Security for SafetyVorsorge ist die beste Verteidigung: So schützen Sie ihr Unternehmen vor Hackern
Ein Gastbeitrag von
Sebastian Dännart, Director IT Security Consulting der Infodas GmbH Niederlassung München; Nicolas Bennerscheid, Geschäftsführer der TUEG Schillings GmbH; Lars Stephan Büldt, Projektingenieur der TUEG Schillings GmbH
13 min Lesedauer
Cyperangriffe sind der Gau für jedes Unternehmen der Prozessindustrie. Doch man kann sich schützen. Welche Security-Maßnahmen Sie ergreifen sollten, beleuchtet unser Gastbeitrag.
Das Symbolbild signalisiert: Die meisten Hackerangriffe starten mit einer Phishing-Attacke.
(Bild: Montri - stock.adobe.com)
Der Risiko-Report der Allianz aus dem Jahr 2023 analysiert, dass Cyberangriffe neben Betriebsunterbrechungen seit Jahren als das größte Risiko für Unternehmen gelten. Tatsächlich sind Betriebsunterbrechungen wiederum oft Folgen von Cybervorfällen, da diese selten lediglich digitale, nicht-betriebsrelevante Prozesse beeinträchtigen.
Der TÜV erklärt auf seiner Webseite den Unterschied zwischen Safety, der Unfallvermeidung, und Security, der Kriminalprävention. Ein Grund für Betriebsunterbrechungen kann der Einfluss eines Cybervorfalls (Security) auf Themenbereiche der Unfallvermeidung im Produktionsablauf (Safety) sein.
Aus diesem Grund lohnt es sich, einen Blick auf die Risiken für Safety-Mechanismen durch Cybervorfälle zu werfen und die Möglichkeiten, sich durch Security-Maßnahmen vor diesen Risiken zu schützen.
Praxisbeispiel Tankabfüllung
Ein einfaches, ganz konkretes Beispiel für ein Risiko durch den Verlust der Vertraulichkeit von Informationen zeigen wir anhand eines Tanks, der zur Abfüllung potenziell gefährlicher Medien (bspw. Flüssigkeiten) in einen Tankwagen genutzt wird
Beschreibung des Beispielaufbaus
Der Tank B001 dient zum Puffern von gefährlichem Medium (bspw. Flüssigkeit). Sein Füllstand wird durch Bodendruckmessung LT6213 überwacht. Bei Überschreiten des oberen Grenzwertes wird das Ventil V-617 im Zulauf des Tank B001 geschlossen.
Zusätzlich wird ein kritischer Füllstand in B001 durch eine Schwinggabel LZA101 überwacht. Bei Erreichen des kritischen Füllstandes wird das zusätzliche Sicherheitsventil V(Z)-104 im Zulauf geschlossen. Des Weiteren existiert eine mechanische Überfüllsicherung, die bei vollständig gefülltem Tank B001 ein Überlaufen in den Behälter B002 ermöglicht.
Speichertank zur Abfüllung mit umliegenden Komponenten
(Bild: TUEG Schillings)
Der Tank kann durch einen Schlauch entleert werden, der durch das Ventil V-620 verschlossen ist. Dieses Ventil kann durch eine Handbedienung vor Ort geöffnet werden, unter der Voraussetzung, dass der Zufluss geschlossen ist.
Warum sind die Informationen in diesem System schützenswert?
Das Risiko eines physischen Ausfalls oder der Einschränkung der Verfügbarkeit - beispielsweise der Sensoren LZA101 oder LT6213 - ist intuitiv und wird unter anderem gut durch den physischen Überlauf in Behälter B002 mitigiert. Aber warum sollten Informationen über das System und die Konfiguration der Komponenten schützenswert sein und vertraulich behandelt werden?
Zunächst kann die reine Kenntnis über die Architektur eine Basis für Angriffe darstellen:
Die Information, dass der Tank B001 als Puffer für gefährliche Medien dient, könnte einen Anreiz für einen Angreifer darstellen, durch gezielte Manipulation oder Sabotage des Tanks das gefährliche Medium freizusetzen oder anderweitig Schaden anzurichten.
Die Existenz einer mechanischen Überfüllsicherung und eines Überlaufbehälters (B002) mit begrenztem Volumen könnte für einen Angreifer von Interesse sein. Durch gezielte Manipulation oder Sabotage könnte der Angreifer das Überlaufsystem umgehen oder überladen, um ein potenzielles Umwelt- oder Sicherheitsrisiko zu schaffen.
Die Tatsache, dass der Tank durch einen Schlauch entleert werden kann und ein Ventil dafür existiert, könnte ein potenzielles Ziel für einen Angreifer darstellen. Durch unbefugtes Öffnen des Ventils oder Manipulation des Entleerungssystems könnte er das Medium unkontrolliert freisetzen oder eine unerwünschte Entleerung verursachen.
