Sicherheitsthemen sind branchenübergreifend präsenter denn je. Aber es sind nicht ausschließlich die Gefährdungen im allgegenwärtigen Cyberraum, denen wir heute gegenüberstehen und in deren Eindämmung enorme Summen sowohl auf Seiten der Politik als auch in der Wirtschaft investiert werden. Vermehrt sehen wir uns auch physischen Bedrohungen ausgesetzt. Wie begegnen Organisationen und Unternehmen (im Folgenden impliziert der Begriff Organisation stets sowohl nicht staatliche Organisationen als auch wirtschaftliche Unternehmungen als Organisationsform) den wachsenden Bedrohungen durch physische Angriffe wie zum Beispiel Terrorattacken, Amokläufen, Kriminalität oder Spionage? Ist der Umgang mit diesen Gefährdungen tatsächlich in das organisationsweite Risikomanagement integriert? Sind Organisationen in der Lage, physischen Sicherheitsrisiken sowohl präventiv zu begegnen als auch im Ernstfall intervenierend, etwa durch ein robustes Notfall- und Krisenmanagement, einzugreifen?
Mit diesen Fragestellungen haben sich gegenwärtig Führungskräfte und damit insbesondere auch Risikomanager intensiv auseinanderzusetzen. Wie kann es gelingen, physische Sicherheitsmaßnahmen strategisch zu konzeptionieren, in bestehende Strukturen zu integrieren und vor allem operativ so umzusetzen, dass präventiv und intervenierend Risiken effizient behandelt werden können? Eine Antwort soll dieser Artikel durch die Vorstellung des "Physical Security Management Ansatzes" im Kontext der aktuellen Sicherheitslage geben, den die Autoren entwickelt und als Berater in der Unternehmenspraxis bereits erfolgreich umgesetzt haben. Dabei kann im Rahmen dieser Ausführungen kein Anspruch auf Vollständigkeit im Detail erhoben werden. Vielmehr ist es das Ziel, aufgrund der bestehenden Fragestellungen einen praxisbewährten Ansatz vorzustellen, Interesse zu wecken und fachliche Diskussionen zum physischen Sicherheitsmanagement als integralem Bestandteil eines organisationsweiten Risikomanagements zu entfachen.
Wachsende Komplexität und asymmetrische Bedrohungen als Merkmale der aktuellen Sicherheitslage
Nach dem 11. September 2001 ist Deutschland lange Zeit von Terroranschlägen verschont geblieben, die durch unmittelbare Betroffenheit in anderen Staaten bereits wesentlich früher eine sich verändernde Perzeption von Sicherheit einläuteten. Doch spätestens seit den Vorfällen in Würzburg, Ansbach oder Berlin im Jahr 2016 ist auch hierzulande die Wahrnehmung der Bedrohungen durch den weltweiten Terrorismus in der deutschen Gesellschaft allgegenwärtig. Die zunehmend als unsicher und fragil empfundene Gefährdungslage wird zusätzlich bestärkt durch die nicht politisch motivierten Taten psychisch labiler Einzeltäter, wie etwa beim Amoklauf von München im Jahr 2016 oder dem Axtangriff am Düsseldorfer Hauptbahnhof in diesem Jahr.
Steigender Bedarf nach umfassender Sicherheit
Es erscheint offensichtlich, dass sich niemand den physischen Bedrohungen der heutigen Zeit entziehen kann, weder die Gesellschaft als Ganzes noch die Wirtschaft oder gar der einzelne Mensch. Es erscheint letztlich einzig folgerichtig, dass neben den sicherheits- und verteidigungspolitischen Maßnahmen der Politik auch das Thema zivile Sicherheit zunehmend an Bedeutung gewinnt [vgl. WifOR Wirtschaftsforschung 2015]. Nicht nur Entscheidungsträger in der Politik sondern eben auch in der Wirtschaft müssen sich mit grundsätzlichen Fragestellungen beschäftigen, die noch vor einigen Jahren nicht beziehungsweise nur nachgeordnet betrachtet worden sind:
- Welche physischen Risiken bedrohen die Organisation?
