Dirk: Die Seite wurde neu angelegt: „{{Vorlage:Entwurf}} {{#seo: |title=Grundschutz Demoverbund Plastelin GmbH |description=Demoverbund Produzier GmbH: IT-Grundschutz im mittelständischen Produktionsunternehmen – Struktur, Prozesse und Schutzbedarfsfeststellung }}{{SHORTDESC:Grundschutz Demoverbund Produzier GmbH}} ''Der fiktive Demoverbund Produzier GmbH veranschaulicht die praxisnahe Anwendung des BSI IT-Grundschutzes in einem mittelgroßen Unternehmen des produzierenden Gewerbes. Darg…“

2025-07-26T08:13:34Z

Die Seite wurde neu angelegt: „{{Vorlage:Entwurf}} {{#seo: |title=Grundschutz Demoverbund Plastelin GmbH |description=Demoverbund Produzier GmbH: IT-Grundschutz im mittelständischen Produktionsunternehmen – Struktur, Prozesse und Schutzbedarfsfeststellung }}{{SHORTDESC:Grundschutz Demoverbund Produzier GmbH}} ''Der fiktive Demoverbund Produzier GmbH veranschaulicht die praxisnahe Anwendung des BSI IT-Grundschutzes in einem mittelgroßen Unternehmen des produzierenden Gewerbes. Darg…“

Neue Seite

{{Vorlage:Entwurf}}
{{#seo:
|title=Grundschutz Demoverbund Plastelin GmbH
|description=Demoverbund Produzier GmbH: IT-Grundschutz im mittelständischen Produktionsunternehmen – Struktur, Prozesse und Schutzbedarfsfeststellung
}}{{SHORTDESC:Grundschutz Demoverbund Produzier GmbH}}
''Der fiktive Demoverbund Produzier GmbH veranschaulicht die praxisnahe Anwendung des BSI IT-Grundschutzes in einem mittelgroßen Unternehmen des produzierenden Gewerbes. Dargestellt werden Unternehmensstruktur, IT-Systemlandschaft, Geschäftsprozesse und eine detaillierte Schutzbedarfsfeststellung als Grundlage für ein effektives Informationssicherheitsmanagement.''

== Strukturanalyse der „Produzier GmbH“ ==

=== Unternehmensbeschreibung ===
Die '''Produzier GmbH''' ist ein mittelständisches Unternehmen mit ca. 250 Mitarbeitenden, das im Bereich der Kunststoffverarbeitung tätig ist. Der Fokus liegt auf der Herstellung von technisch hochwertigen Kunststoffkomponenten für die Automobilindustrie sowie den Maschinenbau. Das Produktspektrum umfasst Spritzgussteile, Montagebaugruppen und Spezialprofile.

* '''Standort:''' Ein zentraler Produktionsstandort mit Verwaltungsgebäuden und angrenzendem Logistikzentrum
* '''Umsatz:''' Ca. 70 Millionen Euro pro Jahr
* '''Führung:''' Geschäftsleitung mit Qualitätsmanagement, IT- und Informationssicherheitsbeauftragten sowie Abteilungen Produktion, Entwicklung, Einkauf, Vertrieb und Support
* '''Prozesse:''' Fertigung von Kundenaufträgen nach Just-in-Time (JIT), verbunden mit komplexer Logistik und Lieferantensteuerung
* '''Besonderheiten:''' Hohe Abhängigkeit von Produktions-IT (z.B. Fertigungssteuerung), verbunden mit klassischen Unternehmens-IT-Systemen, zunehmende Digitalisierung, IoT innerhalb der Produktion (Industrie 4.0)

