Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > Security-Governance bei Industrie 4.0

M2M-Security

Security-Governance bei Industrie 4.0

5. Dezember 2014, 9:36 Uhr | Dror-John Röcher, Lead Consultant Secure Information bei Computacenter
Fortsetzung des Artikels von Teil 1

Struktur nach RACI-Methodik

Ein Ansatz, um die Verantwortung zu strukturieren, ist die Ausarbeitung von so genannten RACI-Matrizen – Responsible, Accountable, Consulted, Informed. Die entsprechende Kategorisierung beschreibt, welche Rolle für welche Aktivitäten ver-antwortlich ist und welche Mitarbeiter zu beteiligen sind. Damit erreichen Unternehmen eine klare Beschreibung der Verantwortlichkeiten und Zuständigkeiten:

  • Responsible bedeutet in diesem Ansatz „Durchführungsverantwortung“. Das heißt, diese Person initiiert und verantwortet die eigentliche Durchführung der Sicherheitsmaßnahmen durch andere Personen oder führt die Aktivität selbst durch. Respon-sible wird meist als Verantwortung im disziplinarischen Sinne gesehen.
  • Accountable meint die rechenschaftspflichtige Kostenverantwortung im Sinne von „genehmigen“, „billigen“ oder „unterschreiben“. Die entsprechende Person trägt damit auch im rechtlichen oder kaufmännischen Sinne die Verantwortung.
  • Consulted ist die Fachverantwortung. Darunter fallen externe und interne Ratgeber, die nur eine fachliche Unterstützung bieten, aber nicht rechtlich oder disziplinarisch verantwortlich sind.
  • Informed bezeichnet das Informationsrecht. Damit sind die Personen gemeint, die über den Verlauf oder das Ergebnis der Tätigkeit informiert werden sollen oder müssen.


Abgrenzungen in der Praxis

Eine Kategorisierung nach dem RACI-Modell kann eine Hilfe sein, um die komplexen Verantwortlichkeiten und Rollen in Sachen Industrial-IT-Security zu analysieren und zuzuordnen. Doch was bedeutet das konkret für die einzelnen Bereiche?

Bei Responsible liegt meist die größte Herausforderung. Denn die Durchführung der verschiedenen Sicherheitsmaßnahmen erzeugt bei nicht-standardisierten und individuellen Produktionssystemen einen großen Aufwand. Da bei individuellen Systemen meist viel Wissen zum jeweiligen Produktionsprozess nötig ist, muss an dieser Stelle die Produktionsabteilung selbst die Verantwortung übernehmen. Dabei lässt sich jedoch prinzipiell für jedes Einzelsystem jeweils eine dafür verantwortliche Person benennen.

Gibt es jedoch auch weitgehend standardisierte Produktionssysteme, kann dafür auch die Office-IT-Abteilung verantwortlich sein. Denn hier lassen sich dann eventuell aus dem Office-Bereich bekannte Sicherheitsmaßnahmen mit wenig Aufwand an die Produktionssysteme anpassen. Sind die Produktionssysteme dagegen nur teilweise standardisiert, kann die Verantwortung auf Produktions- und Office-IT-Abteilung verteilt werden.

Da die strategischen Entscheidungen sehr eng mit der Herstellung zusammenhängen, sollte der Verantwortliche für Accountable aus der Produktionsabteilung kommen, genauer aus dem Bereich Engineering. Denn schon bei Planung und Aufbau der Prozesse sind die Sicherheitsmaßnahmen zu entwickeln. Bei laufenden Systemen steht dann ohnehin der operative Betrieb, also Responsible, im Vordergrund.

Eine Herausforderung bei Accountable kann aber die Organisation des jeweiligen Werks ergeben. Denn bei einer kleinteiligen Herstellung verschiedener Waren sind oft mehrere Dutzend Produktionsleiter für die jeweiligen Prozessabläufe verantwortlich. Ein ähnliches Problem kann auch entstehen, wenn ein Unternehmen zahlreiche jeweils eigenverantwortliche Werke hat. Dann trifft zwar jeder Leiter seine eigenen Entscheidungen, doch aufgrund der Vernetzung wirken sich diese auf das Gesamtsystem aus.

