Das Österreichische Sicherheitsbewusstsein und das Glück
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Das Österreichische Sicherheitsbewusstsein und das Glück
Unternehmensberatung | Sicherheitsunternehmen | Begutachtung
Das Österreichische
Sicherheitsbewusstsein und das Glück
16 Jahre Erfahrung aus der Beratung
mgr Mario Trutzenberger EMBA
Page
1 von 8
© Mario & Sandro Trutzenberger 2021Das Österreichische Sicherheitsbewusstsein und das Glück
Inhalt
Vorwort ........................................................................................................................................................................ 3
Sicherheitsawareness in Unternehmen ........................................................................................................ 3
Einzelhandel ........................................................................................................................................................... 4
Einzelhandel mit höherem Gefährdungspotenzial ................................................................................. 4
Produktions- und Know-how-Unternehmen.............................................................................................. 5
Unternehmen hoher Kritikalität .................................................................................................................... 5
Warum ......................................................................................................................................................................... 5
Die handelnden Personen .................................................................................................................................... 6
Glück .............................................................................................................................................................................. 6
Fazit ............................................................................................................................................................................... 8
Page
2 von 8
© Mario & Sandro Trutzenberger 2021Das Österreichische Sicherheitsbewusstsein und das Glück
Täter oder ist ein solches Szenario heute
Vorwort
derart unwahrscheinlich, dass man auf
Hatten Sie seit der Lockerung der Covid- (zumindest sichtbare Präsenz) von Exeku-
Regeln schon Gelegenheit, eine Veranstal- tive, die im Anlassfall unmittelbar effizient
tung im Freien zu besuchen? Ich schon. eingreifen könnte, schon wieder völlig ver-
Was ist mir z.B. bei einer „Langen Nacht zichten kann?
offener Geschäfte“ (oä.) samt Gastro- und
Nun – die Antworten werden sich nur je-
Getränkeständen sowie Live-Musik-Büh-
nen Lesern erschließen, die Zugang zu po-
nen neben gut gelaunten Menschen, die es
lizeilichen und/oder nachrichtendienstli-
genossen haben, nach langer Zeit wieder
chen Gefährdungseinschätzungen und Ge-
eine Veranstaltung zu besuchen, dabei auf-
fahrenanalysen haben.
gefallen? In den 4 Stunden, die ich die Ver-
anstaltung besucht habe, habe ich keine Wir wollen uns aber nicht mit der Sicher-
Exekutive im gekennzeichneten Veranstal- heits-Awareness und Risikoanalysen im öf-
tungsbereich, der mehrere Straßenzüge fentlichen Raum beschäftigen, weil dies
einer städtischen Altstadt umfasst hat, ge- Angelegenheit der zuständigen Behörden
sehen. Auf den zumindest zweispurigen ist. Uns stellt sich die Frage, wie es im Be-
Fahrbahnen von Durchzugsstraßen, die in reich von Unternehmen aussieht. Wird
den Veranstaltungsbereich zum Teil einbe- auch hier nur kurzfristig und für kurze Zeit-
zogen waren, war der Veranstaltungsbe- dauer auf aktuelle Sicherheitsvorfälle rea-
reich lediglich durch hölzerne Scherengit- giert? Wird auch hier schnell vergessen?
ter für den Fahrzeugverkehr gesperrt, ge- Und wird auch hier nach dem Grundsatz
sichert wurden diese Scherengitter durch „wird schon nicht …“ gedacht und gehan-
Ordner. Die weiteste freie und nahezu ge- delt? Weiß man gar, dass nichts passieren
rade Anfahrtsstrecke zu einem der Sche- wird oder sind die Risiken tatsächlich so
rengitter hat > 250 m betragen. Also aus- gering und vernachlässigbar, dass Sicher-
reichend Strecke, um mit einem Kraftfahr- heitsvorkehrungen in Unternehmen ver-
zeug Geschwindigkeit aufzunehmen … nachlässigt werden können? Oder reicht
grundsätzlich die Risikoabwälzung: pas-
Sind die Anschläge mit Kfz auf Fußgänger
siert etwas, wird es schon versichert sein
(Nizza 2016, Berlin 2016, …) vergessen?
und der Versicherer wird entschädigen?
Oder haben polizeiliche und nachrichten-
dienstliche Aufklärung ergeben, dass der- Lebt die Unternehmenssicherheit (auch)
artige Delikte 2021 unmöglich, oder zu- vom Glück?
mindest so unwahrscheinlich sind, dass
man auf entsprechende Barrieren verzich- Sicherheitsawareness in Unternehmen
ten kann? Besteht das Risiko nicht mehr Ich möchte dem Leser an dieser Stelle Sta-
oder ist es so verschwindend gering, dass tistiken ersparen, die in diesem Bereich
man Schutzmaßnahmen dagegen ver- aufgrund der Samples ohnehin wenig aus-
nachlässigen kann? sagekräftig sind, weil sie meist nur für Un-
Ist der Terroranschlag von Wien im No- ternehmen gewisser Größe und in Bezug
vember 2020 vergessen und sind An- auf wenige Delikte (wie beispielsweise Cy-
sammlungen von Menschen nicht mehr bercrime) aussagekräftig sind. Ich erlaube
mögliche Ziele terroristisch motivierter mir an dieser Stelle, mehr als 15 Jahre als
Berater in Kurzform widerzugeben und
Page
3 von 8
© Mario Trutzenberger 2021Das Österreichische Sicherheitsbewusstsein und das Glück
zusammenzufassen. Um einen Überblick entwickeln: da wird in der Kristallkugel ge-
zu erhalten, werden die Unternehmen im lesen, durch welche Türen/Fenster Täter
folgenden in typische Gruppen eingeteilt, mit Sicherheit – wenn überhaupt – in das
von denen einige kurz behandelt werden: Objekt eindringen werden, da wird im Kaf-
feesatz gelesen, welche modi operandi
Einzelhandel
„mit Sicherheit“ auszuschließen sind,
Im „klassischen“ Einzelhandel mit Hart- und „weil’s das nicht gibt“ … und auf dieser Ba-
Trockenware, Mode- und Freizeitartikeln sis werden dann i.d.R. bei Billigstanbietern,
und Lebensmitteln besteht de facto eine die ohne Rücksicht auf Regeln der Kunst
grundsätzliche Awareness unter dem und Technik genau das umsetzen, was
Motto „passieren kann immer was“. Wenn ihnen vorgegeben wird, Gewerke bestellt,
Sicherheitsmaßnahmen getroffen werden, die man sich bar jeglicher Basis ausge-
werden maximal Stakeholderforderungen dacht hat. Die Tür, bezüglich der man
umgesetzt, um im Schadenfall Entschädi- „weiß“, dass Täter eindringen werden, wird
gung lukrieren zu können: hier finden wir – in hoher Sicherheitsklasse ausgeführt, alle
wenn’s gut geht – den Tresor und die Ein- anderen nicht (weil über diesen Weg „si-
bruchmeldeanlage, die der Versicherer im cher niemand kommt“), ebenso werden
Rahmen der Einbruchdiebstahlversiche- manche Fenster besonders gesichert,
rung vorschreibt. Oftmals stellt man im während danebenliegende ungesichert
Schadenfall fest, dass auch die Vereinba- bleiben. Einbruchmeldeanlagen werden
rungen, die Risikoabwälzung garantieren nach größtmöglichen Spargedanken ge-
sollen, nicht und unzureichend umgesetzt staltet („was für ein Einfamilienhaus reicht,
sind, so dass in vielen Fällen keine Scha- reicht für einen Juwelier auch“), aus Kos-
denregulierung durch den Versicherer im tengründen wird kein wie immer geartetes
gewünschten Umfang erfolgt. Prinzip oder keine wie immer geartete
In vielen Fällen reagiert man erst nach Normforderung umgesetzt, die Alarmauf-
stattgefundenen Schadenereignissen und schaltung erfolgt auf Onkel, Tante und
investiert – zusätzlich zur Schadenaufar- Chef, damit ein allfälliger Fehlalarm nur ja
beitung – in Sicherheitssysteme. nichts kostet (ob und wie die auf Alarmaus-
lösungen reagieren, ist i.d.R. nicht gere-
Einzelhandel mit höherem Gefähr- gelt, meist vermutet man in der Nacht ei-
dungspotenzial nen Fehlalarm und schläft weiter).
Branchen wie Juweliere, Tankstellen und in Erst wenn der Versicherer gewechselt
letzter Zeit auch der Fahrradhandel sind wird oder man Opfer krimineller Handlun-
sich eher des Risikos bewusst, Opfer krimi- gen geworden ist, MUSS man sich mit der
neller (intentionaler) Angriffe zu werden. Unternehmenssicherheit auseinanderset-
Überwiegend gilt aber auch hier: risikoba- zen: meist hat man dann einen mehrfa-
sierte Sicherheitsmaßnahmen findet man chen Schaden: der entstandene wird vom
nicht einmal im Promillebereich. Oftmals Versicherer nicht reguliert, weil die Bedin-
werden Juweliere, Tankstellenbetreiber, gungen bei weitem nicht eingehalten wor-
Fahrradhändler … zu Sicherheitsexperten, den sind, zudem sind für künftige Risikoab-
die aufgrund öffentlicher Diskussion, medi- wälzungen plötzlich Sicherheitskonzepte
aler Auseinandersetzung oder kreativer Ei- an Versicherer vorzulegen …
genleistung Sicherheitskonzepte
Page
4 von 8
© Mario Trutzenberger 2021Das Österreichische Sicherheitsbewusstsein und das Glück
Produktions- und Know-how-Unterneh- bekleiden und alleine deshalb auch im
men Security Management, in der Physischen
Security (Schutz der Facility, Reisesicher-
Im Bereich produzierender Unternehmen
heit …), im Business Continuity Manage-
zieht man sich meist auf den Schutz des
ment, Resilienzmanagement uvm. zwangs-
Know-how zurück: hier hält man Angriffe
läufig über adäquate Expertise verfügen
für möglich und setzt demnach mehr oder
müssen (?!?). Die Physische Sicherheit fin-
weniger Maßnahmen des Informations-
det man nahezu immer (wie gesagt: außer
schutzes und – weil man in diesem Be-
es gibt tatsächlich sach- und fachkundige
reich das größte Risiko sieht – Maßnah-
Personen im Unternehmen) in Händen des
men zum Schutz vor Cyberangriffen. Über
Facility-Management, „weil’s ja mit dem Ge-
den Schutz der zur Produktion notwendi-
bäude zu tun hat“. Fachlich qualifizierte
gen Facility, über bauliche, elektronische
Masterminds, die die Maßnahmen alle
und insbesondere systematische organi-
adäquat herleiten, planen, aufeinander ab-
satorische Schutzmaßnahmen macht
stimmen, betreiben und aufrechterhalten
man sich i.d.R. keine Gedanken, weil man
können, sind selten.
großteils den Zusammenhang zwischen
Schutz von Know-how und physischen Si- Oftmals ist das aber gut für die Errichter-
cherheitsmaßnahmen nicht sieht oder ver- industrie und die Bewacherindustrie: die
steht. Oftmals stellt man dann Probleme können sich in solchen Biotopen oftmals
durch Innentäter oder Collusion-Tätermo- frei entfalten und Ideen umsetzen, die
delle fest und sind ebenso oftmals neben meist nicht auf das Gesamtsystem abge-
Warenschwund der „klassischen“ Werks- stimmt sind: Tunneldenken versus Integra-
spionage Türen und Tore geöffnet. tion!
In Unternehmen, die Know-how produzie- Unternehmen hoher Kritikalität
ren und/oder aufgrund entwickelten … für Staat, Gesellschaft, Bevölkerung … da
Know-hows Produkte spezieller Güte oder passt aber alles. Da wir auch in diesem
für spezielle Anwendungen produzieren, Segment tätig sind, können wir auch das
wird die Security-Awareness hoch entwi- leider nicht bejahen. Ich bitte hier aber um
ckelt sein – sollte man meinen! In der Be- Verständnis dafür, dass wir in diesem Be-
ratung wird immer wieder festgestellt, reich aus Sicherheitsgründen keine Män-
dass auch in derartigen Unternehmen – gel beschreiben.
außer diese leisten sich Security-Stabsstel-
len, die mit entsprechendem Fachpersonal Warum
besetzt sind – das Securitybewusstsein
bei Weitem nicht so ausgeprägt ist, wie ist das aber so? Und warum sind derartige
man es für angemessen erachten würde: Mängel in Österreich ausgeprägter als wir
man findet keine (adäquate) Security-Risi- das von anderen Ländern kennen und in
koanalyse, die als Basis für die Maßnah- anderen Ländern feststellen? Ist es der
men dienen sollte, die „Erfindung und Ge- „Österreichischen Seele“, wie Erwin Ringel
staltung“ von Sicherheitsmaßnahmen und sie beschrieben hat, geschuldet, oder der
„-konzepten“ übernehmen Mitarbeiter ein- typischen Österreichischen Gemütlichkeit,
fach aufgrund der Tatsache, dass sie eine oder der Österreichischen Geselligkeit, die
Governance-Funktion im Unternehmen irgendwie alle Menschen positiv includie-
ren möchte? Oder ist es einfach
Page
5 von 8
© Mario Trutzenberger 2021Das Österreichische Sicherheitsbewusstsein und das Glück
Unterschätzung, Scheiß-d’rauf-Mentalität Oftmals scheint es auch zu reichen, dass
(man verzeihe mir den Ausdruck), Gutgläu- Mitarbeiter mit gänzlich anderen als Si-
bigkeit oder schlicht Unkenntnis, Unter- cherheitsaufgaben und gänzlich anderen
schätzung die Risiken betreffend, Selbst- Ausbildungen als solchen im Unterneh-
überschätzung handelnder Personen ihre menssicherheitsbereich Interesse und En-
diesbezüglichen Fähigkeiten betreffend …? gagement zeigen, um die Unternehmens-
Oder „weil eh nix passiert“? Schließlich ist sicherheit großer oder kritischer Unter-
Österreich ja nicht die USA und geht es bei nehmen steuern zu können.
uns nicht zu wie in Wyoming um die
Wende vom 19. zum 20. Jahrhundert! Glück
Bis auf die (wenigen) Österreichischen Un- Gemäß dem Titel dieses Papers ist auch
ternehmen, die sich kompetente Personen das Glück zu betrachten.
leisten, die Security-Risiken erkennen, her- Das lateinische Substantiv „Fortuna, ae, f.“
leiten, steuern und bearbeiten können und bezeichnet neben der Schicksals- bzw.
adäquate Security-Maßnahmen entwickeln Glücksgöttin insbesondere das Schicksal,
und implementieren können, die Business- das Geschick, das Los und eben das Glück.
Ermöglicher und nicht -Verhinderer sind, „Fortuitus 3“ ist lt. Stowasser mit zufällig,
sind Österreichische Unternehmen planlos oder absichtslos zu übersetzen.
grosso modo nicht optimal und risikoange-
messen gegen intentionale Bedrohungen Der Duden definiert „Glück“ mit „etwas,
geschützt (außer vielleicht im Cyber-Be- was Ergebnis des Zusammentreffens be-
reich). sonders günstiger Umstände ist; beson-
ders günstiger Zufall, günstige Fügung des
Die handelnden Personen Schicksals“.
Im Handel (außer bei großen Handelsket- „Glück“ ist also nicht steuerbar, nicht vor-
ten) zeichnen i.d.R. Inhaber bzw. Geschäfts- hersehbar, nicht herbeiführbar, nicht wol-
führer für die Unternehmenssicherheit lentlich generierbar, sondern eben zufällig,
verantwortlich. Deren Kernexpertise liegt planlos und absichtslos. Entweder man hat
in ebendieser Regel aber nicht die Sicher- es, oder eben nicht. Glück kann man ha-
heit, sondern in dem, womit sie Umsätze ben, es kann einen aber auch wieder ver-
und Gewinne generieren. lassen.
