Startseite » Sicherheit » Arbeitsschutzorganisation » Safety & Secu­rity – Neue Aufga­ben für die Sifas?!

Entwicklungen und Herausforderungen

Safety & Secu­rity – Neue Aufga­ben für die Sifas?!

x-default
Die Unternehmensbereiche „Safety“ und „Security“ lassen sich mittlerweile vielfach kaum trennen und müssen gemeinsam betrachtet werden. Foto: © ViennaFrame – stock.adobe.com
Anzeige
Was hat die Fach­kraft für Arbeits­si­cher­heit (Sifa) mit Security-Maßnahmen zu tun? Safety (klas­si­sche Arbeits­si­cher­heit) ist und bleibt die Kern­auf­gabe der Sifa. Doch können sich Sifa in Zeiten von Smart Factory und intel­li­gen­ten, vernetz­ten Maschi­nen erlau­ben Safety und Secu­rity (physi­sche Sicher­heit und IT-Sicherheit) sepa­rat zu betrach­ten?

Um die Frage im Vorspann schon an dieser Stelle zu beant­wor­ten: Nein, Fach­kräfte für Arbeits­si­cher­heit werden zuneh­mend gefor­dert, auch Aspekte der Secu­rity in ihre Arbeit mitein­zu­be­zie­hen. An folgen­dem Beispiel wird dies deut­lich:

Zu einem siche­ren Betriebs­ab­lauf gehört es, dass an einer Ferti­gungs­ma­schine alle Anla­gen­teile inklu­sive Sicher­heits­ein­rich­tun­gen einwand­frei funk­tio­nie­ren, damit der Mitar­bei­ter auftrags­ge­mäß und verlet­zungs­frei die Arbei­ten durch­füh­ren kann. Die Safety-Aspekte sind damit erfüllt. Stel­len Sie sich nun vor, dass diese Ferti­gungs­ma­schine mit Fern­war­tung und Online Zugang von außen durch Hacker ange­grif­fen wird. Maschine, Stell­teile, Ventile sind mani­pu­liert, der entstan­dene Scha­den für Mensch und Unter­neh­men ist erheb­lich. Die Security-Aspekte sind nicht erfüllt. Haben Sie dieses in der Gefähr­dungs­be­ur­tei­lung berück­sich­tigt? In vielen Fällen wird dies verneint.

Es wächst zusam­men

Die Berei­che Safety und Secu­rity werden in den meis­ten Unter­neh­men sepa­rat betrach­tet. Aller­dings wird unsere Welt durch die Globa­li­sie­rung und Digi­ta­li­sie­rung zuneh­mend vernetz­ter. Neben vielen Vortei­len birgt dies auch neue Gefah­ren und Heraus­for­de­run­gen, insbe­son­dere im Hinblick auf die Sicher­heit bei der Arbeit.

Die verän­derte Arbeits­welt macht ein Umden­ken erfor­der­lich. Die Verant­wort­li­chen im Unter­neh­men müssen eng zusam­men­ar­bei­ten. Die tägli­che Praxis hat die noch immer gelebte Tren­nung der beiden Sicher­heits­be­griffe über­holt. Die beiden Aufga­ben­fel­der Safety und Secu­rity müssen admi­nis­tra­tiv und opera­tiv zusam­men­ge­fasst werden – in ganz­heit­li­chen Sicher­heits­be­ur­tei­lun­gen.

