Drei separierte Gruppen zuständig
Firmen fehlen ganzheitliche Sicherheitskonzepte
Die Sicherheitsfunktionen weltweit operierender Konzerne sind über drei Abteilungen verstreut: die physischen Sicherheitskräfte für den Objekt- und Personenschutz, die Sicherheitsbeauftragten der IT-Abteilungen (Daten- und Netzwerkschutz) und die Manager für das Finanz- und Risikomanagement. Die Verantwortlichen aus diesen drei Abteilungen haben klar unterschiedliche soziale Hintergründe. Auch ihr Ansehen oder Prestige in den Unternehmen unterscheidet sich stark voneinander.
Die für die physische Sicherheit verantwortlichen Kräfte stammen oft aus niedrigen Exekutivorganen und aus dem Militärdienst. Sie sind an Kommandostrukturen gewöhnt und darauf getrimmt, Autoritäten zu respektieren. Im Unternehmen werden sie oft als "Cops" tituliert. Die IT-Sicherheitsverantwortlichen sind in die allumfassende IT-Struktur eingebettet. Sie gelten als innovative "Technikfreaks" und achten auf ausreichende Abgrenzung ihrer Arbeitssphären. Die Risikomanager haben allesamt einen mathematischen und Finanz-Hintergrund. Sie stehen im Ruf der "Erbsenzählerei".
Für viele Firmen ist es schwierig, die Sicherheitsaktivitäten dieser drei Bereiche zu kontrollieren und zu koordinieren. Betroffen sind hier besonders Entscheidungen des mittleren Managements. "The Conference Board's" bemängelt ein Kommunikationsdefizit der drei Abteilungen untereinander.
Auch das Berichtswesen dieser drei Abteilungen ist unterschiedlich. Die physischen Sicherheitskräfte sind dem mittleren Management auf betrieblicher Ebene berichtspflichtig. Das Berichtswesen des Risikomanagement untersteht dagegen, meist über mehrere Stufen, dem CFO (Chief Financial Officer). Die IT-Sicherheit ist für alle Unternehmensbereiche globaler Unternehmen lebenswichtig, da sie die Abläufe für das Tagesgeschäft managt.
Gefährliche Informationssilos
Die Unternehmen sollten laut The Conference Board's den "Kulturschock" zwischen den drei Segmenten überbrücken. Es müsse ein gemeinsamer Bezugsrahmen für die Sicherheitsbelange geschaffen werden, so die Marktforscher. Dazu ist es erforderlich, Informationen zu verteilen, statt sie zu horten. Wie die amerikanische Bundeskommission 9/11 herausfand, haben sich organisatorische "Silos" mit bloßer Informationssammelfunktion als sehr gefährlich für die Sicherheit erwiesen. In der Privatwirtschaft sei das nicht anders.
Doch trotz der weit gestreuten Unterschiede in den drei Bereichen, gibt es auch einen großen gemeinsamen Nenner. "Sicherheit hat für alle Beteiligten mit der Verteidigung von Vermögenswerten zu tun", sagt der Sicherheitsexperte von "The Conference Board's" Tom Cavanagh. Der Schlüssel für die Verbesserung der Unternehmenssicherheit besteht darin, die drei Bereiche unter einen Hut zu bekommen. Sie müssen lernen, ohne Vermittler miteinander zu kommunizieren.
Weitere Meldungen:
Sicherheit unter "ferner liefen" bei IT-Chefs
Kontrollsysteme im Visier von Cyberattacken
Desaster im Rechenzentrum: Viele ohne Plan
Bücher zum Thema:
IT-Sicherheit mit System
Kommunikationssysteme mit Strategie
Studie zum Thema: