Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Struktur als Chance

Abteilungsübergreifende Unternehmenssicherheit

Viele Unternehmen neigen dazu, Sicherheitsfragen auf Abteilungs- oder Fachebene zu adressieren. Dabei birgt gerade der Blick auf verteilte Prozesse Potenzial zur Verbesserung der Unternehmenssicherheit, auch hinsichtlich der Beschleunigung von Abläufen.

Bild: accessec / istockphoto (puruan)

Die Analyse von Sicherheitsprozessen erfolgt häufig auf Abteilungs- oder Fachbereichsebene. Eher selten werden übergreifende Abläufe betrachtet und auf Verbesserungsmöglichkeiten durchleuchtet. Doch insbesondere die Betrachtung im großen Maßstab kann dazu beitragen, das Unternehmen als Ganzes besser aufzustellen und durch Abstimmung von Prozessen zwischen Nachbarbereichen und Abteilungen Mehrwert zu generieren. Ganz bewusst sollte dabei nicht zwischen den Themen der Werkssicherheit, der Mitarbeitersicherheit, der Informationssicherheit und des Datenschutzes unterschieden werden, sondern vielmehr der ganzheitliche Sicherheitsaspekt im Fokus stehen. Was in der Theorie einleuchtend klingt, ist in der Praxis allerdings oft schwer umsetzbar.

Einbindung aller Beteiligten als Grundlage

Ein elementarer Erfolgsfaktor solcher umfassenden Projekte ist es, Ansprechpartner aller relevanten Unternehmensbereiche einzubinden: von Personalwesen und Zeitwirtschaft, Informations- und Kommunikationstechnik über Werkschutz und Ausweiswesen bis zu Informationssicherheit und Datenschutz. Dass sich die Beteiligten in dieser Zusammensetzung meist noch nie getroffen und sich somit nie über ihre betrieblichen Wünsche und Anforderungen ausgetauscht haben, erschwert ein unternehmensübergreifendes Sicherheitsprojekt von Anfang an.

Um die Bedürfnisse und Erwartungshorizonte der einzelnen Fachbereiche an ein solches Vorhaben strukturiert zu erfassen, involvieren daher immer mehr Unternehmen externe Kompetenzträger, die mit Objektivität und der Erfahrung aus gleichgelagerten Projekte als Bindeglied fungieren. Dazu werden von auf Sicherheitsprojekte spezialisierten Anbietern wie Accessec gemeinsam mit den Fachbereichen individuelle Bedürfnisprofile erarbeitet, beispielsweise um Zutritts- und Zugriffsrechte festzulegen: Die Personalabteilung muss dazu verlässliche Stammdaten für Mitarbeiter erheben und im täglichen Ablauf eine möglichst genaue Erfassung von Arbeitsbeginn, Arbeitsende und Pausenzeiten gewährleisten. Die Werkssicherheit wiederum benötigt eine klare Aussage über Funktion und Einsatzort eines Mitarbeiters, damit die Zutrittsberechtigungen korrekt zugeordnet werden können.

Zur sinnvollen Erstellung solcher Profile bedarf es zudem einer Übersicht, welche Personenkreise wann in welchen Gebäudeteilen tätig sind und wie die Personenflüsse laufen. Gleichzeitig sollte der IT-Administration die genaue Positionsbeschreibung des Mitarbeiters zur Verfügung stehen, um ihm passende Rollen für den IT-Zugriff zuzuordnen. Als nützlich können sich auch Angaben erweisen, von wann sich der Mitarbeiter voraussichtlich im Büro, zu Hause oder bei Kunden aufhalten wird, um die Zugriffskontrolle entsprechend auslegen und gegebenenfalls Laptop und Smartphone für den mobilen Einsatz zuteilen zu können.

Für das Facility Management werden wiederum Angaben benötigt, an welchem Arbeitsplatz der Mitarbeiter sitzen wird und welche Ausstattung dieser Arbeitsplatz haben muss. Basierend auf den Aufgaben und Projekten des Mitarbeiters lassen sich schließlich Datenschutz und IT-Sicherheit bei Bedarf an die dem Mitarbeiter zugewiesenen Sicherheitsmerkmale anpassen – zum Beispiel durch Zuteilung von Smartcards oder einmaliger Zutrittsberechtigungen in Form von ‚One-Time-Password‘-Tokens (OTP).

Umfassende Sicht auf die Unternehmenssicherheit

Die jeweils benötigten Informationen erheben die betroffenen Abteilungen dabei häufig isoliert voneinander. Dies ist nicht nur ineffizient, sondern kann auch zu Übertragungs- und Erfassungsfehlern führen. Ein weiteres Problem ist die daraus häufig resultierende mehrfache Datenhaltung, die eine schnelle und unkomplizierte Bearbeitung erschweren und Probleme beim Abgleich der Datenquellen mit sich bringen kann. Dies kann etwa dazu führen, dass die IT-Administratoren zusammen mit dem Information Security Officer eine eigene Kartentechnologie für den PC-Zugriff und die Verschlüsselung aufbauen, während die Personalabteilung für die Zeiterfassung eine gesonderte Karte mit RFID-Chip einführt. Neben dem redundanten Einsatz von unterschiedlichen Technologien sind als Folge dann die Prozesse häufig nicht abgestimmt.

Schlüsselfaktor Informationsaustausch

Der erste Schritt hin zu einer effizienteren Lösung und damit der erfolgreichen Projektierung umfassender Unternehmenssicherheit betrifft daher die Verbesserung der Kommunikation. Dies trifft sowohl für Abteilungen als auch für die IT-Landschaft zu, denn ohne einen intensiven Austausch über die Anforderungen, Technologien und nötige Anpassungen können erfolgversprechende Umsetzungsszenarien nur schwerlich gefunden werden. Bereits durch einen übergreifenden Blick auf die verschiedenen Aufgaben und Arbeitsbereiche des Mitarbeiters lassen sich die dazu benötigten Stammdaten und Attribute identifizieren.

Eventuell dauert die Erhebung oder Bearbeitung eines solchen Stammdatensatzes in der Personalabteilung länger, jedoch profitieren nachgelagerte Organisationseinheiten sowohl bei der Zuteilung von Berechtigungen als auch im täglichen Betrieb von ineinander greifenden Prozessen. Auch aus finanzieller Sicht kann sich eine geordnete Herangehensweise, welche die Bedürfnisse der involvierten Fachbereiche auffängt, lohnen. So wirken Unternehmen dem Risiko entgegen, dass neu gestaltete Sicherheitsprozesse nicht oder nur zögerlich angenommen werden. Die durch die Reduzierung von Medienbrüchen und Fehlern bei der Datenerhebung erreichbaren Vorteile zeigt das Beispiel einer einheitlichen Zutrittslösung:

  • Schnelleres ‚Onboarding‘ neuer Mitarbeiter, da eine Zutrittskarte sämtliche Berechtigungsinformationen trägt
  • Schnellere Umsetzung von Änderungen bei Wechseln der Position im Unternehmen
  • Reibungsloser Austausch der notwendigen Stammdaten-Attribute zwischen den Systemen
  • Besserer Schutz persönlicher Informationen, da die benötigten Daten nur einmal erhoben und gespeichert werden

Auch die Mitarbeiter werden bei diesem Vorgehen entlastet, da sie nur einmal Angaben zur Person, Position und Aufgabe machen müssen. Bei Verlust oder Beschädigung des Ausweises ist die vorübergehende Deaktivierung oder die vollständige Sperrung schnell umsetzbar und auch die Ersatzausweis-Erstellung lässt sich zügig umsetzen. Da von Anfang an nur benötigte Berechtigungen erteilt werden, und nicht mehr benötigte Berechtigungen zeitnah entzogen werden können, kann sich ein deutlicher Sicherheitsgewinn ergeben.

Umfassende Kosten- und Nutzenanalyse

Standard-Produkte decken solche Integrationsgrade allerdings oft nicht vollständig ab. Verschiedene Anbieter haben ihre Lösungen zwar um Schnittstellen erweitert, eine weitreichende Harmonisierung erfordert jedoch eine umfassende Erhebung der Ist-Situation und die Bewertung der verfügbaren Optionen in einer Kosten-Nutzen-Analyse. Nicht in jedem Unternehmen sind alle angesprochenen Technologien vorhanden und nicht überall ist eine vollständige Integration aus Kostengesichtspunkten sinnvoll. Eine im Vorfeld durchgeführte Prozess-Analyse kann den für einen erfolgreichen Projektabschluss notwendige Überblick schaffen, ohne gleich hohe Kosten in Kauf nehmen zu müssen. Wollen Unternehmen nachhaltige Investitionsentscheidungen treffen, effiziente Sicherheitsvorkehrungen integrieren und belastbare Prozesse einführen, sollten sie sich diese Zeit nehmen. Der anfängliche Aufwand lässt sich in der Regel durch strukturierte Prozesse, schlanke Systeme, Kostensenkungen und nicht zuletzt zufriedene Mitarbeiter schnell kompensieren.

google plus


Das könnte Sie auch interessieren:

Laut einer Umfrage des VDE waren 25 Prozent der VDE-Mitgliedsunternehmen und Hochschulen in jüngster Zeit von einem Cyberangriff betroffen. Weitere 40 Prozent können nicht mir Sicherheit sagen, ob sie Opfer einer Attacke wurden. Das BSI warnt indes vor einer neuen Bedrohung.‣ weiterlesen

Mobilfunktechnik hat sich in den letzten Jahren rasant entwickelt. Mehr Bandbreite und höhere Datenraten ist gefragt. Beim industriellen Fernwirken sind jedoch nach wie vor Modems und Router im Einsatz, die auf den 2G- oder 3G-Standard setzen. In absehbarer Zeit werden diese Kommunikationsnetze jedoch abgeschaltet.‣ weiterlesen

Bild: Easyfairs Deutschland GmbH

Die Maintenance Dortmund rückt näher. Am 20. und 21. Februar trifft sich die Branche bereits zum zehnten Mal in Dortmund. Besucher können sich über Produkte, Dienstleistungen und den Stand der Forschung informieren. ‣ weiterlesen

Auf der dritten FMB-Süd, die am 20. Februar in Augsburg startet, erwartet die Besucher das gesamte Spektrum der Zulieferindustrie für den Maschinenbau und die Produktion. Als Aussteller präsentieren sich sowohl Weltmarktführer als auch kleinere Unternehmen. ‣ weiterlesen

Anzeige
Anzeige
Anzeige