Informationsschutz

Von Handlungsanweisungen zu Verhaltensempfehlungen

Von: Pius Segmüller

Maßnahmen gegen ungewollten Know-how-Abfluss
Raubritter in unserer Gesellschaft bedrohen mit verschiedensten Methoden die Sicherheit und immer häufiger auch unsere Unternehmen. Nicht zu unterschätzen sind unsere eigenen Mitarbeiter, die bewusst oder unbewusst die Geschäftssicherheit gefährden.

1. Grundsätzliche Fragen
Was können Sie als Unternehmer tun? Sind Ihnen als Unternehmer Werte wie Verlässlichkeit und Präzision für die Sicherheit ihrer Organisation oder ihres Unternehmens wichtig und werden sie auch von ihren Mitarbeitenden gelebt? Schützen, sichern und fördern Sie sie?

Welche Raubritterei gefährdet oder bedroht Ihr Unternehmen?

  • Birgt Ihre Firma/Organisation in sich und für ihre Umwelt Gefahren wie zum Beispiel Betriebsunfälle, Stromausfälle, Luftverschmutzung, Feuer, Finanzrisiken, IT-Abstürze und so weiter?
  • Wird Ihre Firma z.B. durch Diebstahl, SPAM-Attacken, Datenmissbrauch, Einbrüchen, Betrug, Spionage, Sabotage und Erpressung bedroht?
  • Sind die Entwicklungen und Erfindungen Ihrer Firma patentgesichert oder ist sichergestellt, dass nur wenige der Mitarbeiter das Wissen haben oder das Verfahren kennen? Sind Ihre Wissensträger vertrauenswürdig?
  • Wer geht in ihrem Unternehmen ein und aus? Kennen Sie und die Mitarbeiter zum Beispiel die Beauftragten für Marketing?
  • Räumen ihre Mitarbeiter abends und während deren Abwesenheit die Arbeitsplätze und schließen sie Dokumente, Datenträger, Pläne und Werkzeuge ein?


Wie ist Ihre aktuelle Situation?

  • Wurden ihre wichtigsten Mitarbeiter vor der Anstellung nebst den fachlichen Fähigkeiten auch bezüglich ihrer Integrität, ihrer Einstellung zur Firma, ihrem Sicherheitsverhalten und ihrem persönlichen Umfeld befragt oder getestet?
  • Lassen Sie die Arbeitsplätze in Bezug auf Datensicherheit und möglichem Diebstahl sporadisch kontrollieren?
  • Wissen Sie, wie und wo der Abfall ihrer Firma gesammelt und vernichtet wird?
  • Kennen ihre Mitarbeiter das Verhalten und den Umgang mit Unbekannten bei auswärtigen Seminaren und Kongressen? Wie arbeiten Sie und ihre Mitarbeiter am PC im Flugzeug, in der Bahn und an fremden Arbeitsplätzen?
  • Wo, wie und mit wem verbringen Sie und ihre Mitarbeiter bei Einsätzen außer Haus ihre Freizeit?

 

2. Grundsätzliche Richtlinien

  • Ein Risk Management, das Gefahren und Bedrohungen identifiziert, analysiert und bewertet, bringt Ihnen und ihrem Unternehmen die Grundlage für die Anordnung von adäquaten Sicherheitsmaßnahmen.
  • Präventive Maßnahmen sind zwar nicht sofort erfolgsversprechend, lösen aber die Sicherheitsprobleme an der Wurzel.
  • Sicherheitsmaßnahmen, die einmal ergriffen wurden, bedürfen der Prüfung (Evaluation) und müssen in Übereinstimmung mit der Unternehmensleitung immer wieder angepasst werden.
  • Die Verantwortlichen für das Risikomanagement müssen mit Ihnen und den wichtigsten Geschäftsleitungsmitgliedern sicherstellen, dass Ihr Unternehmen auch für unerwartete, aber mögliche Ereignisse vorbereitet ist und nicht übermäßigen Schaden erleidet. Dies verlangt eine Eventualplanung, die man ständig anpasst an die Unternehmens-/Organisationsentwicklung und deren Umfeld.

