Sicherheits-Management in österreichischen kleinen und mittleren Unternehmen

Inhaltsverzeichnis

1. Einleitung
1.1. Persönlicher Zugang zum Thema
1.2. Ausgangssituation, Themenstellung und methodische Vorgangsweise

2. Grundlagen und Definitionen
2.1. Sicherheit
2.2. Management
2.3. Sicherheits-Management
2.4. KMU

3. Risiken, Bedrohungen und etwaige Präventionsmaßnahmen
3.1. Allgemeine Sicherheitsrisiken
3.1.1. Spionage
3.1.2. Sabotage
3.1.3. Korruption
3.1.4. Brand
3.1.5. Produktionsausfall, Betriebsunterbrechung und technische Defekte
3.2. Interne Sicherheitsrisiken
3.2.1. Diebstahl
3.2.2. Manipulation
3.2.3. Missbrauch von Daten, Information und Funktion
3.3. Externe Sicherheitsrisiken
3.3.1. Einbruch
3.3.2. Vandalismus
3.3.3. Bombendrohung
3.3.4. Terror
3.3.5. Elementarereignisse und Naturkatastrophen
3.3.6. Spezielle Risiken und ,best practice´-Modelle

4. Sicherheitsrisiken in der Kommunikationstechnologie
4.1.1. Elektronische Daten-Verarbeitung, Server und Netzwerk
4.1.2. Manipulation und Spionage in der EDV
4.1.3. Das Notebook als Sicherheitsrisiko
4.1.4. Risiko bei Telefon, Mobiltelefon und Datenleitungen
4.1.5. Soziale Netzwerke
4.1.6. Datensicherung
4.1.7. spezielle Risiken und ,good practice´-Modelle

5. Arbeitssicherheit
5.1.1. Das ArbeitnehmerInnenschutzgesetz
5.1.2. Arbeitsplatzevaluierung
5.1.3. Brandschutzbeauftragter
5.1.4. Empfehlung und ,best practice´-Modelle

6. Begleitende Gesetze, Vorschriften, Normen und Richtlinien
6.1.1. Betriebsanlagenbewilligung
6.1.2. Technischen Richtlinien für vorbeugenden Brandschutz
6.1.3. Technischen Richtlinien für vorbeugenden Einbruchschutz
6.1.4. Normen
6.1.5. Maschinenverordnung
6.1.6. Regelmäßige Wartung von Elektro-, Blitzschutz und Gasanlagen
6.1.7. Kältemittelverordnung
6.2. Sammlung ,Gesetze, Verordnungen, Normen, Richtlinien´
6.3. Zusammenstellung ,Gesetzliche Prüfpflichten´ als ,good practice´-Modell´

7. Risikoermittlung, Bewertung und Umsetzung
7.1. Bewertung des Ist-Zustandes
7.2. Risikominimierende Maßnahmen
7.3. Business Continuity Planning
7.4. Checkliste ,Risikoeigenbewertung´ als ,best practice´-Modell´

8. Resümee

9. Abkürzungsverzeichnis und Begriffsbestimmungen

10. Literaturverzeichnis

11. Abbildungsverzeichnis

12. Anhang
Anhang I Sammlung , Gesetze / Verordnungen / Normen / Richtlinien ‘
Anhang II Zusammenfassung , Gesetzliche Prüfpflichten ´
Anhang III Checkliste ,Risikoeigenbewertung´

1. Einleitung

„Nichts geschieht ohne Risiko, aber ohne Risiko geschieht auch nichts .“ ^[1]

Die Unternehmensleitung und das Management konzentrieren sich großteils auf den kaufmännischen Erfolg des Unternehmens. Der Verkauf von Produkten und Dienstleistungen mit entsprechender Qualität ist dabei einer der wesentlichen Erfolgsfaktoren für ein Unternehmen. Denn erst mit von Kunden lukrierten Verkaufserlösen abzüglich aller Kosten ergibt sich schlussendlich der Gewinn. Ein entsprechender Gewinn mit der daraus resultierenden Bonität ist bei Gesprächen mit Investoren und Banken für anstehende Investitionen sehr vorteilhaft.

In diesem Gewinn ist immer auch ein Teil des unternehmerischen Risikos enthalten.

Diese Risiken können durch geeignete Maßnahmen, wie genaue Rechnungsführung, Controlling, Marktbeobachtung, Vertragsgestaltung beim Ein- und Verkauf, durch Versicherungen verringert, oder in Form von kalkulatorischen Wagniszuschlägen auf Produkt- und Dienstleistungspreise aufgeschlagen werden.^[2]

Der kaufmännische Bereich wird durch Hausbanken, Steuerberater, Wirtschaftsprüfer und durch Controlling-Tools wie zeitnahe Soll/Ist-Abweichung, Budgetkontrollmeetings, Gewinn- und Verlustrechnung und Bilanz sowie durch entsprechende Vertragsgestaltung im Fokus behalten.

Das vorhandene Restrisiko kann dann als versicherbares Risiko direkt durch entsprechende Versicherungen abgedeckt werden, wobei die Einschätzung dieser Risiken in Kleinen und Mittleren Unternehmen (KMU) großteils den Versicherungen überlassen wird.

Diese Versicherungsprodukte decken die Sachwerte eines Unternehmens sowie alle Gebäude gegen Schäden, die zum Beispiel durch Einbruch, Diebstahl, Feuer, Leitungswasser, Sturm oder Hagel verursacht werden, ab, ohne dabei auf die Eintrittswahrscheinlichkeit dieser Risiken näher einzugehen oder durch vertretbare Sicherheitsmaßnahmen potentielle Gefahren einzuschränken.

In vielen größeren Unternehmen sind eigene Mitarbeiter oder gar Abteilungen mit diesem Risikomanagement befasst, um diese nichtmonetären Ursachen wie Sicherheit, Gesundheit und Umwelt bewusst in Prozessen zu erfassen und damit transparent zu machen, da auch diese Prozesse zu einem wesentlichen Teil das unternehmerische Risiko beeinflussen.

Dieser Themenkomplex wird in KMUs eher vernachlässigt, da keine oder nur begrenzte personelle Ressourcen vorhanden sind, das Wissen und daher das Bewusstsein für die Gefahren fehlen.

1.1. Persönlicher Zugang zum Thema

„Der Mensch steht im Mittelpunkt … jeder Sicherheitsbetrachtung.“ ^[3]

Im Laufe meiner beruflichen Tätigkeit in den Bereichen Sicherheit und Facility Management musste ich immer wieder feststellen, dass die wenigsten Unternehmer und Betreiber von Gebäuden eine ausreichende Übersicht über Gefahren, gesetzliche Pflichten und Risiken haben.

Speziell im Facility Management bleibt, resultierend durch starken Mitbewerb und hohen Marktdruck, eine vollständige Zusammenfassung aller gesetzlichen Betreiberpflichten ein - im Facility Management-Unternehmen verbleibendes - gut gehütetes Geheimnis.

Interne Qualitätsstandards decken zwar mit Check-Listen alle Pflichten für Auftraggeber als auch Auftragnehmer ab, jedoch werden diese Themen auf Grund ihrer Komplexität nur selten proaktiv in Gesprächen erörtert, auch ist oftmals das Wissen bei den handelnden Personen vor Ort nicht vorhanden.

Leider ist deshalb auch in der Fachliteratur noch kein umfassender und praxistauglicher Handlungsleitfaden über die Themen Sicherheit und Arbeitssicherheit bzw. Gesundheit, in der englischen Sprache besser mit den Begriffen ‚Security‘ und ‚Safety‘ definiert, vorhanden.

Auch die Sicherheitsbranche und spezialisierte Risikoversicherer decken nur einen Teilbereich ab, weil oftmals die Aufgabenstellung für Sicherheitskonzepte oder Risikoanalysen nur für spezielle Gefahren und deren Vermeidung ausgearbeitet, jedoch der Mensch, seine Gesundheit, Arbeitssicherheit und die gesetzlichen Verpflichtungen dazu nicht berücksichtigt werden.

In vielen Gesprächen mit Kunden, Investoren, Gebäudebetreibern, Sicherheitsbeauftragten, Verantwortlichen für die personelle und technische Sicherheit sowie für das Facility Management habe ich bei meinen Gesprächspartnern oft quer durch alle Managementebenen eine gewisse Unsicherheit wahrgenommen. Viele Gebäude- und Sicherheitsverantwortliche sind sich ihrer gesetzlichen Pflichten, aber auch der vorhandenen Risiken nicht bewusst.

Aus diesem Grund entstand in mir die Idee, die Wichtigkeit dieser Bereiche herauszuarbeiten, um speziell für Unternehmen, welche sich nur sporadisch mit diesen Themen auseinander setzen, einen Handlungsleitfaden mit Erklärungen und einer einfachen Checkliste für eine Eigenbewertung des Risikos zu ermöglichen.

Diese Arbeit soll auch für mich persönlich ein einfaches Nachschlagewerk mit einer kurzen Beschreibung aller sicherheitsrelevanten Themen und Risiken, eine Aufstellung aller aktuellen gesetzlichen Auflagen als Zusammenfassung sowie einfach umzusetzende Lösungen und daraus abzuleitende Maßnahmen beinhalten, um daraus eine Sensibilisierung dieser wichtigen Themen zu schaffen: also ein ,know how‘.

