Vernetzung mit Risiken

Industrie 4.0: Risiken für die Unternehmensführung?

Industrie 4.0 und die „intelligente Fabrik“ stehen für die Individualisierung von Produkten unter den Bedingungen von flexiblen Großproduktionen. Mit der angestrebten Vernetzung der Produktion geht jedoch auch die steigende Angreifbarkeit der vernetzten IT-Systeme einher.

  • Autor Christian Leuthner ist Rechtsanwalt in der Kanzlei Olswang Deutschland LLP und ist spezialisiert auf die Beratung in den Bereichen des IT-Rechts, des Datenschutzrechts, Outsourcing und E-Commerce. Einen besonderen Schwerpunkt legt er auf die Themen Cloud Computing und neue Technologien.

IT-Systeme sind im Rahmen von Industrie 4.0  stärker gefährdet als bisherige Systeme. Dieses Risiko resultiert überwiegend aus der Vernetzung der Systeme. Neben cyberphysischen Systemen sind intelligente Systeme zur Produktionsplanung, also ERP-Systeme, ein wichtiger Bestandteil von Industrie 4.0. Sämtliche betriebswirtschaftlichen Prozesse und Daten sind in ihnen abgebildet. Die vorhandenen Daten enthalten Betriebs- und Geschäftsgeheimnisse von Unternehmen sowie personenbezogene Daten.

Die im ERP-System gespeicherten Datenmengen werden immer größer, aussagekräftiger und damit auch wertvoller; nicht zuletzt durch die Anreicherung von Big Data, z.B. im Rahmen von Ausfallprognosen. Diese wertvollen Daten rufen Cyberkriminelle auf den Plan, die nun von der Internetanbindung und notwendigen (Standard-)Schnittstellen des ERP-Systems profitieren wollen. Die Automatisierung selbst ist auch schon risikobehaftet. Computerfehler, z.B. Fehlplanungen durch das System, können erhebliche Auswirkung auf die Produktion haben.

Dieser Gefahrenerhöhung müssen die Unternehmen mit ausreichenden Maßnahmen begegnen. Die Unternehmensführung (z.B. GmbH-Geschäftsführer) muss potentielle Gefahren abwenden und muss  die Risiken für die einzelnen Prozesse prüfen und bewerten. Anschließend müssen geeignete Maßnahmen zum Schutz von innen oder außen ergriffen werden. Auch muss sichergestellt werden, dass die Produktionsprozesse fehlerfrei ablaufen.

IT-Sicherheit ist Angelegenheit der Unternehmensführung

Rechtliche Anforderungen an solche Maßnahmen finden sich in dem seit 25. Juli 2015 geltenden IT-Sicherheitsgesetz. Dieses Ggesetz ändert und erweitert bestehende Gesetze wie das BSI-Gesetz und betrifft Betreiber sogenannter kritischer Infrastrukturen (z.B. Energie, Infrastruktur, Gesundheit etc.) sowie Telekommunikations- und Telemedienanbieter. Wird das ERP-System eines Impfstoffherstellers angegriffen oder fällt dieses aus, ist das IT-Sicherheitsgesetz auch anwendbar. In bestimmten regulierten Bereichen, wie z.B. Finanz- und Versicherungsdienstleistungen, bestehen weitere Vorschriften hinsichtlich der IT-Sicherheit. Bereits vor dem IT-Sicherheitsgesetz war die IT-Sicherheit gesetzlich geregelt.

Entsprechende Regelungen finden sich in den Datenschutzgesetzen oder ergeben sich aus allgemeinen Organisationspflichten im Unternehmen. Diese allgemeinen Vorschriften gelten nach wie vor für alle Unternehmen, natürlich insbesondere für kritische Infrastrukturen und Banken.

