Dieser Artikel ist der letzte von drei Artikeln zu diesem Thema. Der erste Artikel thematisierte die Ermittlung eines Schadens, z.B. in Folge einer wirtschaftskriminellen Handlung. Der zweite Artikel befasste sich mit der präventiven Identifizierung der Täter und den Grenzen des Ansatzes. Dieser Artikel wird sich den Anwendungshinweisen widmen.
Aus Fehlern lernen, heißt sich verbessern
Wir machen im Laufe unseres Lebens unzählige Fehler. Die meisten Fehler machen wir als Baby, doch wir lernen schnell daraus und entwickeln uns weiter. Als Erwachsener versuchen wir, fehlerfrei zu werden und zu handeln. Überspitzt ausgedrückt könnte man behaupten: Wir wollen uns nicht weiterentwickeln.
Dieser Artikel wird sich den Fehlern widmen, die andere gemacht haben, damit Sie diese Fehler nicht machen müssen und sich dennoch weiterentwickeln können.

Vorbilder erhöhen die Erfolgswahrscheinlichkeit
Als Kinder schauen wir zu unseren Eltern auf, denn wir wollen so sein wie sie. Als Heranwachsende schauen wir zu Schauspielern und Musikern auf, denn wir wollen so sein wie sie. Als Arbeitnehmer schauen wir auf unsere Vorgesetzten, denn…
Anwendungsfehler Nummer 1: Vorgesetzten und Unternehmensführung sind kein Vorbild. Viele Vorgesetzte wollen die Sicherheit verbessern, doch nehmen für sich Ausnahmen in Anspruch, die für ihre Angestellten nicht nachvollziehbar sind.
Lösungsmöglichkeiten: Ausnahmen nachvollziehbar erklären oder keine Ausnahmen in Anspruch nehmen.
Beispiel: Ich habe Vorgesetzte erlebt, die immer die modernste IT einsetzen wollten. Dieser Wunsch widersprach der unternehmensweiten Vorgabe, IT drei Jahre zu nutzen. Daher haben diese Vorgesetzte ihre IT bei erscheinen neuer IT zerstört oder verloren. Deren Mitarbeiter wussten dies und behandelten ihre IT dementsprechend: in diesen Abteilungen war das Abhandenkommen von IT am höchsten.
Lösungsansatz: Die zerstörte oder verloren gegangene IT wurde durch ein gleiches Gerät und nicht durch ein neues Gerät ersetzt. Danach ging die Austauschquote auf den Unternehmensdurchschnitt zurück – auch bei den Vorgesetzten.
Fazit: Wenn Sicherheitsregeln erlassen werden und Sicherheitsmaßnahmen eingeführt werden, müssen diese durch alle Mitarbeiter angewendet werden. Ausnahmen müssen für alle nachvollziehbar sein, auch wenn dies einen erhöhten Kommunikationsaufwand bedeutet.
Betroffene zu Beteiligte machen
Wenn wir in ein Restaurant gehen, werden wir gefragt, was wir essen wollen. Der Kellner übergibt unseren Wunsch der Küche und diese kocht das Essen nach Rezept. Wie sehe unser Restaurantbesuch aus, wenn wir nicht gefragt würden und wenn die Küche sich nicht an Rezepte halten würde? Wer würde sich auf solch ein Experiment einlassen und dafür Geld bezahlen?
Anwendungsfehler Nummer 2: Sicherheitsregeln und Sicherheitsmaßnahmen werden erlassen, ohne die Betroffenen im Entwicklungsprozess zu beteiligen.
Lösungsmöglichkeiten: Mitbestimmungsrechte/-gesetze müssen ohne Ausnahmen eingehalten werden und wenn solche nicht existieren, muss eine adäquate Beteiligung sichergestellt werden.
