Konkrete Fragestellungen können helfen, das zu erreichen: Welchen praktischen Nutzen hat IT-Sicherheit am Arbeitsplatz in der Produktion? Wieso ist IT-Sicherheit in der Produktion existentiell für das Unternehmen? Was hat das mit Zukunftsfähigkeit und sicheren Arbeitsplätzen zu tun? Inwieweit kann IT-Sicherheit einen Beitrag leisten, die Unternehmenswerte zu unterstützen?

Die einzelnen Maßnahmen sollten unter einem sichtbaren "Dach" gebündelt werden, beispielsweise einem eingängigen Titel oder Logo. Dadurch werden größtmögliche Sichtbarkeit und hoher Wiedererkennungswert erzielt. Eine konzertierte und abgestimmte interne Kommunikation, mittels Blogs, Intranet, Plattformen oder Mitarbeiterzeitschriften bereitet den Boden für die erfolgreiche Durchführung der Qualifizierungsmaßnahmen.