Viele Gespräche mit Fachkollegen, das Studium von Fachzeitschriften und Publikationen von Fachverbänden und Herstellern von Sicherheitslösungen vermitteln jedoch einen gegensätzlichen Eindruck. Die skizzierten Bedrohungslagen fokussieren sich leider immer noch auf den „Angriff von außen“ und damit auf deliktische Handlungen. Solche Vorgänge sind meist spektakulär und „machen im Betrieb die Runde“. Dabei wird jedoch freundlich übersehen, dass mit dem Aufgreifen des „Täters“ die Sache nicht erledigt ist. Die Handlungen dokumentieren dem Wissenden anschaulich, wie schlecht es um die Führungs- und Unternehmenskultur bestellt sein muss. Eine Bestrafung (Abmahnung, Entlassung) schreckt dann nicht ab, wenn die Stellschraube „Führung“ nicht zugleich verbessert wird.
Das Aufdecken strafbarer Vorgänge besagt noch nichts über deren tatsächliche Zahl und die dadurch ausgelösten Beeinträchtigungen der Geschäftsprozesse, die auch erheblich sein können, zumeist auch über Jahre andauern und das Betriebsergebnis schädigen. Der „Head von Investigation“ ändert daran nichts! Die zu betrachtenden Umstände sind wesentlich komplexer und bedürfen einer ganzheitlichen Analyse, die zumeist in Änderungen des Führungsverhaltens mündet. Die Anschaffung von System steht ganz am Schluss, und nicht, wie immer wieder von den Verkäufern von Sicherheitseinrichtungen vorgegaukelt wird, am Beginn! Der Weg zum Erfolg führt einzig und allein über diesen Weg.
Damit stehen wir nun „mittendrin“ im Verständnis von „Sicherheit“ und der Steuerung der Geschäftsprozesse. Die durch Störungen, Eingriffe und Beeinträchtigungen ausgelösten Betriebsunterbrechungen, die aus Gewohnheit hingenommen werden, führen zu andauernden Leerkosten. „Da kann man nichts machen!“ Es ist dieser Schlendrian durch fehlende Regelungen und Steuerung ausgelöste Schlendrian, der im ganzen Unternehmen (Betrieb und Verwaltung) zu hohen und wirtschaftlich nicht zu rechtfertigenden Aufwendungen führt. Es fehlt häufig am unternehmerischen Führungs- und Risikoverständnis. Die Sicherheit wird unter Kostengesichtspunkten verstanden, wohl auch deshalb, weil man ihren Beitrag zur Wertschöpfung nicht erkennt und das Thema gerne verdrängen möchte. Wundert es, dass die Sicherheit unter diesen Voraussetzungen nicht funktionieren kann? Es fehlt am betriebswirtschaftlichen Verständnis, mehr noch an der Integration der Aufgabe „Sicherheit“ in den Prozessen. Das weist auf ein unzureichendes betriebswirtschaftliches Gesamtverständnis hin.
Sicherheit ist eine ursprüngliche betriebswirtschaftliche Aufgabe, auch wenn das von der Lehre so noch nicht verstanden und beschrieben wird. Die Theorie ist „grau“, in der Praxis zählen nur sichere, effektive und damit effiziente Prozesse und Ergebnisse.
Betrachten wir nun den Anspruch der „Regelkonformität“. Ein hohes Ziel, und die Praxis? In der Praxis „parkt der Chef / die Führungskraft“ mit dem (privat zu nutzenden) Dienstfahrzeug verbotswidrig und für alle Beschäftigten sichtbar in (ausgewiesenen) Verbotszonen, der Meister nutzt die (vorgeschriebene) Persönliche Schutzausrüstung (PSA) nicht und die Passwörter der PC-Nutzer sind Allgemeingut. Die sogenannte „Zutrittskontrollanlage“ wird durch offene Seitentüren unwirksam „geschaltet“, eine Zugangsordnung für fremde Personen existiert ebenso wenig wie ein aktuelles Berechtigungsmanagementsystem, von einem umfassenden Zugangssystem ganz zu schweigen. Wenn dann zusätzlich im Brandschutz „gespart“ wird, die Regeln der Lagerung von leichtbrennbaren Stoffen missachtet werden, nutzt auch die beste Feuerwehr nichts. Stichwort „Feuerwehr“. Für den Schutz der betrieblichen Daten verlassen sich alle „User“ auf die „Firewall“. Das hält sie jedoch nicht ab, in öffentlichen Räumen zu telefonieren und diese als „Büro“ zu nutzen. Die Erkenntnis, sich nicht gegen die „NSA“ erfolgreich schützen zu können, hat diesen Trend offenbar noch verstärkt. Der IT-Schutz ist in der Folge anfälliger geworden. Nutzen Sie in diesem Sinne die Wartezeiten am Gate oder in der Bahn – Kurzweile wird garantiert, sofern Sie das ständige Telefonieren und das Geflimmer der Bildschirme nicht stören.
Sprechen wir in diesem Zusammenhang nun von „Schlendrian“ oder beschreiben die geschilderten Zustände nicht eher die vorsätzliche Missachtung von Prozessen im Zusammenhang mit Regeltreue? Gleich wie Sie diese Frage auch beantworten, die Wertschöpfung nimmt Schaden, das Risiko ist gewaltig.
Sicherlich habe ich einen schaurigen Zustand beschrieben, doch er beschreibt die Praxis. Das bleibt auch Fachkollegen nicht verborgen, die darüber berichten, auch von der Aussichtslosigkeit, daran etwas ändern zu können. Darum schwingt in Fachgesprächen die Frustration hörbar mit, auch ein gewisser Unterhaltungswert.
Der „Crash“ im VW-Konzern und die wiederholten vernichtenden Großbrände in einem Konzern der Nahrungsmittelindustrie weisen exemplarisch auf große Defizite hin, bestehende Risiken zu erkennen (zu wollen) und (auch) „anzugehen“. Der Pressesprecher begründet wortreich, warum „es geschehen musste“, „ es nicht zu verhindern war“, das „eigentlich niemand dafür verantwortlich sei“ und so weiter. Viele Worte, wenig Inhalt. Business as usually. Und das erklärt, warum es weiterhin „brennen“ wird. Viele Prozesse leiden unter diesem Missverständnis, einer mangelhaften Steuerung und den immer wieder auftretenden Regelverletzungen, die nicht unbedingt spektakulär sein müssen. „Kleinvieh macht auch Mist“! Es kumulieren sich Risiken, die irgendwann eine Störung / einen Schaden auslösen. Das Bild vom „Schneeball und der Lawine“ kommt in den Sinn. Wirtschaftliches Verhalten sieht anders aus.
Wie kann dieser Zustand im wirtschaftlichen Verständnis verbessert werden?