Jahrbuch der Unternehmenssicherheit 2013

Transcrição

Jahrbuch der
Unternehmenssicherheit 2013
Herausgeber: Manfred Buhl
2
Inhaltsverzeichnis
Vorwort des Herausgebers Seite
12
Einleitung
Seite13
Amok-Kriminalität Seite
Arbeitsschutz
Seite14
Archivsicherheit
Seite16
Arzneimittelfälschung Seite
Atomunfälle
Seite17
Baustellensicherheit
Seite17
Besuchermanagement Seite
18
18
14
16
Betrug
Anstieg von Betrugsfällen Seite
Bilanzbetrug
Seite18
Bitcoinbetrüger
Seite19
Betrug im Gesundheitswesen Seite
19
Betrug mittels Internet (s. a. IuK-Kriminalität)
Seite
19
Kreditkartenbetrug
Seite20
Sozialversicherungsbetrug
Seite20
Tankbetrug
Seite20
Telefonbetrug
Seite21
Steuerbetrug
Seite21
Biometrie
Seite21
Brandanschläge
Seite23
Brandschutz
baulich-technischer Brandschutz Seite
24
Detektion und Alarmtechnik Seite
27
organisatorischer Brandschutz (s. a. Evakuierung, Fluchtwege) Seite
29
Löschtechnik Seite
29
Arbeitsstätten Seite
31
besondere Brandschutzthemen
Seite
32
Bürosicherheit
Seite36
Business Continuity Management Seite
36
Change Management Seite
37
Cloud-Computing Haltung der Wirtschaft Seite
38
Private oder Public Cloud Seite
38
Empfehlungen des BSI Seite
41
Code of Conduct Seite
41
Compliance
Seite41
Grundsätzliche und allgemeine Aspekte Seite
42
Einzelne Compliance-Themen Seite
43
KMU
Seite44
Öffentliche Unternehmen Seite
Finanzsektor
Seite46
45
Datenschutz
Seite46
Allgemein
Seite46
Arbeitnehmerdatenschutz
Seite48
KMU
Seite
50
EU-Recht Seite
50
Geheimdienste
Seite
51
Einzelthemen
Seite
55
Diebstahl (s. a. Einbruch) Seite
55
Seite
58
Devisenmanipulation
Seite
58
Dreidimensionaler Drucker Seite
59
Technischer Diebstahlschutz Einbruch
Wohnungseinbruch
Seite
59
Technischer Einbruchschutz Seite
59
Einbruchmeldetechnik (s. a. Gefahrenmeldetechnik) Seite
60
Embargoverstöße Seite
62
Erpressung
Seite63
Evakuierung (s. a. Brandschutz, Fluchtwegsicherung) Seite
Explosionsschutz
Seite64
Extremismus
Seite 65
Fahndung
Seite 66
Fahrausweisautomatensicherheit
Seite 67
Fahrzeugverriegelung Seite
67
63
3
4
Falschgeld Seite
67
Feuerwehrausrüstung
Seite68
Fluchtwegsicherung (s. a. Evakuierung)
Seite
68
Flughafensicherheit (s. a. Luftsicherheit)
Seite
69
Freigeländeüberwachung (s.a. Perimeterschutz)
Seite
70
Gasdetektion
Seite70
Gebäudesicherheit Seite
Gefängnissicherheit
Seite71
Gefahrenmanagement (s. a. Risikomanagement)
Seite
72
Gefahrenmeldetechnik (s. a. Einbruchmeldetechnik)
Seite
72
Gefahrstoffe
Seite
74
Geiselnahme
Seite
75
71
Geldautomatensicherheit Angriffe
Seite
75
Technische Sicherung Seite
76
Geld- und Wertdienste Seite
77
Raubüberfälle
Seite77
Neue Sicherheitskonzepte Seite
78
Geldwäsche
Seite79
Grenzüberschreitende Kriminalität Seite
Homejacking
Seite81
Hotelsicherheit Seite
81
Identitätsdiebstahl Seite
82
IT-Sicherheit Seite
82
Absturzsicherheit Seite
82
Anonymisierung
Seite82
App-Sicherheit Seite
83
Authentifikation
Seite
84
Awareness
Seite
85
Big Data Seite
85
BSI Seite
85
BYOD
Seite87
Datenbank
Seite88
Einzelhandel Seite
80
88
Elektrische Signatur Seite
89
Elster
Seite90
Email-Sicherheit Seite
90
Embedded Systems Seite
91
Endgeräte
Seite91
EU
Seite92
Firewall
Seite93
Hackingabwehr
Seite93
IBM Seite
95
Identity- and Access-.Management (IAM) Seite
95
Industrieanlagen
Seite96
Industrie 4.0 Seite
98
IT-Grundschutz Seite
99
IT-Infrastruktur Seite 100
IT-Organisation Seite 101
IT-Sicherheitsgesetz Seite 101
KMU Seite 102
Kooperationen
Seite103
Krankenhaus-IT Seite 104
Microsoft Seite 104
Normen
Seite 105
Payment Card Industry Seite 105
Personalausweis
Seite106
SAP-Systeme Seite 106
Security by Design Seite 106
Security Engineering Seite 106
Sicherheitsbewusstsein Seite 107
Sicherheitslücken
Seite110
Social Media
Seite 112
Software-Lizenzierung Seite 112
Verschlüsselung Seite 112
Versicherungen
Seite 115
Virtual Private Network Seite 116
Virtuelle Rechenzentren Seite 116
5
6
Web 2.0 Seite 117
Windows 8 Seite 117
IuK-Kriminalität Seite 117
Adobe
Seite118
Advanced Persistant Threats (APT) Seite 118
Banken
Seite119
Bedrohungslage / Entwicklung Seite 120
BKA
Seite121
Bitcoin
Seite123
Botnetze
Seite123
China
Seite124
Elster
Seite 125
Finanzstruktur
Seite126
Geheimdienste
Seite126
Hacking
Seite128
Haftung
Seite130
Java
Seite131
Phishing
Seite131
Ransomware Seite 132
Schadsoftware
Seite133
Social Engineering Seite 134
Spam
Seite 135
Stuxnet
Seite 135
Trojaner
Seite 135
Juweliersicherheit
Seite136
Kartellrechtsverstöße
Seite136
Kartenbetrug (s. a. Betrug)
Seite 138
Katastrophenschutz
Seite139
Klinik- und Heimsicherheit Seite 140
Know-how-Schutz Seite 140
Kommunikationssicherheit (s. a. IT-Sicherheit)
Seite 141
Korruption
Dimension
Seite142
Einzelfälle
Seite146
Sanktionen
Seite147
Korruptionsprävention
Seite148
KFZ-Diebstahl Seite 149
Kriminalstatistik Seite 150
Bank- und Geschäftsraub Seite 151
Diebstahl – Geschäftsdiebstahl Seite 151
Betrug und Untreue im Geschäftsleben Seite 152
Computer- und Internetkriminalität Seite 153
Wettbewerbs- und Korruptionskriminalität Seite 154
Fälschungsdelikte
Seite 154
Insolvenzkriminalität
Seite 154
Geldwäsche
Seite 154
Gefährliche Eingriffe in den Verkehr Seite 155
Umweltkriminalität im Wirtschaftsbereich Seite 155
Verletzung strafrechtlicher Nebengesetze im Wirtschaftsbereich Seite 155
Krisenmanagement Seite 156
Krisenstabsarbeit
Seite 157
Krisenregionen
Seite 157
Kritische Infrastrukturen Seite 159
Logistiksicherheit
Seite 159
Luftsicherheit (s. a. Flughafensicherheit)
Seite 164
Managerhaftung
Seite 164 Maritime Sicherheit (s. a. Piraterie
Seite 165 Maschinensicherheit (s. a. Arbeitsschutz)
Seite 166 Metalldiebstahl Seite 169
Mindestlohnüberprüfung
Seite169
Mitarbeiterkriminalität (s. a. Compliance)
Seite 170
Mobile Endgeräte (s. a. Kommunikationssicherheit)
Seite 170
Museumssicherheit Seite 170
Nachhaltigkeit
Seite 175
Nationale Sicherheitsstrategie Seite 175
Near Field Communication (NFC) Seite 176
Notfallmanagement
Seite176
Notruf- und Service-Leitstelle (NSL) Seite 177
7
8
ÖPV-Sicherheit Seite 178
Online-Banking Seite 181
Organisierte Kriminalität Seite 182
Vorbemerkung
Seite182
Allgemeiner Überblick Seite 183
OK im Zusammenhang mit dem Wirtschaftsleben Seite 183
Perimeterschutz (s. a. Freigeländesicherung)
Seite 186
Personenschutz
Seite187
Piraterie (s. a. Maritime Sicherheit
Seite 188
Gefährdungshinweise des BMI Seite 188
Gefährdung des Seeverkehrsdurch Piraterie Seite 188
Gefährdung der Seeschifffahrt durch islamistischen Terrorismus Seite 190
Postkontrolle im Unternehmen Seite 192
Produktpiraterie
Lage und Abwehrkonzeptionen Seite 193
Messen
Seite 195
Einzelfälle
Seite 195
Proliferation Seite 196
Raffineriesicherheit
Seite 196
Raubüberfälle (s. a. Geld- und Wertdienste, Juweliersicherheit)
Seite 196
Rechenzentrumssicherheit
Konzeption, Planung Seite 196
Brandschutz
Seite197
Lüftungs- / Kühlungssysteme Seite 199
Stromversorgung
Seite199
Zutrittskontrolle
Seite200
RFID
Seite 200
Risikomanagement (s.a. Gefahrenmanagement)
Seite 201
Risikoregionen (s.a. Krisenregionen)
Seite 202
Robotersicherheit
Seite202
Sabotage
Seite203
Schließsysteme
Seite203
Schwarzarbeit
Seite206
Sicherheitsbeleuchtung Seite 207
Sicherheitsforschung
Seite207
Sicherheitsgewerbe (s. a. Sicherheitswirtschaft)
Allgemeine Themen Seite 208
Situation der Beschäftigten Seite 209
Aus- und Weiterbildung Seite 209
Ausrüstung
Seite210
Einsatzbereiche
Seite211
Politische Forderungen Seite 212
Rechtsextremismus
Seite212
Sicherheitsleitsystem
Seite212
Seite 213
Sicherheitsmanagement Sicherheitsmarkt
Seite213
Sicherheitsplanung
Seite 215
Sicherheitsstudium
Seite 215
Sicherheitssysteme
Seite 215
Sicherheitstechnik
Seite 215
Sicherheitswirtschaft (s. a. Sicherheitsgewerbe)
Seite 218
Soziale Netzwerke Seite 219
Spionage
Schadensausmaß Seite 219
Angriffsziele
Seite 221
Spionageprogramme Seite 222
Lauschmittel
Seite222
Social Engineering Seite 223
China Seite 224
Abwehr Seite 224
Sprengstoffspürhunde
Seite 226
Stadionsicherheit Seite 227
Stalking
Seite227
Steuerkriminalität Seite 228
Stromausfall
Seite229
Strommastensicherheit Seite 231
Systemrisiken
Seite231
Terrorismus
9
10
Bedrohungslage
Seite232
Krisenregionen
Seite233
Terrorismusbekämpfung
Seite234
Tunnelsicherheit
Seite 235
Überflutungsvorsorge
Seite 236
Überspannungsschutz
Seite236
Unternehmenssicherheit
Sicherheitsenquete 2012/2013 Seite 236
Unternehmensrisiken
Seite237
Standards
Seite238
Awareness
Seite238
Unternehmensstrafrecht und Ordnungswidrigkeiten Seite 239
Untreue
Seite240
Urheberrecht
Seite240
Vandalismus
Seite240
Veranstaltungssicherheit
Seite241
Versicherungsbetrug
Seite241
Videoüberwachung
Seite241
Entwicklungsperspektiven
Umfassende Betrachtung Seite 241
Analog contra digitale Videoüberwachung
Seite 241
Videoüberwachung in der Cloud Seite 244
Marktübersicht
Seite 245
Prognosen
Seite 245
Videokamera
Objektiv-Design Seite 245
Megapixelkamera
Seite
246
Lichtfeldkameras Seite
246
Fischaugen-Kameras Seite
246
Seite 247
Schutz vor Vandalismus Licht
Lichtempfindlichkeit
Seite 247
Nächtliche Ausleuchtung Seite 248
Infrarot-Technik Seite
248
Detektion und Analyse
Multifocal-Sensortechnologie Seite
249
Autarke und intelligente Videoüberwachung Seite 249
Managementsystem
Seite 251
Audio-visuelle Fernüberwachung Seite 251
Einsatzbereiche
Prozessoptimierung
Seite 252
Einzelhandel Seite 252
Spielkasino
Seite 253
Verkehrswesen
Seite 254
Öffentliche Plätze
Seite 255
Einbruchschutz
Seite 256
Datenschutz
Seite 256
Einzelthemen
Seite 257
Vorratsdatenspeicherung
Seite 258
Wertbehältnisse
Seite 258
Whistleblowing
Seite 258
Wirtschaftskriminalität Seite 259
Wissenschaftssicherheit Seite 261
Zahlungskartenkriminalität Seite 261
Skimming Seite 262
Tatverdächtige
Seite262
Zigarettenschmuggel
Seite263
Zoll
Seite 263
Zutrittskontrolle
Zutrittssystem und –management
Seite 263
Cloud-Anwendung
Seite 265
Ausweistechnologie
Seite 265
Smartphone/Near Field Communication Seite 266
integrierte Systeme Seite 267
Durchgangssperren
Seite 268
Marktübersichten
Seite 269
Trends
Seite 269
Spezifische Liegenschaften Seite 270
11
12
Vorwort des Herausgebers
Unternehmenssicherheit, das ist ein hohes
Ziel und eine komplexe Aufgabenstellung des
Managements als Teil des Wertschöpfungsprozesses der Wirtschaft. So unterschiedlich
wie die Bedrohungen sind die Möglichkeiten,
sie abzuwehren und den durch sie verursachten Schaden zu reduzieren. Die Fülle der
Bedrohungsphänomene ist kaum noch zu
übersehen, zumal sie sich mit ihren Rahmenbedingungen tendenziell verändern. Und
auch die baulichen, technischen, organisatorischen, personellen und normativen Schutzmöglichkeiten sind in ihrer Vielfältigkeit weit
gespannt und insbesondere aufgrund der
technologischen Innovationen einem fortschreitenden Wandel unterworfen. Von Jahr
zu Jahr gewinnt die Informations- und Kommunikationstechnologie an Gewicht, sowohl
für die Angreifer wie für die Verteidiger.
Die von mir monatlich zusammengestellten
Informationen „Focus on Security“ sollen –
ohne Anspruch auf Vollständigkeit – einen
möglichst breiten Überblick über aktuelle
Veröffentlichungen zu Themen der Unternehmenssicherheit geben. Sie enthalten kurze
Auszüge und Zusammenfassungen aus den
angegebenen Quellentexten, die dem Leser
einen Überblick über die aktuell behandelten
Probleme und die Möglichkeit geben sollen,
ein besonderes Interesse an der Veröffentlichung festzustellen und sie zu beschaffen.
Aus mehreren Gründen habe ich mich
entschlossen, die jeden Monat erscheinenden Informationen thematisch gegliedert als
Jahrbuch zusammenzufassen, soweit sie am
Jahresende über das Jahr hinaus von Bedeutung sind:
-Das Jahrbuch ermöglicht mehr Übersichtlichkeit und ein schnelleres Auffinden
der einzelnen Beiträge, als wenn man
jeweils die 12 Monatsausgaben durch
sehen muss.
