Zulässigkeit der heimlichen GPS-Ortung

Transkript

1 77500 ISSN Einzelverkaufspreis: 12,- Januar/Februar 1/2014 Fachzeitschrift für Unternehmenssicherheit Titelthema: Zulässigkeit der heimlichen GPS-Ortung Spitzengespräch: Jens Greiner/ Lars Steineck, Schott AG Im Fokus: Industrie Titelthema: xx Spitzengespräch: xx Im Fokus: xx

2 Editorial IT-Sicherheit ist kein Allheilmittel! Nun ist es also so weit: Kühlschrank und Kaffeemaschine rüsten zum Angriff. Möglich wird das durch das stetig wachsende Internet der Dinge (internet of things, IoT): Immer mehr Alltagsgegenstände verfügen über winzige Computer in Chipform, die in einer dem Internet ähnlichen Struktur miteinander verknüpft sind. So lässt sich auf der Urlaubsrückreise mit dem Smartphone daheim die Heizung anstellen und der Champagner kühlen. Das Unternehmen Proofpoint hat vor wenigen Wochen den möglicherweise ersten nachweisbaren IoT-Cyberangriff aufgedeckt, bei dem handelsübliche Haushaltsgeräte eingesetzt wurden. Bei der globalen Angriffswelle wurden über schadhafte s von mehr als Gebrauchsgegenständen verschickt, etwa von Heimnetzwerk-Routern, Multimedia-Centern, Fernsehern und mindestens einem Kühlschrank. Sie waren manipuliert worden und dienten als Plattform zum Ausführen der Attacken. Als ein Proofpoint-Experte einen der -Absender aufrief, öffnete sich ein Fenster mit der Nachricht: Willkommen in Ihrem Kühlschrank! Das zeigt, wie anfällig die vernetzte Gesellschaft geworden ist privat wie beruflich. Die Massenausspähung durch NSA, GCHQ & Co. haben ihr Übriges dazu beigetragen, dass auch der deutsche Mittelstand ein bisschen sensibler geworden ist für das Thema Unternehmenssicherheit leider oft mit oft falscher Ausrichtung. Denn Sicherheit wird jetzt weitgehend reduziert auf IT- Sicherheit. Das macht tendenziell selbst vor Konzernen mit vorbildlich organisierten Corporate-Security-Abteilungen nicht Halt. Nur weil Angriffe zunehmend mit digitalen Instrumenten geritten werden, heißt das aber nicht, dass IT-Sicherheit ein Allheilmittel ist. ITler können die technischen Sicherheitslücken der virtuellen Welt stopfen. Und sie können bedingt die damit verbundene Awareness schaffen: Folge nie einem Link in s mit unbekanntem Absender! Zu ihrem Know-how gehört im Allgemeinen aber nicht zum Beispiel der Schutz vor Social Engineering in der analogen Welt, also dem Abschöpfen sensibler Informationen, etwa beim Feierabend-Bier an der Hotelbar während einer Geschäftsreise. Und von Reisesicherheit, Veranstaltungs- und Personenschutz haben sie, ohne gesonderte Schulung, auch keine Ahnung. Genauso wenig verstehen übrigens IT-Systemhäuser von der analogen Sicherheitsorganisation. Mögen sie auch elektronische Zutrittskontrollsysteme oder IP-Videoüberwachungskomponenten vertreiben, so wissen sie doch nur selten, an welcher Stelle im Raum und an der Gebäudeaußenwand welche Kamera zu installieren ist. Da fragt man besser einen qualifizierten Facherrichter. IT ist und bleibt das zentrale Instrument für den Funktionserhalt unserer modernen Gesellschaft. Dass der Kühlschrank unseren Rechner infiziert, mögen IT-Security-Experten mit ein bisschen Programmierung verhindern. Dass wir uns aber vielleicht erst gar keinen Kühlschrank zulegen sollten, der unsere Rechner zu infizieren vermag, das wird uns kein ITler beibringen. Marcus Heide, Chefredaktion 1/2014 3

3

4 inhalt inhalt Inhalt Zum Titel Der heimlichen GPS-Ortung für Ermittlungszwecke sind enge Grenzen gesetzt. Unter Umständen ist sie aber laut BGH erlaubt. Hier ist jeweils der Einzelfall einer genauen Betrachtung zu unterziehen. Foto: Alberto Masnovo - Fotolia.com by Lufthansa AG/Lufthansa Flight Training Spitzengespräch 8 Jens Greiner/Lars Steineck, Schott: Global steuern, lokal mitanpacken Titelthema 10 BGH-Rechtsprechung zur GPS-Ortung: Damit Opfer nicht zu Tätern werden Schwerpunkt: Zutrittskontrolle 16 RFID: Evolution, Isolation, Kombination 18 Standardisierung: Proprietärer als je zuvor 19 Kein Zutritts-GAU: Volksvertreter vor verschlossenen Türen 20 Einsatz in Sotschi: Im Deutschen Haus den Überblick behalten 22 Lösung im eigenen Haus: Selbstvertrauen beim Selbstversuch 24 Sieben pfiffige Praxislösungen: Sicherheitsplus und Organisationshilfe Ausbildung 27 Praktikum bei der Corporate Security von BASF: Ganz nah dran an der Security 31 Studium an der Frankfurt School: Robust statt introvertiert Sicherheits-Dienstleistung 33 Buchreihe: Vademekum der Sicherheitswirtschaft 34 Dienstbekleidung: Keine Blöße durch die Größe 36 Österreich: Ist der Ruf erst ruiniert Veranstaltungen 38 Sicherheitsrelevante Aspekte des Fliegens: In der Not bleibt keine Zeit für Höflichkeiten 40 CeBIT 2014 : Eine Frage der gegebenen Anlässe Im Fokus: Industrie 42 Brandmelder in der Prozessüberwachung: Frischluft kann gefährlich sein 44 IP-Videoüberwachung: Mit offenen Standards wird Analoges digital 45 Biometrische Zutrittskontrolle: Ge-Nuss ohne Reue 46 Speziallösungen: Der Mix macht s 47 Sicherheitsetiketten für PV-Module: Registriert und beklebt Innovation 52 DNA-Spray-Systeme: Der Tatort hinterlässt Spuren am Täter 54 Biometrie-Verschlusssystem: Komfort für den Tresor IT-Sicherheit 56 Rogges Rat zum Geo-Tagging auf dem Smartphone SECURITY insight 58 Vorschau und Impressum Datenschutz und -sicherheit 48 Interview zur neuen Norm: Vorsicht bei politischen, religiösen oder ethnischen Daten! 50 Archivierung: Verliere die Akten niemals aus den Augen! 6 Security insight 1/2014 7

5 Spitzengespräch Spitzengespräch Global steuern, lokal mitanpacken Jens Greiner und Lars Steineck über die Kunst der schlanken Organisation und die gedeihliche Zusammenarbeit zwischen Security und Compliance Zwei für das Risikomanagement der Schott AG: Jens Greiner (r.) ist Head of Corporate Security, Lars Steineck (l.) ist Head of Compliance Office. SECURITY insight: Herr Greiner, Herr Steineck, ich war überrascht, dass die Schott-Verantwortlichen für Security und Compliance zum gemeinsamen Interview bereit waren. In anderen Firmen ist die Reibungswärme zwischen diesen Abteilungen deutlich zu spüren. Gibt es nicht einmal ein klitzekleines Konkurrenzempfinden zwischen Ihnen beiden? Jens Greiner: Wir arbeiten gleichberechtigt neben- und miteinander auf Augenhöhe. Beide berichten wir an den Chief Compliance Officer der Schott AG, und alles rund ums Thema Geheimschutz geht direkt an den Vorstand. es gar nicht erst zu Reibereien kommen kann. Und dass auch noch die Chemie zwischen den Beteiligten stimmt, schadet dem Ganzen gewiss nicht. Wie lassen sich Ihre getrennten Zuständigkeiten kurz umreißen? Greiner: Kernaufgabe der Security ist die Abwehr externer intentionaler Gefahren, also solcher, die bewusst und mutwillig entstehen, etwa Terrorismus, Kriminalität, Sabotage oder Spionage. Die Security hat zudem die Reaktionsfähigkeit auf security incidents sowie Notfallund Krisenlagen zu gewährleisten. belasten können. Compliance behandelt darüber hinaus oft noch weitere übergeordnete Themen, Stichwort Code of Conduct. Wenn ich sticheln darf: Die Security hat mit den Gefahren zu tun, bei denen man sich die Hände schmutzig macht, die Compliance bleibt bei den gelackten Vergehen? Steineck: Das ist pointiert formuliert. Bei Schott gehört zum Beispiel auch die Arbeitssicherheit zur Compliance, wo man sich ebenfalls die Hände schmutzig macht. Aber es gibt eine natürliche Schnittstelle: wirtschaftskriminelle Handlungen. Dabei bleibt die Security ja nicht außen vor, sondern ist Teil des case managements, sprich: Sie übernimmt einen Teil der Ermittlungsarbeit. Da unsere beiden Abteilungen schlank aufgestellt sind, sind wir aufeinander angewiesen. Auch das gewährleistet die reibungslose und effiziente Zusammenarbeit. Hinzu kommt: Juristen, wie es Compliance-Leute meistens sind, richten den Blick ganz anders auf einen Sachverhalt als ein operativer Sicherheitsexperte. So erweitern die unterschiedlichen Perspektiven den Blickwinkel enorm. Schlanke Organisation ist der Manager-Euphemismus für wenig Personal : Lässt sich so wirklich Ihren großen Herausforderungen begegnen? standort gibt es zumindest einen Safety Officer, der neben der Hauptaufgabe Arbeitssicherheit auch die basics der Security umsetzen muss. Dennoch bleibt die Security aus dem headquarter in Mainz global zu steuern und, soweit die Ressourcen reichen, es muss auch lokal mitangepackt werden. Darin liegt die eigentliche Herausforderung: Sicherheitsstandards weltweit zu definieren, ihre Durchsetzung zu organisieren und mitzugestalten. Auch für die sehr unterschiedlichen Security-Bedarfe gilt es, immer wieder aufs Neue maßgeschneiderte Lösungsansätze zu finden. Und das funktioniert mit unserer schlanken Organisation sehr gut, weil wir konsequent, effizient und pragmatisch agieren. Wenn Compliance wie Security innerhalb des Unternehmens als strategische Elemente etabliert sind, müssen sie als solche auch immer wieder beim Vorstand begründet werden. Sicherlich keine ganz leichte Aufgabe. Steineck: Deswegen ist es wichtig, dass sich sowohl Compliance als auch Security in ihrer Arbeit an den Geschäftsprozessen orientieren und die Sprache des business sprechen statt Juristen- oder Ermittlerlatein. Wir beide stellen unter unseren jeweiligen Vorzeichen konzernweite Regeln auf und geben pragmatische Verhaltenstipps als good practice. Awareness für Security oder Compliance schafft man eher weniger, indem man abstrakte Verbote erlässt, sondern indem man buchstäblich Geschichten aus der Praxis erzählt, nämlich anhand konkreter anonymisierter Fälle anschaulich darstellt, wie Verhalten und Organisation zur Risikominimierung beitragen können. wird in diesem Fall die Compliance, die Security oder auch die IT-Security informieren. Es wird zunächst ein Plausibilitätscheck durchgeführt. Die Compliance prüft die rechtliche Situation, vor allem mit Blick auf den Datenschutz: Inwieweit darf beispielsweise der Computer des Verdächtigen mit vielleicht auch privaten s untersucht werden? Wer darf die Untersuchung durchführen? Und wer ist über die Untersuchung vorab zu informieren? Wenn die Compliance diese Fragen beantwortet hat, übernimmt die Security die Ermittlung. Eine ideale Zusammenarbeit: Ohne die rechtliche Zulässigkeit wären die besten Ermittlungsergebnisse vielfach gar nicht verwendbar. Dieser interdisziplinäre Ansatz verbindet die Kompetenzen beider Bereiche und steigert den Wirkungsgrad. Da wir gerade beim Thema IT sind: Empören Sie sich auch über die NSA? Greiner: Wer sich um die Unternehmenssicherheit kümmert, der kennt die Vielfalt der Akteure rund um Wirtschafts- und Konkurrenzspionage. Statt Energie für Empörung aufzuwenden, wird es besser und gesünder sein, weiter den Informationsschutz zu intensivieren. Bei Schott betreiben wir kontinuierliche Anstrengungen, um den Schutz für unsere sensitiven Informationen zu erhöhen und Risiken zum Informationsabfluss zu minimieren. Freilich gibt es hier auch eine politische Dimension, weshalb ich die Forderung des Bundesverbandes der Deutschen Industrie (BDI), ein nationales Wirtschaftsschutzkonzept auszuarbeiten und umzusetzen, deutlich begrüße. Die Fragen stellte Marcus Heide. Lars Steineck: Compliance und Security sind bei Schott zwei Facetten des Risk Managements. Dass es bei uns kein Kompetenzgerangel gibt, liegt eindeutig an der Organisation, die auf Konstruktivität ausgelegt ist. Darüber hinaus sind die Zuständigkeiten klar geregelt, sodass Steineck: Ein Schwerpunkt von Compliance liegt in der Abwehr wirtschaftskrimineller Handlungen white collar crime beziehungsweise darin, ihre Auswirkungen zu begrenzen, die im schlimmsten Fall zu extrem hohen Schäden führen und ein Unternehmen sehr langfristig Greiner: Personalstärke ist eine Grundsatzfrage. Das unterscheidet sich von Firma zu Firma und hängt von den Geschäftsfeldern und dem Internationalisierungsgrad ab. Schott hat rund 60 Produktions- und Vertriebsstandorte in über 30 Ländern. An jedem Produktions- Nennen Sie mal ein Beispiel für die Zusammenarbeit zwischen Ihren Abteilungen in der Praxis. Greiner: Nehmen wir an, ein Mitarbeiter steht im Verdacht, sensible Daten entwendet zu haben. Sein Vorgesetzter 8 Security insight 1/2014 9

6 Titelthema: Heimliche GPS-Ortung Titelthema: Heimliche GPS-Ortung Damit Opfer nicht zu Tätern werden BGH-Rechtsprechung zum heimlichen Einsatz der GPS-Ortung bei Ermittlungen im Interesse der Unternehmenssicherheit Von Paul H. Malberg Informationen gegen die Betroffenen zu richten. So war etwa das Berufs- und Privatleben eines Rechtsanwalts durchleuchtet worden, der der Insolvenzverwalter des Vermögens eines Auftraggebers war. Da die Staatsanwaltschaft gegen besagten Auftraggeber überdies wegen des Verdachts auf Abrechnungsbetrug ermittelte, sollten auch Bewegungen dieser Personen mittels GPS dokumentiert werden, um die erlangten Erkenntnisse gegebenenfalls später gegen sie zu verwenden. Darüber hinaus beinhalteten die der Detektei erteilten Aufträge den versuchten Nachweis der beischlafbezogenen Untreue von Ehegatten sowie die einer Schwiegertochter. Auch hierfür hatten die Detektive von den Zielpersonen mittels GPS-Empfänger Bewegungsprofile angefertigt. Schließlich war die Ortungstechnik für Auftraggeber eingesetzt worden, die ein nachvollziehbares wirtschaftliches Interesse an der Sachverhaltsklärung hatten. So sollten etwa die Nebentätigkeit eines Beschäftigten während der Arbeitsunfähigkeit sowie der Verstoß gegen ein Wettbewerbsverbot bewiesen werden. Des Weiteren diente ein Bewegungsprofil dazu, den Arbeitsplatz einer Schuldnerin zum Zwecke der Zwangsvollstreckung zu eruieren. Grundsätzliches Unternehmensinternen Ermittlungen ist immanent, dass personenbezogene Daten von beziehungsweise über Beschäftigte erhoben und verarbeitet werden, da Pflichtenverstöße oder Straftaten, die es aufzuklären gilt, naturgemäß Personen und ihrem Tun oder Unterlassen zuzurechnen sind. Das BDSG reglementiert in 4 Abs. 1, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig ist, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene selbst darin eingewilligt hat. Des Weiteren ist in 4 Abs. 2 BDSG normiert, dass personenbezogene Daten grundsätzlich beim Betroffenen selbst zu erheben sind, es sei denn, dass eine Rechtsvorschrift etwas anderes vorsieht oder dies zwingend voraussetzt. Bei Zuwiderhandlungen gegen diese systematischen Grundsätze sieht das BDSG beispielsweise folgende Strafen vor: Gemäß 43 Abs. 2 Nr. 1 BDSG handelt ordnungswidrig und wird mit einem Foto: Alexey Shkitenkov - Fotolia.com tisoware prüft, wer wann und wo hier rein darf! Die Suche nach Informationen oder Informationsträgern ist der Kern interner Ermittlungen. Neben dem Ausloten der erfolgversprechenden Methoden erfordert die Best Practice jedoch auch fundierte Kenntnisse über die tatsächlichen rechtlichen Voraussetzungen für die Zulässigkeit möglicher Maßnahmen. Hierzu hat die aktuelle Rechtsprechung des Bundesgerichtshofs (BHG, Urteil vom , Az. 1 StR 32/13) zur Frage der Strafbarkeit der heimlichen personenbezogenen Ortung Klarheit gebracht. Entgegen oberflächlich betrachteter Pressemeldungen hat sie nämlich zur Folge, dass bei Beachtung der vom BGH aufgestellten Grundsätze Unternehmen auch künftig im Einzelfall auf diese moderne Technik der Kriminalitätsbekämpfung zurückgreifen können. Die Kraft des geschriebenen Wortes ist beeindruckend. Als am die BGH-Pressemitteilung Nr. 96/13 mit dem Titel Überwachung von Personen mittels an Fahrzeugen angebrachter GPS-Empfänger ist grundsätzlich strafbar veröffentlicht wurde, ereilten mich kurz darauf die Anrufe zweier Unternehmensverantwortlicher, die sich darüber echauffierten, dass offensichtlich deutsche Datenschutzbestimmungen sukzessive verdachtsbezogene interne Ermittlungen verhinderten. Es sei eine Neukriminalisierung im Gange, die Opfer von Kriminalität zu Tätern mache und die letztlich im Widerspruch zur Aufgaben- und Pflichtenerfüllung der mit der Unternehmenssicherheit betrauten Personen stehe. Ist dem wirklich so? Worum es geht Dem ersten BGH-Strafsenat wurde die Entscheidung des Landgerichts Mannheim (Urteil vom , Az. 4 KLs 408 Js 27973/08) zur revisionsrechtlichen Überprüfung vorgelegt. Das Landgericht hatte den Inhaber einer Detektei sowie seine Angestellten gemäß 44 Abs. 1, 43 Abs. 2 Nr. 1 Bundesdatenschutzgesetz (BDSG) zu Freiheitsstrafen verurteilt, deren Vollstreckung jeweils zur Bewährung ausgesetzt wurde. Grund war das mehrfache und unbefugte Erheben personenbezogener Daten gegen Entgelt, da die Detektei für ihre Auftraggeber mittels an Pkws angebrachter GPS-Empfänger heimlich Bewegungsprofile von Personen ( Zielpersonen ) erstellt hatte. Die Aufträge hatten unter anderem die gezielte Suche nach kompromittierendem Material zum Inhalt, um gewonnene Fragen Sie tisoware nach zweifelsfreier Zutrittssicherung: w w w. t i s o w a r e. c o m 10 Security insight 1/

7 Titelthema: Heimliche GPS-Ortung Titelthema: Heimliche GPS-Ortung Ordnungsgeld bis zu Euro belegt, wer vorsätzlich oder fahrlässig unbefugt personenbezogene Daten erhebt oder verarbeitet, die nicht allgemein zugänglich sind. Wer diese Voraussetzungen vorsätzlich verwirklicht und diese Handlung sogar gegen Entgelt oder in der Absicht begeht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, verwirklicht eine Straftat gemäß 44 Abs. 1 BDSG und wird mit einer Freiheitsstrafe von bis zu zwei Jahren oder mit Geldstrafe belegt. Es wird deutlich, dass die personenbezogene Datenerhebung nach dem BDSG grundsätzlich verboten ist, es sei denn, sie ist ausnahmsweise erlaubt (Verbot mit Erlaubnisvorbehalt). Übertragen auf eine Vielzahl von (internen) Sachverhaltsklärungen mit ihren unterschiedlichen Ausgestaltungen heißt das, dass sich Ermittler je nach Fallgestaltung, Art und Umfang stets der Gefahr der Verwirklichung einer Ordnungswidrigkeit oder Straftat ausgesetzt sehen. Anders verhält es sich nur dann, wenn Tatbestände Eine Neukriminalisierung durch deutsche Datenschutzbestimmungen will Justitia offensichtlich nicht. SI-Autor Paul H. Malberg, ehemals Unternehmensjurist, betreut nationale und internationale Unternehmen als geschäftsführender Gesellschafter der Proof-Management GmbH ( unter anderem bei investigativen Operationen infolge von Verdachtsfällen und sichert mit einem Team von Experten der unterschiedlichsten Fachrichtungen rund um Wirtschaftskriminalität Beweise, analysiert diese und nimmt eine entsprechende Risikobewertung vor. ausnahmsweise die Erhebung respektive Verarbeitung von Daten rechtfertigen. Hierdurch relativiert sich die Bedeutung der in der Pressemeldung formulierten (angeblich) grundsätzlichen Strafbarkeit der heimlichen Ortung. Wann ist die heimliche Ortung unbefugt? Während das Landgericht alle anfänglich geschilderten Fälle im Sinne des BDSG für strafwürdig und die Datenerhebungen beziehungsweise -verarbeitungen durch die Detektive als unbefugt im Sinne der 44 Abs. 1, 43 Abs. 2 Nr. 1 BDSG erachtete, forderte der BGH eine weitaus differenziertere Betrachtung der geschilderten Sachverhalte. Zwar waren sich sowohl Landgericht als auch BGH im Wesentlichen darin einig, dass die Detektive für ihre Auftraggeber vorsätzlich personenbezogene Daten erhoben und wegen der Bezahlung durch die Auftraggeber auch entgeltlich gehandelt hatten. Hinsichtlich der Frage, ob die Detektive unbefugt gehandelt hatten, gelangten die Gerichte allerdings zu teilweise divergierenden Bewertungen. Der im Ergebnis maßgebliche BGH kam zu dem Schluss, dass als so genannte Erlaubnis- beziehungsweise Rechtfertigungstatbestände sowohl 28 Abs. 1 S. 1 Nr. 2 BDSG (Datenerhebung und -speicherung für eigene Geschäftszwecke) als auch 29 Abs. 1 S. 1 Nr. 1 BDSG (Geschäftsmäßige Datenerhebung und -speicherung zum Zwecke der Übermittlung) in Betracht zu ziehen seien. Welcher der beiden Tatbestände im zu Grunde liegenden Fall letztlich einschlägig war, ließ der BGH offen, da beide inländischen Vorschriften ohnehin im Sinne der übergeordneten unionsrechtlichen Vorgaben aus Art. 7 lit. f der am 13. Dezember 1995 in Kraft getretenen europäischen Richtlinie 95/46/EG auszulegen seien. Danach müsse ein intensiver Abwägungsprozess sowohl hinsichtlich der Interessen des Empfängers von Daten (zum Beispiel die eines Auftraggebers) als auch der Interessen des Betroffenen erfolgen. Keine Übertragbarkeit strafprozessualer Vorschriften Der BGH entschied im Gegensatz zur Vorinstanz, dass die Rechte eines Auftraggebers nicht automatisch deswegen weniger ins Gewicht fielen, weil im konkreten Einzelfall kein Verdacht auf eine Straftat von erheblicher Bedeutung im Sinne von 100h Abs.1 S. 2 StPO bestehe und daher sogar staatlichen Ermittlungsbehörden in einer vergleichbaren Situation der heimliche Einsatz von GPS nicht gestattet gewesen wäre. Er begründete dies zum einen damit, dass die europäische Datenschutzrichtlinie nicht über Gebühr und entsprechend europarechtswidrig eingeengt werden dürfe. Zum anderen würde anderenfalls ein Verhalten, also die Datenerhebung, an einer deutschen strafprozessualen Vorschrift gemessen werden, die originär ins Leben gerufen worden sei, um den Bürger vor willkürlichem staatlichem Handeln zu schützen. Infolgedessen dürften private und unternehmensinterne Ermittlungen nicht an den Gesetzesvorbehalten der Strafprozessordnung (StPO), denen zwangsläufig Ermittlungsbehörden unterliegen, gemessen werden. Berechtigtes Interesse am Bewegungsprofil Im Weiteren konstatierten die Richter am BGH als Voraussetzung für die rechtmäßige heimliche Ortung ein berechtigtes Interesse speziell am Bewegungsprofil des Betroffenen. Demzufolge müsse das Bewegungsprofil der Zielperson zur Durchsetzung des Beweisführungsinteresses des Detektivs oder seines Auftraggebers erforderlich sein beziehungsweise benötigt werden. Da dem Einsatz moderner Technik zur Datenerhebung und -verarbeitung nahezu keine faktischen Grenzen gesetzt sind, machten die Richter deutlich, dass die zulässige heimliche Ortung von einer Art ausweglosen oder notwehrähnlichen Situation für den Auftraggeber abhinge. Sicherheit & Service Grundstücke und Gebäude. Unser Auftrag! Unsere Werte! Der Sachverhalt dürfe nicht durch einfachere und weniger belastende Maßnahmen aufzuklären sein. Der BGH bezog sich vergleichsweise unter anderem auf die für Unternehmen relevante Rechtsprechung des Bundesarbeitsgerichts zum legalen Einsatz der verdeckten Videoüberwachung, die in engen Grenzen durchaus zulässig ist (vgl. u.a. BAG, Urteil vom , Az. 2 AZR 153/11). Als Prozessdienstleister verknüpfen wir Sicherheits- und Servicedienst ganz nach Ihren Anforderungen. Wir gehen für Sie den einen Schritt weiter. WISAG Sicherheit & Service Holding GmbH & Co. KG Kennedyallee 76 D Frankfurt Tel Form der Datenerhebung/ -verarbeitung Im Weiteren sei für den Abwägungsprozess die Art und Weise der Realisierung der Überwachung von Bedeutung. So sei etwa erheblich, ob ein GPS-Empfänger an einem für den Auftraggeber eigenen oder an einem fremden Fahrzeug befestigt werde. Maßgeblich sei zudem, ob man sich zum Befestigen des GPS-Empfängers illegal Zutritt zum Fahrzeug verschaffen müsse oder inwieweit beziehungsweise in welchem Umfang Bewegungen fremder oder unbeteiligter Personen dokumentiert würden. Schließlich setzte der erlaubte heimliche Einsatz der Ortungstechnik nach Ansicht der BGH-Richter einen Rechtfertigungsvorsatz voraus, also das Bewusstsein, demgemäß die vorbenannten rechtfertigenden Gründe bekannt sein und sich im Motiv des Handelns niederschlagen müssen. Bewertung und Handlungsempfehlungen Wie bei der bereits vom BGH erwähnten verdeckten Videoüberwachung in Unternehmen ist auch der heimliche Einsatz der GPS-Ortungstechnik an sehr enge Voraussetzungen geknüpft und nur in Ausnahmefällen erlaubt, aber nicht immer unzulässig. Der BGH machte 12 Security insight WISAG 1/2014 heißt Wertschätzung! WISAG heißt Einsatz! WISAG heißt bunt! 13

8 Titelthema: Heimliche GPS-Ortung Foto: Jens Bredehorn/pixelio.de Weiterhin der klassische Ermittlungsrenner: Nachweis der beischlafbezogenen Untreue von Ehegatten deutlich, dass zumindest in Fällen des Verdachts strafrechtlich relevanten Verhaltens der Zielperson, eventuell sogar mit einem lediglich berechtigten finanziellen Hintergrund, eine Strafbarkeit respektive Unzulässigkeit nicht von vornherein anzunehmen ist, und verwies diese Sachverhalte zur ausführlicheren Beurteilung zurück ans Landgericht. Damit erkannte der BGH einerseits die modernen technischen Möglichkeiten sowie das legitime Bedürfnis nach Beweisermittlung an. Andererseits schob er der willkürlichen, unüberlegten und grenzenlosen Überwachung durch das Aufstellen von Richtlinien zu Recht einen Riegel vor. Übertragen auf die Praxis bedeutet dies, dass auch weiterhin die heimliche Ortung von Zielpersonen beispielsweise Arbeitnehmern in Ausnahmefällen überlegenswert ist. Eine tendenzielle Zulässigkeit kann etwa dann angenommen werden, wenn eine juristische Prüfung des Einzelfalls samt schriftlicher Dokumentation über einen tatsächlich durchgeführten Abwägungsprozess der widerstreitenden Interessen stattgefunden hat 14 ein etwaiges Mitbestimmungsrecht des Betriebsrats gemäß 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) beachtet wurde der Einsatz im Einzel- und im konkreten Verdachtsfall der Aufdeckung einer Straftat eines Beschäftigten dient (vgl. 32 Abs. 1 S. 2 BDSG) das Anbringen des GPS-Empfängers an einem Dienstfahrzeug des Unternehmens oder an einem privaten Fahrzeug des Beschäftigten erfolgt, das jedoch überwiegend zur Erfüllung dienstlicher Zwecke genutzt wird die Ortung des Fahrzeugs eine beobachtungsunterstützende Maßnahme der Zielperson darstellt und zwar vorzugsweise dann, wenn eine originäre Observation des Beschäftigten fehlgeschlagen oder offenkundig von vornherein unmöglich ist und mildere Mittel zur Sachverhaltsklärung nicht in Betracht kommen das konkrete Bewegungsprofil der Zielperson zur Aufklärung der Straftat notwendig erscheint oder lediglich punktuelle Ortungen zielführend sind Datenerhebungen nur zu Zeiten erfolgen, in denen die Aufklärung der Straftat möglich und wahrscheinlich ist, zumeist also während der regulären Arbeitszeit. Hingegen ist die tendenzielle Unzulässigkeit der heimlichen Ortung eines Beschäftigten naheliegend, wenn kein für einen objektiven Dritten nachvollziehbarer und idealerweise schriftlich fixierter Abwägungsprozess stattgefunden hat die Ortung nicht der Aufdeckung einer Straftat dient, sondern auf niedere Beweggründe zurückzuführen ist das Bewegungsprofil zur Beweisführung völlig irrelevant ist in Betracht kommende mildere Maßnahmen unversucht geblieben sind im erheblichen Umfang Bewegungsdaten von unbeteiligten Dritten erfasst werden. Bei Berücksichtigung des Vorstehenden ist somit der legale Einsatz eines heimlich genutzten GPS-Empfängers in weit mehr Situationen vorstellbar als in den vom BGH zurückgewiesenen. Zu denken ist etwa an den Fall, in dem das tatsächliche Arbeitsverhalten sowie eingereichte Abrechnungen eines Außendienstmitarbeiters bei Verdacht auf Spesen- und Abrechnungs- beziehungsweise Arbeitszeitbetrug verifiziert werden sollen (vgl. hierzu auch Landesarbeitsgericht Baden- Württemberg, Urteil vom , Az. 4 Ca 260/99). Auch zum Aufdecken eines kollusiven Zusammenwirkens zwischen einem Mitarbeiter und einem Wettbewerber auf Grund der illegalen Weitergabe von Betriebs- und Geschäftsgeheimnissen oder zum Nachweis korrumpierter Geschäftsbeziehungen kann das Erstellen eines Bewegungsprofils von großem Nutzen sein. Schließlich ist die Ortung beobachtungsunterstützend auch dann denkbar, wenn Mitarbeiter nach einem Diebstahl im Betrieb das Diebesgut mit Hilfe eines Kraftfahrzeugs in ein Diebesnest verbringen. Diese Aufzählung erhebt ausdrücklich keinen Anspruch auf Vollständigkeit. Die Realität schafft jeden Tag neue Fallkonstellationen. Security insight

9 Schwerpunkt: Zutrittskontrolle Schwerpunkt Evolution, Isolation, Kombination Wie sich RFID-Systeme für die Zutrittskontrolle so absichern lassen, dass Unbefugte die Daten nicht ausspionieren können Von Dr. Reinhard Kalla Interessiert es die verschiedenen Geheimdienste, wer Zutritt zum Forschungslabor des mittelständischen Pharmaunternehmens hat? Will eine Spionageorganisation wissen, wie die Berechtigungen für den Zutritt zur Produktionshalle des Automobilzulieferers organisiert sind? Und können wir Gut und Böse bei diesen Organisationen eindeutig unterscheiden? Welche Daten greifen sie ab? Wir wissen es nicht. Wir wissen nur, dass sie es möglicherweise können in dieser vernetzten Welt. Und wenn sie es können, warum sollten sie es dann nicht tun? Die Daten der Zutrittsorganisation eines Unternehmens lassen jede Menge Rückschlüsse zu, etwa auf Zuständigkeiten oder auf die Attraktivität des Know-hows, auf Preiskalkulationen, Kundendaten und einzelne Verantwortliche, denen man per Social Engineering gegebenenfalls weitere wichtige Informationen entlocken kann. Deshalb muss heute jede Kommunikationstechnologie doppelt und dreifach abgesichert werden. Dazu gehören auch RFID-Systeme, die beispielsweise in der Zutritts- und Zugriffskontrolle oder bei Bezahlsystemen zum Einsatz kommen. Grundlage für die Sicherheit ist die Verschlüsselung, die gewährleistet, dass abgefangene Daten nicht gelesen werden können und nur diejenigen Personen oder Geräte, die den richtigen Schlüssel kennen, mit den Daten und Informationen etwas anfangen können. Dabei unterscheidet man zwischen Schlüsseln, die beide Partner oder Geräte in einer Kommunikation kennen, und solchen, die unterschiedlich sind je nachdem, ob sie zum Ver- oder Entschlüsseln verwendet werden. Im ersten Fall spricht man von symmetrischer, im zweiten von asymmetrischer Verschlüsselung. Beide Verfahren basieren auf höherer Mathematik. Meist werden für die Erzeugung von Schlüsseln Faktoren großer Primzahlen verwendet. Selbst bei kleinen Zahlen erkennt man Für Legic ist die Verschlüsselung ein zentraler Faktor der RFID-Produkte. das Prinzip: Es ist einfacher, 11 und 13 zu multiplizieren, als spontan zu erkennen, welche Faktoren in 143 enthalten sind. Die enorme Schwierigkeit, ein riesiges Produkt zweier großer Primzahlen in seine Faktoren zu zerlegen, ist die Basis jeder Verschlüsselung. Evolution Gleichzeitig müssen solche Operationen schnell gehen, denn wer will schon lange warten, bis eine Tür sich öffnet oder ein Bezahlvorgang abgeschlossen ist? Mit der stetig wachsenden Fähigkeit, Operationen schnell durchzuführen, steigen die Möglichkeiten der effizienten und sicheren Verschlüsselung. Dies bezeichnen wir als Evolution. Gleichzeitig steigen aber auch die Möglichkeiten, durch einen so genannten Brute-Force-Angriff, durch Ausprobieren sämtlicher Kombinationsmöglichkeiten, ein bislang als sicher geltendes System zu hacken. Dies wiederum erzwingt die stetige Weiterentwicklung der Verschlüsselungstechnologie. Daher der Begriff Evolution. Eines der besten Verschlüsselungsverfahren heute ist AES, ein auf bis zu 256 Bit großen Schlüsseln basierendes System, mit denen eine Nachricht verschlüsselt wird. Seit mehr als zehn Jahren arbeiten Forscher und Hacker daran, Schwächen dieses Systems zu finden. Bis heute ist kein praktischer Fall eines erfolgreichen Angriffs auf AES256 bekannt. Der Anbieter Legic setzt AES in seinen advant - Transponder- und Leserchips der Serie 4000 ein. Auch Vorfahren des AES-Algorithmus gelten heute als sehr sicher. Dazu zählt der DES- und der 3DES-Algorithmus, die vielfach in Bezahlsystemen verwendet Foto: Alexandr Mitiuc - Fotolia SI-Autor Dr. Reinhard Kalla ist Vice President Product Marketing & New Business der Legic Identsystems AG. werden: Ihre PIN wird am Geldautomaten mit dem DES-Algorithmus verschlüsselt und zu einem Host geschickt, wo er entschlüsselt und verifiziert wird. Legic bietet die Nutzung des 3DES, einer Weiterentwicklung des DES-Algorithmus ebenfalls in seinen advant -Transponder- und Leserchips der Serie 4000 an. Isolation Jedes Sicherheitssystem besteht aus vielen Komponenten. Jede Komponente kann auf verschiedenen Technologien basieren, auf unterschiedlichen Implementierungen von Sicherheitskonzepten wie der Verschlüsselung. Unterschiedliche Konzepte erhöhen einerseits die Sicherheit, weil nicht in einem Schritt ein komplettes System gehackt werden kann, andererseits besteht die Möglichkeit, dass einzelne Komponenten eine solch zentrale Bedeutung haben, dass ein Angriff Auswirkungen auf das Gesamtsystem hat. Die Kette ist eben nur so stark wie ihr schwächstes Glied. Eine solche Komponente muss bei Erkennen als schwächstes Glied isoliert werden können und durch etwas Sichereres ersetzt werden. Legic bietet als einziger Anbieter mit seinem Master- Token-Sicherheitskonzept die Möglichkeit, so genannte Master-Token-Zonen zu schaffen. Hier können bei Auftreten einer Schwäche innerhalb einer Zone alle Daten und Anwendungen isoliert und ausgetauscht werden, ohne das Gesamtsystem zu gefährden. Kombination Jeder von uns kennt das Vier-Augen- Prinzip : Man lässt einen Kollegen einen Text lesen, den man verfasst hat; man lässt eine Berechnung nochmals prüfen, bevor man sie herausgibt; man lässt wichtige Dokumente von einem Kollegen mit unterschreiben. Jeder achtet auf etwas anderes: Der eine primär auf den Inhalt, der andere auf die Form, der dritte auf die Funktion, der vierte aufs Design. Die Kombination von allem ist besser als seine Einzelteile. Dieses Prinzip lässt sich auch auf Sicherheitssysteme übertragen. Eine Berechtigung, zum Beispiel um Geld am Bankautomaten abzuheben, eine Tür zu öffnen oder auf seine Dateien zuzugreifen, erfordert, dass der Benutzer das Recht nachweist, diese Handlung auch durchführen zu dürfen. Dies geschieht entweder mit etwas, über das er physisch verfügt Badge, Kreditkarte, Schlüssel, durch etwas, von dem er weiß, also Passwort oder PIN, oder mit etwas, das ihn als Menschen eindeutig identifizierbar (biometrisch unverwechselbar) macht: Stimme, Fingerabdruck oder Ähnliches. Die größtmögliche Sicherheit lässt sich erzielen, indem man verschiedene dieser Sicherheitsmechanismen kombiniert. Also zum Beispiel Karte plus PIN, wie wir es von unserer Kreditkarte her kennen. Legic bietet in seinem Partnernetzwerk die Möglichkeit der Kombination von Kartentechnologien mit biometrischen Daten oder den Einsatz von PIN-Pads, die die vorherige Nutzung eines Badges erfordern. Legic ist einer der führenden Anbieter für Sicherheitstechnologien im Umfeld der Personenidentifikation. Mit dem Konzept von Evolution, Isolation und Kombination bietet das Partnernetzwerk auf Basis von Legic-Produkten und Services eine große Auswahl an sicheren Systemen. Und die Technologien entwickeln sich ständig weiter. Wer auf hohe Sicherheit setzt, findet in diesem Netzwerk die richtigen Partner Security insight 1/

10 Schwerpunkt: Zutrittskontrolle Schwerpunkt: Zutrittskontrolle Proprietärer als je zuvor Volksvertreter Wie lassen sich technische Standards für die Zutrittskontrolle durchsetzen? Von Frederik Hamburg Früher war alles besser. Das gilt auch auf dem Markt für Zutrittskontrolle. Wahrscheinlich war es besser, weil ich früher Teil davon war und die Informationen, säuberlich von meinem Arbeitgeber gefiltert, in einer gewissen Ordnung bekam. In dieser Zeit gab es zum Beispiel organisch gewachsene Standards, die durch eine gewisse Marktmacht einfach entstanden sind. Damit aber alles schön proprietär blieb, hat jeder einfach einige Bytes gedreht und schon war zwar nichts mehr Plug & Play, aber im Notfall wusste jeder, wie man die Anlagen doch wieder verschmelzen konnte. Dann hat ein Anbieter es zu seinem Geschäftsmodell gemacht, Anwendern von Zutrittskontrolle die Möglichkeit zu bieten, die eingesetzte Software zu behalten, aber den Hersteller der Hardware zu wechseln und umgekehrt. Im Zuge der Übernahme durch einen Wettbewerber verschwand das Konzept wieder. Mittlerweile sind die organischen Standards veraltet und bieten nicht mehr die Funktionalität, die die IT heute fordert. Dabei gibt es durchaus Anbieter, die bei der Entwicklung ihrer Produkte auf offene IT-Standards setzen. Deren Manipulation kann wirksam mit Standard- Verschlüsselungsmethoden verhindert werden. Ein zusätzlicher Vorteil ist die Tatsache, dass einige Komponenten, die früher nur aus dedicated hardware also Hardware, die nur diesem einen Zweck diente bestanden, jetzt durch allgemeine Komponenten ersetzt werden kann. So kostet ein NAS-Server als Ersatz für einen Controller meist weniger als die Hälfte und kann Linux genau so wie der Controller. Interessant ist, dass es geht. Interessanter ist, dass manche Firmen sich nur deswegen für diese Produkte entschieden haben. Und noch viel interessanter ist, dass ich noch kein Projekt gesehen habe, bei dem das auch mal ausprobiert wurde. Schade. Obwohl viele Controller auf dem Markt mittlerweile auf Linux oder Windows-CE basieren, sind sie noch genau so strukturiert wie vor 20 Jahren. Die Vertriebsmodelle der Anbieter mussten deswegen auch nicht verändert werden. Daher suchen die großen Firmen, die vor 15 bis 20 Jahren ein System mit Second- Source -Einkaufsmöglichkeiten gesucht und gefunden hatten, verzweifelt nach würdigen Nachfolgern. Die Branche ist eigentlich proprietärer als je zuvor, während man doch das Gefühl hatte, alles wird immer offener. Standards müssen vom Markt aus durchgesetzt werden. Die Automobilindustrie hat diese Möglichkeit verpasst. Einer hat schon investiert, der Zweite gerade den Auftrag erteilt und der Dritte steht kurz davor. Die Hersteller dürfen zwar keine Marktabsprachen treffen, aber dies betrifft nicht die Protokollsprache ihrer Hardware. Schade. Es ist also schwierig, eine Plattform zu finden, auf der Endanwender mit Hilfe kundiger Berater die Spielregeln dieses Marktes neu definieren können. Aus diesem Grund wurde gerade eine Interessengemeinschaft von Consultants und Anwendern in der Rechtsform einer Genossenschaft (SOAA-Standard für SI-Autor Frederik Hamburg ist Geschäftsführer der Zugang GmbH. Industrieapplikationen eg) gegründet, in der diese Standardisierungsaktivitäten gebündelt und Spielregeln dieses Marktes neu definiert werden. Die ersten Erfolge sind sichtbar, es gibt SOAAcompatible - und Standard-Payment - Produkte. Große Endkunden nehmen zunehmend diese Standards in ihre Ausschreibungen auf. Der erste Schritt ist getan. Das Konzept ist erfolgreich und technisch realisiert. Verschiedene elektronische Offline-Türbeschläge von unterschiedlichen Herstellern können erstmals in einer Applikation parallel betrieben werden, und genauso können verschiedene Kantinen mit nur einer Börse auf dem Ausweis zum bargeldlosen Bezahlen benutzt werden. Das Ziel, Marktdruck durch gebündelte Aktivitäten von Endanwendern und Consultants auf manchen Hersteller auszuüben, zeigt Wirkung. Vielleicht wird es dann auch möglich sein, mit Hilfe der Anwender Standardprotokolle in der Zeitund Zutrittsbranche zu etablieren. vor verschlossenen Türen Kein Zutritts-GAU, sondern ein bestandener Funktionstest im Brandenburger Landtag Das Land Brandenburg hat sich ein neues Landtagsgebäude geleistet. Zur Eröffnung Anfang Januar gab es auch einen Tag der offenen Tür. Naja, so ganz offen waren nicht alle Türen, wie der Tagespresse zu entnehmen war. Denn, so verriet die Märkische Allgemeine Zeitung, es ließen sich nicht sofort alle Bürotüren öffnen, weil die elektrischen Schlüssel streikten. Ein Zutritts-GAU? Landtagsabgeordnete & Friends Volksvertreter vor verschlossenen Türen! Die Konsequenzen für das Gemeinwohl unabsehbar. Hatte man gar Spezialisten vom nahegelegenen Flughafen BER in eine Schlüsselstellung gebracht? Die Fachwelt wird es der Kollegin von der Märkischen nachsehen, dass sie das elektronisch gesteuerte Schließsystem mit dem Begriff des elektrischen Schlüssels leserfreundlich vereinfacht hat. Aber im Ernst: Wo klemmte der elektrische Schlüssel? SECURITY insight ist der Sache auf den Grund gegangen. Nachfrage bei der Pressestelle des Landtags in Potsdam. Tatsächlich keine Zeitungsente. Ausgerechnet die gebeutelte Foto: Sonja Calovini - Fotolia.com FDP hatte es wieder einmal kalt erwischt. Zwar haben die Freidemokraten inzwischen Erfahrung damit, vor der Tür zu bleiben. Aber in diesem Fall war es die modernste Technik eines elektronischen Zutrittskontrollsystems und nicht der Wähler!, die ihnen die Landtagswelt jäh verschloss. Natürlich war vom Gebäudemanagement des Landtages (fast) jedem Zugangsberechtigten penibel Schlüssel für Schlüssel eigentlich: Transponder individuell zugewiesen worden. Für Politiker und andere Laien sei hier kurz erklärt: Ein elektronisches Zutrittskontrollsystem in diesem Fall von der renommierten Salto Systems GmbH, wie weitere Recherchen ergaben regelt die Zutrittsberechtigung digital. Die Technik macht es dabei möglich, dass jeder Benutzer genau die Räumlichkeiten Büros, Kantine usw. betreten kann, die ihm laut Organisation zustehen. Bei anderen bleibt er vor verschlossener Türe stehen. Wäre ja auch unglücklich und in diesem Fall zutiefst undemokratisch, wenn man in die Büros der gegnerischen Fraktionen käme und dort, beispielsweise, in den geplanten Anträgen kramen könnte. Ein bisschen Formularkram, bis alle Zutrittsberechtigungen im Rechner eingegeben sind. Aber für Betreiber und Anwender erwiesenermaßen total easy. Daran hat sich seit dem frühen Mittelalter nichts geändert, als man noch einfache Schlösser und Schlüssel verwendete. Nur arbeiten sie heute eben elektronisch. So etwas nennt man deshalb auch intelligente Schließanlage. Aber so einer Schließanlage hilft ihre ganze Intelligenz nichts, wenn sie auf Politiker trifft, die von solch übersprühender Spontanität sind wie die Liberalen im Brandenburgischen Landtag. Entsprechend ihren hehren Idealen der Wahlfreiheit hatten die FDPler, wie von der Pressestelle des Landtages zu erfahren war, kurz vor Eröffnung beschlossen, ihre Büroräume neu zu wählen. Da waren die Transponder mit den Zutrittsberechtigungen schon brav programmiert gewesen. Logisch, dass der Abgeordnete A mit seinem für das Büro A programmierten Transponder keinen Zutritt zu dem Büro bekam, das ursprünglich dem Abgeordneten B zugewiesen war. Die elektrischen Schlüssel haben also keineswegs gestreikt, sondern sie haben funktioniert! Eine Bestätigung für die richtige Beschaffungsentscheidung der Sicherheits-Verantwortlichen des Landtags. SECURITY insight hat übrigens auch bei Salto nachgefragt. Aber Geschäftsführer Axel Schmidt wollte sich, ganz Diplomat, zu dem Vorgang verständlicherweise nicht äußern. Warum auch?! Der Zuverlässigkeitsbeweis für seine Technik war ja angetreten. Und es hat sich wieder einmal die alte Weisheit Bahn gebrochen, dass ein Schlüssel, der in jedes Schloss passt, ein Master-Key ist. Ein Schloss aber, in das jeder Schlüssel passt, ist einfach nur ein Sch schloss. Peter Niggl 18 Security insight 1/

11 Schwerpunkt: Zutrittskontrolle Schwerpunkt: Zutrittskontrolle Foto: Pictures Alliance Im Deutschen Haus den Überblick behalten Seit Kanada gehört die Zutrittskontrolltechnik von Isgus zu den Olympischen Spielen auch in diesem Jahr in Sotschi Seit 1988 sind die Deutschen Häuser die offizielle Anlaufstelle für die nationale olympische Familie; seit 2010 in Vancouver gibt es das Pendant bei den Paralympics. Die Isgus-Unternehmensgruppe als Anbieter von Zutrittskontrollsystemen ist seit den Winterspielen in Kanada offizieller Partner. Die Zusammenarbeit zwischen dem Unternehmen und der Deutschen Sport- Marketing (DSM) wird nach London 2012 auch bei den XXII. Winterspielen in Sotschi fortgesetzt. Außenansicht des Deutschen Hauses in Sotschi Die beiden Isgus-Vertriebs- und Servicezentren IVS Zeit- und Sicherheit und Isgus-bavaria übernehmen die gesamte Projektplanung und stellen zusammen mit der Isgus GmbH die Teams vor Ort für beide Großveranstaltungen in Sotschi. Wenn diese Ausgabe von SECURITY insight in den Briefkästen liegt, geht es in der Stadt am Schwarzen Meer gerade hoch her. Das Deutsche Haus bildet den Rahmen und die Infrastruktur für das Zusammentreffen der deutschen Athleten mit Gästen aus Sport, Politik, Wirtschaft und Medien. Die Orte sind nah an den Wettkampfstätten gelegen und schaffen immer wieder aufs Neue eine tolle Atmosphäre. Das Restaurant Chalet im Skiort Krasnaja Poljana bildet nun in Sotschi die Kulisse für das Deutsche Haus. Auf rund 700 Quadratmetern ist eine urige Hüttenatmosphäre mit modernen Annehmlichkeiten in zeitgemäßer Architektur entstanden. Den Eingangsbereich bildet eine massive Holzhütte, die neben der Akkreditierung, dem Shuttle Counter auch den Medienbereich beheimatet. Kern des Deutschen Hauses bilden die Datscha und das zweistöckige Chalet. Foto: schulteconcept.com Neben der Akkreditierung über das Internet stehen vier Akkreditierungsschalter zur Verfügung, an denen sich die Gäste auch vor Ort registrieren können. Das Kaminzimmer im Obergeschoss lädt zum gemütlichen Beisammensein ein. Im Erdgeschoss befindet sich das Kufenstüberl. Aktiv-Angebote wie ein Social-Media-Corner der Deutschen Olympiamannschaft oder ein Foto-Tool komplettieren das Angebot im Wohnzimmer der Athleten. Die Besucher wollen sich in der grandiosen Atmosphäre der Welt des Sports ungezwungen und frei bewegen. Und das in einem Umfeld, in dem auch der Sicherheitsaspekt, im Besonderen die Zutrittskontrolle, eine große Rolle spielt. Sie ist der zentrale Dreh- und Angelpunkt in jedem Sicherheitskonzept und Bestandteil eines jeden Gebäudemanagements. Unterschiedliche Sicherheitsbereiche und Raumzonen, individuelle Zutrittsberechtigungen für Besucher, Ehrengäste, Athleten, Funktionäre, Journalisten und Servicepersonal können flexibel und mühelos angelegt werden. Jeder Zutritt oder Zutrittsversuch wird lückenlos dokumentiert und steht für Auswertungen zur Verfügung. Pro Tag werden etwa 350 Gäste erwartet; hier gilt es, den Überblick zu behalten. Von der Akkreditierung bis zur Zutrittskontrolle arbeitet und steuert die Softwarelösung Zeus von Isgus nahtlos alle Besucherprozesse. Neben relevanten Informationen wie Name, Geburtstag und Sportart wird zusätzlich ein Passbild hochgeladen. Zeus übernimmt alle hinterlegten Informationen, und per Knopfdruck wird vor Ort ein Ausweis mit Passbild erstellt. Einen reibungslosen Ablauf zu gewährleisten und Wartezeit zu vermeiden, ist dabei neben der Sicherheit oberstes Gebot. Direkt an den Personenschranken findet ein erneuter Bildabgleich statt, was zusätzliche Sicherheit schafft. Die codierten Ausweise stammen ebenfalls aus dem traditionsreichen Familienunternehmen aus Villingen-Schwenningen. Über Ausweise im Scheckkartenformat werden bei Isgus zunächst bedruckt und im entsprechenden Leseverfahren codiert und geprüft. Die Personalisierung mit Namen und Foto erfolgt vor Ort am Akkreditierungsschalter. Damit auch dies reibungslos und zuver- lässig funktioniert, spielt die Sauberkeit in der Produktion eine wichtige Rolle, damit später nicht Fingerabdrücke oder Staubablagerungen die Personalisierung behindern. Auch damit stellt die Isgus-Unternehmensgruppe unter Beweis, dass die Planung, Durchführung und Begleitung von Projekten dieser Größenordnung mit viel Erfahrung und Routine bewältigt wird. Neun Mitarbeiter aus den Isgus- Vertriebs- und Servicezentren München und Trossingen werden während der Olympischen und Paralympischen Spiele in Sotschi sein. Neben dem Auf- und Abbau übernehmen sie die Einweisung der wechselnden Crews und sind jederzeit Ansprechpartner vor Ort für einen reibungslosen Ablauf Security insight 1/

12 Schwerpunkt: Zutrittskontrolle Schwerpunkt: Zutrittskontrolle Selbstvertrauen beim Selbstversuch In der neuen Essener GFOS-Firmenzentrale ist die eigene Zutrittskontrolllösung Bestandteil des ausgefeilten Sicherheitskonzepts Die neue GFOS-Firmenzentrale in Essen Es ist ein richtiger Selbstversuch allerdings ist der Ausgang nicht ungewiss. Als GFOS sich entschloss, die eigene Zutrittskontrolllösung zum zentralen Bestandteil des Sicherheitskonzepts in der neuen Firmenzentrale zu machen, zweifelten die Verantwortlichen verständlicherweise keinen Augenblick daran, dass das die beste aller Lösungen sein würde. Beim Selbstversuch spielt also viel Selbstvertrauen mit. Die GFOS GmbH ist ein mittelständischer Software-Dienstleister. Neben der umfassenden Beratung bietet das Unternehmen Software-Lösungen für Security, Workforce Management und Manufacturing Execution System. Anlässlich des 25-jährigen Bestehens und vor dem Hintergrund kontinuierlichen Wachstums wurde 2013 eine neue Firmenzentrale im Essener Gewerbepark M1 errichtet. Der Neubau wurde speziell auf die GFOS-Bedürfnisse zugeschnitten. So konnten die Verantwortlichen quasi bei Null anfangen und ein ineinandergreifendes Sicherheitskonzept entwickeln. Und die eigene Zeiterfassungslösung ist auch dabei. Parameter Der Zutritt zum neuen Gebäude wird mit der Software gfos.security gesteuert. Folgende Parameter waren von großer Bedeutung: Entwickelten das Sicherheitskonzept: Gunda Cassens- Röhrig, Francisco Y. Pacheco, Anne-Katrin Haring (v.l.) Schlüsselloses Büro: Schlüsselverlust führt zu hohem Aufwand und hohen Kosten. Verlorene Ausweise hingegen können einfach gesperrt werden. Variable, zeitgesteuerte Steuerung des Zutritts zu den Büroetagen per Ausweis/Chip: unberechtigter Zutritt ausgeschlossen. Allerdings ist es jedem Mitarbeiter möglich, auch außerhalb der Bürozeiten an seinen Arbeitsplatz zu gelangen. Datenschutz am Arbeitsplatz mittels Offline-Zutrittskontrolle zu den Büros. Integration von Zutrittskontrolle, Einbruchmeldeanlage und Videoüberwachung im gfos-sicherheitsleitstand. Unterstützung der Feuerwehr im Einsatzfall. Schutz der Mitarbeiter durch Visualisierung der Außenanlage am Mitarbeiterein-/-ausgang. Bewegungsabhängige Videoaufzeichnung der Gebäudeaußenhaut außerhalb der Bürozeiten. Der Zutritt zum Rechenzentrum wird durch biometrische Erkennung, der dortige Aufenthalt durch permanente Videoaufzeichnung dokumentiert. Zeitgesteuerte Tür-offen-Schaltung an den Türen zum Besucher-/Empfangsbereich. Öffnung von Türen oder Schranken per Mausklick aus dem Sicherheitsleitstand. Jederzeit Übersicht über den Status aller Türen und automatische Alarmierung eines frei definierbaren Empfängerkreises bei Überschreitung von Türöffnungszeiten, Aufbruch, Sabotage usw. Scharf-/Unscharfschaltung der Alarmanlage für berechtigte Mitarbeiter per Ausweis/Chip und PIN. gfos kann mit beliebigen Terminals eingesetzt werden, unabhängig vom Hersteller. Zutrittskontrolle, Einbruchmeldeanlage und Videoüberwachung wurden im gfos-sicherheitsleitstand miteinander kombiniert und integriert. Aus drei Komponenten ergibt sich also ein Leitstand mit permanentem Online-Überblick über alle sicherheitsrelevanten Aspekte eine wesentliche Erweiterung der Zutrittskontrolle, da alles gesteuert werden kann und auftretende Alarme sofort erkennbar sind beziehungsweise online über beliebige Kommunikationswege ( , SMS, Voic ) gemeldet werden. On- und Offline-Zutritt Die Kombination aus On- und Offline-Zutritt schafft hohe Flexibilität, da sich verschiedenste Kontrollmechanismen miteinander verknüpfen lassen. Für jede Mitarbeitergruppe wurde ein individuelles Berechtigungsprofil hinterlegt, das bei Bedarf auch temporär angepasst werden kann. Auch Türen zu speziellen Räumlichkeiten, etwa Personal- oder Geschäftsleitungsbüro, können gesondert gesichert werden. Die Berechtigungen für diese Büros werden auf die Terminals/Leser geschickt und können damit überprüft werden. Videoüberwachung Durch die Kombination der Videoüberwachung mit dem Zutrittskontrollsystem erfolgt die Schrankensteuerung zum Parkplatz des Firmengeländes über Mitarbeiterausweise, aber auch über die Videoerkennung. So erhalten Firmenfahrzeuge automatisch Zufahrt auf den Parkplatz ohne den Ausweis nutzen zu müssen. Täglich ab Uhr werden Bilder des Parkplatzes auf einen Monitor am Personalein-/-ausgang übertragen. So können die Mitarbeiter vor dem Verlassen des Gebäudes überprüfen, ob auf dem Außengelände alles in Ordnung ist. Einbruch- und Brandmeldeanlage Die Alarmanlage kann über die Komponenten der Zutrittskontrolle scharf und unscharf geschaltet werden. Aus der Kombination von Alarmanlage und Videoüberwachungssystem profitieren auch der beauftragte Sicherheitsdienst und die Feuerwehr. Denn ab 18 Uhr werden Bilder aus dem Bürogebäude und vom Außengelände auf einen Monitor im Eingangsbereich übertragen. Auf diese Bilder kann der Sicherheitsdienst zugreifen und bei Einbruchalarm die Lage bereits von außen beurteilen. Bei Feuer werden alle Türen entriegelt sowie die Parkplatzschranke geöffnet, der Alarm aktiviert und die Feuerwehr automatisch benachrichtigt. Auch diese hat Zugriff auf die Videobilder. Zudem zeigt die Brandmeldeanlage an, wo sich im Gebäude Rauch entwickelt, indem auf dieser Etage das Licht eingeschaltet wird. So muss die Feuerwehr den Brandherd nicht erst lang suchen, sondern kann sich schnell einen Überblick über die Gesamtsituation verschaffen und handeln Security insight 1/

13 Schwerpunkt: Zutrittskontrolle Schwerpunkt Sicherheitsplus und Organisationshilfe Sieben pfiffige Praxisprojekte der Schließtechnik und Zutrittskontrolle Zusammengestellt von Matthias Fischer 2011 arbeiten rund 500 Wissenschaftler aus über acht Instituten in dem Gebäude. Da die Labors zu den äußerst sensiblen Bereichen zählt, ist es wichtig, dass die Mitarbeiter jeweils nur zu bestimmten Räumen Zutritt haben. Bei vielen zeitlich befristeten und räumlich differenzierten Berechtigungen für häufig wechselnde Forschergruppen gilt es, den Zutritt effektiv zu regeln. Das Schließsystem Clex prime der Uhlmann & Zacher GmbH, integriert ins Zutrittskontrollsystem der IntraKey technologies GmbH, bietet hierfür die notwendigen Komponenten. rechtigungen werden über die Software GAT Matrix gesteuert. Insgesamt werden so 110 Online-Türen, 35 Offline-Türen, die gesamte interne Liftsteuerung sowie der firmeneigene Fahrzeugwaschplatz geregelt. Für uns war es wichtig, eine Komplettlösung zu bekommen. Handhabung und Verwaltung müssen so einfach Die Zahl der Anbieter von Schließ- und Zutrittskontrolltechnik ist kaum zu überschauen. Das liegt auch daran, dass die Zutrittskontrolle neben der Videoüberwachung nicht nur zu den populärsten technischen Sicherheitsmaßnahmen gehört, sondern zudem jede Menge Spielraum für die innerbetriebliche Organisation ermöglicht. Wir stellen sieben pfiffige Projekte aus der Praxis vor. Serbische Telenor-Standorte zentral überwacht Das norwegische Unternehmen Telenor zählt zu den am schnellsten wachsenden Anbietern für Kommunikations- und TV- Services. Bei Zeiterfassung, Zutrittskontrolle und Sicherheitstechnik vertraut der Anbieter seit fast einem Jahrzehnt auf Lösungen der primion Technology AG. Wie jetzt in Serbien ist das Kernstück meist das Intelligente Datenterminal IDT 32 (Foto unten) zur Steuerung diverser Überwachungsszenarien. Mit Keypads lassen sich durch Eingabe eines PIN- Codes Bewegungsmelder und dadurch der Alarm scharf und unscharf schalten. Für das kürzlich in Belgrad errich- tete Datenzentrum nutzt man die prime- Web-Software darüber hinaus für den kontrollierten Zugang zu den IT-Racks. Durch Chipkarten in Verbindung mit einer PIN werden nun die sensiblen Daten vor unberechtigtem Zugriff geschützt. Für die zentrale Überwachung aller serbischen Standorte kommt in dem neuen Telenor- Kontrollzentrum der grafische primion- Leitstand psm2200 zum Einsatz. Gesamtschule mit Anti-Amok-Zylindern Der Schutz vor Amokläufern ist seit vielen Jahren ein bestimmendes Thema an Schulen, so auch an der Arnold-Janssen-Gesamtschule (Foto rechts) in Bocholt. Seit Kurzem verfügt sie über eine neue Generalhauptschlüssel-Schließanlage vom Typ RS-Sigma von der DOM Sicherheitstechnik GmbH. Darüber hinaus sind die Außentüren mit dem elektronischen Schließzylinder Protector ausgestattet. Seitdem gelangen nur noch Zutrittsberechtigte ins Gebäude. Herzstück der Schließanlage sind 94 Türen zu den Klassenzimmern und anderen Räumen, die nun über einen Anti-Amok-Zylinder verfügen. Der Zylinder funktioniert wie ein Drehknauf, allerdings mit einer besonderen Technologie: Die Tür lässt sich von innen per Knopfdruck verriegeln. Von außen kann sie nur mit einem Schlüssel geöffnet werden. Die neue DOM-Schließanlage bedeutet für uns ein Mehr an Sicherheit, ohne dass der Schulalltag beeinträchtigt wird, freut sich Schulleiterin Renate Schlüter. Sicher forschen im BFS Das Biomedizinische Forschungszentrum Seltersberg (BFS, Foto rechts oben) der Justus-Liebig-Universität in Gießen bietet modernste Forschungs- und Lehrflächen. Seit Fertigstellung im Herbst Mehr als 100 Intrakey-Onlineleser und 700 Offline-Schließeinheiten von U & Z wurden installiert. Die elektronische Schließanlage kann vom BFS mit einer Verwaltungssoftware komfortabel zentral verwaltet werden. Geht ein Schlüssel verloren, wird sofort ein neuer programmiert, während der alte automatisch seine Gültigkeit verliert. Komplettlösung für Backwarenhersteller Das Traditionsunternehmen Resch & Frisch mit Stammsitz im oberösterreichischen Wels steht für ofenfrische Backwaren. Bei der Zutrittsorganisation für die neue Produktions- und Lagerhalle im Werk 2 (Foto rechts oben) setzt das Unternehmen auf eine Lösung der Gantner Electronic GmbH. Der Zutrittskontrollspezialist lieferte über 100 Leser zur berührungslosen Identifikation sowie ein Long-Range- System zur Regelung von drei Schrankenzufahrten. Die Zutritts- und Zufahrtsbe- wie möglich sein und dennoch höchste Sicherheitsstandards garantieren, sagt Bernhard Prechtl, Leitung Unternehmensentwicklung und Projektverantwortlicher. GEO-Zylinder für historische College-Türen Das 1856 gegründete St. Paul s College in Sydney ist das älteste Universitätscollege in Australien. Rund 200 Personen wohnen auf dem Campus, davon etwa 50 Universitätsmitarbeiter. Durch häufige Um- und Erweiterungsbauten gab es unterschiedliche Schließsysteme. Probleme bei Schlüsselverlusten waren so programmiert. Deshalb war eine elektronische Gesamtlösung erforderlich, die zugleich zu den vielen historischen Türen passt. Zu den funktionalen Anforderungen zählten die einfache Verwaltung der Identmedien, Ereignislisten, zeitlich flexible Zutrittsberechtigungen sowie das automatisches Öffnen und Schließen. Derek Watt, Executive Manager am College, wählte schließlich GEO-Zylinder (Global Electronic Opening) des auch in der DACH-Region erfolgreich vertretenen Anbieters Salto, da sie speziell für Türen entwickelt wurden, an denen keine herkömmlichen Beschläge angebracht werden können oder sollen, beispielsweise eben historische Türen 24 Security insight 1/

14 Schwerpunkt Ausbildung führbewegung des Schlüssels erzeugt. Der Zylinderaufbau ist modular, und Zylinder und Schlüssel sind frei programmierbar. Die Schließanlagenverwaltung erfolgt webbasiert. Ganz nah dran an der Security (Foto oben). Über 200 Zylinder wurden installiert und vollständig ins virtuelle Netzwerk von Salto integriert. Informationen zu den Schließberechtigungen werden auf einem Identmedium gespeichert, wodurch die Verkabelung der Zylinder entfällt. Finnische Schließtechnik für schwäbische Johanniter Im Johanniter-Regionalverband Schwaben mit sechs Gebäuden an den Standorten Augsburg, Donauwörth, Kissing und Nördlingen wurde kürzlich die gesamte Schließtechnik vereinheitlicht. Bisher kamen überall unterschiedliche Schließanlagen zum Einsatz insgesamt 100 Zylinder und rund 200 Schlüssel. Der komplette Austausch musste im laufenden Betrieb erfolgen. Zugleich sollte das neue System höchste Flexibilität bieten, da Alt- und Neubauten sowie Miet- und Eigengebäude umgerüstet werden mussten. Darüber hinaus waren einfache Handhabung für alle Nutzer und die perfekte Überwachung sensibler Bereiche, beispielsweise das Medikamentenlager, zwingend erforderlich. Die Johanniter entschieden sich für das batterielose, energiesparende und digitale Schließsystem des finnischen Anbieters ILOQ, das die benötigte Energie durch die Ein- Feuerwehr vertraut auf elektronisches Schließsystem Wenn die Feuerwehr Willich Schiefbahn ausrücken muss, zählt jede Sekunde. Um keine wertvolle Zeit mit dem Thema Schlüssel zu verlieren, haben die Verantwortlichen auf das elektronische Schließsystem TSE 6000 der Burg-Wächter KG umgestellt (das Foto unten zeigt die Montage). Drei weitere Standorte sollen folgen. Per Pincode öffnen die Aktiven von Berufs- und Freiwilliger Feuerwehr die Gebäudetüren ohne ständig an ihre Schlüssel denken zu müssen. Gleichzeitig sind die Eingänge sicher verschlossen, denn das System garantiert die von der Versicherung geforderte Verriegelung. Zusätzlich funktioniert die Türöffnung über die Telefonanlage. Eine festgelegte Tastenkombination steuert von jedem Apparat aus über den TSE-Switch den elektronischen Zylinder an und schaltet den Zutritt frei. Dies ist vor allem dann praktisch, wenn jemand hinein muss, der keinen Code zum Öffnen der Tür hat. Per Software organisiert die Feuerwehr die personalisierten, individuell unterschiedlichen Zutrittsberechtigungen. DRK und Sanitäter erhalten während ihrer Dienstzeit am Wochenende einen Code, der nur für das benötigte Zeitfenster gilt. Foto: BASF Alle reden von Ausbildung für die Unternehmenssicherheit, aber viele Sicherheitsabteilungen halten sich bedeckt BASF bietet dagegen seit Jahren begehrte Praktika an Von Marcus Heide Aus den Augen, aus dem Sinn für manchen Berufsstand gehört das geflügelte Wort fast schon zum Selbstverständnis. Für den Empfangsdienst beispielsweise. Kaum ist der Besucherausweis ans Revers geheftet, weiß man schon nicht mehr, wer ihn ausgehändigt hat. Es sei denn, das am Empfang tätige Personal wollte vom Besucher mehr wissen, als dieser für die Erteilung der Zutrittsberechtigung als notwendig empfindet. Dann kann es schon mal zum gereizten Wortwechsel kommen. Auch wenn den der Empfangsdienst meist gewinnt, bleibt ihm doch kein echtes Erfolgserlebnis. Denn auch in diesem Fall gilt: Aus den Augen, aus dem Sinn. Es ist beeindruckend, was an einem Werkstor abläuft für mich eine völlig überraschende Erfahrung, erzählt Denis Žiga Menschen morgens rein und abends raus. Tordienst ist wirklich kein Zuckerschlecken. In der Tat macht man sich als Außenstehender keine Vorstellung davon, welcher Stress sich für das Pforten- und Empfangspersonal aufbauen kann vor allem wenn Besucher hier ihren eigenen Stress abzubauen suchen, indem sie eine Vorzugsbehandlung erwarten. Da ist Fingerspitzengefühl gefragt eine Disziplin, die nicht jedem in die Wiege gelegt ist und daher trainiert werden muss. Zumindest wenn das Unternehmen auf kompetentes Auftreten Wert legt. Und das tut BASF, wie der Verfasser dieser Zeilen bestätigen kann, weil natürlich auch für ihn die Reportage am Empfang in Ludwigshafen begann. Beim weltweit größten Chemiekonzern gehören die Tordienste und der Besucherempfang zur Corporate-Security-Abteilung, genauer: zur Standortsicherheit, einer von vier operativen BASF-Sicherheitseinheiten. Geleitet wird sie von Manfred Jilg. Denis Žiga, Student des Risiko- und Sicherheitsmanagements an der Hochschule für öffentliche Verwaltung in Bremen, hat bei ihm von April bis September vergangenen Jahres ein Praktikum absolviert. Fast in alle Gruppen der Corporate Security darunter Werkschutz, Ermittlungsdienst und Zentrale Dienste, Technik und Informationsschutz, Ausweisstelle sowie Personen- und Veranstaltungsschutz hat der 32-Jährige Einblick erhalten. Und stellt anerkennend fest: Mich beeindruckt das weitgefasste Aufgabenspektrum. Mehr Engagement gefordert Das Thema Ausbildung steht in der Sicherheitswirtschaft bekanntlich ganz weit oben. Mag es auch genügend 26 Security insight 1/

15 Ausbildung Ausbildung Ein weites Feld für Manfred Jilg (r.) und Denis Žiga sowohl was die räumlichen Ausmaße des BASF-Stammwerks in Ludwigshafen (auf dem Bild im Hintergrund) angeht, als auch das Aufgabengebiet der Unternehmenssicherheit. Bewerber auf die offenen Stellen in den Konzernsicherheitsabteilungen und bei Sicherheits-Dienstleistern geben, so fehlt es dennoch oft an qualifiziertem Personal. Die Anforderungen an die Unternehmenssicherheit haben sich stark gewandelt, sagt Jilg. Auch wenn viele Vertreter dieser Disziplin bis heute aus den Sicherheitsbehörden oder von der Bundeswehr kommen, ist die Akademisierung unausweichlich und weitgehend gewollt. Entsprechende Studiengänge schießen seit Jahren wie Pilze aus dem Boden, die Suche nach Praktika ist die Folge. Das Angebot freilich ist übersichtlich. Die Sicherheitswirtschaft muss sich hier noch mehr engagieren als bisher, fordert Jilg, der zugleich bei der Arbeitsgemeinschaft für Sicherheit der Wirtschaft (ASW) als Vorstandsmitglied den Arbeitskreis Ausund Weiterbildung leitet. Manche Sicherheitsabteilung hält sich leider noch sehr bedeckt. Žiga hat Glück gehabt und einen höchst attraktiven Praktikumsplatz ergattert. Auch wenn der Empfangsdienst vielleicht nicht sein Traumjob sein mag, so fällt ihm diese Tätigkeit doch als Erste ein, als er von seinen Eindrücken bei BASF erzählen soll. Als Zweites kommt ihm sein Gespräch mit den operativen Betriebsräten in den Sinn. Auch das hat ihn beeindruckt. Dass ein so reger Austausch zwischen Arbeitnehmervertreter und der Unternehmenssicherheit stattfindet, war ihm vorher nicht bewusst gewesen. Für Jilg sind solche Überraschungsmomente nicht neu: Unternehmenssicherheit ist bekanntlich nicht im Fokus der Gesellschaft. Und selbst Studenten der entsprechenden Fachgebiete haben zu Beginn oft eine völlig falsche Vorstellung von der Praxis. Genau deshalb gibt es ja Praktika wie in anderen Berufszweigen auch. Und hier wie dort profitieren beide Seiten. Durch Praktikanten bleibt die Corporate-Security-Abteilung einerseits nah an den Studieninhalten. Andererseits bringen die jungen Leute oft ganz neue Perspektiven mit. Uns stellen sich in der Praxis mitunter Fragen, bei deren Beantwortung der Blick von außen sehr hilfreich sein kann, so Jilg. Manager statt Spielverderber Žiga beispielsweise war an einem Projekt beteiligt, in dem Maßnahmen zur Verbesserung der Prozessabläufe erarbeitet wurden. In einem anderen ging es um Schulung in Sachen Produktsicherheit: Security Awareness, Erarbeitung von Unterweisungen und Wege, diese erneut in die Unternehmensprozesse einzubauen. Der Begriff Prozess fällt im Gespräch immer wieder. Ein Zeichen dafür, wie sich das Selbstverständnis der Corporate Security in den letzten Jahren gewandelt hat weg vom ermittlungsorientierten Geheimniskrämer und Spielverderber mit erhobenem Zeigefinger, hin zum Sicherheits-Manager, der sich als Teil der Wertschöpfungskette versteht. Die Corporate-Security-Abteilung von BASF bietet seit sieben Jahren Praktika an. 16 Wochen sind es für Vollzeitstudenten. Wer Mitarbeiter mit Erfahrung sucht, muss jungen Leuten auch die Möglichkeit bieten, Erfahrung zu sammeln, so Jilg. Bei der Frage, welche (Fach-)Hochschule oder Universität in der Lehre seinen Vorstellungen von Unternehmenssicherheit am nächs- ten kommt, bleibt Jilg diplomatisch: Die ASW betrachtet alle Studienangebote zum Sicherheits-Management gleichberechtigt nebeneinander. Jeder Studiengang hat seine eigene Ausrichtung und Schwerpunkte. Beim einen ist es das Risikomanagement, beim anderen die IT-Security. Wichtig ist, dass die Querschnittsfunktionen genügend Berücksichtigung finden. Allemal zu empfehlen Allerdings gebe es Hochschulen, die sich mehr am praktischen Bedarf der Unternehmenssicherheit orientierten als andere. Die einen fragen vor der Implementierung in den Wirtschaftsunternehmen die Bedarfe ab, die anderen nicht. Jilg weist zudem darauf hin, dass sich neben der akademischen Annäherung ans Sicherheits- Management der Ausbildungsberuf Fachkraft beziehungsweise Meister für Schutz und Sicherheit bewährt habe. Zwei bei BASF beschäftigte Absolventen mit dieser Ausbildung hat Jilg über einen Bachelor-Studiengang weiterqualifiziert, sodass sie in ihrer beruflichen und persönlichen Entwicklung für die Übernahme komplexer Führungsaufgaben gerüstet sind. Als Vorbereitung auf das Studium und die spätere Arbeit in der Sicherheitsabteilung ist ein Praktikum allemal zu empfehlen auch wenn es die meisten zunächst einmal zu den privaten Sicherheits-Dienstleistern bringt, wo es zwar auch nicht Unmengen von Stellen gibt, aber doch mehr als bei den Konzernen. Von den 30 Studenten in Žigas Studiengang in Bremen haben etwa drei Viertel Erfahrungen in der Sicherheitsbranche gesammelt. Vier von ihnen kommen von der Bundeswehr wie Žiga, der seine Erfahrungen beim Feldjägerdienstkommando in Münster gesammelt hat. Es besteht aber weiterhin eine Diskrepanz zwischen der Zahl der Studienplätze und den freien Stellen, Foto: BASF Wassertank am Rheinufer in Ludwigshafen das räumt auch Jilg ein. Das hängt unter anderem damit zusammen, dass man eben nicht immer von der Uni direkt in eine Führungsfunktion im mittleren Management wechseln kann. Das schätzen viele Hochschulabsolventen falsch ein. Ein abgeschlossenes Studium alleine öffnet noch nicht die Tür zu einer Leitungsfunktion in einer Sicherheitsabteilung. Auch in diesem Job muss man erst einmal praktische Basiskenntnisse erwerben, sich Erfahrung in den Fachfunktionen der operativen Sicherheit erarbeiten und, ganz nebenbei, eben auch überdurchschnittliche Leistungen zeigen. Wer während seines Studiums oben- 28 Security insight 1/

16 Ausbildung Ausbildung drein noch ein so angesehenes Praktikum wie Denis Žiga bei BASF absolviert hat, ist klar im Vorteil. Auch deshalb, weil sich die Sicherheits-Verantwortlichen in ihren Netzwerken gegenseitig über vielversprechende Talente austauschen. Andere Berufswege von Hochschulabsolventen führen durchaus auch wieder von der Sicherheit weg oder erneut zum Sicherheits-Dienstleister oder in verwandte Gebiete, etwa der Compliance. Viele meiner Kommilitonen würden natürlich gerne in der Unternehmenssicherheit arbeiten, mich eingeschlossen, erzählt Žiga. Mein Praktikum hat mich in diesem Wunsch noch bestärkt. Ist ja auch kein Wunder: Sowohl Entwicklungsmöglichkeiten und Bezahlung als auch die Bandbreite der Tätigkeiten sind eindeutig attraktiver. Aber die Stellen sind und bleiben begrenzt. Wenn nur der Mittelstand Anders wäre das, wenn das Thema Sicherheit auch im deutschen Mittelstand eine bedeutendere Stellung hätte. Fehlendes Bewusstsein für sicherheitsrelevante Vorfälle und Bedrohungen sowie vermeintliche Ressourcenengpässe machen die Sicherheit in vielen Unternehmen zu einer nachgeordneten Disziplin, weiß Manfred Jilg. Auch die in den vergangenen Monaten bekanntgewordenen Lauschangriffe ausländischer Geheimdienste selbst befreundeter Nationen dürften daran nicht viel geändert haben. Dabei könnten insbesondere die Unternehmen, deren Prozesse nicht so komplex sind oder die spezifische Sicherheits-Fragestellungen haben, von der Unterstützung durch Absolventen von Sicherheits-Studiengängen profitieren, konstatiert Jilg und gibt sich dabei durchaus selbstkritisch: Auch unseren Sicherheitsverbänden ist es bislang nicht gelungen, die entsprechende Awareness zu schaffen. * In vielen Unternehmen des Mittelstands kann die Unternehmenssicherheit also gar nicht aus dem Sinn gehen, da sie es nicht einmal vollständig vor die Augen schafft. Immerhin unter diesem Aspekt haben die Mitarbeiter am Empfang einen klaren Wahrnehmungsvorteil. Und BASF- Security-Praktikanten können das besonders gut einschätzen * Immerhin hat der Verband für Sicherheit in der Wirtschaft Nordrhein-Westfalen (VSW NW) mal eine fakultative wissenschaftliche Arbeit in Auftrag gegeben, die den Titel trägt: Unternehmenssicherheit im deutschen Mittelstand Zwischen mangelnder Sensibilität und fehlenden Informationsmöglichkeiten, die sich im geschlossenen Bereich auf kostenfrei downloaden lässt. Der Autor: Denis Žiga. Robust statt introvertiert Außerdem belastbar, kommunikativ und gut ausgebildet Zum Zertifikatsstudiengang Certified Security Manager an der Frankfurt School of Finance & Management Von Miriam G. Wolf Dozent Florian Haacke Wo findet sich der qualifizierte Nachwuchs? So lautet die Frage von der einen Seite, nämlich der Verantwortlichen für die Unternehmenssicherheit. Wie mache ich mich für die Corporate-Security-Abteilungen attraktiv? Wie werde ich noch besser in Sachen Sicherheit? Das fragen die anderen, nämlich jene, die schon im Sicherheitsumfeld arbeiten und ihr Wissen vertiefen sowie ihre Performance verbessern wollen. Eine Antwort auf diese beiden Fragen: mit einem berufsbegleitenden Studium des Sicherheits-Managements. Wer mit dem Gedanken spielt, im Sicherheits-Management tätig zu werden, will wissen: Welche Voraussetzungen muss ich erfüllen, um für dieses Berufsfeld bestmöglich vorbereitet und ausgebildet zu sein? Benötige ich ein Studium? Sollte ich bereits über Erfahrungen im Personenschutz verfügen, einen militärischen oder kriminalistischen Hintergrund haben? Oder ist das für eine Karriere in diesem Tätigkeitsfeld zweitrangig? Sind vielmehr eine starke Persönlichkeit und theoretisches Wissen der Schlüssel zum Erfolg? Die Frankfurt School of Finance & Management bietet den zweisemestrigen berufsbegleitenden Zertifikatsstudiengang Certified Security Manager (CSM) an, der sich primär an Mitarbei- Student Sven Kuznick ter der Abteilungen Corporate Security, IT-Security, Risikomanagement, Revision, an Vertreter der Kriminalämter und Polizei sowie an Wirtschaftsprüfer und Berater richtet, die sich auf Corporate Security spezialisiert haben. Während des Studiums werden den Teilnehmern die zentralen Herausforderungen eines strategisch ausgerichteten, ganzheitlichen Sicherheits-Managements vermittelt. Die Unternehmenssicherheit wird entlang der gesamten Wertschöpfungskette betrachtet. Wissen statt Bauchgefühl Sven Kuznick ist Geschäftsführer der Logprotecta GmbH, die in der internationalen Logistiksicherheit tätig ist. Das Leistungsportfolio umfasst klassische Sicherheitsthemen sowie Transportschutz jeglicher Art, vor allem auf High-Risk-Ebene und in der maritimen Sicherheit. Zuvor war Kuznick bei der Bundeswehr und als Personenschützer tätig. Um seine Kenntnisse in Strategie und Management weiter zu vertiefen, absolvierte er 2012 den Zertifikatsstudiengang zum Security Manager an der Frankfurt School und geht nun beim strategischen Risikomanagement ähnlich vor wie Banken bei der Kreditvergabe. Für die Erstellung einer Sicherheitsmatrix werden die einzelnen Risiken getrennt voneinander betrachtet, alle verfügbaren Daten und Statistiken einbezogen und daraus dann die Wahrscheinlichkeitsrate jedes potenziellen Schadens berechnet, so der Sicherheitsberater. Anhand dieser Rate kann ich genau erkennen, mit welchen Risiken ich arbeite. Bei der maritimen Sicherheit lässt sich das konkrete Risiko beispielsweise für fast jeden Streckenabschnitt einzeln berechnen. Früher berief ich mich eher auf mein Bauchgefühl und meine Erfahrungen. Jetzt kann ich Vertragsverhandlungen ganz anders gestalten, da ich dem Kunden konkrete Zahlen über die einzelnen Sicherheitsrisiken vorlegen kann. Bei der Akquise setzt Kuznick dann auch auf ein maßgeschneidertes Angebot: Ich lasse den potenziellen Kunden immer zuerst einmal ausführen, in welcher Branche er tätig ist, was er produziert und wo seiner Einschätzung nach die Sicherheitslücken liegen. Es ist wichtig, dass der Kunde sich gut betreut fühlt und nicht das Gefühl hat, dass er zu unnötigen Maßnahmen und kostspieliger Technik überredet wird Security insight 1/

17 Ausbildung Sicherheits-Dienstleistung Neugier für das große Ganze Die Fähigkeit, sich in die individuellen Sicherheitsbedürfnisse von Kunden oder Kollegen hineinzuversetzen, hält auch Florian Haacke für essentiell wichtig. Er ist Bereichsleiter Konzernsicherheit beim Energieversorger RWE und darüber hinaus als Dozent im CSM-Zertifikatsstudiengang an der Frankfurt School tätig: In erster Linie ist die Neugier für das große Ganze erforderlich. Denn die Funktion eines Security-Managers ist sehr vielfältig und abwechslungsreich. Man hat viele Schnittstellen innerhalb des Unternehmens und außerhalb. Es gibt Berührungspunkte mit nahezu allen Abteilungen; sei es mit den Bereichen Recht, Personal, Controlling oder Kommunikation, mit den operativen Einheiten Sieht aus wie Social Engineering, ist aber keins: Studenten der Frankfurt School of Finance & Management vielleicht beim fachlichen Austausch über Social Engineering im Rahmen des Sicherheits-Management-Studiums. sowie extern mit Verbänden, der Politik und Sicherheitsbehörden. Deshalb sollte man auch nicht unbedingt ein introvertierter Typ sein, sondern ein gesundes Kommunikationsverhalten an den Tag legen, das generelle Handwerkszeug mitbringen oder sich erarbeiten und auch ein grundsätzliches Controlling- Verständnis haben. Außerdem sei eine gewisse Robustheit im Naturell auch in Form von Belastbarkeit ganz sicher von Vorteil, denn mit aufsteigender Hierarchie gebe es eine immer geringere Fehlertoleranz. Zudem werde es immer wichtiger, mehrsprachig zu arbeiten. Heutzutage gebe es gerade in Deutschland, dem Exportweltmeister, kaum mehr ein Unternehmen, das nur national tätig ist. An der Frankfurt School stammten einige der bisherigen Teilnehmer des Zertifikatsstudiengangs aus dem IT-Bereich oder hatten einen militärischen Hintergrund. Haacke findet das durchaus sinnvoll, denn diese Spezialisten werden während des zweisemestrigen Studiengangs mit einem breiten Wissen ausgestattet. Dies können sie dann auf ihr eigenes Tätigkeitsspektrum anwenden und ihr Handeln in einen breiteren Kontext einordnen. In diesem Zusammenhang entfacht auch immer wieder eine Diskussion darüber, ob Sicherheitsmanager besser Generalisten oder Spezialisten sein sollten. Nach Haackes Meinung brauchen Unternehmen beides. Jedoch gehe der Trend hin zu einer Stärkung der Managementfähigkeiten. Denn fachliches Wissen könne man sich aneignen. Die Fähigkeit, zu führen, verständlich zu kommunizieren und sich in einer stetig verändernden Konzernwelt zurechtzufinden und dabei eigene Schwerpunkte zu setzen, sollte man bereits mitbringen, resümiert der erfolgreiche Sicherheitschef. Und auch Kuznick teilt diese Einschätzung: Ich finde, dass Fachwissen nicht ausschlaggebend für den Erfolg als Security-Manager ist. Viel wichtiger ist es meiner Ansicht nach, über das Gespür für richtiges Krisenmanagement zu verfügen sowie Führungsqualitäten und adäquates Durchsetzungsvermögen mitzubringen. Wichtig sind auch hohe Teamfähigkeit, da beim Sicherheits- Management viele Schnittstellen ineinander greifen müssen. Vademekum der Sicherheitswirtschaft Securitas legt den ersten Band seiner Autobiografie vor Securitas ein göttlicher Name für einen Weltkonzern. Das klingt nicht nach Bescheidenheit. Deshalb war es eigentlich nur eine Frage der Zeit, bis sich der Global Player Securitas mit einem Buch in den Annalen der Sicherheitswirtschaft verewigt. Genau betrachtet, werden es mehrere Bücher werden. Der erste Band Geschichten eines Sicherheitsunternehmens liegt jetzt druckfrisch vor. Erich Kupferschmidt/Thomas Menzel Geschichten eines Sicherheitsunternehmens Von den Anfängen bis zum Beginn des 20. Jahrhunderts, Herausgeber: Securitas Deutschland, 204 Seiten, EUR 24,80, ISBN chungsunternehmen. An deren Wiege stand wohl der Kaufmann Lachmann N. Jacob aus Hannover, der seine Idee von einer Reise nach New York mitgebracht hatte und mit der Gründung des Hannoverschen Wach- und Schließinstituts Jacob & Co in die Tat umsetzte. Fast zeitgleich, ebenfalls 1901, wurde in Kopenhagen ein privates Bewachungsunternehmen gegründet: Kjobenhavn Nattevagt Frederiksberg. Einer der Gründer war Julius-Philip Sörensen. Der Erfolg veranlasste Sörensen 1934, seinem Sohn Erik Philip den Auftrag zu erteilen, sich in Schweden einer Sicherheitsfirma anzuschließen, um die Möglichkeiten zu sondieren, wie man ins Nachbarland expandieren könne. Geschäftstüchtig erwarb dieser noch im selben die Firma, bei der er als Fahrradstreife angefangen Erik Philip Sörensen ( ) begann als Fahrradstreife in der Sicherheitswirtschaft und legte den Grundstein für einen Weltkonzern. Er führt aufwändig gestaltet den Leser durch die Frühgeschichte dessen, was sich für die Menschheit mit dem Begriff Sicherheit über die Jahrtausende verband. Das Vademekum der Sicherheit ist, durchgehend vierfarbig bebildert, als Zeitreise gestaltet. Sie führt von der Antike über die mittelalterlichen Türmer und Nachtwächter bis zur schillernden Figur des Eugène Vidocq und die Gebrüder Pinkerton. Das Buch, als erster Band einer Reihe konzipiert, endet mit einem Überblick über die ersten deutschen Bewahatte. Das war der Grundstein für den Securitas-Konzern, der 2014 das 80. Jahr seines Bestehens feiern kann. Unsere Darstellung ist nicht für den wissenschaftlichen Diskurs, sondern für Leser verfasst, die nicht nur informiert, sondern auch unterhalten werden wollen, betonen die beiden Autoren Erich Kupferschmidt und Thomas Menzel. Dennoch, das sei hinzugefügt, ist das rund 200-seitige Werk ein Novum und wird mit Sicherheit den gebührenden Stellenwert in der Geschichtsschreibung der Sicherheitswirtschaft einnehmen. Manfred Buhl, Geschäftsführer der deutschen Securitas Holding, nutzt zugleich als Verfasser des Vorworts die Gelegenheit, eine Bilanz des Ist-Zustands der Sicherheitswirtschaft zu ziehen: Ob es die Zeit der Nachtwächter und Türmer war, das Zeitalter Napoleons oder Preußen im späten 19. Jahrhundert, immer standen die Kosten im Vordergrund der Entlohnung und Beauftragung von Sicherheitsdienstleistungen. So ist auch heute für die Auftragsvergabe meist das billigste und nicht das nach fachmännischer Sicherheitsberatung wirksamste und wirtschaftlichste Angebot maßgeblich für die Beauftragung. Die rechtlichen Voraussetzungen für die Gründung eines Sicherheitsunternehmens sind minimal und erlauben es daher, dass auch Menschen in das Gewerbe einsteigen, die nicht auf der Grundlage von Fachkompetenz und eines unternehmerischen Ethos ein Unternehmen dauerhaft führen, sondern das schnelle Geld generieren wollen. Es bleibt zu hoffen, dass man bald in weiteren Bänden mit einem so kritischen Blick durch die Geschichte der Sicherheitswirtschaft geführt wird. P. N. 32 Security insight 1/

18 Sicherheits-Dienstleistung Sicherheits-Dienstleistung Keine Blöße durch die Größe Ein pfiffiges Messsystem macht die Beschaffung von Dienstbekleidung für Wach- und Sicherheitsunternehmen einfach und effizient Geht Ihnen das auch so, wenn Sie heute was zum Anziehen kaufen wollen, beispielsweise mal eben ein Hemd? Sie stehen im Bekleidungsgeschäft, blicken auf die große Auswahl, finden Ihre Größe und müssen sich dann fragen: skinny fit, slim fit, modern fit? Selbst wer gut Englisch spricht, dem hilft die Übersetzung nicht wirklich weiter, denn: Ist schlank nicht modern? Oder: Ist nur modern, wer Übergewicht hat? Diesen Grundsatzfragen muss sich auch stellen, wer Dienstbekleidung für das Wach- und Sicherheitsgewerbe beschafft. Von denen, die die Dienstbekleidung tragen müssen, ganz zu schweigen. Nehmen wir zum Beispiel das Sakko: Ist es zu groß oder zu klein, sitzt es an den Schultern zu weit oder spannt über dem Bauch wie man es hier zu Lande wahrlich nicht oft genug beobachten kann, dann wirkt der Sicherheitsmitarbeiter unprofessionell. Für seinen Arbeitgeber nicht gerade ein Image-Plus. Und auch kein Kompliment für den Einkäufer oder Kleiderkammer- Verwalter, selbst wenn sie die Mitarbeiter nach ihrer Kleidergröße gefragt haben. Viele kennen sie nämlich gar nicht. Oder sie geben irgendeine Größe an, weil sie sich keine Blöße geben wollen. Wer gilt schon gerne als untersetzt? Also greift man auf die Größentabelle im Katalog zurück, wie sie alle Bekleidungsanbieter zur Verfügung stellen. Lieber Einkäufer, einmal Oberweite messen, bitte! Hier nimmt das Drama seinen weiteren Lauf: Wo denn, so fragt sich der Laie, ist bei einem Mann die Oberweite? Vielleicht bietet der Katalog als Hilfestellung eine Körperskizze. Dann kommen Messer und Gemessener einen Schritt weiter bis zum nächsten Problem. Denn mag der ermittelte Wert der Oberweite ruhig 95 Zentimeter sein, so ist die Größenfrage doch nur halb beantwortet. Soll es nach den klassischen Tabellen nun Normalgröße 48 sein oder untersetzt 24 oder schlank 94? Was ist normal? Ist modern normal oder doch eher slim? Und: Wer gilt schon gerne als untersetzt? Die Bekleidungsfrage kann also durchaus ins Philosophische gehen. Muss sich Beispiel für einen Sakko-Größensatz von münz das ein Sicherheits-Dienstleister wirklich antun? Bernhard Münz, Gründer, Inhaber und Geschäftsführer der münz GmbH, lässt an seinem Standpunkt keine Zweifel aufkommen: Ansprechende, einheitliche und personalisierte Dienstkleidung ist unabdingbar für das professionelle Auftreten von Wach- und Sicherheitsdiensten. Als Ausstatter mit Berufs- und Teamkleidung für Sicherheits-Dienstleister, Feuerwehren, Transport und Verkehr, Behörden, Kommunen, Reedereien und Fluglinien muss er es wissen, auch wenn er natürlich als Geschäftsmann sein Eigeninteresse nicht leugnen kann. Alles klar? Für Laien sind solche Größentabellen sicherlich nicht gemacht. Doch wer ihn und sein Unternehmen kennt, der weiß, dass er nicht nur beständig an der Qualität seiner Produkte arbeitet, sondern auch daran, seinen Kunden das Leben einfacher zu machen. Und dazu gehört auch, der Frage nach der Kleidergröße das Philosophische zu nehmen. Das von seinem Team entwickelte einfachste Messsystem der Welt, wie er es nennt, führt zum professionellen Outfit der Sicherheits-Dienstleister und letztlich zu geringeren Kosten für die Dienstbekleidung, da nichts bestellt wird, das am Ende nicht passt. Brustumfang, Körpergröße, Armlänge Am Beispiel des Sakkos erklärt er im Gespräch mit SECURITY insight selbst, wie das Messsystem funktioniert: Das Wichtigste am Herrensakko ist, dass es an den Schultern passt. Deshalb muss man den genauen Brustumfang kennen. Das ist eine konkrete Bezeichnung im Gegensatz zur abstrakten Oberweite. Jeder weiß, wo der Brustumfang gemessen wird: waagerecht über der stärksten So misst man richtig. Diese münz-tabelle versteht jeder. Bernhard Münz Stelle der Brust. Die zweite relevante Frage, nämlich die nach der Körpergröße, kann fast jeder aus dem Stehgreif beantworten. Und jetzt ist alles ganz einfach: Die münz- Größentabelle zeigt auf einen Blick: Der Kollege mit einem Brustumfang von 95 Zentimetern und einer Körpergröße von 1,68 Metern benötigt ein Sakko der Größe 24; beträgt die Körpergröße 1,84 Meter, braucht er ein Sakko mit der Größe 98. Wenn dann noch Zeit ist, misst man zusätzlich die Armlänge, so Münz. Arm locker hängen lassen und mit der linken Hand über die Schulter nach außen den Schlüsselbein-Höcker ertasten. Dann einen Stift in die zur Faust geballten rechten Hand nehmen und den rechten Arm seitlich ausstrecken. Gemessen wird vom Schlüsselbein-Höcker bis zur Mitte des Stifts. Dieser Wert minus 1 Zentimeter ist die Armlänge. Und mit diesen sehr einfach und effektiv zusammengetragenen Informationen liefert die münz GmbH einen Richtwert, damit das Sakko gut sitzt. Veredelter Größensatz Für Sicherheits-Dienstleister, die eine eigene Kleiderkammer unterhalten oder Einkäufer, die regelmäßig viele Mitarbeiter einkleiden, bietet der Ausstatter einen weiteren besonderen Service: Kauft der Kunde einen Größensatz seines Wunschartikels, zum Beispiel blaue Sakkos, wird dieser Größensatz deutlich sichtbar mit der jeweiligen Größe und der Artikelnummer veredelt. Die Artikel sind so markiert, dass sie nur als Größensatz verwendbar sind und nicht mit den Standardartikeln verwechselt werden können, so Münz. Der Vorteil: Der Einkäufer kann jetzt schnell und einfach durch Anprobe die richtige Größe für Kollegen auswählen, der beispielsweise gerade erst angeheuert hat. Erneut eine Zeitersparnis und ein geringerer Verwaltungsaufwand. Derweil müssen andere weiterhin nachgrübeln, ob skinny modern ist oder normal oder ob slim sein muss, wer skinny sein will. Ist das noch normal? 34 Security insight 1/

19 Sicherheits-Dienstleistung Dienstleistung Ist der Ruf erst ruiniert schützt es sich ganz ungeniert: Österreich erlebt gerade heftige Diskussionen rund um private Sicherheits-Dienstleister Von Richard Benda, Wien Pflege- und/oder Sicherheitskraft? Ob Österreich oder Deutschland das Sicherheitsgewerbe hat mit dem Image zu kämpfen. In Österreich tendiert es seit einiger Zeit wieder in die unerdreuliche Richtung, seit einige Marktteilnehmer allzu forsch nach neuen Geschäftsfeldern Ausschau halten. Schon wird in der Öffentlichkeit der nicht ganz neue Spruch laut: Rendite geht vor Sicherheit. Private Sicherheits-Dienstleister sind keine gemeinnützigen Vereine, sondern auf Gewinn ausgerichtete Unternehmen. Die Suche nach neuen Geschäftsfeldern darf deshalb nicht verwundern und ist vollkommen legitim. Irgendwann sind aber Grenzen erreicht, deren Überschreitung zu Konfrontationen und Problemen führt. Drei voneinander unabhängige Fälle haben in den letzten Monaten in Österreich gezeigt, dass unsensibles Vorgehen langfristig schadet und nicht immer zu höheren Umsätzen führt. So verlockend es sein mag, in das Vakuum zu stoßen, das Behörden und öffentliche Einrichtungen hinter- 36 lassen fürs Image ist es nicht immer förderlich. Werner Heiber - Fotolia.com Fall 1: Sicherheitskräfte als Pflegepersonal Gewalt und Eigentumskriminalität machen auch vor Krankenhäusern nicht halt. Kein Wunder, dass die eine oder andere Krankenanstalt sich nicht anders zu helfen weiß, als Sicherheitspersonal einzustellen. Dem Trend der Zeit entsprechend, macht man das nicht mit eigenem Personal, sondern lagert aus. Die Sonderkrankenanstalt (Psychiatrie) in Amstetten (Niederösterreich) war 2008 eine der ersten, die private Sicherheitskräfte engagierte, um die dort behandelten Opfer von Josef Fritzl zu schützen, der seine Tochter und drei der mit ihr gezeugten Kinder über viele Jahre in einer unterirdischen Wohnung gefangen gehalten hatte. Der Trend zum Einsatz privater Sicherheits-Dienstleister setzte sich im Klinikumfeld fort und heute werden nicht nur psychiatrische Kliniken, sondern auch allgemeine, hier vor allem die Notaufnahmen, bewacht. Es war die Volksanwaltschaft, die die Kompetenzüberschreitungen auf diesem Gebiet von Sicherheitspersonal aufzeigte. Private Securitys würden Patienten am Verlassen von Anstalten hindern, sie im Bett fixieren und ihnen sogar Medikamente verabreichen, so der Bericht. Untersucht wurden mehr als 100 öffentliche Spitäler und Pflegeeinrichtungen in ganz Österreich. Vor allem in Wien und Oberösterreich ortete man Mängel, wollte aber nicht so recht mit den Namen der Anstalten heraus. Ohne Frage, die Verwendung von im Pflegebereich völlig ungeschultem Personal ist ein klarer Verstoß gegen das Ärztegesetz und verschiedene Landesgesetze und ganz klar verboten, wie der Gesundheitsminister feststellte. Dass er an der Misere nicht ganz unschuldig ist, verschwieg er geflissentlich. Das Aushungern der Spitäler von Pflegepersonal hat erst zu dieser Situation geführt. Dass, wenn Not am Mann ist, private Sicherheitskräfte einspringen, kann man ihnen nicht ankreiden. Der Geschäftsführer von National-Security-Austria (NSA), die unter anderem Österreichs größtes psychiatrisches Spi- Security insight tal betreut, sieht für seine Mitarbeiter keine Kompetenzüberschreitung. Securitys würden nur einige Griffe zur Deeskalation anwenden und nur im Rahmen der Nothilfe das Pflegepersonal vor Gewalttätigkeiten schützen. Laut Firmen-Website gehöre nur Schutz und Unterstützung des Pflegpersonals gegen aggressive Patienten zu ihren Aufgaben. Fall 2: Feueralarm in Tirol In das Portfolio des dänischen Falck-Konzerns gehört auch das Feuerwehrwesen. Gespräche mit Firmen zur Übernahme von Betriebsfeuerwehren sind bekannt, verständlich und legitim. Irgendwann und irgendwer kam dann aber bei Falck auf die glorreiche Idee, dass man nicht nur Betriebsfeuerwehren übernehmen könnte, sondern auch Freiwillige Feuerwehren beginnend in Tirol und Niederösterreich. Die erste Stufe, die Eintragung ins Feuerwehrregister von Niederösterreich, wurde bereits versucht. Offensichtlich kannte man aber in Dänemark nicht das in Österreich bestens funktionierende System der Freiwilligen Feuerwehren. Der Aufschrei der Hunderttausende zählenden freiwilligen Feuerwehrleute war nicht zu überhören. Sämtliche Feuerwehrkommandanten lehnen eine Kommerzialisierung des Feuerwehrwesens ab. Falck blieb auch die Antwort schuldig, wie man als gewinnorientierte Firma die unbezahlte Gruppe der Freiwilligen ersetzen wollte. Der niederösterreichische Feuerwehrkommandant hält dies nur bei einer Einschränkung der Leistung, vor allem beim Katastrophenschutz, für möglich eine Lösung, für die sich außer Falck kaum jemand stark machen dürfte. Fall 3: Anhaltezentrum Vordernberg Die so genannte Anhaltung von Personen, die abgeschoben werden sollen, also die Schubhaft, ist eine sensible Materie. Die damit belegten Menschen sind zwar keine Kriminellen, müssen aber doch in eine Art Haft genommen werden, damit sie nicht das Heer der Illegalen vergrößern. Österreich hat sich entschlossen, in einem abgelegenen Teil des Landes in Vordernberg (Steiermark) ein Anhaltezentrum für rund 200 Personen zu bauen. Üblicherweise übernimmt die Polizei die Bewachung von Schubhaft-Einrichtungen, denn die direkte Bewachung von Angehaltenen ist, zumindest in Österreich, rechtlich nicht erlaubt. Als das Projekt konkrete Formen annahm, wurde sofort der Ruf laut, dass aus Gewinnorientierung Kernaufgaben des Staates ausgelagert würden. Öffentlichkeit und Opposition sahen sich hintergangen, denn man hatte zu einer in Österreich einmaligen Konstruktion gegriffen: Erstmalig sollten sich Polizei und ein privater Sicherheitsdienst (in diesem Fall G4S) die Aufgaben teilen. Eine parlamentarische Anfrage der Grünen ließ nicht lange auf sich warten. Die Reaktion der Betroffenen (G4S und Innenministerium) war nicht unbedingt krisensicher. Es wurde herumgeeiert, der Vertrag als geheim eingestuft und die Kompetenzen konnten oder wollten (zumindest eine Zeit lang) nicht klargelegt werden. Schlussendlich raffte man sich zu der Diktion auf, dass die privaten Wachorgane nur Verwaltungshelfer seien und es zwar eine Aufgaben-, aber keine Verantwortungsteilung gebe. Dumm nur, dass G4S auf seiner Website formulierte, für Sicherheit und Betreuung der Angehaltenen Sorge zu tragen. Jetzt heißt es, die gut 100 privaten Wachorgane seien nur für die Überprüfung des Gepäcks und sonstige Hilfsdienste vorgesehen, die eigentliche Bewachung sollten die 55 staatlichen Organe übernehmen. Skepsis ist angebracht, denn die privatwirtschaftlichen Helfer werden auch Streifendienste durchführen. Die Frage, ob sie bei einem Fluchtversuch dann doch hoheitsrechtliche Aufgaben übernehmen, wird wohl irgendwann beantwortet werden. Wie auch immer der 68 Millionen schwere und 15 Jahre laufende Auftrag ist unter Dach und Fach. 1/ SALTO Virtual Network Zutrittskontrolle bestechend einfach saltosystems.com

20 Veranstaltungen Veranstaltungen In der Not ist für Höflichkeiten keine Zeit Erfolgreiche Premiere eines Seminars zu den für Sicherheitskräfte und Vielflieger relevanten Sicherheitsaspekten bei Flugreisen Eine Location der ganz besonderen Art: das Lufthansa Flight Training Center in Frankfurt In der Not ist für Höflichkeiten keine Zeit. Zum einen deshalb, weil manche Menschen panikbedingt ihre Kinderstube vergessen. Doch auch wer einen kühlen Kopf bewahrt, sollte darauf verzichten, zu bitten und zu danken Höflichkeit verhindert nun mal schnelle Abläufe. Deshalb legt auch das Bordpersonal in Passagierflugzeugen im Notfall den Serviceton ab und gibt recht forsche Anleitungen zum Handeln. Dabei suchen sich die Crew-Mitglieder sogar besonnene Passagiere zur Unterstützung, etwa am Ende der Notrutschen, um evakuierte Passagiere sicher in Empfang zu nehmen. Als diese Pre-selected Persons eignen sich Personenschützer naturgemäß ganz besonders. Doch dürfen sie ihre Schutzperson nicht verlassen. Ein elementarer Interessenkonflikt? Diese und viele andere Fragen beantwortete jüngst exklusiv das Praxisseminar Flug gebucht Die sicherheitsrelevanten Aspekte. Dabei ging es um die praktischen Vorbereitungen auf etwas, das man selbst nie erleben möchte und es auch anderen nicht wünscht: die Notlandung, gar Notwasserung des Flugzeugs, mit dem man gerade unterwegs ist. Das Thema geht jeden Passagier an, ob nun geschäftlich unterwegs oder auf dem Weg in den Urlaub. Noch relevanter wird s jedoch für private Sicherheitskräfte, vor allem Personenschützer. Denn sie tragen die Verantwortung nicht nur für sich selbst, sondern zusätzlich für ihre Schutzperson. Zwischen Ideal und Wirklichkeit Auch wenn sie es nicht zugeben werden, geht es Sicherheitskräften als Vielflieger nicht anders als anderen Passagieren: Wenn sich die Flugbegleiter in den Gängen aufstellen, um in Wort und Gestik die Sicherheitsanweisungen zu verkündigen, hört man nur mit halbem Ohr hin. Anschnallen, Schwimmwesten um- und Atemmasken anlegen alles schon so oft gehört und gesehen. Es flutscht ganz offensichtlich, im Ernstfall also kein Problem. Die Wirklichkeit sieht anders aus, wie sich die knapp 20 Seminarteilnehmer, zumeist Angehörige von Corporate- Security-Abteilungen, Personenschützer und andere private Sicherheitskräfte, überzeugen konnten. Es war eine Premiere sowohl für den veranstaltenden Fachverlag ProSecurity als auch für durchführende Agentur Pro Toura, die gemeinsam dieses ganz besondere Event eigens auf die Anforderungen privater Sicherheitskräfte abgestimmt hatten. Und das unter absolut realistischen Bedingungen: Im Lufthansa Flight Training Center am Flughafen Frankfurt werden in einem der größten Ausbildungszentren der internationalen Luftfahrt die Cockpit- und Kabinenbesatzungen von Lufthansa und 200 weiteren Fluggesellschaften trainiert. Fünf riesige Kabinen-Simulatoren bilden eine atemberaubende Kulisse. Drei dieser bis zu 70 Tonnen schweren Hightech-Anlagen stehen auf je sechs hydraulischen Stützen, die jede Bewegung absolut wirklichkeitsgetreu darstellen. Vom Main an den Hudson Was bei den Ausführungen von Andrea von Uffel (Langstrecken-Purserette = Übung an der Notrutsche Chefin der Kabinen-Crew) und Andreas Zeitler (Senior First Officer, in der Cockpit- Hierarchie zwischen Kapitän und Copilot angesiedelt) immer wieder deutlich wurde: Es ist wirklich höchst unwahrscheinlich, jemals von einer Notlandung betroffen zu sein. Aber ganz unmöglich ist es eben auch nicht, wie etwa US-Airways-Flug 1549 am 15. Januar 2009 zeigte: Wenige Minuten nach dem Start geriet ein Schwarm Wildgänse in die Triebwerke des Airbus A320, die daraufhin ihren Geist aufgaben. Die Maschine musste auf dem Hudson River notwassern. Alle 150 Passagiere und die fünf Besatzungsmitglieder überlebten dank Geistesgegenwart und Professionalität der Piloten und der umsichtig handelnden Kabinenbesatzung. Und trotz eines naseweisen Passagiers, der ohne Anweisung der Flugbegleiter eine der hinteren Kabinentüren geöffnete hatte, sodass frühzeitig Wasser in die Maschine eindringen konnte. Abgebrochener Start, steiler Sinkflug, Rauch durch Feuer aus der Bordküche in Frankfurt wird alles perfekt nachgestellt. Als die Teilnehmer dann auf Grund der Notlandung den Simulator über die Notrutschen auf ihrem Hinterteil verließen, geschah dies unter den eingangs erwähnten forschen Anweisungen von Purserette von Uffel: kein Bitte! und schon gar kein Danke! Da weiß man, wie ernst die Situation ist. Beide Fotos by Lufthansa AG/Lufthansa Flight Training Und nicht nur dann. Spätestens als die Teilnehmer die Schwimmwesten anziehen sollten und Andreas Zeitler das Licht ausschaltete, wurde den Teilnehmern bewusst, dass man auch als Sicherheitsprofi nie auslernt: Was bei der Demo durch die Crew so einfach aussieht und sich bei Tageslicht vielleicht noch einigermaßen sicher bewältigen lässt, das kann zum echten Problem werden, wenn s dunkel ist; vom Stress ganz zu schweigen. In der abgedunkelten Hands-on-Station vergingen jedenfalls mehrere Minuten, bis auch der Letzte die Verschlüsse seiner Weste fixiert hatte und das Zischen des automatischen Aufblasens zu hören war. An Bord in guten Händen Es war, so das Feedback der Teilnehmer, eine so lehrreiche wie exklusive Veranstaltung, die so viele Selbstverständlichkeiten einer Flugreise, aber vor allem das Verhalten im Notfall ins Bewusstsein rückte, das letztlich das Überleben sichert. Der Sicherheitschef eines Kreditinstituts zeigte sich angetan davon, dass hinter all den Sicherheitsmaßnahmen für Passagiere und Crew letztlich eine ausgefeilte Sicherheitsorganisation steckt, wie sie auch jede Corporate-Security-Abteilung in anderen Branchen aufbauen muss. Personenschützer wiederum nahmen jede Menge Detailkenntnisse mit, die ihnen nicht nur im Notfall helfen, ihrem Auftrag gerecht zu werden, sondern auch grundsätzlich dazu beitragen können, der Schutzperson das Gefühl zu vermitteln, auch während des Flugs in guten Händen zu sein. Im Fall der Fälle ein Plus für die Karriere! Und was den anfangs erwähnten Interessenkonflikt angeht: Tatsächlich muss der Personenschützer seiner Schutzperson auch bei einer Notlandung stets zur Seite stehen. Aber es spricht nichts dagegen, die Schutzperson ebenfalls als Preselected Person anzusprechen, wenn sie sich dem gewachsen sieht. Dann können beide gemeinsam helfen. 38 Security insight 1/