Werden Unternehmen größer, haben sie Wie ist das aber gemeint mit dem Öster-
meistens einen Verantwortlichen für den reichischen Sicherheitsbewusstsein und
Schutz von Informationen; und weil diese dem Glück? Der Sicherheit an sich und
Funktion schon was mit Sicherheit zu tun dem Glück? Wie passen „Sicherheit“ und
hat, in diesem Bereich viel auditiert wird … „Glück“ zusammen?
hängt man dem CISO oftmals auch die Nun, wenn wir davon ausgehen, dass es
ganze Unternehmenssicherheit um. Die absolute, also 100%ige Sicherheit nicht
Ausbildung der Verantwortlichen reicht geben kann, bedarf es des Glücks, jene
dabei von einem ISO-27000-Kurs bei TÜV Prozente auf die 100 ergänzt zu bekom-
oder WIFI bis zu einer akademischen Aus- men, die man nicht planen, generieren, ge-
bildung im IT-Bereich. stalten kann. Soweit so gut!
Page
6 von 8
© Mario Trutzenberger 2021Das Österreichische Sicherheitsbewusstsein und das Glück
Aber ist das die gesamte Anwendung des nachdem, wie man „Sicherheit“ (gemeint
Glücksbegriffes in der Domäne der (Unter- ist die Security, nicht die Safety) definiert,
nehmens)sicherheit? Oftmals hat man den kann das auch vom Unternehmensbera-
Eindruck, dass die Unternehmenssicher- tungsgewerbe umfasst sein. Daneben exis-
heit entweder ganz dem Glück überlassen tieren noch Zertifikate, die suggerieren,
wird oder es vielen Glücks bedarf, um di- der Inhaber sei ein Sicherheitsexperte und
verse Fehlplanungen und Unzulänglichkei- befugt zu beraten, befugte Errichter von Si-
ten trotzdem zu einem möglichst gutem cherheitsgewerken (vom Zaun über das
Ergebnis zu machen – oder es zumindest Fenster und die Türe bis zur Einbruchmel-
vordergründig halbwegs gut ausseh‘n zu deanlage, der Videoüberwachungsanlage
lassen. und der Zutrittskontrollanlage …) können
sich „Sicherheitsberater“ nennen (weil sie
Die Sicherheit dem Glück zu überlassen,
innerhalb ihres Gewerbes – und nur inner-
heißt sich gar nicht um die Unternehmens-
halb ihrer Gewerbeberechtigung – logi-
sicherheit zu kümmern, sich unzureichend
scherweise zu Sicherheitsrelevanzen bera-
um die Unternehmenssicherheit zu küm-
ten dürfen, dann gibt es noch Universitäts-
mern, sich falsch darum zu kümmern, die
lehrgänge für Facilitymanagement, Arbeit-
Unternehmenssicherheit in inkompetente
nehmerschutz und Security, die für Unwis-
oder unzureichend kompetente Hände zu
sende auch umfassendes Wissen im Be-
legen, Unternehmenssicherheit nicht sys-
reich der Unternehmenssicherheit erah-
tematisch und systemisch zu betreiben, Ri-
nen lassen und dann den akademischen
siken zu unterschätzen, sich, Zuständige
Bereich, der sich mit Safety- und Security-
und Systeme zu überschätzen, …
Management beschäftigt.
Ist es „Glück“, wenn ein Unternehmen ei-
„Glück“ ist es also, wenn ein Unternehmen
nen Sicherheitsexperten sucht und die
externe Expertise sucht und auf ein Unter-
Jobbeschreibung so gestaltet, dass es ei-
nehmen/eine Person stößt, das/die Un-
nen Profi bekommt statt eines selbster-
ternehmenssicherheit (im definierten Um-
nannten Experten mit unzureichender Er-
fang) „kann“ und nicht nur vorgibt, sie zu
fahrung und Ausbildung? Ist es Glück,
können.