1.2. Ausgangssituation, Themenstellung und methodische Vorgangsweise

Im täglichen Geschäftsleben wird Ereignissen, welche nicht im engsten Kerngeschäftsprozess stehen, wenig Beachtung geschenkt und darüber hinaus ist generell wenig Verständnis und Problembewusstsein für Sicherheit und Gesundheit vorhanden.

„Auch wenn die Risiken, Gesetze, Normen und Standards nicht immer bekannt sind: Unwissenheit schützt vor Schaden nicht.“^[4]

Die Berücksichtigung möglicher interner und externer Gefahren ist ein wesentlicher Beitrag zur Sicherung des Unternehmens, somit auch zur persönlichen Sicherung des Arbeitsplatzes, und zu einem Ressourcen schonenden Umgang mit unserer Umwelt - also für eine sichere Zukunft.

Arbeitssicherheit wirkt zusätzlich direkt auf die Gesundheit und somit auf die Produktivität der Mitarbeiter ein.

Da im Alltagsgeschäft nur ein begrenzter Vorrat an Zeit, Kraft und Ressourcen vorhanden ist, werden vom Management vorrangig die Kernprozesse des Unternehmens - das ,tägliche Geschäft´ - abgearbeitet.

Über diese Kernprozesse hinaus habe ich mir in meiner Arbeit daher folgende Fragen gestellt:

- Welche gesetzliche Pflichten und Vorschriften muss ein Unternehmer für Sicherheit und Gesundheit einhalten?
- Wo finde ich diese Gesetze und Normen?
- Welche Verantwortung, welche Pflichten entstehen einem Unternehmer daraus?
- Wo kann durch Unwissen oder Nichtbeachtung ein erhebliches Risiko entstehen?
- Welche Auswirkungen auf den laufenden Betrieb können entstehen?

Und wie wird damit umgegangen?

In dieser Arbeit gilt es, diese Risiken zu ergründen und zu beschreiben, um die KMU-Verantwortlichen dafür zu sensibilisieren, dass diese Sicherheitsüberlegungen mögliche Auswirkungen auf ihre firmeninterne Prozesse und auf die Produktion haben, somit auf das gesamte Geschäft. Dadurch kann ein wirtschaftlicher und unternehmerischer Schaden abgewendet werden, wenn bewusst auf das Restrisiko eingegangen und/oder durch Versicherungen abgesichert wird.

Es kann sein, dass bereits gesetzte Maßnahmen und Präventionen mögliche Risiken und Bedrohungen in der Entstehung verhindern. Z.B. schützt eine Firewall vor unberechtigtem Datenmissbrauch oder ein Alarmsystem schreckt einen möglichen Einbrecher ab, ein gut eingeführtes Brandschutzkonzept vermeidet im Ansatz potentielle Brandursachen, ….

Die kaufmännischen Risiken stehen im unternehmerischen Mittelpunkt und werden zusätzlich durch interne Controllingmechanismen, wie Gewinn- und Verlustrechnung, Bilanz, sowie externe Instanzen, wie Steuerberater und Banken abgedeckt und werden deshalb in dieser Arbeit nicht näher behandelt.

Weiters sind Risiken, die direkt durch den Geschäftsprozess, die Produktion, die Dienstleistung entstehen können, aus meinen Betrachtungen ausgenommen. Für diese, je nach Geschäftszweig und -art sehr spezielle und unterschiedliche branchenspezifische Risiken können Lösungen dazu nur durch das Unternehmen selbst entwickelt werden.

Aus diesen Überlegungen heraus ergeben sich für mich folgende Themenstellungen, die in diesem Buch behandelt werden:

- mein bisheriges gesammeltes, gespeichertes, adaptiertes, optimiertes, überprüftes und neu geschaffenes Wissen chronologisch aufzulisten,
- risikominimierende Maßnahmen und Lösungsansätze im Text und ergänzend in meinen ‚best practice‘-Modellen zu beschreiben,
- ein Nachschlagewerk über Gesetze und Vorschriften, nützliche Hinweise und ergänzende Informationen und wichtige Begriffe zu erstellen,
- eine Checkliste für Unternehmer aber auch für mich persönlich zu schaffen,
- um damit für den Zugang zu diesen Sicherheitsthemen zu sensibilisieren,

denn das Richtige richtig zu tun, gibt große Sicherheit.

Diese Inhalte werden in der vorliegenden Arbeit in übersichtliche Themenkreise gegliedert, beschrieben und mit nützlichen Tipps aus der Praxis ergänzt, sodass die Auswirkungen auf den laufenden Betrieb leichter eingeschätzt und analysiert werden können. Dadurch erfolgt der Umgang mit diesen Risiken bewusster und die möglichen Folgen werden vorhersehbarer, denn:

„ Eins ist sicher: Nichts ist sicher.“^[5]

Um speziell die komplexe Materie der so genannten ,Betreiberpflichten‘ aus Gesetzen wie ArbeitnehmerInnenschutzgesetz, Datenschutzgesetz…, Bewilligungen wie Betriebsanlagen-bewilligung…, Verordnungen wie Arbeitsstättenverordnung, Kältemittelverordnung…; Normen wie Ö-Normen, DIN, Europa-Normen… und technischen Richtlinien wie technische Richtlinie für vorbeugenden Brandschutz… werden im Anhang unter ‚Verzeichnis über gesetzliche Grundlagen‘ als einfaches Nachschlagewerk und zusätzlich in der Checkliste ,Risikoeigenbewertung‘ nach dem Motto „ KISS (, keep it simple, stupid´)“^[6] aufgelistet.

Dabei gilt: „Soviel wie nötig so wenig wie möglich.“ ^[7]

Die Arbeit beinhaltet eine übersichtlich aufbereitete Sammlung relevanter Sicherheitsrisiken aus den Bereichen ,security´ und ,safety´. Zusätzlich werden die Kapitel mit entsprechenden ,best practice‘-Modellen ergänzt.

Damit soll für Unternehmer, Betriebsinhaber oder Geschäftsführer eine Übersicht über alle Risiken und Pflichten geschaffen werden, welche für das Unternehmen sicherheitsrelevant _ oder dem Gesetz und der Aufsichtsbehörde gegenüber zu erfüllen sind.

Da es gezielt zu diesem Thema kaum eine aktuelle Literatur gibt, wurde die Strukturierung dieser Arbeit zum Großteil an den Aufbau in der IT-Literatur angelehnt, durch existierende Fachliteratur beschrieben und konkretisiert und zu einem wesentlichen Teil zusätzlich durch Internet-Recherchen ergänzt. Dabei wurde die vorhandene - großteils deutsche - Fachliteratur auf die österreichischen Anforderungen und Gesetzmäßigkeiten adaptiert und durch zu diesem Thema vorliegende Veröffentlichungen vervollständigt.

Dazu werden die Themen in 7 übergeordnete Teilkapitel eingeteilt und die einzelnen Themengebiete wie folgt gegliedert:

Am Beginn wird der persönliche Zugang zu dem Thema, die Ausgangssituation und Themenstellung sowie die methodische Vorgangsweise dieser Arbeit beschrieben.

Im Kapitel 2 werden die der Arbeit zugrunde liegenden Begriffe definiert, um die - im Kapitel 3 dargestellten - Risiken, Bedrohungen und mögliche Präventionsmaßnahmen anschaulicher und ,begreifbarer‘ zu machen. Der Leser erwirbt dadurch einen Überblick über mögliche Sicherheitsrisiken in kleinen und mittleren Betrieben. Gleichzeitig werden geeignete Maßnahmen und Lösungsansätze übersichtlich aufbereitet, um auf die jeweiligen Gefahren aufmerksam zu machen und dadurch die Wahrnehmung zu schärfen.

Aufbauend darauf wird der Schwerpunkt im Kapitel 4 die Sicherheitsbetrachtung auf die Kommunikationstechnologie gelegt. Im Zeitalter der raschen technologischen Weiterentwicklung sind daraus besondere Sicherheitsrisiken gegeben.

Das Kapitel 5 beschäftigt sich mit Arbeitssicherheit, mit den gesetzlichen Vorgaben und insbesonders den Erleichterungen für Kleinst- und Kleinunternehmen.

Das Kapitel 6 ist eine Sammlung von begleitenden Gesetzen, Vorschriften, Normen und Richtlinien, welche das Sicherheitsmanagement von KMUs mitbestimmen. Zusätzlich werden die gesetzlichen Pflichten, die durch alle Unternehmen zu erfüllen sind, in der eigenen, zusätzlichen Checkliste ,Gesetzliche Prüfpflichten‘ erfasst.

Nachdem ein Großteil der theoretischen Inhalte erläutert wurde, wird im Kapitel 7 auf Möglichkeiten zur Risikominimierung eingegangen. Das Herzstück dieses Kapitels ist eine selbsterstellte Checkliste zur ,Risikoeigenbewertung‘. Diese Checkliste dient der Reflexion und Sensibilisierung für die oberste Leitung, also für die in KMUs für das Sicherheitsmanagement Verantwortlichen.

Dieser einfache Handlungsleitfaden soll einen guten Überblick über im Unternehmen vorhandene Risiken und Bedrohungen geben und, auf diesem aktuellen Sicherheitsstatus aufbauend, zur Einleitung unternehmensspezifischer Sicherheitsmaßnahmen, um das Sicherheitsrisiko zu verringern, animieren.

Im Anhang befindet sich als Nachschlagewerk das Abkürzungsverzeichnis mit Begriffs-bestimmungen und gebräuchlichen Begriffen zu dieser Arbeit, ergänzende, weiterführende Informationsquellen sowie eine Auflistung der rechtlichen Grundlagen mit gültigen Gesetzen, Vorschriften, technischen Richtlinien und Normen.

Den Abschluss bildet die Sammlung aller Gesetze und Normen, die ,Gesetzlichen Prüfpflichten´, sowie die Checkliste ,Risikoeigenbewertung‘ als Kopiervorlage.

2. Grundlagen und Definitionen

Der Titel dieser Arbeit ,Sicherheits-Management in kleinen und mittleren Unternehmen basiert auf nachstehenden Begriffen, die vorweg einer Erklärung als Grundlage für die Auseinandersetzung mit dieser Themenstellung bedürfen.

2.1. Sicherheit

„ Sicherheit ergibt sich aus der Absicherung schützenswerter Wert- bzw. Schutzobjekte gegen die potenzielle Möglichkeit, dass eine Bedrohung eine oder mehrere Schwachstellen ausnutzt und so ein materieller oder immaterieller Schaden entsteht.“ ^[8]

„ Sicherheit ist die Gewährleistung der Verfügbarkeit relevanter Ressourcen wie Personal, Werte und Infrastruktur.“^[9]

„ Sicherheit ist kein statischer Zustand, sondern dynamisches Verhalten.“ ^[10]

Um den vorstehenden Definitionen gerecht zu werden, sind für jedes Unternehmen im Bereich
,security´ sowohl die schutzwürdigen Belange der Infrastruktur, deren Schwachstellen, der mögliche materielle und immaterielle Schaden sowie deren Absicherung dargestellt. Im Bereich ,safety´ wird die Arbeitssicherheit und der Gesundheitsschutz definiert.

In der englischen Sprache wird das Wort ‚Sicherheit’ sowohl als Begriff ‚Security’, als auch als Begriff ‚Safety’ verwendet, welche beide eine präzisere Definition zulassen.^[11]

Es gilt dabei, einen Zustand, in dem das Risiko eines Personen- oder Sachschadens auf einen annehmbaren Wert begrenzt ist, herbeizuführen^[12] und das verbleibende Restrisiko zu versichern.

Auch die Synonyme für Sicherheit: Schutz, Sicherung, Abschirmung, Gefahrlosigkeit^[13] arbeiten auf dasselbe Ergebnis wie Gewissheit, Zuverlässigkeit, Unbedrohtheit, und auf das Grundgefühl des Menschen, welches sich gegen Bedrohungen auflehnt und Sicherheit anstrebt hin.^[14]

Bereits Maslow hat in seiner Bedürfnispyramide die Sicherheit als wesentliches Grundbedürfnis - gleich nach Essen, Trinken, Schlafen, Fortpflanzung …- dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Bedürfnispyramide nach Maslow^[15]

2.2. Management

Unter Management wird die Leitung, die Führung eines Unternehmens, die Planung, das Treffen von Grundsatzentscheidungen^[16] sowie die „Leitung auf betriebswirtschaftlicher Basis“ verstanden und betrifft die „Gesamtheit der leitenden Angestellten.“^[17]

Für den Zugang zum Begriff Management ist nachfolgende Beschreibung noch aussage-kräftiger:

„Management ist die Führung komplexer sozialer Systeme und bedeutet, dass die gegenseitigen Beziehungen zwischen Menschen und Sachen in Entscheidungen und in der realen Umsetzung ganzheitlich berücksichtigt werden, also das gesamte System und seine Verbindungen zu seinen Umwelten umfassen.“^[18]

2.3. Sicherheits-Management

Sicherheitsmanagement (security management) ist die Gesamtheit der Führungsaufgaben, die sich mit der Sicherheit der Infrastruktur befasst.^[19]

„Das Sicherheitsmanagementsystem enthält die managementspezifischen Verfahren und Prozesse, die der Betreiber eines Betriebsbereiches [...] zur Verhinderung von Störfällen und zur Begrenzung ihrer Auswirkungen eingeführt hat. Das Sicherheitsmanagementsystem regelt folgende Punkte: Organisation und Personal, Ermittlung und Bewertung der Gefahren von Störfällen, Überwachung des Betriebs, sichere Durchführung von Änderungen, Planung für Notfälle, Überwachung der Leistungsfähigkeit des Sicherheitsmanagementsystems, systematische Überprüfung und Bewertung.“^[20]

Dieses Zitat zeigt sehr deutlich den Umfang und die Komplexität der gesamten Thematik ,Sicherheitsmanagement‘ auf. Dabei müssen immer die fünf Bereiche - bauliche, mechanische, technische, organisatorische und personelle Sicherheit - zueinander in Beziehung gebracht werden.^[21]

2.4. KMU

KMU, also ‚kleine und mittlere Unternehmen‘, werden gemäß einer Empfehlung der Europäischen Kommission durch Kriterien wie Beschäftigtenzahl, Umsatz und Bilanzsumme definiert.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Kriterien zur Definition für Kleine- und Mittlere Unternehmen:^[22]

In Österreich sind 97,5 Prozent der 219.315 Unternehmen Kleinbetriebe und rund 46 Prozent der Arbeitnehmerinnen und Arbeitnehmer gemäß ÖSTAT (Österreichisches Statistisches Zentralamt) in diesen Kleinbetrieben beschäftigt.^[23]

Zusammen mit den ,mittleren Unternehmen‘ sind mehr als die Hälfte aller Mitarbeiter in KMUs beschäftigt.

Nach der Erklärung grundlegender Begriffe geht es im nächsten Kapitel um konkrete Risiken, Bedrohungen und etwaige Präventionsmaßnahmen.

3. Risiken, Bedrohungen und etwaige Präventionsmaßnahmen

Risiken und Bedrohungen werden in unterschiedliche Themenbereiche eingeteilt und zur Förderung des Verständnisses über die einzelnen Spezifika mit kurzen Erklärungen beschrieben:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Gefahrenquellen^[24]

Zum einfacheren Verständnis erfolgt die Unterteilung dieser Sicherheitsrisiken (security) in nachstehende Themenblöcke:

- allgemeine Sicherheitsrisiken in welcher die Bedrohungen sowohl von innen als auch von außen erfolgt, sowie die Sicherstellung von Energie- und Medienversorgung

- interne Sicherheitsrisiken, welche speziell durch eigene Mitarbeiter verursacht werden

- externe Sicherheitsrisiken, wie z.B. Bedrohungen von außen.

Ausführlich wird zusätzlich auf die Sicherheit in der Kommunikation eingegangen, da dieser Bereich durch die technologische Weiterentwicklung besonders verwundbar ist.

Einen ergänzenden Themenblock bildet die ,Arbeitssicherheit´ (safety) zum Schutz der Gesundheit und zur Erhaltung der Produ ktivität.

Der Vollständigkeit halber werden nachfolgende Themen zwar taxativ angeführt, aber in dieser Arbeit nicht behandelt, da mit der Behandlung branchenspezifischer, technologischer, regulatorischer und politischer Entwicklungen der Umfang dieser Arbeit gesprengt werden würde. Außerdem werden finanzielle und personelle Risiken in der weiterführenden Literatur bereits ausführlich behandelt.

Technologiewechsel oder technologische Entwicklungen

Branchenspezifische Risiken ^[25]

Finanzielle Risiken Liquidität, Insolvenz, Zinsänderung, Börsenspekulationen, Überschreiten der Kreditlinien, Überziehungszinsen, neue Kreditverhandlungen und vieles mehr

Regulatorische Risiken Umweltschutzauflagen bei Boden, Wasser und Luft, Straßen, Betriebsstilllegungen, Auflagen, Verbote, Arbeitsrecht, Änderung in den Kollektivverträgen, Kündigungsschutz)

Personalrisiken Kündigung, Fluktuation und damit einhergehender Know-How- Verlust; Ausfallzeiten durch Krankheit, Unfall, Tod, Mutterschutz, Urlaub, durch mangelnde Qualität entstehende Haftung, Auslastung, Personalabbau.

