Sowohl der Mittelstand als auch Großunternehmen schätzen die Datensicherheit als „erfolgskritischen Faktor“ im Kontext Industrie 4.0 ein. Hinsichtlich der Ergreifung von schützenden Maßnahmen im Rahmen der Digitalisierung sind jedoch gravierende Unterschiede beobachtbar: Nur jedes zehnte mittelständische Unternehmen ist optimal auf Cyberattacken vorbereitet.

Im Umfeld von Industrie 4.0 stehen vor allem die IT-Technologien im Fokus. Die Digitalisierung der Produktion, für die eine entsprechend ausgebaute IT-Struktur essentiell ist, birgt neben unzähligen Vorteilen aber auch zahlreiche Risiken, die zu erheblichen wirtschaftlichen Schäden führen können, sofern diese nicht korrekt abgesichert werden. Bei den immensen anfallenden Datenmengen ist die Gewährleistung der Datensicherheit von zentraler Bedeutung. Der Bereich Datensicherheit lässt sich im Wesentlichen in zwei Teilbereiche unterteilen, deren Wichtigkeit gleichermaßen hoch ist. Zum einen gilt es, die Sicherheit personenbezogener Daten und damit die Persönlichkeitsrechte von Beschäftigten sicherzustellen (hier: Datenschutz), zum anderen muss der Schutz von sensiblen, unternehmensinternen Daten, Diensten und Know-how gegen Missbrauch in Form von unberechtigtem Zugriff, Veränderung oder Imitation gewährleistet sein (hier: Schutz vor Cyberangriffen).

Datenschutz

Die Automatisierung von Produktionsprozessen verknüpft bisher strikt getrennte Sektoren sowohl vertikal als auch horizontal, das gesamte Unternehmen wird durchgängig vernetzt. Die Vielzahl der dabei entstehenden Datenströme erhöht die Gefahr des „Abhörens“ [Jahn 2017] enorm. Durch die verstärkte Interaktion von Mitarbeitern mit digitalen Interfaces ist es erstmals möglich, „personenbezogene Daten über an Maschinen tätige Arbeitnehmer abzuleiten“ [Bauernhansl, ten Hompel, Vogel-Heuser 2014]. Diese Rückschlüsse auf Personen sind nicht nur ein unangenehmes Risiko für die Betroffenen, sondern auch relevant für das Bundesdatenschutzgesetz [Jahn 2017]. Da gerade in Deutschland eine besondere Sensibilität „im Zuge des Rechts auf informationelle Selbstbestimmung“ [Plattform Industrie 4.0 2013] herrscht, ist die Beachtung von Datenschutzrichtlinien und der Datenschutzgrundverordnung elementar. Ein rechtlich verbindlicher Umgang mit personenbezogenen Daten in unternehmensinternen Binding Corporate Rules sollte daher als obligatorisch betrachtet werden.

Schutz vor Cyberangriffen

Neben dem Schutz personenbezogener Daten liegt es im Interesse der Unternehmen, die Sicherheit wettbewerbsrelevanter Daten zu gewährleisten.

Dem Cyber-Security-Report der Deutschen Telekom (2015) ist zu entnehmen, dass rund zwei Drittel aller großen Unternehmen (> 1.000 Mitarbeiter) den Stellenwert von IT-Sicherheit gegen Cyberangriffen als sehr hoch bewerten. Entsprechend betrachten 73 % der Führungskräfte ihr Unternehmen als bestmöglich auf Cyberangriffe vorbereitet, was hinsichtlich der Häufigkeit von Cyberattacken eine durchaus angemessene Zahl ist: Rund die Hälfte der Unternehmen sieht sich mehrmals pro Monat, davon ein Drittel mehrmals die Woche und ein weiteres Drittel täglich, Cyberangriffen ausgesetzt.

 

Vergleicht man nun, inwieweit sich mittelständische und große Unternehmen in Puncto Datenschutz und Schutz vor Cyberangriffen vorbereitet sehen, werden eklatante Unterschiede deutlich:

Die Wichtigkeit der Thematik Datensicherheit wird sowohl von Mittelständlern, als auch von Großunternehmen als gleichermaßen hoch eingeschätzt. Hinsichtlich der Umsetzung von schützenden Maßnahmen im IT-Bereich sind jedoch gravierende Differenzen zu beobachten: Nur 8% der Mittelständler sehen sich optimal auf Cyberangriffe vorbereitet, während 92% nach eigenen Angaben nur „einigermaßen vorbereitet“ sind. Demgegenüber gelingt es rund drei Viertel aller großen Unternehmen, sich optimal auf Angriffe aus dem Netz vorzubereiten.

Die Befunde verdeutlichen, dass die Entwicklung des Mittelstandes vor allem durch Faktoren, die fernab des operativen Geschäfts liegen und daher irrtümlicher Weise als weniger akut eingestuft werden könnten, beeinflusst wird. So fällt es mittelständischen Unternehmen schwer, eine konsistente Strategie hinsichtlich Cyber-Security zu implementieren. Die grundsätzliche Auseinandersetzung mit der Thematik IT-Security ist zweifelsfrei vorhanden – in der Formulierung und Umsetzung konkreter Maßnahmen ist jedoch eine gewisse Überforderung feststellbar.

 

Die Daten bezüglich der mittelständischen Unternehmen entstammen einer Unternehmensbefragung von 22 mittelständischen Unternehmen, die im Rahmen der Abschlussarbeit „Industrie 4.0 im deutschen Mittelstand“ an der Schumpeter School of Business der Bergischen Universität Wuppertal durchgeführt wurde.