Unternehmen sind in Gefahr – nicht nur durch Cyberangriffe. Feuer, Naturkatastrophen, Einbrüche, Diebstahl, Spionage, Vandalismus oder Sabotagen können für schwere Schäden sorgen. Laut der Bitkom-Studie Wirtschaftsschutz 2020 geht das größte Sicherheitsrisiko sogar von ehemaligen Mitarbeitern (33 Prozent) aus – noch vor der organisierten Kriminalität (21 Prozent). Damit kommt die Gefahr aus den eigenen Reihen – von ortskundigen Menschen, die sich Zugang zu Server-Räumen, Technik, Laboren, Produktionsstätten oder Forschungseinrichtungen verschaffen. „Hier kann es zu Diebstahl oder Spionage kommen, aber auch die Sabotage von technischen Anlagen ist ein realistisches Szenario“, erklärt Stefan Wilde, Leiter Gebäudesicherheit/Physische Sicherheit bei AirITSystems, einem Partner und Beratungsunternehmen für IT- und Sicherheitslösungen. Es sei daher wichtig, das Grundstück, Gebäude und das Inventar sowie kritische Infrastrukturen zu sichern, um Betriebsausfälle und Schäden zu vermeiden und die Mitarbeiter vor zu schützen. „Das alles fällt genau in den Bereich der physischen Sicherheit, des sogenannten Objektschutzes“, so Wilde weiter. „Aber viele Unternehmen haben z.B. keine Perimetersicherung für Grundstücke und Gebäude, weder für außen, auch weil z.B. Zäune nicht gewünscht sind, noch für innen.“
Mangelhafte Sicherheitsstrategien
Sicherheitsstrategien vieler Unternehmen weisen branchenübergreifend und größenunabhängig erhebliche Lücken auf. Einer der Gründe hierfür ist die historisch bedingte Herangehensweise: Die physische Sicherheit mit Zäunen, Türen und Fenstern im Fokus kommt aus der Gebäudesicherheit und ist an das Facility Management gekoppelt; daneben steht die IT-Sicherheit mit Virenscans und Firewalls. Überschneidungspunkte gibt es nur in wenigen Bereichen wie Umgebungs- und Powermonitoring oder Zutrittskontrollen. Wilde meint: „In der Praxis arbeiten beide Bereiche sogar oftmals gegeneinander. Noch komplexer wird es, wenn IT und Facility Management teilweise oder ganz outgesourct sind, was oft bei Filialunternehmen oder der Nutzung von Cloudservices der Fall ist. Das führt dazu, dass nur Teile statt der Gesamtheit betrachtet werden.“ Erleben Sie Licht in neuer, farbiger Vielfalt. Mit dem DALI Gateway Colour für KNX steuern Sie DALI-Leuchten zentral und flexibel, individuell und vielseitig, um das Wohlbefinden gezielt zu steigern und eine besondere Atmosphäre zu schaffen. ‣ weiterlesen
Intelligentes Lichtmanagement.
Der ganzheitliche Blick fehlt
In Unternehmen fehlt also oftmals die übergeordnete Sichtweise, ohne die wiederum kein Konzept und kein Fahrplan möglich sind, was an Sicherheit wie erreicht werden soll. Auch die kaufmännische Vergabepraxis vieler Organisationen steht einer einheitlichen, homogenen Struktur entgegen. Stattdessen kommen einzelne Insellösungen der klassischen Gebäudesicherheit wie Zutrittskontrollanlagen, Videosicherheitssysteme, Einbruchmelde- und Brandmeldeanlagen zum Einsatz. „Hinzu kommt nicht selten, dass vorhandene Sicherheitstechnik in die Jahre kommt und mangels Priorisierung tendenziell stiefmütterlich behandelt wird“, warnt Wilde. „Ein nicht mehr aktueller Stand der Technik geht z.B. mit veralteten mechanischen Schließanlagen bzw. Transpondertechnologien bei der Zutrittskontrolle, nicht ersetzten Standardschließungen der Hersteller von Technikschränken oder nicht angepassten Werkspasswörtern einher.“ Gerade die letzten beiden Punkte sind große und bedeutsame Einfallstore: Die Videoüberwachung wird z.B. in der Regel beim Facility Management verortet; für Passwörter hingegen ist der IT-Sicherheitsbeauftragte zuständig – der aber wiederum nichts von diesen Lücken weiß. Verteilte Liegenschaften und beträchtliche Unternehmensgrößen sind ebenfalls häufige Gründe dafür, dass Patchwork-Lösungen im Einsatz sind. Hier erfolgt die Betrachtung der physischen Sicherheit oft standortabhängig, mit der Folge, dass an einem Standort etwas verbessert wird, alle anderen Standorte daran aber nicht teilhaben. Ursächlich sind Zusammenschlüsse von Unternehmen oder Änderungen in der Organisation, die zu einer heterogenen Struktur der Systeme führen. Nicht zuletzt gibt es starke Unterschiede im Alter der Systeme: Während ein sukzessiver Austausch der IT durch Updates und Upgrades stattfindet, gibt es diesen Generationswechsel in der Gebäudesicherheit nicht – Anlagen laufen über Jahrzehnte hinweg. Die Systeme der klassischen Gebäudesicherheit sind zudem per se Insellösungen und selten konzipiert, mit anderen Systemen zu funktionieren. „Unterm Strich wird durch den Fokus auf die Cyberkriminalität die Bedeutung von physischer Sicherheit oft verkannt“, resümiert Wilde.
Analyse des Sicherheitsmanagements
Ein Sicherheitsmanagement benötigt einen ganzheitlichen Ansatz, der all diese Faktoren berücksichtigt. Deswegen steht am Anfang stets eine Analyse durch einen Dienstleister wie AirITSystems, die alle verantwortlichen Stellen im Unternehmen einbezieht: Unternehmenssicherheit, Beauftragte für Brandschutz und Arbeitssicherheit, Datenschutz und IT-Sicherheit. Es erfolgt eine Ist-Aufnahme: Der Status Quo wird bewertet, der Soll-Zustand definiert und Lösungen werden entwickelt, um den Soll-Zustand zu erreichen. Ein Fahrplan gibt die einzelnen Schritte vor. Die Analyse legt also Sicherheitslücken und damit den Handlungsbedarf offen. „Oft zeigt sich, dass Hard- und Software sich nicht ineinanderfügen, sondern konterkarieren, etwa, wenn die Berechtigungsvergabe einer Onlinezutrittskontrolle nicht mit der mechanischen Schließanlage abgestimmt ist“, präzisiert Wilde exemplarisch. In den meisten Unternehmen sind Budgets für derartige Maßnahmen vorhanden – deswegen müssen Aufgaben und Zuständigkeiten geklärt werden und das Unternehmen organisatorisch zusammenrücken. Der Maßnahmenplan und eine Sicherheitsbewertung definieren, was genau passieren soll, elektrische und mechanische Sicherheit müssen ineinandergreifen: Eine Einbruchmeldeanlage für das Rechenzentrum ist z.B. allein nicht sinnvoll, wenn es nur mit einer Bürotür gesichert ist oder über Standardfenster verfügt, die zudem direkt an öffentlichen Wegen liegen.
