Nationale Sicherheitsstrategie. Matthias Wachter, BDI. Finanzwirtschaft. Fachzeitschrift für Unternehmenssicherheit. Titelthema: Spitzengespräch:

Transkript

1 77500 ISSN Einzelverkaufspreis: 12,- November/Dezember 6/2013 Fachzeitschrift für Unternehmenssicherheit Titelthema: Nationale Sicherheitsstrategie Spitzengespräch: Matthias Wachter, BDI Im Fokus: Finanzwirtschaft

2 Mein Freund, die NSA Editorial Eine Marke der Daimler AG The finest World of Protection. Sonderschutz ab Werk: außen unsichtbar, innen unverzichtbar. Der neue M-Guard VR4 und VR6. Die Kanzlerin schmollt. Ein Freund hat ihr Mobiltelefon abgehört und das, obwohl er zuvor mit treuen Augen das Gegenteil versicherte. So lässt sich aus Sicht der Bundesregierung der Sachstand der bekannt gewordenen Lauschangriffe von Nachrichtendiensten befreundeter Nationen zusammenfassen. Was dieser Zustand der beständigen illegalen Datensammlung für die Gesellschaft bedeutet, wird in den Medien heftig diskutiert und gehört nicht hierher. Uns interessiert die Perspektive der deutschen Wirtschaft, sprich: die Relevanz für die Unternehmenssicherheit. Wer die Bundeskanzlerin belauscht, ist nicht auf Terroristenjagd. Es geht um Informationsvorsprung. Wenn das also das Ziel der Amerikaner ist und nicht zu vergessen: der Briten, der Russen, der Chinesen usw., dann wäre es geradezu fahrlässig, wenn sie die ihnen zur Verfügung stehende Technik nicht auch, ach was: vor allem, zur Wirtschaftsspionage nutzten. Schließlich tun sie das seit Jahrzehnten. Die deutsche Wirtschaft müsste also empört sein. Doch Mindestlohn & Co. lockt Unternehmenssprecher viel mehr aus der Reserve. Die Reaktion auf die Lauschangriffe überlassen sie den Verbänden, die sich obendrein auffällig moderat äußern. Von deutschen Konzernvorständen, die ihre Muskeln spielen lassen könnten, ist zum Thema nichts zu vernehmen. Die Gründe dafür erfährt, wer sich mit den Leitern der Corporate-Security-Abteilungen unter vier Augen unterhält: Nicht nur, dass man um den Wissenshunger der ausländischen, auch befreundeten Nachrichtendienste weiß man profitiert auch von ihnen. Mancher Sicherheits- Verantwortliche deutscher Konzerne, die Niederlassungen in den USA unterhalten, sitzt bei seinem Besuch in den Staaten regelmäßig mit NSA-Vertretern zusammen und erhält wichtige Informationen, die ihm bei Ermittlungen oder Präventionsmaßnahmen helfen. Das lässt die Sicherheitspolitik unseres Landes gleich doppelt schlecht aussehen. Zum einen hat sich die Abwehr von Wirtschaftsspionage erst dann auf die politische Agenda schleppen können, als es die Kanzlerin persönlich traf. Zum anderen fühlen sich deutsche Unternehmen in Sachen Sicherheit offensichtlich von befreundeten (hier bewusst ohne Anführungszeichen) Nachrichtendiensten offensiver unterstützt als von den eigenen. Der Bundesverfassungsschutz müht sich redlich, die deutsche Wirtschaft vor Spionen zu schützen. Allerdings war seinem Präsidenten nach eigenen Angaben bis zu den Einlassungen Edward Snowdens kein Beispiel für die Aktivitäten befreundeter Dienste bekannt. Das lässt tief blicken. Um die Konzerne müssen wir uns vermutlich keine Sorgen machen. Das Problem ist man kann es nicht oft genug wiederholen unser Mittelstand, der auch jetzt wieder an Sicherheits-Phlegma kaum zu überbieten ist. Wenn wir auch sonst so ungern an die Politik appellieren, so ist ihr Engagement notwendig wie selten. Deutschland braucht endlich eine nationale Sicherheitsstrategie, die diesen Namen verdient knallhart und auf die eigenen Interessen ausgerichtet. Marcus Heide, Chefredaktion 6/2013 3

3

4 inhalt inhalt Inhalt Zum Titel Unternehmenssicherheit braucht eine umfassende Strategie auch auf politischer Ebene. Foto: viperagp - Fotolia.com Spitzengespräch 8 Matthias Wachter, BDI: Wirtschaftsspionage völkerrechtlich ächten! Titelthema 10 Nationale Sicherheitsstrategie: Deutschland braucht gesetzlich ernannte Security-Beauftragte! Perspektiven 16 Sicherheitsmarketing: Setzt auf Emotionen! 19 Kooperation ASW/ASIS: Erweiterter Aktionsradius, intensiverer Austausch Interview Im Fokus: Finanzwirtschaft 22 Change Management: Der Wandel darf kein Ausnahmezustand sein 25 Schlüsselmanagement bei Schweizer Großbank: So sinkt die Umlaufmenge der Schlüssel 26 IT-Infrastruktur für Sicherheitstechnik: Neuer Wein in bestehenden Schläuchen 28 Krisenmanagement (I): Prozesse und Ressourcen sind untrennbar miteinander verwoben 30 Zutrittsorganisation bei Volksbank Filder: Filialen im virtuellen Netz 32 Krisenmanagement (II): Kontinuität als Rettungsanker 34 Zutrittskontrolle: An den Prozessen orientiert 36 Spezialalarmanlagen: Geldautomaten unter Beschuss Sicherheits-Consulting Einzelhandel 42 EuroCIS in der EuroShop : Investitionsbereitschaft auf hohem Niveau 43 Schlüsselverwaltung: Mahnung zur Rückgabe 44 Schließsystem: Massenhaft Tresore und nur ein Schlüssel Hintergrund 46 Sicherheitstechnik + IT: Eine weiße Liste ist besser als eine schwarze Perimeter-Sicherung 48 Grundlagen der Außenhaut-Absicherung: Draus vom Walde komm ich her 50 Projekt RWE Power in Elsdorf: Mit Blick auf die Logistik 51 Speziallösungen: Erfindergeist und Erfahrung Technik 52 Interview Martin Bemba: Bollwerk der Brandschutztechnik 54 Design: Damit die Alarmanlage zu Möbeln und Fußboden passt 56 Hightech-Monitore für Seebühne Mörbisch: Erst Bühnenblick, dann Evakuierungsinfo SECURITY insight 58 Vorschau und Impressum Beilagenhinweis Dieser Ausgabe liegt eine Beilage der Mobotix AG, Winnweiler, bei 20 Rainer K. Füess, tisoware: Seit der Finanzkrise ist Zutrittskontrolle ein Wachstumsmarkt 38 GEOS Germany: Auf dem kontinentaleuropäischen Weg 40 Deutsche Inkerman: Selbst Betriebsräte sind überzeugt sie-sind-überall.org Mehr Menschlichkeit für Tiere 6 Security insight 6/2013 7

5 Spitzengespräch Spitzengespräch Wirtschaftsspionage völkerrechtlich ächten! Matthias Wachter, BDI-Abteilungsleiter Sicherheit und Rohstoffe, über die NSA-Abhöraffäre, bürokratische Meldepflichten und die Allianz für Cybersicherheit Matthias Wachter ist Abteilungsleiter Sicherheit und Rohstoffe beim Bundesverband der Deutschen Industrie (BDI) in Berlin. SECURITY insight: Herr Wachter, Politik und Behörden springen offiziell erst durch das Abhören des Smartphones der Kanzlerin auf die NSA-Abhöraffäre an. Der BDI aber gab sich von Anfang an besorgt. Haben Sie die Bedeutung besser eingeschätzt? Matthias Wachter: Die Medienberichte über das Ausmaß der Überwachung und Speicherung von Daten durch die NSA sind aus Sicht der deutschen Industrie beunruhigend. Das ist das Ergebnis einer BDI-Blitzumfrage unter Mitgliedsfirmen. Die Unternehmen sind vom Ausmaß dieser Abhöraffäre durchaus überrascht. Zwar war Sicherheitsexperten bewusst, dass die amerikanischen und britischen Dienste die Kompetenzen Stichwort: Patriot Act und die technischen Möglichkeiten besitzen. Und sie auch aktiv nutzen. Überrascht hat uns also nicht die Tatsache, umso mehr aber die Dimension und deshalb die ungewöhnlich pointierte Reaktion? Natürlich. Die deutschen Unternehmen beziehungsweise die deutsche Industrie hat ein ganz großes Interesse daran, ihr Know-how und ihre Produktionsstätten zu schützen. Deshalb ist auch eine gewisse Grundsensibilität vorhanden. Berücksichtigt das die Politik zu wenig? Zumindest nicht immer mit den zweckmäßigsten Mitteln. Wir sehen mit einer gewissen Sorge, dass es immer wieder Bestrebungen gibt, gesetzliche Meldepflichten einzuführen, vor allem in Sachen Cybersicherheit. Nach unserer Auffassung sind solche Meldepflichten nicht der richtige Ansatz. Sie sind bürokratisch, also mit erheblichem Aufwand für Unternehmen verbunden und aus unserer Sicht nicht zielführend. Insbesondere mit Blick auf die Cybersicherheit kommt es darauf an, Attacken schnell und unbürokratisch melden zu können. Wenn jedoch das Meldungsprozedere gesetzlich geregelt wird, verlangsamt das erfahrungsgemäß den Prozess. Bei einer Meldepflicht werden viele Unternehmen den Vorgang beispielsweise erst einmal durch die Compliance-Abteilung laufen lassen, um zu prüfen: Ist dieser Tatbestand meldepflichtig, was muss im Detail gemeldet werden, ist er eventuell börsenrechtlich relevant? Beispiel Vodafone: Es kommt selten vor, dass Unternehmen von sich aus mitteilen: Man hat uns zwei Millionen Kundendaten geklaut. Meistens möchten Unternehmen über solche Fälle lieber den Mantel des Schweigens breiten. Richtig. Das ist auch einer unserer zentralen Argumente gegen die Meldepflicht, mit der sich auch Ihr Beispielfall nicht hätte verhindern lassen. Hinzu kommt: Unternehmen haben natürlich die begründete Sorge, dass sie einen Imageschaden erleiden, wenn eine solche Attacke publik wird, der sogar größer sein könnte als der durch den Hackerangriff verursachte. Deshalb ist es uns so wichtig, dass Strukturen geschaffen werden, in denen solche Fälle unkompliziert, unbürokratisch und vor allem anonymisiert gemeldet werden können, damit das einzelne Unternehmen hinterher nicht am Pranger steht, gleichzeitig aber die Behörden schnell die Information haben, um zu reagieren. Darin liegt der Ansatz der Allianz für Cybersicherheit, die wir jetzt zusammen mit unserem Mitgliedsverband Bitkom und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) aufbauen. Mit welcher Funktion? Ziel der Allianz ist es, Unternehmen, die freiwillig mitmachen, die Möglichkeit zu geben, solche Fälle unbürokratisch ans BSI zu melden. Das BSI kann so ein Lagebild erstellen und die beteiligten Unternehmen im Gegenzug informieren und warnen. Die Allianz stellt den Unternehmen auch Informationen zur aktuellen Gefährdungslage zur Verfügung. Unterstützt der BDI solche Vorschläge durch eigene Maßnahmen? Selbstverständlich. Wir haben uns als BDI mit den Themen Unternehmens- und IT-Sicherheit frühzeitig beschäftigt und im vergangenen Jahr die Abteilung Sicherheit und Rohstoffe neu gegründet. Es ist eine neue Gremienstruktur mit Experten aus den Unternehmen geschaffen worden: der Ausschuss für Sicherheit mit dem Unterausschuss für Wirtschaftsschutz. Und wir haben uns im vergangenen Jahr auf dem Themenfeld des Wirtschaftsschutzes als bis dato einziger Spitzenverband klar positioniert. Mit der Gründung und dem Aufbau der Allianz für Cybersicherheit und der Unterzeichnung der gemeinsamen Erklärung zur Nationalen Wirtschaftsschutzstrategie Ende August zwischen BDI-Präsident Grillo, DIHK-Präsident Schweitzer und Bundesinnenminister Friedrich haben wir nach unserer Auffassung erste Meilensteine gesetzt. Die Arbeitsgemeinschaft für Sicherheit der Wirtschaft (ASW) mit ihren Landesverbänden ist in Deutschland eine der profiliertesten Organisationen in Sachen Unternehmenssicherheit. Gleichwohl ist der BDI vor einiger Zeit ausgetreten. Sehen Sie in Zukunft wieder Perspektiven zur engeren Zusammenarbeit? Der Austritt aus der ASW erfolgte im Zuge der erwähnten Neuaufstellung des BDI im Handlungsfeld Sicherheit. Gleichwohl haben wir nie aufgehört, eng mit der ASW zu kooperieren und im Interesse der Sache zusammenzuarbeiten. So wurde der ASW-Vorsitzende, Volker Wagner, erst kürzlich im Vorstand des BDI- Unterausschusses für Wirtschaftsschutz wiedergewählt. Im Dezember werden wir zudem eine gemeinsame Veranstaltung zum Thema Wirtschaftskriminalität durchführen. Der Präsident des Bundesamtes für Verfassungsschutz, Dr. Hans-Georg Maaßen hat mitgeteilt, dass seiner Behörde kein Beispiel von Wirtschaftsspionage seitens befreundeter Dienste bekannt sei. Wie kann denn der Verfassungsschutz überhaupt eruieren, ob die s eines deutschen Unternehmens, die über einen Server in den USA gelaufen sind, abgefangen und mitgelesen wurden? Wir müssen tatsächlich zur Kenntnis nehmen, dass auf Grund der internationalen Vernetzung der Datenströme und der datentechnisch weltweit offenen Grenzen, sich ganz neue Herausforderungen ergeben. Damit müssen wir umzugehen versuchen. Deshalb hat BDI-Präsident Grillo explizit zum Ausdruck gebracht, dass die deutsche Industrie das No-Spy- Abkommen auch mit befreundeten Ländern ganz klar unterstützt. Wir finden gut, was die Bundesregierung da macht. Wir gehen sogar noch einen Schritt weiter: Eigentlich brauchen wir auch eine völkerrechtliche Ächtung von Wirtschaftsspionage, die als ein absolut unlauteres Mittel anzusehen ist, das letztlich allen schadet. Die Fragen stellte Peter Niggl. 8 Security insight 6/2013 9

