Sicherheit

Security Manager Summit 2013

© vege - Fotolia.com

Unter dem Motto „Der Sicherheitsmanager im Fokus – Kontrolleur, Stratege und Gestalter in Industrie und Handel“ fand in Köln der 1. Security Manager Summit des FID Verlags statt. U.a. wurden folgende Vorträge gehalten:

Bring your own device

Der erste Beitrag zum Thema „Bring your own device (BYOD)“ beschäftigte sich mit der Vermischung von Berufs- und Privatleben. Immer mehr Arbeitnehmer profitieren heutzutage von flexiblen Arbeitsmodellen, die es ihnen ermöglichen, auch von unterwegs oder von zu Hause aus auf wichtige berufliche Kommunikationsmittel zuzugreifen. Hierfür ist es nicht notwendig, den Mitarbeitenden Mobiltelefone oder Laptops zur Verfügung zu stellen – allerdings bringt beispielsweise der Zugang zum betriebsinternen Mailsystem unter Nutzung des privaten Handys/Laptops Gefahren mit sich. Derzeit sind ca. 30% der Android Apps mit Trojanern behaftet.

Man sollte vordringlich darauf achten, dass keine gerooteten oder gejailbreakten Geräte für den Zugang verwendet werden. Die aus dem englischen eingedeutschten Begriffe gerootet (von engl. root = Wurzel) und gejailbreaked (von engl. jailbreak = Gefängnisausbruch) sind bedeutungsgleich, beziehen sich aber auf unterschiedliche Betriebssysteme: gerootet wird in Bezug auf das Android-System verwendet, gejailbreaked in Bezug auf iOS von Apple. Die Begriffe bedeuten, dass dem Nutzer des entsprechenden Mobilgeräts Administratorenrechte eingeräumt werden. Aber auch Apps können sich diese erweiterten Rechte ungewollt zunutze machen. Daher sind Geräte, die gerootet oder gejailbreaked sind, sehr unsicher. Ihre Nutzung sollte unbedingt ausgeschlossen werden.

Eine Vorgehensweise, um sicheres BYOD zu gewährleisten, ist die “Over the Air“ Verwaltung mit einem Mobile Device Management System (MDM) nach den OMA (Open Mobile Alliance) Richtlinien. Jedenfalls sollte das Sicherheits-BYOD-Konzept in Abstimmung mit den datenschutzrechtlichen Regelungen und dem Betriebsrat erfolgen. Eine 100%-ige Sicherheit gegen alle Bedrohungen kann nie erreicht werden, gegen Ausspähung durch Nachrichtendienste zum Beispiel können sich Internet-Nutzer nicht schützen, wie in jüngster Zeit belegt wurde.

Berufsbild Sicherheitsmanager

Welche Anforderungen sieht die Hochschullandschaft für zukünftige Sicherheitsmanager und -managerinnen? Damit beschäftigten sich zwei weitere Beiträge. Zunächst ist festzuhalten, dass der Bedarf an Sicherheitsmanagern kontinuierlich wächst. Dieser Trend wird u.a. aufgrund der steigenden Kriminalität und der Komplexität von Sicherheitsanforderungen auch in Zukunft anhalten.

Inhaltlich sollten die Schwerpunkte der Studiengänge folgende Themen abdecken:

Konzeptionierung, Standardisierung, Qualitätssicherung, Schnittstellen zu anderen Bereichen, insbesondere zu Compliance, Krisenmanagement und Business-Continuity-Management. Wichtig sei, dass nicht nur Fachwissen, sondern vor allem auch Handlungskompetenzen vermittelt würden – längere Praktika während des Studiums seien hierfür von Vorteil. Letzterem stimmten auch Wirtschaftsvertreter in der anschließenden Diskussion zu, die ihre Nachfolge-Führungskräfte oft aus diesem Pool rekrutieren. Jedenfalls sei darauf zu achten, dass der Studiengang akkreditiert ist. Auch den Bedarf an berufsbegleitenden Fernstudiengängen haben die Hochschulen erkannt. Unterschiedlich wurde gesehen, inwiefern der B.A. und der Meister für Schutz und Sicherheit als gleichwertig betrachtet werden können.

Entwicklung und Rekrutierung von Führungskräften aus Sicht der Wirtschaft

Die Wirtschaftsvertreter betonten, dass sie viele Führungskräfte aus den Reihen der Auszubildenden oder Praktikanten generierten. Ehemalige Mitarbeiter der Behörden und Organisationen mit Sicherheitsaufgaben seien zwar fachlich gut qualifiziert, stellten aber auch ein Risiko dar, da ihnen die wirtschaftlichen Handlungskompetenzen oftmals fehlten. Insbesondere Kenntnisse auf dem Gebiet der Betriebswirtschaftslehre seien wichtig, ebenso wie die Fähigkeit zu wissenschaftlichem und abstraktem Arbeiten.

Interne Ermittlungen

Im Rahmen von internen Ermittlungen – so erfuhren wir weiter – sind die gesetzlichen Grundlagen genau zu beachten. Dies ist vor allem in Hinblick auf die spätere, gerichtliche Verwertbarkeit von Beweisen relevant.

Zunächst muss der konkrete Verdacht einer Straftat vorliegen, aus der sich eine Art „Notwehrsituation“ ergibt. Das bedeutet, dass die Aufklärung aus betrieblicher Sicht dringend erforderlich ist, da andernfalls Schäden von nicht unerheblichem Ausmaß drohen. Als zweites ist zu prüfen, ob es eine andere Alternative als die interne Ermittlung gibt, die den Betroffenen weniger in seinen Rechten tangiert. Ist auch kein milderes Mittel ersichtlich, so ist der Personenkreis, der in den Fokus der Ermittlungen fällt, unbedingt so weit wie möglich einzugrenzen. Interne Ermittlungen gegen die Gesamtbelegschaft sind nicht zulässig! Wenn die Entscheidung zu internen Ermittlungen fällt, sind die Grundrechte der Betroffenen zwingend zu beachten. Diesbezüglich ist vor allem die Dauer der Maßnahmen auf das allernötigste einzuschränken. Eine ständige Überwachung ist keinesfalls erlaubt. Da der Sicherheitsmanager für die internen Ermittlungen mitverantwortlich ist, sollte er jeden Schritt schriftlich protokollieren und sich im Zweifelsfall stets juristischen Rat einholen.

Sicherheitsmanagement vs. Tradition

Wie geht man als Sicherheitsmanager in einem Unternehmen vor, in dem der Glaube herrscht, es ginge doch auch ohne, denn bislang sei es auch gut gegangen? Jedenfalls mit viel Fingerspitzengefühl und ohne erhobenen Zeigefinger! Besser ist es, Sicherheitsfallen diskret zu analysieren und gezielt darauf aufmerksam zu machen. Hilfreich ist hierfür der Einsatz von Mitteln, die den Mitarbeitenden charmant ihre eigenen Fehler vor Augen führen. Dadurch könne auch die nötige Betroffenheit erzeugt werden, die wiederum zu einem Sicherheitsbewusstsein führt. In internationalen Unternehmen sind hierbei unbedingt interkulturelle Aspekte zu beachten.

Krisenmanagement an Auslandsstandorten

Im Krisenmanagement sollte der Schwerpunkt unbedingt auf die Prävention gelegt werden, um Krisen möglichst zu vermeiden oder ihnen bestgewappnet begegnen zu können. Wenn es dennoch zu einer Krise kommt und ausländische Standorte betroffen sind, ist unbedingt der lokalen Bearbeitung der Vorzug einzuräumen. Eine flexible Handhabung, Vertrauen in die Verantwortlichen und festgelegte Standards sind weitere wichtige Parameter. Im schlimmsten Fall müssen die Mitarbeitenden evakuiert werden, wobei man sich nicht allein auf die deutschen Behörden verlassen sollte. Besser ist es hier, ein eigenes Netzwerk aufzubauen. Auch offizielle Medienberichte sollten stets kritisch geprüft werden. Unterschätzen Sie Ihr Bauchgefühl nicht!

Systemgestütztes Sicherheitsmanagement

Ein systemgestütztes Sicherheitsmanagement kann die Verantwortlichen in der Praxis unterstützen. Um es anzulegen, sollte man in zwei Schritten vorgehen:

1. Festlegen, welchen Anforderungen das Management genügen sollte. Diesbezüglich kann der Wirtschaftsprüferreport erste Anhaltspunkte liefern.

2. Handlungsempfehlungen zu einzelnen Themen und Bedrohungen festlegen. Diesbezüglich können Best Practice Standards wie ISOs als Orientierung dienen.

Security Awareness

60% der Sicherheitsvorfälle finden als Angriffe von innen statt. Allerdings handeln die Verursacher in den seltensten Fällen absichtlich. Wie also interessiert und begeistert man die Mitarbeitenden (und das Management!) eines Unternehmens für das Thema Sicherheit? Wie schafft man es, dass sie sich möglicher Gefahren bewusst werden und diese ernst nehmen?

Jedenfalls sollten Sicherheitsmanager und -managerinnen es als ständige Schlüsselaufgabe verstehen, diese Fragen zu beantworten. Drei Punkte sind hierfür nötig:

1. Motivation

2. Information

3. Beteiligung

Überlegen Sie sich einfache Lösungen, nehmen Sie die Komplexität aus den Sicherheitsvorkehrungen soweit es möglich ist.

Betonen Sie immer wieder, wie wichtig der Faktor Mensch ist. Die Mitarbeitenden müssen sich als Human Firewall verstehen.

Nutzen Sie alle Informationskanäle, schriftlich, mündlich, online, per Video und: seien Sie witzig, das bleibt in Erinnerung!