IT-/OT-Beschaffung nur mit IT-Abteilung

Technische Integrationsprobleme sind ein häufiges Resultat unkoordinierter Beschaffung. Moderne Zutrittskontrollsysteme oder industrielle IoT-Geräte sind IT-nah und müssen nahtlos ins bestehende Netzwerk und die Systemarchitektur passen. Die IT-Abteilung sorgt beispielsweise für den reibungslosen Betrieb des Netzwerks, an das ein neues Zutrittskontrollsystem angeschlossen wird. Wird ohne IT beschafft, drohen Inkompatibilitäten: Das System passt eventuell nicht zur vorhandenen IT-Infrastruktur oder es fehlen Schnittstellen zu bestehenden Datenbanken und Diensten.

Ein praktisches Beispiel ist die Integration eines elektronischen Zutrittssystems: Hier müssen Kartenleser, Controller, Kameras etc. ins Firmennetz eingebunden und geschützt werden. Die IT-Abteilung hat Vorgaben zur Verschlüsselung von Ausweisen und zur Absicherung aller Geräte im Netzwerk, z.B. durch Segmentierung oder Firewalls. Zudem gibt es häufig einen Wunsch, IT- und OT-Systeme zu koppeln – etwa den Firmenausweis nicht nur als Türöffner, sondern auch zur PC-Anmeldung oder für Zeiterfassung zu nutzen. Solche Synergien bleiben ungenutzt, wenn eine Lösung isoliert angeschafft wird. Ohne IT fehlen auch Anbindungen ans Identity Management (z.B. automatische Deaktivierung von Zutrittsrechten bei Austritt eines Mitarbeiters) und an zentrale Monitoring- oder Alarmierungssysteme. Die Folge sind Medienbrüche, doppelter Pflegeaufwand (z.B. getrennte Benutzerverwaltung) und potenzielle Sicherheitslücken an den Nahtstellen.

Wird ein System an der IT vorbei beschafft, entsteht häufig eine parallele Infrastruktur. Das bedeutet, dass z.B. die Produktionsabteilung oder der Werkschutz ein eigenes kleines Netzwerk oder eigene Server für das neue System betreibt, losgelöst von den Standards der IT. Diese „Insellösungen“ sind kritisch: Sie umgehen zentrale Sicherheitsmechanismen und entziehen sich oft der Kontrolle. So werden z.B. wichtige Patches oder Backups vergessen, weil die IT ihr zentrales Patch- und Backup-Management dort nicht ausrollen kann. Angreifer könnten eine solche parallel betriebene Anlage als Einfallstor nutzen, da sie nicht in das unternehmensweite Sicherheitsmonitoring eingebunden ist.

Parallelstrukturen führen auch zu Ineffizienz und Inkonsistenz. Unterschiedliche Netzwerke bedeuten doppelte Kosten für Wartung und Hardware, und es entsteht ein Wildwuchs an Systemen. Unkoordinierte Beschaffung von Soft- und Hardware macht nicht nur wirtschaftlich wenig Sinn – sie birgt auch erhebliche Sicherheitsrisiken. Zudem besteht die Gefahr, dass irgendwann doch eine Verbindung zur Unternehmens-IT nötig wird (z.B. für Datenaustausch). Wenn diese dann nachträglich und ungeplant erfolgt, fehlen angemessene Sicherheitskonzepte, was das Risiko für beide Infrastrukturteile erhöht. Kurz gesagt: Parallele IT-/OT-Infrastrukturen untergraben eine konsistente Netzwerkarchitektur und erschweren den Überblick über alle Assets – ein Albtraum für jede IT-Sicherheitsstrategie.

Viele Branchen unterliegen strengen Compliance-Vorgaben hinsichtlich IT- und Datensicherheit – vom Datenschutz (DSGVO) über branchenspezifische Regularien bis zu internen IT-Policies oder Zertifizierungen wie ISO 27001. Beschaffungen ohne Beteiligung der IT riskieren, diese Vorgaben zu verletzen. Beispielsweise verarbeitet ein Zutrittskontrollsystem personenbezogene Daten (Zutrittsprotokolle von Mitarbeitern und Besuchern). Die IT-Abteilung achtet darauf, dass solche Daten gemäß DSGVO geschützt werden – etwa durch Zugriffsbegrenzung, Verschlüsselung, definierte Aufbewahrungsfristen und Löschkonzepte. Eine unabgestimmte Einführung eines solchen Systems könnte dazu führen, dass Datenschutz-Folgenabschätzungen oder Meldepflichten übersehen werden.

