Industrie 4.0. Der globale Anspruch an deutsche Unternehmen wird dann Realität, wenn auch die Unternehmenssicherheit auf die Stufe „4.0“ angehoben wird. Die internationalen Märkte erwarten uneingeschränkte Liefertreue bei ständig höchster Qualität und Sicherheit der Produkte und Unternehmen. Im Vordergrund steht der unbedingte Kundennutzen zu akzeptablen Weltmarktpreisen. Die Ausrede „Störung der betrieblichen Prozesse“ wird nicht akzeptiert. Ein Grund mehr, die vorhandenen Sicherheitsansätze auf ihre Zukunftsfähigkeit hin zu prüfen und über neue Lösungen nachzudenken.
Im Juli 2015 berichten die Medien erneut über umfassende Spionagetätigkeiten der NSA, die sowohl Regierungsvertreter als auch flächendeckend die Wirtschaft betreffen. Schnell werden diese Schlagzeilen jedoch von „Griechenland“ verdrängt. „Business as usually“.
Über den Autor
Heinz Lorse war Sicherheitschef der Gerolsteiner Brunnen GmbH & Co. KG und ist heute als Berater tätig.
Spionage ist und bleibt (!) das zweitälteste Gewerbe der Welt. Daran wird sich trotz allen Beteuerungen nichts ändern. Informationen sind dem von Vorteil, der sie besitzt. Ob man sich gegen die geballte Kraft der Geheimdienste mit einer „Firewall“ wirklich schützen kann, möchte ich in diesem Artikel nicht diskutieren. Stattdessen soll auf die Freizügigkeit hingewiesen werden, mit der Informationen im ICE, im Gate oder überall angeboten werden. Kurzweile ist garantiert. Es bedarf keiner Technik, wer Ohren hat, der höre und wer Augen hat, der lese mit.
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
Global agierende Unternehmen bewegen sich im internationalen Wettbewerb auf einer höheren Stufe. Sie wecken ein Interesse, ohne diesen Umstand selbst wahrzunehmen. Wer die „heimischen Gewässer“ verlässt und sich in den „Weltmeeren“ tummelt, hat sich auf gänzlich andere Bedingungen und Gefahren einzustellen.
Die Dynamik der Globalisierung und das Agieren auf internationalen Märkten erfordern eine strategische Ausrichtung von „Unternehmenssicherheit 4.0“.
Der Artikel soll dem interessierten Leser dazu Impulse geben.
Sicherheit - eine Bestandsaufnahme
Sicherheit ist ein Stiefkind und wird gerne auf dem „Altar der Kostenwertanalyse“ geopfert. „Wir müssen sparen!“ „Überhaupt, wo ist der Nutzen?“ Diese Frage beschreibt die häufig vorherrschende Unkenntnis von Entscheidungsträgern. Und das hat fatale Auswirkungen … für die Existenz von Unternehmen.
Wenn Werkschutz als (diskriminierender) Abschiebebahnhof für Menschen mit gesundheitlichen Einschränkungen herhalten muss, oder die Abteilung ausschließlich aus „Kostengründen“ an Fremddienstleister im Mindestlohnbereich „entsorgt“ wird, nimmt die Unternehmenssicherheit Schaden und lässt zudem fehlenden Sachverstand erkennen.
Auf den internationalen Märkten geht die Sonne nicht unter. Die „betriebsüblichen Arbeitszeiten“, zu denen die „Telefonzentrale“ besetzt wird, interessieren keinen Anrufer. Er hat ein Anliegen und erwartet eine Antwort. Wenn es für „den ersten Eindruck keine zweite Chance gibt“, sind (international tätige) Unternehmen gut beraten, der Aufgabe „Kommunikation“ einen hohen und sicheren Stellenwert einzuräumen. Ein qualifizierter rund um die Uhr erreichbarer „Telefonempfang“ wäre die verbindende Alternative. Davon profitiert zudem das Notfall- und Krisenmanagement.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Die Betriebswirtschaftslehre sieht das Thema „Sicherheit“ eher aus der Ferne und bietet kaum Hilfen an. In Deutschland beschäftigen sich Fachverbände mit dem Thema, in denen auffallend viele ehemaligen „Kriminalisten“ vertreten sind. Der immer wieder zu hörende Begriff „Tatort Betrieb“ suggeriert, dass sich die Unternehmenssicherheit auf deliktische Handlungen (z. B. Diebstahl) im betrieblichen Teil des Unternehmens beschränkt. Strategisch gedacht ist das sicherlich nicht. Wundert es, dass Abteilungen mit einer solch eingeschränkten Ausrichtungen immer häufig zur Disposition gestellt werden?
Die Unternehmenssicherheit ist organisatorisch häufig ein „Flickenteppich“, die Funktionen sind „irgendwo angehangen“ und lassen jeglichen ganzheitlichen, gar strategischen Ansatz vermissen. Security und Safety agieren mitunter wie zwei feindliche Brüder. Mit wirtschaftlicher Vernunft hat das nichts zu tun. Die Trennung habe ich nie verstanden. Darum plädiere ich, alle Aufgaben und Zuständigkeiten zum Schutz des Unternehmens in einem Bereich „Unternehmenssicherheit“ zu konzentrieren.
„Sichere Prozesse sind die Voraussetzung für Profitabilität. … Sicherheit ist … wenn das Unternehmen funktioniert“. Quelle: Eigenzitat, Magazin „Food Defense“, Ausgabe 1, Seite 16 – 19. Herausgeber: Kaba GmbH, Dreieich.
Sicherheit ist eine strategische Aufgabe
Strategie erfordert Planung für das Morgen, auch dann, wenn die Bedingungen und Faktoren unsicher oder noch nicht bekannt sind. Nichthandeln ist auch eine strategisch Entscheidung.
Die Aufgabe „Unternehmenssicherheit“ erfordert eine ganzheitliche Auseinandersetzung mit allen aktuellen und zukünftigen (!) Risiken und Gefahren. Alles greift ineinander. Zur Beherrschung ist es ratsam, die Aufgabe in allen Projekten in gemischten Teams und mit den am Prozess Beteiligten von Beginn an zu betrachten und einer einheitlichen Lösung zuzuführen. Das Rad muss nicht neu erfunden werden, wenn in anderen Bereichen gleiche Anforderungen bestehen.
Sicherheit ist eine strategische Aufgabe. Wohin will das Unternehmen? Die Antwort auf diese Frage bestimmt die Komplexität der Sicherheitsstrategie, die parallel zu aller anderen Planung gleichberechtigt geführt wird. Im Fokus: Sicherstellen, dass die unternehmerischen und kundenbezogenen Ziele erreicht werden. Sicherheit ist ein Kundenanliegen!
Das Herzstück der Sicherheitsplanung, das Tool, ist der Defense Plan. Darin werden die Risiken, die Ist- und Soll-Defense-Maßnahmen geführt, einschließlich des geplanten und genehmigten Budgets. Vergleichen wir den Defense Plan mit einem Cockpit. Die ständige Aktualität gibt Auskunft über die Zielerreichung der Unternehmenssicherheit mit dem Anspruch 4.0. Eine ausführliche Dokumentation ergänzt die Planung und gibt dem sachverständigen Dritten (Kunde, Auditor) in angemessener Zeit eine Übersicht über den Sicherheitsstand des Unternehmens. Zudem unterstützt sie die Anforderungen des Unternehmens an eine gerichtsfeste Organisation. Aus diesem Grunde sind sehr gute Rechtskenntnisse und eine enge Zusammenarbeit mit der Abteilung „Recht“ eine Voraussetzung für den Erfolg.
Sicherheit ist Chefsache. Dazu sind die Vorstände rechtlich und vertraglich verpflichtet. Sie haften mit ihrem Privatvermögen für Schäden, die sich aus unterlassenen Handlungen ergeben. Aus diesem Grunde berichtet Unternehmenssicherheit direkt an den Vorstand. Das mag (noch) ungewöhnlich sein, entspricht jedoch heute bereits rechtlich zwingenden Anforderungen, z. B. im Arbeits-, Gesundheits- und Unfallschutz.
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
Sicherheit und der Faktor Mensch
Sind die Mitarbeiter einer Sicherheitsabteilung überhaupt in der Lage, die Sicherheit eines Unternehmens zu gewährleisten? Es wird zwar allenthalben behauptet, aber stimmt das auch? Wie können die im Unternehmen befindlichen Menschen insgesamt dabei einbezogen werden? Welche Vorteile hätte ein solcher Ansatz?
Beginnen wir mit dem Schluss. Die Sicherheit und der Schutz der Menschen geht alle an, gleich welchen Personengruppen sie angehören. Also die Beschäftigten, Fremdarbeiter, Gäste, Kunden usw. Wer „drin“ oder für das Unternehmen irgendwie und irgendwo tätig ist, hat sowohl einen Anspruch auf Sicherheit als auch zugleich die Verpflichtung zur Beachtung der Sicherheitsregeln. Kurzum, wer in den Wertschöpfungsketten tätig ist, muss in den Sicherheitsprozess eingebunden werden.
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
Was liegt also näher, alle Menschen aktiv in die Sicherheitsbemühungen einzubeziehen. Das erfordert Information und Klärung von Verantwortung.
Es bietet sich an, die Prozesse mit den Beteiligten vor Ort zu diskutieren, auf die Hinweise und Anregungen zu hören und im Zusammenhang mit der Erarbeitung die Verantwortlichkeiten zu klären. Diese Delegation von Verantwortung führt im Ergebnis zu Vereinbarungen, die auf der unteren Ebene die Einhaltung der Prozesse garantieren. Zusätzlich entscheiden die Verantwortlichen „vor Ort“ auch über die Vergabe von Rechten (Zugang) und den ständig erforderlichen Änderungsdienst (dynamischer Vorgang). Das hat sich in der Praxis bewährt und als Garant für das Gelingen herausgestellt. Nur so kann der Sicherheitsanspruch gelingen. Safety & Security verhalten sich wie Zwillinge, die getrennt agieren, aber eng miteinander verbunden sind. Gemeinsam erreichen sie die angestrebten Synergien.
Der Umgang mit den Menschen, die Förderung ihrer Vielfalt (Diversity), die Akzeptanz von Andersartigkeit und eine erkennbare hohe Wertschätzung (Einheitspreise für alle Menschen im Betriebsrestaurant, gepflegte sanitäre Anlagen für die Hygiene …) fördern den Anreiz für gesittetes Verhalten. Wer sich im Betrieb wohlfühlt, verhält sich achtsam. Das Unternehmen wird davon profitieren.
Sicherheit und Prozesssteuerung
Was fällt Ihnen bei dem Begriff „Zutrittskontrollanlage“ ein? Etwa „Nacktscanner“? Den Zutritt kontrollieren, wie funktioniert das eigentlich? Der Begriff „Zutrittskontrollanlage“ ist sprachlich falsch, irreführend und (leider) weit verbreitet. Und darin liegt das eigentliche Unheil! Stattdessen sollte von „Zugangssystem“ gesprochen werden. Menschen (eigene und fremde) benötigen zur täglichen Erfüllung von Aufgaben „Zugang“, zu „was auch immer“.
Dazu erhalten sie individuelle Rechte, und diese können sehr unterschiedlich sein und sich im Zeitablauf ständig ändern (Berechtigungsmanagement). Der Charme dieser Lösung besteht im einheitlichen Verfahren und (endlich) in der Möglichkeit, alle (!) benötigten Rechte individuell unter Nutzung von Standards nach einheitlichen Verfahren flexibel zu erteilen. Grundsatz: Berechtigte erhalten einfach Zugang! Bei fremden Personen regeln die Verträge, ergänzt um Richtlinien, den Aufenthalt und das Verhalten im Betrieb. Das verstehen alle Beschäftigen sofort. Das Unternehmen profitiert von effektiven, störungsfreien und sicheren Prozessen. Der Anspruch an eine „Gerichtsfeste Organisation“ wird gefördert.
Das Beispiel „Zugang“ zeigt anschaulich die Möglichkeiten für eine strategische Sicherheitsplanung. Die einheitliche Behandlung des Prozesses „Zugang“ für alle Personengruppen macht die Prozesse transparent, belastbar und sicher.
Sicherheit, Systeme, Datenschutz und Sozialpartne
Wer einschlägige Fachzeitschriften studiert, gar auf Sicherheitskongresse fährt und sich mit Anbietern beschäftigt, hört immer die gleiche Aussage: „Kaufe mein Kontroll-System, und Du kannst ganz sicher sein!“
Systeme sind Instrumente für die Prozesssteuerung. An erster Stelle kommt jedoch immer der Mensch, dessen Daten zu schützen sind. Sicherheitssysteme produzieren Daten in großer Menge. Zur Erfüllung von Sicherheitsanforderungen werden meist nur geringe Daten benötigt, wenn überhaupt. Die Kunst besteht nun darin, sich nicht in einer „Datensammelwut“ zu verlieren. Grundsatz: So viel, wie erforderlich – so wenig, wie möglich! Das beschleunigt bei Bedarf die zudem rechtlich gesicherte die Datenbereitstellung und führt zu effektiven Ergebnissen. Der Sozialpartner und der Datenschutzbeauftragte werden diesen Anspruch unterstützen.
Unternehmen mit dem Anspruch „Industrie 4.0“ besitzen ein funktionierendes Wertesystem. Personenbezogene Einzelkontrollen und eine Datensammelwut sind ihnen fremd. Respekt, Achtung und Vertrauen vor den im Unternehmen tätigen Menschen werden gewahrt. Das sind gute Voraussetzungen für eine erfolgreiche Wertschöpfung auf der Grundlage sicherer Prozesse. Es gilt, sich darauf zu konzentrieren!
Welche Sicherheitsmaßnahmen die Unternehmen verstärken
66 Prozent Organisatorische Verbesserungen (z. B. Zugriffskontrollen)
35 Prozent Firewall eingeführt/erneuert.
43 Prozent Virenscanner eingeführt / erneuert.
33 Prozent Schulungen zur IT-Sicherheit.
3 Prozent Standardisierungen/Zertifizierungen.
2 Prozent Früherkennungssysteme einsetzen.
0 Prozent Einstellung zusätzlicher IT-Sicherheitsexperten.
Sicherheit und Outsourcing
Eigen oder fremd – das ist nicht die Frage. Am Thema „Outsourcing“ wird häufig eine unverständliche Lust am Selbstbetrug erkennbar. Der Preis wird gnadenlos gedrückt, bis ein Anbieter aus purer Verzweiflung zustimmt. Ob das anschließend gutgeht? Outsourcing ist nur dann wirtschaftlich, wenn unter sonst gleichen Bedingungen dasselbe Ergebnis erzielt werden kann. Das macht ein ständiges Controlling erforderlich. Outsourcing ist mitnichten ein Selbstläufer. Wer darauf spekuliert, betrügt sich selbst.
Wenn der Gedanke an Outsourcing stattdessen als „Startlinie für Business-Process-Reengineering“ aufgegriffen wird, nutzt das Unternehmen die sich bietende Chance für Verbesserungen. „Weg damit“ ist keine wirkliche Alternative!
Das sichere Unternehmen 4.0
Ich höre nun den Aufschrei von Betroffenen. Gemach, gemach! Rom wurde nicht an einem einzigen Tag erbaut, und so verhält es sich auch mit den Bemühungen, die Unternehmenssicherheit auf die Stufe 4.0 anzuheben. Der Weg dahin führt über die permanente Steuerung der unternehmerischen und betrieblichen Prozesse. Sicherheit ist darin ein Ergebnis, die Steuerung das Instrument.
Sichere und belastbare Prozesse sind immer mit einem Business Process Reengineering verbunden. Damit sind umfangreiche Kostenreduzierungen verbunden, die der Wertschöpfung auf Dauer zugute kommen.
Das sichere Unternehmen 4.0. Die Strategie bestimmt das Handeln. Sichere Prozesse sind die Voraussetzung für Profitabilität. Sicherheit ist, wenn das Unternehmen funktioniert.