Neben der Architektur kann die Kenntnis von Parametern ein mittelbares Risiko darstellen:
Wenn ein Angreifer beispielsweise weiß, bei welchem Grenzwert der Bodendrucksensor LT6213 das Ventil V-617 schließt, kann ein Angriff auf die Verfügbarkeit des Tanks gezielt auf die Veränderung des entsprechenden Parameters durchgeführt werden.
Gerade in modernen Anlagen, in denen die Sensoren vernetzt sind und Parameter in digitalen Systemen gespeichert werden, sind ebendiese Parameter auch ausles- bzw. angreifbar.
Wie kann ich diese Informationen schützen?
Ganz konkret müssen die oben genannten Informationen zunächst gemäß der Klassifikationsrichtlinie des Unternehmens bewertet und eingestuft werden. Damit geht oft ein bestimmtes, vorgeschriebenes Schutzniveau einher.
Im Falle der Informationen zur Architektur des Systems sollten die entsprechenden Informationen in zugriffsgeschützten Bereichen des Netzwerkspeichers liegen und gemäß des Need-to-know-Prinzips ausschließlich den Personen zugänglich sein, die Kenntnis zur Verrichtung ihrer Arbeit dauerhaft benötigen. Je nach Kritikalität ist eine zusätzliche Verschlüsselung der jeweiligen Daten zu empfehlen.
Auch der Schutz der Informationen während der Kommunikation ist zu beachten: ein verschlüsselter Transport via Schnittstelle oder E-Mail sollte bei schützenswerten Informationen Standard sein. Zudem können in Systemen, in denen ein Datentransfer zum Beispiel nur für das Auslesen von Parametern in eine Richtung notwendig ist, Datendioden implementiert werden.
Auf die Parameter der Anlage bezogen, ist ein Zugangsschutz des Systems und ein konsekutiver Zugriffsschutz zur Verhinderung der unbefugten Änderung der entsprechenden Parameter notwendig.
Zur Prävention des Netzwerkszugriffs auf die Anlagen selbst ist eine möglichst engmaschige Netzwerksegmentierung die absolute Basis. So können bereits auf Netzwerkebene Zugriffe blockiert werden. Durch Mikrosegmentierung kann bereits auf dieser Ebene ein hohes Maß an Sicherheit erreicht werden.
Dies sind nur einige konkrete Beispiele für Maßnahmen, welche zur Mitigation der oben beschriebenen Risiken zu empfehlen sind.
Wie funktioniert so ein Angriff überhaupt?
Im Kontext der Informationssicherheit unterscheidet man bei Angriffen drei unterschiedliche Schutzziele und deren Verletzung:
Vertraulichkeit: Informationen sind lediglich den Personen und Systemen zugänglich, die dazu berechtigt sind.
Integrität: Informationen, Parameter und Prozessabläufe können nicht unbemerkt und ausschließlich durch berechtigte Personen und Systeme verändert werden.
Verfügbarkeit: Informationen und Systeme sind genau dann funktionssicher verfügbar, wenn diese benötigt werden.
Jede Verletzung eines oder mehrerer Schutzziele kann unmittelbaren Einfluss auf Geschäftsprozesse und damit mittelbar auf die Wertschöpfung eines Unternehmens haben. Genau wie bei einem physischen Einbruch in Infrastrukturen, gehen Angreifer in der Regel nach einem Muster vor, um an geschützte Informationen zu gelangen oder empfindliche Geschäftsprozesse zu stören. Die Cyber Kill Chain von Lookheed Martin repräsentiert beispielhaft den Ablauf eines solchen Angriffs.
Abbildung 1: Exemplarischer Angriffsverlauf auf Basis der Cyber Kill Chain von Lookheed Martin
(Bild: Lookheed Martin)
Viele Angriffe starten mit der Ausspähung und Sammlung von Informationen, zum Beispiel durch Phishing oder Social Engineering. Dabei werden zunächst Informationen über das Ziel gesammelt, welche für initiale Angriffe genutzt werden können. Gelingen Phishing-Angriffe, können hier bereits erbeutete Zugangsdaten für den komfortablen Zugang zum Zielsystem genutzt werden.
Diese Informationen liefern Angreifern einen Ausgangspunkt für den eigentlichen Angriff und die Möglichkeit zur Ausnutzung von Sicherheitslücken der Systemen des Ziels. Nach dem Eindringen in die Systeme, wird sich der Angreifer eine „Hintertür“ für den weiteren Zugriff einrichten und seine Position durch eine laterale Ausbreitung stärken.
Zuletzt beginnt der eigentlich schädliche Akt, indem Systeme ferngesteuert oder manipuliert sowie Daten abgezogen oder verschlüsselt werden.
Auch wenn Daten häufig erst im letzten Schritt eines professionell vorbereiteten Cyberangriff abfließen, lassen sich für jeden einzelnen Schritt der gezeigten Angriffsfolge geeignete Gegenmaßnahmen ergreifen.
Regulatorische Anforderungen an Informationen mit Bezug zur Safety
Gesetzliche und behördliche Anforderungen spielen eine wichtige Rolle bei der Gewährleistung der Vertraulichkeit von Daten in Prozessanlagen. Viele Branchen, wie z. B. die Öl- und Gasindustrie, die chemische und die pharmazeutische Industrie, unterliegen strengen Vorschriften, die den Schutz sensibler Informationen, einschließlich funktionaler Sicherheitsparameter und -daten, regeln. Besonders an Störfallbetriebe und Betriebe der Kritischen Infrastruktur werden durch das IT-Sicherheitsgesetz und die Störfallverordnung Vorgaben zum Schutz der Anlagen vor und zur Erkennung von Cyberangriffen gemacht.
Das IT-Sicherheitsgesetz schreibt vor, dass Betreiber Kritischer Infrastrukturbetriebe Systeme zur Angriffserkennung einsetzen (BSIG §8a 1a). Dies beinhaltet auch eine Überwachung der Vertraulichkeit von Daten, da wie zuvor dargestellt, bereits das Ausspähen von Zielen Bestandteil des initialen Angriffs sein kann.
In der aktuellen Auslegung der Störfallverordnung wird unter §8 „Konzept zur Verhinderung von Störfällen” auch die Pflicht verstanden, dass ein Anlagenbetreiber Maßnahmen zum Schutz der Anlage vor Cyberangriffen ergreift. Konkretisiert werden diese Maßnahmen in behördlichen Leitfäden, wie zum Beispiel dem Leitfaden KAS-51 der Kommission für Anlagensicherheit im Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit. In diesem wird konkret die Vertraulichkeit bezüglich verwendeter Schutzmaßnahmen als Basismaßnahme gefordert. Zudem sind Anlagen so zu sichern, dass Störfälle ohne interne Kenntnisse nicht ausgelöst werden können. Diese Vorgaben zielen explizit auf die Vertraulichkeit von Sicherheitsparametern als Schutzziel ab.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Wie wirken Datenlecks auf Aspekte der Safety?
Nicht zuletzt durch die Digitalisierung physischer Geschäftsprozesse und die digitale Steuerung von Anlagen und Maschinen sowie die Nutzung von erzeugten Daten, haben die Schutzziele der Informationssicherheit eine erhöhte Relevanz auch für die Arbeitssicherheit und Unfallvermeidung erhalten.
Neben offensichtlichen Auswirkungen einer eingeschränkten Verfügbarkeit von Systemen oder Mechanismen an Anlagen zum Schutz des Menschen, hat auch die Verletzung der Vertraulichkeit bestimmter Informationen Auswirkungen auf Aspekte der Safety.
Mögliche Auswirkung von Vertraulichkeitsverlust auf die Safety
Die Risiken, die mit der Verletzung der Vertraulichkeit von Informationen in prozesstechnischen Anlagen verbunden sind, insbesondere in Bezug auf Parameter und Daten der funktionalen Sicherheit, können schwerwiegende Folgen haben. So kann das Bekanntwerden von Sicherheitsparametern, wie zum Beispiel Grenzwerten für Temperatur oder Druck, Aufschluss über gefährliche Zustände der Anlage geben. Dies kann bei einem Angriff die Erfolgsaussichten für den Angreifer erhöhen und so zu einer Beeinträchtigung der betrieblichen Integrität und erhöhten Sicherheitsrisiken sowie potenziellen Unfällen oder Störfällen führen.
Buchtipp IT-Sicherheit
Die beiden Fachbücher „Industrial IT Security“ und „Cybersicherheit“ führen Sie grundlegend und praxisnah an die aktuellen Herausforderungen der IT-Sicherheit heran. „Industrial IT Security“ legt einen Fokus auf den Schutz vernetzter Steuer- und Sensorsysteme in heutigen Produktionsanlagen entlang der Automatisierungspyramide. „Cybersicherheit“ beleuchtet das Thema stärker aus einer Management-Perspektive und geht dabei insbesondere auf die drei technischen Aktionsfelder IT, IoT und OT sowie auf die Unternehmensorganisation und das Risikomanagement ein.
Darüber hinaus können Datenverletzungen in Prozessanlagen zum Diebstahl von geistigem Eigentum, zum Verlust von Wettbewerbsvorteilen und zur Schädigung von Geschäftsbeziehungen führen. Dies ist dann der Fall, wenn Informationen über verwendete Rezepte aus den gestohlenen Daten gewonnen werden können. Daher ist die Gewährleistung zuverlässiger Maßnahmen zur Wahrung der Vertraulichkeit von Daten in Anlagen von entscheidender Bedeutung, um Risiken zu mindern und potenziell verheerende Folgen zu verhindern.
Alle Sicherheitsparameter, die direkt mit dem sicheren Betrieb der Prozessanlage verbunden sind oder erhebliche Auswirkungen auf die Prozesssicherheit haben, sollten folglich auch gegen eine Verletzung der Vertraulichkeit geschützt werden. Dazu können Parameter im Zusammenhang mit Notabschaltsystemen, sicherheitsgerichtete Funktionen oder kritische Prozessvariablen gehören.
Angenommen, es handelt sich um eine chemische Störfallanlage, die gefährliche Chemikalien verarbeitet. Die Prozessdaten umfassen Informationen über die Handhabung, Lagerung und Entsorgung dieser Chemikalien sowie die Sicherheitsmaßnahmen zum Schutz der Umwelt. Wenn diese vertraulichen Prozessdaten in die falschen Hände geraten, beispielsweise durch ein Datenleck oder einen unbefugten Zugriff auf das System, könnte dies zu einem unsicheren Zustand führen.
Vertrauliche Prozessdaten enthalten oft Informationen über Sicherheitsvorkehrungen wie Überwachungssysteme, Alarme und Notfallpläne. Bösartige Akteure können mit dieser Kenntnis gezielt Sicherheitssysteme manipulieren oder umgehen, beispielsweise indem sie Schwellwerte für Alarme verändern oder Sensorkonfigurationen manipulieren, um ein Abschalten zu verzögern. Dies könnte zu einer unerkannten Freisetzung gefährlicher Chemikalien führen, wenn Ventile unerwartet geöffnet werden oder Füllstände nicht korrekt erfasst werden, was wiederum zu Umweltverschmutzungen und Gefahren für Mensch und Tier führt.
Dieses Vorgehen, also das gezielte Abschalten von industriellen Notfallsystemen, insbesondere von Steuerungen, ist eine der Hauptfunktionen der modernen Malwarepakete „Industroyer2“, welches 2022 in der Ukraine mit dem Ziel eingesetzt wurde Versorgungsnetze zu stören, und „Pipedream“/“Incontroler“, einem in den USA entdeckten Malwarepaket unbekannter Herkunft.
Feststellung des Schutzbedarfs mit Fokus auf Safety
Um beurteilen zu können, welche Informationen und Kommunikationsflüsse schützenswert sind, muss zunächst klar sein, welche Auswirkungen ihrer Kenntnis oder Veröffentlichung hätte. Eine sogenannte Schutzbedarfsfeststellung hilft dabei, das nötige Niveau von Schutzmaßnahmen zu ermitteln.
Abbildung 3: Feststellung des Schutzbedarfs von Informationen und der resultierenden Anforderungen
(Bild: TUEG Schillings)
Dabei muss zunächst die Identifizierung von relevanten Informationen stattfinden. Diese trivial klingende Aufgabe ist meist mit einer intensiven Analyse der am Prozess beteiligten Systeme sowie der Geschäftsprozesse selbst verbunden und involviert zwingend Personal aus den Fachabteilungen, wobei eine gute Systemdokumentation sowie ausgereiftes Geschäftsprozessmanagement eine sehr gute Basis sind. Zusätzlich ist speziell bei der Schutzbedarfsfeststellung von Sicherheitsparametern in einer verfahrenstechnischen Anlage, ein umfassendes Verständnis der Prozesssicherheit und der Konzepte der funktionalen Sicherheit nötig. Einschlägigen Industrienormen und -vorschriften geben hier teilweise bereits Anforderungen vor.
Sind die relevanten Daten und Informationen bekannt, kann die jeweilige Auswirkung eines Verlustes eines der Schutzziele bewertet werden. Wie bei der Identifizierung ist hier wieder die Fachabteilung im Fokus, da nur durch sie eine valide Folgenabschätzung (Business Impact Analyse) erfolgen kann. Sind die Auswirkungen bewertet, kann der nötige Schutzbedarf individuell definiert werden.
Aus dem Schutzbedarf ergeben sich Anforderungen, deren Umsetzung nun durch IT-Fachpersonal überprüft werden kann. Zugrunde liegen hier in der Regel regulatorische Vorgaben oder anerkannte Standards, wie der BSI IT-Grundschutz. Da die Umsetzung von Maßnahmen meist nicht kostenneutral vonstattengeht, empfiehlt es sich immer Risiko-basiert vorzugehen, sodass eine Priorisierung der notwendigen Maßnahmen möglich ist.
Maßnahmen zum Schutz der Vertraulichkeit relevanter Systeme
Um erkannte Risiken durch die Verletzung der Vertraulichkeit von Informationen und Parametern zu mitigieren, sollten passende Maßnahmen identifiziert und priorisiert werden. Diese können dabei unterschiedlichen Kategorien zugeordnet werden: technische, infrastrukturelle, organisatorische und personelle Maßnahmen.
Technische und infrastrukturelle Maßnahmen zum Schutz der Vertraulichkeit
Unter technischen und infrastrukturellen Maßnahmen werden Aktionen, Verfahren oder Instrumente verstanden, welche auf physischer sowie auf Hard- oder Software-Basis Vertraulichkeit von Daten und Informationen schützen. Maßgeblich sind hier Systeme des Zutritts-, Zugangs und Zugriffsschutz.
Welchen Status haben die Daten?
