Sicherheitsmanagement, Krisenmanagement

Handlungsoptionen für den Mittelstand

In der Vergangenheit wurde auf Schadensereignisse mit 'Insellösungen' reagiert. Eine Einzelbetrachtung der Gefahrenquelle ist aber der falsche Ansatz für eine strategische Sicherheitsausrichtung. Eine erfolgreiche Sicherheitsstrategie beginnt mit der Sicherheitskonzeption über den Aufbau geeigneter Organisationsstrukturen bis hin zur regelmäßigen Revision.

Grundpfeiler eines angemessenen Sicherheitsniveaus im Unternehmen sind die durch die Leistungsebene zu definierenden Sicherheitsziele. Und - ganz wichtig - das Schaffen eines Verantwortungsbewusstseins der Mitarbeiter, mit Informationen sorgsam umzugehen. Maßnahmen, wie eine Clean-Desk Policy, Zutrittsregelungen und ein regelmäßiger Austausch zum Thema Informationsschutz gehören dazu. Ganzheitlich gedacht gilt es, die komplette Prozesskette der Informationsverarbeitung von der Datenentstehung über die Bearbeitung, den digitalen Transfer und die Archivierung bis zur Datenvernichtung bestmöglich zu schützen. Hierbei sollte sich das Management am Risiko-Kreislauf (Abb.1 - Risiko- und Chancenmanagement) orientieren.

Nach dem Entschluss des Managements zur Risikosteuerung erfolgt die gesetzlich vorgeschriebene Risikoüberwachung - somit erfüllt das Management seine Pflicht zur Risikosteuerung und -überwachung nach dem KonTraG, dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich. Dabei können den Unternehmen spezialisierte Beratungsfirmen helfen.

Das Corporate Security Management (CSM)
Corporate Security gilt als Synonym für die ganzheitliche Betrachtung der Unternehmensprozesse unter Sicherheitsaspekten und basiert darauf, dass Sicherheitskonzepte sich dynamisch der Gefährdungslage anpassen müssen. Der Corporate Security-Gedanke muss Bestandteil der Unternehmensphilosophie werden. In Verantwortung der Unternehmensleitung werden Kompetenz und Know-how als Sicherheitsarchitektur gebündelt, damit präventive, operative und reaktive Maßnahmen prozessorientiert umgesetzt werden.

Das Corporate Security Management unterteilt sich in Bereiche, die prozessorientiert alle sicherheitsrelevanten Erfordernisse betrachten, bewerten, umsetzen bzw. revisionieren und damit die funktions- und handlungsfähige Sicherheits- und Krisenorganisation gewährleisten.

A. Risikomanagement (Präventivkonzept)
Zur Bewältigung der Risiken muss eine funktionierende Organisation im Rahmen des Risiko- und Chancenmanagements als strategischer Unternehmensbereich, implementiert werden.

B. Sicherheitsmanagement (Operativkonzept)
Das Sicherheitsmanagement bewältigt als operativer Teil die Sicherheitsaufgaben im Alltag. Hierzu gehören eine Sicherheitsaufbau- und Sicherheitsablauforganisation sowie ein Notfallkonzept, das die Geschäftsfortführung sowie Wiederanlaufpläne umfasst. Die Pläne gewährleisten, dass im Notfall Ersatzlösungen zur Verfügung stehen und innerhalb eines angemessenen Zeitraums wieder Normalbetrieb möglich ist. Hier werden die zu verwendenden Kommunikationswege festgelegt. Das Notfallkonzept steht allen Beteiligten zur Verfügung. Die Wirksamkeit ist regelmäßig durch Notfalltests zu prüfen.

C. Krisenmanagement (Reaktivkonzept)
Hat das Risikomanagement ein Szenario nicht angemessen berücksichtigt und reicht das Sicherheitsmanagement nicht aus, kann eine Krise die Folge sein. Professionelles Krisenmanagement beginnt mit dem ganzheitlichen Erfassen der Risikosituationen, der angemessenen Reaktion auf das Ereignis durch Notfallpläne.

