Safety vs. Security – Wo ist der Unterschied?
In diesen herausfordernden Zeiten mit täglich tausenden von Cyberattacken in Deutschland ist ein Thema ganz oben auf der Agenda: Sicherheit. Doch stellen wir immer wieder fest, dass zwei englische Begriffe – beide lassen sich mit „Sicherheit“ übersetzen – häufig miteinander verwechselt werden: Security und Safety. Wo liegt der Unterschied?
Kurz & knapp
- Security und Safety werden häufig im Zusammenhang mit sicherem IT- und OT-Betrieb genannt. Es sind jedoch keine Synonyme.
- Security adressiert primär den Schutz der IT- und OT-Systeme und -Informationen vor unberechtigtem Zugriff und Datenmissbrauch. Es geht um logische Sicherheit.
- Safety bedeutet eher Daten und Informationen vor physischem Verlust durch Unfall oder Katastrophe zu schützen.
Operational Technology (OT), klassische IT und die digitale Transformation sind in Summe das, was man heute unter Industrie 4.0 versteht. Auch durch das Zusammenwachsen dieser klassischen IT und industrieller, computergesteuerter IT-Systeme sind die Begriffe Security und Safety Teil der Nomenklatur einschlägiger Literatur geworden. Es ist höchste Zeit, etwas Klarheit in die allgemeine Begriffsverwirrung zu bringen. Ziel ist dabei allerdings nicht, in einer akademischen Diskussion bestens gerüstet zu sein, sondern einfach für ein besseres Verständnis beider Wörter zu sorgen.
Security
Security ist wesentlicher Anteil jeder IT-Landschaft, jedes IT-Systems. Hierbei geht es in der Regel darum, Hardware, Anwendungen und geistiges Eigentum zu schützen. Das umfasst unter anderem folgenden Dimensionen:
- Schutz vor unberechtigtem Zugriff auf Informationen, Systeme und Lösungen
- Schutz vor unberechtigter Weitergabe von Informationen und Daten
- Schutz vor unberechtigter Nutzung von Informationen, Systemen und Lösungen
Sinn und Zweck ist es, die IT und die Informationen des Unternehmens vor Missbrauch in beliebiger Form zu bewahren. Diese Informationen können dabei genauso technisches Know-how, Prozesse oder neue Arzneimittel, Produktionsverfahren oder auch Software und noch vieles mehr sein. „Secure“ sind Daten also dann, wenn sie gut vor unberechtigtem Zugriff und Missbrauch geschützt sind. Vertraulichkeit und Datenschutz spielen hierbei folglich eine wichtige Rolle. Man denke an Updates, Software-Schwachstellen, Passwörter etc. All das fällt unter den metaphorischen Security-Schirm.
Safety
Safety hingegen bedeutet Sicherheit vor – sagen wir – Unfällen oder versehentlich falschem Umgang in eher physischer Form. Das heißt beispielsweise, dass Informationen, Daten oder Lösungen vor einer Katastrophe wie einem Hochwasser oder Brand sicher geschützt sind. Eine Variante ist in diesem Fall eine Backup-Lösung, die geografisch vom Produktiv-System getrennt läuft. Auf Neudeutsch: Die Daten sind „safe“. Es geht folglich um den Betrieb der IT-Systeme auf eine Weise, die sicherstellt, dass die Informationen nicht verloren gehen.
Security vs. Safety: Hand in Hand
Nun reicht es aber keineswegs, sich für Security oder Safety zu entscheiden. Ein sicherer Betrieb braucht natürlich beides, und das sowohl für IT als auch für OT. Beide Welten müssen unbedingt vor unberechtigtem Zugriff bestmöglich geschützt werden, unter anderem durch
- kontinuierliches Monitoring der Aktivitäten auf den Systemen, um ungewöhnliche Aktivitäten frühzeitig zu erkennen
- kontinuierliches Update aller IT- und OT-Systeme im Unternehmen, um Sicherheitslücken in Anwendungen schnell und möglichst automatisiert zu schließen (Stichwort Unified Endpoint Management, UEM)
- kontinuierliche Überwachung der Policies, die für die unterschiedlichen Anwendungen, Geräte und User-Groups auf den Systemen ausgerollt wurden (auch hier leistet UEM wertvolle Dienste)
- regelmäßiges und aktuelles Backup aller IT- und OT-Daten und -Anwendungen
Problem: Datenträger verloren
Stellt sich vielleicht die Frage: Ist der Verlust eines USB-Sticks nun eher ein Safety- (weil physisch) oder ein Security-Problem (wg. der Daten, die möglicherweise Fremden
in die Hände fallen)? Es ist beides: Sind die Daten gesichert im Unternehmen – safe –, ist der physische Verlust vermutlich verkraftbar.
Doch was ist mit dem Datenmissbrauch? Hier wird deutlich: Die Daten auf dem Datenträger müssen unbedingt zum einen mit einem starken Passwort gesichert und zum anderen verschlüsselt sein,
zum Beispiel mit einem Tool wie BitLocker. Denn sonst hat das Unternehmen möglicherweise sehr schnell ein Security-Problem.
Unternehmen müssen ihre IT-Landschaften mit modernen Lösungen vor unberechtigtem Zugriff auf Hardware, Software und Informationen, vor Datenmissbrauch und Katastrophen schützen. Daher gilt:
Nur wenn beide Aspekte der Sicherheit Hand in Hand gehen können sie dafür sorgen, dass ihre IT-Landschaft sicher ist – secure und safe.
Better safe (and secure) than sorry
Die Vernetzung von IT und OT verlangt Sicherheit – Safety und Security. Wie Sie Ihre Steuerungssysteme, Server, Mobilgeräte, IPCs oder Netzwerkgeräte besser schützen, erfahren Sie in unserem kostenlosen On-Demand-Webinar zu Sicherheit in der Produktion.