Planen, umsetzen, anpassen

Definitiv gibt es auch mittelständische Unternehmen, die vorbildlich in puncto Sicherheit aufgestellt sind. Was aber Beratern in der täglichen Praxis häufig begegnet, ist, dass Sicherheit vielfach nicht ganzheitlich betrachtet wird. „Historisch gewachsene“ Insellösungen tun mehr schlecht als recht eine gewisse Zeit ihren Dienst, bis technische, rechtliche, soziale und andere Rahmenbedingungen sie überholen.

• Geschäftsführender Gesellschafter des Sicherheitsberaters HSC Hollung Security Consult GmbH
• Vorstandsmitglied im VfS

Eine Anpassung erfolgt selten zeitgerecht – von einer ganzheitlichen Betrachtung ganz zu schweigen. Dabei ist es kein Hexenwerk, ein ganzheitliches Sicherheitskonzept zu planen, umzusetzen und unter Berücksichtigung eines sich stetig verändernden Umfelds kontinuierlich anzupassen. Ein integrales Sicherheitskonzept umfasst die Risikofaktoren Mensch, Organisation und Technik. Nur die ganzheitliche Betrachtung der potenziellen Risiken kann die notwendige Perspektive für ein umfassendes Konzept liefern. Zu den möglichen Pro blemen gehören mangelndes Sicherheitsbewusstsein bis hin zu kriminellem Verhalten auf Seiten des „menschlichen Faktors“, willkürliche organisatorische Abläufe, mangelnde Kontrollen und andere Probleme auf Seiten der Organisation bis hin zu Schwachstellen im „physischen Betrieb“, allen voran der IT-Systeme, aber auch der Gebäudesicherheit und vielem mehr. Schwachstellen in einem dieser Bereiche können erhebliche Auswirkungen in jedem anderen Bereich haben. Vor allem sind nahezu alle Arbeitsabläufe und Geschäftsprozesse heute abhängig davon, dass die Informations- und Kommunikations-infrastruktur und die Verfügbarkeit von gespeicherten Informationen sichergestellt werden. Dazu gehört auch der sichere Austausch von Daten und Dokumenten zu Prozessen, Verträgen, Personal- und Kundendaten. Vertrauliche Daten und Informationen sind mit zentraler Bestandteil eines Unternehmens und dürfen bei einer Risikoanalyse nicht vernachlässigt werden, auch bei kleineren und mittelständischen Unternehmen nicht.

Wie gelangt man zu einem Zustand, der ein Maximum an Sicherheit und Schutz bietet und die Risiken weitestmöglich reduziert? Eine Fehlannahme wäre es zu glauben, das Erfüllen der gesetzlichen Anforderungen sei ausreichend. Ebenso wenig zielführend ist es, Sicherheitsstandards in Teilbereichen etwa IT oder Gebäudesicherheit zu erfüllen.

Zielführend ist es erfahrungsgemäß nur, ein Konzept zu entwickeln, das die individuellen Gegebenheiten des Unternehmens berücksichtigt, angepasst an die spezifischen Risiken und Schutzziele. Um diese zu definieren, empfiehlt es sich, in Workshops – in Eigenregie, oder besser mit einem versierten, erfahrenen externen Partner – eine Gefährdungsanalyse durchzuführen, Risiken und Schutzziele zu definieren und einer Bewertung zu unterziehen.

Auf dieser Basis wird ein maßgeschneidertes Sicherheitskonzept entwickelt – und anschließend implementiert – dessen Maßnahmen lückenlos ineinandergreifen. Zum Konzept gehört die turnusmäßige Revision und Anpassung. Die Komplexität aller zusammenhängenden Faktoren macht es oftmals für den oder die Entscheider nicht leicht, solche Schutzziele selbst umfassen zu entwickeln, ohne dabei mögliche Risiken vielleicht außer Acht zu lassen. Insofern ist es ratsam, gerade bei größeren Projekten diese durch Experten begleiten zu lassen.