Sicherheit in Unternehmensprozessen
Die Bewertung potentieller Schwachstellen im Ablauf und die Abwägung möglicher Optimierungsmaßnahmen sind die Basis des Corporate Security Managements. Es werden bauliche, technische, organisatorische, personelle und finanzielle Möglichkeiten berücksichtigt. Wichtig ist das Bewusstsein, dass auch Risiken zu beachten sind, die durch Routine, Nachlässigkeit oder mögliche technische Defekte potentiell vorherrschen. Wirtschaftsprüfer oder andere Institutionen werden aufgrund rechtlicher Rahmenbedingungen, wie dem KonTraG, tätig. Dabei decken sie im fest definierten Umfang mögliche Schwachstellen auf. Gleiches gilt für unternehmensinterne Revisionstätigkeiten, die nur die definierten Richtlinien prüfen können.

Fallbeispiel: Bei der Einstellung von Mitarbeitern in sensiblen Positionen, wie der Vorstands-Assistenz, werden die üblichen Einstellungsverfahren angewendet, ohne die Abfrage sicherheitsrelevanter Unterlagen, ohne die konkrete Überprüfung des Lebenslaufes und des persönlichen und beruflichen Umfeldes. Die Personalabteilung handelt konform zu den Unternehmensregelungen. Insofern wird die Möglichkeit zur Einschleusung eines potentiellen Täters, der Information für den Mitbewerber ausspäht, nicht berücksichtigt.

Informationsschutz im Unternehmensalltag
Oft werden Diebstähle nicht als Spionageversuche erkannt. Es wird in Bürohäuser eingebrochen, um dort gezielt Festplatten auszubauen oder um lediglich ältere Notebooks ohne Netzteil zu stehlen. Handelt es sich um Beschaffungskriminalität - oder war dies ein Spionageversuch?

Schwachstelle "Mitarbeiter"
Der größte Risikofaktor für den Know-how-Abfluss ist der Mensch. Für einige Wettbewerbsunternehmen und Nachrichtendienste nehmen Aufklärungsziele im Bereich von Wirtschaft, Wissenschaft und Technik zunehmenden Raum ein. Aufgrund der internationalen Kontakte vieler Unternehmen aber auch Forschungseinrichtungen bedienen sich ausländische Geheimdienste immer mehr der 'Nicht-Profis'. Studenten und Gastwissenschaftler, die sich zu Fortbildungszwecken in Deutschland aufhalten, können wertvolles Know-how zusammentragen.
Praxistipp: Definieren Sie Schlüsselpositionen. Wer verfügt im Unternehmen über das wesentliche Know-how? Wer geht mit vertraulichen Informationen um?
Es gibt keine Garantie für Zuverlässigkeit und Ehrlichkeit von Mitarbeitern. Um Spionageangriffe abwehren zu können, muss für dieses Thema jedoch die notwendige Sensibilität geschaffen werden. Sie setzt Kenntnis von den Angriffsgefahren und Methoden voraus.

Schwachstelle "Dienstleister"
Hierzu zählen Unternehmen die ungestörten Zugang haben, wie Reinigung, Botendienst oder Wartungsfirmen. Klassische Spionage: Der Nachrichtendienst eines Nachbarlandes hatte eine Firma gegründet und preiswerte Reinigungsdienste auf dem deutschen Markt angeboten. Die Kolonnen sind morgens durch die Büros und machten sauber. In der Reinigungsfirma waren jedoch Experten beschäftigt, die den Inhalt der Papiertonnen sowie Unterlagen auf den Schreibtischen fotografierten.
Praxistipp: Lassen Sie die Büroräume mit sensiblen Informationen nur reinigen, wenn der Büroinhaber anwesend ist. Achten Sie auf einen Clean Desk und stellen Sie Behältnisse für die Vernichtung nicht mehr benötigter Daten und Papiere zur Verfügung.

Schwachstelle "Informationstechnik"

Handys, Voiceover-IP oder Videokonferenzen bieten Hackern Möglichkeiten, sich unbemerkt "einzuklinken". Angreifer installieren WLAN-Router außerhalb des Firmengebäudes; es werden Speicherkarten oder Festplatten vor Ort oder über das Netz kopiert. Seit 2009 sind vermehrt Keylogger im Einsatz, die zwischen Tastatur und Rechner gesteckt, die sensiblen Informationen abgreifen und an den Angreifer versenden. Doch der größte Feind des Schutzes ist fehlende Sensibilität: Im "kleineren Mittelstand" gelten Windows-Passwort und Virenschutz als Standards, Firewalls sind schon seltener anzutreffen und Lösungen für Data Loss Prevention muss man suchen.

Mobiles Arbeiten
Ob in der Bahn oder im Flieger - Wartezeiten werden durch mobiles Arbeiten am Notebook überbrückt. Doch in öffentlichen Räumen bringt die Nähe zum Nachbarn auch einen ungewollt freizügigen Umgang mit den Daten.

Praxistipp: Statten Sie die Monitore mit einer Folie aus, die dem Sitznachbarn den Einblick verwehrt.

Geschenk USB-Stick
Wurde die Firmenpräsentation eines Lieferanten auf einem USB-Stick überreicht? Der Stick kann mit einem Trojaner infiziert sein, der sich in das Firmennetz einnistet und via Internet unbemerkt vertrauliche Dokumente zuspielt.
Praxistipp: USB-Sticks sollten vor Gebrauch mit einem Virenschutzprogramm überprüft oder neu formatiert werden.

Messe- und Kundenpräsentationen
Mitarbeiter geben oftmals auf Messen oder in Kundengesprächen leichtfertig vertrauliche Informationen weiter. Die Ursachen sind vielfältig: Sie wissen nicht, welche Details für die Öffentlichkeit bestimmt sind oder wollen sich bei ihrem Gesprächspartner wichtig machen. Der geschickte Kunde lockt mit einem potentiellen Auftrag und verlangt weitere Detailinfos. Praxistipp: Sprechen Sie vor Messen über das Thema 'Vertraulichkeit von Informationen' und definieren Sie diese.

Besucher
Wissen Sie immer, wer bei Ihnen zu Besuch kommt?
Praxistipp: Für Besucher sollten eigene Räume eingerichtet sein. Geben Sie einen Besucherausweis aus, der sichtbar zu tragen ist. Datenarchiv, IT- oder Serverräume sollten unter Verschluss bleiben.

Kurzcheck für Unternehmer
Wenn die folgenden Fragen Relevanz besitzen, sollte sich die Unternehmensleitung intensiver mit dem Thema "Wirtschaftsspionage/ Konkurrenzausspähung" auseinandersetzen:

    • Besitzt Ihr Unternehmen Wettbewerbsvorteile gegenüber der Konkurrenz (Patente, Kostenführerschaft, Alleinstellungsmerkmale usw.)?
    • Bieten Sie Produkte oder Dienstleistungen an, die militärisch und zivil genutzt werden können?
    • Haben Sie sicher geglaubte Aufträge verloren?
    • Stellen Sie Plagiate Ihrer Produkte im Markt fest?
    • Sind Firmeninterna ungewollt bekannt geworden?
    • Haben Mitarbeiter in Schlüsselpositionen während der Probezeit gekündigt?
    • Erhalten Sie ungewöhnliche Marktanfragen zu Ihren Produkten?
    • Versuchen Außenstehende, Mitarbeiter Ihres Unternehmens abzuwerben?
    • Setzen Sie ausländische Werkstudenten oder Praktikanten ein?
    • Stellen Sie vermehrt den Diebstahl sensibler Unterlagen fest?

Zehn goldene Regeln der Prävention

    1. Werthaltiges Wissen sichern: Im Schnitt sind fünf Prozent des Know-hows für künftige Projekte werthaltig. Diese sollten besonders geschützt werden, um nicht in den Besitz der Konkurrenz zu gelangen. Klassifizieren Sie Ihre Daten (nicht mehr als drei Stufen: öffentlich, intern und vertraulich) und benennen Sie einen Verantwortlichen.

    2. Sicherheitskonzept erstellen: Unternehmen sollten das Problemfeld 'Informationsschutz' in der Firmenstrategie berücksichtigen. Planen Sie ein Sicherheitskonzept mit Fachleuten.

