WiWo App Jetzt gratis testen
Anzeigen
Benachrichtigung aktivieren
Dürfen wir Sie in Ihrem Browser über die wichtigsten Themen der WirtschaftsWoche informieren? Sie erhalten 1 bis 3 Meldungen pro Tag.
Fast geschafft
Erlauben Sie www.wiwo.de, Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert
Wir halten Sie ab sofort über die wichtigsten Themen der WirtschaftsWoche auf dem Laufenden. Sie erhalten 1 bis 3 Meldungen pro Tag.
Wiwo Web Push

Das sichere Unternehmen 4.0 Ein strategischer Ansatz

Spionage ist das zweitälteste Gewerbe der Welt. Doch in der digitalisierten "Industrie 4.0" wächst die Bedrohung. Ein Grund mehr, die vorhandenen Sicherheitsansätze auf ihre Zukunftsfähigkeit hin zu prüfen.

Unternehmen mit dem Anspruch „Industrie 4.0“ besitzen ein funktionierendes Wertesystem. Quelle: dpa

Industrie 4.0. Der globale Anspruch an deutsche Unternehmen wird dann Realität, wenn auch die Unternehmenssicherheit auf die Stufe „4.0“ angehoben wird. Die internationalen Märkte erwarten uneingeschränkte Liefertreue bei ständig höchster Qualität und Sicherheit der Produkte und Unternehmen. Im Vordergrund steht der unbedingte Kundennutzen zu akzeptablen Weltmarktpreisen. Die Ausrede „Störung der betrieblichen Prozesse“ wird nicht akzeptiert. Ein Grund mehr, die vorhandenen Sicherheitsansätze auf ihre Zukunftsfähigkeit hin zu prüfen und über neue Lösungen nachzudenken.

Im Juli 2015 berichten die Medien erneut über umfassende Spionagetätigkeiten der NSA, die sowohl Regierungsvertreter als auch flächendeckend die Wirtschaft betreffen. Schnell werden diese Schlagzeilen jedoch von „Griechenland“ verdrängt. „Business as usually“.

Über den Autor


Spionage ist und bleibt (!) das zweitälteste Gewerbe der Welt. Daran wird sich trotz allen Beteuerungen nichts ändern. Informationen sind dem von Vorteil, der sie besitzt. Ob man sich gegen die geballte Kraft der Geheimdienste mit einer „Firewall“ wirklich schützen kann, möchte ich in diesem Artikel nicht diskutieren. Stattdessen soll auf die Freizügigkeit hingewiesen werden, mit der Informationen im ICE, im Gate oder überall angeboten werden. Kurzweile ist garantiert. Es bedarf keiner Technik, wer Ohren hat, der höre und wer Augen hat, der lese mit.

Forum IT-Sicherheit


Global agierende Unternehmen bewegen sich im internationalen Wettbewerb auf einer höheren Stufe. Sie wecken ein Interesse, ohne diesen Umstand selbst wahrzunehmen. Wer die „heimischen Gewässer“ verlässt und sich in den „Weltmeeren“ tummelt, hat sich auf gänzlich andere Bedingungen und Gefahren einzustellen.

Die Dynamik der Globalisierung und das Agieren auf internationalen Märkten erfordern eine strategische Ausrichtung von „Unternehmenssicherheit 4.0“.

Der Artikel soll dem interessierten Leser dazu Impulse geben.

Die größten Hacker-Angriffe aller Zeiten
Telekom-Router gehackt Quelle: REUTERS
Yahoos Hackerangriff Quelle: dpa
Ashley Madison Quelle: AP
Ebay Quelle: AP
Mega-Hackerangriff auf JPMorganDie US-Großbank JPMorgan meldete im Oktober 2014, sie sei Opfer eines massiven Hackerangriffs geworden. Rund 76 Millionen Haushalte und sieben Millionen Unternehmen seien betroffen, teilte das Geldhaus mit. Demnach wurden Kundendaten wie Namen, Adressen, Telefonnummern und Email-Adressen von den Servern des Kreditinstituts entwendet. Doch gebe es keine Hinweise auf einen Diebstahl von Kontonummern, Geburtsdaten, Passwörtern oder Sozialversicherungsnummern. Zudem liege im Zusammenhang mit dem Leck kein ungewöhnlicher Kundenbetrug vor. In Zusammenarbeit mit der Polizei gehe die Bank dem Fall nach. Ins Visier wurden laut dem Finanzinstitut nur Nutzer der Webseiten Chase.com und JPMorganOnline sowie der Anwendungen ChaseMobile und JPMorgan Mobile genommen. Entdeckt wurde die Cyberattacke Mitte August, sagte die Sprecherin von JPMorgan, Patricia Wexler. Dabei stellte sich heraus, dass die Sicherheitslücken schon seit Juni bestünden. Inzwischen seien die Zugriffswege jedoch identifiziert und geschlossen worden. Gefährdete Konten seien zudem deaktiviert und die Passwörter aller IT-Techniker geändert worden, versicherte Wexler. Ob JPMorgan weiß, wer hinter dem Hackerangriff steckt, wollte sie nicht sagen. Quelle: REUTERS
Angriff auf Apple und Facebook Quelle: dapd
 Twitter Quelle: dpa

Sicherheit - eine Bestandsaufnahme

Sicherheit ist ein Stiefkind und wird gerne auf dem „Altar der Kostenwertanalyse“ geopfert. „Wir müssen sparen!“ „Überhaupt, wo ist der Nutzen?“ Diese Frage beschreibt die häufig vorherrschende Unkenntnis von Entscheidungsträgern. Und das hat fatale Auswirkungen … für die Existenz von Unternehmen.

Wenn Werkschutz als (diskriminierender) Abschiebebahnhof für Menschen mit gesundheitlichen Einschränkungen herhalten muss, oder die Abteilung ausschließlich aus „Kostengründen“ an Fremddienstleister im Mindestlohnbereich „entsorgt“ wird, nimmt die Unternehmenssicherheit Schaden und lässt zudem fehlenden Sachverstand erkennen.

Auf den internationalen Märkten geht die Sonne nicht unter. Die „betriebsüblichen Arbeitszeiten“, zu denen die „Telefonzentrale“ besetzt wird, interessieren keinen Anrufer. Er hat ein Anliegen und erwartet eine Antwort. Wenn es für „den ersten Eindruck keine zweite Chance gibt“, sind (international tätige) Unternehmen gut beraten, der Aufgabe „Kommunikation“ einen hohen und sicheren Stellenwert einzuräumen. Ein qualifizierter rund um die Uhr erreichbarer „Telefonempfang“ wäre die verbindende Alternative. Davon profitiert zudem das Notfall- und Krisenmanagement.

Diese Branchen sind am häufigsten von Computerkriminalität betroffen


Die Betriebswirtschaftslehre sieht das Thema „Sicherheit“ eher aus der Ferne und bietet kaum Hilfen an. In Deutschland beschäftigen sich Fachverbände mit dem Thema, in denen auffallend viele ehemaligen „Kriminalisten“ vertreten sind. Der immer wieder zu hörende Begriff „Tatort Betrieb“ suggeriert, dass sich die Unternehmenssicherheit auf deliktische Handlungen (z. B. Diebstahl) im betrieblichen Teil des Unternehmens beschränkt. Strategisch gedacht ist das sicherlich nicht. Wundert es, dass Abteilungen mit einer solch eingeschränkten Ausrichtungen immer häufig zur Disposition gestellt werden?

Die Unternehmenssicherheit ist organisatorisch häufig ein „Flickenteppich“, die Funktionen sind „irgendwo angehangen“ und lassen jeglichen ganzheitlichen, gar strategischen Ansatz vermissen. Security und Safety agieren mitunter wie zwei feindliche Brüder. Mit wirtschaftlicher Vernunft hat das nichts zu tun. Die Trennung habe ich nie verstanden. Darum plädiere ich, alle Aufgaben und Zuständigkeiten zum Schutz des Unternehmens in einem Bereich „Unternehmenssicherheit“ zu konzentrieren.
„Sichere Prozesse sind die Voraussetzung für Profitabilität. … Sicherheit ist … wenn das Unternehmen funktioniert“. Quelle: Eigenzitat, Magazin „Food Defense“, Ausgabe 1, Seite 16 – 19. Herausgeber: Kaba GmbH, Dreieich.

Sicherheit ist eine strategische Aufgabe

Strategie erfordert Planung für das Morgen, auch dann, wenn die Bedingungen und Faktoren unsicher oder noch nicht bekannt sind. Nichthandeln ist auch eine strategisch Entscheidung.

Die Aufgabe „Unternehmenssicherheit“ erfordert eine ganzheitliche Auseinandersetzung mit allen aktuellen und zukünftigen (!) Risiken und Gefahren. Alles greift ineinander. Zur Beherrschung ist es ratsam, die Aufgabe in allen Projekten in gemischten Teams und mit den am Prozess Beteiligten von Beginn an zu betrachten und einer einheitlichen Lösung zuzuführen. Das Rad muss nicht neu erfunden werden, wenn in anderen Bereichen gleiche Anforderungen bestehen.

