Foto: Riskworkers

Travel Security

Das Risiko immer im Blick

Dienstreisen von Mitarbeitern ins risikobehaftete Ausland oder längere Anwesenheit – es gibt viele Gründe, weshalb sich Personen in sicherheitskritischen Ländern aufhalten müssen. Ein innovatives Security Management behält neue Entwicklungen stets im Blick und nutzt neue Tools zur Absicherung der Mitarbeiter.

Der erfahrene Monteur schwärmt, als er voller Stolz die Bilder zeigt, die er bei seinem letzten Aufenthalt in Afrika gemacht hat: „Hier ist es schön, oder? Das Wasser so klar und die Luft so frisch und dabei diese Aussicht!“ „Stimmt, wirklich ein hübsches Fleckchen Erde. Unangenehm nur, dass sich unsere Kollegen vor Ort so unwohl fühlen und sich nicht frei bewegen können, da die Sicherheitslage sehr angespannt ist“, erwiderte der Leiter der Personalabteilung. „Haben Sie vielleicht Tipps, was wir für die Sicherheit unserer Mitarbeiter tun können?“

Personen und Werte schützen

Dieser Dialog ist nicht aus der Welt gegriffen, sondern hat tatsächlich so stattgefunden. Gerade unser deutscher Mittelstand, der aufgrund seiner Expertise und der unbenommen Qualität seiner Produkte weltweit exportiert und auch in Risikoregionen Projekte aus der Erde stampft oder betreibt, sollte sich Gedanken machen, wie er Assets, Personen, Informationen und Reputation schützen kann, ohne dass dadurch die Profitabilität des Projekts zu stark leidet.

Neben der Durchführung von Sicherheitstrainings für die Mitarbeiter geht es darum, „pfiffige“ und kostengünstige Lösungen und Tools an die Hand zu geben, die leicht integrierbar sind und somit vom Management und den betroffenen Mitarbeitern angenommen werden.

Die Maßnahmen müssen natürlich immer der jeweiligen Risikosituation angepasst werden. Ein Staudamm-Projekt in Nigeria unterliegt anderen Risiken als der Aufbau einer Produktionsstätte eines Automobilzulieferers in Latein-Amerika.

Die Sicherheitsverantwortlichen von heute wissen, was ein Travel oder Project Risk Management ist, welche Maßnahmen vor Ort und innerhalb der Organisation sinnvoll und umsetzbar sind. Es gibt jedoch ein paar neuere und innovativere Maßnahmen, die wesentliche Assets des Unternehmens im In- und Ausland schützen oder finanzielle Risiken minimieren können:

1. Social Engineering Awareness Trainings

Um sensible Informationen zu stehlen, unautorisiert Finanztransaktionen zu initiieren, Firmen mittels Ransomware oder der Veröffentlichung von Interna zu erpressen, kombinieren Angreifer moderne Spionagesoftware mit psychologischen Manipulationstechniken, dem Social Engineering (SE).

Beim SE werden gezielt jene Mitarbeiter ausfindig gemacht, die mit sensiblen Daten operieren oder relevante Geschäftsprozesse verantworten. Da diese Mitarbeiter Zugang zu Unternehmensinterna und persönlichen Informationen der Leitungsebene haben, sind sie für Kriminelle im Inund Ausland Zielpersonen.

Mittels privater Auskünfte, die sie auf sozialen Netzwerken oder anderen, öffentlich zugänglichen Quellen hinterlassen, werden Schwachstellen ermittelt, um diese bei Angriffen zu verwenden. Ob eine Anbahnung via Instagram abläuft oder an der Hotelbar in Angola, ist dabei völlig egal.

Es gibt Mechanismen, die es einem trainierten Mitarbeiter erlauben, diese Techniken zu erkennen. Zielsetzung, Agenda und Zeitansatz eines Workshops Social Engineering basieren auf der Ausnutzung grundlegender Motive mit dem Ziel der Manipulation.

Mit dieser Prämisse werden im Workshop:

  • aktuelle SE-Techniken anhand konkreter Fallbeispiele veranschaulicht,
  • psychologische Wirkungsmechanismen von SE erläutert,
  • potenzielle Risiken im Verhalten der Zielpersonen selbst vorgestellt und
  • Abwehrstrategien in konkreten Übungen und durch Rollenspiele vermittelt.

Der Vorteil dieses Trainings ist, dass es sowohl für das Tagesgeschäft als auch bei Aktivitäten im Ausland Anwendung findet.

2. Länderinformationssystem inklusive Geo-Locating und Mass-Incident-Communication

Den meisten Sicherheitsverantwortlichen sind Länderinformationssysteme, die mit dem Travel-Management gekoppelt werden können, wohl bekannt. Der Markt ist voll davon, und die Anbieter versuchen krampfhaft, Verkaufsmehrwerte über den Preis, die Tiefe oder die Aktualität der Informationen zu generieren.