Wissensaustausch zwischen IT und Produktion

Im Bereich Sicherheit für Industrial-Control-Systems kommt den Beratern natürlich eine wichtige Rolle zu. So sollte die Produktionsabteilung immer Office-IT-Experten konsultieren und die Office-IT-Abteilung Produktionsexperten. Denn nur wenige Personen haben in beiden Bereichen eine umfangreiche Expertise. Zudem kann ein unabhängiger Berater auch für die Zusammenarbeit und Abstimmung der jeweils Verantwortlichen über den gesamten Produktionsprozess sorgen. Dies kann sowohl ein externer Dienstleister sein als auch ein interner Sicherheitsexperte, der gemeinsam akzeptierte, übergeordnete Richtlinien vorgibt.

Wer dann informiert werden muss, hängt von der Organisation des jeweiligen Werkes und Unternehmens ab. So sind manche Produktionsfirmen stark zentralisiert, andere wiederum dezentralisiert aufgestellt. Jedoch ist dabei zu berücksichtigen, dass Informationen nicht nur in der Hierarchie nach oben, sondern auch nach unten zu den jeweiligen Team-Mitgliedern sowie auf gleicher Ebene zu den ande-
ren Rollenverantwortlichen weiterzugeben sind.  

Anbieter zum Thema

d.velop AG
HP Deutschland GmbH
KONZEPTUM GmbH
Zyxel Networks A/S
Matchmaker+
zu Matchmaker+
  1. Security-Governance bei Industrie 4.0
  2. Struktur nach RACI-Methodik

Lesen Sie mehr zum Thema

Computacenter AG & Co. oHG Mobilfunk-Dienste Viren-/Malware-Schutz IoT Services Mobile Security
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Computacenter AG & Co. oHG

Neues Mitglied in der Geschäftsleitung

Knuth Molzen wechselt von T-Systems zu Computacenter

Transformation erfolgreich gemeistert

Lenovo zeichnet seine besten Partner aus

Strategische Neuausrichtung

Komsa will Device-as-a-Service-Geschäft beschleunigt ausbauen

Verantwortung für alle Services

Computacenter Deutschland ernennt neuen Geschäftsführer

Verstärker Fokus auf Öffentliche Hand

Computacenter mit vertrieblicher Doppelspitze im Public Sector

Weitere Artikel zu Mobilfunk-Dienste

Private 5G für Industrieumgebungen

ALE stellt Private-5G-Lösung mit Celona-Technik vor

Rückblick auf das erste Quartal

o2 Telefónica verstärkt Netzausbau in ländlichen Regionen

O2 Business Match

O2 Business mit neuem Tarifmodell für Geschäftskunden

Netzwerk der Zukunft

Wie 5G-Campusnetze Unternehmen transformieren

Kundenbarometer Mobilfunk B2B 2025

Welcher Mobilfunkanbieter setzt sich durch?

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu IoT Services

Meilenstein

Vodafone vernetzt das 200-millionste IoT-Gerät

ROI trifft Realisierbarkeit

Die Vorteile schlüsselfertiger IoT-Lösungen

IoT-Tracking mittels Smart Label

Neue Lösung von G+D für Paketverfolgung und Logistikoptimierung

NXP stellt MCX-L-Serie vor

Smarte Mikrocontroller für IoT-Geräte

Open Smart Systems Hub Community

Neue Plattform für die Fertigungsindustrie

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus

Matchmaker+
Securepoint GmbH

Securepoint GmbH
Zyxel Networks A/S

Zyxel Networks A/S
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
Plusnet GmbH

Plusnet GmbH
nexspace data centers GmbH

nexspace data centers GmbH
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH