Was empfinden Sie, wenn Sie in den Medien von Großschadensereignissen lesen und sich Ihnen anschließend mehr Fragen auftun, als Antworten gegeben werden(können)? Das betrifft zum Beispiel den sogenannten „Dieselskandal“ oder verheerende Brände in Unternehmen, welche ganze Betriebe vernichten. Die Vielzahl von erfolgreichen Cyberangriffen löst immer noch Verwunderung aus. Gleichermaßen Zahlungen für fiktive Rechnungen oder dreiste Diebstähle, die das Unternehmen unvorbereitet treffen, zumindest wird es so begründet.
Wenn Manager entscheiden, aus Kostengründen auf wirksame Maßnahmen zum Schutz der Unternehmensdaten zu verzichten, zeigt dieses Verhalten ein erschreckendes Maß an Ignoranz, Unverständnis und fehlender unternehmerischer Ver-Antwort-ung.
Wer losgelöst von diesen Ereignissen die Frage stellt, ob die vorhandene Unternehmenssicherheit den Anforderungen entspricht, löst damit häufig großes Erstaunen aus. „Was man denn überhaupt unter Sicherheit verstehe“, lautet die freundliche Gegenfrage. „Man verfüge über eine externe Security-Abteilung. Die kümmere sich um die Sicherheit des Unternehmen.“ Wirklich? Um alles? Auch um Datenschutz, Brandschutz, Arbeitsschutz und sogar den Unfallschutz?
Zum Autor
Heinz Lorse war Sicherheitschef bei der Gerolsteiner Brunnen GmbH & Co. KG und ist heute als Berater tätig.
In manchen Unternehmen fehlt einfach das Grundverständnis für die existentielle Bedeutung von Unternehmensschutz und –Sicherheit. Dass sichere und damit effektiv funktionierende Prozesse die Grundlage für Wertschöpfung sind, wird dabei eher nicht betrachtet. Großschadensereignisse werden immer noch als „Naturgewalten“ verstanden, gegen die kein Kraut gewachsen sei. Das kostet die deutsche Wirtschaft jährlich viele Milliarden an Wertschöpfung, den Verlust von Existenzen noch nicht einmal eingerechnet.
Die Aufgabe Unternehmenssicherheit wird (immer noch) nicht im strategisch ganzheitlichen Sinne verstanden. Das haben viele Manager weder im Studium noch in der Praxis gelernt. Aber auch in eigener Sache ist ihnen die Aufgabe Risikomanagement eher unbekannt. Das Grundverständnis von Prozesssicherheit, die Grundlage für jeden unternehmerischen Erfolg, fehlt. Zudem erscheint es verlockend, die Sicherheitsaufwendungen auf dem „Friedhof der Kosteneinsparungen“ zu beerdigen. Das funktioniert auch eine Weile, den Gratifikationen sei Dank! Wenn der große „Knall“ dann kommt, sind die Ver-Antwort-lichen längst bei einem anderen Unternehmen und beginnen das Spiel von vorne. Es winken satte Boni!
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
Dazu trägt sicherlich bei, dass Sicherheit überwiegend technisch verstanden wird, eine Aufgabe für Experten, verteilt auf einem Flickenteppich im ganzen Unternehmen. Strategisches Verständnis? Fehlanzeige!
Im Anschluss an Schadensereignisse werden die tatsächlichen (!) Ursachen häufig nicht analysiert und bleiben unerkannt. Die Risiken bestehen weiter fort. Darunter leidet die Wertschöpfung, zunächst im Verborgenen. Irgendwann – reiner Zufall – potenzieren sich ungünstige Bedingungen und die Lawine kommt ins Rollen.
Was sind die Gründe für dieses Verhalten? Warum wird der wirtschaftliche Wert von Unternehmenssicherheit meist nur unter Kostengesichtspunkten betrachtet, der mögliche Beitrag zur Wertschöpfung nicht genutzt? Mehr dazu im folgenden Abschnitt.