WiWo App 1 Monat für nur 0,99 €
Anzeigen

Strategische Sicherheitsplanung Wenn das Unternehmen wie eine Uhr tickt

Sicherheitsabteilungen rechtfertigen ihre Existenz oft nur dadurch, dass sie teure Überwachungs- und Kontrollanlagen anschaffen. Dabei könnten sichere Prozesse, richtig eingesetzt, sogar den Unternehmenswert steigern.

  • Artikel teilen per:
  • Artikel teilen per:
Die größten Mythen zur IT-Sicherheit
Fakt ist: Es gibt vollautomatisierte Angriffs-Tools, die Hacker einsetzen, um Schwachstellen aufzudecken. Ein neuer, ungeschützter Computer, der erstmalig mit dem Internet verbunden wird, ist in der Regel innerhalb von sieben Minuten kompromittiert. Quelle: dpa
Fakt: Jeder Computernutzer besitzt wertvolle Daten. Und seien es nur lokal gespeicherte Passwörter fürs Online-Banking, Kreditkartendaten, E-Mail- oder Web-Accounts. Diese Infos sind gerade für Identitätsdiebe äußerst wertvoll. Quelle: dpa
Fakt: Angriffe laufen immer, Tag und Nacht. Oft bekommen Sie davon gar nichts mit. Eine Security-Lösung mit Antivirus und Firewall sollte heute selbstverständlich sein, ebenso Up-to-Date-Systeme mit aktuellen Patches. Quelle: dpa
Fakt: Jede installierte Software birgt potenzielle Schwachstellen und sollte mit Updates auf dem Stand gehalten werden - das gilt für Security-Software ebenso wie für jede andere Applikation. Wichtig ist auch, dass persönliche Passwörter und weitere Informationen über einen selbst vertraulich und sicher aufbewahrt werden. Quelle: dapd
Fakt: Auch wenn die Datei nicht mehr angezeigt und gefunden wird, ist doch nur der Verweis darauf entfernt worden. Die eigentliche Information ist noch solange auf der Festplatte gespeichert, bis sie mit einer neuen überschrieben wird. Erst mit speziellen Wipe-Tools, die Festplatten sektorweise überschreiben, werden Daten endgültig gelöscht. Quelle: dpa
Fakt: Cyberkriminelle tun alles, um eben das zu verhindern. Die besten entwickeln Websites, die seriös und professionell aussehen - oft sogar vertrauten Angeboten eins zu eins gleichen, um die Besucher zu täuschen. Und dann reicht ein einziger kompromittierter Link, und der ahnungslose Besucher sitzt in der Falle. Quelle: Fraunhofer - SITFrauenhofer Institut
Fakt: Früher vielleicht ja, heute nur noch bei schlecht gemachten Attacken. Die Entwicklung im Untergrund ist soweit fortgeschritten, dass kaum ein Nutzer noch merkt, wenn sein Rechner als Teil eines Botnetzes als Spam-Schleuder missbraucht wird oder andere Computer angreift. Quelle: Reuters

„Unternehmenssicherheit“ – welche Gedanken kommen in den Sinn, wenn dieser Begriff fällt? Aus der „Froschperspektive“ betrachtet mag man an die (hinderlichen) Kontrolleinrichtungen und (unverständlichen) „Zutrittsbeschränkungen“ denken,

wohlmöglich auch an die (lästige) Pflicht zum Tragen von Hygiene- oder Schutzkleidungen. Wechselt man die Perspektive und betrachtet das Unternehmen aus der „Vogelperspektive“, kann schon die Notwendigkeit für die eine oder andere Maßnahme erwachsen. Überhaupt, vieles von dem, was im Unternehmen die „Sicherheit“ betrifft, spielt sich im „Verborgenem“ ab und erschließt sich selten dem interessierten Betrachter. Das mag sicherlich im Zusammenhang mit dem fehlenden „Marketing“ der Fachleute stehen, deren Aufgaben wie ein Flickenteppich in unterschiedlichen Abteilungen verteilt sind, meist getrennt voneinander und selten abgestimmt.

„Sicherheit“ und „Kosten“, das ist schon eher geläufig. Wer jedoch den Zusammenhang von „Prozesssicherheit“ und „Betriebswirtschaft“ herstellt, betritt in der Regel „Terra incognita“, ein (noch) unbekanntes Land. Aber genau auf diese Reise möchte ich Sie mitnehmen und den Blick auf hohe Potentiale lenken, die es in jedem Unternehmen gibt und die nur darauf warten, entdeckt und genutzt zu werden. Ich entwickle kein neues Management, spreche nicht von „System“, sondern beschreibe einen neuen Ansatz, die „Sicherheit“ zum Garanten für sicherere und belastbare Prozess- und damit effektivere Wertschöpfungsketten zu nutzen. Profitabel wachsen, das habe ich im Sinn, ein stringent betriebswirtschaftliches Ziel.

Über den Autor

Habe ich Sie neugierig gemacht? Dann folgen Sie mir bitte auf eine „Reise“, die Sie am Ziel zu einem neuen Verständnis für die Aufgabe „Unternehmenssicherheit“ führen kann.

„Sicherheit ist, wenn das Unternehmen funktioniert“

Es ist praktisch, die Aufgaben „Schutz“ und „Sicherheit“ mit englischen Begriffen zu umschreiben. Im Ergebnis definiert ein jeder Sicherheitsverantwortliche dann selbst,

was er darunter zu verstehen glaubt. Meist überwiegt dann der Zwang, „etwas tun zu müssen“. Ein wirtschaftlicher Plan wird damit selten verfolgt. Die mitunter in Fachzeitschriften und auf Kongressen gepriesenen Angebote der „Hersteller und Errichter von Sicherheitseinrichtungen“ sind häufig reaktiv und beschäftigen sich selten mit der Zukunft, dafür umso mehr mit der Vergangenheit. Die „Verhaltenskontrolle“ der Beschäftigten steht im Vordergrund, sehr zum Argwohn der Arbeitnehmervertreter, welche die Sinnfrage stellen (zumindest diese tun es!). 

Viele Sicherheitsverantwortliche – meist ehemalige Polizisten – tun das, was sie gelernt haben. Sie kümmern sich (weiterhin) um deliktischen Vorgänge (im Unternehmen) und weisen ihre Daseinsberechtigung in bunten Diagrammen und der Anschaffung von immer neuen „Kontrollanlagen“ und „Überwachungssystemen“ nach. Die dabei anfallende gewaltige Datenflut löst einen hohen Arbeitsaufwand aus und bedarf umfangreicher Regelungen. Man ist sehr beschäftigt! Die Systeme kosten zudem Geld und eine ständige Pflege, aber diese Kosten sind budgetiert und fallen nicht weiter auf. Ob Aufwand und Ergebnis angemessen sind, ob gar einen Beitrag zur Wertschöpfung entsteht, ob ein angemessener Return on Investment (ROI) erzielt werden kann, wird selten hinterfragt.

Diese Branchen sind am häufigsten von Computerkriminalität betroffen

Das kommt erst in den Sinn, wenn im Rahmen von Kostenwertanalysen „alles auf den Prüfstand gestellt wird“, aber dann ist es häufig zu spät für gute Einsichten. Die Kontrollwut fördert das Misstrauen der Menschen, die sich notgedrungen „Hintertüren“ schaffen. Das Spiel „Katz und Maus“ beginnt – die Mäuse gewinnen! Die Unternehmenskultur und die Werte nehmen dabei schweren Schaden.

Deliktische Handlungen stellen eine schwere Störung des Betriebsfriedens dar. Unbestritten! In Unternehmen mit klaren Strukturen, einem „gelebten“ Wertesystem, einer spürbar positiven Unternehmenskultur, wertschätzendem Umgang und unternehmerischer Verantwortung auf allen Hierarchiestufen sind deliktische Handlungen so gut wie unbekannt. Es herrscht Frieden, man konzentriert sich auf die betrieblichen Ziele und arbeitet miteinander. Der „Head of Investigation“ wird einfach nicht benötigt, der „Head of Security“ auch nicht, zumindest wenn er sich nicht für die Zukunft interessiert! Eine Verhaltenskontrolle der Beschäftigten wird nicht benötigt.

Welche Aufgabe hat „Sicherheit“ dann zu erfüllen? Warum führen die bekannten Ansätze in die Irre und wie kann die Aufgabe neu und besser beschrieben werden? Ich möchte Ihnen einen Weg aus der Praxis aufzeigen, in dem die Sicherheit mittendrin statt außen vor in den Prozessketten wirkt und sich zum Motor für die Wertschöpfung entwickeln kann. Die Unternehmenssicherheit ist darin ein betriebswirtschaftlicher und wertschöpfender Baustein im Unternehmensmodell.

"Im Mittelpunkt steht der Mensch!"

„Wirksame Führungskräfte“ (Fredmund Malik) erkennen das großartige Vermögen der ihnen anvertrauten Menschen und delegieren. Delegation von Verantwortung als Führungsprinzip beinhaltet natürlich auch die Sicherheit der Prozesse und damit deren Gelingen. Sicherheit ist in diesem Sinne Prozesssicherheit. Nur dann, wenn dieser Schritt gewagt wird, die Steuerung der Prozesse als Teil der unternehmerischen Verantwortung auf allen Stufen funktioniert, sind effiziente und effektiv ablaufende Prozesse möglich. „Prozesssicherheit“– das ist der Kern der Aufgabe „Sicherheit“.

Die Wertekultur ist der Schmierstoff, Sicherheit schließt die Prozessketten und macht sie durch Kommunikation und Steuerung sicher, belastbar und effektiv.

Wenn Sie mir bisher gefolgt sind, dann darf ich Sie nun mit einem weiteren Gedanken vertraut machen. Vergleichen wir das Unternehmen mit einer mechanischen Uhr. Wir bewundern die Bewegung der vielen Rädchen und erfreuen uns am Takt des Uhrwerks. Jedes Rad hat seine Zweckbestimmung und wir verstehen sogleich, dass die Störung eines „Rädchens“ die Funktion der gesamten Uhr infrage stellt. Übertragen wir nun dieses Bild auf ein Unternehmen. Viele, sehr viele „Rädchen“ wirken auch hier zusammen, damit „der Betrieb funktioniert“. Die jährliche Betriebsergebnisrechnung legt Zeugnis über das Gelingen ab. Regelverletzungen, Störungen und Stillstände schädigen das Ergebnis unmittelbar. Davon schweigt des „Sängers Höflichkeit“ in den Geschäftsberichten, auch weil dieser Umstand selten erkannt und bewertet wird. Es werden meist nur die Erfolge verzeichnet und die Beeinträchtigungen umschrieben.

