Sicherheitsrisiko-Management ist eine komplexe Angelegenheit, die viele Herausforderungen mit sich bringt. Doch was genau gehört dazu?
Im Wesentlichen geht es darum, fortlaufend Sicherheitsrisiken zu identifizieren und dann Maßnahmen umzusetzen, die diese in Angriff nehmen. Dabei wägen Sie auch ab, wie wahrscheinlich es ist, dass eine bekannte Bedrohung tatsächlich eintrifft. Wie könnte diese Bedrohung Schwachstellen in Ihrem Sicherheitssystem ausnutzen, und welche Auswirkungen würde sie auf Ihre Organisation haben?
ASIS International erklärt: „Der Begriff Risikomanagement wird in anderen Bereichen – wie der Versicherung und Unternehmensentwicklung – schon seit vielen Jahren eingesetzt. Aber erst seit Kurzem wird er auch auf das Sicherheitsmanagement und den Schutz der Vermögenswerte übertragen. Das Risikomanagement-Konzept passt hier perfekt hin. Denn die Aufgabe des Sicherheitsmanagements ist es, Risiken einzudämmen. Dabei balancieren wir die Kosten eines Schutzes mit seinem Nutzen aus.
Ein Sicherheitsmanager muss die Anzahl der Vorfälle, die zu Schäden oder Ausfällen führen könnten, reduzieren oder einschränken. Denn das Ziel des Risikomanagements ist es, Verluste effektiv und gleichzeitig möglichst kostengünstig zu limitieren. Viele Experten sind darum auch der Meinung, dass Risiken der treibende Faktor sind, wenn es um die Installation eines Sicherheitssystems geht.“
Die 3 wichtigsten Sicherheitsrisiko-Kategorien
Im Risikomanagement ordnen wir jede Bedrohung einer von drei Kategorien zu: Es gibt physische Bedrohungen, menschliche Bedrohungen und Cyber-Bedrohungen. Sehen wir uns diese Gefahren doch im Zusammenhang mit der Zutrittskontrolle an!
- Physische Bedrohung: Ein Krimineller könnte eine Türe zertrümmern, um sich Zutritt zu verschaffen.
- Menschliche Bedrohung: Ein Mitarbeiter könnte einen Fehler machen oder bewusst eine Zutrittsgenehmigung für jemanden ausstellen, der nicht autorisiert ist.
- Cyber-Bedrohung: Jemand könnte sich in Ihre Zutrittskontroll-Datenbank hacken. Der Hacker könnte die Zutrittsdaten von Mitarbeitern stehlen, oder Zutrittskontroll-Genehmigungen verändern.
Die Bedrohung durch Naturkatastrophen ist natürlich ein weiteres Bedenken, das Sie ebenfalls berücksichtigen sollten, wenn Sie Ihre Risikoanalyse durchführen.
In der Sicherheitsbranche basieren Schutzmethoden immer stärker auf IT-Systemen. Physische Sicherheitsrisiken und Cybersicherheits-Risiken laufen deshalb häufig zusammen. Aus diesem Grund wird die interne Kooperation immer wichtiger: Jene Teams, die sich um die physische Sicherheit kümmern, müssen eng mit den Teams zusammenarbeiten, die für die IT und Cybersicherheit verantwortlich sind.
Wichtige Bereiche, auf die Sie Ihre Sicherheitsrisiko-Strategie konzentrieren sollten
Eine Strategie für Ihr Sicherheitsrisikomanagement zu entwickeln, kann ein großes Unterfangen sein. Darum hilft es, das Gesamtprojekt in schaffbare Teilaufgaben aufzubrechen. Einige der Hauptbereiche, auf die Sie sich fokussieren sollten, sind folgende:
- Notfall-Maßnahmen: Damit Sie sofort die richtigen Aktionen ausführen können, wenn ein Notfall eintritt.
- Ununterbrochene Geschäftsprozesse: Identifizieren Sie, welche Vorfälle laufende Geschäftsprozesse unterbrechen würden. Wie können Sie die entsprechenden Risiken reduzieren? Und wie lassen sich Geschäftsprozesse schützen, wenn der schlimmste Fall eintritt?
- Sicherheit und Schutz von Vermögenswerten: Schützen Sie die physischen und intellektuellen Vermögenswerte, die für Ihre Organisation wichtig sind.
- Gesundheit und Sicherheit von Mitarbeitern: Schränken Sie den unbefugten Zutritt zu Bereichen ein, in denen es Gesundheits- oder Sicherheitsrisiken für Mitarbeiter gibt.
- Budget zuteilen: So sind Sie in der Lage, in die Sicherheitssysteme zu investieren, die Ihnen sinnvoll erscheinen.
Der letzte Punkt kann für Sicherheitsexperten besonders problematisch sein. In den meisten Industrien können wir klar und zuverlässig voraussagen, welche Erträge eine bestimmte Investition bringen wird. Doch Sicherheitstechnologie zu kaufen, wird von Entscheidungsträgern fast immer als Ausgabe betrachtet – und nicht als wertvolle Investition.
Die Herausforderung besteht darin, Wahrscheinlichkeiten und potenzielle Kosten für jedes Risiko zu demonstrieren. Dazu zählen auch Verluste und andere Konsequenzen, die eintreten würden, wenn sie nicht mit Sicherheitssystemen und anderen Maßnahmen abgeschwächt werden. Nicht in jedem Fall können wir dabei einen eindeutigen Geldwert zuordnen. Trotzdem können die endgültigen Auswirkungen sehr drastisch sein. Möglicherweise schädigt eine Sicherheitsübertretung zum Beispiel den Ruf Ihrer Organisation. Das beeinflusst die Kundenbindung und führt zu Verkaufseinbrüchen.
3 wichtige Voraussetzungen, wenn Sie Ihre Sicherheitsrisiko-Strategie erstellen
1. Klares Denken
In jeder Organisation herrschen andere Risiken. Überlegen Sie sich im ersten – und wichtigsten – Schritt deshalb, mit welchen Risiken Sie jetzt konfrontiert sind, und welche Risiken höchstwahrscheinlich in der Zukunft relevant werden. Und vergessen Sie nicht: Sie müssen physische Bedrohungen, menschliche Bedrohungen und Cybersicherheits-Bedrohungen einbeziehen.
Im nächsten Schritt definieren Sie jedes Risiko genau und entwerfen eine Strategie dafür, wie Sie es entschärfen können. Auch das ist elementar! Verschiedene hilfreiche Konzepte unterstützen Sie bei diesem Prozess. Eines dieser Konzepte stellen wir Ihnen hier vor: die fünf Straßen. Dabei sehen Sie sich Risiken auf folgende Arten an:
- Risiken vermeiden: Der direkteste Weg, um Risiken zu eliminieren! Allerdings können die meisten Organisationen Risiken nicht grundsätzlich vermeiden. Denn das würde sie davon abhalten, ihrem Hauptgeschäft oder Geschäftszweck nachzugehen. Beispielsweise könnte eine Bank Risiken vermeiden, indem sie einfach kein Bargeld im Gebäude aufbewahrt. Doch Bargeld aufzubewahren, ist eines der Hauptgeschäfte der Bank.
- Risiken verteilen: Wie können Sie Ihre Vermögenswerte so aufbewahren, dass diese sich nicht an einem einzigen, angreifbaren Ort sammeln? Wenn Sie Ihre Vermögenswerte breit verteilen, können Sie sie auf unterschiedliche Arten schützen. Dazu nutzen Sie verschiedene physische Sicherheitssysteme und Prozesse – und haben so eine übergreifende Strategie, die Risiken mindert.
- Risiken übertragen: Sie können Ihre Risiken auch an jemanden übertragen, indem Sie dafür sorgen, dass es Kompensationen für Verluste oder Mehrkosten gibt. Ein Beispiel dafür ist eine Versicherung, die Sie abschließen. Damit senken Sie bei Vorfällen oder Verlusten die Kosten, die für Sie entstehen.
- Risiken reduzieren: Wie können Sie Risiken verkleinern? Indem Sie beispielsweise die Anzahl der Eingänge und Gemeinschaftsräume reduzieren, die sich in der Nähe Ihrer Vermögenswerte befinden.
- Risiken akzeptieren: Nicht alle Risiken können entschärft oder eliminiert werden. Darum ist es oft hilfreich, wenn Sie sich eingestehen, dass es ein potenzielles Risiko gibt – und dieses trotzdem akzeptieren. Sie könnten zum Beispiel das Risiko tolerieren, dass Menschen Zutritt zu Ihrem Empfangsbereich haben, weil hier kein großes Verlustpotenzial besteht.
2. Vielschichtige Herangehensweise
Überlegen Sie sich als Nächstes, wie Sie Schutzmechanismen so einrichten können, dass Ihre wertvollsten Vermögenswerte – oder die Vermögenswerte, deren Verlust besonders dramatisch ist – optimal geschützt sind. Betrachten Sie Ihre Sicherheitsvorkehrungen wie die Schichten einer Zwiebel. Die Außenhaut eines Gebäudes oder der Zaun um ein Gelände ist beispielsweise die äußerste Schicht. Der Tresorraum hingegen liegt im Zentrum der Zwiebel, geschützt von verschiedenen Sicherheitsebenen.