Politische Risiken Änderungen in der Gesetzgebung durch nicht eingehaltene Wahlversprechungen wie Verringerung der Arbeitslosigkeit, geringere Belastungen der Unternehmen durch Steuersenkung, Subventionen und Steuervergünstigungen, Veränderungen nach Wahlen, Krieg, Putsch, Verstaatlichung.^[26]

3.1. Allgemeine Sicherheitsrisiken

„Steht Ihr Ruf auf dem Spiel, verlieren Sie Kunden, oder müssen Sie gar Konventionalstrafe bezahlen, wenn Sie bei einem Auftrag nicht termingerecht liefern können? Haben Sie sich in diesem Zusammenhang schon einmal überlegt, ob in Ihrem Betrieb die Kernleistungen erbracht werden können, wenn [...] plötzlich nichts [sic] funktioniert.“^[27]

Auch wenn für das Unternehmen nur ein paar Computer im Einsatz sind, „Diebstahl, Wirtschaftskriminalität, Industriespionage oder Datenklau – die Liste der Vergehen oder Verbrechen gegen Unternehmen ist lang. Schon lange stehen nicht nur Großkonzerne im Fokus, auch mittelständische und kleinere Unternehmen werden immer häufiger Opfer derartiger Delikte.“ ^[28]

Zu den schützenswerten materiellen und immateriellen Sicherheitsklassen gehören:

- Gebäude, Räumlichkeiten, bauliche und gebäudetechnische Infrastruktur
- Informations- und Kommunikationstechnik
- Daten, Kundeninformationen
- Maschinen, Verfahren und Methoden
- interne und externe Services von Dienstleistern
- Patente, Know-How
- Menschen^[29]

Jedoch ist bei der Bewertung der Folgeschäden, welche großteils durch Versicherungen abgedeckt sind, auch die künftige Auswirkung auf Kundenbeziehungen und Absatzmärkte zu betrachten:

„Sachschäden an Gebäuden und Einrichtungen sowie der Produktionsausfall sind versicherbar, nicht jedoch die gerade in der heutigen globalisierten Welt - in der in time geliefert wird - so wichtigen Kundenbeziehungen. Ein Kunde, der in Folge des durch einen Brand eingetretenen Produktionsausfalls und dem damit verbundenen Lieferausfall den Zulieferer wechseln muss, ist nur mehr schwer, wenn überhaupt, zurückzugewinnen.“ ^[30]

Das Gefährdungspotenzial durch ,unfreundlichen Informationsabfluss‘ beträgt allein für Deutschland 50 Milliarden Euro, so eine Studie. Die größten Informationsverluste entstehen durch Konkurrenzspionage und ungetreue oder schlampige Kooperationspartner. Klein- und Mittelunternehmen sind aufgrund schwächerer Sicherungsmaßnahmen stark gefährdet. Oft fehlt es am Sicherheitsbewusstsein und an der Kenntnis der möglichen Kooperationen mit Sicherheitsexperten und -organen.^[31]

3.1.1. Spionage

Unter Spionage bezeichnet man die Ausspähung von Geheimnissen, insbesondere auf wirtschaftlichem Gebiet durch Spione, Agenten, Nachrichtendienste. Manche Staaten bestrafen lediglich die gegen den Staat begangenen Spionagedelikte, während andere Staaten generell Spionage unter Strafe gestellt haben.^[32]

„Laut einer aktuellen KPMG-Studie verursachen Datendiebstahl und das Ausspähen von geschäftskritischen Unternehmensinformationen Schäden in Millionenhöhe. Als Hauptgefahrenquelle identifizieren die Teilnehmer der Studie Mitarbeiter und ehemalige Mitarbeiter.“^[33]

Da Spionage zusätzlich schwer nachweisbar ist, fehlt oftmals das zur Vermeidung notwendige Risikobewusstsein und der ,unfeiwillige Tag der offenen Tür´ hat spürbare Folgen für Betriebe. Denn Spionage ist bei Unternehmen kein Fantasieprodukt von Hollywood. Für die österreichische Wirtschaft entsteht dadurch ein hochgerechneter Schaden von jährlich 800 Millionen Euro. Diese Zahl stammt vom Fachbereich Risiko- und Sicherheitsmanagement der FH Campus gemeinsam mit dem BM.I/ Bundesamt für Verfassungsschutz und Terrorismusbekämpfung. 31 Prozent aller Unternehmen geben an, dass sie Opfer von Wirtschafts- und Industriespionage waren. 40 Prozent der Befragten sehen den Verlust von Informationen für ihren Wettbewerbsvorteil als kritisch. Durch die Kooperation mit der Wirtschaft und dem Engagement im Rahmen zur Ausbildung von Sicherheitsmanagern soll mehr Bewusstsein für das Thema geschaffen werden.^[34]

„Die klassische Form der Wirtschafts- und Industriespionage ist der Verrat oder das Ausspähen von Geschäfts- und Betriebsgeheimnissen. Mehr als jedes vierte forschungsintensive Unternehmen berichtete über mindestens einen Fall des Verrats oder des Ausspähens von Geschäfts- und Betriebsgeheimnissen.

Über 70 Prozent der Täter kommen aus den Reihen des geschädigten Unternehmens. Bei externen Tätern bestand im Durchschnitt seit sechs Jahren eine Geschäftsverbindung. Insgesamt zeigt sich, dass der Verrat von Geschäfts- und Betriebsgeheimnissen typischerweise unternehmensnahe Täter begehen.“^[35]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Vergleich der gemeldeten Spionagefälle ^[36]

Die Auswertung aus der Abbildung zeigt, dass die meisten Spionagefälle durch firmeninterne Täter erfolgt sind

Große Konzerne haben häufig die nötigen Sicherheitsstrukturen aufgebaut. Da jedoch insbesonders der Mittelstand und in Teilbereichen auch Kleinunternehmen eine hohe Innovationskraft besitzen, nehmen Wirtschaftskriminalität und Industriespionage in diesem Sektor zu.

Mehr als die Hälfte der Unternehmen macht ihren Mitarbeitern und Geschäftspartnern keine klaren Vorgaben zum Umgang mit vertraulichen Informationen.

Die anwaltliche Beratungspraxis zeigt, dass die Fälle von Geheimnisverrat und Spionage deutlich zunehmen und die meisten Rechtsverletzungen aus dem Unternehmen selbst heraus geschehen. Dieses Risiko sollten Unternehmer und Führungskräfte stets im Blick haben.^[37]

Daher sind nachstehende Vorsorgemaßnahmen gegen Industriespionage zu empfehlen:

- ganzheitliches Sicherheitskonzept, das alle Mitarbeiter- und Geschäftsbereiche umfasst, sowie technische Maßnahmen berücksichtigt
- Risiko- und Schwachstellenanalyse
- kompetente Mitarbeiterschulungen und Sensibilisierungen
- Sicherheitsaspekte bei der Personalgewinnung, auch bei Praktikanten
- Arbeitsverträge mit Wettbewerbsverboten und Geheimhaltungsklauseln formulieren
- Sicherheitsanweisungen speziell für Geschäftsreisen ins Ausland
- Bestellung eines professionellen Sicherheitsverantwortlichen
- konsequente und detaillierte Verfolgung von Auffälligkeiten
- umfassender Schutz der Informations- und Kommunikationswege
- planmäßige Vorsorge bei Netz- und Administrationsausfällen
- Sicherheitsaspekte bei Outsourcing / Arbeit mit Fremdfirmen
- Aufarbeitung von Sicherheitsvorfällen aus der Vergangenheit.^[38]

Viele Unternehmer folgen der Logik, dass ein untreuer Mitarbeiter ja ,den Ast absägt, auf dem er sitzt´. Dabei wird das Faktum verdrängt, dass nicht wenigen Menschen eine latente Bereitschaft zu kriminellem Handeln in die Wiege gelegt ist. Bei den meisten kommt dies aber nicht oder nicht unmittelbar zum Tragen, weil erst weitere Faktoren hinzutreten müssen, bevor sich das Vollbild einer kriminellen Persönlichkeit offenbart - zum Beispiel die günstige Gelegenheit.^[39]

Und heute hat jeder das geeignete technische Hilfsmittel in Form eines Mobiltelefons dabei, um mit der eingebauten ,Handykamera‘ Fotos zu erstellen oder Gespräche mitzuschneiden.

3.1.2. Sabotage

Sabotage ist die Vereitelung eines Ziels durch gewollte geheime Gegenwirkung, z. B. absichtliches Langsamarbeiten oder Verursachen von Fehlern, ferner die vorsätzliche Beschädigung, Zerstörung oder Unbrauchbarmachung z. B. von Arbeitsmitteln und Waren, der Entzug von Energie [...]^[40] sowie die illegale Beschaffung von Informationen.

Eine Studie belegt, dass 35 Prozent der IT-Mitarbeiter ihre Administratorenrechte nutzen, um auf vertrauliche Informationen zuzugreifen, zum Beispiel auf vertrauliche personenbezogene Informationen aus der Personalabteilung, aus den Kundendatenbanken oder aus Strategiekonzepten und Sitzungsprotokollen der Geschäftsleitung. Dabei geben 74 Prozent der Befragten an, bestehende Zugangsbeschränkungen umgehen zu können.

Diese Untersuchung wurde bereits zum dritten Mal durchgeführt. Dabei sind mehr als 400 IT-Mitarbeiter in Führungspositionen aus vorwiegend größeren Unternehmen in Großbritannien und den USA befragt worden.

Nicht zuletzt infolge der Verschlechterung des wirtschaftlichen Klimas und der damit verbundenen Gefahr von Kündigungen hat sich die Bereitschaft zum Diebstahl unternehmenskritischer Daten im Vergleich zur letztjährigen Untersuchung dramatisch erhöht.

20 Prozent der befragten Unternehmen mussten einräumen, bereits Opfer von Insider-Sabotage geworden zu sein, und 36 Prozent gehen davon aus, dass bereits vertrauliche Informationen oder geistiges Eigentum zum Wettbewerb gelangt ist.^[41]

3.1.3. Korruption

Durch das Anfang 2008 in Kraft getretene Anti-Korruptionsgesetz sollten Korruption und ,Freunderlwirtschaft‘ aus der Wirtschaft verbannt werden. Leider führte das Gesetz aber nur zu massiven Einschränkungen bei Geschäftsessen und Sponsoring. Deshalb fordert Jank im Namen der Wirtschaftskammer Wiens, dass die Geringfügigkeitsgrenze von 100 Euro erhöht werden müsse, damit sich ein Geschäftspartner nicht durch eine Essenseinladung strafbar macht.^[42]

Viele Unternehmen haben bereits darauf reagiert und das ,Miteinander‘ durch firmeneigene Verhaltensgrundsätze geregelt. Nachstehend auszugsweise ein Beispiel dafür:

„In diesem Zusammenhang weisen wir noch einmal ausdrücklich darauf hin, dass unter anderem Delikte wie Korruption und Bestechung gleichermaßen im inländischen wie im internationalen Geschäftsverkehr [...] strafbar sind.

Jeder Mitarbeiter, der dagegen handelt, setzt sich nicht nur selbst einem erheblichen Strafverfolgungsrisiko aus, sondern schädigt auch massiv die Babak Bostelmann- Interessen und den Ruf von Babak Bostelmann sowie aller ihrer Mitarbeiter.

Als Geschäftsführung tolerieren wir deshalb [...] keinerlei Form von Bestechung, Korruption, Kartellabsprachen, Diskriminierung oder sonstige Verstöße gegen unsere grundlegenden Werte“.^[43]

3.1.4. Brand

„Es entspricht der Lebenserfahrung, dass mit der Entstehung eines Brandes praktisch jederzeit gerechnet werden muss!

Der Umstand, dass in vielen Gebäuden jahrzehntelang kein Brand ausbricht, beweist nicht, dass keine Gefahr besteht, sondern stellt für den Betroffenen einen Glücksfall dar, mit dessen Ende jederzeit gerechnet werden muss.

Oberverwaltungsgericht Münster 10 A 363 / 86 vom 11.12.1987“^[44]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Anzahl der Brände nach Sparten, sowie die Schadenshöhe pro Jahr ^[45]

Die präventive Vermeidung und die Früherkennung von Bränden und deren Bekämpfung sind wesentlicher Bestandteil zum Schutz von Menschen, Gebäuden und Werten.

Dabei wird in baulichen, technischen und organisatorischen Brandschutz unterschieden.

Maßnahmen zur Brandvermeidung bestehen in Rauchverboten, dem Verbot offenen Feuers, dem Verbot unbeaufsichtigten Betreibens von Elektrogeräten, dem Verbot der Überbrückung von Sicherungen, dem Verbot der Verkeilung von Brandschutztüren und der Vermeidung unnötiger Brandlasten, die bei der Lagerung von Verpackungsmaterialien, Papier oder nicht mehr benötigter Kabel im Zwischenboden vorhanden sein können.

Ebenfalls muss die kaskadenförmige Kabelverlängerung mit Mehrfachsteckdosen und der dadurch mögliche Anschluss vieler Verbraucher bis zur Leitungsüberlastung vermieden werden.

Weitere Maßnahmen dazu sind Ordnung und Sauberkeit, die tägliche Beseitigung von Papierabfällen, die Verwendung nichtbrennbarer oder schwer entflammbarer Materialien sowie der Einsatz selbstlöschender Papierkörbe.

Darüber hinaus müssen manuelle Brandmelder (Druckknopfmelder), Feuerlöscher, Löschschläuche, Wandhydranten und Löschdecken mit den entsprechenden, zur einfachen Erkennung genormten Brandschutzzeichen deutlich sichtbar gekennzeichnet werden.^[46]

Die Aufbewahrung muss leicht erreichbar, gut sichtbar gekennzeichnet und jederzeit gebrauchsfähig sein.

Dabei sind die Anzahl und die Auswahl der Löschhilfen entsprechend den vorhandenen Brandklassen, dem Brandverhalten der Materialien, den vorhandenen Brandlasten, der Nutzungsart und der Ausdehnung der Arbeitsstätte zu wählen.

Geeignete, dem Stand der Technik entsprechende Löschhilfen sind Löschwasser, Löschdecken, Löschsand, tragbare Löschgeräte, fahrbare Feuerlöscher, Wandhydranten.

Die Prüfung der Löschgeräte hat alle zwei Jahre, die Prüfung einer Brandmeldeanlage einmal jährlich zu erfolgen.^[47]

Alle Regelungen dazu sind in den technischen Richtlinien für vorbeugenden Brandschutz (TRVB) speziell in der TRVB S 123 und in der ÖNOM F 3070 beschrieben.

Besondere Beachtung ist der erhöhten Brandgefahr bei so genannten Heißarbeiten, wie ,Brandgefahren beim Schweißen, Schneiden, Löten und anderen Feuerarbeiten‘, zu widmen.

Details dazu sind im Merkblatt der Österreichischen Brandverhütungsstellen, BV 104 und der Richtlinie des Österreichischen Bundesfeuerwehrverband (ÖBFV) VB 03 ,Überwachung brandgefährlicher Tätigkeiten in Betrieben‘ zu finden.^[48]

Weiters sind periodische Evakuierungsübungen sowie Löschübungen mit echtem Feuer und mit der praxisgerechten Verwendung von unterschiedlichen Feuerlöschgeräten zu empfehlen.

Als organisatorische Maßnahmen sind Anweisungen für den Brandfall an zentraler Stelle sichtbar auszuhängen

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Beispiel für eine Anweisung im Brandfall^[49]

und die ,Sicherung der Flucht‘ sowohl durch genormte Piktogramme als auch durch eine ausreichende Not-, Sicherheits- und Fluchtweg-Orientierungsbeleuchtung wie folgt zu kennzeichnen:

„Fluchtwege

sind bauliche Vorkehrungen in Gebäuden, die es Personen ermöglichen sollen, das Objekt bei Gefahr rasch und sicher zu verlassen. Dazu sind in mehrgeschossigen Gebäuden die Stiegenhäuser, in großflächigen
Betrieben oder innen liegenden Brandabschnitten Fluchttunnel als eigene

Brandabschnitte mit direktem Ausgang ins Freie zu errichten. […]

Alle Fluchtwege und Notausgänge sind durch Symbole nach der Kennzeichnungs- verordnung dauerhaft und deutlich erkennbar zu machen.

Notausgänge

sind Ausgänge von Fluchtwegen, die in einen gesicherten Fluchtbereich oder direkt ins Freie führen. Durch Endausgänge muss unmittelbar ein
öffentlich zugänglicher Bereich im Freien erreicht werden.

Sammelplätze

Als Sammelplätze werden die Bereiche bezeichnet, auf denen sich alle betroffenen Personen nach einer Evakuierung oder Flucht einzufinden haben. Diese Plätze sind vorsorglich zur Durchführung der Vollzähligkeitskontrollen und zur Bekanntgabe von Anweisungen festzulegen.

Notbeleuchtungen

haben bei Dunkelheit oder Stromausfall eine ausreichende Beleuchtung von Verkehrs- und Fluchtwegen zu gewährleisten.

TRVB E 102 / ÖVE - EN2

Notbeleuchtungen sind laufend auf ihre ordnungsgemäße Funktion zu überprüfen. Sie haben in Betrieben, abhängig von deren Größe und Nutzung, zwei unterschiedliche Anforderungen zu erfüllen. Es ist zwischen „Sicherheitsbeleuchtung“ und „Fluchtweg-Orientierungs-beleuchtung“ zu unterscheiden.

Sicherheitsbeleuchtung

ist nötig, wenn in Gebäuden mit größeren Menschenansammlungen oder in großflächigen Betriebsräumen beim Ausfall der normalen Beleuchtung, durch mangelnde Sicht Panik ausbrechen könnte. Für diese betrieblichen Anlagen ist eine ausreichende Beleuchtung der Rettungswege durch eine „Sicherheitsbeleuchtung“ gefordert. Diese Forderung ist u.a. in Ausstellungsstätten, Geschäftshäusern, größeren Beherbergungsbetrieben, Großgaragen, Hochhäusern und Versammlungsstätten zu erfüllen.

Fluchtweg-Orientierungsbeleuchtung

muss im Brandfall und bei Stromausfall Fluchtwege in betrieblichen Anlagen so ausreichend beleuchten, dass Flüchtende sicher ins Freie finden können. Sie besteht aus netzunabhängigen Orientierungsleuchten, die auch als Leuchten mit genormten Rettungszeichen ausgeführt sein können.“^[50]

Verbotszeichen

rund, schwarzes Piktogramm, weißer Grund, roter Rand
(z.B. Rauchen verboten, Löschen mit Wasser verboten)

Abbildung in dieser Leseprobe nicht enthalten

Warnzeichen

dreieckig, schwarzes Piktogramm, gelber Grund, schwarzer Rand
(z.B. feuergefährliche Stoffe, radioaktive Stoffe)

Abbildung in dieser Leseprobe nicht enthalten

Gebotszeichen

weißes Piktogramm, blauer Grund,
(z.B. Rauchen erlaubt, Schutzhandschuhe tragen)

Rettungszeichen

rechteckig oder quadratisch, weißes Piktogramm, grüner Grund
(z.B. Rettungsweg-Notausgang, Rettungsweg-Richtungsanzeige)

Material zur Brandbekämpfung

rechteckig oder quadratisch, weißes Piktogramm, roter Grund

(z.B. Feuerlöschgerät, Feuerwehrschlauch bzw. Wandhydrant)

Abbildung in dieser Leseprobe nicht enthalten

Brandschutzeinrichtungen

die in der Kennzeichnungsverordnung nicht enthalten sind,
werden weiterhin nach der ÖNORM F 2030 gekennzeichnet Abbildung 7: Piktogramme ^[51] (z.B. Brandschutztür, Steigleitung).^[52]

3.1.5. Produktionsausfall, Betriebsunterbrechung und technische Defekte

Eine Betriebsunterbrechung oder ein Produktionsausfall gehört zu den schlimmsten Szenarien eines Unternehmens.

Abhängig von den möglichen Risiken, der Wahrscheinlichkeit des Eintreffens und des Ausfalls von Maschinen, Anlagen und Anlagenteilen, der Bewertung der Auswirkungen und der – im Eintrittsfall – zu ergreifenden Maßnahmen kann die Dauer, die Auswirkung und der Schaden minimiert werden.

Dafür sind insbesonders Maßnahmen gegen

- Gebäude oder Räumlichkeiten durch z.B. Rohrbruch, geplatzten Sprinklerkopf, Austritt der Kühlflüssigkeit der Klimaanlage, Überspannung, Beschädigung, Abwasser, Feuchtigkeit Software-Fehler, technischer Defekt durch Überlastung des Stromnetzes, der unterbrechungslosen Stromversorgung, Funktion des Notstromdiesels, der Netzersatzanlage sowie der Ausfall des Zutrittskontrollsystems, Defekte durch Vibrationen und Beschädigung, …

untergliedern?)

- Beschädigung oder Verlust von z.B. EDV-Equipment, Dokumente, Verträge, Unterlagen, Dokumentationen, Dateien, …
- menschliche Fehlbedienung durch Wartungsfehler, …^[53]
- Elementarereignisse durch Überflutung der Gebäude oder Räumlichkeiten durch angrenzenden Fluss oder See, durch Grundwasser, Staub oder Rauch, Sturm, Erdbeben, Blitzschlag, …
- Ausfall der Versorgungsmedien wie Strom, Gas, Wasser, Telefon und Datenleitungen oder der Raum-Infrastruktur durch Heizung, Klima, Kälte - speziell zur Kühlung der EDV-Anlagen - oder der gesamten Haustechnik, …
- Brand oder Explosion, Blockade des Gebäudezutritts durch Streik, Demonstration oder höhere Gewalt, …

vorzusehen.

Sichere Anlagen schützen nicht nur Leben und Gesundheit von Menschen, sondern auch wertvolle betriebliche Ressourcen.

Gefahren gehen meist von Anlagen im Objekt aus und sind auf deren Zustand zurückzuführen. Regelmäßige Wartung an den Anlagen minimiert deutlich das Risiko von technischen Gebrechen.^[54]

Besonders elektrische Anlagen und Betriebsmittel müssen sich stets in einem sicheren Zustand befinden und Mängel müssen unverzüglich behoben werden.

Elektrische Anlagen und deren Sicherheitseinrichtungen sind durch ein darauf spezialisiertes, konzessioniertes Elektrounternehmen zu befunden.

Dieses ,Pickerl‘ für elektrische Anlagen ist in Zeiträumen von einem Jahr für Räume, die dem Veranstaltungsgesetz unterliegen, und bis 10 Jahren für Banken und Versicherungen fällig.

Der Prüfintervall wird in der Betriebsanlagenbewilligung vorgeschrieben und beträgt meistens zwei Jahre.^[55]

Zusätzlich ist durch den Betreiber der technischen Anlage ein zumindest halbjährlicher Funktionstest der Fehlerstromschutzschalter durch Drücken der Prüftaste vorzunehmen.

Wie am Beispiel der Elektroanlage angeführt, ist das Aufrechterhalten eines betriebsbereiten und einwandfreien Zustands sinngemäß bei allen technischen Anlagen, begonnen bei den Heizungs- und Warmwasseraufbereitungsanlagen, Kälte- und Klimageräten, Fluchtwegs- und Notbeleuchtungen bis hin zu den Aufzügen, anzuwenden. Dies kann am besten durch regelmäßige und vorbeugende Wartung und Instandhaltung durch geeignete, facheinschlägige Fachfirmen gewährleistet werden.

Ist die unbedingte Aufrechterhaltung des Betriebes, wie z.B. in Rechenzentren, zu gewährleisten, müssen wesentliche Energieversorgungen und Anlagen redundant aufgebaut werden.

Periodische vorbeugende Wartung, Inspektion und periodische Funktionstests sind zusätzlich auch im ArbeitnehmerInnenschutzgesetz, in der Arbeitsstätten- oder Arbeitsmittel-Verordnung vorgeschrieben.
Besonders zu berücksichtigen sind, zusätzlich zu den direkten Schäden:

Folgeschäden: Störung des betrieblichen Ablaufes, Verlust von Kunden, Imageverlust in der Öffentlichkeit und bei Behörden, …

Arbeitszeitverlust: Zeitverlust zum Zeitpunkt des Vorfalls, Rettungsmaßnahmen, Schadensbegrenzung, Aufräumarbeiten, Vorfallsuntersuchung, ...

Sachschäden: wie z.B. Aufwand für Notversorgung bzw. Notausrüstung, Schäden an Ausrüstung und Anlagen, …

Allgemeine Verluste: zeitweiliger oder längerfristiger Ausfall von Anlagen / Produktionsausfall oder Rechtskosten; Haftpflichtansprüche, …

Spezielle Gefahren aus dem Betrieb / der Produktion sind nicht Thema dieser Arbeit, da die Risiken daraus zu spezifisch sind. Eine Minimierung dieser Risiken ist Teil des Kerngeschäftes und kann daher nur durch das jeweilige Unternehmen bewertet werden.^[56]

3.2. Interne Sicherheitsrisiken

In diesem Themenblock wird speziell von einer Bedrohung durch eigene Mitarbeiter und/oder durch den erweiterten Mitarbeiterkreis, wie Leihpersonal, ausgelagerte Dienstleistungen, Kooperations- und Vertragspartner, Reinigungs- und Bewachungspersonal, … ausgegangen.

Eine spezielle Stellung nimmt dabei das Reinigungspersonal ein, welches oftmals, um die Reinigungstätigkeiten in den Chefbüros und Technikräumen durchführen zu können, dieselben Sperr- und Zutrittsberechtigungen hat wie die Unternehmensleitung.

3.2.1. Diebstahl

Als Diebstahl wird die vorsätzliche Wegnahme einer in fremdem Eigentum stehenden Sache in der Absicht, sie sich rechtswidrig anzueignen, bezeichnet. Dabei wird in Einbruchsdiebstahl, Nachschlüsseldiebstahl, Diebstahl unter Ausnutzung von Unglücksfällen, schweren Diebstahl mit Waffen, Bandendiebstahl oder gewerbsmäßigen Diebstahl unterschieden.^[57]

Nach einer aktuellen Umfrage der Wirtschaftskammer Österreich fühlen sich rund 80% der österreichischen Unternehmen ,sehr sicher‘ bzw. ,sicher‘. Rund ein Fünftel der Mitgliedsunternehmen, darunter besonders jene, die bereits Opfer einer kriminellen Handlung geworden sind, fühlen sich aber ,weniger´ bzw. ,nicht sicher´.

Nach Ansicht der Unternehmen sind die Bedrohungsszenarien vor allem Einbruch und Diebstahl. Auch im Bereich IT-Sicherheit (z.B. Datensicherheit, Viren, Phishing^[58] ) und im Bereich der Wirtschaftskriminalität (z.B. Betrug, Sabotage und Produktpiraterie) fühlt sich rund ein Viertel der Befragten unsicher.^[59]

Präventiv kann einem Diebstahl durch bauliche Maßnahmen beim Empfang, Alarmanlagen, Videoüberwachung, Zutrittskontrollanlagen, Empfangsdienst, Bewachungsunternehmen und/oder Revierstreifendienste vorgebeugt werden.^[60]

Eine fließende Grenze - abhängig von der Toleranz des jeweiligen Unternehmens - entsteht, wenn Mitarbeiter das Firmeneigentum oder die Unternehmensinfrastruktur wie EDV für private Zwecke oder das Telefon für teuere Auslandstelefonate unzulässig nutzen.

Dazu gehört auch die unerlaubte Privatnutzung von Firmenfahrzeugen oder das signifikante Ansteigen des Bedarfs an Arbeitsmittel. wie Bleistifte und Schreibblöcke, kurz vor Schulbeginn.^[61]

Eine gute Zusammenfassung zu dieser Thematik ist in der Empfehlung der Kriminalprävention zu finden:

- „Vergewissern Sie sich beim Weggehen, ob Ihr Schloss versperrt ist. Die besten Sicherungsmaßnahmen würden ansonst nutzlos sein.
- Hochwertige Schlösser und Schließzylinder erhöhen Ihre Sicherheit. Aber auch nur dann, wenn sie fachgerecht montiert sind.
- Hervorstehende Schließzylinder stellen ein Gefahrenpotenzial da. Empfehlenswert sind Schließzylinder mit Aufbohr- und Kernziehschutz,
- Optimalen Schutz bieten einbruchshemmende Türen und Fenster. Die Kriminalprävention empfiehlt bei Gewerbeobjekten Ö-Norm B 5338 geprüfte Sicherheitstüren ab Widerstandsklasse (WK) 4.
- Bei der Planung eines Sicherheitskonzeptes sollten die mechanischen Sicherungen an erster Stelle stehen. Eine Alarmanlage ist die optimale Ergänzung zu mechanischen Sicherungen. Es erfolgt eine Alarmauslösung beim Einbruch oder Einbruchsversuch.“^[62]

3.2.2. Manipulation

Unter Manipulation wird die gezielte Beeinflussung, die auf eine Steuerung des Verhaltens und Erlebens von Einzelnen und Gruppen zielen und diesen verborgen bleiben sollen, verstanden.^[63]

Das sind insbesonders Verfälschungen von Daten, Täuschung durch Vorspiegelung einer falschen Identität durch Fälschen einer Unterschrift oder eines Dokuments, Vortäuschung einer falschen Benutzeridentität …

Die Medien informieren nahezu täglich von erfolgten Manipulationen in bekannten internationalen Unternehmen und Organisationen.

Auszugsweise ein paar Schlagzeilen:

,Der japanische Konzern Sony hat 77 Millionen Kundendaten an Hacker verloren.‘
,Persönliche Daten hunderttausender Bewerber der UNESCO waren über Internet einsehbar.‘
,Das britische Verteidigungsministerium verlor Daten von über 100.000 Angestellten und 600.000 Bewerbern.‘
,Dem Finanzdienstleister AWD wurden 27.000 Kundendaten entwendet, davor betraf es Millionen Kunden der Deutschen Telekom.‘^[64]

„In Österreich wurde Conficker erst bekannt, als die Kärntner Landesregierung am 8. Jänner 2009 mit diesem Problem an die Öffentlichkeit trat. Der Wurm legte ca. 3.000 Arbeitsplatzrechner lahm und sorgte dafür, dass Ämter tagelang offline waren. Auch ein Kärntner Spital wurde mit diesem Virus infiziert. Schlagzeilen wie ,Krankenversorgung ohne EDV´ verschafften dem Virus innerhalb kürzester Zeit auch in Österreich Berühmtheit.“

Abbildung 8: Ausbreitungsgeschwindigkeit einer Infektion von Computersystemen

Abbildung in dieser Leseprobe nicht enthalten ^[65]

Diese Beispiele zeigen auf, dass auch von großen Unternehmen und Institutionen diesen Angriffen gegenüber nicht immer ein wirksamer Schutz gewährleistet werden kann.

„Um Unternehmen vor Angriffen aus dem Cyberspace zu schützen, ist es wichtig, die notwendigen technischen Voraussetzungen dafür zu schaffen und optimal einzusetzen. Gleichzeitig muss aber auch das Bewusstsein der Mitarbeiter für Gefahrenquellen geschärft werden. […]. Dazu zählen geschenkte USB-Sticks, Anrufer, die vorgeben aus der IT-Abteilung zu sein und sich nach Passwörtern erkundigen, Anfragen von angeblichen Mitarbeitern von Strom- oder Telekomanbietern etc.“^[66]

Ein besonders sensibler Umgang mit Mitarbeiter- und Kundendaten ist deshalb auch im KMU-Bereich jederzeit sicherzustellen.

3.2.3. Missbrauch von Daten, Information und Funktion

Unter Missbrauch wird die Ausübung einer Befugnis, die deren eigentlichem Inhalt oder Sinn zuwiderläuft oder eine Ausübung nur zu dem Zweck, einem anderen zu schaden, verstanden.^[67]

Dazu gehört speziell die unzulässige Informationsgewinnung über z.B. Betriebsgeheimnisse, personenbezogene Daten über Kunden, Mitarbeiter…

Firmeninterne Melde- und Warnsysteme gewinnen für Unternehmen aus diesem Grund zunehmend an Bedeutung.

So genannte ,Whistleblowing-Hotlines‘ sind Meldesysteme, über die Mitarbeiter ein nicht regelkonformes Verhalten eines Vorgesetzten oder Kollegen melden können.

Dabei legt die Firmenleitung Regeln fest, auf welchem Weg solche Mitteilungen zu erfolgen haben, und verpflichtet ihre Beschäftigten dazu, bestimmte Verhaltensweisen oder Sachverhalte zu melden.

Damit sollen rasch Verhaltensweisen, die sich gegen das Unternehmensinteresse richten, also z.B. einen Straftatbestand wie Korruption und Unterschlagung erfüllen, aufgedeckt und als Abschreckung künftig verhindert werden.

Mit der Meldung von Verstößen gegen Verhaltenspflichten in automatisiertem Verfahren gehen die Erhebung, Übermittlung und Speicherung von personenbezogenen Daten einher.

Daher sind solche Systeme eine Gratwanderung, da die Gefahr eines Missbrauchs durch Denunziantentum, Verleumdung oder Falschmeldung, insbesonders wenn auch das anonyme Melden zugelassen wird, sehr hoch ist. In so einem System können sich die durch anonyme Hinweise gemeldeten Personen gegen eine etwaige Verleumdung nicht wehren.^[68]

3.3. Externe Sicherheitsrisiken

Als externe Sicherheitsrisiken werden Bedrohungen von außen, wie Einbruch, Vandalismus, Elementarereignisse... verstanden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 9: Umfrage über Angst vor Verbrechen an österreichische KMUs^[69]

Die Statistik zeigt, dass sich der überwiegende Teil österreichischer Unternehmen nach wie vor sicher und sich auch mehrheitlich gegen wirtschaftliche Angriffe geschützt fühlt.

Speziell wegen der geringen Eintrittswahrscheinlichkeit und der empfundenen ,harmlosen Seltenheit‘ ^[70] sind Maßnahmen gegen Bedrohungen von außen dennoch empfehlenswert.

Auch deshalb wurde die Kooperation ,Unternehmen Sicherheit‘ im Jänner 2010 zwischen den Wirtschaftskammern Österreichs (WKO) und dem Bundesministerium für Inneres (BMI) beschlossen. Ziel ist es, die bereits vorhandene Zusammenarbeit mit der Polizei bundesweit zu intensivieren und Informationen im Bereich der Kriminalpräventionsarbeit an die Mitgliedsunternehmen zu transportieren.

3.3.1. Einbruch

Speziell bei der Beurteilung des Einbruchsrisikos ist auf den örtlichen Standort zu achten!

Liegt der Standort in einem dicht besiedelten Gebiet oder sind Wohnbauten in der Nähe, werden Täter eher abgeschreckt.

Im Gegensatz dazu wird ein Einbruchsalarm in einem reinen Gewerbegebiet am Wochenende nicht gehört.^[71]

Bei allen Maßnahmen ist zu bedenken, dass ein Betrieb nur 30% der Jahreszeit besetzt ist.
Die restliche Zeit, die so genannte Außerbetriebszeit, am Abend, in der Nacht, an den Wochenenden, beginnend ab Freitag Mittag und an Feiertagen, ist das Betriebsobjekt durch Personen verlassen und somit ungeschützt.^[72]

In einer Studie im Auftrag der Wirtschaftskammer Österreich wird das Sicherheitsgefühl der Österreicher widergespiegelt, wobei sich die Firmen zu einem Großteil sicher (50%) oder sehr sicher (30%) fühlen.

Abbildung in dieser Leseprobe nicht enthalten^[73]

Auch bei den unterschiedlichen Bedrohungsszenarien ist mehrheitlich das Gefühl der Sicherheit gegeben. Einzig bei Einbruch und Diebstahl fühlen sich 37 % weniger bis gar nicht sicher.

Abbildung 11: Umfrage zu Bedrohungsszenarien

Abbildung in dieser Leseprobe nicht enthalten^[74]

Trotz diesem ,sicheren‘ Gefühl planen 69% der Unternehmen technische Maßnahmen, wie Alarmanlagen, und 51% bauliche Maßnahmen, wie Sicherheitstüren, umzusetzen.

Abbildung 12: geplante technische und bauliche Maßnahmen

Abbildung in dieser Leseprobe nicht enthalten^[75]

Um Risiko zu minimieren, wird jedes Sicherheitssystem in folgende Bereiche gegliedert

Prävention: zur Vorbeugung gegen mögliche Schäden

Detektion: zum rechtzeitigen Entdecken möglicher Schäden und Gefahren

Reaktion: um adäquate Abwehrmaßnahmen einzuleiten

Restauration: um das Schadensausmaß zu reduzieren und den ursprünglichen Zustand
wieder herzustellen

und unter nachstehenden Prämissen umgesetzt

Sicherheit muss präventiv sein

Sicherheit muss angemessen sein

Sicherheit muss praktikabel sein

Sicherheit muss akzeptiert werden.^[76]

[...]

---

^[1] Scheel, in Klipper, 2011, S. VII

^[2] Vgl. Risiko in http://www.wissen.de/wde/generator/wissen/ressorts/gesundheit/medizin/index,page=1226282.html, 12.05.2011,
18:40 Uhr

^[3] Klipper, 2011, S. VIII

^[4] Müller, 2005, S. 2

^[5] Müller, 2005, S. XII

^[6] Jenks, http://webdoc.gwdg.de/edoc/p/fundus/2/jenks2.pdf, 17.05.2011, 20:49 Uhr

^[7] Müller, 2005, S. 84

^[8] Müller, 2005, S. 37

^[9] Zoratti, 2011, S 3

^[10] Bachler in Zoratti, 2011, S 3

^[11] Vgl. Trakall (2006) Masterthesis Entscheidungen zu Sicherheitsfragen in österreichischen Betrieben, S. 16

^[12] Vgl. http://www.umweltdatenbank.de/lexikon/sicherheit.htm, 19.04.2011, 18:51 Uhr

^[13] Vgl. http://wortschatz.uni-leipzig.de/abfrage/ 18.04.2011, 12:25 Uhr

^[14] Vgl http://www.wissen.de/wde/generator/wissen/ressorts/bildung/index,page=1240898.html, 18.04.2011, 12:28 Uhr

^[15] Quelle: Maslow in Zoratti, 2011, S. 2

^[16] Vgl. Duden, S. 493

^[17] Vgl. http://de.pons.eu/dict/search/results/?q=Management&in=de&kbd=de&l=dede, 19.04.2011, 21:11 Uhr

^[18] http://www.umweltdatenbank.de/lexikon/management.htm, 19.04.2011, 18:54 Uhr

^[19] http://www.informationsmanagement-buch.org/aktuelle-auflage/lerneinheiten/263.html, 17.04.2011, 17:59 Uhr

^[20] http://www.industrie-lexikon.de/cms/lexikon/lexikon-s/sicherheitsmanagementsystem.html, 19.04.2011, 18:48 Uhr

^[21] Vgl. Zoratti, 2011, S. 7

^[22] Quelle: http://www.austrian-standards.at/kmu/kmu-facts/ 17.04.2011, 15:48 Uhr

^[23] Vgl. Kranvogel, 2000, S. 9

^[24] Quelle: Ingersoll-Rand, Interflex, 2010, S. 2

^[25] Vgl. Müller, 2005, S. 50f

^[26] Vgl. http://www.ulm.ihk24.de/linkableblob/691850/data/Checkliste_-_Risikomanagement_in_KMU-Unternehmen-data.pdf,
19.05.2011, 10:10 Uhr

^[27] Schmid in Fischer, S. 1

^[28] http://www.sicherheit.info/SI/cms.nsf/si.ArticlesByDocID/1117639?Open&Channel=SI-WI-SK&SessionID=3985442-220129, 20.04.2011, 22:02 Uhr

^[29] Vgl. Müller, 2005, S. 34

^[30] http://www.brandschutzjahrbuch.at/2007/2007_Beitraege/140_Heissarbeiten.pdf, S. 140, 10.05.2011. 22:42 Uhr

^[31] Vgl. http://portal.wko.at/wk/format_detail.wk?angid=1&stid=529725&dstid=8859&opennavid=50239, 16.05.2011, 12:54 Uhr

^[32] Vgl. http://www.wissen.de/wde/generator/wissen/ressorts/geschichte/zeitgeschehen/index,page=1245516.html, 11.05.2011,20:04 Uhr

^[33] http://www.sicherheit.info/SI/cms.nsf/si.ArticlesByDocID/1114661?Open&SessionID=3985442-220129, 20.04.2011, 22:16 Uhr

^[34] Vgl. Prenger, 2011, Seite 52

^[35] http://www.sicherheit.info/SI/cms.nsf/si.ArticlesByDocID/1111209?Open&SessionID=3985442-220129, 20.04.2011, 22:38 Uhr

^[36] Quelle: ebd.

^[37] Vgl. http://www.sicherheit.info/SI/cms.nsf/si.ArticlesByDocID/1103551?Open&SessionID=3985442-220129, 20.04.2011, 23:03 Uhr

^[38] Vgl. http://www.sicherheit.info/SI/cms.nsf/si.ArticlesByDocID/1103551?Open&SessionID=3985442-220129, 20.04.2011, 23:03 Uhr

^[39] Vgl. http://www.sicherheit.info/SI/cms.nsf/si.ArticlesByDocID/2102344?Open&SessionID=3985442-220129, 20.04.201, 23:05 Uhr

^[40] Vgl. http://www.wissen.de/wde/generator/wissen/ressorts/geschichte/zeitgeschehen/index,page=1246692.html, 11.05.2011, 20:01 Uhr

^[41] Vgl. http://www.wirtschaft.ch/Jede+fuenfte+Firma+Opfer+von+Insider+Sabotage/402589/detail.htm, 16. 05.2011, 12:40 Uhr

^[42] Vgl. Jank, 2009, S. 3,

^[43] Verhaltensgrundsätze der Babak Bostelmann-Gruppe, 2011, S. 3

^[44] http://www.feuerwehr-plochingen.de/Home/Lehrerunterweisung.pdf, 19.04.2011, 21:26 Uhr

^[45] Quelle: Brandschutzratgeber, 2005 S. 7

^[46] Vgl. Müller, 2008, S. 252

^[47] Vgl. http://www.arbeitsinspektion.gv.at/AI/Arbeitsstaetten/Brandschutz/brandschutz010.htm, 22.04.2011, 14:56 Uhr

^[48] Vgl. http://www.brandschutzjahrbuch.at/2007/2007_Beitraege/140_Heissarbeiten.pdf, S. 144, 10.05.2011. 22:44 Uhr

^[49] In Anlehnung an: http://www.google.at/url?sa=t&source=web&cd=6&ved=0CDkQFjAF&url=http%3A%2F%2F www.seco.admin.ch%2Fdokumentation%2Fpublikation%2F00009%2F00027%2F01832%2Findex.html%3Flang%3Dde%26 download%3DNHzLpZeg7t%2Clnp6I0NTU042l2Z6ln1acy4Zn4Z2qZpnO2Yuq2Z6gpJCDdn9%2CgGym 162epYbg2c_JjKbNoKSn6A--&rct=j&q=verhalten%20bei%20bombendrohung&ei=_1_mTZwbxYP7BsG7jeUO&usg= AFQjCNE96eL31nVdR1EGTPPOkdDikiYk1w, 01.06.2011,18:18 Uhr

^[50] Betriebsbrandschutz, S. 37

^[51] Quelle: Betriebsbrandschutz, S. 38

^[52] ebd.

^[53] Vgl. Müller, 2005, S. 145f

^[54] Vgl. Lagler in Facility Aktuell, 2011, S. 12

^[55] Vgl. http://www.arbeitsinspektion.gv.at/AI/Arbeitsstaetten/elektrischeAnlagen/default.htm, 22.04.2011, 15:00 Uhr

^[56] der Verfasser

^[57] Vgl. http://www.wissen.de/wde/generator/wissen/ressorts/geschichte/zeitgeschehen/index,page=1083682.html, 11.05.2011, 20:06 Uhr

^[58] Wortschöpfung Phishing, das sich aus Passwort und Fishing, aus http://www.itwissen.info/definition/lexikon/Phishing- phishing.html, 17.04.2011, 21:08 Uhr

^[59] Vgl. http://portal.wko.at/wk/format_detail.wk?angid=1&stid=523259&dstid=8859&opennavid=0, 16.05.2011, 12:56 Uhr

^[60] Vgl. Lagler in Facility Aktuell, 2011, S. 12.

^[61] Der Verfasser

^[62] Broschüre Polizei und WKÖ

^[63] Vgl. http://www.wissen.de/wde/generator/wissen/ressorts/geschichte/index,page=1185032.html, 11.05.2011, 21:11 Uhr

^[64] Vgl. Kurier, 29. April 2011, S.23

^[65] Quelle: Sicherheitsbericht 2010, 2010, S. 18

^[66] Sicherheitsbericht 2010, 2010, S. 20

^[67] Vgl. http://www.werte-aus.wissen.de/wde/generator/wissen/ressorts/bildung/index,page=1222520.html, 16.07.2011, 14:04 Uhr

^[68] Vgl. http://www.datenschutz-bremen.de/tipps/warn.php, 07.06.2011, 21:24 Uhr

^[69] Quelle: http://www.die-wirtschaft.at/ireds-111854.html, 26.04.2011, 16:30 Uhr

^[70] Vgl. Sitt, 1998, S. 18

^[71] Vgl. Lagler, 2011, S. 12.

^[72] Der Verfasser

^[73] Quelle: Pfarrhofer, 2009, S. 4f und 12

^[74] Quelle: Pfarrhofer, 2009, S. 4f und 12

^[75] ebd.

^[76] Vgl. Zoratti, 2011, S 5f