Beispiel: Im Zuge der Harmonisierung von Zutrittsregeln zu Werksgeländen eines Konzerns kam es an einem Standort zum Austausch sämtlicher Werksausweise und der Drehkreuze. Die lokale Sicherheitsabteilung hat jedoch die lokale Mitarbeitervertretung nicht beteiligt. Da die Grundstimmung angespannt war, legte diese nach Installation und Austausch einen Einspruch gegen diese Maßnahme ein. Dieser Einspruch verhinderte die Nutzung um einige Monate. Während dieser Zeit mussten alle Drehkreuze mit Sicherheitspersonal besetzt werden und die Werksausweise wurden händisch überprüft.
Lösungsansatz: Es wurde ein Prozess installiert, der vorsieht, dass die Mitarbeitervertretung zum KickOff von allen sicherheitsrelevanten Projekten eingeladen wird. Damit ist sichergestellt, dass die Mitarbeitervertretung immer informiert und beteiligt ist.
Fazit: Betroffene müssen schon in der Projektentwicklung beteiligt werden, damit sich die Erfolgswahrscheinlichkeit der Sicherheitsmaßnahme erhöht und die Kosten gering bleiben.
Zuerst der Umsatz, dann die Bedrohung
Bevor wir Einkaufen gehen, überlegen wir uns, was wir wollen und wie viel Geld wir zur Verfügung haben. Manche schauen auch erst auf das Geld und überlegen anschließend, was sie dafür kaufen können. Keiner wird mit dem Gedanken starten, was wäre, wenn es die Wünsche nicht gibt, der Supermarkt zu hat und so weiter.
Anwendungsfehler Nummer 3: Sicherheitsverantwortliche beginnen mit der Identifikation von Bedrohungen und Gefahren sowie potentiellen Tätern anstatt mit der Identifikation schützenswürdiger Güter oder Personen. Oder sie behandeln alle Bereiche und Personen gleich bzw. kategorisieren sie, um Effizienz vorzutäuschen.
Lösungsmöglichkeit: Eine effiziente Sicherheitsorganisation beginnt immer mit der Identifikation schützenswürdiger Güter und Personen. Anschließend werden die dazu gehörenden Bedrohungen und Gefahren sowie deren Nutzungspotential für Täter analysiert.
Beispiel: Im Rahmen einer anlassbezogenen Sicherheitsanalyse sollte die bestehende Sicherheitsarchitektur überprüft werden. Dazu wurden die Fachbereiche, die Sicherheitsverantwortlichen und Vertreter mitbestimmungspflichtiger Organe eingeladen. Da ein Sicherheitsverantwortlicher sehr extrovertiert war, übernahm er sehr schnell die informelle Führung im Gespräch. Er erläuterte anhand von potentiellen Bedrohungsszenarien, warum das bestehende Sicherheitsniveau aus seiner Sicht zu gering sei. Sein Lösungsvorschlag hätte das Budget für Sicherheitstechnik und deren Organisation fast verdoppelt.
Lösungsansatz: Der Leiter der Unternehmenssicherheit hinterfragte die Analyse und konzentrierte sich auf die Punkte: Was muss (gesetzlich/vertraglich gefordert) und was sollte (Know-how) geschützt werden? Welche Täter kommen in Frage? Wie gut schützt die aktuelle Sicherheitsarchitektur? Welche Veränderungen sind zu erwarten? In Folge dessen wurden technische Sicherheitsmaßnahmen minimal verbessert und die regelmäßigen Absprachen zwischen den betroffenen Fachbereichen intensiviert. Der Kostenanstieg konnte reduziert werden und das Sicherheitsniveau wurde erhöht.
Fazit: Eine effektive und effiziente Sicherheitsanalyse stellt die Werte eines Unternehmens in den Fokus.
Den Experten vertrauen, und sie effektiv kontrollieren
In Umfragen wird regelmäßig bestätigt, Deutsche sehen sich als Do-it-yourself-Handwerker, und zwar als sehr gute. Viele Tätigkeiten erledigen wir selbst, anstatt einen Fachmann dafür zu bezahlen. Doch all diese Tätigkeiten werden in sensiblen Bereichen kontrolliert. Im Fahrzeugbereich durch den TÜV und im Gebäudebereich durch die Bauaufsicht, um nur zwei Beispiel zu nennen.
Anwendungsfehler Nummer 4: Viele Unternehmenslenker kleiner und mittelständischer Unternehmen sind der Meinung, das Thema Sicherheit als Nebenfunktion betreuen zu können. In den größeren Unternehmen gibt es Experten dafür, doch sie werden unzureichend kontrolliert. Häufig findet eine Kontrolle nur über das Budget und nicht über die Qualität (Effektivität und Effizienz) statt.
Lösungsmöglichkeiten: Für kleine und mittelständische Unternehmen rechnet sich es i.d.R. nicht, eine eigene Abteilung für die Sicherheit zu installieren. Daher sollten diese auf externe Experten zurück greifen, die sie regelmäßig beauftragen, dass aktuelle Sicherheitsniveau zu überprüfen. Solch eine Überprüfung kostet i.d.R. nicht mehr als ein sehr gutes Monatsgehalt eines Mitarbeiters, fällt aber nur einmal im Jahr an. Größere Unternehmen sollten Zielvereinbarungen mit der Sicherheitsorganisation abschließen, die sich am notwendigen und wirtschaftlichem Sicherheitsniveau orientiert. Diese Vereinbarung ist regelmäßig, z.B. viertel- oder halbjährlich, zu überprüfen, um frühzeitig eingreifen zu können, falls es zu Fehlentwicklungen kommt. Darüber hinaus sollte eine Kosten-Nutzen-Analyse für Personal, Technik und Organisation mindestens einmal im Jahr durchgeführt werden.
Beispiel: Im Rahmen einer Überprüfung der Sicherheitsorganisation verschiedener Standorte wurde festgestellt, dass ein Standort einen verhältnismäßig großen Personalansatz hat. Eine detaillierte Analyse (es wurde eine komplette Sicherheitsanalyse durchgeführt) konnte diesen Personalansatz nicht rechtfertigen. Es wurde unter anderem auch festgestellt, dass Teile des Personals unzureichend ausgebildet waren und der höhere Personalansatz dies kompensierte.
Lösungsansatz: Es wurde ein Weiterbildungsprogramm installiert. Natürlich frei werdende Stellen wurden nicht neu besetzt und Mitarbeiter, die sich neu orientieren wollten, wurden darin unterstützt (durch zusätzliche 0,Weiterbildungsmaßnahmen). Darüber hinaus wurde festgelegt, dass der Standortvergleich jährlich wiederholt wird und die Ergebnisse dem Top-Management vorgelegt werden.
Fazit: Experten sollten dort eingesetzt werden, wo es notwendig und wirtschaftlich ist. Werden sie eingesetzt, müssen sie anhand des notwendigen und wirtschaftlichen Sicherheitsniveaus kontrolliert werden.
Fazit
Eine Sicherheitsarchitektur kann effektiv und effizient gestaltet werden. Sie scheitert jedoch, wenn die Unternehmenslenker und die Sicherheitsverantwortlichen die selbst gesteckten Regeln nicht vorleben bzw. Ausnahmen nachvollziehbar machen. Für kleine und mittelständische Unternehmen kann es wirtschaftlicher sein, auf externe Experten zurückzugreifen, anstatt Do-it-yourself-Lösungen zu installieren. Große Unternehmen müssen die Sicherheitsarchitektur überwachen, damit sich diese nicht verselbstständigen und den Fokus einer effektiven und effizienten Sicherheitsarchitektur aus den Augen verlieren.
Wer Risiken eingeht, kann Fehler machen oder Gewinnen. Doch, um sich weiterzuentwickeln, müssen Fehler gemacht werden dürfen – aber nur einmal. Daher müssen Unternehmen eine aktive Fehlerkultur installieren. Solch eine Fehlerkultur gestattet das einmalige Fehler machen und sorgt für einen aktiven Austausch von Erfahrungen, die mit diesen Fehlern gemacht wurden.
In meinem Studium hörte ich eine interessante These: Eine Fehlerdatenbank ist effektiver als eine Best-Practice-Datenbank. Leider weiß ich nicht mehr, von wem diese stamm, doch ich finde die These nachvollziehbar.