Um geeignete Schutzmaßnahmen zu identifizieren, muss unterschieden werden, in welchem Zustand sich die zu schützenden Daten und Informationen befinden: handelt es um Informationen und Parameter auf einer Festplatte oder einem Datenträger, also „data at rest“, oder werden sie bewegt bzw. kommuniziert und sind damit „data in transit“.
Für die Vertraulichkeit von „data at rest“ steht der Zugriffschutz durch Berechtigungsvergabe sowie die Möglichkeit der Verschlüsselung der einzelnen Informationen oder gesamter Festplatten im Vordergrund. Basis ist hier ein Berechtigungskonzept, welches in den organisatorischen Maßnahmen beschrieben wird.
Bei „data in transit“ hat der Schutz der Kommunikation oberste Priorität. Ist ein Informationstransfer nötig und vorgesehen, kann hier ebenfalls auf die Verschlüsselung der Daten und Informationen zurückgegriffen werden. Darüber hinaus kann die Kommunikation automatisiert über Security Gateways und Datendioden auf bestimmte Inhalte, Datentypen oder Kommunikationsrichtungen beschränkt werden. Durch diese Art der Filterung sind auch nicht-verschlüsselbare Steuerungssignale oder Parameter im Kontext industrieller Anwendungen möglich.
Auch infrastrukturelle Maßnahmen können eine Rolle für die Vertraulichkeit von Informationen spielen. Beispiele sind Sicht- und Abhörschutz, wie verspiegelte Fensterfronten in relevanten Bereichen, und Sicherheitssysteme zum Zutrittsschutz, wie Vereinzelungsanlagen um unbefugten Zutritt zu verhindern.
Die notwendige Stärke der Maßnahmen basiert auf dem Schutzbedarf der einzelnen Daten und Informationen und kann und sollte risikobasiert priorisiert werden.
Organisatorische und personelle Maßnahmen zum Schutz der Vertraulichkeit
Häufig sind technische Maßnahmen aufgrund der Rahmenbedingungen nicht möglich oder verhindern den reibungslosen Ablauf von Geschäftsprozessen in einem nicht tragbaren Maße. Obwohl technische Maßnahmen den verlässlicheren Schutz bieten, kann in diesem Fall auf organisatorische Maßnahmen zurückgegriffen werden.
Zu den organisatorischen Maßnahmen gehören vor allem Konzepte, welche Sicherheitsmaßnahmen und deren Umsetzung beschreiben sowie Leit- und Richtlinien, welche den relevanten Stakeholdern die Einhaltung bestimmter Verhaltensweisen vorschreiben.
Die grundlegendsten – und auch für das Design späterer, technischer Maßnahmen notwendigen – Richtlinien beschäftigen sich dabei mit der Einstufung und Klassifikation von Informationen sowie dem Umgang mit eben diesen unterschiedlich klassifizierten Daten und Informationen. Ein ausgereiftes Berechtigungskonzept definiert darauf aufbauend, wer auf welche Daten und Informationen zugreifen und diese verändern oder löschen darf.
Da auch die beste technische Maßnahme und optimale organisatorische Rahmenbedingungenunbedeutend sind, wenn Mitarbeiter Informationen freiwillig oder aus Versehen freigeben, ist die zielgruppenspezifische Sensibilisierung und Awareness aller Mitarbeiter essentiell. Dies beinhaltet - neben dem Bewusstsein für die Relevanz von Daten und Informationen - auch das Wissen darüber, warum die Einhaltung organisatorischer Maßnahmen tatsächlichen Schutz gewährleistet.
Wiederholte Schulungen und Awareness-Kampagnen können dabei zu einer Art „Security-Hygiene“ beitragen. Mitarbeiter beherrschen dann im (Arbeits-)Alltag ganz intuitiv sicherheitsrelevante Maßnahmen und tragen so aktiv zum Schutz der Vertraulichkeit von Daten und Informationen bei.
Security for Safety, nicht nur für Compliance
Verantwortliche für kritische Sicherheitsparameter und Daten in Prozessanlagen müssen sich der großen Bedeutung der Vertraulichkeit für die Sicherheit unserer Betriebe bewusst sein. Es darf dabei nicht in erster Linie um die Compliance zu bestimmten Gesetzen oder Regulatorien gehen, sondern vor allem darum, die Sicherheit – Security und Safety –zu erhöhen.
Denn die schlechte Nachricht ist: Datenabflüsse und Vertraulichkeitsverletzungen können sowohl Gefahr für Leib und Leben und Sicherheitsvorfälle als auch Betriebsunterbrechungen zur Folge haben.
Die gute Nachricht ist: es gibt Möglichkeiten, diese Risiken zu minimieren und die Auswirkungen zu dämpfen: Eine solide Basissicherheit und individuelle Analyse der eigenen Prozesse und Systeme bildet hier einen grundlegenden Schutz und ermöglicht einen ressourcenschonenden Fokus auf die “Kronjuwelen” des Unternehmens. Je nach Unternehmen kann diese Analyse intern oder mit externer Unterstützung durchgeführt werden.