Die Gefähr­dungs­be­ur­tei­lung muss unter beiden Aspek­ten neu betrach­tet werden, um eine Gefahr für die Mitar­bei­te­rin­nen und Mitar­bei­ter sowie das gesamte Unter­neh­men auszu­schlie­ßen bezie­hungs­weise zu mini­mie­ren. Die Klas­si­fi­ka­tion der Gefähr­dungs­fak­to­ren muss zwin­gend ange­passt werden. Unter stän­di­gem Perspek­ti­ven­wech­sel müssen alle Facet­ten betrach­tet und als Fakto­ren zur Beur­tei­lung inte­griert werden:

  • In wie weit kann ein Prozess­schritt „von außen“ (zum Beispiel durch Fern­war­tung) gesteu­ert werden?
  • Sind Daten und Soft­ware mani­pu­lier­bar?
  • Welche Schutz­maß­nah­men hat der Errich­ter der Anlage vorge­se­hen?
  • Welche Gegen­maß­nah­men hat der Archi­tekt des Netz­werks program­miert?

Ein einzi­ger Fehler kann die Gesund­heit der Mitar­bei­te­rin­nen und Mitar­bei­ter schwer schä­di­gen oder das Unter­neh­men in große Bedräng­nis brin­gen.

Zwei Fremd­wör­ter?

Die Angli­zis­men Safety und Secu­rity werden nur in der engli­schen Spra­che unter­schie­den, und sind inter­na­tio­nal geläu­fig. Adäquate deut­sche Begriffe stehen leider nicht zur Verfü­gung. Schutz und Sicher­heit, Arbeits­schutz und Unter­neh­mens­si­cher­heit? Es gibt keine eingän­gige und verbrei­tete deut­sche Version der beiden Begriffe.

Safety befasst sich mit vorbeu­gen­den Maßnah­men gegen den Eintritt von Ereig­nis­sen (Vorfäl­len, Unfäl­len und ande­ren uner­wünsch­ten Zustän­den), die ihren Ursprung in nicht beab­sich­tig­ten, mensch­li­chen und/oder tech­ni­schen Unzu­läng­lich­kei­ten haben, sowie mit der Begren­zung oder Beherr­schung solcher Vorfälle und mit allge­mei­nen Proble­men der Arbeits­si­cher­heit. Kurz zusam­men­ge­fasst steht Safety für Unfall­ver­mei­dung.

Secu­rity befasst sich mit vorbeu­gen­den Maßnah­men gegen den Eintritt von Ereig­nis­sen (Hand­lun­gen, Delik­ten und ande­ren uner­wünsch­ten Zustän­den), die durch Perso­nen in böswil­li­ger Absicht gegen Unter­neh­men oder Orga­ni­sa­tio­nen (Mitar­bei­te­rin­nen und Mitar­bei­ter, Eigen­tum im weites­ten Sinne oder den guten Ruf) began­gen werden, sowie mit der Begren­zung oder Beherr­schung solcher Vorfälle und des daraus resul­tie­ren­den Scha­dens. Kurz zusam­men­ge­fasst steht Secu­rity für Krimi­nal­prä­ven­tion.

Die Grenze von Safety zu Secu­rity wird dort über­schrit­ten, wo mensch­li­ches Fehl­ver­hal­ten vom noch Fahr­läs­si­gen in das Vorsätz­li­che über­geht, bis hin zum Punkt, wo Menschen bewusst und ziel­ge­rich­tet die Sicher­heits­ein­rich­tun­gen außer Kraft setzen um einen Scha­dens­ein­tritt zu bewir­ken.

Dennoch ist eine klare Abgren­zung vom Safety zur Secu­rity schwie­rig. Die Über­gänge können flie­ßend sein. Es gibt Grau­zo­nen. Eine genaue Tren­nung ist nicht immer zwei­fels­frei möglich. Deut­lich wird dies an Beispie­len wie dem ziel­ge­rich­te­ten außer Kraft setzen von Sicher­heits­ein­rich­tun­gen oder dem Verkei­len von Brand­schutz­tü­ren. Liegt zum einen ein Vorsatz vor, wollte man mit der Tat einen Scha­dens­ein­tritt bewir­ken? Oder war es zum ande­ren einfach fahr­läs­sig, war es ein Tun oder Unter­las­sen ohne die nötige Vorsicht und hat durch fehlende Aufmerk­sam­keit einen Scha­den verur­sacht? In den über­wie­gen­den Fällen dienen diese Taten der „Bequem­lich­keit“ der Mitar­bei­te­rin­nen und Mitar­bei­ter und nicht der Herbei­füh­rung eines Scha­dens­ein­tritts.

