Etablierung einer Sicherheitskultur im Unternehmen

Grundsätzlich herrschen in jedem Unternehmen bestimmte geschriebene und ungeschriebene „Gesetze“ und „Regeln“: es wird z. B. in einer bestimmten Art und Weise miteinander gesprochen und umgegangen. Denn genau wie in unterschiedlichen Ländern verschiedene Kulturkreise mit differenzierten Ansichten, Bräuchen und Werten existieren, gibt es in jedem Unternehmen – also innerhalb einer Organisation – bestimmte gültige Normen, Werte und Handlungsweisen, die das Selbstverständnis und Handeln der Beschäftigten prägen.

Eine Unternehmenskultur besteht aus über die Jahre angeeignetem Verhalten, ungeschriebenen gemeinhin akzeptierten und tagtäglich angewandten, gesellschaftlichen Regeln, Einstellungen und Umgangsformen. Eine Organisation funktioniert quasi wie eine Gesellschaft im Kleinformat. Sie prägt zum Teil bewusst, zum größten Teil jedoch unbewusst sowohl, wie es sich anfühlt Teil dieser Gesellschaft zu sein, als auch wie das Unternehmen nach außen wirkt. Die Unternehmenskultur hat somit maßgeblich einen Einfluss darauf, wie mit verschiedenen Themen in Organisationen umgegangen wird und wie die „innere“ Haltung dazu ist.

DER BEGRIFF „SICHERHEITSKULTUR“ als ein Teil der Unternehmenskultur wird somit als Verhaltensmerkmal verstanden, wie mit Fragen der Sicherheit in Unternehmen und Organisationen umgegangen wird, wie also das gemeinsame Ziel der Gefahrenlosigkeit mit der Einhaltung von Normen und Werten durch erlernte und zum Teil vorgegebene Verhaltensweisen erreicht wird.

WAS BEDEUTET SICHERHEITSKULTUR?

Sicherheit gilt als essenzieller Wertebestandteil unserer demokratischen Gesellschaft, da wir möglichst bestrebt sind, politische, militärische, ökonomische, soziale, rechtliche und technische Sicherheit zu erlangen, doch wie steht es mit der Unternehmenssicherheit, also beispielsweise dem Wirtschaftsschutz, der IT-Sicherheit und der Informationssicherheit?

Grundsätzlich kann jedes Individuum und rational handelnde Wesen selbst bestimmen, wie es sich verhält. Doch die Gesellschaft, Umwelt/Umgebung und der Arbeitgeber geben Rahmenbedingungen und Anforderungen vor, an denen sich orientiert werden muss oder Normen und Werte, an die sich gehalten werden sollte, wenn keine Sanktionen erfolgen sollen. Sicherheitskultur bedeutet, Sicherheit in das tägliche Handeln Aller aktiv einzubinden und vollumfänglich zu gewährleisten sowie dauerhaft aufrechtzuerhalten.

Das Ziel, welches eine gut implementierte Sicherheitskultur verfolgt, ist, mögliche Sicherheitsrisiken im Hinblick auf Industrie- und Wirtschaftsspionage, Hacker- und Cyberangriffe, Daten- und Know-how-Abflüsse, Manipulationen und Sabotagehandlungen durch Achtsamkeit und ein gesundes Maß an Sicherheitsverständnis zu verhindern oder weitestgehend zu reduzieren.

Die Einführung einer (robusten und belastbaren) Sicherheitskultur dient dazu, dass die Beschäftigten aus eigener Motivation ihren Teil zur Sicherheit und somit zum Geschäftserfolg beitragen. Dies gelingt, indem ein Problembewusstsein erlangt wird und somit das WISSEN, wie mit den Herausforderungen umgegangen werden muss und sie auch die Absicht haben, sicherheitskonform im Arbeitsalltag handeln zu WOLLEN. Dies setzt natürlich voraus, dass die RAHMENBEDINGUNGEN für sicherheitskonformes Verhalten im Unternehmen bzw. in der Organisation auch vorhanden sind.

WIE KANN EINE EFFEKTIVE SICHERHEITSKULTUR ERREICHT WERDEN?

Die Verantwortung, eine Sicherheitskultur zu etablieren und nachhaltig zu betreiben, ist eine zentrale Aufgabe des Managements. Sie muss jedoch vor allem von den Beschäftigten (persönlich) gelebt werden. In zahlreichen Studien wurde nachgewiesen, dass die Verantwortung von „Sicherheit“ bewusst delegiert wird – aber „Sicherheit“ kann nur funktionieren, wenn das Bewusstsein jedes Einzelnen und somit aller Beteiligten nicht nur für die Gefahren vorhanden ist, sondern auch für die eigene Verantwortung und wechselseitige Loyalität.

Diverse Sicherheitsanforderungen (z. B. die Einführung einer Verpflichtung zum Sichtbartragen von Ausweisen, der Beachtung von Zutrittsbeschränkungen, der Einhaltung von Besucherregelungen etc.) üben immer auch einen gewissen Anpassungsdruck auf die Unternehmenskultur aus. Ein wesentlicher Werte-Bestandteil einer Unternehmenspolitik sollte daher die Ablehnung unternehmensschädigenden Verhaltens sein, was wiederum auch in die Sicherheitskultur übergeht.

Ein gutes Beispiel hierfür ist der Umgang mit Sicherheitsvorfällen – also dem unternehmerischen Umgang mit sicherheitsrelevanten Problemstellungen:

• Werden diese eher „unter den Teppich gekehrt“ oder geht man diese (pro-)aktiv an?
• Oder wie sieht es mit dem Sperren des PC-Bildschirms bei Abwesenheit aus? Wird dies ausgeführt, weil die Sinnhaftigkeit verstanden wurde oder weil es ein gruppenkonformes Verhalten darstellt?
• Gerade auch das Thema der „gegenseitigen Wertschätzung“ führt oftmals dazu, dass Personen anderen Personen Türen aufhalten, ohne nach der Zutrittsberechtigung zu fragen.

Das Erleben, Leben und Vorleben der Unternehmenskultur und Sicherheitskultur sind wichtige Erfolgsfaktoren, denn nur wenn ein grundlegendes Verständnis von allen Beteiligten vorhanden ist und Regeln eingehalten werden, können sich Verhaltensweisen ändern.

In Unternehmen und Organisationen gibt es immer eine unmittelbar wahrnehmbare Kultur, die sich z. B. in Standards, Ritualen oder auch der Firmensprache äußert und somit der sichtbare Ausdruck von Werten und Normen ist. Dann gibt es auch immer noch die Verhaltensmaximen, die von den Personen mehr oder weniger geteilt werden und nur teilweise sichtbar sind und bewusst gelebt werden. Den viel größeren Teil bilden jedoch die Basisannahmen, die die Handlungen des Einzelnen unbewusst beeinflussen – und diese gilt es durch einen Kulturwandel hin zu mehr Sicherheit zu verändern. Dies wird zum einen erreicht durch die Ausstrahlung des Führungspersonals die Thematik betreffend und durch formalisierte Regelungen sowie die optimale Einbindung von passenden Awareness-Aktivitäten.

Auch wenn sich die Beschäftigten im Arbeitsalltag keiner akuten Bedrohung gegenübersehen (z. B. weil es keine Einbrüche, Drohungen oder sonstigen Sicherheitsvorfälle gab), schließt das die Existenz von Gefahren und Risiken keineswegs aus. Denn Ereignisse, die mit einer negativen Auswirkung (also einer „Gefahr für das Unternehmen/die Organisation“) verknüpft sind, können immer entstehen, da sich Einflussfaktoren und somit Risiken permanent ändern können. Und genau diese gilt es zu minimieren, um Risiken weitestgehend auszuschließen!

Es gilt, Strukturen und Prozesse in den Unternehmensalltag zu integrieren, die alle Einflussfaktoren betrachten und präventive sowie reaktive Maßnahmen und Detektionsmöglichkeiten veranlassen. Die im nachfolgenden Abschnitt beschriebenen Maßnahmen können dazu beitragen, eine Sicherheitskultur im Unternehmen zu etablieren.

EINE SICHERHEITSKULTUR MUSS GELEBT WERDEN!

Nur weil es keine (akute, sichtbare) Bedrohung gibt, bedeutet das nicht, dass ein gefahrenfreier Zustand herrscht. Ob und in welchem Maß „Sicherheit“ gelebt wird, hängt von dem grundsätzlichen Stellenwert ab, den das Unternehmen den „Sicherheitsmaßnahmen“ beimisst. Daher lassen sich bestimmte präventive Sicherheitsvorkehrungen und -maßnahmen etablieren, die eine Sicherheitskultur robust und belastbar machen. Aber natürlich spielen auch die Beschäftigten selbst eine essenzielle Rolle bei der praktischen Umsetzung dieser Maßnahmen, denn Sicherheit ist letztlich die Verantwortung jedes Einzelnen sich selbst, der Organisation und dem Umfeld gegenüber.

PRÄVENTIVE MASSNAHMEN DER ORGANISATION

• Unternehmensschutzziele bestimmen und Verhaltenskodexe einführen
• faires Führungsverhalten (Vorbildfunktion)
• Benennung eines Verantwortlichen für die Unternehmenssicherheit
• Pre-Employment-Screenings (Hintergrundchecks bei Einstellungen)
• Förderung der Identifikation mit dem Unternehmen durch gute Arbeitsbedingungen, Entwicklungsmöglichkeiten und eine angemessene Vertrauensbasis
• Security-Exit-Management (Ausscheidungsmanagement)
• konsequente Risikobewertungen von Positionen sowie Strukturen und Prozessen
• Weiterentwicklung des Schutzkonzepts von fachkundigen Personen
• transparente, klare und (handlungs-)sichere Arbeitsprozesse schaffen
• Zutrittsberechtigungen beschränken
• Informationssicherheitsmanagement zum Umgang mit Daten und Informationen
• konstruktives (anonymes) Fehler-, Melde- und Vorfallmanagement mit fachkompetenten Personen, welche die eingehenden Meldungen überwachen, prüfen und weiterbearbeiten
• abschreckende/sanktionierende Maßnahmen bei Sicherheitsvorfällen
• das Erkennen von „persönlichen Krisen“ bei Mitarbeitern z. B. durch eine gute Mitarbeiter-/Sozialbetreuung
• (Früh-)Detektion kritischer Verhaltensindikatoren
• …

DIE BESCHÄFTIGTEN (PRO-)AKTIV EINBINDEN

• aktive Einbindung der Mitarbeiter, um Sicherheitslücken (gemeinsam) zu erkennen und vorzubeugen
• Sensibilisierungsmaßnahmen gegenüber den Gefahren und Risiken, um ein effektives Gefahrenbewusstsein in der Belegschaft zu schaffen
• Schulungsmaßnahmen, um über die konkreten Sicherheitsmaßnahmen und -vorkehrungen regelmäßig zu informieren
• Security-Awareness-Maßnahmen, die die Mitarbeitenden tagtäglich an ihre Mitwirkungspflichten erinnern
• Einführung von z. B. Bonus-Malus-Regelungen für sicherheitskonformes Verhalten
• …

WAS KANN JEDER EINZELNE TUN, UM BEDROHUNG ZU MINIMIEREN?

• die richtige persönliche Einstellung zur Unternehmens- und Sicherheitskultur finden, um diese auch umsetzen zu können
• angemessene Loyalität gegenüber dem Arbeitgeber (gilt auch umgekehrt)
• Vorbildfunktion: auf andere Personen und das Umfeld achtgeben

„Sicherheit“ muss konsequent gelebt werden – als „Wir- Gefühl“: Eine „Sicherheitskultur“ ist weder sichtbar noch auf Anhieb messbar! „Sicherheit“ und „Sicherheitskultur“ funktioniert nur im Einklang, wenn alle Beteiligten aufmerksam sind, sich konsequent an Sicherheitsvorgaben halten und sich an sicherheitsspezifischen Handlungsweisen orientieren (können). Sollte es dann doch mal zu Sicherheitsvorfällen kommen, sind Meldewege konsequent einzuhalten. Beschäftigte sollten niemals selbst zum Sicherheitsrisiko werden, sondern stets ein Garant für Sicherheit sein.