=== Struktur- und IT-Systemanalyse ===

==== Organisatorische Struktur und Informationsverbund ====

* '''Geschäftsleitung''' Gesamtverantwortung für Organisation, IT-Sicherheit und Compliance
* '''IT-Abteilung''' Betriebsleitung für IT-Systeme, Netzwerk, Server, Cloud-Anbindungen und Security Operations
* '''Informationssicherheitsbeauftragter (ISB)''' Koordination der Maßnahmen nach BSI IT-Grundschutz, Risikoanalysen, Schulungen
* '''Produktionsleitung''' Verantwortung für Produktionsablauf, Fertigungs-IT und Produktionssicherheit
* '''Qualitätsmanagement''' Überwachung der Produktqualität und Dokumentation (Digitalisierung von Workflows)
* '''Fachabteilungen''' Einkauf, Vertrieb, Verwaltung, Logistik mit eigenen IT-Zugangsprofilen und Anwendungen

==== Typische IT-Systeme und Zielobjekte im Informationsverbund ====
{| class="wikitable"
!Kategorie
!Beschreibung
|-
|'''Produktions-IT / OT'''
|
* Fertigungssteuerungssystem (MES, Manufacturing Execution System)
* Industrielle Steuerungssysteme (SPS, SCADA)
* IoT-Sensoren und Aktoren zur Prozessüberwachung
* Vernetzte Maschinen und Robotik
* Produktionsnetz mit strenger Segmentierung (z.B. separate VLANs)
|-
|'''Unternehmens-IT'''
|
* ERP-System für Auftragsbearbeitung, Einkauf und Lagerverwaltung (z.B. SAP)
* CAD/CAM-System zur Produktentwicklung
* CRM-System zur Kundenverwaltung
* Finanzbuchhaltungssystem
* Office-Anwendungen
* E-Mail- und Kollaborationsplattform (On-Premises und Cloud-Hybrid)
|-
|'''Netzwerkinfrastruktur'''
|
* Lokales Firmennetzwerk mit Segmentierung nach Abteilungen
* Firewall/UTM-Appliances
* VPN für externe Zugriffe (z.B. Lieferanten, Homeoffice)
* WLAN mit gesondertem Gastzugang
* Cloud-Anbindung mit sicheren Zugängen (z.B. über Zero Trust)
|-
|'''Server und Speicher'''
|
* Lokale virtualisierte Serverplattform (VMware/Hyper-V)
* Fileserver für interne Dokumente und Projektdaten
* Backup-Server mit regelmäßigen Sicherungen (on-site und Cloud-backup)
* Datenbankserver für ERP und MES
* Cloud-Backup und Disaster Recovery Systeme
|-
|'''Sicherheitsinfrastruktur'''
|
* Endpoint-Security (Antivirus, EDR)
* SIEM-System für Log-Management und Sicherheitsmonitoring
* Multi-Faktor-Authentifizierung (MFA) für kritische Systeme
* Patchmanagement und Update-Mechanismen
* Security Awareness Programme für Mitarbeitende
|-
|'''Telefonie und Kommunikation'''
|
* IP-Telefonie über VOIP
* Mobile Endgeräte (Smartphones, Tablets) mit Mobile Device Management (MDM)
* Video-Konferenzsysteme (Hybrid lokal/Cloud)
|}

==== Typische Prozesse des Informationsverbunds ====
Hier die erweiterte tabellarische Darstellung der Geschäftsprozesse der '''Produzier GmbH''' mit kurzer Beschreibung zu jedem Prozess:
{| class="wikitable"
!Nr.
!Geschäftsprozess
!Prozessverantwortung
!Typische IT-Systeme / Anwendungen
!Prozesstyp
!Kurzbeschreibung des Prozesses
|-
|1
|Auftragsannahme und Vertrieb
|Vertriebsleitung
|CRM-System, ERP, E-Mail, Telefonie
|Kernprozess
|Aufnahme von Kundenbestellungen, Erstellung von Angeboten, Vertragsabschluss und Pflege der Kundenbeziehungen.
|-
|2
|Produktentwicklung
|Entwicklungsleitung
|CAD/CAM-Systeme, Produktdatenmanagement, ERP
|Kernprozess
|Entwurf und Konstruktion neuer Produkte sowie deren Prototypen bis zur Freigabe für die Produktion.
|-
|3
|Materialbeschaffung und Einkauf
|Einkaufsleitung
|ERP (Beschaffung, Lagerverwaltung), Lieferantenportale
|Hilfsprozess
|Beschaffung aller notwendigen Rohstoffe und Materialien zur Sicherstellung der Produktionsfähigkeit.
|-
|4
|Produktionsplanung und -steuerung
|Produktionsleitung
|MES, SPS-Steuerungen, Produktionsplanungstools
|Kernprozess
|Planung, Steuerung und Überwachung der Fertigungsprozesse zur termingerechten und effizienten Produktion.
|-
|5
|Fertigung / Produktion
|Produktionsleitung
|MES, SPS, SCADA-Systeme, IoT-Überwachungssysteme
|Kernprozess
|Durchführung der eigentlichen Produktion, inklusive Maschinentechnik und Qualitätskontrolle in der Fertigung.
|-
|6
|Qualitätsmanagement
|Qualitätsmanagement
|QM-Software, Dokumentenmanagement, ERP
|Hilfsprozess
|Sicherstellung der Produktqualität durch Prüfungen, Dokumentationen und Verbesserung der Prozesse.
|-
|7
|Lagerhaltung und interne Logistik
|Logistikleitung
|ERP, Lagerverwaltungssystem, mobile Datenerfassung (z.B. Scanner)
|Hilfsprozess
|Verwaltung und Organisation von Roh-, Hilfs- und Fertigwarenlagern sowie innerbetrieblicher Materialfluss.
|-
|8
|Versand und Auslieferung
|Logistikleitung
|ERP, Transportmanagementsystem, Versandsoftware
|Hilfsprozess
|Verpackung, Versandvorbereitung und Organisation der Auslieferung an Kunden.
|-
|9
|Finanzbuchhaltung und Controlling
|Finanzleitung
|ERP (Finanzmodul), Buchhaltungssoftware, Controllingtools
|Steuerungsprozess
|Verwaltung aller finanziellen Transaktionen, Kostenkontrolle und Erstellung von Berichten und Jahresabschlüssen.
|-
|10
|Personalverwaltung
|Personalabteilungsleitung
|HR-Software, Lohnabrechnungssystem, Zeiterfassungssystem
|Hilfsprozess
|Verwaltung von Mitarbeiterdaten, Lohnabrechnung, Zeit- und Abwesenheitsmanagement.
|-
|11
|IT- und Systembetrieb
|IT-Leitung
|Serververwaltung, Active Directory, Backup-Systeme, Sicherheitssoftware
|Hilfsprozess
|Betrieb, Wartung, Sicherheit und Verfügbarkeit aller IT-Systeme und Netzwerke.
|-
|12
|Instandhaltung und Facility Management
|Technische Leitung
|CAQ-Systeme, Wartungssoftware, CMMS
|Hilfsprozess
|Wartung und Reparatur der Produktionsanlagen sowie Gebäudeinfrastruktur.
|-
|13
|Umweltschutz und Arbeitssicherheit
|Umwelt- und Sicherheitsbeauftragte
|Dokumentenmanagement, spezialisierte Sicherheitssoftware
|Hilfsprozess
|Sicherstellung von Umweltschutzmaßnahmen und Arbeitssicherheit im Betrieb.
|-
|14
|Unternehmensführung / Management
|Geschäftsleitung
|BI-Tools, ERP, Dokumentenmanagement
|Steuerungsprozess
|Strategische Planung, Steuerung und Kontrolle aller Unternehmensaktivitäten.
|-
|15
|Informationssicherheitsmanagement
|Informationssicherheitsbeauftragter (ISB)
|ISMS-Software, SIEM, Schwachstellenmanagement
|Steuerungsprozess
|Planung, Umsetzung und Überwachung der Informationssicherheit im Unternehmen.
|-
|16
|Datenschutzmanagement
|Datenschutzbeauftragter
|Datenschutzmanagementsysteme, Dokumentationssoftware
|Steuerungsprozess
|Sicherstellung der Einhaltung datenschutzrechtlicher Vorgaben gemäß DSGVO und anderen Regelwerken.
|}
Diese Kurzbeschreibungen fassen jeweils die wesentlichen Ziele und Aktivitäten der Prozesse prägnant zusammen.
=== Besonderheiten bei IT-Grundschutz-Umsetzung im Verbund Produzier GmbH ===

* '''Hohe Anforderungen an Verfügbarkeit:''' Produktionsausfälle führen unmittelbar zu hohen Kosten. Deshalb besondere Priorität auf Backup, Redundanzen und Notfallmanagement.
* '''Segmentierung und Trennung von OT und IT:''' Produktionsnetzwerke werden streng getrennt und ausreichend gegen Angriffe aus der Unternehmens-IT geschützt.
* '''Integration von IoT und Industrie 4.0:''' Verbindlichkeiten für Absicherung von IoT-Geräten müssen in den Schutzkonzepten berücksichtigt werden.
* '''Cloud-Hybride Systeme:''' Kombination aus eigenem Rechenzentrum und Cloud-Services erfordern besondere Sicherheitsmaßnahmen und klare Vertrags- und Datenschutzregelungen.
* '''Schulung der Mitarbeitenden:''' Fokus auf Awareness und Umgang mit Bedrohungen speziell im Produktionsumfeld.

=== Aufbau des Informationsverbunds (Beispielhafte Gliederung) ===

* '''Verbundzentrale:''' Management, IT-Administration, zentrale Serversysteme, ISMS-Koordination, Bereich ISB
* '''Produktionsbereich:''' MES, Steuerungssysteme, Maschinen-Vernetzung, eigene VLAN-Segmente, lokale OT-Sicherheitsgateways
* '''Verwaltungsbereich:''' Büroarbeitsplätze, ERP/Kundenmanagement, E-Mail, Cloud-Anbindungen, Remote-Zugänge
* '''Logistikbereich:''' Lagerverwaltungssystem, Lieferantenschnittstellen, mobile Geräte, separate Wireless-Segmente
* '''Backup und Notfall:''' Backup-Server und cloudbasierte Archivierung mit regelmäßigen Wiederherstellungstests
* '''Externe Schnittstellen:''' VPN-Zugänge für Lieferanten, Cloud-Servicezugänge, Updateservices von Drittanbietern

Dieses Beispiel bildet einen praxisnahen IT-Grundschutz-Informationsverbundtyp für ein produzierendes mittelständisches Unternehmen ab. Es berücksichtigt die klassische IT und die besondere Integration von Produktions-IT (OT) und Industrie 4.0-Aspekten sowie die Auswirkungen auf die Sicherheitsmaßnahmen. Ein ausführliches Schutzbedarfs- und Risikoanalysekonzept folgt auf Grundlage dieser Struktur.

Wenn gewünscht, kann ich gern noch die typische Schutzbedarfsfeststellung und den Maßnahmenkatalog dazu entwickeln.