Wie die Mani­pu­la­tion von Schutz­ein­rich­tun­gen und das Verkei­len von Brand­schutz­tü­ren sowie das Eingangs­bei­spiel der Ferti­gungs­ma­schi­nen zeigen, sind in der Praxis sowohl bei der Präven­tion als auch bei Ereig­nis­sen beide Sicht­wei­sen von Safety und Secu­rity zu betrach­ten.

Secu­rity – Hand­lungs­fel­der

Der Bereich Secu­rity befaßt sich im Allge­mei­nen mit folgen­den Hand­lungs­fel­dern:

  • Objekt­si­cher­heit (physi­sche Sicher­heit) wie Zutritts­si­cher­heit,
  • Infor­ma­ti­ons­si­cher­heit wie Kommu­ni­ka­ti­ons­si­cher­heit, Daten­si­cher­heit und Compu­ter­si­cher­heit,
  • Daten­schutz,
  • Veran­stal­tungs­si­cher­heit,
  • Tech­ni­sche Sicher­heit von Syste­men, Anla­gen und Betriebs­mit­teln sowie
  • Luft­si­cher­heit.

Zuneh­mend verschmel­zen die verschie­de­nen Hand­lungs­fel­der mitein­an­der bezie­hungs­weise werden durch Vernet­zung kombi­niert.

Beispiel: Zutritts­si­cher­heit

Durch eine mecha­ni­sche Schließ­an­lage wird der Zugang zum Gebäude gere­gelt. Die mecha­ni­sche Schließ­an­lage wird nun durch ein elek­tro­ni­sches Schließ­sys­tem ersetzt. Dieses ist in die IT-Infrastruktur des Gebäu­des einge­bun­den und steu­ert die einzel­nen Schließ­be­rech­ti­gun­gen. Eine Erwei­te­rung des Systems auf die Arbeits­zeit­er­fas­sung ist möglich.

So können Zutritts­rechte indi­vi­du­ell und sicher verge­ben werden. Das Schließ­sys­tem kann flexi­bel erwei­tert werden. Bei Schlüs­sel­ver­lust braucht nicht sofort die gesamte Schließ­an­lage ausge­tauscht zu werden. Dies schützt die Mitar­bei­te­rin­nen und Mitar­bei­ter und spart dem Unter­neh­men Zeit und Kosten.

Neben den vielen Vortei­len entste­hen neue Gefähr­dun­gen, welche vor der Umstel­lung zur Gefah­ren­prä­ven­tion bewer­tet werden müssen, damit Gegen­maß­nah­men zeit­gleich umge­setzt werden.

So werden beispiels­weise perso­nen­be­zo­gene Daten verar­bei­tet, welche nur perso­na­li­siert mit einer Anmel­dung pro Nutzer zur selben Zeit zuge­las­sen sind. Die Wartun­gen erfol­gen durch Fern­zu­griff, während eine Fire­wall die in Dauer und Zweck beschränkte Frei­schal­tung schützt.

Beispiel: Tech­ni­sche Sicher­heit von Syste­men, Anla­gen, Betriebs­mit­teln

Anla­gen und System­kom­po­nen­ten sind digi­tal einge­bet­tet, vernetzt und können über die IT-Infrastruktur mit ande­ren Maschi­nen und Menschen selbst­stän­dig kommu­ni­zie­ren und damit Eigen­stän­dig­keit erlan­gen. Durch Einwir­kun­gen klas­si­scher IT-Probleme und Cyber-Angriffe können Menschen und Umwelt Scha­den nehmen oder unbe­fugte Zutritt zu schutz­wür­di­gen Berei­chen erlan­gen.

