Datensicherheit oder IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken für die Informationssicherheit, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch passende Maßnahmen auf ein tragbares Maß reduziert sind. Erst durch Gewährleistung des Schutzes von IT-Systemen und Daten (IT-/Cyber-Security) sowie der funktionalen Sicherheit (Safety), durchgehend vom Anfang der Produktionskette an, können Betriebe ihr volles digitales Potenzial ausschöpfen. Dabei geht es um den Schutz von Menschen ebenso wie um die Informationssicherheit.
Datensicherheit umfasst die Speicherung sowie sichere Übermittlung und die Sicherstellung, dass keine unbefugte Person (oder auch intelligente Software) Zugang zu den Daten erhält. Die verlässliche Sicherung der Daten des Unternehmens ist nie Selbstzweck, sondern schützt das Wissen des Betriebs und die Informationen zu seinen Kunden. Darüber hinaus stellt Datensicherheit reibungslose Abläufe sicher.
Fachkräfte für Arbeitssicherheit rücken hier in den Fokus: ihre Aufgabe ist es, den Arbeitgeber in allen Fragen der Sicherheit und Gesundheit zu beraten und zu unterstützen. Dieser Aufgabenbereich muss auch das Thema der Datensicherheit umfassen, weil es nicht möglich ist, Sicherheit im Betrieb her- bzw. sicherzustellen, wenn die Datensicherheit nicht gewährleistet ist. Beispielsweise kann mangelnde Sicherheit der Daten auch Betriebsabläufe sabotieren und damit Unfälle verursachen (siehe hierzu Abschn. 1.3 und 2). Relevant ist dabei insbesondere die Berücksichtigung veränderter Not- und Störfälle (z. B. bei Aufzügen) und neue Arbeitsmittel, wie Datenbrillen und smarte Fahrzeuge, die andere Gefährdungen verursachen können.
Bei der Nutzung von 4.0-Technologien spielt die Software, deren Ergonomie, Störanfälligkeit und Benutzungs- bzw. Benutzersicherheit der eingerichteten Systeme eine zunehmend zentrale Rolle. Prävention durch die Sifa wird hier ansetzen (müssen). Maßnahmen des Arbeitsschutzes haben nach dem Arbeitsschutzgesetz die Verhütung von Unfällen bei der Arbeit und die arbeitsbedingten Gesundheitsgefahren zum Gegenstand (vgl. § 2 ArbSchG). Unternehmer sollten den Beschäftigten Möglichkeiten des Zugangs zur Beratungskompetenz der Sifa geben, dies ist z. B. im Rahmen der betriebsspezifischen Betreuung nach DGUV-V 2 machbar.
Grundlage dafür sind die "Schutzgüter der IT-Sicherheit", die vom Bundesamt für Sicherheit in der Informationstechnik definiert wurden: Datensicherheit ist der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind (siehe Tab. 1).
Schutzgüter der IT-Sicherheit: Datensicherheit wird erreicht durch … |
Mangelnde IT-Sicherheit: Beispiele für Folgen bei Mängeln |
Vertraulichkeit: Es können nur befugte Personen bzw. klar definierte technische Systeme (intelligente Software) auf bestimmte Daten zugreifen. |
Mangelnde Vertraulichkeit: Zugriff auf (sensible) Auftrags- oder Betriebsdaten durch nicht befugte Personen kann schwere Schäden durch ungewollte Offenlegung von Informationen nach sich ziehen. |
Integrität: Der Zustand der Daten kann nicht ohne Erlaubnis verändert, beschädigt oder gelöscht werden; Daten bleiben unversehrt vor Manipulation und technischen Defekten. |
Mangelnde Integrität: Gefälschte oder verfälschte Daten können zu Störungen in Prozessen, Fehlbuchungen, falschen Lieferungen oder fehlerhaften Produkten führen. Auch kann das Vertrauen bei Kunden und anderen Geschäftspartnern sinken. |
Verfügbarkeit: Im Bedarfsfall können die Daten verwendet werden, die Systeme, die auf Basis von Daten laufen, funktionieren. |
Mangelnde Verfügbarkeit: Wenn grundlegende Informationen eingeschränkt zur Verfügung stehen oder ganz fehlen, werden die betrieblichen Prozesse gestört oder können gar nicht stattfinden. |
Authentizität: Die Daten, die verwendet werden, sind glaubwürdig und echt. |
Mangelnde Authentizität: Daten können verwechselt oder falsch zugeordnet werden, beispielsweise können Zahlungsanweisungen oder Bestellungen zulasten einer dritten Person verarbeitet werden. |
Tab. 1: Schutzgüter der IT-Sicherheit und beispielhafte Folgen bei Mängeln
Fragt man in Unternehmen nach möglichen Gefahren rund um die Datensicherheit, werden "Datendiebstahl" oder "Verletzungen des Datenschutzes" genannt. Oft wird dabei nicht gesehen, dass dadurch auch Betriebsunterbrechungen oder ein Betriebsstillstand bzw. technische IT-Ausfälle in den Vordergrund rücken – und damit ohne Umwege die Sicherheit insgesamt betreffen. Aber auch der Diebstahl geistigen Eigentums, virtuelle Erpressungen sind zu nennen. Folge sind nicht nur Reputationsschäden, sondern auch Maschinenschäden, Ausfallkosten oder im schlimmsten Fall Schaden am Menschen.
Dennoch erfreut sich das Thema Datensicherheit keiner allzu großen Beliebtheit im Betrieb. Nachvollziehbar, denn auf den ersten Blick ist die Thematik vielschichtig. Zudem verdient das Unternehmen damit kein Geld – zumindest...