Startseite » Sicherheit » Arbeitsschutzorganisation »

Safety & Security – Neue Aufgaben für die Sifas?!

Entwicklungen und Herausforderungen
Safety & Security – Neue Aufgaben für die Sifas?!

x-default
Die Unternehmensbereiche „Safety“ und „Security“ lassen sich mittlerweile vielfach kaum trennen und müssen gemeinsam betrachtet werden. Foto: © ViennaFrame – stock.adobe.com
Anzeige
Was hat die Fachkraft für Arbeitssicher­heit (Sifa) mit Secu­ri­ty-Maß­nah­men zu tun? Safe­ty (klas­sis­che Arbeitssicher­heit) ist und bleibt die Ker­nauf­gabe der Sifa. Doch kön­nen sich Sifa in Zeit­en von Smart Fac­to­ry und intel­li­gen­ten, ver­net­zten Maschi­nen erlauben Safe­ty und Secu­ri­ty (physis­che Sicher­heit und IT-Sicher­heit) sep­a­rat zu betrachten?

Um die Frage im Vorspann schon an dieser Stelle zu beant­worten: Nein, Fachkräfte für Arbeitssicher­heit wer­den zunehmend gefordert, auch Aspek­te der Secu­ri­ty in ihre Arbeit miteinzubeziehen. An fol­gen­dem Beispiel wird dies deutlich:

Zu einem sicheren Betrieb­sablauf gehört es, dass an ein­er Fer­ti­gungs­mas­chine alle Anla­gen­teile inklu­sive Sicher­heit­sein­rich­tun­gen ein­wand­frei funk­tion­ieren, damit der Mitar­beit­er auf­trags­gemäß und ver­let­zungs­frei die Arbeit­en durch­führen kann. Die Safe­ty-Aspek­te sind damit erfüllt. Stellen Sie sich nun vor, dass diese Fer­ti­gungs­mas­chine mit Fer­n­wartung und Online Zugang von außen durch Hack­er ange­grif­f­en wird. Mas­chine, Stell­teile, Ven­tile sind manip­uliert, der ent­standene Schaden für Men­sch und Unternehmen ist erhe­blich. Die Secu­ri­ty-Aspek­te sind nicht erfüllt. Haben Sie dieses in der Gefährdungs­beurteilung berück­sichtigt? In vie­len Fällen wird dies verneint.

Es wächst zusammen

Die Bere­iche Safe­ty und Secu­ri­ty wer­den in den meis­ten Unternehmen sep­a­rat betra­chtet. Allerd­ings wird unsere Welt durch die Glob­al­isierung und Dig­i­tal­isierung zunehmend ver­net­zter. Neben vie­len Vorteilen birgt dies auch neue Gefahren und Her­aus­forderun­gen, ins­beson­dere im Hin­blick auf die Sicher­heit bei der Arbeit.

Die verän­derte Arbeitswelt macht ein Umdenken erforder­lich. Die Ver­ant­wortlichen im Unternehmen müssen eng zusam­me­nar­beit­en. Die tägliche Prax­is hat die noch immer gelebte Tren­nung der bei­den Sicher­heits­be­griffe über­holt. Die bei­den Auf­gaben­felder Safe­ty und Secu­ri­ty müssen admin­is­tra­tiv und oper­a­tiv zusam­menge­fasst wer­den – in ganzheitlichen Sicherheitsbeurteilungen.

Die Gefährdungs­beurteilung muss unter bei­den Aspek­ten neu betra­chtet wer­den, um eine Gefahr für die Mitar­bei­t­erin­nen und Mitar­beit­er sowie das gesamte Unternehmen auszuschließen beziehungsweise zu min­imieren. Die Klas­si­fika­tion der Gefährdungs­fak­toren muss zwin­gend angepasst wer­den. Unter ständi­gem Per­spek­tiven­wech­sel müssen alle Facetten betra­chtet und als Fak­toren zur Beurteilung inte­gri­ert werden:

  • In wie weit kann ein Prozesss­chritt „von außen“ (zum Beispiel durch Fer­n­wartung) ges­teuert werden?
  • Sind Dat­en und Soft­ware manipulierbar?
  • Welche Schutz­maß­nah­men hat der Errichter der Anlage vorgesehen?
  • Welche Gegen­maß­nah­men hat der Architekt des Net­zw­erks programmiert?

Ein einziger Fehler kann die Gesund­heit der Mitar­bei­t­erin­nen und Mitar­beit­er schw­er schädi­gen oder das Unternehmen in große Bedräng­nis bringen.

Zwei Fremdwörter?

