Anzeige
Anzeige
Anzeige
Beitrag drucken

Struktur als Chance

Abteilungsübergreifende Unternehmenssicherheit

Viele Unternehmen neigen dazu, Sicherheitsfragen auf Abteilungs- oder Fachebene zu adressieren. Dabei birgt gerade der Blick auf verteilte Prozesse Potenzial zur Verbesserung der Unternehmenssicherheit, auch hinsichtlich der Beschleunigung von Abläufen.

Bild: accessec / istockphoto (puruan)

Die Analyse von Sicherheitsprozessen erfolgt häufig auf Abteilungs- oder Fachbereichsebene. Eher selten werden übergreifende Abläufe betrachtet und auf Verbesserungsmöglichkeiten durchleuchtet. Doch insbesondere die Betrachtung im großen Maßstab kann dazu beitragen, das Unternehmen als Ganzes besser aufzustellen und durch Abstimmung von Prozessen zwischen Nachbarbereichen und Abteilungen Mehrwert zu generieren. Ganz bewusst sollte dabei nicht zwischen den Themen der Werkssicherheit, der Mitarbeitersicherheit, der Informationssicherheit und des Datenschutzes unterschieden werden, sondern vielmehr der ganzheitliche Sicherheitsaspekt im Fokus stehen. Was in der Theorie einleuchtend klingt, ist in der Praxis allerdings oft schwer umsetzbar.

Einbindung aller Beteiligten als Grundlage

Ein elementarer Erfolgsfaktor solcher umfassenden Projekte ist es, Ansprechpartner aller relevanten Unternehmensbereiche einzubinden: von Personalwesen und Zeitwirtschaft, Informations- und Kommunikationstechnik über Werkschutz und Ausweiswesen bis zu Informationssicherheit und Datenschutz. Dass sich die Beteiligten in dieser Zusammensetzung meist noch nie getroffen und sich somit nie über ihre betrieblichen Wünsche und Anforderungen ausgetauscht haben, erschwert ein unternehmensübergreifendes Sicherheitsprojekt von Anfang an.

Um die Bedürfnisse und Erwartungshorizonte der einzelnen Fachbereiche an ein solches Vorhaben strukturiert zu erfassen, involvieren daher immer mehr Unternehmen externe Kompetenzträger, die mit Objektivität und der Erfahrung aus gleichgelagerten Projekte als Bindeglied fungieren. Dazu werden von auf Sicherheitsprojekte spezialisierten Anbietern wie Accessec gemeinsam mit den Fachbereichen individuelle Bedürfnisprofile erarbeitet, beispielsweise um Zutritts- und Zugriffsrechte festzulegen: Die Personalabteilung muss dazu verlässliche Stammdaten für Mitarbeiter erheben und im täglichen Ablauf eine möglichst genaue Erfassung von Arbeitsbeginn, Arbeitsende und Pausenzeiten gewährleisten. Die Werkssicherheit wiederum benötigt eine klare Aussage über Funktion und Einsatzort eines Mitarbeiters, damit die Zutrittsberechtigungen korrekt zugeordnet werden können.

Zur sinnvollen Erstellung solcher Profile bedarf es zudem einer Übersicht, welche Personenkreise wann in welchen Gebäudeteilen tätig sind und wie die Personenflüsse laufen. Gleichzeitig sollte der IT-Administration die genaue Positionsbeschreibung des Mitarbeiters zur Verfügung stehen, um ihm passende Rollen für den IT-Zugriff zuzuordnen. Als nützlich können sich auch Angaben erweisen, von wann sich der Mitarbeiter voraussichtlich im Büro, zu Hause oder bei Kunden aufhalten wird, um die Zugriffskontrolle entsprechend auslegen und gegebenenfalls Laptop und Smartphone für den mobilen Einsatz zuteilen zu können.

Für das Facility Management werden wiederum Angaben benötigt, an welchem Arbeitsplatz der Mitarbeiter sitzen wird und welche Ausstattung dieser Arbeitsplatz haben muss. Basierend auf den Aufgaben und Projekten des Mitarbeiters lassen sich schließlich Datenschutz und IT-Sicherheit bei Bedarf an die dem Mitarbeiter zugewiesenen Sicherheitsmerkmale anpassen – zum Beispiel durch Zuteilung von Smartcards oder einmaliger Zutrittsberechtigungen in Form von ‚One-Time-Password‘-Tokens (OTP).

Umfassende Sicht auf die Unternehmenssicherheit

Die jeweils benötigten Informationen erheben die betroffenen Abteilungen dabei häufig isoliert voneinander. Dies ist nicht nur ineffizient, sondern kann auch zu Übertragungs- und Erfassungsfehlern führen. Ein weiteres Problem ist die daraus häufig resultierende mehrfache Datenhaltung, die eine schnelle und unkomplizierte Bearbeitung erschweren und Probleme beim Abgleich der Datenquellen mit sich bringen kann. Dies kann etwa dazu führen, dass die IT-Administratoren zusammen mit dem Information Security Officer eine eigene Kartentechnologie für den PC-Zugriff und die Verschlüsselung aufbauen, während die Personalabteilung für die Zeiterfassung eine gesonderte Karte mit RFID-Chip einführt. Neben dem redundanten Einsatz von unterschiedlichen Technologien sind als Folge dann die Prozesse häufig nicht abgestimmt.

Schlüsselfaktor Informationsaustausch

Der erste Schritt hin zu einer effizienteren Lösung und damit der erfolgreichen Projektierung umfassender Unternehmenssicherheit betrifft daher die Verbesserung der Kommunikation. Dies trifft sowohl für Abteilungen als auch für die IT-Landschaft zu, denn ohne einen intensiven Austausch über die Anforderungen, Technologien und nötige Anpassungen können erfolgversprechende Umsetzungsszenarien nur schwerlich gefunden werden. Bereits durch einen übergreifenden Blick auf die verschiedenen Aufgaben und Arbeitsbereiche des Mitarbeiters lassen sich die dazu benötigten Stammdaten und Attribute identifizieren.

Eventuell dauert die Erhebung oder Bearbeitung eines solchen Stammdatensatzes in der Personalabteilung länger, jedoch profitieren nachgelagerte Organisationseinheiten sowohl bei der Zuteilung von Berechtigungen als auch im täglichen Betrieb von ineinander greifenden Prozessen. Auch aus finanzieller Sicht kann sich eine geordnete Herangehensweise, welche die Bedürfnisse der involvierten Fachbereiche auffängt, lohnen. So wirken Unternehmen dem Risiko entgegen, dass neu gestaltete Sicherheitsprozesse nicht oder nur zögerlich angenommen werden. Die durch die Reduzierung von Medienbrüchen und Fehlern bei der Datenerhebung erreichbaren Vorteile zeigt das Beispiel einer einheitlichen Zutrittslösung:

  • Schnelleres ‚Onboarding‘ neuer Mitarbeiter, da eine Zutrittskarte sämtliche Berechtigungsinformationen trägt
  • Schnellere Umsetzung von Änderungen bei Wechseln der Position im Unternehmen
  • Reibungsloser Austausch der notwendigen Stammdaten-Attribute zwischen den Systemen
  • Besserer Schutz persönlicher Informationen, da die benötigten Daten nur einmal erhoben und gespeichert werden

Auch die Mitarbeiter werden bei diesem Vorgehen entlastet, da sie nur einmal Angaben zur Person, Position und Aufgabe machen müssen. Bei Verlust oder Beschädigung des Ausweises ist die vorübergehende Deaktivierung oder die vollständige Sperrung schnell umsetzbar und auch die Ersatzausweis-Erstellung lässt sich zügig umsetzen. Da von Anfang an nur benötigte Berechtigungen erteilt werden, und nicht mehr benötigte Berechtigungen zeitnah entzogen werden können, kann sich ein deutlicher Sicherheitsgewinn ergeben.

Umfassende Kosten- und Nutzenanalyse

Standard-Produkte decken solche Integrationsgrade allerdings oft nicht vollständig ab. Verschiedene Anbieter haben ihre Lösungen zwar um Schnittstellen erweitert, eine weitreichende Harmonisierung erfordert jedoch eine umfassende Erhebung der Ist-Situation und die Bewertung der verfügbaren Optionen in einer Kosten-Nutzen-Analyse. Nicht in jedem Unternehmen sind alle angesprochenen Technologien vorhanden und nicht überall ist eine vollständige Integration aus Kostengesichtspunkten sinnvoll. Eine im Vorfeld durchgeführte Prozess-Analyse kann den für einen erfolgreichen Projektabschluss notwendige Überblick schaffen, ohne gleich hohe Kosten in Kauf nehmen zu müssen. Wollen Unternehmen nachhaltige Investitionsentscheidungen treffen, effiziente Sicherheitsvorkehrungen integrieren und belastbare Prozesse einführen, sollten sie sich diese Zeit nehmen. Der anfängliche Aufwand lässt sich in der Regel durch strukturierte Prozesse, schlanke Systeme, Kostensenkungen und nicht zuletzt zufriedene Mitarbeiter schnell kompensieren.


Das könnte Sie auch interessieren:

Früher war Scada oft nur zweckmäßiges Instrument zur Anlagen- und Prozessverwaltung. Doch im Zeitalter des Internet of Things und damit verbundenen neuen Geschäftsmodellen rückt auch die Bedeutung der Scada-Plattform an eine bedeutendere Stelle.‣ weiterlesen

Viele große Unternehmen investieren derzeit in Digitaltechnik, um Transparenz in ihre Lieferketten zu bringen - und so Kosten einzusparen. Mit Radio-Frequency-Identification(RFID)-Technik von Kathrein werden die Durchläufe bei einem Stuttgarter Automobilhersteller besser planbar und Wartezeiten kürzer.‣ weiterlesen

Mit der Übernahme des IoT-Spezialisten Bright Wolf, will der IT-Dienstleister Cognizant seine Expertise im Bereich Internet of Things erweitern.‣ weiterlesen

Vorherzusagen, wann ein Werkzeug kaputt geht, ist nicht leicht. Mittels der Messung von Schallemissionen ist dies zwar möglich, aber auch teuer. Kombiniert man jedoch gängige Verfahren mit neuen Technologien, ergeben sich immer bessere und schnellere Verfahren.‣ weiterlesen

Seit dem 25. Mai 2018 gilt die europäische Datenschutzgrundverordnung, meist nur DSGVO genannt. Der IT-Sicherheitsspezialist Rohde & Schwarz Cybersecurity berichtet, wie es um die Umsetzung in der hiesigen Industrie steht.‣ weiterlesen

In vielen Ländern Europas scheint sich der Arbeitsmarkt zu stabilisieren. Darauf deuten die Zahlen des Europäischen Arbeitsmarktbarometers hin, das nun erstmals veröffentlicht wurde.‣ weiterlesen

Eine IoT-Sicherheitsarchitektur sollte sowohl in IT- als auch in OT-Umgebungen für mehr Transparenz sorgen und Prozesse schützen. Dazu müssen die Daten aus dem IoT-Edge erfasst und extrahiert werden. Auf dieser Grundlage können Unternehmen effizienter agieren, bessere Geschäftsentscheidungen treffen und Digitalisierungsprojekte beschleunigen.‣ weiterlesen

GBTEC und Proalpha haben angekündigt, zukünftig in den Bereichen Process Mining und Business Intelligence zusammenzuarbeiten. Kunden sollen so einen Mehrwert bei der digitalen Transformation erhalten.‣ weiterlesen

Beim Anlagen- und Werkzeugbau setzt die Volkswagen AG auf Datendurchgängigkeit. Die Projektmanagement-Software Coman vernetzt die Projektbeteiligten dazu durchgängig und digital, bis hin zu den Zulieferern. Denn wenn Manager Giuseppe Lo Presti früh erkennt, dass es in einem Gewerk gerade nicht rund läuft, können gezielte Maßnahmen erfolgen.‣ weiterlesen

Mehr als eine Milliarde Schadprogramme verzeichnet das Bundesamt für Sicherheit in der Informationstechnik im aktuellen Lagebericht. Und auch die Corona-Pandemie wirkt sich auf die aktuelle Sicherheitslage aus.‣ weiterlesen

Eine Voraussetzung bei der Entwicklung von industriellen KI-Anwendungen sind ausreichende Daten. Diese sind jedoch nicht immer in der benötigten Menge, Qualität oder Struktur vorhanden. Anhand eines konkreten Beispiels erläutert dieser Beitrag, wie sich ein Data Lake anlegen und mit Daten füllen lässt, bis er ein Fundament für quasi beliebige KI-Applikationen bildet.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige