Die Auswirkungen der DSGVO auf die Industrie 4.0 – ein Blick von oben

Vernetzte Welten, Automatisierung der Auftragsabwicklung und digitale Informationsprozesse – Industrie 4.0 revolutioniert unsere Arbeitswelt – so zumindest die Vision. Die Digitalisierung ist aber nicht im Kern die technische Realisierung, sondern vielmehr der Spagat zwischen technischen Konzepten, Datensicherheit und Compliance unter Berücksichtigung von Aspekten der Wirtschaftlichkeit. Und hier sieht die Realität de facto vielfach noch ganz anders aus. Nicht zuletzt die Umsetzung der DSGVO hält uns nun einen Spiegel vor, auf welcher Stufe der Digitalisierung wir heute tatsächlich stehen. Eine Bestandsaufnahme – Expertenkommentar von Hans-Jürgen Fockel, Geschäftsführer des IT-Systemhauses LANOS aus Schloß Holte-Stukenbrock.

Die technischen Möglichkeiten zur Betriebsdatenerfassung und Vernetzung mit der Sensortechnik von Geräten, Maschinen und Anlagen etwa haben schon vor Jahren die ersten Industriebetriebe dazu veranlasst, ihre Wartungs- und Steuerungsprozesse zu reorganisieren. Dies sollte nicht nur die Bestellung von Ersatzteilen und Rohstoffen vereinfachen, sondern auch eine vorausschauende Wartung ermöglichen, um Ausfall- oder Stillstandzeiten zu umgehen. Die Maschinen- oder Anlagen-Wartung per Remote-Zugriff durch den Hersteller oder Dienstleister ist schließlich nicht nur bequem für Kunden und Hersteller gleichermaßen, sondern auch mit deutlich weniger Aufwand und Kosten verbunden. In welcher Form der Zugriff erfolgt, war dabei lediglich eine technisch zu lösende und weniger eine konzeptionelle Frage, in die der Geschäftsführer als in letzter Instanz Datenschutzverantwortliche oder Datenschutzbeauftragte als Überwachungsorgan einzubinden war. Welche Daten links und rechts von den benötigten Informationen abrufbar sind, fällt dabei vielfach unter den Tisch – vorsichtig ausgedrückt.

DSGVO indoktriniert Arbeitswelten

Trotz der Bemühungen rund um Verfahrensverzeichnisse, Dokumentationspflichten und Auftragsdatenverarbeitungsverträge, die die DSGVO uns abverlangt, hat sie doch schon ein wesentliches Ziel erreicht: sie hat unsere Industrie gelehrt, mit einer anderen Brille auf unsere (Datenverarbeitungs-)Prozesse zu blicken – auch jenseits von personenbezogenen Daten. Sie hat in Zeiten der industriellen Vernetzung und dem Internet der Dinge (IoT) das notwendige Bewusstsein der Geschäftsführung für die Datensicherheit entlang der gesamten Auftragsdatenverarbeitungskette geschärft. Für viele Industriebetriebe bedeutet dies, die bislang eher technologisch ausgerichteten Bestrebungen der Digitalisierung in ein ganzheitliches, konzeptionelles Gerüst einzubetten, welches neben der Workflowsteuerung und Prozessoptimierung auf der einen Seite auch infrastrukturelle Anpassungen zur Gewährleistung von Datensicherheits- und Risikomanagement-Anforderungen auf der anderen Seite vorsieht.

Netzwerke – so sicher wie das schwächste Glied

Zugegebenermaßen gibt es heute auch Beispiele aus der Industrie, die es sich positiv hervorzuheben lohnt – in unserer alltäglichen Arbeit im Systemhausgeschäft haben wir allerdings vielfach mit den Konstellationen zu tun,  in denen eklatante Compliance-Mängel auszuräumen und/oder spezifische Anforderungen – etwa im Zusammenhang mit IT-Sanierungsprojekten oder der Integration von komplexen Systemlandschaften – zu realisieren sind. Die meisten dieser Industriebetriebe verfügen über gewachsene Strukturen mit verschiedensten Insellösungen. Wenn ich beispielsweise einen Hochofen in einer Ziegelei betreibe, dann stellt dieser Ofen in meiner Infrastruktur eine Insellösung dar. Für die Mischersteuerung oder die Fertigung der Betondecken mit Zuschnittsoptimierung müssen weitere Insellösungen eingebunden werden – zusätzlich zu den vorhanden Maschinen und Anlagen. Diese Systeme laufen zwar spätestens in der Warenwirtschaft zusammen, doch muss auch diese in die kaufmännischen Bereiche des Unternehmens eingebunden werden. Öffnet man nun den Zugriff externer Gewerke aus dem Baugewerbe auf einzelne Insellösungen, ergeben sich mit der DSGVO-Brille schnell sehr komplexe Fragestellungen: Wie erfolgt der Systemzugriff? Welche Daten sind einsehbar? Wie ist der Zugriff auf andere Datensilos abgesichert? Welche Daten werden verarbeitet? Ist eine Anonymisierung oder Verschlüsselung der Daten erforderlich? Welche Daten werden wie lange gespeichert und welchen Kriterien liegt die Löschbarkeit zugrunde? Wie erfolgt die Sicherung beim angebundenen Unternehmen und werden diese Daten wiederum in anderen Gewerken weiterverarbeitet?