Auch IT-Compliance im weiteren Sinne leidet unter Schatten-IT: Nicht registrierte Anwendungen oder Systeme umgehen oft die Governance- und Compliance-Regeln im Unternehmen. So wird etwa eine vorgeschriebene Sicherheitsüberprüfung neuer Lieferanten und Systeme umgangen, wenn Fachabteilungen eigenmächtig einkaufen. In der OT-Welt existieren zusätzlich Normen wie IEC 62443 (Industrielle IT-Sicherheit) oder Vorgaben für KRITIS (kritische Infrastrukturen), die nur erfüllt werden können, wenn IT-Sicherheitsaspekte von Anfang an berücksichtigt werden. Die IT-Abteilung stellt sicher, dass Verträge mit Lieferanten solche Punkte abdecken – bereits in der Ausschreibungsphase sollten Klauseln den Hersteller zu Sicherheitsupdates über den gesamten Lebenszyklus verpflichten. Ohne dieses Know-how können Firmen unbeabsichtigt gegen Compliance-Richtlinien verstoßen, was rechtliche Konsequenzen oder Zertifizierungsprobleme nach sich zieht.

• Sicherheitslücken und Wildwuchs: Die sogenannte Schatten-IT entsteht, bei der Anwendungen und Geräte nicht im Inventar der IT auftauchen. Diese Systeme werden nicht durch zentrale Sicherheitsmaßnahmen geschützt und erhöhen die Angriffsfläche des Unternehmens. Beispielsweise bleiben Software-Sicherheitsupdates aus oder es werden unsichere Konfigurationen betrieben, was Angriffe erleichtert.

• Kompatibilitäts- und Integrationsprobleme: Unkoordiniert beschaffte Lösungen passen oft nicht nahtlos zur vorhandenen IT-Landschaft. Datenformate, Schnittstellen oder Protokolle unterscheiden sich, sodass Mehraufwand für Customizing oder nachträgliche Anpassungen entsteht. Im schlimmsten Fall können Systeme gar nicht miteinander kommunizieren, was den erhofften Nutzen vermindert.

• Höhere Kosten und ineffiziente Ressourcen-Nutzung: Doppelanschaffungen und parallele Lösungen führen zu Mehrkosten. Es werden unnötig mehrere Systeme für ähnliche Zwecke betrieben, Lizenzen doppelt bezahlt oder Synergien verschenkt. Außerdem müssen Mitarbeiter außerhalb der IT Zeit aufwenden, um die fremden IT-Systeme zu betreiben, was von ihren Kernaufgaben ablenkt. Eine Studie ergab, dass bereits ein großer Teil der CIOs erlebt, dass Geschäftsbereiche Technologien eigenmächtig einkaufen – was langfristig die Kosten erhöht und den IT-Verantwortlichen die Kontrolle erschwert.

• Fehlende Support- und Betriebsstrukturen: Die IT-Abteilung verfügt über Expertise in Betrieb, Support und Incident-Management für IT-Systeme. Wird ein System ohne sie eingeführt, fehlen klare Zuständigkeiten für den Betrieb: Wer behebt Störungen? Wer kümmert sich um Backup und Notfallpläne? Oft ist der Lieferant initial eingebunden, aber ohne internes Know-how entsteht Abhängigkeit vom Hersteller und eine langsamere Reaktionszeit im Störfall.

Es lässt sich sagen, dass die ungekoordinierte Beschaffung von IT- und Zutrittssystemen erhebliche Risiken mit sich bringt – für die Sicherheit, den stabilen Betrieb, die Compliance und die Effizienz im Unternehmen. Im Interesse eines ganzheitlichen Sicherheitskonzepts und eines reibungslosen Betriebs dürfen solche Systeme nicht an der IT-Abteilung vorbei beschafft werden. Die IT-Abteilung sollte von Anfang an involviert sein, um ihre Expertise einzubringen, Standardisierung sicherzustellen und die Konzepte von IT und OT zu verzahnen. Nur so lässt sich gewährleisten, dass neue Technologien sicher, kompatibel und regelkonform in die industrielle Umgebung integriert werden. In einer vernetzten Produktionswelt ist isoliertes Handeln keine Option – Mit der IT statt an ihr vorbei ist der Schlüssel zum Erfolg.