Security-Handbuch

Hintergrund

Gesetzliche Vorgaben wie KonTraG, Basel II, Solvency II oder MaRisk verlangen nach ganzheitlichen Risikomanagementsystemen. Trotz der hohen Bedeutung und der Haftungsrisiken weist die Sicherheits- bzw. Risikosituation in Unternehmen Defizite auf.

 

Problemstellung

Obwohl die meisten Unternehmen den gesetzlichen Vorgaben entsprechend Risikomanagementsysteme eingeführt haben, so konzentrieren diese sich auf betriebwirtschaftliche Risiken. Kriminelle Gefahren werden gar nicht oder falls wenn, dann nur punktuell betrachtet. In der Regel ist die IT-Abteilung für die Informationssicherheit, die Personalabteilung für Probleme mit den Angestellten und das Facility Management/Werkschutz für die Objektsicherheit verantwortlich. Eine ganzheitliche Strategie und somit Organisation existiert nicht. Und falls doch, dann ist sie in der Regel informell und hat sich im Laufe der Zeit herauskristallisiert.

Durch diese Konstellation entstehen die folgenden Problemstellungen:

  1. Es existiert in der Regel keine ganzheitliche Beschreibung der Sicherheitsorganisation und des Risikomanagements in schriftlicher Form. Die informelle Organisation reicht als Beweis für ein existierendes Risikomanagementsystem nicht aus.
  2. Durch das Fehlen einer ganzheitlichen Beschreibung kann es zu unkoordinierten Einzelaktionen der jeweiligen Abteilungen oder Verantwortlichen kommen. Dadurch können Situationen entstehen wo verschiedene Personen oder Abteilungen die Führung für sich beanspruchen oder im umgekehrten Fall, sich niemand für zuständig hält.
  3. Es fehlen unternehmensweite Richtlinien und Verhaltensweisen für Mitarbeiter, Abteilungen und Verantwortliche. Diese Unsicherheit birgt die Gefahr, dass Fehler unnötig begangen werden.

 

Lösung

Die Deutsche Risikoberatung schlägt die Ausarbeitung eines prozessorientierten Security-Handbuches vor. Der Zweck des Security-Handbuches ist die Abbildung der Organisation und der Verfahren zur Abwehr krimineller Risiken, sowie die Regelung der Zusammenarbeit mit den anderen Abteilungen und Bevollmächtigten. Dabei soll kein „theoretisches Monsters“ geschaffen werden, sondern vielmehr ein verständliches und nachvollziehbares und somit praktikables Nachschlagewerk, das leicht anwendbar ist.

Wir verstehen das Security-Handbuch als Teil eines Management Circle, mit dessen Hilfe der wirtschaftliche Erfolg nachhaltig gesichert werden soll.

 

Vorgehensweise

Die genaue Vorgehensweise bei der Ausarbeitung eines Security-Handbuches kann hier nur im groben dargestellt werden, da jedes Handbuch ein Unikat ist und sich an den jeweiligen Bedürfnissen des Unternehmens orientiert. Prinzipiell gehen wir in 5 Schritten vor:

  1. Persönliches Gespräch: In diesen Gesprächen versuchen wir die Wünsche und Anforderungen der beteiligten Personen und Abteilungen an das Handbuch herauszufiltern.
  2. Dokumentenanalyse: In der Regel existieren schon Richt- bzw. Leitfaden oder Anweisungen zu unterschiedlichen Themen. Durch eine sorgfältige Recherche und Auswertung – bei Bedarf auch Einzelinterviews mit Mitarbeitern – erstellen wir ein Lagebild der vorhandenen Sicherheitssituation.
  3. Verdichtung der Informationen: Die Informationen, die mit Hilfe der persönlichen Gespräche, der Dokumentenanalyse bzw. Einzelinterviews gesammelt wurden, werden in ein unternehmensweites Gerüst eingeordnet.
  4. Ausarbeitung einer ganzheitlichen Sicherheitsstruktur: So wie ein Architekt entwickeln wir ein einheitliches Grundgerüst. Dabei werden die vorhandenen Richt- und Leitfaden eingepasst bzw. wenn noch keine existieren neu ausgearbeitet.
  5. Anpassung:  In der Anpassungsphase gehen wir gezielt auf spezielle Probleme und Risiken ein wie Informationsschutz, Standort/Transportsicherheit oder Personen- und Veranstaltungsschutz. Welche Thematik und wie konkret sie beschrieben werden soll entscheidet jedes Unternehmen individuell.