Sicherheit ist eine strategische Aufgabe. Wohin will das Unternehmen? Die Antwort auf diese Frage bestimmt die Komplexität der Sicherheitsstrategie, die parallel zu aller anderen Planung gleichberechtigt geführt wird. Im Fokus: Sicherstellen, dass die unternehmerischen und kundenbezogenen Ziele erreicht werden. Sicherheit ist ein Kundenanliegen!


Das Herzstück der Sicherheitsplanung, das Tool, ist der Defense Plan. Darin werden die Risiken, die Ist- und Soll-Defense-Maßnahmen geführt, einschließlich des geplanten und genehmigten Budgets. Vergleichen wir den Defense Plan mit einem Cockpit. Die ständige Aktualität gibt Auskunft über die Zielerreichung der Unternehmenssicherheit mit dem Anspruch 4.0. Eine ausführliche Dokumentation ergänzt die Planung und gibt dem sachverständigen Dritten (Kunde, Auditor) in angemessener Zeit eine Übersicht über den Sicherheitsstand des Unternehmens. Zudem unterstützt sie die Anforderungen des Unternehmens an eine gerichtsfeste Organisation. Aus diesem Grunde sind sehr gute Rechtskenntnisse und eine enge Zusammenarbeit mit der Abteilung „Recht“ eine Voraussetzung für den Erfolg.

Sicherheit ist Chefsache. Dazu sind die Vorstände rechtlich und vertraglich verpflichtet. Sie haften mit ihrem Privatvermögen für Schäden, die sich aus unterlassenen Handlungen ergeben. Aus diesem Grunde berichtet Unternehmenssicherheit direkt an den Vorstand. Das mag (noch) ungewöhnlich sein, entspricht jedoch heute bereits rechtlich zwingenden Anforderungen, z. B. im Arbeits-, Gesundheits- und Unfallschutz.

Forum IT-Sicherheit

Sicherheit und der Faktor Mensch

Sind die Mitarbeiter einer Sicherheitsabteilung überhaupt in der Lage, die Sicherheit eines Unternehmens zu gewährleisten? Es wird zwar allenthalben behauptet, aber stimmt das auch? Wie können die im Unternehmen befindlichen Menschen insgesamt dabei einbezogen werden? Welche Vorteile hätte ein solcher Ansatz?
Beginnen wir mit dem Schluss. Die Sicherheit und der Schutz der Menschen geht alle an, gleich welchen Personengruppen sie angehören. Also die Beschäftigten, Fremdarbeiter, Gäste, Kunden usw. Wer „drin“ oder für das Unternehmen irgendwie und irgendwo tätig ist, hat sowohl einen Anspruch auf Sicherheit als auch zugleich die Verpflichtung zur Beachtung der Sicherheitsregeln. Kurzum, wer in den Wertschöpfungsketten tätig ist, muss in den Sicherheitsprozess eingebunden werden.

Verbrechen 4.0 - das ist möglich


Was liegt also näher, alle Menschen aktiv in die Sicherheitsbemühungen einzubeziehen. Das erfordert Information und Klärung von Verantwortung.

Es bietet sich an, die Prozesse mit den Beteiligten vor Ort zu diskutieren, auf die Hinweise und Anregungen zu hören und im Zusammenhang mit der Erarbeitung die Verantwortlichkeiten zu klären. Diese Delegation von Verantwortung führt im Ergebnis zu Vereinbarungen, die auf der unteren Ebene die Einhaltung der Prozesse garantieren. Zusätzlich entscheiden die Verantwortlichen „vor Ort“ auch über die Vergabe von Rechten (Zugang) und den ständig erforderlichen Änderungsdienst (dynamischer Vorgang). Das hat sich in der Praxis bewährt und als Garant für das Gelingen herausgestellt. Nur so kann der Sicherheitsanspruch gelingen. Safety & Security verhalten sich wie Zwillinge, die getrennt agieren, aber eng miteinander verbunden sind. Gemeinsam erreichen sie die angestrebten Synergien.

Der Umgang mit den Menschen, die Förderung ihrer Vielfalt (Diversity), die Akzeptanz von Andersartigkeit und eine erkennbare hohe Wertschätzung (Einheitspreise für alle Menschen im Betriebsrestaurant, gepflegte sanitäre Anlagen für die Hygiene …) fördern den Anreiz für gesittetes Verhalten. Wer sich im Betrieb wohlfühlt, verhält sich achtsam. Das Unternehmen wird davon profitieren.

Sicherheit und Prozesssteuerung

Die dümmsten Passwörter der Welt
"Dadada"Nein, die Rede ist hier nicht von dem Neue-Deutsche-Welle-Song von Trio, sondern dem Passwort des Facebook-Gründers Mark Zuckerberg in Netzwerken wie Twitter, LinkedIn und Pinterest - zumindest wenn man den Hackern Glauben schenkt, die im Anfang Juni 2016 mehrere seiner Profile gehackt haben. Beim Foto-Dienst Pinterest gelang es den Hackern mithilfe des Passworts, das sie nach eigener Auskunft in den gestohlenen des Karriere-Netzwerks LinkedIn gefunden haben, den Profiltext für kurze Zeit durch den Text „gehackt vom OurMine Team“ zu ersetzen. Bei Twitter gab es eine verdächtige Aktivität auf Zuckerbergs Account mit dem Namen „@finkd“, in dem er seit Januar 2012 nichts mehr veröffentlicht hatte. Und bei Pinterest wurde das angebliche Passwort sogar öffentlich gemacht: "dadada". Damit wählte der Facebook-Entwickler scheinbar nicht nur ein ziemlich simples Passwort (übrigens nicht besser als "12345" oder "password"), sondern benutzte das Passwort gleich für mehrere Profile - ebenfalls absolute No-Gos, die aber immer wieder vorkommen, wie die folgenden Beispiele zeigen. Quelle: Screenshot
Simple Zahlen- oder BuchstabenfolgenSicherheitsforscher des Hasso-Plattner-Instituts (HPI) haben 2015 fast 35 Millionen geraubte Identitätsdaten aufgespürt. Wie die Potsdamer Sicherheitsforscher anhand der gesammelten Daten analysierten, stehen bei den Internetnutzern in aller Welt immer noch Zahlenreihen oder Zeichenfolgen auf der Tastatur (z.B. qwerty auf der amerikanischen Tastatur) an der Spitze der Beliebtheitsskala bei Passwörtern. Gern werden auch Vornamen oder andere simple Begriffe verwendet, etwa das Wort "password". "Unangefochten weltweit auf Platz 1 liegt leider nach wie vor die Zahlenreihe 123456, obwohl automatische Cracker solche simplen Passwörter als erstes und blitzschnell ermitteln", sagte HPI-Direktor Christoph Meinel. Dass Passwörter dieser Art überhaupt nicht sicher sind, ändert nichts an ihrer Beliebtheit: Schon 2014 wurden mehr als 3,3 Millionen Passwörter geknackt, auf dem ersten Platz landet auch da schon "123456". Auch wenn die Länge variiert wird, hilft das nicht: Auf dem dritten und vierten Platz finden sich "12345" und "12345678". "123456789" landet auf Rang sechs, gefolgt von "1234" auf Platz sieben. Auf Rang elf liegt "1234567". Nachfolgend ein Überblick der meistgeknackten Passwörter 2014: Quelle: dpa
Passwort: "Password"Wer sich für ganz schlau hält und einfach "password" als Zugangscode verwendet sei hiermit gewarnt: Die vermeintlich simple und sichere Lösung liegt auf Rang zwei der meistgeknackten Passwörter. Quelle: dpa
FantasiewörterSie denken sich, kein Mensch weiß was "qwerty" ist? Falsch gedacht. Die Buchstabenfolge, die auf einer amerikanischen Tastatur nebeneinander liegt, landet auf Platz fünf. Auf deutschen Tastaturen wäre es übrigens "qwertz". Quelle: REUTERS
Das sportliche PasswortSport-Fans müssen sich etwas besseres einfallen lassen, als nur den Namen ihrer Lieblingssportart: Auf Platz acht der meistgeknackten Passwörter landet "baseball". Quelle: AP
Mystische GestaltenAuch Drachen-Fans gibt es einfach zu viele. Das Passwort "dragon" ist jedenfalls alles andere als originell. Es findet sich auf Rang neun. Quelle: REUTERS
Sport, die zweiteAnhänger des Football sind auch nicht besser dran als Baseball-Freunde: Das Passwort "football" findet sich auf Rang zehn der gehackten Zugangsdaten. Quelle: AP

Was fällt Ihnen bei dem Begriff „Zutrittskontrollanlage“ ein? Etwa „Nacktscanner“? Den Zutritt kontrollieren, wie funktioniert das eigentlich? Der Begriff „Zutrittskontrollanlage“ ist sprachlich falsch, irreführend und (leider) weit verbreitet. Und darin liegt das eigentliche Unheil! Stattdessen sollte von „Zugangssystem“ gesprochen werden. Menschen (eigene und fremde) benötigen zur täglichen Erfüllung von Aufgaben „Zugang“, zu „was auch immer“.

Dazu erhalten sie individuelle Rechte, und diese können sehr unterschiedlich sein und sich im Zeitablauf ständig ändern (Berechtigungsmanagement). Der Charme dieser Lösung besteht im einheitlichen Verfahren und (endlich) in der Möglichkeit, alle (!) benötigten Rechte individuell unter Nutzung von Standards nach einheitlichen Verfahren flexibel zu erteilen. Grundsatz: Berechtigte erhalten einfach Zugang! Bei fremden Personen regeln die Verträge, ergänzt um Richtlinien, den Aufenthalt und das Verhalten im Betrieb. Das verstehen alle Beschäftigen sofort. Das Unternehmen profitiert von effektiven, störungsfreien und sicheren Prozessen. Der Anspruch an eine „Gerichtsfeste Organisation“ wird gefördert.

Das Beispiel „Zugang“ zeigt anschaulich die Möglichkeiten für eine strategische Sicherheitsplanung. Die einheitliche Behandlung des Prozesses „Zugang“ für alle Personengruppen macht die Prozesse transparent, belastbar und sicher.

Sicherheit, Systeme, Datenschutz und Sozialpartne

Wer einschlägige Fachzeitschriften studiert, gar auf Sicherheitskongresse fährt und sich mit Anbietern beschäftigt, hört immer die gleiche Aussage: „Kaufe mein Kontroll-System, und Du kannst ganz sicher sein!“

Systeme sind Instrumente für die Prozesssteuerung. An erster Stelle kommt jedoch immer der Mensch, dessen Daten zu schützen sind. Sicherheitssysteme produzieren Daten in großer Menge. Zur Erfüllung von Sicherheitsanforderungen werden meist nur geringe Daten benötigt, wenn überhaupt. Die Kunst besteht nun darin, sich nicht in einer „Datensammelwut“ zu verlieren. Grundsatz: So viel, wie erforderlich – so wenig, wie möglich! Das beschleunigt bei Bedarf die zudem rechtlich gesicherte die Datenbereitstellung und führt zu effektiven Ergebnissen. Der Sozialpartner und der Datenschutzbeauftragte werden diesen Anspruch unterstützen.

Unternehmen mit dem Anspruch „Industrie 4.0“ besitzen ein funktionierendes Wertesystem. Personenbezogene Einzelkontrollen und eine Datensammelwut sind ihnen fremd. Respekt, Achtung und Vertrauen vor den im Unternehmen tätigen Menschen werden gewahrt. Das sind gute Voraussetzungen für eine erfolgreiche Wertschöpfung auf der Grundlage sicherer Prozesse. Es gilt, sich darauf zu konzentrieren!

Welche Sicherheitsmaßnahmen die Unternehmen verstärken

Sicherheit und Outsourcing

Eigen oder fremd – das ist nicht die Frage. Am Thema „Outsourcing“ wird häufig eine unverständliche Lust am Selbstbetrug erkennbar. Der Preis wird gnadenlos gedrückt, bis ein Anbieter aus purer Verzweiflung zustimmt. Ob das anschließend gutgeht? Outsourcing ist nur dann wirtschaftlich, wenn unter sonst gleichen Bedingungen dasselbe Ergebnis erzielt werden kann. Das macht ein ständiges Controlling erforderlich. Outsourcing ist mitnichten ein Selbstläufer. Wer darauf spekuliert, betrügt sich selbst.

Wenn der Gedanke an Outsourcing stattdessen als „Startlinie für Business-Process-Reengineering“ aufgegriffen wird, nutzt das Unternehmen die sich bietende Chance für Verbesserungen. „Weg damit“ ist keine wirkliche Alternative!

In Arbeit
Bitte entschuldigen Sie. Dieses Element gibt es nicht mehr.

Das sichere Unternehmen 4.0

Ich höre nun den Aufschrei von Betroffenen. Gemach, gemach! Rom wurde nicht an einem einzigen Tag erbaut, und so verhält es sich auch mit den Bemühungen, die Unternehmenssicherheit auf die Stufe 4.0 anzuheben. Der Weg dahin führt über die permanente Steuerung der unternehmerischen und betrieblichen Prozesse. Sicherheit ist darin ein Ergebnis, die Steuerung das Instrument.

Sichere und belastbare Prozesse sind immer mit einem Business Process Reengineering verbunden. Damit sind umfangreiche Kostenreduzierungen verbunden, die der Wertschöpfung auf Dauer zugute kommen.

Das sichere Unternehmen 4.0. Die Strategie bestimmt das Handeln. Sichere Prozesse sind die Voraussetzung für Profitabilität. Sicherheit ist, wenn das Unternehmen funktioniert. 

Diesen Artikel teilen:
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%