- Welche Personen, Bereiche und Güter sind besonders vulnerabel und daher vorrangig zu schützen?
- Wie lassen sich Menschen, Prozesse und Technik nachhaltig in ganzheitliche Sicherheitssysteme integrieren?
Sieben Grundsätze eines erfolgreichen Physical Security Management
Die Kernfrage diesbezüglicher Überlegungen lautet: Wie kann es gelingen, eine umfassende Sicherheitsstrategie zu entwickeln und diese operativ so umzusetzen, dass sie sowohl funktional in höchstem Maße effektiv ist als auch nachhaltig gelebt wird? Der in der Praxis bewährte Ansatz eines ganzheitlichen Physical Security Management bietet eine Antwort auf diese essentielle Fragestellung. Unter dem Begriff ist dabei die Gesamtheit aller Konzeptionen und Maßnahmen in einer Organisation zu verstehen, die die Kontrolle des physischen Zutritts / Zugriffs zu Infrastruktur, Ausstattung und Ressourcen definieren und somit grundsätzlich den Schutz von Personen und Eigentum zum Ziel haben.
Der allgemeine Ansatz, der sich auf die individuellen Bedürfnisse jeder Organisation anpassen lässt, basiert dabei auf sieben Grundsätzen:
1. Sicherheit ist eine Führungsaufgabe
Die Verantwortung für physische Sicherheit innerhalb einer Organisation ist eine Führungsaufgabe, die über alle Führungsebenen hinweg permanent wahrgenommen und gelebt werden muss. Die Praxis zeigt, dass vermeintlich unbequeme Themenfelder durch die Führungskräfte oftmals nach hinten priorisiert werden, insbesondere wenn die eigenen Erfahrungen mit den Inhalten begrenzt sind. In Bezug auf Sicherheit ist es jedoch unerlässlich, Führungskräfte sowohl im Zuge der strategischen Ausrichtung als auch bei der operativen Umsetzung ebenengerecht in die Verantwortung zu nehmen und dies auch sowohl intern als auch nach außen klar zu kommunizieren.
2. Physical Security Management als integraler Bestandteil des Risikomanagements
Der klassische Risikomanagementprozess gliedert sich bekanntlich in die Prozessschritte Risikoanalyse, -bewertung, -behandlung und –kontrolle (vgl. u.a. ISO 31000 in der aktuellen Fassung). Physical Security Management ist als integraler Bestandteil dieses Prozesses zu verstehen, da es darauf abzielt, Gefahren und Risiken fortlaufend zu analysieren, zu bewerten und durch das Aufsetzen eines funktionalen Sicherheitsmanagements (Sicherheitsmanagement beschreibt im Kontext dieses Artikels die operative Führung, Lenkung und Koordination einer Organisation in Bezug auf alle Sicherheitsmaßnahmen) effektiv zu behandeln bzw. zu kontrollieren. Der erfolgreiche Umgang mit Schnittstellen zu weiteren Aspekten des ganzheitlichen Risikomanagements, wie beispielsweise branchenspezifische, finanzwirtschaftliche oder technische Themenfelder, stellt dabei eine der wesentlichen Herausforderungen dar. Dieser gilt es durch eine strukturelle, prozessuale und methodische Integration des Physical Security Management in das organisationsweite Risikomanagement zu begegnen.
3. Definition und Abgrenzung des Geltungsbereiches
Sicherheit ist ein außerordentlich umfassender Begriff, den es im Sinne des Physical Security Management Ansatzes zu definieren und inhaltlich klar abzugrenzen gilt. Erfahrungen aus der Praxis haben bestätigt, dass das individuelle Verständnis von Sicherheit stark von der Persönlichkeit des Einzelnen und ebenso vom jeweiligen beruflichen Hintergrund abhängt. Sicherheit erscheint schlichtweg nicht gleich Sicherheit zu sein. Die präzise Definition und Ausdifferenzierung des Sicherheitsverständnisses muss somit zu Beginn einer Neukonzipierung oder Umgestaltung erfolgen, da ansonsten in der Praxis das Risiko besteht, Themenfelder inhaltlich so zu vermischen, dass eine operative Funktionalität nahezu ausgeschlossen ist.
