Bedarfsanalyse IT-Security bei den Berufsgenossenschaften und versicherten Unternehmen

Projekt-Nr. IFA 5152

Status:

abgeschlossen 12/2020

Zielsetzung:

Aktuell beschäftigen sich sehr viele Gremien und Arbeitskreise mit dem Thema IT-Security (IT = Informationstechnologie). Diese Arbeitskreise versuchen die notwendigen, zu betrachtenden IT-Security-Aspekte auf bestimmte Komponenten bzw. Maschinen zu übertragen. Aktuell gibt es aber keinen veröffentlichten Standard, der von Herstellerfirmen oder Betreibenden angewendet werden kann. Viele Verbände haben zwischenzeitlich Positionspapiere zu ihrer Sichtweise veröffentlicht. Da es viele kontroverse Stellungnahmen zum Thema IT-Security gibt, sind viele Hersteller und Betreibende verunsichert, welche Maßnahmen implementiert werden müssen.

Das Projekt soll dazu dienen, einen Überblick über die aktuelle Situation bei Herstellern und Betreibenden zu gewinnen und die vorhandenen Probleme und Fragestellungen der Zielgruppe abfragen.

Aktivitäten/Methoden:

Mit dem Ziel, einen Überblick über die aktuelle Situation bei Herstellern und Betreibenden zu gewinnen, wurde eine kurze Online-Abfrage entwickelt, die von der Zielgruppe in einer Web-Applikation ausgefüllt werden kann. Die Auswertung der Befragung soll dazu dienen, eine ressourcenschonende, effektive und zielgruppenorientierte Themenauswahl in Bezug auf IT-Security unter dem Aspekt des Arbeitsschutzes zu treffen.

Die Befragung über den momentanen Stand der Technik der IT-Security bei Herstellern und Betreibenden wurde als Online-Abfrage mit dem Tool LimeSurvey, und mithilfe klassischer Druckversionen der Fragebögen, die im persönlichen Kontakt ausgefüllt werden konnten, durchgeführt.

Die Befragung wurde über folgende Medien beworben:

  1. Twitter Kanal des IFA
  2. Website des IFA
  3. Direktbewerbung per E-Mail an über 12 000 Empfänger/-innen
  4. bei Vorträgen und in Arbeitskreisen

Die ausgefüllten Umfragebögen auf Papier wurden manuell in das Umfragetool übertragen, als übertragen markiert und archiviert. Die Umfrage bestand aus neun Fragen aus drei Themengruppen und hat überraschende Ergebnisse geliefert, die helfen werden, unsere Arbeit zu Industrial Security gezielt auf den aktuellen Bedarf der Herstellfirmen und Betreibenden auszurichten.

Die Themengruppen gliedern sich in

  1. Kategorisierung des Betriebes
  2. Selbsteinschätzung des aktuellen Risikos durch einfache Fragen, die auch von IT-Laien beantwortet werden können
  3. Beschreibung der bereits getroffenen Maßnahmen im Bereich Industrial Security

Ergebnisse:

Das Umfragetool LimeSurvey hat sich bei beiden Methoden bewährt.

Überraschend war, wie hoch heute schon der Grad der Vernetzung in den Unternehmen ist, denn auf die Frage „Werden in Ihrem Betrieb Maschinen oder Steuerungen eingesetzt, die untereinander oder mit dem Internet vernetzt sind?“, antworteten 87 % mit JA.

Die Selbsteinschätzung der 40 Teilnehmenden zeigte in der Frage „Könnten Personen zu Schaden kommen, wenn durch einen IT-Angriff sämtliche Funktionen der vernetzten Geräte böswillig ferngesteuert würden? (Ohne Beachtung der eventuell bereits eingesetzten Schutzmaßnahmen)“ deutlich, wie dringend der Handlungsbedarf ist. 67 % JA, 30 % NEIN, 3 % KEINE ANTWORT

An den meisten Unternehmensstandorten werden (zusätzlich) externe Fachleute mit dem Thema IT-Security betraut (82 %). Dadurch fehlen in den Betrieben selbst die Erfahrung und das Expertenwissen. Dies spiegelte sich besonders in der Einschätzung der Konsequenzen eines Produktionsstillstandes wieder. Im Zusammenhang mit der Frage „Welchen Schaden erwarten Sie bei einem angriffsbedingten Produktionsstillstand (9 Stunden in einem Jahr)?“ konnten über 50 % nicht abschätzen, ob der Schaden eher marginal oder eher katastrophal ist.

Weniger als 10 % haben jemals einen Penetrationstest durchgeführt, bei dem die eigenen Schutzmaßnahmen auf die Probe gestellt werden. Viele Teilnehmende hatten den Begriff „Penetrationstest“ zum ersten Mal gehört und fanden den Gedanken gut, die Wirksamkeit der eigenen Schutzmaßnahmen zu verifizieren.

Aus den Ergebnissen lassen sich drei Arbeitsfelder ableiten, die kurzfristig die Sicherheit bei der Arbeit verbessern können.

  1. Bewusstsein schaffen (Demonstrator, Vorträge, Veröffentlichungen)
  2. helfen, eigene Risiken einzustufen (Vorträge, Veröffentlichungen)
  3. Expertenwissen bereitstellen, damit Steuerungen selbst möglichst keine Angriffspunkte zeigen (Forschungsarbeit im Security-Labor, Abschlussarbeiten, Veröffentlichungen, Demonstrationstool zu Programmierfehlern)

Stand:

27.09.2021

Projekt

Gefördert durch:
  • Deutsche Gesetzliche Unfallversicherung e. V. (DGUV)
Projektdurchführung:
  • Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung (IFA)
Branche(n):

-branchenübergreifend-

Gefährdungsart(en):

Gefährdungsübergreifende Fragestellungen

Schlagworte:

Anlagensicherheit, Arbeitsunfall, Maschinensicherheit

Weitere Schlagworte zum Projekt:

IT-Security, Maschinensicherheit, Informationstechnik, Digitalisierung, Industrial Security, Informationssicherheit, Umfrage

Kontakt