Aber: Viel an Information hilft nicht viel! Die meisten Reisenden oder Expats haben weder Lust noch die Zeit, mehrseitige Abhandlungen über Länder zu lesen, wenn sie nur die Basics benötigen.

Zudem ist das bekannte PNR (Passenger Name Record)-Tracking lückenhaft und oft auch nicht aussagefähig, da Reisende nicht erfasst (Umbuchungen außerhalb des Travel-Dienstleisters) und keine Hinweise auf die Reiseaktivitäten im Land abgebildet werden.

Besser und als „state of the art“ sind Systeme, die das Beschriebene können, aber zusätzliche Features aufweisen. So ist die Übermittlung des Standorts des Reisenden, Expats oder Mitarbeiters in Notfällen und Notsituationen deutlich hilfreicher, als wenn ich „nur“ weiß, dass er einen Trip nach Istanbul inklusive Hotel XY gebucht hat.

Aber wo ist der Mitarbeiter, wenn ich erfahre, dass es zu einer Bombenexplosion vor der Blauen Moschee kam? Oder Amoklauf in München? Oder Terroranschlag in Berlin? Da ist ein PNR-Tracking völlig obsolet, wenn ich meine Inpats und lokalen Mitarbeiter kontaktieren möchte. Auch klassische Mass Communication Systeme versagen, da sie kein Geo-Locating integriert haben.

Hier ist die Zeit vorangeschritten, und einige wenige Systeme sind in der Lage, solche Informationen bereitzustellen und dabei die gültigen Datenschutzrichtlinien zu erfüllen. Nicht das Unternehmen trackt den Mitarbeiter, der Mitarbeiter gibt mit Hilfe einer App seinen Standort an ein Incident Response Center durch, das den Standort auf der Karte erkennen kann und somit die Relation zum Ereignis herstellt.

Dieses Center ist 24/7 in Betrieb und stellt sicher, dass die ausgewählten Mitarbeiter des Krisenstabs auch nachts um drei Uhr informiert werden. Das massenhafte Hinterhertelefonieren entfällt – ein Mehrwert bezogen auf die Zeitkritikalität und die Verifizierung von Angaben beim Arbeiten im Krisenstab. Und nutzbar auch für Krisen und Notfälle in Deutschland.

3. Eine neue Generation an Auslandskrankenversicherungen

Viele Unternehmen, die im Ausland aktiv sind, haben für deren Belegschaft eine Auslandskrankenversicherung abgeschlossen. Diese schützt vor allem vor finanziellen Schäden, wenn ich beispielsweise nach einem Verkehrsunfall operiert werden muss oder sich das Kind einer Expat-Familie beim Spielen verletzt.

Um das Thema Security Assistance zu integrieren, musste bislang eine Medizinische und/oder Security Assistance hinzu gekauft werden. Diese Services umfassen dann zum Beispiel eine Länderinformationsdatenbank, das PNR-Tracking, Unterstützung bei Evakuierungen, ecetera. Der Nachteil: Die Kosten für die Assistance sind um ein Mehrfaches teurer als für die eigentliche Auslandskrankenversicherung.

Dieses Jahr kommen allerdings erstmals Versicherungslösungen auf den Markt, die integrativ sind. Die Versicherung umfasst dann nicht nur das Abdecken von finanziellen Schäden, sondern auch medizinische und Security-Assistance-Dienstleistungen.

Für die Unternehmen heißt das, dass es deutliche Kostenvorteile geben wird. Die Sicherheitsverantwortlichen haben somit die Möglichkeit, auf gewohnte Dienstleistungen zurückzugreifen, dabei aber, im Zusammenwirken mit der Versicherungsabteilung oder dem Broker, Kosten für ihr Unternehmen einzusparen. Und zwar in einem beträchtlichen Umfang.

Mehrwert generieren

Der Markt hinsichtlich neuer und innovativer Dienstleistungen zur Absicherung der Auslandsaktivitäten ist also in Bewegung. Es handelt sich dabei nicht um bahnbrechende Neuerungen. Woher auch? Allerdings sind Produkte auf dem Markt, die es den Sicherheitsverantwortlichen erlauben, einen finanziellen und technologischen Mehrwert für das Unternehmen, für den Schutz und die Sicherheit von Personen und Projekten zu generieren. Und das alles bei minimalem Aufwand hinsichtlich Komplexität oder technologischer Umsetzbarkeit.

Oliver Schneider ist Geschäftsführender Gesellschafter/CEO der Riskworkers GmbH