    3. Informationen verschlüsseln: Kryptografie spielt eine wichtige Rolle, da man weltweit kursierenden Daten nicht konsequent schützen kann. Verschlüsseln Sie Ihre sensiblen Informationen. Dies muss abhängig von der Datenhaltung auf verschiedenen Ebenen geschehen.

    4. IT-Profi beschäftigen: Der Verzicht auf einen Sicherheitsexperten kann teuer kommen. Fachleute schützen Ihr Unternehmen, z.B. mit Virenschutz- und Anti-Spyware-Programmen, um auch Keylogging abzuwehren.

    5. Personal sensibilisieren: Mitarbeiter sollten in Schulungen sensibilisiert und auf die Gefahren durch Wirtschaftsspionage aufmerksam gemacht werden.

    6. Internes Risiko beachten: Es ist nicht auszuschließen, dass eigene Mitarbeiter Daten für Dritte ausspähen. Sorgen Sie für ein gutes Betriebsklima. Geben Sie den Vorgesetzten Zeit, mit ihren Mitarbeitern zu sprechen. Schaffen Sie eine neutrale Stelle, damit Mitarbeiter sich offenbaren können.

    7. Einbruchschutz: Kontrollieren Sie mittels eines Zutrittskontrollsystems. Bewerten Sie jeden Einbruch und Diebstahl unter dem Aspekt möglicher Wirtschaftsspionage.

    8. Softwarediebstahl aufdecken: Installieren Sie Tools, die Software-Diebstahl aufdecken. Datenträger ständig unter Verschluss zu halten.

    9. Überprüfen der Dienstleister: Dienstleister, die Zutritt zum Unternehmen haben, sind potentielle Schlupflöcher, z.B. IT-Experten getarnt als Reinigungskräfte.

    10. Spione antizipieren: Wer könnte Interesse am geistigen Eigentum Ihres Unternehmens haben und warum? Definieren Sie Schlüsselpositionen und achten Sie auf einen guten Leumund bei Neueinstellungen. Kontrollieren Sie stichprobenweise Zeugnisse und Referenzen.

Was machen, wenn es passiert ist? Unter Leitung des Bundesministeriums des Innern und mit Beteiligung der Sicherheitsbehörden konstituierte sich 2008 der Ressortkreis Wirtschaftsschutz. Wesentlicher Bestandteil der Konzeption 'Wirtschaftsspionage: Prävention durch Information' ist die Unterrichtung über mögliche Gefahren. Dazu werden für die Wirtschaft Sensibilisierungsmaßnahmen durchgeführt und Informationsmaterial veröffentlicht. Bei Verdacht der Ausspähung sollten Sie sich an die Polizei wenden. In besonderen Fällen können Sie auch den Weg über einen Rechtsanwalt oder Sicherheitsberater Ihres Vertrauens wählen. Die Polizei kann meist eine Straftat erst dann verfolgen, wenn der Geschädigte einen Strafantrag stellt. Zuständig ist die örtliche Polizeistelle. Dabei ist zu berücksichtigen, dass für die Polizei das Legalitätsprinzip gilt. Ist der Staatsanwalt im Haus, muss er ermitteln - auch wenn er auf Fälle stößt, die dem Management unangenehm sein könnten. Wenn Unternehmen allgemein den Verdacht haben, dass ausländische Geheimdienste in ihrem Unternehmen aktiv sind, ist der Verfassungsschutz zuständig - anders als bei der Polizei unterliegt dieser der Geheimhaltung.

Autor: Uwe Gerstenberg ist seit 1997 Geschäftsführender Gesellschafter der Consulting Plus Sicherheitsberatung & Service GmbH sowie Stiftungsmitglied im Deutschen Forum für Kriminalprävention und seit 2009 dort Vizepräsident des Kuratoriums. Der Text ist ein Auszug aus seinem gleichnamigen Beitrag, erschienen in "Raubritter gegen den Mittelstand" - Informationsschutz mittelständischer Unternehmen, ISBN 978-3-00-029266-8.

09.02.2011

© Alle Rechte vorbehalten.
consulting plus
Beratung GmbH
Girardetstraße 1-5
45131 Essen
Tel.: +49 201 27 90 40