So können gezielt geplante Maßnahmen an die individuellen Anforderungen des einzelnen Unternehmens angepasst werden – und somit einen wirtschaftlichen Beitrag zum Unternehmenserfolg leisten. Und ganz nebenbei erfüllen Sie auch noch die gesetzlichen Vorgaben.
:quality(80)/p7i.vogel.de/wcms/4d/61/4d6191690a95e72ef6d8e67b08fc6be0/0129325345v2.jpeg "Lukas Zimmermann (links) führt die Azo-Gruppe künftig gemeinsam mit seinem Vater Rainer Zimmermann (rechts). (Bild: www.fabh.de Horst Bernhard)")
:quality(80)/p7i.vogel.de/wcms/de/fa/default_article/default-article-image.jpeg "(Maks Lab - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/86/1d86288eeba1b3544242aa294c77314c/0129251629v2.jpeg "Mit der Baureihe DA 5112/ DA 5152 hat Ruwac mobile Industriesauger für das Aufnehmen großer Staub- bzw. Schüttgutmengen entwickelt, die sich auch im stationären Betrieb bewähren. (Bild: Ruwac)")
:quality(80)/p7i.vogel.de/wcms/ed/01/ed017da1d17e336975a4d16f18e52175/0129307971v2.jpeg "Dank seiner Zwei- und Dreipunktregelung mit Selbstoptimierung gewährleistet der Jumo favoTron eine hohe Regelgüte und damit effiziente und zuverlässige Abläufe. (Bild: Jumo)")
:quality(80)/p7i.vogel.de/wcms/5b/7c/5b7c36de7a8ce0c912d94c3720430caa/0129005682v1.jpeg "Fluorid im Trinkwasser gilt als wirksame Maßnahme der Kariesprävention. Eine Schweizer Studie hat nun überprüft, ob dies im Zusammenhang mit niedrigeren Geburtsgewichten und mehr Frühbeurten steht. Ergebnis: Man fand keine solchen negativen Effekte auf Neugeborene. (Symbolbild) (Bild: © Andreas Schuepbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/25/b2252e0d74827c474938a19f667a1841/0127827374v1.jpeg "Die zunehmende Mikroplastikverschmutzung unserer Umwelt ist nicht nur eine ökologische Herausforderung, sondern zunehmend auch ein wirtschaftliches und rechtliches Risiko für Industrie und Kommunen. Mit der überarbeiteten EU-Kommunalabwasserrichtlinie wird systematisches Mikroplastik-Monitoring erstmals zur Pflicht. (Symbolbild) (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/b0/cfb0e7efb9b6e5672ff50b43a07d179e/0128888473v1.jpeg "Rita Triebskorn und Heinz Köhler bei der Arbeit mit dem KI-gestützten BCFpro-Programm, mit dem der Biokonzentrationsfaktor (BCF) zur Anreicherung von Chemikalien in Fischen theoretisch erhoben wird. (Bild: Institut für Evolution und Ökologie/Universität Tübingen)")
:quality(80)/p7i.vogel.de/wcms/a0/17/a01720c3e123e049081d0dbbd75f3fcc/0129243154v1.jpeg "Das Wasserstoffprojekt in Hünfeld-Michelsrombach besteht aus Elektrolyseur, Tankstelle und Trailer-Abfüllstation. (Bild: Jumo)")
:quality(80)/p7i.vogel.de/wcms/78/08/78082e2c5c40c2cf391113c8a9c42f97/0128109021v3.jpeg "„In vielen europäischen Chemieanlagen sinkt die Arbeitsproduktivität seit über einem Jahrzehnt – nicht nur wegen steigender Energiepreise, sondern auch durch alternde Belegschaften, unzureichende Digitalisierung und wachsende Dokumentationspflichten”, erklärt Christoph Rosenthal, Technical Solution Consultant, bei Hexagon (per Videokonferenz zugeschaltet) im Podcast PROCESS-Redakteur Stephan Dominik (li.). (Bild: PROCESS/Wühr)")
:quality(80)/p7i.vogel.de/wcms/12/83/1283246d899bd3f5a05814d7308971d8/0129304643v1.jpeg "Die intelligenten Systeme von Sopat nutzen eine fotooptische, bildbasierte Inline-Technologie, um Partikel, Tropfen und Blasen in Echtzeit direkt im laufenden Prozess ohne Zeitverzögerung zu analysieren. (Bild: Endress+Hauser)")
:quality(80)/p7i.vogel.de/wcms/b2/af/b2af357d3000af6cfd0b0d45ec5f3bf4/0128614557v3.jpeg "Sigraflex Hochdruck Flachdichtungen (Bild: SGL Carbon)")
