Das Österreichische Sicherheitsbewusstsein und das Glück
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Das Österreichische Sicherheitsbewusstsein und das Glück Unternehmensberatung | Sicherheitsunternehmen | Begutachtung Das Österreichische Sicherheitsbewusstsein und das Glück 16 Jahre Erfahrung aus der Beratung mgr Mario Trutzenberger EMBA Page 1 von 8 © Mario & Sandro Trutzenberger 2021
Das Österreichische Sicherheitsbewusstsein und das Glück Inhalt Vorwort ........................................................................................................................................................................ 3 Sicherheitsawareness in Unternehmen ........................................................................................................ 3 Einzelhandel ........................................................................................................................................................... 4 Einzelhandel mit höherem Gefährdungspotenzial ................................................................................. 4 Produktions- und Know-how-Unternehmen.............................................................................................. 5 Unternehmen hoher Kritikalität .................................................................................................................... 5 Warum ......................................................................................................................................................................... 5 Die handelnden Personen .................................................................................................................................... 6 Glück .............................................................................................................................................................................. 6 Fazit ............................................................................................................................................................................... 8 Page 2 von 8 © Mario & Sandro Trutzenberger 2021
Das Österreichische Sicherheitsbewusstsein und das Glück Täter oder ist ein solches Szenario heute Vorwort derart unwahrscheinlich, dass man auf Hatten Sie seit der Lockerung der Covid- (zumindest sichtbare Präsenz) von Exeku- Regeln schon Gelegenheit, eine Veranstal- tive, die im Anlassfall unmittelbar effizient tung im Freien zu besuchen? Ich schon. eingreifen könnte, schon wieder völlig ver- Was ist mir z.B. bei einer „Langen Nacht zichten kann? offener Geschäfte“ (oä.) samt Gastro- und Nun – die Antworten werden sich nur je- Getränkeständen sowie Live-Musik-Büh- nen Lesern erschließen, die Zugang zu po- nen neben gut gelaunten Menschen, die es lizeilichen und/oder nachrichtendienstli- genossen haben, nach langer Zeit wieder chen Gefährdungseinschätzungen und Ge- eine Veranstaltung zu besuchen, dabei auf- fahrenanalysen haben. gefallen? In den 4 Stunden, die ich die Ver- anstaltung besucht habe, habe ich keine Wir wollen uns aber nicht mit der Sicher- Exekutive im gekennzeichneten Veranstal- heits-Awareness und Risikoanalysen im öf- tungsbereich, der mehrere Straßenzüge fentlichen Raum beschäftigen, weil dies einer städtischen Altstadt umfasst hat, ge- Angelegenheit der zuständigen Behörden sehen. Auf den zumindest zweispurigen ist. Uns stellt sich die Frage, wie es im Be- Fahrbahnen von Durchzugsstraßen, die in reich von Unternehmen aussieht. Wird den Veranstaltungsbereich zum Teil einbe- auch hier nur kurzfristig und für kurze Zeit- zogen waren, war der Veranstaltungsbe- dauer auf aktuelle Sicherheitsvorfälle rea- reich lediglich durch hölzerne Scherengit- giert? Wird auch hier schnell vergessen? ter für den Fahrzeugverkehr gesperrt, ge- Und wird auch hier nach dem Grundsatz sichert wurden diese Scherengitter durch „wird schon nicht …“ gedacht und gehan- Ordner. Die weiteste freie und nahezu ge- delt? Weiß man gar, dass nichts passieren rade Anfahrtsstrecke zu einem der Sche- wird oder sind die Risiken tatsächlich so rengitter hat > 250 m betragen. Also aus- gering und vernachlässigbar, dass Sicher- reichend Strecke, um mit einem Kraftfahr- heitsvorkehrungen in Unternehmen ver- zeug Geschwindigkeit aufzunehmen … nachlässigt werden können? Oder reicht grundsätzlich die Risikoabwälzung: pas- Sind die Anschläge mit Kfz auf Fußgänger siert etwas, wird es schon versichert sein (Nizza 2016, Berlin 2016, …) vergessen? und der Versicherer wird entschädigen? Oder haben polizeiliche und nachrichten- dienstliche Aufklärung ergeben, dass der- Lebt die Unternehmenssicherheit (auch) artige Delikte 2021 unmöglich, oder zu- vom Glück? mindest so unwahrscheinlich sind, dass man auf entsprechende Barrieren verzich- Sicherheitsawareness in Unternehmen ten kann? Besteht das Risiko nicht mehr Ich möchte dem Leser an dieser Stelle Sta- oder ist es so verschwindend gering, dass tistiken ersparen, die in diesem Bereich man Schutzmaßnahmen dagegen ver- aufgrund der Samples ohnehin wenig aus- nachlässigen kann? sagekräftig sind, weil sie meist nur für Un- Ist der Terroranschlag von Wien im No- ternehmen gewisser Größe und in Bezug vember 2020 vergessen und sind An- auf wenige Delikte (wie beispielsweise Cy- sammlungen von Menschen nicht mehr bercrime) aussagekräftig sind. Ich erlaube mögliche Ziele terroristisch motivierter mir an dieser Stelle, mehr als 15 Jahre als Berater in Kurzform widerzugeben und Page 3 von 8 © Mario Trutzenberger 2021
Das Österreichische Sicherheitsbewusstsein und das Glück zusammenzufassen. Um einen Überblick entwickeln: da wird in der Kristallkugel ge- zu erhalten, werden die Unternehmen im lesen, durch welche Türen/Fenster Täter folgenden in typische Gruppen eingeteilt, mit Sicherheit – wenn überhaupt – in das von denen einige kurz behandelt werden: Objekt eindringen werden, da wird im Kaf- feesatz gelesen, welche modi operandi Einzelhandel „mit Sicherheit“ auszuschließen sind, Im „klassischen“ Einzelhandel mit Hart- und „weil’s das nicht gibt“ … und auf dieser Ba- Trockenware, Mode- und Freizeitartikeln sis werden dann i.d.R. bei Billigstanbietern, und Lebensmitteln besteht de facto eine die ohne Rücksicht auf Regeln der Kunst grundsätzliche Awareness unter dem und Technik genau das umsetzen, was Motto „passieren kann immer was“. Wenn ihnen vorgegeben wird, Gewerke bestellt, Sicherheitsmaßnahmen getroffen werden, die man sich bar jeglicher Basis ausge- werden maximal Stakeholderforderungen dacht hat. Die Tür, bezüglich der man umgesetzt, um im Schadenfall Entschädi- „weiß“, dass Täter eindringen werden, wird gung lukrieren zu können: hier finden wir – in hoher Sicherheitsklasse ausgeführt, alle wenn’s gut geht – den Tresor und die Ein- anderen nicht (weil über diesen Weg „si- bruchmeldeanlage, die der Versicherer im cher niemand kommt“), ebenso werden Rahmen der Einbruchdiebstahlversiche- manche Fenster besonders gesichert, rung vorschreibt. Oftmals stellt man im während danebenliegende ungesichert Schadenfall fest, dass auch die Vereinba- bleiben. Einbruchmeldeanlagen werden rungen, die Risikoabwälzung garantieren nach größtmöglichen Spargedanken ge- sollen, nicht und unzureichend umgesetzt staltet („was für ein Einfamilienhaus reicht, sind, so dass in vielen Fällen keine Scha- reicht für einen Juwelier auch“), aus Kos- denregulierung durch den Versicherer im tengründen wird kein wie immer geartetes gewünschten Umfang erfolgt. Prinzip oder keine wie immer geartete In vielen Fällen reagiert man erst nach Normforderung umgesetzt, die Alarmauf- stattgefundenen Schadenereignissen und schaltung erfolgt auf Onkel, Tante und investiert – zusätzlich zur Schadenaufar- Chef, damit ein allfälliger Fehlalarm nur ja beitung – in Sicherheitssysteme. nichts kostet (ob und wie die auf Alarmaus- lösungen reagieren, ist i.d.R. nicht gere- Einzelhandel mit höherem Gefähr- gelt, meist vermutet man in der Nacht ei- dungspotenzial nen Fehlalarm und schläft weiter). Branchen wie Juweliere, Tankstellen und in Erst wenn der Versicherer gewechselt letzter Zeit auch der Fahrradhandel sind wird oder man Opfer krimineller Handlun- sich eher des Risikos bewusst, Opfer krimi- gen geworden ist, MUSS man sich mit der neller (intentionaler) Angriffe zu werden. Unternehmenssicherheit auseinanderset- Überwiegend gilt aber auch hier: risikoba- zen: meist hat man dann einen mehrfa- sierte Sicherheitsmaßnahmen findet man chen Schaden: der entstandene wird vom nicht einmal im Promillebereich. Oftmals Versicherer nicht reguliert, weil die Bedin- werden Juweliere, Tankstellenbetreiber, gungen bei weitem nicht eingehalten wor- Fahrradhändler … zu Sicherheitsexperten, den sind, zudem sind für künftige Risikoab- die aufgrund öffentlicher Diskussion, medi- wälzungen plötzlich Sicherheitskonzepte aler Auseinandersetzung oder kreativer Ei- an Versicherer vorzulegen … genleistung Sicherheitskonzepte Page 4 von 8 © Mario Trutzenberger 2021
Das Österreichische Sicherheitsbewusstsein und das Glück Produktions- und Know-how-Unterneh- bekleiden und alleine deshalb auch im men Security Management, in der Physischen Security (Schutz der Facility, Reisesicher- Im Bereich produzierender Unternehmen heit …), im Business Continuity Manage- zieht man sich meist auf den Schutz des ment, Resilienzmanagement uvm. zwangs- Know-how zurück: hier hält man Angriffe läufig über adäquate Expertise verfügen für möglich und setzt demnach mehr oder müssen (?!?). Die Physische Sicherheit fin- weniger Maßnahmen des Informations- det man nahezu immer (wie gesagt: außer schutzes und – weil man in diesem Be- es gibt tatsächlich sach- und fachkundige reich das größte Risiko sieht – Maßnah- Personen im Unternehmen) in Händen des men zum Schutz vor Cyberangriffen. Über Facility-Management, „weil’s ja mit dem Ge- den Schutz der zur Produktion notwendi- bäude zu tun hat“. Fachlich qualifizierte gen Facility, über bauliche, elektronische Masterminds, die die Maßnahmen alle und insbesondere systematische organi- adäquat herleiten, planen, aufeinander ab- satorische Schutzmaßnahmen macht stimmen, betreiben und aufrechterhalten man sich i.d.R. keine Gedanken, weil man können, sind selten. großteils den Zusammenhang zwischen Schutz von Know-how und physischen Si- Oftmals ist das aber gut für die Errichter- cherheitsmaßnahmen nicht sieht oder ver- industrie und die Bewacherindustrie: die steht. Oftmals stellt man dann Probleme können sich in solchen Biotopen oftmals durch Innentäter oder Collusion-Tätermo- frei entfalten und Ideen umsetzen, die delle fest und sind ebenso oftmals neben meist nicht auf das Gesamtsystem abge- Warenschwund der „klassischen“ Werks- stimmt sind: Tunneldenken versus Integra- spionage Türen und Tore geöffnet. tion! In Unternehmen, die Know-how produzie- Unternehmen hoher Kritikalität ren und/oder aufgrund entwickelten … für Staat, Gesellschaft, Bevölkerung … da Know-hows Produkte spezieller Güte oder passt aber alles. Da wir auch in diesem für spezielle Anwendungen produzieren, Segment tätig sind, können wir auch das wird die Security-Awareness hoch entwi- leider nicht bejahen. Ich bitte hier aber um ckelt sein – sollte man meinen! In der Be- Verständnis dafür, dass wir in diesem Be- ratung wird immer wieder festgestellt, reich aus Sicherheitsgründen keine Män- dass auch in derartigen Unternehmen – gel beschreiben. außer diese leisten sich Security-Stabsstel- len, die mit entsprechendem Fachpersonal Warum besetzt sind – das Securitybewusstsein bei Weitem nicht so ausgeprägt ist, wie ist das aber so? Und warum sind derartige man es für angemessen erachten würde: Mängel in Österreich ausgeprägter als wir man findet keine (adäquate) Security-Risi- das von anderen Ländern kennen und in koanalyse, die als Basis für die Maßnah- anderen Ländern feststellen? Ist es der men dienen sollte, die „Erfindung und Ge- „Österreichischen Seele“, wie Erwin Ringel staltung“ von Sicherheitsmaßnahmen und sie beschrieben hat, geschuldet, oder der „-konzepten“ übernehmen Mitarbeiter ein- typischen Österreichischen Gemütlichkeit, fach aufgrund der Tatsache, dass sie eine oder der Österreichischen Geselligkeit, die Governance-Funktion im Unternehmen irgendwie alle Menschen positiv includie- ren möchte? Oder ist es einfach Page 5 von 8 © Mario Trutzenberger 2021
Das Österreichische Sicherheitsbewusstsein und das Glück Unterschätzung, Scheiß-d’rauf-Mentalität Oftmals scheint es auch zu reichen, dass (man verzeihe mir den Ausdruck), Gutgläu- Mitarbeiter mit gänzlich anderen als Si- bigkeit oder schlicht Unkenntnis, Unter- cherheitsaufgaben und gänzlich anderen schätzung die Risiken betreffend, Selbst- Ausbildungen als solchen im Unterneh- überschätzung handelnder Personen ihre menssicherheitsbereich Interesse und En- diesbezüglichen Fähigkeiten betreffend …? gagement zeigen, um die Unternehmens- Oder „weil eh nix passiert“? Schließlich ist sicherheit großer oder kritischer Unter- Österreich ja nicht die USA und geht es bei nehmen steuern zu können. uns nicht zu wie in Wyoming um die Wende vom 19. zum 20. Jahrhundert! Glück Bis auf die (wenigen) Österreichischen Un- Gemäß dem Titel dieses Papers ist auch ternehmen, die sich kompetente Personen das Glück zu betrachten. leisten, die Security-Risiken erkennen, her- Das lateinische Substantiv „Fortuna, ae, f.“ leiten, steuern und bearbeiten können und bezeichnet neben der Schicksals- bzw. adäquate Security-Maßnahmen entwickeln Glücksgöttin insbesondere das Schicksal, und implementieren können, die Business- das Geschick, das Los und eben das Glück. Ermöglicher und nicht -Verhinderer sind, „Fortuitus 3“ ist lt. Stowasser mit zufällig, sind Österreichische Unternehmen planlos oder absichtslos zu übersetzen. grosso modo nicht optimal und risikoange- messen gegen intentionale Bedrohungen Der Duden definiert „Glück“ mit „etwas, geschützt (außer vielleicht im Cyber-Be- was Ergebnis des Zusammentreffens be- reich). sonders günstiger Umstände ist; beson- ders günstiger Zufall, günstige Fügung des Die handelnden Personen Schicksals“. Im Handel (außer bei großen Handelsket- „Glück“ ist also nicht steuerbar, nicht vor- ten) zeichnen i.d.R. Inhaber bzw. Geschäfts- hersehbar, nicht