6 Titelthema: Nationale Sicherheitsstrategie Titelthema: Nationale Sicherheitsstrategie Deutschland braucht gesetzlich ernannte Security-Beauftragte! Foto: Klaus Eppele - Fotolia.com Das deutsche Sicherheitsbewusstsein Betrachten wir aus unserem deutschen Blickwinkel die Konsequenzen, die sich aus der Tatsache ergeben, dass eine befreundete Vorbildnation aktiv Spionage gegen uns betreibt. Es ist keine neue Erkenntnis, dass politische Freunde gleichzeitig wirtschaftliche Gegner sein können. Schon der französische Präsident Mitterand sprach 1989: Betrachten wir die Weltwirtschaft, so sieht man ein Schlachtfeld vor sich, auf dem sich die Unternehmen einen gnadenlosen Krieg liefern. Gefangene werden nicht gemacht. Wer fällt, stirbt. Der Sieger kämpft nach alterprobten kriegsstrategischen und sehr einfachen Regeln: die beste Vorbereitung, die schnellsten Bewegungen, der Vorstoß auf feindliches Terrain, gute Verbündete, der Wille zum Sieg. SI-Autor Bernd Oliver Bühler absolvierte ein Studium der Wirtschaftswissenschaften mit Schwerpunkt Betriebswirtschaft an der Universität Poitiers in Frankreich sowie ein Aufbaustudium an der École de Guerre Économique (Schule für Wirtschaftskrieg) an der Managementschule ESLSCA in Paris. Er ist Geschäftsführender Gesellschafter der Janus Consulting GmbH, Inhaber der Wirtschaftsdetektei ISIS sowie Gastdozent an renommierten Lehrinstituten in Paris und Kairo. Dieser Erkenntnis hat man sich in Deutschland jahrelang bewusst verweigert, wiederum im Sinne eines geradezu stilisierten deutschen Gutmenschentums. Frei nach dem Motto: Wir tun es nicht, und somit tut es jeder andere auch nicht! Sicherheitsbewusstsein und Sicherheitsstrukturen in Deutschland wurden seit dem Ende des Kalten Krieges den neuen globalen Erfordernissen nicht mehr zielführend angepasst. Der Deutsche fühlt sich von Freunden umzingelt, was dazu führt, dass wir die einzige Industrienation der Welt sind, die auf die Erarbeitung einer umfassenden nationalen Sicherheitsstrategie konsequent verzichtet hat. Von ein paar Weiß- Schluss mit dem stilisierten Gutmenschentum / Fünf Forderungen für eine nationale Sicherheitsstrategie als Lehre aus dem NSA-Skandal Von Bernd Oliver Bühler Jeden Tag gibt es neues Material von Edward Snowden zu den Aktivitäten des US-Geheimdienstes NSA. Inzwischen warnen sogar die amerikanischen Behörden selbst ihre Partner vor neuen Enthüllungen. Dabei darf nicht unter den Tisch fallen, dass andere, teilweise in Europa ansässige Sicherheitsbehörden und Nachrichtendienste Daten massenweise ausspähen. Es ist zu kurz gedacht, nur die USA für ihr Verhalten an den Pranger zu stellen. Aber Deutschland sollte im eigenen Wirtschaftsinteresse Lehren daraus ziehen. Schon ewig rivalisieren Spionage und Prostitution um die Position des ältesten Gewerbes der Welt. Im Alten Testament werden beide ausführlich beschrieben. Das Gros der Erkenntnisse durch die Snowden-Dokumente steht zwar nicht in der Heiligen Schrift, ist aber auch nicht wirklich neu. Spätestens seit dem Echeleon-Bericht der EU-Kommission vor über zehn Jahren ist schriftlich fixiert, dass auch ein politisch befreundetes Land nicht mehr vom Verdacht frei ist, Spionage gegen Deutschland zu betreiben. Die Aufregung ist somit einerseits nur bedingt nachvollziehbar. Allerdings lässt sie sich andererseits auch nicht als Anti-Amerikanismus einfach so zur Seite schieben. Deutschland und die USA: ein Vergleich Die Zeit des ewigen Friedens, die wir Deutschen nach dem Ende des Kalten Krieges, dem Fall der Berliner Mauer und der Wiedervereinigung fühlten, ist bis heute in unseren Köpfen und denen der Politiker verankert. Wir stellen uns noch immer nicht den Realitäten, sondern lassen gerne unsere Verbündeten die Arbeit für uns tun. Mit Blick auf Afghanistan fällt es uns schwer, das Wort Krieg mit allen damit verbundenen Konsequenzen in den Mund zu nehmen. Trotz der Tatsache, dass die Bundeswehr noch nie an so vielen Brandherden der Welt gleichzeitig unterwegs war, wird die Wehrpflicht abgeschafft, Bundeswehrstandorte werden zusammengestrichen und Einsparungen im Bundeshaushalt bevorzugt im Verteidigungsetat vorgenommen. Amerika hat einen ganz anderen Weg eingeschlagen. Unangefochten einzige Supermacht nach dem Fall des Warschauer Pakts, sind die USA nun bedroht in ihrer Vormachtstellung durch den wirtschaftlichen Aufstieg Chinas, der daraus resultierenden Abhängigkeit sowie der Hochtechnisierung anderer Länder wie Nordkorea und Iran. Nicht zu vergessen das Trauma des 11. September. Das Land befindet sich in einem Zustand erhöhter Alarmbereitschaft. 10 Security insight 6/

7 Titelthema: Nationale Sicherheitsstrategie Titelthema Auch der Schutz von Unternehmensdaten ist ein zentrales Wirtschaftsgut. Deswegen bedarf es eines neuen Gesetzes, dessen zentraler Kern das Anrecht der Unternehmen auf Unversehrtheit ihrer Geschäftsgeheimnisse ist. büchern und Lageberichten diverser Sicherheitsbehörden einmal abgesehen. Aus diesen Erkenntnissen ergeben sich fünf Forderungen. Forderung 1: Stärkung des Wirtschaftsstandorts Wissen und Forschungskapazität der am deutschen Markt tätigen Unternehmen verleihen diesem Markt seine Einzigartigkeit. Seine Fähigkeiten und seine Vernetzung mit der Weltwirtschaft finden in der Welt große Beachtung und tragen auch erheblich zum Einfluss deutscher Politik bei. An dieser Stelle tritt der erste Paradigmenwechsel in den Vordergrund: Rein deutsche Unternehmen wie früher durch die Vernetzung der Deutschland AG gibt es immer weniger. Beispiel Aktionärsstruktur der Daimler AG: 32,8 % in deutscher Hand, USA 23,8 %, Europa (ohne Deutschland) 32,1 %, Kuwait 6,9 %, Asien 3,7 %, Sonstige 0,7 %. Somit geht es nicht mehr nur um den Schutz deutscher Unternehmen, sondern um den Schutz der am Standort Deutschland aktiven Unternehmen. Auch ausländische Unternehmen und Konzerne, in denen oft deutsche Gelder stecken, zahlen Steuern, schaffen Arbeitsplätze, investieren in Forschung und Entwicklung. Unternehmen brauchen Rechtssicherheit und Verlässlichkeit der staatlichen Partner sowie deren uneingeschränkte Unterstützung, um sich auf ihre originären Aufgaben zu konzentrieren. Ein neuer, aktiver Schutz der Wirtschaft muss zum Wettbewerbsvorteil des Standorts Deutschland werden, um langfristig Prosperität und Arbeitsplätze zu sichern und zu schaffen. Dies gelingt nur, wenn der Abfluss des in Deutschland vorhandenen Wissens und Know-hows verhindert wird. Wirtschaftsschutz ist als Summe der Maßnahmen zu definieren, die die Wettbewerbsfähigkeit des Standorts Deutschland im globalen Kontext nicht nur schützen, sondern auch steigern. Das Postulat, dass sich die Wirtschaft in erster Linie selbst schützt, muss endlich aufgegeben werden. Wirtschaftsschutz muss somit im Rahmen einer gesamtgesellschaftlichen Aufgabenstellung, vergleichbar mit der in anderen Industrienationen, zu einem weiteren Kern staatlicher Aufgaben und staatlichem Selbstverständnis werden. Aktuelle Positionspapiere der Spitzenverbände artikulieren entsprechende Forderungen und Wünsche. Hier herrscht eklatanter Nachholbedarf! Foto: Uwe Schlick/pixelio.de Forderung 2: Gesetzliche Ernennung von Beauftragten für Unternehmenssicherheit Das Risiko nicht nur durch (staatliche) Wirtschafts-, sondern auch durch (privatwirtschaftliche) Industriespionage hat konsequent zugenommen. Der Wirtschaftsstandort Deutschland weckt Begehrlichkeiten, teilweise auch Neid und Gier. Auch weil der Gegner nicht automatisch immer nur von außerhalb Europas kommt, sondern oft auch im Inland anzutreffen ist, ist es umso mehr in unserem Interesse, nicht nur einen ganzheitlichen Wirtschaftsschutz anzustreben, sondern auch die Implementierung von Corporate-Security-Spezialisten für am deutschen Standort tätige Unternehmen voranzutreiben. Sicherheitsrisiken und veränderte Sicherheitsanforderungen verlangen die klare Positionierung, Stärkung und gesetzliche Verankerung von Sicherheits-Verantwortlichen! Forderung 3: Verstärkter Schutz von Unternehmenswissen Unternehmenswissen wird bisher vor allem durch das Gesetz gegen den Unlauteren Wettbewerb (UWG) geschützt. Es bietet aber noch keinen lückenlosen Schutz, da es nur Maximalstrafen von bis zu fünf Jahren vorsieht. Handlungsbedarf gibt es auf jeden Fall beim Schutz von Unternehmensdaten. Gerade erst hat die EU das Gesetzgebungsverfahren für eine neue EU-Datenschutz-Grundverordnung verlängert, um beim Schutz personenbezogener Daten den Spähaffären Rechnung zu tragen. Dabei sollten weder EU noch Bundesregierung vergessen, dass auch der Schutz von Unternehmensdaten ein zentrales Wirtschaftsgut ist. Deswegen ist es umso wichtiger, ein neues Gesetz zu schaffen, dessen zentraler Kern das Anrecht der Unternehmen auf Unversehrtheit ihrer Geschäftsgeheimnisse ist. Die Verletzung derselben durch Wirtschafts- und Industriespionage, Produkt- und Markenpiraterie, IT- Kriminalität usw. muss endlich mit drastischen, gar drakonischen Strafen geahndet werden. Schließlich verursachen diese Straftaten jedes Jahr Schäden in Milliardenhöhe und gefährden über kurz oder lang auch den Wirtschaftsstandort Deutschland. Auf internationaler Ebene herrscht höchster Nachholbedarf, um dem Wildwuchs an Datenabgriffen Herr zu werden. In der Kommunikationstechnologie besteht ebenfalls höchster Nachholbedarf in Sachen IT-Forensik und gesetzliche Aufklärung und Ahndung illegaler Manipulationen. Forderung 4: Neue Ausrichtung der Sicherheitsbehörden Die Sicherheitsbehörden müssen sich mit Blick auf die neue Lage einer globalisierten Weltwirtschaft neu ausrichten im Sinne einer ganzheitlichen, parteipolitisch losgelösten Gefahrenprävention und -abwehr. Ihre Aufgabenstellung und teilweise auch ihr Selbstverständnis fußt immer noch auf den Szenarien des Kalten Krieges, in dem es leichter war, im Sinne einer gefühlten Schwarz- Weiß-Trennung Freund und Feind zu unterscheiden, als heute, da immer mehr Grautöne sichtbar werden. Erschwerend kommt hinzu, dass die Sicherheitsbehörden der jungen Bundesrepublik mit einem aus heutiger Sicht übertriebenen Maß an Selbstbeschränkung, mangelndem Vertrauen in ihre Arbeit und Zuverlässigkeit sowie einem daraus resultierenden stark limitiertem Ermessens- und Handlungsspielraum gegründet und geführt wurden. Die Komplexität der Lage ab 2001 (da wurde es für jeden sichtbar vorhanden war die Komplexität schon vorher!) erfordert neue Strukturen der Sicherheitsbehörden. Auch die grundlegende Unterteilung in Abwehr und Aufklärung mit den Schwerpunkten In- und Ausland ist nicht mehr zweckmäßig, da die Grenzen inzwischen fließend sowie verschiedene Risiken und Bedrohungen FOKUS SICHERHEIT Intelligente Terminals, Zutrittsleser und digitale Schließtechnik mit ein und demselben Transponder- oder Ausweismedium zu bedienen und zentral mit der ISGUS-Software zu verwalten, ist die ideale Verbindung von Zutrittskontrolle und Schließtechnik. 12 Security insight 6/ www. isgus. de

8 Titelthema Titelthema: Nationale Sicherheitsstrategie nicht mehr geografisch eingrenzbar sind. Auch der Föderalismus, die Aufteilung in eigenständige Landesämter, steht der Effizienz ebenso im Weg wie die politisch gewollte Negierung der Bedrohung. Zentralisierung und gleichzeitig eine verstärkte Zusammenarbeit innerhalb der EU würden zur erheblichen Effizienzsteigerung führen. Der Standort Deutschland braucht eine ganzheitliche Sicherheitsstrategie, in der der Föderalismus nicht mehr zum Hindernis, sondern zum Mehrwert wird. Die föderale Aufstellung der deutschen Sicherheitsbehörden und ihre Aufgabenstellung wird den internationalen Anforderungen einer globalen Wirtschaft immer weniger gerecht, teilweise gar nicht mehr. Hilfskonstrukte in Form von Koordinierungsstellen sind keine zukunftstaugliche Lösung. Es bedarf der Neuordnung, Neuausrichtung sowie Kompetenzerweiterung der Sicherheitsbehörden. Forderung 5: Erarbeitung einer nationalen Sicherheitsstrategie Die Verteidigung Deutschlands fängt innerhalb der deutschen Grenzen an. Das Problem ist nicht die amerikanische Stärke, sondern die deutsche/europäische Schwäche und die daraus folgende Unterordnung. Deutschlands Bedeutung für die europäischen Partner und die Weltwirtschaft muss sich auch in einer nationalen Sicherheitsstrategie widerspiegeln. Diese darf aber nicht mehr auf einer Schwarz-Weiß-Zeichnung im Sinne Freund/Feind basieren, sondern auf der Definition und Wahrung der strategischen Interessenslage Deutschlands (Politik, Wirtschaft, Verteidigung, Gesellschaft) bevorzugt mit Abstimmung innerhalb der EU. Vielleicht ist das die notwendige Initialzündung, um die Gemeinsame Außen- und Sicherheitspolitik (GASP) weiterzuentwickeln. Fazit Es wird auch in Zukunft nicht an Nachrichten über die Aktivitäten ausländischer Geheimdienste mangeln, da wir in einer Zeit leben, in der kein Geheimnis ewig währt. Sind die Masken sind gefallen? Leider ja. Hinter einer ganzen Menge vorgegebener Professionalität offenbart sich Blindheit, Teilzeit-Autismus und pure Ignoranz. Dies zeigt aber auch, wie wenig wir in Deutschland wirklich auf den aktiven Wirtschaftsschutz vor Freund und Feind vorbereitet, respektive willens sind, diesen zu verteidigen. Dass es auch anders geht, zeigt das Beispiel des US-Verbündeten Japan hatte die NSA bei der japanischen Regierung um Unterstützung beim Abgreifen von Daten aus Unterseekabeln gebeten, die den Inselstaat erreichen. Tokio lehnte dieses Hilfeersuchen ab und begründete dies mit der Illegalität der Maßnahme, selbst wenn sie dem Kampf gegen den Terrorismus diene. Für Wirtschaft, Politik und Gesellschaft kann dies nur Folgendes bedeuten: Foto: Uwe Schlick/pixelio.de ein notwendiger Politik- und Gesinnungswechsel, der endlich der Wirklichkeit genügt und das manchmal bequeme historisch bedingte Bett verlässt, um eine effiziente und zukunftsorientierte Sicherheitspolitik zu gestalten (Stichwort: Effizienz) eine Sicherheitspolitik, die ihren Namen verdient und dies sowohl in der Konzeption als auch in der Umsetzung verdeutlicht (Stichwort: Sicherheitsstrategie) eine Umsetzung, die nationale Interessen schützt und gleichzeitig den europäischen und transatlantischen Verbund fördert (Stichwort: GASP). Sicherung des Hinterlands Der Erfolg der deutschen Industrie ist in hohem Maße der Erfolg des deutschen Mittelstands. KMUs sind aber häufig in Sicherheitsbelangen nicht gerüstet. Die Sicherheit der Global Player beginnt nicht innerhalb ihres Unternehmens, sondern bereits im Umfeld ihrer Wirtschaftsbeteiligten (Zulieferer, Kunden, Vertrieb). Wollen wir die Global Player der deutschen Industrie noch sicherer machen, müssen wir ihr Hinterland sichern: den deutschen Mittelstand, der nachhaltig zum Erfolg der Großkonzerne beiträgt. Für die Wirtschaft bedeutet die durch die NSA-Affäre neu angefachte Sicherheitsdiskussion derzeit nur eines: Gerade jetzt muss die Wirtschaft ihr eigenes Schicksal noch mehr in die Hand nehmen, ohne gleichzeitig daran zu verzweifeln. Erstens gibt es keine neue Bedrohungslage, sondern nur die erneute Bestätigung alter Vermutungen. Zweitens ist auch diese Situation kein Anlass, die Hände resigniert in den Schoß zu legen. Vielmehr stehen dem Standort Deutschland in einer immer unsicherer werdenden Welt zahlreiche Möglichkeiten offen, um Unternehmen einen soliden, belastbaren Grundschutz zu ermöglichen und diesen dauerhaft aufrechtzuerhalten. Die Sicherheitsbehörden müssen sich neu ausrichten im Sinne einer ganzheitlichen, parteipolitisch losgelösten Gefahrenprävention und -abwehr. Nirgendwo denkt man über Deutschland so schlecht wie in Deutschland selbst, und doch ist ein Weiter so keine Option mehr. Wirtschaft und Politik müssen näher zusammenrücken im gemeinsamen Interesse. Die sich zum Redaktionsschluss abzeichnende große Koalition verfügt mit 80 Prozent der Stimmen im Bundestag und einer satten Mehrheit im Bundesrat über alle notwendigen Mehrheiten, um eine grundlegende Reform einzuleiten. Dann kann Deutschland als Partner und Verbündeter, der für Effizienz, Rechtssicherheit und Verlässlichkeit steht, seine Position in der Welt weiter ausbauen. 14 Security insight 6/

9 Perspektiven Setzt auf Emotionen! Auf der jüngsten Sicherheitskonferenz der Donau-Universität Krems stand das Thema Sicherheitsmarketing im Fokus Von unserem Wiener Korrespondenten Richard Benda Braucht Sicherheit Marketing? Eigentlich ist doch jeder Mensch und jede Organisation selbst daran interessiert, möglichst sicher zu sein. Doch wer in der Sicherheitsbranche tätig ist, der weiß um die mangelnde Sexyness des Themas. Um Sicherheitsmarketing drehte sich dann auch die 11. Sicherheitskonferenz der Donau-Universität in Krems. Perspektiven Hohes Selbstbewusstsein mindert Risikobewusstsein SECURITY insight: Herr Wiesinger, die Menschen haben ein natürliches Sicherheitsbedürfnis. Warum muss man sie dann förmlich zwingen, diesem Bedürfnis nachzugehen? VSÖ-Vorsitzender Martin Wiesinger im Kurzinterview auf der Sicherheitskonferenz Die Organisatoren des 11. Sicherheitskongresses der Donau-Universität Die Situation ist widersprüchlich: Die meisten Unternehmen fassen das Thema Sicherheit nur mit spitzen Fingern an. Und das in einer Zeit, in der die politische und wirtschaftliche Macht in der Welt neu verteilt wird, in der weitläufig regionale und lokale Ordnungen zerfallen, in der sich Konflikte entlang der religiösen und kulturellen Bruchlinien verstärken. Kann das gut gehen? Prof. Dr. Günther Schmid, einst leitender Mitarbeiter des deutschen Bundesnachrichtendienstes, entwarf in Krems ein pessimistisches Bild der europäischen Zukunft. Nicht unähnlich dem Verhalten der europäischen Staaten verhalte sich auch die Wirtschaft, ja eigentlich die gesamte Bevölkerung. Das Problem Sicherheit wolle niemand wahrhaben. Es wird schon gut gehen, so die landläufige Meinung. Sicherheit kostet Geld, trägt aber nichts sichtbar zur Wertschöpfung bei, so die allgemeine Haltung. Eine These, der widersprochen werden muss. Mehr Sicherheit = weniger Freiheit? Allerdings nicht seitens der Erziehungswissenschaftlerin Prof. Dr. Marianne Gronemeyer. Sie sieht Sicherheit und Deutschland war mit Referenten stark vertreten, hier Prof. Dr. Günther Schmid (l.) und Prof. Dr. Ullrich Wünsch, Rektor der Hochschule für populäre Künste in Berlin. Freiheit im Konkurrenzverhältnis. Der für sie übertriebene Sicherheitswahn führe unweigerlich zum Verlust von Freiheit. Dass sie bei dieser Einschätzung beispielsweise die US-Regierung mit deutschen oder österreichischen Mittelständlern in einen Topf warf und eine Differenzierung zwischen Politik und Wirtschaft vermissen ließ, war ihr wohl nicht bewusst. Gronemeyer kritisierte, dass Sicherheit zur Ware geworden sei, die sich nur Reiche leisten können. Die Sicherheitsindustrie sei ständig auf der Suche nach neuen Gefahren, und kaum seien diese gebannt, würde schon die nächste gesucht. Mehr Sicherheitsleistungen würden nicht zu mehr Sicherheit führen, so ihre Meinung. Die Frage nach der Notwendigkeit von Sicherheitsmarketing erübrigt sich an dieser Stelle. Warum hat Sicherheit eigentlich einen hohen Stellenwert, aber jene, die sie produzieren, einen schlechten Ruf? Diese Frage beantwortete Buchautor und Markenexperte Jon Christoph Berndt und Martin Wiesinger: Es mangelt den Menschen mehr oder weniger am Bewusstsein für die Risiken, die sie eingehen. Solange mögliche Konsequenzen aus diesem Manko nur den Verursacher treffen, ist es sein Problem. Problematisch ist das subjektive Sicherheitsempfinden der Verantwortlichen im Sicherheits-Management. Hier können Entscheidungen die Unternehmenssicherheit und somit die Sicherheit vieler Mitarbeiter beeinflussen, und es kann so zu Defiziten kommen. Wieso haben Führungskräfte ein schwaches Risikobewusstsein? Das liegt an ihrem uneingeschränkten Positiv-Denken und dem unerschütterlichen Glauben an die eigenen Fähigkeiten. Diese Eigenschaften sind für ein ausgeprägtes Risikobewusstsein eher hinderlich und führen oft zu einer Sicherheitsphilosophie der Ignoranz. Dabei ist die Unternehmensleitung die eigentliche Zielgruppe für die Sicherheit. So wird Unternehmenssicherheit in kleinen und mittleren Unternehmen oft gar nicht als Aufgabe erkannt. Gibt es weitere Faktoren, die das Sicherheitsdenken behindern? Sicherheitsprobleme werden oft nicht wahrgenommen, weil Kontrollmechanismen fehlen. Darüber hinaus werden Sicherheitsmaßnahmen als unnützer Kostenfaktor und nicht als Teil der Wertschöpfungskette angesehen, eine schlechte Ausgangsbasis für die Bewilligung von entsprechenden Mitteln. 16 Security insight 6/

10 Perspektiven Perspektiven Erlanger Sicherheits-Service verstärkt die Geschäftsführung Der Markt für Sicherheits-Dienstleistungen ist ständig in Bewegung: Hohes Geschäftspotenzial geht einher mit ebensolchem Kostendruck. Darauf ist auch die ESS-Erlanger Sicherheits-Service GmbH eingestellt und das desto besser, als jüngst der Generationenwechsel vorbereitet wurde: Die Gesellschafter INNO GmbH und Nürnberger Wach- und Schließgesellschaft mbh haben einstimmig Fabian Fricke, Prokurist und Sohn von Geschäftsführer Dirk Fricke, im vergangenen September in die Geschäftsführung berufen. Damit ist sichergestellt, dass der bisherige Weg der seriösen und professionellen Führung erfolgreich fortgesetzt wird, so Dirk Fricke gegenüber SECURITY insight. ESS steht seit 1994 für hochwertige Sicherheits-Dienstleistungen in komplexen Verwaltungs- und Industrieobjekten sowie für Sicherheitsaufgaben, für die es speziell ausgebildeten Personals und technischer Ausrüstung bedarf, beispielsweise eine eigene Hundestaffel. Das Unternehmen beschäftigt gut 400 qualifizierte Mitarbeiter an den Standorten Erlangen und Magdeburg und ist bundesweit tätig. Zu den Kunden zählen unter anderem internationale Groß- sowie mittelständische Technologieunternehmen. Eine der wichtigsten Aufgaben, die nun vor uns liegen, ist es, die Position von ESS im Markt zu stärken sagt Dirk Fricke. Hier bringt Fabian Fricke neue Ideen ein, die er gemeinsam mit dem bestehenden ESS-Team sukzessive angehen und umsetzen will. belegte seine Antworten mit Beispielen. Die oft furchtbare Uniformierung der Polizei und privaten Sicherheits-Dienstleister sei kontraproduktiv für das Ansehen. Dass die Ausrüster das allerdings in Beratungsgesprächen nicht ansprechen, sei ihnen kaum anzulasten es gefährdet schlichtweg die Folgeaufträge. Berndt hält Marketing für unbedingt notwendig, auch um als Marke erkennbar zu sein. Dazu bedürfe es Persönlichkeit, Qualität und Verpackung. Für Martin Wiesinger, Vorsitzender des VSÖ und Geschäftsführer von Securitas Österreich, stehen dem erfolgreichen Marketing gesetzliche Rahmenbedingungen und mangelndes Image der Branche im Wege. Bessere Ausbildung der Arbeitnehmer und landesweite Standards im Sicherheitsgewerbe würden das Branchenimage zwangsläufig verbessern und das Thema Sicherheitsmarketing sinnvoll umsetzbar machen. Wertschöpfungsfaktor Der in der Wirtschaft weit verbreiteten Meinung, dass Sicherheitsmaßnahmen keine Wertschöpfung bedeuten, widersprach Wiesinger, aber auch Robert Kilian, Konzernsicherheitschef des Möbelriesen IKEA. Er bewies sogar das Gegenteil: Die Stärkung der Sicherheitsphilosophie habe in seinem Unternehmen zu drei Prozent weniger Inventurverlusten geführt bei einem Konzern keine geringe Summe. Als Mann der Praxis zeigte Michael Zoratti, Inhaber der Consultingfirma SecureLine, Sicherheitsmarketing anhand eines konkreten Beispiels auf: dem Sicherheitskonzept des jüngst eröffneten Campus der Wirtschaftsuniversität Wien. Hier geht man völlig neue Wege. Nicht Geund Verbote haben Vorrang, sondern das Sicherheitskonzept wird mit positiven Begriffen belegt. Auch bei der Weitergabe der Sicherheitsinformationen wurden neue Wege beschritten, etwa mit der Verwendung so genannter Apps. Es ist laut Zoratti ein Fehler, wenn die Möglichkeiten der modernen Kommunikation in Sachen Sicherheit nicht genutzt werden. Traditionelles Marketing sei vielleicht in der Long Interst Branch nicht der richtige Weg, um seine Produkte zu vermarkten. Zuletzt zeigte die Motivforscherin Dr. Sophie Karmasin auf, warum sich Sicherheits-Dienstleistungen so schlecht verkaufen: Man zahlt nur dafür, was emotional wertvoll ist, so ihre These. Gerade da liege das Problem. Jene, die am meisten Sicherheit verlangten, nämlich Frauen im Alter über 50 Jahren und wenig Gebildete, seien keine potenziellen Kunden. Und jene, die es wären Entscheidungsträger, Hochgebildete, Besserverdienende zeigen am wenigsten Furcht. Die Bevölkerung sieht zudem in erster Linie die Polizei als Sicherheitsgarant. Fazit Resümee der Kremser Konferenz: Sicherheit lässt sich nicht allein mit rationalen Argumenten verkaufen. Und: Marketing braucht neue Wege. Neben dem Image sind Qualität und hohe Standards wichtig, aber vor allem muss die Situation des möglichen Auftragsgebers berücksichtigt werden werden. Im Vordergrund sollte nicht der Verkauf von möglichst vielen Dienstleistungen oder viel Technik stehen, sondern individuell abgestimmte Lösungen. Erweiterter Aktionsradius, intensiverer Austausch ASW und ASIS Germany wollen künftig enger kooperieren Volker Wagner und Oliver Fein nennen die Synergieeffekte Von Synergien profitieren und gegenseitigen Mehrwert schaffen unter diesem Motto steht das neue Kooperationsvorhaben zwischen der Arbeitsgemeinschaft für Sicherheit der Wirtschaft (ASW) und dem deutschen Chapter von ASIS International (vormals American Society for Industrial Security). Künftig wollen die beiden Organisationen in enger Zusammenarbeit ihre Kompetenzen bündeln und so weitreichende Vorteile generieren. Doch wie soll diese Zusammenarbeit aussehen und worin liegt der Nutzen? Uwe Röniger hat für SECURITY insight den ASW-Vorstandsvorsitzenden Volker Wagner und Oliver Fein, Vorsitzender des deutschen ASIS-Chapters, zum Kurzinterview gebeten. Volker Wagner SECURITY insight: Herr Wagner, Herr Fein, wie soll die künftige Kooperation zwischen ASIS und ASW konkret aussehen? Volker Wagner: Wir planen gemeinsame Aktivitäten auf unseren Veranstaltungen, damit sich unsere Mitglieder fachlich austauschen und sich unser Netzwerk an Sicherheitsexperten permanent erweitert. Oliver Fein: Zudem haben wir die Möglichkeit, gemeinsame Thesen zu sicherheitspolitischen Themen zu entwickeln. Eine gemeinsame Medienarbeit ist Oliver Fein ebenfalls vorgesehen, um gemeinsam in der Öffentlichkeit aufzutreten. Welcher Nutzen ergibt sich aus dieser Zusammenarbeit für Ihre Organisationen? Wagner: Für die ASW ergeben sich vor allem neue Zugangsmöglichkeiten zur internationalen Bühne. Das einmalige Netzwerk, das die ASIS bietet, eröffnet völlig neue Horizonte und wird damit einen wichtigen Beitrag zur Erweiterung unseres Aktionsradius leisten. Zum einen fördert die Teilnahme an Veranstaltungen der ASIS den Ausbau unseres eigenen Netzwerks und schafft wertvolle Kontakte in internationale Verbände und Organisationen. Zum anderen, und dies ist der wichtigere Punkt, profitieren die Mitglieder in beiden Verbänden direkt von der in beiden Organisationen gebündelten Kompetenz; sei es im persönlichen Erfahrungsaustausch oder in der Diskussion von Themen mit sicherheitspolitischer Relevanz. Fein: Auch ASIS sieht in der künftigen Zusammenarbeit einen deutlichen Nutzen für sich und ihre Arbeit. Besonders profitieren werden wir insbesondere von neuen fachlichen Kontakten zu Verbänden und Arbeitskreisen, die auf nationaler Ebene agieren. Zudem vergünstigt eine Kooperation auch die Teilnahme an Veranstaltungen der ASW sehr zum Vorteil des deutschen Ablegers von ASIS. Die gemeinsame Nutzung von Medienplattformen und Newslettern schafft dabei ideale Voraussetzungen für einen intensiven Austausch. Was versprechen Sie sich langfristig davon? Wagner: Für uns steht die Nachhaltigkeit der Zusammenarbeit im Vordergrund. Der weitreichende Mehrwert, sowohl für das deutsche Chapter von ASIS als auch die ASW, ist offensichtlich. Fein: Mit einer Kooperation lassen sich beidseitige Stärken effektiv bündeln, gemeinsam nutzen und wirksam einsetzen solide Voraussetzungen für die Zukunft Security insight 6/

11 Interview Interview Seit der Finanzkrise ist Zutrittskontrolle ein Wachstumsmarkt Mit Rainer K. Füess sprach Marcus Heide über Medien- und Zertifizierungs-Hypes sowie über die Sicherheitssensibilität des deutschen Mittelstands SECURITY insight: Herr Füess, in einigen Fachblättern nimmt das Hohelied der mobilen Sicherheitsanwendungen inzwischen einen breiten Raum ein. Auch auf Ihrer Website liest man von der komfortablen Bedienung etwa der Zutrittskontrolle per Smartphone. Die Anwender zumindest im Mittelstand halten sich jedoch gut versteckt. Ich jedenfalls bin noch keinem begegnet. Rainer K. Füess: Sie haben das richtig beobachtet. Das Thema wird derzeit von den Medien forciert. Doch die Entscheider im Mittelstand zeigen dem Ganzen bislang eher die kalte Schulter, weil ihnen die Relevanz für das Thema Mobile Sicherheitslösungen noch nicht einleuchtet. Das wird sich sicherlich in den nächsten Jahren ändern, nicht zuletzt weil Mobile Computing auch eine Generationenfrage ist. Auch tisoware ist darauf vorbereitet. Was sind die Vorteile der Technologie? Vor allem die Geschwindigkeit, mit der einem die Informationen zur Verfügung SI-Interviewpartner Rainer K. Füess ist Marketingleiter der tisoware Gesellschaft für Zeitwirtschaft mbh. stehen. Daten zu kritischen Zutrittssituationen etwa einem unberechtigten Zugriff bekommt man eben sofort auf sein Smartphone übertragen, gegebenenfalls mit Videobild. Ob das ein Plus an Sicherheit ist, möchte ich so nicht bewerten. Es ist bequem und entspricht der heutigen Gewohnheit, zu jedem Zeitpunkt alles erfahren zu können, wenn man es nur will. Zutrittskontrolle per Near Field Communication (NFC) ist auch so ein Thema, zu dem ich noch nach Anwendern suche Hier verhält es sich nicht anders es wird viel darüber berichtet, aber bislang gibt es kaum Nachfrage oder konkrete Auf Mobile Security ist tisoware vorbereitet. Projekte dazu. Die Technologie ist noch weit entfernt von der Praxis, steckt sozusagen noch in den Kinderschuhen. Wir haben dafür aus gutem Grund noch keine Lösung im Angebot, denn wir gehen nur mit ausgereiften Produkten an den Markt. Da wir gerade von den Medien reden: Wundern Sie sich eigentlich auch darüber, wenn Sie in regelmäßigen Abständen den Satz lesen: Die Sicherheit boomt? Sie haben natürlich recht, wenn Sie den Satz in seiner Grundsätzlichkeit hinterfragen. Allerdings möchten ich festhalten, dass wir seit ein paar Jahren, interessanterweise mit Beginn der Finanzkrise 2009, gute und vor allem wachsende Geschäfte mit der Zutrittskontrolle machen. Nicht umsonst stellen wir in der Kommunikation als Lösungsanbieter nicht mehr allein das Thema Zeiterfassung in den Mittelpunkt. Unser neuer Slogan Mehr als HR, Security und MES! trägt der Entwicklung Rechnung, dass es nur noch selten isolierte Projekte gibt, sondern viel öfter solche, in denen es um mehrere Komponenten geht. Wir haben uns als IT-Anbieter inzwischen für die Belange HR, MES, Zutritt mit Videoüberwachung breit aufgestellt und werden auch so wahrgenommen. Und der Erfolg gibt uns recht, wir bauen unsere Marktanteile weiter aus. Hat Ihnen dabei der aktuelle Zertifizierungs-Hype, etwa zum Zugelassenen Wirtschaftsbeteiligten und zum Bekannten Versender, in die Hände gespielt? Gerade diese Zertifizierungen haben nicht so gegriffen, wie wir uns das vorgestellt haben und wie es nach unserer Meinung notwendig gewesen wäre. Vielmehr ist die elektronische Zutrittskontrolle derzeit eine Maßnahme bei vielen Neubauvorhaben, außerdem spielt sie bei unserer Zielgruppe Mittelstand als technische Vorkehrung gegen Diebstahl und Know-how-Abfluss eine zunehmend wichtige Rolle. Damit widersprechen Sie meiner Erkenntnis, dass das Thema Unternehmenssicherheit im deutschen Mittelstand noch lange nicht angekommen ist. Tatsächlich bleibt die Zutrittskontrolle weiterhin vor allem ein Organisationsinstrument. Dennoch sind die Mittelständler in den letzten fünf bis sechs Jahren sicherheitssensibler geworden sei es durch schmerzhafte Erfahrungen, sei es durch strengere Auflagen für sie als Zulieferer der Großindustrie. Mechatronische Zutrittskontrolllösungen und allgemein die Videoüberwachung liegen hoch im Kurs. Ohne konkreten Anlass hat der Entscheider im Mittelstand in der Regel andere Prioritäten als die Sicherheit seines Unternehmens. Dann hat sich aber doch wenigstens im sensibilisierten Mittelstand die Erkenntnis durchgesetzt, dass umfassende und integrierte Lösungen letztlich effizienter sind als Insellösungen? Das kann ich nicht so ohne Weiteres bejahen. Leider wird immer wieder auch über kleine Budgets in Sicherheitsfragen diskutiert, und die Entscheidung fällt dann gelegentlich für eine Insellösung. Andererseits ist unsere Einschätzung, dass tisoware gerade deshalb im Wettbewerb mit vielen Spezialanbietern den Zuschlag bekommt, weil wir über langjähriges Know-how für integrierte Lösungen verfügen. Das heißt dann aber nicht automatisch, dass das Komplettpaket, wie wir es beispielsweise mit tisoware. ZUTRITT anbieten, auch bestellt wird. Dagegen sind Komponenten sehr gefragt. Neben der reinen Zutrittskontrolle ist beispielsweise das Ausweismanagement ein Wachstumsmarkt. Auch für unser neues Modul Besuchermanagement verbuchen wir eine hohe Nachfrage. Es lässt sich in unserer Branche und unserer Zielgruppe einfach nichts verallgemeinern; jeder Kunde und jedes Projekt ist anders Security insight 6/

12 Im Fokus: Finanzwirtschaft Im Fokus Der Wandel darf kein Ausnahmezustand sein Change-Management-Prozesse in der Corporate Security / Das Beispiel Portigon AG Von Dr. Heinz-Dieter Schmelling Erinnern Sie sich noch: Aus Raider wird Twix sonst ändert sich nix! Relabeling nennt man das unter Marketingfreunden. Aus der WestLB wurde Portigon doch hier ist alles ganz anders: Im Gegensatz zum Schokoriegel, der bis auf den Namen unverändert blieb, ist Portigon ein komplett neues Unternehmen. Und von einem solchen umfassenden Transformationsprozess bleibt auch die Sicherheitsabteilung nicht unberührt. Die WestLB AG, einst eine der größten deutschen Landesbanken, erlebte Mitte 2012 eine historische Zäsur: Auf Grund einer Entscheidung der EU-Kommission gab sie nicht nur ihren Namen auf, sondern verordnete sich auch noch ein völlig neues Geschäftsmodell. Aus einer Wholesale-Bank für Sparkassen, öffentliche Kunden und das Firmenkundengeschäft ist mit der Portigon AG ein unabhängiger, international tätiger Finanzdienstleister für komplexe Finanzportfolios entstanden. Damit verbunden waren tiefgreifende Umstrukturierungen: Tochtergesellschaften und internationale Betriebsstellen wurden verkauft oder geschlossen, nicht strategische Bankdienstleistungen wurden veräußert oder eingestellt. Gleichzeitig wurden neue Geschäfts- und Service- Bereiche geschaffen, die im Rahmen von weiteren geplanten Umstrukturierungen als eigenständige Gesellschaften etabliert werden und neue Eigentümer bekommen sollen. Im Ergebnis wird nach dem Umbau ein neues Unternehmen entstanden sein; lediglich ein Stück Erfahrung und Know-how der früheren WestLB ist geblieben. Derartige Transformationsprozesse fordern auch jeden Sicherheits-Verantwortlichen heraus. Wie kann aus dem Blickwinkel der Unternehmenssicherheit eine solche Metamorphose unfallfrei gelingen? Dazu im Folgenden mehr. Dynamik macht robust Ob tiefgreifende Veränderungen ohne größere Friktionen gelingen, hängt in SI-Autor Dr. Heinz-Dieter Schmelling ist Chief Security Officer der Portigon AG in Düsseldorf. hohem Maße von der Robustheit und der Anpassungsfähigkeit eines Unternehmens ab. Wer wie die WestLB über viele Jahre den permanenten Wandel aktiv gestaltet hat, dem gelingen derart schwierige Operationen erfolgreicher als Unternehmen, die sich solchen Herausforderungen nicht stellen mussten. Stabilität ist das Ergebnis von Volatilität, ist eine These von Nassim Nicholas Taleb in seinem lesenswerten Buch Antifragilität. Mit anderen Worten: Dynamik ist ein Motor, der hilft, die Robustheit zu stärken. Was kann die Unternehmenssicherheit dazu beitragen? Zunächst einmal stellen derartige Transformationen nichts anderes dar als ein hoch komplexes Projekt. Projekte sollten geregelten Verfahren und Abläufen unterliegen jedenfalls dann, wenn man Projektmanagement professionell betreibt. Das Projektgeschäft sollte nicht als Ausnahmezustand gelten, sondern, im Gegenteil, als integraler Bestandteil des operativen Geschäfts. Ein geregeltes Projektmanagementverfahren sieht dabei vor, die Unternehmenssicherheit bereits in der Projektgenehmigungsphase einzubinden; sie sollte das Projekt als ein definierter Stakeholder in den weiteren Phasen begleiten und unterstützen. Dieses Vorgehen stellt sicher, dass die Corporate Security nicht erst als Reparaturbetrieb tätig wird. Klingt vielleicht banal, ist aber keineswegs selbstverständlich. Ganzheitliches Sicherheits- Risikomanagement Im Verantwortungsbereich der Unternehmenssicherheit sollten die Kernprozesse und -instrumente einer Security- Governance etabliert sein. Den zentralen Baustein bildet das ganzheitliche Sicherheits-Risikomanagement: Bedrohungen und daraus resultierende Risiken werden regelmäßig oder anlassbezogen etwa bei Transformationsprozessen analysiert und mit Blick auf ihren potenziellen Handlungsbedarf bewertet. Es empfiehlt sich, einen hochkarätigen Expertenkreis mit dieser Aufgabe zu befassen, der sowohl über das notwendige methodische Know-how als auch über die unverzichtbare Expertise verfügt. Die enge Verzahnung mit dem operationellen Risikomanagement (sofern vorhanden) bietet darüber hinaus die Chance, das Portfolio der Handlungsoptionen breiter abzustecken. Das löst zwar noch nicht alle Probleme, gleichwohl ist es eine solide Basis für die Generierung von Sicherheitsmaßnahmen, weil Risiken systematisch erfasst und bewertet werden. Bei Portigon war beispielsweise die Implementierung einer Data-Leakage-Prevention-Lösung das Ergebnis eines solchen Prozesses. Eine weitere wichtige Säule der Informationssicherheit bildet das Identity- und Access-Management. Wer es bereits in Friedenszeiten professionell betreibt, ist auch bei Umstrukturierungen bestens gerüstet. Je umfassender Berechtigungen durch zentrale Systeme und Prozesse gehandhabt werden, desto eher ist gewährleistet, dass den Prinzipien der Aktualität, Angemessenheit ( Least Privilege ) und Funktionstrennung auch bei dynamischen Organisationsveränderungen ausreichend Rechnung getragen wird. Regelmäßige oder anlassgetriebene Routinen zur Überprüfung und Bereinigung oder Rezertifizierung von Berechtigungen, mit denen die Geschäftsbereiche bereits vertraut sind, schützen vor unangenehmen Überraschungen. Datenschutz und -migration Ein großes Minenfeld ist zweifellos der Schutz vertraulicher Informationen und Unternehmensdaten. An Transaktionen wirken in der Regel viele Externe mit, ganz zu schweigen von Bietern und potenziellen Investoren, die Zugang zu derartigen Daten haben wollen und sollen. Wohl dem, der bereits das Management elektronischer Datenräume mit gestaffelten Berechtigungskonzepten im Unternehmen beherrscht und damit eine transparente und effiziente Abwicklung der sensiblen Daten gewährleisten kann! Ferner muss die Migration von Assets und Daten, die typischerweise bei einer Unternehmenstransaktion stattfinden, lückenlos überwacht und dokumentiert werden. Ein effektives Security-Monitoring hilft auch hier, Incidents und Anomalien zu erkennen und über definierte Prozeduren zu bereinigen. Schlussendlich sollte auch die Frage geklärt sein, ob und welche Daten gelöscht oder archiviert werden. Wer nichts vergessen will, ist gut beraten, eine umfassende Checkliste vorbereitet zu haben. Notfallplanung und Outsourcing Robuste Prozesse helfen auch, die Notfallplanung auf dem neuesten Stand zu halten, selbst bei umfassender Reorganisation. Eine zentrale Governance für Richtlinien, Methoden und Werkzeuge der Notfallplanung in Verbindung mit dezentraler Business-Verantwortung für die konkrete Ausgestaltung und Umsetzung der Notfallpläne sind das Erfolgsrezept auch bei Umstrukturierungen. Regelmäßige Updates der Notfallhandbücher und turnusmäßige Reviews der Business-Anforderungen (BIA) bilden die tragenden Säulen einer aktuellen und angemessenen Notfallplanung. 22 Security insight 6/

13 Im Fokus: Finanzwirtschaft Im Fokus: Finanzwirtschaft So sinkt die Umlaufmenge der Schlüssel Konzept für das einheitliche Schlüsselmanagement bei einer Schweizer Großbank mit flächendeckendem Filialnetz Eines der wichtigsten Hilfsmittel im Transformationsprozess Noch ein Thema spielt in diesem Kontext häufig eine erhebliche Rolle: Outsourcing gerade in Zeiten von Umstrukturierungen ein probates Mittel zur Kapazitätsanpassung und Flexibilisierung von Kosten. Auch hier gilt, dass etablierte Prozesse bei Outsourcing-Maßnahmen keinen Bypass der Security zulassen sollten. Analog zum Projektmanagement sollte eine Policy im Unternehmen regeln, dass bei geplanten Outsourcing-Aktivitäten die Unternehmenssicherheit einzubinden ist. Wer darüber hinaus bereits Musterverträge für Outsourcing-Vereinbarungen unter Beachtung der Sicherheitsanforderungen vorbereitet hat, ist gut aufgestellt. Das muss das Ziel jedes Change-Management-Prozesses sein. Rechtzeitige Verankerung in den Prozessen Wie breit gefächert das Spektrum denkbarer Maßnahmen bei Umstrukturierung und Reorganisation sein kann, mag folgendes Beispiel verdeutlichen: Starke Veränderungen können mit erheblichen psychischen Belastungen für die Mitarbeiter verbunden sein, die sich vielleicht verstärkt durch das private Umfeld in Verhaltensauffälligkeiten bis hin zu Gewalt am Arbeitsplatz äußern können. Das frühzeitige Erkennen und Vermeiden derartiger potenzieller Eskalationsgefahren ist eine wichtige Aufgabe, die ein Sicherheits- Verantwortlicher nicht allein bewältigen kann. Mit Hilfe eines Fallmanagements, bei dem sowohl der Personalbereich als auch unter Umständen Sozialbetreuung und Betriebsrat beteiligt sind, können Risikofaktoren frühzeitig erkannt werden. Das ermöglicht es, die Dynamik eines konkreten Einzelfalls einzuschätzen und durch das interdisziplinäre Zusammenwirken der Beteiligten effektiv zu managen und zu entschärfen. Die zentrale Botschaft bei Transformations- und Veränderungsprozessen lautet daher: Ein professionelles Change Management sollte auch in den Prozessen der Unternehmenssicherheit fest verankert sein. Das erhöht ihre Effektivität und ist daher ein wesentlicher Faktor für ihren Erfolg. Glaubt man den Medien, so stehen Banken derzeit nicht gerade im guten Ansehen. Und doch führen wir alle unsere Konten. Für ganz besondere Wertgegenstände oder wichtige Unterlagen haben wir dort sogar ein Schließfach gemietet. Denn im Hinterkopf heißt es immer noch: So sicher wie eine Bank. Es ist also ein durchaus ambivalentes Verhältnis, das wir zur Welt der Finanzwirtschaft pflegen. Technisch jedenfalls wird Vieles dafür getan, Vertrauen zu gewinnen. Das lässt sich am Sicherheits-Management der Schlüssel für die Gebäudeinfrastruktur sehr gut veranschaulichen. Der Kemas-Schlüsselschrank passt auch optisch ins Interieur jeder Bankfiliale. Zugang haben heißt hier: Zugang zu Daten, Räumen, Schlüsseln, Dokumenten, Kommunikations- und Arbeitsmitteln. Die Herausforderung ist, Sicherheit und Prozessabläufe so miteinander zu verknüpfen, dass sie einander nicht behindern und wirtschaftlich positive Effekte bringen. Das ist oft gar nicht so einfach. Banken verfügen häufig über eine gewachsene Infrastruktur, die die Gebäude und Filialen unterschiedlicher Baujahre mit verschiedener sicherheitstechnischer Ausstattung umfasst. Es ist zu regeln, wer wann welche Zugangsmedien besitzt und welche Zugangsrechte damit jeweils verbunden sind und das nicht nur mit Blick auf die Mitarbeiter, sondern auch auf externe Dienstleister. Noch spannender wird es, wenn es um die manipulationsfreie, nachweisbare Nutzungsdokumentation sowie flexible, prozesslogische und sogar automatische Änderungsmöglichkeiten geht. Für eine Schweizer Großbank mit flächendeckendem Filialnetz hat die Kemas GmbH gemeinsam mit ihrem Partner Safos ein Konzept für das einheitliche Schlüsselmanagement entwickelt und umgesetzt. Die Eckpunkte der Lösung: Der Standardisierung der Nutzergruppen folgte ein durchgängiges Bestückungsmuster für die modular aufgebauten Kemas-Übergabedepots, die sich je Standort an die benötigte Zahl der Depotplätze anpassen lassen. Die Anlagen können während der Betriebszeit in Kapazität und Funktionsumfang reduziert oder erweitert werden und sind beim Standortwechsel unabhängig vom Schließsystem, das im Gebäude verbaut ist. Den Vorteil erklärt Kemas-Geschäftsführer Björn Grämer: Die Umlaufmenge an Schlüsseln wurde signifikant reduziert, im vorliegenden Fall durchschnittlich auf etwas mehr als ein Zehntel der ursprünglich ausgegebenen Schlüssel. Je Nutzergruppe steht jetzt noch ein Mindestumfang an Schlüsseln bereit, den sich eigene Mitarbeiter und Fremddienstleister bedarfsgerecht teilen. Zweiter Vorteil: Die Schlüssel verlassen nicht das Gebäude. Das Risiko von Verlust und Missbrauch ist dadurch minimal. Die Software-Plattform ist auf einem Zentralserver installiert, bindet alle Geräte ein und koppelt sie mit dem Sicherheits- Leitstand. Änderungen, die administrativ vorgenommen werden oder aus der Verknüpfung mit anderen Sicherheitssystemen resultieren, etwa Zutrittskontrolle, Gefahrenmeldetechnik oder Videoüberwachung, werden sofort an jeder Stelle wirksam. Administrative Aufgaben wie die Vergabe von Berechtigungen oder die Reportanalyse können durch die Mandantenfähigkeit der Software dezentralisiert werden. Grämer: Unsere Lösung schafft also die infrastrukturelle Sicherheit und zwar nicht durch Ersatz oder Austausch vorhandener Teilsysteme, sondern durch ihre Integration und Zusammenfassung zu einem uniformen Berechtigungsmanagement Security insight 6/

14 Im Fokus: Finanzwirtschaft Im Fokus: Finanzwirtschaft Neuer Wein in bestehenden Schläuchen Die Integration modernster Sicherheitstechnik in die bereits vorhandener IT-Infrastrukturen des Finanzwesens erschließt hohes Einsparpotenzial Von Gereon Schröder Die Unfallverhütungsvorschriften (UVV) Kassen für Kreditinstitute schreiben Überfallmelde- und Videoüberwachungstechnik für jene Bereiche vor, in denen Mitarbeiter und Kunden gemeinsam mit Bargeld zu tun haben. Die Anforderungen an Funktionalität und Leistungsfähigkeit dieser Sicherheitssysteme sind in einschlägigen Normen wie der BGV Kassen festgeschrieben. Allerdings entsprechen viele Lösungen nicht mehr dem Stand der Technik, sodass das Potenzial zur Kostensenkung ungenutzt bleibt. So sieht es in der Praxis heute aus Typische Lösungen sehen bis heute meist so aus, das die Überfallmeldeanlage Teil eines VdS-konformen Einbruchmeldesystems ist, zumindest was die Gerätezertifizierung betrifft. Einbruch-, Überfall- und Störmeldungen werden im Ereignisfall überwiegend über leitungsvermittelte Verbindungen (PSTN, ISDN, GSM usw.) an Notruf- und Serviceleitstellen übertragen und von dort aus die erforderlichen Maßnahmen eingeleitet. Da man bei leitungsvermittelten Verbindungen nur schwer die ständige Verfügbarkeit überwachen kann, ist die Übertragung stets redundant ausgelegt. Weit verbreitet sind immer noch Videoüberwachungssysteme, die im Ereignisfall mittels Analogkameras Bilder im PAL- Format (eine Fernsehnorm, die Anfang der 1960er Jahren entwickelt wurde!) auf digitalen Bildspeichern ablegen, sodass sie später bei der Ermittlung helfen. Sowohl Kameras als auch digitale Bildaufzeichnungssysteme sind fast ausschließlich Geräte, die von akkreditierter Stelle (DGUV Test, Prüf- und Zertifizierungsstelle, Fachbereich Verwaltung, Hamburg) bezüglich ihrer Funktionalität und Bildqualität zertifiziert sind. Vielfach werden sie auch für andere Sicherheitsanwendung verwendet, etwa in Tresorräumen und an Geldausgabeautomaten zur Dokumentation von Transaktionen, um Reklamationen von Kunden zu überprüfen. In allen Fällen sind die Mitbestimmungsrechte der Mitarbeiter als auch die einschlägigen Datenschutzgesetze zu beachten. Die Welt spricht IP! Selbst wenn die Übertragungswege der Videobilder inzwischen vielfach IP-basiert funktionieren, ist dieser Stand der Dinge technisch Schnee von gestern. Er schränkt sowohl die Möglichkeiten der Funktions- und Leistungsoptimierung als auch die Wartung und Instandhaltung in bestehenden Systemen stark ein und bringt insbesondere unter wirtschaftlichen Aspekten erhebliche Nachteile. Derart konzipierte Systeme überhaupt noch neu anzuschaffen, verbietet sich eigentlich. Der aktuelle Stand der Technik bietet heute innerhalb immer kürzerer Innovationszyklen leistungsfähigere IT-Hardware (Netzwerk, Computer, Kameras usw.), die sich sehr schnell in großen wie kleinen Unternehmen verbreiten. Telekommunikation findet nur noch selten über analoge oder ISDN-Verbindungen statt. So stellt auch die Deutsche Telekom als Eigentümer der Last Mile diese Dienste bis spätestens 2016 komplett ein, denn: Die Welt spricht IP! Warum also nicht auf bestehende IT-Infrastrukturen und Netzwerkkamera-Technologie zurückgreifen und ihre Leistungsfähigkeit und Wirtschaftlichkeit auch für die Finanzwirtschaft erschließen, sprich: neuen Wein in bestehende Schläuche füllen? Genau hier setzt die Lösung von UTC Fire & Security an, die bei Finanz- und Kreditinstituten bereits zum Einsatz kommt. Jede Bank ist heute mit gängiger IT- Infrastruktur ausgerüstet, die sich auch für modernste Sicherheitstechnik nutzen lässt. Kaum zu glauben, aber wahr: Klassisches Fahndungsfoto im PAL-Format nach einem Banküberfall im hessischen Rodgau anno domini Wertschöpfungskette Sicherheitstechnik Gespräche mit IT- und anderen Sicherheits-Verantwortlichen dieses Wirtschaftssektors haben deutlich gemacht, welche Anforderung sie stellen, wenn sie für die Umsetzung mitverantwortlich sind und das technische Design mitbestimmen können. Wesentliches Ziel ist einerseits, soviel wie möglich auf die im Unternehmen bereits vorhandenen IT-Infrastrukturen und -Services aufzusetzen, um Cost of Ownership und Return on Investment zu optimieren. Andererseits dürfen vorhandene unternehmenskritische Dienste und Prozesse nicht beeinträchtigt werden. Und es sind natürlich bestimmte Sicherheitsstandards einzuhalten. Für die Anwender der Sicherheitstechnik bedeutet dies, dass ein Teil der Wertschöpfungskette Sicherheitstechnik vom Errichter auf sie selbst übergeht. Aus Sicht des Anwenders liegt das wirtschaftliche Optimierungspotenzial einerseits in der Nutzung vorhandener Netzwerkstrukturen zur Übertragung von Alarmmeldungen und Videobildern. Von Vorteil ist andererseits die Verwendung einheitlicher Hardware (Server, PCs, Switches usw.), die für das Unternehmensnetzwerk zugelassen ist (etwa Fiducia) und in größeren Mengen auch für andere Gewerke eingekauft wird. So lassen sich beispielsweise die Kosten für die Bildspeicherung der Videoüberwachung durch Standard-Servertechnologie bei Verwendung von UVV-Kassenzugelassener Videomanagement-Software drastisch reduzieren. Schnelle Amortisation Kostete früher ein UVV-Kassen-zugelassener digitaler Bildspeicher für die Videoüberwachung mit 10 bis 16 analogen Kameras den Endanwender rund bis Euro, so bekommt er heute für den gleichen Preis eine zugelassene Komplett- lösung, bestehend aus Software-Lizenzen und PC/Server-Hardware inklusive HD- Netzwerkkameras. Eine Einschränkung hinsichtlich maximal verfügbarer Videoeingänge gibt es nicht, da die Anzahl einfach per Lizenz erweitert werden kann. Die Übertragung von Alarm- und Videodaten zwischen den Filialen und einer (oder mehreren) Leitstellen erfolgt in diesem Konzept über das Bankennetzwerk des Endanwenders. Der Videoserver vor Ort trennt dabei mittels zweier Netzwerkkarten das lokale Videonetzwerk der Filiale vom eigentlichen Bankennetzwerk und übernimmt das Bandbreiten-Management, sodass ein unkontrollierter direkter Zugriff auf die Kameras nicht möglich ist. Selbstverständlich erfordert die Übertragung von Alarm- und Videodaten in den meisten Fällen eine Anpassung des Bankennetzwerks. Rechnet man aber die Kosten eines externen Netzwerk-Providers dagegen, so werden sich die eigenen Investitionen zur Anpassung des eigenen Bankennetzwerks schnell amortisieren. SI-Autor Gereon Schroeder ist Vertical & Key Account Manager bei UTC Climate, Controls & Security. 26 Security insight 6/

15 Im Fokus: Finanzwirtschaft Im Fokus: Finanzwirtschaft Prozesse und Ressourcen sind untrennbar miteinander verwoben Notfall- und Krisenmanagement stellt die Finanzwirtschaft vor große Herausforderungen, denn es gelten hohe Auflagen und Haftungsansprüche Von Kristin Barsuhn Als Rolf Holstein am Morgen des 5. Januar 2003 aus dem Fenster seines Frankfurter Büros blickte, traute er seinen Augen nicht: Ein Sportflugzeug kreiste über dem Bankenviertel. Ein Polizeihubschrauber und zwei Kampfjets der Bundeswehr nahmen die Verfolgung auf. Wenig später verließ der damals 44-Jährige sein Büro, um zu einem Termin in Wiesbaden zu fahren. Kein leichtes Unterfangen, waren die Mainbrücken rund um die Innenstadt doch abgesperrt. Zeit ist ein kritischer Faktor im Finanzwesen. Bei einem Notfall würde es beispielsweise lange dauern, bis Mitarbeiter aus dem Frankfurter Bankenviertel zu den Ausweichstandorten südlich des Mains gelangen. Der Vorfall, der seinerzeit eine hitzige Debatte über den Abschuss entführter Flugzeuge auslöste, ist für Holstein ein anschauliches Beispiel für die Unwägbarkeiten, mit denen sich Krisen- und Notfallmanager konfrontiert sehen. Man kann viele Szenarien durchspielen und Gegenmaßnahmen planen, aber im Ernstfall kommt es immer anderes, sagt der Geschäftsbereichsleiter Projektgeschäft beim Sicherheits-Dienstleister OSD Schäfer. Damals hätte es lange gedauert, bis Mitarbeiter von Unternehmen im Bankenviertel zu den Ausweichstandorten südlich des Mains gelangt wären. Das kann bei kritischen Geschäftsprozessen fatale Folgen haben. Einflussfaktoren In der Finanzwelt wird das Thema Risikomanagement zu dem in einer umfassenden Definition auch Notfall- und Krisenmanagement zählen von drei wesentlichen Einflussfaktoren geprägt: den Vorgaben des Bundesinnenministeriums, der BaFin und der EU. Ersteres gibt mit dem Leitfaden Schutz Kritischer Infrastrukturen Risiko- und Krisenmanagement ein Managementkonzept für KRITIS-Betreiber vor, zu denen auch das Finanzwesen zählt. Für dieses Wirtschaftssegment hat die BaFin die Mindestanforderungen an das Risikomanagement (MA Risk) formuliert und schreibt damit ein umfassendes Notfallkonzept für die Aufrechterhaltung der relevanten Geschäftsprozesse vor. Darüber hinaus ist eine neue EU-Richtlinie zum Krisenmanagement im Finanzsektor in Vorbereitung. Sie verschärft die Verpflichtung für Banken, eine angemessene Eigenkapitalausstattung für jedes Risiko vorzuhalten. Wie für andere Wirtschaftsunternehmen gelten darüber hinaus weitere gesetzliche Vorgaben zum Risikomanagement, etwa aus dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Im Dickicht der Normen Wo es so viele Vorgaben und Vorschriften gibt, sind Zertifizierungen nicht weit. Grundsätzlich liefern Standards wie BS 25999, BSI und ISO gute Ansätze. Für Unternehmen besteht jedoch die Gefahr, sich im Dickicht der Normen zu verlieren und einen unzureichenden Flickenteppich zu knüpfen, statt einen integrierten Gesamtplan für Notfall und Krise zu entwickeln. Der erste Schritt dorthin ist stets die Auseinandersetzung mit der Frage: Welche Geschäftsprozesse braucht das Unternehmen im Ausnahmefall wirklich? Erst wenn die genau definiert sind, kann ein solides Prozessmodell für den Notfallbetrieb entwickelt werden. Im nächsten Schritt ist zu klären, welche Ressourcen für die Sicherstellung der Prozesse notwendig sind. Finanzinstitute zählen zu den vitalen Lebensnerven eines Staates. Auch wegen der hohen Haftungsauflagen ist es für Unternehmen dieser Branche wichtig, einen ganzheitlichen Ansatz für das Notfall- und Krisenmanagement zu verfolgen, um angemessen handeln zu können, so Holstein. Das bezieht sich nicht zuletzt auf den Aufwand, mit dem ein Unternehmen die verschiedenen Bestandteile seines Risikomanagements betreibt. Eine wichtige Aufgabe besteht darin, die verschiedenen gesetzlichen und behördlichen Anforderungen zu harmonisieren und dadurch die Schnittstellen zu identifizieren. Die enge Verzahnung des gesamten Systems trägt dazu bei, Doppelarbeiten und Reibungsverluste zu vermeiden. Inklusive operationeller Risiken Entscheidend für die Bewältigung eines Notfalls oder einer Krise ist, diese Her- Foto: Tilmann Jörg/pixelio.de ausforderungen als unternehmensübergreifende Aufgabe zu begreifen. In vielen Organisationen ist das Thema nach wie vor von starkem Silodenken geprägt. So wurde früher der Begriff des Risikomanagements traditionell mit finanzwirtschaftlichen Risiken in Verbindung gebracht, weiß Holstein aus seiner Erfahrung als Berater und Auditor. In jüngster Zeit wächst dieses Feld zunehmend mit Risiken zusammen, die klassischerweise in anderen Bereichen, etwa der Unternehmenssicherheit, bearbeitet werden. MA Risk beispielsweise fokussiert bereits heute auf alle Risikobereiche inklusive der operationellen Risiken. Die fünf Säulen des Risikomanagements finanzwirtschaftliches Risiko-, Sicherheits-, Krisen-/Notfallmanagement sowie Compliance und Informationssicherheit werden häufig nicht gemeinsam betrachtet und in verschiedenen Abteilungen betreut. Prozesse und Ressourcen sind jedoch untertrennbar miteinander verwoben. So kann zum Beispiel die IT-Ausstattung nicht losgelöst vom Menschen geplant werden. Denn das beste IT-Gerät hilft nichts, wenn niemand da ist, der es bedient, und nicht klar ist, welche Rolf Holstein, Leiter des Geschäftsbereichs Projektgeschäft bei OSD Schäfer, ist Experte für Krisen-, Notfall-, Compliance- und Fraud-Management. Prozesse kurzfristig im Notbetrieb laufen müssen konnte in Frankfurt der geistig verwirrte Pilot nach rund zwei Stunden in der Luft zur sicheren Landung auf dem Frankfurter Flughafen bewegt werden. Die Krise war abgewendet. Die immense Herausforderung für Banken, in solchen Ausnahmesituationen angemessen handeln zu können und handlungsfähig zu bleiben, ist bestehen geblieben Security insight 6/

16 Im Fokus: Finanzwirtschaft Im Fokus: Finanzwirtschaft Filialen im virtuellen Netz Elektronische Zutrittsorganisation schafft hohe Flexibilität in sechs Geschäftsstellen der Volksbank Filder Früher waren allein am Standort Neuhausen über 30 Generalschlüssel im Einsatz! Ein Schlüsselverlust hatte weitreichende Folgen. Heute trägt jeder Mitarbeiter der sechs Filialen der Volksbank Filder einen elektronischen Schlüssel. Bei Verlust wird er kurzerhand im zentralen Rechner gesperrt. Im virtuellen Netz verbreitet sich rasant die Nachricht von der Sperrung und blockiert den Zutritt. Für die komfortable Verwaltung der neuen Schließanlage nutzt die Volksbank ihr bestehendes IT-System. Mit über Mitgliedern gehört die Volksbank Filder zu den größten Genossenschaften der Region. Das betreute Kundenvolumen beträgt etwa Millionen Euro. Rund 140 Mitarbeiter sind am Hauptsitz und in fünf weiteren Filialen beschäftigt. Als erstes Geldinstitut setzt man zur Sicherung der Geschäftsstellen auf bluesmart, die neue Generation der elektronischen Zutrittsorganisation von Winkhaus. Die hohe Flexibilität bei Nutzungsänderungen und der Sicherheitsgewinn bestätigen uns darin, die richtige Entscheidung getroffen zu haben, sagt Heiko Hoß, stellvertretender Bereichsleiter Betrieb anlässlich der Schlüsselübergabe. Schnell und flexibel Zugangsrechte können wir nun sehr schnell und bedarfsorientiert vergeben. Auch die Vereinheitlichung der Schließanlage über alle Geschäftsstellen hinweg bietet für uns viele Vorteile. Dafür nennt Hoß ein Beispiel: Heute Nachmittag findet in den Räumen in Neuhausen eine Schulung für 20 Mitarbeiter aus allen unseren Filialen statt. Früher musste jeder von ihnen zuvor sein Kommen ankündigen, um Zutritt zum Seminarbereich zu erhalten. Jetzt sind die individuellen Zugangsrechte auf dem jeweiligem Schlüssel gespeichert. Den Zutritt auch zum Aufzug kontrolliert die elektronische Schließanlage. Auch externe Dienstleister und Handwerker können sich nun mit der entsprechenden Berechtigung, die auf den Schlüsseln gespeichert ist, in den für sie relevanten Räumen ohne Begleitung bewegen. Früher bestellten wir die Handwerker zur Mittagspause. Ein Mitarbeiter blieb dann aus Sicherheitsgründen bei ihnen. Jetzt regelt bluesmart, wo sich wer und wie lange aufhalten darf, berichtet Hoß. Dasselbe gilt für die sechs Mitarbeiter, die als Springer zwischen den Filialen eingesetzt werden. Sie erhalten kurzfristig ihre Zutrittsberechtigungen für den jeweiligen Einsatzort. Heute sichern 130 elektronische Zylinder und sieben Aufbuchleser die Filialen der Volksbank Filder. Auch der Aufzug der Geschäftsstelle in Neuhausen gehört dazu. Zentrale Verwaltung komplexer Strukturen Einmalig ist die Kombination eines elektronischen Schließsystems mit einem passiven Schlüssel, das seine Daten mittels virtuellem Netzwerk kommuniziert. Informationen zwischen den Zylindern überträgt das System schnell und kabellos über den batterielos arbeitenden Schlüssel. bluesmart wird per Software am Arbeitsplatz von Hoß zentral gesteuert. Da für das System eine Zulassung des Rechenzentrums Fiducia IT vorliegt, wird für die Verwaltung der Schließanlage das vorhandene IT-System genutzt. Das spart erhebliche Kosten, so Hoß. Bei der Steuerung der Anlage können die Organisationsstrukturen der Gebäude und Abteilungen direkt zur Berechtigung herangezogen werden. Berechtigungsänderungen werden in der Regel nicht mit dem Programmiergerät zu den Zylindern getragen, sondern beim regelmäßigen Aufbuchen am AccessPoint auf die Nutzerschlüssel programmiert. Der Daten- und Informationsaustausch zwischen Schlüssel und Zylinder geschieht bei der alltäglichen Verwendung des Schlüssels automatisch im Hintergrund. Kabelloser Datenaustausch Im Gebäude arbeitet das elektronische Schließsystem mit einem virtuellen Netzwerk. Das funktioniert offline und drahtlos zwischen den installierten elektronischen Komponenten, die miteinander kommunizieren, Informationen verarbeiten und diese weitergeben. Im Gegensatz zu konventionellen Netzen entfällt die aufwändige Verkabelung, eine Vielzahl von Umsetzern oder störanfällige Funkstrecken. Durch die Übertragung von Informationen im virtuellen Netzwerk entfällt das manuelle Programmieren von Offline-Türkomponenten nahezu komplett. So profitieren Verwalter und Nutzer vom Komfort von Online-Systemen, ohne auf die Vorteile von Offline-Lösungen verzichten zu müssen. Die bluesmart-zylinder haben die Abmaße mechanische Zylinder, sodass beim Tausch der bisherigen Zylinder die Türen nicht umgebaut werden müssen. Mit dem System können Schließanlagen mit bis zu Zylindern/Schlüsseln realisiert werden. Mit dem Ereignisspeicher in Schlüsseln und Zylindern können zum Beispiel bei Diebstahl die letzten Schließereignisse mit Datum und Uhrzeit im Zylinder ausgelesen werden. In nur vier Wochen realisierten die Mitarbeiter des Sicherheitsspezialisten Zahn- Nopper aus Filderstadt die Ausstattung der sechs Geschäftsstellen mit insgesamt 130 elektronischen Zylindern und sieben Aufbuchlesern. Lediglich zwei Tage nahm die Installation der Zylinder in Anspruch. Nur ein Schulungstag war nötig, um alle einzuweisen, die mit blue- Smart und der Steuerungs-Software arbeiten. Vom zentralen Computer aus verwaltet Heiko Hoß, wer wann welche Zutrittsberechtigung hat. 30 Security insight 6/

