EN
Person am Schreibtisch mit Tastatur und rotem Vorhängeschloss

Yingyaipumi, Adobe Stock

Themen

Unternehmertum
01.02.2023

Sicherheit mit System

Jedes Unternehmen ist täglich mit der Bewältigung von Bedrohungen und Risiken beschäftigt. Sie müssen so schnell wie möglich abgewendet werden – „the show must go on“.

Autor: Christian Köhler & Jannis Winkler, NKMG mbH (BVMW-Mitglied)

Um im Vorfeld alle Gefährdungen zu berücksichtigen, ist eine Analyse und Bewertung des Risikos der eigenen Tätigkeiten von Vorteil. Dabei werden alle relevanten Risiken im besten Fall schon vor erstmaligem Eintritt erkannt und durch präventive Maßnahmen möglichst verhindert, im Ausmaß gemindert oder eine Störung durch Vorhaltung alternativer Techniken und auch organisatorischer Prozesse (Rückfallebene/Redundanz) kompensiert.

1. Aufnahme Status Quo

Die Analyse beginnt mit der Festlegung eines unternehmenseigenen Bezugsrahmens. Hierfür werden zunächst Schutzziele durch die Unternehmensleitung definiert. Gleichzeitig werden alle bereits im Unternehmen vorhandenen Daten und Dokumente bezüglich Sicherheit, Risikomanagement und/oder eines bereits implementierten Sicherheits- und Informationssicherheits-Managementsystems (ISMS) gesichtet und bewertet. Besonders in Hinblick auf die Definition von Akzeptanzschwellen und Risikokategorien sind interne Vorgaben des Unternehmens notwendig.

2. Vorbereitung einer Bewertung

Zur Ermittlung des IST-Zustands eines Unternehmens müssen alle relevanten Fragen bezüglich Sicherheit beantwortet werden. Die NKMG hat hierfür eine umfassende Checkliste (Bau, Technik, Organisation) entwickelt, die je nach Branche und Unternehmen weiter angepasst werden kann. Auf Grundlage der bereits vorliegenden Daten kann das allgemeine Sicherheitsniveau und das der IT- und Kommunikations- Infrastrukturen und der einzelnen Standorte bereits bewertet werden.

Risikomanagement ist als Bestandteil der Sicherheitskonzeption ein regelmäßiger Prozess.

In diesem Prozess erfolgt die besondere Berücksichtigung von Sicherheitszonen (Zwiebelschalenmodell) als methodische Grundlage, vor allem in Sektoren mit erhöhtem Schutzbedarf für Personal und Technik. Das sind Technikräume, kritische Produktionsbereiche, Test- und Entwicklungsbereiche, Serverräume, Laborumgebungen, Ver- und Entsorgungsbereiche, Lager, aber auch Archive mit besonderen Dokumentationsaufgaben.

3. Begehung und Bewertung von Standorten

Die Bewertung der Sicherheitsmaßnahmen und ergänzende Prüfung durch Begehungen einzelner Standorte basiert auf der in Phase 2 erarbeiteten Checkliste. Im Nachgang werden die Checklisten aus den Begehungen und die Analysen aus vorhandenen Konzepten und Dokumenten in einem Kurzbericht zusammengefasst und dem Kunden übergeben.

4. Erfassung der Sicherheitsrisiken

Die aufgenommen Sicherheitsrisiken werden als Grundlage der Analyse in einem möglichen Risikotool abgebildet und um kundenspezifische Risiken ergänzt und präzisiert.

Kundenspezifische Risiken sind zum Beispiel:

  • Diebstahl hochwertiger technischer Geräte
  • Einbruch
  • Körperverletzung
  • aggressive Vorfälle auf Personal
  • Vandalismus und Sachbeschädigung
  • Korruption
  • Sabotage
  • IT-Sicherheitsrisiken (IT-Systeme und sicherheitstechnische Systeme)
  • Terror- und besondere Gewaltrisiken
  • Entführung
  • Katastrophen
  • Störung der Logistik

Die vorliegende Risikoliste wird mit internen Sicherheitsdaten des Unternehmens angereichert und nach ihrer Kritikalität bewertet und geordnet. Im nächsten Bearbeitungsschritt werden die Risiken, soweit möglich, mit externen Datenquellen ergänzt (von Fachverbänden, Statistiken, Polizeiliche Kriminalstatistik, Onlinerecherche uvm.).

Die Risikobetrachtung beachtet üblicherweise folgende Schutzziele:

  • Sicherheit der Mitarbeiter und Besucher
  • Schutz der Infrastruktur, der technischen Geräte und Verkehrsflächen
  • Schutz des geistigen Eigentums
  • Datenschutz und Persönlichkeitsrechte
  • Störungsfreier Ablauf von Produktion, Services und Business Continuity
  • Schutz von Ansehen und Image
  • Schutz der Umwelt

Das Risikomanagement berücksichtigt die ausgewählten Einzelrisiken (nach individueller Auswahl können dies bis zu dreistelligen Anzahlen von Risiken sein) und bewertet diese nach Eintrittswahrscheinlichkeit und Schadensausmaß. Daraufhin wird ein individuelles Risikoprofil errechnet und in einer Risikomatrix graphisch dargestellt. Auf Basis dieser Einschätzung können konkrete Gegenmaßnahmen zur Verringerung des Risikoprofils vorgeschlagen werden. Die einzelnen Einschätzungen und Gegenmaßnahmen sind Bestandteil der Sicherheitskonzepte. Das Risikomanagement ist als Bestandteil der Sicherheitskonzeption ein regelmäßiger Prozess.

5. Individuelle Erstellung oder Überarbeitung von Sicherheitskonzepten

Sicherheitskonzepte können folgende Inhalte haben:

  • Sicherheitsleitlinie und Sicherheitsmanagementkonzept
  • Sicherheitsrahmenkonzept
  • Individuelle Fachkonzepte (Organisation, Technik, Bau)
  • Notfall- und Krisenmanagement
  • Krisenkommunikation
  • Business Continuity Management (BCM)
  • Betriebskonzepte
  • Technische Handlungsanweisungen
  • Schulung und Training
  • Wartung und Instandhaltung
  • Dienstleistungen

Verwandte Artikel

VERFAHRENSDOKUMENTATION aus steuerrechtlicher Sicht

Informationsveranstaltung

VERFAHRENSDOKUMENTATION aus steuerrechtlicher Sicht

Unternehmertum
HW Roberto Raethel Logenhaus Gmb H Co KG

HERZLICH WILLKOMMEN

Roberto Raethel - Logenhaus GmbH & Co. KG

Unternehmertum