Bundesverband Deutscher Sachverständiger und Fachgutachter
Kompetenzpartner von SICHERHEIT. Das Fachmagazin.
Artikel zum Thema Effektiver Aufbau einer Sicherheitsorganisation
Eine Sicherheitsorganisation als integralen Bestandteil im Unternehmen aufbauen
„Sicherheit ist ein dynamischer Prozess, kein statischer Zustand!“ Demzufolge muss Sicherheit integrativ mit einem systematischen Ansatz und Vorgehen gesteuert werden, um strukturiert alle Themen- und Geschäftsbereiche abzudecken. Nur so lassen sich vorab definierte Schutzziele angemessen schützen. Um sich überhaupt zum Schutz des Unternehmens konkrete Gedanken machen zu können, benötigt es eine funktionierende Sicherheitsorganisation. Das Ziel dieser Sicherheitsorganisation – und dem damit verbundenen Aufbau eines Sicherheitsmanagementsystems – ist die Erlangung eines einheitlichen Sicherheitsniveaus und die Verankerung von Sicherheit in der Unternehmenskultur.
Ein funktionierendes und nachhaltiges Sicherheitsmanagementsystem muss in die existierenden Strukturen und Gegebenheiten der Organisation und Kultur eingebettet werden. Sicherheit lässt sich grundsätzlich nicht aufzwängen oder überstülpen, sie muss stets den individuellen Rahmenbedingungen und dem Kontext eines Unternehmens angepasst werden und in die Organisationsstruktur übernommen werden. Wichtig ist, dass sich die oberste Leitungsebene ihrer Verantwortung für (Unternehmens-) Sicherheit bewusst ist und hinter den Sicherheitszielen sowie den daraus resultierenden Sicherheitsmaßnahmen steht. Denn diese gewährleisten die Fortführung der Geschäftsprozesse, auch wenn insbesondere dieser Umstand vielen nicht auf Anhieb bewusst ist. Sicherheitsprozesse müssen von „oben“ initiiert, gesteuert und letztlich kontrolliert werden. Um dieser Aufgabe gerecht zu werden, ist die Benennung eines Sicherheitsverantwortlichen ein erster und unabdingbarer Schritt.
ERNENNUNG EINES SICHERHEITSVERANTWORTLICHEN
Sicherheit kann nicht in einem einzelnen Geschäftsbereich realisiert werden, sondern muss als integrativer Bestandteil aller unternehmerischen Prozesse betrachtet werden, damit der Werteschutz keine Lücken aufweist. Daher ist es unabdingbar, einen zentralen Ansprechpartner und Koordinator im Unternehmen zu definieren und diesen Funktionsträger mit entsprechenden Ressourcen auszustatten – sowohl personell mit entsprechenden Weisungsbefugnissen als auch monetär mit angemessenen finanziellen Möglichkeiten. Dem Sicherheitsverantwortlichen im Unternehmen (auch Corporate Security Officer, Sicherheitsbeauftragter, Leiter Corporate Security oder Sicherheitsmanager genannt) obliegt die konkrete Ausgestaltung der Sicherheitsorganisation im Unternehmen. Die Zuständigkeit erstreckt sich auf die Verantwortung für alle durch die oberste Leitungsebene definierten Themengebiete sowie die entsprechenden Schnittstellenkoordinationen und die Etablierung von Sicherheitsmaßnahmen mit nicht innerhalb der Organisationsstruktur integrierten Fachgebieten, wie z. B. IT, Datenschutz, Compliance, Arbeitssicherheit etc. sowie bereichsübergreifenden Prozessen, wie z. B. Mitarbeiterschulungen, Sicherheitsvorfallmanagement, Bewerberprüfungen/Einstellungsvorgaben etc. Hierzu werden klare Verantwortlichkeiten, Kompetenzen, Aufgaben sowie Dokumentations- und Berichterstattungsintervalle definiert.
Um den Stellenwert von „Sicherheit im Unternehmen“ abzubilden und dies auch tief in die Unternehmenskultur (Sensibilität gegenüber Sicherheitsrisiken, Eigeninitiative beim Umgang mit Sicherheitslücken, Schutz des unternehmerischen Know-hows, Umgang mit betriebsfremden Personen, Einhaltung von Sicherheitsmeldungen an die verantwortlichen Stellen im Unternehmen etc.) zu verankern, ist eine offizielle Ernennung und Integration des Sicherheitsverantwortlichen in die Aufbauorganisation des Unternehmens (Organigramm) erforderlich und dringend ratsam.
AUFGABEN EINER SICHERHEITSORGANISATION
Die Aufgaben einer Sicherheitsorganisation und somit eines Sicherheitsverantwortlichen unterliegen aufgrund von sich stets verändernden Risiko- und Bedrohungslagen oder etwaigen Sicherheitsvorkommnissen einem dynamischen Wandel.
Zu den Hauptaufgaben einer Sicherheitsorganisation zählen:
das Erstellen einer Sicherheitsrichtlinie und Sicherheitsstrategie,
die Beratung der Führungs- und Leitungsebenen in Sicherheitsfragen,
das Erstellen von regelmäßigen Sicherheitsreports für die Führungs- und Leitungsebenen,
die Leitung von spezialisierten und technischen Sicherheitsdienstleistungen und Dienstleistern,
die Weiterentwicklung der Sicherheit im Unternehmen (Aufbau eines in- und externen Netzwerks),
das Vorleben von Sicherheit und der Integration im Unternehmen (Security Awareness/Marketing),
die Aktualisierung stetiger Sicherheitslagebilder unter Einbeziehung verschiedenster Quellen (Landespolizei, Bundeskriminalamt, Verfassungsschutz, Bundesamt für Informationssicherheit, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe etc.),
der kontinuierliche partnerschaftliche Austausch mit anderen Fachbereichen, Prozessverantwortlichen und Schnittstellen im Unternehmen,
die interne Unterstützungsleistung bei diversen Zertifizierungsprozessen (AEO, C-TPAT, bekannter Versender, BSI IT-Grundschutz, ISO 27001, ISO 28000, Food Defense etc.),
das Erkennen, Bewerten und Eindämmen sicherheitsrelevanter Risiken und Gefährdungen sowie
die Definition von Maßnahmen zur Behandlung von Sicherheitsrisiken und
das Durchführen von regelmäßigen Sicherheitstests und -audits.
Diese Hauptaufgaben müssen dann in allen für die Sicherheitsorganisation definierten Themengebieten geleistet werden. Dies erfolgt automatisch nach dem sog. PDCA-Zyklus, bei dem jede definierte Strategie bzw. Maßnahme hinterfragt wird und somit eine kontinuierliche Verbesserung und permanente Weiterentwicklung stattfindet.
Die Sicherheitsorganisation übernimmt zusätzlich noch weitere unterstützende Funktionen für andere Geschäftsbereiche, wie z. B. die strategische Steuerung bei sicherheitsrelevanten Fragestellungen (z. B. der Erschließung neuer Märkte, der Planung von (Neu-) Bauprojekten, etwaigen Unternehmensübernahmen/-integrationen, der Vergabe und dem Einkauf wichtiger Fremddienstleistungen, der (sicheren) Planung und Begleitung von Veranstaltungen und Messeauftritten etc.). Dazu zählt auch die entsprechende Unterstützung der Geschäftsbereiche in der Anwendung und im Umgang mit Sicherheitsvorkehrungen/-maßnahmen. Nicht nur neue Rahmenbedingungen z. B. aufgrund von veränderten Risiko- und Bedrohungslagen oder etwaigen Sicherheitsvorkommnissen, auch operationelle Fragestellungen und künftige unternehmerische Herausforderungen sollten in regelmäßigen Sitzungen aller Fachbereiche mit den jeweiligen Schnittstellenkoordinatoren und ggf. weiteren fachkundigen Personen stattfinden. Hierbei können aktuelle Themen, Herausforderungen und/ oder Optimierungen gemeinsam besprochen und angegangen werden.
IN 10 SCHRITTEN EINE SICHERHEITSORGANISATION AUFBAUEN
Aufbau einer Sicherheitsorganisation und somit eines erfolgreichen und wirksamen Sicherheitsmanagementsystems:
Sicherheitsverantwortlichen benennen
Risiko- und Gefährdungsanalyse erstellen, Schutzziele definieren
Sicherheitsstrategie entwickeln und an den Schutzzielen des Unternehmens ausrichten
Sicherheitsleitlinie/Sicherheitsrichtlinie erstellen (Schutzziele, Definitionen, Verantwortlichkeiten, Informations- und Berichtspflichten, Kontrollmaßnahmen etc.)
Sicherheitsorganisation aufbauen (Ansprechpartner, Zuständigkeiten, Verantwortlichkeiten, Aufgabenbereiche, Schnittstellen etc.) und mit Ressourcen ausstatten (personell und finanziell)
Sicherheitskonzept erstellen und konkrete Sicherheitsvorkehrungen/-maßnahmen umsetzen
Überprüfung der Sicherheitsvorkehrungen/-maßnahmen anhand des PDCA-Zyklus betreiben
Regelmäßige fachübergreifende Besprechungen und Berichterstattung an die oberste Leitungsebene
Qualitätssicherung betreiben (Audits, Penetrations- und Schwachstellentests, Test von sicherheitstechnischen Komponenten, Krisen- und Notfallmanagementübungen etc.)
Anpassung von Sicherheitskonzepten und ggf. der Sicherheitsorganisation bei sich verändernden Rahmenbedingungen
Mit der Einbindung der Sicherheitsorganisation als fundamentaler Bestandteil können die komplexen Prozesse der Sicherheit und die damit einhergehenden materiellen, konzeptionellen und menschlichen Ressourcen ideal gesteuert werden. Nur dadurch ist eine vorausschauende Planung von Sicherheitsmaßnahmen und -vorkehrungen auf strategischer und organisatorischer Ebene für alle Bereiche und Prozesse möglich.