-Das Jahrbuch vermittelt einen Eindruck
von der Fülle der Themen, die im abgelaufenen Jahr im Fachschrifttum und in der
Presse behandelt worden sind.
-Es zeigt deutlicher als die einzelnen Monatsausgaben, welche Probleme im Mittel
punkt der Erörterung standen, weil die
Bedrohungsphänomene sich veränderten
oder weil die zu ihrer Abwehr einzusetzende Technologie Fortschritte erzielt hat.
Ich wünsche Ihnen, dass das Jahrbuch der
Unternehmenssicherheit Ihr Interesse findet
und freue mich, wenn Sie ohne langes
Suchen auf die Sie interessierenden Themen
stoßen, also Zeit und neue Erkenntnisse
gewinnen.
Einleitung
Das Jahrbuch der Unternehmenssicherheit ist
eine fachlich strukturierte Zusammenstellung
der Monatsausgaben „Focus on Security“. Die
Texte werden dabei nach Möglichkeit nicht
verändert, auch nicht die zur Verdeutlichung
der Bezugnahme auf einen Quellentext verwendete indirekte Rede.
Wird ein Thema im Verlauf der 12 Monats
ausgaben wiederholt behandelt, dann wird
die Wiederholung in das Jahrbuch nur
aufgenommen, wenn und soweit damit auch
neue inhaltliche Aussagen verbunden sind.
Verzichtet wird ferner auf die Aufnahme von
Texten, die aktuell keine erhebliche Bedeutung mehr haben. Das gilt insbesondere für
Schadensereignisse, deren Eintrittsmöglichkeit durch technische oder normative Veränderungen zwischenzeitlich beseitigt wurde.
Die Wiedergabe der Fundstelle des Quellentextes – nach Möglichkeit auch die Angabe
des Autors – soll die Authentizität des jeweiligen Textes unterstreichen und dem Leser die
Beschaffung des Quellentextes erleichtern.
Ebenso wie bei den monatlichen Periodika
wird im Jahrbuch Wert auf Übersichtlichkeit
und leichte Auffindbarkeit von Texten gelegt:
-Deshalb ist das Jahrbuch nach gängigen
Suchbegriffen in alphabetischer Reihenfolge
gegliedert. Dabei lassen sich Themen oft
mehreren Suchbegriffen zuordnen, ohne
dass einem von ihnen Priorität zukommt.
Die Auffindbarkeit wird durch die Aufnahme
aller in Betracht kommenden Suchbegriffe
in das Schlagwortregister gewährleistet.
- S
uchbegriffe, die einen weiten Begriffsspiel
raum haben, so dass ihnen eine Vielzahl
von Texten zuzuordnen ist, werden durch
systematisch oder alphabetisch gegliederte
Unterbegriffe strukturiert.
-Auch im Schlagwortregister sind Oberbegriffen zumeist Unterbegriffe zugeordnet,
für die dann die jeweiligen Fundstellen
nach Seitenzahlen angegeben werden.
-Die Übersicht über das breite Spektrum
der behandelten Themen wird durch eine
einführende Gliederung erleichtert.
Wie bei den Monatsausgaben werden alle
Themen einbezogen, aber auch nur solche,
die für die Unternehmenssicherheit von
Bedeutung sind – also nicht nur Ausführungen zur Security und ihrer Bedrohung,
einschließlich Bundeskriminalstatistik und
Bundeslagebildern zu einzelnen Bedrohungsphänomenen – sondern auch zur
Safety und deren Beeinträchtigung. Ohne
Anspruch auf Vollständigkeit werden daher
auch der Arbeitsschutz und Maschinensicherheit thematisiert, unbeschadet der
organisatorischen Trennung von Corporate
Security in vielen Unternehmen. Deshalb
werden auch die Bereiche der IT-Sicherheit
im Unternehmen und der IuK-Kriminalität
im Jahrbuch behandelt. Diese Themenbereiche nehmen sogar einen immer breiteren
Raum in Fachzeitschriften und in der
Tagespresse ein. Diese Tendenz spiegelt
sich im Jahrbuch der Unternehmenssicherheit wider.
13
14
Amok-Kriminalität
Ein 57 Jahre alter Berufskraftfahrer einer
Spedition habe nach anfänglichem Leugnen
nach stundenlanger Vernehmung gestanden,
der seit fünf Jahren gesuchte „Lkw-Sniper“
zu sein, berichtet die FAZ am 26. Juni. In
der Hecke seines Gartens habe die Polizei
neben 1300 Schuss Munition zwei Pistolen
mit Schalldämpfern gefunden. Auch einen
„Schießkugelschreiber“ habe er offenbar für
seine Anschläge benutzt. 762 Mal soll er
auf Autobahnen zwischen dem 9. Dezember 2009 und dem 19. April 2013 aus der
Fahrerkabine seines Lkw vor allem auf Autotransporter und deren Fahrer geschossen
haben. Erst der Vergleich Tausender Daten
von Lkw-Kennzeichen, die mittels sechs
Kameraanlagen erfasst wurden, habe die
Ermittler auf die Fährte des Täters gebracht.
Als Motiv habe der Tatverdächtige „Ärger
und Frust im Straßenverkehr“ genannt. Die
Tatserie über mehr als drei Jahre wäre nach
Ansicht von BKA-Präsident Ziercke wesentlich früher aufgeklärt worden, wenn die
Polizei Zugriff auf die Mautdaten Hunderttausender Lastwagen gehabt hätte, die nicht
für polizeiliche Ermittlungen benutzt werden
dürfen. Stattdessen habe das BKA mit „großem Aufwand“ über die „Telemetrie-Daten“
der Speditionen für ihre Lastwagen mögliche
Tatstrecken rekonstruieren müssen.
Arbeitsschutz
Eine der Herausforderungen für Fachkräfte für
Arbeitssicherheit und Umweltschutzbeauftragte ist die Nachverfolgung von Vorschriftenänderungen und neu erlassenen
Vorschriften, heißt es in der Ausgabe 3-2013
der Fachzeitschrift GIT (S. 96–98). Erleichtern
könne diese Arbeit eine Software-Lösung
wie der „Haufe Vorschriften-Manager“. Da es
sich um eine webbasierte Lösung handelt,
könnten die Nutzer jederzeit auf aktuelle
Informationen zurückgreifen. Der Haufe
Vorschriften-Manager biete auch die Möglichkeit, verschiedene Rollen und Rechte
zu vergeben. Jeder Bereichsleiter sehe nur
die Pflichten, die für ihn oder seine Anlagen
gelten. Diese könnten dann über die Software
an die Anlagenverantwortlichen delegiert
werden. Sind verschiedene Unternehmensbereiche oder Standorte mit Umweltschutzoder Arbeitssicherheitsfragen befasst, sollten
für diese jeweils eigene Gruppen einfach
einsehbarer Rechtskataster angelegt werden.
Mit einer speziellen Software (der EcoIntense
GmbH), die den Arbeits- und Umweltschutz
bei der Roman Mayer Logistik Group unterstützt, befasst sich GIT in der Ausgabe 102013 (S. 116/117). Bei der Einhaltung der
steigenden Anforderungen an Arbeitsstätten
entstünden Unmengen an Daten, die nur
schwer zu verarbeiten seien. Die Software
EcoWebDesk sei spezialisiert auf alle HSE
(Health, Safety and Environment)-Prozesse
und ermögliche es aufgrund der Webtechnologie, alle Aufgaben des Arbeits- und
Umweltschutzes flexibel und standortübergreifend zu bearbeiten. Über eine integrierte
Schnittstelle zu einer Umweltrechtsdatenbank würden die Verantwortlichen über
Rechtsänderungen automatisch per E-Mail
informiert (Fachmodul „EcoWebDesk Legal
Compliance“).
Dipl.-Ing. Andreas Vogt, Berufsgenossenschaft der Bauwirtschaft und DGUV, nimmt
in der Fachzeitschrift GIT (Ausgabe 9-2013,
S. 122–124, Ausgabe 11-2013, S. 112/113
und Ausgabe 12-2013, S. 94/95) Stellung
zur Auswahl des richtigen Fußschutzes
für betriebliche Tätigkeiten. Außerdem
beleuchtet er die relevanten rechtlichen
Hintergründe, zeigt Auswahlkriterien auf und
gibt Informationen und Tipps zur Auswahl.
Fußschutz werde in der Regel nach harmonisierten Normen gefertigt. Man unterscheide
grundsätzlich folgende Normen: Sicherheitsschuh: DIN EN ISO 20345; Schutzschuh:
DIN EN ISO 20346; Berufsschuh: DIN EN ISO
20347. In der berufsgenossenschaftlichen
Regel „Benutzung von Fuß- und Knieschutz“
(BGR 191) stehe dem Anwender eine
umfangreiche Beispielsammlung zur Verfügung. Einflussfaktoren auf den Tragekomfort
seien: Passform, Zehenkappen, Polsterung,
Klimamembran, Gewicht, Schuhverschluss
und Schutz gegen Umknicken. In einem
weiteren Beitrag in Ausgabe 11-2013
werden die Anforderungen an HochleistungsIndustriehelme behandelt, die in der DIN
EN 14052 festgelegt sind. Die Norm solle
da greifen, wo herkömmliche ihre Leistungsgrenze erreichen. Beschrieben werden unter
anderem „beliebte Anstoßkappen“, verschiedene Materialien entsprechend auszuhaltenden Temperaturen, passendes Zubehör,
Kennzeichnung, Haltbarkeit und Prüfung
(S. 114/115). Thematisiert werden ferner
pneumatische Hebebühnen. Fast ein Drittel
aller tödlichen Arbeitsunfälle in Deutschland
zwischen 2001 und 2010 sind laut Bundesanstalt für Arbeitsschutz und Arbeitsmedizin
auf Stürze zurückzuführen. Grund für diese
Unfälle seien meist fehlende Sicherheitsvorkehrungen. Vor allem beim Lackieren großer
Fahrzeuge oder Bauteile werde oft noch mit
wackeligen Leitern gearbeitet, da sich ungekapselte elektrische Hebebühnen wegen des
Explosionsschutzes verbieten. Dabei gebe es
inzwischen Hub-Lösungen, die mit derselben
Druckluft betrieben werden wie auch die
Lackier-Werkzeuge. Der Installationsaufwand
werde dadurch minimiert und gleichzeitig
der Arbeiter durch eine Vielzahl an konstruktiven Maßnahmen abgesichert (S. 116/117).
Dr. Sabine Trupp, Fraunhofer-Einrichtung für
Modulare Festkörper-Technologien, zeigt,
dass Sensorfarbstoffe neue Möglichkeiten
im Arbeitsschutz eröffnen. Sie reagierten
auf bestimmte gefährliche Substanzen. Ein
Sensor-Handschuh, der sich bei Kontakt mit
Gefahrstoffen verfärbt, warnt den Mitarbeiter
unverzüglich, sobald dieser mit gefährlichen
Substanzen in Berührung kommt. Darüber
hinaus lasse sich mit Hilfe dieser Technologie
der kontaminierte Bereich örtlich sehr eng
eingrenzen (S. 118/119).
Die Fraunhofer Einrichtung für Modulare
Festkörper-Technologien (EMFT) habe
einen Schutzhandschuh aus intelligentem Textil entwickelt, das toxische Stoffe
in der Umgebungsluft detektiert und diese
durch Verfärbung anzeigt, berichtet auch
der Sicherheits-Berater (Nr. 13, S. 204/205).
Dieser Farbwechsel warne den Mitarbeiter,
sich schnellstmöglich aus der Gefahrenzone
zu begeben. Weitere Anwendungen seien
vorstellbar: die schnelle Prüfung von Gaslecks
oder die Prüfung der Qualität von Lebensmitteln als zukünftige Einsatzgebiete. Auch ein
noch zu entwickelndes Sensormodul, das in
der Kleidung integriert ist, könne Messwerte
speichern und so über die Exposition der
tragenden Person giftige Konzentrationen in
einem gefährdeten Umfeld dokumentieren.
In der Ausgabe 12-2013 stellt GIT neue
Lösungen für den Schutz vor Gefahren
durch toxische oder explosive Gase vor
(S. 98/99). Neben dem Tango TX1, das als
erstes Eingaswarngerät zwei gleiche Sensoren zur Erkennung eines einzelnen Gases verwendet, ermögliche die Accenture Life Safety
Solution von Industrial Scientific Deutschland
die drahtlose Echtzeitüberwachung und -ortung von Mitarbeitern in Industrieanlagen. Mit
dem Service iNet erhielten Kunden Gaswarntechnik als Dienstleistung. Gaswarngeräte
müssten mit iNet nicht mehr gekauft, sondern
könnten gemietet werden. Gerätekalibrierungen und -wartungen würden automatisch und
ohne zusätzliche Kosten durchgeführt.
Der Sicherheitsberater befasst sich am 1.
Oktober mit der Arbeitsergonomie in Leitstellen (S. 296–298). In Notruf- oder Serviceleitstellen (NSL), in denen sich üblicherweise
mehrere Arbeitnehmer einen Arbeitsplatz teilen, sollten sich die Arbeitsmittel dynamisch
und flexibel an die jeweiligen Bedürfnisse der
Mitarbeiter anpassen lassen. Insgesamt seien
die körpergerechten Abmessungen bei Möblierung im Auge zu behalten. Arbeits- und
Anzeigegeräte wie Monitore sollten ergonomisch justiert werden können. Beleuchtungs-/Reflexionsvorgaben seien einzuhalten.
15
16
Die Temperatur solle bei mindestens 20 und
maximal 26 Grad liegen. Für die Einhaltung
der zulässigen Umgebungslautstärke müsse
gesorgt werden. Vorzugsweise sollte die Be-
legschaft bis maximal 30–50 % der Arbeitszeit im Sitzen verbringen, den Rest abwechselnd im Stehen und in Bewegung.
Archivsicherheit
Archive, in denen wichtige Dokumente wie
Handelsbriefe, Jahresabschlüsse, Urkunden oder Hypotheken aufzubewahren sind,
müssten vor Feuer, Wasser, Einbruch und
Beschädigungen geschützt werden (Sicherheitsberater Nr. 16/2013, S. 236–238). Bei
langfristiger Lagerung sei eine konstante
Klimatisierung wichtig. Beim Brandschutz
müsse ein erhöhter Feuerwiderstandswert
in der Qualität F120 angestrebt werden, da
Papier leicht brennbar ist.
Arzneimittelfälschung
INTERPOL hat am 12. März bekannt gegeben, dass die Organisation zusammen mit
der pharmazeutischen Industrie eine globale
Initiative zur Bekämpfung der Arzneimittelfälschung ins Leben gerufen hat. Das auf
drei Jahre angelegte Abkommen mit 29 der
größten Pharmazieunternehmen ziele darauf
ab, Interpols Programm gegen Pharmaziekriminalität mit 4,5 Millionen Euro zu finanzieren
und darauf die Arbeit der „Medical Product
Counterfeiting and Pharmaceutical Crime
(MCPC)-Einheit“ aufzubauen. Das Programm
werde sich auf die Prävention aller Arten
pharmazeutischer Kriminalität konzentrieren,
einschließlich der Drogenfälschung und der
Identifizierung und Aufdeckung von Netzwerken organisierter Kriminalität in diesem Bereich, durch die jedes Jahr Millionen illegaler
Profite generiert würden.
Der Markt für illegale Arzneimittel blüht wie
nie, titelt die FAZ am 14. September. Seien
früher Rauschgifte im Inland aus illegal eingeführten Substanzen zusammengemischt
worden, so geschehe das heute auch für
Arzneimittel immer öfter. Die würden dann
über den Bekanntenkreis oder das Internet verkauft. Deshalb warnten Apotheker,
Pharmahersteller und der Zoll vor dem Kauf
von Arzneimitteln, Aufbaustoffen oder auch
Nahrungsergänzungsmitteln auf nicht zerti-
fizierten Internetseiten. Selbst wenn dort mit
dem Hinweis „alles Natur“ geworben werde,
hätten Untersuchungen erschreckend hohe
chemische Wirkstoffdosen ergeben. Jedes
zweite auf einer illegalen Website erworbene
Medikament sei gefälscht. Mit Hilfe eines
neuen und angeblich fälschungssicheren
Verpackungssystems „Securpharm“ wollten Hersteller und Apotheken das Problem
in den Griff bekommen. Seien 2005 noch
531.000 illegale Tabletten aus dem Verkehr
gezogen worden, so seien es 2012 schon
neunmal so viele: 4,5 Millionen. Die Zahl der
Ermittlungsverfahren sei um den Faktor 7
gestiegen, von 268 auf 1.805.
Die FAZ befasst sich am 10. Dezember mit
Möglichkeiten, die Lieferkette von Medikamenten vor Fälschungen zu sichern. Von
2017 an müssten Erstöffnungsschutz und
die Serialisierung bei den meisten verschreibungspflichtigen Medikamenten europaweit
sicherstellen, dass Fälschungen nicht in die
legale Lieferkette eindringen. Das sei ein
großer technischer und finanzieller Aufwand,
doch die Gefahr sei eminent. Immerhin läge
im Handel mit gefälschten Arzneimitteln die
Gewinnspanne mitunter höher als in dem
mit Drogen. Zum Spektrum der Fälschungen gehörten Arzneien gegen Aids, Krebs,
Malaria, aber auch Erkältungskrankheiten und
vieles mehr. Weltweit seien rund 10 % aller
Medikamente gefälscht, wobei mehr als 50 %
der im Internet verkauften Pharmazeutika und
rund 60 % der Arzneimittel in Entwicklungsländern den Hauptanteil ausmachten. Schutz
könne ein kontrollierter Vertriebsweg bringen,
der lückenlos die Ware von der Produktion
bis zum Verbraucher verfolgt. In Deutschland
habe die Initiative Securpharm (www.securpharm.de), in der sich Arzneimittelhersteller,
Pharmagroßhändler und Apotheker zusammengeschlossen haben, eine Überwachung
der kompletten Lieferkette entwickelt, die
der Richtlinie 2011/62/EU des Europäischen
Parlaments entspreche. Zum Schutz des
legalen Vertriebswegs werde beim Verpackungsprozess jedes Medikament mit einem
aufgedruckten 2D-Data-Matrix-Code gekennzeichnet, dessen Aussehen einer Internetbriefmarke gleiche. In ihm werden nicht nur
die weltweit eindeutige Pharmacy Product
Number (PPN), Chargenbezeichnung und
Verfallsdatum verschlüsselt, sondern auch
eine Seriennummer, die für jede Packung
generiert wird. Mit ihrer Seriennummer
werde jede Verpackung abschließend in
einer zentralen Datenbank registriert. Über
die eindeutige Kennzeichnung könne dann
bei der Abgabe in der Apotheke kontrolliert
werden, ob es sich um eine registrierte, frische Verpackung handelt. Für den Schutz des
Inhalts müsse laut EU-Richtlinie zudem eine
manipulationssichere Verpackung (Tamper
Evidence) vorhanden sein. Im Vordergrund
stehe hier, dass der Apotheker, aber auch der
Kunde, erkennt, ob die Schachtel, Dose oder
Flasche schon einmal geöffnet wurde. Der
Versiegelungsspezialist Schreiner Prosecure
biete neben dem Erstöffnungsschutz auch
Kennzeichnungen zum Originalitätsschutz
von Packungen wie Hologramme, aber auch
die besonders geschützten Kippfarben. Zusätzlich zu solch sichtbaren Verfahren ließen
sich – dann aber nur für Fachleute dechiffrierbar – unsichtbare Echtheitsnachweise in
Verpackungen integrieren, beispielsweise als
RFID-Label oder in Form von Spezialpigmenten. Mit einem spektroskopischen Lesegerät
lasse sich per Laser die Mineralienmischung
wie eine Art Fingerabdruck überprüfen. Es
ließe sich verfolgen, von wem, wo und wann
ein Medikament produziert wurde.
Atomunfälle
Die Betreiber europäischer Atomkraftwerke
sollen nur mit rund 1 Milliarde Euro für Unfälle
haften. Dafür habe sich Energiekommissar
Günther Oettinger ausgesprochen, meldet
die FAZ am 1. November. Er habe konkrete
Vorschläge für Haftung und einhergehende
Versicherungspflicht Anfang 2013 ange-
kündigt. Bisher sei die Haftung bei Unfällen
in jedem Staat anders geregelt. In Deutschland hafteten Energiekonzerne mit ihrem
Vermögen, zudem sei für jedes Kraftwerk
eine Versicherung über 2,5 Milliarden Euro
abzuschließen.
Baustellensicherheit
Dr. Karl-Bernhard Lederle, Bosch Sicherheitssysteme, stellt in der Fachzeitschrift
WiK (Ausgabe 6-2013, S. 66/67) ein
neues Konzept gegen „Klau am Bau“ vor.
Mit „Goard’nGo“ habe Bosch ein Konzept
entwickelt, das Prävention, Intervention und
Überwachung kombiniert. Die Basis sei eine
Videoüberwachung mit intelligenter Video-
analyse. Die Kommunikation zwischen der
Sicherheitstechnik vor Ort und der NSL könne
über die vorhandenen Mobilfunknetze erfolgen. Die Stromversorgung werde bei Bedarf
über Solarpanels und Akkus sichergestellt.
Sogenannte Funksiegel könnten an Baumaschinen befestigt werden und bei Bewegung
einen Alarm senden. Aufgrund ihrer Wie-
17
18
derverwendbarkeit eigneten sich Funksiegel
besonders gut für den temporären Einsatz,
wie er für Baustellen typisch ist. Durch ihren
weiten Temperaturbereich von - 40 bis + 70
Grad eigneten sie sich für den Außenbereich,
auch bei extremen Umgebungsbedingungen.
Um tagsüber den Baustellenbetrieb nicht zu
behindern, könnten sie zu Arbeitsbeginn über
die NSL unscharf geschaltet werden.
Besuchermanagement
PROTECTOR befasst sich in der Ausgabe
6-2013 mit einem präzisen Besuchermanagement. Mit Voranmeldung durch den jeweiligen
Mitarbeiter würden die Daten des Besuchers
in einer Datenbank gespeichert. Der Pförtner
wisse somit genau, ob tatsächlich ein Termin
geplant ist. Externe Berater oder Leiharbeiter,
die des Öfteren im Unternehmen tätig sind,
müssten nicht jedes Mal neu registriert und
begleitet werden. Sie erhielten nach vorheriger
Überprüfung über einen Zeitraum Zugang zu
eingeschränkten Bereichen. Mitarbeiter von
Fremdfirmen, die regelmäßig anwesend sind,
bekämen einen aktiven Ausweis. Sie ließen
sich am Selbstanmeldekiosk per Biometrie
identifizieren (S. 50/51).
Mit der elektronischen Personenregistrierung
in Gebäudekomplexen befasst sich Protector
auch in der Ausgabe 9-2013 (S. 31/32). Intelligente Visitor Management Systeme ließen
sich heutzutage eng in die gängigen Zugangskontrollsysteme und Lösungen zur Personalverwaltung integrieren. Damit könnten größere
Besucheraufkommen einfach und schnell vor
Ort erfasst werden. Verfügt ein Gebäude über
mehrere Eingänge, könnten Informationen von
allen Eingangspunkten abgerufen und zentral
verwaltet werden, so dass der Besucher
jederzeit frei entscheiden kann, über welchen
Ausgang er das Gebäude verlassen möchte.
Ein weiterer Vorteil des elektronischen Besuchermanagements bestünde darin, dass Gäste
bequem durch eine Online-Voranmeldung
registriert werden können. Bei Ankunft reiche
dann das Scannen des Personalausweises
oder des Führerscheins.
Betrug – Anstieg von Betrugsfällen
71 % der europäischen Sach- und Haftpflichtversicherer bestätigten nach einem Bericht
in der Fachzeitschrift SICHERHEITSFORUM
(Ausgabe 5-2013, S .31) einen spürbaren
Anstieg von Betrugsfällen in den letzten drei
Jahren. Die in einer Studie von Accenture
befragten Führungskräfte sorgten sich über
verschiedene Aspekte ihrer Schadensregulierungssysteme. Dies betreffe vor allem ihren
Kundenservice: 84 % der Befragten hielten die
Systeme ihrer Versicherungen für nicht flexibel
und modern genug. Laut 51 % der Befragten
sind ihre Systeme nicht in der Lage, das wachsende und verfügbare Datenvolumen zu erfassen und entsprechend zu analysieren. Nach
dem Ergebnis der Studie wollen 79 % der
europäischen Versicherer Prozesse optimieren
und automatisieren, 60 % in Datenanalyse und
Betrugserkennung sowie 45 % in Dokumenten- und Workflow-Management investieren.
Betrug – Bilanzbetrug
Computerwoche.de berichtet am 22. August,
das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) habe das „Benfordsche
Gesetz“ weiterentwickelt. Mit der „modellbasierten Zifferanalyse“, die sich selbstlernend
dem Untersuchungsumfeld anpasst, würden
bisherige Schwächen der Methode ausgebessert. Bei der Aufklärung von Betrugs- und
Manipulationsdelikten machten sich forensische Wirtschaftsprüfer dieses Zahlengesetz
zunutze. Denn wenn ein Betrüger Rechnungen oder Buchhaltungsdaten manipuliere,
greife er in die natürliche Verteilung der
Zahlen ein. Mittels einer speziellen Software könnten diese Abweichungen erkannt
werden. Das Problem für die Wirtschaftsprüfer seien bislang die Besonderheiten von
Unternehmensdaten gewesen, die weniger
natürlichen, als vielmehr marktbedingten
Gesetzmäßigkeiten unterlägen. Den Fraunhofer Experten sei es nun aber gelungen,
unternehmensspezifische Bedingungen mit
zu berücksichtigen und in der „modellbasier-
ten Ziffernanalyse“ umzusetzen. Sie ersetze
die pauschale Gesetzmäßigkeit nach Benford
durch ein flexibles Modell, das mit bestehenden Unternehmensdaten gefüttert werde.
Dass diese Analyse den Praxistest besteht,
zeige schon ihr erster Einsatz, der gleich erfolgreich gewesen sei. Eine Aufsichtsbehörde
verdächtigte einen internationalen Versicherungskonzern, gesetzlich geforderte Rückstellungen für Groß- und Langzeitschäden
manipuliert zu haben, um die Jahresbilanz zu
schönen. Mithilfe konventioneller Datenanalysen und der neuen Form der Ziffernanalyse
konnten verdächtige Transaktionen entdeckt
werden, die gegen die Zahlengesetzmäßigkeit des Unternehmens verstießen.
Betrug – Bitcoin-Betrüger
Die US-Börsenaufsicht SEC warnt vor BitcoinBetrügern, meldet n-tv.de am 24. Juli. Ein
texanischer Investor soll Anleger um einen
Millionenbetrag geprellt haben. Investoren
könnten bei der Kunstwährung durch Schnee-
ballsysteme und andere illegale Verfahren
leicht hinters Licht geführt werden. Virtuelle
Währungen lockten womöglich Betrüger an,
weil sie weniger reguliert seien und weniger in
der Öffentlichkeit stünden.
Betrug – Betrug im Gesundheitswesen
Die FAZ befasst sich am 18. Januar mit
Betrugsfällen im Gesundheitswesen. Die
gesetzlichen Krankenkassen hätten 2010 und
2011 knapp 53.000 Fälle von Fehlverhalten
im Gesundheitswesen verfolgt. Darunter seien
35.000 neue Fälle gewesen. Nach dem Bericht des Spitzenverbandes der gesetzlichen
Krankenversicherung (GKV) konnten Schadenersatzforderungen von mehr als 41 Millionen Euro durchgesetzt werden. Angesichts
von mehr als 180 Milliarden Euro, welche
die gesetzlichen Kassen zuletzt ausgaben,
scheine der Schadenersatz ein kleiner Betrug
zu sein. Fachleute wiesen aber darauf hin, dass
der Schaden ein Vielfaches davon betrage.
Der Bericht beruht auf Angaben von 110 der
134 Krankenkassen und deckt damit 93 %
des Versichertenmarktes ab. Meist gehe es
um Abrechnungsbetrug. Aus dem Bericht sei
nicht erkennbar, wie sich die Fälle auf einzelne
Berufsgruppen verteilen.
Betrug – Betrug mittels Internet
Nach einer Meldung der FAZ vom 18. Oktober warnt die Bundesagentur für Arbeit vor
einer dreisten Masche im Internet. Demnach
stellt ein fremder Anbieter Rechnungen an
Arbeitgeber aus, die ihre Stellenangebote
auf der kostenlosen Jobbörse der Arbeitsagentur im Internet einstellen. Der Anbieter
„Jobdirect24“ verlange für die angebliche
19
20
Veröffentlichung 580 Euro. Die Behörde
weise darauf hin, dass es sich bei Jobdirect24
nicht um einen Kooperationspartner handelt
und rät allen betroffenen Arbeitgebern, die
Rechnung nicht zu begleichen.
Die Einführung der europaweit einheitlichen
Kontonummern sei eine Fundgrube für Kriminelle, heißt es am 10. Dezember in der FAZ.
Betrüger forderten Bank- und Firmenkunden
dazu auf, ihre Daten – angeblich im Rahmen
der Sepa-Umstellung – zu bestätigen. In den
Mails befänden sich Links zu Webseiten, die
in Wirklichkeit persönliche Daten der Empfänger wegfischen oder deren Computer mit
einem Schadprogramm infizieren. Der Rat:
nicht öffnen, nicht anklicken, nicht antworten.
Betrug – Kreditkartenbetrug
Das Handelsblatt berichtet am 6. Februar,
die US-Polizei habe einen extremen Fall von
Kreditkartenbetrug aufgedeckt. 13 Verdächtige sollen sich mit ausgeklügelten Methoden
mindestens 200 Millionen Dollar ergaunert
haben. Sie hätten Tausende falsche Identitäten erfunden und damit rund 25.000 Kredit-
kartenkonten eröffnet. Mit einem Geflecht
aus Scheinfirmen, Bankkonten in aller Welt
und Komplizen in mittelständischen Geschäften hätten sie über Jahre immense Schulden
aufgebaut, natürlich ohne die Absicht, sie
jemals zurückzuzahlen.
Betrug – Sozialversicherungsbetrug
Focus online meldet am 7. Januar, die
Deutsche Rentenversicherung Bund habe
2012 eine Rekordsumme von Arbeitgebern eingetrieben, die keine oder zu geringe Sozialversicherungsbeiträge für ihre
Angestellten gezahlt hätten. Nach Zahlen, die
dem Hamburger Abendblatt vorlägen, sei die
Summe der nachgeforderten Abgaben 2012
auf 432 Millionen Euro angewachsen. 2011
seien es nur 415 Millionen Euro gewesen, obwohl die Prüfer der Rentenversicherung rund
20.000 Betriebe mehr als 2012 überprüften.
„Immer öfter versuchen sich Arbeitgeber
ihrer sozialen Verantwortung zu entziehen“,
habe die Vorsitzende des Bundesvorstands
der Rentenversicherung, Annelie Buntenbach, gesagt. Das sei kein Kavaliersdelikt.
Der Betrug werde durch kurzfristige oder
nicht abgesicherte Beschäftigung, Werkverträge, Scheinselbstständigkeit und Minijobs
begünstigt.
Betrug – Tankbetrug
Noch nie haben in Deutschland so viele
Menschen an der Tankstelle vorsätzlich
nicht gezahlt wie 2012, meldet die FAZ am
11. Juli. Das gehe aus einer Untersuchung
des Internetportals Auto.de hervor. 90.000
Fälle von Tankbetrug seien angezeigt worden,
rund 6 % mehr als 2011. Aufgeklärt worden
seien nur 43 % der Fälle, weil viele Täter
ohne Nummernschild agierten. Der durch
Tankbetrug verursachte Schaden liege bei
mehr als 30 Millionen Euro im Jahr. Experten
schätzen, dass nur ein Fünftel aller Betrügereien angezeigt würden. Bundesweit die
meisten Tankbetrügereien gebe es in Magdeburg, wo jede Tankstelle durchschnittlich 26
mal betrogen worden sei.
Betrug – Telefonbetrug
Nach einer Meldung im Magazin Focus am
9. Dezember warnt das BKA vor dreistem
Telefonbetrug in steigendem Ausmaß. Der
BKA-Präsident habe der IMK die Zahl von bis
zu 300.000 Geschädigten durch betrügerische Call Center-Anrufe genannt. Vor allem
von der Türkei aus agierende Täter machten
per Telefon falsche Gewinnversprechen, die
an die vorherige Überweisung von Gebühren geknüpft seien. Durch die Betrügereien
hätten die Täter bislang etwa 175 Millionen
Euro erbeutet.
Betrug – Steuerbetrug
Deutsche und europäische Behörden gehen
offenbar dem Verdacht von Steuerbetrug
im Stromhandel nach, der die Staatskasse
Milliarden gekostet haben könnte, berichtet
die FAZ am 21. Dezember. Mehrere Staatsanwaltschaften, Steuerbehörden und Kriminalämter arbeiteten in der Sache zusammen.
Ein Sprecher des BMF habe erklärt, solchen
kriminellen Geschäften auf dem Strommarkt habe man mittlerweile die Grundlage
entzogen. Denn die EU-Kommission habe
Deutschland gestattet, in dieser Branche
die Umsatzsteuerpflicht vom Lieferanten
auf den Empfänger zu verlagern (Reversed
Charge-Verfahren). EUROPOL sei sich der
fortdauernden kriminellen Aktivitäten auf den
Energiemärkten bewusst. EU-Steuerkommissar Algirdas Semeta habe wiederholt erklärt,
das geltende Mehrwertsteuersystem sei zu
betrugsanfällig. In 26 Punkten wolle seine
Behörde Änderungen erzielen. Einer B
rüsseler
Studie zufolge entgingen den EU-Staaten 2011
allein deshalb 193 Milliarden Euro an Einnahmen, davon 27 Milliarden in Deutschland.
Biometrie
Mit den Grenzen der Gesichtserkennung
durch Biometrie befasst sich Alexander
Nouak, Fraunhofer Institut für Graphische
Datenverarbeitung, in der Fachzeitschrift WiK
(Ausgabe 4-2013, S. 14–16). Einige Algorithmen scheiterten bei der Detektion des Gesichts, wenn es um etwa 15 Grad gedreht ist.
Auch Gesichtsbemalung oder eine spezielle
Haartracht könne die Analysealgorithmen aus
dem Konzept bringen. Behebungen solcher
Probleme seien noch weit von kostengünstigen, zuverlässigen Lösungen entfernt.
Die Fälschungserkennung sei ein aktuelles
Forschungsfeld, das unter anderem im
EU-geförderten Projekt „Trusted Biometrics
under Spoofing Attacks“ untersucht werde.
Ziel eines vom BMBNF geförderten Projekts
„GES-3D“ sei es, die erkennungsdienstliche
Erfassung von Straftätern künftig nicht mehr
mit bis zu fünf Fotos vorzunehmen, sondern
das Gesicht dreidimensional zu erfassen.
Heise.de meldet am 21. August, das Department of Homeland Security habe ein System
zur Videoüberwachung entwickeln lassen,
das aus bis zu 100 Meter Entfernung und
einem 3-D-Verfahren Gesichter erkennen
könne. Die durchgeführten Tests hätten aber
insgesamt noch keine zufriedenstellenden
Ergebnisse gebracht. Die mit dem Pentagon zusammen arbeitende Firma Electronic
Warfare Associates (EWA) habe erklärt, dass
Treffer mit 80 bis 90 % Wahrscheinlichkeit
erzielt werden sollten. Dies habe aber allenfalls bei kürzeren Distanzen erreicht werden
können. Weiter weg seien die Erkennungsraten auf 60 bis 70 % abgefallen. Zudem hätte
die Bildverarbeitung anfangs sechs bis acht
Minuten gedauert, jetzt sei man bei weniger als 30 Sekunden angekommen, was für
Sicherheitszwecke aber immer noch recht
hoch sei.
21
22
Wie die Zeitschrift WiK in der Ausgabe
5-2013, S. 10, mitteilt, haben Forscher
der Universität von Leicester eine neue Methode entwickelt, um Fingerabdrücke auf
metallischen Oberflächen zu identifizieren.
Anders als nach der klassischen Methode
nutze die neue Technik die elektrischen
Isoliereigenschaften der Fingerspuren. Der
Abdruck wirke dabei wie eine Maske, die
dafür sorgt, dass per elektrischem Strom
farbige, elektroaktive Polymere auf die
Flächen zwischen den Ablagerungen des
Fingerabdrucks umgelenkt werden. So entstehe ein Negativbild des Fingerabdrucks.
Allerdings würden isolierende Rückstände
ab Nanometerdicke die Polymerablagerung
verhindern. Bisher sei das Verfahren nur im
Labor angewandt worden.
Heise online meldet am 17. Oktober, der
Europäische Gerichtshof habe entschieden,
dass die Speicherung digitaler Fingerabdrücke auf deutschen Reisepässen zulässig
ist. Die gängige Praxis, biometrische Daten
auf dem Ausweis zu speichern, entspreche
dem europäischen Recht. Auf diese Weise
könne Betrug bei der Verwendung von Reisepässen verhindert werden.
Wer viele Kredit- und Bankkarten hat,
muss sich auch viele Geheimnummern
merken. Wissenschaftler am FraunhoferInstitut für Graphische Datenverarbeitung in
Darmstadt haben deshalb einen berührungsempfindlichen Bildschirm für Bankautomaten und Kartenzahlsysteme entwickelt, auf
dem sich Kunden auch mit ihrer Unterschrift
identifizieren können, berichtet heise online
am 4. April. Dabei prüfe eine Software nicht
nur, ob die Eingabe mit der hinterlegten
Unterschrift übereinstimmt. Sie vergleiche
über einen Spezialstift auch, ob man auf dieselbe Art wie auf der Vorlage unterschreibt
– etwa anhand des zeitlichen Verlaufs der
Stiftposition bei jedem einzelnen Schnörkel
und dem üblichen Stiftandruck. Diese
zusätzlichen biometrischen Merkmale
dienten der Fälschungssicherheit. Eine reine
optische Fälschung der Unterschrift allein
reiche künftig also nicht mehr. Die Technik
lasse sich nicht nur als PIN-Ersatz nutzen,
sondern auch dann, wenn man in Geschäften das Bezahlen per Lastschriftverfahren
absichern will, bei dem die PIN derzeit nicht
zum Einsatz kommt. Die biometrischen
Unterschriftsdaten speicherten die IGDForscher direkt auf der Chipkarte, auf dem
Bankrechner befänden sie sich nicht.
Im Newsletter Sicherheitspolitik weist die
ASW am 25. Oktober auf das EU-geförderte
Projekt TABULA RASA hin. Software zur
Gesichts-, Sprach- und Fingerabdruckerkennung habe es inzwischen auf Smartphones und Tablets geschafft. Doch auch
diese äußerst effizienten biometrischen
Sicherheitssysteme hätten Schwachstellen,
die ausgenutzt werden, um Zugang zu
fremden Ressourcen oder Daten zu gewinnen.
TABULA RASA habe konkrete Gegenmaßnahmen entwickelt, damit europäische
Unternehmen derartige Angriffe abwehren
können. Die EU investiere 4,4 Millionen Euro
in das Projekt, das TABULA RASA-Konsortium weitere 1,6 Millionen Euro.
Die Fachzeitschrift WiK weist in ihrer Ausgabe
3-2013 (S. 7/8) darauf hin, dass das FBI
unter dem Titel „Next Generation Identification“ (NCI) ein Milliarden Dollar teures
Programm aufgelegt hat, das die Möglich
keiten der biometrischen Überwachung
in Zukunft erheblich ausweiten soll. Auf
dem Wunschzettel der Behörde stehe unter
anderem eine Software, die es ermöglichen
soll, hochgeladenes Foto- oder Videoma
terial möglichst schnell mit einer Datenbank
von Millionen Bildern abzugleichen. Auch
die Auswertung von Iris-Scans und die
Gesichtserkennung sollen erheblich verbessert werden.
Brandanschläge
Mehrere Brandanschläge auf Anlagen und
Kraftfahrzeuge von Unternehmen wurden im
Laufe des Jahres 2013 gemeldet:
In der Nacht zum 26. Dezember 2012
setzten Unbekannte in den Stadtbezirken
Berlin-Mitte und Friedrichshain-Kreuzberg
zwei Firmenfahrzeuge der Wohnungsbaugesellschaft Degewo AG in Brand, wie
die ASW am 11. Januar meldet. Eine bisher
unbekannte Gruppe „Autonome Flambiererinnen(polymorphe Sektion)“ stellte im
Internet die Taten einerseits in den Begründungszusammenhang „Gentrifizierung“,
andererseits in einen Zusammenhang mit
dem im Februar 2013 in Berlin stattfindenden Polizeikongress. Die linksextremistische
Szene thematisiert diese Veranstaltung seit
Jahren im Zusammenhang mit der Begründung von Straftaten gegen Institutionen und
Unternehmen. Derzeit werde erneut gegen
den Europäischen Polizeikongress 2013
mobilisiert und unter dem Motto „Machen
wir den Polizeikongress 2013 zum Desaster!“ zu Aktionen sowie zur Teilnahme
an einer Demonstration am 16. Februar in
Berlin aufgerufen. In der Nacht zum 4. Januar
steckten ebenfalls bisher unbekannte Täter
im Bezirk Friedrichshain-Kreuzberg einen
Pkw der Deutschen Telekom in Brand. Auch
hier wurde in einer Selbstbezichtigung (ohne
Gruppenbezeichnung) der Zusammenhang
mit dem Polizeikongress 2013 hergestellt
und die Zusammenarbeit der Telekom mit
Sicherheitsbehörden, zum Beispiel bei
mobilen Systemen für Personenkontrollen,
thematisiert.
Im Landkreis Ludwigsburg habe es seit Oktober 2012 in kleineren Städten und Gemeinden neun Brandanschläge auf Autohäuser,
einen auf eine Lagerhalle sowie zwei weitere
Brandstiftungen in Schulen gegeben, meldet
die FAZ am 4. April. Den Schaden an den 30
zerstörten Fahrzeugen beziffere die Polizei
auf mindestens eine Million Euro; der Schaden an der Betriebshalle von „Dürr Dental“
liege bei drei Millionen Euro. Der Brandstifter
habe vor allem teure Fahrzeuge der Marken
Mercedes, BMW, Audi und Land Rover angezündet, aber auch VW, Ford oder Subaru. Der
Täter habe nur Fahrzeuge ausgewählt, die in
Bietigheim-Bissingen, Tamm oder Asperg auf
Betriebsparkplätzen abgestellt waren.
Wie das BKA in der 26. Kalenderwoche
berichtet, setzten in der Nacht zum 11. Juni in
München unbekannte Täter ein Firmenfahrzeug der Siemens AG und einen Lkw der
Deutschen Telekom AG vermutlich mittels
Grillanzünder in Brand. Tatverdächtig seien
zwei Mitglieder der linken Szene in München.
Bereits am 23. Mai und 5. September 2012
sowie am 7. April 2013 waren in München
Fahrzeuge der Deutschen Telekom in Brand
gesetzt worden. Die Anschläge wurden
mit Antikapitalismus und zivilmilitärischer
Zusammenarbeit begründet.
Nach einer Mitteilung der ASW vom 5. August hat das BKA über einen Brandanschlag
am 26. Juli auf einen am Straßenrand geparkten PKW mit Firmenaufdruck der Deutschen
Telekom berichtet. In unmittelbarer Tatortnähe seien Plakate mit linksextremistischen
Inhalten gefunden worden, auf denen gestanden habe, die Deutsche Telekom überwache
Angestellte, schüchtere Gewerkschafter ein,
sei in der Rüstungsindustrie tätig, bereichere
sich an Strafgefangenen, leiste der Polizei
Amtshilfe bei der Bespitzelung sozialer
Bewegungen und profitiere von der Krise in
Griechenland.
Das BKA berichtet in der Wochenlage am
6. Oktober, dass Unbekannte am 29. September auf dem Gelände eines Autohauses
in Erfurt zur Auslieferung bereitgestellte
Einsatzfahrzeuge der Polizei in Brand gesetzt
haben. 15 Mannschaftswagen brannten aus,
fünf weitere Fahrzeuge wurden beschädigt.
Der Schaden wird auf insgesamt 750.000
Euro geschätzt. In einem Selbstbezichtigungsschreiben wird die Tat von der Gruppe
23
24
„Abteilung bürgerlicher Ungehorsam im
TRH“, die sich als Mitarbeiter des Landesrechnungshofes ausgibt, in ironischer Weise
dahingehend begründet, dass die Thüringer
Polizei durch „fehlende Ausschreibungen,
Verstöße gegen Vergabe-Vorschriften,
verschleierte Kreditfinanzierungen und
serienmäßige Mängel bei angekauften Neufahrzeugen“ die Täter zu der Tat gezwungen
habe. Das BKA weist auf einen ähnlichen
Fall am 23. Januar 2012 in Magdeburg hin.
Damals belief sich der Sachschaden auf ca.
500.000 Euro.
Dem BKA-Bericht zur 45. Kalenderwoche
2013 ist zu entnehmen, dass Unbekannte
in der Nacht zum 31.10.2013 auf einem
Firmengelände im Berliner Bezirk MarzahnHellersdorf zwei Transporter der Firma DHL
in Brand setzten. Die Fahrzeuge brannten
komplett aus. In einem Selbstbezichtigungsschreiben wird die Tat in den Begründungszusammenhang Antimilitarismus gestellt.
Insbesondere im Rahmen der sogenannten
„DHL-Kampagne“, die aufgrund der Bewerbung der DHL auf eine Ausschreibung als
Logistikdienstleister der Bundeswehr ins
Leben gerufen wurde, waren zwischen 2009
und 2011 vermehrt Straftaten gegen die
DHL verübt worden.
Wie das BKA in seiner Wochenlage am 6. Dezember mitteilt, haben unbekannte Täter
am 28. November in Berlin-Adlershof einen
Kabelschaft an einem Funkverteilermast
der Vodafone GmbH mittels selbstgebauter
Brandvorrichtungen beschädigt. Sie hatten
sich Zugang zu dem umfriedeten Gelände
verschafft und anschließend den Mast bis
in sechs Meter Höhe erklettert. Der Brand
beeinträchtigte den Mobilfunkbetrieb nicht. In
einem Selbstbezichtigungsschreiben richten
sich die Verfasser unter dem Namen „anonymous/Vulkangruppe Katla“ „gegen die totale
Überwachung“ durch Regierungen, Geheimdienste und Konzerne. Eine Einrichtung der
Vodafone GmbH sei als Ziel gewählt worden,
weil „dieser Konzern besonders bereitwillig
mit dem britischen Geheimdienst GCHQ“
zusammenarbeite. Die Autoren rufen unter
explizitem Hinweis auf die Gruppen „Das
Grollen des Eyjafjallajökull“, das „Hekla-Empfangs-Komitee“ und die Gruppe „Grims Vötn“
dazu auf, weitere Infrastruktureinrichtungen
mittels Sabotage „zu blockieren und letztendlich lahmzulegen“.
Brandschutz – Baulich-technischer Brandschutz
Dr.-Ing. Mingyi Wang, GDV, gibt auf S. 18–22
der Fachzeitschrift s+s report (Ausgabe
3-2013) entsprechend VdS 3149 Hinweise
zur Bewertung von Abschnittsflächen, um
einen technisch und wirtschaftlich optimalen
Brandschutz zu ermöglichen. Gemäß dem
Abschottungsprinzip sollten Gebäude nach
Möglichkeit durch feuerwiderstandsfähige
Wände und Decken baulich unterteilt werden,
um eine Ausbreitung von Feuer und Rauch
zu verhindern oder wenigstens zu begrenzen. Abgesehen von der Abtrennung von
Nutzungseinheiten seien bei Industrie- und
Gewerbebauten folgende Abschnittsbildungen bekannt: Komplex, Brandabschnitt
(BA), Brandbekämpfungsabschnitt (BBA)
und feuerbeständig abgetrennter Raum. Der
Autor behandelt die typische Abschnittsbildung, Definitionen der Abschnittsflächen in
der Muster-Industriebaurichtlinie, die risikotechnische Bewertung der Abschnittsflächen
und Empfehlungen der Versicherer. Diese
hätten anhand ausgewerteter Schadenerfahrungen Empfehlungen zur Bewertung von
Abschnittsflächen veröffentlicht. Mit ihnen
solle die Praxis dabei unterstützt werden, die
Brandgefahren und die damit verbundenen
Risiken insbesondere durch die Anordnung
brandschutztechnisch abgetrennter Gebäudeabschnitte zu minimieren.
Peter Pardeyke, Dätwyler Cables GmbH, erläutert in einem von PROTECTOR im August
herausgegebenen Brandschutz-Special Aus-
wirkungen der Bauproduktenverordnung auf
die Verwendung von Kabeln in Gebäuden.
Mit dieser Verordnung idF v. 12. 04. 2013
werden auf europäischer Ebene erstmals
Kabel und Leitungen als Bauprodukte
brandschutztechnisch klassifiziert. Die Firma
Dätwyler gebe den Verantwortlichen drei Tabellen an die Hand, die ihnen zumindest eine
Orientierung über die aktuellen Anforderungen gibt, und die zugleich als ein „Bindeglied“
zwischen den bisher gültigen Bestimmungen
und den zukünftigen Anforderungen dienen
können (S. 10/11).
Die Fachzeitschrift Security insight befasst
sich in Ausgabe 4-2013 (S. 28/29) mit feuerbeständigen Kabelboxen. Sie gewährten
im baulichen Brandschutz die Brandabschottung von Kabeldurchführungen. Die industriell vorgefertigten Abschottungen bestünden
im Wesentlichen aus einem feuerverzinkten
Stahlblechgehäuse, dessen Innenseiten mit
einer anorganischen Dämmschicht ausgekleidet sind. Diese Auskleidung aus luftdicht
gekapselten Alkalisilikat-Blöcken blähe sich
sowohl im Brandfall als auch bei Temperaturerhöhung auf und verschließe selbstständig die gesamte lichte Schottöffnung
innerhalb kurzer Zeit vollständig.
Dipl.-Ing. Roland Motz beschreibt in s+s
report (Ausgabe 2-2013) die neuen VDIRichtlinien 2263 (Blatt 8 und 8.1 „Brandund Explosionsschutz an Elevatoren“).
Elevatoren im Sinne der Richtlinien seien
Stetigförderer, die Schüttgüter zwischen
unterschiedlichen Niveaus meist senkrecht
transportieren. Erstmals würden in den neuen Richtlinien die Anforderungen an das
sichere Betreiben von Elevatoren zur
Verhütung von Bränden und Explosionen
und zu deren Schadenbegrenzung herausgearbeitet. Der Autor behandelt die Brand
gefährdung von Elevatoren, die Zündquellen
und Schutzmaßnahmen. Wegen der weniger
wertintensiven Technik spiele der Brandschutz an Elevatoren bisher nur eine untergeordnete Rolle. Aber an nachgeschalteten
Produktionsanlagen könne im Brandfall ein
um ein Vielfaches höherer BU-Schaden
durch Stillstand auftreten (S. 24–27).
Dipl.-Ing. Alwine Hartwig und Dipl.-Ing. Dieter
Pfeiffer, beide VdS, befassen sich in der Ausgabe 1-2013 der Fachzeitschrift s+s report
mit der Funktionssicherheit von Rauch- und
Wärmeabzugsgeräten (RWGs). Die Autoren gehen auf die Anforderungen der alten
Norm DIN 18232-3 und der harmonisierten
europäischen Norm EN 12101-2 ein, die ab
September 2005 in Deutschland umgesetzt
werden musste, deren Überarbeitung aber
dringend geboten sei. Damit die Regelungen
nach DIN 18232-3 auch weiterhin Standard
für RWG in Deutschland bleiben könnten,
seien die ehemals gültigen Forderungen als
VdS-Mindestanforderungen in die Richtlinien
VdS 2159 und VdS 2594 für pneumatisch
oder elektrisch wirkende Rauch- und Wärmeabzugsgeräte implementiert worden. Mit der
Verwendung VdS-anerkannter Systeme sei
man „auf der sicheren Seite“ (S. 20–23).
Der Sicherheitsberater weist in seiner Ausgabe 10-2013 (S. 156/157) auf ein neues
Produkt der Firma Teckentrup GmbH und Co.
KG hin: eine nach EN 1634-1 geprüfte, feuerhemmende Ganzglastür (T 30-Tür), die
eine maximale Transparenz ermögliche. Sie
sei sowohl in einflügeliger als auch in zweiflügeliger Ausführung erhältlich. Das Türblatt
bestehe aus speziellen Ganzglaselementen –
zwei thermisch vorgespannten Einscheibensicherheitsgläsern, die mit einer umlaufenden
Dichtung miteinander geklebt sind. Durch
diesen technischen Kniff besitzt die Tür nach
Herstellerangaben sämtliche Eigenschaften,
die eine Brandschutztür auszeichnen.
Der Sicherheits-Berater weist in seiner Ausgabe 8-2013 (S. 117/118) darauf hin, dass
Veränderungen an bestehenden Brand- und/
oder Rauchschutztüren grundsätzlich nicht
möglich sind, ohne dass diese Türen ihre bauaufsichtliche Zulassung verlieren. Hinsichtlich
der Vorrüstung von Sperrelementen gelte:
Da bei der Herstellung der Tür oft noch nicht
definiert ist, in welche EMA das Sperrelement
25
26
der Tür einzubinden ist, gebe es grundsätzlich die Möglichkeit, das Sperrelement über
potenzialfreie Kontakte (Schalterfunktion
ohne Stromfluss) in die EMA einzubinden.
Somit könnten auch „systemfremde“ Sperr
elemente in das BUS-System der EMA
eingebunden werden, um die Gefahr von
Falschalarmen durch Begehung der Tür im
schaftgeschalteten Zustand zu verhindern.
Dipl.-Ing. (FH) Sven Reiske, AXA MATRIX
Risk Conusltants, gibt in der Fachzeitschrift
s+s report (Ausgabe 3-2013) eine aktuelle Übersicht über Leistungsmerkmale und
Anforderungen an den Brandschutz bei
Wärmedämmverbundsystemen (WDVS).
Bei WDVS mit brennbaren Dämmstoffen
sei es wichtig, dass der Dämmstoff in die
nichtbrennbaren Deckschichten eingepackt
bzw. entsprechend geschützt ist. Den Flammen müsse möglichst lange der Zutritt zum
Dämmstoff verwehrt bleiben. Das bauordnungsrechtliche Schutzziel an der Gebäudeaußenwand müsse somit darin bestehen,
eine schnelle Brandausbreitung über mehr als
zwei Geschosse oberhalb bzw. unterhalb der
Brandausbruchstelle sowie einen Brandeintritt
in die Dämmstoffebene vor dem Löschangriff
der Feuerwehr zu verhindern, eine Gefährdung der Rettungskräfte zu vermeiden und
die Rettung von Personen zu ermöglichen.
Bei der Verwendung von Dämmstoffdicken
oberhalb von 10 cm seien zusätzliche Brandbarrieren erforderlich: alternativ ein Sturzschutz über jeder Öffnung oder ein umlaufender „Brandriegel“ in jedem zweiten Geschoss.
Die Fachzeitschrift GIT geht in der Ausgabe
9-2013 (S. 88/89) auf den Brandschutz im
Hochregallager ein. Im Lagerbereich gingen
die wenigsten Brände direkt von den eingelagerten Waren aus. Vielmehr entstünden laut
einer Studie des VdS (2008) allein ein Viertel
aller Brände durch Mängel an Betriebsmitteln.
Anlagen wie elektrische Regalbediengeräte
oder batteriebetriebene Regal-Shuttles seien
in jedem Hochregallager vorhanden. Die
Brandgefahr sei somit allgegenwärtig. Die
bauliche Beschaffenheit eines Hochregal-
lagers mit den hohen und engen Regalzwischenräumen und den großen Mengen leicht
brennbaren Verpackungsmaterialien aus Papier, Pappe und Kunststoff wirke sich zudem
ungünstig auf den Verlauf eines Brandes aus.
Ein Brandvermeidungssystem wie OxyReduct senke durch die kontrollierte Zufuhr
von Stickstoff die Sauerstoffkonzentration im
Lagerbereich gezielt ab und entziehe dem
Feuer somit den Sauerstoff. Der Lagerbereich
bleibe dabei für autorisiertes Personal trotzdem begehbar. Gleichzeitig spare das Unternehmen bei den Betriebskosten und leiste
einen wertvollen Beitrag zur Reduzierung der
Umweltbelastungen. In derselben Ausgabe
befasst sich GIT mit der Modernisierung
eines Brandschutzsystems (S. 90–92). Eine
Modernisierung garantiere optimalen Schutz
für Personen und Einrichtungen. Damit
sichere sie langfristig Geschäftsprozesse und
Investitionen. Gezielte und rechtzeitig eingeleitete Modernisierungsschritte erhielten die
Leistungsfähigkeit des Systems, etwa durch
Systemkomponenten, die Serviceleistungen
wie die Fehlerprävention durch regelmäßige Ferndiagnose einführen. Zudem sei die
sukzessive Modernisierung im Vergleich zu
einem Totalaustausch des Systems deutlich
kostengünstiger.
René Heiser, roda Licht- und Lufttechnik
GmbH, erläutert in s+s report (Ausgabe
4-2013, S. 18–20), warum die Wartung
von Natürlichen Rauch- und Wärmeabzugsgeräten (NRWG) unerlässlich ist. Sie
werde durch eine Reihe von Verordnungen
verpflichtend gemacht. Bundesweite Musterverordnungen, die Sonderbauverordnung und
landeseigene Prüfverordnungen bezögen sich
auf geltende Richtlinien und Normen der DIN.
In der DIN 18232-2 sei im Abschnitt 10.2
festgelegt, dass und wie Wartungen in regelmäßigen Zeitabständen durchzuführen sind.
In erster Linie seien Umwelteinflüsse für die
Beeinflussung der Funktion verantwortlich.
Aber auch unsachgemäße Nutzung führe
nicht selten zu einem Ausfall von Geräten,
hinzu komme Materialverschleiß. Auch um
Versicherungsschutz in Anspruch nehmen zu
können, sei die regelmäßige und sachgemäße
Wartung unumgänglich.
Protector weist in seiner Ausgabe 10-2013
(S. 16/17) darauf hin, dass der ZVEI beim
Brandschutztag am 16.01.2014 Ausblicke
auf heutige und künftige Schwerpunkte des
anlagentechnischen Brandschutzes gibt:
Zunehmend würden Brandschutzmaßnahmen, die sich allein oder überwiegend mit
bautechnischen Maßnahmen nicht optimal
umsetzen ließen, als kombinierte bau- und
anlagentechnische Maßnahmen realisiert.
Seit dem 1. Juli 2013 liege mehr Verantwortung bei Planern und Errichtern, denn sie
müssten durch die neue europäische Bauproduktenverordnung bei Ausschreibungen viel
intensiver als bisher prüfen, ob Bauprodukte
für die Verwendung geeignet sind. Die Vernetzung und Dynamisierung gehe weiter. Aus
der statischen Fluchtweglenkung werde eine
dynamische. In der Brandalarmierung würden
inzwischen auch vermehrt optische Signalgeber als Ergänzung zu den akustischen Signalen eingesetzt. Die Kabelindustrie habe neue
Brandschutzkabel entwickelt, die sowohl die
Brandausbreitung eindämmen und geringere
Hitze entwickeln als auch weniger Rauch und
giftige Gase entstehen lassen.
Brandschutz – Detektion und Alarmtechnik
SecuPedia weist in seinem Newsletter
8/2013 auf die „Sulzburger Studie zur Einführungspflicht von Rauchwarnmeldern“ hin, die
belege, dass die mittlerweile in den meisten
Bundesländern eingeführte Rauchwarnmelderpflicht dabei helfe, die Brandopferzahl
zu reduzieren. Die Zahlen seien in Hessen
um 9 % und in Thüringen um bis zu 82 %
heruntergegangen. Mit dem „Q“ gekennzeichnete Rauchwarnmelder hätten die weltweit
härtesten Qualitätsprüfungen bestanden und
stünden für maximale Alarmsicherheit im
Brandfall. Auch Fachbetriebe, die die Rauchwarnmelder installieren, sollten mit dem „Q“
zertifiziert sein.
Mit Brandfrühesterkennung in Gebäuden
befasst sich in dem im August von PROTECTOR herausgegebenen BrandschutzSpecial Markus Strübel, Securiton GmbH
(S. 22/23). Videosysteme mit Software zur
automatischen Erkennung von Feuer und
Rauch rückten die Detektion eines Brandes
immer näher an den Zeitpunkt des Ursprungs
heran. Temperatursensorkabel würden als
wirksame Lösung für Tunnel, Parkhäuser oder
Versorgungsschächte gelten. Große Abstände zwischen Boden- und Deckenfläche,
beispielsweise in Hochregallagern, stellen
eine enorme Herausforderung dar. Ansau-
grauchmelder ließen sich hier unter schwierigsten und unterschiedlichsten Bedingungen
einsetzen. Eine ergänzende, über Normenvorgaben hinausgehende Möglichkeit der
Brandfrühesterkennung böte Videotechnik
mit Feuer- und Raucherkennungssoftware.
Moderne Algorithmen könnten zuverlässig
zwischen normalen Abgaben und Rauch
unterscheiden. In der Ausgabe 6-2013 weist
PROTECTOR darauf hin, dass stark variierende Umgebungsbedingungen wie Hitzestaus,
große Temperaturunterschiede oder das Auftreten von Kohlenmonoxid den Brandschutz
vor große Herausforderungen stellen. Die von
Hekatron entwickelte Cubus-Nivellierung
gewährleiste auch in solchen Fällen eine
Brandfrüherkennung. Sie messe nicht nur die
einzelnen Kenngrößen wie Rauch, Wärme
oder CO-Konzentration, sondern setze sie
darüber hinaus in Beziehung zueinander.
Der Mehrfachsensormelder MTD 533X
detektiere auch unter Extrembedingungen
zuverlässig und falschalarmsicher alle Brandtypen bereits in der Entstehungsphase. Der
CMD 533X Melder könne über Rauch und
Wärme hinaus auch Kohlenmonoxid detek
tieren (S. 58–59).
Der Sicherheits-Berater weist in seiner Nr.
4 vom 15. Februar auf die Möglichkeit der
27
28
Falschalarmreduzierung bei optischen Linienmeldern hin. Die brandmeldetechnische
Überwachung hoher Hallen oder Gebäude
wie Produktionshallen oder ShoppingMalls werde in vielen Anwendungsfällen
mit sogenannten optischen Linienmeldern
realisiert. Da das System jedoch in der Regel
nur das Vorhandensein bzw. die Trübung
des Lichtstrahls erkenne, komme es zu einer
problematischen Falschalarmrate. Die Firma
XTRALIS vertreibe jetzt aber Produkte
mit OSID-Technologie (Open Area Smoking
Imaging Detektion), die laut Herstellerangabe
wesentlich geringere Falschalarmraten
aufwiesen, weil Lichtsignale in zwei unterschiedlichen Bandbreiten ausgesendet
und verschiedene Alarmkriterien unterschieden würden.
Dipl.-Ing. Torsten Schröder, VdS, zeigt in s+s
report (Ausgabe 1-2013), was bei Änderungen und Erweiterungen von Brandmeldeanlagen (BMA) zu beachten ist (S. 27–29).
Es sei angeraten, sich schon im Vorfeld
Gedanken über die Prüfungsgrundlagen zu
machen und hierbei – in der Priorität absteigend – Baugenehmigung, Brandschutzkonzept, Richtlinien für Planung und Einbau VDE
bzw. VdS und der DIN 14675 und dann auch
noch die Aufschaltbedingungen der Feuerwehr zu berücksichtigen. Jedenfalls solle die
Anlagentechnik einfach gehalten und die Systemanerkennung des BMA-Systems gemäß
DIN EN 54 sichergestellt werden.
Andreas Schneckener, Hekatron Vertriebs
GmbH, präsentiert in dem von PROTECTOR
im August herausgegebenen BrandschutzSpecial neue Lösungen für den uneingeschränkten Fernzugriff auf Brandmelderzentralen. Die mobile Zugriffslösung
unterstütze beispielsweise auch die Benachrichtigung via Push-Notification. Der Fernzugriff mittels Windows PC-basierter Lösung
erlaube es darüber hinaus, die Brandmeldeanlage zu programmieren (S. 20/21).
Dr. Jörg Kelleter, GTE Industrieelektronik
GmbH, behandelt in der Ausgabe 1-2013
von s+s report die Detektion von Glutnestern bei Transport und Lagerung brennbarer Stoffe (S. 30–32). Der Autor geht auf
die Detektionstechnologien Wärmebildkamera, Infrarot-Detektorarray, Funkenmelder und
Flammenmelder mit ihren typischen Anwendungen ein. Mit der Technologie „InfrarotDetektorarray“ zur frühzeitigen Erfassung von
Anlagenschäden, Glimm- bzw. Schwelbränden oder Flammenbränden sei die bisherige
Lücke zwischen Rauchmeldern und Flammenmeldern gefüllt worden. Insbesondere
für Räumlichkeiten, die aufgrund ihrer Größe
oder Belüftungssituation bislang nur unzureichend überwacht werden konnten, sei nun
eine interessante Lösungsvariante verfügbar.
Mehrfachsensoren-Brandmelder mit integrierter Sprachausgabe wie der Integral
Cubus MTD 533X-SPCT von Hekatron, den
auch die Fachzeitschrift GIT in der Ausgabe
10-2013 (S. 80/81) vorstellt, unterstützen
effektiv die Selbstrettung der Menschen aus
dem Gefahrenbereich. Über eine entsprechende Parametrierung der Zentrale ließen
sich dabei verschiedene Alarmierungsmuster
realisieren. Sowohl eine flächendeckende
Alarmierung durch alle Melder als auch eine
Synchronisation durch die Zentrale sorgten
dafür, dass die einzelnen Melder ihre Sprachdurchsagen absolut zeitgleich abgeben, so
dass sie klar verständlich sind und sich nicht
gegenseitig überlagern. Dass der Melder mit
integrierter Ton- und Sprachausgabe Alarmierung und Detektion in einem einzigen
Gerät vereint, reduziere die Produktkosten
gegenüber Einzellösungen erheblich. Melder
mit integriertem akustischem Signalgeber
müssten konform mit der MLAR (MusterLeitungsanlagenrichtlinie) eine unterbrechungsfreie Alarmierung gewährleisten.
Aktuelle Entwicklungen in der Branddetektion behandelt die Fachzeitschrift WiK
in der Ausgabe 6-2013 (S. 62/63). Je nach
den atmosphärischen Einsatzbedingungen
und dem Vorhandensein von Störgrößen wie
Staub, Rauch oder Dampf könnten unterschiedliche Detektionssysteme verwendet
werden. So stünden für Deponien und Bereiche mit ähnlichen Bedingungen Wärmebildkameras zur Verfügung, die auch in Außenbereichen zur Überwachung von entzündlichem
Material einsetzbar seien. Auch Videoüberwachungskameras, die nur sichtbares Licht
aufnehmen, würden mittlerweile zur Branddetektion genutzt, beispielsweise in Tunneln.
Vorteile seien die erhebliche Reichweite und
dass sie oft ohnehin vorhanden sind. Auch
hier gelte mit Blick auf die Vermeidung von
Täuschungsalarmen: Es muss nicht immer
das hochwertigste Brandfrühesterkennungs-
system in ein Objekt eingebaut werden,
sondern das von der Empfindlichkeit her passende. In Rauchansaugsystemen arbeite die
Sensorik in der Regel nach dem Streulichtprinzip, sowohl mit IR-Licht, Laserlicht oder
auch mit Licht im sichtbaren Bereich. Anhand
der Partikelgrößen und mit inzwischen ausgereiften Algorithmen werde zwischen Rauch,
Staub und Dampf unterschieden. Ein Detektionssystem solle nicht nur sagen, ob und wo
es brennt, sondern auch, was brennt. Auch
hier würden die Algorithmen inzwischen
weiterhelfen.
Brandschutz – Organisatorischer Brandschutz
Marion Fuchs, VdS, plädiert in der Ausgabe
2-2013 von WiK für den Brandschutzbeauftragten im Betrieb (S. 24/25). Die vfdbRichtlinie 12-09/01:2009-03(02) „Bestellung, Aufgaben, Qualifikation und Ausbildung
von Brandschutzbeauftragten“, fungiere
seit Jahren als das maßgebliche Regelwerk
zum Thema. Sie fordere zur Erstausbildung
eine zweiwöchige Schulung mit mindestens
64 Unterrichtseinheiten, einem umfassenden Themenkatalog zum vorbeugenden
Brandschutz und einer Abschlussprüfung.
Aufgaben seien Aufstellung der Brandschutzordnung, der Alarm-, Hausalarm-, Notfall- und
Brandschutzpläne, Brandschutzunterweisung, Überwachung der Brandschutzkontrollen, Anweisung und Überwachung der
Beseitigung von brandschutztechnischen
Mängeln, Festlegung von Ersatzmaßnahmen
bei Ausfall von Brandschutzeinrichtungen,
Beratung in Fragen des Brandschutzes und
Verantwortung für den ständigen Kontakt zur
Feuerwehr sowie für gemeinsame Übungen
und Begehungen.
Brandschutz – Löschtechnik
Der Sicherheits-Berater behandelt in seiner
Ausgabe 5-2013 die Ansteuerung von
Löschanlagen (S. 69–72). Er weist auf die
VdS-Richtlinie 2496 hin, die sich ausschließlich mit der Ansteuerung und Steuerung von
ortsfesten, automatisch und nicht automatisch ausgelösten Feuerlöschanlagen befasst.
In der Richtlinie werde über die Zweckmäßigkeit, zwei unterschiedliche Brandkenngrößen (z. B. Rauch und Wärme) zu nutzen,
informiert. Dabei sei unbedingt darauf zu
achten, dass im überwachten Bereich auch
tatsächlich beide Kenngrößen auftreten. Die
Ansteuerung von Löschanlagen sollte sowohl
in der Planung wie auch in der Ausführung
Spezialisten vorbehalten bleiben.
Frank Drolsbach, FM Global, bezeichnet in
der Ausgabe 2-2013 der Fachzeitschrift
Security insight (S. 24/25) Sprinkler als ein
Musterbeispiel für effektiven Brandschutz
ohne Elektronik. Sie kontrollierten den
Brandherd und dämmten ihn frühzeitig ein.
Statistisch betrachtet falle das Schadens
ausmaß in gesprinklerten Betrieben im
Schnitt vier- bis fünfmal geringer aus als in
ungesprinklerten. Bei der Hälfte aller
Schadensfälle kontrolliere bereits das Aus
lösen von maximal drei Sprinklern einen
Brand erfolgreich. Der Wasserschaden
durch Sprinkler sei eher gering im Vergleich
zu den Schäden infolge anderer Lösch
maßnahmen.
29
30
In der Fachzeitschrift Security insight (Ausgabe 4-2013) werden „Wohnraumsprinkler“ auf Basis der neuen VdS-Richtlinie 2896
vorgestellt (S. 30/31). Die Anlage führe zur
schnellen Detektion bei gleichzeitig automatischer Alarmierung, geringem Wassereinsatz,
geringerer Rauchgasentwicklung und zu
gesicherten Flucht- und Rettungswegen
der angrenzenden Bereiche für eine Zeit von
30 Minuten. Die Abgrenzung zur VdS CEA
4001 erfolge gemäß VdS 2896 in Tabelle
0.01 durch die maximale Schutzfläche
von 1.500 qm und die Anzahl von maximal
fünf Geschossen.
Dipl.-Physiker Thomas Warnecke, T & B
electronic GmbH, erläutert in der Ausgabe
2-2013 der Fachzeitschrift s+s report die
Überarbeitung der VdS-Richtlinie für Funkenlöschanlagen (S. 20–23), die aus Sicht der
Versicherer wie auch aus Sicht der Errichter
zwingend erforderlich sei. Er definiert ein
VdS-anerkanntes System und den Schutzumfang im Installationsattest und in der Anlagendokumentation, behandelt die Erstellung
eines Konzeptes zur Betriebsmittelansteuerung, die Installation der Anlage durch den
anerkannten Errichter und die Erhaltung der
Betriebsbereitschaft, Wartung und Inspektion. Ergänzend zur Installation müssten
weitere Schutzmaßnahmen das Konzept
abrunden. Wichtig sei auch die Realisation
einer systematischen Maschinenabschaltung
im Falle eines andauernden Funkenfluges.
Mit verschiedenen Löschpulverarten befasst
sich der Sicherheits-Berater in seiner Ausgabe 9-2013 (S. 135–137). Durch die unterschiedliche Zusammensetzung der Löschpulver ergäben sich die verschiedenen Sorten,
die für die üblichen Brandklassen A, B, C und
D eingesetzt werden könnten. Je nachdem,
welche Brandklasse abgedeckt werden solle,
seien die Bestandteile des Löschpulvers
abweichend. Und entsprechend verschieden
seien auch die Löschleistungen der Pulver.
Im übrigen dürfe man nicht verschweigen,
dass beim Einsatz von Löschpulver oft mehr
Schaden durch Verschmutzung als durch
den eigentlichen Brand entstehe. In derselben Ausgabe befasst sich der SicherheitsBerater mit Wandhydranten (S. 138–140).
Bei deren Planung sei zu berücksichtigen,
dass der Rückzug der Löschkräfte möglichst
in Richtung des Wandhydranten erfolgen
könne. Und der Wandhydrant sollte nicht im
Treppenhaus, sondern direkt neben der Tür
zum Treppenhaus im Flur installiert werden,
weil sonst der ausgerollte Schlauch die Tür
zum Treppenhaus offen halte. Wegen der
Probleme des Einbaus von Wandhydranten
für den baulichen Brandschutz habe PRIORIT
ein feuerbeständiges Gehäuse für die Einhausung der Wandhydrantentechnik auf dem
Etagenboden entwickelt. Das feuerbeständige System PRIOHYD werde in verschiedenen
Ausführungen angeboten.
Der Sicherheits-Berater weist in seiner Ausgabe 14/15-2013 (S. 220) darauf hin, dass
Löschspraydosen durch die DIN-Spezifikation 14411 „in den Stand eines brauchbaren
Produkts erhoben“ werden. Die Spezifikation
lege die Anforderungen an nicht nachfüllbare
tragbare Löschspraydosen fest. Sie seien
als „Erstlöschmittel“ gedacht und nur für die
Verwendung im privaten und häuslichen
Bereich vorgesehen. Es gebe zwei weitere
Unterscheidungskriterien gegenüber tragbaren Feuerlöschern: die begrenzte Haltbarkeit
und die mangelnde Nachfüllbarkeit. In Nr. 162013 (S. 239/240) hebt der Sicherheitsberater die VDI-Richtlinie 3819 hervor, die
mit Blatt 2 Empfehlungen zum Brandschutz
in der Gebäudetechnik und praxisorientiert
erläutere. Die Erläuterungen böten Fachplanern wie auch den Fachgewerken eine große
Hilfe bei der Bewältigung der Problematik der
Wechselwirkungen in den unterschiedlichen
technischen Gewerken.
Marcel Mager, VdS Schadenverhütung, berichtet in der Ausgabe 2-2013 von s+s report
über die aktuelle Entwicklung von Regelwerken für Planung und Einbau von Gaslöschanlagen (S. 14–18). Für die Anwender von
Normen und Regelwerken sei es wichtig,
die Hintergründe und den Stellenwert der
verschiedenen Regelwerke zu kennen, da
die Wirksamkeit und Zuverlässigkeit der
Löschanlage am Ende auch von der Wahl des
zugrunde gelegten Regelwerkes abhängig ist.
Im Fokus des Beitrags stehen die Aufgaben
der einzelnen Fachbereiche und der Arbeitsgruppen der ISO TC21 SC8.
Dr. Florian Irrek, VdS Schadenverhütung,
befasst sich in der Ausgabe 3-2013 der
Fachzeitschrift s+s report mit der Planung
von Gaslöschanlagen (S. 24–28). Sie sei
eine äußerst komplexe Angelegenheit, bei der
viele Faktoren in Betracht gezogen werden
müssten. Erschwert werde die Planung
dadurch, dass oft noch während des Baus
Änderungen vorgenommen werden müssen, die nur schlecht vorauszuplanen sind.
Dennoch könne auch ohne ausführliche hydraulische Berechnungen eine recht genaue
Vorhersage getroffen werden, wie lang das
Rohrnetz der Anlage maximal sein darf. Die
Frage, wie viel Platz in der Löschgaszentrale
für das Löschgas benötigt wird, könne noch
relativ leicht mithilfe der VdS-Richtlinien Planung und Einbau für Gaslöschanlagen, VdS
2093/2380/2381, beantwortet werden. Sofern bereits die Löschkonzentration bekannt
ist, könne sehr einfach von Hand die MindestVorratsmenge berechnet werden. Die Beant-
wortung der zweiten grundlegenden Frage,
wie nah am Löschbereich die Löschgaszentrale positioniert werden muss, setze üblicherweise eine hydraulische Berechnung voraus.
Der Autor zeigt aber an einem Beispiel, dass
eine brauchbare und belastbare Abschätzung
der maximalen Entfernung zum Löschbereich
auch in der Planungsphase möglich ist, in der
noch keine vollständige hydraulische Berechnung möglich ist.
In der Fachzeitschrift Homeland Security
(Ausgabe 1-2013, S. 37/38) werden die Vorteile von Druckluftschaum-Löschsystemen
als sichere, kostensparende und umweltschonende Möglichkeit der Brandbekämpfung
hervorgehoben. Beim Innenangriff werde eine
schnelle Abkühlung des Brandgutes erlangt
und damit ein Flash-Over verhindert. Zudem könnten die Einsatzkräfte durch große
Wurfweiten, einfache Bedienbarkeit sowie ein
gutes Handling des Löschsystems genügend
Abstand zum Brandort einhalten. Als mobile
Systeme seien sie im Kommunalbereich, an
Flughäfen, in der Industrie und bei Waldbränden einsetzbar, als stationäre Systeme in
Straßentunneln, auf Hubschrauberlandeplätzen, in Industriebetrieben, Recyclingbetrieben
und technischen Anlagen.
Brandschutz – Arbeitsstätten
DIE WELT weist am 28. Mai darauf hin, dass
seit März 2013 europaweit ein einheitlicher Standard für die Sicherheitskennzeichnung an Arbeitsstätten gelte. Viele
Firmen dürften noch immer ahnungslos
sein. Es gebe weder Ausnahmen noch
Bestandsschutz. Die einzige Möglichkeit,
eine alte Beschilderung weiterzuführen, sei
die Überprüfung der gegebenen Sicherheit
im Rahmen einer Gefährdungsbeurteilung.
Dabei sei festzustellen, ob die im Betrieb
verwendeten Sicherheits- und Gesundheitsschutzkennzeichnungen nach der alten
Vorschrift das schnelle Erkennen von Gefahren, Geboten und Verboten ermöglichen.
Verzichteten die Firmen auf die Gefährdungsbeurteilung und hängten auch keine
neuen Schilder auf, könnten sie etwa im Fall
eines Brandes Probleme mit ihrer Versicherung bekommen. Eine Mischung von alten
und neuen Schildern sei nicht gestattet.
Geändert werden müssten das Layout für
Rettungs- und Fluchtpläne ebenso wie die,
die laut der neuen Verordnung keinen Text
mehr beinhalten. Hinweise wie „Notausgang“, „Exit“ oder „Feuerlöscher“ würden
bald verschwinden und durch Piktogramme
ersetzt werden. Die neuen Sicherheitszeichen müssten als Schilder, Aufkleber oder
aufgemalt und dauerhaft in geeigneter
31
32
Höhe angebracht werden. Auch müsse für
eine entsprechende Beleuchtung gesorgt
werden. Auf Fluchtwegen ohne Sicherheitsbeleuchtung sollten lange nachleuchtende
Materialien sicherstellen, dass Rettungs- und
Brandschutzzeichen auch bei einem Ausfall
der normalen Beleuchtung für einige Zeit
erkennbar sind. Missverständnisse, was den
konkreten Handlungsbedarf betrifft, möchte der Sicherheitsberater in seiner Nr. 12
(S. 183–185) ausräumen. Denn es könne
der Eindruck entstanden sein, es seien die
kompletten Flucht- und Rettungswegpläne
auszutauschen, weil diese nicht mehr den
Anforderungen der technischen Regeln
entsprächen. Für eine sehr große Anzahl an
Arbeitsstätten sei in Wirklichkeit keine Umstellung zwingend erforderlich. Das BMAS
weise nämlich nur auf die Verpflichtung hin,
mit der Gefährdungsbeurteilung zu ermitteln, ob die in der Arbeitsstätte verwendeten
(alten) Sicherheitszeichen auch weiterhin
ohne Gefährdung der Beschäftigten angewendet werden können. Nur wenn bauliche
Veränderungen stattgefunden haben, sei
es sinnvoll, die neue Situation zu nutzen
und den Flucht- und Rettungsplan auf den
neuesten Stand zu bringen.
Brandschutz – Besondere Brandschutzthemen
Protector behandelt in der Ausgabe 9/13
in mehreren Beiträgen den Brandschutz
in Hochhäusern. Erläutert wird das Brandschutzkonzept für den Frankfurter Opernturm. Die Treppenräume stünden unter
Überdruck, der verhindere, dass Rauch ins
Treppenhaus gelangt. Insgesamt sorgten
etwa 3.600 Brand- und Entrauchungsklappen
dafür, dass das Gebäude im Brandfall so weit
wie möglich rauchfrei bleibt. Den wirksamen
Schutz der 400 qm großen Nutzungseinheiten wie auch des restlichen Gebäudes garantiere eine umfassende und flächendeckende
Sprinklertechnik. Das Sprinklersystem schütze auch vor einem möglichen Feuerüberschlag entlang der Fassade. Neben den klassischen Feuerlöschern und Wandhydranten
stünden den Mitarbeitern auch „Feuerlöschsprays“ zur Verfügung. Der Feuerwehraufzug
sei in einem eigenen Vorraum untergebracht
und stehe ebenfalls unter Überdruck. Die Kapazitäten der Notstromversorgung reichten
aus, um alle brandschutztechnischen Systeme für mindestens 36 Stunden mit Energie
zu versorgen. Jeder Stock habe einen Evakuierungsverantwortlichen, der eine Evakuierung überwacht und der Feuerwehr meldet,
ob alle Personen den Stock verlassen haben.
Personenströme könnten gezielt durch die
Sprach-Alarmierungsanlage per Anweisungen
geleitet werden. Hierbei zeige das System si-
tuationsabhängig den geeignetsten Rettungsweg auf. Möglich mache dies die Kombination
aus intelligenter Brandschutztechnik und dazugehörigen Leitsystemen, die von der BMZ
gesteuert werden (S. 14–16). Im „Frankfurter
Tower 185“ würden die Büroflächen mit über
20.000 Sprinklern geschützt. Darüber hinaus
speise eine Wandhydrantenanlage mit zwei
frequenzgesteuerten Hochdruckdoppelpumpen insgesamt 275 Wandhydranten. Mit über
acht Kilometer Kabel würden 150 Meldepunkte vernetzt. Darüber hinaus würden auch
die Türkontakte der Wandhydrantenschränke
eingebunden, so dass beim Öffnen umgehend eine Meldung in der Zentrale aufläuft
(S. 50/51). Beim neuen Taunus Turm habe
durch die Kombination der Sprinkleranlage mit einer Feinsprüh-Löschanlage eine
Druckzone eingespart werden können. Die
Niederdruckfeinsprühtechnik biete Gebäudeschutz durch geringere Rohrquerschnitte und
dadurch geringeren Platzbedarf. Im Brandfall
öffneten Wärmedurchgangskoeffizienten
reduzierte Feinsprühsprinkler in unmittelbarer
Nähe des Brandherds (S. 91).
Mit Brandschutz in Empfangs- und Portierbereichen befasst sich der SicherheitsBerater in Nr. 13 (S. 197/198). Zunächst
sei darauf zu achten, dass die Flucht- und
Rettungswege nicht durch vorstehende Wän-
de oder durch Möbel eingeengt werden. Wird
der Empfangsplatz mit Wartezone in eine
räumlich vom Flur abgesetzte Fläche integriert, dann müsse die Abtrennung wie eine
Flurtrennwand ausgeführt werden. Neben der
Wandqualität sei selbstverständlich auch die
Türqualität zu diesem Raum von Bedeutung.
Öffnungen in Flurwänden wie Lichtbänder
neben oder Oberlichter über Türen seien in
der Brandschutzqualität wie die Flurwand
auszuführen. Schiebetore müssten durch
Feststellanlagen offen gehalten und über
Rauchschalter im Brandfall automatisch geschlossen werden. Dabei dürfe der Fluchtweg
für die im Empfang tätigen Personen nicht
vernachlässigt werden.
Brandschutz für IT-Infrastrukturen behandelt Matthias Müller, Siemens Schweiz
AG, in der Fachzeitschrift SICHERHEITSFORUM, Ausgabe 3-2013, S. 23/24. Im Falle
einer Luftkühlung, die bei IT-Infrastrukturen
erforderlich ist, resultiere im Brandfall ein
höherer Luftaustausch, was die frühzeitige
Lokalisierung des Brandherdes erschwere.
Auch ein für Serverräume typischer Schwelbrand könne Hardware durch Ruß, Korrosion
und Giftgase schwer beschädigen. Daher
sei in diesen Umgebungen ein präventiver
und aktiver Brandschutz mit einer automatischen Löschung besonders relevant. Eine
neue Generation von Rauchansaugsystemen
verfüge über eine optische DualwellenlängenDetektion, die mit blauen und infraroten
Lichtwellen arbeite. Mithilfe der unterschiedlichen Lichtwellenlängen könnten die Melder
Partikelgrösse und -konzentration erkennen
und so zwischen Rauch und Täuschungsgrößen unterscheiden. Herzstück des Gaslöschsystems sei eine sogenannte Flüsterdüse,
welche die Emissionen im relevanten akustischen Spektrum um 12 bis 20 dB reduziert,
damit Fehlfunktionen ausgeschlossen werden
könnten. Für die bei KMU meist in einem
kleinen Raum untergebrachten Server sei
ein Kompaktsystem entworfen worden, das
eine komplette Brandschutzlösung in einem
Schrank vereint. Das System beinhalte ein
Rauchansaugsystem, eine Steuerzentrale und
das notwendige Löschsystem. Für diesen
Anwendungszweck habe sich das Löschmittel Novec 1230 durchgesetzt.
SecuPedia befasst sich in der Ausgabe 9/13
mit dem Brandschutz für Unternehmensdaten. Wie Dipl.-Ing. Thomas Hübler, MPA
Dresden GmbH, ausführt, ist der Sachwertschutz kein Bestandteil des gesetzlichen
Brandschutzes. Er werde lediglich in bestimmten Fällen von Versicherungen gefordert. Beim Brandschutz für ein betriebliches
Rechenzentrum oder einen Serverraum
seien zwei Risikofälle zu untersuchen. Für
den Schutz vor einem Brand im Innern eines
IT-Raumes sei eine Brandfrüherkennung mit
aufgeschalteter automatischer Löschung immens wichtig. Zum Schutz vor Bränden, die
außerhalb des Rechenzentrums entstehen,
seien die Vorgaben der speziell entwickelten
europäischen „IT-Brandnorm“ EN 1047 für
Wertbehältnisse, Teil 1 (Datensicherungsschränke) und Teil 2 (Datensicherungsräume
und -container) zu beachten. Besonders zu
berücksichtigen seien Einbauteile wie Türen,
Kabel- und Rohrabschottungen, Klimaschieber etc. Für den Datenbrandschutz seien
Grenzwerte von weniger als 70 Grad Celsius
während der Aufheiz- und Abkühlphase
einzuhalten.
Axel Opp, IGS Ingenieurgesellschaft für Schadenanalyse, skizziert in der Ausgabe 2-2013
der Fachzeitschrift s+s report Gefahren durch
Lithium-Akkus, die immer häufiger als Ursache von Brandschäden aufträten. Auch bei
vermeintlich korrekter Handhabung stellten
tiefentladene oder altersbedingt verschlissene Lithium-Ionen-Akkus eine enorme Brandgefahr dar. Versuche der Hersteller über entsprechende Hinweise in den Anleitungen, hier
insbesondere durch Forderung nach beständiger Beaufsichtigung beim Ladevorgang und
nach Einschreiten beim Durchgehen eines
Akkus, die Verantwortung dem Anwender zuzuschieben, müsse man äußerst kritisch sehen. Für Sachversicherer bestehe ein hohes
Regresspotenzial (S. 6–8).Auch Peter Eymael,
FM Insurance Company Ltd., befasst sich in
33
34
Ausgabe 12-2013 der Fachzeitschrift GIT
mit Brandrisiken bei der Massenlagerung
von Lithium-Ionen-Akkus. Je größer deren
Leistungskapazität ist, umso wahrscheinlicher sei auch das Brandrisiko. Aus diesem
Grund sei eine Studie zur Massenlagerung
solcher Akkus von FM Global gemeinsam
mit der Property Insurance Research Group
durchgeführt worden. Ziel sei es gewesen,
die Brandrisiken zu bestimmen, die konkreten Gefahrenszenarien zu beschreiben und
geeignete Schutzmaßnahmen zu empfehlen.
Von den Akkus gingen aufgrund ihrer brennbaren Elektrolytflüssigkeit mehrere besondere Brandgefahren aus. Würden zum Beispiel
große Mengen in Wellpappkartons gelagert,
sei eine frühzeitige Brandlöschung und
Kühlung entscheidend, um einen Großbrand
zu verhindern. Da erkannt worden sei, dass
die Lithium-Ionen-Akkus während der ersten
fünf Minuten in ihrem Brandverhalten den
standardisierten Brandgütern gleichen, sei ein
Sprinklerschutzkonzept entwickelt worden.
Da nach diesen fünf Minuten die Akkus aber
erheblich stärker brennen, sei ein alleiniger
Deckenschutz durch schnell ansprechende
Sprinkler möglicherweise nicht ausreichend.
Besonders bei Hochregallagern sei es ratsam,
ergänzend auf weiteren Ebenen der Hochregale Sprinkler zu installieren (S. 78/79).
Dipl.-Ing. Roland Motz, GDV, erläutert in
Ausgabe 3-2013 von s+s report die VDIRichtlinien zum Brand- und Explosionsschutz
an Sprühtrocknungsanlagen (S. 14–17).
Die Brandgefährdung hänge von der Produktmenge und dem Brandverhalten des herzustellenden Produktes ab. Die Hauptursache
für Brände und Explosionen liege in der teils
beträchtlichen Wärme- und Druckwirkung
und in den Verbrennungsprodukten. Für
den Explosionsschutz fordere die BSVO von
Betreibern von Sprühtrocknungsanlagen
beim Auftreten gefährlicher explosionsfähiger
Atmosphäre ein Explosionsschutzdokument.