Hierbei ist es grundsätzlich unerlässlich, zwischen den in der deutschen Sprache unterscheidungslosen englischen Oberbegriffen Security und Safety zu differenzieren. Safety ist in diesem Kontext im Sinne von Betriebssicherheit zu verstehen, bezieht sich also auf den Schutz der Umgebung, beispielsweise mit Blick auf den Brand- und/oder Arbeitsschutz. Security hingegen meint den Schutz eines Objektes / einer Organisation vor Angriffen, also die Sicherung von schützenswerten Personen, Infrastruktur, Betriebsprozessen sowie materiellen und immateriellen Vermögensgütern.
Der Argumentation dieser Begriffsbestimmung folgend, bildet Physical Security Management ausschließlich Security-Themen ab. Da Safety-Aspekte jedoch für die Konzeptionierung und Ausgestaltung eines funktionalen Sicherheitsmanagements im Sinne der Physical Security nicht ausgeklammert werden können, bietet es sich an, diese als Prämissen im Sinne eines normativen Ist-Zustandes mit in die Betrachtung einzubeziehen.
4. Umfassende Risikoanalyse und -bewertung als Ausgangspunkt
Um ein funktionales Sicherheitsmanagement zu etablieren, ist es zwingend notwendig eine umfassende Risikoanalyse – inklusive Risikovewertung – voranzustellen. Auch wenn sie in einem ersten Schritt initialer Ausgangspunkt für die Etablierung eines Physical Security Management ist, so ist es für das Gesamtverständnis wichtig festzustellen, dass im Sinne der nachhaltigen Fortschreibung regelmäßig eine Überprüfung durchgeführt werden muss. Unabhängig von einer initialen Erstellung oder einer Aktualisierung muss die Risikoanalyse und -bewertung in jedem Fall folgende Kernelemente beinhalten:
- Schutzziele: Welche Informationen, Prozesse, Güter und Personen sind vorrangig zu schützen?
Schutzziele sind stets individuell und leiten sich unter anderem aus der strategischen Ausrichtung, Branche, Größe und Lokation einer Organisation ab. Generell gilt jedoch: Nur wer schützenswerte Ziele definiert, wird sich umfassend und nachhaltig sichern können. Die Schutzzieldefinition ist daher Voraussetzung für ein funktionierendes Sicherheitsmanagement. - Risikoidentifikation: Welchen Risiken ist die Organisation ausgesetzt?
Hier empfiehlt es sich, die Risikopotenziale gemäß dem Verursacherprinzip in den Kategorien Mensch, Natur, Technik / Infrastruktur zu ordnen und möglichst szenariobasiert auszudifferenzieren, um sie später hinsichtlich ihrer Eintritts- und Austrittswahrscheinlichkeit analysieren zu können. Dabei gilt durchaus der Grundsatz "das Undenkbare denken", dass heißt Risikoszenarien sollten nicht ausschließlich aus Erfahrungen der Vergangenheit generiert werden, sondern kreativ und vorwärtsgerichtet gedacht werden. - Etablierte Schutzfähigkeiten: Wie ist die Organisation aktuell gegen physische Sicherheitsrisiken geschützt?
Jede Organisation behandelt bereits in einem bestimmten Umfang ihre physischen Risiken bewusst oder unbewusst. Daher ist nur vor dem Hintergrund einer nachvollziehbaren Bewertung vorhandener Schutzfähigkeiten eine Einschätzung der identifizierten Risiken hinsichtlich Eintrittswahrscheinlichkeiten und Schadensausmaß möglich. Eine entsprechend umfassende Betrachtung des etablierten Fähigkeitsportfolios schließt dabei sowohl die personellen Ressourcen als auch die technischen Mittel und organisatorisch-prozessualen Rahmenbedingungen ein.