“Datenklau 2015” - Die Ergebnisse im Überblick

Das steht auch im Zusammenhang mit dem Verzicht auf eine strategische Sicherheitsplanung (Defense Plan), in welchem die Risiken unternehmensweit erfasst, beschrieben und bewertet werden. Keine Sicherheitsplanung – keine Kenntnis der Risiken. Folglich können diese auch keinen Einfluss in den Geschäftsbericht finden. Der für das Jahr 2015 angefallene Rückstellungsbedarf im VW-Konzern, von außen angestoßen (!), beschreibt die Folgen. Ich behaupte nun, dass auch die glänzenden Betriebsergebnisse vieler deutscher Unternehmen, besonders im Mittelstand, unter dem zuvor beschriebenen Makel leiden.

Das führt uns auf neue Erkenntnisse und Einsichten.

Sichere Prozesse für mehr Wertschöpfung – den Wandel wagen

Der Erfolg blendet! Getrieben von den Absatz- und Umsatzsteigerungen wachsen Anspruch und Selbstüberschätzung so mancher Führungskräfte, zugleich aber auch die ständig steigenden Bonuszahlungen, deren Höhe sich meist am (kurzfristigen)

Bilanzergebnis ableitet. Ob darin die der Periode tatsächlich zuzurechnenden Risiken und Aufwendungen, zum Beispiel für unterlassene Sicherheitsaufwendungen, enthalten sind, bleibt häufig ungeprüft. Zum einen fehlt den im Bilanzrecht sicherlich hochqualifizierten Wirtschaftsprüfern der Einblick in die tatsächlichen Risiken des Unternehmens. Zum anderen sind die Instrumente einer strategischen Sicherheitsplanung noch zu selten im Einsatz. Wenn eine ganzheitliche Risikogefährdungsanalyse nicht erfolgt, die Risiken folglich unbekannt sind, werden auch keine Maßnahmen zu deren Abwehr eingestellt beziehungsweise durchgeführt. Die erforderlichen Aufwandsposten fehlen in der Betriebsergebnisrechnung.

Die Risiken werden im Jahresabschluss folglich häufig unzureichend berücksichtigt. In diesen Zustand hinein werden (immer noch) Jahresabschlüsse erstellt und testiert. Das „Vorsichtsprinzip“ der Bilanzierung wird dadurch verletzt.

Verbrechen 4.0 - das ist möglich

An dieser Stelle darf ich mit aller Eindringlichkeit auf dieses Prinzip hinweisen. Vergleiche Wikipedia: „Unter Vorsichtsprinzip wird im deutschen Rechnungswesen der Grundsatz verstanden, wonach bei der Bilanzierung alle Risiken und Verluste angemessen zu berücksichtigen sind. Diese Bewertungsregel ist anzuwenden, wenn aufgrund unvollständiger Informationen oder der Ungewissheit künftiger Ereignisse automatisch Beurteilungsspielräume entstehen. Damit dient das Vorsichtsprinzip der Kapitalerhaltung und dem Gläubigerschutz.“ Die Bilanz für das Geschäftsjahr 2015 des VW-Konzerns dokumentiert diesen Umstand anschaulich. Die Entscheidung, Abgaswerte durch eine „Schummelsoftware“ zu manipulieren, wäre im Zusammenhang mit einer anspruchsvollen Risikogefährdungsanalyse sicherlich erkannt und abgewehrt worden (eine entsprechende Kommunikationskultur vorausgesetzt). Unter strategischen Überlegungen ist die Entscheidung „Schummeln“ eine Katastrophe für das Unternehmen und die Kapitaleigner.

In diesem Zusammenhang ist auch der tatsächliche Anspruch von “Compliance“ zu hinterfragen. Mitunter mit E-Learning-Programmen eingeführt, verkommt es im wirtschaftlichen Alltag zur Farce. Compliance kann eine glaubhafte Führungs- und Wertekultur nicht ersetzen. Ersetzten wir den Begriff „Compliance“ durch das einfache Wort „Regeltreue“. Darin kommt eine Haltung zum Ausdruck, alle unternehmerischen Prozesse gewissenhaft und rechtskonform durchzuführen. Das bedarf der Steuerung und kann keinesfalls durch ein „System“ substituiert werden. Da nützt auch das beste Testat einer „angesehenen Wirtschaftsprüfungsgesellschaft“ nichts. Papier ist geduldig.

Nun mögen Sie an dieser Stelle mit Bezug auf „VW“ darauf hinweisen, dass sie selbst nicht betroffen und die Dimensionen nicht zu vergleichbar sind. Dem stimme ich zu, wenn in dem Ihnen anvertrauten Unternehmen die Prozesse nachweisbar vorzüglich und reibungslos ablaufen. Dann verfügen Sie mindestens über eine wirksame strategische Sicherheitsplanung (Defense Plan). Herzlichen Glückwunsch! Sie besstätigen damit meine Forderung.

Verständnis von "Sicherheit"

Viele Gespräche mit Fachkollegen, das Studium von Fachzeitschriften und Publikationen von Fachverbänden und Herstellern von Sicherheitslösungen vermitteln jedoch einen gegensätzlichen Eindruck. Die skizzierten Bedrohungslagen fokussieren sich leider immer noch auf den „Angriff von außen“ und damit auf deliktische Handlungen. Solche Vorgänge sind meist spektakulär und „machen im Betrieb die Runde“. Dabei wird jedoch freundlich übersehen, dass mit dem Aufgreifen des „Täters“ die Sache nicht erledigt ist. Die Handlungen dokumentieren dem Wissenden anschaulich, wie schlecht es um die Führungs- und Unternehmenskultur bestellt sein muss. Eine Bestrafung (Abmahnung, Entlassung) schreckt dann nicht ab, wenn die Stellschraube „Führung“ nicht zugleich verbessert wird.

Das Aufdecken strafbarer Vorgänge besagt noch nichts über deren tatsächliche Zahl und die dadurch ausgelösten Beeinträchtigungen der Geschäftsprozesse, die auch erheblich sein können, zumeist auch über Jahre andauern und das Betriebsergebnis schädigen. Der „Head von Investigation“ ändert daran nichts! Die zu betrachtenden Umstände sind wesentlich komplexer und bedürfen einer ganzheitlichen Analyse, die zumeist in Änderungen des Führungsverhaltens mündet. Die Anschaffung von System steht ganz am Schluss, und nicht, wie immer wieder von den Verkäufern von Sicherheitseinrichtungen vorgegaukelt wird, am Beginn! Der Weg zum Erfolg führt einzig und allein über diesen Weg.

Damit stehen wir nun „mittendrin“ im Verständnis von „Sicherheit“ und der Steuerung der Geschäftsprozesse. Die durch Störungen, Eingriffe und Beeinträchtigungen ausgelösten Betriebsunterbrechungen, die aus Gewohnheit hingenommen werden, führen zu andauernden Leerkosten. „Da kann man nichts machen!“ Es ist dieser Schlendrian durch fehlende Regelungen und Steuerung ausgelöste Schlendrian, der im ganzen Unternehmen (Betrieb und Verwaltung) zu hohen und wirtschaftlich nicht zu rechtfertigenden Aufwendungen führt. Es fehlt häufig am unternehmerischen Führungs- und Risikoverständnis. Die Sicherheit wird unter Kostengesichtspunkten verstanden, wohl auch deshalb, weil man ihren Beitrag zur Wertschöpfung nicht erkennt und das Thema gerne verdrängen möchte. Wundert es, dass die Sicherheit unter diesen Voraussetzungen nicht funktionieren kann? Es fehlt am betriebswirtschaftlichen Verständnis, mehr noch an der Integration der Aufgabe „Sicherheit“ in den Prozessen. Das weist auf ein unzureichendes betriebswirtschaftliches Gesamtverständnis hin.

Elf Anzeichen, dass Sie gehackt wurden
Software installiert sich selbstständigUngewollte und unerwartete Installationsprozesse, die aus dem Nichts starten, sind ein starkes Anzeichen dafür, dass das System gehackt wurde. In den frühen Tagen der Malware waren die meisten Programme einfache Computerviren, die die "seriösen" Anwendungen veränderten - einfach um sich besser verstecken zu können. Heutzutage kommt Malware meist in Form von Trojanern und Würmern daher, die sich wie jede x-beliebige Software mittels einer Installationsroutine auf dem Rechner platziert. Häufig kommen sie "Huckepack" mit sauberen Programmen - also besser immer fleißig Lizenzvereinbarungen lesen, bevor eine Installation gestartet wird. In den meisten dieser Texte, die niemand liest, wird haarklein aufgeführt, welche Programme wie mitkommen. Quelle: gms
Was zu tun ist: Es gibt eine Menge kostenlose Programme, die alle installierten Applikationen auflisten und sie verwalten. Ein Windows-Beispiel ist Autoruns, das zudem aufzeigt, welche Software beim Systemstart mit geladen wird. Das ist gerade in Bezug auf Schadprogramme äußerst aussagekräftig - aber auch kompliziert, weil nicht jeder Anwender weiß, welche der Programme notwendig und sinnvoll und welche überflüssig und schädlich sind. Hier hilft eine Suche im Web weiter - oder die Deaktivierung von Software, die sich nicht zuordnen lässt. Wird das Programm doch benötigt, wird Ihnen das System das schon mitteilen… Quelle: AP
Die Maus arbeitet, ohne dass Sie sie benutzenSpringt der Mauszeiger wie wild über den Bildschirm und trifft dabei Auswahlen oder vollführt andere Aktionen, für deren Ausführung im Normalfall geklickt werden müsste, ist der Computer definitiv gehackt worden. Mauszeiger bewegen sich durchaus schon einmal von selbst, wenn es Hardware-Probleme gibt. Klick-Aktionen jedoch sind nur mit menschlichem Handeln zu erklären. Stellen Sie sich das so vor: Der Hacker bricht in einen Computer ein und verhält sich erst einmal ruhig. Nachts dann, wenn der Besitzer mutmaßlich schläft (der Rechner aber noch eingeschaltet ist), wird er aktiv und beginnt, das System auszuspionieren - dabei nutzt er dann auch den Mauszeiger. Quelle: dpa
Was zu tun ist: Wenn Ihr Rechner des Nachts von selbst "zum Leben erwacht", nehmen Sie sich kurz Zeit, um zu schauen, was die Eindringlinge in Ihrem System treiben. Passen Sie nur auf, dass keine wichtigen Daten kopiert oder Überweisungen in Ihrem Namen getätigt werden. Am besten einige Fotos vom Bildschirm machen (mit der Digitalkamera oder dem Smartphone), um das Eindringen zu dokumentieren. Anschließend können Sie den Computer ausschalten - trennen Sie die Netzverbindung (wenn vorhanden, Router deaktivieren) und rufen Sie die Profis. Denn nun brauchen Sie wirklich fremde Hilfe. Anschließend nutzen Sie einen anderen (sauberen!) Rechner, um alle Login-Informationen und Passwörter zu ändern. Prüfen Sie Ihr Bankkonto - investieren Sie am besten in einen Dienst, der Ihr Konto in der folgenden Zeit überwacht und Sie über alle Transaktionen auf dem Laufenden hält. Um das unterwanderte System zu säubern, bleibt als einzige Möglichkeit die komplette Neuinstallation. Ist Ihnen bereits finanzieller Schaden entstanden, sollten IT-Forensiker vorher eine vollständige Kopie aller Festplatten machen. Sie selbst sollten die Strafverfolgungsbehörden einschalten und Anzeige erstatten. Die Festplattenkopien werden Sie benötigen, um den Schaden belegen zu können. Quelle: dpa
Online-Passwörter ändern sich plötzlichWenn eines oder mehrere Ihrer Online-Passwörter sich von einem auf den anderen Moment ändern, ist entweder das gesamte System oder zumindest der betroffene Online-Dienst kompromittiert. Für gewöhnlich hat der Anwender zuvor auf eine authentisch anmutende Phishing-Mail geantwortet, die ihn um die Erneuerung seines Passworts für einen bestimmten Online-Dienst gebeten hat. Dem nachgekommen, wundert sich der Nutzer wenig überraschend, dass sein Passwort nochmals geändert wurde und später, dass in seinem Namen Einkäufe getätigt, beleidigenden Postings abgesetzt, Profile gelöscht oder Verträge abgeschlossen werden. Quelle: dpa
Was zu tun ist: Sobald die Gefahr besteht, dass mit Ihren Daten handfest Schindluder getrieben wird, informieren Sie unverzüglich alle Kontakte über den kompromittierten Account. Danach kontaktieren Sie den betroffenen Online-Dienst und melden die Kompromittierung. Die meisten Services kennen derartige Vorfälle zu Genüge und helfen Ihnen mit einem neuen Passwort, das Konto schnell wieder unter die eigene Kontrolle zu bekommen. Einige Dienste haben diesen Vorgang bereits automatisiert. Wenige bieten sogar einen klickbaren Button "Mein Freund wurde gehackt!" an, über den Dritte diesen Prozess für Sie anstoßen können. Das ist insofern hilfreich, als Ihre Kontakte oft von der Unterwanderung Ihres Kontos wissen, bevor Sie selbst etwas davon mitbekommen. Werden die gestohlenen Anmeldedaten auch auf anderen Plattformen genutzt, sollten sie dort natürlich schnellstmöglich geändert werden. Und seien Sie beim nächsten Mal vorsichtiger! Es gibt kaum Fälle, in denen Web-Dienste E-Mails versenden, in denen die Login-Informationen abgefragt werden. Grundsätzlich ist es immer besser, ausschließlich Online-Dienste zu nutzen, die eine Zwei-Faktor-Authentifizierung verlangen - das macht es schwieriger, Daten zu entwenden. Quelle: dapd
Gefälschte Antivirus-MeldungenFake-Warnmeldungen des Virenscanners gehören zu den sichersten Anzeichen dafür, dass das System kompromittiert wurde. Vielen Anwendern ist nicht bewusst, dass in dem Moment, wo eine derartige Meldung aufkommt, das Unheil bereits geschehen ist. Ein Klick auf "Nein" oder "Abbrechen", um den Fake-Virusscan aufzuhalten, genügt natürlich nicht - die Schadsoftware hat sich bestehende Sicherheitslücken bereits zunutze gemacht und ist ins System eingedrungen. Bleibt die Frage: Warum löst die Malware diese "Viruswarnung" überhaupt aus? Ganz einfach: Der vorgebliche Prüfvorgang, der immer Unmengen an "Viren" auftut, wird als Lockmittel für den Kauf eines Produkts eingesetzt. Wer auf den dargestellten Link klickt, gelangt auf eine professionell anmutende Website, die mit positiven Kundenbewertungen und Empfehlungen zugepflastert ist. Dort werden Kreditkartennummer und andere Rechnungsdaten abgefragt - und immer noch viel zu viele Nutzer fallen auf diese Masche herein und geben ihre Identität freiwillig an die Kriminellen ab, ohne etwas davon zu merken. Quelle: dpa/dpaweb

Sicherheit ist eine ursprüngliche betriebswirtschaftliche Aufgabe, auch wenn das von der Lehre so noch nicht verstanden und beschrieben wird. Die Theorie ist „grau“, in der Praxis zählen nur sichere, effektive und damit effiziente Prozesse und Ergebnisse.

Betrachten wir nun den Anspruch der „Regelkonformität“. Ein hohes Ziel, und die Praxis? In der Praxis „parkt der Chef / die Führungskraft“ mit dem (privat zu nutzenden) Dienstfahrzeug verbotswidrig und für alle Beschäftigten sichtbar in (ausgewiesenen) Verbotszonen, der Meister nutzt die (vorgeschriebene) Persönliche Schutzausrüstung (PSA) nicht und die Passwörter der PC-Nutzer sind Allgemeingut. Die sogenannte „Zutrittskontrollanlage“ wird durch offene Seitentüren unwirksam „geschaltet“, eine Zugangsordnung für fremde Personen existiert ebenso wenig wie ein aktuelles Berechtigungsmanagementsystem, von einem umfassenden Zugangssystem ganz zu schweigen. Wenn dann zusätzlich im Brandschutz „gespart“ wird, die Regeln der Lagerung von leichtbrennbaren Stoffen missachtet werden, nutzt auch die beste Feuerwehr nichts. Stichwort „Feuerwehr“. Für den Schutz der betrieblichen Daten verlassen sich alle „User“ auf die „Firewall“. Das hält sie jedoch nicht ab, in öffentlichen Räumen zu telefonieren und diese als „Büro“ zu nutzen. Die Erkenntnis, sich nicht gegen die „NSA“ erfolgreich schützen zu können, hat diesen Trend offenbar noch verstärkt. Der IT-Schutz ist in der Folge anfälliger geworden. Nutzen Sie in diesem Sinne die Wartezeiten am Gate oder in der Bahn – Kurzweile wird garantiert, sofern Sie das ständige Telefonieren und das Geflimmer der Bildschirme nicht stören.

Sprechen wir in diesem Zusammenhang nun von „Schlendrian“ oder beschreiben die geschilderten Zustände nicht eher die vorsätzliche Missachtung von Prozessen im Zusammenhang mit Regeltreue? Gleich wie Sie diese Frage auch beantworten, die Wertschöpfung nimmt Schaden, das Risiko ist gewaltig.

Sicherlich habe ich einen schaurigen Zustand beschrieben, doch er beschreibt die Praxis. Das bleibt auch Fachkollegen nicht verborgen, die darüber berichten, auch von der Aussichtslosigkeit, daran etwas ändern zu können. Darum schwingt in Fachgesprächen die Frustration hörbar mit, auch ein gewisser Unterhaltungswert.

Der „Crash“ im VW-Konzern und die wiederholten vernichtenden Großbrände in einem Konzern der Nahrungsmittelindustrie weisen exemplarisch auf große Defizite hin, bestehende Risiken zu erkennen (zu wollen) und (auch) „anzugehen“. Der Pressesprecher begründet wortreich, warum „es geschehen musste“, „ es nicht zu verhindern war“, das „eigentlich niemand dafür verantwortlich sei“ und so weiter. Viele Worte, wenig Inhalt. Business as usually. Und das erklärt, warum es weiterhin „brennen“ wird. Viele Prozesse leiden unter diesem Missverständnis, einer mangelhaften Steuerung und den immer wieder auftretenden Regelverletzungen, die nicht unbedingt spektakulär sein müssen. „Kleinvieh macht auch Mist“! Es kumulieren sich Risiken, die irgendwann eine Störung / einen Schaden auslösen. Das Bild vom „Schneeball und der Lawine“ kommt in den Sinn. Wirtschaftliches Verhalten sieht anders aus.

Wie kann dieser Zustand im wirtschaftlichen Verständnis verbessert werden?

Definition eines neuen Sicherheitsanspruchs obliegt der Wirtschaft

Von der Betriebswirtschaft noch nicht erkannt obliegt es der Wirtschaft selbst, einen neuen Sicherheitsanspruch zu definieren. Das betrifft zum einen die strategische und globale Sicht. Das Unternehmen auf Dauer zu erhalten, es dazu leistungsstark und belastbar im globalen Wettbewerb aufzustellen, das ist das Gebot der Stunde, soll der Anspruch „Industrie 4.0“ Wirklichkeit werden. Sicherheit ist eine durch und durch strategische Aufgabe. Sie durchringt alle Funktionen, Aufgaben, Prozesse und Projekte des Unternehmens. Mitten drin, statt außen vor! Ich empfehle allen, auch den mittelständischen Unternehmen, eine Strategieabteilung zu gründen, in der (mindestens!) die Unternehmensplanung, Recht, Controlling, Unternehmenssicherheit (alle Sicherheits- und Schutzaufgaben!) und Service (Kommunikation, Telefonie, Dienstleistungen) vereint tätig sind.

Wirtschaftliche Unternehmen haben das Ziel, dauerhaft Profit zu erzielen. Sprechen wir es klar und deutlich aus! In dieser Verantwortung stehen der Vorstand beziehungsweise die Geschäftsführung. Das ist die gebotene Führungsaufgabe mit hohem Rang. Ein Unternehmen „sichern“ ist zugleich auch eine strategische Aufgabe und ein integraler Bestandteil der Unternehmensplanung. Sicherheit muss von „Oben“ nach „Unten“ glaubhaft und sichtbar verkündet und praktiziert werden. Das betrifft alle Prozesse und zugleich die Regeltreue, die beiden Seiten einer Medaille. Der Führungsanspruch „Sicherheit“ muss zu einer selbstverständlichen Grundhaltung auf allen Stufen entwickelt werden. Das erfordert die Aufnahme in alle Stellenbeschreibungen und Prozessanweisungen.

Das Unternehmen – ein einziger Prozess, und darin die Sicherheit als wesentlicher Garant für das Gelingen. Werte – Führung – Kommunikation – Delegation von Verantwortung als Führungsprinzip – ständige Prozesssteuerung. Das sind die Zutaten deiner guten „Rezeptur“. Wer diesen Weg ernsthaft zu gehen bereit ist, bewegt sich hin auf ein vollkommen anderes Unternehmensmodell.

Die „Sicherheitsabteilung“ – so man Sie überhaupt zukünftig noch so nennen kann, ist zukünftig ein Dienstleister, dessen Aufgabenstellung das gesamte Unternehmen erfasst. Nur dann kann der Anspruch integralen Wirkens erfüllt werden. Das macht die enge Zusammenarbeit aller Sicherheits- und Schutzexperten, verstärkt durch „Recht“ und „Betriebswirtschaft“ (in einem einzigen Bereich) erforderlich. Überhaupt arbeiten darin Kaufleute, Juristen und Techniker „Hand in Hand“ in interdisziplinären Projektgruppen eng verflochten zusammen. Dieser Ansatz ist sicherlich ungewohnt.

Meint man es jedoch Ernst mit dem Gedanken, das Unternehmen oder den Betrieb als einen einzigen Prozess zu verstehen, so führt kein Weg an dieser Lösung vorbei.

Dabei kommt es weder auf den Umfang noch auf den akademischen Grad der Fachleute an. Das beschriebene Modell kann einfach an jede Betriebsgröße angepasst werden. Die gelingende Funktion, nicht die Verpackung ist das Ziel der neuen Arbeitsweise. Der „Flickenteppich Sicherheit“ wird damit aufgelöst. Zugleich werden risikobehaftete Funktionen hier gezielt zusammengefasst. Diese betreffen die Unternehmenskommunikation, das Beziehungsmanagement (löst das Reklamationsmanagement ab), das Geschäftsprozessmanagement / -Optimierung, Notfall- und Krisenmanagement, die IT-, Daten- und Anwendersicherheit, das Berechtigungs- und Zugangsmanagement sowie alle Serviceaufgaben, zum Beispiel  Fahrservice, Reinigung. Die Mitarbeiter der „Sicherheit“ wirken zudem als geborene Mitglieder in allen Projekten mit, insbesondere in Konzepten, Planungen und während der Realisierung von Investitionen. Durch ganzheitliche Lösungsansätze können erheblichen Kosteneinsparungen erzielt werden.Mehr noch hat der „Blick auf die Prozesse, den Arbeits- und Unfallschutz, Brandschutz …“ zudem den Charme, proaktiven Einfluss auf die Effektivität zu nehmen.

Die Betriebsdatenerfassung (BDE) verzeichnet die Erfolge. Dadurch kann es gelingen, die Funktion „Sicherheit“ zum selbstverständlichen Partner in allen Prozessen zu etablieren und eine Grundhaltung zu begründen, die im Ergebnis die Geschäftsprozesse sicher, belastbar, effektiv und effizient machen.

An dieser Stelle ist mit einem Grundirrtum „aufzuräumen“, häufig verbreitet und ebenso falsch. Ständige Verhaltenskontrollen, diese verbunden mit einer Datensammelwut, fördern nicht die Sicherheit, sondern eine schädliche Misstrauenskultur. Benötigt wird stattdessen ein umfassendes und integriertes Berechtigungsmanagement- und Zugangssystem (nicht „Zutritt“, wie von falschen „Propheten“ verkündet wird). Die Teilhabe an Prozessen erfordert entsprechende Rechte und damit verbunden Zugang. Die Verantwortung dafür liegt auf der Fachebene, das heißt diese organisiert sich selbst und verantwortet ihr Handeln. Die Praxis lehrt, dass es nur so funktionieren kann.

Anpassung an die Bedürfnisse

Nun mag man einwerfen, dass damit die Prozessverantwortung für die Sicherheit aus der Sicherheitsabteilung herausgenommen wird. Im Grunde ist das korrekt, denn „Sicherheit“ kann nicht „Sicherheit“ gewährleisten. Es wäre ein Zirkelbezug, und dieser funktioniert bekanntlich nicht. Sicherheit analysiert die Prozesse und Erfordernisse und bietet dazu die Lösungen im Standard an. Diese werden inhaltlich mit den Betroffenen abgestimmt und umgesetzt. Zugleich wird die Prozessverantwortung übertragen. Diese wird in Berechtigungsmanagement- und Zugangssystemen abgebildet und damit ein lebendiges Instrument geschaffen, welches ständig an die Bedürfnisse entsprechend angepasst wird.