17 Im Fokus: Finanzwirtschaft Im Fokus: Finanzwirtschaft Kontinuität als Rettungsanker Notfallplanung für Versicherungsunternehmen entsprechend der MaRisk VA Von Tim Jordan In Deutschland unterliegt die Banken- und Versicherungsbranche strengen gesetzlichen Anforderungen für die Notfallplanung. Haupttreiber ist, neben dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und dem Versicherungsaufsichtsgesetz (VAG), die aufsichtsrechtliche Mindestanforderung für das Risikomanagement (MaRisk VA), die schon in Abschnitt 1 die Geschäftsführung in die Verantwortung nimmt. Die Projekterfahrung zeigt, dass Prüfungen der BaFin oft der wesentliche Treiber für Veränderungen im Unternehmen in Bezug auf die Notfallplanung sind. Da an den Ergebnissen solcher Prüfungen mitunter Karrieren und im schlimmsten Fall die Existenz des Unternehmens hängen können, lohnt es sich, einmal genau zu betrachten, was für solche Prüfungen zu beachten ist und welche Herausforderungen sich in der Praxis zeigen. Foto: Esther Stosch pixelio.de Notfallorganisation sowie externe Dritte (Polizei, Feuerwehr, Rettungsdienste usw.) ein. Auch hier bedarf es genauer Planung, um den Normalbetrieb nicht zu beinträchtigen. Das Erstellen von Testprotokollen, die Besprechungen nach Ende der Simulation ( Lessons learned ) und die verbindliche Festlegung von Verbesserungspotenzial bietet die größte Chance dafür, die Qualität der Notfallplanung zu steigern. Die Erfahrung zeigt, dass die BaFin-Prüfer Funktionstest oder sogar vollstän- SI-Autor Tim Jordan (AMBCI) entwickelt für die Controllit AG in nationalen und internationalen Projekten Lösungen zum Business und IT Service Continuity Management. Er hält einen B.A. im Risiko- und Sicherheits-Management und ist ehrenamtliches Mitglied im Vorstand des deutschen ASIS-Chapters. dige Simulationen fordern, um MaRisk- VA-konform aufgestellt zu sein. Walk- Through- und Schreibtischtests sind zwar anerkannte Arten der Notfallplanung, allerdings reichen sie allein in der Regel nicht aus, um MaRisk-VA-konform aufgestellt zu sein. Fazit Entwicklungen wie die verbreitete Nutzung mobiler Technologien und Cloud Computing machen es erforderlich, auch die Notfallplanung nebst Strategien für spezifische Ausfallszenarien anzupassen und regelmäßig zu testen. Ein ganzheitliches Test- und Übungskonzept bildet somit einen Hauptbestandteil für die effektive und qualitativ hochwertige Notfallplanung, die die investierte Zeit und das investierte Geld im Wortsinne wert ist und die Unternehmensziele in Bezug auf MaRisk VA unterstützt. Krisenstabilität kann man übrigens erlernen. Viele Versicherungen in Deutschland schicken die verantwortlichen Mitarbeiter beispielsweise zum elftägigen Kurs Zertifizierter Business Continuity Manager der BCM Academy. Er vermittelt Fachkenntnisse und Techniken zur erfolgreichen Umsetzung der Notfallplanung. Kriterien Laut MaRisk VA hat jedes Versicherungsunternehmen eine Notfallplanung für Störfälle, Notfälle und Krisen zu etablieren. Abschnitt 9 definiert Vorgaben, wie die Notfallplanung auszusehen hat. Im Fokus steht die Kontinuität der wichtigsten Unternehmensprozesse und (IT-) Systeme. Dazu wird betont, dass es sich um Situationen und Zeiträume handelt, die mit der normalen Organisationsund Entscheidungsstruktur nicht mehr beherrscht werden können. Die einzige realistische Chance, eine notfallähnliche Situation im Normalbetrieb herbeizuführen, ist es, die erstellten Geschäftsfortführungspläne zu üben und zu testen. Die MaRisk VA gibt daher in Abschnitt 9.2 vor, dass die Notfallplanung regelmäßig hinsichtlich der Wirksamkeit und Angemessenheit zu überprüfen ist. Ein dokumentiertes Test- und Übungskonzept sowie protokollierte Tests und Übungen sind für eine MaRisk-VA-konforme Notfallplanung unerlässlich. Zentrale Messgröße Durch Tests und Übungen können Probleme und Verbesserungsnotwendigkeiten erkannt werden. Darüber hinaus bieten sie, neben bereits eingetretenen Notfallsituationen, die einzige Möglichkeit, Qualität und Effektivität der Notfallplanung zu beurteilen und der Erzeugung trügerischer Sicherheit vorzubeugen. Folgende Fragen sollte ein Test- und Übungskonzept beantworten können: Funktioniert die Ausrüstung im Notfall? Ist das für den Notfall definierte Vorgehen korrekt beschrieben und führt es zum gewünschten Ergebnis? Ist das Vorgehen so definiert, dass die einzelnen Arbeitsschritte logisch aufeinander aufbauen und keine Lücken im Prozess entstehen? Eignet sich das gewählte Vorgehen, um wesentliche Aktivitäten des Unternehmens innerhalb der ermittelten maximalen Ausfallzeit von Prozessen zu gewährleisten? Verfügen die für die Notfallplanung zuständigen Personen über die notwendigen Fähigkeiten, Autorität und Erfahrung? Sind klare Rollen und Verantwortlichkeiten definiert? Sind sich die involvierten Personen ihrer Rollen und Verantwortlichkeiten bewusst? Test- und Übungsarten Grob kann man zwischen vier Test- und Übungsarten unterscheiden: Der Walk- Through-Test ist der kosteneffektivste und zeitsparendste Test. Er hat Workshop- Charakter und bietet den Teilnehmern die Möglichkeit, Notfallplanung und entsprechende Abläufe durchzusprechen. Es können auch einzelne Problembereiche besprochen und nach Lösungen gesucht werden. Der Schreibtisch-Test hat ebenfalls Workshop-Charakter, aber zusätzlich eine zeitliche Komponente, die einen Notfall simuliert. Von den Teilnehmern wird erwartet, dass sie mit den Notfallplänen vertraut sind, und sie müssen im Laufe des Tests aufzeigen, wie sie ihre Rolle im Notfallplan übernehmen. Der Funktionstest (ebenfalls mit zeitlicher Komponente) erwartet von den Teilnehmern, dass sie tatsächliche Handlungen am Arbeitsplatz durchführen. Der Notfall kann beispielsweise den Schwenk zwischen zwei Rechenzentren beschreiben, wenn es um den Notfallplan für das Szenario IT-Ausfall geht. Diese Art bedarf genauer Planung, da der Normalbetrieb beeinträchtigt werden könnte. Die vollständige Simulation bezieht die gesamte Sicherheit & Service Grundstücke und Gebäude. Unser Auftrag! Unsere Werte! Als Prozessdienstleister verknüpfen wir Sicherheits- und Servicedienst ganz nach Ihren Anforderungen. Wir gehen für Sie den einen Schritt weiter. WISAG Sicherheit & Service Holding GmbH & Co. KG Kennedyallee 76 D Frankfurt Tel Security insight WISAG 6/2013 heißt Wertschätzung! WISAG heißt Einsatz! WISAG heißt bunt! 33

18 Im Fokus: Finanzwirtschaft Im Fokus: Finanzwirtschaft An den Prozessen orientiert Für die Zutrittskontrolle in der Raiffeisenbank Solothurn verfügt jede Tür über die Sicherheitskomponenten, die individuell notwendig sind Von Pia De Carli Wer mit der Erwartung eintritt, eine geschäftige Schalterhalle vorzufinden, reibt sich staunend die Augen: Der Empfangsbereich der Raiffeisenbank in Solothurns Altstadt strahlt Ruhe und schlichte Eleganz aus. Nur wenige Meter liegen zwischen der St. Ursenkathedrale dem Wahrzeichen der Stadt und dem Eingang der neuen Raiffeisenbank. In zweijähriger Bauzeit ist hier hinter der historischen Fassade eines typischen Altstadthauses ein wahres Juwel entstanden. Seit Frühjahr 2013 steht die Schweizer Bank ihren Kunden offen. Die Komponenten der Zutrittssteuerung stammt vom Beschlag übers Schloss bis zum Biometrieleser von einem einzigen Anbieter. Die entspannte Atmosphäre in der Bank hat System. Wir konzentrieren uns voll auf die Beratung und haben unsere Bank entsprechend gebaut und eingerichtet. Unsere Kunden sollen sich bei uns wohl fühlen und sich möglichst frei bewegen können, erklärt Bankchef Richard Burgener. Dieses Konzept hat sich direkt auf die Gestaltung der Zutrittskontrolle ausgewirkt, deren Komponenten von der Glutz AG stammen. Sie orientiert sich an den Wegen, die Kunden und Mitarbeiter gehen, und damit an den definierten Arbeitsprozessen. Jede einzelne Tür hat genau jene Zutrittskomponenten erhalten, die ihrer Rolle in den Prozessen entsprechen. Die 26 Türen und zwei Schleusen werden je nach Sicherheitsprofil mit Chipkarten, persönlichen Codes, Fingerabdruck oder kombinierten Zutrittsmedien bedient. Server? Nicht nötig! Das mechatronische Glutz-Zutrittssystem wird ohne Server über zwei Controller auf einem eigenen Netzwerk betrieben. Das reduziert die Komplexität, der Aufwand für Betrieb und Unterhalt fällt bescheiden aus, was nicht zuletzt die Kosten senkt. Das Daten-Backup inklusive Logfiles erfolgt redundant über die Controller. Mit seiner integrierten unterbrechungsfreien Stromversorgung (USV) ist das System vor Ausfällen geschützt. Die Komponenten darunter Controller, Biometrie- und RFID-Elemente sind gründlich erprobt. Die beiden Sicherheitsschleusen sind vollständig im Zutrittssystem integriert und entsprechend den Sicherheitsprozessen mit RFID und Code oder Code und Biometrie ausgerüstet. Über eine Schnittstelle ist das Zutrittssystem mit der Alarmanlage verbunden. Wenn neue Anforderungen und Bedürfnisse auftauchen, lässt sich das System dank seiner Flexibilität und Leistungsreserven auf einfache Weise erweitern und anpassen. Einfach für Benutzer, pflegeleicht für Verwalter Das Definieren und Verwalten der Zutrittsberechtigungen gestalte sich denkbar Der Empfangsbereich der Raiffeisenbank (Foto links) in Solothurns Altstadt strahlt Ruhe und schlichte Eleganz aus. Rechts an der Wand ist ein Bedienfeld für die elektronische Zutrittskontrolle zu sehen. Das Foto rechts zeigt den Fingerabdruckleser am Aufzug. einfach, erzählt Doris Kaufmann, bei der Raiffeisenbank zuständig für die Führungsunterstützung: Uns war wichtig, dass wir dafür keine externen Spezialisten beiziehen müssen, sondern autonom sind. Wir sind darauf angewiesen, dass wir Berechtigungen sehr zeitnah erstellen oder deaktivieren können. Innerhalb von nur zwei Stunden lernt man, wie man die Zutrittsberechtigungen und andere Funktionen des Systems programmiert. Den Mitarbeitern bietet das System viel Komfort: Mit einem einzigen Zutrittsmedium bewegen sie sich durch alle für sie erlaubten Zonen. In optischer Hinsicht passt sich die Zutrittslösung harmonisch und diskret ins Gesamtbild des Bauwerks ein. Dabei kommt die Designkompetenz von Glutz zum Tragen die in Solothurn gefertigten Tür- und Fenstergriffe wirken leicht und tragen zur modernen ästhetischen Atmosphäre bei. Eine rundum gelungene Lösung, freuen sich Doris Kaufmann und Richard Burgener einhellig, die wir anderen Raiffeisenbanken gerne zeigen und empfehlen. Beeindruckt hat uns die mustergültige Zusammenarbeit aller Projektpartner: Dank ihr hat am Eröffnungstag alles perfekt funktioniert! 34 Security insight 6/

19 Im Fokus: Finanzwirtschaft Im Fokus: Finanzwirtschaft Geldautomaten unter Beschuss Serie von Sprengstoffanschlägen bringt neue Herausforderungen für Banken und Sparkassen / Berliner Geldinstitut setzt in seinen Filialen 60 Spezialalarmanlagen ein Raubüberfälle, die in früheren Zeiten den kriminellen Angriff auf Banken schlechthin darstellten, dominieren längst nicht mehr das Gefährdungsbild. Stattdessen müssen sich die Kreditinstitute mit ihren Filialen intensiv mit neuen Bedrohungsformen beschäftigen. Moderne Komfortleistungen, etwa die rund um die Uhr möglichen Bargeldverfügungen, führen zu neuen Herausforderungen an die Sicherheit. Deutschlandweit gibt es über Geldausgabeautomaten und die stehen derzeit massiv unter Beschuss. Buchstäblich. Neben klassischen Methoden des Tresorknackens vor Ort durch Werkzeug, Schweißgerät und Sprengung von außen haben sich weitere Methoden und Verfeinerungen entwickelt, an das Geld in den GAA-Kassetten zu gelangen. Die derzeit aggressivste Methode sind Sprengüberfälle. Zunehmend sind in der jüngeren Vergangenheit Explosionen von Geldautomaten bundesweit in die Schlagzeilen geraten. Die Ergebnisse der Ermittlungen weisen in den meisten Fällen auf ein organisiertes Vorgehen von aus Osteuropa stammenden Banden hin. Statt den Automaten von außen zu sprengen, leiten die Täter eine explosive Gasmischung mit Hilfe eines Schlauchs in den Tresor des Geldautomaten ein und zünden das Ganze aus der Ferne. Diese Angriffe gehen nicht nur auf das Konto von professionellen Tätern, sondern auch von Amateuren mit steigender Tendenz. Anschlag in den Morgenstunden Besonders akut ist die Situation in Berlin. Angesichts einer nicht abreißenden Welle von Angriffen seit Anfang des Jahres entsteht der Eindruck, jemand habe den Geldinstituten der Bundeshauptstadt den Krieg erklärt. Zum bis Redaktionsschluss jüngsten Ereignis kam es Ende September in Berlin-Mitte: Zwei mit Skimasken vermummte Männer sprengten einen GAA und entkamen nach Zeugenaussagen mit Geldkassetten. Verletzt wurde durch die Explosion niemand. Das Landeskriminalamt ermittelt mit der eigens dafür gegründeten Sonderkommission Giro. Bereits 16 Automaten haben die noch unbekannten Täter in diesem Jahr gesprengt, um an die Geldkassetten zu gelangen. Die Vorgehensweise folgt laut Polizeiberichten dem immer gleichen Muster: Zugeschlagen wird jeweils in den Morgenstunden. Eine Gruppe von meist vier bis fünf Tätern verschafft sich Zutritt zu den Selbstbedienungsbereichen der Bankfilialen und erzeugt eine Explosion durch Zuleitung von Gas. In acht Fällen gelang es den Tätern, an die Geldkassetten zu kommen und mit ihnen Ohne von einem Strom- oder Telefonfestnetz abhängig zu sein, geben die tragbaren Alarmanlagen bei Gefahr einen lauten akustischen Alarm in der Filiale und setzen parallel einen stillen Alarm über GPRS ab. zu flüchten. In einigen Fällen kommen die Täter allerdings gar nicht erst an das Geld. Die Scheine werden durch die eigens dafür eingebauten Farbpatronen in den Automaten zerstört. Jedoch geben die verstärkt auftretenden GAA-Sprengungen in Berlin Anlass zur Sorge vor allem auf Grund der offenkundig in Kauf genommenen Personengefährdung und des zumeist hohen Schadens an Gebäuden und Einrichtungen. Inzwischen überlegen alle Berliner Institute, weitere Maßnahmen zu ihrer besseren Absicherung zu ergreifen. Um die gegenwärtige Lage mit meist beträchtlichen Schäden und Auswirkungen auf Angestellte sowie unbeteiligte Passanten und Hausbewohner in den angegriffenen Gebäuden zu kontrollieren, setzt beispielsweise ein großes Berliner Geldinstitut Stand-alone-Systeme vom Typ SmartAlarm der VPSitex Deutschland GmbH ein. Flexibler Einsatz vor Ort Gemeinsam mit seinem Kooperationspartner Securitas Mobil hat der Spezialist für technische Sicherungskonzepte und -lösungen mehr als 60 Anlagen in den Filialen der Bank installiert. Als Vertragshalter nahm Securitas Mobil dabei die Mietoption von VPSitex in Anspruch, die besonders bei kurzfristigen und temporären Schutzmaßnahmen zum Tragen kommt. Bei den Alarmanlagen handelt es sich um intelligente, funkbasierte Sicherungssysteme, die vollständig drahtlos und medienunabhängig arbeiten. Diese Eigenschaften der tragbaren Geräte ermöglichen die einfache und schnelle Foto: S. Rasch Angriff auf einen GAA in Berlin-Wilmersdorf im vergangenen Juli Installation vor Ort und einen flexiblen Einsatz sowohl innerhalb eines Gebäudes als auch außerhalb. Ohne von einem Strom- oder Telefonfestnetz abhängig zu sein, geben die autarken Anlagen bei Gefahr einen lauten akustischen Alarm in der Filiale und setzen parallel einen stillen Alarm über GPRS ab. Damit ist das rasche Eingreifen der Fachleute von Securitas Mobil gewährleistet. Die unkomplizierte Installation der Geräte und die effektive Kombination mit unseren personellen Dienstleistungen haben uns von Anfang an überzeugt, bestätigt Veit Steinmöller, zuständiger Bereichsleiter von Securitas Mobil. Wir verbessern zudem kontinuierlich unsere Strategie, um den Kriminellen immer einen Schritt voraus zu sein. Den Geldautomaten zu sprengen, bedeutet eben nicht, auch an das Geld heranzukommen, warnt Steinmöller. Benjamin Stengl Security insight 6/

20 Sicherheits-Consulting Sicherheits-Consulting Auf dem kontinentaleuropäischen Weg General Jean Heinrich und Jens Washausen sprachen mit Marcus Heide über die Besonderheiten von Sicherheitsberatung und Krisenmanagement von GEOS Germany Ein bekanntes Gesicht unter neuem Label: Jens Washausen hat jüngst seine einst unter Adato firmierende Sicherheitsberatung in die weltweite Organisation der GEOS-Gruppe unter Führung des ehemaligen französischen Generals Jean Heinrich eingebunden und deren Dienstleistungen für Geschäftspartner der neuen GEOS Germany GmbH verfügbar gemacht. Ziel ist es, deutschen Industrie- und Finanzunternehmen kontinentaleuropäisch geprägte Lösungen und Response-Fähigkeiten auf den Gebieten Krisenmanagement, Corporate Security und Business Intelligence zur Verfügung zu stellen. Deutsch-französische Zusammenarbeit weltweit: Jens Washausen (l.) und General Jean Heinrich SECURITY insight: Mon Général, Deutschland ist wahrlich nicht arm an Sicherheitsberatern. Brauchen wir wirklich einen weiteren? Jean Heinrich: Konkurrenz belebt das Geschäft. Und eines macht uns hier zu Lande sicherlich einzigartig: Neben den zahlreichen deutschen Consulting-Firmen gibt es ja inzwischen eine Reihe aus dem angelsächsischen Raum wir dürften die ersten Franzosen sein! Spielt diese Tatsache denn eine praktische Rolle? Heinrich: Ganz sicher, zumindest was den Vergleich mit dem angelsächsischen Wettbewerb angeht. Wir haben eine ganz andere Herangehensweise, gerade was das Krisenmanagement deutscher Unternehmen im Ausland angeht. Wir suchen stets nach kooperativen Lösungen. Das sehen Deutsche lieber als robuste Maßnahmen. Meinen Sie das, wenn Sie vom kontinentaleuropäischen Weg sprechen, Herr Washausen? Jens Washausen: So ist es. Wir bevorzugen es, Sicherheitsrisiken von Projekten in kritischem Umfeld durch möglichst hohe Integration ins örtliche Umfeld und seine Strukturen sowie mit großem Respekt für die Sitten und Gebräuche der Bevölkerung zu begegnen. Dazu gehört, sich ohne Überheblichkeit mit dem politischen Kontext von Problemen auseinanderzusetzen. Sich mit low profile zu bewegen, erfordert viel Zurückhaltung, Gewandtheit in anderen Kulturen und hohe Planungstiefe. Wer hingegen als Sicherheitskonzept ausschließlich auf gepanzerte Limousinen und schwer bewaffnete Bewacher setzt, muss sich nicht wundern, wenn er unnötige Aufmerksamkeit und Aversionen wegen Besatzermanieren erzeugt. Können Sie ein Beispiel nennen? Heinrich: Es gab vor einiger Zeit einen Angriff auf die streng gesicherte Zuckerrohrplantage eines französischen Unternehmens in Afrika, 19 Menschen starben. Nach einem Jahr wurde die Plantage auf Basis unserer Empfehlungen wieder geöffnet: Die Zäune wurden komplett abgerissen, sodass das gesamte Gelände von außen zugänglich wurde. Die Zuckerrohrernte erfolgte nicht mehr maschinell, sondern durch Feldarbeiter mit Macheten. Es wurden eine Schule und ein Krankenhaus errichtet. Kurz: Die Menschen vor Ort wurden einbezogen, sie hatten Arbeit, ihre soziale Sicherheit stieg. Das hat sie zu Verbündeten gemacht statt zu Gegnern. Innerhalb eines Jahres lag die Produktivität der Plantage um 45 Prozent höher als vor dem Angriff. Die Investition in die Sicherheitsberatung hat also letztlich nicht Geld gekostet, sondern Gewinn gebracht. Das ist vermutlich das beste Argument auch für deutsche Mittelständler, die ja immer mehr in Afrika und anderen schwierigen Regionen unterwegs sind. Heinrich: Ganz so einfach ist es leider nicht. Franzosen beispielsweise entschließen sich oft sehr zaghaft, Geschäfte im Ausland aufzubauen. Wenn sie dann loslegen, stellen sie fest: Die Deutschen sind schon da! Deutsche treibt es sehr schwungvoll und offensiv auch in Krisenregionen, allerdings dies wiederum im Unterschied zu den Franzosen oft ohne die notwendige Sicherheitsvorbereitung. Das kostet am Ende viel Kraft und viel Geld. Ich habe einen deutschen Mittelständler erlebt, der sich ohne viel Federlesen mit einem Joint-Venture-Partner in Südamerika zusammengetan hat, ohne vorher die geringsten Erkundigungen einzuziehen. Das hat er bitter bereut. Hätten wir vorher für ihn recherchiert, wäre der finanzielle Aufwand weitaus geringer gewesen und der Standort würde vermutlich florieren. Washausen: Es fehlt keineswegs an Sicherheitssensibilität. Wir haben es ganz überwiegend mit sehr verantwortungsvollen Unternehmern zu tun. Aber es gibt zu wenig mittelstandstaugliche Lösungen. Diese dürfen die Unternehmen in Bezug auf den internen Aufwand nicht überfordern, müssen einfach umsetzbar und wiederholbar sein. Zu berücksichtigen ist dabei aber auch, dass der Aufwand für Sicherheitsmaßnahmen nicht erst nach der Entscheidung für ein Projekt in einer Krisenregion irgendwie untergebracht werden kann, sondern er gehört von Anfang an in die Kalkulation von Projekten, Produkten und Dienstleistungen. Ein zusätzliches Problem ist, dass viele qualifizierte Fach- und Führungskräfte lieber nach Sidney oder Singapur gehen statt nach Karachi, Kabul oder Kampala. Heinrich: Dabei unterstützen wir mit einem einmaligen Rekrutierungsservice. Derzeit arbeiten beispielsweise in Kabul rund 120 Ingenieure und Techniker, die wir eigens für französische Firmen eingestellt haben. Wo nehmen Sie die denn her? Heinrich: Die französische Armee hat hervorragende Ingenieure, die nicht nur im richtigen Alter sind, sondern obendrein Erfahrungen in Krisenregionen haben und damit äußerst sensibel sind für das Thema Sicherheit. Auch in Osteuropa, etwa Bulgarien und Rumänien, gibt es junge, hoch qualifizierte und sehr ambitionierte Ingenieure. Sie alle werden von GEOS angestellt und für unsere Mandanten ins Ausland geschickt. Und nicht selten kommt es vor, dass die Kunden so gute Erfahrungen mit ihnen machen, dass sie sie übernehmen. Würden Sie für Ihre deutschen Klienten Bundeswehrsoldaten abwerben? Washausen: Abwerben käme überhaupt nicht in Frage. Stattdessen könnte die Zukunft so aussehen, dass die Bundeswehr ihren Zeitsoldaten auf diesem Wege zusätzliche attraktive Berufsperspektiven bietet. Für die Unternehmen ist nicht wichtig, woher die Spezialisten kommen; das Konzept muss stimmen und funktionieren Security insight 6/