Wirtschaftsschutz in der Praxis: Positionen zur Unternehmenssicherheit und Kriminalprävention in der Wirtschaft [1. Aufl. 2019] 978-3-658-24636-5, 978-3-658-24637-2

Dieser Sammelband gibt einen Überblick über die Herausforderungen für Organisationen im Wirtschaftsschutz im Alltag und

1,547 77 4MB

German Pages XVI, 338 [345] Year 2019

Report DMCA / Copyright

DOWNLOAD FILE

Polecaj historie

Wirtschaftsschutz in der Praxis: Positionen zur Unternehmenssicherheit und Kriminalprävention in der Wirtschaft [1. Aufl. 2019]
 978-3-658-24636-5, 978-3-658-24637-2

Table of contents :
Front Matter ....Pages I-XVI
Front Matter ....Pages 1-1
Wirtschaftsspionage in Nordrhein-Westfalen (Burkhard Freier)....Pages 3-16
Sicherheitsarchitektur im Wandel: Der Beitrag der privaten Sicherheitsdienste für den Schutz der deutschen Wirtschaft (Harald Olschok)....Pages 17-40
Sicherheit ist das Fundament für Vertrauen in die Digitalisierung von Wirtschaft und Gesellschaft (Volker Wagner)....Pages 41-63
Internationales Sicherheitsmanagement – Die Notwendigkeit neuer Allianzen (Gabriele Jacobs, Dominique Lapprand)....Pages 65-84
Front Matter ....Pages 85-85
Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer Widerspruch oder zwei Seiten einer Medaille? Für ein neues Zusammenspiel von Staat, Wirtschaft und Gesellschaft (Florian Lindemann)....Pages 87-113
Zukunft und Sicherheit (Uwe Gerstenberg)....Pages 115-142
Digitaler Wandel und Corporate Security, oder: Wieso ein CSO Technologiescout sein sollte, um erfolgreich zu sein (Jan Wolter)....Pages 143-161
Front Matter ....Pages 163-163
Krisenmanagement 4.0 Die neue Herausforderung für die Wirtschaft (Dieter Zeller)....Pages 165-172
Strukturierte Risiko-Management-Systeme für kleine und mittelgroße Unternehmen (Trygve Ben Holland, Sarah Holland)....Pages 173-190
Krisenmanagement bei Entführungen und Erpressungen (Marc Brandner, Pascal Michel)....Pages 191-213
Front Matter ....Pages 215-215
Schutzstrategien gegen Produktpiraterie und Wirtschaftsspionage (Valentina Nieß, Janina Wortmann geb. Voogd)....Pages 217-238
Kontrolle ist gut. Vertrauen ist besser (Armin Sieber, Patrick Peters)....Pages 239-255
Wirtschaftskriminelles Verhalten von Innentätern (Dirk Fleischer)....Pages 257-282
Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch (Peter Zawilla)....Pages 283-309
Das betriebliche Sicherheitsmanagement: Perspektiven der betriebswirtschaftlichen Sicherheitsforschung (Christoph Georgi, Jürgen Harrer)....Pages 311-338

Citation preview

Sicherheit – interdisziplinäre Perspektiven

Christian Vogt · Christian Endreß Patrick Peters Hrsg.

Wirtschaftsschutz in der Praxis Positionen zur Unternehmenssicherheit und Kriminalprävention in der Wirtschaft

Sicherheit – interdisziplinäre ­Perspektiven Reihe herausgegeben von Thomas Jäger, Universität zu Köln, Köln, Deutschland Nicole Krämer, Universität Duisburg-Essen, Duisburg, Nordrhein-Westfalen, Deutschland Norbert Pohlmann, Institut für Internet-Sicherheit, Westfälische Hochschule, Gelsenkirchen, Deutschland

Sicherheit ist zu einer Signatur unserer Zeit geworden. Technische und gesellschaftliche Veränderungen transformieren dabei die Bedingungen, unter denen Sicherheit erlangt werden soll, kontinuierlich. Die Herausforderungen und Risiken liegen auf allen Gebieten der gesellschaftlichen, wirtschaftlichen und politischen Ordnung. Bedrohungen und Bedrohungswahrnehmungen haben sich in den letzten Jahren verschärft und scheinen keinen ordnungspolitischen Rahmen zu haben. Soziale, ökologische, ökonomische, innere und äußere Sicherheit, Fragen der Organisation von Sicherheitsinstitutionen, Prozesse des Normwandels und der Diskursgestaltung, unterschiedliche Ausprägungen von Kommunikation mit vielfältigen Akteuren sowie die Verzahnung verschiedenster Herausforderungen greifen ineinander über. Analysen und Darstellungen, die über einen spezifischen Fachbereich hinausreichen und verschiedene Bereiche des gesellschaftlichen Lebens einbeziehen oder unterschiedliche analytische Zugänge vereinen, finden durch die interdisziplinäre Buchreihe „Sicherheit“ den Zugang zu den Lesern unterschiedlicher Fächer.

Weitere Bände in der Reihe http://www.springer.com/series/13807

Christian Vogt · Christian Endreß · Patrick Peters (Hrsg.)

Wirtschaftsschutz in der Praxis Positionen zur Unternehmenssicherheit und Kriminalprävention in der Wirtschaft

Hrsg. Christian Vogt CLAAS KGaA mbH Harsewinkel, Deutschland

Christian Endreß Geschäftsführung, ASW NRW e. V. Düsseldorf, Deutschland

Patrick Peters Mönchengladbach, Deutschland

ISSN 2510-0963 ISSN 2510-0955  (electronic) Sicherheit – interdisziplinäre Perspektiven ISBN 978-3-658-24636-5 ISBN 978-3-658-24637-2  (eBook) https://doi.org/10.1007/978-3-658-24637-2 Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von allgemein beschreibenden Bezeichnungen, Marken, Unternehmensnamen etc. in diesem Werk bedeutet nicht, dass diese frei durch jedermann benutzt werden dürfen. Die Berechtigung zur Benutzung unterliegt, auch ohne gesonderten Hinweis hierzu, den Regeln des Markenrechts. Die Rechte des jeweiligen Zeicheninhabers sind zu beachten. Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informationen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag, noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen. Der Verlag bleibt im Hinblick auf geografische Zuordnungen und Gebietsbezeichnungen in veröffentlichten Karten und Institutionsadressen neutral. Springer ist ein Imprint der eingetragenen Gesellschaft Springer Fachmedien Wiesbaden GmbH und ist ein Teil von Springer Nature. Die Anschrift der Gesellschaft ist: Abraham-Lincoln-Str. 46, 65189 Wiesbaden, Germany

Wirtschaftsschutz in der Praxis: eine ­Einführung

Cyber-Risiken, Entführungen von Mitarbeitern sowie generell eine Verschärfung der Sicherheitslage in vielen Weltregionen, Ausspähversuche und Wirtschaftsspionage, globaler Terrorismus: In den vergangenen Jahren haben vielfältige Gefahren Gesellschaft und damit auch die Wirtschaft erreicht, die der weniger kundige Beobachter eher in Hollywood als in Berlin und Hamburg, London und Paris, Amsterdam und Mailand vermuten würde. Aber: Die Gefährdungslage wird mittlerweile immer umfassender. U ­ nternehmen werden Opfer von Cyber-Attacken oder Wirtschaftsspionage, in manchen Regionen dieser Welt sind ihre Mitarbeiter Risiken wie gezielter Entführung ausgesetzt, und durch den zunehmenden Terrorismus in Europa ist auch die Wahrscheinlichkeit gestiegen, von einem Terroranschlag betroffen zu sein. Jeden Tag werden kritische Vorfälle gemeldet, die Zahlen gehen Jahr für Jahr in Tausende, Tendenz permanent steigend. Allein in der Cyber-Kriminalität belaufen sich die Schäden für die deutsche Wirtschaft aktuell auf geschätzte 55 Mrd. EUR jährlich. Apropos Terrorismus: Bei einer Umfrage der ­Wirtschaftsprüfungsgesellschaft Deloitte unter 2000 Top-Führungskräften weltweit gaben zuletzt 36,4 % an, von allen Risiken auf das Terrorismusrisiko am schlechtesten vorbereitet zu sein. Dabei ist diese Gefahr mehr als real. Die Innere Sicherheit hat sich in der Bundesrepublik Deutschland (auch medial) zu dem bedeutsamsten Politikfeld der heutigen Zeit entwickelt. Das resultiert unter anderem aus dem ­internationalen, islamistischen Terrorismus, der mittlerweile in Europa und auch speziell in Deutschland angekommen ist. Die Sicherheitsbehörden verzeichnen seit dem Jahr 2000 bislang eine Anzahl von 71 Anschlägen und Anschlagsversuchen – davon alleine 17 in Deutschland (an zweiter Stelle nach Frankreich mit einer Anzahl von 26). Vollendet wurden 44 Anschläge. 24 % wurden von Terrorkommandos oder Terrorzellen begangen. Die oft erfolgreiche Arbeit der Behörden hat eine weit größere Anzahl verhindern können. V

VI

Wirtschaftsschutz in der Praxis: eine ­Einführung

Dabei stellt sich die Frage: Wie steht es um die Gefahrenabwehr in deutschen Unternehmen? Und was tun insbesondere kleine und mittlere Unternehmen und Konzerne gleichermaßen, um ihre Organisationen und damit die Geschäftszielerfüllung zu schützen sowie wirtschaftliche Weiterentwicklung dauerhaft bei einer umfassend reduzierten Risikoexponierung möglich zu machen? Gerade vor dem Hintergrund der Digitalisierung ist dies eine höchst relevante Fragestellung. Die deutsche Wirtschaft befindet sich mitten im Prozess der digitalen Transformation. Für den Mittelstand stellt dies teilweise eine enorme Herausforderung dar. Die Bedrohungslage hat sich trotz großer Anstrengungen seitens der Wirtschaft, der Wissenschaft und des Staates verschärft: Abwehrmaßnahmen und die Sicherheitsinformationstechnologie haben nicht Schritt gehalten mit der hohen Varianz von Cyberangriffen. Für Kriminelle wie für fremde Nachrichtendienste sind Cyberangriffe über das Internet hochattraktiv, da eine Vielzahl von Schwachstellen in Softwareprodukten permanent neue Ansatzpunkte für die Entwicklung von Schadprogrammen liefern. Dabei ist Cybersicherheit ein entscheidender Erfolgsfaktor, da nur ein notwendiges Maß an Sicherheit für Anwender und Kunden notwendiges ­Vertrauen in Digitalisierung schafft. Kurzum: Die globalen Bedrohungslagen sind allgegenwärtig und können jeden treffen – und das täglich. Da ist der Mittelständler, der auf einer Messe eine nahezu perfekte Kopie seines wichtigsten Produkts am Stand eines internationalen Wettbewerbers findet. Da ist der Konzern, der Mitarbeiter in eine Krisenregion entsendet, die dann Opfer von Bedrohungen oder Entführungen werden. Jüngste Angriffe auf IT-Netzwerke zeigen eine Vielzahl an Szenarien mit ­Auswirkungen auf die Verfügbarkeit von zentralen Infrastrukturen und lebensnotwendigen Leistungen (Gesundheitsvorsorge, Kommunikation, Zahlungsmittel, Lebensmittel, Wasser usw.) auf. Der vorliegende Band Wirtschaftsschutz in der Praxis befasst sich aus verschiedenen Blickwinkeln mit dem immer akuter werdenden Aspekt des ­ Wirtschaftsschutzes. Die Publikation richtet sich vorrangig an die mittelständische Wirtschaft, aber zugleich auch an die öffentliche Hand, politische Akteure, ­Berater, Wissenschaftler, Studierende, Journalisten und gemeinnützige Organisationen, die – auch aus internationaler Perspektive – mit Sicherheit befasst sind. Ansatz ist es, mit Wirtschaftsschutz in der Praxis eine Grundlagensammlung zum großen Komplex „Wirtschaftsschutz“ aus diversifizierten Perspektiven heraus zu erreichen. Der Band soll praxisnahe Einblicke geben, aber auch als Benchmark für die künftige Beschäftigung mit dem Thema dienen. Das Konzept des „Wirtschaftsschutzes“ prägt den gesamten Gedanken und zieht sich als roter Faden durch die Beiträge, die aus der Feder renommierter Experten der jeweiligen Fachbereiche stammen. Doch was ist „Wirtschaftsschutz“

Wirtschaftsschutz in der Praxis: eine E­ inführung

VII

eigentlich? Zwar wird der Begriff in Fachdiskussionen und einschlägigen Veröffentlichungen seit langem genutzt, und auch viele Unternehmen, Fachleute der öffentlichen Hand und die Sicherheitsbehörden wissen um dessen Bedeutung. Allein, eine allgemeingültige Definition existiert nicht. Einen ersten Anhaltspunkt bietet die Broschüre „Einführung in den Wirtschaftsgrundschutz“ (2016) des Bundesamts für Verfassungsschutz und des Bundesamts für Sicherheit in der Informationstechnik. Unbestritten haben Wirtschaftsspionage, Sabotage und Konkurrenzausspähung durch die Globalisierung und Digitalisierung zu neuen und komplexeren Sicherheitsherausforderungen für Staat und Wirtschaft geführt. Allerdings finden diese entgegen dem medialen Echo auch im 21. Jahrhundert nicht ausschließlich unter Ausnutzung von Lücken in der IT-Infrastruktur statt. Ein umfassender Schutz muss daher nicht nur alle relevanten Unternehmenswerte berücksichtigen, sondern darauf basierend neben informationstechnischen Maßnahmen auch physische, personelle, prozessuale und organisatorische Aspekte der Sicherheit adressieren. Der Wirtschaftsgrundschutz verfolgt die Idee eines ganzheitlichen Schutzmodells und beschränkt sich dabei nicht auf den Schutz digitaler Informationen innerhalb der Informations- und Kommunikationstechnik (IKT), da diese lediglich einen Teil der zu schützenden Werte darstellen.

Und weiter heißt es: Schwerpunkt des Wirtschaftsgrundschutzes sind somit all diejenigen Maßnahmen, die den Schutz der Unversehrtheit von Leib und Leben, geistigem und physischem Eigentum, nicht auf der IKT basierenden Informationen und weiteren von der Institution definierten Werten zum Ziel haben. Durch den einheitlichen Ansatz und die vergleichbare Denkweise sollen die Grenzen zwischen IT- und non-IT-sicherheitspezifischen Themen aufgelöst und die Verantwortlichen dadurch in die Lage versetzt werden, übergreifende Sicherheitskonzepte auf Basis bewährter Verfahrensweisen zu implementieren.

Daran wollen wir uns orientieren. Wirtschaftsschutz in der Praxis bedeutet die Summe aller Maßnahmen, die Einrichtungen jedweder Art ergreifen, um Mitarbeiter und Vermögenswerte zu schützen und eine prosperierende ökonomische Entwicklung möglich zu machen. Wirtschaftsschutz ähnelt in seiner Ausprägung der aus Vermögensverwaltung und Financial Planning bekannten Asset Protection, also der Absicherung von liquidem und illiquidem Vermögen durch bestimmte Maßnahmen gegen innere und äußere Einflüsse. Wirtschaftsschutz umfasst das Unternehmen in allen seinen Facetten, dezidiert auch die Mitarbeiter und stellt eine tragfähige Lösung zur Verfügung, sämtliche Ressourcen bestmöglich vor internen und externen Risiken zu schützen. Auf diese Weise entsteht

VIII

Wirtschaftsschutz in der Praxis: eine ­Einführung

ein stabiles Gebilde, das auch Krisenszenarien standhält und dem Management in jeder Situation (auch einer unbekannten) alle Entscheidungswege offenhält. Wirtschaftsschutz versichert einer Organisation das Funktionieren im Rahmen eines sicherheitsrelevanten Vorfalls, da Kompetenzen und Verantwortlichkeiten definiert sind und ein Maßnahmenpaket zur Verfügung steht, das dazu geeignet ist, auf Vorfälle schnell, präzise, mit der gebotenen Professionalität zu reagieren. Wirtschaftsschutz entwickelt durch protektive Maßnahmen optimale reaktive Möglichkeiten. In diese Richtung zielt dementsprechend der erste Band Wirtschaftsschutz in der Praxis. Die darin gesammelten Aufsätze entsprechen den Herausforderungen von Organisationen im Alltag und stellen Ansätze und Szenarien im Wirtschaftsschutz vor, die für Unternehmen und andere Einrichtungen hohe Relevanz haben. Als Sicherheitsverband werden wir die weitere Entwicklung genau beobachten und bewerten. Wir danken allen Autorinnen und Autoren für die Mitwirkung an diesem ­Sammelband. Die Herausgeber Christian Vogt Christian Endreß Patrick Peters

Inhaltsverzeichnis

Teil I Die Privatwirtschaft im Gefüge der Inneren Sicherheit Wirtschaftsspionage in Nordrhein-Westfalen . . . . . . . . . . . . . . . . . . . . . . . 3 Burkhard Freier Sicherheitsarchitektur im Wandel: Der Beitrag der privaten Sicherheitsdienste für den Schutz der deutschen Wirtschaft. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Harald Olschok Sicherheit ist das Fundament für Vertrauen in die Digitalisierung von Wirtschaft und Gesellschaft. . . . . . . . . . . . . . . . . . . . . 41 Volker Wagner Internationales Sicherheitsmanagement – Die Notwendigkeit neuer Allianzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Gabriele Jacobs und Dominique Lapprand Teil II Die Zukunft der Corporate Security Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer Widerspruch oder zwei Seiten einer Medaille? Für ein neues Zusammenspiel von Staat, Wirtschaft und Gesellschaft. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Florian Lindemann

IX

X

Inhaltsverzeichnis

Zukunft und Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Uwe Gerstenberg Digitaler Wandel und Corporate Security, oder: Wieso ein CSO Technologiescout sein sollte, um erfolgreich zu sein. . . . . . . . . . . 143 Jan Wolter Teil III Wirtschaftsschutz in der Praxis Krisenmanagement 4.0 Die neue Herausforderung für die Wirtschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Dieter Zeller Strukturierte Risiko-Management-Systeme für kleine und mittelgroße Unternehmen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Trygve Ben Holland und Sarah Holland Krisenmanagement bei Entführungen und Erpressungen. . . . . . . . . . . . . 191 Marc Brandner und Pascal Michel Teil IV Recht und Strategie Schutzstrategien gegen Produktpiraterie und Wirtschaftsspionage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 Valentina Nieß und Janina Wortmann geb. Voogd Kontrolle ist gut. Vertrauen ist besser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 Armin Sieber und Patrick Peters Wirtschaftskriminelles Verhalten von Innentätern. . . . . . . . . . . . . . . . . . . 257 Dirk Fleischer Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Peter Zawilla Das betriebliche Sicherheitsmanagement: Perspektiven der betriebswirtschaftlichen Sicherheitsforschung. . . . . . . . . . . . . . . . . . . 311 Christoph Georgi und Jürgen Harrer

Herausgeber- und Autorenverzeichnis

Über die Herausgeber Christian Vogt  (Dipl. Verwaltungswirt, KHK a. D.) ist Absolvent der Fachhochschule des Bundes und seit 30 Jahren in den unterschiedlichsten Bereichen der öffentlichen und privaten Sicherheit präsent. Er ist Absolvent der Mitteleuropäischen Polizeiakademie mit dem Ausbildungsschwerpunkt Vorbeugung und Bekämpfung der internationalen organisierten Kriminalität. Er ist Certified Information Security Manager (ISACA) und ausgebildeter Datenschutzauditor. Aktuell leitet er den Bereich Konzernsicherheit und Konzerndatenschutz des international aufgestellten Landtechnikkonzerns CLAAS. Ehrenamtlich ist Christian Vogt Vorstandsvorsitzender der Allianz für Sicherheit in der Wirtschaft Nordrhein-Westfalen e. V. Dr. Christian Endreß (Politikwissenschaftler) begann seine berufliche Laufbahn bei einer Bundesbehörde. Anschließend arbeitete er als wissenschaftlicher Mitarbeiter am Lehrstuhl für Sicherheitsforschung an der Universität Witten/ Herdecke und wechselte dann in die Privatwirtschaft. Heute ist er Geschäftsführer der Allianz für Sicherheit in der Wirtschaft Nordrhein-Westfalen e. V. und seit Januar 2019 kommissarischer Geschäftsführer des ASW-Bundesverbands. ­Christian Endreß ist Herausgeber und Autor zahlreicher Fachpublikationen sowie Mitglied im Gesprächskreis Innere Sicherheit NRW und des Programmbeirats der Cyberakademie.

XI

XII

Herausgeber- und Autorenverzeichnis

Dr. Patrick Peters  (Dr. Patrick Peters – Klare Botschaften) übernimmt als Berater für Unternehmenskommunikation, Strategie und Redaktion die Strukturierung und Umsetzung der Public Relations von Unternehmen, Verbänden, Vereinen und Stiftungen. Besonders liegt sein Fokus auf unabhängigen Vermögensverwaltern, Privatbanken, Finanzdienstleistern, Rechtsanwälten, Steuerberatern, Wirtschaftsprüfern, Versicherungsunternehmen und M&A-Beratern sowie der gesamten Bauund Gesundheitswirtschaft. Für Family Office, Vermögensverwalter, Stiftungen, Privatbanken und Investmentsfonds bietet Dr. Patrick Peters zudem ausgewählte, strategische Beratungsleistungen an. Er ist Pressekoordinator der Allianz für Sicherheit in der Wirtschaft Nordrhein-Westfalen e. V.

Autorenverzeichnis Marc Brandner ist Partner der SmartRiskSolutions GmbH und Leiter ­Krisenmanagement. Er war sechs Jahre als Offizier in den Einsatzkräften des Kommando Spezialkräfte (KSK) tätig, zuletzt als kommissarischer Leiter des Ausbildungs- und Versuchszentrums. An der UniBw München hat er Wirtschaftsund Organisationswissenschaften studiert. Er war zertifizierter Leiter Sicherheitsund Krisenmanagement bei EUPOL Afghanistan. Seit 2003 berät er erfolgreich Unternehmen, Internationale Organisationen und NGO zum Sicherheits- und Krisenmanagement. Er ist bestellter Krisenberater eines Krisenreaktionsteams ­ einer Versicherung. Dabei berät er weltweit bei Entführungen, Erpressungen, Produktschutzfällen, Cyberkriminalität und terroristischen Bedrohungslagen. Er hat unter anderem bei einer international aufsehenerregenden terroristischen Geiselnahme in Nordafrika 2013 aktiv einen Firmenkrisenstab beraten. Dirk Fleischer (LL.M., M.A.) ist Absolvent der Deutschen Hochschule der Polizei und seit mehr als 30 Jahren in den unterschiedlichen Bereichen der privaten und öffentlichen Sicherheit präsent. Als Kriminologe und Wirtschaftsjurist wendet er sich vor allem Fragen der Entstehung von Wirtschafts- und Cyberkriminalität sowie den Präventionsmöglichkeiten durch ganzheitliche Sicherheitsmanagement- und Compliancemanagementsysteme zu. Er ist Autor diverser Veröffentlichungen und berät als freier Berater Personen, Unternehmen und Organisationen. Er ist Mitglied im Gesprächskreis Innere Sicherheit NRW und des Programmbeirats der Cyberakademie.

Herausgeber- und Autorenverzeichnis

XIII

Burkhard Freier  ist Jurist und trat 1985 in den Dienst des Landes NRW ein. Ab 1991 bekleidete er verschiedene Führungsfunktionen im NRW-­Innenministerium, zwischenzeitlich war Burkhard Freier von 2001 bis 2006 Stellvertreter der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW. Seit 2012 ist Burkhard Freier Leiter des Verfassungsschutzes NRW. Dr. Christoph Georgi ist Forschungsdirektor für Sicherheit & Innovation am Strascheg Institute for Innovation, Transformation & Entrepreneurship (SITE) der EBS Business School. Sein BWL-Studium schloss er 2006 als Diplom-Kaufmann ab und promovierte 2009 im Bereich Supply Chain Management. Christoph Georgis Forschungsinteresse liegt im Bereich des strategischen Sicherheitsmanagements, dem er sich insbesondere mit qualitativen Methoden und aus Perspektive der Zukunfts-, Organisations- und Verhaltensforschung nähert. Uwe Gerstenberg,  geboren 1961 in Berlin, ist seit fast 30 Jahren in der privaten Sicherheitswirtschaft in führenden Positionen tätig. Seit 1997 leitet er als Mitgründer die consulting plus Unternehmensgruppe. Uwe Gerstenberg ist unter anderem Mitglied im Security Beirat der Messe Essen und vertritt in zahlreichen Fachverbänden die Interessen der Sicherheitswirtschaft. Des Weiteren ist er Herausgeber des Security Explorers und Autor zahlreicher Buchbeiträge und Fachartikel. Dr. Jürgen Harrer  ist Forschungsdirektor für Security & Management am Strascheg Institute for Innovation, Transformation & Entrepreneurship (SITE) der EBS Business School. Nach Erst- und Zweitstudium und mehreren beruflichen Stationen als Berater und als Führungskraft in einem DAX-Unternehmen promovierte er im Bereich Security Controlling. Jürgen Harrers Forschungsinteressen liegen in der Operational Excellence im Security Management und insbesondere im Security Performance Measurement. Dr.-iur Trygve Ben Holland, LL.M., Jahrgang 1974, Studium der Rechtswissenschaften in Hamburg und Tansania, Master-Studium Europarecht am EuropaInstitut Saarbrücken, Promotion zu einem europa- und wettbewerbsrechtlichen Thema an der Universität Saarbrücken, seit 2005 Lehrbeauftragter an der HfÖV Bremen und Leiter mehrerer Forschungsprojekte im Institut für Polizei- und Sicherheitsforschung IPoS der HfÖV. Sarah Holland, Jahrgang 1990, Studium der Betriebswirtschaft in Hamburg und San Diego, IPMA-zertifizierte Projekt- und Prozessmanagerin im Institut für ­Polizei- und Sicherheitsforschung IPoS der Hochschule für Öffentliche Verwaltung Bremen.

XIV

Herausgeber- und Autorenverzeichnis

Prof. Dr. Gabriele Jacobs  ist Professorin für Organisationsverhalten und Kultur am Institut für Organisations- und Personalmanagement der Rotterdam School of Management, Erasmus University (RSM). Gabriele Jacobs ist Co-Direktorin des Centre of Excellence on Public Safety Management (CESAM), das sie 2014 mitbegründete. Neben der Präsentation ihrer Arbeit auf internationalen Konferenzen publiziert sie in zahlreichen wissenschaftlichen Fachzeitschriften sowie in Fachzeitschriften mit anwendungsorientiertem Schwerpunkt. Sie leitet verschiedene EU-Projekte und nationale Projekte im Bereich Sicherheit, beziehungsweise ist in sie als Partnerin involviert. Derzeit koordiniert sie die Erasmus+ Knowledge Alliance zum Thema „International Security Management“, deren Ziel es ist, nachhaltige und konkrete Ressourcen und Strukturen zur Förderung internationaler Sicherheitskooperationen zu schaffen und die Entwicklung eines Executive Master für Führungskräfte aus dem privaten und öffentlichen Sektor. Dominique Lapprand ist ehemaliger französischer Gendarmerie-Oberoffizier, Absolvent der Militärakademie Saint Cyr, des FBI NA und des französischen nationalen Instituts für Sicherheitsstudien. Er hat auch einen Master-Abschluss in Organisationsdynamik. Sowohl national als auch international hat er umfassende Erfahrung in den Bereichen Polizei und Sicherheit aufgebaut. Er leitete das strategische Forschungszentrum der Gendarmerie und arbeitete auch mit der Direktion für Strafrechtspflege des französischen Justizministeriums zusammen. Er war vier Jahre in der Europäischen Kommission als nationaler Entsendeexperte tätig. In den letzten Jahren hat er in acht afrikanischen Ländern an Projekten zur Reorganisation des Sicherheitssektors und der Polizei gearbeitet und parallel dazu arbeitet er mit dem Privatsektor an Informationssystemen und dem Kampf gegen den illegalen Handel. Derzeit ist er in der Erasmus+ Knowledge Alliance zum Thema „International Security Management“ involviert. Florian Lindemann ist Mitglied der Geschäftsleitung der Cyber Akademie GmbH, einem unabhängigen Schulungs- und Beratungsunternehmen der Informationssicherheitsbranche. Im Rahmen seiner Tätigkeit befasst er sich unter anderem mit rechtlichen, technischen und organisatorischen Fragen der Digitalisierung und der Cyber-Sicherheit. Pascal Michel ist Geschäftsführer der SmartRiskSolutions GmbH. Er war 17 Jahre lang bei einer bundesdeutschen Sicherheitsbehörde im operativen Einsatz und als Ausbildungsleiter tätig. Seit 2008 berät er Unternehmen im Bereich der Reisesicherheit, in der Sicherheit von Großprojekten in risikoreichen Regionen sowie im Krisenmanagement. Für Unternehmen und NGOs hat er unterschiedliche Trainingsformate im Bereich der Reisesicherheit und des

Herausgeber- und Autorenverzeichnis

XV

Krisenmanagements entwickelt. Für eine weltweit führende Versicherung ist er als Krisenberater Teil eines multinationalen Krisenreaktionsteams. Seine Erfahrung umfasst die Krisenreaktion bei Entführungen, unter anderem in Mexiko, Libyen, Nigeria und DR Kongo, wo er als Krisenberater sowohl Krisenstäbe als auch das lokale Notfallmanagement beraten hat. Er ist Absolvent der Fachhochschule des Bundes und hat vier Jahre in Westafrika gelebt. Valentina Nieß,  LL.M. (Berkeley) ist Rechtsanwältin und Counsel der ­Sozietät Noerr LLP. Sie ist spezialisiert im Bereich Gewerblicher Rechtsschutz und Wettbewerbsrecht und berät ihre Mandanten umfassend unter anderem im Zusammenhang mit dem Aufbau von Marken- und Designportfolios, der Rechtsdurchsetzung und Prozessführung – insbesondere bei der Bekämpfung von Produktpiraterie – sowie der Durchführung von Produkteinführungen und Werbekampagnen. Dr. Harald Olschok ist seit 1992 Hauptgeschäftsführer des Bundesverbandes der Sicherheitswirtschaft (BDSW) und der Bundesvereinigung Deutscher Geldund Wertdienste (BDGW). Seit April 2018 ist der Diplom-Betriebswirt zudem geschäftsführendes Präsidiumsmitglied des BDSW. Als Chefredakteur betreut er das Magazin DSD – Der Sicherheitsdienst. Mitglied ist er unter anderem im Messebeirat der security in Essen, in der Vertreterversammlung und im Hauptausschuss der Verwaltungs-Berufsgenossenschaft in Hamburg sowie im Fachbeirat Masterstudiengang Sicherheits-Management an der Hochschule für Wirtschaft und Recht (HWR) Berlin. Dr. Armin Sieber  ist Managing Partner des Beratungsunternehmen Sieber Advisors in München. Er berät seit Jahren Unternehmen und Top-Manager in Fragen der Selbstdarstellung, Unternehmens- und Krisenkommunikation. Ein besonderer Schwerpunkt liegt im Bereich der Litigation PR in komplexen Rechtsauseinandersetzungen. Sieber hatte zahlreiche Führungspositionen in Wirtschaft und Beratung inne. Er forscht und unterrichtet im Bereich Medienwissenschaft an der Universität Regensburg. Janina Wortmann geb. Voogd,  LL.M. (Cape Town) ist Rechtsanwältin und Assoziierte ­Partnerin der Sozietät Noerr LLP. Sie berät nationale und internationale Unternehmen in allen Bereichen des Marken- und Designrechts. Darüber hinaus berät sie im ­Wettbewerbs- und Vertriebsrecht. Sie ist spezialisiert auf die Durchführung gerichtlicher Streitigkeiten einschließlich einstweiliger Verfügungsverfahren. Janina Wortmann geb. Voogd ist Lehrbeauftragte für Marken- und Designrecht an der AMD ­Akademie Mode & Design in München.

XVI

Herausgeber- und Autorenverzeichnis

Volker Wagner ist Vice President Security bei der BASF SE. In den letzten ­Jahren lag sein beruflicher Schwerpunkt auf der Entwicklung und Umsetzung von Sicherheitsstrategien für den Wirtschaftsschutz in Deutschland. Er ist seit 2012 Vorstandsvorsitzender des ASW Bundesverbandes und war auch mehrere Jahre Vorstandsmitglied der ASW NRW und im Unterausschuss Wirtschaftsschutz des BDI. International engagiert er sich in der ASIS International. Er verfügt über mehr als 20 Jahre Führungserfahrung bei der Deutschen Telekom. Jan Wolter  war von Januar 2014 bis Dezember 2018 Geschäftsführer des ASW Bundesverbandes. In dieser Funktion befasste er sich mit den unterschiedlichsten Facetten des Themas Wirtschaftsschutz. Er ist Initiator und einer von drei Autoren der Studie #Desinformation, die im November 2017 auf dem Deutschen Sicherheitstag veröffentlicht wurde. Der Diplompolitologe ist seit über zwölf Jahren im Verbandsgeschäft tätig. In seinem Studium befasste sich Wolter vor allem mit den Themen Staatszerfall und Bürgerkriegsökonomien. Peter Zawilla  ist Geschäftsführer der von ihm 2004 gegründeten FMS Fraud & Compliance Management Services GmbH. Er beschäftigt sich seit über 20 Jahren mit der praxisorientierten Gestaltung beziehungsweise dem Aufbau von wirksamen und mehrwertschöpfenden Compliance beziehungsweise Fraud Management Systemen. Zudem hat er sich auf die professionelle Aufdeckung von Unregelmäßigkeiten, die Umsetzung von Präventionsmaßnahmen sowie die Implementierung und Optimierung von Compliance in Unternehmen spezialisiert. Er ist Autor zahlreicher Publikationen und Mitherausgeber mehrerer Fachbücher. Dieter Zeller  arbeitete 28 Jahre im Bereich der Sicherheit der Deutschen Telekom in verschiedenen Aufgabenschwerpunkten wie Frauddetection, Fraudinvestigation, Fraudprevention, Emergency- and Crisismanagement. Aktuell ist er als Senior Experte für das Corporate Crisismanagement im Pharmakonzern Boehringer Ingelheim verantwortlich. Die Bewältigung von Incidents im Konzern und die Weiterentwicklung des nationalen- wie internationalen Krisenmanagement zählten zu seinen Aufgaben im Konzern Deutsche Telekom. Seit 1999 steht der Mitautor des Buches „Fraud Management“ als Chairperson in der Verantwortung für das Deutsche Fraud Forum (gegen Telekommunikationskriminalität in Deutschland). In dieser Funktion vertrat Herr Zeller das DFF im Vorstand des ASW Bundesverbandes.

Teil I Die Privatwirtschaft im Gefüge der Inneren Sicherheit

Wirtschaftsspionage in  Nordrhein-Westfalen Burkhard Freier

1 Wirtschaftsspionage – eine reale Gefahr für Unternehmen in Nordrhein-Westfalen Nordrhein-Westfalen ist ein exportstarkes und innovatives Hochtechnologieland. Das Bruttoinlandsprodukt des Jahres 2018 spiegelt eine Wirtschaftsleistung von 705 Mrd. EUR wieder. Nordrhein-Westfalen (NRW) ist damit das wirtschaftsstärkste Bundesland. Würde man es als eigenständigen Staat betrachten, stünde es im internationalen Ranking der stärksten Wirtschaftsnationen an 19. Stelle hinter der Türkei und vor der Schweiz (vgl. www.statista.com). NRW ist unter den Bundesländern auch der bedeutendste Investitionsstandort in Deutschland. Hier haben neben 19.000 ausländischen Unternehmen (www.nrwinvest.com) auch 18 der 50 umsatzstärksten deutschen Firmen (vgl. www.nrwinvest.com) und rund 717.000 kleine und mittlere Betriebe (NRW. INVEST GmbH 2016) ihren Sitz. Letztere bilden das wirtschaftliche Rückgrat Nordrhein-Westfalens. NRW ist zudem ein ausgewiesener Hochschul- und Forschungsstandort. Neben 70 Hochschulen haben dort mehr als 50 außeruniversitäre Forschungseinrichtungen ihren Sitz (vgl. www.wirtschaft.nrw). Die Dynamik der globalen Digitalisierung prägt auch den nordrhein-westfälischen Wirtschafts- und Forschungsstandort. Der wirtschaftliche und gesellschaftliche Fortschritt ist abhängig von leistungsfähigen digitalen Prozessoren. Sie sichern und steuern Betriebs- und Geschäftsabläufe, Forschungsergebnisse sowie die industrielle Produktion, den Kapitalverkehr, beinahe die gesamte Kommunikation, aber auch den Betrieb sensibler Versorgungssysteme, B. Freier (*)  Ministerium des Innern NRW, Düsseldorf, Deutschland E-Mail: [email protected] © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_1

3

4

B. Freier

sogenannter „Kritischer Infrastrukturen“, wie sie etwa im Energie-, Wasser- oder auch im Gesundheitswesen zu finden sind. Die Zukunft des Wirtschafts- und Forschungsstandorts NRW hängt deshalb wesentlich davon ab, wie verantwortungsbewusst mit den Daten und Informationen, dem geistigen Eigentum und dem betrieblichen Wissen umgegangen wird, die für den Bestand und den Erfolg eines Unternehmens, einer Forschungseinrichtung oder einer Hochschule existenziell sind. Der Schutz von betrieblichem Wissen und geschäftlichen Geheimnissen vor Angriffen von innen wie von außen, ob analog oder virtuell, ist zu „einer komplexen Sicherheitsherausforderung geworden“ (Bundesamt für Verfassungsschutz 2016). Er rückt in der globalisierten Welt immer mehr in den Fokus auch staatlicher Sicherheitsbehörden, etwa der Spionageabwehr und des Wirtschaftsschutzes als Aufgabenfelder des Verfassungsschutz des Landes Nordrhein-Westfalen (Ministerium des Innern des Landes Nordrhein-Westfalen 2016). Die nordrhein-westfälischen Unternehmen sind von zwei Seiten bedroht: Nationale und internationale Konkurrenten haben ein gesteigertes Interesse, über Ausspähung des wettbewerblichen Mitstreiters zu erfahren, wie der Konkurrent seinen wirtschaftlichen Erfolg erlangt hat, sichert und ausbaut, um diese Erkenntnisse für sich zu nutzen. Zudem sind fremde Staaten und deren Nachrichtendienste immer intensiver mit staatlich legitimierter Wirtschaftsspionage aktiv. Das hat gravierende negative Auswirkungen für die bundesdeutsche Volkswirtschaft. Einer Studie des Digitalverbandes BITKOM aus dem Jahr 2017 zufolge sind in den letzten Jahren mehr als die Hälfte der in Deutschland ansässigen Unternehmen Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Dabei ist ein jährlicher Schaden von rund 55 Mrd. EUR entstanden (vgl. www.bitkom.org). Geht man von der üblichen, auf die Bundesländer bezogenen Verteilung entsprechender Zahlen aus, lässt sich ein Schaden in Höhe von mehr als zehn Milliarden Euro für Nordrhein-Westfalen hochrechnen. Nach einer im Juli 2017 durchgeführten repräsentativen Telefonbefragung von 450 Führungskräften deutscher Unternehmen zum Thema Wirtschaftsspionage erwarten fast alle Unternehmen steigende Gefahren in diesem Bereich. Zwei von drei Großunternehmen rechnen sogar mit einer Verschärfung der Lage bei Cyber-Angriffen und Datenklau (Ernst und Young 2017). Wirtschaftsspionage konzentriert sich jedoch nicht ausschließlich auf Cyber-Angriffe. Übliche Methoden reichen vom Diebstahl von IT- und Kommunikationsgeräten über digitale Sabotage bis hin zum Social Engineering. Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt

Wirtschaftsspionage in Nordrhein-Westfalen

5

vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Der Angreifer täuscht sein Opfer dabei über seine Identität und seine kriminellen Absichten, um es dazu zu verleiten, im guten Glauben für das Unternehmen schädliche Handlungen auszuführen – etwa vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln oder Schadsoftware auf einem Computer im Firmennetzwerk zu installieren. Vielen Unternehmen mangelt es schon an ausreichenden Detektionsmöglichkeiten. Nur ein Viertel der Betriebe verfügt über ein Cyber-Sicherheitsmonitoring zur Kontrolle von Cyber-Angriffen und wertet Log-Dateien regelmäßig und systematisch aus (BSI 2018). Deshalb bleiben diesen Unternehmen derartige Angriffe häufig verborgen. Angriffe werden statistisch gesehen erst nach ungefähr 120 Tagen erkannt. Werden Angriffe oder andere relevante Tatbestände von Wirtschaftsspionage erkannt, werden Sicherheitsbehörden nicht immer eingeschaltet oder informiert. Lediglich jedes dritte betroffene Unternehmen wendete sich nach Erkenntnissen der BITKOM-Studie an staatliche Stellen. Hauptmotiv dafür ist die Angst vor einem Imageschaden. Nordrhein-westfälische Unternehmen mit Weltmarktniveau sowie kleine und mittlere Betriebe mit innovativen Techniken und Produkten sowie mit hervorragenden globalen Marktstrategien und Auslandskontakten bleiben weiterhin ein Ziel der Wirtschaftsspionage. Wirtschaftsspionage ist mehr als der allgegenwärtige Cyber-Angriff. Denn es gibt auch Ausspähungen, die bei personellen Beziehungen ansetzen, physische Materialien wie Konstruktionspläne und Formeln betreffen oder beispielsweise organisatorische Schwachstellen ausnutzen. Dabei geht es nicht allein um einen möglichen finanziellen Schaden für das betroffene Unternehmen. Ausgespähtes und gestohlenes Know-how kann für die Konkurrenzfähigkeit eines Unternehmens wesentlich sein. Ein Diebstahl von Konstruktionsplänen für ein neues Bauteil kann im schlimmsten Fall beispielsweise zur Insolvenz des ausspionierten Unternehmens führen, wenn ein Dritter das Produkt dadurch vor dem „Erfinder“ auf den Markt bringt. Erwartete Gewinne bleiben aus, die Kosten für die Entwicklung können nicht refinanziert werden, und es fehlt das Kapital für zukünftige Investitionen. Die Wettbewerbsfähigkeit einer ganzen Branche kann beeinträchtigt werden, mit der möglichen Folge, dass auch der Allgemeinheit durch den Wegfall von Arbeitsplätzen und geringere Steuereinnahmen ein Schaden entsteht. Grundsätzlich sind sämtliche Unternehmen und Branchen von Wirtschaftsspionage bedroht, die erfolgreich im nationalen und vor allem globalen

6

B. Freier

Wettbewerb stehen. Besonders betroffen sind bundesweit Forschungs- und Entwicklungsabteilungen von Unternehmen aus den Bereichen Rüstung, Luft- und Raumfahrt, Satellitentechnik, Maschinenbau, Medizin- und Mikrotechnologie, erneuerbare Energien wie Windkraftanlagen und Sonnenkollektoren, Biotechnologie und Chemie. Neben großen Unternehmen stehen in Nordrhein-Westfalen sogenannte Hidden Champions besonders im Fokus. Dies sind hoch innovative kleine und mittlere Unternehmen, die in ihrer Branche auf dem Weltmarkt eine Spitzenstellung einnehmen, in der breiten Öffentlichkeit aber in der Regel nicht sehr bekannt sind. Sie stellen beispielsweise elektronische Bauteile wie Steckverbindungen her oder Zubehörteile für Autos oder für Rüstungsgüter. Im Visier von Spionage sind aber auch Verfahren zur Lebensmittelproduktion und Produkte für die Landwirtschaft. Von großem Interesse sind vor allem kleine Unternehmen mit neuen Marktideen („Start-ups“) und einem Potenzial für große Marktchancen. Angriffe richten sich zudem gegen Universitäten und Fachhochschulen, Forschungseinrichtungen sowie die in Nordrhein-Westfalen zahlreich ­anzutreffenden Technologie- und Gründerzentren. Die Interessen fremder Nachrichtendienste richten sich nicht nur auf Produkte, sondern beispielsweise auch auf • • • • • • • • •

Fertigungstechniken, Herstellungsverfahren, Konstruktionsunterlagen, Spezialwerkzeuge und Steuerungssysteme, Forschungsergebnisse, Produktideen, Patente, Personaldaten, Kunden- und Lieferantendaten, Verkaufsstrategien, Absatz- und Vertriebswege, Budgetplanungen, Kalkulationsunterlagen; Marktanalysen und Investitionsvorhaben, Unternehmensstrategien und digitale Kommunikationsdaten.

Um hier zu sensibilisieren und zu schützen, bietet ein präventiver Informationsaustausch zwischen Unternehmen, Wissenschaft und den relevanten Sicherheitsbehörden wie dem Verfassungsschutz des Landes Nordrhein-Westfalen hingegen die Chance, • potenziell gefährdete Unternehmen frühzeitig zu sensibilisieren, • Angreifer, Angriffsmethoden zu erkennen und Angriffsziele zu ermitteln sowie • wirksame Schutzmaßnahmen zu entwickeln.

Wirtschaftsspionage in Nordrhein-Westfalen

7

2 In Nordrhein-Westfalen aktive ausländische Nachrichtendienste Unter dem Begriff „Wirtschaftsspionage“ verstehen die deutschen Sicherheitsbehörden eine staatlich gelenkte oder gestützte Ausforschung von Wirtschaftsunternehmen oder Forschungseinrichtungen durch ausländische Nachrichtendienste. Bei der sogenannten Industrie- oder „Konkurrenzspionage“ handelt es sich hingegen um die Ausspähung von Unternehmen durch Wettbewerber (Ministerium des Innern des Landes Nordrhein-Westfalen 2017). Da es sich bei staatlich gelenkter Wirtschaftsspionage durch Nachrichtendienste um eine geheimdienstliche Tätigkeit für eine fremde Macht handelt (§ 3 Abs. 1 Nr. 2 Verfassungsschutzgesetz NRW), hat der Verfassungsschutz NRW zur Bekämpfung dieses Phänomens die gesetzliche Aufgabe, im Zusammenhang damit stehende Informationen zu sammeln und auszuwerten. Die Bekämpfung von Industrie- beziehungsweise Konkurrenzspionage ist hingegen Aufgabe der Strafverfolgungsbehörden. In der Praxis ist eine eindeutige Zuordnung entweder als Fall nachrichtendienstlich gesteuerter Wirtschaftsspionage oder als Fall von Konkurrenzausspähung häufig jedoch nicht problemlos möglich. Eine Abgrenzung zwischen diesen beiden Formen der illegalen Know-how-Abschöpfung ist schwierig, weil in beiden Fällen das Zielobjekt und die Methoden weitgehend identisch sein können. Die Herkunft und Verbindungswege der Ausspähmaßnahme werden regelmäßig mit hohem Aufwand verschleiert. Selbst bei entsprechenden Hinweisen lassen sich fremde Nachrichtendienste kaum als mögliche Auftraggeber von Wirtschaftsspionage identifizieren. Sicher ist also: Wirtschaftsspionage ist ein reales Betätigungsfeld ausländischer Nachrichtendienste. In einigen Staaten haben die dortigen Dienste sogar den ausdrücklichen gesetzlichen Auftrag dazu. Nach dem Gesetz der russischen Föderation über die Auslandsaufklärung hat beispielsweise der russische Auslandsnachrichtendienst die Aufgabe, „die wirtschaftliche Entwicklung und den wissenschaftlich-technische Fortschritt des Landes durch Beschaffung von wirtschaftlichen und wissenschaftlich-technischen Informationen durch die Organe der Auslandsaufklärung zu fördern“ (vgl. Art. 5 des Gesetzes der russischen Föderation über die Auslandsaufklärung). In anderen Staaten wie etwa in der Volksrepublik China weist bereits die Zahl der Angehörigen der Nachrichtendienste (mehrere Hunderttausend) und der organisatorische Aufbau der Nachrichtendienste auf die Zielrichtung der Aufklärung

8

B. Freier

ausländischer Volkswirtschaften hin. Es gibt jeweils eigene Arbeitsgebiete für die verschiedenen Aufklärungsbereiche und Wirtschaftsräume, zum Beispiel „Westeuropa“ und damit auch Deutschland.

3 Angriffsmethoden der Wirtschaftsspione Wirtschaftsspionage erfolgt im Wesentlichen durch drei Methoden:

3.1 OSINT Open Source Intelligence, OSINT abgekürzt, ist die häufigste und einfachste Methode. Fremde Nachrichtendienste sammeln die erforderlichen Informationen durch intensives Abschöpfen von offen zugänglichen Quellen: Auf diese Weise gelangen sie an wirtschaftlich wertvolle Daten, die in wachsender Anzahl unbeschränkt zur Verfügung stehen, beispielsweise über Internetauftritte der Unternehmen, über Preisgabe von Unternehmensinterna in sozialen Netzwerken durch Mitarbeiterinnen und Mitarbeiter, über Gespräche auf Messen, Symposien oder bei Empfängen in Botschaften und Konsulaten sowie über personenbezogene Angaben in Visaanträgen wie zum Beispiel die Funktion im Unternehmen oder die Gehaltshöhe. Der Wert dieser offen erhobenen Daten wird häufig unterschätzt, weil eine Einzelinformation in der Regel nicht sehr aussagekräftig erscheint. Durch systematische Verknüpfung einer Vielzahl von Einzeldaten ergibt sich für einen fremden Nachrichtendienst jedoch ein Gesamtbild, aus dem sich selbst sensible Unternehmensdaten ablesen lassen.

3.2 HUMINT Menschliche Quellen werden ebenfalls zur Informationsbeschaffung genutzt. Nachrichtendienste sprechen von Human Intelligence (HUMINT). In diesem Bereich gibt es vielfältige Ansätze. Nachrichtendienste stützen sich unter anderem gezielt auf Agenten. Hierzu zählen zum Beispiel statuswidrig abgetarnte Diplomaten, die aus ihren Botschaften und Konsulaten heraus nachrichtendienstlichen Tätigkeiten nachgehen. Der gezielte Einsatz von ausländischen Praktikanten oder Doktoranden ist eine weitere Möglichkeit, um unmittelbar an sensible Unternehmensdaten zu gelangen. Zu HUMINT zählt aber

Wirtschaftsspionage in Nordrhein-Westfalen

9

auch die klassische nachrichtendienstliche Methode des Kompromats. Kompromate werden beispielsweise geschaffen, indem Beschäftigte von Unternehmen gezielt in Kontakt mit Alkohol, Drogen oder Prostitution gebracht werden. Mit der Drohung, kompromittierendes Material zu veröffentlichen, werden diese Personen anschließend zur Kooperation genötigt.

3.2.1 Social Engineering Eine weitere sehr häufig genutzte Methode der Wirtschaftsspionage im Bereich HUMINT ist das sogenannte Social Engineering. Ein Angreifer versucht, über die „Sicherheitslücke Mensch“ an Informationen zu gelangen. Er nutzt dabei menschliche Eigenschaften wie Hilfsbereitschaft, Gutgläubigkeit oder Unsicherheit aus, um die sogenannte „menschliche Firewall“ zu durchbrechen und vertrauliche Daten zu erhalten. Der Angreifer gelangt beispielsweise an Benutzernamen und Passwörter, indem er sich am Telefon als Sicherheitsverantwortlicher oder Systemadministrator ausgibt. Durch Hinweis auf vermeintliche akute PCProbleme, den Aufbau von Zeitdruck und dem Vortäuschen von Betriebskenntnissen, die man sich problemlos über das Internet aneignen kann, wird das Opfer so lange verunsichert, bis es die gewünschten Informationen preisgibt (Dirk ­Ritter-Dausend 2013a).

3.2.2 Soziale Netzwerke Soziale Netzwerke im Internet bieten vielfältige Ansatzpunkte für Wirtschaftsspione. Die Plattformen sind darauf ausgelegt, persönliche Daten zu präsentieren, Kontakte zu fördern und Personen miteinander zu vernetzen. Für Angreifer­ bieten sie optimale, schnell und unkompliziert erreichbare Anknüpfungspunkte. Der Kontakt zu ausgewählten Beschäftigten von Unternehmen lässt sich sehr einfach über die Netzwerke, auch aus dem Ausland, herstellen. Spione freunden sich unter Vorspiegelung einer falschen Identität vermeintlich mit ihren Zielpersonen an und bauen ein Vertrauensverhältnis auf. Dieses nutzen sie schließlich für das Ziel aus, an sensible Informationen des jeweiligen Unternehmens zu gelangen (Dirk Ritter-Dausend 2013b).

3.3 SIGINT Einen hohen Stellenwert hat die Informationsgewinnung durch Fernmelde- und elektronische Aufklärung. Nachrichtendienste bezeichnen dies als Signal Intelligence, (SIGINT). Die rasante Ausweitung von Kommunikationsmöglichkeiten durch das Internet bietet Nachrichtendiensten eine Vielzahl von Ansatzpunkten.

10

B. Freier

Netzwerkstrukturen und Netzknoten für die Kommunikation erstrecken sich zum überwiegenden Teil über das Ausland. Netzbetreiber leiten die einzelnen „Datenpakete“ oftmals über den billigsten Weg, auch wenn dieser geografisch länger ist und in Teilen außerhalb Deutschlands liegt. Ein Abgreifen der Daten auf im Ausland liegenden Vermittlungsstellen hinterlässt kaum Spuren. Eine dagegen eingesetzte Verschlüsselung bietet nur Schutz, wenn sie von Endgerät zu Endgerät (Ende-zu-Ende-Verschlüsselung) erfolgt und ein anerkannt sicheres Verschlüsselungsverfahren angewendet wird. Neben solchen „passiven“ Ausspähungen setzen Staaten wie China oder Russland auch auf „aktive“ Cyber-Angriffe. Diese sind entweder breit angelegt und erfolgen automatisiert oder können speziellen Interessen folgend ein einzelnes Unternehmen beziehungsweise den Arbeitsplatz einer einzelnen Mitarbeiterin oder eines einzelnen Mitarbeiters treffen. Laut der Cyber-Sicherheitsumfrage 2017 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gaben rund 70 % der befragten Unternehmen an, in den Jahren 2016 und 2017 Opfer von Cyber-Attacken geworden zu sein. In etwa der Hälfte der Fälle waren die Angriffe erfolgreich (BSI 2018). Zielgenaue Cyber-Angriffe sind anders als automatisierte Massenangriffe mit herkömmlichen Methoden (Firewall, Virenscanner) in den meisten Fällen nicht zu erkennen. Sie zielen beispielsweise ab auf • die Beeinflussung der Funktionsweise von IT-Systemen, • den direkte Datendiebstahl von Firmen-Know-how und • die Manipulation von Internet-Auftritten (BSI 2018). Eine große Angriffswelle traf Deutschland bereits im Jahr 2007. Neben Regierungscomputern wurden 600 Ziele bei 250 Firmen in Deutschland angegriffen. Rund 80 davon lagen in Nordrhein-Westfalen. Cyber-Angriffe werden am häufigsten mit Malware-Infektionen (BSI 2018) ausgeführt. Übliche Infektionswege sind • E-Mails denen sogenannte „Trojaner“ anhängen, • Drive-by-Downloads, bei denen eine Infektion vom Anwender unbemerkt schon beim einfachen Besuch von Webseiten erfolgt, • ein direkter Download von Schadprogrammen über einen nicht als gefährlich erkannten Weblink (BSI 2018). Trojaner laden häufig weitere Schadsoftware nach. Hat sich eine solche Malware im Unternehmensnetzwerk eingenistet, sendet sie nach und nach

Wirtschaftsspionage in Nordrhein-Westfalen

11

dort eingesammelte Daten an den Angreifer. Die Software kann zudem für Sabotagezwecke genutzt werden. Ein sehr bekanntes Beispiel ist die Schadsoftware Stuxnet, die das iranische Atomprogramm über ein Jahr erfolgreich sabotiert hat. Die weiter zunehmende Digitalisierung schafft laufend neue Angriffsmöglichkeiten. Unter den Stichworten Industrie 4.0 und Internet of Things (IoT) schreitet die Vernetzung von Prozessen auch im Bereich der Produktion mit modernster Informations- und Kommunikationstechnik voran. Dies bietet Unternehmen zahlreiche neue Möglichkeiten und ist für sie unter Effizienzgesichtspunkten unverzichtbar. Diese Entwicklung schafft aber auch bisher ungeahnte Gelegenheiten für Angreifer bis hin zum direkten Eingriff in die Produktion mit den damit verbundenen Sabotagemöglichkeiten. 2016 wurden täglich ca. 350.000 neue Schadprogrammvarianten registriert. Nach dem durch die massenhafte Verbreitung von Ransomware-Trojanern geprägten Jahr 2016 zeichnet sich derzeit ein deutlicher Rückgang im Versand von Schadprogramm-Spam ab (BSI 2018). Eine Entwarnung ist jedoch nicht angebracht, denn Schadprogramme bleiben „eine der größten Bedrohungen für Privatanwender, Unternehmen und Behörden“ (BSI 2018).

3.3.1 Computer-based Social Engineering Sogenannte HUMINT- und SIGINT-Angriffe lassen sich mittlerweile nicht mehr klar trennen. Um einen technischen Angriff vorzubereiten, wird häufig Social Engineering vorgeschaltet. In einem solchen Fall spricht man vom Computer-based Social Engineering. Der in der Anlage einer E-Mail enthaltene Trojaner nistet sich nicht von alleine in das Netzwerk eines angegriffenen Unternehmens ein. Ein Angreifer benötigt menschliche Unterstützung, zumeist einen Unternehmensangehörigen, der eine entsprechende E-Mail in seinem Arbeitsumfeld öffnet. Die Nachricht ist dabei so angelegt, dass sie für den Empfänger unverdächtig ist und ihn durch ein interessantes Thema oder eine besondere persönliche Ansprache zum Anklicken animiert. Diese Kontaktaufnahme per E-Mail ist häufig von langer Hand vorbereitet: Der Angreifer macht über das Internet und Soziale Netzwerke Personen ausfindig, die in einem der relevanten Bereiche des anzugreifenden Unternehmens arbeiten. Es wird versucht, mit der letztlich ausgewählten Zielperson ein Vertrauensverhältnis aufzubauen, das für solche häufig erfolgreiche Angriffe ausgenutzt wird. Neben elektronischen Nachrichten kommen zudem USB-Speichermedien zum Einsatz. Sie werden beispielsweise als Werbegeschenke verteilt oder im Unternehmensumfeld so platziert, dass sie wie verloren gegangen wirken. Manche

12

B. Freier

Angreifer versuchen, USB-Sticks zudem bei einem Besuch heimlich oder unter einem Vorwand an die Firmenrechner anzuschließen. Eine entsprechende Sensibilisierung der Beschäftigten ist daher sehr wichtig.

3.3.2 Smartphones Ein beliebtes Angriffsziel von Wirtschaftsspionen sind Smartphones. Die meisten Menschen nutzen diese Geräte im privaten und auch im beruflichen Umfeld. Smartphones haben Funktionen klassischer Computer. Sie sind ebenso leicht, bei häufig fehlendem Schutz sogar noch leichter als Computer angreifbar. Für versierte Nachrichtendienste stellen solche Angriffe keine Herausforderung dar. Besondere Vorsicht ist geboten, wenn über die mobilen Geräte geschäftliche Daten ausgetauscht, diese auf ihnen gespeichert oder die Smartphones sogar mit dem Unternehmensnetzwerk verbunden werden. Mit spezieller, unbemerkt aufgespielter Schadsoftware lassen sich die Geräte in „Wanzen“ verwandeln. In vertrauliche Besprechungen mitgenommen, ermöglichen sie dem Angreifer das Mithören der gesprochenen Inhalte. Auch Bilder aus allen Besprechungsräumen sind über die eingebaute Kamera auf diesem Weg abrufbar. Beim Verbinden der Geräte mit dem Unternehmensnetzwerk kann die Schadsoftware sich dort weiter ausbreiten.

3.3.3 Cloud Computing Cloud-Dienste erfreuen sich wachsender Beliebtheit, beispielsweise um Ressourcen im eigenen Unternehmen zu sparen und einen ortsunabhängigen Zugang auf Daten zu ermöglichen. Die neuen Möglichkeiten bringen jedoch auch zusätzliche Gefahren mit sich. Unternehmen müssen sich mit den besonderen Sicherheitsanforderungen solcher Lösungen vertraut machen. Das Bundesamt für Sicherheit in der Informationstechnik hat mit dem „Cloud Computing Compliance Controls Catalogue“ (C5) einen darauf zugeschnittenen Anforderungskatalog veröffentlicht. Ein Unternehmen, das Cloud-Technik nutzen möchte, muss sich insbesondere darüber im Klaren sein, dass verteilt abgelegte Daten physikalisch nicht mehr ausschließlich auf den eigenen Rechnern und Systemen und damit im eigenen Sicherheitsbereich liegen. Dieses Risiko ist sorgfältig zu bedenken, selbst wenn der Anbieter des Cloud-Services aus Deutschland kommt und alle Anforderungen des C5 erfüllt.

4 Ansätze für einen wirksamen Wirtschaftsschutz Das Spektrum der Methoden und Instrumente, um sich vor Wirtschaftsspionageoder auch der Konkurrenzausspähung zu schützen, ist breit. Verantwortlichen in Unternehmen sollte aber auch klar sein: Einen 100-prozentigen Schutz gibt

Wirtschaftsspionage in Nordrhein-Westfalen

13

es nicht. Zu spät ist es, sich um den Schutz betrieblichen Wissens erst zu kümmern, wenn man bereits Opfer von Ausspähungen geworden ist. Sich frühzeitig und richtig um den Schutz des Unternehmens zu bemühen, spart unterm Strich nicht nur Geld, sondern sichert das Unternehmen insgesamt. Betriebliche Sicherheit und Informationssicherheit als ihr integraler Bestandteil sind daher unternehmensstrategische Themen und damit eine Daueraufgabe für die Unternehmensleitung.

4.1 Ganzheitliches Sicherheitskonzept Wirtschaftsspionage zielt nicht nur auf den digitalen Wissensbestand über den Weg der Cyber-Attacke. Die Instrumente und Ziele der offenen und konspirativen Informationsbeschaffung sind weitaus vielfältiger. Der erfolgversprechendste Ansatz zu Beginn der Entwicklung eines Sicherheitskonzeptes lautet: Ein Unternehmen identifiziert in einem ersten Schritt seine sogenannten „Kronjuwelen“, das ist beispielsweise das exklusive und besonders sensible, weil für den Unternehmenserfolg relevante Know-how. In der Regel sind dies nicht mehr als rund fünf Prozent aller Unternehmensdaten. Diese Daten sollten in einem speziell gesicherten und vom Internet getrennten Bereich aufbewahrt werden. Da aber Unternehmenssicherheit mehr als reine IT- und Datensicherheit ist, sollte diese Maßnahme in ein für das Unternehmen zu erstellendes, ganzheitliches Sicherheitskonzept eingebettet werden, das nicht nur alle weiteren Daten überprüft, sondern auch andere sicherheitsrelevante Bereiche des Unternehmens umfasst. Das bedeutet, den Blick über die technische Sicherheit der IT-Systeme und die Datensicherheit hinaus auch auf die Infrastruktur des Betriebes, etwa die Objektsicherheit, zu lenken, die Anforderungen an die Beschäftigten und die erforderlichen Ressourcen zu überdenken, bis hin zu der Organisation und den Verantwortlichkeiten für die betriebliche Sicherheit. Da Sicherheit angesichts des permanenten technologischen Wandels als Prozess verstanden werden muss, sind Sicherheitskonzepte in ein Managementsystem zu integrieren. Dazu gehören ein Risiko- und Notfallmanagement, das bei allen Maßnahmen die zu schützenden Werte, die möglichen Gefahren, die Eintrittswahrscheinlichkeiten und Schadenshöhen in Relation setzt und für den Ernstfall fertigte Pläne mit Sofortmaßnahmen bereithält. Es geht letztlich darum, die Resilienz des Unternehmens gegen Angriffe auf den inneren Kern des betrieblichen Know-hows zu erhöhen. Neben der Aktualität von technischen und organisatorischen Sicherheitsmaßnahmen zählt dazu auch, allen Beteiligten im Betrieb die rechtlichen wie die innerorganisatorischen Regeln

14

B. Freier

und Vorschriften bewusst zu machen, sie zu sensibilisieren und auf die Einhaltung nicht nur hinzuweisen, sondern diese auch zu leben. Ansätze für den Aufbau und die Entwicklung solcher umfassenden Sicherheitskonzepte können die Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die Komponenten des Wirtschaftsgrundschutzes der „Initiative Wirtschaftsschutz“ (einem Zusammenschluss aus mehreren Sicherheitsbehörden und Partnerverbänden) sowie internationale Standards wie ISO 27001 ff. bieten.

4.2 Sicherheit ist Chefsache Sicherheit im Unternehmen kann nicht nur „nebenbei“ bearbeitet werden. Sie sollte professionell durch eine eigene, möglichst an die Geschäftsführung angebundene Organisationseinheit vorangetrieben werden. Denn Unternehmenssicherheit ist Chefsache. Alle Fäden in Bezug auf Sicherheit, unabhängig davon, ob es sich um den IT-Bereich, um Objektsicherheit oder um weitere Sicherheitsthemen handelt, sollten in dieser gebündelten Zuständigkeit zusammenlaufen. Bedrohungslagen für Unternehmen ändern sich im Zuge des technischen Fortschrittes und der Entwicklung immer neuer Angriffsmethoden sehr rasch. Es sind moderne, kreative Abwehrmaßnahmen gefragt, die auf die Prozesse und Strukturen, die Produkte und Strategien des Unternehmens und nicht zuletzt auf die Mitarbeiterschaft und deren Arbeitsplätze zugeschnitten sind. Bestehende Sicherheitsvorkehrungen und deren Einhaltung sind aber auch fortlaufend auf ihre Wirksamkeit zu überprüfen. Bei sensiblen IT-gestützten Verfahren bietet sich beispielsweise ein sogenannter Penetrationstest an. Mit einem solchen Test werden denkbare Angriffe simuliert und die Erkenntnisse zur Fortentwicklung des Sicherheitskonzeptes genutzt. Teil dieses Konzeptes sollten auch Regelungen zum sicheren Umgang mit mobilen Geräten sein.

4.3 Vorbereitung auf den „worst case“ Neben einem präventiven Ansatz ist für jedes Unternehmen ein Krisen- und Notfallmanagement unabdingbar. Zwar hofft jedes Unternehmen, dass der „worst case“ nicht eintritt. Es wäre jedoch fahrlässig, auf einen Krisenfall, das gehackte Netzwerk oder den erfolgreichen Spionagefall nicht vorbereitet zu sein. Ein unternehmensadäquates Krisen- und Notfallmanagement geht in der Regel mit einer besonderen Aufbauorganisation einher und umfasst viele Schritte bis hin zur Krisenkommunikation nach außen.

Wirtschaftsspionage in Nordrhein-Westfalen

15

Sicherheit selbst ist zwar kein unmittelbar wertschöpfender Prozess, sie hat jedoch eine sehr wichtige flankierende Funktion und stellt somit einen nicht zu vernachlässigenden Wettbewerbsvorteil dar (W. Karden und A. von Freiberg 2011).

5 Angebote des nordrhein-westfälischen Verfassungsschutzes Der Verfassungsschutz des Landes Nordrhein-Westfalen informiert in seinen jährlichen Berichten über die Gefahren der Wirtschaftsspionage. Er sensibilisiert zudem insbesondere kleine und mittlere Unternehmen vor Ort sowie beispielsweise bei Veranstaltungen von Wirtschaftsverbänden und den Industrie- und Handelskammern für die Gefahren der Wirtschaftsspionage. Nordrhein-westfälische Unternehmen können sich vertraulich an den Verfassungsschutz NRW wenden, wenn sie Fragen zur Erstellung eines Sicherheitskonzeptes oder zu anderen Sicherheitsthemen haben. Die Experten des Wirtschaftsschutzes übernehmen dann eine Einstiegsberatung; sie können aber auch direkt für Fachvorträge vor Beschäftigten von Unternehmen oder Vertretern von Interessensverbänden angesprochen werden ([email protected]). Sicherheitsbevollmächtigte im Unternehmen können zudem Unterstützung bei der Durchführung von Awareness-Veranstaltungen erhalten. Der Verfassungsschutz des Landes Nordrhein-Westfalen ist bei konkreten Verdachtsfällen für Unternehmen jederzeit ansprechbar, wie zum Beispiel bei • dem Verdacht eines Angriffs auf Informations- und Kommunikationstechnik, • Anhaltspunkten für Know-how-Verlust, • Sicherheitsvorfällen in Auslandsniederlassungen und auf Geschäftsreisen, • untypischen Einbruchsdelikten, einem Spionageverdacht gegen Mitarbeiter und Fremdpersonal, • unerklärlichen Auftragsrückgängen oder unerklärlichem Verlust von Marktanteilen. Vertraulichkeit wird auf Wunsch zugesichert. In institutioneller Hinsicht repräsentiert und ergänzt die „Sicherheitspartnerschaft Nordrhein-Westfalen“ als Public Private Partnership die Aufgabenstellung, die Wirtschaft und die Öffentlichkeit über die Gefahren der Wirtschaftsspionage und Wirtschaftskriminalität aufzuklären und auf die Notwendigkeit des Schutzes betrieblicher Informationen hinzuweisen. Die Sicherheitspartnerschaft besteht schon seit dem Jahr 2001. In dieser Partnerschaft haben sich das Ministerium

16

B. Freier

des Innern des Landes Nordrhein-Westfalen (Abteilungen Verfassungsschutz und Polizei), das Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie des Landes Nordrhein-Westfalen, das Landeskriminalamt NRW, die Allianz für Sicherheit in der Wirtschaft Nordrhein-Westfalen e. V. und die Vereinigung der Industrie- und Handelskammern in Nordrhein-Westfalen zusammengeschlossen. Gemeinsam verfolgen die Partner über die Vernetzung der Akteure, einen intensiven Informationsaustausch und gemeinsame Aktivitäten die Ziele der Vertrauensbildung und Prävention, damit die Unternehmen in Nordrhein-Westfalen für Themen wie Spionage, Cyber-Attacken, Sabotage oder auch Wirtschaftskriminalität einen verlässlichen Ansprechpartner haben.

Literatur BSI (Hrsg.). (2018). Allianz für Cybersicherheit. Ergebnis der Cyber-Sicherheits-Umfrage 2017 (S. 18). Bonn: BSI. Bundesamt für Verfassungsschutz, BSI, ASW Bundesverband (Hrsg). (2016). Einführung in den Wirtschaftsgrundschutz (S. 6). Berlin: Bundesamt für Verfassungsschutz. Ernst & Young GmbH (Hrsg.). (2017). Datenklau: Virtuelle Gefahr, echte Schäden. Eine Befragung von 450 deutschen Unternehmen (S. 4). Karden, W., & von Freiberg, A. (2011). Praxishandbuch Unternehmenssicherheit (S. 9). Norderstedt. Landesbetrieb IT.NRW. (2018). Bruttoinlandsprodukt (BIP) 2009–2018. Düsseldorf: Landesbetrieb Information und Technik des Landes Nordrhein-Westfalen. Ministerium des Innern des Landes Nordrhein-Westfalen. (2016). Verfassungsschutzbericht des Landes Nordrhein-Westfalen für das Jahr 2016 (S. 244 ff.). Düsseldorf: Ministerium des Innern des Landes Nordrhein-Westfalen. Ministerium des Innern des Landes Nordrhein-Westfalen. (2017). Verfassungsschutzbericht des Landes Nordrhein-Westfalen für das Jahr 2017. Düsseldorf: Ministerium des Innern des Landes Nordrhein-Westfalen. NRW.INVEST GmbH (Hrsg.). (2016). Neue Chancen in Nordrhein-Westfalen. Ihr Investitionsstandort Nr. 1 in Deutschland – Daten. Fakten (S. 6). Düsseldorf: NRW. INVEST GmbH. Ritter-Dausend, D. (2013a). Schwachstelle Mensch in der Unternehmenssicherheitsarchitektur. In FAZ Institut (Hrsg.), Security management 2012/2013. Frankfurt: FAZ Institut. Ritter-Dausend, D. (2013b). Die Kunst des Hackens; Social Engineering und Wirtschaftsspionage in IT-Sicherheit – Management und Praxis. (Bd. 2, S. 40–42). https://de.statista.com/statistik/daten/studie/36889/umfrage/bruttoinlandsprodukt-nach-bundeslaendern/. https://www.nrwinvest.com/de/standort-nrw/internationale-unternehmen-in-nrw/. https://www.wirtschaft.nrw/mittelstand. https://www.mkw.nrw/studium/informieren/hochschulkarte-nrw/. https://www.mkw.nrw/forschung/einrichtungen/ausseruniversitaere-forschung-in-nrw/. https://www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts-Wirtschaftsschutz-in-der-digitalen-Welt-21-07-2017.pdf, S. 5.

Sicherheitsarchitektur im Wandel: Der Beitrag der privaten Sicherheitsdienste für den Schutz der deutschen Wirtschaft Harald Olschok

1 Überblick über die aktuelle politische Diskussion und die Forderungen des BDSW Nach der Bundestagswahl am 24. September 2017 hat es fast ein halbes Jahr bis zur Bildung der neuen Bundesregierung am 14. März 2018 gedauert. Dieses lange Warten hat sich für uns gelohnt, weil in der Koalitionsvereinbarung der Großen Koalition unter anderem ausgeführt wird: „Private Sicherheitsbetriebe leisten einen wichtigen Beitrag zur Sicherheit. Durch die Neuordnung der Regelungen für das private Sicherheitsgewerbe in einem eigenständigen Gesetz werden wir die ­Sicherheitsstandards

Der Beitrag basiert in weiten Teilen auf dem 5. Weißbuch der CoESS, dem europäischen Dachverband der Sicherheitswirtschaft, „The new security company: integration of services and technology responding to changes in customer demand, demography and technology” (CoESS 2015). Es wurde gemeinsam von der CoESS und dem BDSW auf der Sicherheitstagung am 23. April 2015 in Berlin vorgestellt. An diesem Weißbuch haben mitgearbeitet: Martin Hildebrandt, Friedrich P. Kötter, Reinhard Rupprecht, Dr. Berthold Stoppelkamp und Silke Wollmann. Mein besonderer Dank gilt Kirsten Wiegand, Referentin für Sicherheitsforschung beim BDSW, für die kritische Durchsicht, die Korrekturen und Anmerkungen sowie die Zusammenstellung des Literaturverzeichnisses. Nicole Ernst ist für Erstellung unseres Statistiksatzes „Sicherheitswirtschaft in Deutschland“ zuständig und hat die Abbildungen erstellt und in den Text eingefügt. Auch dafür vielen Dank! H. Olschok (*)  Zornheim, Deutschland E-Mail: [email protected] © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_2

17

18

H. Olschok

in diesem Gewerbezweig verbessern und so für noch mehr Sicherheit und ­Verlässlichkeit sorgen“ (Bundesregierung 2018, S. 127). Damit hat der Bundesverband der Sicherheitswirtschaft (BDSW) ein wichtiges Verbandsziel erreicht. Seit Langem weisen wir darauf hin, dass das Gewerberecht bei Weitem nicht (mehr) ausreicht, der faktischen Bedeutung der privaten Sicherheitsdienste für die Innere Sicherheit in Deutschland gerecht zu werden. Wir haben in unserem Positions- und Forderungspapier vor der Bundestagswahl deutlich gemacht, welche Maßnahmen notwendig sind, um Deutschland noch sicherer zu machen (vgl. BDSW 2017). Deutschland ist eines der sichersten Länder der Welt. Die veröffentlichten Zahlen aus der Polizeilichen Kriminalstatistik für das Jahr 2017 zeigen, dass die Zahl der in Deutschland erfassten Verbrechen im Vergleich zum Vorjahr um fast zehn Prozent gesunken ist (vgl. Bundeskriminalamt 2018). Dazu haben auch die privaten Sicherheitsunternehmen mit ihren rund 260.000 Mitarbeiterinnen und Mitarbeitern beigetragen. Sie leisten mit ihren Dienstleistungen und Produkten täglich einen wichtigen Beitrag zur Gefahrenabwehr innerhalb der Sicherheitsarchitektur Deutschlands. (Qualifizierte) private Sicherheitsdienste können zu einer wirkungsvollen Entlastung der Polizei beitragen und die objektive Sicherheit, aber auch das subjektive Sicherheitsempfinden der Bürgerinnen und Bürger, nachhaltig verbessern. Auch dazu müssen die privaten Sicherheitsdienste auf eine neue rechtliche Grundlage gestellt werden. Ziel muss es sein, die privaten Sicherheitsdienste in den Zuständigkeitsbereich der Innenbehörden zu überführen, wie dies in fast allen Mitgliedsstaaten der EU der Fall ist. Wir wissen um die damit einhergehenden juristischen, verwaltungsrechtlichen und politischen Herausforderungen. Das im November 2016 vom Deutschen Bundestag beschlossene Gesetzespaket zur Änderung von bewachungsrechtlichen Vorschriften stellt einen Schritt in die richtige Richtung dar. Es bleibt aber hinter den Erwartungen des BDSW zurück. Die Einführung einer verschärften und regelmäßigen Überprüfung von Personal und Unternehmern, der Sachkundeprüfung für den künftigen Unternehmer und von leitenden Mitarbeitern beim Schutz von Flüchtlingsunterkünften und zugangsgeschützten Großveranstaltungen reichen nicht aus. Große Hoffnung setzen wir in das geplante „Bewacherregister“, das 2019 fertig sein soll. Dies muss die Anforderungen aus Sicht der Branche berücksichtigen und transparent und kostengünstig werden. Wichtig sind vor allem eine schnelle und unbürokratische Überprüfung von Sicherheitsmitarbeitern sowie eine Vermeidung von unnötigen und zeitaufwendigen Doppelüberprüfungen. Hierzu gehören auch die Überprüfung der waffenrechtlichen Genehmigungsverfahren für Geldtransporte sowie die Sicherheitsüberprüfungen beim Schutz von militärischen Liegenschaften oder in der Luftsicherheit. Für einzelne Aufgabengebiete, die eine enge Zusammenarbeit mit der Polizei erfordern, sind spezialgesetzliche Regelungen zu schaffen. Das gilt für den Schutz

Sicherheitsarchitektur im Wandel: Der Beitrag …

19

von Großveranstaltungen, Flüchtlingsunterkünften, des Öffentlichen Personenverkehrs und von Einrichtungen, die zu den kritischen Infrastrukturen zählen. Für den Schutz militärischer Liegenschaften, den Schutz von Atomkraftwerken und die Sicherheitsaufgaben an den Verkehrsflughäfen wurden derartige eigenständige rechtliche Regelungen bereits geschaffen. Nur in einer spezialgesetzlichen Regelung lassen sich Anforderungen an die Leistungsfähigkeit, Organisation, Qualifizierung sowie Ausstattung der privaten Sicherheitsdienste zwingend festlegen. Wichtig ist auch eine über das Gewerberecht hinausgehende erweiterte Zuverlässigkeitsprüfung. Die zahlreichen Piratenangriffe auf (deutsche) Schiffe vor rund zehn Jahren haben dazu geführt, dass im Gewerberecht die Voraussetzungen für den Einsatz bewaffneter privater Sicherheitsdienste geschaffen wurden. In diesem Fall wurden in kürzester Zeit neue rechtliche Grundlagen von der Politik geschaffen.1 Die Sicherheitswirtschaft und der sie vertretende BDSW sind in den letzten 15 Jahren ihrer sicherheitspolitischen Verantwortung für Deutschland gerecht geworden. Wir haben an der Entstehung mehrerer Studiengänge für privates Sicherheitsmanagement an den Polizeihochschulen in Berlin, Kiel-Altenholz und Hamburg aktiv mitgearbeitet. Das gilt auch für die beiden Ausbildungsberufe in der Sicherheitswirtschaft und für die Fortbildungsregelung zur Geprüften Schutzund Sicherheitskraft. In zehn Bundesländern haben wir Kooperationsvereinbarungen mit den jeweiligen Landespolizeibehörden unterzeichnet. Außerdem arbeiten wir aktiv in der „Initiative Wirtschaftsschutz“ mit. Diese Anstrengungen für noch mehr Qualität und Seriosität der Sicherheitsdienstleistungen werden nur dann nachhaltig sein, wenn – wie von der Großen Koalition vorgesehen – in der 19. Legislaturperiode die rechtlichen Rahmenbedingungen für die privaten Sicherheitsdienste auf eine neue, zeitgemäße

1Die zahlreichen Piratenüberfälle auf die internationale Schifffahrt haben im Sommer 2012 dazu geführt, dass die Bundesregierung beschlossen hat, künftig bewaffnete Sicherheitsdienste im Kampf gegen Piraterie zuzulassen. Deutschland ist nach Japan und Griechenland die größte Schifffahrtsnation und war deshalb von den Piraten-Überfällen in besonderer Weise betroffen. Die Forderungen der Polizeigewerkschaften, die Bundeswehr bzw. die Bundespolizei zum Transportschutz auf den internationalen Seewegen einzuführen, wurden von der Politik abgelehnt. Stattdessen wurde ein neues Zulassungsverfahren in das deutsche Gewerberecht eingeführt. Auf dieser Grundlage eines unternehmensbezogenen Ansatzes muss der Antragssteller darlegen, dass die von ihm eingesetzten Sicherheitskräfte über die erforderlichen Fähigkeiten und Kenntnisse verfügen und persönlich geeignet und zuverlässig sind. Die Zulassung erfolgt durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle. In Deutschland sind derzeit sieben Unternehmen zugelassen. Es gab und gibt einen „Markt für Piratenbekämpfung“. Ziel muss es sein, diesen Markt auch für deutsche Sicherheitsunternehmen zu erweitern.

20

H. Olschok

­ rundlage gestellt werden. Der BDSW ist bereit, sich mit seinem Know-how G aktiv in den politischen Entscheidungsprozess einzubringen.

2 Sicherheitswirtschaft im Überblick (Olschok 2010) Eine moderne Industriegesellschaft zeichnet sich vor allem durch eine hoch spezialisierte, arbeitsteilige und vernetzte Wirtschaft aus. Um das Risiko einer kostenintensiven Unterbrechung von Produktion und Dienstleistungserbringung zu minimieren, sind vielfältige Maßnahmen zur Gefahrenabwehr notwendig. Unternehmen und Behörden sind aber auch im Interesse ihrer Beschäftigten und Kunden verpflichtet, alles denkbar Mögliche zum Schutz zu unternehmen. Seit einigen Jahren stehen die terroristischen Bedrohungen im Vordergrund der politischen und medialen Aufmerksamkeit. Dabei darf aber die Alltagskriminalität nicht außer Betracht bleiben. Der Kampf gegen Kriminalität und andere Formen „abweichenden Verhaltens“ ist dabei nur ein Aufgabengebiet. Gefahren in einer „Risikogesellschaft“ drohen unter anderem durch Feuer, Wasser und Wetter. Die Industrie, Banken, Handel, Verkehrsbetriebe und sonstige Wirtschaftsunternehmen haben sich heute selbst vor den vielfältigsten Risiken einer modernen Industriegesellschaft zu schützen. Sicherheit ist eine umfassende Dienstleistung, die verschiedene Ausprägungen hat. Seit über einem Jahrhundert schützen sich Wirtschaft, Bürger und auch der Staat im Rahmen eigener Vorsorge gegen unterschiedlichste Risiken und bedienen sich dabei privater Wach- und Sicherheitsunternehmen. In der ersten Hälfte des Jahres 1901 wurden fast zeitgleich in Kopenhagen und in Hannover die ersten Sicherheitsunternehmen Europas gegründet. Der Kern der Bewachungstätigkeit („aktive Obhutstätigkeit“) ist im Laufe der vergangenen fast 118 Jahre gleich geblieben. Der Wert der zu bewachenden Objekte, das Anspruchsniveau der Auftraggeber, die eingesetzte Technik, die großen Herausforderungen durch die insgesamt gestiegenen Risiken, aber vor allem die immer komplexer werdende Rechtsordnung haben die Anforderungen an die Unternehmen und ihre Mitarbeiter kontinuierlich erhöht. Das Sicherheitsgewerbe hat sich europaweit von der ursprünglichen Wach- und Schließgesellschaft zu einem umfassenden Allround-Sicherheitsdienstleister entwickelt. Dr. Stephan Landrock, damaliger Präsident der Confederation of European Security Services (CoESS), fasste diese Entwicklung wie folgt zusammen: „Das Bewachungsgewerbe entwickelt sich zum Sicherheitsgewerbe mit Generalfunktion zur Risikominimierung.“

Sicherheitsarchitektur im Wandel: Der Beitrag …

21

Tab. 1   Übersicht: Entwicklung der Beschäftigtenzahlen, Umsätze und Unternehmen Beschäftigte

Umsatz in Mrd. Euro

Unternehmen

1980

50.000

0,5

500

1990

80.000

1,2

900

2000

140.000

3,4

2570

2010

172.000

5,0

5263

2017

260.000

8,5

6500

Quellen: (Bundesagentur für Arbeit 2015; Statistisches Bundesamt 2016). Die Angaben für die Jahre 1980, 1990 und 2000 sind aufgrund mehrerer Änderungen der Wirtschaftsklassen nur bedingt mit den aktuellen Zahlen vergleichbar

Die Tab. 1 zeigt die Entwicklung der Anzahl der Beschäftigten, des Umsatzes und der Unternehmen.

3 Nachfrage nach privaten Sicherheitsdienstleistungen Das Sicherheitsbedürfnis des Staates, der Kommunen und der Wirtschaft haben sich stark verändert. Die tatsächliche Entwicklung der Bedrohungslage und Risikoentwicklung sind nur ein Aspekt. Mindestens genauso wichtig ist aber die eigene Bewertung dieser Bedrohung. Dabei dürfen aber auch die wirtschaftlichen Aspekte nicht unberücksichtigt gelassen werden. Die allgemeine wirtschaftliche Lage entscheidet über die gesamtwirtschaftliche Situation. Die eigenen finanziellen Ressourcen, die Kosten möglicher Sicherheitsvorkehrungen und auch die Effizienz moderner Sicherheitstechnik beeinflussen die Sicherheitsbedürfnisse der Kunden. Ebenso sind die gesamtgesellschaftlichen Entwicklungen von Bedeutung. Die Spannbreite zwischen Arm und Reich wird aller Voraussicht nach weiter zunehmen. Hierzu gehört auch die Einwanderung von Flüchtlingen aus dem Süden der Weltkugel. Gerade bei Jugendlichen mit Migrationshintergrund ist eine überdurchschnittlich hohe Arbeitslosigkeit vorhanden. Dies führt häufig zu entsprechenden Steigerungen von Frustration und Aggressionen und zu Gewaltausbrüchen im öffentlichen Raum sowie auch zu Brandstiftungen in sozialen Brennpunkten von Großstädten.

22

H. Olschok

Die Nachfrage nach Sicherheitsdienstleistungen hängt vor allem von folgenden Faktoren ab: 1. Schutz- und Sicherheitsbedürfnis 2. allgemeine wirtschaftliche Entwicklung 3. Kriminalitätsentwicklung 4. Preisentwicklung 5. technische Entwicklung 6. Leistungsfähigkeit der Sicherheitsunternehmen 7. Auflagen durch Gesetze und Verordnungen Die Dichte der Präventionsmaßnahmen zur Abwehr von Einbrüchen und Raubüberfällen wird weiter zunehmen. Der Einsatz von Videoüberwachung, Einbruch- und Überfallmeldeanlagen hat schon heute eine nicht unerhebliche Bedeutung. Aber auch die Marketing-Aktivitäten der Sicherheitswirtschaft dürfen nicht unberücksichtigt bleiben. Der Hinweis auf die Leistungsfähigkeit der Sicherheitswirtschaft hat eine entsprechende Nachfrage zur Folge. In Deutschland spielen auch Präventionsberatungsstellen der Polizei eine wichtige Rolle. Sie informieren objektiv und kostenlos über die Möglichkeiten von technischen Sicherheitsmaßnahmen. Präventionsgremien im kommunalen Bereich sind das Ergebnis eines steigenden Gefahrenbewusstseins der Bevölkerung. Auch sie haben die Aufgabe, die Maßnahmen für Schutz und Sicherheit weiter auszubauen.

4 Herausforderungen im Wirtschaftsschutz Die deutschen Unternehmen stehen vor gewaltigen Herausforderungen im Sicherheitsbereich. Immer mehr von ihnen agieren nicht mehr alleine in einem rein nationalen Bedrohungsumfeld, sondern stehen einem immer schärferen globalen Wettbewerb gegenüber, mit all seinen spezifischen Risiken. Das gilt auch für immer mehr kleine und mittelständische Unternehmen (KMU), die mit ihrem Ideenreichtum, ihrer Flexibilität und Innovationsfähigkeit das Rückgrat des Wirtschaftsstandortes Deutschland sind. Unternehmen müssen sich dabei viel mehr als früher mit einer Vielzahl von Bedrohungen und Sicherheitsrisiken auseinandersetzen. Das sind einerseits Bedrohungen durch Wirtschaftskriminalität einschließlich Korruption, Sabotage, Cyber-Angriffe, Spionage und andererseits auch politische Instabilität in Auslandsmärkten. Die Polizeiliche Kriminalstatistik in Deutschland, aber auch das Bundeslagebild der Sicherheitsbehörden geben einen Überblick über die Entwicklung der genannten Straftaten (vgl. u. a.

Sicherheitsarchitektur im Wandel: Der Beitrag …

23

­Bundeskriminalamt 2018). Diese können aber jeweils nur die angezeigten Straftaten berücksichtigen. In den vergangenen Jahren gab es deshalb eine Reihe von repräsentativen Befragungen der Wirtschaft durch Beratungsunternehmen oder auch Wirtschaftsprüfungsgesellschaften. Diese geben einen umfassenden Überblick über die Bedrohungslage (siehe z. B. Corporate Trust 2014, 2017). Die veränderten Bedrohungsphänomene, insbesondere die gewachsenen Bedrohungen durch Wirtschaftsspionage und Angriffe auf IT-Systeme, führen nach Ansicht von Experten zu gravierenden volkswirtschaftlichen Schäden im zweistelligen Milliardenbereich pro Jahr. Mehr als jedes zweite Unternehmen mit mehr als neun Mitarbeitern wurde zwischen 2015 und 2017 Opfer von Datendiebstahl, Industriespionage oder Sabotage. Dadurch entstand in diesen Jahren durchschnittlich ein geschätzter Schaden von knapp 55 Mrd. EUR (vgl. Berg und Maaßen 2017). Häufig gerät dabei aber in Vergessenheit, dass die meisten Unternehmen immer noch durch Diebstahl in seinen verschiedenen Ausprägungen geschädigt werden. Dies hat der Branchenverband BITKOM mehrfach in seinen Studien überzeugend herausgestellt (siehe Bitkom 2015). Diebstahl von IT- oder Telekommunikationsgeräten, von sensiblen elektronischen und/oder physischen Dokumenten führt zu beträchtlichen Schäden für die deutsche Wirtschaft. Die Mitgliedsunternehmen des BDSW betreuen heute Zehntausende Kunden aus der Wirtschaft. Dazu gehören insbesondere KMU. Diese verfügen im Unterschied zu vielen DAX-Unternehmen beziehungsweise „Global Playern“ nicht über eigene Sicherheitsabteilungen. So sind die notwendigen personellen, organisatorischen und technischen Ressourcen, die die entsprechenden Risiken für das eigene Unternehmen erkennen und ihnen effektiv begegnen können, nicht etabliert. Diese Aufgabe wurde und wird immer noch aus Kostengründen eingespart und von verschiedensten Funktionsträgern, zum Beispiel Verwaltungs- oder Personalleitern sowie Fachkräften für Arbeitssicherheit, im „Nebenjob“ wahrgenommen. Der mit der Kosteneinsparung verbundene Personalabbau im Sicherheitsbereich führt in der Regel auch zu einem Verlust von Fachwissen und Erfahrung und damit letztlich auch zu einer Sicherheitslücke. Diese können Sicherheitsdienstleister schließen. Nachgefragt werden verstärkt Beratungsleistungen, aber auch Problemlösungen hinsichtlich der beschriebenen Sicherheitsrisiken im In- und Ausland. Um diesen Risiken und Herausforderungen wirksam zu begegnen, sind ein Ausbau und eine Weiterentwicklung der Zusammenarbeit von Staat und Wirtschaft zur Gewährleistung der Inneren Sicherheit dringend geboten. Ein enger Schulterschluss mit dem Staat ist notwendig. Wir arbeiten aktiv an der „Initiative Wirtschaftsschutz“ mit, die im Jahr 2016 unter Federführung des Bundesinnenministeriums mit den Sicherheitsbehörden, den Spitzenverbänden und den Fachverbänden ASW und BDSW gegründet wurde (vgl. Initiative Wirtschaftsschutz 2016).

24

H. Olschok

BDSW-Mitgliedsunternehmen wirken maßgeblich bei der Schaffung und Weiterentwicklung von Sicherheitsstrukturen in der Wirtschaft mit. Unsere Branche hat damit, wie erwähnt, eine „Generalfunktion zur Risikominimierung“, die der Staat bei der Gewährleistung des Wirtschaftsschutzes verstärkt nutzen kann und sollte. Es gibt keinen anderen Verband in Deutschland, der über seine Mitgliedsunternehmen vergleichbar viele Unternehmen in allen Sektoren der Wirtschaft erreichen und in Sicherheitsfragen beraten und unterstützen kann.

5 Sicherheitsanalyse und Sicherheitsberatung am Beispiel Wirtschaftsschutz Um Bedrohungen und Risiken abzuwenden und Schaden zu minimieren, müssen eine Risikoanalyse vorgenommen und eine Sicherheitskonzeption entwickelt werden. Je komplexer die Bedrohungsszenarien werden, und je höher die Schadenswahrscheinlichkeiten, umso schwieriger ist dieser Analyse-, Bewertungs- und Entscheidungsprozess. Während große Unternehmen zunehmend einen Corporate Security Officer einsetzen, besteht diese Möglichkeit, wie erwähnt, in der mittelständischen Wirtschaft kaum. Davon profitieren externe Berater. Die Sicherheitsbehörden werden zunehmend ein wichtiger Akteur im Wirtschaftsschutz. In Medien und Konferenzen schildern und analysieren sie die Bedrohungsphänomene für die Wirtschaft, zeigen aber auch ihre Vorschläge zur Abwehr solcher Angriffe auf. So gibt es in Deutschland zahlreiche Behörden, die ihre Beratungskompetenz täglich unter Beweis stellen. Dazu gehören nicht nur zentrale Polizeidienststellen, sondern auch die Sicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Aber auch der Verfassungsschutz von Bund und Ländern arbeitet zunehmend an der Abwehr von der Spionage fremder Nachrichtendienste. Die Zollkriminalämter sind für die Bekämpfung der Produktpiraterie zuständig. Der BDSW will diesen Markt jedoch auch für seine Unternehmen eröffnen. Wir haben einen entsprechenden Arbeitskreis entwickelt, der unsere Mitglieder für die Belange des Wirtschaftsschutzes sensibilisieren soll und über aktuelle Herausforderungen informiert. Der BDSW will seine Mitgliedsunternehmen in den Bereichen Wirtschafts- und Informationsschutz sowie IT-Sicherheit weiterqualifizieren und dem Thema „Unternehmenssicherheit“ insgesamt bei der Qualifizierung seiner Mitgliedsunternehmen besondere Priorität einräumen. Damit sollen sie noch besser als bisher einen effizienten Beitrag zur Unternehmenssicherheit, vor allem für die mittelständische Wirtschaft, leisten können. Insbesondere die „hidden c­ hampions“, von denen es vor allem im Mittelstand immer mehr gibt, dürfen im Interesse

Sicherheitsarchitektur im Wandel: Der Beitrag …

25

u­ nseres Landes und in ihrem eigenen Interesse den Know-how-Vorsprung und ihre Wettbewerbsfähigkeit nicht verlieren. Wichtig ist der Schutz von Know-how, Informationen sowie IT-Struktur. Die bisherigen Informationsangebote des Staates und der staatlichen Stellen müssen sich noch mehr auf die besonderen Bedürfnisse der KMU auszurichten.

6 Sicherheitsdienstleistung und Sicherheitstechnik Die statistischen Angaben für die Umsätze und die Zahl der Beschäftigten bei den privaten Sicherheitsdiensten sind inzwischen gut erfasst, Änderungen werden vierteljährlich veröffentlicht. Die gilt nicht für die Unternehmen, die auf dem Gebiet der elektronischen und mechanischen Sicherheit tätig sind. Die Angaben in Abb. 1 basieren auf den Angaben der einschlägigen Fachverbände, die alle zwei Jahre von der Messe Essen erhoben werden. Insbesondere der Staat und die Kommunen sind bei der Auftragsvergabe von Sicherheitsdienstleistungen und der Beschaffung von Sicherheitstechnik tendenziell sparsam. Auch wird häufig das billigste Angebot anstelle des w ­ irtschaftlichsten

Abb. 1   Sicherheitsmarkt in Deutschland 2017. (Eigene Darstellung, Quellen: Security Essen 2018, eigene Berechnungen)

26

H. Olschok

p­räferiert. Darunter leiden insbesondere die qualitätsorientierten Anbieter. Im Unterschied dazu zeigen Untersuchungen und Umfragen, dass die finanzielle Ausstattung der Unternehmenssicherheit eher zunimmt. Das vorhandene Personal muss weitere Aufgaben wahrnehmen, und die Fremdvergabe von Sicherheitsdienstleistungen liegt weiter im Trend. Hier zeigt sich auch, dass der Ersatz von personellen Leistungen durch Technik weiter zunimmt. Auch die in den letzten Jahren deutlich überdurchschnittlich angestiegenen Löhne für die Mitarbeiter der privaten Sicherheitsdienste führen zu einem teilweisen Ersatz der Dienstleistungen durch Technik. Insbesondere neue Kunden tendieren dazu, langfristig preisgünstigere Sicherheitstechnik einzusetzen, wenn Sicherheitstechnik und Sicherheitsdienstleistung alternative Lösungen darstellen. Für Auftraggeber, die sich selbst in einer schwierigen wirtschaftlichen Situation befinden, kann dies aber auch zu einer deutlichen Einschränkung der Sicherheitsbedürfnisse führen. Im Klartext: Sicherheitsaufträge werden einfach gestrichen. Die immer komplexer werdenden Sicherheitsbedürfnisse begünstigen, wie oben erwähnt, generell Unternehmen, die eine Beratungsleistung für die Sicherheit anbieten. Anstatt selbst eine Gefahren- und Schwachstellenanalyse durchzuführen, die Sicherheitskonzeption zu entwickeln und daraus entsprechende Sicherheitsvorkehrungen zu ergreifen, werden qualifizierte externe Berater oder Consulting-Firmen beauftragt. Der Kunde wünscht zunehmend eine Gesamtlösung, in der Sicherheitstechnik und Sicherheitsdienstleistung bewertet werden. „Sicherheitsdienstleistung aus einer Hand“, von der Planung zum Betrieb der Sicherheitstechnikanlagen, ist ein wichtiger strategischer Vorteil für qualifizierte Unternehmen. Aber auch der technische Fortschritt begünstigt diesen Ersatz. So hat zum Beispiel die immer bessere technische Ausrüstung der Spezialfahrzeuge für den Geld- und Werttransport dazu geführt, dass die Überfälle nahezu gegen null gehen, obwohl Tag für Tag 2500 Spezialtransportfahrzeuge unterwegs sind. Als Teil des Erfolgsmodells gilt auch die Einführung der elektronischen Wegfahrsperre, die den Kraftfahrzeugdiebstahl nachhaltig verringert hat. Ein weiteres Beispiel ist die Videoüberwachung, die mit zahlreichen Sicherheitsdienstleistungen einhergeht. Dies gilt für den Detektiveinsatz im Einzelhandel genauso wie für den Sicherheits- und Ordnungsdienst in den Stadien und die Sicherheitsbegleitung im öffentlichen Personenverkehr. Ein weiteres Beispiel ist die Objektsicherung.

7 Integrierte Sicherheit – Beispiel Objektsicherung Objektsicherung stellt eine besondere Herausforderung für alle Verantwortlichen dar. Umso wichtiger ist es, Lösungsansätze zu finden, in denen Technik, Organisation und Menschen optimal, abgestimmt und effektiv eingesetzt werden. Dies

Sicherheitsarchitektur im Wandel: Der Beitrag …

27

kann nur gelingen, wenn man hier einen ganzheitlichen Ansatz wählt. Aus diesen Überlegungen heraus haben Experten des BDSW und des Verbandes für Sicherheitstechnik (VfS) Handlungsempfehlungen für integrierte Sicherheit erarbeitet, auf die hier im Folgenden Bezug genommen wird (BDSW und VfS 2016). Steigende Anforderungen in der Objektsicherung wurden und werden noch immer vorzugsweise durch den erhöhten Einsatz von entweder Technik oder Sicherheitspersonal oder durch die Veränderung von organisatorischen Maßnahmen abgedeckt. Diese Maßnahmen werden aber selten aufeinander abgestimmt und koordiniert. Das gilt sowohl für die Prävention als auch für Intervention, Kommunikation und Dokumentation. Die Ursachen hierfür sind vielfältig. Das liegt zum Teil an organisatorischen Missständen, zum Beispiel an der getrennten Verantwortung für Sicherheitskräfte und Technik. Fehlende Kenntnisse über das mögliche Zusammenspiel von Mensch und Technik sind auch noch häufig vorzufinden. In seltenen Fällen könnte man auch von blindem Aktionismus sprechen. Der ganzheitliche Lösungsansatz der integrierten Sicherheit gewinnt daher immer mehr an Bedeutung. Die integrierte Sicherheit betrachtet den kompletten Prozess von der Projektinitialisierung, der Planung, der Realisierung über die Abnahme bis zum Betrieb einschließlich aller damit verbundenen technischen und organisatorischen Anforderungen. Dazu gehören alle Komponenten des Sicherheitskonzeptes. Von der Perimetersicherung, über die Zutrittskontrolle, die Einbruchmeldetechnik, die Videoüberwachung, bis hin zu Leitstellen, Alarmverfolgung und Kommunikationstechnik. Natürlich beinhaltet die integrierte Sicherheit auch die Bewachung sowie andere Dienstleistungen wie Empfangsdienste, Risikomanagement etc. Dabei ist zu betonen, dass sich erhöhte Sicherheitsanforderungen nicht mehr nur durch zusätzliche Technik oder mehr Sicherheitsdienstleistung effektiv erfüllen lassen, sondern nur durch das Zusammenspiel einer Optimierung von Technik und Dienstleistung, der integrierten Sicherheit. Sicherheitsdienstleistung und Sicherheitstechnik werden dabei enger miteinander verknüpft. So ist der personelle Objektschutz ohne mechanischen Perimeterschutz und Videoüberwachung nur bedingt wirksam. Wie schon erwähnt, ist auch der rasante technische Fortschritt in der Sicherheitstechnik zu beachten. Sicherheitstechnik wird immer effizienter, die Innovationszyklen immer kürzer. Videoüberwachungstechnik wird immer leistungsfähiger. Im Brandschutz gibt es hochsensible Früherkennungssensoren für Rauchentwicklung und Brandlokalisierung. In der Zutrittskontrolle steigt die Leistungsfähigkeit von biometrischen Erkennungsverfahren. Damit verbunden sind deutliche Kostensenkungen. In der Kombination von Technik und Personal hat dies gravierende praktische Auswirkungen: Videoüberwachung unterstützt nahezu jede Sicherheitsdienstleistung, Produktionsprozesse und Lagerhallen werden durch baulichen und technischen

28

H. Olschok

Brand- und Explosionsschutz sowie durch Kontrollstreifen gesichert. Eine rechtzeitige und wirksame Intervention bedarf der Alarmauswertung und -übermittlung durch die Notruf- und Serviceleitstellen und einer situationsgerechten Intervention mittels technischer Fernwirkmaßnahmen und/oder menschlicher Kontrolltätigkeit. Sicherheitstechnik und Sicherheitsdienstleistung können so ausgewählt und aufeinander abgestimmt werden, dass sie alle örtlichen, zeitlichen und betrieblichen Rahmenbedingungen berücksichtigen. Bestehende Sicherheitslücken können immer weiter geschlossen werden. Der Nutzen der integrierten Sicherheit gegenüber einer Kombination von Einzelkomponenten unterschiedlicher Anbieter liegt klar auf der Hand. In einer zeitlich immer mehr durchgetakteten Welt wünscht sich der Anwender eine Problemlösung mit möglichst nur einem Anruf. Er hat einen Ansprechpartner, der sich bereichsübergreifend um die verzahnten Komponenten Consulting, Technik und Dienstleistung kümmert, da er für alle drei Bereiche zuständig ist. Hierbei ist es unerheblich, ob es sich um Planungsfehler, Bedienungsfehler, Softwarefehler oder technische Defekte handelt. Der Kunde hat am Ende eine Person als „Problemlöser“, anstatt sich mit den unterschiedlichen Anbietern über die jeweiligen Teilbereiche austauschen und nach einer Lösung suchen zu müssen. Im Bereich der Beratung und Analyse werden unter anderem die folgenden Sicherheitskomponenten zu einer integrierten Sicherheitslösung zusammengefasst: • Objektschutz • Werkschutz • Sicherheitstechnik • Personenschutz • Veranstaltungsschutz • Notruf- und Serviceleitstelle • Mobile Sicherheitsdienste • Feuerwehrdienste • Ergänzende Sicherheitsservices • Finanzierung Integrierte Sicherheitslösungen können auf nahezu alle Kundenbranchen spezifisch zugeschnitten werden. Beispielhaft sei hingewiesen auf den Schutz von kerntechnischen Anlagen, militärischen Liegenschaften und Flughäfen, auf die Luftsicherheit oder die Hafen- und Seesicherheit. Die jeweils geltenden rechtlichen Grundlagen sind zu beachten und zum Vertragsbestandteil zu machen. Branchenlösungen für den Schutz von Häfen und die Seesicherheit müssen dem Standard ISPS-Code (International Ship and Port Facility Security Code) entsprechen und

Sicherheitsarchitektur im Wandel: Der Beitrag …

29

von ­autorisierten RSOs (Recognized Security Organizations) des Sicherheitsdienstleisters geplant und durchgeführt werden. Eine Genehmigung der Planung, Analyse und Durchführung durch die Hafensicherheitsbehörde ist unbedingt erforderlich. Branchenlösungen für Logistik und Transport wiederum umfassen oft insbesondere die Überwachung und Verfolgung des Güterverkehrs auf Unregelmäßigkeiten durch Techniken wie GPS-Verfolgung, RFID (Radio-frequency identification), aber auch verdeckte Ermittler zum Beispiel im Lagerbereich. Als geeignete Branchen für integrierte Sicherheitslösungen bieten sich an: • Kritische Infrastrukturen • Banken und Versicherungen • Energieversorger • Hotels • Industrie • Justizvollzugsanstalten • Forensische Kliniken • Militärische Einrichtungen • Museen • Öffentlicher Personennahverkehr • Rechenzentren • Veranstaltungen/Events

8 Herausforderungen für die Unternehmen: Das „neue Sicherheitsunternehmen“ (vgl. CoESS 2015) Die wachsenden Sicherheitsbedürfnisse von Kunden aus der Wirtschaft sowie von Staat und Kommunen unterliegen einem ständigen Wandel. Die Ursachen dafür sind vielschichtig. Die Sicherheitsunternehmen müssen sich auf diese wechselnden Kundenbedürfnisse einstellen und eine kundespezifische Gesamtlösung entwickeln. Diese setzt eine Sicherheitskonzeption der gesamten „Sicherheitskette“ voraus. In diese muss, wie oben dargestellt, die Sicherheitstechnik eingeplant und letztlich in eine Gesamtlösung integriert werden. Inzwischen geht die Entwicklung sogar noch weiter. Kompetente private Sicherheitsdienste bieten ihren Kunden die Übernahme der gesamten Unternehmenssicherheit an. Die beschriebenen Veränderungen können nur dann erfolgreich umgesetzt werden, wenn sich das Sicherheitsunternehmen in seiner Strategie darauf ausrichtet.

30

H. Olschok

Wesentlich handelt es sich um • eine Abwägung von Chancen und Risiken • die Intensivierung des technischen Know-hows, Gewinnung technischer Experten und die technische Fortbildung aller zum Einsatz kommenden Mitarbeiterinnen und Mitarbeiter • Akquisition von und/oder strategische Partnerschaften mit Sicherheitstechnikfirmen und IT-Unternehmen • Optimierung der Infrastruktur des Sicherheitsunternehmens • Maßnahmen zur Bewältigung des Fachkräftemangels infolge der demografischen Entwicklung • organisatorische Veränderungen im Unternehmen Dass Sicherheitsdienstleister ihren Kunden nicht nur personelle Sicherheitsdienstleistungen anbieten, sondern auch Sicherheitslösungen, in die auf spezifischen Kundenwunsch hin Sicherheitstechnik integriert wurde, ist grundsätzlich nicht neu. Dies war aber bisher die Ausnahme. Derzeit steht das Sicherheitsgewerbe in einem sich flächenartig entwickelnden Business Change, einem Paradigmenwechsel, der auch in der Werbung seinen Ausdruck findet. Vor allem die führenden Unternehmen werben damit, dass sie Bewachung, Alarmübertragung und mobile Bewachungsdienste integrieren, technologische Lösungen anbieten, um die Kosten effizient zu gestalten, langfristige Kundenbeziehungen anstreben und einen Mehrwert bieten. Damit verbunden ist immer wieder die Zielsetzung, die Umsätze und Gewinne und das Shareholder-Value zu verbessern. Damit diese Zielsetzungen auch in der Praxis erfüllt werden können, bedarf es vielfältiger Voraussetzungen. Die Beratung, Projektierung, Installierung und der Betrieb einer als Gesamtlösung verstandenen integrierten Sicherheitstechnik fordert sowohl das Management als auch die beim Kunden eingesetzten Sicherheitsmitarbeiter. Eine besondere Herausforderung ergibt sich für unsere Mitgliedsunternehmen auch aus der heterogenen Kundenstruktur (vgl. Abb. 2). Einige große Sicherheitsdienstleister haben bereits damit begonnen, ihre Struktur darauf auszurichten, um den unterschiedlichen Sicherheitserfordernissen ihrer Kunden gerecht zu werden. Eine wichtige Voraussetzung ist das Expertenwissen über die anzubietende Sicherheitstechnik. Ohne fundierte Kenntnis der jeweiligen Technik kann der Sicherheitsdienstleister weder ein seriöses Angebot einer bestimmten Technologie unterbreiten, noch einzelne Systeme in ihrer konkreten Anwendbarkeit und effizient beurteilen und die Sicherheitstechnik in eine kundenspezifische Gesamtlösung integrieren. Dieses Expertenwissen muss entweder im Unternehmen selbst vorhanden sein oder durch die Verpflichtung externer E ­ xperten

Sicherheitsarchitektur im Wandel: Der Beitrag …

31

Abb. 2   Kundenbranchen der privaten Sicherheitsdienstleister in Deutschland 2016. (Eigene Darstellung, Quelle: Lünendonk und Hossenfelder 2017, S. 26)

auf dem Markt beschafft werden. Natürlich muss auch das Management die anzubietende ­ ­ Technologie so weit kennen, dass die betriebswirtschaftlichen Chancen und Risiken sachgerecht abgewogen werden können. Die betriebswirtschaftlichen Auswirkungen der Integration von Sicherheitstechnik in das Leistungsspektrum müssen nachvollziehbar abgeschätzt werden können. Das Expertenwissen sowie das Wissen der Geschäftsführung reichen jedoch nicht aus. Damit die moderne Dienstleistung auf dem Markt erfolgreich verkauft werden kann, müssen auch die Sicherheitsmitarbeiterinnen und -mitarbeiter vor Ort wichtige Grundkenntnisse der Sicherheitstechnik haben. Mit der Einführung der bereits genannten Ausbildungsberufe und auch der Quereinsteigerregelung sind grundsätzlich die Vorrausetzungen dafür geschaffen, dass Mitarbeiterinnen und Mitarbeiter die notwendigen sicherheitstechnischen Grundkenntnisse haben. Sind die notwendigen technischen Kompetenzen nicht selbst im Unternehmen vorhanden, so muss über strategische Partnerschaften oder die Akquisition von sicherheitstechnischen Unternehmen nachgedacht werden. Dies gilt vor allem für die IT-­Sicherheitstechnik.

32

H. Olschok

Aber auch die Auswahl der zu integrierenden Sicherheitstechnik setzt ein großes Know-how voraus. Ausgehend von mechanischen Sicherheitssystemen einschließlich der Mechatronik über die modernen Schließsysteme bis hin zur Einbruchsschutztechnik und baulichen und technischen vorbeugenden Brandschutzmaßnahmen müssen die entsprechenden Kenntnisse vorhanden sein. Inzwischen gibt es auch immer mehr Sicherheitstechnik, die auf bestimmte Branchen spezialisiert ist. Der Schutz von Kunstobjekten in Ausstellungen und Museen muss anders gestaltet werden als der Schutz im öffentlichen Personenverkehr. Die technischen Möglichkeiten sind enorm. Dabei müssen jedoch immer wieder die Kosten und der Nutzen abgeschätzt werden. Nicht jede Technik ist in allen Bereichen einsetzbar. Hochmoderne Kameras verbessern je nach örtlichen Gegebenheiten deutlich die Detektions-, Klassifizierungs- und Identifizierungswahrscheinlichkeit. Je leistungsfähiger die eingesetzten Videosysteme sind, umso weniger notwendig sind die Kontrollen und damit die An- und Abfahrt des Sicherheitspersonals. Interventionskräfte können mittels Fernüberwachung von der Notruf- und Serviceleitstelle zum Einsatzort navigiert werden. Mit intelligenter Videoüberwachung und Analysesoftware lassen sich immer mehr Betriebsprozesse überwachen, Maschinenausfälle feststellen, Klimawerte ablesen, Mengenbewegungen und Kundenverhaltensmuster erkennen, Lagerbestände kontrollieren und entsprechende Maßnahmen aus der Ferne einleiten. Diese vielfältigen Maßnahmen können Betriebsunterbrechungen verhindern, Geschäftsprozesse effizienter gestalten und letztlich Kosten einsparen. Die Digitalisierung und Vernetzung der Vertriebsmittel und der Kommunikation im Alltag und der Arbeitswelt, in Gesellschaft, Wirtschaft und bei Behörden macht auch vor der Sicherheitswirtschaft nicht halt. Das „neue Sicherheitsunternehmen“ stellt sich in seiner Infrastruktur darauf ein. Herz dieser Entwicklung sind die Notruf- und Serviceleitstellen in den Unternehmen. Die frühere Bedeutung des VdS hat deutlich nachgelassen. Heute gibt es die europäische Norm EN 50518, die immer mehr zum Standard für die Alarmempfangsstelle wird. Das Anerkennungsverfahren ist anspruchsvoll und dazu geeignet, eine ganz neue Qualität der Dienstleistung zu erreichen. Für viele mittelständische Unternehmen sind die damit verbundenen Investitionen nicht zwangsläufig leistbar. Es kann davon ausgegangen werden, dass der Trend zur Spezialisierung geht. Alarmempfang und Alarmverarbeitung werden bei den leistungsfähigen Unternehmen bleiben, Interventionsdienste können an regionale Sicherheitsunternehmen vor Ort ausgelagert werden. Dieser Trend wird sich verstärkt fortsetzen. Aber auch im Innenbereich von Sicherheitsunternehmen wird die Digitalisierung die innerbetriebliche Organisation erleichtern und beschleunigen und damit letztlich auch optimieren. Damit können die Anzahl und das ­Anforderungsprofil für die eingesetzten Sicherheitskräfte verbessert werden, die

Sicherheitsarchitektur im Wandel: Der Beitrag …

33

­ eit- und D Z ­ ienstpläne lassen sich elektronisch bearbeiten sowie die Arbeitsmittel der Beschäftigten verwalten. Mit digitalisierten Kalkulationsprogrammen kann die Ausarbeitung von Angeboten im Vergabeverfahren deutlich erleichtert werden. Auf die individuellen Kundenbedürfnisse kann eingegangen werden. Die Digitalisierung von Dokumenten, Daten und Informationen reduziert letztlich Papier und Schreibarbeit. Durch den Aufbau einer Datenbank wird die Organisation transparenter und führt zur Aufdeckung von Schwachstellen. Dadurch kann auch die optimale Auswahl der jeweils an einem Einsatz zu beteiligenden Kräften je nach Anforderungsprofil und Mobilität gesichert werden. Auch die Einsatzdokumentation kann über eine solche Datenbank erfolgen. Große Unternehmen, die über mehrere Standorte, möglicherweise weltweit, verfügen, haben damit natürlich einen Wettbewerbsvorteil. Sie können im Rahmen ihrer EDV-Kenntnisse die Erfahrungen der einzelnen Gesellschaften umfassend und zeitnah nutzen. Schließlich führen die verstärkte Einführung von Sicherheitstechnik und das Angebot von integrierten Sicherheitslösungen auch zu nachhaltigen Anforderungen an die Unternehmerorganisation. Insbesondere in größeren Unternehmen muss es künftig eine Chief Technology Officer (CTO) geben. Zur organisatorischen Entscheidung gehört auch die Frage, ob das vom Sicherheitsdienstleister angebotene Leistungsportfolio zur Branchensegmentierung führt. Die Anforderungen im Automobilsektor sind anders als in der Luftsicherheit, in der chemischen Industrie oder im Maschinenbau. Je mehr das Sicherheitsunternehmen die Geschäftsprozesse und Betriebsabläufe und alle damit zusammenhängenden Sicherheitsbedürfnisse in einer Branche kennt und im Auftragsfall befriedigen kann, umso eher kann es als Branchenspezialist auftreten. Tendenziell nimmt die Komplexität der Unternehmenssicherheit vor allem infolge der ständig ansteigenden IT-basierten Steuerung von Betriebs- und Geschäftsprozessen und der Vernetzung der einzelnen Funktionen und Prozesse ständig zu. Das Kompetenz-Team des jeweiligen Branchensegments im Sicherheitsunternehmen sollte das Denken und die Sprache der jeweiligen Kundenbranche kennenlernen. Je mehr gründliche Kenntnisse und Insiderwissen der Sicherheitsunternehmer und seine für die neue Aufgabenstellung ausgesuchten Manager über die Kundebranche haben, umso kompetenter können sie auftreten und in Verhandlungen mit den Branchenunternehmen überzeugend argumentieren.

9 Ausbildung und Qualifizierung Im Jahr 1996 wurde das Unterrichtungsverfahren bei einer Industrie- und Handelskammer für alle erstmals im Sicherheitsgewerbe beschäftigten Arbeitnehmerinnen und Arbeitnehmer sowie die künftigen Unternehmer eingeführt. Dieses

34

H. Olschok

­ nterrichtungsverfahren ist aber keine Ausbildung, sondern eine BerufszugangsU regelung. Sie wird den vielfältigen, heute von privaten Sicherheitsdiensten wahrgenommenen, Sicherheitsaufgaben nicht gerecht. Die vielschichtigen Tätigkeiten der privaten Sicherheitsdienste lassen aber auch eine auf alle Bedürfnisse zugeschnittene Ausbildung nicht zu. Die Beschäftigten werden oft aus den verschiedensten Berufszweigen mit unterschiedlichen Erfahrungen und unterschiedlichsten Qualifikationsniveaus rekrutiert. In der Regel erfolgt eine aufgaben- und tätigkeitsbezogene Qualifizierung durch das Sicherheitsunternehmen. Der Auftraggeber hat dabei eine wichtige Bedeutung bei der Vorgabe dieser Qualifikationsbedingungen. Einer der wichtigsten Meilensteine für die deutschen privaten Sicherheitsdienste in den letzten Jahrzehnten war die Einführung eines dreijährigen Ausbildungsberufs im Jahr 2002. Die Fachkraft ist Ausdruck der Professionalisierung des Sicherheitsgewerbes und vermittelt ein konstantes Berufsbild für die gesamte Sicherheitswirtschaft. Damit ist auch ein Instrument geschaffen, um künftig geeignetes Personal zu gewinnen. Seit 2008 gibt es auch noch einen zweijährigen Ausbildungsberuf. Die Servicekraft für Schutz und Sicherheit ist inhaltlich eng mit der Ausbildung zur Fachkraft verbunden. Inzwischen haben über 10.000 junge Menschen die Abschlussprüfung zur Fachkraft für Schutz- und Sicherheit erfolgreich absolviert. Jährlich fangen fast 1300 junge Menschen ihre Ausbildung an. Mit den beiden Berufsbildern haben wir wichtige Voraussetzungen geschaffen, um angesichts immer komplexerer und anspruchsvollerer Sicherheitsaufgaben erfolgreich zu agieren. Traditionell sind wir aber auch ein wichtiges Betätigungsfeld für Quereinsteiger. Seit gut 30 Jahren gibt es durch die deutsche Industrie- und Handelskammer anerkannte Weiterbildungsregelungen. Diese sogenannte Geprüfte Schutz- und Sicherheitskraft hat auf dem Markt ebenfalls eine große Bedeutung (vgl. BDSW 2018a). Abb. 3 zeigt die Entwicklung der Anzahl der bestandenen Abschlussprüfungen für die Fachkraft und Servicekraft für Schutz und Sicherheit. Aber auch im Führungskräftebereich haben wir im vergangenen Jahrzehnt wichtige Fortschritte erzielen können. Vor dem Hintergrund der sich verändernde Aufgaben steigt der Bedarf an qualifizierten Führungskräften für die privaten Sicherheitsdienste. An mehreren Polizeihochschulen gibt es Studiengänge. Sie schließen mit dem Bachelor, inzwischen aber auch mit dem Master ab. Aber auch an einer Reihe weiterer Hochschulen gibt es Studiengänge für die Sicherheitswirtschaft. Die Bandbreite reicht von der überwiegend juristischen Ausbildung über betriebswirtschaftliche Schwerpunkte bis hin zur Technik (siehe: Gerhold et al. 2018). Diese Studiengänge sind der richtige Schritt in die richtige Richtung. Um der zunehmenden Bedeutung der privaten Sicherheitsdienste gerecht zu werden, müssen unsere Unternehmen den immer besser ausgebildeten Nachwuchsführungskräften angemessene Beschäftigungsmöglichkeiten anbieten.

Sicherheitsarchitektur im Wandel: Der Beitrag …

35

Abb. 3   Auszubildende in der Sicherheitswirtschaft. (Eigene Darstellung, Quelle: DIHK 2017)

10 Qualität der Auftragsvergabe Die eingeleiteten Maßnahmen der Sicherheitswirtschaft zur Verbesserung der Qualität der Ausbildung und damit auch zur Qualität der Sicherheitsdienstleistung können nur dann erfolgreich sein, wenn sie von unseren Auftraggebern auch honoriert werden. Deshalb hat der BDSW in den vergangenen Jahren wichtige Anstrengungen zur Information für die Kundenseite seiner Mitgliedsunternehmen unternommen. Ein wichtiges Instrument ist das im Jahr 1998 von der CoESS gemeinsam mit den europäischen Gewerkschaften herausgegebene „Handbuch für die Vergabe von Aufträgen an Wach- und Sicherheitsdienste“. Dieses „Bestbieterkonzept“ wendet sich an Auftraggeber, die nur diejenigen Sicherheitsunternehmen auswählen wollen, die nicht nur den niedrigsten Preis, sondern auch eine qualitätsbewusste Dienstleistung anbieten. Dieses Konzept ist auch Grundlage für die Entwicklung der deutschen DIN 77200 „Anforderungen an Sicherungsdienstleistungen“. Diese Norm enthält transparente und nachprüfbare Q ­ ualitätskriterien für Sicherheitsdienstleistungen. Der BDSW hat bereits vor über zehn Jahren erkannt, wie wichtig die Normungsarbeit für eine gute Sicherheitsdienstleistung ist.

36

H. Olschok

Wir haben mit dem Antrag, die DIN 77200 auf europäischer Ebene fortzusetzen, Neuland betreten. Erstmals haben sich die damals 30 europäischen Mitgliedsstaaten des europäischen Normungsinstituts CEN (Comité Européen de Normalisation) auf einheitliche Grundbegriffe für das Sicherheitsgewerbe geeinigt. Die DIN EN 15602 gibt in insgesamt elf Kapiteln einen Überblick über den Anwendungsbereich, die Begriffe, Ausbildung, Auswahl des Personals, Bewachung durch Personen, mobile Streifen, Alarmverfolgung, Schlüsseldienst, Veranstaltungsschutz, Türsicherheit, Personenschutz, Dienstleistung im Zusammenhang mit der öffentlichen Ordnung und Allgemeines. Inzwischen gibt es weitere europäische Normungsvorhaben. Besonders hervorzuheben ist auch, dass die CoESS 2014 gemeinsam mit der Europäischen Kommission und den Gewerkschaften eine gründliche Überarbeitung des europäischen Bestbieterkonzepts vorgelegt hat (vgl. CoESS 2014). Damit zeigen die CoESS und ihre Mitgliedsverbände, wie wichtig ihnen die Verbesserung der Auftragsvergabe ist. Auch die Überarbeitung der DIN 77200 ist inzwischen fast komplett abgeschlossen. Wir hoffen, dass auch davon wichtige Impulse für die neue Sicherheitsfirma ausgehen.

11 Tarifpolitik und Arbeitsbedingungen Die privaten Sicherheitsdienste können nur dann erfolgreich auf dem Markt agieren, wenn sie über geeignete und kompetente Sicherheitsmitarbeiterinnen und -mitarbeiter verfügen. Verbesserungen im Bereich der Ausbildung und Qualifizierung sind dabei nur ein wichtiger Aspekt, ein weiterer ist die Entlohnung. Deshalb ist die Tarifpolitik, die die Entlohnung und die Arbeitsbedingungen der 260.000 Beschäftigten in Deutschland regelt, die Kernaufgabe des BDSW und seiner Landesgruppen. Wir haben in den letzten Jahrzehnten ein sehr differenziertes Tarifsystem entwickelt. Es ist mit Ausnahme eines bundesweiten Mantelrahmentarifvertrages für Sicherheitsdienstleistungen und eines Vertrages für Sicherheitsaufgaben an Verkehrsflughäfen länderorientiert. Der BDSW hat insgesamt 70 Tarifverträge abgeschlossen, die über 400 unterschiedliche Lohngruppen regeln, viele davon tätigkeitsorientiert. Diese sind ein Ausdruck der Vielschichtigkeit unserer Aufgaben. Die Tätigkeit an den Flughäfen, in einem Kernkraftwerk, im Werk- und Objektschutz, bei Veranstaltungen, im Revierdienst, in der Kontrolle des öffentlichen Personenverkehrs etc. ist hinsichtlich der Ausbildung, der Anforderungen und der rechtlichen Voraussetzungen völlig unterschiedlich zu bewerten. Dies spiegelt sich auch in der Entlohnung wider (vgl. BDSW 2018b). Im Sicherheitsdienstleistungssektor ist die Entlohnung immer die Grundlage der unternehmerischen Kalkulation. Natürlich fließen dann auch die Zuschläge

Sicherheitsarchitektur im Wandel: Der Beitrag …

37

für die unterschiedlichen Arbeitszeiten, die Sozialversicherungsbeiträge, Ausbildungskosten, Verwaltungskosten und selbstverständlich auch ein angemessener Gewinn in die Grundlage der Kalkulation ein. Damit die Beurteilung dem Markt erleichtert wird, ist es unser Bestreben, für neue Aufgaben auch eine eigenständige tarifliche Grundlage zu schaffen. Andernfalls besteht die Gefahr, dass bei Ausschreibungen jeweils die unterste Lohngruppe als Grundlage der Kalkulation genommen wird. Tarifverträge haben in Deutschland eine wichtige Ordnungsfunktion. Ziel muss es sein, eine transparente und nachprüfbare Tarifpolitik zu entwickeln. In Deutschland gibt es seit dem 1. Januar 2015 erstmals einen gesetzlichen Mindestlohn von 8,50 EUR pro Stunde, der am 1. Januar 2019 auf 9,19 EUR gestiegen ist und am 1. Januar 2020 auf 9,35 EUR steigen soll. Der BDSW will seine Tarifpolitik eigenständig weiterentwickeln, und zwar oberhalb des jeweils geltenden Mindestlohns. Dazu gehört aber auch die Bereitschaft unserer Kunden, die Qualitätsanstrengungen unserer Mitgliedsunternehmen zu honorieren und Qualifikationen deutlich oberhalb des Mindestlohns nachzufragen. Sicherheitsqualität hat ihren Preis!

12 Zusammenfassung und Ausblick Die privaten Sicherheitsdienste leisten mit ihren rund 260.000 Sicherheitskräften einen wichtigen Beitrag für die Innere Sicherheit in Deutschland. Ihre Bedeutung wird weiterhin zunehmen. Die Polizei bedarf einer der Bedrohungslage angepassten Personal- und Sachausstattung. Die Polizei ist aber in einer freiheitlichen Gesellschaft nicht in der Lage, die Sicherheit jedes Einzelnen und seines Eigentums stets überall und in jeder Situation zu gewährleisten. Die Bedrohungen durch Terrorismus und Einbruchkriminalität machen dies besonders deutlich. Eigensicherungsmaßnahmen von Wirtschaft, Staat und privaten Haushalten sind erforderlich. Der Staat hat zwar das Gewaltmonopol, aber kein Sicherheitsmonopol. Die Sicherheitswirtschaft hat in den letzten 15 Jahren eine Qualitätsoffensive gestartet. Es gibt zwei Ausbildungsberufe für die Sicherheitswirtschaft und eine Fortbildungsregelung sowie zahlreiche Studiengänge für privates Sicherheitsmanagement. Diese Anstrengungen in Qualität und Seriosität der Sicherheitsdienstleister wird nur dann nachhaltig sein, wenn der Staat seiner politischen und gesetzgeberischen Verantwortung gerecht wird. Er muss neue Rahmenbedingungen für die privaten Sicherheitsdienste schaffen und diese auf eine neue, zeitgemäße Grundlage stellen. Wir sind an den Grenzen des Gewerberechts angelangt. Qualifizierte private Sicherheitsdienste können zu einer wirkungsvollen Entlastung der Polizei

38

H. Olschok

beitragen und die objektive und subjektive Sicherheit der Bürgerinnen und Bürger nachhaltig verbessern. Voraussetzung dafür ist jedoch eine klare rechtliche Grundlage. Die Anforderungen an die einzusetzenden privaten Sicherheitsdienste müssen für alle festgelegt werden. Die privaten und staatlichen Auftraggeber müssen verpflichtet werden, Aufträge nur an entsprechend qualifizierte Dienstleister zu vergeben. Konkret sind die Anforderungen an die Leistungsfähigkeit, Organisation sowie Ausstattung der Unternehmen zu regeln. Durch die dringend notwendigen Änderungen der rechtlichen Rahmenbedingungen muss der Staat seinen Beitrag dazu leisten, dass sich künftig vor allem diese qualifizierten Sicherheitsdienstleister durchsetzen. Aber auch die Branche selbst muss durch freiwillige Normierung zum Ausdruck bringen, dass sie an einer nachhaltigen Verbesserung ihrer Dienstleistungen interessiert ist. Die rasanten technologischen Veränderungen führen zu sich permanent wandelnden Sicherheitsbedürfnissen der Kunden. Darauf muss ein erfolgreiches Sicherheitsunternehmen reagieren. Das setzt zwangsläufig kompetentes Management, umfassend ausgebildete Experten und am Ende der Kette auch qualifiziertes Sicherheitspersonal voraus. CoESS und BDSW haben in ihrem Weißbuch „Das neue Sicherheitsunternehmen“ die aktuellen Herausforderungen skizziert und Ansatzpunkte für eine erfolgreiche Bewältigung dieser Herausforderungen aufgezeigt.

Literatur Berg, A., & Maaßen, H.-G. (2017). Wirtschaftsschutz in der digitalen Welt. https:// www.bitkom.org/Presse/Anhaenge-an-PIs/2017/07-Juli/Bitkom-Charts-Wirtschaftsschutz-in-der-digitalen-Welt-21-07-2017.pdf. Zugegriffen: 30. Juli 2018. Bitkom (Hrsg). (2015). Presseinformation. Studie zu Wirtschaftsschutz und Cybercrime. www.bitkom.org/Presse/Presseinformation/Studie-zu-Wirtschaftsschutz-und-Cybercrime.html. Zugegriffen: 30. Juli 2018. BDSW Bundesverband der Sicherheitswirtschaft (Hrsg.). (2017). Deutschland sicherer machen. Sicherheitswirtschaft stärken und Eigenvorsorge fördern. Bad Homburg: o. V. https://www.bdsw.de/images/broschueren/Deutschland-sicherer-machen—Positionen-und-Forderungen-des-BDSW.pdf. Zugegriffen: 27. Juli 2018. BDSW Bundesverband der Sicherheitswirtschaft (Hrsg.). (2018a). BDSW Partner für Ausund Weiterbildung. Bad Homburg: o. V. https://www.bdsw.de/images/broschueren/ BDSW_Ausbildungsbroschuere_2018.pdf. Zugegriffen: 27. Juli 2018. BDSW Bundesverband der Sicherheitswirtschaft, & VfS Verband für Sicherheitstechnik e. V. (Hrsg.). (2016). Integrierte Sicherheit. Erläuterungen und Handlungsempfehlungen für Anwender, Sicherheitsdienstleister, Systemlieferanten, Errichter und Fachplaner/ Consultants. Bad Homburg: o. V. https://www.bdsw.de/images/broschueren/BDSW_ VfS_Broschure_Integrierte_Sicherheit_A4_2016_FIN.pdf. Zugegriffen: 30. Juli 2018.

Sicherheitsarchitektur im Wandel: Der Beitrag …

39

CoESS Confederation of European Security Services & BDSW Bundesverband der Sicherheitswirtschaft (Hrsg.). (2015). The new security company: Integration of services and technology responding to changes in customer demand, demography and technology. Fifth White Paper. Berlin, 23 April 2015. Wemmel: o. V. http://coess.org/newsroom. php?page=white-papers. Zugegriffen: 30. Juli 2018. CoESS Confederation of European Security Services & UNI Europa global union (Hrsg.). (2014). Auftragsvergabe für qualitätsvolle private Sicherheitsdienstleistungen. https:// www.bdsw.de/images/broschueren/Auftragsvergabe-EU-2014.pdf. Zugegriffen: 30. Juli 2018. Corporate Trust Business Risk & Crisis Management GmbH (Hrsg.). (2014). Cybergeddon. Studie: Industriespionage 2014. Cybergeddon der deutschen Wirtschaft durch NSA & Co.? https://www.corporate-trust.de/wp-content/uploads/2016/06/CT-Studie-2014_ DE.pdf. Zugegriffen: 27. Juli 2018. Corporate Trust Business Risk & Crisis Management GmbH (Hrsg.). (2017). Future report. Weltweite Mega-Trends und ihre Sicherheitsherausforderungen. https://www.corporate-trust.de/wp-content/uploads/2017/11/Future_report_2017_DT_webv2.pdf. Zugegriffen: 30. Juli 2018. Gerhold, L., Peperhove, R., & Jäckel, H. (Hrsg.). (2018). Sicherheit Studieren. Studienangebote in Deutschland 2.0. Schriftenreihe: Sicherheit, Nr. 20,. Berlin: Forschungsforum Öffentliche Sicherheit, Freie Universität Berlin. Initiative Wirtschaftsschutz (Hrsg.). (2016). Leitfaden Wirtschaftsschutz. https://www.bdsw. de/images/broschueren/Leitfaden-Wirtschaftsschutz_web.pdf. Zugegriffen: 30. Juli 2018. Olschok, H. (2010). Gewaltmonopol vs. Sicherheitsmonopol. In H. Brenneisen, D. Staack, & S. Kischewski (Hrsg.), 60 Jahre Grundgesetz (S. 101–123). Berlin: LIT Verlag (Buchreihe Polizei und Sicherheitsmanagement, Bd. 6, Hrsg. H. Brenneisen, H. Olschok, K. Wulff).

Quellen BDSW Bundesverband der Sicherheitswirtschaft (Hrsg.). (2018b). Entgeltübersicht für Sicherheitsmitarbeiter in ausgewählten Entgeltgruppen ohne Zulagen in €. https://www. bdsw.de/images/tarifuebersichten/2018/Uebersicht-Entgelt-2018-0201.pdf. Zugegriffen: 30. Juli 2018. Bundesagentur für Arbeit (Hrsg.). (2015). Beschäftigte nach Wirtschaftszweigen (WZ 2008) – Deutschland, West/Ost und Länder (Quartalszahlen) – März 2015. https:// statistik.arbeitsagentur.de/nn_31966/SiteGlobals/Forms/Rubrikensuche/Rubrikensuche_Form.html?view=processForm&resourceId=210368&input_=&pageLocale=de&topicId=746698&year_month=201503&year_month.GROUP=1&search=Suchen. Zugegriffen: 31. Juli 2018. Bundeskriminalamt (Hrsg.). (2018). Polizeiliche Kriminalstatistik. Bundesrepublik Deutschland. Bd. 1. Fälle, Aufklärung, Schaden. Version 2.0. https://www.bka.de/DE/ AktuelleInformationen/StatistikenLagebilder/PolizeilicheKriminalstatistik/PKS2017/ pks2017_node.html. Zugegriffen: 27. Juli 2018.

40

H. Olschok

Bundesregierung (Hrsg.). (2018). Ein neuer Aufbruch für Europa. Eine neue Dynamik für Deutschland. Ein neuer Zusammenhalt für unser Land. Koalitionsvertrag zwischen CDU, CSU und SPD. 19. Legislaturperiode. Berlin: o. V. https://www.bundesregierung.de/Content/DE/_Anlagen/2018/03/2018-03-14-koalitionsvertrag.pdf;jsessionid=09BE053C12818B85EE5DB8D7657E3CED.s1t1?__blob=publicationFile&v=6. Zugegriffen: 27. Juli 2018. DIHK Deutscher Industrie- und Handelskammertag (Hrsg.). (2017). Aus- und Weiterbildung. Ausbildung. Ausbildungsstatistiken. https://www.dihk.de/themenfelder/aus-und-weiterbildung/ausbildung/ausbildungsstatistiken. Zugegriffen: 31. Juli 2018. Gesetz zur Änderung bewachungsrechtlicher Vorschriften. (2016). Bundesgesetzblatt, Jahrgang 2016 Teil I Nr. 52, Bonn: Bundesanzeiger Verlag. https://www.bgbl. de/xaver/bgbl/start.xav?start=%2F%2F*%5B%40attr_id%3D%27bgbl116s2456. pdf%27%5D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl116s2456. pdf%27%5D__1532687323512. Zugegriffen: 27. Juli 2018. Lünendonk & Hossenfelder GmbH (Hrsg.). (2017). Lünendonk-Studie 2017. Sicherheitsdienstleister in Deutschland. Mindelheim: o. V. Security Essen (Hrsg.). (2018). Der Sicherheitsmarkt in Deutschland, Zahlen, Daten und Fakten zur Branche. O. O: o. V. Statistisches Bundesamt (Hrsg.). (2016). https://www.destatis.de/DE/ZahlenFakten/GesellschaftStaat/OeffentlicheFinanzenSteuern/Steuern/Umsatzsteuer/Umsatzsteuer.html. Zugegriffen: 31. Juli 2018.

Sicherheit ist das Fundament für Vertrauen in die Digitalisierung von Wirtschaft und Gesellschaft Volker Wagner 1 Prolog In den vergangenen Jahren wurden in der Wirtschaft, in der Wissenschaft und von staatlicher Seite große Anstrengungen unternommen, die Sicherheit in Pro­ dukten, Dienstleistungen wie auch in Unternehmen und Behörden zu verbessern. Die Bedrohungslage hat sich dennoch verschärft. Abwehrmaßnahmen haben nicht Schritt gehalten mit der Breite und Tiefe von Angriffen, gerade im CyberBereich. Es ist heute davon auszugehen, dass präventive Maßnahmen allein keinen hinreichenden Schutz bieten, sondern dass moderne Schutzkonzepte auch eine effiziente Detektion und professionelle Reaktion beinhalten, um die Wirkung von Angriffen zu minimieren.

2 Bedrohungslage der Wirtschaft Wer sich mit dem Thema Wirtschaftsschutz befasst, wird die aktuelle Dynamik der Bedrohungen schnell erkennen. Die zunehmenden Risiken, insbesondere durch Wirtschaftskriminalität und Wirtschafts- beziehungsweise Industriespionage, sind deutlich spürbar und fordern Politik, Wirtschaft und Gesellschaft in immer stärkerem Maße zum Handeln. Globalisierung und virtuelle Vernetzung tun ihr Übriges dazu, den Schutz zu einer hoch komplexen Herausforderung zu machen, der man als Einzelkämpfer längst nicht mehr gewachsen ist. Die Angriffsmethoden werden immer professioneller und V. Wagner (*)  ASW Bundesverband, Berlin, Deutschland E-Mail: [email protected] © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_3

41

42

V. Wagner

umfangreicher. Die Zahlen sprechen für sich. So bestätigt das Bundeskriminalamt für 2017 insgesamt 74.070 Fälle, die der Wirtschaftskriminalität zugeordnet sind. Im Bereich der Computerkriminalität hat das BKA zudem 108.510 Fälle in 2017 erfasst. Bei der Spionage wird der Schaden für die deutsche Wirtschaft mittlerweile sogar auf 50 Mrd. EUR pro Jahr geschätzt. Bei beiden Bedrohungsfeldern ist die Dunkelziffer wahrscheinlich noch wesentlich höher. Schwierig ist, dass Gesellschaft und Unternehmen selbst noch nicht ausreichend für das Bedrohungspotenzial sensibilisiert sind beziehungsweise die Bedrohung zwar wahrgenommen wird, aber die eigene mögliche Betroffenheit unbeachtet bleibt beziehungsweise unterschätzt wird. Oft fehlen Ressourcen und Know-how, um einen geeigneten Schutz zu etablieren. Unternehmen, die Opfer wurden, fürchten häufig einen öffentlichen Reputationsverlust, Regressforderungen oder gar strafrechtliche Folgen, wenn sie einen Vorfall melden. Ein Grund hierfür ist, dass es bis jetzt keinen kohärenten und abgestimmten Handlungsrahmen gibt, wie mit dem Thema umzugehen ist. Dabei sind Know-how und Innovationsfähigkeit deutscher Unternehmen die Schlüsselfaktoren ihrer Wettbewerbsfähigkeit und des wirtschaftlichen Wohlstands. Das macht sie wiederum als Angriffsziel sehr attraktiv. Das zeigt, warum es wichtig ist, das Thema Wirtschaftsschutz gemeinsam mit den Unternehmen, Sicherheitsbehörden und Verbänden voranzutreiben. Positiv ist, dass Behörden und Verbände dies aktuell zunehmend gemeinsam tun. So gibt es bereits klar definierte Anforderungen. Man arbeitet zusammen an Themen wie dem Betrieb einer gemeinsamen Sicherheitsplattform, einer neuen Qualität des wechselseitigen Informationsaustausches und einer gemeinsamen Internetplattform, um Informations- und Serviceangebote zum Thema zu bündeln. Auf der menschlichen Ebene möchte man die Sensibilität in der Wirtschaft hinsichtlich der Gefährdungslage stärken sowie eine bessere Vertrauenskultur schaffen. Dem Geforderten müssen nun Taten folgen. Gut ist: Allen ist bewusst, dass einzelne Organisationen oder Unternehmen nicht alle notwendigen Schutzmaßnahmen ergreifen können. Es braucht einen breiten Konsens und ein gemeinschaftliches Vorgehen. Die kriminellen Bedrohungen im Wirtschaftsleben umfassen ein breites Spektrum. Dazu gehören Diebstahl, Unterschlagung, Betrug und Untreue, die Verletzung von Geschäfts- und Betriebsgeheimnissen, Produkt- und Markenpiraterie, Geldwäsche, Korruption und Datenmissbrauch. Die zunehmende globale Technisierung und Vernetzung erhöht für jedes Unternehmen die Gefahr, selbst zum Opfer wirtschaftskriminellen Handelns zu werden. Ein weiteres wachsendes Risiko besteht darin, dass mit der steigenden Nachfrage nach wettbewerbsrelevanten Informationen die Gefahr wächst, dass vertrauliche ­ Informationen

Sicherheit ist das Fundament für Vertrauen in die …

43

mit Spionagemethoden beschafft werden. Die Wettbewerber und nicht selten auch Staaten haben es vor allem auf die geschäftsentscheidenden Informationen abgesehen. Das heißt, es geht um Patente, Innovationen, Kundendaten und Ausschreibungsverfahren ebenso wie um Marktstrategien und Informationen zu strategischen Veränderungen eines Unternehmens. Es handelt sich dabei um Geschäftsgeheimnisse, deren Wahrung über den Geschäftserfolg und mitunter über die Zukunft eines Unternehmens entscheidet. Um geeignete Gegenmaßnahmen entwickeln zu können, muss man zunächst wissen, gegen wen oder was man zu bekämpfen hat. Nur wer sein Bedrohungsspektrum kennt, kann sich bereits präventiv vorbereiten und schneller reagieren.

3 Wirtschaftskriminalität greift um sich Die Wirtschaftskriminalität existiert im Kern wohl ebenso lange, wie die Menschen Handel betreiben. Was sich verändert, sind der Weg und die Mittel, mit denen sich Kriminelle Zugang verschaffen. Ganz plakativ gesprochen, läuft heutzutage der Bankräuber nicht mehr unbedingt mit dem Strumpf über dem Kopf in die Bank, sondern versucht es über Missbrauch der virtuellen Eingangstore. Besonders das Internet spielt als Tatort eine große Rolle. Auch der Grad der Professionalisierung, einhergehend mit einer arbeitsteiligen Vorgehensweise, wächst branchenspezifisch, sodass man in manchen Fällen von organisierter Wirtschaftskriminalität sprechen kann. Aber auch klassische Themen wie Diebstahl, Bestechung, Betrug etc. sind nach wie vor hochaktuell und ein nicht zu unterschätzendes Problem für die Wirtschaft. Dabei sind die Motive der Täter ebenso umfänglich wie deren Kreativität im kriminellen Handeln. Studien belegen, dass 48 % der Täter eigene Mitarbeiter sind, und in mehr als jedem dritten Fall war auch das Management oder das Top-Management involviert. Eine besondere Herausforderung bei der Wirtschaftskriminalität besteht darin, dass es sich nicht um einzelne feststehende Straftaten oder um ein scharf abgrenzbares Deliktbündel handelt, sondern um ein komplexes kriminelles Umfeld. Das heißt auch, es gibt ein großes Dunkelfeld nicht angezeigter oder nicht erkannter Straftaten. Lediglich in etwas mehr als der Hälfte der festgestellten Fälle wurde von den Unternehmen eine offizielle Strafverfolgung durch die Behörden eingeleitet. Der Grund hierfür ist zumeist der drohende Reputationsverlust, der häufig höher gewichtet wird als der rein monetäre Schaden. Ein weiterer herausfordernder Aspekt ist die grenzüberschreitende Kriminalität. Die eigentliche Tat, der verursachte Schaden und die Nutzung der kriminell erwirtschafteten Mittel erstrecken sich immer häufiger über mehrere

44

V. Wagner

­ andesgrenzen hinweg. Zudem erschweren unterschiedliche Rechtsordnungen L den Strafverfolgungsbehörden die Arbeit erheblich. Dieser Trend wird sich aufgrund der Globalisierung des Business und des grenzüberschreitenden Geschäftsverkehrs verstärken. Zudem wird die Bedeutung des Internets als Mittel für die Begehung von Straftaten weiter zunehmen. Kriminalstatistiken belegen, dass die Zahl der Fälle von Wirtschaftskriminalität im Verhältnis zu den gesamten registrierten Straftaten eher gering ausfällt, diese Fälle aber etwa die Hälfte des kriminalstatistisch ausgewiesenen Gesamtschadens verursachen. So lag in 2017 der Anteil des durch Wirtschaftskriminalität verursachten Schadens in Höhe von 3,7 Mio. EUR am Gesamtschadensvolumen aller Straftaten bei etwa 50 % und war damit dominierend. Dabei handelt es sich hauptsächlich um den unmittelbar ermittelten Schaden ohne sogenannte Folgeschäden und -kosten. Dies ist ein Grund, warum Sicherheitsbehörden Alarm schlagen, da sie ein sehr hohes Risiko für einzelne Unternehmen und auch für das „volkswirtschaftliche Gesamtgefüge“ sehen. Einer der schwersten Fälle von Wirtschaftskriminalität in Deutschland war FlowTex aus dem Jahr 1999. Als die Firma in Insolvenz ging, wurde entdeckt, dass die Milliardengeschäfte fingierte Luftbuchungen waren. Ein gewaltiges betrügerisches Schneeballsystem wurde aufgedeckt. Im Zuge des Verfahrens wurden Freiheitsstrafen von insgesamt 58 Jahren verhängt, sogar Landesminister mussten gehen. Der Schaden betrug etwa 2,6 Mrd. EUR. Ein weiteres Beispiel für einen öffentlichkeitswirksamen Fall war der Mannesmann-Prozess. Hier ging es um Sonderzahlungen und Abgeltung von Pensionsansprüchen, sprich Untreue, zum Nachteil der Mannesmann AG. In der VW-Korruptionsaffäre hingegen ging es um die Bestechung des Betriebsrats mit finanziellen Zuwendungen, Luxusreisen und Dienstleistungen. 2006 stand die Siemens AG im Mittelpunkt eines der größten Korruptions- und Schmiergeldskandale der deutschen Wirtschaftsgeschichte. Die Gesamtkosten mit erwarteten und bereits verhängten Strafen, Beraterkosten und Steuernachzahlungen beliefen sich bei Siemens auf circa 2,9 Mrd. EUR. Eine Studie der KPMG aus 2016 zeigt auf, dass Fraud nach wie vor ansteigt. Ursachen sind zu schwache Kontrollen. Wenn die Täter in Gruppen agieren, erzielen sie höhere Profite als Einzeltäter. Täter sind sowohl eigene Mitarbeiter als auch Unternehmensdritte. Durch die Nutzung moderner IT erhöht sich die Angriffsfläche weiter. Bei den Deliktschwerpunkten gibt es je nach Branche und Businessmodell feine Unterschiede. Am häufigsten kommt es aber bei beiden Unternehmensformen zu Diebstahl und Unterschlagungsfällen sowie Betrug und Untreue. Bei Großunternehmen spielen zusätzlich Straftaten wie Geldwäsche, Verletzung von

Sicherheit ist das Fundament für Vertrauen in die …

45

Geschäfts- und Betriebsgeheimnissen oder Verletzung von Urheberrechten eine Rolle. Am stärksten betroffen sind die Bereiche Vertrieb, Lager und Logistik sowie der Einkauf. In größeren Unternehmen werden auch das Personalwesen und die Geschäftsführung als gefährdete Bereiche gesehen.

4 Wirtschaftsspionage – Unternehmen im Visier Mit der fortschreitenden Globalisierung der Märkte verschärft sich der globale Wettbewerb. Frühzeitig Informationen über aktuelle Marktentwicklungen zu erhalten, wird immer wichtiger. Ihre Beschaffung erfolgt auch unter Nutzung nachrichtendienstlicher Methoden. Patente und Erfindungen, Kunden- und Lieferantendatenbanken, Ausschreibungsverfahren und Marktstrategien, strategische Veränderungen, wie zum Beispiel beabsichtigte Unternehmensverkäufe und -käufe, stellen Know-how dar, das einen hohen Informationswert hat. Der Verlust solcher „Kronjuwelen“ führt bei betroffenen Unternehmen in der Regel zu massiven Wettbewerbsnachteilen und bei Bekanntwerden auch zum Verlust von Kundenvertrauen und zu Reputationsschäden. Im schlimmsten Fall kann dies zum Bankrott eines Unternehmens führen. Als Beispiel kann hier Nortel genannt werden. 2009 ging Nortel-Networks in die Insolvenz. Dabei war unter anderem ein Grund für den Auftragsrückgang der Reputationsschaden, als bekannt wurde, dass schon seit 2000 mutmaßliche chinesische Hacker durch das Abgreifen von Managementpasswörtern Zugriff auf strategische Interna der Firma hatten. Der Markt der illegalen Informationsbeschaffung mit nachrichtendienstlichen Mitteln wächst. Gerade bei Technologie- und Innovationsunternehmen steht Wirtschaftsspionage auf der Tagesordnung. International ist Wirtschaftsspionage sogar oftmals so verankert, dass in vielen Ländern dieser Welt die rechtliche Verpflichtung des Staates besteht, die einheimische Wirtschaft aktiv zu unterstützen. Wie deutsche Verfassungsschützer eindrücklich zu schildern wissen, kann das in der Praxis tatsächlich so aussehen, dass ein ausländisches Konkurrenzunternehmen eines deutschen Konzerns sein Produkt oder seine Dienstleistung optimieren möchte und sich Hilfe suchend an seinen Staat wendet, der wiederum seinen Nachrichtendienst mit der Beschaffung der gewünschten Informationen betraut. Das heißt, der deutsche Konzern würde in diesem Fall von einem professionellen Nachrichtendienst angegriffen, um an die entsprechenden Unternehmensdaten zu kommen. „Made in Germany“ ist nach wie vor ein Qualitätssiegel und steht für technologischen Fortschritt und erfolgreichen internationalen Wettbewerb. Es sind nicht

46

V. Wagner

mehr nur die Hightech-Firmen, die im Fokus von Spionageaktivitäten stehen, sondern im Besonderen ist der Mittelstand mit seiner Innovationskraft mehr und mehr betroffen. Wenn ein mittelständisches Unternehmen sein innovatives Knowhow nicht bis zum Patent schützen kann, kann das die Marktposition kosten. Dabei wird gerade hier die Bedrohung durch illegalen Know-how-Transfer häufig unterschätzt. Die aktuelle Studie Future Report von Corporate Trust und dem BVSW (Bayrischer Verband für Sicherheit der Wirtschaft) zeigt auf: Know-how-Verlust durch Spionage oder sonstigen Informationsabfluss stellt nach wie vor ein großes Problem für deutsche Unternehmen dar. Nur weniger als die Hälfte der Unternehmen (45 %) konnten bestätigen, dass ihr Unternehmen in den letzten drei Jahren nicht Opfer eines solchen Vorfalls wurde. Bei 29 % gab es einen konkreten Know-howVerlust. 25 % wussten es nicht und hatten damit vermutlich keine ausreichenden Kontrollmöglichkeiten im Unternehmen, um einen Spionageangriff überhaupt feststellen zu können. Insgesamt gesehen geht laut Einschätzung der Unternehmen die größte Gefahr bei Spionage beziehungsweise Informationsabflüssen von ausländischen Nachrichtendiensten aus. Fälle von Spionage gibt es in allen Branchen bei allen Unternehmensgrößen weltweit. Die Hotelkette Hilton wurde 2010 vom Konkurrenten Starwood beschuldigt, mehr als 100.000 Dokumente über eine erfolgreiche neue Hotelmarke gestohlen zu haben. Man vermutete, dass die Dokumente in elektronischer Form von einer Führungskraft kopiert und zum Konkurrenten mitgebracht ­wurden. Am häufigsten werden die Bereiche Vertrieb sowie logischerweise Forschung & Entwicklung ausgespäht. Aber auch bei Mergers & Acquisitions, ITServices Fertigung/Produktion, Personal und Einkauf sowie im Management und Geschäftsleitungsbereich gibt es Fälle. Die meisten Schäden entstehen dabei durch eigene Mitarbeiter, externe Geschäftspartner und Hackerangriffe. Auch hier stellt der eigene Mitarbeiter ein großes Risiko dar. Social Engineering, das Manipulieren von Menschen für eigene Zwecke durch die Ausnutzung von Eigenschaften wie Gutgläubigkeit, Hilfsbereitschaft, Respekt vor Autoritätspersonen, Stolz oder Konfliktvermeidung, ist auf dem Vormarsch. Am gefährlichsten ist und bleibt aber der unzufriedene Mitarbeiter, der über seine legalen Zugangsmöglichkeiten Insiderwissen über Schwachstellen besitzt und beispielsweise Daten von Kunden verkauft. Das Schadenspotenzial ist hier wesentlich höher als bei einem externen Täter. Allerdings machen sich nur wenige Unternehmen Gedanken über die Loyalität ihrer Angestellten. Auch die häufige Unwissenheit von Mitarbeitern, welches Know-how schützenswert ist, birgt ein hohes Risiko. IT-Sicherheitsvorkehrungen reichen als Schutz hier nicht aus.

Sicherheit ist das Fundament für Vertrauen in die …

47

Ein weiterer großer Risikobereich ist das Abgreifen von Informationen auf Geschäftsreisen im Ausland. Viele Unternehmen gehen zu sorglos mit ihren Informationen um, rüsten ihre Geschäftsreisenden nicht mit entsprechend verschlüsselter Hard- oder Software aus, viele treffen sogar keinerlei Sicherheitsvorkehrungen. Eng damit verknüpft schätzen Unternehmen die Verwendung mobiler Geräte wie Smartphones und Tablets und die sinkende Sensibilität der Mitarbeiter im Umgang mit sensiblen Daten als zunehmendes Risiko ein. Aber auch die Themen Outsourcing von Dienstleistungen und Cloud Services werden hier als bedrohte Felder gesehen – und das gerade auch vor dem Hintergrund, dass gefühlt die Zahl von staatlich gelenkten Hackeraktivitäten steigt. Die Datenerhebung der Spionagefälle ist sehr schwierig. Denn Unternehmen wissen oft nicht, dass sie Opfer eines Angriffs wurden, oder zeigen einen Vorfall nicht an. Nur bei circa jedem fünften Vorfall werden die Sicherheitsbehörden (Polizei oder Verfassungsschutz) hinzugezogen, die anderen bekannten Fälle wurden eher zufällig oder aufgrund von Ermittlungen der Sicherheitsbehörden entdeckt.

5 Steigende Herausforderungen durch Digitalisierung von Wirtschaft und Gesellschaft Die Entwicklung und Möglichkeiten der modernen globalisierten Welt sind in den letzten Jahrzehnten rasant fortgeschritten, was Gesellschaften rund um den Globus fundamental verändert hat. Kaum ein Bereich ist unberührt geblieben und ist in vielfältigster Weise durchdrungen. Ein Ende des Wachstums ist nicht in Sicht, und die Herausforderungen für alle Beteiligten steigen stetig an. Gleichzeitig wachsen die Komplexität und Verfügbarkeit der verwendeten Technologien und machen sie angreifbar. Im Rahmen dieser Entwicklung haben beispielsweise Cyber-Attacken in den letzten Jahren sowohl an Anzahl und Geschwindigkeit, als auch an „Intelligenz“ zugenommen. Normale Gegenmaßnahmen (wie Anti-Viren-Programme, Firewalls) bieten oftmals keinen ausreichenden Schutz. Die Präzision und Planung der Angriffe lassen auf eine internationale Vernetzung und Professionalisierung schließen. Dementsprechend reicht das Täterspektrum vom Einzeltäter, über organisierte Gruppen bis hin zu staatlichen Übergriffen. Dabei beschränkt sich das kriminelle Handeln nicht nur auf Computerbetrug, sondern geht über Industriespionage bis zum Terrorismus. Solche Angriffe, aber auch andere Risiken unseres Zeitalters (zum Beispiel Naturkatastrophen), kennen weder räumliche noch virtuelle Grenzen und bedrohen den einzelnen Bürger ebenso wie den

48

V. Wagner

Privaten und Öffentlichen Sektor. Dennoch werden Risiken häufig unterschätzt oder gar nicht erst wahrgenommen. Das heutige Bedrohungsspektrum verlangt nach umfassenden Maßnahmen mit kooperativen Ansätzen, denn klar ist, Sicherheit geht jeden etwas an. Die deutsche Wirtschaft befindet sich mitten im Prozess der digitalen Transformation. Für den deutschen Mittelstand stellt dies teilweise eine enorme Herausforderung dar. Die Bedrohungslage hat sich trotz großer Anstrengungen seitens der Wirtschaft, der Wissenschaft und des Staates verschärft. Abwehrmaßnahmen und die Sicherheitsinformationstechnologie haben nicht Schritt gehalten mit Cyberangriffen. Für Kriminelle wie für fremde Nachrichtendienste sind Cyberangriffe über das Internet hochattraktiv, da eine Vielzahl von Schwachstellen in Softwareprodukten permanent neue Ansatzpunkte für die Entwicklung von Schadprogrammen liefert. Cybersicherheit ist ein entscheidender Erfolgsfaktor, da nur ein notwendiges Maß an Sicherheit für Anwender und Kunden Vertrauen in Digitalisierung schafft. Daher hat sich auch das Rollenverständnis von Staat und Wirtschaft gewandelt, und es ist erforderlich, dass der Staat angesichts der Bedeutung von Cyber-Sicherheit stärkere Verantwortung in der Abwehr übernimmt und dass gleichzeitig die Fähigkeiten der Anwender zur Selbstverteidigung durch Hilfe zur Selbsthilfe verbessert werden.

6 Unternehmen brauchen eine umfassende Sicherheitsstrategie Unternehmen, die sich ihrer Verantwortung bewusst sind, sollten daher eine umfangreiche Sicherheitsstrategie entwickeln. Diese Strategie sollte sowohl strukturelle, das heißt allgemein Best Practice-Sicherheitsmaßnahmen, die heute als state-of-the-art gelten, als auch bereichsspezifische Maßnahmen zum Beispiel gegen Cyber Crime enthalten. Auf Erfahrungswerten basierend bestehen die wesentlichen Elemente einer Sicherheitsstrategie insbesondere in: • der Früherkennung von Gefahren: Nur wer rechtzeitig über die Gefahrenpotenziale informiert ist, kann geeignete Gegenmaßnahmen einleiten. • der rechtzeitigen Implementierung von präventiven Sicherheitsmaßnahmen, um mögliche Risiken von vorneherein auf breiter Basis zu minimieren. • dem Audit und Monitoring der getroffenen Maßnahmen, zur weiteren Risikominimierung und Kenntnis möglicher Restrisiken, vor und während der

Sicherheit ist das Fundament für Vertrauen in die …

49

Betriebsphase eines Produktes/einer Dienstleistung, um jederzeit geeignet reagieren zu können. • dem Umgang mit Sicherheitsvorfällen, sowohl im Simulationsfall zur Stärkung notwendiger Gegenaktivitäten, als auch bei echten Bedrohungen. • dem notwendigen Verständnis, gemeinsam gegen die globalen Bedrohungen unserer Gesellschaft einen aktiven Beitrag zu leisten und sich der Verantwortung bewusst zu sein. Denn geeignete Gegenmaßnahmen können nur dann ergriffen werden, wenn Sicherheitsrisiken und Abhängigkeiten von Unternehmensfunktionen und -prozessen identifiziert werden können. Überdies beinhaltet Sicherheit nicht nur die Minimierung von Risiken, sondern bietet auch Chancen, Verantwortung zu übernehmen und verlässliche und stabile Rahmenbedingungen für das Daily Business zu garantieren. Jeder Sicherheitsansatz muss über Standarddefinitionen hinausgehen. Um dieses Ziel zu erreichen, bedarf es der engen Zusammenarbeit aller Interessengruppen – Sicherheitsabteilungen in Unternehmen und Organisationen, Kunden, Politik und Öffentlichkeit. Sicherheit muss als gemeinsame Aufgabe betrachtet und erlernt werden, um über die Grenzen der eigenen Einheit hinaus zu denken. Man muss bereit sein, Informationen zu teilen, um das Bewusstsein und das Wissen zur wirksamen Abwehr von Bedrohungen zu erweitern. Prozesse müssen integriert werden, statt jedes Risiko isoliert zu betrachten.

7 Ein gemeinsames Abwehrbollwerk durch Vernetzung Wirtschaftskriminalität und Wirtschaftsspionage sind ein flächendeckendes und grenzüberschreitendes Problem, das sowohl große internationale Unternehmen als auch mittelständische und kleinere Unternehmen, die aufgrund ihres Knowhows zu einem attraktiven Ziel von Angreifern werden, beschäftigt. Hier lässt sich als Einzelkämpfer nicht genug ausrichten. Fehlende Erfahrungswerte und Ressourcen, um mit Sicherheitsvorfällen in diesem Spektrum umzugehen, sind ein Grund dafür. Der Kampf gegen Sicherheitsbedrohungen kann damit nicht als isoliertes Problem der Unternehmen oder deren Kunden angesehen werden, sondern stellt alle Beteiligten vor große Herausforderungen. Die Globalisierung hat die Strukturen von Wirtschaft und Gesellschaft immer mehr zusammenwachsen lassen. Damit werden Bedrohungen immer mehr zu übergreifenden Gefahren für alle.

50

V. Wagner

Um diese abzuwehren, ist nur ein gemeinschaftliches Vorgehen wirkungsvoll. Besonders Betreibern kritischer Infrastrukturen (zum Beispiel Energie, Transport, Telekommunikation) kommt hierbei eine besondere Rolle in dieser Problembewältigung zu. Aber auch andere Wirtschaftsbereiche wie auch die Bürger selbst sind verpflichtet, Maßnahmen zur Risikominimierung zu ergreifen. Es liegt daher im besonderen Interesse, alle Bereiche der Gesellschaft umfassend zu „vernetzen“. Um sich über die eigenen Maßnahmen hinaus zu schützen, schließen sich immer mehr Unternehmen zusammen und suchen den aktiven Expertenaustausch auch mit den zuständigen Sicherheitsbehörden und der Politik. Denn nur gemeinsam, durch den Austausch von Erfahrungen und Kenntnissen, können der Eigenschutz und der Schutz der gesamten Wirtschaft Deutschlands auf ein hohes Niveau gebracht und dort gehalten werden. Somit ist es von großer Bedeutung, in Gremien mit anderen Unternehmen und im Rahmen der öffentlich-privaten Zusammenarbeit mit Behörden eng zu kooperieren und Erfahrungen auszutauschen. Nur so können wir voneinander und miteinander lernen, die Gefahren einzudämmen. Denn den heutigen immer komplexeren und wandelbareren Risiken kann nur angemessen begegnet werden, wenn wir sowohl national als auch international gemeinschaftlich an einem Strang ziehen.

8 Die Bundessicherheitsbehörden: Wichtige Partner der Wirtschaft Ein wichtiger Partner der deutschen Wirtschaft im Wirtschaftsschutz sind die staatlichen Sicherheitsbehörden. So bieten die Sicherheitsbehörden ebenso wie die Nachrichtendienste auf Bundes- und Landesebene eine breit gefächerte und gut organisierte Unterstützung für die deutsche Wirtschaft. Das Bundeskriminalamt (BKA) ist einer der Hauptansprechpartner, wenn es um organisierte Wirtschaftskriminalität geht. Es veröffentlicht jährlich ein Bundeslagebild zum Thema, bestehend aus Daten der polizeilichen Kriminalstatistik und dem kriminalpolizeilichen Nachrichtenaustausch zur Wirtschaftskriminalität. Auch initiiert es regelmäßige Treffen und Informationsveranstaltungen und informiert via Newsletter über relevante Sicherheitsrisiken und -lagen. Das BKA hat im Kern eine Koordinierungsaufgabe nationaler und internationaler Kriminalitätsbekämpfung. In Bereichen internationaler oder besonders schwerer Kriminalität nimmt das BKA auch selbst Strafverfolgungsaufgaben wahr. Zusätzlich entsendet das BKA Verbindungsbeamte ins Ausland. Diese Beamten beobachten insbesondere die Entwicklungen von Drogen- und Rauschgiftkriminalität

Sicherheit ist das Fundament für Vertrauen in die …

51

und auch organisierter Bandenkriminalität. Zu ihrer Hauptaufgabe gehört somit die strategische und taktische Beobachtung der Kriminalitätslage vor Ort. Daher sind sie ein guter Anlaufpunkt für international agierende Unternehmen, die Informationen zur Kriminalitätslage in einem bestimmten Land suchen oder Unterstützung im Gastland brauchen. Bei einem tatsächlichen Vorfall in Deutschland unterstützen nach dem Föderalismusprinzip in erster Linie die Landeskriminalämter (LKA) federführend bei der Aufklärung und Verfolgung von Straftaten, sodass es sich empfiehlt, eine enge Zusammenarbeit anzustreben. Denn Landeskriminalämter haben hoch spezialisierte Einheiten mit entsprechenden Erfahrungswerten. Auch der Zoll beziehungsweise die Zollkriminalämter spielen, gerade in den Bereichen Produktpiraterie, Schmuggel, Finanzbetrug und organisierte Kriminalität, eine wichtige Rolle im Kampf gegen Wirtschaftskriminalität. Als das Einund Ausgangstor für Waren trägt das Zollamt insbesondere zum Schutz der Wirtschaft vor Wettbewerbsverzerrungen, vor mangelhaften Waren aus dem Ausland und vor den Folgen grenzüberschreitender organisierter Kriminalität bei. Das Bundesamt für Verfassungsschutz (BfV) sammelt zum Zwecke der Spionageabwehr und Proliferationsbekämpfung Informationen über sicherheitsgefährdende und geheimdienstliche Tätigkeiten und wertet diese aus. Diese Art des Wirtschaftsschutzes hilft Wirtschaftsunternehmen in Deutschland, sich vor staatlich gelenkter Ausspähung, Sabotage und politischem Extremismus besser zu schützen. In diesem Zusammenhang hat das BfV unter der Überschrift „Prävention durch Information“ Konzepte zur Sensibilisierung durch Aufklärung und Information entwickelt und stellt diese der Wirtschaft als Service zur Verfügung. Ebenfalls bieten die Ämter Hilfe für Unternehmen in Deutschland an, die tatsächlich Opfer eines Spionageangriffs geworden sind. Es gibt ein Expertenteam, das sich mit aktuellen Fällen auseinandersetzt und die notwendigen Ansprechpartner für die weitere Unterstützung kennt. Ebenso geschieht dies durch die Landesämter für Verfassungsschutz, die über regional tiefer ins Detail gehende Informationen verfügen. Gerade in unserer technologisierten Welt ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Hauptansprechpartner für die Wirtschaft speziell im Bereich Cyber-Kriminalität und IT-Schutz. Dazu betreibt das BSI ein bundesweites behördenübergreifendes Cyber-Abwehrzentrum, eine Kooperationseinrichtung deutscher Sicherheitsstellen, die sich auf nationaler Ebene mit der Abwehr elektronischer Angriffe auf IT-Infrastrukturen in Deutschland und somit auch auf die deutsche Wirtschaft befasst. Zudem stellt das BSI Standards und Richtlinien zum Schutz der IT bereit.

52

V. Wagner

In Zusammenarbeit mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) lassen sich vor allem krisenvorbereitende Maßnahmen erproben. Besonders aktiv ist das BBK im Bereich der Aus- und Weiterbildung und hat zu diesem Zweck eine Akademie für Krisenmanagement, Notfallplanung und Zivilschutz (AKNZ) eingerichtet. Diese fungiert als zentrale Aus- und Fortbildungseinrichtung des Bundes im Bevölkerungsschutz. Ein umfassender Schutz gegen alle denkbaren Gefahren verlangt abgestimmte und komplementäre Fähigkeiten und eine enge Kooperation. Die Teilnahme an Übungen wird auch Wirtschaftsvertretern ermöglicht. In eine ähnliche Richtung geht eine 2004 ins Leben gerufene Initiative namens „Länder übergreifende Krisenmanagement-Übung/ Exercise“ (LÜKEX). Die LÜKEX-Übungen sind strategische Übungen, die die Arbeit auf der strategischen Entscheidungsebene in Krisensituationen verbessern sollen. Ihr Ziel ist es, die übergreifende Reaktionsfähigkeit zu verbessern. An diesen Übungen nehmen regelmäßig auch Wirtschaftsunternehmen teil, insbesondere Betreiber kritischer Infrastrukturen. Im Rahmen der Globalisierung gibt es immer mehr Unternehmen, die international und auch in politisch kritischen Ländern tätig sind. Hier unterstützt der Bundesnachrichtendienst (BND) mit Länderinformationen und Spezialinformationen wie auch Lageeinschätzungen eine sicherere Tätigkeit deutscher Unternehmen im Ausland. Er ist ebenfalls ein guter Ansprechpartner, um allgemeine Informationen beziehungsweise eine Einschätzung zu bestimmten Themen in einem Land zu erhalten. Auch die deutschen Botschaften engagieren sich für die Interessen der im Ausland tätigen Wirtschaftsunternehmen zumindest insofern, als sie sich mit den Gepflogenheiten und Strukturen im Gastland auskennen und häufig allerlei gute Kontakte zu Politik, Verbänden und Wirtschaft pflegen.

9 Im Verband den Sicherheitsherausforderungen trotzen Staatliche Sicherheitsbehörden und -institutionen sind ein Kernbestandteil des Wirtschaftsschutzes, und eine Kooperation mit diesen Behörden ist eine Grundvoraussetzung, um einen erfolgreichen Schutz für Unternehmen zu ermöglichen. Dennoch gehen in manchen Fällen diese Kooperationen immer noch nicht weit genug. Gerade wenn es um Wirtschaftsbedrohungen geht, die allgemeiner, nicht branchenspezifischer Art sind, wie beispielsweise Spionage oder Korruption, ist ein Zusammenschluss auf breiter Basis vorteilhaft. Auch haben kleinere oder mittelständische Unternehmen nicht immer den Zugang und die Zeit, sich intensiv mit den Entwicklungen im Feld Wirtschaftsschutz auseinanderzusetzen. Da ­helfen

Sicherheit ist das Fundament für Vertrauen in die …

53

Verbände und Zusammenschlüsse, die als Sprachrohr der Wirtschaft und als ­Verbindungsglied zwischen Behörden und Politik und der Wirtschaft fungieren. Eine direkte Kooperation zwischen Unternehmen und Behörden ist durchaus vorteilhaft, aber nicht immer genug. Es gibt verschiedene Einrichtungen, die das Thema Sicherheit der Wirtschaft aufgreifen und vorantreiben und als Ansprechpartner zur Verfügung stehen. Bündnisse und (Dach-)Verbände haben sich das Thema Wirtschaftsschutz auf die Fahne geschrieben und zahlreiche interessenorientierte Initiativen ins Leben gerufen. Eine grobe Schätzung zeigt, dass rund 60 Verbände auf dem Gebiet der Unternehmenssicherheit in Deutschland tätig sind. Dabei haben sich einige Verbände auf gewisse Sicherheitsaspekte oder auch branchenspezifisch spezialisiert. Andere hingegen vertreten einen mehr ganzheitlichen Ansatz. So positioniert sich die Allianz für Sicherheit der Wirtschaft e. V. (ASW Bundesverband) als Allianz der Sicherheitsverantwortlichen in der deutschen Wirtschaft. In dieser Scharnierfunktion agiert sie als Interessenvertretung der Wirtschaft in Sicherheitsthemen, als Förderer von Zusammenarbeit und Kooperationen und als Netzwerk und Forum. Dabei koordiniert sie die Erarbeitung von Lösungen zu Sicherheitsproblemen und – in Abstimmung mit staatlichen Stellen – die Weitergabe sicherheitsrelevanter Informationen an deutsche Unternehmen. Als Bundesverband besteht die ASW aus Landesund Regionalverbänden sowie spezifischen Fachverbänden. Somit hat sie mit ihrer Flächenpräsenz und Fachexpertise im Bereich Sicherheit eine einzigartige Organisationsstruktur, die ein umfassendes Netzwerk garantiert. Die Landesverbände wiederum sind direkte Ansprechpartner für Unternehmen und Behörden ihrer Region und helfen ihren Mitgliedern bei Sicherheitsfragen sowie bei der Aus- und Weiterbildung und unterstützen den Informationsaustausch. Sie haben damit eine wichtige Rolle als Ansprechpartner und Förderer von Unternehmenssicherheit. Auch der Bund der Deutschen Industrie (BDI) ist im Bereich Sicherheit auf Ebene der Unternehmenslenker aktiv. Er hat den Arbeitskreis für Sicherheit ins Leben gerufen, um „für die deutsche Industrie geeignete politische Rahmenbedingungen bei Sicherheitsfragen zu fördern“. Hierbei soll der Fokus vor allem auf dem Wirtschaftsschutz, der Cyber-Sicherheit, dem Schutz kritischer Infrastrukturen sowie der Wettbewerbsfähigkeit deutscher Unternehmen aus dem Hightech-Bereich der Sicherheits- und Verteidigungstechnologie liegen. International ist ASIS International einer der großen Partner unter den Sicherheitsverbänden. ASIS ist das größte Netzwerk von Sicherheitsexperten weltweit und in den einzelnen Ländern in Form von Chaptern vertreten. Es gibt auch ein „German Chapter“. Die Association ermöglicht einen internationalen Austausch durch

54

V. Wagner

Konferenzen und sicherheitsspezifische Weiterbildungsangebote auf hohem Niveau mit international anerkannten Zertifikaten. Sie stellt Leitfäden und internationale Standards zum Thema Unternehmenssicherheit zur Verfügung und fördert deren Umsetzung. Im Rahmen internationaler Arbeitsgruppen werden neue Standards und Ratgeber erarbeitet, die dann der Gemeinschaft als Best/Good Practice zur Verfügung gestellt beziehungsweise zu einem anerkannten Standard ausgearbeitet werden. Die Global Player Initiative, 2006 vom BKA gegründet, ist eine Kooperation von mittlerweile über 60 international tätigen deutschen Unternehmen und dient dem regelmäßigen Informationsaustausch zu sicherheitsrelevanten Themen. Im Rahmen der Initiative stellt das Bundeskriminalamt Länderberichte zur Verfügung und vermittelt Kontakte zu internationalen Verbindungsbeamten oder Fachabteilungen des BKA. Ebenfalls Teil des Tätigkeitsspektrums sind strategische Früherkennung, Sicherheitsforschung sowie Schulungen zu Themen wie Geiselnahmen, Entführungsfällen und anderen Delikten. Daneben gibt es, getragen von der Wirtschaft und zum Teil im Verbund mit Behörden und Verbänden, in jüngster Zeit auch vermehrt Initiativen in Form von Allianzen und Partnerschaften sowie Foren, die themenbezogen gemeinsam Gefahrenquellen begegnen. Ein Beispiel ist die „Allianz für Cyber-Sicherheit“, die 2012 vom BSI und dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) gegründet wurde. In dieser Allianz sollen alle wichtigen Akteure aus dem Bereich der Cyber-Sicherheit in Deutschland zusammenkommen, um aktuelle und valide Informationen zum Thema flächendeckend bereitzustellen. Das BSI untermauert diese Zusammenarbeit mit der Bereitstellung eines realitätsnahen Cyber-Sicherheits-Lagebildes. Bereits heute ist die Allianz in der Lage, aktuelle Warnungen herauszugeben und Lösungswege zur Absicherung aufzuzeigen. Diese Beispiele zeigen, dass ein konvergenter Ansatz, also ein Blick über den Tellerrand hinaus und die Vernetzung von Wirtschaftskräften und Politik, erfolgversprechende Allianzen hervorbringt. Initiativen wie diese und das Engagement der Verbände sind gefragt, um den Risiken für die nationale und internationale Wirtschaft angemessen und erfolgreich begegnen zu können.

10 Institutionalisierung der Zusammenarbeit: Vernetzung der Akteure und Informationen Statistiken zeigen, dass die Bedrohungen durch Kriminalität und Spionage für die deutsche Wirtschaft zunehmen. Als derzeit wirtschaftsstärkstes Land der EU wird Deutschland hier auch eine strategische Rolle zugesprochen, sowohl

Sicherheit ist das Fundament für Vertrauen in die …

55

auf die Zahl der Angriffe bezogen als auch bei der Erarbeitung von funktionierenden Gegenmaßnahmen. Dementsprechend wächst auch das Engagement sowohl der Bundesbehörden als auch der Wirtschaft. Immer mehr Kooperationsinitiativen werden geschaffen zum Vorteil aller. Diese Art der institutionalisierten Zusammenarbeit ist ein wichtiger Bestandteil des Bollwerks gegen die gegenwärtigen und zukünftigen Risiken. So unterstützt sie die Institutionalisierung der Zusammenarbeit für einen nachhaltigen Wirtschaftsschutz, damit alle Beteiligten Zugang zu den entscheidenden Sicherheitsakteuren haben, sei es in den Bundesorganisationen mit Sicherheitsbezug und in den Ministerien oder in Unternehmen. Denn ein offener Informationsaustausch und der Zugang zu fundiertem Sicherheitswissen ermöglichen es, eigene Sicherheitsmaßnahmen abzuleiten und umzusetzen.

11 Erfolgsbeispiel Wirtschaftsgrundschutz Das Projekt Wirtschaftsgrundschutz ist ein Erfolgsbeispiel für die übergreifende Zusammenarbeit. Es wird getragen von der partnerschaftlichen Kooperation der Projektpartner BfV, BSI, HiSolutions und ASW Bundesverband und liefert als Ergebnis konkrete, praxisorientierte Hilfestellungen für die deutsche Wirtschaft. Damit ist es gelungen, sowohl kleinen und mittelständischen Unternehmen, die sich möglicherweise erstmals mit diesem Thema beschäftigen, als auch Großunternehmen und Unternehmen, die hier schon große Expertise gesammelt haben, Hinweise und Optionen aufzuzeigen, wie sowohl konkrete Einzelbedrohungen bewältigt werden können, aber auch, wie das Gesamtthema effektiv und effizient gesteuert werden kann. Es ist ein wachsender Werkzeugkasten, in dem jeder die für sich und seine Situation passenden Werkzeuge findet. Schwerpunkt des Wirtschaftsgrundschutzes sind somit all diejenigen Maßnahmen, die den Schutz von Unversehrtheit von Leib und Leben, geistigem und physischem Eigentum, nicht auf der Informations- und Kommunikationstechnologie basierenden Informationen und weiteren von der Institution definierten Werten zum Ziel haben. Der Wirtschaftsgrundschutz bietet unter anderem Vorschläge für Vorgehensweisen und Maßnahmen im Bereich der physischen und personellen Sicherheit, des Kunden- und Lieferantenmanagements und des Reaktionsmanagements. Die Schnittstellen zwischen dem Wirtschaftsgrundschutz und dem IT-Grundschutz sind klar definiert, sodass ein effizientes Zusammenwirken beider Standards sichergestellt ist. Durch die Kombination beider Standards stehen einer

56

V. Wagner

Institution wirksame Vorgehensweisen und Methoden zum umfassenden Schutz der Werte zur Verfügung.

12 Handlungsfeld Initiative Wirtschaftsschutz Es ist wichtig und richtig, dass unter Federführung des Bundesinnenministeriums die Initiative Wirtschaftsschutz ins Leben gerufen wurde – sozusagen als Public Private Partnership zwischen Regierungsstellen, Sicherheitsbehörden, Wirtschaftsverbänden und Unternehmen. Die Einführung der Initiative Wirtschaftsschutz wurde erfolgreich in 2016 gestartet. Jedoch zeigen die Nutzerzahlen der Internet-Plattform auf, dass die Zielgruppe Mittelstand noch nicht umfassend erreicht wurde. Im Segment Mittelstand muss die Wahrnehmung weiter gestärkt werden. Eine bundesweite Werbekampagne analog zur Verkehrserziehung in den 70er- und 80er-Jahren (Der 7. Sinn) würde hier die nötige Aufmerksamkeit erzielen. Ein weiteres aktuelles Beispiel einer erfolgreichen Kooperation des BMI sind die Verbraucheraufklärungskampagnen zusammen mit DsiN e. V., mit dem Ziel der Förderung eines sicherheitsbewussten Verhaltens bei der Nutzung von Informationstechnik. Die Konzepte im Wirtschaftsschutz müssen dort angeboten werden, wo die Wirtschaft tätig ist. In vielen Regionen gibt es bereits Sicherheitspartnerschaften zwischen den Landessicherheitsbehörden, den Industrie- und Handelskammern und den ASW-Landesverbänden, zumeist unter Schirmherrschaft der Innenministerien der Länder. Ein weiterer flächendeckender Ausbau dieser Sicherheitspartnerschaften in den Regionen und eine intensivere Verzahnung mit der Initiative Wirtschaftsschutz ist anzustreben. Zudem kann durch einen gemeinsamen Veranstaltungskalender die bessere Abstimmung der beteiligten Behörden und Verbände ermöglicht werden und den Nutzern Aufschluss über geplante Veranstaltungen gegeben werden. Terminliche und thematische Überschneidungen von Veranstaltungen können künftig vermieden beziehungsweise eine gemeinsame Durchführung von Veranstaltungen frühzeitig ermöglicht werden. Die Wirtschaft betätigt sich global und ist nicht auf Deutschland begrenzt. Auch die Angreifer agieren global. Deshalb sollte beim Wirtschaftsschutz nicht zwischen Ausland und Inland differenziert werden. Um auf den internationalen Märkten als Global Player zu agieren, benötigt die deutsche Wirtschaft: Integrität der Kommunikations- und IT-Infrastruktur, die Möglichkeit zur Geheimhaltung von Geschäftsgeheimnissen, freien Zugang zu Informationen als Basis für digitale Geschäftsmodelle und einen klaren Rechtsrahmen.

Sicherheit ist das Fundament für Vertrauen in die …

57

Auch durch bilaterale Kooperationen mit dem Partnerland Frankreich kann die Internationalisierung im Wirtschaftsschutz gemeinsam mit den Vertretern der zuständigen staatlichen Stellen gefördert werden. Der ASW Bundesverband wird mit dem französischen ASW Pendant CDSE eine Partnerschaft abschließen. Wir sehen eine Konvergenz von realen und Cyber-Angriffen. Es vermischen sich die Sicherheitsthemen des klassischen Diebstahls von Waren und dem von Informationen, beides geht inzwischen miteinander einher. Die Angriffe gehen vielfach von solchen ungestörten Rückzugsräumen aus – allerdings bedarf es häufig auch eines korrespondierenden Innentäters innerhalb des Unternehmens. Reine IT reicht oft nicht aus. Man braucht jemanden, der dem Angreifer Zugang verschafft. So können Passwörter beispielsweise von Systemadministratoren herausgeben werden. Erpressung oder Betrug per E-Mail ist eine weitere Methode im Rahmen der Cyber-Angriffe. Auch aus diesem Grund bedarf es einer engeren Verzahnung der Initiative Wirtschaftsschutz mit der Allianz für Cyber-Sicherheit. Sicherheit ist das Fundament für Innovation, Durchsetzungskraft und Erfolg unserer Wirtschaft. Und diese Sicherheit ist unsere gemeinsame Verantwortung. Um diese Verantwortung wahrzunehmen, benötigen wir verantwortliche Personen. Wir nennen diese Personen Wirtschaftsschutzbeauftragte. Wir brauchen sie in den Unternehmen und im öffentlichen Sektor. Die steigende Komplexität der Thematik „Wirtschaftsschutz“ erfordert die Schaffung klarer Zuständigkeiten und zentraler Ansprechpartner – aufseiten der Wirtschaft und den Sicherheitsbehörden.

13 Handlungsfelder zur Verbesserung der Cybersicherheit in der Wirtschaft Es bedarf einer Meldepflicht für kritische Schwachstellen in Software und eine Verpflichtung für Software-Updates sowie Haftung bei Nicht-Behebung. Derzeit gibt es keine Haftung für fehlerhafte Software. Es sollte jedoch ein Haftungsanspruch entstehen, wenn bekannte Schwachstellen und Fehler nicht behoben werden. Wenn eine Behörde oder ein Unternehmen eine Schwachstelle erkennt, über die man in ein IT-System einbrechen könnte, sollte dies meldepflichtig sein. Das BSI bietet sich als Meldestelle an. Es sollte eine Novelle des Produkthaftungsrechts erfolgen, durch die Soft- und Hardwarehersteller gesetzlich verpflichtet werden, für sicherheitskritische Schwachstellen tatsächlich auch zeitnah Sicherheits-Updates bereitzustellen und bei Unterlassung in Haftung genommen werden können. Ebenso müssen Hersteller verpflichtet werden, Transparenz über den jeweiligen Lebenszyklus von Software basierten Produkten zu schaffen.

58

V. Wagner

­ rodukte, deren bekannte Schwachstellen nicht vom Hersteller bereinigt w P ­ urden, müssen kenntlich gemacht werden. Ebenso sind Verfahren zu definieren, wie mit Software, die ihren End-of-Life-Zeitpunkt erreicht hat, umzugehen ist. Veraltete Software, die nicht mehr unterstützt wird, bietet eine große Angriffsfläche. Die Haftung könnte nach folgendem Leitgedanken geregelt werden: Hersteller und Betreiber haften für unterlassene Software Updates, Verbraucher haften für nicht eingespielte Patches, Restrisiken werden über Risikogemeinschaften in Cyber-Versicherungen abgedeckt. Aufgrund des volkswirtschaftlichen Schadens von geschätzten 50 Mrd. EUR pro Jahr bedarf es weiterer gesetzlicher Verpflichtungen, die über den KRITIS Sektor hinausgehen. Neben den im IT-Sicherheitsgesetz definierten Sektoren muss der Schutzbedarf in Breite und Tiefe ausgedehnt werden. Das Thema IT-Sicherheit hat eine überragende Bedeutung für die Volkswirtschaft, und der alleinige Fokus auf die kritischen Infrastrukturen, wie es das IT-Sicherheitsgesetz vorsieht, reicht nicht mehr aus. Die bestehende Interpretation zu Existenz und Betrieb eines Risikomanagementsystems im KonTraG ist hier noch zu unkonkret, um diese Anforderungen angemessen zu erfüllen. Darüber hinaus muss der zunehmenden Fremdgefährdung entgegengewirkt werden (zum Beispiel durch Botnet-Attacken mittels ungeschützter Computersysteme). Mit der wachsenden Vernetzung von Geräten im Internet der Dinge verschwimmen die Grenzen klassischer IT-Umgebungen. Es müssen Regeln entwickelt werden, die für hohe Standards bei IT-Sicherheit sorgen und die gesamte digitale Wertschöpfungskette zur Einhaltung dieser Standards verpflichtet. Dazu gehört auch, dass Hard- und Softwarehersteller Sicherheit für den gesamten Produktlebenszyklus vorweg denken („Security by Design“) und ein entsprechend hohes Schutzniveau dauerhaft garantieren müssen. Der Aufbau der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) als zentraler technischer Unterstützer der Polizei und Nachrichtendienste ist grundsätzlich zu begrüßen. Generell sollte gelten, dass staatliche Stellen entsprechend angewiesen werden, bekannt gewordene Sicherheitslücken unverzüglich zu melden. Wir haben Verständnis für das Bedürfnis zur Nutzung von Schwachstellen, um Terrorismus und Kriminalität effektiv bekämpfen zu können. Daher muss dies in begrenztem Umfang – unter Anwendung von klaren Regeln und Transparenz – ermöglicht werden. Beispielhaft könnten für die Nutzung von Lücken eine zeitliche Begrenzung oder Schwellwerte bezüglich der Anzahl beziehungsweise der Kritikalität der betroffenen Systeme festgelegt werden.

Sicherheit ist das Fundament für Vertrauen in die …

59

Im Rahmen der Cyber-Außenpolitik muss sich die Bundesregierung dafür e­ insetzen, dass jeder Staat seine Bemühungen zur Erhöhung der Cyber-Sicherheit intensiviert und kritische IT-Infrastrukturen besser gegen Attacken geschützt werden sowie intensiv gegen Cyber-Kriminalität vorgegangen wird. Mittelfristiges Ziel muss die Verabschiedung eines verbindlichen Abkommens für verantwortliches Handeln im Cyber-Raum sein. Darüber hinaus bedarf es eines intensiveren Ressourcen- und Kapazitätsaufbaus im Verantwortungsbereich der Staaten, um Cyber-Kriminalität wirksam zu bekämpfen. Hier muss auf internationaler Ebene, über die Multi-Stakeholder-Ansätze hinaus, noch intensiver zusammengearbeitet werden. Einzelnen Unternehmen bleibt oft unklar, welche Sicherheitsbehörde mit welchen Kompetenzen ausgestattet ist und wie die Aufgaben zwischen Bundes- und Landesämtern abgegrenzt sind. Exemplarisch hierfür sind die Doppelmeldungen an BSI und Bundesnetzagentur zu nennen, die in den verteilten Zuständigkeiten vom BMWi und BMI liegen. Da alle Behörden mit engen Ressourcen arbeiten müssen, ist eine effiziente Organisation umso wichtiger. Im konkreten Angriffsfall wird es gerade für KMU zunehmend von Bedeutung sein, dass auch die örtliche Polizeibehörde im Sinne eines Ersthelfers in die Lage versetzt wird, die richtigen Stellen in eine Strafverfolgung einzubeziehen. Ebenso wichtig wie eine Verstärkung der Ressourcen für die Polizeiarbeit ist die Transparenz über die Verantwortungsstrukturen bei der Bekämpfung von Cyber-Kriminalität. Notwendig ist nicht nur eine bessere Koordinierung, sondern auch eine stärkere gemeinsame Cyber-Abwehr der Sicherheitsbehörden im konkreten Angriffsfall auf europäischer Ebene. Schließlich treffen Cyber-Angriffe meist IT-Systeme in mehreren Staaten. Die Forschungsförderung im Bereich der Cyber-Abwehr führte bisher nicht zu konkreten Produktentwicklungen, die eine entsprechende Marktverbreitung in Deutschland erreichen konnten. Hier könnte sich Deutschland an Israel orientieren, wo die staatliche Förderung von Start-ups zentraler Bestandteil des Regierungsprogramms ist. Das BMI könnte sich hier an den Aktivitäten des BMVg zur zivilen Sicherheitsforschung orientieren. Positiv und weiter ausbaufähig sind die Entwicklungen der Cybersicherheitshubs in Berlin, München, Bonn und Darmstadt. Einführung von Grundsätzen und Standards für sichere IT-Systeme, die als Leitfaden für KMU dienen können. Auch wenn die Sicht auf das Gesamtsystem bei der IT-Sicherheit für den Anwender Vorrang hat, bieten die folgenden Grundsätze eine Möglichkeit, IT-Systeme sicherer zu machen:

60

V. Wagner

1. Sicherheit in die Designphase einbeziehen: Sicherheit sollte integraler Bestandteil jedes IT-Produktes sein. 2. Durchführung regelmäßiger Sicherheits-Updates und aktives Schwachstellenmanagement: Auch wenn die Sicherheit in der Designphase enthalten ist, können Schwachstellen in Produkten nach ihrer Bereitstellung entdeckt werden. Diese Fehler können durch Patching, Sicherheits-Updates und Strategien für die Anfälligkeitsverwaltung gemildert werden. 3. Bewährte Sicherheitspraktiken weiterentwickeln: Viele getestete Praktiken, die in der traditionellen IT- und Netzwerksicherheit verwendet werden, können als Ausgangspunkt für die IT-Sicherheit genutzt werden. Diese Ansätze können dazu beitragen, Schwachstellen oder Unregelmäßigkeiten zu erkennen, auf mögliche Zwischenfälle zu reagieren und um bei Schäden oder Störungen schnell wieder in den Betrieb zu kommen. 4. Priorisierung von Sicherheitsmaßnahmen nach potenziellen Auswirkungen: Risikomodelle unterscheiden sich in IT-Ökosystemen erheblich, ebenso die Konsequenzen von Sicherheitsvorfällen. Die Fokussierung auf die potenziellen Konsequenzen von Störungen, Verletzungen oder bösartigen Aktivitäten ist entscheidend für die Bestimmung, wo besondere Sicherheitsmaßnahmen aufgesetzt werden sollten. 5. Transparenz über IT fördern: Entwickler und Hersteller müssen ihre Supply Chain möglichst gut kennen – konkret, ob Schwachstellen bei Software- und Hardwarekomponenten von Anbietern außerhalb ihrer Organisation bestehen. Erhöhte Sensibilisierung kann ferner dazu beitragen, dass Hersteller und industrielle Anwender identifizieren, wo und wie man Sicherheitsmaßnahmen anwendet oder Redundanzen aufbaut. 6. Bewusste Netzanbindung: IT-Anwender, vor allem im industriellen Kontext, sollten bewusst darüber nachdenken, ob bei der Verwendung eines IT-Geräts und den damit verbundenen Risiken eine kontinuierliche Konnektivität erforderlich ist, beziehungsweise in welcher Form eigene Kommunikationsund IT-Infrastrukturen aufzubauen sind. IT- und Kommunikationssystemen sind dabei ganzheitlich zu betrachten. Cyber Security Governance und IT-Sicherheits-Umsetzungsverantwortlichkeit befinden sich bei vielen Firmen in einer Verantwortung. Es bedarf einer klaren Trennung und eines Vieraugenprinzips zwischen den strategischen, risikobasierten Vorgaben zur Cyber-Sicherheit und der operativen Umsetzung. Darüber hinaus ermöglicht eine funktionale Trennung des IT-Sicherheitsbeauftragten weg vom CIO mehr Transparenz. Eine Zusammenführung der IT-Sicherheit mit der Konzernsicherheit könnte eine 360-Grad-Betrachtung von Sicherheitsrisiken ermöglichen.

Sicherheit ist das Fundament für Vertrauen in die …

61

Mit der zunehmenden Digitalisierung unserer Gesellschaft und Wirtschaft gewinnt die digitale Souveränität von Nationen an Relevanz. Diese Souveränität ermöglicht es uns, eigene Produkte zu entwickeln und eigenständig Entscheidungen bezüglich der Einführung von Produkten vom globalen Markt zu treffen. Um dies zu ermöglichen, ist es notwendig, dass Konzerne in die Forschung und Entwicklung von Cybersicherheitslösungen in Deutschland investieren. In diesem Prozess könnte das BSI als Gutachter auftreten, und Startups bekämen Vorteile bei nationalen Ausschreibungen. Für international agierende DAX-Unternehmen ist es wichtig, auch international zu investieren. Eine stärkere Finanzierung in Deutschland würde jedoch einen Markt für innovative Cybersicherheitslösungen schaffen. Die Förderung von Venture Capital Fonds, die mit privaten Finanzmitteln ausgestattet sind und zusätzlich von einer Unterstützung durch Wissenschaft und Staat profitieren, ist hier ein Lösungsansatz.

14 Gemeinsame Handlungsfelder für Staat und Wirtschaft zur Verbesserung der Cyber-Sicherheit Der öffentliche Sektor und die private Wirtschaft sollten mehr Informationen über Cyber-Bedrohungen, Verwundbarkeit und Konsequenzen teilen. Durch zentral deutlich leichter zur Verfügung stehende Expertise kann nicht nur die Geschwindigkeit, sondern auch die Qualität einer angemessenen Reaktion erhöht werden. Dazu gehört auch, Ängste abzulegen und zuzugeben, dass man angegriffen wurde. Mit dem IT-Sicherheitsgesetz und der Implementierung der Anforderungen aus der NIS-Richtlinie wurde ein erster Rahmen zur Festlegung von Sicherheitsstandards im Bereich der kritischen Infrastrukturen geschaffen. Im Zuge der fortschreitenden Digitalisierung unserer Gesellschaft und Wirtschaft reicht dieser Rahmen nicht aus und ist entsprechend zu erweitern. Perspektivisch müssen alle Wertschöpfungspartner entlang der Cyber-Sicherheits-Wertschöpfungskette entsprechend ihrer Verantwortung für die Gewährleistung von IT-Sicherheit verpflichtet werden – dies betrifft im besonderen Maße Hard- und Softwarehersteller. Durch erweiterte Befugnisse für Internet Service Provider (ISP) können Angriffe auch in der Infrastruktur besser bekämpft werden. Insbesondere in Bezug auf DDoS Angriffe können separate Service Anbieter ein überlagertes, sichereres Netzwerk erzeugen. Security sollte damit im ISP-Bereich als Standard gelten und nicht als optionaler Zusatzservice. Der Allianz für Cyber-Sicherheit, der Initiative IT-Sicherheit in der Wirtschaft und insbesondere der Initiative Wirtschaftsschutz fehlen es an Bekanntheit und

62

V. Wagner

Reichweite. Gerade bei KMU muss die Wahrnehmung weiter gestärkt werden. Eine bundesweite Awareness-Kampagne könnte hier die nötige Aufmerksamkeit erzielen. Die Computer Emergency Response Teams (CERT) sind ein entscheidendes Element zur konkreten Gefahrenabwehr. Das BSI hat hier schon erfolgreich den CERT Verbund aufgebaut. Weitere CERTs müssen in der Wirtschaft noch zusätzlich eingerichtet werden, insbesondere bei KMU. Bei diesen sind mangelnde Ressourcen jedoch oftmals ein Hinderungsgrund. Eine mögliche Lösung wäre, dass lizenzierte IT-Dienstleister diese Aufgaben übernehmen. Erfolgreiche Publicprivate-Partnership-Modelle aus anderen Ländern könnten entsprechend adaptiert werden. Beispielhaft sei hier auf das südkoreanische Modell verwiesen, bei dem eine Kooperation im Bereich Incident Response zwischen staatlichen Ressourcen und professionellen CERTs aus der Wirtschaft erfolgt. Zur Erstellung des notwendigen Vertrauens wäre eine Akkreditierungs- und Zertifizierungslösung durch den Staat (siehe zum Beispiel Finnland) ein denkbarer Ansatz. Es sollte daher über ein Rahmenwerk zur Ergänzung beziehungsweise Erweiterung der mobilen Eingreiftruppen durch Public-private-Partnerships nachgedacht werden. Dazu gehört dann auch die Einbindung der Wirtschaft in das Nationale Cyber-Abwehrzentrum und ein Konzept zur gemeinsamen Incident Response von Staat und Wirtschaft. Als weiteres Beispiel kann die US National Cyber-Forensics & Training Alliance genannt werden, wo staatliche und privatwirtschaftliche Akteure gemeinsam an der Aufklärung von Cyberattacken und an der Analyse von Tatwerkzeugen arbeiten. Bei der Aufklärung von Cyberangriffen sind die Parameter „Information“ und „Zeit“ kritische Faktoren: Um die Effizienz des Cyber-Risikomanagements in den Wirtschaftssektoren zu verbessern, ist ein über den nationalen Fokus hinausgehend global-interoperables Lagebild anzustreben. Ein solches „Informationsaustauschkonzept“ kann und sollte unter der Federführung von beispielsweise der OECD und mit einem klaren Wirtschaftsfokus aufgebaut werden. Regierungsstellen, Sicherheitsbehörden und Wirtschaft müssen mit internationalen Partnern kooperieren, um die Entwicklung internationaler Standards zu unterstützen und sicherzustellen. Auch wenn global eine Standardisierung schwer umsetzbar scheint, sind freiwillige nationale Möglichkeiten analog zum „Blauen Umweltengel“ überprüfenswert. Ein strategisch richtiges Vorhaben der Bundesregierung (Federführung BMI, unter der Beteiligung von BMWi und BMJV) ist das Pilotprojekt IT-Sicherheitskennzeichnung von Routern, um ein Gütesiegel für IT-Sicherheit zu erarbeiten. Es besteht aber auch die Notwendigkeit, dass auf EU-Ebene Rahmenbedingungen für verbindliche IT-Sicherheitseigenschaften von internetfähigen Produkten geschaffen werden. Die EU Kommission plant Cyber- und Datensicherheitsmaßnahmen, um mit der

Sicherheit ist das Fundament für Vertrauen in die …

63

europäischen Industrie bessere Lösungen zur Abwehr von Cybergefahren zu ­entwickeln. Ziel ist ein einheitlicher europäischer Markt für Cybersicherheit. Aus dem EU-Haushalt soll dies mit 450 Mio. EUR gefördert werden. Auch hier sind Investitionen der Wirtschaft notwendig. Deshalb soll es im Fall eines Cyber-Angriffs künftig einen Notfall-Fonds geben, der betroffenen EU-Staaten unbürokratisch hilft.

15 Schlusswort Sicherheit ist ein entscheidender Erfolgsfaktor, da nur ein notwendiges Maß an Sicherheit für Anwender und Kunden Vertrauen in Digitalisierung schafft. Die Cyber-Bedrohung ist akut – alle gesellschaftlichen Gruppen in Deutschland sind betroffen. Spektakuläre Cyber-Angriffe der jüngsten Zeit betätigen, dass sie zu den zentralen Bedrohungen der führenden Industrienationen gehören. In den letzten fünf Jahren wurden in der Wirtschaft, in der Wissenschaft und von staatlicher Seite große Anstrengungen unternommen, die Cyber-Sicherheit und den Wirtschaftsschutz in Produkten, Dienstleistungen wie auch in Unternehmen und Behörden zu verbessern. Die Bedrohungslage hat sich dennoch verschärft, das heißt, Abwehrmaßnahmen und die Sicherheitsinformationstechnologie haben nicht Schritt gehalten mit der Breite und Tiefe von Cyber-Angriffen. Unter dem Stichwort „assume the breaches“ ist heute davon auszugehen, dass präventive Maßnahmen allein keinen hinreichenden Schutz bieten, sondern dass moderne Schutzkonzepte auch eine effiziente Detektion und professionelle Reaktion beinhalten müssen, um die Wirkung von Angriffen zu minimieren.

Internationales Sicherheitsmanagement – Die Notwendigkeit neuer Allianzen Gabriele Jacobs und Dominique Lapprand

Fragen der Sicherheit können nicht mehr rein lokal behandelt werden. Das ­Wirtschaftsleben ist von einer hohen Vernetzung gekennzeichnet: weltweite Kommunikation in Sekundenschnelle, hohe Mobilität breiter Teile der Bevölkerung und internationaler Handel verändern soziales und wirtschaftliches Verhalten auf so gut wie allen Ebenen. In Fragen der Sicherheit ist eine Multi-Stakeholder Perspektive unausweichlich. Dies bedeutet, dass Sicherheitslösungen international und über verschiedene Sektoren hinweg entwickelt werden müssen. Im Sicherheitsmarkt hat sich die Dynamik von Nachfrager und Anbieter neu definiert. Sicherheit in der Privatwirtschaft gewinnt an Komplexität und private Sicherheitsdienstleister befinden sich in einem wachsenden Markt. Die hohe internationale Vernetzung in einer globalen Wirtschaft bedeutet auch, dass Sicherheitsprobleme mehrschichtig sind. Innovative und intensive Kooperationen im Privat-Privaten und Öffentlich-Privaten Bereich sind nötig, um Sicherheit für Wirtschaft und das Gemeinwohl jetzt und in der Zukunft zu gewährleisten.

G. Jacobs (*)  Rotterdam School of Management / Erasmus University, Rotterdam, Niederlande E-Mail: [email protected] D. Lapprand  Association de lutte contre le commerce illicite (ALCCI), Paris, Frankreich © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_4

65

66

G. Jacobs und D. Lapprand

1 Einleitung: Sicherheitsmanagement in einer sich verändernden Welt • Die Welt hat sich verändert: mehr Komplexität, weltweite Kommunikation, Transport, internationaler Handel • Sicherheitsprobleme sind mehrschichtige Probleme • Private Sicherheitswirtschaft muss international und über Sektoren hinweg denken, eine Multi-Stakeholder Perspektive ist unausweichlich Sicherheit ist in aller Munde. Unabhängig vom wirtschaftlichen Klima wird die öffentliche Sicherheit von Bürgern als vorrangiges Anliegen betrachtet. Die Legitimität von Regierungen beruht in hohem Maße auf ihrer Fähigkeit, Sicherheit zu bieten. Dies galt für mittelalterliche Könige, aber auch für ihre modernen Äquivalente, einschließlich der Europäischen Union. Auch Wirtschaftsunternehmen sind an einer sicheren und stabilen sozialen und rechtlichen Umgebung interessiert. Die Sicherung von Eigentumsrechten ist die Voraussetzung für wirtschaftliche Investitionen, und in sicheren und stabilen sozialen Umgebungen steigt die Wirtschaftskraft der Kunden. Massenmigration, Flucht, organisierte Kriminalität, Terrorismus und Naturkatastrophen, aber auch die Verbreitung von Kinderpornographie, Hacking, Identitätsdiebstahl und andere Formen der Cyberkriminalität stellen weitreichende Sicherheitsherausforderungen dar und können in der Bevölkerung tiefe Verunsicherung auslösen. Sicherheitsrisiken sind typischerweise mehrschichtige Probleme mit Wurzeln und Auswirkungen auf individueller, organisatorischer, nationaler und multilateraler Ebene. Die richtige Bewältigung solcher Sicherheitsherausforderungen ist entscheidend für die unmittelbare Schadensbegrenzung, aber auch für das generelle Vertrauen in die Wirksamkeit privater und öffentlicher Organisationen. Für nachhaltige Lösungen aktueller und zukünftiger Sicherheitsherausforderungen sind Ansätze erforderlich, die nicht nur in der Verantwortung nationaler und internationaler Organisationen des öffentlichen Sicherheitsbereichs liegen (etwa Polizei oder Katastrophenschutz), sondern die auch internationale, nationale und lokale politische Institutionen und vor allem auch den Privatsektor einbeziehen. Die Privatwirtschaft hat ein starkes Eigeninteresse dies zu tun. Unternehmen müssen Ihre Geschäftsinteressen beschützen. Dies umfasst physische Aspekte des Sicherheitsmanagements, wie den Schutz von Personen und Objekten, aber auch Fragen rund um IT-Sicherheit, Betriebsspionage oder auch Betrug, illegalen Handel und Krisenmanagement. Sicherheitsfragen betreffen alle Bereiche

Internationales Sicherheitsmanagement – Die Notwendigkeit …

67

u­ nternehmerischen Handelns einschließlich des Geschäftsmodells, der Marke und der Reputation des Unternehmens: a) Ebene 1: Unternehmensabläufe müssen stabil und ungestört verlaufen können, um rentabel operieren zu können. Diebstahl, Sabotage, Betrug, Angriffe auf Mitarbeiter, aber auch Cyberangriffe sind Fragen der Sicherheit, die einen unmittelbaren Verlust beziehungsweise Kosten für das Unternehmen bedeuten. Das Wissen um die Bedrohungen kritischer Infrastrukturen ist relevant, um Risiken vorherzusagen und zu minimieren. Vor allem globale, aber auch viele lokal operierende Unternehmen sind abhängig von internationalen Vertriebsund Infrastrukturnetzen und müssen deshalb die Auswirkungen globaler Entwicklungen auf ihre Geschäftsaktivitäten berücksichtigen. Die Bedrohungen können aus der unmittelbaren geografischen Umgebung des Unternehmens kommen, aber auch in ausländischen Niederlassungen entstehen, beziehungsweise im Falle wie etwa von Cyber-Attacken von vollkommen anderen Orten als den Unternehmensniederlassungen ausgeführt werden. b) Ebene 2: Sicherheitsfragen auf diesem Niveau, betreffen das Geschäftsmodell des Unternehmens. Dies sind Bedrohungen wie illegaler Handel, Fälschungen, illegitime Verhinderung von Marktzugang, unfairer Wettbewerb oder Parallelimport (also dem Verkauf von Produkten durch unautorisierte Händler in einem anderen als dem vom Hersteller beabsichtigten Markt): Solche Risiken können lokale, aber auch internationale Operationen betreffen und lokal oder international entstehen. Ein Beispiel sind etwa weltweit produzierte und vertriebene Fälschungen von Luxusgütern oder auch die Produktion und der Vertrieb minderwertiger Waren (wie etwa Medikamente, Autos oder ­Computerteile). c) Ebene 3: Bedrohungen können auch die Unternehmensexistenz betreffen. Hier kann es sich etwa um Börsenmanipulationen, die Bedrohung von Eigentumsrechten oder Erpressungen handeln. Ebenfalls können Änderungen in der Gesetzgebung in der politischen Umgebung des Unternehmens aktiv darauf abzielen, das wirtschaftliche Handeln des Unternehmens unmöglich zu machen. Angriffe dieser Art können lokal und international initiiert und aus­ geführt werden. Fragen der Sicherheit können in international stark verbundenen Märkten nicht mehr ausschließlich lokal oder national behandelt werden. Internationales öko­ nomisches Handeln fragt notwendigerweise um internationale Sicherheitsmodelle. Auch Unternehmen, die nur lokal oder national operieren, können potenziell mit internationalen Sicherheitsherausforderungen konfrontiert werden.

68

G. Jacobs und D. Lapprand

Kriminalität operiert genau wie Wirtschaftsunternehmen weltweit und macht nicht vor Landesgrenzen halt. Ebenfalls können Umweltkatastrophen oder große Unfälle, die in anderen Teilen der Welt entstehen, massive lokale Auswirkungen auf das wirtschaftliche Handeln haben. 2011 führte ein Tsunami im Nordosten Japans weltweit zu einer Neubewertung der Energiewirtschaft. In Deutschland löste die Katastrophe in Japans Fukushima Daiichi Atomkraftwerk eine Wende in der Energiepolitik aus, nämlich einen Ausstieg aus der Atomenergie bis 2022 und eine Verstärkung erneuerbarer Energien. Die Ereignisse in Japan beeinflussten in vielen asiatischen und europäischen Ländern die wirtschaftliche Position und das Geschäftsfeld von Energiekonzernen. Ereignisse in anderen Teilen der Welt können also auch lokal zur politischen Neubewertung von Sicherheitsrisiken führen und einen unmittelbaren Einfluss auf lokale Unternehmen haben. Die oben skizzierten verschiedenen Ebenen der Sicherheitsrisiken lassen sich auch danach unterscheiden, wie vielschichtig die Ursachen und notwendigen Lösungsansätze sind (siehe Abb. 1). Sicherheitsrisiken auf der ersten Ebene sind typischerweise Herausforderungen, die durch einen relativ lokalen und isolierten Ansatz bewältigt werden können. Die Polizei oder interne oder externe Sicherheitsdienstleister können Sabotage oder Betrug aufdecken, beziehungsweise es können technische Lösungen für den Schutz des Personals entwickelt werden. Sicherheitsrisiken auf

Sicherheitsrisiken

Lösungen

Ebene 1 Unternehmensabläufe (z.B. Personalsicherheit, Diebstahl, Sabotage, Betrug)

Sicherheitstechnischer Fokus, lokale Lösung

Ebene 2 Geschäftsmodell des Unternehmens (z.B. illegaler Handel, unfairer Wettbewerb, Parallelimport)

Charakter des Geschäftsmodells

Ebene 3 Existenz des Unternehmens (z.B. Börsenmanipulationen, Erpressung, politische Einflussnahme)

Politische und institutionelle Faktoren

Abb. 1   Sicherheitsrisiken, Ursachen und Lösungen

Ursachen

Inzidentell (z.B. spezifische kriminelle Aktivitäten) Vs. Strukturell (z.B. niedrige Rechtssicherheit in der Umgebung des Unternehmens)

Internationales Sicherheitsmanagement – Die Notwendigkeit …

69

der zweiten Ebene benötigen eine breitere Kenntnis des Geschäftsmodells des Unternehmens. Isolierte Lösungen, die nur das unmittelbare Problem aus einer reinen Sicherheitslogik heraus bekämpfen, könnten dem Image und der Identität des Unternehmens schaden. In gewissem Umfang ist dies auch für Sicherheits­ herausforderungen auf der ersten Ebene der Fall. Allerdings sind Lösungsansätze auf der zweiten Ebene im Prinzip erst dann möglich, wenn etwa die Polizei mit dem Management des Unternehmens kooperiert, um den Charakter des Risikos und der Regelverletzung zu identifizieren und zu bekämpfen. Auf der zweiten Ebene kommen Strafverfolgungsbehörden auf nationalem und internationalem Niveau eine größere Rolle zu, und private Sicherheitslösungen werden in geringerem Umfang relevant sein als auf der ersten Ebene. Lösungen für Sicherheitsrisiken auf der dritten Ebene erfordern in so gut wie allen Fällen eine breite Kooperation zwischen Unternehmen, Strafverfolgungsbehörden und politischen Institutionen. Hier liegt die Lösung entweder im Bekämpfen schwerer und organisierter Kriminalität beziehungsweise im politischen Bereich. Für alle drei Ebenen gilt, dass die Ursachen entweder inzidenteller oder struktureller Natur sein können. Je struktureller die Ursache ist, desto ­mehrschichtiger wird auch der Lösungsansatz sein müssen. Wenn etwa Diebstähle und Betrug oder mangelnde Personalsicherheit auf hohe Armut oder mangelnde Chancengleichheit in der sozialen Umgebung des Unternehmens zurückzuführen sind, sind für eine strukturelle Lösung des Sicherheitsrisikos eine breitere Allianz von Stakeholdern und langanhaltendere Investitionen nötig, als wenn es sich um klar isolierte kriminelle Ereignisse oder Unfälle handelt. Generell ermöglicht ein besseres Verständnis der Dynamik des breiteren Umfelds und der verschiedenen Akteure (öffentliche und private Institutionen) einerseits eine höhere Anpassungsfähigkeit der Unternehmen des Privatsektors – und damit einen Wettbewerbsvorteil – und andererseits eine effektivere Einbindung des Privatsektors in die gemeinsame Entwicklung nachhaltiger Lösungen.

2 Das Ökosystem des Sicherheitsmanagements • Die Dynamik von Nachfrager und Anbieter definiert sich neu • Sicherheit in der Privatwirtschaft gewinnt an Komplexität und Bedeutung; private Sicherheitsdienstleister befinden sich in einem wachsenden Markt • Zunehmende Kooperation zwischen Privat-Privat und Öffentlich-Privat Die Organisation von Sicherheit ist einem starken Wandel unterworfen, und die Dynamik zwischen Nachfrage und Angebot hat sich neu bestimmt. Nicht mehr

70

G. Jacobs und D. Lapprand

der Staat ist alleinverantwortlich sowohl für die Definition von Sicherheits­ bedürfnissen, als auch für das Bereitstellen von Sicherheitslösungen (Bayley und Shearing 2001). Es hat eine breite Diversifikation des Sicherheitsmarktes stattgefunden, sowohl was die Formulierung von Bedürfnissen von Sicherheit (etwa bei global operierenden Unternehmen oder in multi-kulturellen Gemeinschaften), als auch was die Bereitstellung von Sicherheitslösungen betrifft. Dies reicht von neuen Formen des „Community Policing“ (van der Giessen et al. 2017), in denen etwa private Sicherheitsdienste mit der Polizei kooperieren oder Unternehmen Kamerabilder von Einkaufsstraßen zur Verfügung stellen, bis zu hybriden Formen von Sicherheitslösungen, in denen multinationale Konzerne in Ländern mit fragilen Staatsstrukturen breite staatliche Funktionen von öffentlicher Sicherheit übernehmen. Unternehmen bauen Schulen, Straßen unterstützen den Wiederaufbau lokaler Polizei, oder gar Regierungen (Hönke 2013).

2.1 Sicherheit in der Privatwirtschaft Sicherheit spielt in so gut wie allen privatwirtschaftlichen Unternehmen über alle Branchen hinweg eine große Rolle. Banken und Versicherungen, Kleidungsindustrie, Nahrung, Kosmetik – alle Branchen müssen sicherstellen, dass die Produktion ihrer Produkte Ethik- und Sicherheitsstandards erfüllt, der Transport sicher gewährleistet ist, die Daten ihrer Kunden gesichert sind und Kunden sich darauf verlassen können, dass sie ein Produkt erwerben, das alle rechtlich bestimmten Gütekriterien erfüllt. Deshalb haben die meisten größeren Unternehmen die Funktion des Chief Security Officer (CSO) hoch in der Hierarchie angesiedelt. Deren Aufgabenbereich unterscheidet sich von Unternehmen zu Unternehmen. Er reicht von der Verantwortung für die rein physische Sicherheit (wie etwa Zugangskontrollen), Informationssicherheit bis hin zu ganzheitlicher Sicherheitsverantwortung, die weitaus umfassender ist und zum Beispiel auch Compliance und Korruption beinhalten. Es gibt keine klaren Regeln oder Definitionen, wie Sicherheit im Unternehmen eingerichtet ist und welche verschiedene Funktionsbereiche und Abteilungen innerhalb eines Unternehmens für verschiedene Fragen der Sicherheit verantwortlich sind, dies variiert über Branchen und Unternehmenstypen hinweg. Häufig sind Sicherheitsbeauftragte in den verschiedenen Niederlassungen hierarchisch strukturiert, zum Beispiel hat Siemens einen CSO in Deutschland im Haupthaus, und gibt es einen Sicherheitsbeauftragten (Security Officer) bei Siemens Frankreich.

