Nahezu alle Unternehmen setzen digitale Technologien ein: um Prozesse zu steuern, Lager zu verwalten, Informationen in Echtzeit zu teilen, Dokumente zu verwalten, Mitarbeitereinsatz zu planen oder Software-Anwendungen in der Cloud zu nutzen. Neben den vielen Möglichkeiten bieten die Technologien zugleich großes Gefahrenpotenzial – das Betriebe erkannt haben: Studien zufolge wird die Datensicherheit in Unternehmen als eines der größten Hemmnisse der Technologienutzung gesehen. Dies ist verständlich, denn die Thematik ist komplex und Fragen der Informationssicherheit sind für Führungskräfte häufig keine originäre Aufgabe. Doch müssen sich Unternehmen mit Datensicherheit auseinandersetzen – oder auf die Vorteile digitaler Technologien verzichten.
1.1 Was ist überhaupt Datensicherheit und wie kann diese hergestellt werden?
Datensicherheit oder IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken für die Informationssicherheit, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch passende Maßnahmen auf ein tragbares Maß reduziert sind. Erst durch Gewährleistung des Schutzes von IT-Systemen und Daten (IT-/Cyber-Security) sowie der funktionalen Sicherheit (Safety), durchgehend vom Anfang der Produktionskette an, können Betriebe ihr volles digitales Potenzial ausschöpfen. Dabei geht es um den Schutz von Menschen ebenso wie um die Informationssicherheit.
Datensicherheit umfasst die Speicherung sowie sichere Übermittlung und die Sicherstellung, dass keine unbefugte Person (oder auch intelligente Software) Zugang zu den Daten erhält. Die verlässliche Sicherung der Daten des Unternehmens ist nie Selbstzweck, sondern schützt das Wissen des Betriebs und die Informationen zu seinen Kunden. Darüber hinaus stellt Datensicherheit reibungslose Abläufe sicher.
Fachkräfte für Arbeitssicherheit rücken hier in den Fokus: ihre Aufgabe ist es, den Arbeitgeber in allen Fragen der Sicherheit und Gesundheit zu beraten und zu unterstützen. Dieser Aufgabenbereich muss auch das Thema der Datensicherheit umfassen, weil es nicht möglich ist, Sicherheit im Betrieb her- bzw. sicherzustellen, wenn die Datensicherheit nicht gewährleistet ist. Beispielsweise kann mangelnde Sicherheit der Daten auch Betriebsabläufe sabotieren und damit Unfälle verursachen (siehe hierzu Abschn. 1.3 und 2). Relevant ist dabei insbesondere die Berücksichtigung veränderter Not- und Störfälle (z. B. bei Aufzügen) und neue Arbeitsmittel, wie Datenbrillen und smarte Fahrzeuge, die andere Gefährdungen verursachen können.
Bei der Nutzung von 4.0-Technologien spielt die Software, deren Ergonomie, Störanfälligkeit und Benutzungs- bzw. Benutzersicherheit der eingerichteten Systeme eine zunehmend zentrale Rolle. Prävention durch die Sifa wird hier ansetzen (müssen). Maßnahmen des Arbeitsschutzes haben nach dem Arbeitsschutzgesetz die Verhütung von Unfällen bei der Arbeit und die arbeitsbedingten Gesundheitsgefahren zum Gegenstand (vgl. § 2 ArbSchG). Unternehmer sollten den Beschäftigten Möglichkeiten des Zugangs zur Beratungskompetenz der Sifa geben, dies ist z. B. im Rahmen der betriebsspezifischen Betreuung nach DGUV-V 2 machbar.
Grundlage dafür sind die "Schutzgüter der IT-Sicherheit", die vom Bundesamt für Sicherheit in der Informationstechnik definiert wurden: Datensicherheit ist der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind (siehe Tab. 1).
Schutzgüter der IT-Sicherheit: Datensicherheit wird erreicht durch … |
Mangelnde IT-Sicherheit: Beispiele für Folgen bei Mängeln |
Vertraulichkeit: Es können nur befugte Personen bzw. klar definierte technische Systeme (intelligente Software) auf bestimmte Daten zugreifen. |
Mangelnde Vertraulichkeit: Zugriff auf (sensible) Auftrags- oder Betriebsdaten durch nicht befugte Personen kann schwere Schäden durch ungewollte Offenlegung von Informationen nach sich ziehen. |
Integrität: Der Zustand der Daten kann nicht ohne Erlaubnis verändert, beschädigt oder gelöscht werden; Daten bleiben unversehrt vor Manipulation und technischen Defekten. |
Mangelnde Integrität: Gefälschte oder verfälschte Daten können zu Störungen in Prozessen, Fehlbuchungen, falschen Lieferungen oder fehlerhaften Produkten führen. Auch kann das Vertrauen bei Kunden und anderen Geschäftspart... |