So sicher wie Fort Knox?

Mehr als nur Asset Protection: So können Unternehmen Vermögens-werte dauerhaft sichern

Markus Weidenauer, Sicherheitsexperte und geschäftsführender Gesellschafter der SecCon Group GmbH

 

Mit wachsendem Vermögen wächst auch die Verantwortung. Risiken wie falsche unternehmerische Entscheidungen, fehlgeschlagene Finanzierungen oder Haftungszugriffe von Gläubigern können schwerwiegende Folgen für ein Unternehmen und seine Shareholder haben. Darüber hinaus lauern weitere Gefahren wie Industriespionage, Erpressung, CyberAngriffe, Diebstahl sowie Entführungen auf Dienstreisen. Sie können im Schadenfall den Betrieb in Mitleidenschaft ziehen und letztendlich auch die Vermögenswerte erheblich mindern. Häufig vernachlässigt eine klassische Asset Protection jedoch besonders diese Bereiche. Sicherheitsexperte und geschäftsführender Gesellschafter der SecCon Group GmbH Markus Weidenauer klärt im Interview mit der FCH MiCo-News auf.

Wo sehen Sie insbesondere in den Bereichen Informationssicherheit und Objektsicherheit aktuell die größten Risiken? Gibt es besonders gefährdete Bereiche oder Branchen?

In der Regel haben sich vor allem große Konzerne den gestiegenen Sicherheitsanforderungen bereits vor Jahren angepasst und Strukturen implementiert, die eine Abteilung für Konzernsicherheit mit Personenschutz und entsprechendem Krisenmanagement einschließen. In vielen mittelständischen Unternehmen sieht das jedoch ganz anders aus. Ihnen ist oftmals gar nicht bewusst, dass auch konkurrierende Firmen oder sogar Staaten Interesse an ihren Produkten, Patenten und ihrem Know-how zeigen. Zwar sind kleine und mittlere Betriebe für Themen wie Produktmanipulation oder Sabotage sensibilisiert, in den seltensten Fällen berücksichtigen Führungskräfte dabei aber den internationalen Bezug. Ohnehin hat im Mittelstand das Thema Sicherheit einen schweren Stand. Und so bleiben bestimmte Deliktfelder wie Wirtschaftsspionage, Informationsabfluss oder Entführung rein abstrakte Bedrohungsszenarien. Dabei kann im Prinzip jede Branche Opfer derartiger Angriffe werden. E-Commerce-Firmen, Versicherungen und Finanzinstitute sind genauso beliebte Ziele wie Maschinenbauer oder Handwerksbetriebe im produzierenden Sektor.

 

Was verbirgt sich hinter dem Begriff Corporate Security?

Früher mögen hohe Mauern, Stacheldraht und ein wachsamer Pförtner ausreichend gewesen sein, um ein Unternehmen zu sichern. Im Zuge der Globalisierung und in Zeiten von Web 2.0 genügt das allerdings nicht mehr. Denn sowohl die Angriffsmöglichkeiten als auch die Sicherheitsanforderungen haben sich in den letzten Jahren exponentiell vervielfältigt. Entsprechend musste sich auch die Corporate Security weiterentwickeln, um Firmen-Know-how und Mitarbeiter zu schützen. So verfolgt Unternehmenssicherheit heute einen ganzheitlichen Ansatz, in dessen Zentrum ein angepasstes Sicherheitskonzept steht. Das bedeutet neben der Analyse und Bewertung relevanter Bedrohungen und Risiken auch die Implementierung präventiver Maßnahmen sowie eines Krisenplans. Die verschaffte Klarheit über effiziente, strukturierte Handlungsweisen gewährleistet auch in Ausnahmesituationen die Fortführung der Geschäfte. Entscheidend hierbei ist jedoch, sich für Sicherheitsexperten mit entsprechenden fachlichen sowie sozialen Kompetenzen zu entscheiden.

Sie sprechen davon, Risiken zu eliminieren, worüber sich jeder Risk Manager/Geschäftsführer freut, aber ist das in der Informationssicherheit überhaupt möglich?

Aufgrund der technisch weit fortgeschrittenen Entwicklungen gibt es viele Möglichkeiten, um an sensible Daten zu kommen und den Geschäftsbetrieb auszukundschaften. Dabei kann modernste Technik und beinahe jedes System zum Angriffsziel werden. DDoS-Attacken, die den Unternehmensserver überlasten, Lauschattacken auf Geschäftsräume oder sogenanntes Social Engineering, bei dem Daten aus dem persönlichen Umfeld des Opfers abgeschöpft werden, bilden dabei längst keine Seltenheit. Damit Firmengeheimnisse nicht einfach im Papierkorb landen, benötigen Unternehmen ein ganzheitliches Informationsschutzkonzept, das neben der Klassifizierung vertraulicher Unterlagen und Daten auch Punkte zu deren Handhabung, Aufbewahrung und Entsorgung regelt. In der Praxis zeigt sich darüber hinaus immer wieder, dass vor allem der Mensch ein großer Schwachpunkt im Informationsschutz bleibt. Hier gilt es, das Personal in speziellen Awareness-Trainings zu sensibilisieren und bestimmte Verhaltensregeln, beispielsweise für den Umgang mit Passwörtern oder USB-Sticks, aufzustellen. Die konkrete Umsetzung von effektiven Schutzmaßnahmen erfordert also Erfahrung und Fingerspitzengefühl auf verschiedenen Ebenen. Auch wenn alle Maßnahmen optimal ineinandergreifen, kann der Ernstfall selbstverständlich nie ganz ausgeschlossen werden, doch das Risiko ist deutlich reduziert.

Wie gehen Sie vor, wenn Sie von einem Mittelständler mit 500 Mitarbeitern aus dem produzierenden Gewerbe beauftragt werden, eine Schwachstellenanalyse vorzunehmen?

Hierfür haben wir eine einheitliche Vorgehensweise. Neben der Größe eines Unternehmens sind vor allem der Standort sowie die Art und Tätigkeit des Betriebs entscheidend, denn daraus lassen sich bereits Risiken ableiten. Werden beispielsweise Lebensmittel verarbeitet, sind andere Schutzziele zu definieren als bei einem Hersteller für Thermotechnik. Zu Beginn eines jeden Konzeptes steht die genaue Analyse vorhandener Strukturen und Prozesse, um zunächst mögliche organisatorische Schwachstellen aufzudecken: Was ist das Kerngeschäft? Welche Unternehmensbereiche benötigen besonderen Schutz? Wie erfolgen der Umgang mit wichtigen Daten und ihre Weitergabe? Welche Zugangskriterien gibt es für sensible Unternehmensbereiche? Und so weiter. Die Analyseergebnisse dienen dann als Grundlage zur Erstellung eines individuellen Sicherheitskonzeptes.

 

Nach Ermittlung und Umsetzung des Sicherheitskonzeptes – wie sieht die laufende Betreuung aus? Empfehlen Sie Überprüfungszyklen, um das Konzept aktuell zu halten?

Hier gibt es keine allgemeingültige Regelung. Je nachdem, welche Sicherheitsmaßnahmen das Kerngeschäft erfordert, gestalten sich auch die Überprüfungszyklen ganz unterschiedlich. Ist beispielsweise Brandschutz erforderlich oder Informationssicherheit gefragt? Grundsätzlich sollte ein implementiertes Sicherheitskonzept die identifizierten Risiken eines Unternehmens minimieren. Mit Veränderungen von Unternehmensstrukturen verändern sich aber auch die Unternehmensrisiken. Daher sollte auch die Überprüfung und Anpassung entsprechender Maßnahmen erfolgen. Das heißt, Corporate Security gestaltet sich als fortlaufender Prozess, in dem immer ein Schritt vorausgedacht werden muss. Eine Orientierung an der definierten Sicherheits-Policy eines Unternehmens ist dabei obligatorisch. Um im Ernstfall schnell zu reagieren und Schaden abzuwenden, ist in jedem Fall ein präventives Notfall- und Krisenmanagement erforderlich.

 

Welche Tätigkeiten eines Unternehmens oder welche Sicherheitsvorfälle innerhalb einer Unternehmung machen externe Unterstützung unabdingbar?

In Sicherheitsfragen empfiehlt es sich, stets Experten zurate zu ziehen. Denn sie sind auf die Analyse von Gefahrenquellen, das Aufdecken von Schwachstellen und die Entwicklung von individuellen Sicherheitskonzepten sowie Notfallplänen spezialisiert. Nur in den wenigsten Fällen sind diese in kleinen und mittelständischen Unternehmen vorhanden. Auch dort, wo es Sicherheitsbeauftragte oder eine zuständige Abteilung im Betrieb gibt, empfiehlt sich der Kontakt zu externen Beratern. Denn für eine Corporate Security, die die Sicherheit aller Unternehmensfelder abdecken soll, ist Expertise in jedem Fachgebiet gefragt. Diese Leistung kann eine Person nicht allein erbringen, zumindest nicht in dem erforderlichen Umfang.

Haben Sie Tipps oder eine Hilfestellung für Verantwortliche, wie sie sich der Corporate Security und insbesondere den Bereichen Informationsschutz und Objektsicherheit nähern sollten?

Mein Tipp lautet: Verantwortliche sollten sich frühzeitig an Spezialisten wenden. Häufig werden sie erst durch negative Vorfälle auf Sicherheitsrisiken im Unternehmen aufmerksam. Am Anfang steht also meistens die Frage: Gab es schon einmal Sicherheitsvorfälle wie Industriespionage, Cyber-Angriffe, Einbrüche oder Ähnliches im Unternehmen? Oftmals treten bei einem ersten Screening auch Übergriffe zutage, die bis dahin unbemerkt geblieben sind. Falls sich in der Vergangenheit Krisen ereigneten, gilt es, Ursachenforschung zu betreiben, um die Schwachstellen im System aufzudecken. Damit einher geht eine umfangreiche Bestandsaufnahme vorhandener Strukturen, die alle Bereiche rund um das Kerngeschäft fokussiert. Dieser Prozess kann bereits durch externe Sicherheitsberater begleitet werden. Spätestens bei der Implementierung individueller Schutzmaßnahmen in allen sensiblen Bereichen empfiehlt es sich, auf geschulte Experten mit fachlicher Expertise zurückzugreifen.

 

Beitragsnummer: 1062