Internationales Sicherheitsmanagement – Die Notwendigkeit …

71

Sicherheitsbeauftragte sind in verschiedenen Berufsverbänden organisiert. Diese können regionalen Charakter haben (wie etwa die Allianz für Sicherheit in der Wirtschaft Nordrhein-Westfalen e. V. oder die Allianz für Sicherheit in der Wirtschaft Mitteldeutschland e. V.) oder nationalen Charakter haben (wie etwa der Bundesverband der Sicherheitswirtschaft e. V.). Die nationalen Verbände sind wiederum etwa auf Europäischer oder Amerikanischer Ebene oder Weltweit organisiert. Die Hauptverbände sind US-amerikanischer Herkunft, haben aber inzwischen eine weltweite Reichweite. ISMA (International Security Management Association) ist eine der ehrgeizigsten und globalsten Vereinigungen spe­ ziell für CSO. Eine weitere globale Vereinigung ist ASIS, die ebenfalls nationale Organisationseinheiten hat. Unternehmen, die einer spezifischen Bedrohung ausgesetzt sind, organisieren sich auch in speziellen internationalen Branchenvereinigungen wie etwa TAPA (Transported Asset Protection Association) für Transportsicherheit. Solche Verbände helfen, Standards zu definieren und operative Antworten zu entwickeln, die von den Mitgliedern manchmal in öffentlichen Partnerschaften umgesetzt werden. Ein weiteres ist TRACIT (Transnational Alliance to Combat Illicit Trade), die gemeinsam im Verband gegen gefälschte Waren vorgehen. Am Beispiel der Transportsicherheit wird deutlich, dass es privatwirtschaftlich gelingen kann, sehr effiziente Lösungen anzubieten. Etwa gibt es die Möglichkeit, private Sicherung für Lkw-Parkplätze an Maut-Autobahnen zu erwerben. Offensichtlich ein Schutzansatz, der weit über das hinausgeht, was öffentliche Sicherheitsorgane gewährleisten könnten. Auch im Bereich illegalen Handels oder auch Korruption zielen privatwirtschaftliche Initiativen darauf ab, illegalen Handel zu verhindern und damit auch Effekte zu erwirken, die von gesamtgesellschaftlichem Nutzen sind. Weniger illegaler Handel bedeutet höhere Gewinnmargen, Sicherung der Markenrechte und geringere Versicherungskosten für Unternehmen, aber auch die Sicherung ethischer sozialer Produktionsbedingungen, Schutz der Umwelt und Erhalt des Vertrauens in Eigentumsrechte. Private Unternehmen arbeiten in vielen Bereichen mit internationalen Organisationen im Bereich der S ­ icherheit zusammen, wie etwa im Rahmen der OECD-Task Force gegen illegalen Handel, um die internationale Gesetzgebung zu beeinflussen und öffentlich­ private Kooperationen zu fördern. Auch organisieren sich Logistikunternehmen und Expresszustelldienste verstärkt, um Drogentransporte oder Transporte anderer illegaler Waren zu unterbinden.

72

G. Jacobs und D. Lapprand

2.2 Privatwirtschaftliche Sicherheitsanbieter Da der Staat die gestiegene Komplexität an Sicherheitsherausforderungen nicht alleine bewältigen kann, hat es ein deutliches Wachstum in der privaten Sicherheit in Form von Sicherheitsdiensten und -ausrüstern gegeben. Dies sind Dienstleister, die von der Privatwirtschaft eingekauft werden, aber auch im öffentlichen Bereich angeheuert werden, um bestimmte Aufgaben in der Sicherheit zu übernehmen. Während der Flüchtlingskrise 2015/2016 (weiter unten mehr hierzu) waren es private Sicherheitsdienste, die von Gemeinden angestellt wurden, um Einrichtungen für die Betreuung von Flüchtlingen zu sichern. Öffentliche Einrichtungen und private Unternehmen, die Sicherheitsdienstleistungen einkaufen, müssen alle nationalen Gesetzgebungen berücksichtigen, und internationale Sicherheitsanbieter müssen ihr Dienstleistungsangebot an die unterschiedlichen regulatorischen Rahmenbedingungen anpassen. Die Rolle, die der Staat der privaten Sicherheit einräumt, variiert je nach Land, ist aber substanziell. Es gibt etwa einen privaten Sicherheitsmitarbeiter für 0,7 Polizisten in Deutschland, Frankreich und Spanien, aber einen Sicherheitsmitarbeiter für 0,17 Polizisten in Italien und einen für 2,11 in Großbritannien (de Maillard 2017). Sicherheitsprodukte und -dienstleistungen stellen einen wachsenden Markt dar, der für große Technologieunternehmen wie IBM, CISCO, Hitachi, Samsung, Alcatel und SAS von großem Interesse ist. Der Sicherheitsmarkt umfasst Technologien und Dienstleistungen in einer großen Vielfalt von Sektoren, die von „Smart Cities“ und die Sicherung von Großveranstaltungen über Straßenverkehr und Schutz kritischer Infrastrukturen bis hin zu Einwanderungsbehörden und Nachrichtendiensten reichen. Die Technologien umfassen Videoüberwachungs- und Kommunikationssysteme, elektronische Zäune und Waffen, aber etwa auch Bio-Agenten zur Bekämpfung von Infektionskrankheiten. In den letzten Jahren ist der europäische Markt für öffentliche Sicherheit über den Höchststand nach dem 11. September gestiegen und wird voraussichtlich weiterhin wachsen. Große Sicherheitsdienstleistungsunternehmen wie G4S sind weltweit in über 100 Ländern mit mehr als 600.000 Mitarbeitern vertreten, oder Securitas AB ist in 60 Ländern mit 400.000 Mitarbeitern vertreten. Ähnlich wie die Sicherheitsverantwortlichen in privat­ wirtschaftlichen Unternehmen organisieren sich Sicherheitsanbieter auf internationaler Ebene in Berufsverbänden, wie die COESS auf europäischer Ebene oder die IBSSA (International Bodyguard and Security Services Association) auf weltweiter Ebene. Es gibt viele weitere internationale Berufsverbände, die auf bestimmte Branchen oder Fachgebiete hin ausgerichtet sind.

Internationales Sicherheitsmanagement – Die Notwendigkeit …

73

2.3 Öffentliche Sicherheitsorganisationen Sicherheit stellt auch im öffentlichen Bereich einen großen Sektor dar. Organisationen wie Ministerien, Kommunen und Strafverfolgungsbehörden sind große Institutionen. So sind beispielsweise die niederländische Polizei mit 65.000 Beschäftigten und die deutsche Polizei mit 280.000 Beschäftigten die größten Arbeitgeber in ihren Ländern. Zum Vergleich: In Deutschland beschäftigt Siemens rund 110.000 Mitarbeiter und Volkswagen, darunter alle zwölf Marken wie Audi und Porsche, 270.000 Mitarbeiter in Deutschland (Jacobs und Wimber 2016). Dies bedeutet, dass Polizeichefs, aber auch Führungskräfte in Kommunen und Ministerien, Top-Manager von hohem gesellschaftlichem und wirtschaftlichem Einfluss sind. Polizeien und andere Sicherheitsorgane sind regional (etwa Landeskriminalamt), national (Bundeskriminalamt) und international (etwa Europol oder Interpol) vernetzt (Jacobs und Kuntze 2016). In der internationalen Zusammenarbeit konzentrieren sich Organisationen sowohl auf allgemeine Fragen, wie etwa die Nutzung und weitere Entwicklung von Kooperationsmechanismen (zum Beispiel internationaler Informationsaustausch und Unterstützung im operativen Bereich), als auch auf spezifische Fragen der Gefahrenabwehr (zum Beispiel organisierte Kriminalität, Geldwäsche, Menschenhandel,  Terrorismus) oder der Verringerung von Risikofaktoren (zum Beispiel Luftfrachtverkehr, Seeverkehr und Häfen). Zu den politischen Institutionen, die die internationale Zusammenarbeit in Bezug auf die Sicherheit von Unternehmen unterstützen, gehören OECD (Gesellschaft für wirtschaftliche Zusammenarbeit und Entwicklung), WTO (Welthandelsorganisation) und WEF (World Economic Forum). UN-Organisationen wie die ICAO IMO (International Civil Aviation Organization – International Maritime Organization) und in geringerem Maße auch die WHO (Weltgesundheitsorganisation) spielen eine Rolle als politische Entscheidungsträger im Rahmen von Arbeitsgruppen- und Generalversammlungsprozessen. Interpol und Europol sind als operative Stellen anzusehen, die für die Umsetzung der internationalen Zusammenarbeit zuständig sind.

3 Sicherheitsherausforderungen sind häufig mehrschichtige Probleme Die Weltwirtschaft bedeutet eine hohe internationale wirtschaftliche Verflechtung und einen stetigen und schnellen Strom von Menschen und Gütern über regionale und nationale Grenzen hinweg. Technologische Entwicklungen haben weltweit zu einem exponentiellen Wachstum von Information und Kommunikation geführt. Das „Internet der Dinge“ ermöglicht enorme unternehmerische ­ Innovationen.

74

G. Jacobs und D. Lapprand

Alle diese Entwicklungen bedeuten aber auch neue Sicherheitsrisiken für die Öffentlichkeit und für Unternehmen. Sicherheit ist eine Herausforderung, die wir nur in Zusammenarbeit mit vielen verschiedenen Akteuren aus dem privaten und öffentlichen Sektor lösen können. Diskurse in Medien- und Managementforen betonen die zunehmende Volatilität und Komplexität wirtschaftlicher und sozialer Prozesse. Führungskräfte von Organisationen des privaten und öffentlichen Sektors und des politischen Lebens wurden mit dramatischen Fehlern bei der Vorhersage und Entscheidungsfindung konfrontiert. Wichtige politische Entwicklungen wie der Aufstieg des Rechtspopulismus, der Brexit und die Wende in der amerikanischen Wirtschafts- und Außenpolitik, aber auch große humanitäre Krisen wie die Flüchtlingskrise in Europa, die Ebola-Epidemie in Westafrika und das Zika-Virus in Brasilien wurden als „undenkbar“ angesehen und daher unterschätzt (Gaving and Langdon 2016). Eine grundlegende Annahme in der Komplexitätstheorie ist, dass Systeme in Zeiten großen Wandels und unsicherer Umgebungsfaktoren darauf abzielen sollten, ihre organisatorische Komplexität zu erhöhen, um der Komplexität der Umwelt gerecht zu werden. Mit anderen Worten: Es braucht Komplexität, um Komplexität zu besiegen (Boisot and Mc Kelvey 2010). Hierfür sind verschiedene Akteure erforderlich, um komplexe gesellschaftliche Sicherheitsherausforderungen zu prognostizieren und anzugehen. Im Nachhinein waren die sogenannten „Undenkbarkeiten“ vorhersehbar, und ihre dramatischen Effekte hätten verhindert oder zumindest gemildert werden können, wenn eine größere Bandbreite an Akteuren oder Perspektiven außerhalb des Mainstreams ernster genommen worden wären (Maitlis und Sonenschein 2010). Um das „Undenkbare“ der Zukunft in den Griff zu bekommen, bedarf es neuer und breiterer Allianzen, die besser in der Lage sind, komplexen Phänomenen zu begegnen. Viele Herausforderungen im Bereich Sicherheit und Gefahrenabwehr stellen komplexe gesellschaftliche Herausforderungen dar. Kernmerkmal mehrschichtiger gesellschaftlicher Probleme ist, dass ihre Lösungen ineinandergreifende technische und soziale Aspekte voraussetzen. Entsprechend erfordert die Lösung mehrschichtiger sozialer Probleme typischerweise die nachhaltige Anstrengung von einer Vielzahl unterschiedlicher Stakeholder (vgl. Tab. 1). Prozesse auf verschiedenen Ebenen beeinflussen sich gegenseitig. Ereignisse im Nahen Osten, wie der Krieg in Syrien, bewirken die Flucht von vielen Menschen, beeinflussen die EU-Politik, beziehen Polizeiorganisationen und private Sicherheitsunternehmen in mehreren Ländern ein und beeinflussen das tägliche Leben in lokalen Kommunen. Die Auswirkungen von Krieg und Terroranschlägen, die weit weg von uns, in Afrika, Asien , in den Vereinigten Staaten oder in anderen europäischen Ländern geschehen, können schnell auch vor unserer Haustür ankommen.

Internationales Sicherheitsmanagement – Die Notwendigkeit …

75

Tab. 1   Mehrschichtigkeit von Sicherheitsherausforderungen Ebene

Beispiel

Individuum

Mitarbeiter, Kunde, Bürger

Gruppe

Berufsgruppe, Kommune

Organisation

Unternehmen, Sicherheitsbehörde, Interessensverband

Land oder Region

Deutschland, Europa, Mittlerer Osten

Multilateral

Europäische Union, Vereinte Nationen, OECD

Das haben die Einwohner von griechischen und italienischen Inseln, wie etwa Lesbos oder Lampedusa, in den letzten Jahren in Extremform erlebt. In den Jahren 2015 und 2016 mussten viele europäische Länder Flüchtlinge aufnehmen. Dies bedeutete zum ­Beispiel, dass Turnhallen für die Unterbringung von Flüchtlingen benötigt wurden mit der Folge, dass der wöchentliche Judo- oder Gymnastikunterricht der Kinder in deutschen Dörfern nicht mehr stattfinden konnte und Schulklassen verlegt werden mussten. Die Reaktion von Bürgern und Unternehmen (wie aktive Integrationsinitiativen der deutschen Wirtschaft) auf solche lokalen Folgen wirkt sich wiederum auf die regionale, nationale und internationale Sicherheitssituation aus. Für die Analyse und Lösung komplexer Sicherheitsherausforderungen müssen Prozesse auf individueller und gesellschaftlicher Ebene berücksichtigt werden, da sie zu Trickle-Down- oder Bottom-Up-Effekten führen können (Abb. 2). Nehmen wir das Beispiel des illegalen Handels. Zunehmend profitieren terroristische Gruppen und die organisierte Kriminalität von den speziellen

Land oder Region

Organisaon

Gruppe

Boom-up Effekt

Trickle-down Effekt

Mullateral

Individuum

Abb. 2   Trickle-Down und Bottom-Up-Effekte von Sicherheitsherausforderungen

76

G. Jacobs und D. Lapprand

­ ähigkeiten und Ressourcen des jeweils anderen und bewegen sich weg von klar F definierten Tätigkeitsbereichen hin zu ständig wechselnden Transaktionen, wenn sie damit ihren Geschäftserfolg beziehungsweise die Chance auf Erreichung ihrer Ziele erhöhen können (Europol 2017). Die Aufdeckung und Bekämpfung solcher „schmutziger Verstrickungen“ (Shelley 2014) muss die Rolle der legalen Wirtschaft und des sozialen und rechtlichen Umfeldes, in dem organisierte Kriminalität und Terrorismus operieren, berücksichtigen. Es gäbe keinen illegalen Handel, wenn Verbraucher nicht illegal gehandelte Zigaretten, Alkohol, Wildtiere und kulturelles Erbgut kaufen oder Opfer von Menschenhandel in Form von Prostitution und Sklaverei ausbeuten würden. Die Gewinne aus dem illegalen Handel belaufen sich auf 870 Mrd. US$ pro Jahr und 1,5 % des globalen BIP (OECD 2016). Die Hälfte dieser Gewinne wird über das globale Finanzsystem, also die legitime Wirtschaft, gewaschen. Diese enormen Kapitalströme außerhalb der legalen Wirtschaft führen zum Verlust privater und öffentlicher Einnahmen und untergraben die öffentliche Sicherheit. Die Bekämpfung der organisierten Kriminalität und des Terrorismus erfordert Veränderungen im Sozial- und Wirtschaftssystem, um kriminelle Aktivitäten von ihrem sozialen und wirtschaftlichen Umfeld zu lösen. Es braucht nicht immer Helden, um einen Systemwechsel auszulösen (Rao und Dutta 2012). Selbst kleine Schritte einzelner Akteure können aufgrund von Bottom-up-Effekten weitreichende Auswirkungen haben. Die Bewusstwerdung gesellschaftlicher Verantwortung innerhalb der legitimen Wirtschaft und die Bildung unerwarteter und neuer Koalitionen in der Öffentlichkeit (das heißt Kunden, Lehrer, Unternehmer) können eine starke Intervention gegen das organisierte Verbrechen darstellen (Vaccaro und Palazzo 2015). Um den Herausforderungen des illegalen Handels, der gefährliche Netzwerke der organisierten Kriminalität und des Terrorismus zu begegnen, müssen Unternehmen und Strafverfolgungsbehörden zusammenarbeiten und Top-Down-Prozesse initiieren. Banken ergreifen zunehmend Maßnahmen, um Geldwäsche zu erkennen, und in vielen Ländern beginnen Strafverfolgungsbehörden mit dem Privatsektor zusammenzuarbeiten, um illegalen Handel und gefälschte Produkte zu bekämpfen. Gefälschte Produkte können für Verbraucher sehr gefährlich sein. Zum Beispiel ist gefälschte Medizin mittlerweile ein florierender Schwarzmarkt, der unmittelbare Gesundheitsrisiken birgt und zur globalen Mikrobenresistenz beiträgt, weil Patienten nicht die richtige Behandlung erhalten. Der globale Drogenhandel ist der größte Schwarzmarkt der Welt, der typischerweise von großer krimineller Gewalt begleitet wird, soziale Gemeinschaften gefährdet und hohe soziale Kosten mit sich bringt (OECD 2016). Die oben beschriebenen drei Ebenen von Sicherheitsherausforderungen und Lösungen zeigen deutlich, wie vielschichtig die notwendigen Anstrengungen

Internationales Sicherheitsmanagement – Die Notwendigkeit …

77

sind, um nachhaltige Lösungen zu entwickeln. In der Tab. 2 haben wir versucht, die verschiedenen Implikationen auf verschiedenen Ebenen beispielhaft zu skizzieren. Das Handeln von Privatunternehmen hat direkt oder indirekt einen großen Einfluss auf das soziale, wirtschaftliche und politische Leben. Tab. 2   Beispiele von Trickle-Down- und Bottom-Up-Effekten Ebene

Trickle-down und Bottom-up-Effekte

Soziales Leben Unternehmensabläufe • Betriebsunterbrechung (Cyber, Versorgung (Fragen des Eigentumsrechts) • Verantwortung, sich an der ­Bekämpfung und Verteilung) von Kleinkriminalität zu beteiligen und • Verluste (Diebstahl, Betrug) die Sicherheit auf lokaler Ebene zu • Gefährdung der Mitarbeiter (Beruf und gewährleisten Privatleben einschließlich Familien) • Das öffentliche Bild von einem großen Unternehmen, das von Kleinkriminalität betroffen ist (Verluste, Zerstörungen, Störungen), hat einen negativen Einfluss auf die subjektive Sicherheitswahrnehmung von Bürgern • Unternehmen, die sich lokal an der Unterstützung kommunaler Sicherheits- oder Polizeimaßnahmen beteiligen, um ihre Interessen entweder direkt (Wachpersonal, interne Sicherheitsmaßnahmen) oder indirekt (Präventionsprogramme, Stärkung lokaler Gemeinschaften, Polizei­ kräfte und Strafverfolgung) im In- und Ausland zu schützen • Informationsaustausch, um ein ­umfassendes gemeinsames operatives Bild zur nachhaltigen Bekämpfung von Kriminalität und Umweltkatastrophen zu ermöglichen • Unternehmen sind nicht nur Opfer, ­sondern tragen aktiv zur Prävention bei Geschäftsmodell des Unternehmens • Opfer eines unlauteren Wettbewerbs zu werden, der die Regeln nicht einhält • In Betrügereien oder unbeabsichtigte kriminelle Aktivitäten wie Kinderarbeit oder Umweltverschmutzung verwickelt zu sein

Wirtschaftliches Leben (Allgemeine Handelsbestimmungen: Geistiges Eigentum, Einhaltung, faire Regeln in Bezug auf Menschenrechte, Umweltschutz) • Verantwortung für die Einhaltung der auf nationaler und internationaler Ebene festgelegten wirtschaftlichen Regelungen • Aufbau einer fairen und verantwortungsvollen internationalen Politik (Fortsetzung)

78

G. Jacobs und D. Lapprand

Tab. 2   (Fortsetzung) Ebene

Trickle-down und Bottom-up-Effekte

Existenz des Unternehmens • Wirtschaftsmanipulationen Organisierter Kriminalität (Börse, Kredite/Geldwäsche) • Politische Einflussnahme (Privatisierung/ Verstaatlichung, Subventionierung, Lizenzierung) zur Kontrolle von Unternehmen oder zumindest ihrer Aktivitäten in einem bestimmten geografischen Gebiet • Partnerschaften mit inakzeptablen Parteien (vgl. Lafarge mit ISIS)

Politisches Leben (demokratisches Leben, internationale Regeln) • Engagement zur Vermeidung von organisierter Kriminalität oder politischer Gewalt als inakzeptable soziale Alter­ native (Finanzierung, Handel, Gewaltanwendung gegen Mitarbeiter, Erpressung von Partnern) • Mitverantwortung für faire Politik und Governance im politischen Bereich • Mitverantwortung zur Vermeidung von Korruption von Beamten (Bestechung) für Wettbewerbsvorteile, öffentliches Beschaffungswesen • Respekt vor dem demokratischen Leben (keine Unterstützung für politische Parteien) • Vermeidung der Zusammenarbeit mit inakzeptablen Parteien (UN-Embargos, Unternehmen und Einzelpersonen auf schwarzen Listen, UN, EU, USA für organisierte Kriminalität, Terrorismus, politisches Embargo)

4 Eine internationale Sicherheitsallianz: privater und öffentlicher Sektor • Der öffentliche Sektor reagiert relativ langsam auf neue Herausforderungen • Sicherheitsinnovationen müssen gemeinsam mit dem privaten Sektor entwickelt werden • Von Wirtschaftsunternehmen wird erwartet, dass sie etwas zum Gemeinwohl beitragen Häufig hat sich in der Vergangenheit gezeigt, dass öffentliche Institutionen nicht schnell und flexibel genug auf neue Herausforderungen reagieren können. Phänomene wie Piraterie, Cybercrime oder organisierte Kriminalität entwickeln eine Dynamik, die der Gesetzgeber typischerweise nicht vorhersehen kann. Die Anpassung von Gesetzen an neue Herausforderungen unterliegt in nationalen und

Internationales Sicherheitsmanagement – Die Notwendigkeit …

79

internationalen politischen Abstimmungsprozessen einer relativ großen Trägheit. Hier ist der Privatsektor in vielen Fällen überlegen und kann zügiger Wissen und Expertise oder technologische Lösungen entwickeln (van der Wal 2017). Es ist Teil der Sicherheitspolitik auf europäischer und weltweiter Ebene, den Privatsektor aktiv in die Gestaltung öffentlicher Sicherheit einzubeziehen. Dies passt in eine generelle Zeitgeistentwicklung, da von Unternehmen zunehmend erwartet wird, Verantwortung für soziale, ökologische und wirtschaftliche Probleme zu übernehmen und gemeinsam mit anderen privaten und öffentlichen Akteuren innovative Lösungen zu erarbeiten (Porter und Kramer 2011). Die Zeiten, in denen Unternehmen sich ausschließlich auf Gewinnmaximierung kon­ zentrieren können, sind eindeutig vorbei. Die neue Generation von Managern und Führungskräften wird weltweit mit dem Blick darauf ausgebildet, dass sie in ihrem wirtschaftlichen Handeln die UN Sustainable Development Goals berücksichtigen müssen. Wirtschaftliches Handeln wird zunehmend an ethischen Maßstäben gemessen. Dies zeigt sich im öffentlichen Diskurs und empfindlichen Geldstrafen, die Unternehmen neben massivem Reputationsverlust akzeptieren müssen, wenn sie einen ethischen Kodex verletzen. Etwa wurde UPS 2017 von einem amerikanischen Gericht zu einer Geldstrafe von 247 US$ für den Transport Hunderttausender Packungen illegaler Zigaretten (www.nytimes.de) verurteilt. Der französische Zementkonzern Lafarge muss sich für sein Handeln während des syrischen Bürgerkrieges verantworten (www.zeit.de, www.spiegel.de), und verschiedene Sicherheitsskandale haben in den letzten Jahren die Kleidungsindustrie erschüttert und Kunden und Unternehmen dafür sensibilisiert, dass extrem billige Ware häufig mit unethischem wirtschaftlichem Handeln verbunden ist. Nachhaltige Sicherheitslösungen in Kooperation mit dem privaten Sektor zu erreichen, wird in öffentlich-privaten Partnerschaften angestrebt. Die Logik öffentlich-privater Kooperationen ist, dass private Sicherheitsanbieter sich zur Einhaltung von öffentlichen Regeln und Verfahren verpflichten und im Gegenzug besondere Privilegien erhalten, die in geschäftlicher Hinsicht als Wettbewerbsvorteile angesehen werden können. Ein Beispiel hierfür ist der Zoll. Die Zollbehörden sind nicht in der Lage, jedes Gut zu kontrollieren, deshalb gehen sie Partnerschaften mit zuverlässigen privaten Betreibern ein. Ein weiteres Beispiel ist die EU-Politik in Bezug auf illegale Internetinhalte, bei denen die Gesetz­ gebung darauf abzielt, dass sich Internetdienstanbieter verpflichten, selbst dafür zu sorgen, dass illegale Inhalte wie Volksverhetzung, Anwerbung zum Terrorismus, Kinderpornografie, Fälschung und illegaler Handel mit gefährlichen ­Produkten verhindert werden. Die Forschung zur öffentlichen Sicherheit zeigt sehr deutlich wie vielschichtig Sicherheitsfragen sind. Neben der inhaltlichen Komplexität von S ­ icherheitsfragen

80

G. Jacobs und D. Lapprand

beeinflusst der Druck den verschiedene Stakeholder privater und öffentlicher Organisationen ausüben die Entwicklung innovativer Lösungen aus. Eine der einflussreichsten technischen Entwicklungen unserer Zeit sind die sozialen Medien (van der Wal 2017). Soziale Medien bieten neue Möglichkeiten der Kommunikation und Vernetzung bisher unverbundener Stakeholder-Gruppen innerhalb, zwischen und außerhalb von Organisationen. Beispielsweise reisen Kundenbeschwerden die in einem Teil der Welt geäussert werden, über Twitter, Facebook oder YouTube innerhalb von Sekunden auf die andere Seite der Welt. Electronic Word of Mouth (eWOM) auf Protest-Websites und Blogs sind zu einem mächtigen Instrument für Kunden- und Bürgerstimmen geworden, das neue Reputationsrisiken für Organisationen darstellt, aber auch große Chancen für demokratische Kontrolle und Bürgerbeteiligung bietet (Bayerl und Stoynov 2016). Moralische Empörung (eWoM Grappi et al. 2013) ist eine potenziell kostspielige Kundenund Bürgerreaktion auf Servicefehler öffentlicher Institutionen (van de Walle 2016) und der Privatwirtschaft und kann langfristige Auswirkungen auf den Ruf und die Legitimität einer Organisation haben. Es bedeutet auch, dass Sicherheitsversagen das irgendwo auf der Welt stattfindet, wie erfolgreiche Hackerangriffe auf Banken oder Unternehmen, inkompetenter Umgang mit Naturkatastrophen oder Vorfälle von Polizeigewalt oder Missbrauch von Kundendaten in privaten Unternehmen, auch das Vertrauen und die Legitimitätswahrnehmung im lokalen Umfeld untergraben können. Die beispiellose (Hyper-)Transparenz von Organisationen führt zu einer Neuordnung der Machtverhältnisse zwischen internen und externen Stakeholdern. Negative Rückmeldungen von externen Stakeholdern können neben Reputationsrisiken auch eine Quelle professioneller Desidentifikation darstellen. Kritik von Kunden, Bürgern, Politikern oder Medien kann starke emotionale und defensive Reaktionen innerhalb von Organisationen auslösen. Einerseits die eigene berufliche Identität zu schützen und andererseits aus externer Kritik zu lernen, ist ein anspruchsvoller „Balanceakt“, für den öffentliche und private Organisationen neue Antworten entwickeln müssen (Horton et al. 2014). Die Auswirkungen politischer und wirtschaftlicher Entwicklungen auf die Umwelt und der Druck von Medien und Politik sind keine abstrakten Merkmale, sondern ganz konkrete Herausforderungen, denen Praktiker ausgesetzt sind (Jacobs und Wimber 2016). Für Wirtschaftsunternehmen und Sicherheitsorganisationen besteht die zentrale Herausforderung dieses Drucks darin, dass die Perspektiven und Erwartungen nicht übereinstimmen, sondern oft widersprüchlich und paradox sind, wie sich in polarisierten öffentlichen Debatten über Sicherheit zeigt. In diesem häufig kurzatmigen und fiebrigen Klima öffentlicher Debatten hängt die gemeinsame Gestaltung von Fragen der privaten und öffentlichen Sicherheit

Internationales Sicherheitsmanagement – Die Notwendigkeit …

81

umso mehr vom gegenseitigen Vertrauen aller Beteiligten ab. Erfolgreiche privat-öffentliche Partnerschaften und internationale Kooperationen erfordern eine Neuausrichtung der organisatorischen und beruflichen Identität und eine Neudefinition von Machtwahrnehmung und -verteilung. Die Sicherheitsherausforderungen der letzten Jahre haben deutlich gemacht, dass Sicherheitsmanagement die lokale Ebene überschritten hat. Dennoch fehlen noch stets klare Konzepte, Strukturen und Denkweisen für ein europäisches oder gar globales Sicherheitssystem. Insbesondere innerhalb der EU, wo die Volkswirtschaften in einem offenen europäischen Markt stark miteinander verflochten sind, müssen sich die nationalen Strafverfolgungsbehörden, Regierungsorganisationen, Privatunternehmen und andere Akteure an die neuen Gegebenheiten anpassen und auf europäischer Ebene eng zusammenarbeiten. Entscheidungsträger müssen sich neue Fähigkeiten, Denkweisen und ­Erfahrungen aneignen, um in einem solchen internationalen Umfeld erfolgreich zu agieren. Internationale und Multi-Stakeholder-Kooperationen erfordern tief greifende Veränderungen bei öffentlichen Organisationen und privaten Partnern. Nicht alle Akteure wollen an sicherheitsrelevanten Aktivitäten beteiligt sein, da viele der Polizei oder der Privat- oder Sicherheitsindustrie nicht genügend ­vertrauen, um zusammenzuarbeiten. Hinzu kommen massive wirtschaftliche Interessen, die an die Bevorzugung bestimmter Sicherheitslösungen gekoppelt sind. Kritiker warnen, dass eine einseitige Entwicklung von Sicherheitsleistungen durch den privaten Sektor zu „zügelloser Sicherheit“ führen kann (Huysmans 2014). Ein Diskurs, der vor allem in Sicherheitstechnologie die Lösung für gesellschaftliche Herausforderungen sucht, läuft Gefahr zu einer generellen Risikoperspektive auf soziale und ökonomische Beziehungen zu führen. Aus einer solchen Sicht wird jeder Nachbar, jede Geldtransaktion, jede Grenzüberschreitung zum potenziellen Risiko. Sicherheitslösungen müssen breitere Interessen einbeziehen, um solchen verkürzten Perspektiven auf Sicherheit zu begegnen, die letztendlich demokratischen Entwicklungen und dem gesellschaftlichen Gemeinwohl, aber auch wirtschaftlicher Mobilität und Innovation im Wege stehen. Dieses Risiko der „zügellosen Sicherheit“ gilt sowohl für den öffentlichen als auch den privaten Bereich. Sicherheit muss maßgeschneidert sein, und mit den Bedürfnissen der Kunden, der Identität des Unternehmens und der Marke übereinstimmen. Deshalb muss Sicherheitsmanagement immer Teil der strategischen Ausrichtung des Unternehmens sein und mit der Unternehmenskultur und dem Image des Unternehmens übereinstimmen. Insofern muss auch die Zusammenarbeit zwischen Sicherheitsdienstleistern und Nachfragern aus dem privaten und öffentlichen Bereich darauf ausgerichtet sein, passende Lösungen zu entwickeln,

82

G. Jacobs und D. Lapprand

die die jeweiligen Bedürfnisse der Branche, des Unternehmens und des spezifischen Absatzmarktes berücksichtigen. Kulturelle Normen über Sicherheit und Gefahrenabwehr unterscheiden sich von Kundengruppe zu Kundengruppe und Stakeholder zu Stakeholder. Keine einzelne Sicherheitslösung kann sich für alle immer als erfolgreich erweisen. Dies verdeutlicht die Relevanz von multikontextuellen Ansätzen für Sicherheit und Schutz vor Risiken und die Rolle kultureller und sozialer Normen. Kollaborationen innerhalb und zwischen Sicherheitsorganisationen und verschiedenen Interessengruppen, zum Beispiel in öffentlich-privaten Partnerschaften, können durch Reibungsverluste in Bezug auf Prioritäten oder Arbeitsweisen behindert werden. Die Berücksichtigung sozialer und kultureller Aspekte ist für die Überwindung solcher Hindernisse von grundlegender Bedeutung. Das Verständnis von Vielfalt, das Eingehen auf Komplexität und der Aufbau neuer Allianzen sind der Schlüssel zur Entwicklung integrativer Sicherheitslösungen mit mehreren Interessengruppen und in unterschiedlichen kulturellen Kontexten.

5 Ausblick: Wir brauchen hybride Netzwerke für die internationale Sicherheit Sicherheit und Schutz sind entscheidende Dimensionen für das Funktionieren von Demokratien und Volkswirtschaften sowie für die Gesundheit, das Wohlergehen und die Widerstandsfähigkeit von Gemeinschaften. Im Kontext der zunehmenden Globalisierung stehen Gesellschaften vor sicherheitspolitischen Herausforderungen, die von sozialen Unruhen, Massenmigration und Polarisierung bis hin zu Terrorismus und organisierter Kriminalität reichen. Die Aufrechterhaltung der friedlichen Konsolidierung Europas und darüber hinaus bei gleichzeitiger Stärkung einer Kultur der Freiheit und Gerechtigkeit ist zu einer der am meisten diskutierten gesellschaftlichen Herausforderungen geworden. Derzeit fehlt es privaten Unternehmen, die im Sicherheitsbereich tätig sind, Strafverfolgungsbehörden, Krisenmanagementbehörden und anderen an Kapazitäten in kritischen Bereichen in Fragen der sektorenübergreifenden Kooperation, da es wenig innovative Bildungsangebote gibt, um diese Kapazitäten zu entwickeln. Es gilt die landesgrenzen- und sektorenübergreifende Dialogfähigkeit von Entscheidungsträgern im Sicherheitsbereich systematisch zu schulen. Eine solche Dialogfähigkeit ist Voraussetzung, um Innovationen im privaten und öffentlichen Sektor und in einem breiteren sozioökonomischen Umfeld zu ermöglichen. Führungskräfte in öffentlichen Institutionen, privaten Unternehmen und Sicherheitsdienstleister müssen lernen, gemeinsam Risiken zu identifizieren und nachhaltige

Internationales Sicherheitsmanagement – Die Notwendigkeit …

83

Lösungen entwickeln. Sicherheit ist eine zentrale Herausforderung in Europa und darüber hinaus. Durch die Entwicklung innovativer Sicherheitskonzepte kann Europa seine Vordenkerrolle und innovative Spitzenposition im globalen Kontext stärken. Der Wissensaustausch zwischen Wissenschaft, Wirtschaft und öffentlicher Hand in den Bereichen Sicherheitsmanagement muss durch die Schaffung von Wissensstrukturen und sektorenübergreifenden, internationalen Pattformen und Initiativen gefördert werden. Netzwerke sollten verschiedene Sektoren und Branchen im Bereich Sicherheit und Gefahrenabwehr verbinden und so den Wissensaustausch im öffentlichen und privaten Sektor fördern. Hier gilt es auch die Wissenschaft in die Pflicht zu nehmen, um in hybriden Netzwerken echte Innovationen zu entwickeln. Die Förderung des Dialogs zwischen der Wissenschaft, der Privatwirtschaft und den Behörden ermöglicht ein tieferes Verständnis der Kenntnisse, Fähigkeiten und Verhaltensweisen, die auch über die Grenzen der EU hinweg benötigt werden um die Sicherheitsherausforderungen der Zukunft zu bewältigen.

Literatur Bayerl, P. S., & Stoynov, L. (2016). Revenge by photoshop: Memefying police acts in the public dialogue about injustice. New Media & Society, 18(6), 1006–1026. Bayley, D. H., & Shearing, C. D. (2001). The new structure of policing: Description, conceptualization and research agenda (S. 5). Washington: US Department of Justice, Office of Justice Programs, National Institute of Justice. Boisot, M., & McKelvey, B. (2010). Integrating modernist and postmodernist perspectives on organizations: A complexity science bridge. Academy of Management Review, 35(3), 415–433. De Maillard, J. (2017) Polices comparees. Paris: LGDJ. Europol. (2017). Serious and organised crime threat assessment. Crime in the age of technology. https://www.europol.europa.eu/activities-services/main-reports/european-union-serious-and-organised-crime-threat-assessment-2017. Gowing, N., & Langdon, C. (2016). Thinking the unthinkable: A new imperative for leadership in the digital age. London: Chartered Institute of Management Accountants. Grappi, S., Romani, S., & Bagozzi, R. P. (2013). Consumer response to corporate irresponsible behavior: Moral emotions and virtues. Journal of Business Research, 66(10), 1814–1821. Hönke, J. (2013). Transnational companies and security Governance. London: Routledge. Horton, K., Bayerl, P. S., & Jacobs, G. (2014). Identity conflicts at work: An integrative framework. Journal of Organizational Behavior, 35(S1), 6–22. Huysmans, J. (2014). Security unbound. London: Routledge. Jacobs, G., & Kuntze, M. (2016). Internationale Polizeikooperation. In J. Stierle, D. Wehe, & H. Siller (Hrsg.), Handbuch Polizei-Management. Wiesbaden: Springer.

84

G. Jacobs und D. Lapprand

Jacobs, G., & Wimber, H. (2016). Plädoyer für eine Kooperation zwischen Polizei und Managementwissenschaften. In J. Stierle, D. Wehe, & H. Siller (Hrsg.), Handbuch Polizei-Management. Wiesbaden: Springer. Maitlis, S., & Sonenshein, S. (2010). Sensemaking in crisis and change: Inspiration and insights from Weick (1988). Journal of Management Studies, 47(3), 551–580. OECD. (2016). Illicit trade: Converging criminal networks. Paris: OECD Publishing. Porter, M. E., & Kramer, M. R. (2011). The big idea: Creating shared value, rethinking capitalism. Harvard Business Review, 89(1/2), 62–77. Rao, H., & Dutta, S. (2012). Free spaces as organizational weapons of the weak religious festivals and regimental mutinies in the 1857 bengal native army. Administrative Science Quarterly, 57(4), 625–668. Shelley, L. I. (2014). Dirty entanglements: Corruption, crime, and terrorism. New York: Cambridge University Press. Vaccaro, A., & Palazzo, G. (2015). Values against violence: Institutional change in societies dominated by organized crime. Academy of Management Journal, 58(4), 1075–1101. Van de Walle, S. (2016). When public services fail: A research agenda on public service failure. Journal of Service Management, 27(5), 831–846. Van der Giessen, M., Brein, E., & Jacobs, G. (2017). European community policing – Integration, differentiation and fragmentation. In P. S. Bayerl, R. Karlovic, B. Akhgar, & G. Markarian (Hrsg.), Community policing – A European perspective. Berlin: Springer. van der Wal, Z. (2017). The 21st century public manager. London: Macmillan International Higher Education.

Teil II Die Zukunft der Corporate Security

Digitale Vernetzung und (Cyber-) Sicherheit – unlösbarer Widerspruch oder zwei Seiten einer Medaille? Für ein neues Zusammenspiel von Staat, Wirtschaft und Gesellschaft Florian Lindemann

Durch die voranschreitende globale und digitale Vernetzung steigt die Verwundbarkeit durch Cyber-Angriffe. Die digitale Transformation durch den Einsatz technischer Innovationen, der Fachkräftemangel sowie der Schutz vernetzter Systeme und Infrastrukturen sind Herausforderungen, die Staat, Wirtschaft und Gesellschaft gleichermaßen betreffen. Cyber-Sicherheit hat sich zu einem strategischen Faktor und einer Querschnittsherausforderung entwickelt. Das Verhältnis zwischen Staat und Wirtschaft, zwischen staatlichen Institutionen, innerhalb der Wirtschaft und sogar innerhalb von Unternehmen und Institutionen wird nachhaltig beeinflusst. Zur Erhöhung des Sicherheitsniveaus in der digitalen Welt ist daher ein ganzheitlicher, resilienzbasierter Ansatz notwendig, der die oben genannten Herausforderungen adressiert und neue Formen der Kooperation zwischen Akteuren aus Staat, Wirtschaft, Wissenschaft und Gesellschaft notwendig macht.

1 Einleitung Die Megatrends Globalisierung und Digitalisierung führen einerseits zu einer stetig wachsenden internationalen Verflechtung von Wirtschaftsunternehmen (unter anderem globale Lieferketten, Erbringung von Dienstleistungen), andererseits F. Lindemann (*)  Cyber Akademie GmbH, Berlin, Deutschland E-Mail: [email protected] © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_5

87

88

F. Lindemann

weichen traditionelle „Trennlinien“ zwischen Staat, Wirtschaft und Gesellschaft durch technologische Innovationen/Fähigkeiten sukzessive auf. Gleichzeitig ist durch die digitale Vernetzung ein neuer Raum oder eine neue Dimension (vgl. Bundesministerium der Verteidigung 2016)1 mit einem ganz eigenen Chancenund Bedrohungspotenzial entstanden. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) umschreibt das Feld der Cyber-Sicherheit wie folgt: Cyber-Sicherheit befasst sich mit allen Aspekten der Sicherheit in der Informationsund Kommunikationstechnik. Das Aktionsfeld der klassischen IT-Sicherheit wird dabei auf den gesamten Cyber-Raum ausgeweitet. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik und schließt darauf basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein (Bundesamt für Sicherheit in der Informationstechnik 2018a).

Die Aufrechterhaltung der Cyber-Sicherheit hat somit fundamentale Auswirkungen auf unsere Sicherheitsarchitektur, unser Sicherheitsmanagement und -handeln. Diese Trends werden zukünftig weiter voranschreiten und sich beschleunigen. Wenn es also so scheint, dass kein Unternehmen, keine Organisation, keine Institution diesen Herausforderungen alleine begegnen kann, was bedeuten diese Trends und Entwicklungen mit Blick auf eine zukünftige Corporate Security? Der vorliegende Text möchte vor dem Hintergrund der digitalen Vernetzung die Entwicklung der Cyber-Sicherheitslage darstellen, Problemfelder aufzeigen und Überlegungen anstellen, wie (Corporate) Security – im Sinne einer gemeinschaftlichen Herausforderung – in einer vernetzen, digitalisierten Umgebung gestaltet werden kann. Dabei soll der Fokus ausdrücklich nicht nur auf der Unternehmenssicherheit liegen, da Staaten, staatliche und nichtstaatliche Akteure Einfluss auf die Rahmenbedingungen der Digitalisierung und Sicherheitsfragen (Gewaltmonopol) nehmen, sie andererseits als Organisationen auch Betroffene des Digitalisierungsprozesses und den daraus resultierenden Herausforderungen an die Sicherheit sind. Eingangs soll ein schlaglichtartiger Überblick über allgemeine Digitalisierungstrends sowie die daraus resultierenden Herausforderungen an die (Cyber-)Sicherheit gegeben werden. Auch wenn diese Trends und Herausforderungen durch die

1Der

Cyber-Informationsraum zeichnet sich dadurch aus, dass er keine nationalen Grenzen kennt, die Ebenen zwischen innerer und äußerer Sicherheit verschwimmen und die klare Abgrenzung zwischen kriminellen, politisch motivierten oder kriegerischen Handlungen kaum möglich ist.

Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer …

89

IT-Nutzung/Vernetzung aus Sicht des Autors für staatliche Stellen, Wissenschaftseinrichtungen und Unternehmen in großen Teilen nahezu identisch sind, soll ein stärkerer Fokus auf die Privatwirtschaft gelegt werden. Diese Entwicklungen sollen in den Kontext „struktureller“ Herausforderungen in der Sicherheitsarchitektur gestellt und die Rolle des Staates bei der Herstellung und Aufrechterhaltung eines angemessenen Sicherheitsniveaus erörtert werden. Hierzu werden Schritte, die in vergangenen Jahren auf politischer Ebene bereits angestoßen worden sind, sowie aktuelle Diskussionen kurz dargestellt. Die Digitalisierungsbemühungen des Staates auf Ebene von Bund, Ländern und Kommunen – also der Staat als Anwender – sollen allenfalls am Rande Erwähnung finden, da die Vielzahl und Komplexität der Vorhaben den Rahmen dieses Textes überschreiten würden. Lediglich auf die digitalen Großprojekte des Bundes wie die IT-Konsolidierung, die Schaffung der Teilstreitkraft Cyber in der Bundeswehr (Kommando CIR) und die Bemühungen um die Digitalisierung der öffentlichen Verwaltung und ihrer Leistungen durch die Schaffung eines Portalverbundes sei an dieser Stelle verwiesen. Der Themenkomplex der deutschen und internationalen Cyber-Außen- und Sicherheitspolitik wird ebenfalls nur am Rande behandelt, wenn es um die Frage der Attribution von Cyber-Angriffen und möglicher Reaktionen geht (Bendiek 2016). Im abschließenden Abschnitt werden Überlegungen angestellt, wie (Cyber-) Sicherheit zukünftig gestaltet werden kann.

2 Leitfragen Als Grundlage für diese Überlegungen sollen dabei folgende Leitfragen dienen: 1. Was sind die Herausforderungen mit Blick auf Digitalisierung auf der einen, und mit Blick auf Sicherheit auf der anderen Seite? 2. Was ist notwendig, um das (Cyber-)Sicherheitsniveau in Unternehmen, Behörden und Organisationen zu erhöhen (politisch, rechtlich, technisch, ­organisatorisch)? 3. Wie sollte die Zusammenarbeit zwischen den unterschiedlichen Akteuren aus Staat, Sicherheitsbehörden, Wirtschaft, Wissenschaft etc. gestaltet werden, um den oben genannten Herausforderungen zu begegnen?

90

F. Lindemann

3 Herausforderungen der Digitalisierung. Für die Wirtschaft (und den Staat) 3.1 Strategische Fragen Die „digitale Revolution“ hat positive und negative Seiten für alle Vorstände, Geschäftsführer, IT- und Sicherheitsverantwortliche. Durch den technologischen Fortschritt befinden sich ein Großteil der Tätigkeits- und Geschäftsfelder von Unternehmen, aber auch von Behörden, in einem dynamischen Veränderungsprozess. Für Führungskräfte bedeutet dies, dass sie die Zukunft ihres Unternehmens (ihrer Organisation) verändern und im Idealfall langfristig gestalten können. Im Umkehrschluss bedeutet dies jedoch auch, dass wenn sie den Digitalisierungs- und Modernisierungsprozess nicht aktiv oder falsch gestalten, Geschäftsmodelle und Unternehmen über kurz oder lang ins Hintertreffen geraten und vom Markt verdrängt werden. Digitalisierung stellt sich somit als entscheidende Frage für die Wettbewerbsfähigkeit im internationalen Vergleich dar. Gleiches kann geschehen, wenn die Verantwortlichen nicht Sorge dafür tragen, dass die Geschäfts-, Entwicklungs- und Produktionsprozesse sicher gestaltet und digitalisiert werden. Folgende Problemlagen ergeben sich in diesem Zusammenhang: Digitalisierung ist ein Querschnittsthema, welches nahezu alle Geschäfts-, Produktions- und Verwaltungsprozesse umfasst und als solche alle Bereiche eines Unternehmens oder einer Behörde betrifft. Die Organisationsformen der meisten Unternehmen und Behörden etc. sind jedoch meist noch klassisch durch getrennte Abteilungen mit klaren Zuständigkeiten und hierarchischen Ordnungen geprägt. Dieses gilt auch für die IT und den Sicherheitsbereich. Die deutsche Wirtschaft scheint jedenfalls die Chancen der Digitalisierung erkannt zu haben und steht ihr in der Masse positiv gegenüber. Inzwischen sollen 80 % der Unternehmen über eine Digitalstrategie verfügen und bereiten sich auf Veränderungen im Markt durch die digitale Transformation von Wirtschafts- und Geschäftsmodellen vor (Bitkom, Deutsche Wirtschaft 2018b). Die Bandbreite reicht dabei von der Online-Präsenz und vernetzter Bürokommunikation, den Einsatz digitalisierter Dienstleistungen, über die Vernetzung und Fernsteuerung von Produktions- und Fertigungsanlagen, bis hin zur vollständigen, interaktiven Unternehmenssteuerung mittels digitaler Plattformen unter Verwendung

Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer …

91

von Cloud Computing. Vor allem der Dienstleistungssektor galt als Treiber der Digitalisierung, während der Digitalisierungsgrad der Industrie stetig zunimmt (Bundesministerium für Wirtschaft und Energie 2018).

3.2 Technologie und Personal Parallel stehen viele Unternehmen vor der Herausforderung, dass sie e­inerseits über volle Auftragsbücher verfügen und mit bestehenden Produkten und Geschäftsmodellen gute Ergebnisse erzielen. Gleichzeitig müssen und wollen die Geschäftsführer ihre Unternehmen zukunftsfähig und digital aufstellen, was eine intensive Auseinandersetzung mit technischen Innovationen sowie die Suche nach geeignetem Fachpersonal erfordert. Die gute Auftragslage und das fehlende Fachpersonal scheinen somit die Digitalisierung der deutschen Wirtschaft zu verlangsamen (Ernst und Young 2018b). Laut Branchenverband Bitkom fehlen allein in Deutschland 55.000 IT-Fachleute (Bitkom, IT-Spezialisten 2017b).2 Der spezielle Bedarf an IT-Sicherheitsfachleuten geht aus diesen Zahlen leider nicht hervor. Fakt ist jedoch, dass es zu wenig Sicherheitsexperten in den Unternehmen gibt.3 Es bleibt festzuhalten: Oftmals mangelt es an zeitlichen, personellen und finanziellen Ressourcen, fachlichen Kompetenzen oder schlicht dem Überblick über die Chancen und Risiken neuer technischer Entwicklungen, um sich intensiver mit den strategischen Zukunftsfragen der digitalen Ausrichtung des Unternehmens auseinanderzusetzen. Dieses gilt für die kleinen und mittelständischen Unternehmen mitunter stärker, als es für große Mittelständler oder Konzerne der Fall ist. (Bitkom, Deutsche Wirtschaft 2018b)4

2In

ihrem Jahresgutachten kritisierten die Wirtschaftsweisen zudem den schleppenden Ausbau digitaler Verwaltungsleistungen und digitaler Infrastrukturen in Deutschland. Die Schwächen in der Umsetzung der Digitalen Agenda der Bundesregierung seien Hemmnisse für die wirtschaftliche Entwicklung des Landes. Siehe Sachverständigenrat zur Begutachtung der gesamtwirtschaftlichen Entwicklung (2018, S. 394). 3Der Bitkom hat herausgefunden, dass in 45 % der Unternehmen der Geschäftsführer mit für die Sicherheit verantwortlich ist. Bei der Hälfte der Unternehmen ist die IT-Abteilung auch für die IT-Sicherheit zuständig. Nur 8,6 % der befragten Industrieunternehmen verfügten über einen eigenen Sicherheitsverantwortlichen oder Chief Information Security Officer (CISO), siehe Bitkom, Spionage (2016, S. 53). 4In besonderer Weise gilt dieses für den Einstieg in das „Internet der Dinge“ und IoT-­ Plattformen, die für Kleine und Mittelständische Unternehmen (KMU) ein erhebliches Risiko darstellen. Siehe hierzu auch: Bitkom, IoT-Plattformen (2018, S. 11).

92

F. Lindemann

Diese Gemengelage führt dazu, dass Unternehmensleitungen abwägen müssen, wie sie ihre knappen Ressourcen einsetzen (Bitkom, IoT 2018).5 Der Faktor Sicherheit rangiert dabei auf der Prioritätenliste relativ weit unten (Bitkom, IoT 2018). IT-Sicherheit wird oftmals nach wie vor ausschließlich als Kostenfaktor gesehen. Dabei werden sich in den kommenden Jahren die Arbeitsweisen und Sicherheitsanforderungen durch den Einsatz und die Verbreitung digitaler Technologien weiter verändern. Die Nutzung, beispielsweise von Cloud Computing und die Umstellung auf Cloud Strukturen, wird Unternehmen und Behörden vor große Herausforderungen stellen. Die Anzahl von (externen) Mitarbeitern, Dienstleistern, Lieferanten, die über unterschiedliche Endgeräte und Wege auf ein und dieselbe IT-Infrastruktur zugreifen, wird weiter zunehmen. Gleichzeitig werden die Verbreitung und Nutzung von IoT-Geräten sowohl in der Produktion als auch im Consumer-Bereich weiter ansteigen. Die Digitalisierung, Automatisierung und Vernetzung von Kommunikations-, Verwaltungs- und Fertigungsprozessen wird weiter voranschreiten (Bitkom, Live-Security 2018). Vor diesem Hintergrund werden sich gleichzeitig auch Angriffswege und -vektoren verändern und Sicherheitsmaßnahmen angepasst werden müssen.

3.3 Sicherheit als Querschnittsherausforderung Wie schlaglichtartig dargestellt, bietet die Digitalisierung einerseits ein großes Potenzial für die wirtschaftliche Entwicklung Deutschlands (Verband der bayrischen Wirtschaft 2017). Wenn Digitalisierung richtigerweise als Querschnittsthema dargestellt wird, so gilt dieses in besonderer Weise für die Sicherheit. Denn: Parallel zum Digitalisierungsprozess entsteht durch die zunehmende Vernetzung eine Vielzahl neuer Risiken. Neben der Innovationsfähigkeit und dem

5„Im

Vergleich zum Konzern zweifelt der deutsche Mittelstand mehr an der Sicherheit von Plattform-Konzepten und möchte seine Daten nicht auf einer öffentlichen Plattform speichern, da in dem Fall mehrere Unternehmen auf das zugrunde liegende Rechenzentrum zugreifen. Stattdessen sehen mittelständische Unternehmen die private Plattform, die auf dem firmeneigenen Rechenzentrum aufgebaut ist, als die sicherste Variante an. Aufgrund des höheren Instandhaltungsaufwandes ist diese Plattformart jedoch um ein Vielfaches teurer als die öffentliche. Damit eröffnet sich für den Mittelstand die Schwierigkeit der Kompromissfindung, um entweder die Sicherheitsbedenken komplett aus dem Weg zu räumen oder den digitalen Einstieg kostengünstig zu gestalten. Innerhalb dieses Spannungsfeldes können jedoch nicht beide Anforderungen gleichzeitig erfüllt werden.

Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer …

93

Fachkräftemangel ist die Sicherheitsfrage das Kernelement, von dem abhängt, ob Digitalisierung erfolgreich gestaltet werden und sich positiv auf den Wirtschaftsstandort Deutschland auswirken kann. Unternehmen und Behörden werden mit an Sicherheit grenzender Wahrscheinlichkeit wirtschaftliche Schäden, Reputationsschäden oder eingeschränkte Arbeits- und Handlungsfähigkeit erleiden, wenn der Sicherheitsaspekt nicht hinreichend berücksichtigt wird. Im Bereich der Cyber-Sicherheit kulminieren die Herausforderungen, denen sich Unternehmen, in besonderer Weise aber auch staatliche Stellen, mit Blick auf Innovationszyklen, Strategie, Organisationsformen und Fachkräftebedarf konfrontiert sehen. Cyber-Sicherheit muss somit ein integraler Baustein der (Unternehmens-)Strategie werden. Der Staat steht darüber hinaus vor der Herausforderung, seine Handlungsfähigkeit zu bewahren, seinen (hoheitlichen) Aufgaben in der digitalen Welt nachzukommen und den bestehenden Rechtsrahmen gemäß der technologischen Entwicklung weiterzuentwickeln. Um die Frage zu erörtern, welche Maßnahmen notwendig sind, damit das Sicherheitsniveau in der vernetzten Welt erhöht werden kann, wollen wir uns im nächsten Abschnitt der negativen Seite der Digitalisierung zuwenden und einen Blick auf die aktuelle und zukünftige Bedrohungslage werfen.

4 Die negative Seite der Digitalisierung – CyberBedrohungen Die Hacker-Angriffe aus den 90ern sind wie Steinschleudern gewesen. Heute haben wir es im Vergleich dazu mit gelenkten Mittelstreckenraketen zu tun (Bitkom, Spionage 2016). (Dr. Hans-Georg Maaßen, ehemaliger Präsident des BfV, Berlin 2016)

4.1 Sicherheits- und Bedrohungslage Nach Angaben einer Wirtschaftsschutzstudie, die der Branchenverband Bitkom in Kooperation mit dem Bundesamt für Verfassungsschutz (BfV) im Jahr 2017 veröffentlichte, wurden zwischen 2015 und 2017 über die Hälfte aller Unternehmen in Deutschland Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl. Der dabei bezifferte Schaden aus Betriebsausfällen, Wiederherstellungskosten, Reputationsverlusten, Ansprüchen Dritter, Strafen sowie der Verlust von Knowhow beläuft sich auf etwa 55 Mrd. EUR pro Jahr. Ein Großteil der Angriffe erfolgte aus dem Ausland, vor allem aus Osteuropa (23 %), China (20 %) und

94

F. Lindemann

Russland (18 %), wobei drei Prozent der Angriffe ausländischen Nachrichtendiensten und sieben Prozent der organisierten Kriminalität zugerechnet wurden (Bitkom, Wirtschaftsschutz 2017a).6 Nach Erkenntnissen des BSI sind in den Jahren 2016 und 2017 etwa 70 % der Unternehmen Opfer von Cyber-Angriffen geworden. 50 % der Angriffe waren erfolgreich. Und jeder zweite Vorfall führte zu Produktions- und/oder Betriebsausfällen (BSI, Cyber-Sicherheits-Umfrage 2018).7 Als Angriffsziele sind fast alle Bereiche der Unternehmen, vor allem jedoch die Abteilungen Administration, Logistik, Produktion, Geschäftsführung/Management, Finanzen und Entwicklung betroffen.

4.2 Schwachstellen und Risiken durch digitale Vernetzung Bereits durch die Globalisierung sind die Wertschöpfungsketten immer internationaler und komplexer geworden. Entsprechend haben auch die Störanfälligkeit und Verwundbarkeit zugenommen. Die weltumspannende digitale Vernetzung von Lieferanten, Geschäftspartnern, Dienstleistern etc. hat unter anderem einerseits dazu geführt, dass eine verbesserte Kommunikation und Steuerung der Geschäftsbeziehungen möglich sind. Gleichzeitig hat die Vernetzung auch den Grad der Verwundbarkeit erhöht, da die vernetzten Systeme/Geräte theoretisch von überall auf der Welt aus angegriffen werden können. Dieses liegt zum Teil auch daran, dass eine Vernetzung von Systemen stattfindet, die nie dafür konzipiert waren, mit dem Internet verbunden zu werden (beispielsweise SCADA-Systeme), durch Unternehmenszukäufe, Umstrukturierungen etc. heterogene IT-Landschaften entstehen, bei der Vernetzung grundlegende technisch-organisatorische Maßnahmen nicht berücksichtigt wurden (Bsp. Netzwerksegmentierung) oder Software sicherheitsrelevante Schwachstellen aufweist. Gleichzeitig finden immer mehr vernetzte Geräte Eingang in die Unternehmens- und Consumer-Welt (IoT). Das Sicherheitsniveau dieser Geräte ist dabei jedoch sehr niedrig – dieses trifft leider nach wie vor auch für neu entwickelte Geräte zu. Marktanreize für die Herstellung ­sicherer

6Laut

Bitkom war in den letzten beiden Jahren jedes zweite Unternehmen von Industriespionage, Sabotage oder Kriminalität betroffen. 7In seinem Jahresbericht 2017 gibt das BSI für den Zeitraum 2016/2017 einen umfassenden Überblick über die Gefährdungslage, Angriffswege, Risiken und Schwachstellen sowie über einzelne Akteure. Siehe hierzu BSI, Lage (2017, S. 7–47).

Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer …

95

­rodukte (beispielsweise im Bereich der Consumer IoT) fehlen. Commodity, P Kosten, Time-to-Market und Usability erhalten den Vorzug gegenüber Security, was dazu führt, dass diese unsicheren Geräte ein leichtes Ziel für Kriminelle darstellen, die gekaperte Geräte zu Bot-Netzen verbinden, um damit großangelegte Angriffe zu starten (Kleinhans 2017). Somit stellt sich die Frage, ob und wie der Staat in dieser Legislaturperiode erstens IoT-Produkte regulieren und zweitens die Sicherheitsqualität von Soft- und Hardware-Produkten (Zertifizierung, Gütesiegel, Produkthaftung) erhöhen will (Spiegel, 1/2018).8 Abgesehen von technisch bedingten Ausfällen hat sich auch die Durchführung von kriminellen Handlungen immer weiter auf den virtuellen Raum ausgedehnt (Bendiek 2016).9 So waren zwei Drittel aller Unternehmen in den vergangenen zwölf Monaten von IT-Sicherheitsvorfällen betroffen (Bitkom, Live-Security 2018). In diesem Zusammenhang zeigt sich auch, dass es nicht ausreicht, seine Sicherheitsmaßnahmen auf seine eigene Organisation zu beschränken. Vielmehr ist es notwendig, eine engmaschige Kontrolle von Tochterunternehmen, Partnern und Dienstleistern und deren (IT-)Sicherheitsvorkehrungen zu etablieren, da eine Vielzahl von Sicherheitsvorfällen doch auf Schwachstellen bei Dienstleistern zurückzuführen ist. Viele Unternehmen merken es nicht oder erst viel später, wenn sie Opfer von Attacken geworden sind.

4.3 Akteure – Trend zur Professionalisierung Die Ziele von Angriffen aus dem virtuellen Cyberraum sind vielfältig. Es kann sich um Attacken auf Unternehmen, auf Kritische Infrastrukturen, staatliche oder militärische Einrichtungen oder zivilgesellschaftliche Akteure handeln. Ebenso vielfältig sind die Motive, die hinter diesen Angriffen stehen, sowie die dabei eingesetzten Mittel. Sie umfassen klassische und digitale Methoden.10 Eine aktuelle Studie des Bitkom hat herausgefunden, dass „… IT-Angriffe bei 47 Prozent der Industrieunternehmen einen Schaden verursacht haben.“ Im Mittelstand waren es sogar 52 %. Dabei konstatierten die meisten befragten Unternehmen, dass die 8Zum Thema IT-Sicherheit und Zertifizierung von IoT-Produkten siehe u. a. auch die Beiträge von Tobias Glemser und Marc Fliehe im Behörden Spiegel 1/2018, S. 37. 9Annegret Bendiek hat die zunehmende Militarisierung des Cyberraums festgestellt. Auf diesen Aspekt soll jedoch nur am Rande eingegangen werden. Beindiek (2016, S. 22). 10Mit klassischen Methoden sind u. a. der Diebstahl von Datenträgern, Kommunikationsgeräten etc. gemeint. Unter digitalen Methoden fallen u. a. die Infektion mit Schadsoftware, Phishing, Angriffe auf Passwörter, gefälschte digitale Identitäten (spoofing) etc.

96

F. Lindemann

Anzahl der Angriffe zugenommen hätten und sie erwarteten, dass sich dieser Trend weiter fortsetzen wird (Bitkom, Spezialstudie 2018a). In der Tat sind in den vergangenen Monaten (und Jahren) neue Varianten von Schadprogrammen und Angriffen aufgetreten, die IT-Systeme von Unternehmen, Behörden und Privatpersonen adressierten und in Teilen lahmlegten. Dabei ist auch festzustellen, dass einerseits die Anzahl der Attacken auf Unternehmen und staatliche Einrichtungen deutlich zugenommen hat, andererseits die Qualität der Angriffe gestiegen ist (Maaßen 2018).11 Die Profile der Angreifer sind komplex: sogenannte Innentäter (Mitarbeiter, Dienstleister etc.) wurden bereits als besondere Tätergruppe identifiziert. Darüber hinaus sind technikaffine Gelegenheitstäter, Organisierte Kriminalität und (halb-) staatliche Gruppen zu benennen (Bitkom Spezialstudie 2018a).12 Organisierte Kriminalität handelt meist mit Blick auf schnellen wirtschaftlichen Erfolg (Beispiel großflächige Ransomware-Attacken). Die Motivation ist zu unterscheiden von gezielten Angriffen (halb-)staatlicher Akteure, die (Wirtschafts-)Spionage (Fleischer 2016) betreiben oder Sabotageakte vorbereiten und sich auf Einzelunternehmen oder einzelne Infrastrukturen konzentrieren (Dünn 2018). Organisierte Kriminalität, nachrichtendienstliche Aktivitäten, aber auch einzelne Hacker scheinen sich stärker auf große Unternehmen zu konzentrieren. Gleichzeitig sind kleine und mittelständischen Betriebe, aber auch Kommunen in den vergangenen Jahren häufig Opfer von Massenangriffen, wie beispielsweise Ransomware, geworden. Cyber-Attacken müssen inzwischen als „Standardwerkzeuge“ (Maaßen) zur Erreichung der eigenen Ziele angesehen werden. Der Einsatz von Wirtschaftsspionage, um technologische Entwicklungsrückstände aufzuholen, steht bei innovationsgetriebenen Unternehmen „auf der Tagesordnung“ (ASW 2016). Insgesamt ist eine zunehmende Professionalisierung zu konstatieren. So haben sich regelrecht wirtschaftliche Strukturen mit professionellen Dienstleistungen (crime as a service) entwickelt, die arbeitsteilig organisiert ihre Leistungen im sogenannten Dark oder Deep Web anbieten. Von gestohlenen Informationen wie

11Gerade

die qualitativ hochwertigen Angriffe sind darauf ausgerichtet, Kontrolle über Systeme und Endgeräte zu erlangen oder über längere Zeiträume auszuspähen, ohne bemerkbaren Schaden anzurichten. 12Ein Großteil der betroffenen Unternehmen identifizierte ehemalige oder aktuelle Mitarbeiter als Täter. 48 % machten Wettbewerber, Kunden, Dienstleister oder Lieferanten als Ausgangspunkt fest. Siehe hierzu auch den Beitrag „Innentäter“ von Dirk Fleischer in diesem Sammelband.

Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer …

97

Kreditkartendaten oder Ähnliches über Sicherheitslücken, Passwörter bis hin zur Anmietung von bot-Netzen zur Durchführung von Angriffen. Der Zugang zu diesem „Werkzeugkoffer“, mit dem sich gegebenenfalls vorhandene eigene Informationen und Mittel ergänzen und anreichern lassen, erschweren die Nachverfolgbarkeit und Zuordnung (Attribution) erheblich. Gleichzeitig findet eine Entwicklung hin zu hoch entwickelten, komplexen, intelligenten Angriffen (smart attacks) auf, die unter Ausnutzung verschiedener Angriffsvektoren und teils unbekannter Schwachstellen, zielgerichtet und persistent ausgeführt werden. Diese Angriffe sind einerseits in der Vorbereitung und Durchführung (noch?) sehr aufwendig, gleichzeitig erfordern sie jedoch ebenso „smarte“ Abwehr- beziehungsweise Präventionsmechanismen (Dreo 2018). Abschließend lassen sich mit Blick auf die Gefährdungslage, Angriffsmethoden und Tätergruppen zwei Leitsätze festhalten: • Die Täter greifen dort an, wo sie sich ein lohnendes Ziel und guten Gewinn versprechen. Das heißt, dass sie Informationen über ihre potenziellen Opfer sammeln und auswerten. • Die Angreifer betreiben nur den Aufwand, den sie aufbringen müssen, um ihr Ziel zu erreichen. Dies bedeutet, dass sie den schwächsten Punkt ausfindig machen, um in das Unternehmen/das System einzudringen. Es gilt also: Je mehr Aufwand der Angreifer bei der Vorbereitung und Durchführung seines Angriffs in Kauf nehmen muss, desto unattraktiver wird das Ziel. Ausnahmen bilden Hochwertziele, die meist durch staatliche Gruppen (oder Gruppen im staatlichen Auftrag) attackiert werden. In diesen Fällen gilt es, das Vorgehen der Angreifer zu detektieren und entsprechende Gegenmaßnahmen einzuleiten.

5 Cyber-Sicherheit und Unternehmenssicherheit – Herausforderungen für Unternehmen Die vorgenannten Aspekte zusammenfassend, stehen die Unternehmen vor drei großen Herausforderungen: • Sie müssen ihr Geschäft zukunftsgerichtet aufstellen und sich mit komplexen technologischen Fragen und Entscheidungen auseinandersetzen. • Sie müssen Fachpersonal gewinnen und sehen sich einem wachsenden Risiko durch Cyber-Bedrohungen und einem immer professionelleren Vorgehen von Tätern gegenüber.

98

F. Lindemann

• Gleichzeitig müssen sie die informationssicherheitsrelevanten regulatorischen Vorgaben, die in den letzten Jahren verabschiedet wurden, hier sind beispielhaft die NIS-Richtlinie/das IT-Sicherheitsgesetz und die Europäische Datenschutzgrundverordnung zu nennen, umsetzen. Um diesen Herausforderungen adäquat begegnen zu können, ist ein umfassender, strategischer, Resilienz basierter Sicherheitsansatz13 (Risikobewertung und -Management) notwendig, der Compliance-Anforderungen, die Maßnahmen der Prävention, Detektion von Sicherheitsvorfällen und eine entsprechende Reaktion umfasst. Auf Ebene der Geschäftsführung geht es darum, Cyber-Sicherheit eben nicht nur als Kostenfaktor oder Thema der IT-Sicherheitsabteilung zu sehen, s­ondern als entscheidenden „Enabler“, um die digitale Transformation im Unternehmen voranzutreiben (Dünn 2018). Die digitale Entwicklung der Unternehmen und ihrer Geschäfts- und Produktionsprozesse kann nur dann erfolgreich sein, wenn diese sicher gestaltet werden. Dieses impliziert, eine Risikoeinschätzung vorzunehmen, eine Strategie zu entwickeln und eine „Sicherheitskultur“ zu schaffen. Das bedeutet aber auch, dass sich die Rolle der „klassischen“ Sicherheitsabteilungen („Konzernsicherheit“) beziehungsweise der mit Sicherheit betrauten Mitarbeiter ändern muss. Ihre Aufgabe muss es sein, alle für das Unternehmen sicherheitsrelevanten Themen (rechtliche Anforderungen, technische Entwicklungen, organisatorische Fragen) „auf dem Radar“ zu haben und übergreifend (als Service-Provider und Ansprechstelle) nach innen in nahezu alle Bereiche der Unternehmen zu wirken, Dienstleister zu kontrollieren sowie als Ansprechpartner für externe Anfragen mit Sicherheitsbezug (unter anderem durch Sicherheitsbehörden) zu fungieren.

5.1 Sicherheitsmaßnahmen Abgesehen von strukturellen/strategischen Fragen, einer Informationssicherheitskultur, sind aufeinander abgestimmte personelle, organisatorische und technische Maßnahmen (Strukturen) aus der Strategie/Risikoeinschätzung abzuleiten, um das Sicherheitsniveau zu erhöhen beziehungsweise auf Sicherheitsvorfälle reagieren zu können. Entscheidend ist dabei, dass Cyber-Sicherheit in Unternehmen

13Dies

bedeutet, dass bei einem Aus- oder Vorfall, zentrale Funktionen und Fähigkeiten aufrecht zu halten sind, um und möglichst schnell wieder zum Regelbetrieb zurückkehren zu können.

Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer …

99

oder auch Behörden und sonstigen Institutionen als kontinuierlicher Prozess ­verstanden und durch Technologie unterstützt wird.

5.2 Technische Trends und Entwicklungen Allgemein lassen sich die technisch-organisatorischen Maßnahmen in vier Handlungsfelder unterteilen. • Erstens ist es wichtig, eine Basisabsicherung durch Etablierung und Verbreitung grundlegender Sicherheitsmaßnahmen (IT-Sicherheitskonzept, ISMS, Risiko- und Notfallmanagement, Netzwerksegmentierung, Patchmanagement, technische Schutzmechanismen etc.), an der es heute noch immer vielen Unternehmen und Behörden mangelt, zu implementieren. • Zweitens ist es wichtig, seine Infrastruktur und Sicherheitsmaßnahmen kontinuierlich zu testen (Pentesting, Red teaming), um Risiken und Schwachstellen zu erkennen sowie Detektions- und Reaktionsmechanismen zu überprüfen. • Drittens muss der Fokus auf die Herstellung und Anwendung sicherer(er) Soft- und Hardware „security by design“ (Sicherheit als Bestandteil der Entwicklung sowie auf „security by default“ (Einstellung der jeweils sichersten Option) gelegt werden. • Viertens ist es notwendig, diesen Ansatz mit Blick auf die dynamische und komplexe Bedrohungslage perspektivisch unter Einsatz von neuen Technologien weiterzuentwickeln (smart defence).

5.3 Von der reaktiven zur smarten Abwehr? Der Trend wird hin zu einer intelligenten Abwehr von Cyber-Angriffen (smart Defence) durch eine Weiterentwicklung der bestehende Security Operations Center (SOC), Monitoring und SIEM-Systemen gehen. Im Zentrum steht die Verbindung und Auswertung von (sicherheitsrelevanten) Ereignissen aus Vergangenheit und Gegenwart, die Erstellung von Prognosen zu (möglichen) zukünftigen Sicherheitsereignissen. Mithilfe von „Machine Learning“ und Künstlicher Intelligenz (KI) werden Informationen gesammelt und aggregiert. Die gewonnenen Ergebnisse erlauben dann ein Echtzeitlagebild sowie eine Vorhersage auf Angriffstechniken und Angriffsmuster.

100

F. Lindemann

Die anschließende Zusammenführung der Informationen in Technologien der Business Intelligence ermöglicht aktuelle Lagebilder zur Cyber-Sicherheit und unterstützt damit neben der Cyber-Abwehr maßgeblich zentrale Kontroll- und Planungsprozesse des Informationssicherheitsmanagements.

5.4 Cyber-Sicherheit als ganzheitlichen Prozess verstehen In diesen Kontext gehören auch die gezielte Gewinnung und kontinuierliche Weiterentwicklung von Fachpersonal und die Schaffung einer gemeinsamen Sicherheitskultur (als Weiterentwicklung von Security Awareness) in allen Bereichen des Unternehmens (der Organisation). Eine klare Sicherheitsstrategie, eine gelebte Sicherheitskultur und qualifiziertes Fachpersonal, in Kombination mit technisch-organisatorischen Maßnahmen, sind eine gute Basis für ein Mehr an Cyber-Sicherheit im Prozess der digitalen Transformation und schneller technischer Entwicklungen. Der ganzheitliche Ansatz über Prävention, Detektion und Reaktion lässt sich in enger Zusammenarbeit mit Sicherheits- und Strafverfolgungsbehörden noch um den Aspekt der Repression erweitern. Die oben beschriebenen Herausforderungen durch die Digitalisierung verändern auch das Verhältnis zwischen staatlichen Institutionen und Unternehmen. Zwar bleibt das klassische Modell (Erwartungen der Privatwirtschaft an den Staat, staatlicher Regulierungsrahmen für unternehmerisches Handeln) bestehen, gleichzeitig entwickeln sich aber neue Formen des Austausches, der Intensität der Zusammenarbeit und der Interdependenz.

6 Cyber-Sicherheit – die Rolle des Staates Mit Blick auf die Herausforderungen der Digitalisierung, besonders aber hinsichtlich der Cyber-Sicherheit, kommt dem Staat eine besondere Rolle zu. Einerseits steht der Staat vor der Aufgabe, die Rahmenbedingungen dafür zu schaffen, dass sich die Digitalisierung positiv auf die politische, wirtschaftliche und gesellschaftliche Entwicklung Deutschlands auswirkt. Dieses gilt zum einen für die Entwicklung einer Cyber-Außen- und Sicherheitspolitik auf internationaler, diplomatischer Ebene. Zum anderen gilt sie für die Schaffung eines regulatorischen Rahmens sowie für die Souveränität und Aufrechterhaltung der

Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer …

101

Handlungsfähigkeit (Gewaltmonopol) des Staates im digitalen Raum. Darüber hinaus ist die Frage zu stellen, inwiefern der Staat Schlüsseltechnologien vor Aufkauf durch ausländische Unternehmen schützt beziehungsweise den Auf- und Ausbau von Schlüsseltechnologien durch Forschung und Entwicklung fördert (BfV Newsletter 2018). Auf der anderen Seite ist der Staat auch „Betroffener“ der digitalen Transformation und den daraus resultierenden Sicherheitsanforderungen. Er steht vor nahezu den gleichen Herausforderungen wie die Unternehmen.

6.1 Erwartungen an den Staat Die Haltung der Wirtschaft zur Rolle des Staates in der Cyber-Sicherheit ist ambivalent. Einerseits ist eine Erwartungshaltung gegenüber einem starken Staat „im Netz“ sowohl bei Bürgern als auch bei Unternehmen zu konstatieren. Für viele kleine und Mittelständische Unternehmen ist der Markt an Sicherheitstechnologie und -dienstleistungen zu unübersichtlich. Sie halten daher staatliche Unterstützung im Bereich der IT- und Datensicherheit für wichtig und sehen den Staat bei der Cyber-Abwehr in der Pflicht. Neben klaren Informationen über die regulatorischen Anforderungen wünschen sie sich – neben finanziellen Anreizen für Digitalisierungsprojekte – Unterstützung bei der Umsetzung dieser Maßnahmen sowie bei der Qualifizierung von Personal (Demary et al. 2016). Gleichwohl schalten nur knapp ein Drittel der Unternehmen, die Opfer eines Angriffs geworden sind, Sicherheitsbehörden ein. Einerseits ist die Angst vor Reputationsverlust nach wie vor hoch, andererseits ist das Vertrauen in die Arbeit der Sicherheits- und Strafverfolgungsbehörden gering. Neue Zahlen aus der Industrie (Bitkom, Wirtschaftsschutz, 207, Bitkom Spezialstudie 2018a) zeigen zwar, dass Unternehmen inzwischen mehr Sicherheitsvorfälle melden, was damit begründet werden kann, dass erstens die allgemeine Awareness für das Thema gestiegen ist und zweitens die Sicherheits- und Strafverfolgungsbehörden ihre Öffentlichkeitsarbeit intensiviert, Initiativen gestartet und Ansprechstellen aufgebaut haben.14 Gleichwohl ist die Anzahl der Unternehmen, die keine staatlichen Stellen einschalten, weil sie Imageschäden befürchten oder kein Vertrauen in die erfolgreiche Arbeit der Sicherheitsbehörden haben, immer noch hoch (Bitkom Spezialstudie 2018a).

14Sicherheitskooperationen

Cybercrime (ZAC).

der Landeskriminalämter und die Zentralen Ansprechstellen

102

F. Lindemann

6.2 Staatliches Handeln Die Bundesregierung hat vor dem Hintergrund der sich verschärfenden Bedrohungslage, von der nicht zuletzt auch staatliche Einrichtungen betroffen sind und waren (Deutscher Bundestag, Drucksache 19/2587 2018a), die Aufgaben, sich mit Blick auf die Cyber-Sicherheit als gesamtstaatliche Herausforderung stellen, angenommen und in der vergangenen 18. Legislaturperiode strategische, rechtliche und organisatorische Maßnahmen auf den Weg gebracht. Hierzu sind folgende Maßnahmen besonders erwähnenswert: Die Verabschiedung eines IT-Sicherheitsgesetzes, mit dem kritische Infrastrukturen definiert sowie Mindeststandards für die IT-Sicherheit und Meldepflichten bei erheblichen Störungen vorgeschrieben sind. Mit Verabschiedung des IT-Sicherheitsgesetzes ging auch eine weitere Aufwertung des BSI einher, welches als Meldestelle für erhebliche IT-Störungen bei Betreibern Kritischer Infrastrukturen fungiert.15 Gleichzeitig wurde es mit zusätzlichem Personal ausgestattet und sogenannte Mobile Incident Response Teams (MIRTS) aufgestellt. Diese sollen staatlichen und privaten Organisationen bei gravierenden Sicherheitsvorfällen zur Seite stehen. Doch auch in anderen Sicherheitsbehörden wurden Haushaltsmittel bereitgestellt, um zusätzliches Personal einzustellen. Zusätzlich wurde mit ZITiS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich) eine neue Behörde geschaffen, die durch Forschung, Entwicklung und Beratung „einen Beitrag zur effektiven Gefahrenabwehr und Strafverfolgung durch die zuständigen Behörden (…)“ leisten soll (www.zitis.bund.de). Dem Bundesministerium des Innern obliegt die Federführung beim Thema Cyber-Sicherheit. Gleichzeitig hat das BMI jedoch die ressortübergreifende Zusammenarbeit, in erster Linie mit dem Bundesministerium der Verteidigung (BMVg), vorangetrieben. Mit der Weiterentwicklung und Verabschiedung der Cyber-Sicherheitsstrategie hat die Bundesregierung im Jahr 2016 den Auftakt dazu gegeben, die aus den technologischen Entwicklungen resultierenden Veränderungsprozesse im Austausch mit Akteuren aus Wirtschaft, Wissenschaft und Gesellschaft zu bewerten und entsprechende Rahmenbedingungen zu schaffen. Sie orientiert sich dabei an den vier Handlungsfeldern „Sicheres und selbstbestimmtes Handeln“, „Gemeinsamer Auftrag von Staat und Wirtschaft“, „Cyber-Sicherheitsarchitektur“ und „Internationale Cyber-Sicherheitspolitik“ (BMI, Cyber-Sicherheitsstrategie 2016).

15Für

Betreiber Kritischer Infrastrukturen, die unter das IT-Sicherheitsgesetz fallen, ist die Meldung erheblicher IT-Störungen an das BSI verpflichtend. Siehe hierzu Bundesanzeiger, IT-Sicherheitsgesetz.

Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer …

103

In ihrer Cyber-Sicherheitsstrategie betont die Bundesregierung die Kooperation zwischen Staat, Wirtschaft, Wissenschaft und Gesellschaft im Bereich Cyber-­ Sicherheit. Dabei treffen schnelllebige globale Entwicklungen auf die föderalen Strukturen Deutschlands, die von einer strikten Trennung zwischen innerer und äußerer Sicherheit (Deutscher Bundestag, Drucksache 19/2645 2018b), dem Trennungsgebot zwischen Polizei und Nachrichtendiensten sowie klarer Kompetenzverteilung zwischen Bund und Ländern geprägt ist. Dieses Bild wird durch eine Anzahl von Sicherheitsinitiativen der Wirtschaft und interdisziplinären Gremien ergänzt. Das Ergebnis ist eine Vielzahl von Akteuren mit verschiedenen Zuständigkeiten und Aufgaben, unterschiedlichen Kompetenzen und verschiedenen Fähigkeitsniveaus (Deutscher Bundestag, Drucksache 19/2645 2018b).

6.3 Politische Vorhaben Die Bundesregierung hat mit der Cyber-Sicherheitsstrategie die strategischen Leitlinien vorgegeben. Der aktuellen Bundesregierung kommt in der laufenden 19. Legislaturperiode die Aufgabe zu, diese Strategie weiterzuentwickeln und die vier Aktionsfelder mit konkreten Inhalten und Aktionen zu füllen. Kurz: die Strategie durch politisches Handeln umzusetzen. Hierbei gilt es, einen verlässlichen mit Spielraum versehenen Rechtsrahmen zu schaffen, Aufgaben und Kompetenzen sinnvoll zu verteilen sowie neue Formen des Zusammenwirkens von Staat, Wirtschaft, Wissenschaft und Gesellschaft zu wagen. Dieses gilt für die Sicherheitsarchitektur in Deutschland, die einerseits mit ihren föderalen Parallelstrukturen, andererseits mit der Trennung zwischen innerer und äußerer Sicherheit im digitalen Zeitalter, die Grenzen ihrer Leistungsfähigkeit aufgezeigt bekommt. In ihrem Koalitionsvertrag haben die Partner aus Union und SPD Schwerpunkte auf digitale und Sicherheitsthemen gelegt. Mit Blick auf die Cyber-Sicherheit haben sich die Koalitionäre auf folgende Vorhaben und Ziele geeinigt (Bundesregierung 2018): • Schaffung eines Nationalen Paktes für Cybersicherheit, in dem „alle gesellschaftlich relevanten Gruppen, Hersteller, Anbieter und Anwender sowie die öffentliche Verwaltung in gemeinsamer Verantwortung für digitale Sicherheit“ eingebunden werden sollen. • In einem Cyber-Bündnis sollen „bestehende Strukturen“ gebündelt und die Zusammenarbeit zwischen Staat und Wirtschaft ausgebaut werden.

104

F. Lindemann

• Das BSI soll als „nationale Cyber-Sicherheitsbehörde“ ausgebaut und „in seiner Rolle als unabhängige und neutrale Beratungsstelle für Fragen der IT-Sicherheit“ sowie als Zertifizierungs- und Standardisierungsstelle für ITund Cyber-Sicherheit gestärkt werden. Zudem soll es Unterstützungs- und Beratungsleistungen für Bundes- und Landesbehörden, aber auch für privatwirtschaftliche Unternehmen erbringen. • Das IT-Sicherheitsgesetz soll weiterentwickelt und der Ordnungsrahmen ausgedehnt werden. • Die Awareness bei Bürgern und kleinen Unternehmen soll verbessert werden. • Die Bundesregierung will zusammen mit der Wirtschaft IT-Sicherheitsstandards für IoT-Produkte sowie ein Gütesiegel für Verbraucher entwickeln. Zudem sollen Regelungen für Produkthaftung in der „digitalen Welt“ aufgestellt werden. • Die Bundesregierung will sichere Produkte und das Entwicklungsprinzip „security by design“ fördern. • In Kooperation zwischen BMI und BMVG soll eine „Agentur für Disruptive Innovationen in der Cybersicherheit und Schlüsseltechnologien“ (ADIC) sowie ein IT-Sicherheitsfonds zum Schutz sicherheitsrelevanter Schlüsseltechnologien eingerichtet werden.

6.4 Aktuelle Diskussionen und Entwicklungen Digitalisierung, Innovation und Cyber-Sicherheit werden von der Bundesregierung in einem Gesamtkontext gesehen, wie unter anderem die Ansätze zur Förderung von Sprunginnovationen in den Bereichen Wirtschaft und Forschung sowie Sicherheit zeigen (Deutscher Bundestag, Drucksache 19/3289). Zudem wird von staatlicher Seite gegenwärtig intensiv daran gearbeitet, die Cyber-Abwehr in Deutschland zu stärken und weiterzuentwickeln. Dies sieht die Weiterentwicklung des Nationalen Cyber-Abwehrzentrums, in dem die Sicherheitsbehörden ihre Erkenntnisse zu Cyber-Angriffen austauschen, unter Einbindung von ausgewählten Wirtschaftsunternehmen und deren Lagebildern zu einem Cyber-Abwehrzentrum plus vor. Die gesetzliche Grundlage, die eine operative Zusammenarbeit von Behörden und Unternehmen im Abwehrzentrum absichern wird, soll noch in der aktuellen Legislaturperiode verabschiedet werden (Behördenspiegel, Newsletter 2018). Gleichzeitig wird intensiv geprüft, welche rechtlichen und technischen Grundlagen gegeben sein müssen, um eine „offensive“ Cyber-Abwehr (sogenannte Hackbacks) durchführen zu können (Deutscher Bundestag, WD-3000–159/18).

Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer …

105

In diesem Kontext muss der Staat jedoch klären, wie er beziehungsweise die staatlichen Sicherheitsbehörden mit bekannten und unbekannten Schwachstellen umgehen will. Gibt er Informationen über Sicherheitslücken bekannt und warnt Hersteller und Nutzer? Oder sammelt und entwickelt er Schwachstellen, um diese selbst zu nutzen und läuft Gefahr, dass diese Werkzeuge im Zweifel auch durch Kriminelle oder andere Staaten genutzt werden (Herpig 2018)? Unabhängig davon sind auch die ersten Schritte hin zu einer verbesserten Kooperation zwischen Bund und Ländern im Bereich der Cyber-Sicherheit initiiert worden. So schlossen beispielsweise das BSI und das Land Niedersachsen im Juni 2018 ein Kooperationsabkommen, welches eine Unterstützung der Landesbehörden und Kommunen durch das BSI in Fragen der Cyber-Sicherheit vorsieht. Diese knappe Übersicht über eine Auswahl von politischen Intentionen beziehungsweise der praktischen Umsetzung zeigen, dass der Staat immer stärker Aufgaben im Bereich der Cyber-Sicherheit wahrnimmt, respektive wahrnehmen will. Diese Haltung korrespondiert, wie bereits geschildert, mit dem Sicherheitsund Unterstützungswunsch vor allem kleiner Unternehmen. Veränderte Sicherheitslage, zunehmende Aufgabenbereiche und eigene Digitali­ sierungsbemühungen des Staates – alle genannten Aspekte lassen auch im Öffentlichen Dienst den Bedarf an IT-Fachpersonal und IT-Sicherheitsexperten nach oben schnellen. Im Vergleich zu privatwirtschaftlichen Unternehmen, die dieselben Fachleute suchen, verfügt der Staat jedoch über ungleich schlechtere Voraussetzungen, um dieses Personal zu gewinnen (J. Schütze 2018; Mascolo et al. 2017; Pinkert et al. 2018). Die dargestellten Bereiche zeigen sehr deutlich, dass ein enges Zusammenspiel zwischen Staat und Wirtschaft notwendig ist, um politischen, rechtlichen, technischen, organisatorischen und personellen Herausforderungen zu begegnen und sie aktiv zu gestalten.

7 Fazit und Ausblick – Zusammenspiel Staat und Wirtschaft Insgesamt hat sich der Austausch zwischen Unternehmen und vor allem Sicherheitsbehörden in den letzten Jahren verbessert, wie unter anderem der Beitrag von Volker Wagner in diesem Band zeigt. Mit Blick auf die Cyber-Sicherheit ist gleichwohl die Frage zu stellen, wieso viele – gerade kleine und mittelständische Unternehmen – eine staatliche Unterstützung/Hilfestellung im Bereich der Cyber-Sicherheit wünschen, parallel dazu die Anzahl nicht gemeldeter Angriffe

106

F. Lindemann

so hoch ist. Einerseits ist es die Angst vor Reputationsverlust, andererseits auch mangelndes Vertrauen in die Sicherheitsbehörden beziehungsweise Unwissen über die Arbeit von Sicherheits- und Strafverfolgungsbehörden. Und auch, wenn die Behörden zentrale Ansprechpartner etablieren, Sicherheitskooperationen aufgebaut und ihre Öffentlichkeitsarbeit intensiviert haben, fehlt vielen Betroffenen nach wie vor der Überblick darüber, wer sie im Schadensfall unterstützen kann. Die Vielzahl von beteiligten Akteuren (siehe Übersicht Herpig), die Schaffung von Doppelstrukturen und der Wettbewerb zwischen Sicherheits- und Strafverfolgungsbehörden um Mittel und Fachpersonal16, aber auch Defizite in der strukturellen (architekturell bedingten) oder operativen technischen Zusammenarbeit (Informationsaustausch) verstärken diesen Eindruck noch. Die Zusammenarbeit zwischen Staat und Wirtschaft im Bereich der Cyber-­ Sicherheit scheint zukünftig ausbaufähig. Wenn also im Cyberraum die ­Grenzen zwischen innerer und äußerer Sicherheit schwinden und die Bedrohungslage für Wirtschaft, Wissenschaft und Verwaltung ähnlich bis gleich gelagert ist, liegt eine Chance darin, das Cyber-Sicherheitsniveau durch ein vernetztes, resilientes Sicherheitssystem (Community) und eine veränderte Sicherheitsarchitektur zu ­verbessern. Folgende Kriterien sollten bei der Weiterentwicklung der vorhandenen Strukturen und Netzwerke hin zu einer Sicherheits-Community berücksichtigt werden:

7.1 Neue Wege der Zusammenarbeit gehen Cyber-Sicherheit, Cyber-Abwehr und Cyber-Verteidigung sind als Herausforderung erkannt worden, der nur durch ein gesamtstaatliches Handeln begegnet werden kann. Ein branchen- und sektorenübergreifender, kooperativer Ansatz auf horizontaler und vertikaler Ebene ist notwendig, um Fragen des Fachkräftemangels, der Sicherheit sowie der Erschließung von Innovationspotenzialen und Synergieeffekten zu begegnen. Die Offenheit für Kooperationen zwischen den staatlichen Akteuren in Bund, Land und Kommunen (vertikale Ebene) sowie zwischen Staat, Wirtschaft, Wissenschaft und Gesellschaft (horizontale Ebene) für eine zukunftsorientierte Cyber- und Corporate Security wird entscheidend sein.

16Der

parallele Aufbau von Fähigkeiten und Dienstposten führt mit Blick auf den Personalmangel sogar dazu, dass Sicherheitsbehörden untereinander Fachkräfte abwerben.

Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer …

107

7.2 Ganzheitlicher Ansatz Die Kooperation sollte die Felder Prävention, Vorhersage (Prediction), Detektion und Reaktion (Response) umfassen. Hierzu ist es notwendig, „vertrauenswürdige“ Partner zu definieren und Formen der Zusammenarbeit zu etablieren. Dazu gehört unter anderem das Teilen und Bewerten von Informationen (Schadensfälle, Schwachstellen, Schadcode, Gruppierungen etc.) und BestPractice-Erfahrungen. Auch die gemeinsame Forschung und Entwicklung von Sicherheitslösungen beziehungsweise sicheren Produkten das Testen und Härten von Produkten sowie die Entwicklung von Innovationen wären interessante Tätigkeitsfeld einer solchen Community. Ansatz- und Orientierungspunkte für verschiedene der oben genannten Punkte sind durch die Schaffung von Organisationen wie die Deutsche Cyber Sicherheitsorganisation (DCSO), dem Cyber Cluster an der Bundeswehr Universität München oder auch das ressortübergreifende Projekt ADIC vorhanden.

7.3 Sicherheit und Vertrauen Der Staat verantwortet den regulatorischen Rahmen in der digitalisierten Welt. Beim Staat liegt auch das Gewaltmonopol, wobei er Fähigkeiten bündelt und gezielt – auch durch Kooperation – weiterentwickelt. Die Unternehmen b­ leiben gleichwohl für ihre eigene Sicherheit verantwortlich, können jedoch Unterstützung bei Sicherheitsbehörden anfragen, um präventiv agieren zu können.

7.4 Fähigkeitsbündelung Staatliche Stellen und vor allem die Sicherheits- und Strafverfolgungsbehörden könnten eine wichtige Rolle spielen. Anstatt parallel Fähigkeiten und Dienstposten aufzubauen, um mit Kompetenzen, Einfluss und Fachleute zu wetteifern, bietet es sich an – auf Basis eines mappings des aktuellen Istzustandes – Fähigkeitsschwerpunkte zu bilden und in Absprache koordiniert auszubauen. Entsprechend der Fähigkeiten könnten diese Stellen (wie bei ZITiS) ihre Expertise als Dienstleistung für Dritte erbringen. Gleiches gilt natürlich auch für privatwirtschaftliche Unternehmen. Im Zentrum würde eine koordinierende Stelle stehen, an die sich alle Beteiligten „anlehnen“. Sie würde als strategische, organisatorische und technische Plattform fungieren. Ansätze für eine stärker fähigkeitsorientierte Zusammenarbeit sind zwar vorhanden, gleichwohl fehlen mitunter politischer Wille sowie rechtliche und technische Voraussetzungen, um diese konsequent fortzuführen.

108

F. Lindemann

7.5 Information Sharing Einen wichtigen zentralen Stellenwert nehmen die Informationsgewinnung und der Informationsaustausch ein. Hierzu gehört auch Offenheit und Vertrauen beim Umgang mit sicherheitsrelevanten Vorfällen sowie der vertrauensvolle Austausch von Informationen. Auf der einen Seite verfügen Unternehmen und privatwirtschaftliche Sicherheitsorganisationen (wie DCSO) über Informationen, die von hoher Relevanz für die Sicherheitsbehörden in Deutschland sind. Auf der anderen Seite wägen viele Unternehmen die Vor- und Nachteile eines Informationsaustausches mit staatlichen Stellen ab oder haben eine klare Erwartungshaltung/ Serviceerwartung, wenn sie Informationen (über Angriffsversuche oder erfolgreiche Attacken) mit staatlichen Stellen teilen. Dieses Spannungsfeld gilt es zu überbrücken. Wenn Unternehmen Informationen über Sicherheitsvorfälle, Lücken, Störungen etc. freiwillig teilen, sollten sie eine adäquate Rückmeldung erhalten, die ebenfalls einen Mehrwert für das Unternehmen darstellen kann. Diese könnte von Informationen über das Lagebild bis hin zu konkreten Hilfsmaßnahmen reichen.

8 Cyber Community als Beitrag gesamtstaatlicher Sicherheitsvorsorge Eine zentrale Herausforderung ist es, den wachsenden Bedarf an IT-Fachleuten im Allgemeinen und gerade den Bedarf an IT-Sicherheitsexperten im Speziellen zu decken. Eine zunehmende technische Unterstützung und Automatisierung im Sinne einer „smart Defence“ kann hier sicherlich ein Teil der Lösung sein. Darüber hinaus wird es aber auch darum gehen, Mitarbeiter aus IT, mit IT-Affinität und aus dem Feld der klassischen Sicherheit kontinuierlich aus- und fortzubilden und somit zu IT-Sicherheitsexperten weiterzuentwickeln. Ein zentrales Element könnte dabei eine sogenannte „Cyber Community“ – eine große Gruppe von qualifizierten IT-Fachkräften aus Verwaltung, Sicherheitsbehörden, ITK-­ Wirtschaft und Industrie – sein. Je nach Stand der Qualifikation, könnten diese Experten anhand modular aufgebauter Curricula kontinuierlich aus- und weitergebildet werden. Die Module decken die benötigten fachlichen Anforderungen an die Experten und Ausbildungskriterien ab. Im Zentrum steht das Ziel, die Sicherheitslage des Unternehmens (der Organisation), die personelle Bedarfslage und die Befähigung der Mitarbeiter (in Abgrenzung zu universitärer oder dualer Ausbildung) in einen sinnvollen Gesamtkontext zu stellen. Positionen (beispielsweise im Öffentlichen Dienst)

Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer …

109

könnten mit Fähigkeitsprofilen hinterlegt werden. Interessierte Mitarbeiter können sich auf „Ausbildungsprogramme“ und angebotene Plätze bewerben. Die ausgewählten Mitarbeiter werden dann für eine gewisse Zeit an einen anderen Arbeitsplatz, eine andere Abteilung, eine andere Dienststelle oder gar ein anderes Ressort entsandt. Während dieses „Volontariates“ werden sie durch gezielte Schulungen, Beobachtung und Begleitung der Mitarbeiter der einladenden Stelle und erste Mitarbeit an das vorgesehene Fähigkeitsprofil herangeführt beziehungsweise gezielt hin entwickelt. Zwischen Mitarbeiter, entsendender und empfangener Stelle muss dabei offen über die Dauer, eine mögliche Übernahme in eine Position, Rückkehr und/oder weitere Austauschmöglichkeiten verhandelt werden. Je mehr Resonanz, Anerkennung und Weiterverbreitung ein abgestuftes Fähigkeitsprofil oder Curriculum erreicht, desto einfacher könnte ein fließender Austausch zwischen Ressorts, Unternehmen und Organisationen erfolgen. Am Ende könnte dabei eine miteinander vernetzte Sicherheitscommunity entstehen, deren Mitglieder über miteinander vergleichbare Fähigkeitsprofile verfügen. Dieses wiederum könnte ein wichtiger Beitrag zur Erhöhung der (Cyber-)Resilienz in Deutschland sein. Entsendende Unternehmen, Behörden etc. hätten den Vorteil, dass ihre Mitarbeiter zusätzliche Qualifikationen, Praxiserfahrungen und Netzwerke in die Arbeit einbringen können.

9 Zusammenfassung Deutschland steht dem Zukunftsthema Digitalisierung positiv gegenüber. Vor allem die Wirtschaft hat die Chancen und Möglichkeiten erkannt. Gleichwohl mangelt es oftmals an finanziellen und personellen Ressourcen beziehungsweise technologischer Expertise, um die digitale Transformation schneller voranzutreiben. Die Prioritätensetzung geht dabei oftmals zulasten der Sicherheit. Gleichzeitig nimmt einerseits die Verwundbarkeit durch die voranschreitende Vernetzung zu, andererseits steigen Qualität und Quantität von Angriffen auf Unternehmen und staatliche Institutionen an. Die Angreifer professionalisieren sich zunehmend. Dabei ist gerade ein hohes Maß an Cyber-Sicherheit notwendig, um die Potenziale der Digitalisierung für den Wirtschaftsstandort Deutschland und für die moderne Informationsgesellschaft erschließen und nutzen zu können. Cyber-Sicherheit hat sich somit zu einem strategischen Faktor in Staat und Wirtschaft entwickelt. Die Erhöhung ist nur durch einen ganzheitlichen Ansatz und in enger Kooperation zwischen staatlichen Stellen, Wissenschaft und Wirtschaft zu erreichen.

110

F. Lindemann

Literatur Bendiek, A. (2016). Sorgfaltsverantwortung im Cyberraum. Leitlinien für eine deutsche Cyber-Außen- und Sicherheitspolitik. Berlin 2016. Stiftung Wissenschaft und Politik. Deutsches Institut für Internationale Politik und Sicherheit. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.). (2018a). Die Lage der IT-Sicherheit in Deutschland 2017. Frankfurt a. M.: Druck- und Verlagshaus Zarbrock. Bundesministerium der Verteidigung (Hrsg.). (2016). Abschlussbericht Aufbaustab Cyberund Informationsraum. Empfehlungen zur Neuorganisation von Verantwortlichkeiten, Kompetenzen und Aufgaben im Cyber- und Informationsraum sowie ergänzende Maßnahmen zur Umsetzung der Strategischen Leitlinie Cyber-Verteidigung. Berlin. Demary, V., Engels, B., Röhl, K.-H., & Rusche, C. (Hrsg.). (2016). Digitalisierung und Mittelstand. Eine Metastudie. Forschungsberichte aus dem Institut der deutschen Wirtschaft Köln. Köln: Institut der deutschen Wirtschaft. Fleischer, D. (2016). Wirtschaftsspionage. Phänomenologie – Erklärungsansätze – Handlungsoptionen. Wiesbaden: Springer. Fliehe, M. (2018). Vertrauen und Orientierung geben. Behörden Spiegel, 2018(1), 37. Glemser, T. (2018). IT-Sicherheit und Produktzertifizierung. Behörden Spiegel, 2018(1), 37. Sachverständigenrat zur Begutachtung der gesamtwirtschaftlichen Entwicklung (Hrsg.). (2018). Für eine zukunftsorientierte Wirtschaftspolitik. Jahresgutachten 2017/2018. Paderborn: Bonifatius GmbH Druck-Buch-Verlag. Stiebel, B. (2017). Unter ein Prozent Szenario. Behörden Spiegel, 2017(12), 50.

Quellen Allianz für Sicherheit in der Wirtschaft (Hrsg.). (2016). Wirtschaftsschutz in Deutschland. Nationale Herausforderungen im Lichte globaler Megatrends. https://asw-bundesverband.de/fileadmin/user_upload/positionspapiere/16_01_11_-_White_Paper_-_Wirtschaftsschutz_-_neue_Adresse.pdf. Zugegriffen: 16. Juli 2018. Behörden Spiegel (Hrsg.). (2018). Übergreifende Cyber Defence Ansätze. In: Newsletter, E-Government, Informationstechnologie Nr. 901 vom 11. Juli 2018. https://www.behoerden-spiegel.de/2018/07/11/uebergreifende-cyber-defence-ansaetze/. Zugegriffen: 9. Juli 2018. Bitkom. (2016). Spionage, Sabotage und Datendiebstahl. Wirtschaftsschutz in der Industrie. https://www.bitkom.org/Bitkom/Publikationen/Spionage-Sabotage-und-Datendiebstahl-Wirtschaftsschutz-in-der-Industrie.html. Zugegriffen: 13. Juli 2018. Bitkom. (2017a). Wirtschaftsschutz in der digitalen Welt. https://www.bitkom.org/Presse/ Presseinformation/Spionage-Sabotage-Datendiebstahl-Deutscher-Wirtschaft-entsteht-jaehrlich-ein-Schaden-von-55-Milliarden-Euro.html. Zugegriffen: 16. Juli 2018. Bitkom. (2017b). 55.000 Jobs für IT-Spezialisten sind unbesetzt. https://www.bitkom. org/Presse/Presseinformation/55000-Jobs-fuer-IT-Spezialisten-sind-unbesetzt.html. Zugegriffen: 13. Juli 2018. Bitkom. (2018a). Spezialstudie Wirtschaftsschutz in der Industrie.

Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer …

111

Bitkom. (2018b). Deutsche Wirtschaft kommt bei Digitalisierung voran, aber langsam. https://www.bitkom.org/Presse/Presseinformation/Deutsche-Wirtschaft-kommt-bei-Digitalisierung-voran-aber-langsam.html. Zugegriffen: 6. Juni 2018. Bitkom, IoT-Plattformen. (2018). „IoT-Plattformen – Aktuelle Trends und Herausforderungen.“ Handlungsempfehlungen auf Basis der Bitkom Umfrage 2018. Faktenpapier. https://www. bitkom.org/Bitkom/Publikationen/IoT-Plattformen-aktuelle-Trends-und-Herausforderungen.html. Zugegriffen: 13. Juli 2018. Bitkom-Research. (2018). Live-Security Studie 2017/2018. Eine repräsentative Untersuchung von Bitkom Research im Auftrag von F-Secure. https://www.bitkom-research. de/Live-Security-Studie-2017/2018. Zugegriffen: 13. Juli 2018. Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/cyber-sicherheit_node.html. Zugegriffen 22. Juni 2018. Bundesamt für Sicherheit in der Informationstechnik (Hrsg.). (2018b). Cyber-Sicherheits-Umfrage 2017. Cyber-Risiken, Meinungen, Maßnahmen. https://www.bsi.bund. de/DE/Presse/Pressemitteilungen/Presse2018/Cyber-Angriffe_haben_erhebliche_Konsequenzen_fuer_die_Wirtschaft_31012018.html Zugegriffen: 16. Juli 2018. Bundesamt für Verfassungsschutz (Hrsg.). (2018). Finanzvolumen chinesischer Unternehmensaufkäufe in Deutschland 2017 auf neuem Rekordniveau. https://www. verfassungsschutz.de/de/oeffentlichkeitsarbeit/newsletter/newsletter-archive/bfv-newsletter-archiv/bfv-newsletter-2018-01-archiv/bfv-newsletter-2018-01-thema-01. Zugegriffen: 16. Juli 2018. Bundesanzeiger Verlag (Hrsg.). (2015). Bundesgesetzblatt Jahrgang 2015 Teil I, Nr. 31, ausgegeben zu Bonn am 24. Juli 2015. „Gesetz zur Erhöhung informationstechnischer Systeme (IT-Sicherheitsgesetz)“. https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*%255B@attr_id=%27bgbl115s1324.pdf%27%255D#__ bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl115s1324.pdf%27%5D__1531746503546. Zugegriffen: 16. Juli 2018. Bundesministerium des Innern (Hrsg.). (2016). Cyber-Sicherheitsstrategie für Deutschland. https://www.bmi.bund.de/cybersicherheitsstrategie/BMI_CyberSicherheitsStrategie.pdf. Zugegriffen: 16. Juli 2018. Bundesministerium für Wirtschaft und Energie (Hrsg.). (2018). Monitoring-Report „Wirtschaft DIGITAL“. https://www.bmwi.de/Redaktion/DE/Publikationen/Digitale-Welt/ monitoring-report-wirtschaft-digital-2018-kurzfassung.html. Zugegriffen: 11. Juli 2018. Bundesregierung. (Hrsg.). (2018). Koalitionsvertrag zwischen CDU, CSU und SPD. 19. Legislaturperiode. https://www.bundesregierung.de/Content/DE/_Anlagen/2018/03/201803-14-koalitionsvertrag.pdf;jsessionid=ED04EFA4A8EB0869A9CB2C7FDB2BE710. s5t1?__blob=publicationFile&v=6. Zugegriffen: 16. Juli 2018. Deutscher Bundestag (Hrsg.). (2018a). Antwort der Bundesregierung auf die Kleine Anfrage der FDP-Bundestagsfraktion zu „Bereitstellung von Erkenntnissen aus dem Hack der Bundesregierung für Wirtschaft und Bevölkerung“ (Drucksache 19/2587) vom 07. Juni 2018. http://dipbt.bundestag.de/dip21/btd/19/025/1902587.pdf. Zugegriffen: 16. Juli 2018. Deutscher Bundestag (Hrsg.). (2018b). Antwort der Bundesregierung auf die Kleine Anfrage der FDP-Bundestagsfraktion zu „Cyberabteilungen im Zuständigkeitsbereich der Bundesministerien“ (Drucksache 19/2645) vom 11. Juni 2018. http://dipbt.bundestag.de/dip21/btd/19/026/1902645.pdf. Zugegriffen: 16. Juli 2018.