Umfassender und nachhaltiger Schutz lässt sich insofern nur dann konzipieren, wenn die aktuellen Fähigkeiten zur Risikobehandlung hinsichtlich ihrer Leistungsfähigkeit, Prozessrobustheit und integraler Vernetzung hinreichend analysiert sind. - Analyse: Welche Eintrittswahrscheinlichkeit (bzw. erwartete Häufigkeit) haben die identifizierten Risiken und welche Schadenausmaße sind hier zu erwarten?
Die Analyse ist allgemein nicht von einer bestimmten Darstellungsmethodik wie etwa einer vordefinierten Risikomatrix abhängig. Es kommt vielmehr darauf an, die Risiken grundsätzlich nach Eintrittswahrscheinlichkeit und erwartetem Schadensaumaß zu strukturieren. Dabei stellen qualitative und / oder quantitative Szenario-Analysen im Sinne einer strategischen Frühaufklärung durchaus eine geeignete Vorgehensweise dar. - Reifegradmodellierung: Was ist Leading Practice und wo steht die Organisation im Vergleich?
Aufbauend auf den Kenntnissen über die bestehenden Schutzfähigkeiten sowie die erwarteten Eintrittswahrscheinlichkeiten und Auswirkungen der identifizierten Risiken stellt sich für jede Organisation die Frage der strategischen Orientierung bzw. Positionierung. Daher wird jede Risikoanalyse mit Bezug auf Physical Security Management in ihrer Wertigkeit wesentlich gesteigert, wenn sie Informationen zum relativen Reifegrad der Risikobehandlung liefert. Für die Bewertung der Risiken aber insbesondere für die Etablierung von Sicherheitsmaßnahmen ist es überaus wertstiftend zu verstehen, wie die eigenen Schutzfähigkeiten und Analysen im Vergleich sowohl zur Leading Practice als auch zum Durchschnitt vergleichbarer Organisationen stehen.
Valide Reifegradmodelle sind für die Risikoanalyse im Sinne des Physical Security Management nicht zwingend notwendig chronologisch an eine Reihenfolge gebunden. Sie sind vielmehr ein Add-on, da sie die Risikobewertung immens erleichtern und darüber hinaus eine wesentliche Argumentationsgrundlage für Investitionen in das Physical Security Management im Sinne eines "Return on Invest" darstellen. - Risikobewertung: Welche Maßnahmen zur Risikobehandlung sind notwendig?
Bei der Risikobewertung insbesondere auf zwei Elemente an. Zum einen gilt es allgemein notwendige Maßnahmen zur Risikobehandlung abzuleiten, zum anderen müssen diese nachvollziehbar priorisiert werden. Eine präzise Risikobewertung auf Basis von einer umfassenden Analyse ist daher ein wesentlicher Faktor für die Etablierung eines effektiven Physical Security Management.
5. Fähigkeitsbasierte Risikobehandlung
Das Risikopotenzial physischer Risiken ist so komplex, dynamisch und in sich vernetzt, dass im Rahmen der Risikobehandlung eine klassische Zuordnung "Risiko-Gegenmaßnahme-Auswirkung" nicht immer möglich beziehungsweise zweckmäßig erscheint. Im Sinne des Physical Security Managements ist ein Sicherheitsmanagement daher als querschnittliche, fähigkeitsbasierte Soll-Konzeption strategisch aufzusetzen.
Eine Organisation wird demnach durch die Schaffung von Schutzfähigkeiten in die Lage versetzt, der Komplexität von physischen Risiken querschnittlich zu begegnen.
Am konkreten Beispiel kann dies bedeuten, dass durch eine Fähigkeit Absicherung, die etwa den physischen Zutritt zu Infrastruktur, technische Überwachungsmöglichkeiten oder den Perimeterschutz abdeckt, querschnittlich Risiken wie zum Beispiel Diebstahl, Spionage, Vandalismus oder auch Terrorismus behandelt werden. In diesem Zuge steht ein Fähigkeitsbereich nie allein für sich, sondern greift im Fähigkeitsverbund nach dem Grundsatz "gleichberechtigt-vernetzt-integriert" ineinander. Das oben angeführte Beispiel weiterdenkend kann dies beispielsweise bedeuten, dass etwa dem Risiko eines terroristischen Anschlages nicht ausschließlich durch eine Schutzfähigkeit Absicherung begegnet wird, sondern unter anderem auch durch die Fähigkeit Notfall- und Krisenmanagement.
Die Etablierung von Fähigkeitsbereichen hängt immer von den jeweiligen Organisationen ab. Faktoren wie Größe, Branche, Zweck oder Lokation bestimmen sowohl den generellen Bedarf an einer Schutzfähigkeit als auch deren inhaltliche Ausgestaltung. Grundsätzlich und unabhängig von den individuellen Merkmalen einer Organisation gelten für die Herleitung und Entwicklung von Schutzfähigkeiten jedoch drei Kernforderungen:
- Komplexität beherrschen
Die Konzeption von Schutzfähigkeiten muss übersichtlich und transparent sein. Zu viele Fähigkeitsbereiche führen zu einer Komplexität, die nicht beherrschbar ist und den Grundsatz "gleichberechtigt-vernetzt-integriert" obsolet erscheinen lässt. - Prävention und Intervention berücksichtigen
Die Perspektiven Prävention und Intervention bestimmen die Ausgestaltung von Schutzfähigkeiten. Dabei meint Prävention sämtliche Aktivitäten, die präventiv vorrangig auf eine Minimierung der Eintrittswahrscheinlichkeit von Risiken zielen. Intervention hingegen beinhaltet die Aktivitäten bei Eintritt eines Risikos, also die Reduzierung von Reaktionszeiten und Maximierung der Wirksamkeit von Gegenmaßnahmen, die grundsätzlich eine möglichst verzugslose Rückkehr zum Normalbetrieb und damit vorrangig eine Reduzierung des Schadensausmaßes zum Ziel haben. - Informationssicherheit integrieren
Informationen stellen für jede Organisation ein schützenswertes Gut dar. Physical Security hängt folglich unabdingbar mit Informationssicherheit zusammen. Da die meisten Informationen heutzutage zumindest teilweise mit Informationstechnik (IT) erstellt, gespeichert, transportiert oder weiterverarbeitet werden, bedingt die Informationssicherheit in jedem Fall auch die IT-Sicherheit [vgl. Bundesamt für Sicherheit in der Informationstechnologie 2016]. Insofern gilt es für den Verbund an Schutzfähigkeiten einer Organisation stets eine umfassende Komponente Informationssicherheitsmanagement (IS-Management) unter Berücksichtigung der IT-Sicherheit zu integrieren.
6. Top-Down-Konzipierung
Wesentliche Grundannahme für das Konzept des Physical Security Management ist es, dass sich ein funktionales Sicherheitsmanagement für eine Organisation ausschließlich durch einen Top-Down-Ansatz nachhaltig leistungsoptimiert etablieren lässt. In der Praxis zeigt sich, dass das Sicherheitsmanagement von Organisationen oftmals in einem Dokument als Konzept oder Handbuch beschrieben ist. Dabei werden regelmäßig strategische Grundlagen (beispielsweise Schutzziele) mit operativen Details (beispielsweise konkrete Zutrittsregelungen), vermischt. Dies führt unter anderem zu Unübersichtlichkeit und mangelnder Nachvollziehbarkeit. In der Folge erscheinen die Mitarbeiter insofern überfordert, als dass ein physisches Sicherheitsmanagement kaum gelebt wird und damit schlichtweg nicht oder nur eingeschränkt funktioniert.
Zur Etablierung eines umfassenden und nachhaltigen Schutzes vor physischen Risiken gilt es daher im Sinne des Physical Security Management drei Hierarchieebenen von aufeinander aufbauenden Dokumenten und Vorgaben zu schaffen. Die Qualität des Gesamtsystems wird dabei immer davon abhängig sein, wie umfassend die strategischen Rahmenbedingungen aufgesetzt sind und wie logisch stringent diese über die Hierarchieebenen hinweg heruntergebrochen und präzisiert sind.
- Ebene 1: Security Governance als strategisches Dachdokument
An der Spitze gilt es zunächst ein strategisches Sicherheitskonzept im Sinne einer Security Governance zu schaffen. Hier werden Ziele und Grundsätze für das ganzheitliche Physical Security Management definiert und Rahmenbedingungen für das operative Sicherheitsmanagement geschaffen. In der Praxis sind dies beispielsweise grundsätzliche Rollen und Verantwortlichkeiten, prozessuale Vorgaben oder generelle Forderungen an Technik und Infrastruktur. Auch sind die Schutzfähigkeiten bedarfsorientiert herzuleiten, in ihrer Zielsetzung und ihrem Geltungsbereich zu definieren und als strategische Leitplanken für die operative Ausgestaltung zu beschreiben.
In diesem Verständnis muss eine Security Governance die konzeptionelle Begründung und damit die Legitimationsbasis für alle Sicherheitsaktivitäten innerhalb der Organisation darstellen. Das Dokument unterliegt dabei idealtypisch einem sehr geringen Änderungs- / Anpassungsbedarf. Entscheidend für eine nachhaltige operative Umsetzbarkeit ist vielmehr, dass sich die Folgedokumente logisch stringent aus der Governance ableiten lassen. - Ebene 2: Guidelines für die operative Umsetzbarkeit
Die logische Ableitung strategischer Vorgaben erfolgt über Guidelines für die operative Umsetzung. Hierbei ist es entscheidend, dass die Dokumente sowohl vertikal, also durch das eigentliche Herunterbrechen, als auch horizontal, das heißt über alle Vorgaben der zweiten Hierarchieebene hinweg, inhaltlich ineinandergreifen. Diese inhaltliche Harmonisierung stellt für die Verantwortlichen eine wesentliche Herausforderung dar, die in der Praxis zu einem erhöhten, fachbereichsübergreifenden Abstimmungsbedarf mit den unterschiedlichen Stakeholdern führt.
Um diese Komplexität möglichst zu beherrschen, empfiehlt es sich daher frühzeitig festzulegen, welche Anzahl an Guidelines mit welchem Geltungsanspruch zu erstellen ist. Diese Entscheidung ist dabei wieder stark abhängig von den individuellen Merkmalen der jeweiligen Organisation. Grundsätzlich sollte sich bei der Definition des Bedarfes an Guidelines jedoch an den beschriebenen Schutzfähigkeiten orientiert werden. Am konkreten Beispiel bedeutet dies, dass etwa eine strategisch konzipierte Fähigkeit Notfall- und Krisenmanagement durch eine entsprechende Guideline für die operative Umsetzung abgeleitet werden sollte. Während die Governance hier grundsätzliche Rollen und Verantwortlichkeiten vorgibt und Prozessvorgaben macht, muss die Guideline diese Rahmenbedingungen und Auflagen konkreter ausgestalten. Dies geschieht beispielsweise durch die präzise Aufstellung eines Kommunikations- und Eskalationsprozesses bei Sicherheitsvorfällen. - Ebene 3: Standard Operating Procedures (SOP) schaffen Handlungssicherheit
Die überwiegende Anzahl an Mitarbeitern in einer Organisation hat in der Regel keine Erfahrungen mit Sicherheitsmanagement. Pflichten, Vorgaben und Verhaltensweisen sind oftmals, sofern sie überhaupt existieren, unbekannt und werden kaum gelebt. Es herrscht nicht selten Unsicherheit, Unverständnis und Ablehnung. Daher ist es unerlässlich für die erfolgreiche Implementierung eines Physical Security Management ebenenübergreifend SOP’s zu etablieren, die Handlungssicherheit, Verständnis und Akzeptanz beim Personal schaffen. Sie sind folglich wesentliche Voraussetzung für eine erfolgreiche Implementierung des physischen Sicherheitsmanagements. Die Vorgaben und Aktivitäten der dritten Hierarchieebene können sich in der Praxis sehr vielfältig gestalten und sind eng an die Methoden des klassischen Change Managements geknüpft. Beispiele aus der Praxis sind hier etwa Job Descriptions, Taschenkarten, Awareness-Kampagnen, regelmäßige Schulungen sowie Übungen und Stress Tests.
Entscheidend für die operative Implementierung ist auch auf dieser dritten Hierarchieebene die logische Ableitung und inhaltliche Harmonisierung, die analog zu den Guidelines einen hohen Abstimmungsbedarf mit sich bringen. Dabei ist der Aufwand sowohl für die Erstellung von SOP’s als auch für deren regelmäßige Aktualisierung und Weiterentwicklung innerhalb der Ebenen sehr hoch und langwierig. Der Implementierungsprozess von SOP`s ist daher permanenter Bestandteil eines funktionierenden, leistungsorientierten Sicherheitsmanagements.
7. Transparente Kommunikation
Die enorme Komplexität von Anforderungen für die Etablierung von Physical Security Management wurde bereits mehrfach herausgestellt. Daher ist es unerlässlich und normativer Grundsatz, eine transparente Kommunikation nicht nur zu konzeptionieren, sondern insbesondere auch zu leben. Eine effektive und umfassende Kommunikation muss dabei grundsätzlich drei Aspekte berücksichtigen.
- Klare Kommunikationslinien innerhalb des Sicherheitsmanagements
Voraussetzung sind hier robuste Kommunikationslinien, die in den drei Aggregatzuständen des Sicherheitsmanagements Grundbetrieb, Notfall und Krise in der gesamten Organisation bestehen. Hier gilt es sowohl die vertikale Kommunikation im Sinne eines eindeutigen Dienstweges abzudecken als auch horizontal auf den jeweiligen Führungsebenen Informationstransparenz zu schaffen.
Wer kommuniziert mit wem? Welche standardisierten Informationsaustausche gibt es? Wie wird kommuniziert? Wer führt Informationen zusammen, wertet aus und leitet weiter? Diese Fragestellungen müssen eindeutig beantwortet, prozessual eingeführt und praktisch bewährt sein. - Schnittstellen- und Stakeholdermanagement innerhalb der Organisation
Sicherheitsmanagement darf nicht als autarkes Silo existieren. In Abhängigkeit von den Merkmalen der jeweiligen Organisation gilt es eine Fülle von Schnittstellen abzudecken und interne Stakeholder zu integrieren.
Welche bestehenden Informationssysteme und Strukturen muss das Sicherheitsmanagement adaptieren? Wie gestalten sich Absprachen mit weiteren involvierten Fachbereichen, wie beispielsweise Kommunikation, Rechtswesen, Personal, Datenschutz oder Arbeitnehmervertretungen? Wer berichtet fachbereichsüberreifend an wen? In der Praxis können derartig vielfältige Anforderungen nur durch eine frühzeitige Involvierung der Stakeholder in den Gestaltungsprozess und fortlaufend regelmäßige Abstimmungen nachhaltig gesteuert werden. - Behördenkommunikation nach außen
Ein regelmäßig vakanter Aspekt der Kommunikation im Sicherheitsmanagement ist der Austausch mit relevanten Stakeholdern außerhalb der Organisation. Sowohl präventive als auch intervenierende Konzepte und Aktivitäten müssen durch Behörden und Organisationen mit Sicherheitsaufgaben (BOS) genehmigt werden oder zumindest mit ihnen abgestimmt sein.
Welche Ansprechpartner hat die Organisation bei Polizei, Feuerwehr und Kommunen? Wie werden Warnhinweise und Änderungen der Sicherheitslage durch die öffentliche Hand kommuniziert? Wie ist die notfallmedizinische Rettungskette aufgebaut? Welche Auflagen für beispielsweise Sicherheitsdienstleister und Überwachungstechnik erlegen die Behörden auf? Eine standardisierte Kommunikation mit den entsprechenden Behördenvertretern trägt erheblich dazu bei, Transparenz, Vertrauen und Handlungssicherheit getreu dem Motto "die Köpfe vor der Krise kennen" zu schaffen.
Kernbotschaften und Ausblick
Abschließend seien zur Vorstellung des Physical Security Managements an dieser Stelle die wesentlichen Aspekte zusammengefasst. Ein effektives und umfassendes Sicherheitsmanagement wird immer von den individuellen Merkmalen einer Organisation abhängig sein. Dabei sind es insbesondere Agilität, Flexibilität und ein fachlicher Deep Dive durch Begehungen der Infrastruktur, Dokumentenanalysen und Gespräche mit den Stakeholdern, die die erfolgreiche Konzeptionierung eines Sicherheitsmanagements für eine Organisation ausmachen. Nichtsdestotrotz sind die Autoren der Auffassung, dass die Orientierung an den sieben, in diesem Artikel dargestellten Grundsätzen der sprichwörtliche Schlüssel für die erfolgreiche Etablierung eines zivilen Sicherheitsmanagements sind.
Vor diesem Hintergrund gilt es drei Merkmale herauszustellen, die den Ansatz des Physical Security Management im Wesentlichen charakterisieren:
- Risikoanalyse
Die Risikoanalyse ist der Ausgangspunkt aller Planungen, da sie ein umfassendes und strukturiertes Lagebild zur Einschätzung der Risiken generiert und hilft, den Behandlungsbedarf aufzuzeigen und priorisiert zu bewerten. - Querschnittliche, fähigkeitsbasierte Risikobehandlung
Der Ansatz des Physical Security Management basiert auf einer querschnittlichen, fähigkeitsbasierten Behandlung der physischen Risiken. - Top Down Ansatz
Der Top-Down-Ansatz ist in Verbindung mit der Drei-Ebenen-Hierarchie in Dokumenten und Vorgaben als erfolgskritische Voraussetzung für das konzeptionelle Grundverständnis zu sehen.
Die Praxis zeigt, dass der Bedarf nach umfassendem und nachhaltigem Schutz vor physischen Bedrohungen für zivile Organisationen mit Blick auf die aktuelle Sicherheitslage weiter immens an Bedeutung gewinnt. Mit der Vorstellung des Physical Security Management möchten die Autoren zum konstruktiven Dialog im Sinne einer gemeinsamen, anwendungsorientieren Trendforschung für das Sicherheitsmanagement einladen. Denn wenn es gelingt, auf Basis der allgegenwärtigen, internationalen ISOs und Normen gemeinsam Leading-Practice-Standards für physische Sicherheit zu entwickeln, wird im gesamtgesellschaftlichen Interesse ein größtmöglicher Schutz vor den herausfordernden physischen Bedrohungen der heutigen Zeit erzielt.
Quellenverzeichnis sowie weiterführende Literaturhinweise:
- Bundesamt für Sicherheit in der Informationstechnologie (BSI) [2016]: IT-Grundschutzkataloge, 15. Ergänzungslieferung, 2016.
- WifOR Wirtschaftsforschung [2015]: Der Ökonomische Fußabdruck der deutschen Sicherheits- und Verteidigungspolitik – Projekt im Auftrag der deutschen Sicherheits- und Verteidigungsindustrie (SVI), 2015, S. 6 ff.
Die Autoren
Jörg Hensen hat als ehemaliger Berufsoffizier und Absolvent der Führungsakademie der Bundeswehr über mehr als ein Jahrzehnt Einsätze zur physischen Absicherung von Personen, Infrastrukturen und Informationen konzipiert und geleitet. Seine umfangreichen Erfahrungen sammelte er dabei in Sicherheitslagen über alle Intensitätsstufen hinweg sowohl im In- als auch im Ausland.
Sebastian Schmitz sammelte als Führungskraft im militärpolizeilichen Dienst, Sicherheitsoffizier und Analyst im Nachrichtenwesen mehr als ein Jahrzehnt Leitungserfahrung im Bereich der physischen Sicherheit in einem internationalen Umfeld. Schmitz ist promovierter Staatswissenschaftler und Experte für strukturierte Risikoanalysen, umfassende Sicherheitskonzeptionen sowie ein effizientes Notfall- und Krisenmanagement.
Jörg Hensen und Sebastian Schmitz sind als Unternehmensberater und Projektmanager tätig.