Das könnte so aussehen:
- Schicht 1 – eine Barriere mit einer Fahrzeugerkennung, die den Zutritt zum Gelände reguliert
- Schicht 2 – eine Schranke mit einem Kartenlesegerät im Empfangsbereich und in den Gemeinschaftsbereichen
- Schicht 3 – Türe mit Karten- und PIN-Verifizierung, um Bereiche mit einem höheren Sicherheitsniveau zu betreten
- Schicht 4 – Schleuse mit Karte, PIN und/oder biometrischem Lesegerät für die doppelte oder dreifache Verifizierung, um den Tresorraum zu betreten
3. Die richtigen Werkzeuge
Sie haben die spezifischen Sicherheitsrisiken Ihrer Organisation definiert und sich überlegt, wie Sie Ihre Schutzmaßnahmen anordnen möchten. Nun ist es an der Zeit, Produkte und Prozesse auszuwählen, mit denen Sie konkrete Risiken abschwächen und steuern können. Planen Sie klug, um diese so einzusetzen, dass Sie den maximalen Mehrwert haben.
Denken Sie außerdem daran, sowohl mögliche zukünftige Risiken zu berücksichtigen als auch solche, mit denen Sie jetzt konfrontiert sind. Beziehen Sie die folgenden Dinge ein, um die Anzahl möglicher Vorfälle zu reduzieren:
- Standort und Position – Dazu zählen die Geografie der Umgebung, das Terrain und die Ausrichtung des Standortes
- Strukturelles Design – Die Größe und der Zustand von Gebäuden und Standorten sowie die Materialien, die verwendet wurden
- Sicherheitsschichten oder Zonen – Damit können Sie sicherstellen, dass sämtliche Vermögenswerte angemessen geschützt sind
- Freiflächen – Für Überwachung, Bedrohungserkennung und Pattsituationen
- Zutrittskontrolle – Um den Zutritt zu Standorten, Gebäuden, Räumen und anderen Bereichen zu kontrollieren
- Positionierung der Sicherheitsausrüstung – Eine strategische Platzierung kann die Leistungsfähigkeit drastisch verbessern
Vergessen Sie nicht, interne menschliche Bedrohungen abzuschwächen
Die größte Bedrohung für eine Organisation ist stets menschlicher Natur. Darum müssen sämtliche Produkte und Prozesse, die Sie verwenden, nutzerfreundlich sein. So gewährleisten Sie, dass die ausgewählten Systeme richtig, effizient und effektiv bedient werden. Alarm-Handler, wie der AEOS Graphical Alarm Handler, sind sehr nützlich, um Bedrohungen zu identifizieren und darauf hinzuweisen. Sie haben damit so viel Zeit wie möglich, um entsprechend zu reagieren.
Schulungen sind ebenfalls ein wesentlicher Bestandteil des Sicherheitsrisikomanagements. Mit diesen stellen Sie sicher, dass Ihre Mitarbeiter wissen, wie sie Gefahren erkennen, Vorfälle steuern und richtig reagieren. Auch dadurch reduzieren sich die Risiken, die durch jede Bedrohung entstehen.
Behalten Sie im Gedächtnis, dass es nichts bringt, ein Sicherheitssystem zu besitzen, das einen sehr hohen Schutz bietet – wenn es von jemandem bedient wird, der nicht vertrauenswürdig ist. Regelmäßige Überprüfungen sind deshalb unverzichtbar! Damit vergewissern Sie sich, dass Sie mit vertrauenswürdigen Menschen arbeiten, die die entsprechenden Fähigkeiten und Kompetenzen haben. Ein System, das sensible Daten verbergen kann, hilft zusätzlich dabei, diese Bedrohung abzuschwächen. Haben Sie außerdem die Option, einen vollständigen System-Audit durchzuführen? Dann können Sie nach Vorfällen eine Analyse ausführen, wenn es nötig ist.
Zukunftssicheres Herangehen ist entscheidend
Cyberbedrohungen treten immer häufiger auf. Dadurch entstehen weitere Risiken. Es ist deshalb elementar, dass Sie zukünftige Risiken mit einbeziehen, wenn Sie Ihre Strategie entwerfen. Von einer System-Perspektive aus betrachtet ist es sehr wichtig, dass Sie ein Sicherheitssystem wählen, das keine begrenzte Lebensdauer hat. Es soll nachgerüstet werden können, um aktuelle und zukünftige Gefahren abzuwehren. Und überzeugen Sie sich davon, dass Ihr System harmonisch mit Ihrer wandelbaren Sicherheitsrisiko-Strategie funktioniert.
Möchten Sie darüber sprechen, welche Rolle Zutrittskontrollen und AEOS in Ihrer Sicherheitsmanagement-Strategie spielen könnten? Kontaktieren Sie unsere freundlichen Experte.
Sei ein Sicherheitsexperte
Interessiert an Technologie-Trends im Sicherheitsmanagement? Mit unserem Newsletter erhalten Sie regelmäßig Updates aus unserem Blog