Diese Planung wird auch Continuity Management genannt.

  • "Sicherheit erreicht man nicht, indem man Zäune errichtet, sondern, indem man Tore öffnet". (Uhro Kekkonen)
  • Um gegenwärtige und zukünftige Gefahren/Bedrohungen erkennen zu können, bedarf es eines diskreten, effektiven und praxisbezogenen "Sicherheitsradars". Dieses darf nicht einseitig auf effektvolle Einzelmaßnahmen orientiert sein, sondern muss vernetzt und differenziert wirken und vor allem alle Geschäftsbereiche umfassen.


3. Das Leitbild "Sicherheit" als Grundlage für die Verhaltenssicherheit
Grundsätzlich sollte man möglichen Risiken bereits begegnen, bevor sie real wirken. Es gilt, in einem ersten Schritt die Gegenwart zu bewerten und in einem zweiten Schritt die Zukunft zu optimieren. Zu diesem Zweck soll zunächst ein Leitbild der "Sicherheit" erarbeitet werden, welches die langfristige strategische Zielvorstellung des Unternehmens wiedergibt und die Aktivitäten auf den angestrebten Zustand hin koordiniert. Ein solches Leitbild erfüllt dabei die folgenden Funktionen:

  • Das Leitbild soll den Mitarbeitern bei ihren Tätigkeiten als Orientierungshilfe für verantwortungsvolles und zielgerichtetes Verhalten dienen. Das Leitbild hat aber nur beratenden Charakter.
  • Überdies spiegelt das Leitbild das unternehmerische Verständnis von "Sicherheit" und verantwortungsbewusster Führung wieder. Der Begriff der "Sicherheit" wird hierbei bewusst weit gefasst. Er soll mehr sein als eine Sammlung von Verhaltensempfehlungen und deshalb hat das Leitbild eine Integrationsfunktion.
  • Das Leitbild spiegelt in erheblichem Masse die Unternehmenskultur wieder. Das Leitbild soll deshalb als Entscheidungshilfe den nachhaltigen Erfolg des Wirkens mit ethisch/moralischer Verantwortung für Mensch und Umwelt begünstigen.
  • Intern soll durch das Leitbild eine deutliche Mitarbeiter- und Prozessorientierung stattfinden und hat Koordinierungsfunktion.


4. Verhaltenskodex (Code of Conduct)
Basierend auf einem Leitbild "Sicherheit" wäre die Erarbeitung eines "Verhaltenskodex" (Code of Conduct) anzudenken. Ein Verhaltenskodex soll die Gesamtheit der Werte und Grundsätze für eine verantwortungsvolle und zielgerichtete Unternehmensführung für die Mitarbeiter enthalten. Die ideologische Grundlage eines solchen Verhaltenskodex findet sich im Leitbild. Beim Verhaltenskodex sollte der Begriff der "Sicherheit" bewusst weit gefasst werden. Ebenso wie das Leitbild sollte auch der Verhaltenskodex über den juristischen Horizont hinausreichen und mehr sein als eine Sammlung von Verhaltensempfehlungen für die Mitarbeiter. Das Ziel des Verhaltenskodex ist es, gemeinsame Werte im Unternehmen zu schaffen. Diese müssen jedoch zunächst definiert und konkretisiert werden. Wichtig in diesem Zusammenhang ist, dass diese Werte im Verhaltenskodex nicht von "oben herab" (aus der Führungsebene) angeordnet, sondern auch von "unten hinauf" (von der Belegschaft) entwickelt werden. Für diese Herangehensweise bieten sich verschiedene Methoden an. Die Ermittlung mittels Umfrage unter der Belegschaft und anschließender empirischer Auswertung der Umfrage stellt die am häufigsten verwendete Methode dar.

Jedes Unternehmen braucht auf allen Ebenen eine gemeinsame Auffassung von ehrlicher und ethisch einwandfreier Geschäftspraxis. Ein Verhaltenskodex will daher einen solchen Rahmen von Normen für einen verantwortungsvollen und qualifizierten Arbeitsstil vorgeben und soll so der Organisation selbst und ihren Mitarbeitern dienen. Als positiver Nebeneffekt eines solchen Verhaltenskodex soll es zusätzlich zu einer Verbesserung des allgemeinen Betriebsklimas und in letzter Instanz zur Herausbildung einer "Corporate Culture" im Unternehmen führen.

