Gefährdungsanalysen und Sicherheitslösungen für die Wirtschaft standen im Mittelpunkt des Thementags „Sicheres Unternehmen“, der am 21. November 2011 in Kooperation vom Sächsischen Verband für Sicherheit in der Wirtschaft e.V., dem Landeskriminalamt Sachsen sowie dem Landesamt für Verfassungsschutz Sachsen durchgeführt wurde. Basis der Kooperation ist das Projekt „Sicheres Unternehmen“, das vor mehr als einem Jahr gemeinsam vom SVSW, den sächsischen Polizeibehörden sowie vom Wirtschaftsjournal initiiert wurde. Die Veranstaltung wurde unterstützt durch die IHK Dresden.
Nach der Eröffnung der Veranstaltung durch den Vorsitzenden des SVSW, Andreas Nenner, begrüßte der Präsident der IHK Dresden, Dr. Günter Bruntsch, die 110 Teilnehmer und würdigte die Initiative für dieses Projekt. Er hob insbesondere die Bedeutung des Projekts für kleine und mittelständische Unternehmen hervor, denn zahlreiche mittelständische sächsische Firmen seien Know-how-Träger, könnten sich aber im Gegensatz zu größeren Unternehmen und Konzernen keine eigene Sicherheitsabteilungen leisten. Auch fehle es hier und da an ausreichenden präventiven Sicherheitslösungen.
Landespolizeipräsident Bernd Merbitz nannte eine gut funktionierende Wirtschaft als Voraussetzung für stabile politische und gesellschaftliche Systeme. Das Projekt „Sicheres Unternehmen“ sei dabei ein wichtiger Unterstützungsfaktor, insbesondere vor dem Hintergrund, dass Sachsen hinsichtlich des wirtschaftlichen Know-hows bundesweit an vierter Stelle einzuordnen sei. Mit der Attraktivität erhöhe sich auch das Risiko der Spionage und Konkurrenzausspähung. Merbitz rief die Unternehmen auf, Hilfsangebote, wie zum Beispiel das Projekt „Sicheres Unternehmen“, anzunehmen, in Verdachtsfällen Anzeige zu erstatten und auf die Behörden zuzugehen.
Andreas Nenner, Vorsitzender des SVSW, erläuterte in einem Hauptreferat die Inhalte des Projekts „Sicheres Unternehmen“, dessen Kern die Überprüfung von interessierten Unternehmen auf deren Sicherheit ist. Prüfer sind dabei Spezialisten der Polizei sowie externe Fachleute. Nach einer Vorevaluierung wird das Unternehmen von den Prüfern begangen, wobei sie vor allem auf Objektsicherheit, sicherheitstechnische Ausstattung, IT-Sicherheit sowie Personal- und Organisationssicherheit achten. In einer abschließenden Bewertung erhält das Unternehmen eine Bewertung der umgesetzten Sicherheitsmaßnahmen sowie eine Empfehlung über die noch zu realisierenden Maßnahmen. Die abzustellenden Sicherheitsmängel werden dabei in unterschiedliche Dringlichkeitskategorien eingeteilt.
Für die Zukunft ist geplant, so Nenner, gemeinsam mit dem Landeskriminalamt Sachsen eine Empfehlungsliste zu erstellen, in die Unternehmen aufgenommen werden, die die geprüften Unternehmen bei der Behebung festgestellter Sicherheitsmängel unterstützen können. Um in dieser Liste aufgenommen zu werden, muss sich das Unternehmen einer Zertifizierung unterziehen. Aber auch für die geprüften kleinen und mittelständischen Unternehmen soll zukünftig eine Zertifizierung nach Überprüfung und Behebung der erkannten Schwachstellen realisiert werden. Die Kriterien hierzu würden derzeit entwickelt.
Objektsicherheit war das Thema von Prof. Dr.-Ing. Andreas Hasenpusch, Ingenieurbüro Rathenow BPS GmbH. „Wer braucht schon Objektsicherheit?“, lautete seine gezielt provokante Einstiegsfrage. Trotz zunehmender IT-Gefahren seien die Anforderungen an die Objektsicherheit und an sicherheitstechnische Ausstattungen der Unternehmen unverändert hoch. Dabei würden die Sicherheitsanforderungen zunehmend komplexer. Ausgangspunkt für Sicherheitsmaßnahmen sei immer der konkrete Schutzbedarf des Nutzers. Die anschließende Gefährdungs- und Schwachstellenanalyse sowie die Herausarbeitung der Risiken bei der Erstellung eines Sicherheitskonzeptes seien dann die zentralen Themen. Dabei gehe es einerseits um das frühzeitige Erkennen und Verhindern von Ereignissen, um die Ereignisse bekämpfende Maßnahmen sowie um eine konkrete Nachweisführung, andererseits aber auch um bauliche, technische, personelle und organisatorische Maßnahmen. Detailliert ging Prof. Dr. Hasenpusch auf das Thema Perimeterschutz und Freigeländesicherung ein. Auch unter schwierigen örtlichen Gegebenheiten oder Geländebedingungen seien heute zuverlässige Sicherheitslösungen zur Detektion oder dem Zutrittsschutz am Markt verfügbar.
Dr. Kai Fuhrberg, Referatsleiter C1 im Bundesamt für Sicherheit in der Informationstechnik, informierte über die Attraktivität von Cyberangriffen für deren Urheber. Sie kämen aus der Distanz, ohne Vor-Ort-Risiko mit optimalen Tarnungsoptionen und geringen Entdeckungsrisiken. Grundsätzlich sei jegliche Technik, die mit einer Verbindung zum Internet arbeite, attackierbar. Auch parallele Angriffe auf verschiedene Ziele seien möglich. Die Angriffsmittel seien permanent verfügbar und beschaffbar. Angesichts zunehmender Angriffe der Hacker, Cyber-Aktivisten, Cyber-Kriminellen, der Konkurrenzspione und staatlichen Nachrichtendienste im Cyber-Raum und der staatlichen Aggressoren als Cyber-War lautete seine Kernbotschaft: „Zuerst Prävention statt Reaktion.“
Dr. Fuhrberg verwies darauf, dass der Umfang und die Komplexität heutiger Software oft Fehlerfreiheit verhindere. Es entstehe so ein kritisches Zeitfenster der Schutzlosigkeit. Weltkonzerne seien davon – trotz hoher Sicherheitsstandards – ebenso betroffen, wie Privatpersonen. Einige Zahlen dazu:
Alle 2 Sekunden entstehe ein neues Schadprogramm, pro Minute würden zwei Identitäten gestohlen, pro Tag gingen vier bis fünf gezielte Trojaner-E-Mails im Regierungsnetz ein und pro Monat würden 30.000 Zugriffsversuche auf schädliche Webseiten aus dem Regierungsnetz festgestellt, Als wichtige Maßnahmen zum wirksamen IT-Schutz nannte Dr. Puhrberg unter anderem den Schutz der Netzübergänge, die Netztrennung (auch intern), aktuelle Software und Malware Scanner, die Einschränkung mobiler Datenträger (einschließlich der Smartphones) und ein auf das Personal bezogenes Sicherheitsmanagement. Übergreifend sei aber die Sensibilisierung für die IT-Gefahren. In den Unternehmen müsse die Informationssicherheit Chefsache sein.
Organisationssicherheit und personelle Sicherheit war das Thema von Jörg Peter, Corporate Protection and Security, Robert Bosch GmbH. Sicherheitsmaßnahmen in Unternehmen bedeuten zunächst einmal Kosten, für Werkschutzpersonal, für die IT-Sicherheit, für Versicherungen etc. Sollte das Ziel also sinnvollerweise heißen, nur so viel Geld für Sicherheit auszugeben, wie unbedingt nötig? Eine proaktive Sicherheitsstrategie sollte sich Wertschöpfungs- und Wettbewerbsziele setzen. Sicherheit dürfe Geschäftsprozesse nicht verhindern,
sondern sollte sie ermöglichen. Sie könne Vertrauen schaffen und gezielt als Wettbewerbsvorteil eingesetzt werden, Geschäftsleitungen ließen sich allerdings oft nur auf Basis konkreter Zahlen von Sicherheitsinvestitionen überzeugen. Abstrakte Bedrohungsszenarien und hypothetische Argumentationsketten hätten dabei keine Lobby. Sicherheit müsse, so Peter, als Prozess und nicht als ein Produkt verstanden werden.
Wolf Rüdiger Moritz, Vice President Business Continuity, Infineon Technologies AG, referierte über Corporate Social Responsibility als ein dynamisches Konzept, das einen gesellschaftlichen Diskurs um die moralische Verantwortung von Unternehmen erfordert.
Ein Vertreter des Landesamtes für Verfassungsschutz Sachsen informierte über Methoden der Wirtschafts- und Konkurrenzspionage und verwies auf enorme finanzielle Schäden. Die Methoden der Informationsbeschaffung seien vielfältig und würden von der offenen Beschaffung bei Vortragsveranstaltungen, Ausstellungen, Symposien und Workshops, im Internet und über die Nutzung von Datenbanken bis zum Social Engineering reichen. Er verwies auf die Gefahrenpotenziale der Technik, die Risiken bei Reisen ins Ausland sowie auf die Gefahren durch den Faktor Mensch, durch Innentäter, durch den Einsatz von Fremdpersonal beim Outsourcen von speziellen Prozessen und bei der Nutzung sozialer Netzwerke. Er gab aber auch Handlungsempfehlungen und verwies auf ausführliches Material, das auf der LfV-Website zum Download bereit stehe.
Leitender Kriminaldirektor Volker Höhne, ständiger Vertreter des Präsidenten des Landeskriminalamtes Sachsen stellte die Aufgaben seiner Behörde, insbesondere im Bereich der vorbeugenden Kriminalitätsbekämpfung und beim Wirtschaftsschutz, dar. „Neue Gefahren für die Wirtschaft – neues polizeiliches Beratungsangebot Sicheres Unternehmen“, war das zentrale Thema des Referats.
Eine Podiumsdiskussion mit Jürg Sattler (Wirtschaftsjournal; Moderator), Ullrich Vellguth, Aufsichtsratsvorsitzender der G.U.B. Ingenieur AG, Zwickau, sowie Andreas Nenner, Vorsitzender des SVSW, beendete den Thementag. Das Fazit der Veranstaltung war eindeutig: Es wurden viele aktuelle Informationen weitergegeben und die Notwendigkeit einer entsprechenden Sensibilisierung für das Thema Sicherheit als zwingend erachtet. Von den Teilnehmern der Tagung wurde die Initiative „Sicheres Unternehmen“ begrüßt und dabei auch als „ein hervorragendes Beispiel des Zusammenwirkens der Sächsischen Polizei und dem Sächsischem Verband für Sicherheit in der Wirtschaft“ bezeichnet. Im Rahmen der Veranstaltung wurde das Projekt aus seiner Pilotphase herausgehoben und als ein Präventionsprojekt der Sächsischen Polizei etabliert.