Gregor Schlingermann IT-Risiken in der vernetzten Produktion Gefahren technisch und finanziell bewerten IT-Risiken in der vernetzten Produktion Gregor Schlingermann IT-Risiken in der vernetzten Produktion Gefahren technisch und finanziell bewerten Mit einem Geleitwort von Prof. Ing. Peter Markovič, PhD Dr. Gregor Schlingermann Düsseldorf, Deutschland OnlinePlus Material zu diesem Buch finden Sie auf http://www.springer.com/978-3-658-18346-2 ISBN 978-3-658-18345-5 ISBN 978-3-658-18346-2 (eBook) DOI 10.1007/978-3-658-18346-2 Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen National- bibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Springer Gabler © Springer Fachmedien Wiesbaden GmbH 2017 Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informa- tionen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen. Der Verlag bleibt im Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutionsadressen neutral. Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Springer Gabler ist Teil von Springer Nature Die eingetragene Gesellschaft ist Springer Fachmedien Wiesbaden GmbH Die Anschrift der Gesellschaft ist: Abraham-Lincoln-Str. 46, 65189 Wiesbaden, Germany Geleitwort Die IT-Risiken gehören in der gegenwärtigen globalen Welt zu der meist gefürchte- ten Risikoart. Den Grund dafür liefern zum Ersten die Digitalisierung des alltägli- chen Lebens, zum Zweiten die schwer rückverfolgbaren Angriffe und zum Dritten die niedrige Informationskenntnis von Kunden. Dies führt zu höheren Anforderun- gen an das Risikomanagement von Unternehmen, ohne Rücksicht auf die Branche, den Produkttyp oder die Größenordnung des Unternehmens. Im Rahmen der Produktion gibt es diverse Situationen, in denen der Einsatz von IT-Instrumenten zu großen zeitlichen und finanziellen Einsparungen führen kann. Positive Beispiele zeigen uns, dass wir dank guter Vernetzung von Inputs und Pro- zessen wesentlich schlanker produzieren können, und zum Einsatz können somit auch moderne Managementinstrumente wie z. B. Lean Production, Kanban, Kaizen, Quality Circles kommen. Durch den Ersatz menschlicher Tätigkeit durch Maschine und Technologie erreichen wir einen bestimmten Grad der Innovation und üben Wettbewerbsdruck auf einzelne Marktteilnehmer aus. Aus Sicht der Aktionäre (Ei- gentümer) ist diese Entwicklung positiv und wünschenswert, Manager begrüßen die bessere Informationsversorgung, und Kunden haben die Möglichkeit, die Produkte während der Erzeugung zu verfolgen. Die Industrie 4.0 kann die individuelle Nach- frage problemlos befriedigen und den Kunden eine höhere Nutzqualität des Produkts anbieten. Das, was nur wenige Stakeholder interessieren wird, ist die Sicherheit der gesamten Kommunikationskette, wo sie sich voll auf den Unternehmensstandard verlassen werden. Die vorgelegte Publikation befasst sich komplex mit den IT-Risiken, mit rechtli- chen Anforderungen, der Etablierung eines IT-Risikomanagements und hauptsäch- lich mit der Produktionsvernetzung. Die wesentliche Botschaft würde ich mithilfe des vorliegenden Textes verbreiten: „Mit dem IT-Grundschutz wurden anschließend die im deutschsprachigen Raum relevantesten Methoden als Basis für die Entwicklung einer Bewertungsmethode für das IT-Risikomanagement zur Bewertung der Risiken durch die Vernetzung 6 Geleitwort in der Produktion ausgewählt und mit dem Modell der Automatisierungspyra- mide verknüpft. Für die Bewertung selbst wurde eine Vorgehensweise ausge- wählt, wie sie für die Zertifizierung nach ISO 27001 auf Basis von IT Grund- schutz genutzt wird. Die genannten Überlegungen bilden das Grundgerüst der Bewertungsmethode. Um dem Anspruch der durchgängigen Transparenz bis zur Ebene des Geschäftsberichtes gerecht werden zu können, wurden Geschäftsbe- richte gesichtet, um Rückschlüsse auf die festzulegenden Risikokategorien ge- winnen zu können. Die entwickelte Bewertungsmethode kombiniert also die Ri- sikoaggregation von unten nach oben mit der Ausdifferenzierung der Risiko- kategorien von oben nach unten.“1 Es bleibt allen Lesern zu wünschen, dass sie das notwendige Gehör für die Meinun- gen des Autors finden und seinen Gedankenfluss im praktischen Leben applizieren. Prof. Ing. Peter Markovič, PhD Fakultät für Betriebsmanagement der Wirtschaftsuniversität in Bratislava 1 Vgl. S. 139 in dieser Arbeit. Abstract This dissertation aims at developing an assessment method for IT risk management that allows by using various data to assess the risks that arise in production due to connectivity in the logical as well as physical sense. Due to advanced automation of manufacturing technologies, there are many network interconnections in production today at all manufacturing stages. As network interconnection, not just interconnec- tion in terms of the sequences of operations is referred to but also the actual physical network interconnections that facilitate data transmission within production. Current production facilities largely are permeated by Ethernet networks or at times even wireless networks already. The uses range from individual programmable logic con- trollers, in the field of which bus systems have been replaced by network system, through individual robots and production equipment up to whole production stages, comprising almost the entire production process. Though the connected production on the one hand facilitates optimised process and production control, it also causes even minor and sporadically occurring irregularities to add up to a major failure. The network failures may be caused either by failures of the network components, but also by virus attacks or targeted sabotage. The tasks of identifying the risks and tak- ing proactive measures as appropriate are a part of IT safety management / IT secu- rity management. Typical sources of hazards in these contexts include the lack of virus scanners in production lines, inadequate firewall configurations or poor con- cepts of practical interventions. The target output of this paper should be to provide in IT risk management via a newly devised assessment method identification of connectivity-related technical risks implied by existing interconnections, summarisation of the risks and financial evaluation thereof. Abstract In dieser Dissertationsarbeit soll eine Bewertungsmethode für das IT-Risikomanage- ment entwickelt werden, die es ermöglicht, auf Basis verschiedener Daten das Risiko zu bewerten, das sich durch die Vernetzung – sowohl logisch als auch physikalisch – innerhalb der Produktion ergibt. Die heutige Produktion ist durch die stark automa- tisierte Fertigungstechnik hochgradig in den einzelnen Produktionsschritten mitei- nander vernetzt. Vernetzt bedeutet in diesem Zusammenhang nicht nur die im Ab- lauf optimierte Vernetzung, sondern die tatsächliche physische Verbindung, die eine Datenübertragung innerhalb der Produktion ermöglicht. So sind heutige Produkti- onsstätten zu einem hohen Grad durch Ethernet- oder teilweise bereits Funknetz- werke miteinander verbunden. Dies betrifft von einzelnen speicherprogrammierba- ren Steuerungen (SPS) – hier wurden die Bussysteme durch Netzwerke abgelöst – über einzelne Roboter und Produktionsanlagen bis hin zu kompletten Produktions- abschnitten nahezu die ganze Produktion. Die Vernetzung ermöglicht zum einen zwar optimierte Prozess- bzw. Produktionssteuerung, sorgt aber auch dafür, dass be- reits kleinere, vereinzelte Störungen sich zu einer Großstörung verketten können. Die Störungen des Netzwerkes können zum einen durch den Ausfall von Netzwerk- komponenten bedingt sein, zum anderen durch Virenbefall oder gezielte Sabotage. Diese Risiken aufzuzeigen und ggf. proaktiv tätig zu werden, ist Teil des IT-Sicher- heitsmanagements. Typische Gefahrenquellen sind hier der Mangel von Virenscan- nern in den Produktionsanlagen, unzureichende Konfigurationen von Firewalls oder mangelnde Zugriffskonzepte. Als Ergebnis der Arbeit soll es mithilfe einer neu entwickelten Bewertungsme- thode möglich sein, die durch Vernetzungen implizierten technischen Risiken der Vernetzung im IT-Risikomanagement explizit zu machen, diese zu konsolidieren und eine monetäre Bewertung durchzuführen. Inhaltsverzeichnis Abbildungsverzeichnis ..................................................................................... 13 Tabellenverzeichnis ........................................................................................... 15 Abkürzungsverzeichnis .................................................................................... 17 Einleitung .......................................................................................................... 19 1 Gegenwärtiger Stand der gelösten Problematik ................................. 23 1.1 Risiko, Risikomanagement und Zusammenhänge mit IT-Management .. 23 1.1.1 Definition von Risiken ............................................................................ 24 1.1.2 Risikokategorien ...................................................................................... 25 1.1.3 Der Umgang mit Risiken – das Risikomanagement ................................ 33 1.1.4 Etablierung des Risikomanagements im Unternehmen ........................... 37 1.1.5 Besonderheiten des IT-Risikomanagements ............................................ 41 1.2 IT-Risiken – eine Kategorie für sich ........................................................ 41 1.2.1 Rechtliche Anforderungen an das IT-Risikomanagement ....................... 46 1.2.2 Etablierung des IT-Risikomanagements in Unternehmen ....................... 48 1.3 Das Wesen der Risiko-Bewertungsmethoden .......................................... 84 1.4 Aktuelle Problemstellungen – Produktion, Infrastruktur und Gefahren ........................................................................................... 87 1.4.1 Vernetzung in der Produktion – Aufbau einer Produktion und technische Infrastruktur ................................................. 87 1.4.2 Informationstechnische Gefahren für Produktionsanlagen und deren Vernetzung .............................................. 91 2 Ziel der Arbeit ........................................................................................ 97 12 Inhaltsverzeichnis 3 Methodik der Arbeit und wissenschaftliche Methoden ................................................................................................ 99 3.1 Angewandte Methoden ............................................................................ 99 3.2 Vorgehensweise ..................................................................................... 100 4 Die Ergebnisse der Arbeit ................................................................... 101 4.1 Vernetzung in der Produktion – Facetten eines Risikos ......................... 101 4.2 Was ist und gebraucht wird – Methoden und Modellauswahl ...................................................................................... 102 4.3 Vernetzung in der Produktion neu bewertet – die VIP-Bewertungsmethode ................................................................. 103 5 Diskussion............................................................................................. 137 5.1 Beitrag für die Lehre ............................................................................. 137 5.2 Beitrag für die Wissenschaft/Forschung ................................................ 138 5.3 Beitrag für die Praxis ............................................................................. 139 5.4 Ausblick ................................................................................................ 140 Schlusswort ...................................................................................................... 143 Literaturverzeichnis ....................................................................................... 147 Anhang ............................................................................................................. 155