Die Anglizis­men Safe­ty und Secu­ri­ty wer­den nur in der englis­chen Sprache unter­schieden, und sind inter­na­tion­al geläu­fig. Adäquate deutsche Begriffe ste­hen lei­der nicht zur Ver­fü­gung. Schutz und Sicher­heit, Arbeitss­chutz und Unternehmenssicher­heit? Es gibt keine eingängige und ver­bre­it­ete deutsche Ver­sion der bei­den Begriffe.

Safe­ty befasst sich mit vor­beu­gen­den Maß­nah­men gegen den Ein­tritt von Ereignis­sen (Vor­fällen, Unfällen und anderen uner­wün­scht­en Zustän­den), die ihren Ursprung in nicht beab­sichtigten, men­schlichen und/oder tech­nis­chen Unzulänglichkeit­en haben, sowie mit der Begren­zung oder Beherrschung solch­er Vor­fälle und mit all­ge­meinen Prob­le­men der Arbeitssicher­heit. Kurz zusam­menge­fasst ste­ht Safe­ty für Unfallvermeidung.

Secu­ri­ty befasst sich mit vor­beu­gen­den Maß­nah­men gegen den Ein­tritt von Ereignis­sen (Hand­lun­gen, Delik­ten und anderen uner­wün­scht­en Zustän­den), die durch Per­so­n­en in böswilliger Absicht gegen Unternehmen oder Organ­i­sa­tio­nen (Mitar­bei­t­erin­nen und Mitar­beit­er, Eigen­tum im weitesten Sinne oder den guten Ruf) began­gen wer­den, sowie mit der Begren­zung oder Beherrschung solch­er Vor­fälle und des daraus resul­tieren­den Schadens. Kurz zusam­menge­fasst ste­ht Secu­ri­ty für Kriminalprävention.

Die Gren­ze von Safe­ty zu Secu­ri­ty wird dort über­schrit­ten, wo men­schlich­es Fehlver­hal­ten vom noch Fahrläs­si­gen in das Vorsät­zliche überge­ht, bis hin zum Punkt, wo Men­schen bewusst und ziel­gerichtet die Sicher­heit­sein­rich­tun­gen außer Kraft set­zen um einen Schaden­sein­tritt zu bewirken.

Den­noch ist eine klare Abgren­zung vom Safe­ty zur Secu­ri­ty schwierig. Die Übergänge kön­nen fließend sein. Es gibt Grau­zo­nen. Eine genaue Tren­nung ist nicht immer zweifels­frei möglich. Deut­lich wird dies an Beispie­len wie dem ziel­gerichteten außer Kraft set­zen von Sicher­heit­sein­rich­tun­gen oder dem Verkeilen von Brand­schutztüren. Liegt zum einen ein Vor­satz vor, wollte man mit der Tat einen Schaden­sein­tritt bewirken? Oder war es zum anderen ein­fach fahrläs­sig, war es ein Tun oder Unter­lassen ohne die nötige Vor­sicht und hat durch fehlende Aufmerk­samkeit einen Schaden verur­sacht? In den über­wiegen­den Fällen dienen diese Tat­en der „Bequem­lichkeit“ der Mitar­bei­t­erin­nen und Mitar­beit­er und nicht der Her­beiführung eines Schadenseintritts.

Wie die Manip­u­la­tion von Schutzein­rich­tun­gen und das Verkeilen von Brand­schutztüren sowie das Ein­gangs­beispiel der Fer­ti­gungs­maschi­nen zeigen, sind in der Prax­is sowohl bei der Präven­tion als auch bei Ereignis­sen bei­de Sichtweisen von Safe­ty und Secu­ri­ty zu betrachten.

Security – Handlungsfelder

Der Bere­ich Secu­ri­ty befaßt sich im All­ge­meinen mit fol­gen­den Handlungsfeldern:

  • Objek­t­sicher­heit (physis­che Sicher­heit) wie Zutrittssicherheit,
  • Infor­ma­tion­ssicher­heit wie Kom­mu­nika­tion­ssicher­heit, Daten­sicher­heit und Computersicherheit,
  • Daten­schutz,
  • Ver­anstal­tungssicher­heit,
  • Tech­nis­che Sicher­heit von Sys­te­men, Anla­gen und Betrieb­smit­teln sowie
  • Luft­sicher­heit.

Zunehmend ver­schmelzen die ver­schiede­nen Hand­lungs­felder miteinan­der beziehungsweise wer­den durch Ver­net­zung kombiniert.

Beispiel: Zutrittssicherheit

Durch eine mech­a­nis­che Schließan­lage wird der Zugang zum Gebäude geregelt. Die mech­a­nis­che Schließan­lage wird nun durch ein elek­tro­n­is­ches Schließsys­tem erset­zt. Dieses ist in die IT-Infra­struk­tur des Gebäudes einge­bun­den und steuert die einzel­nen Schließberech­ti­gun­gen. Eine Erweiterung des Sys­tems auf die Arbeit­szeit­er­fas­sung ist möglich.