Das "Leitbild" beschreibt eher die Zukunftsvision, während der Verhaltenskodex als Regelwerk in erster Linie Normen und Regeln definiert. Darüber hinaus richtet sich das Leitbild eher nur nach innen, die Wirkung des Verhaltenskodex hingegen richtet sich sowohl nach innen (an die Mitarbeiter) als auch nach außen (an Geschäftspartner oder Behörden). Im Vergleich zum empfehlenden Charakter des Leitbildes sollte der Verhaltenskodex einen verpflichtenden Charakter haben. Auch wenn ein Verhaltenskodex nicht den Status einer gesetzlichen Regelung hat, sollte für ihn eine Anwendungspflicht bestehen und die Befolgung nicht freiwillig sein, da er sonst reine Signalwirkung hätte. Diese verbindliche Form der Regelung bezeichnet man auch als "Hard Law" und weist eine strengere formale Bindungswirkung auf als das sogenannte "Soft Law" des Leitbildes.


5. Ein Leitbild fördert die Verhaltenssicherheit
Um potenziellen Problematiken der Sicherheit bereits frühzeitig entgegenwirken zu können, ist die Ausbildung von speziellem Wissen und Erfahrungswerten notwendig, die zu einem verantwortungsvolleren und weitsichtigeren Verhalten der Mitarbeiter führt. Dieses Wissen fasst man unter dem Begriff der Verhaltenssicherheit zusammen. Das konkret-praktische Ziel des Leitbildes ist daher, den Rahmen für die Ausarbeitung von solchen Verhaltensmaßnahmen zu schaffen, der das Verhalten der Mitarbeiter verbessert und hinsichtlich potenziellen Gefahren eine präventive Wirkung entfaltet. Darüber hinaus ist es das Ziel des Leitbildes, innerhalb des Verbandes die Eigenverantwortung der Mitarbeiter zu wecken und damit letztlich auch eine Entlastung der Führungsebenen zu erreichen. Das Unternehmen soll sich kontinuierlich verbessern. Die Sicherheit der Prozesse des Unternehmens hängt in entscheidendem Masse vom Wissensstand sowie den Fertigkeiten, der geistigen Einstellung und dem Bewusstsein der Mitarbeiter ab. Damit sich das Wissen und die Fertigkeiten der Belegschaft ständig den aktuellen Herausforderungen sowie den relevanten Sachverhalten anpassen, ist die Entwicklung einer "Kultur des Lernens" als Basis anzustreben. Das Unternehmen soll sich gleichsam zu einer "lernenden Organisation" entwickeln, in der es das Anliegen eines jeden Einzelnen ist, sich eigenverantwortlich fortzubilden. Zunächst ist es jedoch die Aufgabe der Führungskräfte, diesen Prozess auf allen Ebenen zu initiieren mittels Weiterbildung.

Zur erstmaligen Erarbeitung des Leitbildes wäre die Einsetzung einer Arbeitsgruppe/Kommission notwendig. Da das Leitbild als "Dachpapier" den formalen Vorgaben des Personal- und Disziplinarreglements nicht widersprechen darf, ist auch diese juristische Konformität zu prüfen. Darüber hinaus sollten auch Aktualisierungen oder Anpassungen laufend in das Leitbild eingearbeitet werden können. Das Leitbild soll sowohl relevante Verbesserungsvorschläge als auch geäußerte Kritikpunkte berücksichtigen. Es sollte daher die eingesetzte Arbeitsgruppe/ Kommission auch nach der erstmaligen Erarbeitung des Leitbildes als ständige Gruppierung bestehen bleiben. Die angestrebte Form des "Leitbilds" soll dabei im Sinne eines einfachen Ansatzes positiv, praktikabel, verständlich und kurz sein.


