Da wäre zunächst der rein menschliche Faktor der Subjektivität. Sicherheit (und die soll eine AES gewähren) ist ein menschliches Grundbedürfnis, doch fällt deren Beurteilung schon allein aufgrund persönlicher Erfahrungen sehr unterschiedlich aus. Insofern sollte der Einstieg in eine Risikobeurteilung möglicher Standorte mit einem standardisierten und durchgängigen Sprachverständnis und -gebrauch innerhalb des Unternehmens beginnen, so dass sich ein messbares Risikobewusstsein entwickeln kann. Denn auch darin liegt eine Forderung der Norm: Transparenz, Dokumentation und Nachhaltigkeit, dass heißt Fortschreibung der Risikobeurteilung in einem aktiven Prozess mit dem Ziel der Optimierung.
Die menschliche Subjektivität soll nach der DIN EN 50518 versachlicht und damit objektiviert werden, indem sie eine Risikobeurteilung durch eine Risikoanalyse und eine Risikobewertung fordert, die im Risikomanagement als bekannte und bewehrte Instrumente genutzt werden. Die Analyse bewertet die Eintrittswahrscheinlichkeit eines Ereignisses (was kann passieren) während die Bewertung das mögliche Schadensausmaß (z. B. Risiko des totalen Ausfalls der AES) feststellt.
Aus der Relation der Risikoanalyse und der Risikobewertung ergibt sich die Risikobeurteilung eines Szenarios. Es wird somit gemessen, ob es sich bei einem möglichen Ereignis um ein beachtliches und damit abzustellendes oder zu vermeidendes Risiko handelt oder um ein geringfügiges, mit einer geringen Eintrittswahrscheinlichkeit und niedrigstem Schadensausmaß.
Die DIN EN 50518 legt für die Standortauswahl einer AES die Beurteilung der Risiken Feuer, Explosion, Überflutung, Vandalismus und Gefahren fest, die von der Umgebung ausgehen können. Kritikern der Norm geht diese Auswahl zur Sicherheitsoptimierung, insbesondere neu geplanter Anlagen, nicht weit genug. Betreibern bestehender AES hingegen geht die Norm in diesem Bereich, wie auch in den Regelungen zur Bauweise, Technik oder personellen Besetzung, dagegen viel zu weit. Gerade unter wirtschaftlichen Aspekten ist diese Haltung nachvollziehbar, kann doch die Risikobeurteilung unter Umständen einen erheblichen Investitionsbedarf zur Minimierung tatsächlich bislang nicht festgestellter Risiken nach sich ziehen.
Dennoch sollte sich grundsätzlich jeder Unternehmer der generellen gesetzlichen Forderung der Risikominimierung in allen Bereichen unternehmerischen Handelns bewusst sein. Im Sinne einer ganzheitlichen Betrachtung seien daher im Folgenden exemplarisch beachtliche Risikogruppen genannt:
Auf den ersten Blick scheinen hier Risikogruppen genannt, die die Standortauswahl einer AES in keiner Weise berühren, zumal die Norm diese Risiken nicht benennt. Andererseits fordert die Norm bei genauer Betrachtungsweise faktisch ein Verfahren im Sinne des Risikomanagements.
Unter Punkt 4.1 Risikobeurteilung heißt es wörtlich:
Eine Risikobeurteilung besteht aus einer Reihe von logischen Schritten, um die Prüfung aller relevanten Risiken, welche die AES betreffen, zu ermöglichen. Eine Risikobeurteilung beinhaltet eine Risikoanalyse und Risikoabschätzung und sollte ein fortlaufender Prozess sein. Alle Risikobeurteilungen müssen aufgezeichnet werden und für Dritte zur Begutachtung zur Verfügung stehen.
Demnach müssen trotz der Prüfung der in Punkt 4 Auswahl des Standortes genannten Risiken, alle relevanten Risiken betrachtet werden. Das heißt, zunächst muss eine weitergehende, ganzheitliche Risikoidentifikation stattfinden. Der Lage eines Objektes entsprechend, kann in einer dafür gebildeten Arbeitsgruppe z. B. die Frage aufkommen, ob das Risiko eines Sturms für die Standortwahl der AES erheblich ist. Aufgrund des Klimawandels wäre man in Nordrhein-Westfalen noch vor einigen Jahren zu dem Ergebnis gekommen, dass für Stürme keine Risikobeurteilung nötig ist. Durch einen fortlaufenden Prozess, der auf Veränderungen jedweder Art reagieren muss, würde das Ergebnis heute vermutlich gegenteilig ausfallen.
Ein sinnvoller Prozess der Standortauswahl für eine AES besteht gemäß Punkt 4.1 der Norm aus einer Reihe von logischen Schritten. Der Risikoidentifikation folgt nach den Regeln des Risikomanagements, die Risikobewertung und -analyse sowie die Risikosteuerung und -überwachung. Man spricht in der Gesamtheit von einem Risikomanagementkreislauf der im Folgenden detailliert dargestellt ist:
Verschiedene standardisierte Verfahren wie AS/NSZ 4360, ONR 49000 oder ISO 31000 beinhalten Verfahrenshinweise zur Anwendung des Risikomanagements. Die Abbildung zeigt einen Risikomanagementkreislauf im Sinne des Corporate Security-Gedanken der dort auch als Chancenmanagement verstanden wird.
Für die Standortauswahl sollten daher folgende Schritte zu einem natürlichen Prozess in Ihrem Unternehmen implementiert werden:
Risikoidentifikation
Bevor man Risiken bewerten kann, müssen sie im Sinne einer optimalen Risikominimierung identifiziert werden. Die Herausforderung liegt darin, dass man Risiken erkennt, ohne sie zu bewerten, ohne sich also bereits im Vorfeld über deren Reduzierung und Vermeidung Gedanken zu machen. Risiken werden sonst erfahrungsgemäß oft wegdiskutiert oder verniedlicht. Zur wertfreien Erkennung von Risiken sind methodische Gruppenprozesse wie Brain Storming, Mind Mapping oder Meta-Plan-Techniken geeignete Maßnahmen. Grundsätzlich erfolgt die Identifikation von Risiken über mehrere Betrachtungsebenen, wie das Geschäftsfeld und die Konzernstruktur, Produktionsbereiche und Projekte sowie Faktoren wie Geschäftsrisiken und Handlungsrisiken.
Betrachtet man die Ebene des Geschäftsfeldes würde man bei einer Bank die Risikogruppe "Kriminalität" eindeutig als Risiko identifizieren. Für die Aufgabe der Standortwahl einer AES erscheint Kriminalität hingegen zunächst unbeachtlich, es sei denn auf die Alarmempfangsstelle sind Kreditinstitute, Ordnungsbehörden etc. aufgeschaltet bzw. sie befindet sich in einer solchen.
Hilfreiche Fragestellungen für eine Risikoidentifikation können sein:
Was kann die AES gefährden?
Stromausfall, Feuer, technische Mängel, Software-Fehler, Explosionen, Überschwemmung, Wasserschäden, Sturm, Blitz, Überspannungen, mutwillige Beschädigungen, kriminelle Angriffe, Sabotage, Totalausfall und vieles mehr.
Wann kann die AES einer Gefährdung ausgesetzt sein?
Jahreszeitenabhängige Risiken durch klimatische Bedingungen wie z. B. extremen Schneefall oder anderen extremen Wetterlagen (Herbststürme, große Hitze).
Wer kann eine AES gefährden?
Kriminelle, Lieferanten, Mitarbeiter und Andere.
Die im ersten Schritt durchgeführte Risikoidentifikation verschafft einen objektiven Überblick, welche Risiken im zweiten Schritt durch eine Risikoanalyse und Risikoabschätzung zu beurteilen sind.
Risikoanalyse
Die Bewertung der identifizierten Risiken erfolgt grundsätzlich durch eine qualitative und/oder quantitative Gewichtung bezüglich der Eintrittswahrscheinlichkeit.
Die quantitative Bewertung kann dabei auf statistischen Daten, wie z. B. Klimaaufzeichnungen, seismographische Aufzeichnungen, Kriminalitätsstatistiken, Länder- und Lageinformationen, EDV-Systemanalysen etc. erfolgen. Sie bedient sich also der Verwendung von Zahlen, Daten und Fakten als ausschließliche Basis der Ermittlung einer Schadenseintrittswahrscheinlichkeit.
Im Gegensatz dazu beruht die qualitative Bewertung auf einer Einschätzung aus Erfahrungswerten, Vermutungen und Prognosen, die in die Wahrscheinlichkeitsstufen gering, mittel, hoch oder sehr hoch kategorisiert werden.
Idealerweise können die qualitative und die quantitative Bewertung sich ergänzen und zu einer sehr qualifizierten Analyse führen. Die Prognose klimatischer Risiken aufgrund von Klimaaufzeichnungen sei hier beispielhaft genannt. Andererseits werden messbare Zahlen, die z. B. den Imageverlust im Falle von Fehlfunktionen einer AES bemessen, nicht zur Verfügung stehen. In diesem Fall muss man sich ganz auf die qualitative Bewertung verlassen, deren Subjektivität zu minimieren ist.
Die Subjektivität kann durch die Risikoanalyse in Gruppenprozessen minimiert werden, wenn fach- und sachkundige Gremien mit einem hohen Erfahrungspotential gebildet werden. Hilfreich können auch externe Betrachtungen sein, um eine "Betriebsblindheit", die z. B. aus Routine resultieren kann, zu vermeiden.