So kön­nen Zutrittsrechte indi­vidu­ell und sich­er vergeben wer­den. Das Schließsys­tem kann flex­i­bel erweit­ert wer­den. Bei Schlüs­selver­lust braucht nicht sofort die gesamte Schließan­lage aus­ge­tauscht zu wer­den. Dies schützt die Mitar­bei­t­erin­nen und Mitar­beit­er und spart dem Unternehmen Zeit und Kosten.

Neben den vie­len Vorteilen entste­hen neue Gefährdun­gen, welche vor der Umstel­lung zur Gefahren­präven­tion bew­ertet wer­den müssen, damit Gegen­maß­nah­men zeit­gle­ich umge­set­zt werden.

So wer­den beispiel­sweise per­so­n­en­be­zo­gene Dat­en ver­ar­beit­et, welche nur per­son­al­isiert mit ein­er Anmel­dung pro Nutzer zur sel­ben Zeit zuge­lassen sind. Die Wartun­gen erfol­gen durch Fernzu­griff, während eine Fire­wall die in Dauer und Zweck beschränk­te Freis­chal­tung schützt.

Beispiel: Technische Sicherheit von Systemen, Anlagen, Betriebsmitteln

Anla­gen und Sys­temkom­po­nen­ten sind dig­i­tal einge­bet­tet, ver­net­zt und kön­nen über die IT-Infra­struk­tur mit anderen Maschi­nen und Men­schen selb­st­ständig kom­mu­nizieren und damit Eigen­ständigkeit erlan­gen. Durch Ein­wirkun­gen klas­sis­ch­er IT-Prob­leme und Cyber-Angriffe kön­nen Men­schen und Umwelt Schaden nehmen oder unbefugte Zutritt zu schutzwürdi­gen Bere­ichen erlangen.

Erst die Gefährdungs­beurteilung möglich­er Bedro­hungsszenar­ien ermöglicht es, gle­ichzeit­ig die geeigneten Gegen­maß­nah­men zu instal­lieren. So kön­nen die Steuerungskom­po­nen­ten vom Inter­net entkop­pelt und nicht benötigte Dien­ste abgeschal­tet wer­den. Durch den Ein­satz flankieren­der Maß­nah­men wie Fire­walls und VPN-Lösun­gen entste­ht weit­er­er Schutz.

Security – Gefährdungen/Bedrohungen

Beispiele für Gefährdungen/Bedrohungen im Bere­ich Secu­ri­ty sind:

  • Dieb­stahl aller Art, Informationsdiebstahl,
  • Ein­bruch, Van­dal­is­mus, Sab­o­tage, Erpres­sung, Spionage,
  • Hack­eran­griffe,
  • Anschläge (Brand, Terror),
  • Angriffe auf Infra­struk­turein­rich­tun­gen wie Energiev­er­sorg­er, Wasser­sys­teme, etc.,
  • Zusam­men­bruch von Infor­ma­tion­ssys­te­men und Net­zw­erken sowie
  • Naturkatas­tro­phen.

Das Bun­de­samt für Infor­ma­tion­ssicher­heit (BSI) lis­tet in der Veröf­fentlichung zur Cyber­sicher­heit zehn Gefährdun­gen, denen Sys­teme zur Fer­ti­gungs- und Prozes­sautoma­tisierung aus­ge­set­zt sind beziehungsweise sein können:

  • Social Engi­neer­ing und Phishing,
  • Ein­schleusen von Schad­soft­ware über Wech­sel­da­ten­träger und externe Hardware,
  • Infek­tion mit Schad­soft­ware über Inter­net und Intranet,
  • Ein­bruch über Fernwartungszugänge,
  • Men­schlich­es Fehlver­hal­ten und Sabotage,
  • Inter­net ver­bun­dene Steuerungskomponenten,
  • Tech­nis­ches Fehlver­hal­ten und höhere Gewalt,
  • Kom­pro­mit­tierung von Extranet und Cloud-Komponenten,
  • (D)Dos Angriffe und
  • Kom­pro­mit­tierung von Smart­phones im Produktionsumfeld.