112

F. Lindemann

Deutscher Bundestag (Hrsg.). (2018c). Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion Bündnis 90/Die Grünen zur „Förderung bahnbrechender Innovationen“ (Drucksache 19/3289) vom 5. Juli 2018. http://dipbt.bundestag.de/extrakt/ba/ WP19/2366/236674.html. Zugegriffen: 17. Juli 2018. Deutscher Bundestag (Hrsg.). (2018d). Wissenschaftlicher Dienst, Verfassungsmäßigkeit von sog. „Hackbacks“ im Ausland (WD 3 – 3000 – 159/18). https://www.bundestag. de/blob/560900/baf0bfb8f00a6814e125c8fce5e89009/wd-3-159-18-pdf-data.pdf. Zugegriffen: 16. Juli 2018. Dreo Rodosek, G. Prof. Dr. (2018). IT- und Cyber-Sicherheit – Innovative technische Neuerungen und Konzepte zum Schutz von Daten, Software und Systemen. Vortrag auf der Jahreskonferenz Digitale Verwaltung 2018 am 13. März 2018. https://www.fujitsu. com/de/microsite/jahreskonferenz-digitale-verwaltung/agenda/index.html. Zugegriffen: 16. Juli 2018. Dünn, H.-W. (2018). Die digitale Transformation: Chancen für Unternehmen – und für Cyber-Kriminelle. http://www.cybersicherheitsrat.de/data/Jahrbuch_Konzernsicherheit_ Duenn_de.pdf. Zugegriffen: 16. Juli 2018. Ernst & Young GmbH. (April 2018a). Industrie 4.0 im Deutschen Mittelstand. https:// www.ey.com/Publication/vwLUAssets/ey-industrie-4-0-im-deutschen-mittelstand-befragungsergebnisse-2018/$FILE/ey-industrie-4-0-im-deutschen-mittelstand-befragungsergebnisse-2018.pdf. Zugegriffen: 13. Juli 2018. Ernst & Young GmbH. (März 2018b). Digitalisierung im Deutschen Mittelstand. https:// www.ey.com/Publication/vwLUAssets/ey-digitalisierung-im-deutschen-mittelstand-maerz-2018/$FILE/ey-digitalisierung-im-deutschen-mittelstand-maerz-2018.pdf. Zugegriffen: 13. Juli 2018. Herpig, S. Dr. (2018). Government Hacking. Global Challenges. Berlin: Stiftung Neue Verantwortung. https://www.stiftung-nv.de/de/publikation/government-hacking-global-challenges. Zugegriffen: 16. Juli 2018. Kleinhans, J.-P. (März 2017). Strategische IT-Sicherheitspolitik für das Internet der Dinge. Handlungsoptionen für die Politik. https://www.stiftung-nv.de/de/publikation/strategische-it-sicherheitspolitik-f%C3%BCr-das-internet-der-dinge. Zugegriffen: 16. Juli 2018. Maaßen, H.-G. Dr. (2018). Die Lage in Deutschland. Rede auf der Potsdamer Konferenz für Nationale Cyber-Sicherheit am 21. Juni 2018. https://www.potsdamer-sicherheitskonferenz.de/dokumentation/dokumentation-2018.html. Zugegriffen: 6. Juli 2018. Mascolo, G., Pinkert, R., Steinke, R., & Tanriverdi, H. (2017). Kaum ein Hacker will zum BND. Süddeutsche Digital. 3. April 2017. http://www.sueddeutsche.de/digital/2.220/ geheimdienst-kaum-ein-hacker-will-zum-bnd-1.3446843. Zugegriffen: 17. Juli 2018. Pinkert, R., Strozyk, H., & Tanriverdi, H. (2018). Staatliche Hacker dringend gesucht. Süddeutsche Digital. 15. Juni 2018. http://www.sueddeutsche.de/digital/2.220/it-sicherheitsbehoerde-zitis-staatliche-hacker-dringend-gesucht-1.4017900. Zugegriffen: 17. Juli 2018. Schütze, J. (2018). „Warum dem Staat IT-Sicherheitsexperten fehlen.“ Berlin: Stiftung Neue Verantwortung. https://www.stiftung-nv.de/de/publikation/warum-dem-staat-itsicherheitsexpertinnen-fehlen. Zugegriffen: 17. Juli 2018.

Digitale Vernetzung und (Cyber-)Sicherheit – unlösbarer …

113

Tanriverdi, H. (2018). Hacker im Staatsauftrag. Süddeutsche Digital. 16. Februar 2018. http://www.sueddeutsche.de/digital/cyberangriffe-hacker-im-staatsauftrag-1.3868904. Zugegriffen: 17. Juli 2018. Verband der bayerischen Wirtschaft (Hrsg.). (2017). „Digitalisierung als Rahmenbedingung für Wachstum“. https://www.baymevbm.de/Redaktion/Frei-zugaengliche-Medien/ Abteilungen-GS/Volkswirtschaft/2017/Downloads/Studie-Digitalisierung-als-Rahmenbedingung-f%C3%BCr-Wachstum_2017.pdf. Zugegriffen: 17. Juli 2018. Zentrale Stelle für Informationstechnik im Sicherheitsbereich. https://www.zitis.bund.de/ DE/ZITiS/Aufgaben/aufgaben_node.html. Zugegriffen: 17. Juli 2018.

Zukunft und Sicherheit Die Herausforderung an die Sicherheit in den Transformationsprozessen von Wirtschaft und Gesellschaft Uwe Gerstenberg

Prolog Wir leben in einer Zeit der permanenten Veränderungen. Die Digitalisierung verändert uns Menschen gesellschaftlich, ökonomisch, politisch sowie technologisch. Wir unterliegen einem tief greifenden Wandel in allen Lebensbereichen und dies mit exponentieller Geschwindigkeit – Transformation ist längst zu einem Zustand geworden. Viele Sektoren werden sich zeitnah komplett neu formieren müssen, sei es im Bereich der Medizin, der Mobilität, der Medien und auch der Banken, um nur einige zu nennen. Gerade die großen Technologiekonzerne mit ihren unerschöpflichen Daten und Geldmitteln sind hier Innovator, Benchmark, Visionäre und Treiber. Die gesamte Wirtschaft weltweit steht vor neuen Herausforderungen. Es gab schon immer transformationelle Entwicklungen unserer Gesellschaft, die uns aber jeweils über einen längeren Zeitraum begleitet haben, zum Beispiel der Buchdruck. Doch nun, im Zeitalter der exponentiellen Entwicklungszyklen, passiert alles in Echtzeit. Wir empfinden alles als flüchtig und nicht greifbar. Je mehr Gewohnheiten sich auflösen, desto unsicherer fühlen wir uns. Wir haben die Sehnsucht nach Halt und Sicherheit. Die Deutschen haben Angst. Gesellschaftliche Umbrüche – Flüchtlingskrise, Terrorismus, Rechtspopulismus – verunsichern eine ohnehin furchtsame Nation im Privaten wie im Politischen titulierte hierzu der Spiegel Classic (Wellershoff 2017).

U. Gerstenberg (*)  Unternehmensberatung, consulting plus Beratung GmbH, Essen, Deutschland E-Mail: [email protected] © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_6

115

116

U. Gerstenberg

Angst ist ein schlechter Ratgeber, sagt der Volksmund, und er hat recht. Wer etwas bewegen will, sein Leben in die Hand nimmt und hierzu die entsprechenden Entscheidungen trifft, der braucht Vertrauen in sich und in die entsprechenden Rahmenbedingungen. Auf wen oder was wir vertrauen, prägt unser Leben. Glaubt man den Medienberichten und dem Grundrauschen in den sozialen Medien, sind die guten Zeiten vorbei. Die nächste Welle der Globalisierung tobt heran, Roboter übernehmen unsere Arbeit, und Kriminelle lauern hinter jeder Ecke auf uns, sei es im Netz oder im Park. Auf Sicherheit und Ordnung allein durch den Staat sollten wir nicht hoffen. Sicherheit – oder besser Unsicherheit – ist eine starke Emotion und mehr noch als andere Gefühle selbst gemacht. Der größte Unsicherheitsfaktor ist Unwissenheit. Wir fürchten uns vor allem, was wir nicht kennen oder verstehen. Die Überzeugung, man könne sowieso nichts ändern, macht uns hilflos, und wir fühlen uns als Opfer der gesellschaftlichen Rahmenbedingungen. Die bisher gelernte und gelebte Vollkasko-Mentalität der Deutschen verliert an Wirkung und dies in einer Zeit, wo es uns noch nie besser ging. Der folgende Beitrag soll uns zeigen, wo wir stehen und was erforderlich ist, um mit den Herausforderungen der Transformationsprozesse von Wirtschaft und Gesellschaft schrittzuhalten – Zukunft und Sicherheit.

1 Entwicklung der Wirtschaft am Beispiel des Bankensektors Mit dem Begriff Leapfrogging bezeichnet man Technologiesprünge, bei denen ein Anbieter bewusst Entwicklungsschritte auslässt, um seine Konkurrenten zu überholen und als Marktpionier hervorzugehen. So will China künftig nicht nur die Ingenieurstugenden mit der digitalen Gestaltungskraft der Amerikaner verknüpfen, sondern auch den Marktzugang für Banken, Versicherer und Finanzdienstleister in rasantem Tempo weiter öffnen (Hirn und Hütte 2017). Der Plan könnte aufgehen, denn zumindest die Banken müssen sich neu erfinden. Der Grund hierfür liegt sowohl in ihrer Vergangenheit als auch in ihrer Zukunft. Dabei spielen weniger die Altlasten eine Rolle als vielmehr die zukünftigen Herausforderungen. Die Niedrigzinspolitik der Zentralbanken, die staatliche (Über-)Regulierung, aber vor allem der technische Fortschritt können dazu führen, dass die Banken zum Beispiel den Zahlungsverkehr oder die Kreditvermittlung an Unternehmen und Institutionen anderer Branchen verlieren. Die heute noch durch die Banken vermittelten bargeldlosen Transfers sowie die bare Zahlung mit Münz- oder Papiergeld werden schon jetzt immer mehr

Zukunft und Sicherheit

117

über elektronische Bezahlsysteme abgewickelt, wobei die Unternehmen eher der Informationsbranche zuzuordnen sind als der Bankenlandschaft. Diese Firmen können zukünftig den traditionellen Banken auch das Privileg der Schöpfung von Giralgeld über die Vergabe von Darlehen streitig machen, indem sie eigene Kryptowährungen wie den Bitcoin emittieren und Kreditvergaben online anbieten. Dies liegt unter anderem daran, dass de facto Fin(ancial)-Tech(nologies)-Verfahren günstiger sind als bewährte Nicht-Online-Verfahren, sofern der Händler auch die indirekten Kosten dazu zählt. Die Online-Kreditvergabe durch Unternehmen wie PayPal, auxmoney oder Creditshelf steht im Moment noch am Anfang, was im Wesentlichen am mangelnden Bekanntheitsgrad der umfassenden Möglichkeiten dieser Unternehmen liegt. Fachleute gehen jedoch davon aus, dass bereits im Jahr 2025 zehn Prozent der Kredite von Mittelständlern über FinTech abgewickelt werden. Vor allem kleinere Mittelständler bis zehn Millionen Euro Umsatz profitieren von der unkomplizierten Kreditvergabe bis zu einer Größenordnung von 250.000 EUR. Aber auch die sozialen Netzwerke werden zukünftig bei der Vermittlung von Krediten eine immer größere Rolle einnehmen. Die Entstehung des Crowdfunding zeigt, dass man Unternehmer mit Investoren zusammenbringen kann. Statt eine Bank um ein Darlehen zu bitten oder ihr die eigenen Ersparnisse anzuvertrauen, kann man sein Anliegen in sozialen Netzwerken vortragen. Ohne die kostenpflichtige Vermittlung der Bank können diese Geschäfte von Sparern, Investoren und Unternehmen günstig getätigt werden. Ein Rating könnte ebenso über die Sozialen Medien erfolgen, wobei hier Kriterien wie Vertrauen, Zuverlässigkeit, unkomplizierte und schnelle Abwicklung im Vordergrund stehen. Hier reicht ein Like-Button. Je länger die Niedrigzinsphase dauert, umso mehr Banken werden ihr Geschäft aufgeben müssen. Nicht zuletzt bedroht die zunehmende Regulierung die Geschäftsmodelle vieler Banken, denn vermeintlich riskante Geschäfte sind mit entsprechendem Eigenkapital der Banken zu hinterlegen. In der neuen Bankenwelt könnten auch die Zentralbanken ihren Stellenwert einbüßen. Diese durch die Geldproduktion von Kreditbanken entstandenen Institutionen verlieren ihre originäre Aufgabe, wenn Geld in Zukunft von Technologieunternehmen als digitale Währung produziert würde. Wie schnell die Entwicklung voranschreitet, zeigt das Beispiel des Internet Payments – eine Form des Bezahlens, die es vor wenigen Jahren noch gar nicht gab. Dominiert wird dieser Bereich mit über 230 Mio. Konten in 193 Ländern und 25 Währungen inzwischen von PayPal. Das Unternehmen ging 2015 mit einer Marktkapitalisierung von rund 35 Mrd. EUR an die Börse – 15 Jahre nach seiner Gründung. Im gleichen Jahr erst startete Paydirekt, das erste Online-Bezahlverfahren der Banken und Sparkassen.

118

U. Gerstenberg

Bemerkenswert ist dies aus zwei Gründen: Zum einen wird deutlich, wie schnell sich ganze Segmente im Banking durch die Digitalisierung verändern können. Zum anderen zeigt sich, wie lange die deutschen Banken gebraucht haben, um ein Konkurrenzprodukt auf den Markt zu bringen und damit das Bedürfnis ihrer Kunden nach einem sicheren und bequemen Bezahlverfahren im Internet zu bedienen. Der Vorsprung von PayPal dürfte dabei kaum mehr aufzuholen sein. Trotz des zunehmenden Wettbewerbs im Bankenmarkt und der skizzierten Auflagen bieten sich Banken immer noch vielfältige Möglichkeiten, um innovative Geschäftsmodelle am Markt auszubauen.

2 Wie muss sich die Sicherheitswirtschaft aufstellen? Dem Staat obliegt eine wichtige Rolle bezüglich Prävention und Gefahrenabwehr. Dabei stellt sich die politisch relevante Frage, in welchem Umfang Sicherheit produziert wird – oder präziser, welcher Mittelaufwand betrieben und welche Maßnahmen umgesetzt werden sollen. Der Aufwand, den Deutschland im internationalen Vergleich betreibt, liegt im Mittelmaß im Jahr bei etwa 450 EUR pro Kopf oder bei 1,6 % des BIP. Im Vergleich dazu liegt der Aufwand in den USA doppelt so hoch, im Jahr bei 950 EUR pro Kopf oder bei 2,2 % des BIP. Nach Analyse der unmittelbaren Anschlagsfolgen vom 11. September 2001 wird deutlich, wie weitreichend und nachhaltig die Auswirkungen auf das Wirtschaftssystem der USA waren. So ergibt sich neben dem tragischen Verlust von über 3000 Menschenleben ein materieller Schaden in Höhe von rund 35 Mrd. US$. Hinzu kamen im Folgejahr 2002 durch makroökonomische Effekte weitere 300 Mrd. US$ oder etwa ein Prozent des Welt-BIP. Die ohnehin infolge der Dotcom-Blase gefährdeten Finanzmärkte gerieten in Schwierigkeiten. Aufgrund des geringen Wirtschaftswachstums und der geringen internationalen Handelsaktivitäten folgte eine Rezession der Weltwirtschaft. Die Sicherheitspolitik eines Staates ist das Ergebnis politischer Abstimmungsprozesse und daher bestenfalls ein Kompromiss. Sowohl die Risikobewertung als auch der individuelle Schadensfall beeinflussen das emotionale Sicherheitsbedürfnis und damit das Wählerverhalten. Daher ergibt sich ein über die staatliche Grundversorgung hinausgehender Anspruch an Sicherheit, der die Basis für die Nachfrage nach privaten Sicherheitsdienstleistungen und Sicherheitstechnik bildet.

Zukunft und Sicherheit

119

Die Konferenz der Innenminister und Senatoren attestiert, dass die deutsche Sicherheitswirtschaft nicht aus der Sicherheitsarchitektur in Deutschland wegzudenken ist. Die Polizei hat zwar das Gewaltmonopol, aber nicht das Sicherheitsmonopol, und wegen knapper Haushaltskassen werden immer mehr Aufgaben privatisiert. Die sicherheitspolitische Ausrichtung wandelt sich. Anforderungen der äußeren und inneren Sicherheit wachsen zusammen. Der klassische Gebäude- und Personenschutz werden durch Entwicklungen in der Verteidigungsindustrie, ITund Kommunikationstechnologie, der Nanotechnologie, Mikroelektronik, Biosensorik oder Robotik erweitert und/oder ergänzt. So ist der Markt für Produkte und Dienstleistungen der Sicherheitswirtschaft aktuell von einer hohen Wachstumsdynamik, aber auch von einem ständigen Wandel gekennzeichnet. Old und New Economy treffen aufeinander. Eine moderne Industriegesellschaft zeichnet sich durch Spezialisierung, Arbeitsteilung und Vernetzung aus. Um die Risiken einer kostenintensiven Betriebsunterbrechung zu minimieren, sind vielfältige Maßnahmen zur Gefahrenabwehr erforderlich. Die Aufwendungen von Unternehmen und Privatpersonen zur Abwehr von Wirtschaftskriminalität, Industriespionage und Großschadensereignissen steigen. Eine allgemeine Definition des Sicherheitsmarktes existiert nicht. Das liegt hauptsächlich an den immensen Abgrenzungsproblemen aufgrund der mannigfaltigen Überschneidungen. Ist ein Detektionsroboter ein Produkt des Spezialmaschinenbaus oder der Sicherheitsindustrie? Dient die eingesetzte Videokamera der Produktionssteuerung oder ist sie eine Sicherheitsmaßnahme? Betrachtet man den Bereich der Sicherheitsdienstleistung in Deutschland, stellt man fest, dass ca. 6300 Unternehmen Sicherheitsdienstleistungen anbieten. Von dieser Gesamtzahl sind nur 15 % der Unternehmen Mitglied im Bundesverband der Sicherheitswirtschaft (943), der als Garant für die Zahlung von Tariflöhnen gilt. Der Umsatz auf dem Sicherheitsmarkt ist in den Jahren von 2010 bis 2017 von 5,05 Mrd. EUR auf 8,4 Mrd. EUR angestiegen, was einem Wachstum von 170 % entspricht (Olschok 2017). Die deutsche Wirtschaft konzentriert sich immer mehr auf die jeweiligen Kernaufgaben und vergibt Randaktivitäten an Dienstleister. Ein auf Sicherheit spezialisiertes Unternehmen kann seine Leistung in der Regel besser erbringen als dasjenige, bei dem dies lediglich eine Zusatzaufgabe ist. Durch das Outsourcing dieser Aktivitäten wuchs die Zahl der Beschäftigten im Bereich der Sicherheitsdienstleistung von 2013 bis 2017 von 207.000 auf 257.000 Beschäftigte, was einem Wachstum von über 20 % entspricht. Vergleicht man die Anzahl der Mitarbeiter von Sicherheitsdienstleistern mit denen der P ­ olizei

120

U. Gerstenberg

aus Bund und Ländern, deren Entwicklung sich nur geringfügig erhöht hat, so ­gleichen sich die Zahlen an. Die Differenz betrug 2001 noch 106.277 mehr Polizisten als Sicherheitsmitarbeiter, 2017 nur noch etwa 40.000. Bei gleichbleibender Entwicklung gibt es im Jahr 2025 mehr Mitarbeiter von Sicherheitsunternehmen als Polizisten beim Staat. Auch über den Handlungsbedarf bezüglich der Zuständigkeit für die privaten Sicherheitsdienste muss gesprochen werden. Seit 1927 unterliegen die privaten Sicherheitsdienste der Zuständigkeit der Gewerbeordnung und damit den Wirtschaftsbehörden. Mit Ausnahme von Österreich und Deutschland liegt die Zuständigkeit für die privaten Sicherheitsdienste in den anderen EU-Staaten bei den Innen- beziehungsweise Justizministerien. Die Anbindung an das Innenministerium ist ein Gebot der Stunde, denn die Sicherheitswirtschaft hat in der Sicherheitsarchitektur Deutschlands einen bedeutenden Stellenwert erreicht. Wer sich schon einmal als Auftraggeber mit der Bewachungsverordnung befasst hat, weiß, dass er mit den Mindestanforderungen keine Qualität einkaufen kann. Die Bewachungsverordnung regelt eindeutig das Anforderungsprofil und die Unterrichtung eines Sicherheitsmitarbeiters. Der Sicherheitsmitarbeiter erhält in 30 Zeitstunden – was etwa drei Arbeitstagen entspricht – die theoretische und praktische Befähigung, um Bewachungsaufgaben beim Kunden eigenverantwortlich wahrzunehmen. Im Jahr 2002 wurde mit der Verordnung über die Berufsausbildung zur Fachkraft für Schutz und Sicherheit erstmals ein Ausbildungsberuf für die Sicherheitswirtschaft eingeführt. Dies war ein Meilenstein für die Professionalisierung der sicherheitsrelevanten Berufe. Im Juni 2008 wurde die Verordnung für die Servicekraft für Schutz und Sicherheit verabschiedet. Die Abbrecherzahlen sind sehr hoch, die Prüfungsergebnisse optimierbar und die Ausbildungspläne verbesserungswürdig. Dennoch hat sich die Zahl der Ausbildungsverträge für die Sicherheitswirtschaft bei etwa 1200 pro Jahr eingependelt. Die von Sicherheitsdiensten wahrgenommenen Tätigkeiten sind äußerst heterogen. Auch wenn das Sicherheitsgewerbe vor allem im sogenannten Niedriglohnsektor tätig ist, gibt es auch eine ganze Reihe von Tätigkeiten mit deutlich höheren Löhnen, zum Beispiel Objektsicherungsdienste an Kernkraftwerken, Fluggastkontrolle und Werkfeuerwehrdienste. Zur besseren Transparenz wurden in manchen Ländertarifverträgen bis zu 35 verschiedene Lohngruppen vereinbart. Eine Umfrage des BDSW unter seinen 900 Mitgliedsunternehmen hat ergeben, dass diese aufgrund der Auftragslage über 10.000 Stellen sofort besetzen könnten. Doch wer möchte schon gerne für einen geringen Tariflohn zu ungünstigen Zeiten, also nachts und am Wochenende, arbeiten, wo doch

Zukunft und Sicherheit

121

die gesamtwirtschaftliche Nachfrage nach Arbeitskräften mit besser dotierten Arbeitsplätzen selbst für Ungelernte lockt. Spezialisierung, technologischer Fortschritt und Outsourcing sind die Hauptfaktoren, auf denen die zukünftige Entwicklung des Sicherheitsmarktes basiert. Die Anforderungen der Kunden sind Effizienz und Qualität. Der Sicherheitsmarkt befindet sich nach wie vor stark im Wandel und die Grenzen verschieben sich zunehmend.

3 Entwicklung zukünftiger Unternehmensrisiken Die Verantwortung für die bei der Tätigkeit des Unternehmens entstehenden Risiken trägt grundsätzlich die Unternehmensleitung. Diese ist auch verpflichtet, ein System zur Risikovorsorge einzurichten und zu betreiben. Dieses sogenannte Risikomanagementsystem betrachtet die kaufmännischen Risiken ebenso wie die Risiken, die zur Existenzgefährdung des Unternehmens führen können. Hierzu gehören insbesondere die Gefährdungen, die durch höhere Gewalt, technische Defekte, Kriminalität und Veränderung der politischen Rahmenbedingungen entstehen können. Die Unternehmensleitung kann die Einhaltung der gesetzlichen Bestimmungen nicht eigenhändig erfüllen. Zum arbeitsteiligen Prozess eines Unternehmens kann die Leitung seine Handlungsverantwortung aber delegieren. Das bedeutet, aus zunächst der Unternehmensleitung obliegende Handlungsverantwortungen wird eine Aufsichts- und Überwachungspflicht. Diese setzt sich zusammen aus den Leistungs-, Koordinierungs-, Organisations- und Kontrollpflichten. Dieses Pflichtenbündel ist auf verschiedenen Ebenen relevant. Hierzu zählt die sorgfältige Auswahl der Mitarbeiter, auf die delegiert werden soll: Eine sachgerechte Organisation und Aufgabenteilung, das heißt, ein Geschäftsverteilungsplan mit klarer Aufgabenteilung und Organigrammen für die Aufbau- und Ablauforganisation. Es bedarf klarer Instruktion und Aufklärung der Mitarbeiter über ihre Aufgaben und Pflichten, der Überwachung und Kontrolle der Mitarbeiter sowie die Einrichtung eines Sanktionssystems, mit dem gegen Verstöße betriebsbezogener Pflichten eingeschritten werden. Diese Schritte müssen sich in der Organisation niederschlagen und von Vorkehrungen der Ablauforganisation begleitet werden. Die rechtliche Betrachtung der Handlungsverantwortung alleine reicht hierbei jedoch nicht aus. Neben den gesetzlichen Verpflichtungen nehmen die sogenannten weichen Risikofaktoren erheblichen Einfluss auf Erfolg oder Misserfolg eines Unternehmens und gehören somit ebenso in die Risikobetrachtung der

122

U. Gerstenberg

Unternehmensleitung. Schadensereignisse, die von den Medien aufgenommen, verbreitet und bewertet werden, können zu einem Reputationsverlust des Unternehmens führen und somit die Glaubwürdigkeit in der Öffentlichkeit nachhaltig beschädigen. Die Folgen sind Schwächung der Marktposition und Beschädigung des Markenprofils und somit des Unternehmenswertes. Aber auch die Beziehungen gegenüber Mitarbeitern und Kunden können nachhaltig beschädigt werden. Die Folgen sind Kündigungen von guten Mitarbeitern oder langjähriger Geschäftsbeziehungen. Handlungsbedarf besteht! Risiken definieren sich mit der Möglichkeit des Eintritts eines unerwünschten Ereignisses oder der Möglichkeit des Nicht-Eintretens eines gewünschten Ereignisses. Unternehmen benötigen ein Frühwarnsystem, um Sicherheitsrisiken zu erkennen. Ein Frühwarnsystem sichert den Unternehmenserfolg. Kapitän Edward J. Smith sagte 1907 gegenüber der New York Press: Wenn mich jemand fragt, wie ich am besten meine Erfahrungen aus 40 Jahren auf hoher See beschreiben würde, so könnte ich diese Frage lediglich mit unspektakulär beantworten. Natürlich gab es schwere Stürme, Gewitter und Nebel, jedoch war ich nie in einen Unfall jeglicher Art verwickelt, der es wert gewesen wäre, über ihn zu berichten. Ich habe während dieser Zeit kaum ein Schiff in Seenot erlebt … Ich habe weder ein Wrack gesehen, noch bin ich selbst in Seenot geraten oder habe mich sonst in einer misslichen Lage befunden, die in irgendeiner Form drohte, zum Desaster zu werden (www.titanicexpo.co.za, 2018).

Am 15. April 1912 sank die Titanic mit insgesamt über 1500 Menschen, einer von ihnen war Kapitän Edward J. Smith. Dieses Beispiel zeigt, dass frei nach dem Motto Sag niemals nie immer ein Restrisiko besteht, ein Worst-Case-Szenario, das in der Gegenwart womöglich nicht einmal absehbar ist. Genauso ist ein Unternehmen nur schwer in der Lage, virtuelle und reale Risikoschwachpunkte ganzheitlich zu erkennen. Es bedarf professioneller Fokussierung, um alle Gefahren, also vireale Risikoschwachpunkte, wahrzunehmen, um das Unternehmen davor zu schützen.

4 Was bedeutet Sicherheit in der virealen Welt? Die Grenzen krimineller Handlungen zwischen analoger und digitaler Welt verschwimmen immer mehr und geben Raum für diffuse Ängste in der Gesellschaft, führen zu Milliardenverlusten bei Unternehmen und zu immensem Handlungs-

Zukunft und Sicherheit

123

druck bei den Gesetzgebern. Und das ist erst der Anfang: Die fortschreitende technische Entwicklung bringt in allen Branchen nahezu täglich Chancen, aber auch gleichzeitig Risiken hervor. Es gibt jedoch bislang nur unzureichende Antworten auf die bedeutsamsten Fragen, die uns alle bewegen: Wie können wir unsere Werte, unsere Freiheit und unser wichtigstes Kapital in Deutschland wirkungsvoll schützen? Sicherheitsstrukturen der Sicherheitsbehörden und der privaten Sicherheitswirtschaft sind überfordert und noch längst nicht zukunftsweisend darauf vorbereitet. Hier müssen ein nachhaltiges Bewusstsein geschaffen und Lösungen erarbeitet werden. Sicherheit darf nicht wie ein Lazarettwagen hinter den dynamischen Entwicklungen unserer Zeit herfahren, sondern muss Teil jeder Innovation, jedes Transformationsprozesses und jeder Weiterentwicklung werden. Ob gesellschaftlich, politisch, medial oder unternehmerisch – wir leben längst in einer virealen Welt. Und wir haben die Aufgabe, diese sicher zu machen. Für die Generationen nach uns, zur Sicherung unserer Wettbewerbsfähigkeit am Standort Deutschland und zum Schutz unserer Grundwerte. Nach meiner Definition ist Vireale Sicherheit die Gesamtbetrachtung aller modernen aktuellen und geopolitischen Risikofelder, denen Personen, Organisationen oder Unternehmen heute in einer vernetzten Welt jederzeit ausgesetzt sind. Hierzu zählen die realen, also physischen und „greifbaren“ Risiken der Infrastruktur genauso wie virtuelle Risiken, die aus dem Umgang mit Daten, modernen Medien und Technologien entstehen sowie die grundsätzliche Abwehr von Reputationsschäden. Aktuelle Systeme, Konzepte und Definitionen sowohl in der Literatur als auch in der Praxis betrachten diese Risikofelder bislang viel zu eindimensional und gehen damit an den Erfordernissen, die heute an ein holistisches Sicherheitsmanagement gestellt werden, vollkommen vorbei. Vireale Sicherheit hingegen betrachtet sicherheitsrelevante Szenarien ganzheitlich und bewertet sämtliche Prozesse anhand von digitalen Monitoring-Prozessen, gepaart mit weitreichender Sicherheits- und Branchenerfahrung. Somit liefert Vireale Sicherheit wirksame Lösungen und Methoden zum Schutz von Personen, Werten, Informationen und Umwelt. So wie die Vernetzung die Zukunft unserer Gesellschaft bestimmt, genauso müssen sich Branchen- und Sicherheitsexperten in einer modernen digitalen Gemeinschaft vernetzen, in der jederzeit eine entsprechende Taskforce – je nach Schadensereignis –  zusammengestellt werden kann. Schutz vor Terror und Kriminalität kann man heute nur mit vernetzter Erfahrung, interdisziplinärem Sachverstand, moderner Technik und hoher Umsetzungskompetenz erreichen.

124

U. Gerstenberg

Bislang ist Sicherheit für viele nur ein Add-on, ein Gurt, den man sich bei Bedarf anlegt, um sich zu schützen. Dabei setzen einige auf die Abwehr von Cyberangriffen, und andere legen den Schwerpunkt auf physische Sicherheitsmaßnahmen. Doch die aktuellen Bedrohungslagen zeigen, dass die Gesellschaft, die Politik, die Medien und die Unternehmen Sicherheit neu definieren müssen. Die Risiken sind längst vireal geworden. Unternehmen werden digital angegriffen und wichtige Prozesse mit ein paar Klicks lahmgelegt. Milliardenverluste drohen. Terroristen kommunizieren ungehindert im Darknet, und sensible Datensätze werden entwendet oder manipuliert, die Täter sind derweil meist tausende Kilometer entfernt. Gleichzeitig reicht ein gestohlener Lkw aus, um auf einer bekannten Einkaufsmeile Tod und Leid über viele Menschen zu bringen und das Sicherheitsgefühl in unserer Gesellschaft massiv zu erschüttern. Wahlen werden mit Social Bots manipuliert, Fakten werden verdreht und Journalisten werden massiv von extremistischen Gruppierungen im Netz eingeschüchtert. Wesentliche Handlungsoptionen im Kampf gegen verschiedene Bedrohungen werden bisher von ganz wenigen Sicherheitsexperten vorgehalten. Hierzu gehören technische Innovationen wie das Online Sicherheitsmonitoring (SecurityRadar), das über spezielle Algorithmen frühzeitig mögliche Risiken und Bedrohungen für Unternehmen und Organisationen aufzeigt. Die Ergebnisse werden in einer speziellen Datenbank erfasst, um über Mustererkennung zukünftige Krisen besser antizipieren zu können. Oder ein Expertennetzwerk, organisiert in einer einzigartigen SecurityExperts DataBase, welches innerhalb kürzester Zeit zu einer interdisziplinären Taskforce zusammengestellt werden kann, die speziell auf die Erfordernisse des jeweiligen Einsatzes angepasst ist. Diese Experten setzen sich präventiv mit der zukünftigen Entwicklung ganzer Branchen und gesellschaftlicher sowie politischer Entwicklungen auseinander. Sie erkennen, analysieren und bewerten internationale Trends und stellen die Ergebnisse in eine ständig wachsende Datenbank ein, die für Studien, SecurityInsights und Trends zur Verfügung steht. In einer Business Transformation sind die Herausforderungen für die Sicherheitswirtschaft ebenfalls von hoher Bedeutung. Immer neue Entwicklungen und technische Fortschritte sorgen für einen stetigen Wandel der Arbeitswelt, bei dem die Unternehmen mithalten müssen. Und gerade bei diesen Herausforderungen, die sich aus der Vernetzung von realen und virtuellen Abläufen ergeben, wird von Unternehmen der Sicherheitswirtschaft eine dynamische Anpassung verhaltensorientierter und sicherungstechnischer Maßnahmen verlangt – zur Gewährleistung moderner Produktionsabläufe, einer gesteigerten Bedeutung der Mitarbeiterzufriedenheit/-rekrutierung und Digitalisierung.

Zukunft und Sicherheit

125

Bei Nichtbeachtung kann es dazu führen, dass ein Unternehmen den Anschluss an den Markt verliert. Um diesem Risiko und den wechselseitigen Anforderungen gerecht zu werden, ergeben sich für die Sicherheitswirtschaft nachfolgende Herausforderungen:

5 Entwicklung kreativer Strategien sowie virealer Sicherheitskonzepte Die Einbindung der Sicherheitswirtschaft bei der kreativen Planung, Entwicklung und Einführung neuer virealer Sicherheitskonzepte unter Beteiligung von Führungsebene und Mitarbeitern schafft nicht nur Platz für neue Ideen, sondern auch Motivation. Von der Mitarbeiterführung über die Produktion bis hin zum Marketing: Arbeitnehmer zu mehr Kreativität aufzufordern und ein entsprechendes Arbeitsumfeld zu schaffen, sorgt für neue Denkanstöße und ermöglicht Innovation. Auch Mitarbeiter in Ideenfindungen mit einzubeziehen, bringt gleich mehrere Vorteile: Der Ideenpool vergrößert sich, und die Mitarbeiterbindung zum Unternehmen wird verstärkt.

5.1 IT-Sicherheit für Unternehmen Gut die Hälfte aller Unternehmen in Deutschland ist in den vergangenen Jahren Opfer von digitaler Wirtschaftsspionage oder Datendiebstahl geworden, aber die Dunkelziffer ist um ein Vielfaches größer. Aber nicht nur für Großunternehmen und Konzerne ist das eine alarmierende Tatsache, sondern auch kleine und mittelständische Unternehmen (KMU) müssen sich intensiver mit der Sicherung ihrer Unternehmenswerte beschäftigen. Das Phänomen lässt sich nicht mehr ignorieren: IT-Sicherheit wird in Zeiten von Social Media, Cloud Computing, Mobility und Internet of Things immer komplexer und gleichzeitig immer wichtiger. Der Mittelstand gerät immer häufiger ins Visier von Cyberkriminellen, denn oft mangelt es dort an den notwendigen Sicherheitsvorkehrungen. Dabei ist eins klar: Die Bedrohungen sind die gleichen, aber die Ressourcen für IT-Sicherheit sind bei KMUs viel geringer als bei Großunternehmen. Die Auswirkungen von Cyberattacken sind gravierend: Sensible Daten gehen verloren, Firmengeheimnisse werden ausspioniert und nicht zuletzt leidet das Unternehmens-Image nach außen bei Kunden und Geschäftspartnern, die ihre sensiblen Daten in guten Händen wissen wollen. Doch, wo ein internationaler Konzern erhebliche Summen investieren kann, um sich vor den

126

U. Gerstenberg

Machenschaften Cyberkrimineller zu schützen, muss sich ein KMU mit weitaus geringeren Mitteln helfen. Auch stehen kleine und mittelständische Unternehmen zunehmend vor der Herausforderung, dass vermehrt mobile Mitarbeiter im Homeoffice oder im Vertrieb bei Kunden und Partnern tätig sind und auch dort die vollständige Sicherheit aller Unternehmensdaten gewährleistet sein muss.

5.2 Konkurrenz im Auge behalten Im Wandel liegt Tradition – viele Unternehmen, die an bewährten Systemen festhalten, laufen Gefahr, zu scheitern. Dank der fortschreitenden Digitalisierung ist es möglich, überall und zu jeder Zeit Daten abzurufen. Wie selbstverständlich stehen umfassende Informationen über Unternehmen oder komplizierte Sachverhalte zur Verfügung. Indem Betriebe sich nicht nur über aktuelle Neuerungen informieren, sondern diese auch hinterfragen, verschaffen sie sich Vorteile auf dem Arbeitsmarkt. Um wettbewerbsfähig zu bleiben und nicht von der Konkurrenz überholt zu werden, sollten Betriebe keine Trends verschlafen.

5.3 Krisenmanagement Krisenmanagement sind Maßnahmen in Reaktion auf unerwartete Ereignisse oder Situationen mit wahrscheinlich negativen Auswirkungen, die die Ressourcen und/ oder den Erfolg und den Fortbestand des Unternehmens sichern. Es umfasst Pläne zur Risikominimierung und zur Bewältigung von Krisen sowie die Umsetzung dieser Pläne, um die Folgen abzufangen und dem Unternehmen eine Erholung zu ermöglichen. Krisen können infolge äußerer Umstände eintreten, etwa wenn ein Mitbewerber ein neues erfolgreiches Produkt auf den Markt bringt oder sich die gesetzlichen Vorgaben ändern, aber auch durch interne Faktoren, etwa dass ein Produkt die Erwartungen nicht erfüllt oder durch Fehlentscheidungen, die oft aus dem Zwang zur schnellen Reaktion trotz unsicherer oder unvollständiger Informationslage entstehen.

5.4 Reputationsmanagement Reputationsmanagement ist notwendig, weil für Unternehmen seit dem Aufkommen des Web  ­ 2.0 ein beständiger kritischer Dialog mit Kunden,

Zukunft und Sicherheit

127

­ itarbeitern und der breiten Öffentlichkeit unausweichlich geworden ist. Jede M virtuelle Äußerung wird im digitalen Raum konserviert und kann die eigene Web-Reputation nachhaltig beeinflussen. Dies macht einen ganzheitlichen Ansatz nötig, welcher den Ruf eines Unternehmens oder einer Einzelperson in ein plan-, steuer- und bewertbares Managementkonzept überführt. Eine gute Reputation ist Vertrauenskapital und somit ein entscheidender Wettbewerbsvorteil, der sowohl online, als auch offline das wichtigste „Asset“ eines Unternehmens ist. Besonders wichtig im Reputationsmanagement ist das Bewusstsein darüber, dass jede einzelne Handlung signifikant zur wahrgenommenen Reputation in den relevanten Stakeholder-Gruppen beiträgt. Die Grundlage vom strategischen Reputationsmanagement bildet ein differenziertes Stakeholder Management, welches jede einzelne Anspruchsgruppe wie Kunden, Mitarbeiter, Lieferanten, Kapitalgeber, Kooperationspartner, Wettbewerber sowie auch Öffentlichkeit, Medien und Politik individuell betrachtet.

5.5 Einleiten des Veränderungsprozesses durch Bewusstseinsbildung In einem ersten Schritt gilt es, die Sicherheitsstrategie (virtuell und real) kritisch zu durchleuchten und Probleme des Geschäftsmodells zu erkennen. Deshalb beginnt der Prozess mit einer Analyse aller sicherheitsrelevanten Aspekte verhaltensorientierter und sicherungstechnischer Art. Wesentlich ist bei der Bewusstseinsbildung für sicherheitsrelevante Belange auch das Training der Mitarbeiter. Es stärkt ihnen den Rücken, macht sie fit für den Transformationsprozess und fördert zudem die Motivation der Mitarbeiter.

5.6 Zielsetzung Im zweiten Schritt werden die strategischen Transformationsziele und der Weg dorthin bestimmt. Welche Strukturen, Prozesse und Systeme behindern die Realisierung einer nachhaltigen Sicherheitsstrategie für die nächsten Jahre? In dieser Phase werden zudem mögliche Berater/Experten bestimmt, die über außergewöhnliche und für die Führung der Transformation nötigen Qualitäten verfügen und eine Kettenreaktion im Unternehmen in Bewegung setzen können.

128

U. Gerstenberg

5.7 Organisation Aus den strategischen Zielen wird ein Konzept operativer Maßnahmen abgeleitet. Der Zeitplan für die Umsetzung wird festgelegt, und neue Strukturen, Prozesse und unterstützende Systeme werden definiert. Projektpläne sind zu entwickeln und auszuarbeiten; die Planung des Ressourceneinsatzes muss bei Bedarf nachjustiert werden. Mit detaillierten Kommunikationsplänen werden alle internen Stakeholder ins Boot geholt, um sie für die Umsetzung zu motivieren.

5.8 Umsetzung Der Plan wird ausgerollt, der Veränderungsprozess ist in vollem Gange. Berater/ Experten arbeiten daran, den Wandel in der Unternehmenskultur zu verwurzeln. Damit dies gelingt, müssen Management und Mitarbeiter neue Routinen innerhalb der veränderten Strukturen und Prozesse entwickeln. Um den Transformationsprozess nicht aus den Augen zu verlieren, ist es wichtig, schnell Erfolge zu realisieren und diese mit Nachdruck zu kommunizieren.

5.9 Verankerung Alle Ergebnisse müssen auf den Prüfstand gestellt werden: Wie effizient und effektiv sind die neuen Prozesse und Strukturen? Wie haben sich die Maßnahmen bisher ausgewirkt und gibt es noch Verbesserungsbedarf? Multiplikatoren sind zu benennen, und die Umsetzung an kritischen Punkten innerhalb der Organisation muss weiter vorangebracht werden. Am Ende dieser Phase sollten Vision und Strategie für die nächsten Jahre klar sein.

6 Sicherheitsarchitektur der Zukunft am Beispiel einer deutschen Großstadt Das Leben in einer Großstadt bietet vielerlei Vorzüge. Die Nähe zum qualifizierten Arbeitsplatz plus die innerstädtische Mobilität durch eine gut vernetzte Infrastruktur mit Bus und Bahn locken die Menschen in deutsche Großstädte.

Zukunft und Sicherheit

129

Ebenso zeichnen die umfangreichen Einkaufsmöglichkeiten sowie die ­interessanten und abwechslungsreichen Unterhaltungsprogramme urbanes Leben aus und erhöhen dadurch die Lebensqualität. Voraussetzung für ein funktionierendes Miteinander in Ballungsgebieten ist grundlegend das Thema Sicherheit und Ordnung. Urbane Sicherheit umfasst eine große Vielfalt von Aufgaben, an ihrer Schaffung und Aufrechterhaltung ist eine Vielzahl an Akteuren beteiligt. Sicherheit ist im Grundsatz eine staatliche Aufgabe, in der öffentlichen Diskussion sind aber die Städte und Gemeinden die ersten Ansprechpartner, wenn es um Missstände geht. Deutsche Großstädte stehen vor großen Herausforderungen im Bereich der öffentlichen Sicherheit und Ordnung. Die zunehmende Bereitschaft zur Gewaltanwendung oder das Verharmlosen von Kleinkriminalität zu Kavaliersdelikten haben zu mangelndem Unrechtsbewusstsein und zum Wertewandel innerhalb der Gesellschaft geführt. Diese umfassenden Problemstellungen sind nur in einem interdisziplinären Ansatz zu lösen: Politik und Gesetzgebung, Planer und Architekten, private und öffentliche Entwickler und Bauunternehmer, Sozialarbeiter, Geschäftsleute, Verbände wie zum Beispiel der Einzelhandelsverband, die Bildungseinrichtungen sowie Polizei und Ordnungskräfte sind gleichermaßen gefordert. Eine Strategie für Sicherheit und Ordnung einer Stadt ist nur erfolgreich, wenn sie auch in die Stadtpolitik eingebunden ist. Menschen müssen sich mit dem öffentlichen Raum identifizieren, sich darin wohlfühlen, den Raum als ihren Raum wichtig nehmen und sich dafür verantwortlich fühlen (Hiller 2010). Sie alle haben eigene Handlungsaufträge und Notwendigkeiten, doch ihr gemeinsames Handeln ist bedeutsam, wenn es darum geht, an der Umsetzung von Präventionskonzepten mitzuwirken, um zu verhindern, dass sich Angsträume bilden, Kriminalitätsschwerpunkte entstehen und schwierige Sozialstrukturen entwickeln oder etablieren können. Die Städte stehen vor großen Herausforderungen, da sie kurzfristig durch Sofortmaßnahmen auf die aktuelle Bedrohung, zum Beispiel durch den Terrorismus, reagieren, mittelfristig verstärkt die Sicherheits- und Ordnungsmaßnahmen erhöhen und langfristig Präventionskonzepte umsetzen müssen, die nachhaltig positiven Einfluss auf die Kriminalitätsentwicklung der Stadt haben. Dabei sind zunächst einige Differenzierungen vorzunehmen, die sich mit der objektiven und subjektiven Sicherheit sowie der Definition von Angst- und Gefahrenräumen befassen.

130

U. Gerstenberg

7 Differenzierung zwischen objektiver und subjektiver Sicherheit Wenn man von Sicherheit spricht, muss man von objektiv und subjektiv empfundener Sicherheit sprechen. Ob sich die Menschen im öffentlichen Raum, also auf den Straßen, Plätzen und Grünanlagen einer Stadt, sicher fühlen, hängt nicht ausschließlich von der tatsächlichen Kriminalitätsbelastung ab. Neben dem objektiven Risiko, Opfer einer Straftat zu werden, spielt auch das subjektive Sicherheitsempfinden, die „gefühlte“ Sicherheit, eine große Rolle. Oft lässt sich ein beeinträchtigtes subjektives Sicherheitsgefühl anhand der rein objektiven Kriminalitätslage nicht nachvollziehen. Unvollständige Informationen und Fake News sind die größten Gefahren für die „subjektive Sicherheit“ (Hiller 2010). Die subjektive und objektive Sicherheit eines Stadtviertels entscheiden über Zu-/Wegzug der Bewohner und die Ansiedlung von Gewerbebetrieben und beeinflussen somit den Wirtschaftsfaktor für die Kommune. Bei der Ansiedlung von Unternehmen spielen nicht nur die Gewerbesteuersätze oder die verkehrliche Anbindung eine Rolle, sondern zunehmend auch die Kriminalitätsbelastung. Sicherheit im öffentlichen Raum wird erzeugt durch: • belebte Orte • gepflegte Bauten • gute Beleuchtung • Übersichtlichkeit • gute Orientierungsmöglichkeiten • keine Versteckmöglichkeiten • Verantwortlichkeit der Bewohner • Ordnungsfaktoren • Sicherheitspräsenz Das subjektive Sicherheitsgefühl wird durch verschiedene Faktoren beeinflusst, die von jedem Einzelnen individuell wahrgenommen und unterschiedlich bewertet werden. Einflussfaktoren sind: • • • •

persönliche Betroffenheit Berichterstattung in den Medien persönliche Ängste Toleranzniveau gegenüber abweichendem Verhalten

Zukunft und Sicherheit

131

• Wissen um die Möglichkeiten, sich selbst zu schützen und Risiken vorzubeugen • Wohnumfeld • eigene Erfahrungen

8 Erläuterung der Begrifflichkeit Angsträume Der Begriff Angstraum bezeichnet allgemein einen Ort, an dem Menschen Angst empfinden können. „Bei der Entstehung von Angsträumen spielt nicht nur das eigene Erleben, die Furcht oder die eigene Wahrnehmung eine Rolle, sondern auch das Erleben, die Ängste und die Wahrnehmung anderer Personen, die ihre Erfahrungen und Ängste weitergeben“ (Pahle-Franzen 2011). Konkret sind damit öffentliche Räume gemeint, in denen das Gefühl einer Bedrohung durch Kriminalität, insbesondere durch Straßengewalt bei vielen Menschen besonders stark ausgeprägt ist. Der Begriff kann sich sowohl auf ganze Straßenzüge beziehen, als auch auf kleine Bereiche, etwa unübersichtliche Stellen in Parkhäusern oder dunkle Unterführungen. Bei der Entstehung von Angsträumen steht nicht die tatsächlich vorhandene Bedrohung im Vordergrund. In der Regel geschehen an solchen Orten nicht mehr Verbrechen als an anderen. Oftmals steht die Wahrnehmung von Gefährdungen der tatsächlichen Gefahrenlage deutlich entgegen. Ein Angstraum entsteht, wenn sich die Menschen in diesem Raum nicht mehr wohl und sicher fühlen. Das subjektive Sicherheitsgefühl ist dann so stark beeinträchtigt, dass die Menschen ihre Lebensgewohnheiten ändern und diesen Raum meiden (Deutscher Mieterbund 2014). Angsträume, die gemieden werden, verwahrlosen mit der Zeit, weil Vandalismus und Vermüllung zunehmen. Durch die Abwesenheit einer üblichen Bevölkerung fehlt auch die soziale Kontrolle. Das zieht Straftäter an, und die objektive Kriminalitätsbelastung steigt. Merkmale von Angsträumen sind: • unüberschaubares Gebiet • Aufenthalt von Personen oder Personengruppen mit unerwünschtem Verhalten • Versteckmöglichkeiten für potenzielle Täter (zum Beispiel durch dichte Hecken oder Nischen im Mauerwerk) • nicht einsehbare Funktionsbereiche (zum Beispiel zurückgesetzte Hauseingänge) • fehlende Blickbeziehungen (zum Beispiel in verwinkelten Unterführungen) • fehlende oder mangelhafte Orientierungsmöglichkeiten (zum Beispiel fehlende Straßenschilder oder Hinweis auf Notrufeinrichtungen)

132

U. Gerstenberg

• fehlende Sozialkontrolle (zum Beispiel abends in Innenstädten und Einkaufspassagen) • wenig Präsenz von Polizei und Sicherheitskräften • fehlende Wahlmöglichkeiten bei der Durchquerung des Raumes • keine Ausweichmöglichkeiten • bauliche Verwahrlosung • fehlende oder mangelhafte Beleuchtung • Vermüllung, Graffitis und Vandalismus • Geruch (Stadt Wuppertal 2015) Von den Angsträumen abzugrenzen sind die sogenannten Gefahrenräume. Als Gefahrenräume werden die Räume bezeichnet, in denen tatsächlich raumbezogene Kriminalität sowie antisoziales und deviantes Verhalten nachgewiesen werden können. Nicht nur schwere Delikte beeinträchtigen die Sicherheit der Bevölkerung, sondern insbesondere Alltags- und Kleinkriminalität, aber auch antisoziales Verhalten außerhalb der Strafbarkeit (Verbundprojekt transit 2015). Welches sind nun geeignete Maßnahmen, um eine Stadt in Bezug auf Ordnung und Sicherheit zukunftsfähig zu beeinflussen? Sicherlich gibt es hier einen Lösungsansatz, der mit der Verantwortung der Bürger einhergeht und von der Kommune nachhaltig zu unterstützen ist. Gemäß der Broken-Windows-Theorie („Theorie der zerbrochenen Fenster“) von 1982 besteht ein direkter Zusammenhang zwischen Verwüstungen in sowie Vernachlässigung von Stadtgebieten und Kriminalität. Die US-amerikanischen Sozialforscher James Q. Wilson und George L. Kelling illustrierten die Aussage ihrer Theorie mit der Behauptung, dass eine zerbrochene Fensterscheibe schnell repariert werden muss, damit weitere Zerstörungen im Stadtteil und damit vermehrte Delinquenz verhindert werden (Kriminallexikon online 2006). Konkret bedeutet das: Wird in einem Stadtviertel nichts gegen Verfall und Unordnung, Vandalismus, Graffiti, aggressives Betteln, Müllberge, Prostitution, öffentlichen Alkohol- und Drogenkonsum sowie -verkauf und dergleichen unternommen, wird das zum Indiz dafür, dass sich niemand um diese Straße oder dieses Stadtviertel kümmert und es außer Kontrolle geraten ist. Daraufhin ziehen sich die Menschen in ihren engsten Kreis zurück, das Gebiet, für das sie sich verantwortlich fühlen, reduziert sich auf die eigene Wohnung. Damit unterliegt dann der öffentliche Raum nicht mehr der informellen nachbarschaftlichen Verantwortung. Die räumliche und soziale Verwahrlosung ist damit Symptom für den Zusammenbruch

Zukunft und Sicherheit

133

grundlegender Standards des zwischenmenschlichen Verhaltens (Hess, Henner 2015). Der Lösungsansatz der sozialen Kontrolle setzt voraus, dass die Anwohner sich für ihr Umfeld mitverantwortlich fühlen und im Fall des Falles Zivilcourage aufbringen. Voraussetzung dafür ist, dass sie sich mit dem Gebiet, in dem sie wohnen, identifizieren und sich damit auseinandersetzen. Die Förderung der persönlichen Identifikation mit dem Lebensgebiet fördert die Bereitschaft zur Verantwortung (Schenk und Popovich 2012). Dabei muss die soziale Balance gewahrt sein. Ghettoisierung und Isolation von sozialen Gruppen oder Ethnien führen eben gerade nicht zur Möglichkeit der sozialen Kontrolle, sondern häufig zur Ausbildung von polizeilichen Brennpunkten (Hiller 2010). Studien haben auch ergeben, dass instand gehaltene und reine Flächen und Gebäude als sicherer empfunden werden, da Beschädigung die Anwesenheit von Gewalt suggeriert. Wenn Verschmutzungen, Müll und Vandalismusschäden rasch beseitigt werden, beugt das dem Eindruck von Verwahrlosung vor. Das subjektive Sicherheitsgefühl wird dadurch erhöht (Prosser 2017). Zur erfolgreichen Umsetzung der notwendigen Maßnahmen ist es erforderlich, die entsprechenden Rahmenbedingungen zu schaffen.

9 Umsetzung baulicher Maßnahmen Durch bauliche und gestalterische Maßnahmen können als gefährlich wahrgenommene öffentliche Räume, in denen sich Straftaten, unerwünschte Verhaltensweisen und Unordnungszustände häufen, verbessert werden. Dabei geht es auch um die Beseitigung subjektiv empfundener Angsträume. Menschen meiden zum Beispiel häufig unbeleuchtete Unterführungen und Gassen sowie enge, verwinkelte Parkhäuser. Anfang der 1970er-Jahre hat der US-amerikanische Architekt und Städteplaner Oscar Newman die Theorie des Schutz bietenden Raumes („Defensible Space Theory“) aufgestellt (vgl. zum Beispiel Niedersächsisches Ministerium für Soziales, Frauen, Familie und Gesundheit 2005). Danach soll ein Raum geplant werden mit • realen und symbolischen Barrieren • einem planerisch definierten Bereich der Einflussnahme durch die Bewohner • Gelegenheiten der natürlichen Überwachung und sozialen Kontrolle.

134

U. Gerstenberg

Aus diesen Kriterien leitet Newman vier Prinzipien der kriminalpräventiven ­Planung ab: • Prinzip 1: Territorialität Nach diesem Prinzip wird die Wohnumwelt zoniert und gegenüber Fremden durch reale oder symbolische Barrieren markiert. Das Prinzip der Territorialität fördert unter den Bewohnern die Verantwortung für den jeweiligen Raum. • Prinzip 2: Natürliche Überwachung Mit baulichen Mitteln soll eine natürliche Wachsamkeit in der Nachbarschaft erzeugt werden – zum Beispiel durch die Ausrichtung der Fenster zur Straße hin. So wird die soziale Kontrolle erleichtert und gefördert. • Prinzip 3: Image Durch ästhetisch ansprechende und akzeptierte Gebäudeformen und eine entsprechende Umfeldgestaltung lässt sich das Image eines Wohngebietes positiv beeinflussen. Ein positives Image zieht eine Steigerung der privaten Investitionen sowie des Engagements der Bewohnerschaft nach sich. • Prinzip 4: Milieu Dieses Prinzip fordert die städteplanerische Anordnung der Gebäude, ausgerichtet auf eine hohe soziale Kontrolle. Öffentliche Räume und Freiflächen im Wohnumfeld sollen nach den Kriterien Sichtbarkeit und Überschaubarkeit entworfen werden. Ein Defensible Space ist eine Wohnumwelt, die von ihren Bewohnern zur Verbesserung des Wohnens genutzt wird, während sie gleichzeitig Sicherheit für die Familien, Nachbarn und Freunde bietet. Es geht um eine Reihe von Mechanismen, die reale (Mauern, Zäune o.ä.) und symbolische (kleine Gärten, unterschiedliche Pflasterungen von Gehweg, Bürgersteig o.ä.) Grenzen und verbesserte Möglichkeiten zur Überwachung bieten (Dewerne 2001).

9.1 Videobewachung Videobewachung hilft dabei, Verbrechen aufzuklären, aber auch, diese zu verhindern. Um Straftäter abzuschrecken und Straftaten besser nachzuweisen, bedarf es einer Verstärkung der Videobewachung öffentlicher Plätze. Dabei sollten nicht nur Kriminalitätsbrennpunkte, sondern auch sogenannte Angsträume und öffentliche Großveranstaltungen, zum Beispiel Weihnachtsmärkte, generell in die Überwachung einbezogen werden.

Zukunft und Sicherheit

135

Dennoch muss das Ausmaß der Videobewachung immer wieder auch k­ ritisch hinterfragt werden. Bislang haben empirische Studien zur Videobewachung unterschiedliche Resultate gezeigt: Einige fanden heraus, dass Kriminalität nur verdrängt wurde, andere konnten auch in Nachbarschaftsgebieten einen Kriminalitätsrückgang verzeichnen, wiederum andere fanden beides oder zeigten überhaupt keine signifikanten Veränderungen (Kriminallexikon online 2006). Am ehesten tritt der Erfolg der Kriminalitätsreduktion auf Parkplätzen ein und vor allem dann, wenn die Videobewachung mit verbesserter Beleuchtung verbunden wird. Allerdings sind weniger die technischen Veränderungen für diesen Erfolg ursächlich als vielmehr die Tatsache, dass die Einführung dieser Maßnahmen deutlich macht, dass man sich um dieses Viertel, diesen Stadtteil oder diese Gegend kümmert. Dadurch wiederum werden der soziale Zusammenhang und die informelle soziale Kontrolle in diesem Viertel verstärkt, und dies ist nachweisbar ein besonders präventiver Faktor (Kriminallexikon online 2006). Allerdings kann die Videobewachung eine Verdrängung der Kriminalität aus den beobachteten Räumen in oftmals naheliegende, nicht überwachte Bereiche bewirken. Das subjektive Sicherheitsgefühl der Bevölkerung in beobachteten Gebieten ist angestiegen. Dies hat zur Folge, dass der Eindruck entsteht, die Gefahrensituation werde durch die Videobewachung technisch kontrolliert. Überwachung durch Personen stellt eine wichtige Alternative zu den formellen Instrumenten dar. Durch bauliche Mittel kann die Aufmerksamkeit in einer Nachbarschaft erhöht werden, wenn zum Beispiel die Fenster auf das Wohnumfeld gerichtet sind und damit Ereignisse auf der Straße von vielen „Augen und Ohren“ wahrgenommen werden können (Feltes 2016).

9.2 Ordnungs- und Sicherheitspräsenz Öffentliche Ordnungs- und Sicherheitspräsenz werden grundsätzlich gewährleistet durch die Polizei, die städtischen Ordnungsämter und private Sicherheitsunternehmen. Sichtbare Polizeipräsenz im öffentlichen Raum hat eine präventive Wirkung. Sie stärkt sowohl das subjektive Sicherheitsempfinden als auch die objektive Sicherheit. Inzwischen sind auch die Außendienstmitarbeiterinnen und -mitarbeiter der kommunalen Ordnungsdienste (KOD) flächendeckend im Einsatz. Auf Straßen, Plätzen, Grünanlagen und Spielplätzen überwachen sie die öffentliche Sicherheit und Ordnung in Ergänzung zur Polizei. Mit ihrer Präsenz und ihrem Handeln sorgen die Bediensteten der KOD dafür, dass die Sicherheit und Ordnung verbessert wird. Auch der gemeinsame Streifendienst aus Polizei und Ordnungsamt („Doppelstreife“) hat sich bewährt. Er sorgt für ein höheres

136

U. Gerstenberg

Sicherheitsgefühl, sowohl in der Innenstadt als auch in den Stadtteilen. Dabei geht er auch gegen aggressives Betteln und andere Belästigungen vor und trägt zu einer Steigerung des Sicherheitsgefühls bei. Qualifizierte private Sicherheitsunternehmen erbringen heute in erster Linie einen Beitrag für den betrieblichen und privaten Sicherheitsbereich und nehmen wenige Aufgaben im Rahmen des staatlichen Sicherheitsmonopols wahr. Da private Sicherheitsunternehmen insbesondere auf kommunaler Ebene aber einen gewichtigen Baustein auch im Gefüge der Sicherheitsstrukturen vor Ort darstellen (Deutscher Städtetag 2017), kann die Einbindung solcher Unternehmen in Maßnahmen im Rahmen der „sicheren Stadt“ angezeigt sein.

10 Community Policing Ein weiterer zielführender Ansatz ist das Community Policing, verstanden als eine stadtteilbezogene, an lokalen Problemlagen ausgerichtete, lösungsorientierte ­Polizei- und Präventionsarbeit. Die persönliche Nähe und Kontaktmöglichkeit zu den Bürgern und die Bewohnerorientierung sind wesentliche Elemente des Community Policing. Es wird deutlich gemacht, dass die potenziell betroffenen Bürger ernst genommen werden. Seitens der Stadt und der Polizei wird im Hinblick auf eine gelingende Sicherheitsproduktion zu den Bürgern Vertrauen aufgebaut ­(Krusche 2017). Die Polizei muss ihre Aufgaben flächendeckend gewährleisten. Dem steht in den letzten Jahren oft eine Stellenstagnation oder gar ein Stellenabbau entgegen. Nachdem die Kommunen sich zunehmend mit Projekten der Kriminalprävention an den gemeinsamen Bemühungen um verbesserte Sicherheitsstrukturen beteiligen, darf dies nicht mit einem Rückzug der Polizei aus der öffentlichen Präsenz einhergehen.

11 Konsequenz, Kontinuität und Glaubwürdigkeit Konsequenz, Kontinuität und Glaubwürdigkeit sind Bedingungen, ohne die eine dauerhaft sichere Stadt nicht zu verwirklichen sein wird. Und dennoch fallen sie der Politik, aber auch der Justiz unendlich schwer. Politiker denken in Legislaturperioden, Wahlkreisen, stimmenmaximierenden Projekten und medialer Aufmerksamkeit. Alle diese Faktoren sind Gegner einer Kontinuität (Perpetuierung). Als Perpetuierung werden die Aufrechterhaltung und Fortdauer einer Situation oder eines faktischen, sozialen oder rechtlichen Zustands bezeichnet. Der Erfolg und

Zukunft und Sicherheit

137

die Akzeptanz von Maßnahmen zur Sicherheit in den Städten werden wesentlich davon abhängen, dass sie von der Politik als dauerhaft begriffen werden. Es geht also nicht um schnelle Projekte, sondern um eine personelle und finanzielle Durchhaltefähigkeit. Auch im Rahmen der Gerichtsbarkeit ist häufig zu beobachten, dass die Strafen beziehungsweise persönlichen Einschränkungen, die verhängt werden, grotesk niedrig ausfallen und keine abschreckende Wirkung entfalten. Dies konterkariert die erfolgreiche Arbeit von Ordnungs- und Sicherheitskräften. Hier ist es wichtig, bestehende Gesetze konsequent anzuwenden und den gegebenen Strafrahmen auszuschöpfen. Politik und Politiker fokussieren zuweilen die Bekämpfung einiger Erscheinungsformen von Kriminalität, aber nicht deren Ursachen. Soziale Disparitäten, Exklusion, Armut und Arbeitslosigkeit stehen in engem Zusammenhang mit der Kriminalitätsentwicklung, was allerdings weder von der Bevölkerung noch von der Politik wahrgenommen wird. Die eingesetzten repressiven Mittel verstärken das Problem, und präventive Mittel richten sich gegen die Symptome, nicht aber gegen die Ursachen. Zu oft müssen Maßnahmen zudem als „symbolische Politik“ bezeichnet werden. Es existiert ein Kreislauf steigender Repressivität und Punitivität. Man überbietet sich gegenseitig, wer als Erster (und als Schnellster) einen Anlass nutzt, um politische Forderungen zu stellen. Hierzu wird aktuell jedes Gewaltereignis benutzt. Eine „symbolische Politik“ beseitigt weder Kriminalität noch die ihr zugrunde liegenden sozialen Probleme. Sie schafft und verstärkt beides. Dabei werden die sozialen Folgen und Kosten von Kriminalität, ebenso wie die sozialen Ursachen und die Zusammenhänge, unterschätzt. Glaubwürdigkeit und ein korrektes Adressieren der Ursachen anstelle von „Symbolpolitik“ ist daher entscheidend für die Schaffung einer (näherungsweise) sicheren Stadt.

12 Vernetzter Ansatz in den Verwaltungen Das aus dem militärischen Bereich bekannte Konzept des vernetzten Ansatzes kann auch bei einem Konzept der sicheren Stadt wertvolle Dienste leisten. Häufig ist es so, dass zum Beispiel von einer räumlichen oder baulichen Maßnahme in der Stadt im Zeitverlauf mehrere Ämter (wie Ordnungsamt, Grünflächenamt, Stadtplanungsamt, Jugendamt, Umweltamt usw.) und Institutionen betroffen sind, diese aber weder einbezogen noch vernetzt werden. Maßnahmen im Rahmen einer „sicheren Stadt“ werden in Ämterzuständigkeit gesehen. Das ist nicht zielführend. Zu Beginn eines Konzeptes zu Maßnahmen im Rahmen der „sicheren

138

U. Gerstenberg

Stadt“ sollte daher eine „Working Group“ aus betroffenen Ämtern, der Polizei und wichtigen zivilgesellschaftlichen Institutionen gebildet werden, die regelmäßig auch kurzfristig mit entscheidungsbefugten Vertretern zusammengerufen werden kann. Diese „Working Group“ entscheidet fortlaufend gemeinsam über Planung, Durchführung und Betrieb von Maßnahmen zur „sicheren Stadt“. Die Gruppe wird geleitet von einem Vorsitzenden, der keinem der teilnehmenden Ämter und Institutionen angehört, daher keine eigenen Interessen und Agenden hat und somit als „ehrlicher Makler“ auftreten kann. Dieser Vorsitzende kann nicht aus der Verwaltung selbst kommen, sondern sollte befristet (zum Beispiel zweimal vier Jahre) von außerhalb besetzt werden. Hierfür sollte eine vertragliche Tätigkeitsbindung und kein Dienstposten geschaffen werden, um Bewerber aus der Verwaltung mit den üblichen Bewerbungsverfahren und Karrierewegen auszuschließen.

13 Korrekte und vollständige Information Die Sorge, persönlich durch Kriminalität gefährdet zu sein, nimmt seit Jahren auffallend zu (Köcher 2016). Vor sieben Jahren fühlten sich noch zwei Drittel sicher; 26 % machten sich Sorgen, sie könnten Opfer eines Verbrechens werden. 2014 lag dieser Anteil bereits bei 45 %, 2017 bei 51 %. Der Anteil der Männer, die aus Sorge vor Übergriffen bestimmte Gebiete meiden, ist in den letzten zehn Jahren von 23 auf 30 % gestiegen, bei Frauen von 42 auf 56 %. Dieselbe Entwicklung zeigt sich bei den generellen Sorgen, Opfer eines Verbrechens zu werden. Noch vor sieben Jahren fühlten sich 71 % der Männer und 60 % der Frauen weitgehend sicher. 2017 haben noch 54 % der Männer, aber nur 37 % der Frauen dieses Gefühl. In den vergangenen Jahren ist mithin das subjektive Sicherheitsempfinden tendenziell gesunken – nicht zuletzt aufgrund von Informationen, die über Medien und Social Media täglich verbreitet werden. Auch Gerüchte und Geschichten über „berüchtigte“ Stadtteile, Straßen und Plätze tragen dazu bei, dass Menschen sich an bestimmten Orten unsicher fühlen. Korrekte und vollständige Informationen sind deshalb wichtig, weil Menschen dazu neigen, zu verallgemeinern und das Schlechteste anzunehmen, wenn sie keine oder zu wenige Informationen erhalten.

Zukunft und Sicherheit

139

14 Die Zukunft wird Smart City Während sich der Begriff der öffentlichen Sicherheit heute noch stark auf die Unversehrtheit der Bürger und der öffentlichen Infrastruktur begrenzt und eng mit Begriffen wie Polizei, Feuerwehr und Gesundheitswesen verknüpft ist, weitet sich der Sicherheitsbegriff in Zukunft auch auf den Schutz der neu geschaffenen und alles verbindenden Kommunikationsinfrastruktur aus (www.fokus.fraunhofer.de, 2018). In intelligenten Städten lässt er sich daher in zwei Kategorien einordnen: zum einen in die unmittelbare Sicherheit von Bürgern und Versorgungseinrichtungen und zum anderen in die Sicherheit beziehungsweise Funktionsfähigkeit der allesdurchdringenden Informationsund Kommunikationsinfrastrukturen. Die Vorteile einer vernetzten, stadtübergreifenden Kommunikationsinfrastruktur bergen das Risiko der Verletzbarkeit mit unmittelbaren Auswirkungen auf essenzielle Bereiche der städtischen Infrastrukturen (www.ict-smart-cities-center.com). Diese Infrastrukturen gilt es zu schützen. In diesem Zusammenhang ist das Konzept der Smart City von Bedeutung. Smart City ist ein Begriff, der seit den 2000er-Jahren von unterschiedlichen Akteuren in Politik, Wirtschaft, Verwaltung und Stadtplanung verwendet wird, um technologiebasierte Veränderungen und Innovationen in urbanen Räumen zusammenzufassen. Die Idee der Smart City geht mit der Nutzbarmachung digitaler Technologien einher und stellt zugleich eine Reaktion auf die wirtschaftlichen, sozialen und politischen Herausforderungen dar. Mit der steigenden Urbanisierung wachsen entsprechende urbane Infrastrukturen heran und in Verbindung mit der fortschreitenden Digitalisierung auch die Chancen für Effizienzsteigerungen. Durch die zunehmende Verbreitung von Informations- und Kommunikationstechnologien (IKT) können physische und digitale Infrastrukturen vernetzt werden, sodass eine effizientere Nutzung von Ressourcen ermöglicht werden kann (www.adelphi.de, 2018). Die Smart-City-­ Debatte schlägt somit die Brücke zwischen den beiden Herausforderungen: Dem Anwachsen urbaner Infrastrukturen und dem nachhaltigen Umgang mit Ressourcen. Für eine sichere Stadt ist damit heute auch die Frage entscheidend: Wie werden kritische Infrastrukturen wie Strom, IKT, Wasserkraft und Notfallversorgung geschützt? Gerade in Zeiten des Internets spielt auch Cybercrime eine immer größere Rolle (www.adelphi.de, 2018).

140

U. Gerstenberg

15 Fazit Wir leben in einer globalen Welt mit einer exponentiellen Entwicklung. Die Zyklen der Entwicklungen werden immer kürzer, es ist eine Frage der Ressourcen und Finanzen. Die Herausforderungen sind vielfältig und variabel. Die damit einhergehenden Risiken sind vielfältig und reichen vom Staatenzerfall und den damit verbundenen Konflikten über Naturkatastrophen und Wetterphänomenen, Bevölkerungsentwicklung und Staatsschuldenkrise bis hin zu Terrorismus, Extremismus und Kriminalität. Zusammenfassung Im vorliegenden Beitrag „Die Herausforderung an die Sicherheit in den Transformationsprozessen von Wirtschaft und Gesellschaft“ aus Mai 2018 beschreibt Uwe Gerstenberg anschaulich die Transformationsentwicklungen in unserer Gesellschaft und im Speziellen die damit verbundenen Herausforderungen an Politik und Wirtschaft im Kontext mit den viralen Gegebenheiten. Einleitend wird deutlich gemacht, dass das Produkt Sicherheit nicht allein Aufgabe des Staates sein kann, vielmehr sich eine vernetzende Aufgabenteilung zwischen staatlichen und privaten Sicherheitsdienstleistungen etablieren muss. Anhand beschriebener Entwicklungen auf dem Sektor der Bankenwirtschaft und im Bereich der Sicherheitsarchitektur am Beispiel einer deutschen Großstadt wird verdeutlicht, dass die dynamischen virealen Entwicklungen und Anforderungen an die Sicherheitsstruktur, insbesondere unter Berücksichtigung gesellschaftlicher Umbrüche, den Herausforderungen des internationalen Terrorismus und dem zu erkennenden Rechtspopulismus angepasst werden müssen, um das Sicherheitsbedürfnis in der Gesellschaft zu optimieren. Kernaussage ist, dass die Polizei zwar das Gewaltmonopol hat, aber nicht das Sicherheitsmonopol. Und gerade wegen wachsender Aufgaben und knapper Haushaltskassen ist es wichtig und richtig, dass immer mehr Aufgaben privatisiert werden müssen. In diesem Zusammenhang wird auch auf die verwaltungstechnischen Zuständigkeiten privater Sicherheitsdienste in Deutschland eingegangen. Uwe Gerstenberg stellt fest, dass in Deutschland und Österreich die privaten Sicherheitsdienste der Gewerbeordnung und somit den Wirtschaftsbehörden unterliegen. Seine Forderung ist es, dass wie bei allen anderen EU-Staaten hier eine Anbindung an das Innenministerium erreicht werden muss, um den bedeutenden Stellenwert der Sicherheitswirtschaft in der Sicherheitsarchitektur in Deutschland zu dokumentieren.

Zukunft und Sicherheit

141

In Abschn. 4 beschreibt Uwe Gerstenberg den von ihm entwickelten Begriff vireal und stellt die These auf, dass die Sicherheitsstrukturen der Sicherheitsbehörden und der privaten Sicherheitswirtschaft überfordert und noch längst nicht zukunftsweisend vorbereitet sind. Dabei spielten auch die Gesetzgebung und die auf Grundlage der Bewachungsverordnung festgeschriebenen Mindestanforderungen an private Sicherheitsmitarbeiter eine wesentliche Rolle. Dennoch dürfen diese Tatsachen nicht zu Resignation führen. Uwe Gerstenberg appelliert dazu, dass sich Branchen- und Sicherheitsexperten in einem modernen Netzwerk verbinden, um je nach Schadensereignis den notwendigen interdisziplinären Sachverstand, die modernste Technik und die erforderliche Umsetzungskompetenz schnellstmöglich zu bündeln. Darüber hinaus wird auch auf die Frage eingegangen, welche technischen Innovationen es ermöglichen, frühzeitig mögliche Risiken und Bedrohungen für Unternehmen und Organisationen zu erkennen. Um den wechselseitigen Anforderungen gerecht zu werden, ist es für Uwe Gerstenberg wesentlich, dass sich Wirtschaftsunternehmen im Allgemeinen und kleine mittelständige Unternehmen (KMU) im Besonderen auf ihre Kernkompetenzen konzentrieren. Dies bedeutet ein Outsourcing für Fragen der Sicherheit an die Experten für Sicherheit. Von Informationsbeschaffung über Konkurrenzunternehmen bis hin zum Krisen- und Reputationsmanagement wird beschrieben, wie ein kreatives Sicherheitskonzept unter Berücksichtigung der Elemente Bewusstseinsbildung, Zielsetzung, Organisation, Umsetzung und Verankerung in Unternehmen individuell und nachhaltig eingeführt werden kann.

Literatur Das Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS. (2018). Fraunhofer FOKUS. www.fraunhofer.de. Zugegriffen: 18. Mai 2018. Deutscher Mieterbund e. V. (2014). Sicher wohnen. MieterZeitung, S. 8 ff. Deutscher Städtetag. (2017). Sicherheit und Ordnung in der Stadt (S. 23). Berlin: Deutscher Städtetag. Dewerne, Y. (2001). Defensible space. Hagen: FernUniversität Hagen, Institut für Psychologie. Feltes, T. (2016). Rechtliche Hürden für polizeiliche Videoübrwachung senken – Mehr Sicherheit ermöglichen. Stellungnahme zur Öffentlichen Anhörung im Landtag Nordrhein-Westfalen. Düsseldorf. Hess, H. (2015). Die Erfindung des Verbrechens. Berlin: Springer. Hiller, K. (2010). Sicherheit im Stadtquartier – Angsträume und Präventionsmaßnahmen. Stuttgart: Landeskriminalamt Baden-Württemberg.

142

U. Gerstenberg

Hirn, W., & Hütte, C. (Oktober 2017). Das Jahr des Frosches. manager magazin, S. 100–106. Kahlenborn, W. (2018). adelphi. www.adeplhi.de. Zugegriffen: 21. Mai 2018. Köcher, R. (2016). Die diffusen Ängste der Deutschen. Frankfurter Allgemeine. Kriminallexikon online. (2006). KrimLex. www.krimlex.de. Zugegriffen: 18. Mai 2018. Krusche, J. (2017). Die ambivalente Stadt – Gegenwart und Zukunft des öffentlichen Raums. Berlin: Jovis. Niedersächsisches Ministerium für Soziales, Frauen, Familie und Gesundheit. (2005). Sicheres Wohnquartier – Gute Nachbarschaft, Handreichung zur Förderung der Kriminalprävention im Städtebau und in der Wohnungsbewirtschaftung. Hannover: Niedersächs. Innenmin. Olschok, H. (2017). Bundesverband der Sicherheitswirtschaft. www.bdsw.de. Zugegriffen: 25. Mai 2018. Pahle-Franzen, U. (2011). Stadt als Angstraum. Untersuchungen zu rechtsextremen Szenen am Beispiel einer Großstadt. Karlsruhe: Karlsruher Institut für Technologie (KIT). Prosser, S. (27. 03. 2017). Stadtmarketing Austria. www.stadtmarketing.eu/sichere-stadt/. Zugegriffen: 18. Mai 2018. Schrenk, M., & Popovich, V. (2012). Re-Mixing the city. Towards sustainability and resilience? Schwechat (AUT): CORP – Competence Center of Urban and Regional Planning. Stadt Wuppertal. (2015). Angstraumkonzept. Wuppertal: Stadt Wupptertal. Verbundprojekt transit. (2015). Sicherheit im Wohnumfeld – Gegenüberstellung von Angsträumen und Gefahrenorten. Hannover: Landeskriminalamt Niedersachen. Wellershoff, M. (Januar 2017). Die Deutschen haben Angst. Spiegel, S. 12.

Digitaler Wandel und Corporate Security, oder: Wieso ein CSO Technologiescout sein sollte, um erfolgreich zu sein Jan Wolter

Vorwort Im Januar 2016 hatte der ASW Bundesverband ein Whitepaper veröffentlicht, das Digitalisierung und Vernetzung sowie asymmetrische Bedrohung und hybride Kriegsführung als globale Megatrends auswies – und deren hohe Bedeutung für die Sicherheit deutscher Unternehmen unterstrich. Diese Analyse ist auch heute noch zutreffend, die Dramatik dürfte sich gleichwohl weiter verschärft haben. So nimmt die Vernetzung digitaler Geräte weiter zu. In den letzten zwei Jahren haben bedeutende Cyber-Attacken wie WannaCry die Verwundbarkeit auch kritischer Infrastrukturen gezeigt. Mit der „digitalen Fabrik“, dem (teil)autonomen Fahren und dem „smart Home“ steigt die digitale Verwundbarkeit unserer Gesellschaft dramatisch an. Gleichzeitig hat der Fall Cambridge Analytica noch eine weitere Art der Verwundbarkeit offengelegt: die Möglichkeit ganze Gesellschaftsgruppen oder womöglich ganze Gesellschaften zu manipulieren – über die sogenannten sozialen Netzwerke. Es war auf dem Deutschen Sicherheitstag 2015, als der Schriftsteller Karl Olsberg eindrucksvoll aufzeigte, wie technologische Entwicklungen zunächst überschätzt und schließlich dramatisch unterschätzt werden. So verläuft die digitale Entwicklung exponentiell, der Mensch jedoch ist evolutionär darauf trainiert, Entwicklungen linear zu sehen und zu prognostizieren. Damit wird zu Beginn mehr erwartet als technologisch leistbar, es entsteht daraufhin eine gewisse Ernüchterung, und schließlich hechelt man den Neuerungen hinterher. An dieser Schwelle stehen wir gerade. J. Wolter (*)  Complexium GmbH, Berlin, Deutschland E-Mail: [email protected] © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_7

143

144

J. Wolter

1 Technologischer Wandel Wenn wir glauben, der technologische Wandel in den vergangenen Jahren hätte sich schnell vollzogen, dann irren wir. Wie die Technology Review vor einem Jahr zeigte, verbreiteten sich TV-Geräte „deutlich schneller als Computer – mit massiven Auswirkungen für Kinos, Theater, Zeitungen oder Radiosender. Ähnliches gilt jedoch auch für Privatautos, das Telefon oder die Waschmaschine.“ Doch schon das Mobiltelefon verbreitete sich mit einer deutlich höheren Geschwindigkeit. Die Rechenleistung auf Smartphones steigt rapide. Die verwendete Software ist dabei so komplex, dass sie praktisch niemand mehr versteht. Daher trudeln täglich Updates ein, die Schwachstellen flicken sollen, nur um gleich wieder neue aufzureißen. Die technischen Möglichkeiten, die einem die kleinen, mit Sensoren vollgestopften Geräte verschaffen, steigen rasant an, zumal immer schnellere Onlineverbindungen möglich werden und der Cloud damit enorme Rechenleistungen zur Verfügung stehen. Allein die Möglichkeiten, die sich aus den hochgerüsteten Kameras in Smartphones oder Drohnen in Kombination mit modernen Grafikkarten und aktueller Software ergeben, sind beeindruckend.

2 Gesellschaftlicher Wandel Der technologische Wandel hat auch einen massiven Einfluss auf unsere Gesellschaft. Dabei ist es ein Irrglaube, die sogenannten „Digital Natives“ würden die modernen Technologien besser verstehen oder könnten sicherer damit umgehen als vorherige Generationen. Nur weil ein zweijähriges Kind sich mittels Wischbewegung Bilder auf einem iPad anschauen kann, bedeutete es nicht, dass es in den nächsten Jahren schneller die dahinterstehende Technologie begreift als ein 40- oder 50-Jähriger. Das Gegenteil könnte der Fall sein. Vor 15 Jahren haben Jugendliche Computer noch selber zusammengesteckt und auch mal selbst gelötet. Ein Smartphone oder Tablet, ja selbst einen Laptop, baut heute kaum ein Jugendlicher noch auseinander. Hochtechnologie wird zum Wegwerfprodukt. Über die ökologische Komponente wollen wir hier gar nicht sprechen. Gedanken um die Auswirkungen bei der Anwendung der zahllosen – vermeintlich (!) kostenfreien – Apps dürfte sich nur ein Bruchteil der Jugendlichen machen. Das Sicherheitsverständnis der Generation „Digital Natives“ dürfte

Digitaler Wandel und Corporate Security, oder: Wieso ein CSO …

145

kaum höher sein als das der vorherigen Generation oder der davor. Ich würde eher auf das Gegenteil wetten. So wird von Jugendlichen und jungen Erwachsenen jedes Essen abfotografiert, ein hübscher Filter darübergelegt und dann gepostet. Gleiches gilt für praktisch jeden Moment, den man für halbwegs interessant hält. Alexa vertrauen wir unsere Wünsche bereitwillig an, und Google fragen wir, was bestimmte Krankheitssymptome bedeuten könnten. Es ist uns zu anstrengend geworden, etwas nachzuschlagen, eine Route selbst zu planen, einen Busfahrplan zu lesen oder sich für eine konkrete Zeit an einem konkreten Ort zu verabreden. Wir wollen nicht mehr einkaufen gehen oder unsere Lebensmittel selber nach Hause tragen. Wir versuchen auch, unseren Kontakt mit Menschen zu reduzieren, weshalb wir lieber über eine App etwas bestellen, einen Tisch reservieren oder einen Termin ausmachen, statt zu telefonieren. Gleichzeitig versuchen wir, mit unglaublich vielen Menschen „in Kontakt“ zu bleiben, was manch einem mehr als 1000 „Freunde“ beschert. Natürlich ist es unmöglich, einen echten Kontakt mit 100 oder mehr Menschen zu pflegen. Und so streut man sein gesamtes Leben in Form von Bildern und Kommentaren einfach an alle, erhält umgekehrt einen entsprechend großen Datenstrom, den man selbst kaum bewältigen kann. Daher bieten digitale Helfer einem bereits an, selbstständig die passenden Fotos zu machen, zu posten und den „Dialog“ mit seinen Kontakten zu managen, indem eigenständig Geburtstagsnachrichten verschickt – oder zumindest vorgeschlagen – werden. Auch die passenden Geschenke sucht der digitale Helfer aus, denn er kennt ja die Sorgen und Sehnsüchte besser als man selbst. Das komplette „Freunde-Management“ wird gewissermaßen an digitale Helfer outgesourct.

2.1 Drei Faktoren Schaut man sich den technologischen und gesellschaftlichen Wandeln näher an und möchte daraus eine Prognose ableiten, so müssen drei zentrale Faktoren berücksichtigt werden: 1. die Macht der Daten, 2. die Beliebigkeiten von Information, 3. die Potenz der Maschinen. Diese drei Faktoren wollen wir uns im Folgenden näher ansehen.

146

J. Wolter

3 Die Macht der Daten Die Diskussion um eine mögliche Einflussnahme Russlands auf die US-amerikanischen Wahlen durch gezielte Manipulation von Wählern hat ein Schlaglicht auf die Möglichkeiten und Machtfülle geworfen, die Facebook und Co. besitzen.

3.1 Grenzenlose Datenfülle Wie das Video „Monologue oft the Algorithm“, das auf dem Videoportal vimeo zu sehen ist, eindrucksvoll zeigt, ist die Informationsdichte von Facebook geradezu atemberaubend. Der Zugriff auf IP-Adressen, W-LAN-Informationen, GPS-Daten, besuchten Webseiten, die Analyse von Bildern und Texten geben ein nahezu lückenloses Bild der Nutzer. Welche Telefone zusammen schlafen, mit wem man in Urlaub fährt oder an einem beruflichen Projekt arbeitet, politische und sexuelle Präferenzen, Vermögensverhältnisse, Zahlungsbereitschaft: All das kann aus dem Datenstrom herausgelesen werden. Durch eine Analyse der Familien- und Freundschaftsverhältnisse, den Browserverlauf (werden Vergleichsportale aufgesucht, wird sofort gekauft, …), Keyword-Analyse etc. wird der Mensch vollständig gläsern. Selbst der eigene Psychiater wüsste nach jahrelanger Therapie vermutlich weniger über einen Menschen als Facebook nach einem Monat intensiver Nutzung. Das Wissen von Alphabet/Google dürfte kaum geringer sein. Wer die Suchmaschine, Google-Maps und ein Android-Smartphone nutzt, vielleicht noch YouTube schaut oder Gmail verwendet, breitet praktisch sein gesamtes Leben mit allen Wünschen, Hoffnungen und Ängsten vor einem amerikanischen Konzern aus. Und zu glauben, man wäre bei Facebook oder Google Kunde, ist reichlich naiv. Man ist nicht Kunde, man ist das Produkt, das anderen Konzernen angeboten wird. In einem Interview sagte ein Google-Mitarbeiter, die Menschen würden durch die Google-Brille intelligenter, denn darüber könnten sie mehr Informationen erlangen. Eine geradezu obskure Auffassung von Intelligenz. Intelligenter werden die Suchmaschinen, die noch mehr Informationen über uns verarbeiten können. Die allermeisten Menschen haben noch nicht begriffen, welche Macht hinter den Daten liegt. Kredite werden bereits heute zum Teil aufgrund von Berechnungen, die sich aus Daten aus dem Netz ergeben, vergeben. Was kauft der Mensch und wo? Wie viele Freunde hat er bei Facebook? Hat er Blogs? Was schreibt er da? Wer sind seine Facebook-Freunde? Was bedeutet das für Unternehmen und deren Sicherheit? Wenn Suchmaschinen so viel über Einzelpersonen wissen, was wissen sie dann über Unternehmen? Wo sucht der Einkäufer nach möglichen Lieferanten? Wird nach

Digitaler Wandel und Corporate Security, oder: Wieso ein CSO …

147

Lösungen über IT-Probleme nicht mit derselben Suchmaschine gesucht? Was macht die Entwicklungsabteilung, wenn sie neue Ideen hat und Impulse aus dem Netz sucht? Werden Firmeninterna an eine private E-Mail-Adresse geschickt, von einem Anbieter, der alle E-Mails samt Anlagen mitliest? Wenn geheime Verhandlungen mit potenziellen Partnern geführt oder neue Märkte erkundet werden, nimmt man dann ein Handy mit, dessen Software eventuell den Standort weitergibt? Und die Kontaktdaten der neuen Partner werden auf einem Handy gespeichert, das diese Daten gleich ausliest und weiterleitet? Amazon hat es geschafft, dass sich Menschen eine Wanze in ihre Wohn- und Schlafzimmer stellen – und dafür sogar bezahlen. Diese Geräte hören alles mit – was sie mit den Informationen machen? Möglich ist erschreckend viel. Die gesammelten Daten werden in jedem Fall gewinnmaximierend eingesetzt. Zu welchem Zweck, dürfte den Konzernen Facebook, Google oder Amazon dabei reichlich egal sein. Die Gefahr des Missbrauchs ist immens, zumal Daten auch unkontrolliert abfließen können. Beispiele gab es davon bei Facebook in den zurückliegenden Monaten mehr als genug. China nutzt die über seine Bürger gesammelten Daten ebenfalls – und die Datendichte steigt rasant an. Kaum ein Quadratmeter öffentlicher Raum, der nicht von hochauflösenden Kameras überwacht wird, die mit Gesichtserkennung ausgestattet sind. Die Videos laufen über Datenbanken und werden mit gesuchten Personen abgeglichen. Somit wird offline fortgesetzt, was online lückenlos stattfindet: die totale Überwachung. Jeder Schritt im Netz wird dokumentiert und analysiert. Nach dem „falschen“ Begriff gesucht, das „falsche“ Bild gepostet? Dann wird es schwer, den nächsten Kredit zu bekommen oder befördert zu werden.

3.2 Informationen werden gesteuert Facebook hat einmal in einem kleinen Feldversuch die Kommentare der Freunde anders angeordnet und konnte im Vergleich zu einer Kontrollgruppe Verhaltensänderungen feststellen. Eigentlich kein überraschendes Ergebnis – und dennoch gruselig. Denn hier wird deutlich, welche Macht Digitalkonzerne haben. Nach welchen Kriterien werden Informationen gerankt? Irgendwie müssen sie sortiert werden, und bei dem wachsenden Datenstrom müssen auch Nutzer sozialer Medien irgendwie den Überblick behalten können. Da sind Sortierungen, Rankings, Filter unumgänglich. Doch wie und nach welchen Kriterien gehen die Konzerne dabei vor. Wie viel von ihren Methoden geben sie preis? Wenn potenzielle Kunden im Web nach Produkten suchen, ist es für einen (Online-)Shop entscheidend, ob er unter den ersten fünf Treffern bei Google ­landet.

148

J. Wolter

Was, wenn Alphabet hier eigene Produkte anbietet? Für einen Politiker kann es gegebenenfalls wahlentscheidend sein, ob sich unter den zuerst angezeigt Artikeln zu seiner Person eher positive oder negative Meldungen wiederfinden. Was wenn dieser Mensch besonders kritisch gegenüber Internetriesen eingestellt ist? Ohne Frage sind auch Zeitungen und Zeitschriften, Radiosender und TV-­ Nachrichten nicht vollständig objektiv. Aber wenn ich am Kiosk die Schlagzeile der FAZ lese, sehe ich auch die der Süddeutschen. Darüber hinaus weiß ich, welchem Medium ich mich „ausliefere“, wenn ich diesen oder jenen Sender höre/ sehe oder eine bestimmte Zeitung abonniere. Eine Plattform wie Google oder Facebook erscheint jedoch in neutralem Gewandt. Wer also Meinungsvielfalt sucht und mit dieser Motivation genannte Plattformen zur Meinungsbildung aufsucht, könnte an der falschen Adresse sein. Besonders gefährlich bei Plattformen wie Facebook sind zielgruppenspezifische Werbekampagnen, auch Microtrageting genannt. Sie sind ein hocheffizientes Mittel, um mit kleinem Budget große Wirkung zu erzielen, indem Streuverluste vermieden werden können. So ist sicherlich nichts dagegen zu sagen, wenn zur Verkehrserziehung gezielt junge Menschen angesprochen werden können, die gerade ihren Führerschein gemacht haben oder wenn Selbsthilfegruppen Menschen erreichen, denen sonst nicht geholfen werden könnte. Doch wie bei jeder Technologie gibt es auch hier eine Schattenseite. So können nicht nur Rechtsextreme einfacher ihre Truppen mobilisieren und gezielt ihre menschenverachtende Ideologie oder passende Produkte dazu vermarkten. Es kann auch eine gezielte politische Einflussnahme stattfinden, von der die breite Öffentlichkeit nichts erfährt. Eine Partei könnte in den breiten Medien und bei offenen Veranstaltungen als konservativ auftreten und gleichzeitig eine rechtsextreme Klientel gezielt und verdeckt ansprechen. Damit wird einer öffentlichen Diskussion aus dem Weg gegangen, für die Demokratie ist das gefährlich. Genauso gefährlich kann dies aber auch für Unternehmen sein, wenn über sie schädliche Informationen gezielt und verdeckt in Umlauf gebracht werden.

3.3 Datenmissbrauch für jedermann Die Daten, über die Facebook und Google verfügen, werden nicht zwangsläufig verkauft. Doch der gezielte Zugang zum Kunden wird verkauft. Wie oben beschrieben, sind die Nutzer von Google und Facebook das Produkt. Somit könnte ich mir einen Pool an Menschen kaufen, die kritisch einer bestimmten Marke gegenüberstehen und diese weiter anstacheln. Oder ich suche mir eine bestimmte Gruppe von Menschen, die ein bestimmtes Unternehmen gut finden, und versuche, sie gezielt umzustimmen.

Digitaler Wandel und Corporate Security, oder: Wieso ein CSO …

149

Ein Angreifer kann auch auf XING oder LinkedIn gezielt nach Mitarbeitern eines Unternehmens suchen, die Prokura besitzen oder in der Entwicklungsabteilung arbeiten oder an einem bestimmten Projekt oder in einer bestimmten Region oder, oder, oder … Eine grobe Analyse seines weiteren Profils, vielleicht seines Twitter- oder Facebook-Accounts, geben ausreichend Ansatzpunkte für eine vielversprechende Kontaktanbahnung. Ist der Entwickler ein Mensch, der auf Druck reagiert, vielleicht etwas ängstlich? Ist der Vertriebler sehr extrovertiert? Hat er bestimmte Vorlieben? Mit welchen Themen befasst sich der Regionalleiter, und kann ich darüber eine Brücke aufbauen? Social Engineering ist eine Waffe, die durch die „Sozialen Medien“ deutlich an Munition gewonnen hat und sich wesentlich leichter anwenden lässt.

4 Die Beliebigkeit von Information 4.1 Falschinformationen überschwemmen das Netz Nicht nur die Flut an Informationen hat massiv zugenommen. Gleichzeitig ist die Qualität rapide gesunken. Ohne Zweifel gibt es weiterhin guten Investigativ-Journalismus und unzählige gute Beiträge von privater Seite. Gleichzeitig jedoch verdient eine ganze Kleinstadt in Mazedonien an der Produktion von Fake News – wie die Presse bereits vor vielen Monaten zu berichten wusste. Fake News sind offenkundig ein Geschäftsmodell, mit dem sich viel verdienen lässt. Doch auch politisch hat Desinformation eine hohe Bedeutung, wie die Troll-Fabriken des Kremls zeigen. Und auch hierzulande ist das zu spüren. Dabei sind es nicht nur ausländische Mächte, die – wie im Fall um die angeblich entführte Lisa – ihr Spiel mit der öffentlichen Meinung treiben. Auch deutsche Gruppierungen bedienen sich fleißig dem Mittel der Desinformation, das beinhaltet das Streuen erfundener, falscher oder halbwahrer Nachrichten, aber auch das gezielte Verbreiten echter, vertraulicher Informationen (Leaks). Nicht jede Desinformation basiert auf einer Lüge.

4.2 Desinformation bedroht Unternehmen Die Sicherheitsstudie #Desinformation (2017) macht deutlich, dass auch Unternehmen – und nicht nur die Politik – einer Bedrohung durch Desinformation gegenüberstehen. Das zeigen nicht zuletzt die im Rahmen genannter Studie durchgeführten Interviews. Dabei wurde zudem deutlich, dass Unternehmen zwar Opfer von ­Desinformation(skampagnen) wurden, dabei mitunter aber gar nicht das eigentliche Ziel waren – sondern vielmehr Mittel zum Zweck.

150

J. Wolter

Hier ist auch ein kritischer Blick auf die Medien und Nichtregierungsorganisationen (NGO) notwendig. So geraten Unternehmen schnell in den Fokus der Berichterstattung mit einer skandalisierenden oder zumindest dramatisierenden Note. Handfeste Fakten werden dabei schnell zur Nebensache. Auch Aktivistengruppen oder NGOs haben ein Interesse daran, Sachverhalte in ihrem Sinne darzustellen. Sie sind nicht objektiv und verfolgen oftmals selbst wirtschaftliche Interessen. Um Spendengelder zu generieren, helfen dramatisierte Zahlen oder Bilder mehr als die manchmal vielleicht recht nüchterne Wahrheit. In diesem Kontext bietet jeder große, bekannte Konzern mehr Reibungsfläche und garantiert größere Aufmerksamkeit als ein kleinerer Zulieferer oder Abnehmer, der vielleicht der eigentliche Schuldige an einem Vorfall ist. So werden Geschichten geschrieben, die zwar sehr nah der Wahrheit sein mögen, aber am Kern der Sache dann doch vorbeigehen – zum Schaden schuldloser Unternehmen. Für eine höhere Auflage oder mehr Spendengelder werden Konzerne etwa zu Lieferanten des IS oder zu Verantwortlichen für Umweltverschmutzungen oder Unfälle, bei denen zwar ihre Produkte im Spiel waren, die Verantwortung jedoch bei jemand anderem lag.

Digitaler Wandel und Corporate Security, oder: Wieso ein CSO …

151

Gerade große NGOs sind sehr medienaffin, bestens in den sozialen Medien vernetzt und genießen dort eine hohe Reputation. Die Auswirkungen solcher „scripted reality“ bekommen damit eine größere Dramatik als noch vor wenigen Jahren. Mit der Vielzahl unterschiedlicher Meinungen und vermeintlicher Fakten entsteht auch eine gewisse „Faktenbeliebigkeit“. Gerade für Anbieter, die sich beispielsweise durch hohe Umwelt- oder Arbeitsstandards abheben möchten und dafür auch höhere Preise verlangen, entsteht eine besondere Gefahr. Werden entsprechende Zweifel gesät, kann beim Kunden schnell ein Gefühl entstehen, dass „die“ sowieso alle wahlweise „betrügen“, „ausbeuten“, „die Umwelt vergiften“ etc. – womit dann der Preis das einzige Kriterium bleibt, was für den Kunden real messbar und glaubhaft und damit auch die einzige Richtschnur ist. Aktivisten, NGOs oder Medien, deren eigentliches Ziel es sein mag, für eine „bessere Welt“ zu kämpfen, befeuern dieses Misstrauen durch eine ungenaue Berichterstattung und erreichen damit das genaue Gegenteil. Verunsicherte oder desillusionierte Verbraucher wenden sich von denen ab, die eigentlich hohe Umwelt- oder Ethikstandards verfolgen. Unternehmen können aber auch ganz gezielt mit einer auf sie ausgerichteten Desinformationskampagne angegriffen werden. Es existieren praktische Beispiele, die belegen, dass damit Unternehmensentscheidungen direkt beeinflussbar sind und sich Auswirkungen auf die Geschäftsentwicklung ergeben. Ein Beispiel ist der Kursrutsch von ProsiebenSat1 nach Veröffentlichung einer Meldung von Viceroy Research. Größere Desinformationskampagnen sind im Rahmen der Studie von Unternehmensseite kaum genannt worden. Gleichwohl sind solche Szenarien auch in größerem Umfang denkbar. Nicht nur der US-Wahlkampf hat gezeigt, wie leistungsfähig die Waffe Desinformation sein kann. Es wäre töricht anzunehmen, sie würde nicht auch gegen Unternehmen in voller Stärke eingesetzt. Ob von Konkurrenten, ehemaligen oder frustrierten Mitarbeitern, Kriminellen, die beispielsweise auf fallende Aktienkurse setzen, oder von fremden Mächten – die Zahl möglicher Angreifer ist groß. Und die Technik entwickelt sich weiter. Die im Rahmen der Sicherheitsstudie durchgeführten Interviews, Expertengespräche und die Onlinebefragung zur Studie zeigen, dass Unternehmen dem Schutz vor Desinformationsangriffen eine deutlich höhere Priorität als bislang beimessen wollen. Desinformation – so eine der wesentlichen Erkenntnisse der Studie – wird zu einer der zentralen Bedrohungen des 21. Jahrhunderts für deutsche Unternehmen.

152

J. Wolter

4.3 Neue Technologien bringen eine ganz neue Dimension an Manipulations- und Täuschungsmöglichkeiten Frei erfundene oder halbwahre Geschichten zu identifizieren, kann beliebig schwer sein: je nachdem, wie plausibel sie aufgebaut sind und natürlich wie bereitwillig der Leser sie glauben mag. Inzwischen existieren Technologien, die es erlauben, solche Texte vollautomatisch schreiben zu lassen. Es bedarf also keiner „Troll-Fabriken“, keiner echten Menschen mehr. Es reicht im Grunde ein einziger Computer, um Tausende Geschichten in die Welt zu setzen. Kritische Leser mögen sich von diesen Geschichten nicht unbedingt täuschen lassen. Ein Bild jedoch, in Bruchteilen von Sekunden über Twitter verschickt und von Bots tausendfach geteilt und verbreitet, mag authentischer erscheinen: „Ich hab’s doch gesehen!“ Zahlreiche solcher gefälschten Bilder wurden schon entlarvt, doch die Aufdeckung einer Falschmeldung verbreitet sich nicht so schnell und weit wie die Falschmeldung selbst. Zum einen werden es die programmierten Bots nicht tun, zum anderen greifen es auch die willigen Follower nicht auf. Da das Fälschen von Fotos keine hohe Kunst mehr ist, sind jedoch zumindest kritische Leser immer noch skeptisch, was ihre Echtheit anbetrifft. Anders sieht es bei Videos aus. Wer sieht und hört, wie ein Abgeordneter zu einem Thema spricht, wird an der Echtheit des Videos kaum zweifeln – selbst wenn der Inhalt verstörend sein mag. Tatsächlich können Videos inzwischen vielfältig manipuliert werden. So können in Videos Menschen die Köpfe anderer Personen „aufmontiert“ werden. Damit ließe sich beispielsweise der Bundespräsident in die Rolle des Terminators transportieren. Das mag in diesem Fall lustig sein. Doch wenn ich ein Video drehe, bei dem jemand einen anderen Menschen schlägt und dann „die Köpfe tausche“, könnte der Film auch einen Bundespräsidenten in Erklärungsnöte bringen. Es lassen sich einem Menschen aber auch andere Worte in den Mund legen. So könnte man eine Rede eines Politikers mitschneiden und anschließend „neu vertonen“. Dabei wird nicht einfach ein anderer Ton eingespielt. Die eigenen Gesichtszüge können eins zu eins auf die Person im Video übertragen werden. So könnte jemand einen gänzlich neuen Text sprechen und dabei die eigene Mimik auf die des Politikers übertragen. Das gesprochene Wort würde zudem exakt wie das des Politikers klingen. Man stelle sich ein Video vor, bei dem ein Bundespolitiker im Ortsverein eine Rede hält und dabei fordert, man müsse die Grenzen wieder dicht machen, auf Eindringlinge schießen und so weiter – oder aber das genaue Gegenteil, man bräuchte viel mehr Ausländer, das Deutsche müsste ausgerottet werden …

Digitaler Wandel und Corporate Security, oder: Wieso ein CSO …

153

Solche Bedrohungsszenarien gibt es nicht nur für die Politik. Auch ­ nternehmen können hiervon betroffen sein. Wie im vorherigen Abschnitt U gezeigt, ist Desinformation eine wachsende Gefahr für Unternehmen. Gefälschte Videoaufzeichnungen, die beispielsweise einen Vorstandsvorsitzenden zeigen, wie er in kleiner Runde damit prahlt, er würde durch die Ausbeutung von Mensch und Umwelt steinreich, könnten sich äußerst negativ auf den Absatz auswirken. Ebenso wie ein vertrauliches Eingeständnis, man könne die gesteckten Ziele nicht erreichen, was den Aktienkurs zum Einsturz bringen könnte. Aber auch Betrugsfälle werden einfacher. Modernere Formen des „Enkeltricks“ funktionieren nicht nur bei Privatleuten, sondern auch bei Unternehmen. Wenn Menschen sich am Telefon als Vertreter der Regierung oder Polizei ausgeben oder aber als Lieferanten, Kunden oder Mitarbeiter desselben Unternehmens, können Informationen abgezogen oder Handlungen veranlasst werden, zum Schaden des Unternehmens. Nun ist hier bislang immer noch ein Mensch notwendig, der diesen Anruf tätigt, was gewisse Ressourcen bindet. Kürzlich hat ein Chatbot per Telefonanruf einen Tisch in einem Restaurant reserviert. Er klang dabei absolut menschlich, hat Gedankenpausen eingelegt, ein paar „hm“ und „äh“ eingestreut, als müsse er überlegen. Diese Technologie steht noch am Anfang. Sie wird sich in wenigen Jahren rasant entwickeln. Dann brauchen Angreifer kein Callcenter mehr. Es reichen ein paar Computer und ein passendes Programm, das man sich – wenn nicht legal im offenen Internet, dann eben im Darknet – wird einfach herunterladen können. Dann können Hunderte Chatbots parallel Firmen und Privatpersonen anrufen und versuchen, ihnen Informationen zu entlocken oder Gelder. Solche Chatbots können auch einfach das Callcenter eines Unternehmens lahmlegen. Es wäre eine Art DDoS-Attacke. Nur statt der Server würden die Menschen lahmgelegt. Wenn das angegriffene Unternehmen selber Chatbots in seinem Callcenter einsetzt, dann werden diese eben beschäftigt und können keine echten Kunden mehr bedienen. Richtig gefährlich wird es, wenn der Angreifer – sei es als echter Mensch oder Chatbot – mit einer bekannten Stimme spricht. „Aber Sie, Herr Vorstandsvorsitzender, hatten doch persönlich angerufen. Ich hatte doch mit Ihnen gesprochen!“ „Ruft mich doch wirklich unser Chef letzte Nacht an und fragt, ob ich nicht zu ihm aufs Hotelzimmer komme!“ „In der Radiosendung rief tatsächlich der Vorstandsvorsitzende an und sagte, Frauen bekommen bei ihnen weniger Gehalt, weil sie nicht so viel leisten!“ Es sind endlos viele Szenarien denkbar, wie man mit einer perfekt gefälschten Stimme Unternehmen in ernsthafte Schwierigkeiten bringen kann.

154

J. Wolter

5 Die Potenz der Maschinen 5.1 Potente Algorithmen Die wachsende Macht der Daten und das Problem der Beliebigkeit von Information sind beides Folgen der Potenz der Algorithmen. Um aus dem schier unendlichen Meer von Daten – Bewegungsdaten, Bilder, Videos, Texte, Beschleunigung, IP-Adressen, Cookies und vieles mehr – sinnvolle Ableitungen zu treffen, bedarf es nicht nur hoher Rechenleistung, sondern auch kluger Programme. Künstliche Intelligenz und Deep Learning sind hier die Stichworte. Maschinen beginnen gerade erst, Bilder zu verstehen und interpretieren zu können. Ein Algorithmus kann anhand der Bilder, die ein Mensch auf Instagram postet, mit einer höheren Wahrscheinlichkeit eine Depression richtig diagnostizieren als es ein Arzt im Rahmen seiner Untersuchungsmethoden schafft. So liegt die Software bei 70 % der Fälle mit ihrer Analyse richtig. Allgemeinmediziner ordnen nur in 42 % der Fälle Symptome einer Depression richtig ein. Die Maschinen lernen stetig dazu, und ihre Analysen werden stetig besser. Die Möglichkeiten, die sich daraus ergeben, dass Programme Fotos und Videos praktisch im gesamten Web analysieren können, sind gigantisch. Ein fortschrittliches Programm könnte nach einer bestimmten Person das Internet durchforsten und wenig vorteilhafte Bilder herausfiltern – wo die Person nackt, betrunken, „in schlechter Gesellschaft“ zu sehen ist etc. Algorithmen verstehen jedoch nicht nur zunehmend besser Texte und Bilder. Sie können auch Sprache analysieren: Lügt ein Mensch, ist er nervös, verbirgt er etwas? Ein Computerprogramm, das einer Unterhaltung lauscht, kann die Beziehungen untereinander analysieren. So kann ein Algorithmus sehr intime Berechnungen erstellen, wie ein Artikel der Technology Review (6/2018) zeigt: Ein Forscherteam von der University of Southern California (USC) in Los Angeles zeichnete zwei Jahre lang Hunderte Therapiegespräche aus der Eheberatung auf. „Sie fütterten ihren Algorithmus mit den Stimmdaten, der diese unter anderem nach Faktoren wie Lautstärke und Tonhöhe sowie zittrige oder brechende Stimmen analysierte. Diese Informationen genügten: Das System sagte mit 80-prozentiger Genauigkeit voraus, ob ein Paar nach Ende der Beobachtungsphase noch zusammen war oder nicht – besser als die beteiligten Therapeuten, die das Wissenschaftlerteam ebenfalls um ihre Einschätzung bat.“ Und das gelang ihnen schon vor zehn Jahren. Die Autoren des Fachartikels sehen ein nicht unrealistisches Szenario auf uns zukommen, wenn in fünf Jahren die Alexa-Eheberatungs-App sagt, dass eine

Digitaler Wandel und Corporate Security, oder: Wieso ein CSO …

155

Beziehung scheitern wird. Schließlich hört die App jedes Wort in der Beziehung mit und kann daher sehr genaue Prognosen über die weitere Beziehung anstellen. Diese Technologie ließe sich auch im Geschäftsumfeld nutzen. Ein Computerprogramm könnte Auskunft darüber geben, wie das Verhältnis von Mitarbeitern untereinander und/oder gegenüber Vorgesetzten ist – und damit Angriffspunkte herausarbeiten. In Verhandlungen könnte eine solche Software ebenfalls wichtige Hinweise liefern. Bedenkt man, dass Programme wie Alexa jedes Wort mitschneiden und welche Möglichkeiten sich bereits heute und erst recht zukünftig aus der Sprachanalyse ergeben werden, so wird schnell klar, auf welchem Datengoldschatz entsprechende Unternehmen sitzen – und wie weit manche Verbraucher bereits „die Hosen heruntergelassen haben“. Es ist genau das Problem, dass unzählige Daten heute bereits erfasst und gewissermaßen für die Ewigkeit gespeichert werden, wir aber heute noch kaum abschätzen können, welche Technologien zukünftig zur Verfügung stehen werden, und was diese Technologien mit den vorhandenen Daten werden anfangen können. Auch wissen wir nicht, wie die politischen und gesellschaftlichen Rahmenbedingungen in Deutschland und weltweit in zehn oder 20 Jahren sein werden. Und welches Interesse dann an bestimmten Daten besteht. Wenn Bilder, Texte, Sprache, Videos von Computern verstanden werden sollen, kommt sogenannte Künstliche Intelligenz (KI) zum Einsatz. Mittels KI können enormen Datenmengen verarbeitet, interpretiert und extrapoliert werden. KI kann nicht nur Entwicklungen prognostizieren – und das präziser als menschliche Experten. KI ist zudem gut darin, Schwachstellen aufzudecken. Künstliche Intelligenz kann sich gewissermaßen selbst optimieren. So lässt man eine KI gegen eine andere antreten, beispielsweise, indem das eine Programm Fälschungen erzeugen und das andere Fälschungen erkennen soll. Damit werden Fälschungen immer besser entdeckt, aber sie werden gleichzeitig auch immer besser.

5.2 Potente Hardware Potente Algorithmen brauchen potente Hardware. Und die wird ebenfalls immer besser. Für Künstliche Intelligenz sind Grafikkarten von entscheidender Bedeutung. So eignen sich Grafikkarten-Architekturen wohl besser für entsprechende Berechnungen als klassische CPUs. Doch Hersteller wie Intel wollen hier nachziehen und bauen spezielle Chips für KI-Anwendungen.

156

J. Wolter

­ echenleistungen und Speicherkapazitäten steigen weiter, die Produkte werden R immer kleiner und damit mobiler. Die heute verwendeten Computer basieren auf einer Technologie, die in Zukunft so verstaubt wirken könnte wie heutzutage Vakuumröhren. Ob Sie jemals kommen werden, ist fraglich, dennoch wird gerade in jüngster Zeit wieder mehr über sie berichtet: Quantencomputer. Google, IBM und Microsoft, die EU und China, Geheimdienste und sogar Volkswagen investieren in diese Technologie – wie die ZEIT schreibt. Und der Artikel nennt auch Gründe für die Investitionsbereitschaft: So bräuchte ein herkömmlicher Computer 1500 Jahre, um eine 232-stellige Zahl zu faktorisieren, ein Quantencomputer wäre theoretisch nach einem Tag fertig. „Das fasziniert nicht nur Mathematiker. Denn wer die Primfaktorzerlegung meistert, kann die verbreitete Verschlüsselungsmethode knacken, mit der auch WhatsApp seine Nachrichten codiert. Statt alle Schlüssel nacheinander zu probieren, könnte ein Quantencomputer sie gleichzeitig testen“. Die einen mögen sich davor fürchten, dass damit nichts mehr sicher geschützt werden könnte, da jeder Code zu knacken wäre. Andere sind davon überzeugt, dass mittels Quantenverschlüsselung die absolut sichere Verschlüsselung erst möglich wird, wie der Mathematiker Christian Deppe von der Universität Bielefeld: „Mit der Quantenverschlüsselung können wir so sicher kommunizieren, dass die Nachrichtendienste keine Chance haben, uns abzuhören“. In jedem Fall wird der technische Fortschritt auch bei der Hardware nicht Halt machen und sowohl Angreifern wie Verteidigern ganz neue Werkzeuge in die Hand geben.

5.3 Zwei Szenarien Prognosen sind schwierig, insbesondere dann, wenn sie die Zukunft betreffen. Die technologischen wie politischen und gesellschaftlichen Entwicklungen sind so dynamisch, dass es vermessen wäre, eine eindeutige Prognose zu wagen. Daher möchte ich zwei denkbare, jedoch eher extreme Entwicklungen aufzeigen, verbunden mit der Vermutung, dass die Realität sich irgendwo dazwischen abspielen wird. Es schadet jedoch nicht, sich gedanklich mit beiden Entwicklungen näher auseinanderzusetzen. Aber vielleicht kommt auch alles ganz anders. a) Utopie-Szenario Die Menschen werden sich der Sensibilität ihrer Daten bewusst. So werden an Schulen flächendeckend Programme ausgerollt, die aufzeigen, wie Daten

Digitaler Wandel und Corporate Security, oder: Wieso ein CSO …

157

aggregiert und verwendet werden können. Dabei werden die Funktionsweisen von Desinformation, Meinungsmache und -manipulation dargelegt, sodass sich Schüler frühzeitig wappnen können. Gleichzeitig zwingt die Datenschutzgrundverordnung Konzerne dazu, ihre Sammelwut zu bändigen und verantwortungsvoll mit ihren Datenschätzen umzugehen. Anonymisierungs- und Verschlüsselungstechnologien werden Standard, sodass es leichter wird, den Datenkraken zu entgehen – wenn man es möchte. Der vertrauensvolle Umgang mit Daten macht es möglich, Anwendungen zu schaffen, die helfen, mittels großer Datenmengen Krankheiten vorherzusagen, Verkehrsströme zu lenken und Versorgungen zu verbessern – ohne dabei Persönlichkeitsrechte zu berühren. Der Mensch wird selber Herr über seine Daten. KI-Anwendungen sind so günstig geworden, dass sie von jedermann genutzt werden können, um Fakten standardmäßig checken zu lassen. Wo ist der Ursprung der Quelle, gibt es mehrere unabhängige Quellen, die diese Aussage belegen? Stecken Bots dahinter? Ist das Bild/Video echt? Agenturen, die etwas auf sich halten, nutzen Blockchain-Technologie, um die Echtheit und Unverfälschtheit von Nachrichten zu belegen. Somit kann lückenlos nachverfolgt werden, wo eine Story, ein Bild oder Video herkommt, wer daran mitgewirkt hat und dass es keine Manipulationen gab. Konzerne nutzen Künstliche Intelligenz, um sich besser vor Angriffen zu schützen. Sämtliche Sensordaten und Informationsquellen fließen in eine Maschine, die ein Lagebild erstellt und Handlungsempfehlungen entwickelt. Cyber-Abwehr-Strategien können in Echtzeit an eine sich verändernde Bedrohungslage angepasst werden. Eine aufgeklärte Gesellschaft, hoher Datenschutz, selbstbestimmte Datenkontrolle, Verschlüsselungs- und KI-Technologien die den Verteidigern hilft, so könnte eine Zukunft aussehen. Damit wären Betrug und Manipulation kaum möglich. Geistiges Eigentum und kritische Infrastrukturen wären besser geschützt. b) Dystopie-Szenario Die Plattformökonomie führt zu Daten-Macht-Zentren. Wenigen Konzernen und Staaten steht so viel Wissen über nahezu jeden einzelnen Menschen auf der Welt zur Verfügung, dass eine demokratische Kontrolle unmöglich wird und wirtschaftlicher Wettbewerb in vielen Fällen zum Erliegen kommt. Eine unabhängige Meinungsbildung wird kaum noch möglich. Welche Informationen echt sind und welche nicht – kaum ein Mensch kann dies noch bewerten. Das trifft nicht nur Deutschland, sondern praktische alle Länder der Welt.

158

J. Wolter

Künstliche Intelligenz wird über den Lebensweg der meisten Menschen ­entscheiden. Digitale Assistenten wie Cortana, Alexa oder Siri werden nicht nur Routen im Straßenverkehr vorschlagen, sondern für das gesamte Leben. Welches Geschenk wähle ich für einen Freund, welches Kleid kaufe ich, mit wem verabrede ich mich, wen soll ich heiraten, sollte ich Kinder haben, welcher Job ist der richtige für mich? Stück für Stück wird der Mensch aus Bequemlichkeit immer mehr Entscheidungen an Maschinen delegieren – die ja doch alles besser wissen. Die dahinter liegenden Algorithmen werden nicht hinterfragt. Damit entscheiden wenige Großkonzerne über das Schicksal von Milliarden von Menschen und damit über das der Menschheit. So wie sich diese Entwicklung bereits im Privaten vollzieht – Partnerbörsen suchen auch bereits durch Matching-Software geeignete Kandidaten – so wird man auch im Beruf auf KI setzen. Welche ärztliche Behandlung ist die beste, wie ist die Entwicklungsprognose für einen Strafgefangenen, welcher Bewerber ist am besten geeignet, welche Investition lohnt sich am meisten? Man wird die Software natürlich nur als „Entscheidungshilfe“ heranziehen. Doch wer wird sich eine andere Entscheidung erlauben, wenn die Künstliche Intelligenz mit einer Wahrscheinlichkeit von 82 % eine Strafrückfälligkeit sieht oder einen Bewerber nur zu 42 % geeignet, als gegen eine vorzeitige Entlassung und gegen eine Einstellung zu stimmen? Alleine haftungsrechtlich dürfte keine andere Entscheidung infrage kommen. Doch wie eine KI entscheidet, versteht niemand. Sie ist eine Blackbox. Und hier liegt eine enorm hohe Verantwortung beim Programmierer. Und die Frage nach dessen Motiven und Motivationen dürfte von entscheidender Bedeutung sein – wenn sie denn gestellt wird. Was, wenn Google einen für Unternehmen kostenfreien Bewerbercheck per KI anbietet – mittels Google Glass? Oder wenn Facebook empfiehlt, wen wir heiraten sollen? Soll eine App von Amazon einem Unternehmen Empfehlungen zu Investitionsentscheidungen machen? Könnte eine weiterentwickelte Siri Cyber-Security-Tipps geben? Manches davon mag eher unrealistisch klingen, manches durchaus möglich. Mit Sicherheit werden wir davon ausgehen können, dass KI basierte Technologien als Berater im privaten wie beruflichen Umfeld Einzug halten werden. Ein Beispiel: In einer kleinen Runde berichtete einer der Anwesenden von seinem Job, der darin besteht, Kontakte zu vermitteln. Dabei besteht die Kunst wohl darin, dass sich die Personen nicht nur beruflich, inhaltlich, fachlich ergänzen und voneinander profitieren können, sondern eben auch menschlich verstehen. Ich vertrat die Auffassung, dass das ein idealer Job für eine KI ist. Man stelle sich eine App „Professional-Connect“ vor. Wer sie nutzt, erlaubt einem Algorithmus, auf sein Facebook- und LinkedIn-Profil zuzugreifen.

Digitaler Wandel und Corporate Security, oder: Wieso ein CSO …











159

Wenn eine kritische Masse diese App nutzt, wird eine KI die vermeintlich ­perfekten (beruflichen) Partner finden. So wie Partnerbörsen Persönlichkeitsprofile abgleichen, kann das auch hier die KI tun. Sie weiß, wer wie tickt, welche Interessen, Vorlieben und Wünsche jemand hat. Sie weiß, was er beruflich macht und kann „erahnen“, was ihm fehlt, was er sich wünscht und vor was er sich fürchtet – worauf er selber vielleicht gar nicht gekommen wäre. Die KI weiß auch, wer all das bietet. So kann sie proaktiv vorschlagen, dass diese oder jene Person ein idealer Partner für ein Projekt wäre, an dem man gerade arbeitet. Vielleicht weiß die KI auch – da sie über Alexa ständig zuhört –, dass man gerade an einer Veranstaltung arbeitet und einem noch ein Referent fehlt und schlägt proaktiv jemanden vor. Somit braucht man keine Berater mehr für ein Kontaktmanagement. Natürlich kommt man nur dann in den Genuss, vermittelt zu werden – und Aufträge zu erhalten –, wenn man selbst Teil der Plattform ist – und alle seine Daten preisgibt. Je stärker eine Plattform ist, umso weniger kann man sich ihr entziehen, umso stärker wird sie. Und die spannende Frage dürfte auch hier sein, nach welchen Kriterien Partner vorgeschlagen werden. Wird jemand, der sich vielleicht kritisch über ein Unternehmen äußert oder bestimmte politische Ansichten vertritt, seltener oder nie vorgeschlagen? Der rasante technische Fortschritt macht auch Video-, Bild- und Tonmanipulationssoftware praktisch für jedermann verfügbar. Schüler machen sich einen Spaß daraus, mit der Stimme ihrer Eltern Anrufe in der Schule durchzuführen, Jugendliche basteln sich ihre Pornos mit den Gesichtern ihrer Klassenkameraden – für all das gibt es kostenlose Apps. Dadurch, dass alles echt und alles gefälscht sein kann, glaubt man, was man möchte. Gleichzeitig fallen auch Hemmungen. Schließlich kann man behaupten, es handele sich bei der Datei um eine Fälschung. Unsicherheit bietet für Extreme einen besseren Nährboten als für Demokraten. Denn Fakten spielen keine Rolle mehr, was zählt, sind Emotionen. Das verändert nicht nur den gesellschaftlichen Diskurs. Hieraus erwachsen auch ganz andere Rahmenbedingungen für das Reputationsmanagement von Unternehmen, für das Markenbild und die Markenpflege. Angriffe, ob auf die IT, den Informationsraum (Image von Unternehmen und Unternehmenspersönlichkeiten) oder Unternehmensschnittstellen (Telefon), laufen voll automatisiert und mit Künstlicher Intelligenz perfektioniert. KMUs werden Telefon-, Chat- und Twitter-Bots nichts entgegensetzen können. Ihre IT kann KI gestützten Angriffen nicht standhalten. Eine Flut perfekt gemachter, Bot gesteuerter Fake-Anrufe, Fake-Rechnungen, Fake-­

160

J. Wolter

Beschwerden, Fake-Meldungen zwingt jeden Mittelständler in die Knie. Die Kosten für ausreichende Schutz- und Abwehrmaßnahmen sind zu hoch, die Kosten für Angriffe viel zu niedrig. Jeden Anruf, jede Rechnung, jede E-Mail auf Echtheit zu prüfen, zurückzurufen und zu checken wird nicht lange funktionieren.

6 Bedeutung für Unternehmenssicherheit Die Unternehmenssicherheit muss neue Technologien in ihre Arbeit so früh als möglich einbeziehen, mit ihr arbeiten und ihren Nutzen „erforschen“. Sie muss sich alle Chancen, die sich daraus ergeben, erschließen. Gleichzeitig muss sie auch potenzielle Gefahren erkennen. Wie könnte ein Angreifer neue Technologien gegen mich einsetzen? Seien es Drohnen, Bots oder KI, Fälschungen von Bildern, Videos oder Ton-Aufnahmen beziehungsweise gesprochener Sprache. Es ist die Aufgabe der Unternehmenssicherheit, den technischen Fortschritt stets im Blick zu haben, um zu wissen, was bereits heute eingesetzt werden könnte und was kurz-, mittel- und langfristig droht. Wenn bekannt ist, dass Angreifer mit der Stimme des Vorstandsvorsitzenden sprechen können, dann muss ich meine Organisation darauf vorbereiten. Wenn die Gefahr von Desinformation gegeben ist, dann muss ich entsprechende Krisenpläne in der Schublade haben – und ich muss Sensoren aufstellen, die mich rechtzeitig warnen. Wenn mein Angreifer KI einsetzen kann, um Schwachstellen zu finden, dann sollte ich schleunigst selbst KI einsetzen, um die Schwachstellen vorher zu finden. Alleine wird ein Unternehmen immer weniger ausrichten können. Daher wird der Austausch mit anderen Unternehmen immer wichtiger, genauso wie ein enger Draht zu den Behörden an Bedeutung gewinnt. Da sich die Entwicklungszyklen immer weiter verkürzen, veralten auch Lagebilder immer schneller. Neben Verbänden, die hier eine wichtige Rolle einnehmen können, sollten auch Berater sich entsprechend neu positionieren. Vielen mag der Schritt schon schwergefallen sein, vom reinen Objekt- und Personenschützer hin zum Anbieter auch von Cyber-Security-Dienstleistungen. Moderne Sicherheitsdienstleister müssen aber weit mehr können als statische Gefahrenabwehr. Sie müssen künftige Gefahren prognostizieren und ihre Kunden darauf vorbereiten können. In gewisser Weise müssen sie Technologie-Scouting betreiben. Das ist ein viel weiter gefassteres Profil als ihr Heutiges. Das bedeutet auch ganz neue Anforderungen an das Personal.

Digitaler Wandel und Corporate Security, oder: Wieso ein CSO …

161

Die Corporate Security wird sich einer dramatischen Wandlung unterziehen müssen, um ihre Aufgaben auch in Zukunft bewältigen zu können. Dabei wird sie stärker als bislang von funktionierenden Netzwerken und externen Spezialisten abhängen. Alleine kann kein Unternehmen diesen Wandel erfolgreich meistern.

Literatur #Desinformation (2017) – Lage, Prognose und Abwehr; Jan Wolter (ASW Bundesverband), Prof. Dr. Martin Grothe (complexium), Uwe Heim (Deloitte).

Teil III Wirtschaftsschutz in der Praxis

Krisenmanagement 4.0 Die neue Herausforderung für die Wirtschaft Dieter Zeller

Einleitung Im Zeitalter der Industrie 4.0 müssen alle Prozesse überprüft werden, inwieweit diese gegen Cyber-Angriffe abgesichert sind. Die Geschäftsprozesse von Unternehmen stehen im Mittelpunkt der Betrachtung. Diese Prozesse bilden die Wertschöpfungskette eines jeden Unternehmens. Den Supportprozessen, insbesondere der IT, wird aufgrund ihrer hohen Kritikalität und auch der hohen Popularität in der Öffentlichkeit durch Cybercrime besondere Beachtung geschenkt. Es gibt weitere Prozesse, auf die ein modernes Unternehmen nicht verzichten kann. So muss in den Unternehmen ein effizientes und effektives Krisenmanagement etabliert sein. Eine enge Verzahnung zwischen dem Krisenmanagement mit dem Business-­ Continuity-Management (BCM) und dem Risiko-Management (RM) des Unternehmens ist äußerst zielführend. Die Risiken, die ein Unternehmen hat, sind von Branche zu Branche sehr unterschiedlich. Im Risiko-Management müssen die Risiken betrachtet werden und durch BCM-Maßnahmen möglichst weit abgefedert werden. Als Ultima Ratio muss ein Krisenmanagement aufgesetzt sein, das die Risiken kennt und direkt aktiviert werden kann, insbesondere in unvorhersehbaren Fällen. Es stellt sich immer wieder die Frage, inwieweit muss das Krisenmanagement an die neuen Herausforderungen der Industrie 4.0 angepasst werden? Wenn ein funktionierendes Krisenmanagement in einem Unternehmen existiert, dann entwickelt

D. Zeller (*)  Fresenius SE & Co. KGaA, Bad Homburg, Hessen, Deutschland E-Mail: [email protected] © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_8

165

166

D. Zeller

sich das Krisenmanagement im Regelfall automatisch in diese Richtung. Für diesen Automatismus müssen allerdings die Grundlagen gelegt sein. Das bedeutet, dass das Krisenmanagement-System auf dem aktuellen Stand ist und ständig durch Trainings und Übungen aktiv gehalten wird.

1 Krise und Krisenmanagement Was bedeutet eine Krise? Umgangssprachlich wird das Wort sehr oft benutzt, um einen Zustand der Machtlosigkeit zu beschreiben. So steht zum Beispiel im Chinesischen das „Ji“ für Krise und auch Chance. Im Griechischen steht das Wort „Krisis“ nicht für eine hoffnungslose Situation, sondern für den Höhe- oder Wendepunkt einer gefährlichen Lage. Durch die Etablierung eines Krisenmanagementsystems im Unternehmen wird die präventive Vorarbeit für den Krisenfall gelegt. Damit bleibt das Unternehmen jederzeit reaktionsfähig. Das Management hat die entscheidende Führungs- und Steuerungsfunktion bei der Bewältigung jeder Krise. Die notwendige Voraussetzung ist die Vermeidung eines Lähmungszustandes des Managements und eine Orientierungslosigkeit im gesamten Unternehmen. Geeignete Instrumente zur Vermeidung von Krisen sind Issue- und Risikomanagement. Mit einem leistungsfähigen Risikomanagement lassen sich die Gefährdungspotenziale des Unternehmens nach möglichen negativen Auswirkungen und deren Eintrittswahrscheinlichkeit bewerten (Abb. 1). Jedes Unternehmen kennt die drei Phasen Störung, Notfall und Krise (siehe Abb. 2). In den Begrifflichkeiten können sich die Phasen unterscheiden, aber beinhalten das gleiche Verständnis für die Lage oder Situation. Wichtig ist die effiziente Kommunikation: Zwischen den einzelnen Phasen eines Incidents sollte ein strukturierter Austausch zur nächsten Ebene wie etwa zwischen der Störungsebene und der Notfallebene bestehen. Dieser Austausch, zum Beispiel von einer Störung Abb. 1   Abhängigkeiten

Krisenmanagement 4.0 Die neue Herausforderung für die Wirtschaft

167

Krise Notfall

Störung

Abb. 2   Eskalationspyramide

mit großer Wirkbreite bis hin zum Notfallmanagement, sollte ebenso selbstverständlich sein wie von der Notfallebene zum Krisenmanagement. Der Transfer von Informationen erhöht die Reaktionsfähigkeit der Organisation und gewährleistet den gleichen Informationsstand. Im Fachjargon würde man sagen, dass man in der Lage lebt bzw. die Situation vollständig erfasst und sich weitere Optionen erarbeiten kann.

Es ist zu spät die Visitenkarten auf dem Trümmerfeld auszutauschen oder auch KKK=Krise Köpfe kennen (Albrecht Brömme, Präsident des THW)

Dieser strukturierte Informationsaustausch kann zum Beispiel über ein Reporting erfolgen. Das Reporting darf keinesfalls zum Selbstzweck werden, sondern durch ein Reporting muss ein Mehrwert für die zielführende Lösung eines Incidents entstehen. Ein Mehrwert entsteht unter anderem dadurch, dass mit dem Aufbauen von Vertrauen zwischen den einzelnen Ebenen frühzeitig begonnen wird. Ein lokaler Notfall kann sich sehr schnell zu einer globalen Krise entwickeln. Hier treffen zwei Zitate zu, die das Thema vollumfänglich beschreiben.

168

D. Zeller

2 Veränderungen, die auf das Krisenmanagement Einfluss nehmen 2.1 Social Media Der Einfluss der sozialen Medien auf das Krisenmanagement stellt die Mitglieder des Krisenstabes vor neue und zusätzliche Herausforderungen. Heute werden Informationen über soziale Medien schneller geteilt: Jeder ist in der Lage, Informationen zu empfangen, aber auch genauso schnell wieder zu teilen. Dazu kommen noch beliebig viele eingestreute Falschmeldungen oder eigene Interpretationen der Lage, die zur Fehlinformation beitragen können. Unter Berücksichtigung dieser Art der Kommunikation muss der Krisenstab eine angepasste, individuelle Kommunikationsstrategie einsetzen. Die meisten Kommunikationsabteilungen in Unternehmen sind im Regelfall gut aufgestellt und in der Lage, in kürzester Zeit zu reagieren. Diese Gegebenheit muss besonderes der Leitung des Krisenstabes bekannt sein, denn daraus ergeben sich unter Umständen Abhängigkeiten im Führungszyklus. Das heißt, es müssen eventuell die Zeiträume für einen Lagevortrag zu den Medien verkürzt werden oder auch mehr Ressourcen für Medienbeobachtung und Kommunikationsvorbereitung vorgesehen werden.

2.2 Cyber Incidents Cyber Incidents stellen besondere Herausforderungen an das Krisenmanagement. Das bedeutet, das Krisenmanagement muss nicht grundsätzlich überdacht werden, sondern es muss dieser Herausforderung Rechnung getragen werden. Der grundsätzliche Krisenstabsaufbau bleibt unverändert. Der Basis-Krisenstab besteht aus dem Leiter des Krisenstabs und jeweils einem Vertreter der Rechtsabteilung, der Personalabteilung, der Kommunikationsabteilung und der Sicherheit. Bei einer Bedrohung durch einen Cyber Incident ist es zielführend, einen Vertreter der IT-Abteilung in den Krisenstab einzubinden. Ein Cyber Incident wird zum Beispiel besondere Herausforderung an die Visualisierung der Lage stellen. Es müssen unter Umständen komplexe Informationen aus der IT dargestellt werden. Diese Darstellung ist sehr wichtig, damit alle Krisenstabsmitglieder sich der Lage bewusst sind und transparent erkennen, in welcher Situation sich das Unternehmen befindet. Die klare und richtige Einschätzung der Lage ist wichtig, um eine optimale Transparenz über die Handlungsoptionen realisieren zu können. Die Dokumentation der Krisenstabsarbeit muss auch für nicht IT-Experten nachvollziehbar und verständlich sein. Um diese Komplexität aufzulösen, sollte ausreichend Zeit und Energie investiert werden.

Krisenmanagement 4.0 Die neue Herausforderung für die Wirtschaft

169

Die Szenarien können sich schnell ändern. IT-Krisen zeichnen sich durch eine hohe Dynamik der Lage aus. Es kann eine Malware in einem IT-Netzwerk versteckt worden sein, und diese wird erst zu einem späteren Zeitpunkt aktiviert. Ein Diebstahl von Betriebsgeheimnissen, Daten und Dokumenten könnte vorliegen und somit ein gezielter Angriff mit dem Ziel der Wirtschaftsspionage durchgeführt worden sein. Zur gezielten Ausspähung wird oft Social Engineering genutzt, um andere Ziele wie CEO-Fraud zu erreichen. Hierbei stellt sich die Frage, ob es sich beim CEO Fraud wirklich um Cybercrime handelt oder eigentlich nur das Internet als Tatmittel genutzt wird: • Die Ausspähung von Telekommunikationsdaten und das Eindringen in mobile Endgeräte, um sich spezielle Funktionen in Applikationen (App) zu eigen zu machen. • Die gezielte Manipulation und Störung der IP basierenden Telekommunikation, um die Kommunikation im Unternehmen oder zu Außenstehenden zu hindern. • Das Einbringen von Schad-Software, die Daten verschlüsselt, die sogenannte Ransomware. Daten Back Up können z. B. nicht genutzt werden, da sie von der gleichen Ransomware infiziert wurden. Angriffe mit einer Ransomware und die damit verbundene Verschlüsselung kann die Organisation des Krisenmanagements ebenfalls beeinflussen. • Wenn alle Krisenmanagement-Prozesse rein digital vorhanden sind und kein Papierdokument vorliegt, dann können neue Herausforderungen entstehen. Als gute Praxis hat es sich bewährt, ein paar aktuelle Exemplare auszudrucken und im Krisenstabsraum zu lagern. Des Weiteren sollte auch jedem Krisenstabsmitglied eine persönliche Druckversion zur Verfügung stehen. Alternativ ist natürlich auch die Speicherung als Datei auf Smartphone, Tablet oder auch USB-Stick möglich. • Eine Erpressung mit der Drohung, Unternehmensdaten zu verschlüsseln, könnte sich ebenfalls zu einer Situation mit Krisencharakter entwickeln. Das Eindringen in Skada-Systeme, um die Betriebsabläufe in der Produktion zu stören oder die Herrschaft über die Systeme zu übernehmen.

2.3 Auswirkungen eines Cyber-Angriffs auf ein Unternehmen Die IT verfügt im Regelfall über ein sehr gut etabliertes Störungsmanagementsystem. Sollte aus einer Störung ein Incident werden, dann bekommt dieser Incident eine höhere Bedeutung und wird bedingt durch die Kritikalität

170

D. Zeller

gegebenenfalls mit einer höheren Einstufung weiterbearbeitet. Sollte dieser Incident Potenzial für eine Krise haben, wird der Manager on Duty (MoD) den Incident deeskalieren: Der Notfallmodus startet. Das ist die Phase, in der von der IT entschieden werden sollte, die Ansprechpartner vom Krisenmanagement zu informieren. Die gemeinsame Informationsbasis hilft, Entscheidungen besser vorzubereiten und auf eine breite Basis zu stellen. Die IT-Security verfügt für gewöhnlich über ein ausgezeichnetes Netzwerk zu Experten von CERTTeams von Unternehmen und Behörden, die jederzeit ansprechbar sind und einen offenen Austausch pflegen. Darüber hinaus können die Experten des Krisenmanagements ihr Netzwerk nutzen, um frühzeitig die Auswirkungen eines IT-Incidents für das Unternehmen zu validieren und Kompensationsmaßnahmen einzuleiten. Im Krisenstab sind Vertreter der Security in der Lage, die Verbindungen zu den Strafverfolgungsbehörden zu nutzen, um Beratung und Unterstützung von den ZAC-Stellen (Zentrale Ansprechstelle Cybercrime für Unternehmen und Behörden) der Landeskriminalämter oder des Bundeskriminalamtes zu erhalten. Des Weiteren steht ebenfalls das Bundesamt für Sicherheit in der Informationstechnik (BSI) als kompetenter Ansprechpartner unter anderem für Unternehmen zur Verfügung.

3 Überlegungen zur Neuausrichtung im Krisenmanagement Eine grundlegende Neuausrichtung eines Krisenmanagements ist nicht notwendig. Es sind eher die Rahmenbedingungen zu betrachten, das heißt, der Führungszyklus dreht sich wahrscheinlich schneller, da Lageveränderungen schneller eintreffen. Somit sollte der Krisenstab die Intervalle der Krisenstabsmeetings kürzer ansetzen. Dadurch ergeben sich natürlich auch erhöhte Anforderungen an die Mitglieder des Krisenstabes: zum Beispiel stärkere Präsenz und damit verbundene höhere Einzelbelastungen. Die Kommunikation wird sich mehr und mehr auf virtuelle Krisenstabssitzungen verschieben: zum Beispiel über Videokonferenz, Skype Call oder ständig offene Telefonkonferenzen. Dadurch kommen auch neue Herausforderungen auf das Supportteam des Krisenstabes zu: zum Beispiel eine ständige Erreichbarkeit des Krisenstabsoffice. Diese Supportfunktion kann von einer Lagestelle kaum noch zusätzlich geleistet werden. Eher muss die Lagestelle das Incident Monitoring hinsichtlich des Social Media Monitorings aufgabenteilig mit dem Kommunikationsbereich organisieren. Das Lagezentrum oder die Lagestelle sollte sich im Social Media Monitoring auf die generelle Lageentwicklung

Krisenmanagement 4.0 Die neue Herausforderung für die Wirtschaft

171

fokussieren und die Kommunikation incident-bezogener Informationen erfassen und deren Auswirkungen bewerten. Bei der Komposition des Krisenstabs ist die Funktion der IT als wichtige Expertenfunktion zu berücksichtigen. Mittlerweile ist die IT wahrscheinlich in jeden erweiterten Krisenstab einzubinden. Allerdings sollten Unternehmen, die eine starke Ausrichtung in Richtung IT haben, nachdenken, ob ein Vertreter der IT nicht als ständiges Mitglied des Krisenstabs-Kernteams etabliert werden sollte. In der Krisenprävention wird das Krisenmanagement von Experten aufgebaut, betrieben und regelmäßig auf seine Wirksamkeit überprüft. Die Experten müssen durch Schulungen, Trainings und Austausch im Netzwerk ständig auf dem aktuellen Stand der Entwicklungen im Krisenmanagement gehalten werden. Wichtig ist dabei auch der Blick über den Tellerrand. Das heißt, dass auch Seminare, wie zum Beispiel der „Social Media Security Expert“ (Simedia 2018), für den Krisenmanager notwendig sind, um in kritischen Fällen den Krisenstab entsprechend zu beraten. Von verschiedenen Institutionen und Dienstleistern werden entsprechende Trainings für Krisenmanager angeboten. So werden von der „Allianz für Sicherheit in der Wirtschaft (ASW) Regionalverband Nordrhein-Westfalen“ (ASW-NRW 2018) verschiedene Schulungen und Trainings angeboten. Das vollständige bundesweite Angebot ist auf der Homepage des ASW Bundesverbandes (ASW-Bundesverband 2018) verfügbar. Für Unternehmen maßgeschneiderte Seminare und Trainings werden von den verschieden spezialisierten Dienstleistern angeboten. Entsprechend der gestiegenen Ansprüche an das Krisenmanagement wurden insbesondere Trainings zur Weiterentwicklung der Krisenmanagementteams konzipiert. „Team Ressource Management“ als übergreifendes Training für das Krisenmanagementteam ist eine sehr gute Ergänzung zu den klassischen Übungen. Grundlage aller Seminare dieser Art ist das Crew Ressource Management (CRM) Training aus der Luftfahrt, bei dem Piloten und Flugbegleiter in einem gemeinsamen Entwicklungsprozess erkennen, wie Fehler bei der Arbeit vermieden werden können. Das Ziel ist es, offen zu kommunizieren, Wahrnehmungen zu teilen und die synergetische Stärke eines Teams zu entwickeln (DRK-Bildungszentrum-Düsseldorf 2018). Weitere Ansprüche an das Krisenmanagement, speziell auch an den Krisenstab, sind die Themen rund um die Stressbewältigung während einer Krise. Wie entsteht Stress in einer Krise, und wie kann man mit Stresssituationen umgehen? Jedes Krisenstabsmitglied wird individuell mit Stress umgehen. Als Präventionsmaßnahme stellt ein spezielles Seminar zum Umgang mit Stress im Krisenfall einen Mehrwert für die Krisenstabsmitglieder dar. Das Seminar sollte sich aus zwei Elementen zusammensetzen: einem theoretischen Teil und einem Teil der die Methoden, wie zum Beispiel autogenes Training oder progressive Muskelentspannung zur Stressbewältigung, erläutert.

172

D. Zeller

4 Fazit Es muss kein neues Krisenmanagement entwickelt werden, sondern das bestehende Krisenmanagement muss an die sich ständig verändernden Anforderungen angepasst werden. Das bedeutet, • dass situativ über die Besetzung der Krisenstabsfunktionen reflektiert werden muss. dass eine Alarmierung der verschiedensten Funktionen sichergestellt ist. • dass das Krisenmanagementsystem ganzheitlich in der Organisation implementiert ist. • dass ein ausreichend großer und trainierter Krisenstabssupport existiert. • dass der Krisenstabsraum beziehungsweise die dafür vorgesehenen Einrichtungen uneingeschränkt zur Verfügung stehen.

Literatur ASW-Bundesverband. (2018). ASW-Bundesverband.de. https://asw-bundesverband.de/mitglieder/. Zugegriffen: 22. Juli 2018. ASW-NRW. (2018). Veranstaltungen ASW NRW. https://www.aswnrw.de/veranstaltungen/. Zugegriffen: 22. Juli 2018. DRK-Bildungszentrum-Düsseldorf. (2018). Faktor Mensch – CRM-Trainings in kollegialer Partnerschaft. https://www.drk-duesseldorf.de/bildungszentrum/notfallmedizinische-fort-und-weiterbildung/themenuebersicht/faktor-mensch-crm-trainings-in-kollegialer-partnerschaft.html. Zugegriffen: 22. Juli 2018. Simedia. (2018). Social Media Security Expert, BdSI. https://www.simedia.de/sicherheitsseminare/social-media-security-expert.html. Zugegriffen: 22. Juli 2018. Thießen, A. (2014). Handbuch Krisenmanagement. Wiesbaden: Springer Fachmedien.

Strukturierte Risiko-ManagementSysteme für kleine und mittelgroße Unternehmen Trygve Ben Holland und Sarah Holland

Einleitung Am 14. September 2018 endet die Übergangsfrist für Unternehmen hinsichtlich der Gültigkeit der ISO 9001:2008; diese Übergangsfrist stellt auf die Einführung und Anwendung der neuen ISO 9001:2015 ab, denn die bisherige Zertifizierung nach ISO 9001:2008 verliert für jedes einzelne Unternehmen ihre Gültigkeit. Maßgebliche Neuerung der ISO 9001:2015 ist die Einbeziehung des betrieblichen Risikomanagements für KMU. Im Kontext der Änderungen zum Geldwäschegesetz (Gesetz zur Umsetzung der Vierten EU-Geldwäscherichtlinie, zur Ausführung der EU-Geldtransferverordnung und zur Neuorganisation der Zentralstelle für Finanztransaktionsuntersuchungen vom 23. Juni 2017 BGBl. 2017 Teil I Nr. 39, 24. Juni 2017) aus Juli 2017 zum Zwecke der Umsetzung der EU-Richtlinie zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung (Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, zur Änderung der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates und der Richtlinie 2006/70/EG der Kommission, OJ 141, 5.6.2015, S. 73) sowie der neuen EU-Datenschutzverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie

T. B. Holland () · S. Holland  Institut für Polizei- und Sicherheitsforschung, Hochschule für Öffentliche Verwaltung Bremen, Bremen, Deutschland © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_9

173

174

T. B. Holland und S. Holland

95/46/EG (Datenschutz-Grundverordnung), OJ L 119, 4.5.2016, S. 1 ff.), die auch in Form des Bundesdatenschutzgesetzes am 25. Mai 2018 in Kraft trat, ergibt sich nunmehr ein mehrschichtiges Regelungsgefüge, das direkte und indirekte, mittelbare und unmittelbare Auswirkungen auf das Risiko- und Sicherheitsmanagement von Unternehmen nicht nur in Deutschland zur Folge hat. Zudem liegen regional beschränkte Einzelnormen vor – wie beispielsweise in Darmstadt (Regierungspräsidium Darmstadt, Allgemeinverfügung zur Bestellung eines Geldwäschebeauftragten nach § 9 Abs. 4 Satz 3 des Gesetzes über das Aufspüren von Gewinnen aus schweren Straftaten (Geldwäschegesetz – GwG), Staatsanzeiger für das Land Hessen Nr. 20/2013 vom 13. Mai 2013, S. 637 ff.) –, die explizit darauf abstellen, die Geldwäsche vor dem Hintergrund der Terrorismusfinanzierung zu bekämpfen. Hierdurch wird deutlich, in welchen größeren wie auch differenzierten rechtlich-regulatorischen Rahmen die Marktaktivitäten von KMU zu sehen sind. Diese Regelungen führen in ihrer Gesamtheit dazu, dass ein Allgemeines Risikomanagement auch bei KMU nicht nur im Sinne der neuen ISO 9001:2015 zu berücksichtigen ist, sondern dass ein risiko- und gegenmaßnahmenbasierter Projekt- und Prozessmanagement-Ansatz die Möglichkeit bietet, eine solche holistisch wahrzunehmende Aufgabe zu bewältigen. Hervorzuheben ist hierbei die vorweggenommene strategisch-organisatorische Risikoanalyse, die auch mit umfasst, dass Whistleblower hinreichend berücksichtigt werden und Controlling-Einheiten in Unternehmen ebenso wie die zuständigen Aufsichtsbehörden geeignete Möglichkeiten zur Verfügung haben, um den Austausch relevanter Informationen gesichert vollziehen zu können. Diese Trias aus ‚Risikoerkennung-Gegenmaßnahmen-Steuerung/Durchführungskontrolle‘ stellt regelmäßig eine Herausforderung für KMU dar; um diese bewältigen zu können, werden in vorliegendem Beitrag Ansätze und Maßnahmen vorgestellt, die in bestehende Betriebsstrukturen eingebettet werden können, sodass für die Unternehmen keine substanziellen Kosten anfallen oder Umstrukturierungen erforderlich werden. Die Unternehmensstruktur in der EU ist in hohem Maße diversifiziert hinsichtlich der Größe der Unternehmen: Ohne Unternehmen im Finanzsektor beläuft sich die Anzahl von Unternehmen auf 19,65 Mio., insgesamt auf nahezu 23 Mio. Mehr als 99 % sämtlicher Unternehmen in der EU sind KMU, zugleich sind lediglich 8 % in den grenzübergreifenden Handel involviert, fünf Prozent verfügen über Tochtergesellschaften oder Gemeinschaftsunternehmen im EU-Ausland. (vgl. KOM 2008, 396, Vorschlag für eine VO des Rates über das Statut der Europäischen Privatgesellschaft, abrufbar unter: http://ec.europa.eu/internal_market/company/docs/epc/proposal_de.pdf.)

Strukturierte Risiko-Management-Systeme für kleine und …

175

Damit diesen Unterschieden der KMU im Vergleich zu großen Unternehmen wirtschaftstatsächlich wie rechtlich Rechnung getragen werden kann, hat die KOM eine – für die Mitgliedstaaten rechtlich nicht bindende – Empfehlung (Empfehlung der Kommission 2003/361/EG, ABl. L 124 v. 20.5.2003, S. 36.) zur Definition von KMU im Sinne des. EU-Rechts erlassen (vgl. Art. 3 u. Art. 1 Anhang Empfehlung der Kommission 2003/361/EG, ABl. L 124 v. 20.5.2003, S. 36.). Die Empfehlung unterscheidet kleinst-, klein- und mittelgroße Unternehmen. Anzahl von Unternehmen in der EU nach Größe und wirtschaftlicher Bedeutung Insgesamt Große

KMU gesamt

Mittelgroß

Klein

Kleinst

Anzahl (Mio.)/Anteil (%)

19,65/100 0,04/0,2

19,6/99,8 0,21/1,1

1,35/6,9

18,04/91,8

Beschäftigte (Mio.)/Anteil (%)

126,7/100 41,7/32,9 85,0/67,1 21,3/16,8 26,1/20,6 37,5/29,6

5.360/100 2.27/42,4 3.09/57,6 954/17,8 1.01/18,9 1.12/20,9 Bruttowertschöpfung (Mrd. €)/Anteil (%)

Nach Auffassung der KOM gelten als • Kleinstunternehmen solche, die weniger als zehn Mitarbeiter haben und einen jährlichen Umsatz von weniger als zwei Millionen Euro erwirtschaften oder eine Bilanzsumme von weniger als zwei Millionen Euro ausweisen (Anhang, Titel 1, Art. 2, III Empfehlung der Kommission 2003/361/EG, ABl. L 124 v. 20.5.2003, S. 36.), • Kleinunternehmen solche, die mindestens zehn und höchstens 49 Mitarbeiter haben und einen jährlichen Umsatz von mindestens zwei Millionen Euro, aber weniger als zehn Millionen Euro. erwirtschaften oder eine Bilanzsumme von weniger als zehn Millionen Euro ausweisen (Ibid.), • mittelgroße Unternehmen solche, die mindestens 50 und höchstens 249 Mitarbeiter haben sowie einen jährlichen Umsatz von mindestens zehn Millionen, aber weniger als 50 Mio. € erwirtschaften oder eine Bilanzsumme von weniger als 43 Mio. € ausweisen. (vgl. Anhang, Titel 1, Art. 2, I Empfehlung der Kommission 2003/361/EG, ABl. L 124 v. 20.5.2003, S. 36.) Sofern ein Unternehmen nicht in diese Kategorien einzuordnen ist, handelt es sich per se um ein großes Unternehmen. Das erste Kriterium ‚Umsatz oder Bilanz‘ weist darauf hin, dass KMU Unternehmen jeglicher Rechtsform sein können, es findet keine formale Differenzierung hinsichtlich der je nach Rechtsform unterschiedlich gestalteten Buchführungs- und

176

T. B. Holland und S. Holland

Jahresabschlussarten statt; die Definition folgt dem weit auszulegenden, funktionalen Unternehmensbegriff des EU-Rechts (vgl. zum Unternehmensbegriff bspw.: EuGH, C-222/04, Cassa di Risparmio di Firenze u. a., Slg. 2006, I-0000, Rn. 107; EuGH, Rs. 209 bis 215 u. 218/78, van Landewijk/KOM, Slg. 1980, S. 3125; EuGH, Rs. 94/74, IGAV/ENCC, Slg. 1975, I-699; EuGH, Rs. 17 u. 20/61, Klöckner u. Hoechst/Hohe Behörde, Slg. 1962, I-653; EuGH, Rs. 19/61 Mannesmann/ Hohe Behörde, Slg. 1962, I-717; EuG, Rs. T-6/89, Enichem Anic/KOM, Slg. 1991, II-1623; EuG, Rs. T-11/89 Shell/KOM, Slg. 1992, II-757) und ist sektorenunabhängig, sodass sie sowohl horizontal wie auch vertikal in jedem Sektor einschlägig ist (s.h. ErwG. 16 VO (EG) 736/2008, ABl. L 201 v. 30.07.2008, S. 16 ff.; Art. 2, V VO (EG) 1857/2006, ABl. L 358 v. 16.12.2006, S. 3 ff.). Das zweite Kriterium ‚Zahl der Mitarbeiter‘ ist im Zusammenhang mit ‚Umsatz oder Bilanz‘ kumulativ zu verstehen (s.h. ErwG. 16 VO (EG) 736/2008, ABl. L 201 v. 30.07.2008, S. 16 ff.; Art. 2, V VO (EG) 1857/2006, ABl. L 358 v. 16.12.2006, S. 3 ff.), sodass beispielsweise solche Unternehmen, die zwar nur neun Mitarbeiter beschäftigen, aber 40 Mio. € Umsatz erwirtschaften, keiner KMU-Kategorie (kleinst, klein, mittelgroß) zugeordnet, jedoch aufgrund des Verhältnisses zwischen den Werten nicht anders als KMU behandelt werden können. Das dritte Kriterium der Einordnung eines Unternehmens in die KMU-Kategorie ist die Unabhängigkeit des Unternehmens, mithin das Selbstständigkeitspostulat, das sich darin ausdrückt, dass ein KMU nur dann als solches gelten kann, wenn es nicht von einem Dritten beherrscht wird. (vgl. Art. 3 Anhang, Titel I Empfehlung der Kommission 2003/361/EG, ABl. L 124 v. 20.5.2003, S. 36 ff.)

1 Risikomanagement Anders als im Falle von großen Unternehmen, und hier insbesondere Aktiengesellschaften, hat der deutsche Gesetzgeber explizit für KMU keine Norm geschaffen, die die Geschäftsleitung verpflichtet, „geeignete Maßnahmen“ zu treffen, insbesondere ein Überwachungssystem einzurichten, damit der Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden kann (§ 91 Abs. 2 AktG); es bleibt den vom Gesetz adressierten Gesellschaften überlassen, wie diese „Maßnahmen“ ausgestaltet werden (vgl. Herbert Ehses 1999). Die Notwendigkeit für Unternehmen – unabhängig von ihrer Größe –, eine effektive interne Revision zumindest in Form eins Controllings zu betreiben, ist ersichtlich vor dem Hintergrund der neueren EU-weiten Bestimmungen zum Datenschutz, zur Geldwäsche und Terrorismusfinanzierungsbekämpfung sowie im Kontext der ISO 9001:2015.

Strukturierte Risiko-Management-Systeme für kleine und …

177

Nahezu jedes Unternehmen wird von sich behaupten, den Umgang mit Risiken in irgendeiner Form zu gestalten. Spätestens, wenn Risiken sich als akute Probleme äußern, sind Unternehmen jedoch tatsächlich gezwungen, zu reagieren. Oftmals fehlt es an dieser Stelle an einer institutionalisierten und systematischen Vorgehensweise ebenso wie an einer etablierten Unternehmenskultur zum Thema Risikomanagement, die zum Ziel hat, Risiken frühzeitig zu erkennen, einen geeigneten Umgang mit ihnen zu definieren und somit präventiv etwaigen Konflikten und Krisen entgegenzuwirken. Aus diesem Grunde werden im Folgenden aus interdisziplinärer Perspektive Ansätze aus dem Projekt- und Prozessmanagement herangezogen und in Bezug gesetzt zum anwendungsorientierten Risikomanagement als Bestandteil der Unternehmenssicherheit unter Berücksichtigung der deutschen, europäischen und internationalen Bestimmungen, die hier Wirkung entfalten. Die Arbeitstechniken aus dem Projektmanagement im Bereich Risikomanagement sind vielfältig, weitreichend und basieren mitunter auf sehr komplexen Verfahrenstechniken. Da jedoch die Einführung eines Risikomanagementsystems für KMU zunächst nicht darauf abzielt, große Vorhaben mit enormer Komplexität zu bewältigen, sondern eher dem Kosten-Nutzen-Faktor entsprechen soll, werden im Folgenden Grundlagen zur Analyse von Risiken und zur Bearbeitung von Maßnahmen vorgestellt. Unabhängig von der Rechtsform ist zunächst zu betrachten, welche Risiken zu berücksichtigen sind. Hierzu bietet sich eine kategorisierte Herangehensweise an, die strategische Risiken, operative Risiken, finanzielle Risiken, regulatorisch-rechtliche Risiken, Personalrisiken, Datenschutzrisiken (Systemstabilität, Datenschutz, Verfügbarkeit, Zugriffsberechtigung, Kundendienst und Betreuung, Weiterentwicklung von Soft- und Hardware) sowie politische Risiken (Wechsel der Regierung, Politischer Stillstand, Änderung im Wirtschaftssystem, Verlagerungen im Verhältnis Gewerkschaften zu Arbeitgeber, Zusammenschlüsse von Staaten, Versprechungen werden nicht eingehalten, Höhere Belastungen der Unternehmen, Länderrisiken) berücksichtigt. Wichtige kategorisierte Risikoarten sind demnach: • Leistungsrisiken: erbrachte Leistungen/Produkte werden vom Kunden nicht anerkannt • Kaufmännische Risiken: Preiserhöhungen, Insolvenz, Währungsschwankungen • Technische Risiken: fehlerhafte Verfahren, Ausfall • Terminrisiken: verspätete Lieferung(en), mangelhafte Zeitplanungen • Ressourcenrisiken: erhöhter Verbrauch, Nichtbereitstellung von Personal • Politische Risiken: a) echte Politische Risiken: Gesetzesänderungen, Wahlen; b) politische Risiken innerhalb des Unternehmens: Führungswechsel, Teamkonflikte, Wertvorstellungen

178

T. B. Holland und S. Holland

• Natürliche Risiken: ungeeignetes Wetter • Nicht tolerierbare Risiken: Gefahr für Leib und Leben, Gefahr für Unternehmensexistenz, Diskriminierung/Mobbing, Gefahr für Umwelt, Gesetzesübertretungen. Eine solche Kategorisierung ist nicht zwingend auf das Unternehmen als solches zu beziehen, sondern im Falle von KMU insbesondere auf einzelne oder miteinander verbundene Vorhaben, mithin Projekte, wie beispielsweise einzelne Aufträge, die im Gesamtablauf des Unternehmens einzugliedern sind, verstanden werden können. Sofern man diesen interdisziplinären Ansatz verfolgt, ließe sich der Anwendungsleitfaden Risikomanagement nach DIN IEC 62198 als Verständnisbasis zugrunde legen: „Risikomanagement ist die systematische Anwendung von Managementgrundsätzen, -verfahren, -praktiken zur Festlegung des Kontextes, zur Identifizierung, Bewertung, Beurteilung, Steuerung/Bewältigung, Überwachung und Kommunikation von Risiken derart, dass Organisationen auf wirtschaftliche Weise Verluste minimieren und Chancen optimieren können.“ (vgl. www.beuth.de/ de/norm/din-en-62198/207337712). Die Zielgruppe dieser Norm besteht aus Entscheidungsträger, Risikomanager und Personen mit Geschäftsfunktion. Darüber hinaus soll jeder (Mitarbeiter) in den Prozess des Risikomanagements einbezogen sein. Zur systematischen Anwendung eines Risikomanagements empfiehlt es sich, die sieben Stufen des Risikomanagements nach ICB 3.0 (vgl. www.gpm-ipma.de/ fileadmin/user_upload/GPM/Qualifizierung_Zertifizierung/National_Competence_ Baseline_R09_NCB3_V07.pdf und siehe auch hierzu: IPMA (Hrsg.) (2006). ICB – IPMA International Project Management Association Competence Baseline Version 3.0) und DIN IEC 62198 zu berücksichtigen: 1. Identifikation der Risiken 2. Risiken vor Maßnahmen bewerten: Qualitative Analyse samt monetärer Bewertung 3. Maßnahmenplanung: präventiv und korrektiv 4. Situation nach Maßnahmen bewerten: Risikosteuerung und Risikobewältigung 5. Entscheidung über Maßnahmen fällen 6. Maßnahmen planen, durchführen und überwachen: Risikoüberwachung und Risikoauswertung 7. Erfahrungswerte sammeln für künftige Vorhaben Die Auseinandersetzung mit möglichen Risiken (Kurzdefinition: ein Ereignis mit negativen Folgen) sollte möglichst frühzeitig, beispielsweise im Vorfeld der Erstellung eines Angebotes, erfolgen. Die Risikoidentifikation ist Basis und der erste Schritt zu einem erfolgreichen Risikomanagement. Ziel ist es, möglichst alle etwaigen Risiken zu erfassen. Dabei ist zu beachten, dass die lückenlose Identifikation der Risiken kein statischer,

Strukturierte Risiko-Management-Systeme für kleine und …

179

sondern vielmehr ein generischer Prozess ist, der im Laufe eines Vorhabens stets überwacht und angepasst werden muss (= Risikocontrolling). Die Identifikation möglicher Risiken basiert oftmals auf Erfahrungswerten oder auch bereits festgelegten Bestandteilen des Vorhabens, kann aber auch mittels Kreativitätstechniken (Brainstorming, Mind Mapping) vervollständigt werden. Wichtig ist hierbei, die Vollständigkeit der Risikoidentifikation durch Einbezug der am Vorhaben beteiligten Mitarbeiter mit ihren verschiedenen Blickwinkeln, Erfahrungen und Expertisen zu gewährleisten. Im Zweifel ist es sogar ratsam, zunächst eher viele Risiken (auch solche mit geringer Eintrittswahrscheinlichkeit) zu benennen und sie später wieder zu verwerfen, um die Gefahr zu minimieren, Risiken zu übersehen. Es folgt die qualitative Risikoanalyse, in der die zum derzeitigen Stand identifizierten Risiken beschrieben werden. Es empfiehlt sich im Sinne der Übersichtlichkeit, eine tabellarische Form zu wählen (siehe Anwendungsbeispiel unten); hierbei werden Risikoart, Risikobeschreibung, Ursache und die Auswirkung(en) festgehalten. Anschließend erfolgt die erste monetäre Bewertung der Risiken. Gegenstand dieser Analyse sind die beiden Determinanten, die das Risikopotenzial erfassen: Eintrittswahrscheinlichkeit (EW) und Tragweite/Schaden (TW). Beide können auf realistischen Einschätzungen und Erfahrungswerten beruhen. In diesem Schritt werden zunächst die Risiken und ihre Folgen ohne entsprechende Maßnahmen dargestellt. Dieser Schritt ist notwendig, um die erfassten Risiken und deren finanziellen Auswirkungen sichtbar (quantifizierbar) zu machen, und zudem, um das Abwägen zwischen Risiken und entsprechenden Maßnahmen im Hinblick auf Kosten und Aufwand zu ermöglichen. Vor der zweiten monetären Bewertung kommt ein wesentlicher Bestandteil des Risikomanagements, die Risikovorsorgestrategien, zur Anwendung. Sie dienen dazu, mögliche Schäden zu vermeiden (Präventivstrategie) oder im Schadensfall zu begrenzen (Korrektivstrategie). Es lassen sich insgesamt fünf Maßnahmen in den zwei Kategorien anwenden: Kategorie 1: Präventive Maßnahmen 1. Risikovermeidung: Risiko gar nicht erst eingehen, im Vorfeld ausschließen 2. Risikoverminderung: Eintrittswahrscheinlichkeit durch Vorbeugung verringern 3. Risikoakzeptanz: keine Vorsorgemaßnahmen, da die teurer wären als der mögliche Schaden 4. Risikoverlagerung: auf andere Organisationen (Dritte) übertragen (Transfer); zum Beispiel Versicherungen Kategorie 2: korrektive Maßnahmen 5. Risikobegrenzung: Schaden ist bereits entstanden, Ausmaß und Folgen begrenzen.

180

T. B. Holland und S. Holland

Die zweite monetäre Bewertung erfolgt nun unter Berücksichtigung der zuvor erarbeiteten Maßnahmen und ist somit eine Neubewertung der Risiken. Abschließend ist es möglich, fundierte und insbesondere nachweisbare Entscheidungen bezüglich aller erfassten Risiken und der entsprechenden Maßnahmen und somit auch hinsichtlich des Gesamtvorhabens und im weiteren Rahmen auch im Hinblick auf den zu sichernden Unternehmenserfolg zu treffen.

2 Anwendungsbeispiel: Risikoanalyse Das KMU XYZ ist ein Dienstleistungsunternehmen. Im Folgenden wird beispielhaft eine Risikoanalyse im Rahmen einer Angebotserstellung/Auftragsannahme mit dem Gesamtwert von 130 000 € eines Neukunden dargestellt. Als Basis hierfür dient der interdisziplinäre Ansatz, das Vorgehen einer Risikobewertung dem Projektmanagement zu entlehnen. Im Rahmen der Grobplanung der Angebotsund Auftragsplanung fand ein Treffen aller beteiligten Mitarbeiter zur ersten Risikobetrachtung statt. Die Risiken wurden mittels Kreativtechniken identifiziert. Es flossen Erfahrungswerte der Mitarbeiter und des Führungspersonals ein. Im Folgenden werden mögliche, zum derzeitigen Stand zu identifizierende, Situationen mit negativen Folgen beschrieben.

2.1 Qualitative Risikoanalyse

Code Risikoart

Risikobeschrei­ bung

Ursachen

Auswirkungen

RO1

Finanzierungs­ risiko

Der Auftrag basiert auf einer Anzahlung (60 % des Gesamtpreises), welche zu einer Vorfinan­ zierung seitens des Unternehmens zu 40 % führt;

Stagnation/Abbruch der Auftragsabwicklung Das KMU XYZ ist durch mangelnde Vorfinanzierungsmöglichkeiten nicht in der Lage den Auftrag gemäß vertraglichen Vereinbarungen durchzuführen: Juristische Folgen; Imageschaden;

Kaufmännisch

Strukturierte Risiko-Management-Systeme für kleine und … Code Risikoart

Risikobeschrei­ bung

181

Ursachen

Auswirkungen

RO2

Ressourcen Verzögerung in der Bearbeitungszeit einzelner/mehrere notwendiger (Arbeits-) Schritte

Ein oder mehrere beteiligte/verantwortliche Mitarbeiter fallen längerfristig/ gleichzeitig aus;

Verzögerungen in der Auftragsabwicklung Das KMU XYZ muss Ersatz für den personellen Ausfall beschaffen bzw. die Aufgabenbewältigung kompensieren (Übernahme von Teilaufgaben durch andere Mitarbeiter)

RO3

Juristisch

Nicht geprüft Dienstleister (Werk-)vertrag

Externe Dienstleister werden vertraglich verpflichtet, die Verträge nicht juristisch überprüft und sind mangelhaft;

Mehrkosten Neuverhandlungen von Vertragsgegenständen; ggbfs. Vertragsstrafen;

RO4

Leistung

Schwierigkeiten im Abnahmeprozess

Mehrkosten Der Kunde verweigert die Abnahme Nachbesserungen; Mögliche juristische Folgen; des Produktes

RO5

Leistung

Missachtung des Wartung

Der Kunde nimmt nicht die angebotene Dienstleistung der Wartung seitens des Unternehmens in Anspruch;

Mehrkosten; Imageschaden Das Produkt muss evtl. repariert/ausgetauscht werden; Möglicher Imageschaden behoben werden;

2.2 Quantitative Bewertung der Risiken und Maßnahmen zur Risikobegegnung Um die erfassten Risiken und deren finanziellen Auswirkungen sichtbar (quantifizierbar) zu machen, erfolgt nun aus der qualitativen Ersterfassung die quantitative erste Bewertung (vor Maßnahmendurchführung) der Risiken. Grundlage der Bewertung der Eintrittswahrscheinlichkeit (EW) und Tragweite (TW) sind Schätzwerte erfahrener Mitarbeiter und Führungskräfte. Die nachfolgende Tabelle stellt eine quantitative Risikoanalyse dar (Erste Bewertung zum Stand: Anfang der Angebotsplanung, Bewertung vor Maßnahmendurchführung).

Ressourcen

Jurist.

Leist.

Leist.

RO2

RO3

RO4

RO5

Summe

Kfm.

RO1

10

15

15

10

25

Risikoart EW %

Code

10 000

10 000

10 000

21 600

130 000

TW €

1500

Ja 0 (Bestandteil des Auftrags)

M1: präventiv: verlagern Juristische Ausarbeitung und Prüfung der Verträge M1: präventiv: vermeiden Regelmäßige Teilabnahme des Produktes durch den Kunden

Leitender Mitarbeiter

Leitender

Leitender Mitarbeiter + jur. Berater

1500 =Kosten zur Risikovorsorge

Ja 0 M1: präventiv: vermeiden (Bestandteil Wartung des Produktes durch das Unternehmen ist Vertragsbestandteil des Kaufvertrages)

Ja

0 (Prüfung durch internen Mitarbeiter)

M1: präventiv: vermindern Etwaige Ersatzmöglichkeiten im Vorfeld abfragen M2: korrektiv: begrenzen • Neueinteilung der Arbeitsschwerpunkte; • Einsatz Ersatzpersonal: • Kürzung Leistungsumfang;

Leitender MitM1: Ja M2: Nein arbeiter (zum derzeitigen Zeitpunkt)

M1: Ja Leitender Mit0 M2: Nein arbeiter (Prüfung durch interne Mitarbeiter)

Verantwortliche/r

M1: präventiv: vermeiden Vorfinanzierung vor Auftragserteilung gesichert M2: korrektiv: begrenzen Ablehnung des Auftrags

Maß. Ja/nein

Kosten €

Strategie und Maßnahme

38 660 =29,74 % des Gesamtbudgets (130 000 €)

1000

500

1500

2160

2500

RW €

182 T. B. Holland und S. Holland

Strukturierte Risiko-Management-Systeme für kleine und …

183

Fazit

Die erste Bewertung der Risiken vor Maßnahmendurchführung ergibt einen Gesamtrisikowert von 38 660 €; dies entspricht 29,74 % des Gesamtbudgets. Die Gesamtkosten der Risikovorsorge ergeben laut der ersten quantitativen Risikoanalyse: 1500 €.

Um bereits jetzt den zuvor dargestellten Risiken begegnen zu können, werden im Folgenden die geeigneten Maßnahmen näher vorgestellt; mit dieser Risikovorsorgestrategie sollen mögliche Schäden vermieden (Präventivstrategie) oder im Schadenfalls begrenzt (Korrektivstrategie) werden. Die Strategien richten sich nach der derzeitigen Analyse der Grobplanung und werden im Laufe des Auftrages stetig angepasst. Das Risikocontrolling übernimmt der leitende Mitarbeiter. Im nächsten Schritt werden Strategien und Maßnahmen erarbeitet, um den zuvor identifizierten Risiken zu begegnen. Strategien und Maßnahmen M1 Präventive Strategie: Risikovermeidung Konkrete Maßnahme: Es wird eine umfangreiche Prüfung vor Angebotsabgabe durchgeführt. Nur im Falle der gesichteten Vorfinanzierung wird ein Angebot abgegeben Korrektive Strategie: Risikobegrenzung Konkrete Maßnahme: Auftragsabbruch M2 Präventive Strategie: Risikoverminderung Konkrete Maßnahme: Etwaige Ersatz-Mitarbeiter aus anderen Abteilungen vor Auftragsbeginn ausfindig machen; Bereitschaft zur Mitarbeit (Krankheitsersatz) abfragen Korrektive Strategie: Risikobegrenzung Konkrete Maßnahme: Neueinteilung der Arbeitsschwerpunkte im Mitarbeiterteam; Leistungsumfang anpassen/kürzen M3 Präventive Strategie: Risikoverlagerung Konkrete Maßnahme: Juristische Ausarbeitung und Prüfung der Verträge M4 Präventive Strategie: Risikovermeidung Durch im Vorfeld festgelegte Teilabnahmen des Produktes durch den Kunden wird der finale Abnahmeprozess garantiert M5 Präventive Strategie: Risikovermeidung Im Kaufvertrag wird die notwendige Folgewartung des Produktes und die damit verbundene Garantieleistung unmittelbar mit der Wartung durch das Unternehmen XYZ festgelegt

184

T. B. Holland und S. Holland

Durch die nun sondierten Maßnahmen kann eine Neubewertung der Risiken in der Grobplanung erfolgen: Um die Abwägung der zum jetzigen Zeitpunkt ermittelten Risiken und derzeit anwendbare (präventive) Maßnahmen und damit verbundene Kosten vollständig durchführen zu können, wird in der folgenden Tabelle die quantitative Risikoanalyse nach Maßnahmendurchführung dargestellt (Stand: Anfang der Angebotsplanung Bewertung nach Maßnahmendurchführung). RW € Neu

Strategie und Maßnahme

Code

Risikoart

EW TW € % Neu Neu

RO1

Kaufmännisch

5

130 000 6500 M1: präventiv: vermeiden Vorfinanzierung vor Auftragserteilung gesichert

RO2

Ressourcen

3

5000

150

M1: präventiv: vermindern Etwaige Ersatzmöglichkeiten im Vorfeld abfragen

RO3

Juristisch

3

1500

45

M1: präventiv: verlagern Juristische Ausarbeitung und Prüfung der Verträge

RO4

Leistung

5

1000

50

M1: präventiv: vermeiden Regelmäßige Teilabnahme des Produktes durch den Kunden

RO5

Leistung

3

1000

30

M1: präventiv: vermeiden Wartung des Produktes durch das Unternehmen ist Vertragsbestandteil

Summe

6775 = 5,21 % des Gesamtbudgets (130 000 €)

Fazit Risiken

Die Risikoanalyse ergibt, dass das Risikopotenzial (Gesamt-Risikowert) von knapp 30 % des Gesamtbudgets mit 38 660 € (Erstbewertung vor Maßnahmen) auf circa fünf Prozent (Zweitbewertung nach Maßnahmen) reduziert werden kann, sofern die Präventivmaßnahmen umgesetzt werden. Die Wirksamkeit der Risikovorsorge ist stetig zu überwachen. Der Auftrag kann zum derzeitigen Zeitpunkt der Grobplanung als risikoarm mit beherrschbaren Restrisiken bezeichnet werden.

Strukturierte Risiko-Management-Systeme für kleine und …

185

Fazit Chancenpotenzial Durch die Risikoanalyse wird ersichtlich, dass die Auftragsabwicklung durch angemessene Maßnahmen als Bestandteil des Risikomanagements zu einem chancenreichen und lukrativen Auftrag für das Unternehmen wird. Beschluss: Das ermittelte Ergebnis zur Risikoanalyse führte zu dem Beschluss, dass die präventiven Maßnahmen zur Risikominimierung durchgeführt werden müssen. Die dadurch entstehenden Maßnahmenkosten von 1500 € werden im Kostenplan unter Sachkosten aufgenommen. Es wird eine Risikorücklage von 7 % (Aufstockung um knapp 2 %) gebildet. Mit der Aufstockung können weitere, sich im Laufe des Vorhabens ergebende Risiken (zum Beispiel Lieferverzögerungen) aufgefangen werden. Das Risiko-Monitoring übernimmt der leitende Mitarbeiter.

Es können bei der Risikoanalyse auch weitere Größen, wie zum Beispiel der Zeitpunkt, an dem ein Risiko erkannt wird, berücksichtigt werden. Zudem können mögliche Beziehungen zwischen Risiken untersucht werden; oftmals besteht eine Abhängigkeit zwischen Risiken: Sie können einander a) verstärken b) bedingen und/oder c) ausschließen. Dies hat zur Folge, dass bestimmte Maßnahmen Einfluss auf mehrere Risiken ausüben, was zu berücksichtigen ist.

2.3 Stakeholder-Analyse Der Erfolg der Einführung, Umsetzung und Anwendung eines Risikomanagements hängt maßgeblich von dem Bemühen ab, hierfür eine Unternehmenskultur zu entwickeln. Keiner mag der Überbringer schlechter Nachrichten sein – letztlich ist aber der Erfolg einzelner Vorhaben und damit der mittel- bis langfristige Erfolg der gesamten Unternehmung abhängig von einem strategischen Umgang mit Risiken. Um diesen gewährleisten zu können, ist das Unternehmen und insbesondere die Führungsebene auf die Mitarbeit aller Beteiligten (Stakeholder) angewiesen. Eine ausführliche Stakeholder-Analyse (Caroll, A. B. und Näsi, J., 1997; Clarkson, M. B. E., 1995.) gehört somit ebenfalls zu einer umfassenden Risikoanalyse. Zu den einflussreichsten Beteiligten gehören die Mitarbeiter des Unternehmens: ihre Erfahrung, Überblick über die einzelnen Vorhaben und die Zusammenhänge sowie die Gesamtstrategie, kurz: ihre unmittelbare Beteiligung in allen Belangen der Unternehmung ist vermutlich das beste

186

T. B. Holland und S. Holland

Risikofrühwarnsystem. Daher sollte tunlichst vermieden werden, Bemühungen der Mitarbeiter durch Hinweise oder Anmerkungen zum „Bedenkenträgertum“ zu degradieren; vielmehr sollte durch eine gezielte Kommunikationspolitik die Unternehmenskultur daraufhin ausgerichtet werden, sämtlichen Einschätzungen eine Plattform zu bieten. Nicht zuletzt mit dem Effekt, hierdurch ein bereits vorhandenes Tool sinnvoll in das Vorhaben, ein Risikomanagementsystem im strategischen Sinne zu etablieren und/oder zu optimieren, einzubeziehen. Insbesondere auch im Hinblick auf die Ressourcenpolitik eines jeden Unternehmens trägt die unmittelbare und mit Einfluss versehene Meinung der Mitarbeiter hinsichtlich möglicher Risiken und dem geeigneten Umgang mit ihnen zur Steigerung der Mitarbeitermotivation, dem individuellen Verantwortungsbewusstsein und insbesondere der Unternehmenszugehörigkeit bei. Letzteres ist durchaus ein Merkmal, welches sich häufig KMU in Abgrenzung zu Großkonzernen bedienen.

3 Informantenschutz Insbesondere auch im Hinblick auf die aktuell neu entfachte Debatte über den Umgang mit sogenannten Whistleblowern, deren Aufdeckungsarbeit häufig Fälle aus der Kategorie ‚nicht tolerierbare Risiken‘ offenlegen und die hieraus resultierenden Bemühung der Gesetzesgeber – gegenwärtig vor allem europäischer Ebene durch die EU-Kommission (www.zeit.de) – sowohl einen rechtlichen Schutz zu entwickeln als auch die Unternehmen in die Pflicht zu nehmen, interne Strukturen zum Schutz solcher Informanten bereitzustellen, lässt sich die Notwendigkeit einer offenen Informationspolitik als Bestandteil des Risikomanagements unterstreichen.

4 Risikomanagement ist Chancenmanagement Im Zuge der Diskussion um risikobezogene Analysen ist anzumerken, dass jedes Risikomanagement zugleich ein Chancenmanagement (DeMarco und Lister 2003) ist. Die intensive Auseinandersetzung mit etwaigen Risiken ermöglicht es, Chancen zu erkennen, auszubauen und sie womöglich sogar aus dem geeigneten Umgang (= Maßnahmen) mit frühzeitig identifizierten Risiken zu entwickeln. Sei es der Großauftrag, dessen Ressourcen-, Zeit- und Kostenaufwand im Verhältnis zum Erfolg im Vorfeld der Bewertung als eher kritisch einzuschätzen war, der aber nun durch das institutionalisierte Risikomanagement den Eintritt von Gefahren minimiert und somit den Auftrag zu einer echten Chance für das

Strukturierte Risiko-Management-Systeme für kleine und …

187

Unternehmen macht, oder die gezielte Kommunikation mit einem Auftraggeber auf Basis eines professionalisierten und somit funktionierenden und nachvollziehbaren Risikomanagements, durch die die Kundenzufriedenheit unberührt bleibt – die Einführung eines institutionalisierten Risikomanagements ist sowohl im operativen als auch strategischen Sinne zu empfehlen.

5 Risiken und Abhilfemaßnahmen Den Risikokategorien sind realistische und effektive Abhilfemaßnahmen gegenüberzustellen; diese sind zu differenzieren nach den einzelnen Risiken je Kategorie. Es bietet sich an, je Risiko mehr als eine konkrete Abhilfemaßnahme zu formulieren und darzustellen, zu welchem Ergebnis die Anwendung der Abhilfemaßnahme führen wird, denn hieraus kann abgeleitet werden, ob zusätzliche Maßnahmen erforderlich sein werden, ob die Abhilfemaßnahme lang- oder kurzfristigen Erfolg bewirkt, und/oder ob durch die Abhilfemaßnahme neue Risiken entstehen. Um dies übersichtlich darzustellen, kann eine farbliche Markierung (Ampel) verwendet werden, sodass Grün für unproblematisch, Gelb für schwierig und Rot für hochgradig gefährdet steht. Hierdurch erhält das Unternehmen einen Notfallplan in Form spezifischer Handlungsanweisungen für den Fall, dass ein potenzieller Risikofall tatsächlich eintritt. Ein solcher Risiko- und Gegenmaßnahmenplan wird zu einem nur geringen Teil statisch sein, vielmehr ist er insbesondere dann als generisch anzusehen, wenn er sich auf Projekte bezieht, wobei hier deren Komplexität und insbesondere die Einbeziehung Externer in deren Umsetzung den generischen Charakter intensiviert, da hierdurch die Erwägung von Risiken über die Projektpartner einzubeziehen ist.

6 RSM-Beauftragter In Anlehnung an Datenschutz- und Geldwäschebeauftragte sollte die Bestellung eines Beauftragten für Risiko- und Sicherheitsmanagement überlegt werden (RSM-Beauftragter). Bei einem solchen RSM-Beauftragten kann es sich um eine interdisziplinär ausgebildete Person handeln, die inner- oder außerhalb eines Unternehmens angesiedelt ist, sodass ein Berufsbild für Angestellte ebenso wie Selbstständige gegeben ist.

188

T. B. Holland und S. Holland

In jedem Fall muss bei der Funktion eines RSM-Beauftragten berücksichtigt werden, dass dieser verpflichtend in alle Unternehmensgänge einzubeziehen ist und aktiv über Entwicklungen umgehend zu informieren ist. Zudem muss vorgesehen werden, dass die Einschätzung des RSM-Beauftragten gehört und in das Vorgehen des Unternehmens einbezogen wird – auch wenn dieses Einbeziehen lediglich darin bestehen sollte, Gründe zu liefern, weshalb der Rat des RSM-Beauftragten nicht berücksichtigt wird. Erst hierdurch kann der RSM-Beauftragte seiner Funktion als Kontrollinstanz auch auf Ebene der Früherkennung von Gefahren gerecht werden. Weil zum 14. September 2018 die Übergangsfrist für Unternehmen hinsichtlich der Gültigkeit der ISO 9001:2008 endet und die Zertifizierung nach ISO 9001:2015 stattdessen einschlägig sein wird, ist die maßgebliche Neuerung der ISO 9001:2015 die Einbeziehung des betrieblichen Risikomanagements für KMU ein nicht nur rein formal relevanter Aspekt: Da sich im Kontext der Änderungen zum Geldwäschegesetz aus Juli 2017 zum Zwecke der Umsetzung der EU-Richtlinie zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung sowie der neuen EU-Datenschutzverordnung ein mehrschichtiges Regelungsgefüge ergibt, das Auswirkungen auf das Risiko- und Sicherheitsmanagement von Unternehmen nicht nur in Deutschland zur Folge hat, liegt nunmehr ein Regelungsgefüge vor, das einer vertieften und kohärenten Reihe von Maßnahmen aller Unternehmen unabhängig von ihrer Größe oder dem Sektor, in dem sie tätig sind, bedarf. Insgesamt führen die Bestimmungen dazu, dass ein Allgemeines Risikomanagement verstärkt zu berücksichtigen ist, indem ein risiko- und gegenmaßnahmenbasierter Projekt- und Prozessmanagement-Ansatz Anwendung findet, um dieses umfassend zu implementieren. Da hervorzuheben ist, dass die vorweggenommene strategisch-organisatorische Risikoanalyse umfasst, dass Whistleblower hinreichend berücksichtigt werden und Controlling-Einheiten in Unternehmen ebenso wie die zuständigen Aufsichtsbehörden geeignete Möglichkeiten zur Verfügung haben, um den Austausch relevanter Informationen gesichert vollziehen zu können, bietet das Tätigkeitsfeld des RSM-Beauftragten die Möglichkeit, auf dieser Ebene Wirksamkeit zu entfalten. Zugleich zeigt sich, dass Elemente aus dem Projektmanagement in verstärktem Maße auch in den unternehmerischen Alltag übertragbar sind. Diese Möglichkeit sollte daher auch in Anspruch genommen werden, um eine planbare Flexibilität mit einschätz- und quantifizierbaren Risiken und Abhilfemaßnahmen von Unternehmen auf agilen Märkten zu erreichen. Dies würde zum einen dazu beitragen, den Bestand eines Unternehmens langfristig zu sichern, zum anderen die Arbeitsplatzsicherheit befördern und somit die Mitarbeiter einbinden in die Gestaltung der Unternehmensentwicklung. Hierzu wäre erforderlich, Mitarbeiter

Strukturierte Risiko-Management-Systeme für kleine und …

189

entsprechend zu schulen, insbesondere durch den Erwerb von entsprechenden Zertifikaten wie durch die IPMA-GPM in Deutschland angeboten. Eine andere oder zusätzliche Möglichkeit ergibt sich aus spezialisierten Studiengängen, die besondere Kenntnisse im Bereich Risiko- und Sicherheitsmanagement vermitteln; ein solches Angebot findet sich beispielsweise in Form des RSM-Studiengangs an der Hochschule für Öffentliche Verwaltung Bremen. In jedem Fall wäre darauf zu achten, dass neben klassischen RSM-Ansätzen auch Elemente des Projektmanagements Teil des Studiums sind, ebenso wie Aspekte, die den Bereich des Controlling umfassen, um in Zusammenarbeit mit existierenden internen und/oder externen Kontrollinstanzen wie Steuerberatern Risikoabwehrmaßnahmen entwickeln und im Fall der Fälle auch umsetzen zu können.

Literatur Caroll, A. B., & Näsi, J. (1997). Understanding stakeholder thinking: Themes from a finnish conference. Business Ethics. A European Review, 6(1), 46–51. Clarkson, M. B. E. (1995). A stakeholder framework for analyzing and evaluating corporate social perfomance. The Academy of Mangament Reviews, 20(1), 92–117. DeMarco, T., & Lister, T. (2003). Bärentango. Mit Risikomanagement Projekte zum Erfolg führen. Wien: Hanser. Ehses, H. (Hrsg.). (1999). Unternehmensschutz: Praxishandbuch Werksicherheit. Stuttgart: Verlag Boorberg. IPMA (Hrsg.). (2006). ICB – IPMA international project management association competence baseline version 3.0. Nijkerk: IPMA.

Rechtsakte Aktiengesetz vom 6. September 1965 (BGBl. I S. 1089), zuletzt durch Artikel 9 des Gesetzes vom 17. Juli 2017 (BGBl. I S. 2446) geändert. Empfehlung der Kommission 2003/361/EG, ABl. L 124 v. 20.5.2003, S. 36. Gesetz zur Umsetzung der Vierten EU-Geldwäscherichtlinie, zur Ausführung der EU-Geldtransferverordnung und zur Neuorganisation der Zentralstelle für Finanztransaktionsuntersuchungen vom 23. Juni 2017 BGBl. 2017 Teil I Nr. 39, 24. Juni 2017. Regierungspräsidium Darmstadt, Allgemeinverfügung zur Bestellung eines Geldwäschebeauftragten nach § 9 Abs. 4 Satz 3 des Gesetzes über das Aufspüren von Gewinnen aus schweren Straftaten (Geldwäschegesetz – GwG), Staatsanzeiger für das Land Hessen Nr. 20/2013 vom 13. Mai 2013, S. 637 ff. Richtlinie (EU) 2015/849 des Europäischen Parlaments und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung, zur Änderung der Verordnung (EU) Nr. 648/2012 des Euro-

190

T. B. Holland und S. Holland

päischen Parlaments und des Rates und zur Aufhebung der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates und der Richtlinie 2006/70/EG der Kommission, OJ 141, 5.6.2015, S. 73. Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), OJ L 119, 4.5.2016, S. 1 ff. Verordnung (EG) 736/2008, ABl. L 201 v. 30.07.2008, S. 16 ff.; Art. 2, V VO (EG) 1857/2006, ABl. L 358 v. 16.12.2006, S. 3 ff. Vorschlag für eine VO des Rates über das Statut der Europäischen Privatgesellschaft. http:// ec.europa.eu/internal_market/company/docs/epc/proposal_de.pdf.

Gerichtsentscheidungen EuGH, C-222/04, Cassa di Risparmio di Firenze u. a., Slg. 2006, I-0000. EuGH, Rs. 209 bis 215 u. 218/78, van Landewijk/KOM, Slg. 1980. EuGH, Rs. 94/74, IGAV/ENCC, Slg. 1975, I-699. EuGH, Rs. 17 u. 20/61, Klöckner u. Hoechst/Hohe Behörde, Slg. 1962, I-653. EuGH, Rs. 19/61 Mannesmann/Hohe Behörde, Slg. 1962, I-717. EuG, Rs. T-6/89, Enichem Anic/KOM, Slg. 1991, II-1623. EuG, Rs. T-11/89 Shell/KOM, Slg. 1992, II-757.

Internet www.beuth.de/de/norm/din-en-62198/207337712. www.gpm-ipma.de/fileadmin/user_upload/GPM/Qualifizierung_Zertifizierung/National_ Competence_Baseline_R09_NCB3_V07.pdf. www.zeit.de/politik/ausland/2018-04/eu-whistleblower-schutz-gesetz.

Krisenmanagement bei Entführungen und Erpressungen Marc Brandner und Pascal Michel

1 Einleitung Entführungen zur Erpressung eines Lösegeldes sind ein weltweit verbreitetes Phänomen. Weil viele Fälle nicht gemeldet werden, sind zuverlässige Angaben zur Anzahl der Entführungen nicht vorhanden. Schätzungen schwanken sehr stark. Der Bundesnachrichtendienst (BND) vermutet auf seiner Internetseite (www.bnd.bund.de) jährlich mindestens 50.000 Entführungen weltweit und stellt eine Zunahme der Fallzahlen fest. Die Einschätzung des BND ist damit im Vergleich zu anderen Quellen recht niedrig. So geht der Spiegel Online in einem Artikel vom 14. Dezember 2013 (www.spiegel.de) von weltweit über 500.000 Entführungen aus, 105.000 davon allein in Mexiko. Abseits von unterschiedlichen Häufigkeitszahlen ist aber wohl festzuhalten, dass nicht nur die Fallzahlen ansteigen, sondern sich diese Kriminalitätsform auch geografisch ausbreitet. Für deutsche Unternehmen mit einem hohen Reiseaufkommen oder Niederlassungen im Ausland, aber auch für Hilfsorganisation, welche sich weltweit in Projekten der Entwicklungshilfe engagieren, bedeutet dies eine höhere Risikoexposition. Lösegelderpressungen sind in mancherlei Hinsicht verwandt mit Entführungen, und beide werden daher gemeinsam in diesem Kapitel behandelt. „Bedrohungen“ im Sinne des deutschen Strafgesetzbuches bleiben a­usgeklammert, da es ihnen

M. Brandner (*) · P. Michel  SmartRiskSolutions GmbH, Grünwald, Deutschland E-Mail: [email protected] P. Michel E-Mail: [email protected] © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_10

191

192

M. Brandner und P. Michel

der Bereicherungsabsicht ermangelt. Wie in der Entführung auch, geht es den Kriminellen bei der Lösegelderpressung darum, durch Druck größere Geld­ summen zu erpressen. Immer wieder machen in Deutschland Nachrichten von Produkterpressungen Schlagzeilen. Im September 2017 brachte ein Erpresser fünf Gläschen vergifteter Babynahrung in einem Friedrichshafener Supermarkt aus und forderte einen zweistelligen Millionenbetrag. Die Erpresserforderungen richten sich bei Produkterpressungen regelmäßig an den Handel oder den Hersteller. Ende 2017 wurde der Logistikdienstleister DHL erpresst, als ein Täter sprengfähige Pakete in der Logistikkette des Unternehmens in Umlauf brachte und Geld forderte. Auch im Ausland werden deutsche Unternehmen, insbesondere wenn sie dort Niederlassungen betreiben, Opfer von Erpressungen aller Art. Auch im Ausland sind Unternehmen von Erpressungen betroffen, und die Fallhäufigkeit ist grundsätzlich wesentlich höher als bei Entführungen.

2 Grundlagen 2.1 Allgemeines und Begriffsbestimmungen Im deutschen Strafgesetzbuch (StGB) ist im „§ 239a StGB Erpresserischer Menschenraub“ festgelegt, was unter einer „Entführung“ beziehungsweise im „§ 253 StGB“, was unter einer „Erpressung“ zu verstehen ist. Beim erpresserischen Menschraub wird ein Mensch entführt oder sich dessen bemächtigt, um diejenigen, welche sich um das Wohl des Entführten sorgen, nach § 253 StGB zu erpressen. Das StGB grenzt die „Geiselnahme“ im § 239b von der „Entführung“ im Nötigungstatbestand nach § 240 StGB anstatt der erpresserischen Absicht der Täterschaft ab. Polizeitaktisch unterscheidet sich die Entführung von der Geiselnahme dadurch, dass bei einer Geisellage der Aufenthaltsort der Opfer bekannt ist, bei der Entführung jedoch nicht. Insofern ist es fehlerhaft, bei entführten Personen von „Geiseln“ zu sprechen, und dieser Artikel wird daher von „Entführungsopfern“ beziehungsweise „Opfern“ sprechen. Eine Erpressung gemäß § 253 StGB liegt vor, wenn jemand in unrechtmäßiger Bereicherungsabsicht einen Menschen durch Gewalt oder Androhung eines Übels zu Handlungen, Duldung oder Unterlassung nötigt und diesem dadurch ein Vermögensnachteil oder sonstiger Nachteil entsteht. Die Bedrohung nach § 241 StGB grenzt sich von der Erpressung im Wesentlichen durch die fehlende Bereicherungsabsicht der Täterschaft ab.

Krisenmanagement bei Entführungen und Erpressungen

193

2.2 Rechtliche Aspekte Gerade bei Entführungen im Ausland beziehungsweise wenn die Opfer einen ausländischen Pass haben, sind die nationalen Gesetzgebungen zu berücksichtigen, und Entführungsfälle können sich verkomplizieren. In Italien und Venezuela beispielsweise ist das Zahlen von Lösegeldern gesetzlich untersagt. Zahlungen an (terroristische) Gruppen, Organisationen und Einzelpersonen können seitens der UN, der EU oder einzelner Staaten sanktioniert sein. Besonders Großbritannien und die USA verfügen über umfängliche Sanktionslisten und eine restriktive Auslegung von Anti-Terror-Gesetzen. Es soll hier darauf hingewiesen werden, dass die USA die Tendenz haben, ihre nationalen Sanktionsgesetze als internationalen rechtsverbindlichen Maßstab und daher auch für ausländische Einzelpersonen, Firmen und Organisationen als bindend anzusehen. Ein Verstoß gegen US-Recht kann daher später Rechtsfolgen für eine Nicht-US-Firma oder -Organisation auslösen, wenn sie in irgendeiner Form im US-Rechtsraum bereits aktiv ist oder noch wird. Auch Versicher haben gesetzliche Sanktionsklauseln in ihren Vertragswerken widergespiegelt, und es ist daher klug, im Vorfeld zu prüfen, unter welchen Bedingungen bestimmte Versicherungsleistungen nicht mehr gedeckt sind. Im Zuge der in der Vergangenheit verschärften Geldwäsche- und Antikorruptionsgesetze wird es auch immer schwieriger, größere Summen für Lösegeldzahlungen von Banken abzuziehen oder zu transferieren. Folglich sollte in einem Entführungs- oder Erpressungsfall frühzeitig mit der Finanzplanung begonnen werden, sofern man sich für eine Erfüllungsstrategie entschieden hat. Rechtlich relevant sind auch potenzielle Schadensersatzklagen von Familienangehörigen und Opfern nach deren Freilassung. Eventuelle Klagen zielen dabei in der Regel gegen den Arbeitgeber und dessen (vermeintliche) Verletzung der Fürsorgepflicht. Es ist auch hier – wie in anderen Bereichen internationalen Rechts – die Tendenz erkennbar, dass angelsächsische Rechtsnormen sich zunehmend durchsetzen. Dies betrifft auch die Höhe möglicher Schadenersatzansprüche. Hierbei wird das Gericht sicherlich auch prüfen, ob der eingesetzte Krisenberater über die erforderliche Fallerfahrung und Qualifikation verfügte. Im Erpressungskontext sind eine Reihe von nationalen und internationalen Gesetzen maßgeblich. So zum Beispiel das Gesetz zur Bekämpfung internationaler Bestechung (IntBestG) der UK Bribery Act und Gesetze anderer Nationen. Teilweise kann sich das Opfer auch durch Zahlung von Erpressungsforderungen strafbar und mithin wiederum erpressbar machen. Der Versicherungsschutz kann erlöschen, und es empfiehlt sich, je nach Fall und betroffenem Rechtsumfeld, Fachanwälte frühzeitig in das Krisenmanagement einzubeziehen.

194

M. Brandner und P. Michel

2.3 Entführungsarten Bei den Entführungsarten kann grundsätzlich unterschieden werden zwischen: Inszenierter Entführung Die Täterschaft täuscht vor, zumeist zusammen mit Komplizen, jemanden entführt zu haben. Die Entführung findet entweder gar nicht statt, oder das „Opfer“ wirkt freiwillig zur Erlangung eines Vorteils mit. Virtueller Entführung Die Täterschaft nutzt hier einen Zeitabschnitt aus, in dem das Opfer nicht erreichbar ist und gaukelt vor, das Opfer in ihrer Gewalt zu haben. Virtuelle Entführungen zeichnen sich zumeist durch eine häufige Täterkommunikation aus, da die Täter ja ein baldiges Auffliegen ihres Planes fürchten. Express Kidnapping  Beim Express Kidnapping wird das Opfer genötigt, mit seinen Geldkarten an Geldautomaten Barabhebungen zu tätigen. Wegen der Kartenlimits beginnen Express Kidnappings sehr häufig am späten Abend, um den Tageswechsel ausnutzen zu können. Im Anschluss wird das Opfer regelmäßig freigegeben. Tiger Kidnapping Beim Tiger Kidnapping bemächtigt sich die Täterschaft der Angehörigen einer Person, um diese dann zu nötigen, ihr Wertgegenstände zu verschaffen. Diese Entführungs- oder Geiselnahmevariante wird in Geschäftszweigen mit hohem Bargeldumlauf (Banken) oder hoher Wertdichte (Edelsteine, Edelmetalle etc.) angewandt. Seine Wurzeln hat dieser Kriminalitätsansatz in Großbritannien und Nordirland, wo die Irisch-Republikanische Armee (IRA) mit gleichem Ansatz immer wieder Personen nötigte, Sprengsätze zu legen. Die Bezeichnung „Tiger“ ist aus dem zugeordneten Polizeicodewort entstanden. Entführung zwecks Mordes  In diesem Fall steckt hinter der Entführungsabsicht immer die Ermordung des Opfers. Der Zweck der Ermordung ist dabei entweder eine Repressalie gegen das unerwünschte Handeln des Opfers oder mit ihm in Verbindung stehender Dritter. Oder aber das Opfer soll endgültig ausgeschaltet werden, weil es den Zielen der Täterschaft im Wege steht. Klassische Entführung Bei der klassischen Entführung geht es in der Regel darum, ein Lösegeld oder einen anderen Vorteil zu erpressen. Die Täterschaft kann dabei materiell oder politisch motiviert sein. Obgleich artverwandt, werden in diesem Kapitel Schiffspiraterie, Geiselnahme und unberechtigte Festnahme nicht behandelt.

Krisenmanagement bei Entführungen und Erpressungen

195

2.4 Erpressungsarten Erpressungsarten können sehr vielfältig sein, und der Übergang zwischen Korruption und Erpressung ist häufig fließend. Einige Beispiele sind: • • • •

Bakschischforderung bei der Einreise oder Polizeikontrolle Zugang zu Aufträgen nur nach Zahlung Festsetzen der Unternehmensführung durch die Belegschaft Unberechtigte Festnahme (mit vorgeschobenen Gründen wie Verstoß gegen Arbeitsgesetze) • Blockade der Zollfreigabe von Waren • Drohung mit dem Ziel, ein Projekt oder eine Baumaßnahme zu stoppen • Schutzgelderpressung (kriminell oder terroristisch) • Indirekt: Zwang, bei einem bestimmten Händler einzukaufen oder jemanden als Mitarbeiter einzustellen • Cybererpressung (Datendiebstahl und/oder Zerstörung) • Produkterpressung • Klassische Lösegelderpressung

2.5 Hintergründe zu Entführungen und Erpressungen Erpressungen und Entführungen gedeihen besonders in einem Umfeld mit hoher Polarität zwischen „arm und reich“ und einer ausgeprägten Gewaltkultur, so wie zum Beispiel in Mexiko. Eine gut verankerte Organisierte Kriminalität mit effektiven Einschüchterungsmöglichkeiten und flankiert durch korrupte Behörden und Polizei begünstigen die Kriminalitätsform im Besonderen. Ein schwaches Rechts- und Strafverfolgungssystem ermöglicht Entführern und Erpressern, bei überschaubarem Risiko die Delikte durchzuführen und im Weiteren unerkannt zu bleiben. Zu den im Entführungskontext genannten Motiven kommt bei Erpressungen mitunter auch noch die Durchsetzung von Geschäftsinteressen wie beispielsweise das Erweitern von Marktanteilen oder Herausdrängen von Wettbewerbern. Auch der Abbruch von bestimmten Projekten kann ein Ziel von Erpressern sein. Im Vergleich zu Entführungen haben Erpressungen für die Täterschaft einige handfeste Vorteile. Es sind eine geringere Infrastruktur und Investition erforderlich. Auch der Personalaufwand ist in der Regel geringer sowie die Risikoexposition.

196

M. Brandner und P. Michel

Es besteht die Möglichkeit, in kurzer Zeit mehrere Opfer parallel anzugehen und regelrechte Kampagnen zu fahren. Insbesondere Schutzgelderpressungen können regelmäßige Einnahmen generieren, und oftmals wirkt der Ruf der Brutalität als Treiber des Erfolgs. Erpresser sind daher in der Regel an einer langfristigen „Geschäftsbeziehung“ interessiert und schwer wieder loszuwerden, wenn sie erst einmal etabliert sind. Schutzgeldzahlungen an eine Gruppe sind leider kein Garant, dass nicht auch eine andere Gruppe Geld fordert. Gibt ein Erpressungsopfer nach, entsteht häufig ein Dominoeffekt, bei dem auch andere im Umfeld den Forderungen nachgeben. Haben sich Erpresser und Organisierte Kriminalität erst einmal etabliert, folgen andere Deliktgruppen sehr häufig nach.

3 Krisenmanagementorganisation Will man Entführungs- und Erpressungsfälle erfolgreich bewältigen, sollten im Vorfeld belastbare Krisenmanagementstrukturen in der betroffenen Organisation aufgebaut worden sein. Dazu gehört eine klar gegliederte Aufbauorganisation – idealtypisch unterteilt sich diese in eine Entscheidungsebene, den Krisenstab und operative Unterstützungsgruppen – eine schlüssige Ablauforganisation sowie die notwendige Infrastruktur und Logistik (Abb. 1).

Entscheidungsebene

Krisenstab

Unterstützungselemente

Abb. 1   Pyramide der Krisenmanagementorganisation

Krisenmanagement bei Entführungen und Erpressungen

197

3.1 Die Entscheidungsebene Die Entscheidungsebene kann im unternehmerischen Bereich der Vorstand, Aufsichtsrat oder Inhaber sein, im Familienumfeld der „Familienvorstand“. Die Entscheidungsebene hat vornehmlich die Aufgabe, die Strategie festzulegen und Grundsatzentscheidungen zu fällen. Beispielsweise, ob überhaupt mit der Täterschaft kommuniziert oder verhandelt werden soll, eine Erfüllungs- oder Nichterfüllungsstrategie gefahren wird, wie die Eckpfeiler der Finanz- und Kommunikationsstrategie aussehen sollten etc. Weiterhin soll die Entscheidungsebene auf übergeordneter, eher „politischer“ Ebene Verbindung zu externen Akteuren halten und grundsätzlich die Arbeit des Krisenstabes unterstützen. Abhängig von der Unternehmensphilosophie und weiteren Rahmenbedingungen kann es sinnvoll sein, im Krisenfall die Entscheidungsebene und den Krisenstab miteinander zu verschmelzen. Dies ist mitunter in Familienfällen oder inhabergeführten mittelständischen Unternehmen häufig eine gute Option. Eine Zusammenführung der Entscheidungs- und Krisenstabsebene kann den Vorteil schnellerer Entscheidungen und damit einer höheren Reaktionsfähigkeit und erweiterten Handlungsfähigkeit haben. Es ist bei einer Trennung der beiden Ebenen darauf zu achten, dem Krisenstab ein robustes Mandat zu geben, damit dieser sich nicht ständig Einzelentscheide bei der Entscheidungsebene abholen muss und vielmehr vorausschauend und eigeninitiativ arbeiten kann. Um zu Beginn polarisierende Grundsatzdiskussionen zu vermeiden, sollten daher die Krisenmanagementorganisation, die Krisenmanagementphilosophie und ihr Zusammenspiel in einem Krisenmanagementhandbuch klar geregelt sein. Strategische Grundsatzfragen zum Umgang mit Entführungen und Erpressungen sollten ebenfalls im Vorhinein in einem entsprechenden und vertraulich zu behandelnden Krisenplan geregelt sein.

3.2 Der Krisenstab Der Krisenstab ist das Herzstück der Krisenmanagementorganisation. Hier sollen die Krisenreaktionsstrategien ausgeformt und umgesetzt werden. Im Zentrum steht dabei die Verhandlungsstrategie, welche wiederum in der Kommunikationsstrategie unter Einbezug aller relevanten Akteure mündet. Der Krisenstab steuert auch die operativen Unterstützungselemente an und überwacht die festgelegten Zielerreichungsgrade. Bei Entführungs- und Erpressungsfällen werden im Krisenstab grundsätzlich die gleichen klassischen Kernfunktionen (im Wesentlichen: Krisenstabsleitung,

198

M. Brandner und P. Michel

Assistenzen, Personal, Kommunikation, Finanzen, Recht, Sicherheit) wie in anderen Krisenszenarien benötigt. Im erweiterten Stab können zum Beispiel Krisenberater, betroffene Geschäftsfelder, Inhaber, Familien und andere eine wesentliche Rolle spielen. Je nachdem, wie die Strukturen in den betroffenen Organisationen beschaffen sind, können bestimmte Funktionen innerhalb des Krisenstabes natürlich auch gebündelt werden.

3.3 Unterstützungselemente Unter Unterstützungselementen sind hier zunächst die verlängerten Arme und ausführenden Elemente des Krisenstabes zu verstehen (zum Beispiel nachgeordnete Mitarbeiter des Leiters Personal, des Kommunikationsverantwortlichen im Krisenstab, etc.). In Auslandsfällen können diese teilweise über die lokale Notfallorganisation im Ereignisland abgebildet werden. Eine weitere Auswahl hilfreicher Funktionen können sein: Sprecher (diejenige Person, welche mit der Täterschaft kommuniziert, nicht zu verwechseln mit einem etwaigen „Pressesprecher“), Forensiker, Profiler, Fachanwälte, medizinisches Personal, Lösegeldboten, Aufnahmetrupps, Familienangehörige etc. Formal zu den Unterstützungselementen gehören auch nachgeordnete Notfallstäbe oder aber externe Krisenstäbe, wie die Stäbe anderer betroffener Unternehmen und Organisationen oder eingerichtete Behördenkrisenstäbe.

3.4 Der Sprecher Sowohl in Entführungs- als auch in Erpressungsfällen fällt dem „Sprecher“ ein hoher Stellenwert zu. Der Sprecher ist nicht mit einem Unternehmenspressesprecher zu verwechseln. Ihm kommt vielmehr die Aufgabe zu, auf Anweisung des Krisenstabs mit der Täterschaft zu kommunizieren. Entweder über das Telefon oder mittels anderer Kommunikationsmittel. Auch die Täterschaft wird häufig einen Sprecher haben, welcher auf Anweisung seines Chefs kommuniziert. Der Sprecher kann ein Familienmitglied, (ehemaliger) Unternehmensmitarbeiter oder sonstiger Freund der Familie oder des Unternehmens sein. Die Täterschaft wird zu Beginn häufig misstrauisch sein, weil sie hinter dem Sprecher oftmals die Polizei vermuten wird. Die Sprecherrolle erfordert einen gewissen emotionalen Abstand zum Geschehen, volle Konzentration auf die Aufgabe, eine hohe Belastbarkeit und langfristige Verfügbarkeit. Der Sprecher muss ein ruhiger Charakter sein, der gut zuhören und einstecken kann, sich aber auch nicht zu unterwürfig

Krisenmanagement bei Entführungen und Erpressungen

199

verhalten darf. Der Sprecher sollte nicht direkt in den Krisenstab integriert sein, sondern diesem unterstellt werden. Bei politisch motivierten Entführungen agieren oft Mittelsmänner als Sprecher oder Nachrichtenkuriere.

3.5 Der Krisenberater Ein wesentliches Element zur Sicherstellung einer erfolgreichen Abwicklung eines Entführungs- oder Erpressungsfalles sind erfahrene Krisenberater. Betroffene Unternehmen oder Familien sind in der Fallabwicklung ja zumeist unerfahren und nicht selten überfordert. Zugriff auf solche Experten hat man entweder über Spezialversicherungen, oder die Krisenberater können bei Eintritt eines Ereignisses direkt unter Vertrag genommen werden. In Entführungs- und Erpressungsfällen wirklich versierte Krisenberater sind rar gesät und Versicherte, aber auch Unversicherte sind gut beraten, sich im Vorfeld eines Ereignisses von der Qualität der eingesetzten Berater zu überzeugen und diese persönlich kennenzulernen. Der Krisenberater soll den Krisenstab bei der Ausarbeitung der Gesamtstrategie, der Verhandlungs- und Kommunikationsstrategie, der Umsetzung von operativen Maßnahmen, dem Familienmanagement und der Einweisung und Schulung beteiligter Unterstützungselemente helfen. Da der Krisenstab, die betroffenen Familien, zum Teil aber auch beteiligte Behörden mit dem Vorfall ­oftmals überfordert sind, ist der Krisenberater ein unverzichtbarer Baustein zur fachlichen Beratung, Koordinierungsunterstützung, personeller Verstärkung und auch psychologischer Unterstützung für alle Beteiligten. Folgende Kriterien sind bei der Beurteilung eines Krisenberaters wichtig: • Wie hoch ist die tatsächliche Fallerfahrung des Beraters beziehungsweise der dahinterstehenden Firma? • Stellt die Versicherung Berater, welche rund um die Uhr erreichbar und auf Abruf sind? • Wie schnell wird der Krisenberater mich beim Eintrittsfall unterstützen? Zunächst fernmündlich, und wann ist er tatsächlich vor Ort? • Haben die Krisenberater bereits Vorratsvisa für Länder, in denen es häufig zu Entführungen kommt (zum Beispiel Nigeria)? • Bezahlt der Versicherer den Krisenberatern einen regelmäßigen Betrag in hinreichender Höhe für den Bereitschaftsdienst (sogenannter „Retainer“), um die stetige Verfügbarkeit wirklich professioneller Berater sicherzustellen? • Hat die Krisenberatung Zugriff auf eine hinreichende Anzahl von qualitativ hochwertigen und erfahrenen Krisenberatern („retained“), um weltweit

200

M. Brandner und P. Michel

­ ehrere Krisenlagen gleichzeitig zu bedienen, auch in Szenarien, welche sich m über Monate und Jahre erstrecken durchhaltefähig zu sein? • Kann die Krisenberatung ein internationales Team mit einer gesunden Mischung aus unterschiedlichen Sprach- und Kulturprofilen anbieten? • Wie werden die Krisenberater ausgewählt und weitergebildet? • Welche erweiterten Netzwerke haben die Krisenberater, auch als Einzelpersonen? Der Vorteil der sorgfältigen Auswahl eines geeigneten Krisenberaters und seine frühzeitige Einbindung im Vorfeld in die Gestaltung liegen auf der Hand. Aber auch das Beüben der Krisenmanagementorganisation gehört dazu. Es gibt hinsichtlich der Krisenberater sehr hohe Qualitätsunterschiede. Aber, ähnlich wie bei einer lebensbedrohlichen Erkrankung würde sich ein Patient auch lieber vom erfahrenen Oberarzt operieren lassen als von einem Arzt im praktischen Jahr.

3.6 Weitere Kernakteure Im Gegensatz zu thematisch anderen und mitunter sehr komplexen Krisenlagen ist die Anzahl der beteiligten Akteure an einer Entführung oder Erpressung in der Regel sehr überschaubar. An Komplexität gewinnt ein Entführungsfall regelmäßig dann, wenn mehrere Opfer, Familien, Unternehmen und Nationalitäten betroffen sind. Bei Entführungs- und Erpressungsfällen steigt der Komplexitätsgrad außerdem mit dem Aufkommen von Zielkonflikten zwischen den Akteuren. Eine wesentliche Aufgabe des Krisenmanagements ist es daher, die Zielkonflikte frühzeitig zu erkennen und zu entschärfen.

3.6.1 Die Entführer und Erpresser Die Täterschaft einer Entführung kann so unterschiedlich sein wie deren Motive. Es kann sich um Kriminelle oder aber Terroristen, Rebellen, Milizen, Stammesangehörige, Warlords oder sogar Regierungsorganisationen handeln. Am häufigsten handelt es sich bei den Entführern um kriminelle Personen, und daher stehen diese auch im Brennpunkt dieses Beitrages. Die Täterschaft kann gebildet oder ungebildet, gewaltbereit oder gewaltarm, sendungsbewusst oder ideologiefrei sein. Für die spätere Verhandlungsführung ist von zentraler Bedeutung, die Täterschaft möglichst genau einschätzen zu können, insbesondere auch hinsichtlich ihrer Professionalität und ihren Fähigkeiten. Zumeist geht es den Tätern um die Durchsetzung finanzieller Interessen. Aber auch politische oder soziale Forderungen können eine Rolle spielen oder werden als Feigenblatt in die Verhandlungen eingebracht. Einschüchterung, Rache oder

Krisenmanagement bei Entführungen und Erpressungen

201

aber das Gewinnen von Medienaufmerksamkeit, zumeist im Zusammenhang mit einer politischen Absicht, können Motive der Täter sein. Im Ausland operierende Entführer arbeiten tendenziell in Gruppen, die in der Regel nicht mehr als zehn Personen umfassen. Mitunter kann die Gruppenstärke aber auch mehr als 15 Personen betragen. In einem Entführungsfall in Südeuropa war einer der Autoren mit einer Gruppe von sogar etwa 30 Personen konfrontiert. Entführungsgruppen können idealtypisch aus mehreren Organisationselementen bestehen, zwischen welchen nicht immer direkte horizontale Verbindungen bestehen. Der Kopf wird aus einer oder mehreren Personen bestehen, welche die Tat planen, finanzieren, koordinieren und zumeist auch den Großteil der Beute für sich reklamieren. Ein Aufklärungselement erkundet im Vorfeld geeignete Tatörtlichkeiten und versucht, möglichst viele Informationen über die gelebten Gewohnheiten der Opfer in Erfahrung zu bringen und zu beobachten. Wird das Opfer überfallen, kann es sein, dass Personen des Aufklärungselementes nun auch den Angriff auf das Opfer durchführen oder aber Sicherungsaufgaben im Rahmen des Überfalls wahrnehmen. An einem sicheren Ort, der dem aufkommenden Fahndungsdruck möglichst lange standhalten soll, wird das Opfer festgehalten. Die Bewachung übernehmen in der Regel andere Personen als diejenigen, welche am Angriff beteiligt waren. Manchmal handelt es sich um Personen, welche zur Tat gezwungen werden. Direkt auf Anweisung des Kopfes handelt die Verhandlungszelle. Sie wird in der Regel aus einem Sprecher bestehen, welcher mit der Opferseite kommuniziert, und noch einer oder weiteren Personen, welche mit dem Sprecher direkt zusammenarbeitet. Nach der Einigung in einer Verhandlungslösung muss das Lösegeld aufgenommen und das Opfer letztlich freigelassen werden. Diese Aufgaben, wie auch zum Beispiel das Bedienen toter Briefkästen im Zuge der Verhandlungen, wird regelmäßig von Boten übernommen. Diese können auch Teil des Aufklärungs- oder Angriffselements gewesen sein. Dies ist aber nicht zwingend, und aus Geheimhaltungsgründen kann der Kopf hier gegebenenfalls wieder auf andere Personen ohne festen Bezug zur Entführergruppe zurückgreifen. Entführungsgruppen in Ländern mit gut funktionierenden Strafverfolgungsbehörden bestehen oftmals aus nicht mehr als vier Personen. Einzel- oder Paartäter sind sehr selten und regelmäßig mit den verschiedenen beschriebenen Aufgaben überfordert. Sofern Erpressungen nicht von organisierten Banden, Kartellen oder Syndikaten ausgehen, handeln Erpresser zumeist alleine oder in Paaren. Die Erpressungslogistik ist wesentlich überschaubarer als diejenige bei einer Entführung, und der Täter hat zumeist auch mehr Zeit zur Verfügung, seine einzelnen Schritte, einschließlich der Verhandlungskommunikation, sorgfältig vorzubereiten (Abb. 2).

202

M. Brandner und P. Michel

Kopf

Verhandlung

Aulärung

Angriff

Bewachung

Boten

Abb. 2   Organigramm einer Entführungsgruppe

3.6.2 Die Angehörigen Die Familienangehörigen des Entführungsopfers sind im Rahmen des Krisenmanagements von zentraler Bedeutung. Rechtlich betrachtet, ist es die Familie, welche über die Ziele der Verhandlungen entscheiden darf. Ist das Opfer im beruflichen Zusammenhang entführt worden, so muss der Arbeitgeber im Rahmen seiner Fürsorgepflicht geeignete Maßnahmen des Krisenmanagements ergreifen. Die Verhandlungsstrategie der betroffenen Organisation ist mit der Angehörigenfamilie abzustimmen. Gelingt es nicht, das notwendige Vertrauensverhältnis zwischen Familie und betroffener Organisation herbeizuführen, kann es vorkommen, dass beide Strategien auseinanderlaufen. Zumeist hat dies sehr nachteilige Auswirkungen auf die Verhandlungsführung und Falldauer. Im ungünstigen Falle sucht die Familie dann Unterstützung bei den Medien oder der Öffentlichkeit, was sich wiederum nachteilig auf den Fallverlauf auswirken wird. Viele Erpressungen richten sich direkt gegen Unternehmen oder Organisationen. Aber auch klassische Erpressungen gegen Einzelpersonen oder Familien finden immer wieder statt. Auch hier ist es wichtig, dass die Angehörigen eine einheitliche Strategievorstellung entwickeln und, sofern ein Bezug zum Unternehmen besteht, die strategischen Überlegungen der Beteiligten in Übereinstimmung gebracht werden. Es ist auch zu prüfen, ob für Familienangehörige eine physische Gefährdung durch die Entführer oder Erpresser besteht. Einer der beiden Autoren erlebte in einem Krisenfall in Afrika, dass Rebellen einen weiteren – zum Glück

Krisenmanagement bei Entführungen und Erpressungen

203

erfolglosen – Angriff auf eine Firmenniederlassung unternahmen, um neben dem ursprünglichen Opfer weitere Personen zu entführen. In einem anderen Entführungsfall wurde – vermutlich von den Tätern – das Auto eines Familienmitgliedes in der Absicht manipuliert, einen schweren Verkehrsunfall herbeizuführen.

3.6.3 Die Medien Gleich von Anbeginn eines Entführungs- oder Erpressungsfalles sollte ein Höchstmaß an Geheimhaltung angestrebt werden. Ist ein Fall erst in der Presse, hat dies viele unerfreuliche Folgen. Der Fahndungsdruck auf die Täter steigt und damit auch die Gefahr für eventuell festgehaltene Personen. Trittbrettfahrer werden auf den Fall aufspringen, und auch andere Personen können aus dem Schatten treten und Angehörige oder Betroffene belästigen. Die Ermittlungsbehörden geraten oftmals unter öffentlichen Druck, und die Ermittlungsarbeit kann dadurch in ihrer Ausrichtung und Qualität beeinträchtigt werden. Eine öffentliche Debatte über einen laufenden Fall kann die Familienangehörigen psychisch stark belasten. In öffentlichen Erpressungsfällen wird der Ruf des betroffenen Unternehmens mitunter in Mitleidenschaft gezogen, und Marktanteile können besonders bei Produkterpressungen verloren gehen. Bedauerlicherweise zeigt die Erfahrung, dass einige Akteure Schwierigkeiten haben, den gebotenen Geheimschutz sicherzustellen. Aus dem Umfeld der Familie, des Unternehmens aber auch der Behörden sickern immer wieder Informationen nach außen. Leider kommt es immer wieder vor, dass Medien gerade aus Polizeikreisen recht detailliert zum Fall informiert werden.

3.6.4 Die Behörden Zu den Behörden gehören Inlands- und Auslandsbehörden, einschließlich derer des Gastlandes. Beteiligt sein können also in Auslandsfällen eine Anzahl von Außenministerien, die untergeordneten Botschaften oder Konsulate, Innenministerien, Justizministerien, Staatsanwaltschaften, Nachrichtendienste und unterschiedliche Polizeiorganisationen. Man ist gut daher beraten, sich frühzeitig ein umfassendes Bild der beteiligten Behörden zu machen. Nicht selten bestehen zwischen einzelnen Behörden verdeckte oder sogar offene Zielkonflikte. In Mehrnationenfällen kommt es regelmäßig dazu, dass sich die Außenministerien hinsichtlich ihrer Aufgaben und Rollen untereinander abstimmen und dieser Abstimmungsprozess einige Zeit andauern kann. Im ungünstigsten Fall möchte eine Nation gegebenenfalls gar keine Verantwortung oder nur geringe konsularische Unterstützung übernehmen.

204

M. Brandner und P. Michel

Viele Staaten verfügen über gut ausgebildete und erfahrene Polizeibeamte, ­ elche sich im In- und Auslandskontext gut mit Entführungen und Erpressungen w auskennen. Das Bundeskriminalamt (BKA) hat diese Expertise in der Berater- und Verhandlungsgruppe Berlin/Wiesbaden gebündelt. Betroffene können sich bei Auslandsfällen unterstützen lassen. Dabei sollte klar sein, dass die Polizei und andere Behörden keine Dienstleister sind und die betroffene Organisation weiterhin in der Pflicht der eigenständigen und umfassenden Krisenmanagementbewältigung steht. Behörden stehen auch immer unter starkem Einfluss der politischen Führung eines Landes. Wichtig zu verstehen ist, dass, obschon bei der Polizei vieler Staaten der Opferschutz vor der Strafverfolgung rangiert, das Hauptaugenmerk der Polizei auf der Unterstützung der Strafverfolgung liegen wird. Das polizeiliche Zielsystem wird folglich in eine Polizeistrategie und -taktik münden, welche Ermittlungsergebnisse begünstigt. Aus der Erfahrung der Autoren wird in Erpressungsfällen die Polizei daher fast immer empfehlen, eine lebendige Kommunikation mit der Täterschaft aufzubauen, da dieses Vorgehen die Aussicht auf gute Ermittlungsansätze versprechen wird. Aus Polizeisicht ist dies nachvollziehbar und zweckmäßig. Aus Sicht des betroffenen Unternehmens oder einer Familie muss dies nicht immer so sein. Denn die mit dieser Strategie verbundenen Risiken können die Ziele des Unternehmens oder der Familie nachhaltig kompromittieren. Diesen unterschwelligen Zielkonflikt zwischen den Unternehmen und Familien auf der einen und der Polizei auf der anderen Seite gibt es auch im Entführungszusammenhang. Es ist daher dringend anzuraten, eventuelle Ziel- und Strategiekonflikte mit der Polizei gleich zu Beginn eines Fallszenarios offen anzusprechen und die weitere Zusammenarbeit ­abzustecken. Nach dem Föderalismusprinzip ist in Deutschland bei Inlandsfällen die Polizeiarbeit Ländersache. Die Polizeistruktur ist im Gegensatz zur zentralisierten Bundespolizeiorganisation dezentral. Entführungs- und Erpressungsfälle sind Sache der Landeskriminalämter (LKA), welche auf der LKA-Ebene ebenfalls Berater und Verhandlungsgruppen unterhalten. Diese stützen sich auf den Polizeiunterbau in der Fläche ab. Diese verfügen aber naturgemäß und wegen der relativ geringen Fallhäufigkeit in Bezug zu anderen Kriminalitätsformen über eine begrenzte Expertise in der Bearbeitung von Entführungs- und Erpressungsfällen. Je nach Lage wird unter Einbeziehung unterschiedlicher Polizeiformationen eine Besondere Aufbauorganisation (BAO) gebildet und seitens des LKA koordiniert. Bei bundeslandübergreifenden Lagen koordinieren sich mehrere Länderpolizeien

Krisenmanagement bei Entführungen und Erpressungen

205

und LKA und legen die jeweiligen Kompetenzen fest. Im Rahmen der Entführung des Sohnes von Reinhold Würth 2015 waren so zum Beispiel die Polizeien und LKA der Bundesländer Baden-Württemberg, Bayern und Hessen beteiligt. Alle drei jeweils mit einer umfassenden Aufbauorganisation und entsprechender Anzahl von Beamten. Gerade in der kritischen Anfangsphase eines Falles ­werden somit aufgrund des dezentralisierten Ansatzes deutscher Polizeibehörden sehr viele Dienststellen und Personen in den Fall miteinbezogen. Dies wirft wiederum einen erhöhten Zeit- und Koordinierungsaufwand und Fragen zur Effizienz und der Sicherstellung des gebotenen Geheimschutzes auf. Im Gegensatz zum deutschen Ansatz arbeiten viele andere Staaten, so zum Beispiel auch die Briten mit ihrer National Crime Agency (NCU) und Hostage Crisis Negotiation Unit (HCNU), zentralisiert, und beide Organisationen werden gleichermaßen in Inlands- und Auslandsfällen tätig. Werden französische Staatsbürger im Ausland entführt, liegt das Fallmanagement in der Regel beim Auslandsnachrichtendienst Direction Générale de la Sécurité Extérieure (DGSE) und nicht bei der Polizei. Dies bündelt Expertise, spart Ressourcen und vermindert den Koordinierungsaufwand auf ein Minimum.

3.6.5 Andere Akteure Zu den „Anderen Akteuren“ können weitere Unternehmen oder Organisationen gehören, welche ebenfalls Opfer derselben Täter geworden sind. Dies kann sich beispielsweise daraus ergeben, dass die Täterschaft parallel mehrere Organisationen erpresst oder aber eine zu unterschiedlichen Firmen gehörende Personengruppe entführt hat. Die Vorgehensweisen der betroffenen Firmen, Organisationen, Behörden und Familien müssen dann sorgfältig aufeinander abgestimmt werden. Im Falle einer Erfüllungsstrategie müssen Geldmittel mobilisiert und damit auch Banken miteinbezogen werden. Verfügt die betroffene Organisation über eine Spezialversicherung (landläufig auch als „Lösegeldversicherung“ bezeichnet) oder besteht in einem Erpressungsfall zum Beispiel über eine erweiterte Produktschutzversicherung Deckung, so tritt die entsprechende Versicherungsgesellschaft als weiterer Akteur auf. In den Vertragswerken unterscheiden sich die Versicherer, noch mehr jedoch in den erweiterten Dienstleistungspaketen. Der Zugriff der Versicherungsnehmer auf Krisenberater oder zum Beispiel im Falle von Cybererpressungen auf IT-Forensiker und Fachanwälte kann sehr unterschiedlich ausfallen. Neben anderen Kriterien zur Auswahl eines geeigneten Versicherers spielen die unter 3.5 Der Krisenberater genannten eine tragende Rolle und sollten idealtypisch im Vorfeld sorgfältig abgewogen worden sein.

206

M. Brandner und P. Michel

4 Grundsätze des Krisenmanagements von Entführungen und Erpressungen Im Falle einer Entführung sollte es das Ziel sein, das Opfer so schnell wie möglich sicher, unversehrt und zu einer akzeptablen Lösegeldsumme freizubekommen. Weiterhin soll das Risiko von Folgebedrohungen (zum Beispiel weitere Entführungen oder Folgeerpressungen) gemindert werden. Bei Erpressungen steht im Vordergrund, die Bedrohung möglichst schnell und nachhaltig aus der Welt zu schaffen und das Risiko von Folgebedrohungen gering zu halten. Eine zuverlässige und wirksame Zielerreichung kann durch geeignete Krisenmanagementmaßnahmen erwirkt werden. Im Idealfall besteht schon eine Krisenmanagementorganisation, welche auch auf die Szenarien „Entführung“ und „Erpressung“ ausgelegt sein sollte. Eine effektive Krisenmanagementorganisation besteht aus folgenden Bausteinen: • Krisenmanagementphilosophie und Grundsätze • Mehrstufige Aufbauorganisation mit funktionsfähigem Krisenstab • Krisenmanagementhandbuch • Notfall- und Krisenplänen • Melde- und Alarmierungssystem auf 24/7-Basis • Krisenstabsraum und Ausweichräume • Schlüssigem Schulungskonzept

4.1 Kernaufgaben des Krisenstabes Bei einer Entführung oder Erpressung kommt dem Krisenstab eine zentrale Bedeutung zu. Unter anderem soll er: • Die Lage beurteilen • Entschlüsse fassen • Strategien (dazu gehören die Verhandlungs-, Finanz- und Kommunikationsstrategie) entwickeln und umsetzen • Die Koordinierung mit den anderen Akteuren sicherstellen • Die Familienbetreuung steuern Von zentraler Bedeutung für den Krisenstab sind zu Beginn ein weitestgehend klares Lagebild herzustellen und dringliche Maßnahmen abzuarbeiten. Besonders

Krisenmanagement bei Entführungen und Erpressungen

207

wichtig sind die Erfassung aller beteiligten Akteure und die Identifizierung ­eventueller Zielkonflikte mit diesen. Bleiben die Zielkonflikte unerkannt oder werden nicht aufgelöst, werden diese sich als Hemmschuh oder gar Hindernis durch den gesamten Verlauf des Falles hindurchziehen.

4.2 Handlungsgrundsätze Alle Entführungen folgen dem gleichen Muster, auch wenn sie im Detail unterschiedlich aussehen mögen. Die Verhandlungen enden dann, wenn die Entführer unser Angebot akzeptieren, mithin überzeugt sind, dass wir nicht mehr zahlen können oder wollen. Die gewählte Strategie sollte sich an diesem vorgegebenen Rahmen orientieren und in einzelnen Schritten abgearbeitet werden. Es ist nicht hilfreich und sogar ein grober Fehler, sich ständig im gedanklichen Durchspielen aller eventuell möglichen Entwicklungen der Lage zu verlieren. Dies führt unweigerlich zu erheblichen Zeitverlusten und zur Verzettelung des Stabes. Der Krisenstab sollte grundsätzlich bemüht sein, zügig, aber nicht übereilt zu handeln. Gängige Fehler sind der Verlust der Krisenstabsgeschlossenheit unter Druck und in Folge die Abweichung von der gewählten Strategie. Auch wird zu häufig „schlechtes Benehmen“ seitens der Kriminellen belohnt oder zu ungeduldig gehandelt.

5 Der Ablauf des Krisenmanagements bei Entführungen und Erpressungen 5.1 Phasen einer Entführung und Phasen einer Erpressung Ein Entführungsszenario kann in die untenstehenden sieben Phasen eingeteilt werden. Den Phasen „Zielauswahl“ und „Ausspähung“ kann gut mit vorbeugenden Maßnahmen begegnet werden. Diese können sowohl defensiven als auch offensiven Charakter haben. Erfolgreich angewandt, führen sie dazu, dass die Täterschaft auf ein anderes Ziel umschwenkt und von ihrem Plan abkommt. Auf die anderen fünf Phasen kann man sich ebenfalls im Vorfeld vorbereiten, indem wirkungsvolle Krisenmanagementstrukturen geschaffen und Mitarbeiter und Betroffene geschult werden. Die erfolgreiche Auflösung einer Entführung beruht dann auf der Handlungskompetenz der gesamten Krisenstabsorganisation.

208

M. Brandner und P. Michel

Phasen einer Entführung: • Zielauswahl • Ausspähung • Angriff • Transport • Haft und Verhandlungen • Lösegeldübergabe • Freilassung und Nachsorge Erpressungsszenarien unterteilen sich typischerweise in fünf Phasen: • Zielauswahl und Recherche • Erpressungsdrohung • Verhandlungen • Erfüllung beziehungsweise Geldübergabe • Nachbereitung

5.2 Erstmaßnahmen Beim Eintritt eines Entführungsereignisses sind umgehend dringliche und wichtige Maßnahmen zu ergreifen. Zunächst sollten der Vorfall verifiziert und gezielt Informationen gesammelt werden. Selbstverständlich ist der Krisenstab zusammenzurufen, und es sind geeignete Maßnahmen zur Geheimhaltung zu treffen. Haben die Entführer noch keinen Kontakt aufgenommen, muss schnell überlegt werden, auf welchem Wege und mit wem diese den Erstkontakt höchstwahrscheinlich herstellen werden. Mit hoher Wahrscheinlichkeit wählen die Entführer im Erstkontakt ein Familienmitglied des Opfers, einen Firmenkontakt oder Geschäftspartner (zum Beispiel bei reisenden Vertriebsmitarbeitern). In Ländern mit schwächeren Sicherheitsstrukturen nutzen Täter gerne das Telefon, aber auch SMS, E-Mail oder klassische Post kommen als Kommunikationskanäle öfter vor. Die Erstkommunikation muss organisatorisch, technisch und inhaltlich gezielt vorbereitet werden. Dazu sind die potenziellen „Sprecher“ einzuweisen, die technischen Möglichkeiten zum Mitschneiden von Telefonaten zu schaffen und das Gespräch inhaltlich vorzubereiten und zu skribieren. Im Falle eines Erpressungsszenarios sollte der Vorfall ebenfalls zügig verifiziert, Informationen dazu gesammelt und das Vorgehen sauber dokumentiert

Krisenmanagement bei Entführungen und Erpressungen

209

werden. Gerade bei Produkterpressungen kommt es immer wieder vor, dass die Erstkommunikation mit dem Täter zunächst nicht eindeutig als Erpressung erkennbar ist, sondern zum Beispiel als Beschwerde (zum Beispiel zur Produktqualität) getarnt ist. Nach Zusammentreten des Krisenstabes sollte dieser die tatsächliche Bedrohungslage und das mögliche Schadensausmaß einschätzen. Dazu gehört auch, zu prüfen, ob und welche Informationen an die Öffentlichkeit oder Schlüsselakteure dringen könnten. Besonders bei Cybererpressungen und Datenverlusten müssen auch rechtliche Auswirkungen und Verpflichtungen beurteilt werden. Bei Erpressungen und Entführungen gleichermaßen ist der Täterschaft eine große Bedeutung beizumessen, und diese sollte sorgfältig analysiert werden. Wie steht es um Motivation, Tatabsicht und Risikobereitschaft der Täterschaft? Aber auch die Fähigkeit zur Tatausführung, gerade im Erpressungskontext? Die erste Kommunikation mit der Täterschaft ist sowohl im Erpressungs- als auch im Entführungsfall von zentraler Bedeutung. Hier werden die Weichen für den weiteren Verlauf des Ereignisses, mithin auch den erfolgreichen oder nicht erfolgreichen Ausgang, gestellt. In beiden Szenarien sollten zu Beginn keinerlei Zusagen erfolgen. Hat man sich in einem Erpressungsfall überhaupt für eine Kommunikation entschieden, so sollte man signalisieren an einer „Lösung“ interessiert zu sein, einen Beweis der tatsächlichen Fähigkeiten der Erpresser einfordern (zum Beispiel einen kompromittierten Datensatz im Cybererpressungsfall oder ein kontaminiertes Produkt im Produkterpressungsfall). Ein Codewort, Zeit, Art und Weise der nächsten Kommunikation sollten vereinbart werden. Beim Erstkontakt einer Entführung sollte die Besorgnis über das Wohl des Opfers ausgedrückt, Lösungsbereitschaft signalisiert werden, ohne irgendwelchen Forderungen zuzustimmen, und ein Lebensbeweis (Proof of Life (POL)) eingefordert werden. Eine Verhandlung ohne diesen Lebensbeweis zu führen, ist grundsätzlich abwegig, da stets unklar bleibt, ob das Opfer tatsächlich in der Hand der Täterschaft oder überhaupt noch am Leben ist. Absprachen zur weiteren Kommunikation. Dies gilt auch für den Erpressungsfall. In der Regel wird schon im Erstkontakt seitens der Entführer wesentlich mehr Druck ausgeübt als von Erpressern.

5.3 Verhandlungsstrategie und Verhandlungsführung Im Rahmen der Verhandlungsstrategie und -führung muss frühzeitig über das Mandat des Krisenstabes entschieden werden, sofern dieses noch nicht im Rahmen eines vorher erstellten Krisenplans festgelegt wurde. Sind mehrere

210

M. Brandner und P. Michel

Krisen- beziehungsweise Notfallstäbe beteiligt, so sollten im Krisenmanagementhandbuch deren Hierarchie, Befugnisse und Aufgaben beschrieben sein. Ist dies nicht der Fall, sind diese Eckpunkte zu klären. Andernfalls besteht die Gefahr, dass Uneinigkeit in Kernfragen den weiteren Verlauf der Krisenlage stört und die Verhandlungsführung unterminiert. Sind diese Kernfragen geklärt, kann darüber entschieden werden, ob überhaupt verhandelt werden soll. Diese Frage wird sich besonders bei Erpressungen stellen. Denn es kann im Erpressungsfall häufig vorteilhaft sein, sich auf den Erpresser nicht einzulassen. Naturgemäß und wie unter 3.6.4 Behörden beschrieben, werden die Strafverfolgungsbehörden dies aufgrund ihrer unterschiedlichen Zielstellung in der Regel anders sehen. Die zweite Kernfrage zur Entscheidung ist, ob eine Erfüllungs- oder Nichterfüllungsstrategie gefahren werden soll. Aufbauend auf einer aktuellen Bedrohungs- und Risikoanalyse, wird in Erpressungsfällen viel häufiger eine Nichterfüllungsstrategie gewählt als in Entführungsfällen. Im Wesentlichen ergeben sich für die Opfer und die Täter folgende Handlungsoptionen: Opferoptionen: • Ablehnen • Ignorieren • Verzögern • Verhandeln • Erfüllen Täteroptionen: • Antwort abwarten • Weitere Kommunikation • Kommunikation mit anderen Akteuren (Medien, Investoren, Kunden, Lieferanten, Behörden etc.) • Drohung ausführen • Tat einstellen/neues Ziel wählen Bei den Verhandlungen ist es von zentraler Bedeutung, Schritt für Schritt vorzugehen und dabei konsequent der festgelegten Strategie zu folgen. Die Täterschaft wird sehr versiert darin sein, ihrer Strategie zu folgen und zielgerichtet Elemente psychologischer Beeinflussung und Druckmaßnahmen einzusetzen. Der Krisenstab ist gut beraten, sich externe Unterstützung, zum Beispiel

Krisenmanagement bei Entführungen und Erpressungen

211

s­eitens eines erfahrenen Krisenberaters, zu sichern. Dieser wird zusammen mit dem Krisenstab eine geeignete Verhandlungsstrategie aufsetzen und deren Umsetzung begleiten.

5.4 Angehörigenbetreuung Seltener richten sich Erpressungen direkt gegen Mitarbeiter oder Familienangehörige. Ist dies aber der Fall, so muss ihnen wie auch bei der Entführung der Familien- und Angehörigenbetreuung große Bedeutung beigemessen werden. Rechtlich betrachtet muss die Strategie bei einer Entführung mit der Opferfamilie abgestimmt werden. Es ist daher vorteilhaft, ein vertrauensvolles Verhältnis zu der Familie herzustellen und darauf eine gemeinsame Strategie aufzubauen. Da die Familie im Regelfall mit der Situation völlig überfordert sein wird, wird sie die vom Krisenstab angebotene Hilfe gerne in Anspruch nehmen. Zur Betreuung und auch Nachbetreuung sollten die Angehörigen einen zentralen Ansprechpartner haben, der in direkter Verbindung zum Krisenstab steht. Ein klarer Prozess zum Informationsfluss zu den Angehörigen und wieder zurück gibt der Familie Sicherheit und beugt Missverständnissen vor. Dabei ist im Hinterkopf zu behalten, dass ja auch andere Akteure regelmäßig mit den Angehörigen kommunizieren werden.

5.5 Lösegeldübergabe Ist eine Einigung erzielt worden, so werden in zumeist mehreren Kommunikationsschritten die Übergabemodalitäten geklärt. Eine zeitlich und örtlich simultane Übergabe wird nur in Ausnahmefällen und wenn die Täterschaft sich sehr sicher fühlt vorkommen. Obschon die Täterschaft ihre meist sehr konkreten Vorstellungen zur Übergabe durchsetzen wird, sollte seitens des Krisenstabes schon frühzeitig mit der Planung zur Übergabe unter Berücksichtigung der rechtlichen Rahmenbedingungen begonnen werden. Für beide Seiten ist die Übergabe ein risikoreiches Unterfangen. Bestimmte operative Maßnahmen sollten daher gut geplant und vorgeübt werden. Es kann sinnvoll sein Rückfallebenen, wie zum Beispiel Ersatzfahrer und Fahrzeuge, vorzuhalten. Erfahrungsgemäß kann es im Interesse und der Strategie der Polizei liegen, im Zuge der Übergabe ermittlungstechnische Maßnahmen zu veranlassen oder sogar einen Zugriff anzusetzen. Risiken und Erfolgsaussichten sollten dabei wohlerwogen werden, und es ist anzuraten, diese Punkte im Vorfeld transparent und einvernehmlich mit den Behörden abzustimmen.

212

M. Brandner und P. Michel

Vermehrt greifen Erpresser auf Lösegeldzahlungen mittels Kryptowährungen zurück. Der bisher häufig verwendete Ansatz, bei einer Erpressung auf eine scheinbare Erfüllungsstrategie mit dem Ziel des polizeilichen Zugriffs zurückzugreifen, wird hierdurch erheblich erschwert und mindert das Risiko für die Täterschaft.

5.6 Nachbereitung Über die verständliche Freude einer erfolgreichen Abwehr einer Erpressung oder die Freilassung eines Entführungsopfers tritt die Ereignisnachbereitung oftmals in den Hintergrund. Dabei ist es zur Vermeidung von Folgebedrohungen wichtig, auszuwerten, wie die Täterschaft gearbeitet hat, welche Sicherheitslücken ausgenutzt wurden und wie effektiv die Verhandlungen tatsächlich waren. Ein ausführlicher interner Bericht mit weiteren Handlungsempfehlungen für die Zukunft sollte erstellt und dann nachverfolgt werden. Bei der Nachbereitung sollten wiederum das Opfer und seine Angehörigen in den Mittelpunkt rücken. Die Spannweite, wie sehr Opfer und Angehörige im Nachgang unter dem Erlebnis leiden, hängt von den besonderen Umständen der Tat und natürlich der Widerstandskraft und Verfassung der Beteiligten selbst ab. Tendenziell scheinen dabei Angehörige oder Kollegen anfälliger für Posttraumatische Belastungsstörungen (PTBS) zu sein als die Opfer selbst.

6 Zusammenfassung Will man Erpressungs- und Entführungsszenarien erfolgreich bestehen, so kommt es besonders darauf an, die entscheidenden Vorbereitungen getroffen zu haben. Zu den geeigneten Vorbereitungsmaßnahmen gehört sicherlich, über eine funktionsfähige Krisenmanagementorganisation zu verfügen, welche in der Lage ist, das Ereignis anhand eines schlüssigen Krisenplans systematisch und möglichst fehlerfrei abzuarbeiten. Über Versicherungslösungen können zudem der unmittelbare Zugriff auf versierte Krisenberater sichergestellt und das finanzielle Schadensausmaß deutlich reduziert werden. In der Krisenstabsarbeit ist großer Wert auf eine umfassende Lagebeurteilung und konsequente sowie geduldige Umsetzung der sorgfältig gewählten Strategie zu legen. Im Krisenmanagement muss die Krisenstabszusammensetzung stimmig sein und der Stab selbst über ein robustes Mandat verfügen. Eine glückliche Sprecherauswahl rundet die Erfolgsfaktoren ab.

Krisenmanagement bei Entführungen und Erpressungen

213

Literatur http://www.bnd.bund.de/DE/Themen/Lagebeitraege/Entfuehrungen/Entfuehrungen_node. html. http://www.spiegel.de/panorama/justiz/studie-in-mexiko-werden-weltweit-die-meisten-menschen-entfuehrt-a-939125.html.

Teil IV Recht und Strategie

Schutzstrategien gegen Produktpiraterie und Wirtschaftsspionage Valentina Nieß und Janina Wortmann geb. Voogd

Ein Logo mit hohem Wiedererkennungswert, ein außergewöhnliches Produktdesign, eine nützliche Erfindung oder ein einprägsamer Markenname – geistiges Eigentum kann viele Gesichter haben und sein Schutz für Unternehmen von überragend wichtiger Bedeutung sein. Aber auch geheimes Unternehmens-Know-how, das von Rezepturen über Konstruktionszeichnungen bis hin zu Kundenlisten reichen kann, kann entscheidend zur Wettbewerbsfähigkeit eines Unternehmens beitragen. Diese durch teilweise jahrelange Entwicklungs- und Marketingarbeit erworbenen Rechte und Geschäftsgeheimnisse werden jedoch nicht selten durch die Aktivitäten von Nachahmern und Produktpiraten gefährdet. Wie etwa eine aktuelle Studie des Verbandes Deutsche Maschinen und Anlagebau (VDMA) erneut zeigt (https://industrialsecurity.vdma.org/documents/16227999/26251151/ VDMA%20Studie%20Produktpiraterie%202018_FINAL_1524044099363_1 526461702646.pdf/5911e307-38a4-995e-6d7d-6a59b5442862), sind 71 % der Unternehmen im Maschinen- und Anlagenbau von Produktpiraterie betroffen. Der geschätzte Schaden im Umsatzjahr 2017 betrug allein in dieser Branche 7,3 Mrd. EUR, eine Summe, die rund 33.000 Arbeitsplätzen entspricht. Der durchschnittliche Schaden für betroffene Unternehmen betrug knapp 4,5 % des Jahresumsatzes. Aber wie können Unternehmen ihr geistiges Eigentum und ihr Know-how effektiv vor Nachahmern schützen?

V. Nieß (*) · J. Wortmann geb. Voogd  Noerr LLP, München, Deutschland E-Mail: [email protected] J. Wortmann geb. Voogd E-Mail: [email protected] © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_11

217

218

V. Nieß und J. Wortmann geb. Voogd

In der Praxis liegt der Grundstein für einen effektiven Schutz gegen Produktpiraterie und Plagiate in der möglichst frühen Anmeldung und Eintragung der entsprechenden gewerblichen Schutzrechte. Diese Einschätzung belegt auch etwa die oben genannte Studie des VDMA, dass die große Mehrzahl der Unternehmen, nämlich 86 %, als präventive Maßnahme zur Sicherung ihrer Innovationen auf die Anmeldung von gewerblichen Schutzrechten zurückgreifen. Andere Schutzstrategien, etwa in Form von Aufklärungskampagnen bei Kunden oder über soziale Medien, spielen gegenüber formal eingetragenen Rechten nur eine weit untergeordnete Rollen und kommen in der Regel erst dann zum Tragen, wenn das Unternehmen bereits einmal von einem Produktpirateriefall betroffen war. Gegenüber der Absicherung von Innovationen durch Sonderschutzrechte ist die Absicherung des unternehmenseigenen Know-hows schwieriger: Hier greifen eine Vielzahl tatsächlicher wie rechtlicher Aspekte ineinander. Dies angefangen von der Datensicherheit und IT-Infrastruktur, der Auswahl und Schulung von Mitarbeitern, dem Etablieren von internen Compliance-Programmen und der Sicherung von Geheimhaltung in Arbeitsverträgen, der kontrollierten Kommunikation mit Abnehmern, Zulieferern und sonstigen Vertragspartnern sowie der konsequenten Vereinbarungen von NDAs mit Dritten und der Sicherung von Produktionsstandorten. Neben etwaigen vertraglichen Ansprüchen waren die zentralen Anknüpfungspunkte für ein rechtliches Vorgehen wegen sogenannter „Betriebsspionage“ in der Praxis bislang die Strafnormen der §§ 17, 18 und 19 UWG, die die Weitergabe von Betriebsund Geschäftsgeheimnissen sowie die sogenannte „Vorlagenfreibeuterei“ unter Strafe stellten. Vor wenigen Wochen, nämlich am 26. April 2019, ist nunmehr das neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) in Kraft getreten. Im Rahmen dieses Beitrages soll zunächst die grundlegende Frage erörtert werden, welche Aspekte der eigenen Leistungsergebnisse überhaupt beziehungsweise durch welche gewerblichen Schutzrechte optimal absichert werden können. In diesem Zusammenhang erfolgt anhand von Beispielen ein Überblick über die in Deutschland und der Europäischen Union zur Verfügung stehenden gewerblichen Schutzrechte (vgl. unten unter Abschn. 1). Wie diese gewerblichen Schutzrechte unter Zuhilfenahme des Zolls, der Polizei und Staatsanwaltschaft sowie der Zivilgerichte effektiv gegen Nachahmer durchgesetzt werden können, wird sodann unter anderem anhand der in der Praxis äußerst relevanten Konstellation des Angebots von Plagiaten auf Messen beschrieben (vgl. unten unter Abschn. 2). Abschließend beleuchten wir mit dem GeschGehG das deutsche Umsetzungsgesetz der europäischen Richtlinie „über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“, deren Intention es ist, die rechtliche Position von Innovatoren und Know-how-Inhabern zu stärken und ein europaweit einheitliches Schutzniveau zu schaffen (vgl. Abschn. 3).

Schutzstrategien gegen Produktpiraterie und Wirtschaftsspionage

219

1 Überblick über die gewerblichen Schutzrechte 1.1 Die Marke Marken sind Kennzeichnen, die dazu geeignet sein müssen, Waren und/oder Dienstleistungen eines Unternehmens von denen eines anderen zu unterscheiden. Kunden der gekennzeichneten Ware oder Dienstleistung sollen also in die Lage versetzt werden, anhand von Marken zwischen dem Angebot verschiedener Unternehmen zu unterscheiden. Demgegenüber kann keine Marke sein, was die Ware oder Dienstleistung schlicht beschreibt. Um es plastisch zu machen: Stellen Sie sich ein Regal mit Schokolade vor. Würde auf den Produkten unterschiedlicher Hersteller jeweils nur „Schokolade“ stehen, hätte der Kunde keine Chance, die Schokoladen ihren jeweiligen Herstellern zuzuordnen, etwa die Milka-Schokolade von der Lindt-Schokolade zu unterscheiden. Die Zeichen Milka und Lindt erfüllen damit ohne weiteres die Hauptfunktion einer Marke, nämlich auf die Herkunft der Produkte hinzuweisen. Umgekehrt zeigt das Beispiel, dass das Wort „Schokolade“ von keinem Hersteller monopolisiert werden darf und deshalb keine Marke sein kann. Abgesehen davon, dass glatt beschreibende Begriffe schon nicht zur Unterscheidung taugen, besteht für diese Begriffe regelmäßig auch ein Freihaltebedürfnis für Wettbewerber, weil andere Hersteller weiterhin in der Lage sein müssen, ihr Produkt als das zu bezeichnen, was es nun einmal ist. Worte wie Milka und Lindt können Gegenstand markenrechtlichen Schutzes sein. Bei solchen sogenannten Wortmarken handelt es sich um Marken, die aus Wörtern, Buchstaben, Zahlen oder sonstigen Schriftzeichen bestehen – und zwar ohne besondere Ausgestaltung. Neben reinen Wortmarken lassen sich auch Kombinationen aus Wort und Bild, sogenannte Wort-/Bildmarken, schützen, so zum Beispiel die Logos von Audi oder Vaillant:

Auch reine Bildmarken können schutzfähig sein. Beispielhaft eingeblendet sind nachfolgend Bildmarken von Katjes und Apple:

220

V. Nieß und J. Wortmann geb. Voogd

Auch das bekannte Karomuster von Burberry, nachfolgend gezeigt, ist als Bildmarke eingetragen:

Damit deutet sich schon an, dass eine Marke nicht nur ein auf einem Produkt aufgedrucktes Wort oder Logo sein kann, sondern die Produktgestaltung selbst als Marke Schutz genießen kann. Als Marke schutzfähig sind nämlich auch sogenannte 3-D-Marken, die aus der dreidimensionalen Warenform bestehen. Beispielhaft eingeblendet sind nachfolgend 3-D-Marken des bekannten Möbelherstellers USM Haller sowie der Firmen Lindt und Ferrero:

Schutzstrategien gegen Produktpiraterie und Wirtschaftsspionage

221

Doch damit nicht genug. Auch Farben beziehungsweise Farbkombinationen können markenrechtlichen Schutz genießen. So hat sich die Telekom die Farbe Magenta schützen lassen, Milka die Farbe Lila, und O2 einen Farbverlauf von Dunkelblau zu Hellblau:

Damit zeigt sich, dass der markenrechtliche Schutz weit über Worte und Logos hinausgehen kann. Aber wie entsteht eine Marke – und wo gilt sie? Zunächst ist festzuhalten, dass Marken territoriale Rechte sind. Eine Marke gilt also stets für ein bestimmtes und abgrenzbares Gebiet, etwa für die Bundesrepublik Deutschland, für die Republik Südafrika oder für die Schweiz. Es gibt aber auch Marken, die größere Territorien abdecken, etwa die in der Praxis wichtige und überaus beliebte Unionsmarke, die „auf einen Schlag“ in der gesamten Europäischen Union gilt. Innerhalb des jeweiligen Territoriums entsteht eine Marke dann typischerweise durch Eintragung in das Markenregister. In einigen Ländern (darunter auch Deutschland) kann ein Markenschutz auch ohne Registrierung, nämlich durch intensive Benutzung, die

222

V. Nieß und J. Wortmann geb. Voogd

zu einem hohen Bekanntheitsgrad der Marke geführt hat, oder durch überragende Bekanntheit, entstehen. Die Hürden für einen solchen Schutz sind aber ausgesprochen hoch, sodass in der Praxis die weit überwiegende Anzahl von Marken durch Registrierung entsteht. In Deutschland erfolgt die Eintragung einer Marke in das vom Deutschen Patent- und Markenamt (DPMA) geführte Register. Für die Unionsmarke ist das EUIPO, das European Union Intellectual Property Office, mit Sitz in Alicante (Spanien) zuständig. Inhaber einer Marke kann grundsätzlich sowohl jedes Unternehmen als auch jede Privatperson sein. Ein Geschäftsbetrieb ist für die Anmeldung einer Marke nicht erforderlich. Die Schutzdauer sowohl der deutschen Marke als auch der Unionsmarke beträgt zunächst zehn Jahre und kann durch rechtzeitige Einzahlung einer entsprechenden Gebühr jeweils um weitere zehn Jahre verlängert werden. Und hier sind wir bei einem der großen Argumente, die für einen markenrechtlichen Schutz sprechen: Die Eintragung einer Marke ist unendlich verlängerbar, es gibt – anders als bei allen anderen gewerblichen Schutzrechten – keine maximale Schutzdauer. Im Gegenzug für diese „Ewigkeitsgarantie“ des markenrechtlichen Monopols hat sich der Gesetzgeber aber ausbedungen, dass der Markeninhaber die Marke auch tatsächlich für die Waren beziehungsweise Dienstleistungen benutzt, für die er sie geschützt hat. Nach einer fünfjährigen „Schonfrist“ nach Anmeldung der Marke greift daher der sogenannte Benutzungszwang ein, das heißt die Marke muss ab diesem Zeitpunkt für die schutzbeanspruchten Waren oder Dienstleistungen im geschäftlichen Verkehr benutzt werden. Benutzt der Markeninhaber seine Marke nicht oder nicht ernsthaft, so können Dritte die Löschung der Marke verlangen.

1.2 Das Design beziehungsweise Geschmacksmuster Durch das Design beziehungsweise Geschmacksmusterrecht wird die äußere Formgestaltung des Produkts geschützt. Auch dieses Schutzrecht ist territorial ausgestaltet – und daher stammen auch die unterschiedlichen und leider etwas verwirrenden Begrifflichkeiten. In Deutschland regelt heute das Designgesetz (vormals Geschmacksmustergesetz) die Schutzfähigkeit des „eingetragenen Designs“ (vormals Geschmacksmuster). Auf europäischer Ebene heißt das Recht hingegen (jedenfalls in deutscher Sprache) „eingetragenes (beziehungsweise nichteingetragenes) Gemeinschaftsgeschmacksmuster“. Schutzgegenstand all dieser Rechte ist stets die äußere Formgebung eines Produktes, daran ändern die unterschiedlichen Begrifflichkeiten nichts.

Schutzstrategien gegen Produktpiraterie und Wirtschaftsspionage

223

Sowohl das deutsche als auch das europäische Recht definiert zunächst ein Design beziehungsweise Geschmacksmuster als „die zweidimensionale oder dreidimensionale Erscheinungsform eines ganzen Erzeugnisses oder eines Teils davon, die sich insbesondere aus den Merkmalen der Linien, Konturen, Farben, der Gestalt, Oberflächenstruktur oder der Werkstoffe des Erzeugnisses selbst oder seiner Verzierung ergibt“. Als Erzeugnis wiederum ist jeder industrielle oder handwerkliche Gegenstand, einschließlich Verpackung, Ausstattung, grafischer Symbole und typografischer Schriftzeichen sowie von Einzelteilen, die zu einem komplexen Erzeugnis zusammengebaut werden sollen, definiert. Ein Computerprogramm hingegen gilt nicht als Erzeugnis. Ein Designschutz ist damit für alle möglichen Ausgestaltungen von Produkten, aber auch für Teile von Produkten, Verpackungsgestaltungen, Graphical User Interfaces usw. möglich. So verfügt beispielsweise die Firma Apple unter anderem über die folgenden eingetragenen Gemeinschaftsgeschmacksmuster:

Anhand dieser Beispiele zeigt sich auch, dass sich Design- und Markenrecht durchaus überschneiden können. Das gilt insbesondere für Bild- oder 3-D-Marken, die zwei- oder dreidimensionale Produkte zeigen. Um als eingetragenes Design beziehungsweise als Gemeinschaftsgeschmacksmuster Schutz genießen zu können, muss das Design beziehungsweise Geschmacksmuster zwei Schutzvoraussetzungen erfüllen, nämlich einerseits neu sein und andererseits die erforderliche „Eigenart“ aufweisen. Wichtig zu wissen

224

V. Nieß und J. Wortmann geb. Voogd

ist allerdings, dass es sich bei Design und Geschmacksmuster um sogenannte ungeprüfte Schutzrechte handelt, sodass das Amt, bei dem man sein Design beziehungsweise Geschmacksmuster zur Eintragung anmeldet, die Schutzvoraussetzungen nicht überprüft. Wer ein Design oder Geschmacksmuster eintragen lässt, das nicht neu und/oder nicht eigenartig ist, muss sich allerdings darauf gefasst machen, dass sein Recht von Dritten angegriffen und auf Antrag wieder aus dem Register gelöscht werden kann. Zu den Schutzvoraussetzungen selbst: Neuheit im Sinne des ­ Designrechts bedeutet, dass das Design vor dem Zeitpunkt der Designanmeldung den inländischen Fachkreisen nicht schon identisch offenbart war. Als identisch gilt dabei jedes Design, das sich in seinen Merkmalen nur in unwesentlichen Einzelheiten unterscheidet. Offenbart ist ein Design, wenn es bekannt gemacht, ausgestellt, im Verkehr verwendet oder auf sonstige Weise der Öffentlichkeit zugänglich gemacht wurde, es sei denn, dass dies den in der EU tätigen Fachkreisen des betreffenden Sektors im normalen Geschäftsverlauf nicht bekannt sein konnte. Ein Design gilt hingegen nicht als offenbart, wenn es einem Dritten lediglich unter der Bedingung der Vertraulichkeit bekannt gemacht wurde. Es kommt für die Neuheit allerdings nicht darauf an, durch wen die vorherige Offenbarung des Designs geschehen ist. Auch der Entwerfer selbst kann sein eigenes Design in neuheitsschädlicher Weise vorveröffentlichen. Etwas besser gestellt ist der Entwerfer im Vergleich zu sonstigen Dritten dann aber doch: Das Gesetz erkennt ihm eine zwölfmonatige Schonfrist zu, binnen derer seine Vorveröffentlichung nicht zum Wegfall der Neuheit führt. In der Praxis bedeutet das, dass Unternehmen relativ schnell handeln müssen, wenn sie sich ein „wasserdichtes“ Designrecht sichern wollen. Ist das Design einmal offenbart, wurde zum ­Beispiel auf einer Messe ausgestellt, hat das Unternehmen zwölf Monate Zeit, um das Design zur Eintragung anzumelden. Meldet das Unternehmen das Design erst nach Ablauf der zwölf Monate an, kann das Design zwar trotzdem eingetragen werden (Stichwort „ungeprüftes Schutzrecht“), es ist jedoch angreifbar und kann Nachahmern letztlich nicht mit Erfolg entgegengehalten werden. Die zweite Schutzvoraussetzung des Designs ist die Eigenart. Ein Design hat Eigenart, wenn sich der Gesamteindruck, den es beim informierten Benutzer hervorruft, von dem Gesamteindruck unterscheidet, den ein anderes Design bei diesem Benutzer hervorruft, das vor dem Anmeldetag offenbart worden ist. Bei der Beurteilung der Eigenart wird stets der Grad der Gestaltungsfreiheit des Entwerfers bei der Entwicklung des Designs berücksichtigt. Um die Eigenart eines Designs zu überprüfen, muss das Design also mit dem vorbekannten Formenschatz abgeglichen werden. Neuheit und Eigenart können sich damit überschneiden: Gab es eine identische oder nahezu identische Vorveröffentlichung

Schutzstrategien gegen Produktpiraterie und Wirtschaftsspionage

225

des Designs, fehlt dem Design sowohl die Neuheit als auch die Eigenart. Unterscheiden sich vorbekannte Designs etwas stärker vom zu schützenden Design, rufen aber doch noch denselben Gesamteindruck hervor, ist das Design zwar neu, aber nicht eigenartig. Das eingetragene Design beziehungsweise Gemeinschaftsgeschmacksmuster hat eine maximale Schutzdauer von 25 Jahren und unterliegt damit – anders als die Marke – gerade keiner „Ewigkeitsgarantie“. Hintergrund ist, dass der Gesetzgeber innovativen Unternehmen zwar ein Ausschließlichkeitsrecht an neuen Gestaltungen gewährt, nach Ablauf einer gewissen Zeit aber den freien Wettbewerb nicht weiter beschränken und auch Dritten ermöglichen möchte, Designs zu benutzen und zu vermarkten, die sich als gut und sinnvoll erwiesen haben. Ein relevanter Unterschied zwischen dem deutschen und dem europäischen Recht liegt im nichteingetragenen Gemeinschaftsgeschmacksmuster, das es nur auf europäischer Ebene gibt. Wie der Name schon sagt, entsteht dieses Recht nicht durch Eintragung, sondern es entsteht automatisch durch Offenbarung des Designs gegenüber den in der Europäischen Union tätigen Fachkreisen des betreffenden Wirtschaftszweiges. Ab diesem Zeitpunkt ist das Design für eine maximale Dauer von drei Jahren geschützt.

1.3 Das Urheberrecht Das Urheberrecht erstreckt sich auf Werke der Literatur, Wissenschaft und Kunst. Werke im Sinne des Urhebergesetz sind nur persönliche geistige Schöpfungen. Unter einer Schöpfung wird im Allgemeinem ein Schaffensvorgang ­verstanden, der eine gewisse Gestaltungshöhe besitzt. Persönlich ist zudem nur dasjenige, was ein Mensch geschaffen hat. Nicht erfasst vom Schutz des Urheberrechts sind reine Maschinenerzeugnisse oder bloße Naturprodukte, an denen ein Mensch nicht mitgewirkt hat. Geistig ist eine Schöpfung, wenn sie das Ergebnis eines unmittelbaren und zielgerichteten geistigen Schaffens- beziehungsweise Gestaltungsprozesses ist. Das Urheberrecht besteht ab dem Zeitpunkt der Werkschöpfung und bedarf keiner förmlichen Eintragung, es entsteht also automatisch. Einer Offenbarung gegenüber Dritten bedarf es – anders als beim nichteingetragenen Gemeinschaftsgeschmacksmuster – nicht. Typische Beispiele für urheberrechtlich geschützte Werke sind unter anderem Sprachwerke (Romane, Briefe oder Liedertexte), Werke der Musik und des Films oder künstlerische Werke wie Gemälde, Zeichnungen oder Skulpturen. Aber auch architektonische Werke können urheberrechtlichen Schutz genießen – man denke nur an die Auseinandersetzung um den Berliner Hauptbahnhof.

226

V. Nieß und J. Wortmann geb. Voogd

Bestimmte Beschränkungen des urheberrechtlichen Schutzes bestehen zugunsten privater und allgemeiner Interessen. In Einzelfällen ist etwa die ­Vervielfältigung eines Werkes zu privaten Zwecken zulässig. Beschränkungen zugunsten des allgemeinen Interesses bestehen insbesondere dann, wenn es sich um aktuelle Informationen und Tagesfragen handelt. So ist die Vervielfältigung eines Werkes im Interesse der Allgemeinheit zulässig, wenn es sich dabei beispielsweise um Reden über Tagesfragen in Zeitungen handelt.

1.4 Das Patent Das Patent ist das passende Schutzrecht für Erfindungen auf technischem Gebiet. Es entsteht ausschließlich durch Erteilung nach Anmeldung und ist – anders als etwa das Designrecht – kein ungeprüftes Schutzrecht. Im Gegenteil, das Patent wird vor seiner Erteilung „auf Herz und Nieren“ geprüft. Eine patentfähige Erfindung muss neu sein, auf einer erfinderischen Tätigkeit beruhen und gewerblich anwendbar sein. Neuheit liegt vor, wenn die Erfindung nicht zum „Stand der Technik“ gehört, sie darf deshalb vor dem Anmeldetag nicht bereits schriftlich oder mündlich irgendwo in der Welt der Öffentlichkeit zugänglich gemacht worden sein. Neuheitsschädlich können unter anderem Vorveröffentlichungen, Poster oder Beschreibungen des eigenen Produkts vor Anmeldung des Patents sein. Zudem muss die neue Erfindung auf einer erfinderischen Tätigkeit beruhen, das heißt, sie darf nicht in naheliegender Weise aus dem Stand der Technik hervorgehen. Und zuletzt muss sie gewerblich anwendbar sein. Dieses Kriterium ist erfüllt, wenn das Produkt in irgendeinem gewerblichen Gebiet herstell- oder benutzbar ist. Bestimmte Arten von Erfindungen sind vom Patentschutz grundsätzlich ausgeschlossen, so zum Beispiel therapeutische Behandlungsverfahren. Geschützt werden können sowohl technische Gegenstände und chemische Erzeugnisse als auch das Verfahren, also Herstellung und Arbeitsverfahren eines Produkts. Ausgeschlossen vom Patentschutz sind hingegen bloße Entdeckungen, Verfahren für gedankliche Tätigkeiten oder Wiedergaben als solche. Die volle Schutzwirkung beginnt mit der Erteilung des Patents, wobei angesichts der schon erwähnten umfangreichen Prüfung der Anmeldung mit einem Zeitraum von mindestens zwei Jahren zwischen Anmeldung und Erteilung gerechnet werden muss. Die maximale Laufzeit eines Patents beträgt 20 Jahre ab der Anmeldung. Auch hier war der Gesetzgeber der Auffassung, dass technische Erfindungen zwar für einen gewissen Zeitraum monopolisiert werden können, nach Ablauf des Zeitraums aber auch Wettbewerbern offenstehen müssen.

Schutzstrategien gegen Produktpiraterie und Wirtschaftsspionage

227

1.5 Das Gebrauchsmuster Das Gebrauchsmuster gilt oftmals auch als der kleine Bruder des Patents. Auch hier geht es um Erfindungen, die neu sein, auf einem erfinderischen Schritt beruhen und gewerblich anwendbar sein müssen. Geschützt werden dabei technische Gegenstände und chemische Erzeugnisse. Ausgenommen sind Verfahren (Herstellungs- und Arbeitsverfahren). Beim Begriff der Neuheit genügt es, wenn noch keine schriftliche Veröffentlichung bezüglich der Erfindung oder deren offenkundige Vorbenutzung im Inland vorliegt. Demzufolge sind Vorträge oder Äußerungen im Ausland nicht neuheitsschädlich. Ein weiterer wesentlicher Unterschied zum Patent liegt überdies darin, dass die Schutzrechtserteilung des Gebrauchsmusters ohne sachliches Prüfungsverfahren erfolgt, das heißt, das Gebrauchsmuster – wie etwa das eingetragene Design/Gemeinschaftsgeschmacksmuster – ein ungeprüftes Schutzrecht ist. Die Eintragung eines Gebrauchsmusters erfolgt somit wesentlich schneller und ist erheblich billiger als die eines Patents – die Prüfung eines Patents bedarf in der Regel mehrerer Jahre, dagegen kann ein Gebrauchsmuster bereits wenige Monate nach der Anmeldung in das Register eingetragen werden. Die Schutzdauer des Gebrauchsmusters beträgt hingegen höchstens zehn Jahre.

2 Durchsetzung gewerblicher Schutzrechte Wurden gewerbliche Schutzrechte erfolgreich durch Benutzung erworben oder aber zur Eintragung gebracht, können Unternehmen gestützt auf diese Schutzrechte auf vielfältige Art und Weise gegen Nachahmer und Produktpiraten ­vorgehen. Unterschieden wird dabei in der Praxis in der Regel danach, ob ein Unternehmen präventiv schon im Vorfeld einer möglichen Verletzung aktiv wird oder erst dann, wenn es schon zu einer Rechtsverletzung gekommen ist. Im Weiteren lässt sich danach unterscheiden, welcher Rechtsweg eingeschlagen wird, also der Gang zu den Zivilgerichten gewählt oder die Hilfe der Staatsanwaltschaft oder der Zollbehörden in Anspruch genommen wird.

2.1 Präventive und außergerichtliche Maßnahmen 2.1.1 Grenzbeschlagnahmeverfahren Im Rahmen der Grenzbeschlagnahme haben Inhaber gewerblicher Schutzrechte die Möglichkeit, schon die Einfuhr von Nachahmerprodukten nach Deutschland und in die Europäischen Union zu verhindern. Die Produkte werden auf diese

228

V. Nieß und J. Wortmann geb. Voogd

Weise bereits an der deutschen beziehungsweise EU-Außengrenze aufgehalten und gelangen damit schon gar nicht ins Inland. Dies erspart dem Rechteinhaber erheblichen Aufwand, da er nicht einzelne Händler der rechtsverletzenden Produkte aufspüren und in Anspruch nehmen muss. Die Aufgriffszahlen des ­ deutschen Zolls sind zudem sehr hoch: In den Jahren 2016 und 2017 wurden bei insgesamt 42.735 Aufgriffen fast 7.000.000 rechtsverletzende Waren mit einem Gesamtwert von etwa 376.000.000 EUR sichergestellt, die andernfalls in den geschäftlichen Verkehr gelangt wären. (http://www.zoll.de/DE/Fachthemen/Verbote-Beschraenkungen/Gewerblicher-Rechtsschutz/Statistik/statistik_node.html) Ob ein nationaler Antrag auf Tätigwerden der deutschen Zollbehörden gestellt wird oder sogar ein Unionsantrag auf Grenzbeschlagnahme gestellt werden kann, der das Tätigwerden aller Zollbehörden in der EU nach sich zieht, hängt davon ab, auf welche Rechte der Antrag gestützt wird. Möchte der Rechteinhaber einen europaweiten Grenzbeschlagnahmeantrag einleiten, so ist dies nämlich nur dann möglich, wenn er sich auf Rechte berufen kann, die ebenfalls unionsweite ­Wirkung beanspruchen. Aufgrund des im gewerblichen Rechtsschutz vorherrschenden sogenannten „Territorialitätsprinzips“ (s.  o. unter Abschn.  1.1) entfalten die jeweiligen Schutzrechte ihre Schutzwirkung nur in demjenigen Land, in dem sie entstanden sind oder eingetragen wurden. Ein spanischer Zollbeamter hätte demnach keine Rechtsgrundlage, um Waren zu beschlagnahmen, die die Rechte an einer nur in Deutschland eingetragenen Marke verletzen. Zu den unionsweit wirkenden Rechten zählen die unter Abschn. 2 näher erläuterten Unionsmarken und Gemeinschaftsgeschmacksmuster sowie international registrierte Marken und Designs, die die Europäische Union benennen. Da es bislang weder ein „Unions-Patent“, ein „Unions-Gebrauchsmuster“ noch ein „Unions-­ Urheberrecht“ gibt, das mit einer Eintragung beziehungsweise Schöpfungshandlung unionsweite Wirksamkeit beanspruchen kann, ist in diesen Fällen kein europaweiter Grenzbeschlagnahmeantrag möglich. Das Gleiche gilt, wenn nachgeahmte Waren lediglich gegen die Vorschriften des Gesetzes gegen den Unlauteren Wettbewerb verstoßen sowie bei sogenannter „Graumarktware“, die zwar mit der Zustimmung des Rechteinhabers hergestellt wurde, jedoch ohne seine Zustimmung in den europäischen Wirtschaftsraum eingeführt wird. In all diesen Fällen muss der Rechteinhaber, gegebenenfalls in mehreren Ländern parallel, auf nationaler Ebene Anträge auf Grenzbeschlagnahme stellen. Dabei ist weder erforderlich, dass dem den Zollantrag beantragenden Unternehmen schon eine konkrete Rechtsverletzung bekannt geworden ist, noch, dass der Verdacht besteht, ein bestimmter Wettbewerber oder sonstiger Dritter beabsichtige die Einfuhr von rechtsverletzenden Waren. Die Anträge auf Grenzbeschlagnahme sind zudem kostenfrei. Sie können zunächst für ein Jahr gestellt

Schutzstrategien gegen Produktpiraterie und Wirtschaftsspionage

229

und sodann problemlos und beliebig oft verlängert werden. Der Antrag wird ­elektronisch bei der Zentralstelle Gewerblicher Rechtsschutz (http://www.zoll. de/DE/Fachthemen/Verbote-Beschraenkungen/Gewerblicher-Rechtsschutz/ Information-ZGR-online/information-zgr-online_node.html;jsessionid=59D1F9 57F50FDBD1AB04275290416893.live4671) eingereicht und wird von dieser – im Falle eines EU-Grenzbeschlagnahmeantrags – auch an die Zollbehörden der anderen EU-Länder übermittelt. Greift der Zoll ein schutzrechtsverletzendes Produkt auf, wird die Ware an der Grenze zurückhalten und der Rechteinhaber und Antragsteller gebeten, zu ­prüfen, ob es sich bei dem aufgegriffenen Produkt tatsächlich um ein Plagiat handelt. Bestätigt sich eine Rechtsverletzung, und zeigt sich der Einführende einsichtig, werden die rechtsverletzenden Waren der Vernichtung durch hierauf spezialisierte Unternehmen zugeführt. Wehrt er sich hingegen gegen die Vernichtung, so muss der Rechteinhaber gerichtliche Schritte einleiten. Deutsche Zollbehörden können allerdings nicht nur an der Grenze, sondern auch im Inland tätig werden. Für die Inhaber von Schutzrechten ist dies in der Praxis insbesondere bei großen internationalen Messen von Relevanz. Der Zoll verfügt hier auf der Messe selbst in der Regel über mobile Kontrollgruppen, welche die aus dem Ausland eingeführten Waren in erster Linie routinemäßig darauf überprüfen, ob sie zollrechtlich abgefertigt wurden. Liegt aber ein Grenzbeschlagnahmeantrag vor, und werden die Zollbeamten sodann auf eine Rechtsverletzung hingewiesen, können sie die entsprechende Ware noch auf dem Messestand selbst sicherstellen. Auf einer Messe kann ein Zollbeamter schließlich auch als sogenannter „Hilfsbeamter der Staatsanwaltschaft“ tätig werden. Er handelt dann nicht zur Durchsetzung zollrechtlicher Vorschriften, sondern als Ermittlungsbeamter. Selbst wenn kein Grenzbeschlagnahmeantrag vorliegt, können Zollbeamte gemäß § 94 StPO Waren und Kataloge als Beweismittel auf der Messe sicherstellen. Hierfür bedarf es eines Strafantrags bei der Staatsanwaltschaft oder bei der Polizeidienstelle auf der Messe (vgl. unten unter Abschn. 2.3).

2.1.2 Die Abmahnung Zentrales Mittel der außergerichtlichen Geltendmachung der Verletzung von gewerblichen Schutzrechten ist in der Praxis die Abmahnung. Bei einer Abmahnung handelt es sich um die Mitteilung des Anspruchsberechtigten an einen Verletzer, dass er durch eine im Einzelnen bezeichnete Handlung die Schutzrechte des Rechteinhabers verletzt hat, verbunden mit der Aufforderung, diese Rechtsverletzung in Zukunft zu unterlassen und binnen einer bestimmten (kurzen) Frist eine strafbewehrte Unterlassungserklärung abzugeben. Um dem

230

V. Nieß und J. Wortmann geb. Voogd

Abgemahnten die Ernsthaftigkeit des Rechteinhabers vor Augen zu führen, muss eine wirksame Abmahnung schließlich auch die Androhung enthalten, nach fruchtlosem Ablauf der gesetzten Frist gerichtliche Schritte einzuleiten. Oftmals wird der Abmahnung schon der Entwurf einer Unterlassungserklärung beigefügt. Letzteres ist aber weder eine Wirksamkeitsvoraussetzung der Abmahnung, noch ist der Empfänger verpflichtet, genau den Wortlaut der geforderten Unterlassungserklärung zu übernehmen. In der Praxis empfiehlt es sich aufseiten des Abmahnenden wie aufseiten des Abgemahnten, große Sorgfalt auf die Formulierung der Unterlassungserklärung aufzuwenden, da zum Beispiel durch die Verwendung zu „schwammiger“ Formulierungen schon solche Verhalten unter die Unterlassungserklärung fallen können, die an sich gar keine Rechtsverletzungen darstellen würden, umgekehrt durch zu „enge“ Formulierungen aber möglicherweise nicht alle verletzenden Handlungen umfasst werden. Entgegen einem verbreiteten Irrglauben muss vor dem Einleiten gerichtlicher Schritte keinesfalls eine Abmahnung ausgesprochen werden. Es liegt vielmehr allein im Ermessen des Rechteinhabers, ob er den Verletzer zunächst auf dessen Rechtsverletzung hinweist oder aber sofort eine einstweilige Verfügung oder Klage auf den Weg bringt. Das sofortige Einleiten gerichtlicher Schritte ist aber dann von Nachteil für den Rechteinhaber, wenn der Verletzer sofort „einknickt“ und alle Ansprüche anerkennt. In dem Fall sieht die Zivilprozessordnung vor, dass der Kläger beziehungsweise Antragsteller die Gerichtskosten tragen muss, die allein schon durch das Erheben einer Klage oder das Stellen eines Antrags auf Erlass einer einstweiligen Verfügung nach dem Gerichtskostengesetz automatisch entstehen. Durch diese Regelung sollen Rechteinhaber unter anderem dazu motiviert werden, nicht gleich gerichtlich vorzugehen, sondern den Verletzer außergerichtlich zum Einlenken zu bewegen. Vor diesem Hintergrund sieht die Rechtsprechung die Abmahnung des Rechteinhabers an den Verletzer regelmäßig als einen Dienst an, den der Rechteinhaber im Interesse und für den Verletzer erbringt. Aus eben diesem Umstand wird sodann der Anspruch des Abmahnenden auf Erstattung seiner Abmahnkosten durch den Verletzer abgeleitet. Die Höhe der erstattungsfähigen Abmahnkosten richtet sich dabei nach dem sogenannten „Streitwert“ der Sache, der bei Abmahnungen wegen der Verletzung von gewerblichen Schutzrechten schnell 30.000 bis 50.000 EUR erreichen kann. Typischerweise würde die Abmahnung dann zwischen etwa 1300 und 1500 EUR kosten. Dieser Kostenerstattungsanspruch, der für den Abgemahnten oft ein Ärgernis darstellt, besteht aber natürlich nur dann, wenn die Abmahnung berechtigt ist, also tatsächlich eine Rechtsverletzung gegeben ist. Ist die Abmahnung „unberechtigt“, weil der Abmahnende gar nicht Rechteinhaber ist, die falsche Person oder das f­alsche

Schutzstrategien gegen Produktpiraterie und Wirtschaftsspionage

231

Unternehmen abgemahnt wurde oder aber das gerügte Verhalten gar keine Rechtsverletzung darstellt, kann der Abgemahnte zum „Gegenschlag“ ausholen, und etwa den vermeintlichen Rechteinhaber wegen unberechtigter Schutzrechtverwarnung abmahnen. Auch vor dem Hintergrund dieses Risikos empfiehlt sich vor dem Aussprechen einer Abmahnung die sorgfältige Prüfung aller relevanten Umstände.

2.1.3 Anrufen von Schlichtungsstellen auf einer Messe Es gibt immer mehr Messebetreiber, die, um die Aussteller vor Produktpiraterie zu schützen, in ihren Allgemeinen Teilnahmebedingungen die Einrichtung von Schlichtungsstellen vorgesehen haben. So hat zum Beispiel die Messe München erstmals im Jahr 2008 für die „electronica“- Messe ein „Intellectual Property Panel“ eingerichtet. Rechteinhaber können dieses Panel vor und auch während der Messe anrufen und die Verletzung ihrer Rechte geltend machen. Das Panel agiert dann als Schiedsgericht und ist aufgrund der Teilnahmebedingungen berechtigt, Messeaussteller wegen der Verletzung gewerblicher Schutzrechte ganz von der Messe auszuschließen.

2.2 Zivilgerichtlicher Rechtsschutz Weist der Verletzer die in einer Abmahnung geltend gemachten Ansprüche zurück oder ist von Anfang an absehbar, dass er keine Unterlassungserklärung abgeben wird, kann der Rechteinhaber gerichtliche Schritte einleiten. Daneben können aber auch andere Erwägungen dafür sprechen (trotz des oben unter Abschn. 2.1.2) beschriebenen Kostenrisikos), ohne eine vorherige Abmahnung sofort gerichtlichen Schritte einzuleiten: Erfolgen die Verletzungshandlungen etwa nur innerhalb eines sehr kurzen Zeitfensters und führen hier gleichzeitig zu unverhältnismäßig großem Schaden – etwa bei Angeboten von Nachahmerprodukten auf einer Messe – empfiehlt es sich, hier unmittelbar und ohne vorherige Abmahnung eine gerichtliche einstweilige Verfügung zu beantragen. Das Gleiche kann dann gelten, wenn zu befürchten ist, dass der Verletzer die Vorwarnung durch eine Abmahnung zum Anlass nimmt, seinen Bestand an rechtsverletzenden Produkten kurzfristig an Dritte zu veräußern oder anderweitig beiseitezuschaffen. Einstweilige Verfügungen sind im gewerblichen Rechtsschutz ein äußerst beliebtes und effektives Mittel der Rechtsdurchsetzung. Im Gegensatz zu einem Klageverfahren entscheiden die Gerichte hier sehr schnell, in der Regel innerhalb von ein bis drei Tagen, sodass der gerichtliche Beschluss dem Gegner schon kurz darauf per Gerichtsvollzieher zugestellt werden kann. Sobald der Beschluss

232

V. Nieß und J. Wortmann geb. Voogd

zugestellt ist, ist der Verletzer gehalten, den Beschluss zu befolgen, der ihm in der Regel untersagen wird, die rechtsverletzenden Produkte in irgendeiner Form am Markt anzubieten oder zu vertreiben. Gleichzeitig kann die einstweilige Verfügung vorsehen, dass der Verletzer sämtliche rechtsverletzenden Produkte an den Gerichtsvollzieher herauszugeben hat. Werden rechtsverletzende Produkte auf einer Messe ausgestellt, die meistens nur wenige Tage läuft, werden einstweilige Verfügungen sogar teilweise innerhalb weniger Stunden erlassen. Um ein schnelles Handeln zu gewährleisten, stellen die Gerichte bei größeren Messen, etwa bei der CEBIT, gesondert Richter für den Erlass derartiger „Messeverfügungen“ ab. Diese Verfügungen werden von den Gerichtsvollziehern sodann auf der Messe an dem Stand des Rechtsverletzers selbst zugestellt und auch hier etwaige rechtsverletzende Produkte in Verwahrung genommen. Ein solches Vorgehen unterbindet schnell und kosteneffizient die rechtsverletzenden Aktivitäten der Nachahmer und verhindert, dass sie ihre Angebote dem breiten Publikum bekannt machen können. Um ein möglichst schnelles Vorgehen zu gewährleisten, hat es sich daher in der Praxis auch bewährt, im Vorfeld der für die eigene Branche relevanten Messen bereits das Ausstellerverzeichnis nach möglichen Rechtsverletzern und Wettbewerbern zu überprüfen und, soweit möglich, schon den Aufbau der Messestände dafür zu nutzen, die jeweiligen Produkte in Augenschein zu nehmen. Aufgrund dieser weitreichenden Folgen, die eine einstweilige Verfügung für den (vermeintlichen) Verletzer hat, ist deren Erlass an Voraussetzungen gebunden, die im Klageverfahren nicht greifen: So muss für den Erlass einer einstweiligen Verfügung insbesondere die sogenannte „Dringlichkeit“ gegeben sein. Der Antragsteller soll danach nur dann die Möglichkeit haben, einstweiligen Rechtsschutzes in Anspruch zu nehmen, wenn es sich um eine neue Rechtsverletzung handelt und ein schnelles Vorgehen geboten erscheint. Weiß der Rechteinhaber etwa schon seit Monaten von der Rechtsverletzung, ist bislang aber nicht hiergegen vorgegangen, ist keine Dringlichkeit mehr gegeben. Wie streng die Anforderungen an die Dringlichkeit sind, wird von den verschiedenen Gerichten unterschiedlich beurteilt. Die meisten Gerichte gehen aber wohl davon aus, dass der Anspruchsteller, nachdem er Kenntnis von der Verletzungshandlung und dem Verletzer erlangt hat, innerhalb von einem Monat seinen Antrag auf Erlass einer einstweiligen Verfügung stellen muss. Weiterhin wird ein Gericht eine einstweilige Verfügung nur dann erlassen, wenn es aufgrund einer summarischen Prüfung relativ schnell feststellen kann, dass eine Rechtsverletzung gegeben ist. Liegt ein technisch komplexer Fall vor oder ist nicht klar, wer Inhaber der jeweiligen Rechte ist, wird das Gericht den Antragsteller auf den Klageweg verweisen, da sich derartige Fragen in einem längeren Prozess und zum Beispiel unter

Schutzstrategien gegen Produktpiraterie und Wirtschaftsspionage

233

Zuhilfenahme von Sachverständigen zuverlässig klären lassen. Die ­Verletzung von Marken- und Designrechten lässt sich oftmals wesentlich leichter darlegen als etwa eine Patentverletzung. Der Erlass einstweiliger Verfügungen ist im Patentrecht daher eher die Ausnahme.

2.3 Strafrechtliche Maßnahmen Neben den ausgeführten zivilrechtlichen Durchsetzungsmöglichkeiten kann ein Rechteinhaber auch gestützt auf strafrechtliche Normen gegen den Verkauf von Produktfälschungen vorgehen. So finden sich in § 143a Markengesetz, § 65 Designgesetz und § 142 Patentgesetz jeweils gesonderte Strafnormen, die die unbefugte Benutzung der geschützten Gegenstände unter Strafe stellen. Derjenige, der sich in einem seiner gewerblichen Schutzrechte verletzt sieht, kann Strafantrag beziehungsweise Strafanzeige bei der Polizei oder Staatsanwaltschaft stellen. Sofern der Verletzer im gewerblichen Umfang tätig ist, handelt es sich um ein sogenanntes „Offizialdelikt“, in dem die Staatsanwaltschaft von Amts wegen ermitteln muss. Wird das Ermittlungsverfahren wegen des Verkaufs von Plagiaten etwa auf einer Messe eingeleitet, sucht die Polizei in aller Regel den Messestand des verletzenden Ausstellers zum Zweck der Aufklärung auf. Vor Ort wird die Polizei sodann Personalien der Verantwortlichen feststellen und kann hier auch den Stand durchsuchen. Werden dabei schutzrechtsverletzende Produkte entdeckt, kann sie die Beschlagnahme der Produkte anordnen. Ob die Polizei gleich alle Produkte oder nur einzelne Musterstücke zur Beweissicherung beschlagnahmt, wird von Fall zu Fall entschieden und unter anderem davon abhängig gemacht, wie offensichtlich die Rechtsverletzung ist. Im Falle einer Patentverletzung ist eine Rechtsverletzung von den Beamten in der Regel nur schwer unmittelbar zu beurteilen, sodass bei einer geltend gemachten Patentverletzung die Beschlagnahme grundsätzlich auf ein bis höchstens drei Musterstücke beschränkt wird.

3 Der Schutz von Geschäftsgeheimnissen Am 8. Juni 2016 hat der europäische Gesetzgeber die EU-Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger ­Nutzung und Offenlegung (RL 2016/943) erlassen. Ziel der Richtlinie ist neben

234

V. Nieß und J. Wortmann geb. Voogd

europaweit einheitlichen Mindeststandards für den Schutz von Betriebs- und Geschäftsgeheimnissen auch, die Geheimnissphäre kleinerer und mittlerer Unternehmen stärker zu schützen. Der deutsche Gesetzgeber hat die Richtlinie kürzlich in deutsches Recht umgesetzt. Das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) ist – wenn auch nicht mehr innerhalb der Umsetzungsfrist der Richtlinie – am 26.04.2019 in Kraft getreten.

3.1 Schutzgegenstand Anders als die Sonderschutzrechte erfordert der Geschäftsgeheimnisschutz keine genuine (geistige) Leistung, sondern speist sich aus dem Bedürfnis, unredliches Handeln zu unterbinden. Die inhaltliche Anforderung an ein Geschäftsgeheimnis ist, dass dieses geheim ist. Eine Schöpfungshöhe, ein erfinderischer Schritt oder ähnliches ist nicht erforderlich. Auch im Kern banale Tatsachen (wie etwa die einzelne Adresse im Rahmen einer über Jahre aufgebauten Kundenliste) können – jedenfalls im Grundsatz – Schutz genießen. Der Schutzgegenstand reicht damit von solchen banalen (aber geheim gehaltenen) Informationsansammlungen bis hin zu komplexen, auch technischen Informationen oder Erfindungen. Entfällt der Geheimnischarakter aber ohne unlauteres Zutun eines Dritten, verliert das Geschäftsgeheimnis seinen rechtlichen Schutz.

3.2 Wichtige Anwendungsbereiche für den Schutz durch Geschäftsgeheimnisse Der Schutz als Geschäftsgeheimnis ist immer dann unverzichtbar, wenn für eine bestimmte Art der (geistigen) Leistung kein Sonderrechtsschutz zur Verfügung steht (etwa bei Kundenlisten, Geschäftsmethoden oder Studien). Überdies ist der rechtliche Schutz von Geschäftsgeheimnissen wichtig, wenn ein Unternehmen sich noch in der Entwicklungsphase für eine Innovation befindet, für die zwar ein Sonderrechtsschutz möglich ist, die Entwicklungsstufe aber noch keine Anmeldung eines Schutzrechts erlaubt oder das jeweilige Schutzrecht bei seiner Anmeldung neu sein muss (etwa bei Patenten, Gebrauchsmustern oder Designs). Einige Unternehmen wählen den Schutz ihrer Leistungen über Geschäftsgeheimnisse ferner dann, wenn die maximale Schutzdauer des zur Verfügung stehenden Sonderrechtsschutzes zu kurz erscheint. Manchmal ist es auch schlicht eine Kosten-Nutzen-Rechnung, die Unternehmen auf den Schutz als Geschäftsgeheimnis vertrauen lässt, weil es sich nicht rechnet, jede Innovation über ein eingetragenes

Schutzstrategien gegen Produktpiraterie und Wirtschaftsspionage

235

Schutzrecht abzusichern. Der Geheimnisschutz ist damit eine sinnvolle Ergänzung des Sonderrechtsschutzes, für den unternehmensseitig ein nicht unerheblicher Bedarf besteht.

3.3 Typische Verletzungen von Geschäftsgeheimnissen Geschäftsgeheimnisse sind – neben Fällen echter Industriespionage – vor allem dann besonders gefährdet, wenn ein Unternehmen seinen Mitarbeitern Zugang zu Geheimnissen gewährt (oder die Mitarbeiter die Geheimnisse gar selbst entwickeln) und die Mitarbeiter das Unternehmen anschließend verlassen, sei es, um sich selbstständig zu machen, sei es, um für einen anderen Arbeitgeber tätig zu werden. Im Kopf vorhandenes Wissen lässt sich nicht „an der Pforte abgeben“. Nicht selten nehmen Arbeitnehmer beim Verlassen des Arbeitgeberunternehmens aber auch Unterlagen oder Daten an sich beziehungsweise geben diese nicht zurück, die Geschäftsgeheimnisse enthalten oder verkörpern. Oftmals herrscht hier die (regelmäßig unzutreffende) Auffassung, was man als Arbeitnehmer selbst entwickelt habe, stehe einem schließlich zu. Die Arbeitnehmerfluktuation stellt damit eine Gefahr für jeden Arbeitgeber dar, der sich auf Geschäftsgeheimnisse verlässt. Ein Risiko für Geschäftsgeheimnisse kann aber etwa auch dadurch entstehen, dass ein Unternehmen mit einem anderen Unternehmen im In- oder Ausland kooperieren möchte und in diesem Zuge Geschäftsgeheimnisse offenbart. Regelmäßig werden in diesen Zusammenhängen zunächst Geheimhaltungsvereinbarungen (sogenannte NDAs) abgeschlossen, um die „Vertragsanbahnungsphase“ abzusichern. Aber auch die eigentliche Kooperation bedarf besonderer vertraglicher Absicherung. Das Unternehmen, das eigene Geheimnisse preisgibt, ist hier allerdings auf die Vertragstreue des Partners angewiesen, die sich allenfalls mit Vertragsstrafen absichern lässt.

3.4 Das bislang geltende Recht Sieht man sich die bis vor kurzem bestehende Situation des Know-how-Schutzes in Deutschland an, so wird deutlich, dass dieser einige Defizite aufwies. Geregelt war der Schutz von Geschäftsgeheimnissen in Form dreier Strafnormen (§§ 17 bis 19) im Gesetz gegen den Unlauteren Wettbewerb, dem UWG. Es war allerdings anerkannt, dass eine Verletzung dieser Normen auch zivilrechtliche Ansprüche (etwa auf Unterlassung, Auskunft, Schadensersatz) nach sich ziehen konnte. In der Durchsetzung der Ansprüche bestanden aber einige Schwierigkeiten.

236

V. Nieß und J. Wortmann geb. Voogd

Das erste Problem lag regelmäßig im Nachweis, dass überhaupt Geschäftsgeheimnisse entwendet wurden. Bei ausgeschiedenen Mitarbeitern ließ sich manchmal mithilfe von IT-Maßnahmen herausfinden, ob der Mitarbeiter bestimmte Daten per E-Mail verschickt oder auf externe Speichermedien gezogen hatte. Auch ließ sich der Nachweis entwendeter Geheimnisse manchmal dadurch führen, dass vermeintlich neue Dokumente noch Hinweise auf die kopierten oder entwendeten Originalunterlagen erkennen ließen, etwa handschriftliche Notizen oder gar das alte Firmenlogo. Oftmals fehlten solche Nachweise aber, und das Unternehmen, das eine Geheimnisverletzung geltend machen wollte, hatte nicht mehr als bloße Vermutungen. Zwar sieht das deutsche Recht unter bestimmten Voraussetzungen einen Besichtigungsanspruch vor, der gerichtlich geltend gemacht werden kann und auch auf Geschäftsgeheimnisverletzungen nach altem Recht anwendbar war. Allerdings griff dieser bei unspezifischen Vermutungen nicht ein. In diesem Fall half dem betroffenen Unternehmen nur der Weg zur Staatsanwaltschaft, die mithilfe der Polizei Durchsuchungen und Beschlagnahmen durchführen kann, wenn das betroffene Unternehmen Anhaltspunkte für einen hinreichenden Tatverdacht liefern konnte. Hatte ein Unternehmen nun Beweise dafür erlangt, dass Geschäftsgeheimnisse verletzt wurden, so offenbarte sich eine weitere Schwierigkeit spätestens im Zivilprozess. Ein Klageantrag muss hinreichend konkret gestellt werden, damit er auch vollstreckbar ist. Schreibt man das gesamte Geschäftsgeheimnis aber in den Klageantrag hinein und fügt die entwendeten (und gegebenenfalls mühsam über die Staatsanwaltschaft wiedererlangten) Unterlagen als Anlage bei, wie es normalerweise üblich ist, so hält nicht nur der beklagte Geheimnisverletzer das Geheimnis wieder feinsäuberlich dokumentiert in den Händen, sondern es besteht auch das Risiko, dass der jedenfalls grundsätzlich öffentlich zu führende Zivilprozess zu einer Offenbarung des Geheimnisses gegenüber Dritten führt. Mit dem Wegfall der Geheimnisqualität entfällt aber auch der rechtliche Schutz. Der bisherige gesetzliche Schutz war überdies lückenhaft. So konnte das geschädigte Unternehmen vom Verletzer bislang beispielsweise weder den Rückruf noch eine Vernichtung unter Verletzung der Geschäftsgeheimnisse hergestellter Waren verlangen.

3.5 Das neue GeschGehG Das GeschGehG ersetzt die bisherigen, wie gesagt als Strafnormen ausgestalteten §§ 17 bis 19 UWG durch einen genuin zivilrechtlichen Schutz in Form eines Stammgesetzes. Neben einem Anspruchssystem enthält es auch prozessuale Regeln zur effizienten Durchsetzung sowie einen eigenständigen Straftatbestand.

Schutzstrategien gegen Produktpiraterie und Wirtschaftsspionage

237

Dabei orientiert sich der Gesetzesentwurf eng am Text der Richtlinie. Abschnitt 1 enthält neben einer Regelung zum Anwendungsbereich in § 1 Begriffsbestimmungen (§ 2), erlaubte Handlungen, darunter das Reverse Engineering (§ 3), Handlungsverbote (§ 4) und Ausnahmetatbestände (§ 5). Im zweiten Abschnitt finden sich die Rechtsbehelfe, nämlich u.a. ein Anspruch auf Beseitigung und Unterlassung (§ 6), Ansprüche auf Herausgabe, Rückruf und Vernichtung (§ 7) sowie auf Auskunft und Schadensersatz (§ 8). Der dritte Abschnitt regelt sodann die prozessualen Besonderheiten für Geschäftsgeheimnisstreitsachen. Es findet sich dort eine Zuweisung solcher Streitigkeiten zu den Landgerichten am Beklagten(wohn)sitz, wobei eine Zuständigkeitskonzentration möglich ist (§ 15). Außerdem können Geschäftsgeheimnisse im Prozess auf Antrag als geheimhaltungsbedürftig klassifiziert werden, sodass allen Verfahrensbeteiligten die Weitergabe und Nutzung untersagt werden kann (§ 16), wobei im Falle des Verstoßes ein Ordnungsgeld bis zu 100 000 EUR oder Ordnungshaft bis zu sechs Monaten droht (§ 17). Weitere Geheimhaltungsmaßnahmen im Prozess finden sich in § 19, Maßnahmen nach Abschluss des gerichtlichen Verfahrens sind in § 18 geregelt. Die Strafnormen der §§ 17 bis 19 UWG sind schließlich in der neuen Strafnorm des § 23 zusammengefasst. Eine wichtige Neuerung, die hier herausgegriffen werden soll, liegt schon in der Definition des Geschäftsgeheimnisses selbst. Nach § 2 des Gesetzes ist ein Geschäftsgeheimnis nunmehr definiert als eine Information, die (a) weder insgesamt noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne Weiteres zugänglich ist und daher von wirtschaftlichem Wert ist, die (b) Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist und bei der (c) ein berechtigtes Interesse an der Geheimhaltung besteht. Das Geschäftsgeheimnis muss folglich in Zukunft „aktiv“ geheim gehalten werden. Unternehmen sind damit ab sofort aufgefordert, entsprechende Schutzvorkehrungen zu ergreifen. Kommt es zum Prozess, werden solche Schutzvorkehrungen nachzuweisen sein, sodass die Identifikation und Ergreifung physischer oder rechtlicher Schutzmaßnahmen zu dokumentieren sein wird. Welche Maßnahmen in diesem Zusammenhang als angemessen anzusehen sind, ist noch nicht abschließend geklärt. Es wird für die Frage der Angemessenheit aber auf das Geheimnis und dessen „Schutzbedürftigkeit“, also auf den jeweiligen Einzelfall, ankommen. Für Unternehmen dürfte es sich vor diesem Hintergrund aber lohnen, sich nun verstärkt mit dem eigenen Informationsmanagement zu beschäftigen. Weitere wichtige und grundsätzlich begrüßenswerte Neuerungen betreffen den erweiterten Anspruchskatalog, die Annäherung der gesetzlichen

238

V. Nieß und J. Wortmann geb. Voogd

­ egelung an die Sonderschutzrechte sowie die Verbesserung der prozessualen R ­Geheimhaltungsmöglichkeiten. Das neue Gesetz sieht sich aber auch Kritik ausgesetzt. Insbesondere erregt die ausschließliche Zuständigkeit der Landgerichte am Beklagten(wohn)sitz die Gemüter, ist damit der sogenannte fliegende Gerichtsstand für Geschäftsgeheimnisverletzungen – jedenfalls dann, wenn der Beklagte im Inland einen allgemeinen Gerichtsstand hat – abgeschafft. Dem Verletzten ist es daher regelmäßig nicht mehr möglich, ein besonders sachkundiges Gericht auszuwählen oder an dem Ort zu klagen, an dem die verletzende Handlung begangen wurde. Ob die Länder diese Zuständigkeitsregelung noch dadurch abfedern, dass sie von der Konzentrationsermächtigung des § 15 Abs. 3 GeschGehG Gebrauch machen, wird sich zeigen. So oder so: Der Geschäftsgeheimnisschutz in Deutschland hat sich verbessert, und das ist eine erfreuliche Nachricht für Unternehmen.

Kontrolle ist gut. Vertrauen ist besser Wie man durch Vertrauensmanagement Krisen vorbeugen kann Armin Sieber und Patrick Peters

1 Vertrauen als immaterielle Ressource 1.1 Vertrauen als Wertebasis Johanna ist 13 Jahre alt und die Tochter einer der beiden Verfasser. Wie es sich für ein heranwachsendes Mädchen gehört, geht Johanna ab und an shoppen. Das ist bei ihren Freundinnen zunehmend beliebt, ein Raum neu gewonnener Freiheit. Daher bekam sie vor einigen Wochen das erste Mal einen 50-EUR-Schein mit. Das Erstaunen, ja, die Ehrfurcht angesichts solch einer „hohen Summe“, die sie zur freien Verfügung bekam, stand greifbar im Raum. Aber es war auch die Freude darüber, zu sehen, dass ihr als Kind das Vertrauen entgegengebracht wird, selber Entscheidungen treffen zu können und selber Verfügungsgewalt über Geld zu bekommen. Selbstverständlich bekam Johanna allerlei gute Ratschläge mit auf den Weg, was man mit dem Geld machen könnte oder besser sein lassen sollte. Aber letztendlich ging es dabei um das Erlenen eigener Entscheidung – die Freiheit, keinen Alkohol, Drogen oder andere elternverschreckende Dinge zu kaufen. Sie hätte die Möglichkeit gehabt, all dies zu tun. Aber dann wäre der Vertrauensvorschuss verspielt gewesen. Johanna erlebte dies wie eine Initiation des

A. Sieber (*)  Lehrbeauftragter Universität Regensburg, Aschheim, Deutschland E-Mail: [email protected] P. Peters  Dr. Patrick Peters – Klare Botschaften, Mönchengladbach, Deutschland E-Mail: [email protected] © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_12

239

240

A. Sieber und P. Peters

Erwachsenwerdens: nämlich, dass man sich „wie die Erwachsenen“ Dinge kaufen kann. Geld kann vieles sein – auch ein Medium für Vertrauenstransfer.1 Bereits an diesem einfachen Beispiel zeigen sich viele Aspekte, die auch in komplexen wirtschaftlichen Zusammenhängen eine Rolle spielen: Es gibt einen Vertrauensgeber und einen Vertrauensnehmer. Es gibt eine stillschweigende Übereinkunft über gemeinsam geteilte Normen und Werte. Und zweifellos gibt es auch die Möglichkeit einer Sanktion bei einem Vertrauensverstoß. Das gilt in ähnlicher Form für viele ökonomische Handlungen. Wenn wir Kaufverträge unterzeichnen, Anzahlungen leisten, im Internet ein Buch bestellen oder auf dem Markt einen Sack Kartoffeln kaufen. Überall nimmt Vertrauen einen entscheidenden Einfluss. Selbstverständlich gibt es auch ein fein abgestuftes Instrumentarium der Sanktion, wenn das gegebene Vertrauen missbraucht wird – wenn sich etwa die Kartoffeln als faulig oder von minderer Qualität erweisen. Man kann dann unter Umständen Sachmängel rügen und die schlechten Kartoffeln umtauschen – das Handelsrecht stellt dafür Instrumente zur Verfügung. Aber der Rechtsweg kann einem im Wirtschaftsleben nur einen kleinen Teil der Angst vor ökonomischen Entscheidungen nehmen. Verträge können Transaktion zwar in ein komplexes Gerüst von Bedingungen, Prüfungen, Verpflichtungen und Rechtsfolgen einhegen. Das Vertrauen, dass ich mit dem gekauften Sack Kartoffeln für meine Gäste ein tolles Abendessen kreieren kann – diese Sicherheit können mir Rechtskonstrukte nur in eingeschränktem Maß liefern. Vertrauen ist ein funktionaler psychologischer Mechanismus. Es beeinflusst wesentliche Bewusstseins- und Entscheidungsprozesse und richtet sich auf das Erreichen von Handlungszielen, die weit über die ökonomische Entscheidung im engeren Sinn hinausweisen. Man trifft eine ökonomische Entscheidung in der Regel im Hinblick auf ein übergeordnetes Ziel, das man erreichen will. Darin unterscheidet sich der Kauf eines Buches nicht vom dem eines Kraftwerks: Überall kommen Erwartungen ins Spiel, die über den rein rechtlichen Ablauf der Transaktion weit hinausgehen. Nicht umsonst wird seit dem 12. Jahrhundert in Europa das Leitbild des ehrbaren Kaufmannes in Kaufmannshandbüchern gelehrt. Vertrauen ist die zentrale Währung der Ökonomie. Märkte basieren wesentlich auf Vertrauen. Das zeigen vielleicht am deutlichsten die nervösen Reaktionen der Kapital- und

1Dazu

gibt es seit der Grundlagenarbeit von Georg Simmel (1900) eine breite soziologische, ökonomische, und philosophische Diskussion. Vgl Schlitte, Annika (2015): Simmels Philosophie des Geldes und die Folgen. In: Zeitschrift für Kulturphilosophie 2015/1–2: Schwerpunktheft Simmel (Doppelband). Herausgegeben von Ralf Konersmann und Dirk Westerkamp. S. 133–148.

Kontrolle ist gut. Vertrauen ist besser

241

­ ährungsmärkte, die einen deutlichen Indikator für vorhandenes oder eben nicht W vorhandenes Vertrauen in eine Volkswirtschaft oder ein Unternehmen darstellen. Ratings, die formell nur das Ausfallrisiko von Anleihen bewerten, sind längst zu einem Indikator geworden, wie vertrauenswürdig ein Unternehmen oder ein Land sind. Und gerade für Kunden, die vor einer Kaufentscheidung stehen, stellt sich die Vertrauensfrage: Bekomme ich wirklich die Leistung, die ich benötige, um meine Ziele zu erreichen? Und auch wenn den beiden Verfassern die Ökonomisierung der Beziehung zu ihren Kindern fernliegt: Es betrifft auch die Beziehung zwischen Generationen. Johanna hat sich übrigens von ihren 50 EUR eine neue Jeans, eine Bluse und ein Buch gekauft – gut gewirtschaftet! Die Vertrauensmission war also ein voller Erfolg.

1.2 Vertrauen in der Krise Leider steht es um das Vertrauen nicht überall so gut. Im Gegenteil – angesichts der Entwicklungen im vergangenen Jahrzehnt muss man sogar von einer regelrechten Krise des Vertrauens sprechen, die zahlreiche Länder der westlichen Welt erfasst hat. Verschiedene Reputationsstudien haben in den vergangenen Jahren einen dramatischen Verfall des Vertrauens in die zentralen Institutionen der Gesellschaft dokumentiert. Zwar ist im „Edelman Trust Barometer 2018“ der Allgemeine Vertrauensindex weltweit wieder leicht angestiegen von 47 auf 48 Prozentpunkte (vgl. Abb. 1). Das trifft aber leider nicht auf die Mehrzahl der Länder der westlichen Welt zu. In Deutschland stagnierte die Zahl auf einem enttäuschend niedrigen Wert. In Italien und den USA fiel das Vertrauen ins Bodenlose. Diese Entwicklung betrifft übrigens nicht die Informationseliten. In der Gruppe der „informierten Bevölkerung“ ist das Vertrauensniveau im Schnitt um zehn Punkte höher und damit deutlich im neutralen bis positiven Bereich. Wer also regelmäßig die zur Verfügung stehenden Medien nutzt, fühlt sich besser informiert und hat auch mehr Vertrauen in gesellschaftliche Institutionen. Trotzdem sind die Daten ernüchternd, gerade weil sie alle gesellschaftlichen Vertrauensträger umfassen: Nichtregierungsorganisationen, Wirtschaft, Regierung und Medien sind gleichermaßen betroffen. Geradezu erschreckend ist das geringe Vertrauen in die Medien – im Schnitt kommen sie gerade einmal auf 42 %. Einen Lichtblick gibt es aber: das Vertrauen in die Wirtschaft. Sie gehört im Schnitt zu den glaubwürdigsten Institutionen. In Deutschland hat die Wirtschaft seit 2012 sogar einen signifikanten Vertrauensaufbau von über zehn Prozentpunkten hingelegt (vgl. Abb. 2). Angesichts der niedrigen Werte ist das kein Grund zur Entwarnung – aber zumindest stimmt der Trend.

242

A. Sieber und P. Peters

Abb. 1   Edelmann Trust Barometer für Deutschland im Zeitraum 2017 und 2018. (Quelle: Edelmann Trust Barometer 2018)

Abb. 2   Edelmann Trust Barometer für Deutschland im Zeitraum 2012–2018. (Quelle: Edelmann Trust Barometer 2018)

Kontrolle ist gut. Vertrauen ist besser

243

1.3 Vertrauensmanagement als Unternehmensziel Vertrauen gehört zu den elementaren immateriellen Ressourcen eines jeden Unternehmens – Marketing- und Sales-Profis wissen das. Doch gilt diese Erkenntnis noch viel umfassender, als sich dies die meisten klar machen. Vertrauen kann man sich nicht erwerben, man bekommt es geschenkt oder entzogen – aber es entzieht sich einer merkantilen Logik. Vertrauen kann man nicht durch Image- und Werbemaßnahmen erkaufen. Es entsteht aus der Gesamtheit der Erlebnisse, die die Menschen im Umgang mit einem Unternehmen machen: Sympathie, Produkt- und Service-Erlebnis, unternehmerische Stärke und gesellschaftliche Verantwortung – das sind einige wesentliche Faktoren, die dabei eine Rolle spielen. Das heißt auch, dass Vertrauen ebenso wie Reputation nur als ganzheitliches Phänomen gemanagt werden kann – es ist längst nicht mehr das Ergebnis von Werbeausgaben. Seit geraumer Zeit suchen Kommunikations- und Marketing-Praktiker nach einem übergreifenden Wirkungszusammenhang. Intensive Forschung gibt es etwa zur Wirkung und Instrumentalisierung der Unternehmensreputation. Unter Kommunikationsforschern und -praktikern gelten die Modelle von Charles Fombrun (2001) und Manfred Schwaiger (2004) nach wie vor als richtungsweisend.2 Zahlreiche Studien haben inzwischen gezeigt, dass es einen signifikanten Zusammenhang zwischen Reputation und Shareholder Value gibt.3 In der Praxis hat sich diesbezüglich aber leider eher Ernüchterung eingestellt, weil viele Erwartungen, was den Kommunikationserfolg anbelangt, nicht kurzfristig eingetreten sind. Zahlreiche Reputation-Management-Projekte, die im vergangenen Jahrzehnt begonnen wurden, sind inzwischen wiedereingestellt ­worden.

2Fombrun, Charles und Wiedmann, Klaus-Peter (2001): „Reputation Quotient“ (RQ) – Analyse und Gestaltung der Unternehmensreputation auf der Basis empirischer Ergebnisse. – Schwaiger, Manfred; Eberl, Markus (2004): Die wahrgenommene Übernahme gesellschaftlicher Verantwortung als Determinante unternehmerischer Einstellungsziele. Ein internationaler kausalanalytischer Modellvergleich. – Einen Forschungsüberblick bieten Eisenegger, Mark (2004) Reputation in der Mediengesellschaft. Konstitution – Issues Monitoring – Issues Managment. – Weißensteiner, Christian (2014): Reputation als Risikofaktor in technologieorientierten Unternehmen, Wiesbaden S. 47–68. 3„Finally, our results indicate that reputation perceptions that are drive by nonfinancial aspects might create significantly more shareholder value in the future than reputation perceptions that are driven by previous financial performance.“ Schwaiger, Manfred; Raithel, Sascha (2015): The effects of corporate reputation perceptions of the general public on shareholder value. In: Strategic managment journal/36 (6), S. 945–956; hier S. 954.

244

A. Sieber und P. Peters

Der oft erhebliche Controlling-Aufwand im Hinblick auf Reputationsdaten brachte nicht den gewünschten Erkenntniswert – eine pragmatisch ausgerichtete Kommunikationssteuerung war auf dieser Basis kaum zu erzielen. Während in der Ökonomie längst ein Umdenken eingesetzt hat, was die Bewertung und Aktivierung von immateriellen Vermögensgegenständen anbelangt, ist der Begriff Reputation in der Unternehmenskommunikation empirisch fragil und praktisch schwerfällig geblieben. Dabei ist das Grundproblem ungelöst: Das Vertrauen in ein Unternehmen spielt eine maßgebliche Rolle für seinen Erfolg. „A corporate reputation is a perceptual representation of a company’s past action and future prospects that describes the firms overall appeal to all of is key constituents when compared with other leading rivals“, erklärt der Reputationsforscher Charles Fombrun – und das gilt heute mehr den je. Die wirtschaftliche Verwundbarkeit durch einen Vertrauensverlust kann immens sein. Von dem amerikanische Investor Warren Buffet stammt die inzwischen zur Legende gewordene Aussage: „Es dauert zehn Jahre, einem Unternehmen ein positives Image zu verleihen, aber nur zehn Sekunden, um dieses zu verlieren.“ Sie ist heute aktueller denn je. In dem Maß, in dem sich das Vertrauensklima allgemein verschlechtert, verringert sich auch der Handlungsspielraum für Unternehmen. Wenn ein Unternehmen Kunden, Politiker, Investoren, Banken, Mitarbeiter gleichermaßen überzeugen muss, wird das konkret erlebbar. Und die Zahlen zeigen: Gesamtgesellschaftlichen Rückenwind gibt es kaum noch. Die Wirtschaft muss sich um die Ressource Vertrauen selbst kümmern. Vertrauenswürdigkeit, Berechenbarkeit und Verlässlichkeit sind wesentliche Stellschrauben dafür. Vertrauensmanagement muss zum Unternehmensziel werden.

2 Vertrauen als Krisenprävention 2.1 Vertrauenskonto aufbauen Am deutlichsten erweisen sich die Vorteile eines hohen Vertrauensguthabens in der Krise. Dieser Zusammenhang ist inzwischen gut erforscht. Sehr deutlich zeigte das erstmals die bahnbrechende Studie der beiden Wirtschaftswissenschaftler Knight und Pretty aus dem Jahr 2001 (Knight und Pretty 2001). Sie untersuchten den Einfluss von Unternehmenskrisen auf den Shareholder Value anhand von 25 Katastrophen, über die die Medien intensiv berichtet hatten (vgl. Abb. 3). Die Fälle verliefen im Einzelnen durchaus verschieden, einige Grundmuster ließen sich doch recht schnell erkennen. Zunächst kam es bei vielen

Kontrolle ist gut. Vertrauen ist besser

245

Abb. 3   Einfluss von Katastrophen auf Shareholder Value. (Quelle: Knight und Pretty 2001)

Unternehmen unmittelbar nach dem Vorfall zu einem signifikanten Kurseinbruch. Dieser Wertverlust konnte aber in der Regel innerhalb von 100 Börsentagen wieder wettgemacht werden. Allerdings ergaben sich dabei signifikante Unterschiede. Zum einen kamen einige Unternehmen aus aus der Krise deutlich schneller wieder heraus als andere. Einige konnte sogar das Kursniveau deutlich übertreffen. Andere wiederum erholt sich nie richtig vom Einfluss der Krise. Knight und Pretty unterschieden daher zwischen „Recoverern“ und „Non-Recoverern“ (siehe Abb. 4). Die unterschiedliche Wertentwicklung von Recoverern und Non-Recoverern führten Knight und Pretty auf verschiedene Faktoren zurück. Zunächst einmal ist die Höhe des zu erwartenden wirtschaftlichen Verlustes von großer Bedeutung. Darüber hinaus spielte auch das bestehende Reputationsguthaben eine wichtige Rolle. Unternehmen mit einem hohen Reputations-Goodwill konnten die Krise in der Regel schneller überwinden. Interessanterweise ist aber auch die Art und Weise, wie das Management mit der Krise umgeht, von zentraler Bedeutung. Bewährt sich das Management in den Augen des Kapitalmarktes, so kann das zu einer Neubewertung des Vertrauens in die Führungsqualität des Unternehmens führen. Paradoxerweise kann also eine Krise sogar zu einer Chance zum Aufbau des Vertrauens werden.

246

A. Sieber und P. Peters

Abb. 4   Recoverers und NonRecoverers. (Quelle: Knight und Pretty 2001)

In beiden Fällen wird Vertrauen zu einer wesentlichen Ressource. Die Konsequenzen für die Unternehmensführung sind mehr als deutlich. • Vorstände müssen in guten Zeiten auf das Vertrauenskonto einzahlen, damit sie in schlechten Zeiten abbuchen können. • Das Management muss alles tun, um Krisen und Katastrophen zu vermeiden beziehungsweise die Folgen schnell in den Griff zu bekommen. Zu den gesetzlich vorgeschriebenen Präventiv-Maßnahmen im Bereich des Risk-Management und der Compliance sollte ein umfassendes Reputationsoder Vertrauensmanagement kommen, die Anforderung von Governance und Communication miteinander verbinden. Leider gibt es immer noch genügend Unternehmen, in denen Risk-Management, Compliance und Krisen-Management- und-Kommunikation in separaten Silos eine Parallel-Existenz pflegen. Zum anderen sollten sich die Unternehmenskommunikationen regelmäßig und umfassend auf Krisenszenarien vorbereiten. In der Krise muss das Management aufrichtig und transparent agieren können. Es muss schnell eine effektive und umfassende Kommunikation abliefern über den Einfluss einer Krise auf die fundamentale Wertentwicklung. Das Ganze muss schnell, umfassend und unaufgeregt ablaufen. Und so etwas hat nicht nur mit Prozessen und Strukturen zu tun – sondern schlicht und ergreifend auch mit Übung und Training.

Kontrolle ist gut. Vertrauen ist besser

247

3 Wie baut man Vertrauen auf 3.1 Vertrauen als Ressource managen Die Beispiele zeigen: Vertrauen als Ressource – das ist keine hohle Phrase aus dem Marketing, sondern nachweislich ein maßgeblicher Aspekt im Wirtschaftsund Vermögensschutz für Unternehmen. Zahlreiche bekannte Beispiele zeigen, wie ein Vertrauenskonto (s. Abschn. 2) in der Not aufgebracht werden kann, um dann wieder restrukturiert durchzustarten. Banken und Versicherungsgesellschaften hat es nach der durch den Zusammenbruch der Investmentbank Lehman 2008 final ausgelösten Finanzkrise hart erwischt. In der Öffentlichkeit wurde kein gutes Haar an der Finanzindustrie gelassen (Sieber 2014). Und noch immer haben sich die Institute im Allgemeinen nicht davon erholt (vgl. Abb. 5). Auch fast zehn Jahre nach dem Crash sind die Reputationswerte im Keller – die Branche steht im Authenticity Gap Ranking seit Jahren auf dem vorletzten Platz. Das Ansehen ist nachhaltig beschädigt und erholt sich nur langsam. Das zeigt sich unter anderem in zurückgehenden Geschäften im Retail-Banking (also dem Produktverkauf im Massenmarkt) und der Vermögensverwaltung für gehobene Kunden. Profiteure des Vertrauensverlustes sind unabhängige Dienstleister. Sie haben auf Kosten der großen Institute ein spürbares Wachstum hingelegt. Auf der anderen Seite gibt es das Beispiel von Volkswagen. Der Abgasskandal hat zu massiven Schwierigkeiten in der öffentlichen Meinung geführt – zumindest schien es so, schaute man sich die geballte negative Berichterstattung über alle Mediengattungen hinweg an. Aber Medien machen keine Autoverkäufe. Und so hat Volkswagen im Jahr 2017 einen historischen Absatzrekord erzielt. Der Autobauer hat nach eigenen Angaben weltweit insgesamt 10,74 Mio. Fahrzeuge verkauft, gegenüber dem Vorjahr war das ein Anstieg um 4,3 %. Das „historisch gute Auslieferungsergebnis“ sei vor allem das Ergebnis einer „starken Teamleistung aller Konzernmarken und -mitarbeiter“, erklärte der damalige VW-Chef Matthias Müller. „Wir sind dankbar für das Vertrauen unserer Kunden, das in diesen Zahlen zum Ausdruck kommt“ (Manager-Magazin 2018). Das Vertrauen der Kunden ist das Stichwort. Volkswagen hat in der Vergangenheit bis in die Gegenwart hinein die Ressource Vertrauen gezielt aufgebaut, durch Qualität, Konstanz, hohe Reichweite und ein Markenbild, das für Zuverlässigkeit und Substanz stand und steht. Natürlich ist der Diesel- und Abgasskandal kein unwesentliches Problem, weder finanziell noch juristisch. Aber durch die Positionierung als vertrauter Partner im Automobilbereich scheint sich die Krise nicht als „neck breaker“ zu entpuppen.

248

A. Sieber und P. Peters

Abb. 5    Reputationsentwicklung Banken (anhand des Momentum-Werts). (Quelle: Fleishman­Hillard Authenticity Gap 2013–2018)

Banken und Versicherungen hingegen haben diese Ressource vor ihrer h­ istorischen Krise nicht in dem Maße aufbauen können. Gehalts- und Boniexzesse, fragwürdige Investments und Auftritte von Vorständen und Managern, bisweilen unsaubere Vertriebsmethoden und mehr waren schon vor 2008 bekannt und haben den Vertrauens-Crash nur verstärkt. Es gab kaum etwas, das die Öffentlichkeit den Häusern nicht zugetraut hätte; und die Unternehmen hatten keine Mittel, d­ iesem Bild etwas entgegenzusetzen.4

4Nur

ein Beispiel von vielen: „Vertrauen in Banken sinkt auf Tiefpunkt“, in: Süddeutsche Zeitung, 17.10.2016 (http://www.sueddeutsche.de/wirtschaft/studie-vertrauen-in-bankensinkt-auf-den-tiefpunkt-1.3208959).

Kontrolle ist gut. Vertrauen ist besser

249

3.2 Vertrauenskultur: Tun, nicht reden Mit dem Vertrauen ist es wie mit der Nachhaltigkeit: Organisationen ­müssen Vertrauen leben, damit es zu einer Ressource wird. Mit Reden allein ist es nicht getan, sonst wird schnell der Vorwurf von Unaufrichtigkeit laut. Und dies beschädigt Vertrauen und Reputation ganz erheblich, Green Washing bei der Nachhaltigkeit ist das Stichwort. Wer nur so tut, als sei er nachhaltig, aber in Wahrheit das Gegenteil davon ist, setzt sich massiven Angriffen aus. Das bedeutet: Vertrauensmanagement ist eine Kulturfrage. Vertrauen muss zu einem integralen Bestandteil der Unternehmenskultur und zur Leitlinie des unternehmerischen Handelns werden (vgl. Abb. 6). Mit Sonntagsreden lässt sich keine Vertrauenskultur bei Mitarbeitern, Stakeholdern, Lieferanten, Kunden und anderen peer groups aufbauen und etablieren. Unternehmenskommunikation und unternehmerisches Handeln müssen sich durchdringen. Sie müssen auf der Grundlage einer gemeinsamen Wertebasis stehen, von der aus sie betrachtet ­werden. Eine Kultur des Vertrauens aufzubauen, bedeutet, alle Elemente, die Vertrauen intern oder extern beschädigen können, auszuschließen. Zu diesen Elementen

Abb. 6   Integriertes Vertrauensmanagement

250

A. Sieber und P. Peters

gehören beispielsweise Unaufrichtigkeit, intransparente und nicht nachvollziehbare Entscheidungsprozesse, Schuldzuweisungen, Lagerdenken und andere Aspekte, die bei allen Beteiligten zu einem Vertrauensverlust in eine Organisation führen können. Allein diese wenigen Beispiele zeigen, wie stark die Vertrauenskultur mit dem Tun verbunden ist. Es erklärt sich freilich von selbst, dass Offenheit, Aufrichtigkeit, Teamgefühl, flache Strukturen etc. nicht per Direktive verordnet werden können. Das gelingt nur durch Aktivitäten und echtes Wollen und ist deshalb immer eine Führungsaufgabe. Dieses Tun – also die Gesamtheit aller vertrauensbildenden Maßnahmen auf den verschiedenen Beziehungs- und Kommunikationsebenen – ist das wirksame Zeichen für die Etablierung einer Vertrauenskultur, die auch einer Krise standhält, ganz gleich, um welche Art von Krise es sich handelt. Apropos Führung: Um eine Vertrauenskultur in einer Organisation zu etablieren, bedarf es einer gemeinsamen Anstrengung – eine neue Kultur ist immer Management- und Führungsthema. Zum einen muss Vertrauen zwingend in den Leitsätzen einer Organisation festgeschrieben werden. Nur dann kann es gelingen, dass alle Beteiligten es ernst nehmen. Zum anderen, auch dies ist ein Motivationsaspekt, kann Vertrauen zum Bestandteil der Management Performance werden: Wie ausgeprägt ist die Vertrauenskultur in den verschiedenen Abteilungen und auf den verschiedenen Ebenen nach innen und außen? Wie spiegeln die Betriebsergebnisse die Etablierung der Vertrauenskultur wider? Wie wird diese Kultur durch Ideen einzelner weiterentwickelt? Und ist jeder einzelne bereit, sich einer transparenten, offenen Vertrauenskultur vollständig zu unterwerfen? Dies als Führungsprinzip zu verankern, ist ein wesentlicher Schritt zu einer umfassenden Vertrauenskultur und wird dafür sorgen, dass intern und extern die Fortschritte und Ansätze erkannt werden. Vertrauenskultur ist ein Teil des strategischen Krisenplans. Der bekannte US-Strategie- und Krisenberater Alan Hilburg, der unter anderem Enron beim Bilanzskandal und Exxon bei der Exxon Valdez Tankerkatastrophe beraten hat, bringt es in einem Interview mit dem Magazin pressesprecher auf den Punkt. Es sei „ebenso verantwortungslos, keinen Krisenplan zu haben wie keine Versicherungspolice zu haben. […] Inmitten einer Krise Business-Entscheidungen zu treffen, verlangt eine andere Herangehensweise und andere Fähigkeiten, als es alltägliche Entscheidungen tun.“ (Hungermann 2018). Das bedeutet konkret: Die Vertrauenskultur gehört zum Absicherungsinstrumentarium eines Unternehmens für sämtliche denkbaren Krisenszenarien. Eine stabile Vertrauenskultur steht dann zur Verfügung, wenn sie gebraucht wird, und erleichtert Entscheidungen abseits des Alltags.

Kontrolle ist gut. Vertrauen ist besser

251

3.3 Kommunikationskultur – offen, transparent, authentisch Mit der Vertrauenskultur verknüpft ist die Kommunikationskultur. Sie bedingt die Etablierung der Vertrauenskultur, weil ohne Kommunikation kein Vertrauen zwischen Menschen und Organisationen wachsen kann. Ungeklärte Konflikte führen zu mehr erschwerter Kommunikation. Ist die Kommunikation im Unternehmen hingegen gut, so lässt sich die Sache schneller klären, und man kommt mit den gemeinsamen Anliegen schneller voran. Damit ist die Kommunikationskultur als Teil des Wirtschaftsschutzes von innen unabdingbar. Sie ist definiert über Offenheit, Transparenz und Authentizität und schließt damit alles das aus, was bereits oben als geeignet dafür beschrieben wurden, die Vertrauenskultur zu zerstören. In der dadurch erforderlichen offenen Kommunikationskultur ist es entscheidend, dass jeder Einzelne mehr Kompetenzen erhält und in seiner Kommunikation und Haltung gefördert wird. Wer sich äußern kann, darf und soll, kann Barrieren abbauen, Kompetenzen vernetzen und zu einer Stimme in einer Organisation werden, indem er sich, in Gemeinschaft mit den Kollegen, entfalten kann. Damit entsteht der Gedanke der Mitbestimmung, aus Mitarbeitern werden, so will es auch die moderne Personalführung, „Mit-Unternehmer“. Und das wiederum hat das Potenzial, Vertrauen aufzubauen, und zwar von allen Seiten. Dies ist besonders in Zeiten des digitalen Wandels wichtig. Die Geschwindigkeit in der Kommunikation wächst exponentiell, sodass Unternehmen mehr und mehr gefordert sind, ihre eigene Kommunikationskultur diesen Bedürfnissen anzupassen. Wer Digitalisierung und Digitalität als Prinzip in der Kommunikation anerkennt, weiß mehr über die Bedürfnisse als peer groups, kann Erwartungen besser antizipieren und durch diese präventive Kommunikation Vertrauen für schlechte Zeiten aufbauen. Das scheint aber gar nicht so leicht zu sein. 72 % der deutschen Unternehmen geben an, dass ihre Unternehmenskultur das größte Hindernis auf dem Weg zur digitalen Organisation sei (Capgemini Change Management Studie 2017). Dies wirkt sich freilich auf die Kommunikationskultur und die Vertrauenskultur gleichermaßen aus. In der VUCA-Welt, also der Kombination aus Volatilität, Unsicherheit, Komplexität und Ambiguität, unterliegt die (digitale) Kommunikation größten Herausforderungen, die professionell gemanagt werden müssen. Erst wenn diese Aspekte gebündelt betrachtet und strukturiert bearbeitet werden, ist Vertrauensbildung durch Kommunikation als Instrument der Krisenprävention möglich.

252

A. Sieber und P. Peters

3.4 Compliance und Corporate Governance als Bestandteil einer Vertrauenskultur Als Folge weltweiter Wirtschafts- und Vertrauenskrisen sind Compliance und Corporate Governance für Organisationen unabdingbar geworden. Corporate Governance bedeutet in etwa „Unternehmensverfassung“, Compliance steht für „Einhaltung, Befolgung, Übereinstimmung, Einhaltung bestimmter Gebote“. Und beide Bereiche stehen in engem Zusammenhang mit Vertrauen und Kommunikation. Wie Franka Spiekermann in ihrem Aufsatz „Corporate Governance und Kommunikation: Warum das eine nicht ohne das andere geht“ (Spiekermann 2016) betont, fehle ohne Kommunikation die Grundlage für die Organkontrolle, die ja der Kern von Compliance und Corporate Governance ist: „Es gibt dann keine transparenten Strukturen der Gewaltenteilung, keine ausreichenden Informationen für die Stakeholder und keine nachvollziehbaren Regeln für eine gute Unternehmensführung.“ Spiekermann wirft vier Forderungen hinsichtlich der für Vertrauen und Unternehmenserfolg notwendigen Organkontrolle auf. Es gelte, Stakeholder-Interessen ausgewogen zu wahren, durch die Unternehmensverfassung eine Gewaltenteilung festzulegen, Transparenz für die Handlungen des Managements festzulegen und die Anteilseigner stets über die Aktionen des Managements zu informieren (Spiekermann 2016). In diesem Sinne ist auch Offenheit in der Kommunikation gefordert, um Vertrauen herzustellen. Führung und Kommunikation gehören dabei als Maßnahmen zusammen. Damit der Führungserfolg laut Schwalbach nicht leidet, hat Führungskommunikation die Aufgabe, „aktiv und offensiv“ statt „reaktiv“ vorzugehen. „Agieren Führungskräfte im Verborgenen, ist dies an sich schon ein Verstoß gegen […] Grundregeln einer guten [Corporate Governance]“, schreibt Franka Spiekermann (Spiekermann 2016). Das Fallbeispiel „Thomas Middelhoff“ (Spiekermann 2016) der Autorin ist hochinteressant, verdeutlicht es doch, wie mangelnde Organkontrolle in Kombination mit problematischer Kommunikation zu Vertrauensverlust und Krise (auch persönlich) führen können. Eine offene, von wertschätzender Aufsicht und Kommunikation geprägte Unternehmensführung hätte dies womöglich frühzeitig verhindern können. Der ehemalige Vorstandsvorsitzende von Karstadt beziehungsweise Arcandor hatte das Unternehmen recht großzügig mit Kosten belastet, die er eigentlich hätte selbst tragen müssen, etwa für Privatflüge. Ebenfalls standen Geschäftsreisen in der Kritik, die – schon während der harten Sanierung des Unternehmens – bis zu 95.000 EUR gekostet hatten. Middelhoff wurde

Kontrolle ist gut. Vertrauen ist besser

253

am 18. November 2014 zu einer Freiheitsstrafe von drei Jahren „wegen Untreue in 27 Fällen und Steuerhinterziehung in drei Fällen“ verurteilt, aber schon 2008 als Vorstandsvorsitzender ausgetauscht. Gleich danach ging der Aktienkurs von Arcandor um zehn Prozent nach oben. Mangelnde Transparenz und ein Vertrauensverlust in die Organisation aufgrund des Verhaltens eines Organs haben also zu einem Wertverlust geführt. Dieser konnte rückgängig gemacht werden, nachdem ein harter Schnitt vollzogen worden ist. Das Beispiel sollte Organisationen dafür sensibel machen, mit Organverschulden nicht leichtfertig umzugehen, um kein Vertrauen zu verspielen. Die Resultate wieder rückgängig machen zu müssen, bedeutet viel mehr Aufwand und eine potenzielle Krisensituation, als schon frühzeitig durch professionelle und transparente Prozesse darauf hinzuwirken, dass Vertrauen aller Stakeholder bestmöglich zu erhalten. Dann wird Vertrauen zur viel geforderten Ressourcen.

4 Ausblick Es ist an der Zeit für eine Wiederbelebung der Diskussion über Vertrauen als Ressource, denn die praktischen Probleme und Herausforderung sind, wie wir gesehen haben, eher größer als kleiner geworden. Es geht dabei darum, die klassischen Ansätze des Reputationsmanagement vom Kopf auf die Füße zu stellen und den theoretischen Staub zu entfernen, der sich darübergelegt hat. Unternehmenskommunikation und Unternehmensmanagement werden in den kommenden Jahren vor völlig neue Herausforderungen gestellt werden. Die dritte Welle der Digitalisierung wird für eine weite Verbreitung von Künstlicher Intelligenz in der Wirtschaft sorgen. Technologien zur Automatisierung der Kommunikation werden dafür sorgen, dass wir mit immer fragmentierteren Zielgruppen kommunizieren werden. Auch die Art und Weise, wie Unternehmen ökonomisch handeln, wird sich dramatisch verändern. Unternehmen werden in immer mehr Kanälen kommunizieren lernen, sie werden immer agiler an den Märkten operieren, mit ständig wechselnden Rahmenbedingungen und Partnern zu tun haben. Allein dies hängt eng mit der Ressource Vertrauen zusammen: Wer in gerade noch einigermaßen überschaubaren Zeiten kein Vertrauen aufbaut, wird in kommenden hochkomplexen Situationen erst recht keine Möglichkeit mehr dazu haben. Und muss dann ohne ein Vertrauenskonto durch den Sturm der Digitalisierung, Disruption etc. segeln. Der Handlungsrahmen für Unternehmen wird unübersichtlicher. Es besteht leicht die Gefahr, beliebig austauschbar oder gar unglaubwürdig zu werden. Entscheidend dafür ist ein integriertes Vertrauensmanagement. Dabei benötigen die

254

A. Sieber und P. Peters

Unternehmen eine enge Vernetzung von Unternehmenskommunikation und unternehmerischem Handeln. Beides sollte auf der Basis einer soliden Vertrauenskultur stehen. Compliance, Risk Management und Corporate Governance stellen Instrumente dar, mit denen man Probleme präventiv erkennen und vermeiden kann. Sie sind wichtige Bausteine für ein integriertes Vertrauensmanagement. Aber ohne eine übergreifende Wertebasis wird es nicht gehen. Vertrauen kann man nicht durch weitere Regeln oder Kontrollen erzwingen. Man kann es nur geschenkt bekommen – und muss sich dessen als wert erweisen. Daher gilt für uns: Kontrollen sind wichtig und gut. Jemandem vertrauen können und selber vertrauenswürdig sein – das ist ein ungleich höheres Gut.

Literatur Edelman Trust Barometer. (2018). Gobal Report. https://www.edelman.com/sites/g/files/ aatuss191/files/2018-10/2018_Edelman_Trust_Barometer_Global_Report_FEB.pdf. Eisenegger, M. (2004). Reputation in der Mediengesellschaft. Konstitution – Issues Monitoring – Issues Management. Wiesbaden: VS Verlag. FleishmanHillard Authenticity Gap. 2013–2018. Daten wurden aus zum Teil unveröffentlichten Datenbänden übernommen (mit freundlicher Genehmigung von FleishmanHillard). Fombrun, C., & Wiedmann, K. P. (2001). „Reputation Quotient“ (RQ) – Analyse und Gestaltung der Unternehmensreputation auf der Basis empirischer Ergebnisse. Hannover: Schriftenreihe Marketing. Hungermann, J. (2018). Die Zahl der Krisen nimmt zu. pressesprecher, 2. Knight, R. F., & Pretty, D. J. (2001). Reputation & value. The case of corporate catastrophes. Oxford Metrica. http://www.oxfordmetrica.com/public/CMS/Files/488/01RepComAIG.pdf. Manager Magazin. (17. Januar 2018). So hat Volkswagen die Diesel-Krise wegverkauft. Manager-Magazin. http://www.manager-magazin.de/unternehmen/autoindustrie/volkswagen-wolfsburg-meldet-absatzrekord-trotz-abgasskandal-a-1188303.html. Schlitte, A. (2015). Simmels Philosophie des Geldes und die Folgen. Zeitschrift für Kulturphilosophie, 2015(1–2), 133–148. Schwaiger, M., & Eberl, M. (2004). Die wahrgenommene Übernahme gesellschaftlicher Verantwortung als Determinante unternehmerischer Einstellungsziele. Ein internationaler kausalanalytischer Modellvergleich. Schwaiger, M., & Raithel, S. (2015). The effects of corporate reputation perceptions of the general public on shareholder value. Strategic Managment Journal, 36(6), 945–956. Sieber, A. (2014). Deutsche Landesbanken haben ein Glaubwürdigkeitsproblem. PR-Report, 10. Sept. 2014. http://www.prreport.de/singlenews/uid-8764/deutsche-landesbanken-haben-ein-glaubwuerdigkeitsproblem/?L=&cHash=a454e8950ac0fc1a776d0f35c3ebc1f5. Simmel, G. (1989). Gesamtausgabe in 24 Bänden: Bd. 6. Philosophie des Geldes. Frankfurt a. M.: Suhrkamp (Erstveröffentlichung 1900).

Kontrolle ist gut. Vertrauen ist besser

255

Spiekermann, F. (2016). Corporate Governance und Kommunikation: Warum das eine nicht ohne das andere geht. Corporate Communications Journal, 1(1), 24–27. https://ojs. hs-osnabrueck.de/live/index.php/ccj/article/view/33. Süddeutsche Zeitung. (17. Oktober 2016). Vertrauen in Banken sinkt auf Tiefpunkt. Süddeutsche Zeitung. http://www.sueddeutsche.de/wirtschaft/studie-vertrauen-in-bankensinkt-auf-den-tiefpunkt-1.3208959. Weißensteiner, C. (2014). Reputation als Risikofaktor in technologieorientierten Unternehmen (S. 47–68). Wiesbaden: Springer Gabler.

Wirtschaftskriminelles Verhalten von Innentätern Phänomenologie, kriminologische Erklärungen und Präventionsansätze Dirk Fleischer

1 Einleitung Die Öffentlichkeit nimmt wirtschaftskriminelles Verhalten in der Regel dann wahr, wenn es um Fälle mit besonders hohen Schäden geht, oder wenn bekannte Personen des öffentlichen Lebens involviert sind. Diese Fälle sind jedoch nicht durchgängig repräsentativ. Phänomen der Wirtschaftskriminalität ist es, dass es dem Täter gelingt, seinen eigenen wirtschaftlichen Vorteil zum Nachteil eines Unternehmens zu erlangen. Hierzu nutzt er mit kriminellen Verhaltensweisen gezielt Schwachstellen aus, die sich ihm bieten. Besonders häufig spielt in der Berichterstattung das Phänomen des sogenannten Innentäters eine zentrale Rolle. Nicht erst seit Edward Snowden, dem sicherlich bekanntesten Innentäter der Gegenwart, finden Medien Gefallen daran, über Täter zu berichten, die aus einem Unternehmen oder einer Organisation kommen und sich gegen diese richten. Der Kontext der nachfolgenden Ausarbeitung bezieht sich speziell auf den wirtschaftskriminellen Innentäter im engeren und weiteren Sinn. Sie beschreibt neben der Phänomenologie die Tätertypologie, die kriminologischen Erkenntnisse und gibt einen knappen Abriss über Präventions- und Interventionsansätze.

D. Fleischer (*)  Crimenlogica, Berlin, Deutschland E-Mail: [email protected] © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_13

257

258

D. Fleischer

2 Phänomenologie Zusammenfassung

Wirtschaftskriminalität ist juristisch nicht legal definiert. Sie umfasst unterschiedliche Handlungen, bei denen Unternehmen und die Gesamtwirtschaft geschädigt werden. Wirtschaftskriminalität ist kriminalitätsstatistisch ein qualitatives und kein quantitatives Phänomen. Innentäter nutzen ihre privilegierte Stellung im Unternehmen aus und schädigen diese von innen heraus. Bereits heute stellen Innentäter ein erhebliches Bedrohungspotenzial für Unternehmen und Organisationen dar. Zukünftige Arbeitsbedingungen extrapolieren die Risikofaktoren.

2.1 Phänomenologie der Wirtschaftskriminalität Bei der Phänomenologie handelt es sich um einen Teilbereich der Kriminologie. Die Phänomenologie beschreibt konkrete Erscheinungsformen devianten und delinquenten Verhaltens. Phänomenologisch wird unter ­ Wirtschaftskriminalität das „sozial schädliche Verhalten im Wirtschaftsleben“ (Schwind 2016, § 21, Rdnr. 1) verstanden, „soweit dieses mit Strafe bedroht ist“ (Schwind 2016, a. a. O.). Die meisten Menschen werden, wenn sie von Wirtschaftskriminalität hören, an Betrügereien, Korruption, gierige Manager, Aktienschwindel, Kartelle etc. denken. Hierbei handelt es sich um umgangssprachliche Beschreibungen eines Phänomens, das einer genaueren kriminologischen Definition bedarf.

2.1.1 Kriminologische Einordnung Das Lagebild Wirtschaftskriminalität des BKA definiert Wirtschaftskriminalität wie folgt: Kriminologisch kann Wirtschaftskriminalität definiert werden als die vertrauensmissbrauchende Begehung von Straftaten im Rahmen einer tatsächlichen oder ­vorgetäuschten wirtschaftlichen Betätigung, die unter Gewinnstreben die Abläufe des Wirtschaftslebens ausnutzt und zu einer Vermögensgefährdung oder einem ­Vermögensverlust großen Ausmaßes führt oder eine Vielzahl von Personen oder die Allgemeinheit schädigt (BKA 2015).

Wirtschaftskriminelles Verhalten von Innentätern

259

Hervorzuheben ist, dass die oben angegebene Definition auch Verhaltensweisen erfasst, die nicht gegen eine strafrechtliche Sanktionsvorschrift verstoßen. Erfasst werden somit auch sogenannte deviante Verhaltensweisen, also solche, die nicht delinquent und mit dem Malus der sozialen Unverträglichkeit besetzt sind. Dieser Begriff ist weiter gefasst als der des strafrechtlich relevanten Verhaltens, der sogenannten Delinquenz. Allgemein anerkannte Indikatoren wirtschaftskriminellen Handelns (Schwind 2016, § 21 Rdnr. 17) sind • der wirtschaftliche Bezug des strafbaren Verhaltens • ein Agieren des Täters in Ausübung des Berufs und • Vertrauensmissbrauch durch den Täter. Wirtschaftskriminalität findet in der Regel sehr konspirativ und nicht in der Öffentlichkeit statt. Nur wenige Fälle finden den Weg in die öffentliche Berichterstattung.

2.1.2 Rechtliche Einordnung Wirtschaftskriminelles Verhalten indiziert in der Regel einen Verstoß gegen das sogenannte Wirtschaftsstrafrecht. Wenn also von Wirtschaftskriminalität gesprochen wird, ist meist davon auszugehen, dass der Straftatbestand einer dem Wirtschaftsstrafrecht zuzuordnenden Sanktionsnorm erfüllt wurde. Eine juristische Definition, im Sinne einer Legaldefinition, gibt es für den Begriff des Wirtschaftsstrafrechts bisher nicht (Kraatz 2013, Rdnr. 2). Bei der Verweisung darauf, ob es sich bei einer bestimmten Straftat um eine Wirtschaftsstraftat handelt, wird in der Kommentarliteratur regelmäßig auf das Gerichtsverfassungsgesetz (GVG) verwiesen. Das Gesetz, das im Wesentlichen die Zuständigkeiten innerhalb der ordentlichen Gerichtsbarkeit ordnet, regelt in § 74c GVG die Zuständigkeit der Wirtschaftsstrafkammer. Die sogenannten Katalogtaten des Abs. 1 Ziff. 1 bis 5 lit. a umfassen „Taten, die regelmäßig im geschäftlichen Verkehr begangen werden.“ (Schmidt, Temming in Gercke, Juliu, Temming unter anderem, Strafprozessordnung, Rdnr. 5). Erwähnt werden vor allem Straftaten aus dem StGB, den Strafnebengesetzen, dem Finanz- und Steuerrecht, dem Bankenund Kreditrecht sowie dem Marktmissbrauchsrecht. Sowohl kriminologisch als auch juristisch lässt sich die Wirtschaftskriminalität in zwei große Erscheinungsformen einteilen: a) die sogenannten Corporate deviance/crime, „also abweichendes Verhalten, das aus einem Unternehmen oder Verband heraus begangen wird und diese begünstigen soll.“ (Singelnstein 2012) und die b) Occupational deviance/crime, das heißt abweichendes Verhalten von

260

D. Fleischer

„Individuen zu ihrem persönlichen Vorteil im beruflichen Umfeld“ (Singelnstein 2012). Hierunter wird auch die sogenannte „Managerkriminalität“ verstanden, die von exponierten Führungskräften im Unternehmen zum Nachteil ihres Arbeitsgebers begangen wird (Schneider 2009).

2.1.3 Empirische Befunde Umfassende und abschließende empirische Befunde zur Wirtschaftskriminalität im Hell- und Dunkelfeld liegen bisher nur eingeschränkt vor. Zwar bieten die sogenannten Eingangsstatistiken der Polizeien des Bundes und der Länder einen wagen Anhalt, wenn es um die Kriminalitätsbelastung geht, ein tatsächlich objektives Bild über das reale Straftatenaufkommen, die Täter, die Opfer oder die Schäden bildet sie jedoch nur beschränkt ab. Mittels repräsentativer Umfragen und Studien wird versucht, Licht in das Dunkel der offiziellen Statistik zu bringen und damit auch Aussagen über die Angst der Unternehmen Opfer einer Wirtschaftsstraftat zu werden (beziehungsweise die nicht zur Anzeige gebrachte Kriminalitätsbelastung) zu treffen. Die statistische Aufarbeitung der Occupational Deviance gestaltet sich noch schwieriger. Innentäterhandeln empirisch aufzuarbeiten, ist sicherlich eine der größten Herausforderungen der Wirtschaftskriminologie der nächsten Jahre.

2.1.3.1 Hellfelddaten Im Bundeslagebild Wirtschaftskriminalität 2017 wurden 74.070 Fälle der Wirtschaftskriminalität registriert. Dies entspricht einem Anstieg von 28,7 % gegenüber dem Vorjahr (57.546) (BKA 2016). Das BKA weist darauf hin, dass die registrierten Taten damit „deutlich über dem Durchschnitt der letzten fünf Jahre (65.484 Fälle)“ lag. „Der Anteil der Wirtschaftskriminalität an allen polizeilich bekannt gewordenen Straftaten betrug 1,3 Prozent (2016: 0,9 Prozent)“ (BKA 2016). Das BKA kommt in der Hellfeldstatistik des Bundeslagebildes zu der ­Festlegung, dass im Jahr 2017 insgesamt 26.010 Tatverdächtige registriert wurden (BKA 2016). Gegenüber dem Vorjahr wurden somit 5,8 % weniger Täter ermittelt. Festgestellt wurde zudem, dass der Anteil nichtdeutscher Tatangehöriger mit 23,1 % relativ gering war (BKA 2016). Wirtschaftsstraftaten werden also überwiegend von deutschen Staatsangehörigen begangen.

2.1.3.2 Dunkelfeldforschung Trotz der deutlichen Steigerung in der Hellfeldstatistik des BKA muss davon ausgegangen werden, dass weiterhin ein großes Dunkelfeld vorliegt. Schwind verweist auf Hanning, der davon ausgeht, dass das Dunkelfeld im Bereich der Wirtschaftskriminalität bei 80 % liegt (Schwind 2016, § 21, Rdnr. 7 ff.).

Wirtschaftskriminelles Verhalten von Innentätern

261

Ursächlich hierfür könnte das Anzeigeverhalten der geschädigten Unternehmen sein. Dies wird unter anderem dadurch beeinflusst, dass mit Erstattung der Anzeige zu erwarten ist, dass der jeweilige Sachverhalt öffentlich werden kann. Viele Unternehmen vermeiden aus Angst von Reputationsschäden das Risiko, durch die Strafanzeige eine öffentliche Berichterstattung anzustoßen. Es muss davon ausgegangen werden, dass insbesondere bei Innentäterdelikten, der nachlässige Umgang mit Sicherheits- und Compliance-Regelungen im Unternehmen kriminalitätsbegünstigend wirken konnten. Dem Unternehmen könnte also Fahrlässigkeit unterstellt werden. Ein solcher Vorwurf würde in jedem Fall der Reputation des Unternehmens schaden. Nicht selten ist der Verzicht auch Ergebnis eines sogenannten Deals mit dem Täter. Im Rahmen der Aufhebung eines Arbeitsvertrags nutzen die geschädigten Unternehmen (leider) das Instrument der Anzeigenerstattung als Verhandlungsmasse, wenn es um die Höhe von Abfindungen, Arbeitszeugnisse oder andere Aspekte im Trennungsverfahren geht. Diese Tendenz ist vor allem dann zu erkennen, wenn es um Fälle geht, bei denen Personen aus dem Top Management eine Rolle spielen. Schneider und John gehen davon aus, dass ein fehlendes Compliance Managementsystem (CMS) einen Beitrag dazu leistet, dass Taten im Dunkeln bleiben. Unter der Überschrift „Kontrollparadox“ führen sie im Rahmen der 2. Studie Wirtschaftskriminalität folgendes aus: „Unternehmen, die über keinen Verhaltenskodex verfügen, berichten deutlich seltener über Viktimisierung als Unternehmen, die einen Verhaltenskodex implementiert haben (immerhin 22 gegenüber 45 Prozent im Public beziehungsweise 28 gegenüber 42 Prozent im Private Sector).“ (Schneider und John 2014). Die Autoren unterstellen meines Erachtens vollkommen zu Recht, dass erst durch die Schaffung verbindlicher interner Kontrollmechanismen die Grundlage dafür geschaffen wird, dass Verstöße erkannt werden. Da es sich bei Wirtschaftsdelikten oft um sogenannte „Kontrolldelikte“ handelt, also Verstöße, die erst durch eine Kontrolle augenscheinlich werden, handelt, gibt es einen kausalen Zusammenhang zwischen regulatorischen Vorgaben, einer regelmäßigen Kontrolle, ob die Vorgaben eingehalten werden, und der Anzahl der Kontrollfeststellungen. „Unternehmen, die einzelne Elemente einsetzen, verzeichnen somit einen Anstieg der aufgedeckten Wirtschaftskriminalität – eine Verschiebung vom Dunkelfeld ins Hellfeld findet statt“ (Schneider und John 2014). Diese Faktoren wirken unter anderem einer Aufhellung des Dunkelfeldes entgegen. Einzelne Wirtschaftsprüfungsgesellschaften veröffentlichen seit geraumer Zeit Studien, die einen weitergehenden Einblick in den Phänomenbereich erlauben.

262

D. Fleischer

Neben der Angabe konkreter Opfererfahrungen verweisen diese Unternehmensstudien auch auf die subjektive Einschätzung der Unternehmen hin, Opfer einer Tat zu werden. Dabei unterscheiden sich die Einschätzungen für das eigene Unternehmen von der Einschätzung für die Wirtschaft im Allgemeinen. KPMG fand in der Studie aus dem Jahr 2016 heraus, das 80 % der Befragten das allgemeine Risiko von Wirtschaftskriminalität hoch einschätzen. Für das eigene Unternehmen sahen nur 32 % ein solchen Risiko. Hier driften Fremd- und Selbsteinschätzung auseinander. Ursache dieses Wertungsunterschieds können diverse Überlegungen sein. Zum einen leugnen Unternehmen gerne die eigene Attraktivität, um sich vor den Konsequenzen einer höheren Risikoeinschätzung zu verschließen. Die Konsequenz eines solchen Urteils wäre es, zusätzliche Ressourcen in den Auf- und Ausbau eines CMS zu investieren und stärker auf den Faktor Innentäter zu achten. Alles anderer könnte als fahrlässiges Unternehmerhandeln gedeutet werden. Das Leugnen des Risikos schafft also unternehmerischen Freiraum.

2.1.3.3 Schäden Wirtschaftskriminalität zeichnet sich dadurch aus, dass vergleichsweise wenige Fälle hohe Schäden verursachen. Wirtschaftskriminalität ist also kein quantitatives, sondern ein qualitatives Problem (Schwind 2016, § 21, Rdnr. 6). Zur ermittelten Schadenshöhe macht das BKA folgende Feststellungen: Nachdem die Gesamtschadenssumme durch Wirtschaftskriminalität im Vorjahr nur gering angestiegen war, entstand im Jahr 2017 ein Schaden in Höhe von 3.738 Millionen Euro (2016: 2.970 Millionen Euro), was einem Anstieg um 25,9 Prozent entspricht. Damit lag die Gesamtschadenssumme knapp über dem Durchschnitt der letzten fünf Jahre (3.612 Millionen  Euro). In etwa 93 Prozent der Fälle von Wirtschaftskriminalität konnte die Schadenssumme beziffert werden. Die Schäden bei Wirtschaftskriminalitätsdelikten zeichneten im Jahr 2017 für einen Anteil von 50,5 Prozent (2016: 43,1 Prozent) am in der PKS ausgewiesenen Gesamtschaden (2017: 7400 Millionen Euro) verantwortlich. Die Gesamtsumme der Schäden verdeutlicht einmal mehr die erheblichen Auswirkungen der Wirtschaftskriminalität (BKA 2016).

Taten die durch Innentäter begangen werden können dabei überdurchschnittliche Schäden verursachen. In er US amerikanischen Untersuchungen kommen die Verfasser zu der Feststellung, dass wirtschaftskriminelles Handeln des Top Managements durchschnittliche Schäden pro Fall in Höhe von 850.000 US$ verursacht, während die Taten einfacher Mitarbeiter mit rund 50.000 US$ zu Buche schlagen (ACFE 2016). Die Untersuchung weist zudem aus, dass Taten durch Einzeltäter

Wirtschaftskriminelles Verhalten von Innentätern

263

einen durchschnittlichen Schaden pro Fall in Höhe von 74.000 US$ verursachen, während kollusives Vorgehen von drei Tätern durchschnittliche Schäden in Höhe von 339.000 US$ zur Folge haben. Wirtschaftskriminalität belastet nicht nur Unternehmer und Unternehmen, sondern schädigt die gesamte Volkswirtschaft. Neben den tatsächlichen Kapitalschäden kommt es gegebenenfalls zu ausgefallenen Steuerzahlungen und ausgebliebenen Abgaben an die öffentliche Hand. Diese Schäden werden regelmäßig ebenso nicht erfasst wie sogenannte „Begleit- und Folgeschäden“ (Schwind 2016, § 21, Rdnr. 12) bei anderen Wirtschaftsbeteiligten. Begleitschäden können sich unter anderem bei Unternehmen ergeben, die durch eine korrupte Auftragsvergabe wirtschaftliche Ausfälle zu verzeichnen haben. Folgeschäden können sich zum Beispiel durch den Konkurs eines Zulieferers – infolge eines Insolvenzbetruges eines anderen Unternehmens – ergeben. Wirtschaftsdelinquenz kann also eine „Kettenreaktion“ (Schwind 2016, a. a. O.) im unternehmerischen Umfeld nach sich ziehen. Die Folge hieraus ist, dass durch einen einzelnen Fall wirtschaftskriminellen Verhaltens ganze Branchen oder eine ganze Volkswirtschaft infiziert werden kann. Die Auswirkungen des sogenannten Bankenskandals oder des sogenannten Abgasskandals stehen beispielhaft für diese Gefahr. Zu den hohen individuellen Schäden müssen auch die nur schwer bezifferbaren immateriellen Schäden addiert werden. Der Imageverlust, der einer Bank entsteht, die Opfer eines öffentlichkeitswirksamen Insiderbetrugs geworden ist, lässt sich monetär nur schwer beziffern. Immaterielle Schäden können nachhaltiger sein als der eigentliche Finanzschaden. Bis sich ein Unternehmen vom Negativimage einer stark öffentlichkeitswirksamen Wirtschaftsstraftat erholt hat, kann es Jahre dauern. Die Fälle zahlreicher Landesbanken stehen an dieser Stelle repräsentativ für hohe monetäre Schäden und ein katastrophales Image, das letztendlich zum Rückzug der öffentlichen Hand aus dem Bankenumfeld geführt hat. Nach der KPMG Studie gaben 13 % der Unternehmen an, „schon ­einmal einen Reputationsschaden durch Wirtschaftskriminalität oder ComplianceVerstöße erlitten zu haben. Dabei gilt: je höher der Umsatz, desto stärker die Betroffenheitsrate.“ (KPMG 2016). Insgesamt geben 77 Prozent der von Reputationsschäden betroffenen Unternehmen an, spürbare Auswirkungen nach der Veröffentlichung von Straftaten erlebt zu haben. Die Folgen wirkten sich dabei sowohl auf unternehmensinterne Bereiche als auch auf externe Dimensionen wie Kunden, Geschäftspartner oder Auftraggeber aus (KPMG 2016).

264

D. Fleischer

Eine große Herausforderung der Wirtschaftskriminologie wird es sein, das ­Ausmaß von Reputationsschäden zu validieren, um die Phänomenologie noch eindeutiger herausarbeiten zu können.

2.2 Der Innentäter Der Begriff des Innentäters wird vielfach verwendet und ist rechtlich nicht eindeutig definiert.

 Definition  Im Allgemeinen wird hierunter eine natürliche Person verstanden, die aufgrund eines Beschäftigungsverhältnisses besondere Kenntnisse und/oder Fertigkeiten besitzt, durch die sie unmittelbaren oder mittelbaren Zugang zu unternehmensbezogenen Informationen oder Prozessen hat, die einem außerhalb des Unternehmens stehenden Täterkreis nicht oder nur unter erheblichen Schwierigkeiten zur Verfügung stehen. Wie zahlreich die Fehlerquellen durch Innentäter sein können, zeigt exemplarisch der Gefährdungskatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) (https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/ Inhalt/Gefaehrdungskataloge/G3MenschlicheFehlhandlung/g3menschlichefehlhandlung_node.html). Dieser führt gegenwärtig 123 IT-bezogene Handlungen auf, die als „menschliche Fehlerquelle“ die Integrität von informationstechnischen Systemen (itS) beeinträchtigen können. Wenn man diese – auch fahrlässig zu begehenden Handlungen – noch um den Anteil potenziell krimineller, nicht IT-relevanter Tatbegehungsweisen ergänzt, wird das Potenzial deutlich, dass von einem motivierten Innentäter ausgehen könnte.

2.2.1 Innentäter im engeren Sinn Relativ unproblematisch lässt sich die Definition auf alle Mitarbeiter eines Unternehmens anwenden, die in einem andauernden Beschäftigungsverhältnis stehen oder aus diesem kürzlich ausgeschieden sind. Diese Personengruppe hat weitreichende Innenansichten eines Unternehmens. Sie ist nicht nur in der Lage, relevantes Unternehmenswissen zu identifizieren, sie verfügt auch über die besten Möglichkeiten, Netzwerke und Werkzeuge, um relevantes Wissen abzuschöpfen. Bei dieser Gruppe handelt es sich um „Innentäter im engeren Sinn“ (Innentäter i. e. S.).

Wirtschaftskriminelles Verhalten von Innentätern

265

2.2.2 Innentäter im weiteren Sinn Diskutiert werden muss, ob es eines gültigen Beschäftigungsverhältnisses bedarf oder ob nicht auch externe Beschäftigte (Subunternehmen, Berater etc.) Innentäter im phänomenologischen Sinn sein können. Phänomenologisch ist es sinnvoll, den „Innentäter i.w.S.“ zum Kreis der Innentäter zu zählen, da diese unabhängig der Unternehmenszugehörigkeit aus einer vergleichbaren individuellen Motivationslage handeln wie der „Innentäter i.e.S.“. Wesentlich sind hierbei – wie später noch zu diskutieren sein wird – ideologische und egoistische Motive (vgl. Abschn. 3).

2.2.3 Gefährdungspotenzial durch Innentäter Nach Einschätzung des Bundesamtes für Verfassungsschutz sind Innentäter „in Anbetracht ihrer legalen Zugangsmöglichkeiten und ihres Insiderwissens über innerbetriebliche Schwachstellen in der Lage, den Unternehmen mehr Schaden zuzufügen, als externe Täter es je könnten. Hierarchieebenen bilden keine Grenzen mehr – Täter kann vom Hausmeister bis zum Manager jeder sein.“ (Informationsflyer Sicherheitslücke Mensch – Der Innentäter als größte Bedrohung für die Unternehmen). Auch die Landesverfassungsschutzbehörden weisen auf das besondere Gefahrenpotenzial hin. Das Landesamt für Verfassungsschutz Bayern betont ausdrücklich, dass besonders auf Praktikanten, frustrierte Mitarbeiter sowie gekündigte Mitarbeiter geachtet werden sollte, die während der Kündigungsfrist im Unternehmen bleiben (Köhler). Ann erklärt das steigende Gefährdungspotenzial durch Innentäter mit folgenden Faktoren: 1. Es ist für Unternehmen schwer, für dauerhafte Awareness bei den Mitarbeitern zu sorgen. 2. Die moderne, mobile Arbeitswelt ist von der Volatilität der Beschäftigungsverhältnisse geprägt. 3. Moderne Kommunikationsformen erleichtern in sozialen Netzwerken den Informationsabfluss (Ann 2013). Zukünftig werden die Bedingungen der modernen Arbeitswelt zusätzliche Herausforderungen bedingen: Laut einer Studie der Personalberatung Hays (2014) stiegt zum Beispiel der Anteil der an externe Büros ausgelagerten Ingenieurleistungen bei deutschen Unternehmen von 34 auf 58 %. Unter der Überschrift „Der Einsatz externer Ingenieure ist steigend“ stellt die Studie fest: „Eine deutliche Zunahme im Vergleich zur Befragung 2010 zeigt sich bei dem

266

D. Fleischer

Einsatz von freiberuflichen Ingenieuren mit Werkvertrag, sowie bei Ingenieuren, die im Rahmen der Arbeitnehmerüberlassung tätig sind (jeweils +14 Prozent).“ Durch den Tausch interner Leistungen gegen externe Dienstleistungen wird der Anteil der Innentäter i. w. S. zu Lasten der Innentäter i. e. S. ansteigen.

2.2.4 Motivationslage von Innentätern Gesicherte empirische Daten über die Motivationslage verurteilter Wirtschaftsspione liegen nicht vor. Anzunehmen ist, dass neben dem ideologisch motivierten Täter, egoistische Vorteilsnahme das überwiegende Motiv ist. Der ACFE geht davon aus, dass wirtschaftliche Aspekte eine erhebliche Motivation für wirtschaftskriminelles Verhalten darstellen. In 41 % der untersuchten Fälle lebten die Täter über ihren Verhältnissen, in 29 % befanden sich die Täter in wirtschaftlich problematischen Situationen, und in 9 % beschwerten sie sich die Täter über ungerechte Bezahlungen (ACFE 2016). „Die ideologische Überzeugung von Innentätern wird nur in seltenen Fällen eine entscheidende Rolle spielen (zum Beispiel bei durch staatliche Stellen eingeschleuste Praktikanten oder Agenten unter sogenannter Legende)“ (BfV 2013). Empirische Aussagen zur Motivationslage (Müller-Engbers) eines ideologisierten Innentäters finden sich in der kriminologischen Literatur bisher nur wenig.1

2.2.5 Empirische Erkenntnisse Das Bundesamt für Verfassungsschutz vermutet – ohne Angabe der Quelle –, dass in 30 % aller Fälle von Know-how-Abfluss Innentäter am Werk sind (Informationsflyer Sicherheitslücke Mensch). KPMG geht bei den identifizierten Fällen in mehr als zwei Dritteln (81 %) von einem Innentäter i. e. S. aus. Dabei handele es sich selten um Mitarbeiter aus dem Top Management (4 %), in einigen Fällen (27 %) um Mitarbeiter des Managements und in jedem zweiten Fall (50 %) um „normale“ Mitarbeiter (KPMG 2018). Der ACFE geht davon aus, dass in 44 % der Fälle „normale“ Mitarbeiter zu den Tätern gehören, in 34 % das Management betroffen ist und in 19 % Eigentümer und Top Management involviert ist (ACFE 2016).

1Houben

analysiert in „Agentinnen aus Liebe – psychologische Betrachtung der Romeomethode“ 18 Fälle weiblicher Spione und wertet die Motivationslage aus. In Litzcke, Nachrichtendienstpsychologie (2003), Band 1; ebenso Müller-Engbers, der in seiner Ausarbeitung zu den Motiven hauptamtlicher Mitarbeiter des MfS wesentliche Aussagen zusammentragen kann.

Wirtschaftskriminelles Verhalten von Innentätern

267

Ernst & Young gehen in der Untersuchung „Datenklau“ davon aus, dass ehemalige und gegenwärtige Mitarbeiter mit einem Anteil von 45 % an den Tatbeteiligungen ebenso häufig vorkommen wie ausländische Unternehmen (Ernst und Young 2016). Corporate Trust identifiziert bei rund jedem fünften Mitarbeiter (22,8 %) deviantes Potenzial, unterscheidet jedoch nicht zwischen aktiven und ehemaligen Mitarbeitern. Als Innentäter i. w. S. („Dienstleister/Berater“) werden 18,3 % der Täter eingestuft (Corporate Trust). Über alle Untersuchungen scheint die Schlussfolgerung angemessen, dass grosso modo in jedem zweiten Fall vorsätzlichen Handelns ein Innentäter eine entscheidende Rolle spielt. Wie hoch der Anteil derer ist, die fahrlässig die Straftaten tatsächlich externer Täter unterstützen, ist bisher in keiner Studie betrachtet worden.

3 Kriminologische Erklärungsansätze Zusammenfassung

Vieles spricht dafür, dass Innentäter mit der gleichen Motivationslage handeln wie Wirtschaftskriminelle. Da der Typus des Wirtschaftskriminellen umfassend beschrieben und mittlerweile recht gut erschlossen ist, kann auf anerkanntes Wissen zur Motivationslage zurückgegriffen werden. Bei vielen Theorien spielen anomische Ursachen, das heißt, ein extrinsischer Erwartungsdruck, der auch den Einsatz illegitimer Methoden rechtfertigt, ebenso eine Rolle wie mangelhafte Selbst- und Fremdkontrolle und organisationsbedingte Ursachen am Arbeitsplatz. Zudem wird auf die Frage eingegangen, ob es auch subkulturelle Einflüsse gibt, die motivieren.

3.1 Grundlagen der Kriminologie Im Gegensatz zur Kriminalistik, die sich mit der konkreten Tatbegehung und der Aufklärung von Straftaten befasst, versucht die Kriminologie Erklärungsansätze für kriminelles Verhalten zu liefern und hieraus geeignete Präventions- und Interventionsmechanismen zu erarbeiten. Den „Idealtypus“ eines Wirtschaftskriminellen beschreibt Schwindt wie folgt: Er ist überwiegend männlich, um die 40 Jahre alt, sogenannter „latecomer to

268

D. Fleischer

crime“, meist verheiratet, mit guter Ausbildung und Qualifikation, aus bürgerlicher Mittel- und Oberschicht kommend, zielstrebig bis skrupellos im Geschäftsleben, zehn Jahre im Unternehmen (davon sieben Jahre ohne Änderung der Position), selten vorbestraft und zum Tatzeitpunkt oftmals überschuldet (Schwind 2016, § 21, Rdnr. 21). In der kriminologischen Literatur findet sich eine spezifische Theorie der Wirtschaftsdelinquenz bisher nicht (Schwind 2016, § 21, Rdnr. 19). Wirtschaftskriminelles Verhalten wird bisher vor allem dadurch erklärt, dass klassische Theorien verwendet und gegebenenfalls in einem deliktspezifischen Modell kombiniert werden. Im Folgenden soll die Erklärung wirtschaftskriminellen Verhaltens auf der Grundlage zentraler und der in der Literatur überwiegenden Erklärungsansätze erfolgen.

3.2 Anomietheorie nach Merton Merton geht in der auf Durkheim aufbauenden Anomietheorie davon aus, dass Kriminalität das Ergebnis des individuellen Drucks ist, der sich aus der Kombination hoch gesteckter individueller Ziele, mangelnder Normenbindung und der Limitierung, mit legalen Mitteln die Ziele zu erreichen, ergibt (Herrmann, a. a. O.). Konkret vermutet er, dass das „Abweichen von institutionalisierten Erwartungen (wird) als Ergebnis des Auseinanderfallens von kulturell bedingten, grundlegenden Motivationen einerseits und der schichtbedingten beschränkten Verwirklichungschancen andererseits betrachtet“ (Merton 1968) wird. Individuelle Treiber für kriminelles Verhalten, also Motive, sind das Streben nach „Wohlstand“ (Merton 1968), „Macht und hohem Einkommen“ (Merton 1968). In Summe also egoistisch und ökonomisch geprägte Wertvorstellungen. Diese Motive werden als sogenannte anomische Faktoren bezeichnet. Die Anomietheorie geht davon aus, dass die Konsequenzen aus einer überzogenen Erwartungshaltung Konformität, Innovation, Ritualismus, Rückzug und Rebellion (Merton 1968) sind. Innovation bedeutet die „Anwendung institutionell nicht erlaubter, aber oft wirksamer Mittel, die zumindest das Erlangen der Erfolgssymbole: Wohlstand und Macht garantieren.“ (Merton 1968). Hierzu zählen somit vor allem kriminelle Handlungen. Auch wenn sich anomische Faktoren durch individuelle, das heißt, persönliche Wertvorstellungen ergeben, so können auch gruppendynamische Treiber ­anomisch wirken (Kunz und Singelnstein 2016). In diesen Fällen spricht man von institutioneller Anomie.

Wirtschaftskriminelles Verhalten von Innentätern

269

Unternehmen, in denen die Grenzen zwischen „dem Verhalten des,ehrbaren Kaufmanns’ und den durchtriebenen gerissenen Praktiken jenseits der ‚guten ­Sitten‘“ (Merton 1968) verschwimmen, verstärken beim potenziellen Täter innovative Reaktionen. Letztendlich hat ein verbindliches Normengefüge eine kriminoresistente Komponente. Verbindliche Normen illustrieren den Maßstab der kulturellen und sozialen Akzeptanz der Mittel, die zur Zielerreichung eingesetzt werden. Nur wenn das Maß dessen, was als legitim angesehen wird bestimmt genug ist, kann der Einzelne sein Handeln hieran ausrichten. Auch wenn es zurzeit eine wissenschaftliche Diskussion über die praktische Relevanz der Anomietheorie gibt, hat die Theorie als Grundannahme ihren festen Platz in den Erklärungsansätzen. Da es bei Wirtschaftsstraftaten immer um ökonomische Vorteile geht, ist es wahrscheinlich, dass individuelles Streben nach wirtschaftlicher Potenz kriminogen wirkt. Es lohnt sich, auf anomische Faktoren bei Einzelpersonen und in Organisationen zu achten, um wirksame Präventionskonzepte zu entwickeln.

3.3 Kontrolltheoretische Ansätze Kontrolltheorien nehmen bei der Ergründung kriminellen Verhaltens einen „Perspektivenwechsel“ (Schwind, § 6, Rdnr. 16) vor, indem sie untersuchen, welche Faktoren wirken, damit Menschen sich gerade nicht kriminell verhalten. Die leitende Frage ist: Welche Gründe führen dazu, dass sich ein Mensch gesetzestreu verhält. Hirschi geht davon aus, dass eine starke Bindung zwischen Gesellschaft und Individuum kriminellem Verhalten vorbeugt und eine schwache Bindung eher Kriminalität begünstigt (Hirschl). Nach Meier erklärt sich Kriminalität vor allem „aus einer geringen moralischen Bindung an das Recht, die durch eigene vermögensrelevante Viktimisierungserfahrungen (zum Beispiel Betrug) und die Einbettung in kriminalitätsbejahende Netzwerke (Freund, Bekannte, Verwandte).“ (Meier 2010, § 11, Rdnr. 27a). Je besser es Unternehmen schaffen, Zugehörigkeit, Verpflichtung Beteiligung und Glaube glaubwürdig zu etablieren, desto größer ist die Wahrscheinlichkeit, dass sie kontrollierende, also kriminellen Handeln entgegenwirkende, Faktoren aufbauen. Diese Aspekte gelten sowohl in Bezug auf eigene Mitarbeiter als auch auf externe Partner. Sofern auf die Vermeidung krimineller Handlungen durch eigene Mitarbeiter abgezielt wird, stellt die Etablierung einer Compliance Kultur als Element einer Unternehmenskultur einen wesentlichen Faktor dar.

270

D. Fleischer

3.4 White Collar Crime Approach nach Sutherland Die Erklärungen zur „weiße Kragen Kriminalität“ von Sutherland stellen in der kriminologischen Literatur eine der zentralen Thesen dar, wenn es um die Erklärung wirtschaftskriminellen Verhaltens geht. Die Theorie ist im Kern eine sogenannte Lerntheorie. Sutherland vermutet, dass „White-collar-Verbrechen genau wie jedes andere systemische Verbrechen“ (Sutherland 1968) über sogenannte differenzielle Kontakte gelernt wird (Sutherland 1968). Verstärkt wird dieser Lerneffekt durch soziale Desorganisation, also soziale Umgebungen, die wenig normative und tatsächliche Verhaltensvorgaben machen. Nach Sutherland wird Wirtschaftskriminalität zumeist von „respektablen oder wenigstens respektierten Geschäftsleuten und anderen gehobenen Berufen“ begangen. Entscheidend seien der „sozial-ökonomische“ Hintergrund der Täter und die Seniorität der Akteure, die sich durch die Attribute „respektiert“, „sozial akzeptiert und gewürdigt“ oder „hochstehend“ beschreiben lassen. Kein Maßstab ist die tatsächliche wirtschaftliche Potenz, entscheidend ist eher der Status einer Person. Sutherlands theoretische Grundlagen kommen vor allen Dingen dann in Betracht, wenn es um die Erklärung sogenannter Managerkriminalität oder der „Kriminalität der Mächtigen“2 geht. Die Theorie ist weniger anwendbar, wenn es um die Erklärung kriminellen Verhaltens „einfacher Arbeiter“ geht. Sutherlands Gedanken zur Kriminalität mächtiger und exponierter Personen decken sich nicht in allen Fällen mit den Erfahrungen heutiger Wirtschaftsdelinquenz, nach denen die überwiegende Anzahl von Wirtschaftsstrafverfahren gegen mehr oder weniger einfache Mitarbeiter geführt wird. In den vergangenen Jahren hat sich hieraus eine ganz allgemeine Tätertypologie des Wirtschaftskriminellen entwickelt. Hierbei würde es sich um „Blue-collar-Crime“ handeln. Insbesondere bei den Top Managern eines Unternehmens können darüber hinaus die unter anderem Neutralisationstechniken eine besondere Rolle spielen. Weitere kriminovalente Faktoren können sich dann ergeben, wenn die Täter sich in einer individuell schwierigen Situation befinden. Hierzu können wirtschaftliche Probleme ebenso zählen wie familiäre Situationen. Auch starke Incentivierungsanreize, fehlende Regelungen für das Top Management und eine übersteigerte Fokussierung auf wirtschaftliche Erfolge wirken kriminalitätsbegünstigend.

2Unter

dem Begriff „Kriminalität der Mächtigen“ werden vor allem Delikte erfasst, die von den Spitzen des Staates und der Gesellschaft begangen werden. Hierzu können sowohl Wirtschaftsstraftaten, als auch sogenannten Staatskriminalität gehören. In beiden ­Fällen wird die persönliche Machtstellung missbraucht (Hierzu: Neubacher, Kriminologie, 21. Kapitel).

Wirtschaftskriminelles Verhalten von Innentätern

271

Cleff, Naderer und Volkert beschreiben in ihrer Studie aus dem Jahr 2011 die typische Karriere eines Wirtschaftskriminellen wie folgt: In der ersten Phase versuchen die Delinquenten, ihre beruflichen und privaten Ziele zunächst auf legalem Weg zu erreichen. In der zweiten Phase realisieren sie den Misserfolg beim legalen Versuch der Zielerreichung: Erwartete Erfolge und angestrebte Bedürfnisbefriedigungen bleiben aus, ausgeprägte negative Gefühle wie Versagens-, Verlust- oder Existenzangst machen sich breit. Auf der Suche nach Lösungen für diese Probleme werden in der dritten Phase – durch Ausloten von rechtlichen Grenzbereichen – nun auch illegale Lösungswege in Betracht gezogen. Stellen sich dabei Erfolge ein, wird in der vierten Phase die kriminelle Handlungsweise positiv bestätigt und verstärkt. Wünsche nach weiteren Erfolgen entwickeln sich stärker als die Angst vor möglichen Sanktionen, was schließlich in die fünfte Phase mündet: dem „Point of no return“. In dieser Situation wird das „persönliche Rechtsempfinden“ der eigenen kriminellen Handlung angepasst, um die Vergehen weiterhin vor sich selbst rechtfertigen zu können. Die Betroffenen leiden zunehmend unter Realitätsverlust, verstricken sich dabei aber immer tiefer in illegale Handlungen, die ein Zurück zum Zustand von vor der Tat ausschließen. Mit der Aufdeckung der Tat tritt dann in einer sechsten Phase der Realitätsschock ein (Cleff et al. 2011, Ziff. 2.1).

Die Autoren der Studie identifizieren mittels qualitativer und quantitativer Erhebungen den egozentrischen, frustrierten und narzisstischen Visionär sowie den Naiven und Abhängigen als prototypische Tätertypen, die im Sinne der Gedanken Sutherlands auch Angehöriger des Top Managements sein können, dies aber nicht in jedem Fall so sein muss. Im Sinne Sutherlands sind unter Wirtschaftsdelinquenz die Taten einer kleinen Elite zu verstehen. Dieser Ansatz ist mit heutiger Erkenntnislage kaum noch zu vermitteln. Die Gedanken zur White Collar Crime waren die Gedanken einer anderen Epoche, in der die Zeit der Industrialisierung von mächtigen Firmenbesitzern und Magnaten geprägt war. Wie bereits geschildert, haben sich die Arbeitsverhältnisse, und damit die Bedingungen für Wirtschaftsstraftaten signifikant verändert. Im heutigen Wirtschaftsleben lohnt es sich, stärker auf die intraindividuellen und strukturellen Risikofaktoren (zum Beispiel i. S. d. o. a. Clusterung) zu achten als auf bloße Statuskomponenten.

3.5 Subkulturtheorie Die klassische Subkulturtheorie ist ebenso wie die Anomietheorie Mertons ein Ergebnis der amerikanischen Wirtschaftsverhältnisse in der Mitte des letzten Jahrhunderts. Zentral ist die Frage, ob bestimmte „Subkulturen“ eine höhere Prävalenz für bestimmte Delikte aufweisen (Exempl. Cohen 1957).

272

D. Fleischer

Auch wenn die Überlegungen zu devianten Subkulturen bisher an klassische Kriminalitätsformen gebunden waren, so wird häufig über einen Transfer der angestellten Überlegungen auf wirtschaftskriminelles Verhalten nachgedacht. Nach heutigem Verständnis versteht man unter einer Subkultur eine „innerhalb eines Kulturbereichs, einer Gesellschaft bestehende, von einer bestimmten gesellschaftlichen, ethischen o.ä. Gruppe getragene Kultur mit eigenen Normen und Werten“ (Duden). Eine wirtschaftswissenschaftliche Definition lautet: „soziale Gruppe, deren Normen, Einstellungen und Verhaltensweisen von der jeweiligen Mehrheitskultur erheblich und zum Teil konfliktionär abweicht. Subkulturen bestimmen auch entscheidend das Kauf- und Konsumverhalten. Eine typische Form von Subkulturen sind die Peer Groups.“ (Wirtschaftslexikon Gabler). Kurzgefasst, sind Subkulturen also soziale Gruppen, die über eigene Normen, Werte, Einstellungen, Verhaltensweisen etc. verfügen. Diese Bedingungen finden sich auch im Wirtschaftsumfeld (Kunz und Singelnstein 2016). Dies gilt sowohl für Täter aus dem Unternehmensumfeld (eigene Mitarbeiter, Berater, Lieferanten etc.) als auch für externe Wirtschaftsstraftäter (Betrüger, Hacker etc.). Normen und Wertegefüge finden sich auch für unterschiedliche Unternehmenshierarchien und zwar sowohl formal kodifiziert („Good Governance Kodex“, „Verhaltensregeln für …“ etc.) als auch informell überliefert beziehungsweise vermittelt („… im Prozess der Enkulturation ‚gelernt‘“ (Fischbach)) Hierbei spielen auch Statussymbole, Anerkennung und die jeweilige Position innerhalb einer Gruppe eine entscheidende Rolle. Fischbach geht in seiner Dissertation davon aus, dass innerhalb „einer Unternehmenskultur (ist) die „Managementkultur“ als zentrale Subkultur der Führungskräfte durch die exponierte Stellung des Managements besonders sichtbar und für die gesamte Unternehmung kulturprägend“ (Fischbach) ist. Sie stellt somit die unternehmerische „Oberschicht“ dar. Der Status innerhalb dieser Gruppe wird entweder durch Leistung erworben oder askriptiv (Fischbach), das heißt errungen oder zugeschrieben. Vor allem materialistisch geprägten Menschen ist es ein Bedürfnis, eben diesen Managementstrukturen anzugehören. Um dies zu erreichen, ordnen sie sich den Werten und Zielen dieser Strukturen unter. Schneider (2007) geht im Leipziger Verlaufsmodell wirtschaftskriminellen Verhaltens von der besonderen Bedeutung „arbeitsplatzbezogener Subkulturen“ aus. So kann die Einbindung in derartige Strukturen zu einer kriminovalenten Ausprägung des Leistungsverhaltens (Rückzug aus familiären Bindungen zugunsten der eigenen Arbeitsleistung im Unternehmen), der Erwartung falscher, da inadäquater wirtschaftlicher Ansprüche (auch da diese in den entsprechenden Subkulturen vorgelebt werden) bis hin zum Realitätsverlust führen.

Wirtschaftskriminelles Verhalten von Innentätern

273

Arbeitsplatzbezogene Subkulturen scheinen also einen begünstigenden Einfluss auf deviantes, wirtschaftskriminelles Verhalten zu haben. Dieser wird umso größer, je kriminalitätsbejahender die Strukturen sind. Schneider führt hierzu aus, dass sich in bestimmten Gruppen die „Vorzeichen von Kultur und Subkultur“ (Schneider 2009) umkehren. „Außenseiter ist, wer sich an die Norm hält, normal, wer die Norm übertritt oder zumindest in ihrem Grenzbereich navigiert“ (Schneider 2009). Aber auch bei individuellen Handlungen zum Nachteil des eigenen Arbeitgebers können die oder andere Faktoren tatmotivierend wirken. So kann deviantes Verhalten dazu genutzt werden, die eigene Karriere zu beschleunigen beziehungsweise weitere Statussymbole zu erlangen, die die Zugehörigkeit zum gehobenen Management indizieren. Hierbei überwiegen die egoistischen Motive vor den kollektiven Konsequenzen für das Unternehmen und dessen Mitarbeitern. Es ist nicht abwegig anzunehmen, dass der Wunsch nach Zugehörigkeit zu einer bestimmten Gruppe beziehungsweise der Druck aus einer Gruppe heraus so weit führt, dass sich das kriminelle Verhalten auch gegen das eigene Unternehmen richtet und wirtschaftskriminelles Verhalten aus egoistischen, statusgetriebenen Motiven eine Konsequenz ist.

3.6 Neutralisationstechniken Durch sogenannte Neutralisationstechniken versteht es der Täter, sein eigenes kriminelles Tun gegenüber sich selbst zu rechtfertigen. Diese ergeben sich aus einer individuellen oder einer gruppengeprägten Betrachtungsweise. Sykes/Matza (Im Original aus dem Jahr 1957) skizzierten dies Verhalten unter anderem in der „Theorie der Delinquenz“. In einem intrapersonellen Monolog billigt sich der Täter eine höhere ethisch moralische Position zu. Im Vergleich zu anderen empfindet er sich als „kompetenter, moralischer, konsequenter und insgesamt besser.“ (Litzcke et al. 2012). Durch diese Argumentation schützt er sich als „Individuum vor Selbstvorwürfen und Vorwürfen nach der Tat.“ (Sykes und Matza 1968, a. a. O.). Im Wesentlichen kommen durch den Täter die folgenden Argumente zur Neutralisation zur Anwendung (Sykes und Matza 1968): • • • • •

Ablehnung der Verantwortung Verneinung des Unrechts Ablehnung des Opfers Verdammung der Verdammenden Berufung auf höhere Instanz

274

D. Fleischer

Die Rechtfertigung erfolgt entweder vor der Tatausführung in Form der Neutralisierung (handlungsermöglichend) oder nach dieser in Form der Rationalisierung (handlungsentschuldigend) (Litzcke et al. 2012). Neben den individuellen Neutralisationen und Rationalisierungen werden arbeitsplatzbezogene Subkulturen auch durch organisationstypische Neutralisationen geprägt. Hierbei bedingen bestimmte Strukturen bestimmte Rechtfertigungen. Diese reichen von der bewussten Billigung von Regelverstößen durch Organisationen bis zur kollektiven Leugnung unrechten Handelns auf der Grundlage eigner Kodizes. Rechtfertigungs- und Neutralisierungsstrategien können sich auch aus einer negativen Grundeinstellung gegenüber dem eigenen Unternehmen ergeben. Litzcke et al. bezeichnen diesen Effekt auch als „Organisationaler Zynismus“ (Litzcke et al. 2012), also „eine negative Einstellung eines Arbeitnehmers gegenüber seiner Organisation, die drei Dimensionen umfasst (…), Glauben, dass es der Organisation an Integrität mangelt, negative Gefühle gegenüber der Organisation und Tendenz zu abschätzigem und kritisierendem Verhalten.“ (Litzcke et al. 2012). Die Abkehr vom Unternehmen wird vom fehlenden Vertrauen in das Management und eine Gerechtigkeitslücke im Unternehmen3 gefördert. Führungsverhalten und Unternehmensführung haben somit einen unmittelbaren Einfluss auf die Wahrscheinlichkeit wirtschaftskriminellen Verhaltens, da sie entweder Exkulpationsmöglichkeiten eröffnen oder ausschließen. Arbeitnehmer, Lieferanten oder auch Kunden, die wahrnehmen, dass eine Unternehmensleitung ausschweifend und unethisch mit Unternehmensgewinnen umgeht, werden schnell ihr eigenes – gegen ein Unternehmen gerichtete Handeln – mit dem Ausspruch rechtfertigen: „Wenn die das dürfen, dann darf ich das auch!“ Auch dies ist eine Form der Neutralisation. Richter/Liebig konnten im Rahmen ihrer Untersuchungen zum Diebstahlverhalten in Unternehmen herausarbeiten, dass „unfaire Behandlung am Arbeitsplatz insbesondere im persönlichen Umgang (interpersonelle Fairness) und bezüglich des individuellen Arbeitsertrages (distributive Fairness) (….) zu negativen Gefühlszuständen führen (kann), welche die Grundlage der Motivation für organisationsschädigendes“ (Richter und Liebig) Verhalten bilden kann. Es ist ratsam, durch kluge Unternehmens- und Personalführung sowohl individueller als auch kollektiver Neutralisationen und Rechtfertigungen entgegenzuwirken. Da die Rechtfertigungsstrategien auf gewisse Weise „vorhersehbar“

3Litzcke,

Maffenbeier, Linssen, Schilling sprechen von a) wahrgenommener, prozedualer Ungerechtigkeit, b) wahrgenommener, distributiver Ungerechtigkeit und c) wahrgenommener, interaktionaler Ungerechtigkeit (a. a. O).

Wirtschaftskriminelles Verhalten von Innentätern

275

sind, kann dieser selbst vermittelten Exkulpationsoption des Täters auch gezielt entgegengetreten werden. Auch hier kommt es darauf an, mit Verbindlichkeit, Verantwortlichkeit und Vorhersehbarkeit klare Regeln zu setzen und zudem eine offene und wertebezogene Unternehmenskultur zu etablieren, die dem Einzelnen den Rückzug in individuelle Rechtfertigungen erschwert.

3.7 Routine-Aktivitäts-Theorie nach Cohen und Felson Auch wenn die Gedanken von Cohen/Felson im ersten Moment stark simplifizierend wirken, so stellen die Überlegungen bis heute eine zentrale Denkrichtung dar, wenn es um die Erklärung von Kriminalität geht. Kritiker werfen der Theorie vor, die gruppenbezogenen (subkulturellen) und intraindividuellen (anomischen und psychologischen4) Aspekte zu vernachlässigen und zu stark auf situative Aspekte im Sinne der Formel „Gelegenheit macht Diebe“ zu setzen (Clark 2012). Die Theorie enthält meines Erachtens jedoch weiterhin einen hohen Praxisbezug. In „Social Change and Crime Rate Trends: A Routine Activity Approach“ gehen Cohen/Felson davon aus, dass kriminelles Verhalten im Wesentlichen vom Vorliegen dreier Faktoren abhängt: „(1) motivated offenders, (2) suitable targets, and (3) the absence of capable guardians against a violation“ (Cohen und Felson 1979). Die Attraktivität des Tatobjekts wird im Wesentlich durch dessen Wert und dessen Verfügbarkeit bestimmt (Cohen und Felson 1979). Die Tatgelegenheit wird vor allem durch die Abwesenheit eines potenten Beschützers bestimmt. Die Fähigkeit des Beschützers bestimmt sich i. W. durch die ihm zur Verfügung stehenden Mittel und Fähigkeiten (Cohen und Felson 1979). Diese Fähigkeit des Beschützers nimmt bei langjährigen Routinen und gleichbleibenden Handlungsabläufen über einen längeren Zeitverlauf kontinuierlich ab. Gleichzeitig wächst auf der Täterseite die Erfahrung, mit dem eingeräumten Freiraum zu seinem Vorteil umzugehen. Ganz im Sinne der wörtlichen Übersetzung der Theorie stellen routinierte Arbeitsabläufe somit eine besondere Sicherheitsherausforderung dar. Aus der allgemeinen Routine-Aktivitäts-Theorie haben sich in der Zwischenzeit Überlegungen zu sogenannten Special Opportunity Crimes entwickelt. Neubacher formuliert hierzu wie folgt: „Wirtschaftsstraftaten sind Special

4Clark

spricht hier von „maternal deprivation“ und „relative deprivation“, S. 3.

276

D. Fleischer

Opportunity Crimes, d. h. sie hängen in erster Linie von entsprechenden Tatgelegenheiten, von Unternehmensstrukturen, Befugnissen und Kontrollmechanismen ab. … In diesem Rahmen werden durchaus rationale Erwägungen angestellt, wie sie dem Bild eines homo oeconomicus (rational choice) entsprechen.“ ­(Neubacher 2011). Es mag simpel wirken, aber im Kern ist die Theorie nachvollziehbar. Wenn ein motivierter Täter auf ein lohnenswertes Tatobjekt trifft und dieses nicht ausreichend geschützt ist, dann liegen optimale Bedingung für ein Verbrechen vor. Bei Wirtschaftsstraftaten macht der Täter hierbei einen persönlichen Aufwand-Nutzen-Abgleich. Er wägt ab, ob das individuelle Risiko, bei der Tat erwischt zu werden, durch den erwarteten ökonomischen Erfolg gerechtfertigt ist. Wenn hierzu noch individuelle Faktoren wie Anomie, schwierige Lebensphasen oder sonstige kriminogene Aspekte eintreten, dann wird wirtschaftskriminelles Verhalten wahrscheinlich. Unternehmerische Präventionskonzepte können als Teil eines CMS derartige Faktoren identifizieren und versuchen, durch entgegenwirkende Maßnahmen kriminellem Verhalten entgegenzusteuern.

3.8 Leipziger Verlaufsmodell nach Schneider Schneider geht in seinem Modell davon aus, dass die bekannten klassischen Kriminalitätstheorien nur unzureichende Erklärungsansätze für wirtschaftskriminelles Verhalten beinhalten, da das in anderen empirischen Studien anhand massenstatistischer Daten gezeichnete homogene Bild des Wirtschaftsstraftäters (lässt) sich aufgrund der gewonnenen Einsichten ebenso wenig aufrechterhalten (lässt) wie der universelle Erklärungsanspruch bestimmter monokausaler Theorien, die hinsichtlich der Entstehung von Wirtschaftskriminalität auf eine auch für die Erklärung von Elends- und Straßenkriminalität herangezogene ‚allgemeine Verbrechenstheorie‘ zurückgreifen wollen. Wirtschaftsstraftäter sind zwar weit überwiegend ‚latecomer to crime‘. Sie haben aber unterschiedliche soziale Bezüge, Lebenswege und Präferenzen, die sich vorliegend im Rahmen der Typenbildung – auch mit Blick auf eine mögliche Prävention und Intervention – verdichten ließen (Schneider 2009).

Er entwickelt auf der Basis dieser Ansätze ein Phasenmodell, bei dem kriminovalente Faktoren begünstigend und kriminoresistente Faktoren erschwerend wirken (Schneider 2009). Hierbei kombiniert er vor allem Aspekte aus der allgemeinen Anomietheorie, dem situationsbezogenen Routine-Aktivitäts-Ansatz, den Neutralisationsansätzen und kombiniert dies mit spezifischen Erkenntnissen zum Thema Wirtschaftskriminalität.

Wirtschaftskriminelles Verhalten von Innentätern

277

Wirtschaftskriminelles Verhalten entstehe dann, wenn „der Blick des Handelnden auf kriminogene Situationen frei ist und nicht durch eine puristische Wertorientierung und Unkenntnis der Abläufe blockiert“ (Schneider 2009) ist und die Situation als „günstige Gelegenheit“ (Schneider 2009) wahrgenommen wird und in letzter Konsequenz zu deviantem Handeln führt. Initial seiner Überlegungen ist die Bewertung des potenziellen Täters, dass es sich bei der vorgefundenen Situation um eine günstige Gelegenheit oder eine Sicherheitslücke handelt. Durch die tägliche Arbeitsroutine weiß der Täter, ob es sich tatsächlich um eine geeignete Gelegenheit handelt und wie groß das Entdeckungsrisiko ist. Kriminelles Verhalten wird zudem von „situativen und motivationalen Faktoren“ (Schneider 2009) begleitet und beeinflusst. Als kriminovalente Faktoren nennt Schneider negative Emotionen gegenüber anderen – insbesondere dem Arbeitgeber –, die sich aus Kränkungen und Zurücksetzungen ergeben haben (Schwind 2016, § 21, Rdnr. 19). Hinzu können anomischer Druck aufgrund unrealistischer Ansprüche, die Einbindung in arbeitsplatzbezogene Subkulturen, individuelle Neutralisationsmechanismen und ein übersteigert materialistisches Werteverständnis bestärkend wirken. Kriminoresistent wirken im Übrigen puristische Grundüberzeugungen, familiäre Bindungen, realistische Ansprüche und traditionelle Werteausrichtung. Aus dieser Überlegung heraus skizziert das Leipziger Verlaufsmodell zwei Tätergrundtypen und kombiniert diese sogenannten personalen Risikofaktoren. Grundsätzlich unterscheidet das Modell zwischen dem Gelegenheitsergreifer und dem Gelegenheitssucher. „Der Gelegenheitsergreifer ist aufgrund langer Betriebszugehörigkeit, beruflicher Stellung sowie seines Wissens in der Lage, Kontrolldefizite zu erkennen und zur Tat zu nutzen“ (Schneider 2009). Der Gelegenheitsergreifer handelt dabei entweder aus eigenem Antrieb oder durch externen Anstoß. Er agiert grundsätzlich nicht mit planmäßig angelegter krimineller Energie und ist in der Regel geständig, wenn er erwischt wird. Der Gelegenheitssucher sucht mit krimineller Energie die für ihn günstige und attraktive Tatgelegenheit. Hierzu muss er in der Regel kriminelle „Vorarbeiten“ (Schneider 2009) leisten. Dies kann von der Schaffung „gezielter Informationsasymmetrien“ (Schneider 2009) (Lügengebilde) bis zur Gründung von Scheinfirmen etc. reichen. Der Gelegenheitssucher hat mitunter schon kriminelle Erfahrungen als Täter gesammelt. Hierbei muss es sich nicht ausschließlich um Wirtschaftsdeliquenz gehandelt haben. In einigen Fällen kommt es dazu, dass Gelegenheitsergreifer und -sucher kollusiv zusammenwirken. In der Regel stiftet der Gelegenheitssucher einen Gelegenheitsergreifer zu strafbarem Handeln an.

278

D. Fleischer

Gelegenheitsergreifer und -sucher kommen nach Schneider in vier Ausprägungen vor: dem Täter mit wirtschaftskriminologischen Belastungssyndrom, dem Krisentäter, dem Abhängigen, dem Unauffälligen. Das Modell (Abb. 1) bietet Ansätze, die nach festgestellten ComplianceVerstößen gezielt im Rahmen der unternehmensinternen Ermittlungen analysiert werden können. Wünschenswert wäre es, die Studie mit einem größeren Sample fortzuschreiben, um die Erkenntnislage zu validieren und die identifizierten Unstimmigkeiten aufzuklären.

4 Präventionsansätze Zusammenfassung

Aus der Überlegung heraus, dass es keine monokausalen Erklärungsansätze für Kriminalität gibt, folgt, dass sich diese auch nicht mit singulären Aktivitäten eingrenzen lässt. Durch Risikobeurteilung sind relevante Informationen ebenso zu identifizieren wie kriminogene Faktoren. Die Auswahl von Mitarbeitern und Partnern muss risikobasiert und strukturiert erfolgen. Durchgängige Sicherheitskonzepte beinhalten die physische Sicherheit ebenso wie organisatorische und prozessuale Aspekte. Awareness-Konzepte dürfen nicht nur für Aufmerksamkeit sorgen, sondern müssen auch die notwendigen Handlungsstrategien und Fähigkeiten vermitteln. Wirtschaftsbeteiligte die versuchen, die Perspektive der Verbrecher zu verstehen, um Verbrechen zu verhindern, sind in der Lage, ein maßgeschneidertes Risikomanagement zu etablieren. Die Kriminologie bietet viele Erkenntnisse, die im Rahmen von Präventionskonzepten berücksichtigt werden können. Die beiden wesentlichen Pfeiler präventiv wirkender Modelle sind die Entschärfung von Risikofaktoren und die Erhöhung des Schutzwertes. Sogenannte situationsbezogene Präventionskonzepte versuchen, motivierte Täter zu identifizieren, die Tatgelegenheiten zu erschweren und das Entdeckungsrisiko durch Kontrollen zu erhöhen. CMS basieren auf einer unternehmensspezifischen Risikoabwägung. Unternehmen wägen hierbei sorgsam und kontinuierlich ab, ob sie Opfer einer Wirtschaftsstraftat werden könnten. Dabei bedingt die Typik des Geschäftes bereits die infrage kommenden Straftatbestände. Eine Risikobetrachtung führt auch dazu, dass situative Faktoren identifiziert werden, die tatbegünstigend sein können. Wie

Wirtschaftskriminelles Verhalten von Innentätern

279

Abb. 1   Synoptische Gegenüberstellung von Gelegenheitsergreifern und -suchern (Schneider 2009)

dargestellt, sind Innentäter auf der Suche nach günstigen Gelegenheiten und geringem Entdeckungsrisiko. Mit einem sorgsamen Compliance-Risikomanagement können sowohl kriminovalente Faktoren identifiziert als auch Vorsorge für die Aufklärung festgestellter Verstöße getroffen werden. In meinen Ausführungen wurde auf die kontrollierende Wirkung verpflichtender Werte hingewiesen. Innentäter, die keinen Wertmaßstab haben, begehen leichter Straftaten als solche, die einen Gewissenskompass haben. Eine auf der Unternehmenskultur aufbauende Compliance-Kultur liefert wichtige Maßstäbe und hat einen nachgewiesenen Effekt auf die Verhinderung wirtschaftskriminellen Verhaltens. In Form eines Verhaltenskodex können Unternehmen inhaltlich bestimmte und verpflichtende Regeln für rechtskonformes und gerechtes Handeln festschreiben. Wenn dies getan wird, schaffen Unternehmen nicht nur einen eindeutigen Sanktionierungsrahmen, sie verhindern auch Ausflüchte in Neutralisation. Für Innentäter ist es schwerer sich über eine Regelung bewusst hinwegzusetzen, als einen ungeregelten Zustand in krimineller Absicht auszunutzen. Durch Werte und Normen trägt ein Unternehmen zum eigenen Schutz bei.

280

D. Fleischer

Aus einer Compliance-Kultur ergibt sich eine unabhängige und professionelle Compliance-Organisation. An der Stellung der Wertigkeit der Organisation kann jedermann ablesen, wie wichtig es dem Unternehmen mit dem Thema Compliance ist. Ohne ein eindeutiges Management Commitment und dem hieraus folgenden tone from the top kann eine Compliance-Organisation nicht glaubwürdig implementiert werden. Das Vorhandensein einer leistungsstarken ComplianceOrganisation wirkt präventiv, da die Wahrnehmung als Kontrollinstanz einen Einfluss auf die Entdeckungswahrscheinlichkeit hat und als solches wahrgenommen wird. Sie ermöglicht es, dem Unternehmen klare Verantwortlichkeiten für die Einführung eines CMS sowie die Intervention nach einem festgestellten Verstoß festzulegen. Alle Regeln sind wenig hilfreich, wenn sie nicht bekannt sind. Aus diesem Grund ist der Aspekt der Kommunikation vital. Jedes Unternehmen muss die aufgestellten Regeln sowohl externen Partnern zur Kenntnis geben als auch eigenen Mitarbeitern die wesentlichen Inhalte vermitteln. Durch Schulung werden nicht nur fachlich theoretische Inhalte vermittelt, die es dem Mitarbeiter ermöglichen, Regelverstöße zu identifizieren, es werden auch Ansprüche formuliert, welche Erwartungshaltung der Arbeitgeber an seinen Arbeitnehmer richtet.

5 Schlussbetrachtung Innentäter belasten Unternehmen und stellen einen erheblichen Anteil an der Gesamtzahl der Wirtschaftskriminellen dar. Unabhängig davon, ob als Innentäter i. e. S. oder i. w. S., sie nutzen ihre privilegierte Stellung in den Unternehmen und Organisationen aus und wirken von innen heraus. Es macht Sinn, die kriminovalenten und kriminoresistenten Faktoren zu verdeutlichen, die dazu führen, dass Innentäter sich gegen die Organisation richten. Intraindividuelle und gruppendynamische Aspekte fördern wirtschaftskriminelles Verhalten von Innentätern. Mitunter schaffen Unternehmen und Organisationen durch falsche Anreizsysteme, fehlende Werteorientierung und intransparente Prozesse deviantes und delinquentes Verhalten im eigenen Haus. Sie schaffen sich ihre eigenen Innentäter. Aus Compliance-Gründen ist es nicht unerheblich, wie sehr sich vor allem Unternehmensleitungen diesem Risiko zuwenden. Fraglich ist mitunter, ob die Unternehmensleitung eine „Mitschuld“ und eine Schadensersatzpflicht trifft, wenn sie bei der Auswahl von Mitarbeitern oder Externen unachtsam waren. Gemäß § 831 BGB – Haftung für den Verrichtungsgehilfen haftet kurz gesagt der Vorgesetzte eines Mitarbeiters, der gegenüber einem Dritten einen Schaden verursacht hat. Um dieser Schadenersatzpflicht des Vorgesetzten zu entgehen, muss

Wirtschaftskriminelles Verhalten von Innentätern

281

dieser sich exkulpieren5 und bei Bedarf einen sogenannten Exkulpationsnachweis erbringen. Dieser „Entlastungsbeweis wird gelingen, wenn der Geschäftsherr den Nachweis kompetenter Betriebsführung erbringt“ (Schünemann 2011). Diese umfasst auch den Aspekt des „Compliance Monitoring“ (Schünemann 2011), also der Kontrolle, ob der Mitarbeiter die für den jeweiligen Tätigkeitsbereich maßgeblichen Regelungen einhält. CMS können hier Abhilfe schaffen. Sie basieren auf einer auf Werten basierenden Compliance-Kultur, verbindlichen Prozessen und Regeln sowie einer leistungsfähigen Organisation. CMS verlieren dann ihre Bedeutung, wenn sie zu Makulatur und Überregulierung führen. Compliance ist genau wie die Kriminologie eine interdisziplinäre Wissenschaft. Beide Disziplinen sollten noch stärker als in der Vergangenheit verzahnt werden, um aus den Erkenntnissen über das Verbrechen und den Verbrecher die richtigen Schlussfolgerungen zu ziehen und Innentäterhandeln entgegenzuwirken.

Literatur Ann, C. (2013). Geheimnisschutz – Kernaufgabe des Informationsmanagements im Unternehmen. Gewerblicher Rechtsschutz und Urherberrecht (GRUR), S. 12 ff. Association of Certified Fraud Examiners (ACFE). (2016). Report to the nations on occupational fraud and abuse – Global fraud study 2016. 5. April. http://www.acfe.com/ rttn2016/docs/2016-report-to-the-nations.pdf. BKA. (2015). Bundeskriminalamt. Von Compliance-Systeme und ihre Auswirkung auf die Verfolgung und Verhütung von Straftaten der Wirtschaftskriminalität und Korruption. https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/Publikationsreihen/­ Forschungsergebnisse/2015ComplianceSystemeManagementfassung.html. Zugegriffen: 03. Aug. 2015. BKA. (2016). Bundeskriminalamt. Von Bundeslagebild Wirtschaftskriminalität. https:// www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/Lagebilder/Wirtschaftskriminalitaet/wirtschaftskriminalitaet_node.html;jsessionid=23636CE27C0D2433F1ED9426CD92D953.live0602. Zugegriffen: 12. Aug. 2016. BKA. (2018) Bundeslagebild Wirtschaftskriminalität BKA. https://www.bka.de/SharedDocs/ Downloads/DE/Publikationen/JahresberichteUndLagebilder/Wirtschaftskriminalitaet/ wirtschaftskriminalitaetBundeslagebild2017.html;jsessionid=38ADD657E883D7D1E8A83EAF5C823860.live0602?nn=28030. Zugegriffen: 23. Juni 2018. Clark, R. (2012). „Opportunity makes the thief. Really? And so what?“ Crime Science Journal. Cleff, T., Naderer, G., & Volkert, J. (2011). Motive der Wirtschaftskriminalität. MschrKrim – Monatsschrift für Kriminologie und Strafrechtsreform, 94, 4–16.

5Von

lat. „culpa“, also die Schuld. Exkulpieren bedeutet somit von der Schuld befreien.

282

D. Fleischer

Cohen, L. E., & Felson, M. (1979). Social change and crime rate trends: A routine acitity approach. American Social Review, 44, 588–608. Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft. (2016). Global Fraud Survey – Ergebnisse für Deutschland. 15. April. http://www.ey.com/de/de/newsroom/news-releases/ ey-20160419-deutsche-unternehmen-erfolgreich-gegen-korruption. Fleischer, D. (2016). Wirtschaftsspionage – Phänomenologie, Erklärungsansätze und Handlungsoptionen. Schulzendorf: Springer. KPMG AG Wirtschaftsprüfungsgesellschaft. (2016). Tatort Deutschland – Wirtschaftskriminalität in Deutschland 2016 Studie. 4. Juli. https://assets.kpmg.com/content/dam/ kpmg/pdf/2016/07/wirtschaftskriminalitaet-2016-2-KPMG.pdf. Kraatz, E. (2013). Wirtschaftsstrafrecht. Berlin: Beck. Kunz, K.-H., & Singelnstein, T. (2016). Kriminolgie (7. Aufl. Ausg.). Bern und Berlin: Haupt Verlag. Litzcke, S., Linssen, R., Maffenbeier, S., & Schilling, J. (2012). Korruption: Risikofaktor Mensch. Wiesbaden: Springer Fachmedien. Meier, B. D. (2010). Kriminologie (4. Aufl.). Hannover: Beck. Merton, R. K. (1968). Sozialstruktur und Anomie. In F. Sack & R. König (Hrsg.), Kriminalsoziologie (S. 283–313). Frankfurt a. M.: Akademische Verlagsgesellschaft (Übers. H. Kaupen & W. Kaupen). Neubacher, F. (2011). Kriminologie. Baden-Baden: Nomos Verlagsgesellschaft. Richter, C. & Liebig, C. (2006). „Diebstahlverhalten in Unternehmen Psychologische Determinanten von Mitarbeiterdiebstahl“. http://psydok.sulb.uni-saarland.de/volltexte/­ 2006/­8 45/pdf/2006-01_Mannheimer_Beitraege_web_3-_Richter_und_liebig.pdf. Zugegriffen: 23. Nov. 2014. Sack, F., & König, R. (1968). Kriminalsoziologie. Frankfurt a. M.: Akademische Verlagsgesellschaft. Schneider, H. (2007). „Das Leipziger Verlaufmodell wirtschaftskriminellen Handelns.“ NStZ, 555–562. Schneider, H. (2009). kein Datum. Der Wirtschaftsstraftäter in seinen sozialen Bezügen. https://www.bakertilly.de/uploads/media/Der_Wirtschaftstaeter_in_seinen_sozialen_ Bezuegen_02.pdf. Schneider, H., & John, D. (2014). Das Unternehmen als Opfer von Wirtschaftskriminalität. 17. Januar. https://www.bakertilly.de/uploads/media/Das_Unternehmen_als_Opfer_ von_Wirtschaftskriminalitaet_04.pdf. Schünemann, W. B. (2011). Wirtschaftsprivatrecht. (6. Aufl.). Dortmund: UVK Verlagsgesellschaft mbH. Schwind, H.-D. (2016). Kriminologie und Kriminalpolitik (23. Aufl.). Bochum: Kriminalistik, Verlagsgruppe Hüthig Jehle Rehm GmbH. Singelnstein, T. (2012). Wirtschaft und Unternehmen als kriminogene Strukturen? Monatsschrift für Kriminologie und Strafrechtsreform, 2, 52–70. Sutherland, E. H. (1968). White-collar Kriminalität. In F. Sack & R. König (Hrsg.), Kriminalsoziologie (S. 189–200). Frankfurt a. M.: Akademische Verlagsgesellschaft (Über: K.-D. Opp). Sykes, G. M., & Matza, D. (1968). Techniken der Neutralisation: Eine Theorie der Deliquenz. In F. Sack & R. König (Hrsg.), Kriminalsoziologie (S. 360–371). Frankfurt a. M.: Akademische Verlagsgesellschaft (Über: K.-D. Opp).

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch Peter Zawilla

1 Entwicklung und Gefährdungslage Das Thema Wirtschaftskriminalität (englisch: „Fraud“)1 spielt in der Wirtschaft eine immer bedeutsamere Rolle, nachdem diese Thematik in den Unternehmen lange Zeit sogar mehr oder weniger negiert wurde. So waren Kommentare wie „Bei uns passiert so etwas nicht“, „Wir sind ja viel zu klein für so etwas“ oder „Da sprechen wir nicht drüber“ häufig anzutreffen. Dies erschien umso erstaunlicher beziehungsweise unverständlicher, als dass die „Polizeiliche Kriminalstatistik“ der letzten Jahre für Deutschland, das „Bundeslagebild Wirtschaftskriminalität“ des Bundeskriminalamtes sowie alle Analysen und Erhebungen bekannter Wirtschaftsprüfungsgesellschaften und Vertrauensschadenversicherer bereits seit längerem deutlich zeigen: Wirtschaftskriminalität ist ein ernsthaftes und größer werdendes Problem mit einer sehr hohen Dunkelziffer, das alle Unternehmen und Branchen betrifft!

Allein die bekannt gewordenen Schäden gehen für die Unternehmen in eine mehrstellige Milliardenhöhe. Ganz abgesehen von der immensen Dunkelziffer, 1Im

weiteren Verlauf dieses Beitrages wird der Begriff „Fraud“ als ein Synonym für den Begriff „Wirtschaftskriminalität“ verwendet, ohne allerdings eine inhaltliche Begriffsdefinition damit zu verbinden. Zur Definition des Begriffes „Wirtschaftskriminalität“ vergleiche Kap. 2 dieses Kapitels.

P. Zawilla (*)  FMS Fraud & Compliance Management Services GmbH, Bielefeld, Deutschland E-Mail: [email protected] © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_14

283

284

P. Zawilla

von der auch die Ermittlungsbehörden ausgehen und auf die in allen anderen Statistiken und Lagebilddarstellungen ausdrücklich hingewiesen wird.2 Dabei handelt es sich keineswegs um ein jeweils nationales Problem, sondern der Täter oder ganze Tätergruppen operieren – nicht zuletzt auch ­ begünstigt durch die technische Entwicklung der letzten Jahre – global länderund kontinentalübergreifend3 sowie mit einer Geschwindigkeit, die es teilweise erheblich erschwert, sich als einzelnes Land oder Unternehmen angemessen zu ­schützen. In jedem Unternehmen können daher durch Fraud-Fälle von eigenen Mitarbeitern und/oder Externen erhebliche, oftmals unmittelbar ertragsmindernde Schäden entstehen und sind nicht selten auch bereits entstanden. Dies zeigen aktuelle Fälle sowohl bei namhaften nationalen als auch internationalen Unternehmen deutlich. Neben materiellen Auswirkungen erleiden die geschädigten Unternehmen zudem aufgrund der meist unvermeidlichen Publizität dieser Vorkommnisse einen – teilweise massiven – Vertrauensverlust und eine deutliche Beeinträchtigung ihrer Reputation. Insbesondere kleinere und mittelgroße Unternehmen verfügen in der Regel über vergleichsweise wenig eigene Erfahrungen insbesondere im Umgang mit Fraud– Fällen und Unregelmäßigkeiten von eigenen Mitarbeitern. Dies liegt zumeist in einer in der Vergangenheit bisher nur geringen Anzahl bekannt gewordener Fälle im jeweils eigenen Haus begründet. Dadurch werden die vorhandenen Gefahren und Risiken zum Teil erheblich unterschätzt („Gefühlte Sicherheit“).4 Viele Unternehmen unterliegen dabei oftmals noch immer dem Phänomen des sogenannten „Teufelskreises trügerischer Sicherheit“ gemäß der Abb. 1. Waren Unternehmen bisher noch nicht oder nur selten Opfer (wirtschafts-)krimineller Handlungen, so neigen sie dazu, ihr Augenmerk nicht unbedingt auf vor-

2Die

Dunkelziffer in den polizeilichen Statistiken ist „zweigeteilt“. Einerseits beinhaltet diese noch nicht aufgedeckte Fälle, anderseits aber auch alle die Fraud–Fälle, die von Unter­nehmen oder Privatpersonen zwar aufgedeckt, nicht aber gegenüber den Ermittlungsbehörden angezeigt wurden und demzufolge ebenfalls nicht statistisch erfasst werden können. Die aktuellen Entwicklungen werden jeweils im jährlichen „Bundeslagebild Wirtschaftskriminalität“ des Bundeskriminalamtes abgebildet. 3Vgl. hierzu den „Report to the Nations on Occupational Fraud and Abuse“, der regelmäßig von der Association of Certified Fraud Examiners (ACFE) herausgegeben wird. 4Vgl. hierzu auch die Ausführungen auf der Seite 20 der Studie „Wirtschaftskriminalität 2009 – Sicherheitslage der deutschen Wirtschaft“, die die Wirtschaftsprüfungsgesellschaft PriceWaterhouseCoopers (PwC) in Zusammenarbeit mit der Martin–Luther–Universität Halle–Wittenberg erstellt und herausgegeben hat.

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch

285

Abb. 1   „Der Teufelskreis trügerischer Sicherheit“

beugende Maßnahmen zur Verbesserung des Entdeckungsrisikos – zum Beispiel durch die Optimierung des eigenen Internen Kontrollsystems (IKS) – zu legen. Somit sinkt gleichzeitig auch die Aufdeckungswahrscheinlichkeit tendenziell weiter. Hierdurch wird allerdings Wirtschaftskriminalität nicht verringert, sondern im Gegenteil lediglich die Dunkelziffer erhöht. Ausgehend hiervon tragen die Unternehmen – wenn auch bisher teilweise eher noch zurückhaltend – den Risiken aus wirtschaftskriminellem Handeln zu ihren Lasten Rechnung und treffen umfassendere Vorkehrungen zur Vermeidung von Fraud als bisher. Allerdings bestehen derzeit nur in einzelnen Branchen – wie beispielsweise in der Finanzdienstleistungsbranche – auch konkrete gesetzliche sowie aufsichtsrechtliche Verpflichtungen, sich im Rahmen des Risikomanagements auch und konkret gegen Fraud zu schützen. Die entsprechende Verantwortlichkeit hierfür liegt dabei bei der Geschäftsleitung. Allerdings zeigt die Praxis, dass bei vielen – insbesondere den für den Vertrieb zuständigen – Mitgliedern der Geschäftsleitung das nachhaltige Bewusstsein sowie die Akzeptanz noch erhöht beziehungsweise teilweise erst noch geschaffen werden müssen. Auch dieser Bereich der operationellen Risiken eines Unternehmens stellt eine ernst zu nehmende Herausforderung dar und kann erhebliche Risiken bergen.

286

P. Zawilla

Die Bekämpfung von Wirtschaftskriminalität sowie die Vermeidung von Schäden aus wirtschaftskriminellen Handlungen (= Fraud) als ein Teil des operationellen Risikos ist somit ein wichtiger Bestandteil des Risikomanagements innerhalb eines Unternehmens (Romeike 2012). Dabei beginnt die Bekämpfung von Fraud nicht erst „nach der Tat“, das heißt, wenn der hieraus resultierende Schaden bereits realisiert und bestenfalls durch geeignete Maßnahmen minimiert werden kann, sondern sinnvollerweise „vor der Tat“, also idealerweise bevor ein Schaden entsteht. Dies bedeutet, dass der Prävention ein besonderes Augenmerk zu schenken ist. Um aber „vor die Tat“ zu kommen, muss bei allen Mitarbeitern ein entsprechend ausgeprägtes Bewusstsein für die Risiken und Gefährdungen vorhanden sein, die durch potenzielle interne und externe Täter entstehen. Demzufolge stellt Fraud Prevention & Fraud Management innerhalb eines Unternehmens eine Querschnittsaufgabe dar, in die neben den Organmitgliedern nahezu alle Bereiche, Organisationseinheiten sowie jeder einzelne Mitarbeiter in allen Konzerngesellschaften eingebunden sind und ihren Beitrag zur Verhinderung von materiellen Schäden, Reputationsschäden oder sonstigen Schäden für das Unternehmen zu leisten haben. Insbesondere auch die Mitarbeiter mit direktem Kontakt zu Kunden, Lieferanten oder Geschäftspartnern sind daher entsprechend zu sensibilisieren, dass sie Auffälligkeiten oder Unregelmäßigkeiten im Geschäftsgebaren ihrer unmittelbaren Ansprechpartner möglichst frühzeitig bemerken beziehungsweise erkennen und anschließend nach fest vereinbarten Melde- und Informationswegen an die zuständigen Stellen im Unternehmen weiterleiten. Die nachfolgenden Ausführungen in diesem Beitrag geben einen Eindruck sowie Überblick über die Vielfältigkeit der Fraud- und Manipulationsmöglichkeiten sowohl durch Mitarbeiter als auch durch Externe. Daneben wird die maßgebliche Rolle des „Schlüsselfaktors Mensch“ und die Notwendigkeit eines ganzheitlichen, integrierten Fraud Prevention & Fraud Managements in Form eines Fraud-Management-Systems zur wirksamen und effizienten Bekämpfung von Wirtschaftskriminalität aufgezeigt. Zugleich entsprechen die dargestellten Ansätze inhaltlich auch dem vom ASW Bundesverband im April 2017 gemeinsam mit den Bundesämtern für Verfassungsschutz (BfV) sowie Sicherheit in der Informationstechnik (BSI) im Rahmen ihres Wirtschaftsgrundschutz-Handbuches veröffentlichten Baustein „Umgang mit Wirtschaftskriminalität“.5

5Die

Inhalte dieses Bausteins „Umgang mit Wirtschaftskriminalität“ sowie alle weiteren Bausteine des Wirtschaftsgrundschutz–Handbuches sind als PDF–Dokumente kostenfrei unter www.wirtschaftsschutz.info abrufbar.

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch

287

2 Definition und Formen von „Fraud“ 2.1 Definition von „Fraud“ In Deutschland existiert zur Beschreibung der Wirtschaftskriminalität unverändert keine Legaldefinition. Die Polizei bedient sich daher bei der Zuordnung von Straftaten zur Wirtschaftskriminalität des Katalogs von § 74c Abs. 1 Nr. 1 bis 6b des Gerichtsverfassungsgesetzes (GVG).6 Das „Institute of Internal Auditors (IIA)“ hat in seinen IIA–Standards eine Definition des Begriffes „Fraud“ formuliert, die in der durch das „Deutsche Institut für Interne Revision e. V. (DIIR)“ vorgenommenen Übersetzung wie folgt ­lautet7: „Illegale Handlungen, die sich in vorsätzlicher Täuschung, Verschleierung oder Vertrauensmissbrauch ausdrücken. Diese Handlungen sind nicht abhängig von Gewaltandrohung oder Anwendung körperlicher Gewalt. Dolose Handlungen werden von Beteiligten und Organisationen begangen, um in den Besitz von Geldern, Vermögensgegenständen oder Dienstleistungen zu gelangen, um Zahlungen oder den Verlust von Leistungen zu vermeiden oder um sich einen persönlichen oder geschäftlichen Vorteil zu verschaffen.“

Für die Bankenbranche definiert der deutsche Gesetzgeber in § 25h Kreditwesengesetz (KWG) mittlerweile den Begriff „sonstige strafbare Handlungen“, also ein weit gefasster Begriff ohne exakte Definition. Ungeachtet einer umfassenden und allgemeingültigen beziehungsweise anerkannten Definition sind die Formen und Begehungsmöglichkeiten wirtschaftskrimineller Handlungen sehr vielschichtig und vielfältig. In den vier folgenden Abschnitten wird daher der „Fraud-Prozess“ aus Sicht des Täters sowie eine Aufteilung nach Tätergruppen aus Sicht eines Unternehmens dargestellt.

6Ausführungen

in den Vorbemerkungen der „pressefreien Kurzfassung“ des „Bundeslagebildes Wirtschaftskriminalität“ des Bundeskriminalamtes der letzten Jahre. 7IIA–Standards in der Fassung von Januar 2018, deutscher Text in der Fassung des DIIR. Der englische Originaltext lautet: „Fraud: Any illegal act characterized by deceit, concealment, or violation of trust. These acts are not dependent upon the threat of violence or physical force. Frauds are perpetrated by parties and organizations to obtain money, property, or services; to avoid payment or loss of services; or to secure personal or business advantage.“

288

P. Zawilla

2.2 Der „Fraud-Prozess“ aus der Sicht des Täters Zur Implementierung wirksamer Präventionsmaßnahmen ist es erforderlich, sich in die Sichtweise des wirtschaftskriminellen Täters hineinzuversetzen. Dieser hat letztlich lediglich zwei Ziele: Ein Täter möchte an das Geld beziehungsweise die Vermögenswerte anderer, UND der Täter möchte dabei nicht auffallen beziehungsweise nicht entdeckt werden! Ausgehend hiervon betreibt ein Täter auch eine Form von Risikomanagement für sich selbst und wird dabei abwägen, mit welcher Vorgehensweise er so einfach wie möglich seine beiden vorgenannten wesentlichen Ziele erreichen kann. Vor diesem Hintergrund lassen sich (wirtschafts-)kriminelle Handlungen in einzelne Prozessschritte eines Täters unterteilen und diesen zuordnen. Dabei umfasst dieser generische „Fraud-Prozess“ die nachstehend dargestellten vier Prozessschritte, die regelmäßig – wenn auch in teilweise sehr unterschiedlicher Ausprägung – bei Fraud-Fällen zu beobachten sind: 1. Vorbereitende Taten: Bevor eine Fraud-Tat durchgeführt werden kann, bedarf es regelmäßig vorbereitender Handlungen. Diese Vorbereitung kann so durchgeführt werden, dass sich keine oder nur wenige Hinweise auf einen Täter finden lassen. Dies ist vor allem der Fall, wenn die Vorbereitung ausschließlich darin besteht, sich Informationen zu beschaffen. Geschulte Täter können mithilfe des sogenannten Social Engineering schnell und unbemerkt an detaillierte Informationen kommen (Bédé 2012). Daneben können aber auch Taten durchgeführt werden, die in den Prozessen des Instituts auftauchen und von daher zumindest nachverfolgt werden können. 2. Vermögensschädigungstat: Die eigentliche Tat, welche zur Vermögensschädigung des Instituts oder dessen Kunden führt, kann aus einer oder mehreren Aktionen des Täters bestehen. 3. Verschleierungstat: Unternehmen haben in der Regel Sicherungsmaßnahmen zum Schutz ihrer Vermögenswerte in Form eines internen Kontrollsystems implementiert, welches unter anderem dazu dienen soll, dass Fraud-Handlungen vermieden oder zumindest möglichst frühzeitig entdeckt werden. Daher muss ein Täter normalerweise seine Aktionen verschleiern, damit er beziehungsweise seine Tat nicht erkannt wird. 4. Begleitende Taten: Neben den direkten Tathandlungen fallen auch Begleitdelikte an, welche zur Erreichung des jeweiligen „Prozessschrittes“ durchgeführt werden müssen. Hierzu gehört unter anderem die Fälschung von Unterschriften.

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch

289

Abb. 2   Der „Fraud-Prozess“ für „CEO-Fraud“

Die Abb. 2 verdeutlicht die vier „Prozessschritte“ anhand des bekannten Modi Operandi „CEO-Fraud“ (Drießen et al. 2018).

2.3 Fraud durch Mitarbeiter von Unternehmen Unternehmen sind grundsätzlich aus zwei Richtungen von Wirtschaftskriminalität bedroht: von innen durch die eigenen Mitarbeiter und von außen durch Kunden, Lieferanten, Geschäftspartner oder externe Dritte, wobei auch ein Zusammenspiel dieser Tätergruppen möglich ist. Die Umfragen und Studien bekannter Wirtschaftsprüfungsgesellschaften sowie Vertrauensschadenversicherungen zeigen dabei, dass etwa die Hälfte aller Delikt-/Schadensfälle durch die eigenen Mitarbeiter verursacht werden. Die Abb. 3 zeigt zunächst die einzelnen Straftatbestände, die in der Regel am häufigsten im Zusammenhang mit Mitarbeiterdeliktfällen auftreten, wobei diese nicht selten auch in verschiedenen Kombinationen vorkommen. Zudem sind selbstverständlich auch alle Korruptionsstraftatbestände in Betracht zu ziehen, insbesondere § 299 StGB „Bestechlichkeit und Bestechung im geschäftlichen Verkehr“. Den Mitarbeitern sind dabei in ihrer Fantasie, ihrer Vielfältigkeit sowie ihren Möglichkeiten für deliktische Handlungen und Manipulationen nahezu keine

290

P. Zawilla

Abb. 3   Wesentliche Straftatbestände bei (Mitarbeiter-)Deliktfällen

­ renzen gesetzt. Insbesondere dann nicht, wenn der interne Täter mit einem andeG ren Mitarbeiter gemeinsam agiert oder unkritisches Verhalten seiner Kollegen ausnutzt. Letzteres ist auch immer wieder bei Führungskräften der Fall, die die ihnen disziplinarisch unterstellten Mitarbeiter zum Beispiel für Gefälligkeitsunterschriften oder unkritische Systemeingaben und -kontrollen missbrauchen. Dabei ist häufig zu beobachten, dass dolose Handlungen von Mitarbeitern begangen werden, die sich mit den unternehmensinternen Arbeitsabläufen und Systemen sowie den Kontrollmechanismen des eigenen Hauses sehr gut auskennen.8

2.4 Fraud durch externe Dritte Neben dem durch eigene Mitarbeiter verursachten Fraud gibt es eine ebenso große Bandbreite an Gefährdungspotenzialen und Risiken, die durch betrügerische Handlungen von Dritten verursacht werden. Hierzu gehören letztlich alle Formen strafbaren Handelns zum Schaden des Unternehmens wie zum Beispiel Diebstahl, Datenmissbrauch, Cybercrime, Betrug oder Erpressung sowie

8Praxisbeispiele für (typische) Fraud–Fälle siehe Wells, J. und Kopetzky, M. 2006, ­Handbuch Wirtschaftskriminalität in Unternehmen, Verlag LexisNexis, sowie Wells, J. 2007, Fraud Casebook – Lessons from the Bad Side of Business, Wiley–Verlag, sowie für deliktische Handlungen in Kreditinstituten Kaup, A./Zawilla, P., Motivlagen für Manipulationen und unredliches Verhalten, in: Jackmuth, H.–W./de Lamboy, C./Zawilla, P., Fraud Management in Kreditinstituten – Praktiken, Verhinderung, Aufdeckung, Frankfurt School Verlag, 1. ­Auflage 2013, S. 121–174, sowie Zawilla, P., 2008, Neue Manipulationspraktiken in modernen ­Vertriebskanälen, S. 502–509.

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch

291

Korruptionstatbestände, um nur einige von zahlreichen Möglichkeiten zu nennen. Als externer Täter kommt dabei grundsätzlich jeder in Betracht, der sich auf unredliche Art und Weise persönlich zulasten des Unternehmens bereichern möchte (unter anderem Kunden/Nichtkunden mit betrügerischen Absichten, Vermittler, Lieferanten, Dienstleister oder auch Kriminelle, die nicht in einer Geschäftsbeziehung zum betroffenen Unternehmen stehen).

2.5 Fraud durch kollusives Handeln von Mitarbeitern mit externen Dritten Auf keinen Fall zu unterschätzen sind betrügerische Handlungen, bei denen eigene Mitarbeiter im kollusiven Zusammenwirken mit externen Dritten agieren, unabhängig davon, von wem letztlich die Initiative hierfür ausgegangen ist. Bei externen Dritten kann es sich dabei sowohl um Kunden, Vermittler, Lieferanten oder Dienstleister als auch um Personen handeln, die mit dem Unternehmen in keiner Geschäftsbeziehung stehen (zum Beispiel auch Familienangehörige von Mitarbeitern). Das kollusive Handeln von Innentätern mit einem oder mehreren externen Tätern bietet eine Vielzahl weiterer Möglichkeiten, um Unternehmen zum Teil erheblichen Schaden zuzufügen. Zu den immer wieder zu beobachtenden Betrugsmustern gehört auch, dass Mitarbeiter gemeinsam mit Vermittlern oder Beratern – aufgrund der besonderen „Dreieckskonstellation“ Unternehmen-Mitarbeiter-Kunde – zum Nachteil und Schaden des Unternehmens agieren, wobei oftmals eine persönliche Vorteilsnahme des Mitarbeiters schwer nachzuweisen ist.

3 Schlüsselfaktor Mensch – Integrität als wichtigste Präventions- und Erfolgskomponente Bei den grundsätzlichen Überlegungen zum Aufbau eines wirksamen Fraud Prevention & Fraud Managements darf die Psychologie von Mitarbeitern und externen Tätern und damit der „Faktor Mensch“ für unredliches Handeln nicht unberücksichtigt bleiben. Die allgemeinen Beweggründe wirtschaftskriminellen Handelns sind in der „Fraud-Pyramide“9 Abb. 4 veranschaulicht.

9Die

Darstellung der Fraud–Pyramide ist angelehnt an das von Cressey entwickelte „Fraud Triangle“, vgl. Cressey, D. 1973, Other People’s Money.

292

P. Zawilla

Fraud

Ausprägung

Motivation/ Anreiz

Gelegenheit Rechtfertigung

Abb. 4   Die „Fraud-Pyramide“

Dabei gilt die allgemeine Faustregel: Die Fraud-Eintrittswahrscheinlichkeit ist umso höher, je größer die Gelegenheit, die Motivation beziehungsweise der Anreiz sowie die eigene Rechtfertigung hierfür sind. Einer der Treiber auf der Motivationsseite ist sicherlich die Gier10 der Menschen, nämlich das rücksichtslose Streben nach materiellem Besitz, unabhängig von dessen Nutzen. Dabei scheint ein Teil dieser Gier auf die Sucht nach gesellschaftlicher Anerkennung, ein anderer Teil aber – so die Gehirnforschung – auf unser „Belohnungszentrum“ zurückzuführen zu sein. Belohnungen im Gehirn erfolgen nicht nur für den materiellen Besitz, sondern viel stärker für die Vermehrung der Geldwerte. Nur so ist zu erklären, dass viele Menschen trotz der ihnen bewussten Gefahren spiel- oder „börsen“süchtig werden. Da dieses Problem offensichtlich nicht nur für alle Menschen, sondern aufgrund der höheren Verfügbarkeit von Vermögenswerten explizit auch für Führungskräfte gilt, kommen daher nicht umsonst Forderungen auf, dass in der Wirtschaft eine andere Moral – der Verzicht auf habgieriges Verhalten – notwendig ist (Leyendecker 2007). Die Motivation beziehungsweise die Motivlagen insbesondere von internen Tätern haben sich in den vergangenen Jahren um einen wesentlichen Aspekt erweitert. Das ständig wachsende Profitstreben der Unternehmen sowie der durch die Globalisierung zunehmende Wettbewerb führten unter anderem zu einem ständig zunehmenden internen Vertriebs-, Leistungs- und Ertrags- sowie insgesamt (internationalen) Konkurrenzdruck für die Unternehmen. Einhergehend

10In

Anlehnung an diverse Definitionen der Begriffe „Gier“ und „Habgier“, Gier nach Habe, also Besitz.

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch

293

Abb. 5   Gefährdungspotenziale durch (überhöhtes) Wachstumsstreben

hiermit haben viele Unternehmen auch ihre Prozesse reorganisiert und teilweise ihre Vertriebskanäle modifiziert, was bei nahezu allen Unternehmen zu Auswirkungen auf den Personalbedarf und damit zu einer nachhaltigen Reduzierung des Personalbestandes geführt hat. Die Abb. 5 veranschaulicht, welche Folgen entstehen können, wenn betriebswirtschaftlich an sich normale und auch übliche sowie sinnvolle Zielsetzungen in einer nicht mehr realistischen beziehungsweise überzogenen Höhe angesetzt beziehungsweise gestellt werden und dabei die emotionalen Auswirkungen auf die Mitarbeiter nicht oder unzureichend beachtet werden. Auffallend ist dabei insbesondere, dass Entscheidungsträger vielfach die Auswirkungen ihrer überhöhten Zielvorgaben auf die Emotionen der Mitarbeiter zunächst gar nicht in einem konkreten Zusammenhang betrachten, und die Mitarbeiter diese zunächst auch nicht offen kommunizieren. Dies führt dazu, dass diese beiden Stränge zunächst für eine gewisse Zeit parallel zueinander laufen, ohne dass dies bereits zu unmittelbar sichtbaren und bedeutsamen Konsequenzen führen muss. Dieser schleichende Prozess ist aber gleichzeitig auch eine große Gefahr, denn wenn die dargestellten Auswirkungen erst einmal sichtbar werden, kann der einsetzenden Eigendynamik, mit der dann auch das Fraud-Risiko zunimmt, nur noch schwer entgegengesteuert werden.

294

P. Zawilla

Der zunehmende – zumindest von den Mitarbeitern so empfundene – (Vertriebs-)Druck sowie auch Ängste um den eigenen Arbeitsplatz führen – einhergehend mit leistungsbezogener ausgerichteten Vergütungssystemen – dazu, dass Mitarbeiter aus nahezu allen Hierarchiestufen im zunehmenden Maße immer wieder versuchen, mit unredlichen Methoden ihre persönlichen Vertriebs- und Leistungs-/Ertragsziele zu erreichen. Dabei steht eine direkte persönliche Bereicherung seitens der Mitarbeiter nicht beziehungsweise nicht unmittelbar im Vordergrund (Zawilla 2007), was auch veränderte Aufdeckungsansätze und Prüfungsmethoden bedingt (Altenseuer und Zawilla 2013). Dies bedeutet, dass negativ empfundener Druck sowie Ängste bei Menschen teilweise unmittelbare negative Auswirkungen auf die Loyalität sowie die Redlichkeit ihres Handelns haben können und auch haben. Betrachtet man die drei ausschlaggebenden Faktoren für die Fraud-Eintrittswahrscheinlichkeit genauer, so wird sehr schnell deutlich, dass sowohl der Aspekt „Motivation/Anreiz“ als auch der Aspekt „Rechtfertigung“ unmittelbar vom „Schlüsselfaktor Mensch“ abhängen, während lediglich der dritte Aspekt „Gelegenheit“ auch von der Gestaltung von Arbeits- und Kontrollprozessen beeinflusst werden. Ausgehend hiervon ist somit ein wesentlicher Faktor sowohl für die langfristige Sicherung des Unternehmenserfolges als auch für ein hohes Maß an Integrität die Förderung beziehungsweise der Erhalt einer möglichst hohen Eigenmotivation bei allen Mitarbeitern. Gelingt dies den Führungskräften über einen langen Zeitraum hinweg, profitieren sowohl das Unternehmen als auch die Mitarbeiter von der in Abb. 6 als Kreislauf dargestellten Eigendynamik. Eine sehr wesentliche Grundlage für das Maß der Eigenmotivation bildet – wie auch für viele andere Entwicklungen innerhalb des Unternehmens – die Vorbildfunktion der Geschäftsleitung, die nachfolgend in Abschn. 4.2 noch näher ausgeführt wird. Mögliche Einzelmaßnahmen zur Förderung der Integrität der Mitarbeiter können sein: • ein sorgfältiges Personaleinstellungsverfahren („Der richtige und integere Mitarbeiter am richtigen Arbeitsplatz“), • eine erkennbare mittel- und langfristige Personalentwicklungsplanung, • ein regelmäßiges und transparentes Beurteilungssystem, einhergehend mit der sinnvollen Förderung und fachlichen sowie persönlichen Weiterentwicklung von Mitarbeitern,

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch

295

Abb. 6   Eigenmotivation der Mitarbeiter: Wesentlicher Bestandteil für Unternehmenserfolg und Integrität

• die Berücksichtigung von sozialen Aspekten bei der Standort-/Arbeitsplatzauswahl, • die Implementierung von verbindlichen, klaren und eindeutigen Wohlverhaltensrichtlinien („Code of Ethics“) unter Einbeziehung aller Hierarchiestufen, • die konsequente Sanktionierung von Verstößen gegen die Wohlverhaltensrichtlinien, • anspruchsvolle, aber realistische Vertriebs-/Zielwertvorgaben, die nicht nur kurzfristig ausgerichtet sind („Zunächst säen, dann pflegen und danach erst ernten“), • angemessene betriebliche Anreizsysteme (unter anderem Beteiligung aller Mitarbeiter am Unternehmenserfolg), • die Förderung einer offenen und hierarchieübergreifenden Kommunikation. Das redliche („Compliance-konforme“) Verhalten eines Mitarbeiters wurde von Richard Laxer, Manager bei General Electric, mit folgendem Satz charakterisiert: „Wenn Sie zehn Punkte auf Ihrem Arbeitsplan haben, dann sollte Compliance nicht der elfte Punkt sein, sondern die Art und Weise, wie Sie die zehn Punkte erledigen.“ (Leyendecker 2007).

296

P. Zawilla

Als Grundprinzip bei der Unternehmens- beziehungsweise insbesondere bei der Personalführung sollte dabei gelten: „Der Mensch als Mittelpunkt“ UND NICHT „Der Mensch als Mittel PUNKT“ Dies bedeutet konkret, dass der respektvolle und wertschätzende Umgang mit Mitarbeitern über alle Hierarchieebenen hinweg sowie die – soweit möglich – angemessene Beteiligung an Entscheidungsprozessen langfristigen und nachhaltig wirkenden positiven Einfluss auf die Integrität, Loyalität und auch die Aufmerksamkeit von Mitarbeitern bei ihrem Handeln am Arbeitsplatz sowie für ihr Unternehmen haben. Demgegenüber stehen eher – insbesondere mittel- und langfristige – kontraproduktive Auswirkungen, die durch (permanente) Drucksituationen und despektierliches (Führungs-)Verhalten zur Realisierung der Unternehmensziele entstehen. Daher gilt es auch für die Vermeidung von (zusätzlichen) Fraud-Risiken aufgrund von Loyalitätsverlusten, eine entsprechende Balance zwischen konsequentem Umsetzen von (ambitionierten) Unternehmenszielen und einer von Wertschätzung geprägten Unternehmenskultur zu finden. In diesem Zusammenhang ist anzumerken, dass der ausschlaggebende Faktor dabei nicht die Selbsteinschätzung der Verantwortungsträger (des „Senders“) ist, sondern die Wahrnehmung des „Empfängers“, also die Stimmung, wie sie Mitarbeiter empfinden.

4 Implementierung eines ganzheitlichen integrierten Ansatzes für Fraud Prevention & Fraud Management Ungeachtet der elementaren Bedeutung des „Schlüsselfaktors Mensch“ sowie aller Bestrebungen zur Stärkung der Eigenmotivation und des Bewusstseins für Mitarbeiter auch vor den Risiken wirtschaftskriminellen Handelns durch Kollegen und/oder externe Dritte ist selbstverständlich auch ein effektives Internes Kontrollsystem (IKS) zu implementieren. Dies ist nicht zuletzt auch deswegen notwendig, um bei allem Grundvertrauen und gegebenenfalls langjährigen ­positiven Erfahrungen durch entsprechende Kontrollen auch regelmäßig sowie

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch

297

immer wieder erneut zu überprüfen (und damit auch den für Täter berechenbaren Risiken entgegen zu wirken), inwieweit dass entgegengebrachte Vertrauen auch (unverändert) gerechtfertigt ist. Allerdings reicht ein funktionierendes und von allen Mitarbeitern/Verantwortlichen auch „gelebtes“ IKS allein nicht aus, um Fraud zu verhindern beziehungsweise sehr frühzeitig aufzudecken. Das IKS ist in Bezug auf die Thematik „Fraud-Erkennung“ im Wesentlichen darauf ausgerichtet, vorhandene Unregelmäßigkeiten möglichst zeitnah und unmittelbar aufzudecken („zeitnah nach der Tat“). Die bereits dargestellten Ausführungen zum „Schlüsselfaktor Mensch“ sind dagegen vielmehr darauf ausgerichtet, „vor der Tat“ zu wirken, das heißt, die Motivation und die Anreize für deliktisches Handeln möglichst erst gar nicht entstehen zu lassen sowie Tätern auch keine entsprechende Rechtfertigung zu geben. Darüber hinaus müssen bei der Implementierung eines Fraud Prevention & Fraud Managements selbstverständlich auch Vorkehrungen zum Umgang mit eintretenden – unvermeidlichen – Fraud-Fällen getroffen werden („nach der Tat“). Hieraus resultiert die Grundüberlegung, dass ein wirksames Fraud Prevention & Fraud Management die drei Grundanforderungen „Fraud-Prävention“, „Fraud-Aufdeckung“ und „Fraud-Bearbeitung“ sowie deren permanente Optimierung in einem ganzheitlichen, integrierten Ansatz miteinander verknüpft werden müssen. Ausgehend hiervon wurde das in der nachstehenden Abb. 7 dargestellte Phasenmodell entwickelt11, welches sich an dem bekannten ganzheitlichen prozessualen Ansatz – dem sogenannten „Plan-Do-Check-Act-Modell“ (PDCA– Modell) – orientiert und wodurch die zuvor definierte grundsätzliche Zielsetzung und Anforderung für eine (konzernweite) Integration aller Aktivitäten zum Fraud-Management-System innerhalb eines Unternehmens erfüllt werden können. Wesentliche Voraussetzung für die Funktionsfähigkeit und Effizienz des vorgenannten Regelkreises und damit auch für ein wirksames und effektives Fraud Prevention & Fraud Management ist ein entsprechend etabliertes und „gelebtes“ Kommunikations- und Informationsmanagement „Fraud“. Dieses ist so zu gestalten, dass es sowohl innerhalb des Unternehmens als auch – insbesondere im Krisenfall – nach außen gerichtet gegenüber Kunden, Partnern und Behörden im Besonderen sowie gegenüber der Öffentlichkeit im Allgemeinen wirkt.

11Das

dargestellte Modell wurde von Jackmuth, Schulze Heuling und Zawilla entwickelt.

298

P. Zawilla

Abb. 7   Fraud Prevention & Fraud Management auf Basis eines ganzheitlichen, prozessualen Ansatzes („PDCA-Modell“) (Jackmuth et al. 2012)

Die einzelnen Aspekte des vorstehenden PDCA–Modells für ein Fraud-Management-System werden in den nachstehenden Abschnitten dieses Kapitels näher erläutert.

4.1 Wesentliche Zielsetzungen Wesentliches Ziel eines ganzheitlichen, integrierten Fraud Prevention & Fraud Managements ist es, innerhalb des Unternehmens Rahmenbedingungen zu schaffen und Maßnahmen zu entwickeln sowie diese zu implementieren, damit die Motivation und der Anreiz, die Gelegenheiten sowie die eigene Rechtfertigung der Mitarbeiter und externen Täter für unredliches Handeln nachhaltig reduziert werden. Dabei geht es darum, die Wertekultur des Unternehmens zu stärken und die Aufdeckungswahrscheinlichkeit für deliktische Handlungen von Mitarbeitern und/oder externen Tätern sowie insgesamt die Transparenz zu steigern, um hierdurch die Hemmschwelle für das Unternehmen schädigendes Verhalten zu erhöhen. Dies zeigt auch das nachstehende Fraud-Präventions-Modell in Abb. 8, welches als „erweitertes Fraud-Dreieck“ anzusehen ist.

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch

299

Abb. 8   Fraud-Präventions-Modell als erweitertes Fraud-Dreieck

Angelehnt an das für die Geldwäscheprävention geltende „Know-Your-­ Customer-Prinzip“ sollte dabei – im Einklang mit den geltenden gesetzlichen Bestimmungen – die Umsetzung des „Know-Your-Employee-Prinzips“, des „Know-Your-Colleague-Prinzips“ sowie des „Know-Your-Business-PartnerPrinzips“ angestrebt werden. Ausgehend hiervon können die Prozessziele und Anforderungen für ein (konzern-/gruppen-)weites System zu Fraud Prevention & Fraud Management innerhalb eines Unternehmens (einschließlich Tochtergesellschaften) beispielhaft wie in der nachfolgenden Tab. 1 dargestellt definiert ­werden. Ergänzende Zielsetzungen können zudem die weitestgehende Bündelung auch der operativen Tätigkeiten sowohl für die Prävention als auch für die Bearbeitung von Delikt-/Schadensfällen und damit einhergehend die Minimierung von Schnittstellen sowie die (schrittweise) Angleichung beziehungsweise Vereinheitlichung bereits vorhandener Regelungen innerhalb des Unternehmens sein. Selbstverständlich sind alle Maßnahmen so zu gestalten, dass diese im Rahmen der Jahresabschlussprüfung durch den Wirtschaftsprüfer (sowie im Finanzdienstleistungssektor durch die Aufsichtsbehörde BaFin) nachvollziehbar überprüft und testiert werden können.

300

P. Zawilla

Tab. 1   Beispielhafte Darstellung der Ziele und Anforderungen eines Fraud Prevention & Fraud Managements Ziele und Anforderungen Fraud Prevention & Fraud Management 1.

Alle gesetzlichen und aufsichtsrechtlichen Anforderungen sind eingehalten beziehungsweise umgesetzt

2.

Das Bedrohungspotenzial durch Wirtschaftskriminalität innerhalb des Unternehmens (beziehungsweise Konzerns) und seiner Tochtergesellschaften ist minimiert

3.

Alle Mitarbeiter des Unternehmens verfügen über die erforderliche Sensibilität und ein angemessenes Bewusstsein für den Umgang mit Bedrohungspotenzialen durch wirtschaftskriminelle Handlungen

4.

Die Aufdeckung und Bearbeitung von eingetretenen Deliktfällen beziehungsweise Schadensereignissen erfolgt unverzüglich, umfassend und nachhaltig

5.

Aus aufgedeckten Delikt-/Schadensfällen und aus wirtschaftskriminellen Handlungen identifiziertem Bedrohungspotenzial werden zeitnah wirksame Maßnahmen zur Vorbeugung und Risikominimierung eingeleitet

6.

Eine regelmäßige und umfassende Kommunikation sowie Berichterstattung sind durch ein entsprechendes Managementinformationssystem sichergestellt

7.

Die unternehmensspezifische Risiko-/Gefährdungsanalyse erfüllt die definierten Anforderungen und wird regelmäßig aktualisiert (derzeit bisher nur für Kreditinstitute aufsichtsrechtlich verpflichtend)

4.2 Eine wichtige Voraussetzung – Die besondere Verantwortung und Vorbildfunktion der Geschäftsleitung Erfolgreiches und wirksames Fraud Prevention & Fraud Management hängt im entscheidenden Maße und in mehrfacher Hinsicht von der Grundeinstellung der Organe eines Unternehmens und seiner einzelnen Mitglieder ab. Die Geschäftsleitung – unterstützt und zugleich überwacht durch das Aufsichtsorgan – muss sich aktiv mit der Thematik auseinandersetzen und das Bewusstsein haben beziehungsweise schnellstmöglich entwickeln, dass wirtschaftskriminelles Handeln ein ernsthaftes Risiko sowie eine permanente Bedrohung nicht nur für andere, sondern auch für das eigene Unternehmen darstellt. Hieraus muss das Selbstverständnis erwachsen, dass der Schutz und die Prävention vor Fraud – unabhängig von gegebenenfalls verschärften rechtlichen Auflagen seitens des

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch

301

Gesetzgebers sowie branchenspezifisch von Aufsichtsbehörden (zum Beispiel für den Finanzdienstleistungssektor der Bundesanstalt für Finanzdienstleistungsaufsicht – BaFin –) und verstärkten Prüfungshandlungen der Wirtschaftsprüfer im Rahmen der Erstellung beziehungsweise Prüfung des Jahresabschlusses (IDW Prüfungsstandard 2010) – im ureigenen Unternehmensinteresse liegen. Dabei ist von besonderer Bedeutung, dass bei allen Gewinnmaximierungsabsichten und dem mit der – teilweise extremen – Vertriebsorientierung einhergehenden Bestreben nach Ertragssteigerung und (gleichzeitiger) Kostenminimierung das zwingend notwendige Augenmaß sowie der Blick für die Einhaltung rechtlicher Auflagen und anerkannter ethischer Grundsätze gewahrt bleibt. Dies ist unabdingbare Voraussetzung für eine angemessene Balance zwischen sinnvollem Wachstumsstreben und notwendigem Risikomanagement, auch hinsichtlich des Schutzes vor sowie der Vermeidung von operationellen Risiken. Darüber hinaus haben alle Organmitglieder und Verantwortungsträger eine uneingeschränkte Vorbildfunktion hinsichtlich eines ethisch–moralisch einwandfreien Verhaltens und Geschäftsgebarens, die sie glaubwürdig vorleben und ausfüllen müssen (Pierer et al. 2003). Mitarbeiter halten sich im Großen und Ganzen an Regeln und Vorgaben, die von der Geschäftsleitung beziehungsweise den Führungskräften glaubwürdig und überzeugend vorgelebt werden. Sobald allerdings das gelebte Verhalten vom gesprochenen Wort abweicht, ändern sich die Einstellung und das Verhalten auf allen Hierarchiestufen, und damit steigt auch das Risiko für unredliches Handeln. Eine „Selbstbedienungsmentalität“ des Managements („Wenn Gutsverwalter zu Gutsherren werden“) bedingt unweigerlich die Gefahr einer „Nachahmungsmentalität“.12 Schafft es das Management dagegen, eine leistungs- und erfolgsorientierte Unternehmenskultur mit ambitionierten, aber angemessenen Vertriebs- oder Ertragszielen für alle Mitarbeiter transparent und somit glaubwürdig zu machen und dies vorzuleben, orientieren sich die Mitarbeiter auch mehr an übergeordneten Werten und handeln verstärkt im Unternehmensinteresse („Corporate Identity“), weil sie darauf vertrauen, in angemessenem Maße selbst am Unternehmenserfolg zu partizipieren (Jung 2005).

12In

der Praxis begründen beziehungsweise rechtfertigen Mitarbeiter ihre unredlichen Handlungen immer wieder mit Aussagen wie zum Beispiel „Ich habe mir nur das genommen, was mir zusteht“ oder „Die da oben machen das doch genauso“.

302

P. Zawilla

Zahlreiche Beispiele der letzten Zeit sowie aktuell laufende (Straf-)Verfahren verdeutlichen, dass gerade auch Vorstandsmitglieder und leitende Mitarbeiter von Unternehmen dieser Vorbildfunktion beziehungsweise ihren Pflichten offensichtlich nicht im ausreichenden Maße gerecht werden und sogar teilweise selbst in unredliches beziehungsweise strafrechtlich relevantes Handeln – entweder im „wohlgemeinten Interesse“ für das Unternehmen oder aus persönlichen Motiven – involviert sind und sich hierdurch angreifbar machen. Der Gesetzgeber hat in den letzten Jahren unter anderem durch geänderte aufsichtsrechtliche Rahmenbedingungen die Verantwortlichkeiten und Pflichten von Vorstandsmitgliedern präzisiert, sodass diese vermehrt strafrechtlichen Verantwortlichkeiten und zivilrechtlichen Haftungsrisiken ausgesetzt sind (Blümler 2006). Hinzu kommt, dass seitens der Unternehmen eine verstärkte Tendenz bei der Geltendmachung entsprechender Haftungsansprüche zu beobachten ist (Bielefeld und Wengenroth 2018).

4.3 Planung eines Fraud-Management-Systems Unter dem Begriff werden alle Aktivitäten verstanden, die sich mit der Planung von (Einzel-)Maßnahmen befassen, um ein wirkungsvolles (Präventions-)System gegen Fraud zu implementieren. Dieser Planungsprozess definiert im Sinne des PDCA-Zyklus alle Aktivitäten, die sich mit der Verhinderung und Aufdeckung von wirtschaftskriminellen Handlungen sowie den daraus abgeleiteten Optimierungsaktivitäten innerhalb des Unternehmens befassen. Mögliche Einzelmaßnahmen des Planungsprozesses können unter anderem sein: • wesentliche Zielsetzungen für das Fraud Management festlegen; • Leitlinien und Regelwerk für das Fraud Management entwickeln und aktualisieren (hierzu gehört beispielsweise die Entwicklung/Erstellung beziehungsweise Aktualisierung einer Fraud-Prevention-Policy und eines Schadensfallmanagementleitfadens (Zawilla 2012)); • Maßnahmen/Aktivitäten planen; • Fraud-Bedrohungspotenzial ermitteln; • Risiko-/Gefährdungsanalyse durchführen (Jackmuth und Zawilla 2012); • Bedarf für IT-Programme/Tools zur Fraud-Prävention, Fraud-Aufdeckung und Fraud-Bearbeitung ermitteln (Jackmuth 2012); • relevante Schnittstellen identifizieren und Regelungen festlegen;

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch

303

• Kompetenzen, Aufgaben und Verantwortlichkeiten für die Fraud-Management-Organisation festlegen; • Stellenbeschreibung für den Fraud-Manager/-Beauftragten erstellen; • Zeitplan festlegen und benötigte Mitarbeiterkapazitäten ermitteln; • Informations- und Kommunikationskonzept „Fraud“ entwickeln; • Berichterstattung für das Fraud Management festlegen (Kleinhans 2018).

4.4 Fraud–Prävention Unter der Durchführung von Fraud-Prävention sind alle Maßnahmen zu verstehen, welche sich mit der Verhinderung von wirtschaftskriminellen Handlungen durch zeitlich „vor der Tat“ erfolgende Aktivitäten befassen (zum Beispiel mit der Bewusstseinsbildung durch Schulung und Sensibilisierung der Mitarbeiter). Dies kann in der Praxis in verschiedenen Stufen erfolgen, zu denen beispielsweise die Erstellung eines „Ratgebers zur Fraud-Prävention“ (zum Beispiel in Form eines Merkblattes) oder die Schulung mittels Web-Based-Trainings gehören. Mögliche Einzelmaßnahmen können unter anderem sein: • • • • •

Präventionsprogramm (weiter)entwickeln beziehungsweise aktualisieren; Notfallkonzept aktualisieren; Präventionsmaßnahmen festlegen; Präventionsvorkehrungen treffen; Beschwerdemanagement zentralisieren sowie Reklamationsbearbeitung sensibilisieren; • Versicherungsschutz prüfen beziehungsweise Versicherungsbedarf feststellen; • Durchführung von „Fraud-Penetrationstests“ prüfen; • Schulungs- und Sensibilisierungsmaßnahmen durchführen (zum Beispiel Schulungen, Web-Based-Trainings, Ratgeber/Merkblätter); • Kommunikation über erfolgte Präventionsmaßnahmen durchführen.

4.5 Fraud-Aufdeckung Dieser Prozessschritt stellt sicher, dass wirtschaftskriminelle Handlungen und Unregelmäßigkeiten möglichst zeitnah identifiziert und aufgedeckt werden. Durch Implementierung von Aktivitäten und Maßnahmen, welche sich von der Identifikation einer generellen Ebene (unternehmensspezifische Risiko-/Gefährdungsanalyse Jackmuth und Zawilla 2012) bis zur

304

P. Zawilla

­ inzelgeschäftsvorfallebene (Datenanalyse auffälliger Geschäftsvorgänge JackE muth 2012) durchziehen, soll die Aufdeckungsquote insgesamt erhöht sowie ein möglichst frühzeitiger Aufdeckungszeitpunkt erreicht werden. Mögliche Einzelmaßnahmen können unter anderem sein: • fortlaufende unternehmensspezifische Risiko- und Gefährdungsanalyse durchführen; • Prozesse/Handlungsfelder mit Risiko-/Gefährdungspotenzial analysieren; • Fraud-Detection-Programm(e) aktualisieren (Jackmuth 2012); • Muster-/Standardanalysen festlegen; • Datenbestände scannen (Jackmuth 2018); • IT-Forensik-Maßnahmen durchführen (Becker 2012); • (auffällige) Sachverhalte prüfen und aufklären; • Konsequenzen und Maßnahmen ableiten; • Kommunikation und Informationsweitergabe von identifizierten beziehungsweise möglichen Fraud-Fällen sicherstellen.

4.6 Fraud-Bearbeitung Im auftretenden potenziellen Delikt-/Schadensfall muss eine professionelle Bearbeitung der Fälle sichergestellt werden. Hierzu gehören unter anderem die sorgfältige Prüfung und Bewertung des Vorganges aus den verschiedenen gesetzlichen Sichten (insbesondere Straf-, Zivil- und Arbeitsrecht) sowie gegebenenfalls in aufsichtsrechtlicher Hinsicht die gerichtsverwertbare Sicherung von Beweismitteln und die Einleitung sowie Umsetzung von (Sofort-)Maßnahmen bis hin zu (Rückgewinnungs-)Maßnahmen, um den bereits entstandenen oder auch erst drohenden Schaden zu minimieren (Zawilla 2012): Mögliche Einzelmaßnahmen können unter anderem sein: • Umgang mit anonymen Hinweisen; • Prüfungen/Ermittlungen durchführen; • Sachverhalte aufklären, Beweise und Unterlagen/Informationen gerichtsverwertbar sichern; • Befragungen involvierter Personen durchführen (Wilmer 2012); • Maßnahmen nach Ermittlung beziehungsweise Überführung des Täters einleiten und umsetzen; • Krisenmanagement und -kommunikation durchführen; • (Ad-Hoc-)Berichterstattung erstellen;

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch

305

Abb. 9  Bearbeitung von unternehmensinterne Ermittlungen bei Fraud-Fällen

• Information an und Zusammenarbeit mit den Ermittlungsbehörden entscheiden; • entstandenen Schaden ermitteln (Kopetzky 2018); • Schadenrückgewinnung („Asset Tracing“) betreiben (Stephan 2012); • (Warn-)Meldungen/Informationen erstellen; • Angemessene Fraud-Kommunikation intern und extern durchführen. Die Abb.  9 veranschaulicht den Prozess bei der unternehmensinternen Bearbeitung von Fraud-Fällen einschließlich der wesentlichen Zielsetzungen. Bei der Bearbeitung von Fraud-Fällen ist stets auch eine mögliche Einschaltung der beziehungsweise eine Zusammenarbeit mit den Ermittlungsbehörden zu erwägen. Diese kann in vielerlei Hinsicht sinnvoll und mehrwertschöpfend sein.

4.7 Kontrolle und Bewertung eines FraudManagement-Systems Die Summe der Aktivitäten zur Vermeidung von Fraud zulasten des Unternehmens ist einem ständigen Monitoringprozess zu unterwerfen, damit eine Aussage darüber getroffen werden kann, ob die implementierten Maßnahmen

306

P. Zawilla

wirksam und ausreichend – beispielsweise auch zur Einhaltung der gesetzlichen Pflichten und Regularien – sind (Lamboy 2012). Mögliche Einzelmaßnahmen können unter anderem sein: • Monitoring durchführen; • Wirksamkeit der Präventions- sowie Aufdeckungsmöglichkeiten überprüfen (auch konzernweit); • Identifizierte und aufgeklärte Fraud-Fälle auf Verbesserungsmaßnahmen hinsichtlich deren Bearbeitung prüfen; • Bewertung der Wirksamkeit vorhandener Fraud-Präventions-Maßnahmen bei neu auftretenden unredlichen/manipulativen/betrügerischen Vorgehensweisen; • (Neue) Szenarien/Muster erarbeiten und kommunizieren sowie entsprechende mögliche Indizien/Warnhinweise („Red Flags“) ableiten; • Verbesserungsmaßnahmen ableiten und umsetzen beziehungsweise gegebenenfalls beauftragen; • Umsetzung der Verbesserungsmaßnahmen überwachen; • Wirksamkeit umgesetzter Verbesserungsmaßnahmen prüfen.

5 Fazit Die Bekämpfung von Wirtschaftskriminalität (= „Fraud“) sowie die Vermeidung von Schäden aus wirtschaftskriminellen Handlungen als ein Teil des operationellen Risikos ist ein wichtiger Bestandteil des Risikomanagements innerhalb eines Unternehmens. Dabei obliegt der Geschäftsleitung eine besondere Verantwortung und Vorbildfunktion. Ein unternehmensinternes Fraud Prevention & Fraud Management muss alle notwendigen Vorkehrungen und Einzelmaßnahmen zur Prävention, Aufdeckung und Bearbeitung von Fraud-Fällen sinnvoll miteinander verbinden. Dies kann wirksam nur mit einem ganzheitlichen, prozessualen Ansatz erreicht werden, in dem die einzelnen Bestandteile eines Fraud-Management-Systems sowohl aufbau- als auch ablauforganisatorisch miteinander verzahnt werden und unvermeidliche Schnittstellen nicht nur geregelt, sondern durch ein funktionierendes Kommunikations- und Informationsmanagement „Fraud“ effektiv und effizient umgesetzt sind. Hierbei sowie insbesondere bei der Fraud-Prävention spielt der „Schlüsselfaktor Mensch“ die entscheidende Rolle. Durch das aufeinander abgestimmte Zusammenwirken aller erforderlichen Komponenten kann das eigentliche Ziel, „vor die Tat beziehungsweise zumindest vor den Schaden“ zu kommen, effektiv und effizient erreicht und somit ein wichtiger Beitrag zur Wertschöpfungskette eines Unternehmens geleistet werden.

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch

307

Literatur Zeitschriften Ausführungen in den Vorbemerkungen der „pressefreien Kurzfassung“ des „Bundeslagebildes Wirtschaftskriminalität“ des Bundeskriminalamtes der letzten Jahre. Blümler P. (November 2006). Zunehmende Risiken für Bankvorstände, BankPraktiker, S. 530 ff. Hoffmann, J., & Zawilla, P. (2016). Sonderuntersuchungen 2.0: Kriminalpsychologie erweitert revisorische Betrachtungsweisen, RevisionsPraktiker, 08/2016–09/2016. Verlag Finanz Colloquium Heidelberg, S. 63–168. IDW Prüfungsstandard. (9. September 2010). Zur Aufdeckung von Unregelmäßigkeiten im Rahmen der Abschlussprüfung (IDW PS 210) Jung, C. G. (2005). Präventionskonzept zum Schutz vor Wirtschaftskriminalität – Prävention beginnt auf der Chefetage. L’Expert-comptable suisse 1–2, S. 47 f. „Report to the Nations on Occupational Fraud and Abuse“, Association of Certified Fraud Examiners (ACFE) Wirtschaftsprüfungsgesellschaft PriceWaterhouseCoopers (PwC) und Martin-Luther-Universität Halle-Wittenberg „Wirtschaftskriminalität 2009 – Sicherheitslage der deutschen Wirtschaft“, S. 20. Zawilla, P. (Juni 2007). Manipulationen im Provisionsgeschäft: Nicht immer nur zur persönlichen Bereicherung. Banken-Times, S. 21–23. Zawilla, P. (November 2008). Neue Manipulationspraktiken in modernen Vertriebskanälen, BankPraktiker, S. 502–509.

Autoren Altenseuer, F., & Zawilla, P. (2013). Motivlagen für Manipulationen und unredliches Verhalten. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud Management in Kreditinstituten – Praktiken, Verhinderung, Aufdeckung (S. 105–120). Frankfurt a. M.: Frankfurt School Verlag. Becker, S. (2012). Computer-Forensik. In H.-W. Jackmuth & C. de Lamboy (Hrsg.), Fraud Management – Der Mensch als Schlüsselfaktor gegen Wirtschaftskriminalität (S. 805–822). Frankfurt a. M.: Frankfurt School Verlag. Bédé, A. (2012). Social Engineering. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud Management – Der Mensch als Schlüsselfaktor gegen Wirtschaftskriminalität (S. 69–96). Frankfurt a. M.: Frankfurt School Verlag. Bielefeld, J., & Wengenroth, L. (2018). Sanktionen gegen Unternehmen bei Compliance-Verstößen: Aktuelle Trends und Entwicklungen. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud & Compliance Management – Trends, Entwicklungen, Perspektiven (S. 43–83). Frankfurt a. M.: Frankfurt School Verlag.

308

P. Zawilla

de Lamboy, C. (2012). Leistungsindikatoren für das Fraud Management, sowie Schulze Heuling, M., Analyse und Bewertung des Fraud-Management-Systems. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud Management – Der Mensch als Schlüsselfaktor gegen Wirtschaftskriminalität (S. 941–961). Frankfurt a. M.: Frankfurt School Verlag. Drießen, M., Franosch, R., & Jackmuth, H.-W. (2018). Cyberkriminalität und Angriffsszenarien durch CEO-Fraud. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud & Compliance Management – Trends, Entwicklungen, Perspektiven (S. 329–344). Frankfurt a. M.: Frankfurt School Verlag. Jackmuth, H.-W. (2012). Datenanalytik im Fraud Management – Von der Ad-Hoc-Analyse zu prozessorientierten Data-Mining. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud Management – Der Mensch als Schlüsselfaktor gegen Wirtschaftskriminalität (S. 627–662). Frankfurt a. M.: Frankfurt School Verlag. Jackmuth, H.-W. (2012). Unterstützende Werkzeuge des Fraud Managers: Von der Prozessanalyse zur Ermittlungsdokumentation – Ein Rundumblick. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud Management – Der Mensch als Schlüsselfaktor gegen Wirtschaftskriminalität (S. 757–784). Frankfurt a. M.: Frankfurt School Verlag. Jackmuth, S. (2018). Integrierte Datenanalytik im Fraud Management. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud & Compliance Management – Trends, Entwicklungen, Perspektiven (S. 345–407). Frankfurt a. M.: Frankfurt School Verlag. Jackmuth, H.-W., & Zawilla, P. (2012). Erstellung einer unternehmensspezifischen Gefährdungsanalyse. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud Management – Der Mensch als Schlüsselfaktor gegen Wirtschaftskriminalität (S. 283–313). Frankfurt a. M.: Frankfurt School Verlag. Jackmuth, H.-W., de Lamboy, C., & Zawilla, P. (2013). Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud Management – Der Mensch als Schlüsselfaktor gegen Wirtschaftskriminalität (S. 3–17). Frankfurt a. M.: Frankfurt School Verlag. Kaup, A., & Zawilla, P. (2013). Motivlagen für Manipulationen und unredliches Verhalten. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud Management in Kreditinstituten – Praktiken,Verhinderung, Aufdeckung (S. 121–174). Frankfurt a. M.: Frankfurt School Verlag. Kleinhans, T. (2018). Ziel- und empfängerorientierte Berichterstattung. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud & Compliance Management – Trends, Entwicklungen, Perspektiven (S. 611–652). Frankfurt a. M.: Frankfurt School Verlag. Kopetzky, M. (2018). Schadenberechnung – Worauf es ankommt, damit Berichte gerichtsverwertbar sind. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud & Compliance Management – Trends, Entwicklungen, Perspektiven (S. 565–609). Frankfurt a. M.: Frankfurt School Verlag. Leyendecker, H. (2007). Die große Gier – Korruption, Kartelle, Lustreisen: Warum unsere Wirtschaft eine neue Moral braucht. Hamburg: Rowohlt. Romeike, F. (2012). Risikomanagement im Fraud-Kontext. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud Management – Der Mensch als Schlüsselfaktor gegen Wirtschaftskriminalität (S. 209–244). Frankfurt a. M.: Frankfurt School Verlag.

Ganzheitliches Fraud Management und der Schlüsselfaktor Mensch

309

Stephan, H. J. (2012). Asset Tracing und Schadenrückgewinnung. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud Management – Der Mensch als Schlüsselfaktor gegen Wirtschaftskriminalität (S. 919–938). Frankfurt a. M.: Frankfurt School Verlag. von Pierer, H., Homann, K., & Lübbe-Wolff, G. (2003). Zwischen Profit und Moral: Für eine menschliche Wirtschaft (S. 30 ff.). München: Hanser. Wells, J. (2007). Fraud Casebook – Lessons from the bad side of business. London: Wiley. Wells, J., & Kopetzky, M. (2006). Handbuch Wirtschaftskriminalität in Unternehmen. New York: LexisNexis. Wilmer, R. (2012). Befragungstechniken. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud Management – Der Mensch als Schlüsselfaktor gegen Wirtschaftskriminalität (S. 785–804). Frankfurt a. M.: Frankfurt School Verlag. Zawilla, P. (2012). Vorgehensweise bei Sonderuntersuchungen – Strukturiertes Delikt-/ Schadensfallmanagement. In H.-W. Jackmuth, C. de Lamboy, & P. Zawilla (Hrsg.), Fraud Management – Der Mensch als Schlüsselfaktor gegen Wirtschaftskriminalität (S. 719–756). Frankfurt a. M.: Frankfurt School Verlag.

Das betriebliche Sicherheitsmanagement: Perspektiven der betriebswirtschaftlichen Sicherheitsforschung Christoph Georgi und Jürgen Harrer

1 Das betriebliche Sicherheitsmanagement im Kontext der Sicherheitsforschung Das betriebliche Sicherheitsmanagement sowie das privatwirtschaftliche Angebot an Sicherheitsdienstleistungen werden in der Fachliteratur dem Bereich der „private Security“ zugeordnet und blicken auf eine über 2000-jährige Geschichte zurück (Hess 2009). Dennoch hat sich die privatwirtschaftliche Sicherheit bis dato nicht als eigenständiger Bereich der Sicherheitsforschung etablieren können. Im In- und Ausland wird die nationale und internationale Sicherheit – insbesondere gefördert durch Programme der Vereinten Nationen – ­ ­ intensiv beforscht. Im Fokus stehen hier die Verhinderung von und der Umgang mit zwischenstaatlichen Konflikten sowie die Auswirkungen des Zerfalls staatlicher Ordnung auf die regionale Sicherheit. In Europa wird die zivile Sicherheitsforschung durch den Bereich „Sichere Gesellschaften: Schutz der Freiheit und Sicherheit Europas und seiner Bürger“ im Rahmenprogramm „Horizon 2020“ gefördert (BMBF); in Deutschland im R ­ ahmen

C. Georgi (*) · J. Harrer  Strascheg Institut für Innovation, Transformation & Entrepreneurship (SITE), EBS Business School, EBS Universität für Wirtschaft und Recht, Oestrich-Winkel, Deutschland E-Mail: [email protected] J. Harrer E-Mail: [email protected] © Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature 2019 C. Vogt et al. (Hrsg.), Wirtschaftsschutz in der Praxis, Sicherheit – interdisziplinäre Perspektiven, https://doi.org/10.1007/978-3-658-24637-2_15

311

312

C. Georgi und J. Harrer

der „Forschung für zivile Sicherheit“ als eines von sechs Handlungsfeldern der Hightech-Strategie der Bundesregierung (BMBF 2014). Im Fokus der europäischen und deutschen Förderung stehen insbesondere der Schutz der Gesellschaft vor Kriminalität und Terrorismus, der Schutz kritischer Infrastrukturen und der Umgang mit Schadensereignissen infolge von Naturkatastrophen. Vorrangig betrachtet die Wissenschaft die zu untersuchenden Phänomene hierbei aus der soziologischen, kriminologischen, politologischen, rechtswissenschaftlichen und technischen Perspektive; die Betrachtung von wirtschafts- oder betriebswissenschaftlichen Aspekten spielt hierbei – wenn überhaupt – nur eine unterstützende Rolle. So hat sich in der Sicherheitsforschung in den vergangenen Jahren ein neues Grundverständnis von Sicherheit entwickelt, welches den Bereich der privaten Sicherheit nur implizit berücksichtigt. Dieses Verständnis findet insbesondere im „Erweiterten Sicherheitsbegriff“ nach Daase (2012) seinen Ausdruck, der vier Dimensionen von Sicherheit unterscheidet: die Gefahrendimension, die Sachdimension, die Raumdimension und die Referenzdimension (vgl. Abb. 1). Eine Verortung der privaten Sicherheit in diesem Sicherheitsverständnis könnte mit dem Begriff „Organisation“ auf der Referenzdimension zwischen „Individuum“ und „Gesellschaft“ erfolgen: Die private Sicherheit betrachtet Bedrohungen, Verwundbarkeiten und Risiken (Gefahrendimension), die sich national, regional, international und global (Raumdimension) ergeben und in erster Linie ökonomische Auswirkungen (Sachdimension) auf die jeweilige Organisation (Referenzdimension) haben, in ihrer Konsequenz aber ebenfalls Einfluss auf Individuen sowie den Staat und die Gesellschaft eines Landes nehmen können. Dabei werden immer wieder auch militärische (beispielsweise Rüstungsindustrie), ökologische (beispielsweise Umweltschutz) und humanitäre Aspekte (beispielsweise Arbeitsplätze) gestreift. So tritt das betriebliche Sicherheitsmanagement, insbesondere global agierender Unternehmen, im In- und Ausland an, um gegen das Unternehmen gerichtete Gefahren für Personen, Güter und Informationen abzuwehren, wie dies auch vom Gesetzgeber beispielsweise im Rahmen der Fürsorgepflicht (§§ 617 bis 619 BGB) und dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) gefordert wird. Sicherheit wird privatwirtschaftlich an Standorten, auf Projekten und auf Reisen etabliert, insbesondere dort, wo sie von staatlichen Akteuren nicht bereitgestellt wird, wie beispielsweise in Risikogebieten. Damit schafft das betriebliche Sicherheitsmanagement einerseits die Grundvoraussetzung, Geschäftsaktivitäten vor allem in risikoreichen Umfeldern zu entfalten, andererseits ist es für die Mehrzahl der internationalen Geschäftsreisenden, Expatriates und lokalen Mitarbeitern ein zentrales Element der weltweiten Sicherheitsarchitektur, welches selbst in risikoreichen Umfeldern für ihre Sicherheit sorgt.

Das betriebliche Sicherheitsmanagement …

313

Abb. 1   Die vier Dimensionen des erweiterten Sicherheitsbegriffs. (Daase 2012)

Dennoch ist die Forschung im Bereich der privaten Sicherheit – ob verstanden als innerbetriebliches Sicherheitsmanagement oder als Sicherheitsdienstleistungen – vorrangig von juristischen Aspekten der Tätigkeit privater Sicherheitsdienstleister im In- und Ausland und der Entwicklung technischer Lösungen für die physische Sicherheit (zum Beispiel Zugangskontrollen, Gesichtserkennung, Detektion von Sprengstoffen) oder die logische Sicherheit (IT- beziehungsweise Cyber-Sicherheit im weitesten Sinne) geprägt. Eine fundierte betriebswirtschaftliche Forschung hat sich nach Wissen der Autoren weder im deutschsprachigen noch im anglo-amerikanischen Raum ausgeprägt. So sind die Mehrzahl der Veröffentlichungen zum betrieblichen Sicherheitsmanagement praxisorientiert und an die Berufserfahrung der Verfasser angelehnt (Harrer und Wald 2016). Zu den Ausnahmen zählen die Standardwerke „Security Science“ von Smith und Brooks (2012) und „The Handbook of Security“ von Gill (2006), welche auf Forschungsergebnissen und umfangreichen Literaturrecherchen basieren.

314

C. Georgi und J. Harrer

Das betriebliche Sicherheitsmanagement steht heute noch immer vor der zentralen Herausforderung, seine Schutzarbeit vor allem wirtschaftlich gegenüber dem Management zu rechtfertigen (Burrill und Green 2011; Campbell 2012). Darüber hinaus weist die Literatur wiederholt auf die Herausforderungen hin, die Qualität der bereitgestellten Schutzleistungen zu managen (Dalton 1995, 1998; Lindner 2009; Matschke und Ick 1998) und die im Rahmen der Schutzarbeit entstehenden Kosten zu kontrollieren (Campbell 2011; Kovacich und Halibozek 2009). Dieser Beitrag nähert sich dem betrieblichen Sicherheitsmanagement aus einer betriebswirtschaftlichen Perspektive an und nutzt empirische Erkenntnisse aus der betriebswirtschaftlichen Sicherheitsforschung, um dem Sicherheitsverantwortlichen erste Impulse zur nachhaltigen Weiterentwicklung der Schutzarbeit im Unternehmen an die Hand zu geben. Hierzu wird in Kap. 2 zunächst der Sicherheitsbegriff als solcher betrachtet, um ein einheitliches Verständnis über das Wirken des betrieblichen Sicherheitsmanagements zu schaffen. In Kap. 3 leiten wir deduktiv die klassischen Kernprozesse des betrieblichen Sicherheitsmanagements aus typischen Bedrohungsszenarien ab und ergänzen diese um entsprechende Security-Stützprozesse. Der organisatorischen Einordnung des betrieblichen Sicherheitsmanagements widmet sich Kap. 4. Im Anschluss präsentiert Kap. 5 zwei zentrale Modellierungsansätze der betriebswirtschaftlichen Literatur, um die Wirkungszusammenhänge einer effektiven Schutzarbeit zu explizieren und zu visualisieren. Das Verständnis dieser Zusammenhänge ist Ausgangspunkt für die Messbarmachung des Wertbeitrags der Schutzarbeit. Hierzu präsentiert Kap. 6 weitere Erkenntnisse aus der Forschung und gibt Hinweise zur Implementierung eines Security Controllings. Kap. 7 lenkt den Blick auf ergänzende Aspekte des betrieblichen Sicherheitsmanagements, die über die prozessorientierte Steuerung, Verortung und Messbarmachung des betrieblichen Sicherheitsmanagements hinausgehen. Kap. 8 rundet den Beitrag mit einem Ausblick und Appell ab, dass Wissenschaft und Praxis gemeinsam eine nachhaltige Fundierung und Weiterentwicklung des betrieblichen Sicherheitsmanagements vorantreiben müssen, um das Bewusstsein für Sicherheit insbesondere in den Köpfen des Top-Managements zu verankern.

1.1 Der Sicherheitsbegriff Um sich dem betrieblichen Sicherheitsmanagement aus einer betriebswissenschaftlichen Sicht anzunähern und es als Untersuchungsgegenstand verorten zu können, muss zunächst ein einheitliches Begriffsverständnis von Sicherheit geschaffen werden.

Das betriebliche Sicherheitsmanagement …

315

Gemäß Duden ist Sicherheit ein „Zustand des Sicherseins, Geschütztseins vor Gefahr oder Schaden; höchstmögliches Freisein von Gefährdungen“ (Duden 2018c). Wohingegen ein Schaden als Eintritt eines Ereignisses, welches einen Nachteil oder Verlust darstellt, messbar ist (Duden 2018b), handelt es sich bei einer Gefahr lediglich um die „Möglichkeit, dass jemandem etwas zustößt, dass ein Schaden eintritt“ (Duden 2018a). Der Gefahrenbegriff geht demnach von einem potenziellen Schaden und die Möglichkeit beziehungsweise hinreichende Wahrscheinlichkeit dessen Eintritts aus.1 Folgt man diesen Definitionen, so kann Sicherheit erzeugt werden, indem entweder die Eintrittswahrscheinlichkeit eines Sicherheitsrisikos oder dessen potenzielles Schadensausmaß vermindert wird. Das Management von Sicherheit ist demnach eng mit dem Risikomanagement verwoben, welches sich – nicht zuletzt gemäß dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) – mit der Erkennung, der Bewertung, dem Umgang und der Kontrolle von unternehmerischen Risiken im weitesten Sinne beschäftigt. Dabei ist der Risikobegriff breit zu verstehen, wie bereits Gallagher (1956) ausführt: From catastrophic accidents involving executive personnel to little losses of pilferage and breakage, from obvious hazards of damaged machinery to hidden dangers of impaired good will, there is a wide and complicated range of problems calling for specialized analysis and for executive action (Gallagher 1956).

Das betriebliche Risikomanagement beschäftigt sich somit mit einer Vielzahl von Risiken, wie Marktpreisrisiken, Kreditrisiken, operationelle Risiken oder strategische Risiken (Cokins 2004; Eller et al. 2010). Die Unternehmenssicherheit als eigenständige Organisationseinheit verantwortet in diesem Kontext einen Teilbereich der operationellen Risiken. Letztere umfassen Gefahren, „die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen und infolge externer Ereignisse eintreten“ (Eller et al. 2010). In Abgrenzung zur Arbeitssicherheit, die die Abwehr von Gefahren aus

1Das

Polizei- und Ordnungsrecht definiert eine Gefahr als „Sachlage, bei der im einzelnen Falle die hinreichende Wahrscheinlichkeit besteht, dass in absehbarer Zeit ein Schaden für die öffentliche Sicherheit (oder Ordnung) eintreten wird“ (§ 2 Nr. 1a NdsSOG; vgl. auch § 2 Nr. 3a BremPolG, § 3 Nr. 3a SachsAnhSOG, § 54 Nr. 3a ThürOBG). Die Gefahr wird als hinreichende Wahrscheinlichkeit, nicht nur als Möglichkeit, eines Schadenseintritts verstanden (Schenke 2016, S. 39; The European Chemical Industry Council [cefic] 2008; Bundesinstitut für Risikobewertung [BfR] 2010).

316

C. Georgi und J. Harrer

v­ersehentlichem menschlichem Fehlverhalten, aus fahrlässigem Verhalten oder aus technischem Versagen verantwortet, beschäftigt sich die Sicherheit mit jenen Gefahren, die auf vorsätzlichem menschlichem Fehlverhalten, auf regelwidrigem Verhalten oder auf kriminellem Handeln basieren (Matschke und Ick 1998; Sack 2007; Smith und Brooks 2012). Typische Verantwortungsbereiche des betrieblichen Sicherheitsmanagements sind daher der Informationsschutz, der Objektschutz, der Personenschutz oder die Reisesicherheit (Harrer 2017; Kestermann et al. 2017; Trauboth 2016). Somit verstehen wir unter dem „Sicherheitsmanagement“ die betrieblichen Funktionen, Maßnahmen und Prozesse, die sich durch Planung, Implementierung und Auditierung von technischen, organisatorischen und personellen Schutzmaßnahmen zur Risikoverminderung dem Schutz des Unternehmens vor dolosen Handlungen widmen. Diese basieren idealerweise auf den Ergebnissen vorangegangener Analysen und Bewertungen von Sicherheitsrisiken im Rahmen des betrieblichen Risikomanagements. Ein einheitliches Bild über die Handlungsfelder und Verantwortungsbereiche interner Sicherheitsorganisationen lässt sich allerdings bis dato nicht abschließend zeichnen (Kestermann et al. 2017). Gemein ist den meisten internen Sicherheitsorganisationen, dass sie sich als ein unternehmensweiter Support-Prozess verstehen, der die Assets des Unternehmens vor Sicherheitsbedrohungen2 schützt und hierdurch Geschäftsaktivitäten ermöglicht (Dalton 1995; Harrer 2017).

1.2 Handlungsfelder des betrieblichen Sicherheitsmanagements Die erste, heute als prototypisch geltende interne Sicherheitsorganisation wurde ab 1917 in den USA bei der Ford Motor Company, mit Unterstützung durch das US Department of War’s Plant Protection Service, aufgebaut. Ihr Ziel war die Abwehr von internen und externen Bedrohungen, insbesondere der Sabotage, der Spionage und des Diebstahls (Walby und Lippert 2015). In Deutschland ging ein wesentlicher Impuls für den Ausbau interner Sicherheitsfunktionen in privatwirtschaftlichen Unternehmen von den Attentaten der Roten Armee Fraktion (RAF) während der 1970er-Jahre aus. Hochrangige

2Eine

Bedrohung ist das Produkt von Absicht und Fähigkeit. Sicherheitsbedrohungen entsprechen daher der mittel- und unmittelbaren Absicht und Fähigkeit von Dritten, Schaden zu verursachen (Smith und Brooks 2013, S. 64).

Das betriebliche Sicherheitsmanagement …

317

Führungskräfte aus Verbänden und Großunternehmen wurden seinerzeit zu Zielscheiben des politischen Kampfes der RAF. Nach einigen spektakulären Attentaten und Entführungen sank in der Wirtschaft das Vertrauen in die Wirksamkeit der staatlichen Gefahrenabwehr, und die Unternehmen investierten in den Auf- und Ausbau privater Sicherheitsstrukturen (Harrer 2017). Angetrieben von einem unterschiedlich ausgeprägten steigenden Bewusstsein für weitere Bedrohungen gegenüber materiellen und immateriellen Gütern von Unternehmen, übernahmen die internen Sicherheitsorganisationen die Verantwortung für weitere operationelle Risiken. Betrachtet man heute Unternehmen unterschiedlicher Größe und Branchenzugehörigkeit, stellt man fest, dass scheinbar jedes Unternehmen eine andere Antwort auf die Frage „Für was gewährleiste ich wie Sicherheit?“ gefunden hat. Erkennbar ist dies nicht nur an der Größe und Komplexität interner Sicherheitsorganisationen, sondern vor allem an deren unterschiedlichen Verantwortlichkeiten und Beteiligungen an sicherheitsrelevanten Entscheidungen. Auch in der einschlägigen Literatur finden sich nur recht heterogene Empfehlungen; es scheint so, als ob jeder Autor eine andere Sammlung von Handlungsfeldern vorschlägt, die selten hierarchisch oder logisch geordnet sind. Ausgehend vom dargelegten Verständnis des Sicherheitsbegriffs leiten wir nachfolgend die notwendigen Prozesse und Handlungsfelder des betrieblichen Sicherheitsmanagements deduktiv aus typischen Bedrohungsszenarien eines Unternehmens ab. Unserer Definition des betrieblichen Sicherheitsmanagements folgend (vgl. Kap. 2) besteht dessen Hauptaufgabe in dem Schutz des Unternehmens vor dolosen Handlungen. Nach Dalton (1995, 2003) kann der Schutz des Unternehmens als Schutz dessen Assets verstanden werden. Diesem Ansatz liegt der Ressource-Based View (RBV) von Barney (1991) zugrunde, welcher den entscheidenden Wettbewerbsvorteil von Unternehmen in dessen materiellen Gütern und immateriellen Fähigkeiten und Kompetenzen – kurz: Assets oder Ressourcen – sieht. Aus dieser ressourcenorientierten Perspektive können einerseits die erfolgskritischen Assets des Unternehmens mit den Schutzobjekten des betrieblichen Sicherheitsmanagements gleichgesetzt, andererseits die Leistung der internen Sicherheitsorganisation zur Schadensabwehr als Fähigkeiten betrachten werden, die dem Unternehmen den vorgesehenen Einsatz der erfolgskritischen Assets ermöglicht: Asset protection, and here I include the protection of people, is the formulation of an over-arching plan that is designed to enhance the workplace by assuring that every reasonable thing is done to promote a secure environment and mitigate the

318

C. Georgi und J. Harrer

likelihood of loss or injury. (…) However, it extends itself into the very fabric of the organization’s overall business plan. It is a contributor to profitability because it protects those valuable resources capable of generating the very profit the organization seeks. To accomplish this requires a dual character – a proactive capability and a reactive capability (Dalton 2003).

Ziel des betrieblichen Sicherheitsmanagements ist daher, personelle, materielle und immaterielle Assets des Unternehmens vor dolosen Handlungen zu schützen (Asset Protection), um deren Verfügbarkeit, Vollständigkeit, Unversehrtheit und Integrität – sowie bei Informationen die Vertraulichkeit – sicherzustellen (Asset Security), damit diese zur Verrichtung der Geschäftstätigkeit verwendet werden können (Asset Usability) (Harrer 2017). Das betriebliche Sicherheitsmanagement ist daher in Anlehnung an Porters (1980) Wertschöpfungskettenmodell als Stützprozess im Kontext der unternehmerischen Wertschöpfung zu verstehen. Erfolgskritische Assets von Unternehmen umfassen in Anlehnung an die RBV Personen, Güter und Informationen. Diese befinden sich entweder an den für sie vorgesehenen Standorten oder werden zwischen diesen Standorten verbracht. Vereinfacht umfassen mögliche Standorte: • • • •

eigene Fertigungs-/Dienstleistungsstandorte im In- und Ausland eigene Vertriebsstandorte/Niederlassungen im In- und Ausland Lieferantenstandorte im In- und Ausland Kundenstandorte im In- und Ausland

Um die Asset Security zu gewährleisten, muss das betriebliche Sicherheitsmanagement daher sowohl den Schutz von Personen, Gütern und Informationen an den Standorten, als auch den Schutz von Personen, Gütern und Informationen im Transit zwischen allen Standorten sicherstellen. Hierzusollte sich das betriebliche Sicherheitsmanagement zumindest folgender sechs zentraler Handlungsfelder annehmen und diese in Form von eigenen Kernprozessen abbilden: • Objektschutz zur Abwehr von Gefahren für Personen, Gütern und Informationen an und in Standorten • Personenschutz zur Abwehr von Gefahren für Personen in Standorten und zwischen Standorten • Reisesicherheit zur Abwehr von Gefahren für Personen zwischen Standorten • Supply Chain Security für Gefahren von Gütern zwischen Standorten • Informationsschutz für Informationen an Standorten sowie zwischen Standorten • IT-/TK-Security zum Schutz der informationstechnologischen Infrastruktur und der elektronischen Kommunikation an Standorten sowie zwischen Standorten

Das betriebliche Sicherheitsmanagement …

319

Zur Unterstützung einer effektiven und effizienten Aufgabenerfüllung in diesen sechs Handlungsbereichen erscheint der Rückgriff auf zumindest folgende sechs Stützprozesse sinnvoll: • Security Business Integration zur Verbesserung des Alignments zwischen dem betrieblichen Sicherheitsmanagement und den unternehmerischen Aktivitäten mit den Ziel, die Schutzarbeit stärker auf die Bedürfnisse der internen Kunden auszurichten, die Beeinträchtigung von Geschäftsaktivitäten durch Schutzmaßnahmen zu vermindern und dadurch einen höheren Implementierungsgrad der Sicherheitskonzepte und -policies zu erreichen. • Security Governance zur Koordination und Auditierung aller im Unternehmen geltenden sicherheitsrelevanten Richtlinien. • Sicherheitslagezentrum für das kontinuierliche Monitoring und die Bewertung der Sicherheitslage in geschäftsrelevanten Regionen. • Security Controlling zur Messung der Schutzleistung der betrieblichen Sicherheitsfunktionen sowie deren Wertbeitrag zum unternehmerischen Erfolg. • Security Marketing & Awareness mit dem Ziel der Entwicklung einer unternehmensweiten Sicherheitskultur und der Erhöhung der Bereitschaft zur Umsetzung der erarbeiteten Schutzkonzepte bei allen Mitarbeitern des Unternehmens. • Security Clearance zur Hintergrundüberprüfung von internen und externen Personen, insbesondere solchen mit Zugriff auf sicherheitskritische Bereiche des Unternehmens, sowie von (potenziellen) Geschäftspartnern im Rahmen neuer Geschäftsanbahnungen oder Übernahmen. Diese Handlungsfelder werden häufig ergänzt durch weitere Funktionen und Prozesse wie Security Risk Management, Asset Classification und Security Investigations.

2 Organisatorische Einordnung des betrieblichen Sicherheitsmanagements Hinsichtlich der organisatorischen Einordnung des betrieblichen Sicherheitsmanagements zeigt sich in der Praxis, dass Unternehmen mit einem umfangreichen betrieblichen Sicherheitsmanagement die hergeleiteten Handlungsfelder in Abhängigkeit der wahrgenommenen Bedrohungslage und historischen Entwicklung der Organisation und deren Funktionen unterschiedlich verortet und ausdifferenziert haben. Zusätzlich stellt Harrer (2017) fest, dass die Verantwortlichen für die interne

320

C. Georgi und J. Harrer

Sicherheitsorganisation in DAX-Unternehmen häufig selbst über die Positionierung ihres Aufgabenbereichs entscheiden: „als Stabsfunktion, die in erster Linie Governance-Aufgaben wahrnimmt, oder als interne Dienstleistungsorganisation, die das Business bei der Erreichung von Geschäftszielen unterstützt“. Mehrheitlich würde eher zweiter Position gefolgt werden, um hierdurch eine bestmögliche Unterstützung der Geschäftsaktivitäten sicherzustellen, wenngleich hierdurch meist auch die Komplexität der innerbetrieblichen Sicherheitsorganisation erhöht sei. Ausgehend von der Erkenntnis, dass aus Sicht interner oder externer Angreifer interne Regelungen von Zuständigkeiten keine Rolle spielen, streben Sicherheitsexperten seit den 90er-Jahren verstärkt eine Konvergenz der klassischen Handlungsfelder an. Dabei rücken einerseits der Informationsschutz und die IT-/ TK-Security auf Betreiben von Akteuren wie BSI, NIST und ISACA unter der Bezeichnung „Informationssicherheit“ enger zusammen; die aktuellen Standards wie ITIL, COBIT, IT-Grundschutz und ISO 27001 gründen sich auf dieses Verständnis und zeigen unter anderem auf, wie ein umfassendes Information Security Management System (ISMS) gestaltet sein sollte. Andererseits streben Sicherheitsexperten im Kontext von Entwicklungen wie der zunehmenden Digitalisierung der Arbeitswelt in Richtung auf ein Internet of Things (IoT) nach einer stärkeren Konvergenz von physischer und logischer Sicherheit: The interdependence between the physical (guards) and logical (geeks) around a common goal of defending people, property, assets (physical and digital), and corporate reputation forms a common bond (Contos et al. 2007).

Dies ist recht gut an den technischen Veränderungen im Objektschutz nachvollziehen, wo insbesondere im Rahmen von Zugangskontrollen und Perimeterschutz ein hoher Digitalisierungsgrad erreicht wurde und die Informationen aus den verschiedensten Sensoren in einem integrierten Sicherheitsmanagement genutzt werden können. In Unternehmen mit keinem oder nur wenig umfangreichem betrieblichen Sicherheitsmanagement ist meist erkennbar, dass dennoch Schutzarbeit in den benannten Handlungsfeldern erbracht wird, auch wenn es zum Beispiel im Mittelstand oftmals noch keinen expliziten Sicherheitsverantwortlichen gibt. In diesen Fällen werden die mindestens erforderlichen Arbeiten von anderen betrieblichen Akteuren in Nebenfunktion, zum Teil auch unter Einbindung externer Sicherheitsdienstleister geleistet. Beispiele hierfür sind: • Ein Facility Management, das an den Standorten die Zugangskontrollen übernimmt. • Eine Einkaufsabteilung, die bei Auditierungen auch Sicherheitsaspekte abprüft.

Das betriebliche Sicherheitsmanagement …

321

• Eine Logistikabteilung, die auch sicherheitsbezogene Aspekte der Integrität und Resilienz der Lieferkette berücksichtigt. • Eine Personalabteilung, die sich auch um Security Awareness Trainings, Hintergrundüberprüfungen und Reisesicherheit kümmert. • Eine IT-Abteilung, die auch für Informationsschutz und IT-/TK-Security verantwortlich ist. • Projekt- und Geschäftsverantwortliche, die Personenschutz- und Objektschutzleistungen fallbezogen extern einkaufen. Dabei ist es wichtig, dass alle sicherheitsbezogenen Leistungen nicht nur vor Ort kontrolliert werden, sondern ein Regelreporting zu einem sich für die Sicherheit verantwortlich zeichnenden Geschäftsleitungsmitglied etabliert wurde. Dort erfolgt eine Konsolidierung der zugelieferten Mosaiksteine zu einem Gesamtbild der Sicherheit im Unternehmen, was oftmals nicht nur für die Koordination der Schutzarbeit, sondern auch für die Erfüllung rechtlicher Vorgaben erforderlich ist. Im besten Fall sollten die Kern- und Stützprozesse des betrieblichen Sicherheitsmanagements in ein unternehmensweites Risikomanagement integriert sein und anhand der Bewertung von Sicherheitsrisiken sowie der Entwicklung von Konzepten für die Schadenabwehr einen wesentlichen Beitrag für das Business Continuity Management (BCM) leisten. Je nach organisationaler Verankerung der Sicherheitsfunktion und dessen internem Mandat kann das betriebliche Sicherheitsmanagement auch erweiterte Aufgaben bis hin zur Gesamtverantwortung für das BCM wahrnehmen (Elliott et al. 2010; Hiles 2011).

3 Wirkungszusammenhänge im betrieblichen Sicherheitsmanagement Um den wirtschaftlichen Beitrag, den eine erfolgreiche Schutzarbeit leistet, messbar zu machen, gilt es zunächst die Wirkungszusammenhänge einer effektiven Schutzarbeit im Unternehmen zu explizieren und zu visualisieren. Hierzu stellt die betriebswirtschaftliche Literatur unterschiedliche Modellierungsansätze zur Verfügung, von denen zwei zentrale im Folgenden kurz skizziert werden sollen. In der Literatur zum Performance Measurement finden sich generische InputProzess-Output-Modelle wieder (Brown 1996, S. 96; Gladen 2011; Fitzgerald et al. 1991; Kaufman et al. 2003; Simons 2000), die es implizit und explizit ermöglichen, die Transformation eines Input in einen Output qualitativ und quantitativ zu Messen (Harrer 2017).

322

C. Georgi und J. Harrer Input

Security Processes

Output

Outcome

Customer Results

Asset Security

Business Enabling

Business Success

External Threats Security Management

Assets

Internal Threats

Abb. 2   Security Performance Model. (Quelle: Harrer 2017, S. 181)

Angewandt auf das betriebliche Sicherheitsmanagement kann ein Security Performance Modell wie folgt dargestellt werden (Abb. 2; Harrer 2017): Ausgangspunkt des Modells bilden externe und interne Bedrohungen, die die zu schützenden unternehmerischen Assets (Input) gefährden. Das betriebliche Sicherheitsmanagement erstellt und implementiert gemeinsam mit seinen internen und externen Stakeholdern Konzepte und Maßnahmen zum Schutz dieser Assets (Prozess). Die im Rahmen der Schutzarbeit (Asset Protection) entstehenden Aufwände und Kosten bedingen sich einerseits durch die Art und Intensität der Bedrohungen, andererseits durch die Verwundbarkeit der Assets. Der erfolgreiche Schutz der Assets stellt den Output des Modells dar. Im Ergebnis ermöglicht die Verfügbarkeit der Assets – einschließlich dem Schutz der Mitarbeiter – die Verrichtung der Geschäftstätigkeit (Outcome) und damit dem Unternehmen das Erreichen seiner strategischen Geschäftsziele (Customer Result). Die Asset Security ist damit Resultat der vorangegangenen Schutzarbeit und kann beispielsweise durch ein Incident Reporting oder Incident Impact Calculations quantifiziert werden. Gleichzeitig ist sie Voraussetzung für die erfolgreiche Geschäftstätigkeit, welche sich in Abstimmung mit der verantwortlichen Geschäftseinheit ermitteln lässt. Zur Visualisierung komplexerer Kausalzusammenhänge werden in der Betriebswirtschaft auch Ursache-Wirkungs-Systeme oder Systemmodelle verwendet. Die Modellierung von Systemen geht auf das Konzept der „EffectsBased Operations“ der US Army Air Corps in den späten 30er- und frühen 40er-Jahren zurück (Davis 2001; Jobbagy 2003; Mann et al. 2002). Deren Anwendung in der Privatwirtschaft fand unter anderem im Rahmen des „Industrial Dynamics Program“ des MIT statt (Forrester 2013), aus dem später der „Business

Das betriebliche Sicherheitsmanagement …

323

Dynamics“-Ansatz hervorging (Sterman 2000). In Europa wurde die Systemmodellierung insbesondere von Ulrich und Probst (1990) sowie Gomez und Probst (1995) beforscht. Zeitgleich entwickelte Senge (1996) das Konzept der lernenden Organisation, dessen „fünfte Disziplin“ das systemische Denken darstellt. In Deutschland setzten unter anderem die Systemwissenschaften (Bossel 2004), die Psychologie (Dörner 2011) sowie die Arbeiten von Kosko (1995) zur „Fuzzy Logic“ Impulse für die Systemmodellierung. Heute finden das Denken in Systemen und die Methoden der Systemmodellierung in vielen Disziplinen eine Anwendung, so beispielsweise im Geschäftsprozessmanagement (Allweyer 2014; Lang et al. 1996; Scheer 1998), im Performance Improvement (Rummler und Brache 1995; Rummler et al. 2011; Wittkuhn und Bartscher 2001) und im Enterprise Risk Management (Allweyer 2014; Lang et al. 1996; Scheer 1998). Systemmodelle können auch das betriebliche Sicherheitsmanagement unterstützen, komplexe Wirkzusammenhänge in dessen Handlungsfeldern anschaulich darzustellen. Durch ein tiefer greifendes Verständnis des Ursache-Wirkungssystems kann das Sicherheitsmanagement einerseits eigene Schwachstellen identifizieren, andererseits seinen impliziten Beitrag zum Unternehmenserfolg klarer präsentieren. Beispielhaft können Zusammenhänge im Handlungsfeld „Projektsicherheit“ eines betrieblichen Sicherheitsmanagements stark vereinfacht wie folgt dargestellt werden (vgl. Abb. 3; Harrer 2017): Primäres Ziel der Projektsicherheit ist es, in Projekten sicherheitsrelevante Ereignisfälle (sogenannte Security Incidents) zu vermeiden. Diese werden im Wesentlichen durch drei Faktoren beeinflusst: die Intensität der Bedrohungen, die Verwundbarkeit der Assets und dem Sicherheitsbewusstsein der am Projekt beteiligten Personen. Die Verwundbarkeit der Assets sowie die Intensität der Bedrohung wirken direkt auf die Komplexität des benötigten Sicherheitskonzepts, welches wiederum die benötigten Ausgaben für Schutzmaßnahmen beeinflusst. Letztere fließen in die Gesamtkosten des Projekts ein, die allerdings auch aufgrund von Schadensereignissen steigen können. Treten Schadensereignisse ein, steigen aber nicht nur die Projektkosten, sondern auch die Projektdauer verlängert sich, was wiederum einen zeitlichen Verzug des Projekts zur Folge haben könnte. Schadensereignisse können auch negative Folgen für die Unversehrtheit des Personals haben und somit, neben zeitlichen Verzögerungen und einer nicht kalkulierten Kostensteigerung, insgesamt zu einer Verringerung der Zufriedenheit des internen und externen Kunden führen (vgl. Georgi und Harrer 2018). Ausgehend von diesem stark vereinfachten Systemmodell kann dem betrieblichen Sicherheitsmanagement geraten werden, einerseits grundsätzlich das ­Sicherheitsbewusstsein des Projektpersonals zu erhöhen, was nur geringe direkte

324

C. Georgi und J. Harrer Zufriedenheit der internen Kunden

Sicherheitsbewusstsein des Projektpersonals Unversehrtheit des Projektpersonals

Intensität der Bedrohung

Einhaltung des Projektstrukturplans

Schadensereignisse

Verwundbarkeit der Assets Finanziellles Projektergebnis Kosten durch Schadensereignisse Projektkosten Komplexität des benögten Sicherheitskonzepts

Ausgaben für Schutzmaßnahmen

Abb. 3   Stark vereinfachtes Systemmodell der Projektsicherheit. (in Anlehnung an Harrer 2017, S. 147)

Kosten für das Projekt verursacht, andererseits sollten die Aufwendungen für Schutzmaßnahmen nicht nur vor dem Hintergrund direkter Schutzkosten oder gegebenenfalls zusätzlich anfallender Schadenskosten, sondern insbesondere auch im Hinblick auf mögliche indirekte Projektkosten infolge von Unterbrechungen der Projektaktivitäten betrachtet werden. Im Vergleich zu einer linearen Modellierung von Wirkungszusammenhängen auf Basis von Input-Prozess-Output-Modellen ermöglicht die Verwendung von Systemmodellen ebenso die Modellierung einer Vielzahl von Wechselwirkungen zwischen einzelnen Maßnahmen und deren potenziellen Auswirkungen im Gesamtsystem. Weitere ganzheitliche Ansätze zur Modellierung von Wirkungszusammenhängen einer effektiven Schutzarbeit finden sich in der Literatur zur Enterprise Architecture (Giachetti 2010; Lankhorst 2013; Rivkin 2010; Ross et al. 2006) und insbesondere der zur Business Architecture (Reynolds 2010; Whelan und Meaden 2012). Erste Ansätze zur Modellierung von Sicherheitsprozessen in der Logistik finden sich in den Arbeiten von Böhle et al. (2014), Middelhoff et al. (2014) und Hellingrath et al. (2013).

Das betriebliche Sicherheitsmanagement …

325

4 Ansätze zur Messung und Wertbeitragsermittlung im betrieblichen Sicherheitsmanagement Sind die Wirkungszusammenhänge innerhalb des betrieblichen Sicherheitsmanagements und zwischen dessen erfolgreicher Schutzarbeit und dem Unternehmenserfolg in einem ersten Schritt dargelegt, stellt sich in einem zweiten Schritt die Frage der Messung und Wertbeitragsermittlung im Bereich der betrieblichen Sicherheitsfunktion. Harrer (2017) stellt fest, dass das Ergebnis der Schutzarbeit – die Asset Security – sowohl aus objektiver als auch aus subjektiver Sicht betrachtet werden sollte, insbesondere, wenn von einer abweichenden Bewertung seitens Leistungserbringer und Leistungsempfänger ausgegangen werden muss. So kann beispielsweise die objektive Asset Security nach einer unversehrten Rückführung von Projektpersonal aus einer Risikoregion mit 100 Prozent bewertet werden; ob sich das Personal während des Aufenthalts ebenfalls zu 100 Prozent sicher gefühlt hat, hängt hingegen stark von dem vor Ort erlebten und von der Risikoaffinität der Betroffenen ab (vgl. Georgi und Harrer 2018). In Konsequenz identifiziert Harrer (2017) nach Auswertung einer Expertenbefragung vier Personenkreise, die innerbetrieblich bei der Bewertung der Sicherheitsleistungen mitwirken (vgl. Abb. 4): Einerseits die Sicherheitsexperten und das Top-Management, die auf Grundlage ihrer Ausbildung, Erfahrung und Distanz für eine objektive Einschätzung der Sicherheitsleistungen als qualifiziert gelten; andererseits die Mitarbeiter und das mittlere Management der zu schützenden Geschäftstätigkeiten, die aufgrund ihrer unterschiedlichen Sensibilisierung für Sicherheitsthemen eher laienhafte und subjektive Bewertungen der Sicherheitsleistungen vornehmen können. Dabei ist festzustellen, dass die „Laienmeinung“ – insbesondere im Rahmen von Gesamteinschätzungen – schwerer wiege als die „Expertenmeinung“ (Harrer 2017). Eine finanzielle Abschätzung des objektiven Wertbeitrags des betrieblichen Sicherheitsmanagements kann auf Basis von Kennzahlen der erfolgsorientierten Unternehmenssteuerung, wie beispielsweise dem Return of Invest (ROI) (Ambler und Roberts 2007; Gladen 2011), der wertorientierten Unternehmenssteuerung, wie beispielsweise dem Return of Capital Employed (ROCE) (Gladen 2011; Gleich 2011) oder dem Economic Value Added (EVA) (Fitzgerald 2007; Pettit 2000) erfolgen. Dabei setzt der Wertbeitrag der Unternehmenssicherheit immer an der Asset Security – dem Schutzniveau von Anlage- und Umlauf­ vermögen vor dolosen Handlungen – und der Asset Usability – das Ermöglichen von Einnahmen infolge einer uneingeschränkten Nutzung der Assets

326

C. Georgi und J. Harrer 1st Order Categories

• • • • • •

Sicherheitsrisiken aus Expertensicht Effektivität d. Schutzmaßnahmen a.E.S. Effizienz der Schutzmaßnahmen a.E.S. Erreichtes Sicherheitsniveau a.E.S. Quantitative Messansätze Qualitative Messansätze

2nd Order Themes

Aggregate Dimensions

Formelle Bewertung durch Experten

• Qualität der Schutzarbeit insgesamt • Erreichtes Sicherheitsniveau insgesamt • Nutzenabwägung zum Schutzaufwand insgesamt

Formelle Bewertung durch Executives

• Sicherheitsrisiken aus Mitarbeitersicht • Wahrnehmung der Schutzmaßnahmen aus Mitarbeitersicht • Schadensereignisse im persönlichen Umfeld

Informelle Bewertung durch Mitarbeiter

• Sicherheitsrisiken aus Business-Sicht • Wahrnehmung der Schutzmaßnahmen aus Business-Sicht • Schadensereignisse im eigenen Geschäftsbereich • Wertbeitragsschätzung im eigenen Geschäftsbereich

Informelle Bewertung durch Business Mgmt.

Objektive Sicherheit

Subjektive Sicherheit

Abb. 4   Perspektiven auf den Wertbeitrag des betrieblichen Sicherheitsmanagements. (Quelle: Harrer 2017, S. 42)

für die v­ orgesehenen Geschäftstätigkeiten – an. Hierdurch hat die erfolgreiche Schutzarbeit „einen indirekten Einfluss auf die Ergebnisse der internationalen Rechnungslegung und kann bei Berücksichtigung geeigneter Werttreiber auch Auswirkungen auf die Fair Value-Bewertung nach IAS/IFRS … zeigen“ (Harrer 2017). Dabei ist zu beachten, dass der Beitrag der Schutzarbeit in risikoreichen Umgebungen grundsätzlich höher ausfällt als in Regionen mit geringem Risiko, was sich wiederum in der Wahrnehmbarkeit des Wertbeitrags der Schutzarbeit niederschlägt (Harrer 2017). Abb. 5 und 6 zeigen die Ansatzpunkte der Wertbeitragsmessung des betrieblichen Sicherheitsmanagements am Beispiel des ROCE (in Anlehnung an Gleich et al. 2008) und des EVA (in Anlehnung an Heppelmann et al. 2002). Hinsichtlich einer Ausgestaltung und Implementierung eines Controllings für das betriebliche Sicherheitsmanagement hat sich im Rahmen der bisherigen empiri­ schen Forschung folgendes Vorgehen als empfehlenswert herauskristallisiert: Häufig unterschätzter Ausgangspunkt ist die Bestimmung der internen und externen Adressaten des Controllings. Mit diesen sollte zunächst ein gemeinsames Verständnis der Wirkungszusammenhänge des betrieblichen Sicherheitsmanagements abgestimmt werden (vgl. Kap. 5), um auf dieser Basis einerseits die Ziele und Strategien der Schutzarbeit auszuarbeiten, andererseits relevante Einflussgrößen auf die­

Das betriebliche Sicherheitsmanagement …

327 ROCE

Capital Employed

Verbindlichkeiten aus L+L

Vorräte

Menge

Preis

Asset Security

Logistik

Forderungen

Einkauf

Finanzanlagen

Fertigung

Immaterielle Vermögenswerte

Kosten

Umsatz

F&E

Sachanlagen

Netto-Umlaufvermögen

Vertrieb

Anlagevermögen

Operating Profit

Asset Usability

Abb. 5   Ansatzpunkte des Security-Wertbeitrags am Beispiel des ROCE. (Quelle: Harrer 2017, S. 217)

Revenue EBIT

Asset Usability

Costs

NOPAT Tax Rate

Adjustments

EVA Business Assets Capital Charge

Fixed Assets

Asset Security

Current

Cost of Capital

Assets Adjustments

Abb. 6   Ansatzpunkte des Security-Wertbeitrags am Beispiel des EVA. (Quelle: Harrer 2017, S. 217)

Schutzarbeit zu identifizieren und damit einhergehende Performance Indikatoren zu entwickeln. Erst auf dieser Grundlage erscheint es in einem nächsten Schritt sinnvoll, die R ­ outinen für die qualitative und quantitative Ermittlung der Indikatoren zu ­vereinbaren und adressatengerechte Berichtssysteme wie beispielsweise Dashboards oder Scorecards zu definieren. Nach dieser konzeptionellen Vorarbeit werden geeignete Tools entwickelt, pilotiert, überarbeitet und implementiert. Die Bereitstellung der definierten ergebnisrelevanten Informationen für den jeweiligen Adressatenkreis erfolgt dann auf Basis eines fortlaufenden Monitorings und

328

C. Georgi und J. Harrer

Reportings, welches auch die Weiterentwicklung der verwendeten Performance Indikatoren und Tools in Zusammenarbeit mit den Adressaten umfasst. Voraussetzung für ein mehrwertschaffendes Security Controlling ist das Commitment einer Vielzahl von Akteuren im Unternehmen, die regelmäßig valide Informationen, Einschätzungen und Messwerte liefern. Zwar beschäftigt sich die Literatur über das betriebliche Sicherheitsmanagement erst rudimentär mit der Performance Messung, allerdings können Anregungen und erste Orientierungspunkte für effektive Kennzahlensysteme in benachbarten Disziplinen wie der Arbeitssicherheit oder der IT-Security gefunden werden. Zur Messung der Arbeitssicherheit liefern beispielsweise Janicak (2010), Lehtinen und Wahlström (2002), O’Brien (2000) und Powell (2009) Empfehlungen und Erfahrungen aus der Privatwirtschaft; ebenso bieten die Richtlinien und Anleitungen von öffentlichen Institutionen wie beispielsweise der Health & Safety Executive (HSE) (2001), der Organization for Economic Cooperation and Development (OECD) (2008) oder des Rail Safety and Standards Board (RSSB) (2011) Orientierung. Im Bereich der IT-Security basieren Kennzahlensysteme insbesondere auf Standards und Normen, wie beispielsweise dem BSI-Standard 100-1, der DIN ISO/IEC 27001, der DIN ISO/IEC 27002, der NIST SP 800-55 Rev.1 und der NIST SP 800-100; entsprechende konzeptionelle und praktische Ansätze sind in zahlreichen Veröffentlichungen zu finden (Boehmer 2008; Brotby 2009; Collenberg 2007; Faial 2002; Hayden 2010; Jaquith 2007; Matousek et al. 2004; Tallau et al. 2010; Tsinas und Trösken 2009; Wong 2012; Young 2010).

5 Ergänzende Aspekte des betrieblichen Sicherheitsmanagements Neben einer Auseinandersetzung mit der prozessorientierten Steuerung, Verortung und Messbarmachung des betrieblichen Sicherheitsmanagements beschäftigt sich die betriebswirtschaftliche Forschung zunehmend mit weiteren „weicheren“ Aspekten der Sicherheit, die im Folgenden kurz Erwähnung finden. Zunehmend werden Aspekte der „Resilienz“ in Konzepte des Sicherheitsmanagements integriert (Briggs et al. 2006; Larson 2013; Saurugg 2013; Talbot und Jakeman 2009). Der Entwicklungspsychologie entstammend bezeichnet die Resilienz die Widerstandsfähigkeit eines Individuums gegenüber Belastungen und Einflüssen, die seine Entwicklung und sein Wohl bedrohen (Fröhlich-Gildhoff und

Das betriebliche Sicherheitsmanagement …

329

Rönnau-Böse 2011). Übertragen auf Umwelt und Gesellschaft (Prior und Roth 2013; Walker und Salt 2012), Wirtschaft (Comfort et al. 2010; Pettit 2008) und Organisationen (Sheffi 2007; Välikangas 2010) gilt es, die Widerstandsfähigkeit des gesamten Systems (im Fall von Unternehmen die Gesamtorganisation) gegenüber Schadensereignissen zu steigern. Mit dem Mandat für den Schutz der Assets, um deren Verfügbarkeit und Nutzbarkeit kontinuierlich zu gewährleisten, liegt es auch am betrieblichen Sicherheitsmanagement, auf die Steigerung der Resilienz in ihrem Unternehmen hinzuwirken: Basisentscheidungen z.B. bezüglich der Redundanz von Ressourcen und Fähigkeiten sind typische Geschäftsentscheidungen, während Aspekte der Bewertung von Sicherheitsrisiken, der Gewährleistung von Sicherheit und Nutzbarkeit von Assets und Prozessen und damit der Absicherung der Business Continuity eng verbunden sind mit dem internen Mandat und der Kernkompetenz der Sicherheitsexperten (Harrer 2017).

Zwar legt das betriebliche Sicherheitsmanagement durch die konzeptionelle Ausarbeitung und Implementierung von Schutzmaßnahmen ein zentrales ­Fundament zur Steigerung der Resilienz der Organisation, allerdings greift dies in der Regel zu kurz. Vielmehr gilt es ebenso, das Sicherheitsbewusstsein aller Fach- und Führungskräfte – einschließlich und insbesondere das des TopManagements – und die damit einhergehende Implementierungsbereitschaft von Sicherheitskonzepten und -policies seitens jeden einzelnen Mitarbeiters zu ­steigern. Problematisch hierbei ist, dass die „objektive Sicherheit“ die Mehrzahl der Menschen nur untergeordnet zu interessieren scheint, während sich das „subjektive Sicherheitsgefühl“ ausschlaggebend für das eigene Verhalten im unternehmerischen Kontext wie auch im privaten zeigt. Dies manifestiert sich im Alltag unter anderem in einer Neigung zur Kriminalitätsfurcht (HummelsheimDoss 2017): Das subjektive Sicherheitsempfinden im öffentlichen Raum ist überwiegend deutlich niedriger, als dies durch die polizeilichen Kriminalstatistiken zu begründen wäre; zugleich zeigt sich eine weitgehende Ausblendung von naheliegenden Sicherheitsrisiken, insbesondere im häuslichen Bereich, im Straßenverkehr, auf Reisen oder in den sozialen Medien. Offensichtlich beschränkt sich eine geringe Sensibilisierung für Sicherheitsrisiken und die irrationale Einschätzung möglicher Gefährdungen nicht nur auf den privaten Kontext, sondern betrifft in gleicher Weise auch Entscheidungen und Verhalten in Unternehmen. So hat sich für die Arbeitssicherheit in den vergangenen Jahrzehnten eine hohe Regelungsdichte entwickelt: Gesetzliche Vorgaben verlangen heute nicht nur die Bereitstellung geeigneter Schutzausrüstung und die

330

C. Georgi und J. Harrer

Überwachung ihrer Nutzung, vielmehr setzt sie bereits bei der Gefährdungsanalyse an, die jede Führungskraft regelmäßig für den eigenen Verantwortungsbereich vornehmen und bei der mittlerweile auch arbeitsbedingter Stress mit berücksichtigt werden muss. Die Unternehmenssicherheit hingegen muss aktuell mit einer wesentlich niedrigeren Regelungsdichte auskommen. Dadurch bleibt dem betrieblichen Sicherheitsmanagement ein größerer Spielraum, zugleich leidet es in vielen Unternehmen unter einer unvorteilhaften Umsetzungsschwäche. Mit großer Expertise erarbeitete Schutzkonzepte werden vor Ort durch die Mitarbeiter des Unternehmens oft nur ansatzweise implementiert. Ritualisierte Awareness-Trainings bringen – wenn überhaupt – meist nur eine kurzfristige Erhöhung des Sicherheitsbewusstseins und damit des Implementierungsgrades. Zur Problemlösung werden im Kreis der Sicherheitsverantwortlichen aktuell zwei Ansatzpunkte diskutiert: Zum einen ist dies die Forderung nach weiteren gesetzlichen Grundlagen und verpflichtenden Normen und Standards für die Schutzarbeit im Unternehmen. Zum anderen ein eher management-fokussierter Ansatz, bei dem die Verantwortung für Sicherheit als Führungsaufgabe etabliert, entsprechende Ziele über alle Ebenen kaskadiert und ihre Erreichung im Rahmen der Mitarbeiterjahresgespräche überprüft werden. Dabei sollte Sicherheit nicht nur aus juristischen oder wirtschaftlichen, sondern auch aus ethisch-moralischen Gründen nachhaltig in Unternehmen verankert sein. Das betriebliche Sicherheitsmanagement beschäftigt sich im Kontext seiner Schutzarbeit nicht nur mit Sachgütern, sondern auch mit der physischen Integrität, der Gesundheit und dem Überleben der Mitarbeiter (Harrer 2017). Berechnungen der British HSE zufolge lässt sich ein Arbeitsunfall mit Todesfolge mit Kosten in Höhe von 1.391.000 Pfund Sterling veranschlagen (HSE 2018; Entorf 2013). Aber Kosteneffizienz ist für multinationale Unternehmen nicht der einzige wichtige Aspekt. Es geht dort auch um Themen wie Vertrauen, Corporate Responsibility und Nachhaltigkeit. Von diesen nicht-finanziellen Perspektiven aus folgen viele Unternehmen implizit oder explizit einem aktuellen Paradigma, dass sie z.B. „Zero Harm Culture“ [Siemens], „Zero Accident Program“ [Beiersdorf] oder „Responsible Care“ [BASF] nennen (Harrer und Wald 2013).

Letztlich ist fraglich, ob – insbesondere in der öffentlichen Wahrnehmung – ein Menschenleben mit materiellen oder finanziellen Gegenwerten aufgewogen werden kann. Vielmehr birgt ein nachhaltiges Commitment, Mitarbeitern den bestmöglichen Schutz zur Verfügung zu stellen, positive Effekte im Kontext der Mitarbeitergewinnung, -zufriedenheit und -bindung (Harrer 2017).

Das betriebliche Sicherheitsmanagement …

331

6 Ausblick: Akzente für die weitere betriebswirtschaftliche Sicherheitsforschung Noch immer fristet das betriebliche Sicherheitsmanagement nicht nur in den Unternehmen, sondern auch in der nationalen und internationalen Sicherheitsforschung ein Schattendasein. Und das obwohl die Geschäftstätigkeit, insbesondere in Risikogebieten, ohne erprobte Sicherheitsroutinen nicht realisiert und dauerhaft aufrechterhalten werden kann. Der Wertbeitrag, den das betriebliche Sicherheitsmanagement durch den Schutz von materiellen und immateriellen Assets des Unternehmens vor dolosen Handlungen erbringt (Asset Protection), muss in Zukunft klarer und zielgerichteter kommuniziert werden. Hierzu muss die Schutzleistung – das Sicherstellen der Verfügbarkeit, Vollständigkeit, Unversehrtheit und Integrität, sowie bei Informationen die Vertraulichkeit, der Assets (Asset Security), um diese zur Verrichtung der Geschäftstätigkeit verwenden zu können (Asset Usability) – hinsichtlich ihrer inner- und außerbetrieblichen Wirkung dargestellt und quantifiziert werden. Ausgangspunkt für die wissenschaftliche – und damit mittelbar auch unternehmerische – Weiterentwicklung des betrieblichen Sicherheitsmanagements bildet dabei die Abbildung des Status quo: Wie dargestellt, zeichnet sich bis dato weder ein einheitliches Bild über die Handlungsfelder und Verantwortungsbereiche der internen Sicherheitsorganisation ab (Kap. 3) noch über deren organisatorischen Verankerung und Positionierung (Kap. 4). In Kooperation zwischen Wissenschaft und Praxis sollten daher multiple Fallstudien bei Firmen aller Größenordnungen durchgeführt werden, um die jeweils gewählte Aufbau- und Ablauforganisation des betrieblichen Sicherheitsmanagements vor dem Hintergrund dessen historischer Entwicklung sowie dem unternehmerischen Kontext – insbesondere der objektiven und subjektiven Bedrohungslage – zu erfassen. Anhand einer vergleichenden Darstellung ließen sich Gemeinsamkeiten und Differenzen identifizieren, die wertvolle Hinweise nicht nur für existierende Sicherheitsfunktionen, sondern auch für Unternehmen mit einer gering oder nicht ausgeprägten Sicherheitsorganisation liefern könnte. Eine Erfassung des Status quo ist weiterhin eine der zentralen Voraussetzungen für ein problem- und aufgabenorientiertes Bewusstsein für die Sicherheitsthemen von morgen. Um neuartige Gefährdungen frühzeitig zu erkennen und diese Erkenntnisse kontinuierlich für die Weiterentwicklung des betrieblichen Sicherheitsmanagements nutzbar zu machen, sollte eine systemisch-­ vernetzte Forschung aktuelle Entwicklungen in Unternehmen und Branchen sowie der Gesellschaft und Politik erfassen und in Form von Szenarien analysieren.

332

C. Georgi und J. Harrer

Ein spezieller Fokus sollte dabei auf den Risiken der Digitalisierung und erfolgversprechenden Gegenmaßnahmen sowie den Auswirkungen von (Schadens-) Ereignissen im digitalen Raum auf den Geschäftserfolg gelegt werden. Parallel hierzu gilt es, die Forschungsbemühungen im Bereich der Wertbeitragsmessung beziehungsweise des Security Performance Measurements zu verstärken, um für das betriebliche Sicherheitsmanagement akzeptierte qualitative und quantitative Indikatoren zu entwickeln. Diese dienen nicht nur zur Steigerung der Effizienz der Schutzleistungen, sondern auch zur Kommunikation von deren Effektivität gegenüber dem Top-Management. Ein möglicher Ansatzpunkt ist hier die Entwicklung von Best-Practices in der Dokumentation von Schadensereignissen (Incident Reporting) sowie in der Kalkulation der wirtschaftlichen Auswirkungen eben dieser, um die Schadenskosten infolge mangelnder Schutzarbeit besser zu erfassen. Um das Sicherheitsbewusstseins und die Sicherheitskultur in Unternehmen nachhaltig zu verankern und zu stärken, sollte sich die Wissenschaft auch der Erforschung von sicherheitsrelevantem Verhalten widmen. Insbesondere im Kontext des Social Engineerings könnte ein fundiertes Verständnis für Faktoren, die Opfer mehr oder weniger anfällig für Angriffe machen, einen maßgeblichen Beitrag zur Steigerung der Sicherheit beispielsweise durch effizientere Trainings liefern. Ebenso könnten auf Basis von Studien Maßnahmen identifiziert werden, die eine Implementierungsbereitschaft (Volition) von Sicherheitsmaßnahmen oder die Resilienz von Unternehmen erhöhen. Dabei gilt es für die Wissenschaft nicht, um des Forschens Willens zu forschen. Einerseits muss die Forschung in engem Austausch mit der Praxis erfolgen, um nutzbare Ergebnisse für die Praxis zu erzielen. Andererseits müssen die Ergebnisse derart aufbereitet werden, dass Sie für die Praxis direkt nutzbar sind. Dies kann beispielsweise in Form von Best-Practice-Cases, Benchmarks oder Quick-Checks erfolgen; ebenso in einem Angebot von Seminaren, Trainings und Schulungen sowohl für die Fachkräfte des betrieblichen Sicherheitsmanagement, als auch für deren Zielgruppe, sprich, die Führungskräfte anderer Abteilungen und Funktionen des Unternehmens, die bislang nur mittelbar mit der Sicherheit in Kontakt gekommen sind. Die Forschung fordert allerdings auch die Unterstützung durch die Praxis: Sicherheitsexperten müssen ihr Wissen und ihre Erfahrungen der Wissenschaft zugänglich machen, damit neue praxisrelevante Erkenntnisse generiert werden können. Und dies gilt nicht nur für einzelne Unternehmen: Unternehmensübergreifende Erkenntnisse lassen sich nur aus vielen Unternehmen gewinnen.

Das betriebliche Sicherheitsmanagement …

333

Literatur Allweyer, T. (2014). BPMN-Prozessmodelle und Unternehmensarchitekturen: Untersuchung von Ansätzen zur Methodenintegration und ihrer Umsetzung in aktuellen Modellierungstools (Forschungsbericht). Hochschule Kaiserslauter. Ambler, T., & Roberts, K. (2007). Choosing marketing dashboard metrics. In A. Neely (Hrsg.), Business performance measurement: Unifying theories and integrating practice (2. Aufl., S. 239–260). Cambridge: Cambridge University Press. Barney, J. B. (1991). Firm resources and sustained competitive advantage. Journal of Management, 17(1), 99–122. Boehmer, W. (2008). Appraisal of the effectiveness and efficiency of an information security management system based on ISO 27001. Paper presented at the 2008 second international conference on emerging security information, systems and technologies, Cap Esterel. Böhle, C., Hellingrath, B., & Deuter, P. (2014). Towards process reference models for secure supply chains. Journal of Transportation Security, 7(3), 255–276. Bossel, H. (2004). Systeme, Dynamik, Simulation: Modellbildung, Analyse und Simulation komplexer Systeme. Norderstedt: Books on Demand. Brotby, W. K. (2009). Information security management metrics: A definitive guide to effective security monitoring and measurement. Boca Raton: CRC Press. Bundesinstitut für Risikobewertung [BfR]. (26. Februar 2010). „Risiko“ oder „Gefahr“? Experten trennen nicht einheitlich [Pressemitteilung]. http://www.bfr.bund.de/de/ presseinformation/2010/04/_risiko__oder__gefahr___experten_trennen_nicht_einheitlich-48560.html. Bundesministerium für Bildung und Forschung (BMBF) (Hrsg.). (2014). Die neue HightechStrategie Innovationen für Deutschland. Berlin: BMBF. Bundesministerium für Bildung und Forschung (BMBF). (n. d.). Sichere Gesellschaften: Schutz der Freiheit und Sicherheit Europas und seiner Bürger. https://www.horizont2020.de/einstieg-sicherheit.htm. Zugegriffen: 31. Juli. 2018. Burrill, D., & Green, K. (2011). Value from security. Milton Keynes: Author House. Briggs, R., Edwards, C., & Pickard, J. (2006). The business of resilience: Corporate security for the 21st century. London: Demos. Brown, M. G. (1996). Keeping score: Using the right metrics to drive world-class performance. Portland: Productivity Press. Campbell, G. K. (2011). Security executive council publication series: Measures and metrics in corporate security. Marietta: Security Executive Council. Campbell, G. K. (2012). Exploring the value story: How metrics proved the importance of one security executive’s internal first responder program. http://www.securityinfowatch.com/article/10754443/metrics-for-success-exploring-thevalue-story. Cokins, G. (2004). Performance management: Finding the missing pieces (to close the intelligence gap). Hoboken: Wiley. Collenberg, T. (2007). Risiko-orientierte Analyse, Bewertung und Ausgestaltung der Sicherheit von Informationssystemen: Revision und Controlling der IT-Security (Dissertation). Universität Duisburg-Essen, Göttingen. Comfort, L. K., Boin, A., & Demchak, C. C. (Hrsg.). (2010). Designing resilience: Preparing for extreme events. Pittsburgh: University of Pittsburgh Press.

334

C. Georgi und J. Harrer

Contos, B. T., Crowell, W. P., DeRodeff, C., Dunkel, D., & Cole, E. (2007). Physical and logical security convergence: Powered by enterprise security management. Burlington: Syngress. Daase, C. (2012). Sicherheitskultur als interdisziplinäres Forschungsprogramm. In C. Daase, P. Offermann, & V. Rauer (Hrsg.), Sicherheitskultur: Soziale und politische Praktiken der Gefahrenabwehr (S. 23–44). Frankfurt a. M.: Campus. Dalton, D. R. (1995). Security management: Business strategies for success. Boston: Butterworth-Heinemann. Dalton, D. R. (1998). The art of successful security management. Boston: ButterworthHeinemann. Dalton, D. R. (2003). Rethinking corporate security in the post-9/11 era: Issues and strategies for today’s global business community. Boston: Butterworth-Heinemann. Davis, P.-K. (2001). Effects-based operations: A grand challenge for the analytical community. Santa Monica: RAND Corporation. Dörner, D. (2011). Die Logik des Misslingens: Strategisches Denken in komplexen Situationen. Reinbek: Rowohlt. Duden. (2018a). Gefahr. https://www.duden.de/node/653640/revisions/1681725/view. Duden. (2018b). Schaden. https://www.duden.de/node/686260/revisions/1677952/view. Duden. (2018c). Sicherheit. https://www.duden.de/node/673347/revisions/1680756/view. Eller, R., Heinrich, M., Perrot, R., & Reif, M. (Hrsg.). (2010). Kompaktwissen Risikomanagement: Nachschlagen, verstehen und erfolgreich umsetzen. Wiesbaden: Gabler. Elliott, D., Swartz, E., & Herbane, B. (2010). Business continuity management: A crisis management approach (2. Aufl.). New York: Routledge. Entorf, H. (2013). The value of safety: Some remarks on the economics of safety (MPRA Paper No. 49690). München: Munich Personal RePEc Archive. Faial, J. C. (2002). An introduction to information security performance measurement: Using Balanced Scorecards for measuring IS performance. https://www.giac.org/paper/ gsec/2272/introduction-information-security-performance-measurement/103901. Fitzgerald, L. (2007). Performance measurement. In T. Hopper, D. Northcott, & R. Scapens (Hrsg.), Issues in management accounting (3. Aufl., S. 223–241). Harlow: Prentice Hall. Fitzgerald, L., Johnston, R., Brignall, S., Silvestro, R., & Voss, C. (1991). Performance measurement in service businesses. London: Chartered Institute of Management Accountants. Forrester, J. W. (2013). Industrial dynamics (Nachdruck der 1. Aufl. von 1961). Mansfield Centre: Martino. Fröhlich-Gildhoff, K., & Rönnau-Böse, M. (2011). Resilienz (2. Aufl.). München: Verlag Ernst Reinhard. Gallagher, R. B. (1956). Risk management: New phase of cost control. Harvard Business Review, 34(5), 75–86. Georgi, C. & Harrer, J. (2018). Projektsicherheit: Internationaler Projekterfolg durch effektive Gefahrenabwehr. Projektmanagement Aktuell, 2018(5), 34–39. Giachetti, R. E. (2010). Design of enterprise systems: Theory, architecture, and methods. Boca Raton: CRC Press. Gill, M. L. (Hrsg.). (2006). The handbook of security. New York: Palgrave Macmillan.

Das betriebliche Sicherheitsmanagement …

335

Gladen, W. (2011). Performance Measurement: Controlling mit Kennzahlen (5. Aufl.). Wiesbaden: Gabler. Gleich, R. (2011). Performance Measurement: Konzepte, Fallstudien und Grundschema für die Praxis (2. Völlig überarb. Aufl.). München: Vahlen. Gleich, R., Kieninger, M., & Kämmler-Burrak, A. (2008). Auswirkung der Fair-­ValueBewertung nach IAS/IFRS auf das Performance Measurement. In W. Funk & J. Rossmanith (Hrsg.), Internationale Rechnungslegung und internationales Controlling: Herausforderungen – Handlungsfelder – Erfolgspotenziale (S. 481–516). Wiesbaden: Gabler. Gomez, P., & Probst, G. (1995). Die Praxis des ganzheitlichen Problemlösens: Vernetzt denken, unternehmerisch handeln, persönlich überzeugen. Bern: Haupt. Harrer, J. (2017). Security Performance Measurement: Messung und Wertbeitragsermittlung von Leistungen der Unternehmenssicherheit. Münster: Lit. Harrer, J., & Wald, A. (2016). Levers of enterprise security control: A study on the use, measurement and value contribution. Journal of Management Control, 27(1), 7–32. Hayden, L. (2010). IT security metrics: A practical framework for measuring security & protecting data. New York: McGraw-Hill. Health & Safety Executive (HSE). (2001). A guide to measuring health & safety performance. http://www.hse.gov.uk/opsunit/perfmeas.pdf. Health & Safety Executive (HSE). (2018). Economics of Health and safety: Appraisal values or unit costs. http://www.hse.gov.uk/economics/eauappraisal.htm. Zugegriffen: 27. März 2018. Hellingrath, B., Böhle, C., & Middelhoff, M. (2013). Simulation of a logistics network toimport goods with unknown risk to increase the security in the supply chain. In Proceedingsof the ASIM 2013, Paderborn. Heppelmann, S., Stettner, T., & Corell, F.-C. (2002). Wertschaffung und Wertmanagement in der Schaden- und Unfallversicherung. Zeitschrift für Versicherungswesen, 53(5), 1–12. Hess, K. M. (2009). Introduction to private security (5. Aufl.). Belmont: Wadsworth Cengage Learning. Hiles, A. (Hrsg.). (2011). The definitive handbook of business continuity management (3. Aufl.). Hoboken: Wiley. Hummelsheim-Doss, D. (2017). Objektive und subjektive Sicherheit in Deutschland: Eine wissenschaftliche Annäherung an das Sicherheitsgefühl. Aus Politik und Zeitgeschichte, 67(32–33), 34–39. Janicak, C. A. (2010). Safety metrics: Tools and techniques for measuring safety performance (2. Aufl.). Maryland: Bernen Press. Jaquith, A. (2007). Security metrics: Replacing fear, uncertainty, and doubt. Upper Saddle River: Addison-Wesley. Jobbagy, Z. (2003). Literature survey on effects-based operations: A Ph.D. study on measuring military effects and effectiveness (Dissertation). TNO Physics and Electrics Laboratory, Den Hague. Kaufman, R., Oakley-Browne, H., Watkins, R., & Leigh, D. (2003). Strategic planning for success: Aligning people, performance, and payoffs. San Francisco: Wiley.

336

C. Georgi und J. Harrer

Kestermann, C., Körmer, C., Langer, M., & Hartmann, A. (2017). Konzernsicherheit in den Top100-Unternehmen: Deutschland – Österreich – Schweiz. Wien: Hochschule für Öffentliche Verwaltung Bremen & FH Campus Wien. Kosko, B. (1995). Fuzzy-logisch: Eine neue Art des Denkens. Düsseldorf: ECON Taschenbuch. Kovacich, G. L., & Halibozek, E. P. (2009). Security metrics management: How to manage the costs of an asset protection program. Burlington: Butterworth-Heinemann. Lang, K., Taumann, W., & Bodendorf, F. (1996). Business process reengineering with reusable reference process building blocks. In B. Scholz-Reiter & E. Stickel (Hrsg.), Business process modelling (S. 266–290). Berlin: Springer. Lankhorst, M. (2013). Enterprise architecture at work: Modelling, communication and analysis (3. Aufl.). Heidelberg: Springer. Larson, R. (2013). Resilience in the global supply chain: Turning potential disruption to competitive advantage. In TAPA EMEA Q4 Conference 2013, Berlin. Lehtinen, E., & Wahlström, B. (2002). Safety performance measurement in process industries. In Third International Conference on Performance Measurement and Management, Boston, MA. Lindner, J. (2009). Qualitätsmanagement in der nicht polizeilichen Gefahrenabwehr. Berlin: Steinbeis-Edition. Mann, E. C., Endersby, G., & Searle, T. R. (2002). Thinking effects: Effects-based methodology for joint operations (CADRE Paper No. 15). Maxwell Air Force Base: Air University Press. Matousek, M., Schlienger, T., & Teufel, S. (2004). Metriken und Konzepte zur Messung der Informationssicherheit. HMD – Praxis der Wirtschaftsinformatik, 236, 33–41. Matschke, K.-D., & Ick, R. (1998). Security Quality Management Handbuch: Grundsätze und Verfahren für umfassende Unternehmenssicherheit. Ingelheim: SecuMedia. Middelhoff, M., Böhle, C., & Hellingrath, B. (2014). Modeling and analyzing information security in secure logistics business processes. In D. Kundisch, L. Suhl, & L. Beckmann (Hrsg.), Tagungsband Multikonferenz Wirtschaftsinformatik 2014 (S. 1924–1936). Paderborn: Universität Paderborn. O’Brien, D. P. (2000). Business measurements for safety performance. Boca Raton: Lewis Publishers. Organization for Economic Cooperation and Development (OECD). (2008). Guidance on developing safety performance indicators: Related to chemical accident prevention, preparedness and response. Guidance for industry. Paris: Organization for Economic Cooperation and Development. Pettit, J. (2000). EVA & production strategy: Jonah is back! (EVAluation, Juli 2000). New York: Stern Stewart & Co. Pettit, T. J. (2008). Supply chain resilience: Development of a conceptual framework, an assessment tool and an implementation process (Dissertation). Ohio State University, Columbus, OH. Porter, M. E. (1980). Competitive strategy: Techniques for analyzing industries and competitors. New York: Free Press. Powell, R. (2009). The measurement of safety performance. West Perth: Safetyline Institute. Prior, T., & Roth, F. (2013). Disaster, resilience and security in global cities. Journal of Strategic Security, 6(2), 59–69. Rail Safety and Standards Board (RSSB). (2011). Measuring safety performance: How to develop and manage safety performance indicators for Britain’s railways. London: RSSB.

Das betriebliche Sicherheitsmanagement …

337

Reynolds, C. (2010). Introduction to business architecture. Boston: Course Technology PTR. Rivkin, W. V. (2010). The elegant enterprise: The shinning city on the hill described by the theory of the enterprise, reachable via theory of the enterprise. Scotts Valley: CreateSpace. Ross, J. W., Weill, P., & Robertson, D. C. (2006). Enterprise architecture as strategy: Creating a foundation for business execution. Boston: Harvard Business School Press. Rummler, G. A., & Brache, A. P. (1995). Improving performance: How to manage the white space on the organization chart (2. Aufl.). San Francisco: Jossey-Bass. Rummler, G. A., Ramias, A. J., & Wilkins, C. L. (2011). Rediscovering value: Leading the 3-D enterprise to sustainable success. San Francisco: Jossey-Bass. Sack, D. K. (2007). Corporate security: Standort-security. Berlin: Steinbeis-Edition. Saurugg, H. (2013). Resilienz: Der gefährliche Schein des Einfachen. Security Insight, 2013(6), 10–15. Scheer, A. W. (1998). Wirtschaftsinformatik: Referenzmodelle für industrielle Geschäftsprozesse (Studienausgabe, 2., durchgesehene Auflage). Berlin: Springer. Senge, P. M. (1996). Die fünfte Disziplin (2. Aufl.). Stuttgart: Klett-Cotta. Schenke, W.-R. (2016). Polizei- und Ordnungsrecht (9. Aufl.). Heidelberg: C.F. Müller. Sheffi, Y. (2007). The resilient enterprise: Overcoming vulnerability for competitive advantage. Cambridge: MIT Press. Simons, R. (2000). Performance measurement & control systems for implementing strategy: Text & Cases. Upper Saddle River: Prentice-Hall. Smith, C., & Brooks, D. J. (2012). Security science: The theory and practice of security. Burlington: Butterworth-Heinemann. Sterman, J. D. (2000). Business dynamics: Systems thinking and modeling for a complex world. Boston: McGraw-Hill. Talbot, J., & Jakeman, M. (2009). Security risk management: Body of knowledge. Hoboken: Wiley. Tallau, L. T., Gupta, M. G., & Sharman, R. S. (2010). Information security investment decisions: Evaluating the balanced scorecard method. International Journal of Business Information Systems, 5(1), 34–57. The European Chemical Industry Council (cefic). (2008). Risiko und Gefahr: Was der Unterschied ist? Brüssel. https://www.google.de/url?sa=t&rct=j&q=&esrc=s&source=web& cd= 1&ved= 0ahUKEwiQjpy_lozaAhUEMZoKHRFdC4sQFggnMAA&url= http%3A%2F%2Fde.cleanright.eu%2Fforce-download.p`hp%3Ffile%3D%2Fmedia%2Fwde-de%2Frisk-hazard-2008-de.pdf&usg=AOvVaw0ivGo9hTUy76H4BPeXcJSN. Trauboth, J. H. (Hrsg.). (2016). Krisenmanagement in Unternehmen und öffentlichen Einrichtungen: Professionelle Prävention und Reaktion bei sicherheitsrelevanten Bedrohungen von innen und außen. Stuttgart: Boorberg. Tsinas, L., & Trösken, B. (2009). KPI-Framework für Informationssicherheit. Die Zeitschrift für Informationssicherheit, 25(4), 6–12. Ulrich, H., & Probst, G. J. B. (1990). Anleitung zum ganzheitlichen Denken und Handeln: Ein Brevier für Führungskräfte (2. Aufl.). Bern: Haupt. Välikangas, L. (2010). The resilient organization: How adaptive cultures thrive even when strategy fails. New York: McGraw-Hill.

338

C. Georgi und J. Harrer

Walby, K., & Lippert, R. K. (2015). Ford first? Corporate security and the US department of War’s plant protection service’s interior organization unit 1917–1918. Labor History, 56(2), 117–135. Walker, B., & Salt, D. (2012). Resilience practice: Building capacity to absorb disturbance and maintain function. Washington: Island Press. Whelan, J., & Meaden, G. (2012). Business architecture: A practical guide. Burlington: Gower Publishing. Wittkuhn, K. D. (2001). Performance-Systeme und ihre Bedeutung für das Unternehmen. In K. D. Wittkuhn & T. Bartscher (Hrsg.), Improving Performance: Leistungspotenziale in Organisationen entfalten (S. 35–53). Neuwied: Luchterhand. Wong, C. (2012). Security metrics: A beginner’s guide. New York: McGraw-Hill. Young, C. S. (2010). Metrics and methods for security risk management. Boston: Syngress.