Erst die Gefähr­dungs­be­ur­tei­lung mögli­cher Bedro­hungs­sze­na­rien ermög­licht es, gleich­zei­tig die geeig­ne­ten Gegen­maß­nah­men zu instal­lie­ren. So können die Steue­rungs­kom­po­nen­ten vom Inter­net entkop­pelt und nicht benö­tigte Dienste abge­schal­tet werden. Durch den Einsatz flan­kie­ren­der Maßnah­men wie Fire­walls und VPN-Lösungen entsteht weite­rer Schutz.

Secu­rity – Gefährdungen/Bedrohungen

Beispiele für Gefährdungen/Bedrohungen im Bereich Secu­rity sind:

  • Dieb­stahl aller Art, Infor­ma­ti­ons­dieb­stahl,
  • Einbruch, Vanda­lis­mus, Sabo­tage, Erpres­sung, Spio­nage,
  • Hacker­an­griffe,
  • Anschläge (Brand, Terror),
  • Angriffe auf Infra­struk­tur­ein­rich­tun­gen wie Ener­gie­ver­sor­ger, Wasser­sys­teme, etc.,
  • Zusam­men­bruch von Infor­ma­ti­ons­sys­te­men und Netz­wer­ken sowie
  • Natur­ka­ta­stro­phen.

Das Bundes­amt für Infor­ma­ti­ons­si­cher­heit (BSI) listet in der Veröf­fent­li­chung zur Cyber­si­cher­heit zehn Gefähr­dun­gen, denen Systeme zur Fertigungs- und Prozess­au­to­ma­ti­sie­rung ausge­setzt sind bezie­hungs­weise sein können:

  • Social Engi­nee­ring und Phis­hing,
  • Einschleu­sen von Schad­soft­ware über Wech­sel­da­ten­trä­ger und externe Hard­ware,
  • Infek­tion mit Schad­soft­ware über Inter­net und Intra­net,
  • Einbruch über Fern­war­tungs­zu­gänge,
  • Mensch­li­ches Fehl­ver­hal­ten und Sabo­tage,
  • Inter­net verbun­dene Steue­rungs­kom­po­nen­ten,
  • Tech­ni­sches Fehl­ver­hal­ten und höhere Gewalt,
  • Kompro­mit­tie­rung von Extra­net und Cloud-Komponenten,
  • (D)Dos Angriffe und
  • Kompro­mit­tie­rung von Smart­pho­nes im Produk­ti­ons­um­feld.

Diese Gefähr­dun­gen verdeut­li­chen, dass sich mit der Entwick­lung von Indus­trie 4.0, Inter­net der Dinge und Cyber-Physical-Systems die beiden Begriffe Safety und Secu­rity in den Abläu­fen prak­tisch nicht mehr tren­nen lassen. Mit zuneh­men­der Vernet­zung muss sich jedes Unter­neh­men dieser Themen anneh­men, um auf dem Markt bestehen zu können. Und: Die Angriffe auf IT-Netze nehmen konti­nu­ier­lich zu. Eine sepa­rate reine „Safety-Gefährdungsbeurteilung“ ist daher viel­fach nicht mehr ausrei­chend: Bei getrenn­ter Betrach­tung entste­hen an den Schnitt­stel­len Lücken, die wiederum Gefah­ren hervor­ru­fen. Die Chance der gemein­sa­men Betrach­tung von Safety und Secu­rity ist es, ein System siche­rer zu machen. Bei der gemein­sa­men, ganz­heit­li­chen Betrach­tung wird das Rest­ri­siko deut­lich gerin­ger. Gleich­wohl wird es auch damit keine 100-prozentige Sicher­heit geben.