Diese Gefährdun­gen verdeut­lichen, dass sich mit der Entwick­lung von Indus­trie 4.0, Inter­net der Dinge und Cyber-Phys­i­cal-Sys­tems die bei­den Begriffe Safe­ty und Secu­ri­ty in den Abläufen prak­tisch nicht mehr tren­nen lassen. Mit zunehmender Ver­net­zung muss sich jedes Unternehmen dieser The­men annehmen, um auf dem Markt beste­hen zu kön­nen. Und: Die Angriffe auf IT-Net­ze nehmen kon­tinuier­lich zu. Eine sep­a­rate reine „Safe­ty-Gefährdungs­beurteilung“ ist daher vielfach nicht mehr aus­re­ichend: Bei getren­nter Betra­ch­tung entste­hen an den Schnittstellen Lück­en, die wiederum Gefahren her­vor­rufen. Die Chance der gemein­samen Betra­ch­tung von Safe­ty und Secu­ri­ty ist es, ein Sys­tem sicher­er zu machen. Bei der gemein­samen, ganzheitlichen Betra­ch­tung wird das Restrisiko deut­lich geringer. Gle­ich­wohl wird es auch damit keine 100-prozentige Sicher­heit geben.

In let­zter Kon­se­quenz muss die Ver­ant­wor­tung für die Abläufe zusam­menge­führt wer­den. Die Ver­ant­wortlichen müssen eng zusam­me­nar­beit­en. Auf Sicher­heitsin­ge­nieure und Fachkräfte für Arbeitssicher­heit kom­men neue Auf­gaben zu. Sie kön­nen entschei­dend mitwirken, die Gefährdungs­beurteilun­gen gemein­sam zu gestalten.

Die gemeinsame Gefährdungsbeurteilung

Eine ganzheitliche „Gefährdungs­beurteilung Safe­ty und Secu­ri­ty“ ist üblicher­weise kom­pakt strukturiert:

  1. Fes­tle­gung der Arbeits­bere­iche und Tätigkeiten
  2. Ermit­teln der Gefährdungen
  3. Bew­er­tung der Risiken
  4. Auswahl geeigneter Schutzmaßnahmen
  5. Fes­tle­gung von Ver­ant­wortlichkeit­en und Terminen
  6. Wirk­samkeit­skon­trolle
  7. Fortschrei­bung der Gefährdungsbeurteilung.

Der Aufwand, den ein Unternehmen für die Gefährdungs­beurteilun­gen betreiben muss und kann, richtet sich maßge­blich nach der Unternehmensgröße. Für ein Unternehmen mit zehn Mitar­bei­t­erin­nen und Mitar­beit­ern ist der pflichtige Aufwand wesentlich geringer als für ein Unternehmen mit 1.000 Mitar­bei­t­erin­nen und Mitar­beit­ern in Abhängigkeit von der Branche und natür­lich den geset­zlichen Regelungen.

 

Quel­lenangaben:

www.secupedia.info/wiki/Security

www.secupedia.info/wiki/Safety

Cor­po­rate Secu­ri­ty – Stan­dort Secu­ri­ty – Stein­beis-Trans­fer-Insti­tut Man­age­ment und Busi­ness, Dieter K. Sack; ISBN 978–3–938062; Seite 21

https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf?__blob=publicationFile


Kein Safety ohne Security

Am 17.08.2017 wurde der Fach­bere­ich Secu­ri­ty im VDSI gegrün­det. Leitgedanke ist der Schutz von Men­sch und Umwelt vor schädi­gen­den, materiellen und imma­teriellen Ein­wirkun­gen bei der Arbeit. Der Fach­bere­ich Secu­ri­ty addiert Grund­la­gen und aktuelle The­men, betra­chtet Wech­sel­wirkun­gen und Schnittstellen, entwick­elt neue Syn­ergien und schafft so Erken­nt­nisse für Wis­sensauf­bau und ‑ver­mit­tlung. Die Mit­glieder liefern Erfahrungs­berichte und erstellen konkrete Hand­lung­shil­fen für Unternehmen. Organ­i­sa­tion und Prozesse wer­den im Net­zw­erk mit beispiel­sweise Facil­i­ty Man­age­ment und Informationssicherheit/ IT-Sicher­heit unter­sucht. Sicher­heit­skonzepte entstehen.

Unser Ziel ist die Sen­si­bil­isierung aller an Arbeitss­chutz und Unternehmenssicher­heit Beteiligten: Safe­ty geht nicht ohne Security!


Foto: privat

Autor: Jörg Weidemann
Leit­er Fach­bere­ich Secu­ri­ty im VDSI

Email: fb-security@vdsi.de

Anzeige
Newsletter

Jet­zt unseren Newslet­ter abonnieren

Meistgelesen

Jobs
Sicherheitsbeauftragter
Titelbild Sicherheitsbeauftragter 12
Ausgabe
12.2020
ABO
Sicherheitsingenieur
Titelbild Sicherheitsingenieur 1
Ausgabe
1.2021
ABO
Anzeige
Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de