:quality(80)/p7i.vogel.de/wcms/ae/65/ae65eea28684d201331aa6401287dbf8/0128892035v3.jpeg "Ohne H geht es nicht: Die Defossiliesierung weiter Teile von Industrie und Gesellschaft sind ohne Wasserstoff und Carbon Capture nur schwer vorstellbar. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/c4/fb/c4fb92911392c8c6ad17d5ea66ed5f38/0129337210v3.jpeg "„Wir schaffen eine Entscheidungsgrundlage am Anfang eines Projekts. Unsere Aufgabe ist es, Komplexität zu strukturieren und Entscheidungssicherheit herzustellen, bevor Engineering und Bau beginnen“, so Jan Schwartze, Bereichsleiter Technologie & Verfahrenstechnik der EDL. (Bild: EDL)")
:quality(80)/p7i.vogel.de/wcms/66/e1/66e19d7e4bf91b1e5a639daa038c3cd6/0129082515v2.jpeg "Gleich geht's los. Ein spannendes Gespräch über die Frage „Wie digital ist die Prozessindustrie?“ startet. (Bild: PROCESS)")
:quality(80)/p7i.vogel.de/wcms/a8/7c/a87c2d01ccd36496638637178183d07b/0129245468v2.jpeg "Covestro hat die Kapazität der TDI-Anlage in Shanghai auf 370.000 Tonnen erweitert. (Bild: Covestro)")
:quality(80)/p7i.vogel.de/wcms/49/29/49293eff893c8b993290fb830c600c6c/0129209671v2.jpeg "Prof. Martin Gräbner (TU Bergakademie Freiberg), Dr. Peter Seifert (TU Bergakademie Freiberg), Dr. Mario Kuschel (CAC Engineering), Rene Alcaraz Frederiksen (CEO Kassø E-Methanol & Solar Park), Stefan Lorenz (CAC Engineering), Thomas Hornbogen (CAC Engineering), Shingo Takahashi (Mitsui & Co. Deutschland), Henrik Clarson (European Energy), Toshikazu Yamazaki (CCO Solar Park Kassø) vor der E-Methanol-Produktionsanlage in Kassø, Dänemark (Bild: Jacob Hartwig Larsen)")
:quality(80)/p7i.vogel.de/wcms/b4/02/b402fd47ca98642995187377c1b4d949/0129121902v2.jpeg "Die PAT Connect 2026 wird im Kurhaus in Badenweiler stattfinden. (Bild: Glatt Group)")
:quality(80)/p7i.vogel.de/wcms/68/79/6879aacc46a823c0a81b6a39c075427f/0128570614v2.jpeg "In Stahlmodulbauweise entsteht ein zweigeschossiges Produktionsgebäude: 833 Quadratmeter Laborfläche und 630 Quadratmeter für eine Technikzentrale im ersten Obergeschoss. (Bild: Roche)")
:quality(80)/p7i.vogel.de/wcms/fd/f7/fdf716906806b815cb6debe8fbaf62f0/0129277163v2.jpeg "Luftaufnahme der von Vetter erworbenen 40 Hektar großen Baufläche (markiert) in Saarlouis für den neuen Produktionsstandort. (Bild: Vetter Pharma)")
:quality(80)/p7i.vogel.de/wcms/e2/51/e251d428beab92c3f0a2b376be9d3e5c/0129020246v2.jpeg "Vetter hat weitere Meilensteine in der laufenden Entwicklung des V-OVS next Spritzenverschlusses erreicht. (Bild: Vetter Pharma)")
:quality(80)/p7i.vogel.de/wcms/c1/a7/c1a766d34977518c765d3ff11bebc3dc/0129353188v4.jpeg "Auf den ersten Blick wirken O-Ringe einfach und unscheinbar. Dabei handelt es sich um sensible Bauteile, die in der Praxis häufig falsch gehandhabt werden. (Bild: COG)")
:quality(80)/p7i.vogel.de/wcms/6f/2f/6f2f86fe7ea0fac31ec6e88ca16b582d/0126105420v1.jpeg "So sehen sie aus: Per- und Polyfluoralkylsubstanzen, kurz PFAS, mit stabilen Kohlenstoff-Fluor-Bindungen. Einst ob ihrer Beständigkeit begehrt, heute genau deswegen umstritten. (Bild: © Сергей Шиманович - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/10/1d10f518fa7bcf7c07fef62b4de409fb/0127811686v4.jpeg "„Wer nicht Ende 2027 CRA-compliant ist, wird 2028 in Europa nichts mehr verkaufen. Der Druck ist wirklich da!“ - Christoph Adam, Head of Product Management bei Softing (re.) im Gespräch mit PROCESS-Redakteur Dominik Stephan. (Bild: PROCESS/Kempf)")
:quality(80)/p7i.vogel.de/wcms/b0/cc/b0cc98ce9eb8868be3859cb513d2b594/0129211756v2.jpeg "Mit der Exlux Pro 6009 bietet R. Stahl eine Lösung, die Sicherheit, Effizienz und Digitalisierung vereint – für leuchtende Perspektiven in jeder Situation. (Bild: R. Stahl)")
:quality(80)/p7i.vogel.de/wcms/88/4b/884b2004cb12e4782e6412c7bf783c95/0129074527v4.jpeg "Wie lässt sich Sicherheit gewährleisten, wenn Ressourcen knapp sind? Die Richtlinie „VDI/VDE 2180 Blatt 5 E“ zur funktionalen Sicherheit versucht, darauf eine Antwort zu geben. (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1e/96/1e96aa3d993bf0e4ba0abb54537d814a/0128328412v4.jpeg "Die neue „SafeHMI“-Lösung umfasst Hima-Sicherheitssysteme und Funktionsbaustein-Bibliotheken sowie ein sicherheitsgerichtetes HMI-Panel, das auf der Icon-Trust-Technologie basiert. (Bild: HIMA Group)")
:quality(80)/p7i.vogel.de/wcms/ec/36/ec36fa6213e69b53b0ad3b9dcdb14cdb/0128002031v2.jpeg "v.l.n.r. Marcel Fahnenstich, Betriebsleiter Topas Advanced Polymers, Leuna, und Christian Wede, Geschäftsführer Actemium Contracting. (Bild: Actemium)")
:quality(80)/p7i.vogel.de/wcms/22/08/220838023496c3963cd3f54adfe813c8/0129310822v1.jpeg "Eine Studie der Renewable Carbon Initiative (RCI) sieht in EU-Vorschriften wie ETS, REDIII und PPWR weiterhin zentrale Hürden für den Einsatz erneuerbarer Kohlenstoffquellen in Chemikalien und Materialien. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/df/1d/df1d2b6fd6579b68ba1a676380528530/0124849034v3.jpeg "So sieht das aus: Eine typische Druckluftstation mit Luftkanälen zur Wärmerückgewinnung. Über die Kanäle wird die warme Luft in benachbarte Räume geleitet. (Bild: Kaeser)")
:quality(80)/p7i.vogel.de/wcms/8a/a1/8aa1cd7e3e60e8b6608f134cc51b2c8d/0128367970v1.jpeg "Power2Polymers aus Deutschland sicherte sich den ISC3 Innovation Challenge Award 2025. (Bild: Dechema)")
:quality(80)/p7i.vogel.de/wcms/ad/0c/ad0c5cda40a2d6c970f60acfae6be603/0128270121v2.jpeg "Nikolas Fleschhut, Director & Mitglied der Geschäftsleitung, HRtbeat GmbH (Bild: Sebastian Human)")
:quality(80)/p7i.vogel.de/wcms/fe/c0/fec0f87a15e8a446035ab3a45e9a49ba/0128235678v2.jpeg "Trotz Rückgang der Ausbildungsplätze hält die Mehrheit der Unternehmen in Rheinland-Pfalz an ihrem Ausbildungsniveau fest. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a7/07/a7073026d00e6acb55f94b5e4737445a/0128079349v2.jpeg "Der Aufsichtsrat von Bayer hat Dr. Judith Hartmann zum 1. März 2026 in den Vorstand berufen (Bild: Bayer)")
:quality(80)/p7i.vogel.de/wcms/71/b4/71b43f5588655bf89cbc3faeb311ea78/0126955685v3.jpeg "Hohe Effizienz und geringer Platzbedarf – damit glänzen die Schraubengebläse der EBS-Serie. (Bild: Kaeser)")
:quality(80)/p7i.vogel.de/wcms/9a/d9/9ad99104c6f6685d534af0dbef9c0ace/0126730715v1.jpeg "Interpon D2525 wurde für die Aluminiumfassade von The Shard in London verwendet, die mit Breeam Excellent bewertet wurde – einem weltweit anerkannten Standard zur Bewertung und Zertifizierung der Nachhaltigkeit von Gebäuden und Infrastruktur. (Bild: David Lichtneker)")
:quality(80)/p7i.vogel.de/wcms/f7/5a/f75aaf9fec8bfd3c7b97b6023578db8f/0126258414v2.jpeg "Schüttgut sicher im Griff (Bild: Vega)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/34900/34909/65.jpg "E H_Logo_Alternative_withClaim_colored_600px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/c9/67c9b10002572/asecos-box-weiss-250x250px.png "asecos-box-weiss-250x250px (asecos GmbH)")
:quality(80)/p7i.vogel.de/wcms/29/ea/29ea8941de8c9cb0a2e5756e468ca058/0112867753.jpeg "Das Kritis-Dachgesetz verlangt stärkere Schutzmaßnahmen von Betreibern von Einrichtungen der kritischen Infrastruktur. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/cf/e9/cfe92258e52559e7c0d87251b486799a/0124072679v2.jpeg "OT-Systeme in der Öl- und Gasindustrie sind essenziell für Betriebssicherheit – durch Digitalisierung steigen die Cyberrisiken deutlich. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/d5/2a/d52a63f3de1b47db03008a63f8637fa1/0126471889v1.jpeg "Datenkommunikation über Ethernet-Netzwerke muss besonders geschützt werden. (Bild: Softing)")