wenn man da nicht auf jemanden „herein-
fällt“, weil man in diesem Bereich selbst Wie aber unterscheidet der Security-Laie,
gar keine oder unzureichende Expertise wer darf, wer kann und wer nur vorgibt zu
und/oder Vorstellung hat? können? Reicht es, wenn jemand einen
ehemals bekannten Namen hat? Ist es
Glück – scheint es – muss man aber ha-
ausreichend, wenn jemand einmal bei der
ben - wenn man schon erkennt, dass man
Polizei war (wo? welche Ausbildung/Auf-
fachlicher Unterstützung bedarf - den rich-
gaben/Expertise … hatte er dort?). Reicht
tigen Berater zu finden. Diese Glückskom-
es, wenn jemand vorgibt, er habe so hohe
ponente ist vielen Faktoren geschuldet:
Expertise, dass diese ihm gestatte, jegliche
De facto kann sich in Österreich jeder „Si- Form einer lege-artis-Vorgangsweise und -
cherheitsberater“ nennen. Korrekterweise planung zu ignorieren? Was ist die „exzel-
bedürfte es einer Gewerbeberechtigung lente Expertise und Erfahrung“ eines Bera-
im Sicherheitsgewerbe für eine Vielzahl si- ters wert und ersetzt sie eine saubere
cherheitsrelevanter Beratungen, je Security-Risiko-Analyse und
Page
7 von 8
© Mario Trutzenberger 2021Das Österreichische Sicherheitsbewusstsein und das Glück
Maßnahmenherleitung? Muss ein guter zwar grosso modo den Querschnitt der
Berater das dreifache für seine Leistung Unternehmen unterschiedlicher Größe
verrechnen als für die Leistung seiner an- und Kritikalität betreffend. Nur wenige Un-
gestellten Berater? Macht’s die Qualität ternehmen leisten sich mit wirklichen Ex-
des Anzugschneiders aus? Oder doch nur perten im Bereich der Unternehmenssi-
die Unwissendheit der Auftraggeber, die cherheit besetzte Fachabteilungen oder
dem Bluff aufsitzen? Stabsstellen. Wenn die Unternehmenssi-
cherheit überhaupt Thema ist, dann oft-
Ist es in Bezug auf Unternehmenssicher-
mals nur soweit, wie für eine rudimentäre
heit ausreichend, Konzepte, (Manage-
Risikoabwälzung von Dritten gefordert und
ment)systeme, Personalentscheidungen
oftmals nahezu wahllos Mitarbeitern „um-
dem Duden folgend etwas Ungewissem,
gehängt“, die weder Awareness noch Aus-
Unsteuerbarem zu überlassen, das im
bildung haben und denen somit Zugang
besten Fall Ergebnis des Zusammentref-
und Werkzeuge fehlen, um Unterneh-
fens besonders günstiger Umstände ist?
menssicherheit systematisch und syste-
Kann man es dem Glück überlassen, dass misch zu gestalten. „Glück muss man halt
nichts passiert? Soll man es dem Glück haben“!
überlassen, dass die Maßnahmen passen,
Glück muss man aber auch haben, unter
die eine Risikoabwälzung gewährleisten
der Vielzahl jener Personen, die sich in Ös-
sollen?
terreich „Sicherheitsberater“ nennen dür-
Fazit fen, jenen zu finden, der’s auch kann und
nicht nur vorgibt, zu können.
Die Sicherheitskultur (die Security bezogen
auf Unternehmenssicherheit betreffend) Für alle zufallsaffinen Leser möchte ich die-
ist in Österreich – zumindest stellt sich sen Artikel mit dem alten Bergmannsgruß
das aus der Sicht des Beraters so dar – „Glück auf“ schließen!
deutlich unzureichend ausgeprägt, und
Der Autor:
Mario Trutzenberger ist selbstständiger Sicherheitsberater für Physical Security, Notfall-
und Krisenmanagement und Materiellen Geheimschutz und modulverantwortlicher Lektor
für Physische Sicherheit im Fachbereich Risiko- und Sicherheitsmanagement an der FH Cam-
pus Wien.
Seit 16 Jahren beurteilt er ua. im Auftrag von Versicherungen Maßnahmen der Physischen
Sicherheit sowohl in der Prävention als auch im Schadenfall.
Näheres unter https://secfirm.at
Page
8 von 8
© Mario Trutzenberger 2021Sie können auch lesen