In letz­ter Konse­quenz muss die Verant­wor­tung für die Abläufe zusam­men­ge­führt werden. Die Verant­wort­li­chen müssen eng zusam­men­ar­bei­ten. Auf Sicher­heits­in­ge­nieure und Fach­kräfte für Arbeits­si­cher­heit kommen neue Aufga­ben zu. Sie können entschei­dend mitwir­ken, die Gefähr­dungs­be­ur­tei­lun­gen gemein­sam zu gestal­ten.

Die gemein­same Gefähr­dungs­be­ur­tei­lung

Eine ganz­heit­li­che „Gefähr­dungs­be­ur­tei­lung Safety und Secu­rity“ ist übli­cher­weise kompakt struk­tu­riert:

  1. Fest­le­gung der Arbeits­be­rei­che und Tätig­kei­ten
  2. Ermit­teln der Gefähr­dun­gen
  3. Bewer­tung der Risi­ken
  4. Auswahl geeig­ne­ter Schutz­maß­nah­men
  5. Fest­le­gung von Verant­wort­lich­kei­ten und Termi­nen
  6. Wirk­sam­keits­kon­trolle
  7. Fort­schrei­bung der Gefähr­dungs­be­ur­tei­lung.

Der Aufwand, den ein Unter­neh­men für die Gefähr­dungs­be­ur­tei­lun­gen betrei­ben muss und kann, rich­tet sich maßgeb­lich nach der Unter­neh­mens­größe. Für ein Unter­neh­men mit zehn Mitar­bei­te­rin­nen und Mitar­bei­tern ist der pflich­tige Aufwand wesent­lich gerin­ger als für ein Unter­neh­men mit 1.000 Mitar­bei­te­rin­nen und Mitar­bei­tern in Abhän­gig­keit von der Bran­che und natür­lich den gesetz­li­chen Rege­lun­gen.

 

Quel­len­an­ga­ben:

www.secupedia.info/wiki/Security

www.secupedia.info/wiki/Safety

Corpo­rate Secu­rity – Stand­ort Secu­rity – Steinbeis-Transfer-Institut Manage­ment und Busi­ness, Dieter K. Sack; ISBN 978–3–938062; Seite 21

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf?__blob=publicationFile


Kein Safety ohne Secu­rity

Am 17.08.2017 wurde der Fach­be­reich Secu­rity im VDSI gegrün­det. Leit­ge­danke ist der Schutz von Mensch und Umwelt vor schä­di­gen­den, mate­ri­el­len und imma­te­ri­el­len Einwir­kun­gen bei der Arbeit. Der Fach­be­reich Secu­rity addiert Grund­la­gen und aktu­elle Themen, betrach­tet Wech­sel­wir­kun­gen und Schnitt­stel­len, entwi­ckelt neue Syner­gien und schafft so Erkennt­nisse für Wissens­auf­bau und ‑vermitt­lung. Die Mitglie­der liefern Erfah­rungs­be­richte und erstel­len konkrete Hand­lungs­hil­fen für Unter­neh­men. Orga­ni­sa­tion und Prozesse werden im Netz­werk mit beispiels­weise Faci­lity Manage­ment und Informationssicherheit/ IT-Sicherheit unter­sucht. Sicher­heits­kon­zepte entste­hen.

Unser Ziel ist die Sensi­bi­li­sie­rung aller an Arbeits­schutz und Unter­neh­mens­si­cher­heit Betei­lig­ten: Safety geht nicht ohne Secu­rity!


Foto: privat

Autor: Jörg Weide­mann
Leiter Fach­be­reich Secu­rity im VDSI

Email: fb-security@vdsi.de

Anzeige

News­let­ter

Jetzt unse­ren News­let­ter abon­nie­ren

Meistgelesen

Jobs

Sicher­heits­be­auf­trag­ter

Titelbild Sicherheitsbeauftragter 12
Ausgabe
12.2019
ABO

Sicher­heits­in­ge­nieur

Titelbild Sicherheitsingenieur 11
Ausgabe
11.2019
ABO
Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de