Dieses Beispiel soll zeigen, dass bei der Vernetzung von IT-Infrastrukturen im Zuge von Digitalisierungs-, Automatisierungs- oder Sanierungs-Vorhaben nicht die technologische Anbindung im Fokus steht, sondern vielmehr das „Drumherum“, das die eigentliche Disziplin und Dimension des Vernetzungs- und Digitalisierungsprozesses ausmacht. Denn mit der Vernetzung und Digitalisierung brechen viele neue Anforderungen herein, die zusätzliche Risiken für das Unternehmen und das bestehende Kollaborations-Netzwerk mitbringen. Zahlreiche Unternehmen sind genau damit überfordert. Einer aktuellen Erhebung des Fraunhofer Instituts für Arbeitswirtschaft und Organisation unter mehr als 500 Fertigungsbetrieben zufolge schätzen lediglich 6% ihre Industrie 4.0 Fähigkeit als stark ausgeprägt ein. Demgegenüber geben 55% der Betriebe an, die Grundlagen für diese Fähigkeit erst erarbeiten zu müssen. Als Hemmnisse für die Umsetzung von IT-Innovationen in der Produktion werden vor allem eine fehlende Veränderungsfähigkeit in der Organisation und ein mangelnder Schutz von personenbezogenen Daten und Unternehmensdaten angeführt.

Risikoarme Inhouse-IT – ein Auslaufmodell?

Systemhäuser und Rechenzentren profitieren in besonderer Weise von der neuen Datenschutzgrundverordnung. Diese umfangreiche Gesetzesänderung sowie zusätzliche Anforderungen haben dazu geführt, dass immer mehr Unternehmen Teile ihrer IT, und damit auch die Betriebsrisiken sowie Compliance-Pflichten an Data Center Betreiber und Managed Service Dienstleister, auslagern – vor allem um die eigene IT-Infrastruktur und die einhergehenden Anforderungen sicherer und langfristig wirtschaftlicher betreiben zu können.

Die IT- und Datensicherheit darf in Zeiten von Industrie 4.0 kein frommer Wunsch bleiben, sondern muss tief in der System- und Organisationsstruktur verankert sein. Die Umgebungsbedingungen der Maschinen – ob warm und staubig oder offen und kalt – müssen für einen störungsfreien und sicheren Betriebsablauf ebenso berücksichtigt werden, wie die Anforderungen der eigenen Mitarbeiter und Partner, die mit den Daten am Ende arbeiten. Mitarbeiter, die das gesamte Unternehmens-Knowhow auf dem Notebook mitführen und bei denen die Datensicherheit in keiner Weise sichergestellt ist, sind leider keine Seltenheit. Das Zusammenspiel von Mensch und Maschine muss daher ein Stück weit in vorgegebenen Bahnen stattfinden – das ist die konzeptionelle Aufgabe, die der Geschäftsführung oder dem Systemhaus heute noch vor der Umsetzungsphase zukommt.

In unserem konkreten Ziegelei-Beispiel heißt dies: Jede Insellösung wie der Hochofen, die Mischersteuerung oder das Plattenwerk muss durch technische Maßnahmen wie etwa ein virtuelles LAN als gekapselte, von den übrigen Datenbereichen getrennte Einheit ansteuerbar sein. Auf dieser zentralen Infrastruktur mit voneinander getrennten VLANs setzt schließlich die eigentliche Systemlogik auf: wo stehen welche Server, wie lassen sich Firewalls einbinden, wie können die Daten sauber gesichert werden, welche redundanten Systeme stehen zur Verfügung, welche Kritikalität haben die Systeme und wie schnell bekomme ich eine Maschine im Desaster-Fall wieder lauffähig? Wie am Ende eine sichere Anbindung der Partnersysteme erfolgen kann, ergibt sich dabei schon vielfach aus dem Entwicklungsprozess.

Im Ergebnis: Mit zunehmender Durchdringung und Komplexität der IT steigen der Ressourceneinsatz und die Betriebsrisiken, die Unternehmen zu tragen haben. Die DSGVO ist dabei nur ein weiterer Meilenstein in der Evolution der Unternehmens-IT, um Kollaborationsnetzwerke zu schützen und den Datenaustausch sicherer zu gestalten. Jedes Unternehmen muss für sich am Ende die Frage beantworten, wie wirtschaftlich man langfristig seine IT inhouse betreiben kann, um sich gegen Risiken abzusichern und die stetig wachsenden Anforderungen an Ressourcen, Knowhow, Mobilität oder IT-Sicherheit zu stemmen.

Ähnliche Beiträge