Blog : Do change a running system NOW
Die letzten Wochen zeigten sich ein gemeinsames und zwei sehr verschiedene Bilder im Betrieb von Produktionsanlagen.
Gemeinsam ist wohl, dass nur die notwendigsten Arbeiten des Betriebs und der Instandhaltung umgesetzt werden. Gerade in den kritischen Infrastrukturen erfolgt der Betrieb nach den vorbereiteten Pandemieplänen. Auch bestimmte wichtige Lieferketten und Produktionen folgen dem wichtigen Ziel der ausschließlichen Verfügbarkeit: „Never change a runing system!“
Die verschiedenen Bilder sind zum einen bei den Grundversorgern wie Energie, Wasser/Abwasser und Gesundheit zu sehen. Hier erfolgt alles bewusst und zu Risikominimierung fast ausschließlich mit wechselnden Betriebsteams vor Ort. Kein Virus kann stören, weder Covid-19 noch "Wannacry und Co". Das ist gut so!
Das zweite Bild ist die Variante, alles per Fernwartung und Homeoffice zu erledigen. So treffen sich die Kollegen kaum und die Quarantäne kann wirken.
Das heißt aber auch, dass nahezu alle Projekte zu Retrofit, Verbesserung oder Vergrößerung gestoppt sind. Warten auf das Ende des Lockdown. Hier entstehen nun die großen Potentiale für die nachfolgende Zeit – aber vor allem eine große Unsicherheit, ob und wie es im Betrieb dann weitergeht.
Auf alle Fälle geht es danach nicht direkt mit den Projekten weiter, um den Erneuerungsstau in der IT und Vernetzung für den effizienten Betrieb der Produktionsanlagen zu heben. Solche Krisen und überraschenden Veränderungen haben gezeigt, das eine Sensibilisierung zu Risiken und Gefährdungen entsteht. Ein höhere Anforderung an die Qualität entsteht. Es wird aufgeräumt und der Status quo erfasst. Unliebsame Themen wie Verfügbarkeit und Angreifbarkeit werden angefasst und verbessert. Auch das ist gut so! Nutzen Sie die Gelegenheit und folgen einem pragmatischen Ansatz:
Einen Verantwortlichen für Cybersecurity in der Produktion benennen und initiales Budget planen.
Inventarisieren der Assets, Erkennen und Beobachten der kritischen Geräte und Systeme.
Die Risiken ermitteln, analysieren und behandeln – Ergebnis: bekannte Risiken.
Security-Maßnahmen festlegen und umsetzen – Ergebnis: Risiken minimieren.
Für Notfällen vorsorgen und so die bewusst getragene Restrisiken behandeln.
Regelmäßiges Review zur kontinuierlichen Verbesserung.
Diese Schritte gehören nun zu jedem (aktuell gestoppten) Projekt, zum fortlaufenden Betriebsprozess und sichert so die Ziele der produzierenden Unternehmen. So geht es gestärkt und robuster nach der "Krise" weiter.