Die Systeme zur Ressourcenplanung liefern dazu die entsprechenden Schnittstellen für nachfolgende Verarbeitungen, zum Beispiel wenn Beschäftigte die Bereiche wechseln und die Rechte „umgezogen“ werden. Das gelingt stichtagsfein. Die Erfahrung lehrt, dass es möglich ist und dadurch erhebliche manuelle Tätigkeiten eingespart werden können, meist von Führungskräften durchgeführt, die sich zukünftig stärker auf ihre eigentliche Aufgabe konzentrieren können. Auch davon profitiert die Wertschöpfung.

Ein weiterer Aspekt verdient einer Würdigung. Wenn die Menschen die Prozesse vor Ort aktiv steuern (können), nutzen sie diese Möglichkeiten konsequent. Sie vermeiden Störungen, schon aus eigenem Interesse, aber in der Folge dann auch immer stärker zum Wohl des Unternehmens. Sie handeln unternehmerisch. Dazu sprechen sie miteinander und stimmen sich ab. Sie hören zu und teilen mit. Es entstehen in der Folge Kommunikationsketten mit hohem Wert. Sehr schnell sind sie bereit, Konflikte zeitnah und zugleich friedlich auszutragen. Die sichere Durchführung der Prozesse als Baustein zum Ganzen wird erkannt und erhält eine Chance auf Erfolg, nicht weil ein „Vor-Gesetzter“ es seinen „Mit-Arbeitern“ anweist, sondern weil die Beschäftigten das Konzept des Handelns als Teil ihrer Aufgabe (siehe Stellenbeschreibung) verstanden haben.

Dieses „andere“ Verständnis von „Sicherheit“ erfüllt den Führungsanspruch auf allen Stufen. Es ist nicht so sehr entscheidend, welchen Begriff wir dafür verwenden, sondern dass die unternehmerische Grundhaltung von allen Beschäftigten getragen und verstanden wird. Es ist die Aufgabe „wirksamer Führungskräfte“ (Fredmund Malik), diesen Prozess zu fördern.

Was ist an alledem neu? Die Sicherheit in Unternehmen kann nur durch einen stringenten strategischen Ansatz gelöst werden. In der Zentralisierung und Aufwertung der Aufgabe „Sicherheit“ (auf Vorstandsebene) kann es unter diesen Vorzeichen gelingen, die Prozesse unternehmensweit sicher zu gestalten. Das Bild der „Uhr“ weist den Weg. Ich räume auf mit dem Irrtum, dass Sicherheitsabteilungen („Security“) ein Unternehmen sichern und schützen können. Allenfalls erscheint das temporär so, in der Praxis hat sich das Gegenteil bestätigt. Sicherheitsbereiche stellen die rechtlichen, fachlichen, führungsmäßigen (!) und systemtechnischen Voraussetzungen bereit, damit die Menschen im Unternehmen die Prozesse sicher steuern können, und damit ist die Gesamtheit aller Prozesse gemeint, die zudem die Chance auf eine einheitliche und verbindliche Lösung erhalten. Es ist zu dem wirtschaftlich, ein gleiches Rad zu kopieren anstatt es ständig neu zu erfinden.

Wenn dieses Sicherheitsverständnis dann weiterhin auf die langfristigen strategischen Ziele des Unternehmens ausgerichtet ist, dann gelingt Wertschöpfung immer besser. Das dazu erforderliche Instrument ist die „Strategische Risiko- und Sicherheitsplanung“ (Defense Plan), die übrigens immer stärker von Handelspartnern eingefordert wird. Diese fordern die Sicherheit gelingender, zuverlässiger und belastbarer Prozesse. Für Ausreden und Entschuldigungen haben sie kein Verständnis.

„Profitabel wachsen“ – das ist die stringente Herausforderungen in dieser globalen Zeit. Das erfordert strategisches Handeln, und darin mittendrin eine anspruchsvolle strategische Sicherheitsplanung, die alle Aktivitäten und Geschäftsprozesse umfasst.

In diesem Sinne werbe ich für ein Innehalten und die Öffnung für ein neues Verständnis von „Sicherheit und Unternehmensschutz“. Auf die Sicherheitsabteilungen kommt ein gewaltiger Wandel zu. Es gilt nun, aktiv zu werden und diesen Wandel zu proaktiv zu gestalten.

Im globalen Wettbewerb ist erfolgreich, wer heute Strategien für morgen entwickelt und diese ständig an die sich ändernden Bedingungen anpasst. Heute nicht zu handeln ist auch eine Strategie, aber mit hohen Risiken behaftet.

Dieser Artikel will Ihnen dazu Anregungen für ein neues, ein strategisches Verständnis von Sicherheit geben. Ein wenig Mut gehört dazu, einen anderen, neuen „Weg“ einzuschlagen, in dem die Aufgabe „Sicherheit“ von den Menschen getragen wird. Wenn diese das Prinzip der Uhr verstanden haben, wird sich die Sicherheit zum wertschöpfenden Baustein in allen Prozessketten entwickeln.

Das ist Sicherheit, wie ich sie verstehe. Profitabel wachsen – der Anspruch kann gelingen, ganz sicher!

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%