Sicherheitsmanagement

Was ist Sicherheitsmanagement?

Wer sich mit dem Thema Sicherheitsmanagement auseinandersetzt stellt schnell fest, dass es offensichtlich unterschiedliche Sicherheiten in einem Unternehmen gibt: das IT-Sicherheitsmanagement, das Informationssicherheitsmanagement, die physische Sicherheit, die Arbeitssicherheit, die Standortsicherheit, die Rechtssicherheit und funktional betrachtet kommen weitere hinzu wie das Risikomanagement, das Notfall- und Krisenmanagement, das Business Continuity Management (BCM), das Datenschutzmanagement und im weitesten Sinn auch das Qualitätsmanagement, es sichert schließlich die Qualität der Produkte oder der Dienstleistung.

Aber sind das wirklich verschiedene Sicherheiten? Was ist Sicherheit überhaupt und wozu brauche ich ein Sicherheitsmanagement?

Sicherheit ist definiert als ein Zustand, der frei von unvertretbaren Risiken ist oder als gefahrenfrei angesehen wird. Der Begriff geht zurück auf das lateinische Wort securitas bzw. securus, das soviel bedeutet wie: sorglos . Es setzt sich zusammen aus sed “ohne“ und cura (Für-)Sorge.

Management stammt ebenfalls aus dem Lateinischen und ist eine Komposition aus dem Wort manus „Hand“ und agere „führen“: „an der Hand führen“ also. Es umfasst jede zielgerichtete und nach ökonomischen Prinzipien ausgerichtete menschliche Handlungsweise der Leitung.

Qua Definition gibt es also keine verschiedenen Sicherheiten im Unternehmen, sondern nur eine Sicherheit. Diese ist ein Zustand, der entweder frei von unvertretbaren Risiken ist oder als gefahrenfrei betrachtet wird; ein Zustand, den es durch zielgerichtete und an ökonomischen Prinzipien ausgerichtete Handlungen herzustellen bzw. kontinuierlich aufrechtzuerhalten gilt.

Sicherheit aus einer Hand

Betrachten wir die Auflistung der unterschiedlichen Sicherheiten bzw. der verschiedenen Sicherheitsmanagementsysteme, die eingangs aufgezählt wurden, so kann konstatiert werden, das Unternehmen mit unterschiedlichen Managementsystem daran arbeiten, einen Zustand von Sicherheit herzustellen respektive aufrechtzuerhalten.

All zu oft kommt es dabei vor, dass sich abgeschottete Silos in Unternehmen herausbilden oder herausgebildet haben, in den grundsätzlich gleiche und/oder ähnliche Tätigkeiten mit derselben Zielsetzung durchgeführt werden. Aufgrund unterschiedliche Bewertungsmaßstäbe, die in den unterschiedlichen Managementsystemen angewendet werden, erhält die Unternehmensleitung oft divergierende Ergebnisse. Am Ende des Tages ist man also trotz viel Aufwand nicht schlauer als zuvor. Haben wir nun den erstrebten Zustand, nämlich Sicherheit, erreicht?

Beim Militär gibt es eine Führungs-Devise: Greife niemals mit gespreizten Fingern an, sondern mit der geballten Faust.

Auch wenn diese Devise im ersten Moment martialisch klingt, bedient sie sich eines prägnanten und passenden Bildes für die Situation im unternehmerischen Sicherheitsmanagement.

Die offene Hand mit ihren gespreizten Fingern steht für die einzelnen Sicherheitsmanagement-Disziplinen. Sie weisen an ihren Kuppen die maximale Entfernung zueinander auf, obwohl sie alle zur selben Hand gehören. In diesem Zustand spätestens verfehlt die Hand ihre Schutzfunktion. Ein schützender Schlag, ohne sich die Finger zu brechen, ist so, so gut wie unmöglich.

Zwar stehen bei der Faust auch die Finger für die einzelnen Sicherheitsmanagementsysteme, an deren Kuppen sich der jeweiligen Owner befindet. Im Gegensatz zur gespreizten Hand, verschmelzen die Finger funktional, unter Beibehaltung ihrer Prädestination, zur schützenden Faust, die nun aber jederzeit einen schützenden Schlag ausführen kann, ohne sich die Finger zu brechen. Sicherheit aus einer Hand also.

Integratives Sicherheitsmanagement

Der Gedanke, Sicherheit aus einer Hand, findet sich normativ bereits in wichtigen Standards des Sicherheitsmanagements, den sogenannten ISO Normen, die nach der High Level Struktur nach Annex SL aufgebaut sind.

Gemein ist ihnen, dass sie sich – legt man den P-D-C-A Zyklus zugrunde – konzeptionell nur in der DO-Phase (Betrieb) voneinander unterscheiden. Alle weiteren Phasen sind strukturell gleich aufgebaut.

Ein Sicherheitsmanagementsystem muss immer auf den Kontext des Unternehmens passgenau zugeschnitten werden, dazu wird das Kommitment des Vorstandes bzw. der Unternehmensleitung, eine zielorientierte Planung sowie ein angemessener Support benötigt (Plan).

Gerade heutzutage muss die Performance des Sicherheitsmanagementsystems kontinuierlich überwacht, gemessen und bewertet werden. Wenn man so will, einen Abgleich des SOLL-IST Zustandes (Check).

Schließlich muss das gemessene gap, also die Nichtkonformität, durch Korrekturmaßnahmen kontinuierlich verbessert werden (Act).

Ein Integratives Sicherheitsmanagementsystems greift diesen Gedanken der High Level Struktur auf. Statt mit gespreizten Fingern den Risiken zu begegnen, werden die Synergien in den Phasen Plan, Check und Act genutzt. Ein Verantwortlicher für das Thema Sicherheit wird inauguriert (Bsp. der Sicherheitsmanager oder der Risikomanager), dessen Aufgabe darin besteht,

  • den Zustand Sicherheit für das Unternehmen in Zusammenarbeit mit der Unternehmensleitung anhand der strategischen Ausrichtung zu definieren,
  • dessen Umsetzung zu planen und auszugestalten, die Sicherheitsdisziplinen mit angemessenen Ressourcen im ökonomischen Sinn zu unterstützen, um den Betrieb der Sicherheitsdisziplinen zu gewährleisten,
  • über die Umsetzung zu wachen, sie zu messen und zu bewerten
  • und last – but not least – den kontinuierliche Verbesserungsprozess zu initiieren und aufrechtzuerhalten.

Und was sind die Vorteil des Sicherheitsmanagements aus einer Hand?

Die Vorteile des Integrativen Sicherheitsmanagements aus einer Hand sind,

  1. dass alle Aktivitäten mit der Zielrichtung Sicherheit herzustellen und aufrechtzuerhalten unter einer Verantwortlichkeit gebündelt werden und das Management Review vereinheitlicht wird,
  2. dass alle Aktivitäten der Sicherheitsdisziplinen auf ein Ziel orientiert werden und einheitliche Bewertungsmaßstäbe für die Messung und Bewertung der Performance etabliert werden,
  3. dass Synergien genutzt und Redundanzen vermieden werden und dadurch Kosteneinsparungen realisiert werden können.

Haben wir Ihr Interesse geweckt? Dann vereinbaren Sie einen unverbindlichen Beratungstermin oder geben Sie uns Ihr Feedback auf: www.osyscon.de/blog/

Stefan Lorenz ist der Geschäftsführer der OSYSCON GmbH und seit mehr als 5 Jahren im IT-Sicherheitsumfeld und dem IT-Service tätig.

Schreiben Sie einen Kommentar