Etablierung eines Sicherheitsmanagement-Systems

Unternehmen stehen einer Vielzahl sicherheitsspezifischer Gefahren und Risiken gegenüber wie z. B. Spionage- oder Sabotageakte, Produkt- und Know-how-Diebstahl oder Notfall- und Krisenereignisse. Um Unternehmen beim Umgang mit den Herausforderungen, die diese Ereignisse mit sich bringen, zu unterstützen, wurde der sogenannte „Wirtschaftsgrundschutz-Standard“ geschaffen. Dieser geht zurück auf eine gemeinsame Initiative des „Bundesamtes für Sicherheit in der Informationstechnik“ in Zusammenarbeit mit dem „Bundesamt für Verfassungsschutz“ und der „Allianz für Sicherheit in der Wirtschaft“.

Die „Initiative Wirtschaftsschutz“ hat Wirtschaftsgrundschutz-Standards für die deutsche Wirtschaft veröffentlicht, mit denen sich Unternehmen auseinandersetzen sollten. Dieser definiert im Grundsatz die Herangehensweise, wie ein Sicherheitsmanagementsystem aufgebaut wird und welche einzelnen Maßnahmen und Handlungsschritte dafür notwendig sind.

VERANTWORTLICHKEITEN DEFINIEREN

Auch bei dem Thema „Wirtschaftsschutz“ ist zunächst die Leitungsebene aufgrund ihrer Organisationshaftung verantwortlich. Auf dieser Ebene sollte das für Unternehmen essenzielle Thema auch grundsätzlich angesiedelt sein, um Entscheidungen treffen und definierte Maßnahmen proaktiv umsetzen zu können. Je nachdem, welche Gefahren und Risiken für die Unternehmenswerte erkannt wurden, welche Forderungen Stakeholder stellen und wie ggf. die gesetzlichen, vertraglichen oder gar versicherungsseitigen Vorgaben lauten, initiiert die Leitungsebene die entsprechenden Prozesse. Das Thema kann und sollte jedoch an fachkundige Personen – z. B. einen Sicherheitsverantwortlichen/Security Manager – delegiert werden. Deren organisatorische Aufgabe es ist, die potenziellen Gefahren und Risiken für das Unternehmen zu identifizieren und konkret zu benennen.

DIE INDIVIDUELLE RISIKOEXPOSITION ERARBEITEN

Von der individuellen Gefährdung und der sich stetig ändernden Risikoexposition sind die Ausgestaltung und der Umfang des Sicherheitsmanagementsystems unmittelbar abhängig. Die Anforderungen variieren in Abhängigkeit der Branche, der Standorte, der Kundenanforderungen, der Liefer- und Rahmenbedingungen etc. Zu den häufigsten Gefahren und Risiken zählt der materielle Wertverlust. Aber gerade die immateriellen Werte – wie z. B. ein angeschlagenes Image und der damit einhergehende Reputationsverlust in Folge eines Sicherheitsvorfalls – sollten bei der Risikobetrachtung keinesfalls außer Acht gelassen werden. Auf dieser Basis definiert eine optimal auf die individuelle Gefahren- und Risikolage abgestimmte Sicherheitsanalyse die Sicherheitsziele des Unternehmens bzw. der Organisation.

INTERDISZIPLINELLE ZUSAMMENARBEIT

Um ein solches Sicherheitsmanagementsystem (Regelwerk) nachhaltig zu etablieren, dem eine Sicherheitsstruktur und Sicherheitsstrategie zugrunde liegt, ist die Zusammenarbeit mit allen Abteilungen und ggf. Standorten unabdingbar. Es gilt, aus den Schutzzielen ein Sicherheitskonzept zu entwickeln, das unter anderem konkrete Sicherheitsmaßnahmen – beispielsweise in Form von baulichen, technischen, personellen und organisatorischen Maßnahmen – festlegt und implementiert. Dem „Faktor Mensch“ sollte in jedem Fall ein hoher Stellenwert beigemessen werden, da die Belegschaft diejenige ist, die die definierten Maßnahmen im Arbeitsalltag aktiv anwenden und umsetzen muss. Daher sind Sensibilisierungsmaßnahmen frühzeitig im Hinblick auf die Vermittlung der Notwendigkeiten aller Sicherheitsmaßnahmen essenziell, um die Wirksamkeit eines solchen Systems entfalten zu können.

VORBEREITEN AUF EVENTUALITÄTEN

Störungen, Notfälle und Krisen stellen eine Beeinträchtigung der betrieblichen Abläufe dar, bedrohen das definierte Sicherheitsniveau und können (z. B. bei einer fehlerhaften Herangehensweise) existenzbedrohende Ausmaße annehmen. Aus diesem Grund sollte sich nicht nur darauf fokussiert werden, wie Sicherheit umgesetzt und etabliert werden kann, sondern im gleichen Gedankengang auch die Worstcase-Szenarien durchgespielt werden. Was ist, wenn die Gefahr sich realisiert hat, wenn es einen Vorfall gab? Hierzu sind Verantwortlichkeiten, Ressourcen und Abläufe zu definieren, wie bei verschiedenen Ereignisfällen (Szenarien) vorgegangen wird. Die Aufbau- und Ablauforganisation erfordert einen gut durchdachten und strukturierten Prozessaufbau, der im Rahmen einer interdisziplinären Zusammenarbeit erarbeitet und geübt werden sollte, um Schwachstellen im „Übungsmodus“ ausfindig zu machen. Aber auch dieses System kann nur seine volle Wirksamkeit entfalten, wenn alle Beteiligten in der jeweiligen Intensität sensibilisiert und im Umgang mit den Handlungsweisen bei Notfall- und Krisenereignissen geschult werden.

QUALITÄTSKREISLAUF

Ein System ist in der Theorie jedoch nur so gut, wie es auch in der Praxis gelebt wird, daher müssen alle Maßnahmen einer regelmäßigen Kontrolle unterzogen werden, um das Gesamtsystem stets zu optimieren und kontinuierlich und konsequent weiterzuentwickeln. Dies erfordert i. d. R. ein systematisches Vorgehen und einen strukturierten, wiederholbaren Prozess. Hierzu eignet sich beispielsweise der sogenannte „PDCA-Zyklus“, um Maßnahmen zu definieren, zu implementieren und zu leben, die Wirksamkeit zu überprüfen und stets zu optimieren.

Alle vorgenannten Faktoren gewährleisten in Summe ein praxistaugliches und nachvollziehbares Sicherheitsmanagementsystem, welches auf das gesamte Unternehmen bzw. die gesamte Organisation und alle Einheiten sowie Personen (ggf. auch Dritte wie z. B. externe Dienstleister) ausgerollt werden muss, um das Thema „Wirtschaftsgrundschutz“ aktiv voranzutreiben.