6. Kulturprofil
Im Zusammenhang mit der Sensibilisierung der Belegschaft für die Sicherheitsthematik soll ein Kulturprofil für sämtliche Mitarbeiter erstellt werden. Kulturprofile haben das Ziel, das Verhalten von Menschen zu messen, um kritische Verhaltensweisen, die die Sicherheit der Arbeitsprozesse gefährden, zu entdecken und erfolgsorientiert ändern zu können. Das Verhalten eines Menschen trägt in großem Masse zu seiner Arbeitsleistung bei. Das Kulturprofil geht von einer Diskrepanz zwischen dem angestrebten "Soll-Zustand" und dem tatsächlichen "Ist-Zustand" des Verhaltens des Menschen aus. Durch die Analyse der Abweichungen zwischen diesen beiden Zuständen gelangt man zum Veränderungsbedarf. Die Umsetzung der jeweiligen Ergebnisse in Maßnahmen geschieht anschließend. Das Erstellen von Kulturprofilen beginnt mit dem Verteilen von Fragebögen an die Untersuchungspersonen. Diese Fragebögen enthalten Ratings, in denen man ihre persönlichen Einstellungen und Einschätzungen zu Fragen in Kategorien einordnen kann. Die Kategorien decken für gewöhnlich das gesamte Spektrum einer Antwort-Skala ab. Neben arbeitsrelevanten Eigenschaften könnten auch Aspekte wie der Grad an Weiterbildung einer Person, die Laufbahnplanung oder etwa die Frage nach deren Meinung zu einer bestimmten These in den Fragebogen einfließen.

Durch das periodische Erstellen von Kulturprofilen, beispielsweise im halbjährlichen oder im jährlichen Rhythmus, lassen sich Veränderungen der untersuchten Eigenschaften bei den Mitarbeitern feststellen. Zu diesem Zweck kann eine elektronische Datenbank eingerichtet werden, in der ausgewertete Kulturprofile zum Zwecke des späteren Vergleichs mit neueren Datensätzen (anonym) gespeichert werden. Menschen sind nach wie vor die häufigste und unberechenbarste Fehlerquelle im Sicherheitsmanagement. Kulturprofile sind ein geeignetes Instrument, die Stärken und Schwächen der Mitarbeiter zu ermitteln, den Status Quo zu visualisieren und daraus Veränderungspotenziale abzuleiten. Die Erstellung eines Kulturprofils stellt jedoch einen komplexen Vorgang dar, der nur mit dem entsprechenden Fachwissen professionell durchführbar ist. Insbesondere die Auswertung der Fragebögen mit einer auswärtigen Unterstützung für die Erstellung und Durchführung von Kulturprofilen ist angezeigt. Auch eine einfachere Möglichkeit zur Messung des Ist-Zustandes des Verhaltens lässt sich durch einfachere Umfragen ermitteln. Für die anschließende Auswertung von Umfragen ist es von Bedeutung, dass die Ergebnisse der Fragebögen in Abhängigkeit von Abteilung und Aufgabenfeld der untersuchten Personen aufgeschlüsselt werden. Die Umfrage ist ein vergleichsweise kostengünstiges und unkompliziert zu realisierendes Projekt ohne große administrative Hindernisse und eignet sich daher in besonderem Masse zur grundsätzlichen Erfassung von Informationen über das sicherheitsrelevante Verhalten der Mitarbeiter von eher kleinen Unternehmen.

7. Guidelines
Um nach der Kulturprofil-Erstellung oder nach der Umfrage den Mitarbeitern des Unternehmens in komplexen Entscheidungssituationen eine Orientierungshilfe zu bieten, wäre das Verfassen von "Guidelines" zu spezifischen Themen sinnvoll. "Guidelines" bieten den Mitarbeitern in speziellen Problemsituationen einen Leitfaden für sicheres Verhalten. Damit diese Dokumente den Mitarbeitern als Hilfestellung dienen können, müssen sie jederzeit und frei zugänglich sein. Sie sollten daher sowohl in ausgedruckter Form als auch in elektronischer Form zur Verfügung stehen. Als relevante Themenbereiche kommen sämtliche theoretischen und praktischen Sachverhalte in Frage, die im Unternehmen täglich eine Rolle spielen können. Beispielhaft sind Themen wie Brandschutz, Umgang mit Geschäftspartnern und Ordnung am Arbeitsplatz zu nennen.


8. Umsetzung der Verhaltenssicherheit
Sicherheitsportal

Basierend auf dem Kulturprofil kann auch die Einrichtung eines Sicherheitsportals für die Mitarbeiter des Unternehmens als Online-Sicherheitsportal erfolgen. Dieses Sicherheitsportal kann auch über die Guidelines verfügen mit mehr sicherheitsrelevanten Informationen. Das heißt, der Mitarbeiter sieht dieses Portal beim Aufstarten seines Computers und kann Neuerungen im Sicherheitsbereich sofort erkennen. Bei den Inhalten sollte differenziert werden zwischen der "Sicherheit im Alltagsbetrieb" und der "Sicherheit in besonderen Situationen". In ersterem Bereich ("Sicherheit im Alltagsbetrieb") wären als Themen, die auf einem Sicherheitsportal zum Beispiel freigeschaltet werden könnten:

  • Guidelines für den Datenschutz,
  • Brandschutzverordnungen,
  • Erste-Hilfe-Anleitungen,
  • Guidelines zur Prophylaxe bei Verletzungen,
  • Evakuierungspläne,
  • Geheimhaltungsvorgaben,
  • Sicherheit in besonderen Situationen: z.B. die Gewährleistung der Sicherheit bei Besprechungen, Kongressen und Auslandreisen. Um den Mitarbeitern Sicherheitsinhalte anschaulich darstellen zu können, wäre auch die Produktion von kurzen Informations-Filmen denkbar, die anschaulich über neue Sicherheitsmaßnahmen berichten (z.B. könnte der korrekte Gebrauch von Feuerlöschern oder der Umgang mit Defibrillatoren im Film gezeigt werden).

Schulungen / Workshops
Um den Mitarbeitern des Unternehmens entsprechendes Fachwissen anzueignen, stellt auch die Durchführung von Schulungen bzw. Workshops eine Möglichkeit dar. Auch Aktionstage (zum Beispiel "Security Night") sind denkbar. Dabei können die Schulungen sowohl durch interne Sicherheitsfachleute als auch durch externe Coaches oder Sicherheitsspezialisten durchgeführt werden.

Selbststudium
Eine weitere Möglichkeit wäre es, den Mitarbeitern entsprechendes Informations- und Lehrmaterial zu sicherheitsrelevanten Themen zusammenzustellen, welches sie dann zum Zwecke des Selbststudiums eigenständig durcharbeiten. Hierbei besteht jedoch die Gefahr der mangelnden Effizienz, falls der Lernerfolg nicht durch Tests oder Fragebögen überprüft wird. Daher wäre das abschließende Ausfüllen eines Fragebogens, der neben anderen Fragen auch den Lernerfolg testet, oder aber ein Online-Test zu erwägen.


9. Fazit
Sicherheit macht nur dann Sinn, wenn erst die externen und internen Raubritter eines Unternehmens identifiziert und verhältnismäßig beseitigt werden. Wo die Geschäftsleitung und/oder der Verwaltungsrat die Sicherheit seines Unternehmens nur stiefmütterlich behandelt und weder ein Regelwerk (Leitbild, Verhaltenskodex) noch präventive Maßnahmen wie Kulturprofil, Sicherheitsportal oder Schulung etc. ermöglicht, können die besten Videokameras und Zäune keine effektive Sicherheit garantieren. Die Raubritterei ist allgegenwärtig und deshalb muss sich die Unternehmensleitung selbst oder deren Sicherheitsverantwortlicher darum kümmern, nämlich so wie sich die Geschäftsleitung um den Umsatz kümmert.


Literatur


Quelle: Pius Segmüller: Maßnahmen gegen ungewollten Know-how-Abfluss. In: Stefan Bisanz, Uwe Gerstenberg: Raubritter gegen den Mittelstand. Security Explorer: Essen, 2009, S. 125 - 134.

11.02.2011

© Alle Rechte vorbehalten.
consulting plus
Beratung GmbH
Girardetstraße 1-5
45131 Essen
Tel.: +49 201 27 90 40