Das Ergebnis der Risikoanalyse ist die Ermittlung der Eintrittswahrscheinlichkeit eines schädigenden Ereignisses. Diese allein ist nicht aussagefähig in Bezug auf die Frage, ob ein Standort für eine AES geeignet oder ungeeignet ist. Dazu bedarf es zusätzlich der Risikoabschätzung, die das Schadensausmaß eines schädigenden Ereignisses auf eine AES bemisst und in Relation zur Eintrittswahrscheinlichkeit die Relevanz für einen Handlungsbedarf beurteilt.
Risikoabschätzung
Die Schadenshöhe ist ein maßgeblicher Faktor für die Frage, ob ein potentiell schädigendes Ereignis beachtlich ist. Parameter sind der finanzielle Verlust bzw. Schaden gemessen in Euro oder in Stufen von unbedeutend über gering, mittel, hoch bis existenzgefährdend.
In jedem Fall ist das Ergebnis aus den Komponenten Schadenshöhe und Eintrittswahrscheinlichkeit zu visualisieren und zu dokumentieren, um als Grundlage einer Fortschreibung in einem fortlaufenden Prozess zu dienen und der Norm DIN EN 50518 bezüglich der nachvollziehbaren, prüfbaren Dokumentation Genüge zu tun.
Die Art der Ergebnisabbildung kann in Form einer sogenannten Risk-Map (Diagramm, Tabelle etc.) erfolgen, wie in der Abbildung exemplarisch dargestellt:
Auf Grundlage der so erstellten Risikobeurteilung werden die Risiken ermittelt, die anschließend durch Maßnahmen der Risikosteuerung zu minimieren sind.
Risikosteuerung
Idealerweise folgt man zur Risikosteuerung einer definierten Risikostrategie, die bereits im Vorfeld festgelegt wurde. Bewährte, beschriebene und übliche Risikostrategien sind Vermeiden, Vermindern, Überwälzen (Risikoversicherung) oder das Risiko selbst tragen.
Bezogen auf den Standort bestehender AES sind die Risiken durch geeignete Maßnahmen zu minimieren oder gänzlich zu beheben. In Frage kommen dafür bauliche Maßnahmen, Verlegung des Standortes innerhalb des Gebäudes, eine Umstrukturierung der Nutzung der angrenzenden Räume mit besonderem Gefährdungspotential wie z. B. Sanitärräume oder Sozialräume, Einbau von Sicherungs-, Überwachungs- und Zugangskontroll-Systemen, personelle Umstrukturierungen, technische und systematische Nachbesserungen.
Entsprechend der Norm DIN EN 50518 sind die maßgeblichen Aspekte eines sicheren Standortes einer neu einzurichtenden AES in allen Planungsschritten von vorneherein zu berücksichtigen. Das heißt, die oben beschriebenen Risikomanagementstrategien haben bereits Einfluss auf die Bauplanung, die Bauphase, die technische Einrichtung, die Versorgungsplanung, die Personalauswahl und die zu installierenden Sicherungssysteme.
In diesem Zusammenhang stellen die meisten Unternehmen für sich fest, dass es an einer durchgängigen und ganzheitlichen Organisation zur Abarbeitung der Themen und Managementschwerpunkte fehlt. Rückversicherer haben anhand von Datensammlungen nachgewiesen, dass Groß- und Größtschäden nie durch einzelne Fehler verursacht werden. Vielmehr treten diese durch das Zusammenwirken von mindestens zwei Ereignissen ein. Jedes für sich erscheint harmlos und war unter Umständen schon immer vorhanden, wobei ihre Verknüpfung nicht vorhergesehen wurde und die Ereignisse für sich nichts miteinander zu tun hatten. Es handelt sich nahezu immer um menschliches Versagen und im Ergebnis um ein Systemversagen.
Ein möglicher Lösungsansatz, um dieser Art des Systemversagens vorzubeugen, ist der Auf- oder Umbau einer Organisationsform zu einem Corporate Security Management System; einem System, mit dem die Verantwortlichen die Risiken Ihres Unternehmens auf drei Säulen stellen.
Der Bereich des Risikomanagements ist der Teil der Arbeit, zu dem eine Verpflichtung der Unternehmen besteht. Sicherheitsmanagement ist der Bereich, der zur Risikosteuerung gebraucht wird, und das Krisenmanagement als "Feuerwehrsystem" gehört mittlerweile zur guten Praxis. Eine so verstandenes Corporate Security Management ist Dach eines Risiko-, aber vor allem auch eines Chancenmanagements. Es garantiert die Wettbewerbsfähigkeit, sichert die Kreditvergabe nach Basel II, schützt das Unternehmen und seine Organe vor zivilrechtlichen Schadensersatzforderungen, öffentlicher Inanspruchnahme durch behördliche Verfügung, strafrechtlicher bzw. ordnungsrechtlicher Verfolgung und senkt die Prozesskosten für die ganzheitliche Betreuung.
Michael Neuman
Senior Consultant
consulting plus Sicherheitsberatung & Service GmbH