herbeiführbar, nicht wol- führer für die Unternehmenssicherheit lentlich generierbar, sondern eben zufällig, verantwortlich. Deren Kernexpertise liegt planlos und absichtslos. Entweder man hat in ebendieser Regel aber nicht die Sicher- es, oder eben nicht. Glück kann man ha- heit, sondern in dem, womit sie Umsätze ben, es kann einen aber auch wieder ver- und Gewinne generieren. lassen. Werden Unternehmen größer, haben sie Wie ist das aber gemeint mit dem Öster- meistens einen Verantwortlichen für den reichischen Sicherheitsbewusstsein und Schutz von Informationen; und weil diese dem Glück? Der Sicherheit an sich und Funktion schon was mit Sicherheit zu tun dem Glück? Wie passen „Sicherheit“ und hat, in diesem Bereich viel auditiert wird … „Glück“ zusammen? hängt man dem CISO oftmals auch die Nun, wenn wir davon ausgehen, dass es ganze Unternehmenssicherheit um. Die absolute, also 100%ige Sicherheit nicht Ausbildung der Verantwortlichen reicht geben kann, bedarf es des Glücks, jene dabei von einem ISO-27000-Kurs bei TÜV Prozente auf die 100 ergänzt zu bekom- oder WIFI bis zu einer akademischen Aus- men, die man nicht planen, generieren, ge- bildung im IT-Bereich. stalten kann. Soweit so gut! Page 6 von 8 © Mario Trutzenberger 2021
Das Österreichische Sicherheitsbewusstsein und das Glück Aber ist das die gesamte Anwendung des nachdem, wie man „Sicherheit“ (gemeint Glücksbegriffes in der Domäne der (Unter- ist die Security, nicht die Safety) definiert, nehmens)sicherheit? Oftmals hat man den kann das auch vom Unternehmensbera- Eindruck, dass die Unternehmenssicher- tungsgewerbe umfasst sein. Daneben exis- heit entweder ganz dem Glück überlassen tieren noch Zertifikate, die suggerieren, wird oder es vielen Glücks bedarf, um di- der Inhaber sei ein Sicherheitsexperte und verse Fehlplanungen und Unzulänglichkei- befugt zu beraten, befugte Errichter von Si- ten trotzdem zu einem möglichst gutem cherheitsgewerken (vom Zaun über das Ergebnis zu machen – oder es zumindest Fenster und die Türe bis zur Einbruchmel- vordergründig halbwegs gut ausseh‘n zu deanlage, der Videoüberwachungsanlage lassen. und der Zutrittskontrollanlage …) können sich „Sicherheitsberater“ nennen (weil sie Die Sicherheit dem Glück zu überlassen, innerhalb ihres Gewerbes – und nur inner- heißt sich gar nicht um die Unternehmens- halb ihrer Gewerbeberechtigung – logi- sicherheit zu kümmern, sich unzureichend scherweise zu Sicherheitsrelevanzen bera- um die Unternehmenssicherheit zu küm- ten dürfen, dann gibt es noch Universitäts- mern, sich falsch darum zu kümmern, die lehrgänge für Facilitymanagement, Arbeit- Unternehmenssicherheit in inkompetente nehmerschutz und Security, die für Unwis- oder unzureichend kompetente Hände zu sende auch umfassendes Wissen im Be- legen, Unternehmenssicherheit nicht sys- reich der Unternehmenssicherheit erah- tematisch und systemisch zu betreiben, Ri- nen lassen und dann den akademischen siken zu unterschätzen, sich, Zuständige Bereich, der sich mit Safety- und Security- und Systeme zu überschätzen, … Management beschäftigt. Ist es „Glück“, wenn ein Unternehmen ei- „Glück“ ist es also, wenn ein Unternehmen nen Sicherheitsexperten sucht und die externe Expertise sucht und auf ein Unter- Jobbeschreibung so gestaltet, dass es ei- nehmen/eine Person stößt, das/die Un- nen Profi bekommt statt eines selbster- ternehmenssicherheit (im definierten Um- nannten Experten mit unzureichender Er- fang) „kann“ und nicht nur vorgibt, sie zu fahrung und Ausbildung? Ist es Glück, können. wenn man da nicht auf jemanden „herein- fällt“, weil man in diesem Bereich selbst Wie aber unterscheidet der Security-Laie, gar keine oder unzureichende Expertise wer darf, wer kann und wer nur vorgibt zu und/oder Vorstellung hat? können? Reicht es, wenn jemand einen ehemals bekannten Namen hat? Ist es Glück – scheint es – muss man aber ha- ausreichend, wenn jemand einmal bei der ben - wenn man schon erkennt, dass man Polizei war (wo? welche Ausbildung/Auf- fachlicher Unterstützung bedarf - den rich- gaben/Expertise … hatte er dort?). Reicht tigen Berater zu finden. Diese Glückskom- es, wenn jemand vorgibt, er habe so hohe ponente ist vielen Faktoren geschuldet: Expertise, dass diese ihm gestatte, jegliche De facto kann sich in Österreich jeder „Si- Form einer lege-artis-Vorgangsweise und - cherheitsberater“ nennen. Korrekterweise planung zu ignorieren? Was ist die „exzel- bedürfte es einer Gewerbeberechtigung lente Expertise und Erfahrung“ eines Bera- im Sicherheitsgewerbe für eine Vielzahl si- ters wert und ersetzt sie eine saubere cherheitsrelevanter Beratungen, je Security-Risiko-Analyse und Page 7 von 8 © Mario Trutzenberger 2021
Das Österreichische Sicherheitsbewusstsein und das Glück Maßnahmenherleitung? Muss ein guter zwar grosso modo den Querschnitt der Berater das dreifache für seine Leistung Unternehmen unterschiedlicher Größe verrechnen als für die Leistung seiner an- und Kritikalität betreffend. Nur wenige Un- gestellten Berater? Macht’s die Qualität ternehmen leisten sich mit wirklichen Ex- des Anzugschneiders aus? Oder doch nur perten im Bereich der Unternehmenssi- die Unwissendheit der Auftraggeber, die cherheit besetzte Fachabteilungen oder dem Bluff aufsitzen? Stabsstellen. Wenn die Unternehmenssi- cherheit überhaupt Thema ist, dann oft- Ist es in Bezug auf Unternehmenssicher- mals nur soweit, wie für eine rudimentäre heit ausreichend, Konzepte, (Manage- Risikoabwälzung von Dritten gefordert und ment)systeme, Personalentscheidungen oftmals nahezu wahllos Mitarbeitern „um- dem Duden folgend etwas Ungewissem, gehängt“, die weder Awareness noch Aus- Unsteuerbarem zu überlassen, das im bildung haben und denen somit Zugang besten Fall Ergebnis des Zusammentref- und Werkzeuge fehlen, um Unterneh- fens besonders günstiger Umstände ist? menssicherheit systematisch und syste- Kann man es dem Glück überlassen, dass misch zu gestalten. „Glück muss man halt nichts passiert? Soll man es dem Glück haben“! überlassen, dass die Maßnahmen passen, Glück muss man aber auch haben, unter die eine Risikoabwälzung gewährleisten der Vielzahl jener Personen, die sich in Ös- sollen? terreich „Sicherheitsberater“ nennen dür- Fazit fen, jenen zu finden, der’s auch kann und nicht nur vorgibt, zu können. Die Sicherheitskultur (die Security bezogen auf Unternehmenssicherheit betreffend) Für alle zufallsaffinen Leser möchte ich die- ist in Österreich – zumindest stellt sich sen Artikel mit dem alten Bergmannsgruß das aus der Sicht des Beraters so dar – „Glück auf“ schließen! deutlich unzureichend ausgeprägt, und Der Autor: Mario Trutzenberger ist selbstständiger Sicherheitsberater für Physical Security, Notfall- und Krisenmanagement und Materiellen Geheimschutz und modulverantwortlicher Lektor für Physische Sicherheit im Fachbereich Risiko- und Sicherheitsmanagement an der FH Cam- pus Wien. Seit 16 Jahren beurteilt er ua. im Auftrag von Versicherungen Maßnahmen der Physischen Sicherheit sowohl in der Prävention als auch im Schadenfall. Näheres unter https://secfirm.at Page 8 von 8 © Mario Trutzenberger 2021
Sie können auch lesen