Welche Maßnahmen ergriffen werden müssen, gibt kein Gesetz vor. Alle Vorschriften verlangen, dass das jeweilige Unternehmen angemessene Maßnahmen (technisch und organisatorisch) ergreift, um den Gefahren für die IT-Sicherheit wirksam begegnen zu können. Die Unternehmensführung muss diese Maßnahmen regelmäßig auf ihre Wirksamkeit überprüfen und gegebenenfalls anpassen. Welche Maßnahmen angemessen sind, muss das Unternehmen selbst für das jeweilige informationstechnische System beurteilen. Das Unternehmen muss neben dem Stand der Technik auch seine eigene Größe und Leistungsfähigkeit berücksichtigen. Die Angemessenheit kann im Rahmen von Audits, Zertifizierungen oder anderen Nachprüfungen durch die zuständige Behörde überprüft werden, weshalb bei der Beurteilung der Angemessenheit regelmäßig Beratung erforderlich ist.

Einige Gesetze, insbesondere das IT-Sicherheitsgesetz sowie das Bundesdatenschutzgesetz, sehen als Maßnahme auch Meldepflichten an die zuständige Behörde vor, soweit ein IT-Sicherheitsvorfall oder Datenverlust stattgefunden hat.

Aber: Kann den Gefahren der Vernetzung überhaupt mit technischen und organisatorischen Maßnahmen wirksamen begegnet werden? Absolute Sicherheit für die genutzten IT-Systeme wird man nie erreichen können. Dennoch kann auch unter den gegenwärtigen Voraussetzungen ein funktionierender Schutz von IT-Systemen konzipiert werden. Industrie 4.0 kann nicht bedeuten, dass eine vollständige Vernetzung aller Prozesse im Unternehmen stattfindet. Mit Blick auf Industrie 4.0 und die „intelligente Fabrik“ muss sich die Unternehmensführung deshalb fragen, welche Prozesse überhaupt vernetzt werden müssen. Das verbleibende Risiko muss unternehmerisch gerechtfertigt werden können.

Schließt Industrie 4.0 wirksame IT-Sicherheit aus?

Ist ein Prozess abhängig von Vernetzung, muss das Risiko durch wirksame technische Maßnahmen minimiert werden. Diese müssen fortlaufend überprüft und an die Entwicklungen angepasst werden. Desweiteren müssen sie durch organisatorische Maßnahmen flankiert werden. Hinsichtlich Cyberangriffen ist es zum Beispiel möglich, durch Verschlankung der Prozesse den Nutzen eines Angriffs zu minimieren. Dies könnte durch Vorhalten wichtiger Betriebs- und Geschäftsgeheimnisse auf lokalen Netzwerken ohne Internetanbindung realisiert werden.

Viele Gesetze (z.B. IT-Sicherheitsgesetz, Bundesdatenschutzgesetz) sehen Bußgeldtatbestände für die Nichteinhaltung entsprechender Anforderungen vor. Diese Bußgelder können sowohl das Unternehmen als auch die Unternehmensführung direkt treffen. Aber auch die Verletzung allgemeiner Unternehmensführungspflichten kann zu Bußgeldern führen. Zudem kann regelmäßig Schadensersatz vom Unternehmen und, unter bestimmten Voraussetzungen, von der Unternehmensführung selbst verlangt werden. Kommt die Unternehmensführung den Pflichten nicht nach, kann das Unternehmen Schadensersatz verlangen.

Die Unternehmensführung haftet grundsätzlich solidarisch auch für das Verhalten anderer Mitglieder der Unternehmensführung. Eine Berufung auf fehlende Kompetenz, z.B. weil der Geschäftsführer organisatorisch einen anderen Bereich verantwortet, ist grundsätzlich nicht möglich. Bei Verstößen können zuständige Behörden auch Untersagungsverfügungen verhängen oder eine vorhandene Erlaubnis zur Durchführung der Unternehmenstätigkeit widerrufen. Diese Verbote werden jedoch in der Regel als letztes Mittel ausgesprochen.

Nicht zu unterschätzen sind auch die Folgen für die Reputation des Unternehmens im Falle von Cyberattacken oder produktionsbedingten Datenverlusten. Dies gilt umso mehr, wenn personenbezogene Daten, speziell von Verbrauchern, betroffen sind. Schon aus diesem Grund muss die IT-Sicherheit eine hohe Priorität besitzen. 

Bildquelle: Thinkstock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok