IT-Sicherheit in der Zerspanungstechnik

Das Unternehmen, die FräBo Krause GmbH ist ein mittelständischer Dienstleister für Zerspanungstechnik mit 15 Mitarbeitern und Sitz in Nauen, Brandenburg. 1996 mit zwei Mitarbeitern gegründet, ist das Unternehmen heute auf Mittel- und Großserien von präzisen Bauteilen für viele unterschiedliche Branchen spezialisiert. Sie beliefern den allgemeinen Maschinenbau genauso wie die Medizintechnikbranche, den Schienenfahrzeugbau oder den Apparatebau. Seit 2019 ist FräBo Krause nach DIN EN ISO 9001:2015 zertifiziert.

Als innovationsorientiertes Produktionsunternehmen hat die Firma bereits verschiedene Digitalisierungsschritte umgesetzt. Das Unternehmen möchte die Produktions-Infrastruktur und IT weiter digital verbessern. Die Digitalisierung und der Ausbau der IT fordern FräBo-Krause dabei vielseitig heraus: Für welche Investitionen sollten sie sich entscheiden? Wie können sie externe Dienstleister gut steuern? Wie kann das Unternehmen die neue IT langfristig optimal managen und so Sicherheitsrisiken erkennen und bewerten?

Die Folge: Es fehlt derzeit noch ein Überblick über mögliche IT-Risiken und die geeigneten Gegenmaßnahmen. Erst mit dem Überblick kann ein geeigneter Aktionsplan aufgestellt werden, der FräBo Krause ausreichend vor Gefahren, wie bspw. Spionage, Datenverlust und Ausfall von Systemen, schützt.

Der Wunsch: Das Unternehmen möchte den IST-Zustand der IT-Sicherheit prüfen lassen. Es wünscht sich eine Empfehlung, welche Maßnahmen es realisieren muss, um die IT-Sicherheit ganzheitlich und an besonders kritischen Stellen zeitnah, punktuell und effektiv zu erhöhen. Gleichzeitig erhofft sich das Unternehmen, damit ein größeres internes Wissen zum Umgang mit IT-Risiken aufzubauen.

Die Lösung:

Folgende Maßnahmen gegen IT-Risiken, die das Unternehmen entweder bereits umgesetzt hat oder noch plant, können auch für andere Unternehmen nützlich sein.

1. Rollenmanagement beim Zugriff auf digitale und analoge Firmeninterna:

Indem das Unternehmen Rollen und Berechtigungen in seinem IT-System zuteilt, also strukturiert festlegt, wer auf welche internen Informationen zugreifen und sie anpassen kann, erhöht es die Sicherheit unternehmensrelevanten Wissens und der Prozesse.

2. Schutz vor Schadprogrammen

Um sich vor Schadprogrammen zu schützen und somit auch das Unternehmensnetzwerk, kann beispielsweise ein Mailserver genutzt werden, der die Filterung und Analyse von Anhängen unterstützt. Damit kann ein Unternehmen verhindern, dass Malware oder Ransomware auf dem Arbeitsgerät installiert oder sogar das gesamte Netzwerk infiziert wird.

3. Schutz der Netzwerke vor IT-Risiken

Sollte ein Angreifer sich durch einen Trojaner oder einen Angriff vor Ort Zugriff zum Netzwerk verschaffen, kann er auf alle Teile im Netzwerk zugreifen. Deshalb können getrennte Netzwerke mögliche Schäden reduzieren, z.B. durch ein Netzwerk für die Produktionshalle und ein Netzwerk für

das Büro. Sollte ein WLAN für Mitarbeiter geplant sein, sollte auch dieses vom restlichen Netzwerk getrennt werden.

4. Sensibilisierung der Mitarbeitenden für IT-Risiken

Mitarbeitende, die direkt an der Kommunikation beteiligt sind, sollte das Unternehmen im Umgang mit Kommunikationsmedien wie einfachen Emailprogrammen schulen.

Zudem sollte es sie dafür sensibilisieren, nur autorisierte Geräte an den Arbeitsgeräten zu nutzen.

5. Datensicherungskonzept

Die Daten des Servers sollten täglich als Backup auf einem NAS (engl. Network Attached Storage, dt. netzgebundener Speicher) gespeichert werden. Doch zusätzlich sollten Unternehmen ein Backup-

Konzept für dieses NAS etablieren. Das heißt, es sollte festlegen wer wann wie das Backup auf Funktionsfähigkeit testet. Denn ohne regelmäßige Testläufe besteht die Gefahr, dass das Backup im Notfall z.B. aufgrund eines Dateifehlers dann doch nicht funktioniert.

6. Regelungen für Hardware-Nutzung

Auch die Hardware eines Unternehmens ist physischen Risiken ausgesetzt. Um zu verhindern, dass Arbeitsgeräte oder externe Speichermedien entwendet werden, können sogenannte Kensington Schlösser die Gerätschaft vor Ort sichern.

Zum Transport von Daten sollten Mitarbeitende keine privaten USB Sticks verwenden und mobile Geräte sollten sie nicht mit den Arbeitsgeräten verbinden. Infizierte Datenträger könnten das Netzwerk oder einzelne Arbeitsgeräte infizieren. Zudem könnten sich auf Datenträgern sensible Daten befinden, die nicht vollständig gelöscht werden können. Dagegen hilft es, wenn private Datenträger privat und dienstliche Datenträger dienstlich bleiben und Mitarbeitende diese jeweils nur dort nutzen.

Um zu verhindern, dass Schadsoftware über USB Sticks in das Netzwerk gelangt, sollten Unternehmen USB-Steckplätze zusätzlich absichern. Zudem bietet es sich an, USB-Ladestationen zur Verfügung zu stellen, um zu verhindern, dass Mitarbeitende mobile Geräte zum Laden an die Firmenhardware anschließen.

7. Softwarekonzept gegen IT-Risiken

Veraltete Software beinhaltet oft bekannte Sicherheitslücken, die Kriminelle während Angriffsversuchen kontinuierlich testen und ausnutzen können. Unternehmen sollten einen Update-Prozess etablieren. Dabei ist es am besten, wenn man ein Basis-Setup definiert, dass auf jedem

Arbeitsgerät installiert ist und dieses um die individuellen Anforderungen des Nutzers erweitert.

Die Vorgehensweise im Projekt:

1. Problemanalyse

– Identifikation von zentralen Ängsten und der Motivation zur Erhöhung der IT-Sicherheit

– Bereitstellung der vorhandenen IT-Dokumentation

2. Situationsanalyse

– Befragung der Geschäftsführung zu Themen der IT-Sicherheit

– Sichtung von Dokumenten

– Rundgang durch den Betrieb (Fokus: Sichtung von IT-Hardware)

– Zusammenarbeit mit dem IT-Dienstleister des Unternehmens, um Fragen der Situationsanalyse zu vervollständigen

3. Erstellung des Gesamtkonzepts