== Schutzbedarfsfeststellung ==
Hier ist die Schutzbedarfsfeststellung mit jeweils ergänzter kurzer, nachvollziehbarer Begründung für die Einstufung des Schutzbedarfs bei der '''Produzier GmbH''':
{| class="wikitable"
!Geschäftsprozess
!Vertraulichkeit
!Integrität
!Verfügbarkeit
!Begründung
|-
|Auftragsannahme und Vertrieb
|'''hoch'''
|'''hoch'''
|'''hoch'''
|Kundendaten sind vertraulich, fehlerhafte Aufträge beeinträchtigen den gesamten Geschäftsablauf, Ausfall stoppt Vertrieb.
|-
|Produktentwicklung
|'''hoch'''
|'''hoch'''
|'''normal'''
|Schutz geistiger Eigentums ist kritisch, Daten müssen korrekt sein, Verfügbarkeit ist weniger kritisch.
|-
|Materialbeschaffung und Einkauf
|'''normal'''
|'''normal'''
|'''normal'''
|Daten sind weniger vertraulich, Fehler verzögern nur selten direkt die Produktion, Verfügbarkeit ist nicht kritisch.
|-
|Produktionsplanung und -steuerung
|'''hoch'''
|'''sehr hoch'''
|'''sehr hoch'''
|Fehler oder Ausfall führen zu Produktionsstillstand, hohe Anforderungen an korrekte und zeitnahe Steuerung.
|-
|Fertigung / Produktion
|'''hoch'''
|'''sehr hoch'''
|'''sehr hoch'''
|Produktionsunterbrechungen verursachen hohe Kosten, Manipulationen beeinträchtigen Qualität und Sicherheit.
|-
|Qualitätsmanagement
|'''normal'''
|'''hoch'''
|'''normal'''
|Fehlerhafte QM-Daten können zu Produktmängeln führen, Vertraulichkeit weniger kritisch.
|-
|Lagerhaltung und interne Logistik
|'''normal'''
|'''normal'''
|'''hoch'''
|Verfügbarkeit ist wichtig für Materialfluss, Fehler führen zu Verzögerungen, Daten selbst sind nicht sehr sensibel.
|-
|Versand und Auslieferung
|'''normal'''
|'''hoch'''
|'''hoch'''
|Versandfehler und Manipulationen führen zu Lieferproblemen und Kundenzufriedenheitseinbußen, Verfügbarkeit wichtig.
|-
|Finanzbuchhaltung und Controlling
|'''hoch'''
|'''hoch'''
|'''hoch'''
|Finanzdaten sind vertraulich und müssen korrekt sein, Verfügbarkeit für laufende Geschäftstätigkeit essenziell.
|-
|Personalverwaltung
|'''hoch'''
|'''hoch'''
|'''normal'''
|Enthält personenbezogene Daten mit strengen Datenschutzanforderungen, Fehler wirken sich auf Mitarbeiter aus.
|-
|IT- und Systembetrieb
|'''hoch'''
|'''hoch'''
|'''sehr hoch'''
|IT-Systeme sind Grundlage aller Prozesse, Ausfall führt zu kompletter Betriebsunterbrechung.
|-
|Instandhaltung und Facility Management
|'''normal'''
|'''normal'''
|'''normal'''
|Fehler beeinträchtigen meist Wartungstermine, sind aber meist nicht unmittelbar kritisch für Kernprozesse.
|-
|Umweltschutz und Arbeitssicherheit
|'''normal'''
|'''hoch'''
|'''normal'''
|Korrekte Dokumentation ist wichtig zur Einhaltung gesetzlicher Vorgaben, Ausfälle haben meist wenig direkte Folgen.
|-
|Unternehmensführung / Management
|'''hoch'''
|'''hoch'''
|'''hoch'''
|Strategische Daten sind vertraulich, Fehler oder Ausfälle behindern Steuerung und Governance.
|-
|Informationssicherheitsmanagement
|'''sehr hoch'''
|'''sehr hoch'''
|'''hoch'''
|Schutz der Sicherheitssysteme ist erfolgskritisch zur Vermeidung von Sicherheitsvorfällen und Schaden.
|-
|Datenschutzmanagement
|'''hoch'''
|'''hoch'''
|'''normal'''
|Einhaltung von Datenschutzrecht ist verpflichtend und sensitiv, Verfügbarkeit der Tools ist zwar wichtig, aber nicht kritisch.
|}
Diese Begründungen fassen die wesentlichen Auswirkungen eines Ausfalls oder einer Beeinträchtigung zusammen und begründen nachvollziehbar die Schutzbedarfseinstufung mit Blick auf wirtschaftliche, rechtliche und operative Konsequenzen.

[[Kategorie:Artikel]]
[[Kategorie:Demo]]

Demoverbund Produzier GmbH - Versionsgeschichte