Sicherheitsthemen muss der Unternehmer gemeinsam mit den Mitarbeitern ausarbeiten, nicht er alleine mit dem Berater. Sagt Daniel J. Stregl, Geschäftsführer der redPuls IT & Security Solutions GmbH.
Text: Hansjörg Preims
Aus welchem Grund lassen sich Unternehmer in Sicherheitsfragen beraten? Um präventiv etwas für die Sicherheit zu tun oder eher aus einer akuten Notwendigkeit heraus? Die Antwort von Sicherheitsberater Daniel J. Stregl, Geschäftsführer der redPuls IT & Security Solutions GmbH, lässt nicht gerade auf ein ausgeprägtes gefahrenbewusstes Sicherheitsdenken in den Unternehmen schließen: „Es ist sehr selten, dass jemand das Gespräch mit uns sucht, um präventiv tätig zu werden beziehungsweise um Sicherheitsvorsorge zu treffen. Vielleicht 20-25 Prozent denken so und geben auch ihre Budgets dafür frei. Der Regelfall ist, dass ein Unternehmer an uns herantritt, wenn schon Gefahr in Verzug ist oder wenn er schon merkbar irgendetwas mitbekommt, es aber noch nicht greifen kann, wenn er eine bestimmte Stimmung empfindet, persönlich oder durch leitende Mitarbeiter.“
Wobei bestimmte Gewerke, Firmen und Branchen natürlich klare und strikte Sicherheitsrichtlinien haben, allen voran die Banken, mittlerweile auch die Museen, aber auch in der Industrie gibt es klare Sicherheitsrichtlinien. Großunternehmen müssen gewisse Normen einhalten, sei es in der Qualitätssicherheit wie auch auferlegte Produktionsnormen. „Die sind dadurch also schon einmal abgesichert, was den Prozess und was die grundsätzliche Sicherheit anbelangt“, so Stregl. Im Mittelstand aber gebe es nur in einzelnen Bereichen auch Sicherheitsgesetze, nach denen man sich richten müsste, zum Beispiel kleinere Investmentbanken, kleinere Lotterien oder Wettbüros, „die natürlich ihre Auflagen haben, aber alle anderen im Bereich Mittelstand haben keine Sicherheitsauflagen.“
Eine sinnvolle Zutritts-kontrolle impliziert einen Prozess dahinter
„Wenn man mit Zutrittskontrolle nur meint, Karte hinhalten und die Türe öffnet sich, ohne dass es dahinter ein System gibt, dann“, so Stregl, „bringt das für die Sicherheit nichts. Das ist nur einer dieser Pseudo-Sicherheitsaspekte.“ Warum wird das dann gemacht? Eventuell zur Zeiterfassung? Stregl: „Zutrittskontrolle ist nicht gleich Zeiterfassung. Man kann es koppeln, einige tun das aber nicht.“ Sehr viele würden noch immer eine Dummy-Videoüberwachung irgendwo bei der Eingangstür installieren oder eine Dummy-Außensirene als Alarmanlage, nur um sich selbst zu beruhigen oder das Zeichen zu setzen, man habe etwas für die Sicherheit getan und sei jetzt eh sicher. Eine sinnvolle Zutrittskontrolle impliziere vielmehr einen Prozess dahinter, auch Unternehmensprozesse: „Das heißt, man überlegt sich, wo man wirklich das Thema Sicherheit braucht, wo etwas passieren könnte, Diebstahl oder Personenschaden, oder Schwund im Produktionsbereich. Es gibt sehr viele Aspekte und Elemente, auf die man achten muss“, so Stregl. Und: „Wenn durch eine Zutrittskontrolle gewisse Personen zu gewissen Bereichen keinen Zutritt haben, dann sollten diese Maßnahmen vom Unternehmen transparent zu den Mitarbeitern sein, um solche Einrichtungen nicht zu übergehen, indem sehr wohl Karten geborgt werden. Grundsätzlich kann und wird auch kontrolliert, wer wo hineingegangen ist – das heißt, man hat das dann auch protokolliert, was bei den meisten Systemen der Fall ist.“
Welche Sicherheitstechnik auch immer man sich überlegt, ob man eine Videokamera vor dem Eingang oder eine Alarmanlage bzw. Zutrittskontrolle – das alles sollte in einem Ablauf eines Unternehmens hinterfragt werden. Zumal es ja große Unterschiede gibt, ob zum Beispiel bei Produktionsstätten LKWs zufahren, nur PKWs oder gar keine Autos, ob viele externe Personen zugehen oder nur interne, ob viele oder wenig Menschen, ob es viele verschiedene Abteilungen gibt und diese voneinander abhängig sind, welche Prozesse es innerhalb des Unternehmens gibt usw. Stregl erklärt, warum auf diese Themen geachtet werden muss: „Ganz einfach, weil überall, wo Menschen zu tun haben, es auch „menschelt“, und damit muss vorsichtig umgegangen werden, insbesondere bei der Sicherheit.“
Immer größerer Beliebtheit erfreuen sich Besucherkarten. Und es hat fast den Anschein, als gehe es manchmal nur darum, „auch sowas“ zu haben. Genau das sei denn auch ist der Punkt, sagt Stregl: „Es gibt Baumärkte und andere Möglichkeiten, sich Sicherheitsprodukte in einem zweistelligen Euro-Bereich zu kaufen, um so zu tun, als hätte man jetzt auch einen Kartenleser – eventuell sogar einen biometrischen Leser –, Kamera oder eine Alarmanlage. Das bringt nur eine Beruhigung für sich selbst, aber man hinterfragt nicht, was man tatsächlich braucht, was die Notwendigkeit ist.“ Egal, was man für die Sicherheit mache, die Menschen müssten akzeptieren und verstehen, wofür man Sicherheit einsetzt, sprich: „Noch bevor der Unternehmer in diese Richtung etwas macht, muss er gemeinsam mit seinen Mitarbeitern herausarbeiten, was das Unternehmen überhaupt an Sicherheit braucht, sei es gegen Wirtschaftskriminalität, Personenschaden oder Diebstahl.“
Mitarbeiter müssen sich als Teil eines Ganzen fühlen
In welche Richtung sollte ein Unternehmen puncto Sicherheit denken, was sind die Schadensthemen, was ist schützenswert? Stregl: „Auch da gibt es sehr viele Aspekte. Zum Beispiel in einem produzierenden Unternehmen sind es natürlich die Produkte, Menschen und die daraus ergebenden Abläufe. Wobei es externer oder interner Diebstahl sein kann. In sehr vielen Unternehmen sind es auch die persönlichen Abläufe, der Prozess als solcher, der in jedem Unternehmen unterschiedlich definiert ist.“ Und dann gebe es immer wieder Unternehmensbereiche, die intensiv mit einem anderen Bereich zusammenarbeiten müssten, daher sollte man hier eine „offene Gesellschaft“ bauen. Generell zu den Abläufen, wogegen sich ein Unternehmen absichern soll: „Es ist immer das, wo der Unternehmer selbst reinhören muss in sein Unternehmen, und das sind unterschiedliche Themen, je nachdem, ob es z.B. Forschung und Entwicklung ist, wo man darauf achten soll, dass die Mitarbeiter bzw. externe Consultants auch wirklich loyal sind und man sie daher immer wieder einlädt zu offenen Gesprächen, damit sie sich als Teil eines Ganzen fühlen.“ Und auf der anderen Seite, so der Experte, müsse man natürlich auch darauf schauen, die elektronische Seite wirklich gut abzudecken. „Auch darauf achten, dass nicht irgendwelche Entwicklungspapiere oder -Codes herumliegen bzw. sämtliche Hardware und Software den letzten SicherheitsUpdates bekommen haben. Das heißt, physisch als auch elektronisch, da geht es nicht um Prozesse, sondern eher um Wirtschaftsdelikte.“
70 – 80 Prozent der Sicherheitsrisiken sind der Faktor Mensch
Diebstahl von Produkten, intern oder extern, Wirtschaftskriminalität, geistige Werte, die für andere interessant sein könnten, F&E, Know-how – an welche Bereiche ist noch zu denken? Daniel J. Stregl sagt, er gehe gerne so vor, dass er, wenn einmal das Vertrauen da sei, mit dem Eigentümer oder Geschäftsführer / Vorstand eine persönliche Runde im Unternehmen mache und frage, was das Thema Sicherheit für ihn bedeute, was er glaube, was für ihn persönlich und auch für das Unternehmen diesbezüglich wichtig sei. Dann solle er von jedem Unternehmensbereich eine Person nominieren, die jeweils auch sagen dürfe, was für sie und für das Unternehmen wichtig wäre. „Bei solchen offenen Gesprächen kommt dann eine enorme Menge an Informationen heraus, Dinge, an die selbst der Eigentümer oft nicht gedacht hat und sich auch wundert, warum sie nie zur Sprache gekommen sind“, weiß Stregl. „Und 70 bis 80 Prozent der Sicherheitsthemen betreffen den Faktor Mensch, nämlich wenn er nicht transparent aufgeklärt wurde oder es noch nicht akzeptiert hat, gewisse unternehmerische Maßnahmen und Lösungen zu vereinnahmen und sie auch zu leben.“ Das sei der Fuß in der Tür, das sei der PC, den man nicht Passwort-geschützt habe, das sei ein wichtiger Code oder wichtige Entwicklungsdaten, die man einfach irgendwo liegengelassen habe, die Tür, die man beim Rausgehen nicht versperre – oder Gespräche mit Personen, die man nicht kenne, die gezielt versuchen würden, an Informationen heranzukommen.
Es sei also nicht damit getan, Technik einzusetzen und dann zu glauben, man sei sicher, gibt Stregl zu bedenken. „Technik ist natürlich wichtig, aber wenn keiner aufgeklärt wurde und versteht, warum es eine Zutrittskontrolle gibt, gibt er die Karte her oder geht sonst irgendwie nachlässig damit um. Die meisten lassen dann sogar bewusst die Türen offen, weil sie nicht einsehen, dass sie eine Karte brauchen, um ins Büro reinzukommen. Das heißt, viele reagieren sogar negativ, wenn man diese Prozesse nicht gemeinsam durchgearbeitet hat, wenn man hier nicht das awareness der Menschen aufgegriffen und ihnen nicht vermittelt hat, was das Ziel des Unternehmers oder des Sicherheitsbeauftragten ist.“ Der Unternehmer müsse gemeinsam mit den Mitarbeitern die Sicherheitsthemen ausarbeiten, nicht er alleine mit dem Berater.
„Sicherheit ist Emotion, Sicherheit ist intim“
Ist es nicht so, dass manche Branchen mehr gefährdet sind als andere? Hat ein Anwalt nicht ein höheres Sicherheitsrisiko als ein Installateur? Stregl: „Da muss man differenzieren. Bezüglich Faktor Mensch nein, Faktor Inhalt ja. Wirtschaftskriminell gibt es beim Anwalt sicher mehr zu holen als beim Installateur. Aber der Faktor Mensch ist da wie dort das gleiche Sicherheitsrisiko, wenn man die Mitarbeiter nicht einlädt, die Sicherheitsthemen mitzugestalten.“ Wobei wiederum die elektronische Sicherheit bei beiden Branchen gleich wichtig sei (zB Kundendaten..).
Und last but not least: Was ist mit den Mitarbeitern, die am Wochenende Pfuschen gehen und dafür das Material der Firma, bei der sie angestellt sind, ver- bzw. entwenden? Wie kann man das verhindern? Stregl: „Auch hier gilt es, transparente Gespräche zu führen, die Mitarbeiter zum Gespräch einzuladen, ihnen die Chance zugeben, sich mitzuteilen. Es gibt zum Beispiel Unternehmen, die es offiziell zulassen, dass die Personen für ihren privaten Bereich arbeiten. Sie lassen kontrolliert Nebengeschäfte zu. Dazu gibt es offene Gespräche. Die Personen zahlen für die Produkte den Wert, zu dem das Unternehmen einkauft.“ Wobei man hier natürlich auch mit Kennzahlen arbeite, damit die Leute den Hauptjob auch erfüllten. In diesen Fällen gebe es aber eine klare Loyalität und kaum internen Diebstahl.
„Sicherheit ist Emotion, Sicherheit ist intim, Sicherheit heißt, ich muss mich öffnen“, sagt Stregl. Und: Egal, was man mache, nichts sei 100 Prozent sicher. Es könne nur darum gehen, Delikte so schwer wie möglich zu machen. „Und auch da wieder, wenn man mit seinen Mitarbeitern eine klare Linie hat, wenn sie gewisse sicherheitsrelevante Dinge als Selbstverständnis annehmen und nicht als Muss.“