In den Richtlinien VDI 2263 Blatt 7 würden
nun erstmals auch die Anforderungen an
den Brandschutz berücksichtigt, die bei der
Planung, Errichtung und dem Betrieb solcher
Anlagen beachtet werden sollten. Nach
Blatt 7 seien insgesamt 13 mögliche Zündquellen – von denen für den Brandschutz
nur acht von Bedeutung seien – auf ihre
Wirksamkeit zum Auslösen einer Staubexplosion zu beurteilen. Der Autor geht näher
auf die möglichen Schutzmaßnahmen, eine
mögliche Brandfrüherkennung und Brandbekämpfungsmaßnahmen ein. Die wichtigsten
Maßnahmen, um im Brandfall ein Ausflühen
von Bauteilen der Sprühtrocknungsanlage zu
verhindern, seien die sofortige Außerbetriebnahme der Luftzufuhr und das gleichzeitige
Löschen und Kühlen. Der Einsatz von speziell
für solche Anlagen geplanten stationären
Löschanlagen, die automatisch und manuell in Betrieb gesetzt werden können, sei
zwingend erforderlich. Sie seien mit einem
geeigneten Brandfrüherkennungssystem zu
koppeln.
In der Ausgabe 9-2013 befasst sich GIT mit
der Modernisierung eines Brandschutzsystems (S. 90–92). Eine Modernisierung
garantiere optimalen Schutz für Personen
und Einrichtungen. Damit sichere sie langfristig Geschäftsprozesse und Investitionen.
Gezielte und rechtzeitig eingeleitete Modernisierungsschritte erhielten die Leistungsfähigkeit des Systems, etwa durch
Systemkomponenten, die Serviceleistungen
wie die Fehlerprävention durch regelmäßige Ferndiagnose einführen. Zudem sei die
sukzessive Modernisierung im Vergleich zu
einem Totalaustausch des Systems deutlich
kostengünstiger.
Der Sicherheits-Berater fokussiert sich in Nr.
23 vom 1. Dezember auf mehrere Brandschutzthemen. Er thematisiert vor allem die
Alarmierung im Brandfall, den Brandschutz
im IT-Raum, baurechtliche Anforderungen an
Metallständerwände, eine neue Produktnorm
für Feuer- und Rauchschutztüren und den
Brandschutz bei Gebäuden mit Mischnutzung. Zu den Empfehlungen bei der
Alarmierung zählen: die Priorisierung der
Sprachdurchsage gegenüber dem akustischen Signal, eine Lautstärke von mindestens
65 dB(A) und 10 dB(A) über dem Umgebungsschallpegel bzw. 75 dB(A) bei Schlafplätzen, eine gute Übertragungsqualität der
Sprache, grundsätzlich ein Lautsprecher in
jedem Raum, in dem sich Personen aufhalten,
Einhaltung der DIN EN 54-23 bei optischer
Alarmierung, optische und akustische Alarmierung in öffentlich zugänglichen Gebäuden
(S. 356–358). Für IT-Räume empfiehlt der
Sicherheits-Berater die Installation eines
Ansaugrauchmelders mit seinem Ansaugrohr oberhalb der Rackreihe. So werde jedes
Rack einer 5er-Reihe überwacht. Und hinter
jedem T-Stück eines Serverschrankes werde
ein konventioneller Rauchmelder in einem
geschlossenen Gehäuse in das Ansaugsystem integriert. Systeme, die essentiell für
den IT-Betrieb und grundsätzlich redundant
vorhanden sind, wie Domänen- und Namensserver, sollten in verschiedenen Schränken
in möglichst großem Abstand zueinander
stationiert werden (S. 358–360). Metallständerwände in Trockenbauweise seien
heutzutage weit verbreitet. Obwohl sie nach
Norm oder nach Einbauanleitung erstellt
werden müssen, gebe es viele Fehlerquellen
(nicht fachgerechte Anschlüsse, ungenügende Stärke der Beplankung, falsche Durchführung von Kabeln usw.). Diesen Fehlerquellen
sollte der Bauherr bereits in der Entstehungsphase der Metallständerwände Aufmerksamkeit schenken, um ein brandschutztechnisch
einwandfreies Bauprodukt zu erhalten. Der
Sicherheits-Berater führt im einzelnen auf,
was bei der Ausführung zu beachten ist
(S. 362–366). Der Sicherheits-Berater weist
darauf hin, dass neue Produktnormen für
Feuer- und Rauchschutztüren im Umbruch sind bzw. sich in der Endbearbeitung
befinden: DIN EN 16034 für Fenster, Türen
und Tore, DIN EN 14351-1 für Fenster und
Außentüren ohne Eigenschaften bezüglich Feuerschutz und/oder Rauchdichtheit
sowie DIN EN 14351-2 für Innentüren ohne
Feuerschutz- und/oder Rauchdichtheitseigenschaften (S. 366–370). Ferner thematisiert
der Sicherheits-Berater den Brandschutz bei
Gebäuden, die sowohl gewerblich wie für
Wohnungen genutzt werden (S. 370–372).
Besonders wichtig sei dann der Einsatz von
rauchdichten Türen. Immer dort, wo Nutzungsbereiche wechseln, sollten sie eingesetzt werden. Auch Schachttüren sollten mit
rauchdichten Klappen/Türen verschlossen
werden. Sollten aus betrieblichen Gründen
Türen offen stehen, die im Brandfall automatisch schließen, sollten die dazu eingesetzten
Rauchmelder vernetzt werden. Schließlich
befasst sich der Sicherheits-Berater mit
Brandvermeidung und -löschung im Rechenzentrum (S. 372–374). Behandelt werden:
Brandlastvermeidung, Einsatz von Brandund Rauchmeldern, Brandfrühesterkennung,
Anlagen- und Objektüberwachung, dezentrale unterbrechungsfreie Stromversorgungen,
selektiver Objektschutz an den IT-Komponenten, Brandfallsteuerung und qualifiziertes
Klimakonzept.
Auch die Fachzeitschrift GIT behandelt in
ihrer Ausgabe 12-2013 mehrere Brandschutzthemen: Katrin Stübe, Wagner Group
GmbH, befasst sich mit dem Brandschutz
für Offshore-Windparks. Anders als die
Windkrafträder ließen sich Umspannstation
und Versorgungsplattformen umfassend vor
Brandrisiken schützen. Den Kern der Brandschutzeinrichtung für die Umspannstation
des Offshore-Windparks Riffgat bilde das
Titanus-Ansaugrauchmeldesystem. Insgesamt 334 Einheiten des Systems zur Brandfrüherkennung seien in den verschiedenen
Bereichen verbaut worden und entnähmen
kontinuierlich Proben aus der Umgebungsluft.
Im Falle einer Branddetektion mittels FirExting-Gaslöschtechnik mit Stickstoff werde der
Sauerstoffgehalt im Raum auf 13,8 Vol-%
abgesenkt. Dass eine Löschanlage nur über
einen bestimmten Zeitraum hinweg löschen
kann, werde durch die Installation eines
OxyReduct-Brandvermeidungssystems ausgeglichen. Einige Bereiche wie die Traforäume seien mit Sprinklertechnik ausgestattet. In
Außenbereichen kämen Schaumlöschanlagen
zum Einsatz. (S. 72/73). Für die frühzeitige
Branderkennung, die von größter Bedeutung
für Heime ist, in denen Menschen mit eingeschränkter Mobilität leben, bewährten sich
35
36
Brandmelder, die nicht nur Rauch detektieren,
sondern bereits auf die Entstehung des tückischen Brandgases Kohlenmonoxid anschlagen. Die Detektion von Rauch erfolge bei
dem Mehrfachsensormelder CMD 533X von
Hekatron über das Tyndall-/Streulicht-Prinzip.
Geraten Rauchpartikel zwischen die Quelle
des Prüf-Lichtstrahls und den lichtempfindlichen Sensor, so löse der Melder Alarm aus.
Bei der Wärmedetektion reagiere der Melder
sowohl auf das Überschreiten einer bestimmten Grenztemperatur als auch auf einen
überdurchschnittlichen Temperaturanstieg
Die Cubus Nivellierung des Melders werte
die einzelnen Kenngrößen im Kontext der
relativen Veränderung der jeweiligen anderen
Kenngröße aus. Die Melder passten sich aktiv,
permanent, automatisch und dynamisch an
die Umgebungsbedingungen an (S. 76/77).
Rechtsanwalt Dr. Ulrich Dieckert behandelt in
dem von PROTECTOR im August herausgegebenen Brandschutz-Special Anpassungspflichten und Haftungsfragen. Er erläutert
Umfang und Grenzen des Bestandsschutzes,
Anpassungspflichten bei konkreten Gefahren
bei wesentlichen Änderungen und Konsequenzen bei Nichtbefolgung bauordnungsrechtlicher Pflichten (S. 6–9). Das Spezialheft
enthält auch Marktübersichten zu Brandmeldesystemen, Sprachalarmierung, Rauchund Wärmeabzugsanlagen und Brandmeldern (S. 32–37).
Bürosicherheit
Die WiK befasst sich in der Ausgabe 3-2013
(S. 48/49) mit Schutzvorkehrungen in Büros
gegen Gewaltüberfälle. Besonders wichtig
seien drei Aspekte: eine Alarmierung (stiller Alarm), Barrieren, die einen möglichen
Angreifer aufhalten, und eine Gelegenheit zur
schnellen Flucht. Die Fehlalarmanfälligkeit
könnte durch die Notwendigkeit gemindert
werden, entweder zwei Taster zu drücken
oder einen Taster zweimal. Eine BarriereSchutzwirkung könne durch die Schreibtischtiefe und die Anordnung der Möbel erreicht
werden. Bei der Schreibtischdekoration sei
darauf zu achten, dass keine potenziell gefährlichen Gegenstände im Griffbereich eines
möglichen Angreifers liegen.
Business Continuity Management (BCM)
Der Sicherheitsberater stellt in Nr.23-2012
die neue ISO-Norm 22301 für BCM vor. Sie
besteht aus 10 Paragraphen, deren Nummern
4–10 die Anforderungen an einen BCMProzess definieren: Kontext der Organisation,
Führung, Planung, Unterstützung, Betrieb,
Leistungsbewertung und Verbesserung. Eine
weitaus stärkere Betonung als im BS 25999
(Vorgängernorm) erhalten
-die Festlegung von Zielen für die Aktivitäten der Institution, die Entwicklung von
Leistungsmetriken und die Überwachung
der Leistung anhand von messbaren
Größen
-klare Erwartungen an das Management der
Institution
-Planung und Bereitstellung von Ressourcen.
Die Arbeitsschritte einer Business Impact
Analyse (BIA) könnten dem BSI Standard
100-4 entsprechen: Auswahl der einzubeziehenden Organisationseinheiten und
Geschäftsprozesse/Schadensanalyse/
Festlegung der Wiederanlaufparameter/
Berücksichtigung von Abhängigkeiten/Priorisierung und Kritikalität der Geschäftsprozesse/
Erhebung der Ressourcen für Normal- und
Notbetrieb/Kritikalität und Wiederanlaufzeiten
der Ressourcen.
Krisenszenarien, die aus „üblichen“ Risiken
resultieren, könnten zum Beispiel sein:
- Ausfall der Unternehmenszentrale
- Ausfall eines Rechenzentrum-Standortes
- länger andauernder Stromausfall
- umfassender Personalausfall
-Ausfall besonderer Produktionslagen
(S. 375–379)
In der Fachzeitschrift <kes>, Dezemberausgabe 2012, behandeln Matthias Hämmerle
und Dr. Klaus-Rainer Müller, Automation
Consulting Group GmbH, BCM in der Supply
Chain. Methoden und Techniken des BCM
müssten um ein Supply Chain-Continuity Management (SCCM) erweitert werden. 73 %
der Teilnehmer der Supply Chain-Resilencestudie 2012 des Business Continuity Institute
hätten angegeben, in den vorausgegangenen
12 Monaten mindestens eine Störung in der
Lieferkette gehabt zu haben, die zu Unterbrechungen im Unternehmen geführt habe.
Als Hauptursachen seien IT-Ausfälle (52 %),
Wetterereignisse (48 %) und Service-Ausfälle
(35 %) angegeben worden. Ein umfassendes
SCCM-Framework liefere das „Public Do-
cument“ des British Standards Institute PD
25222:2011 „Business continuity management – Guidance on supply chain continuity“
(bestellbar über http://shop.bsigroup.com).
Die Autoren skizzieren ein methodisches
Vorgehen zur SCCM-Implementierung,
basierend auf dem BCM-Lifecycle: SCCMProgramm-Management und Awareness,
Analyse der Supply-Chain, SCM-Strategien
Implementierung, Test, Aktualisierung und
Monitoring. (S. 17–21)
Arno Gingl und Dr. Michael Buser, Risk Experts Risiko Engineering GmbH, befassen sich
in s+s report (Ausgabe 4-2013, S. 37–39)
mit BCM in Mittelstandsunternehmen. Die
meisten Unternehmen seien auf Notfallszenarien nicht adäquat vorbereitet oder trügen
bei der Planung von Vorsorgemaßnahmen
unrealistische – meist zu optimistische – Annahmen. Hauptverantwortlich seien bei 40 %
der Befragten in einer Online-Umfrage die
Geschäftsführer, nur jedes zehnte Unternehmen verfüge über einen eigenen BCM. Im
Bereich der organisatorischen Maßnahmen
beschränkten sich zwei von drei Unternehmen
auf „Datenbackup“. „Versicherung“ gegen eine
etwaige Betriebsunterbrechung sei die mit
50 % am zweithäufigsten genannte Maßnahme.
Es werde auch nicht im erforderlichen Umfang im Rahmen von Notfallübungen trainiert.
Change Management
Dass von einem Transformationsprozess,
den ein Unternehmen durchläuft, Corporate
Security nicht unberührt bleiben kann, zeigt
Dr. Heinz-Dieter Schmelling, Portigon AG, in
der Fachzeitschrift Security insight (Ausgabe
6-2013, S. 22/23). Die Unternehmenssicherheit müsse schon in das Projektmanagementverfahren eingebunden werden und das
Projekt als definierter „Stakeholder“ in den
weiteren Phasen begleiten und unterstützen. Je umfassender Berechtigungen durch
zentrale Systeme und Prozesse gehandhabt
werden, desto eher sei gewährleistet, dass
den Prinzipien der Aktualität, Angemes-
senheit und Funktionstrennung auch bei
dynamischen Organisationsveränderungen
ausreichend Rechnung getragen wird. Die
Migration von Assets und Daten, die bei
einer Unternehmenstransaktion stattfinden,
müssten lückenlos überwacht und dokumentiert werden. Eine zentrale Governance für
Richtlinien, Methoden und Werkzeuge der
Notfallplanung in Verbindung mit dezentraler
Business-Verantwortung für die konkrete
Ausgestaltung und Umsetzung der Notfallpläne seien das Erfolgsrezept auch bei
Umstrukturierungen.
37
38
Cloud-Computing – Haltung der Wirtschaft
Cloud sei in Deutschland weiter im Aufwind und werde zunehmend strategisch
eingesetzt. Die Herausforderungen auf der
Anbieterseite blieben trotz vieler Verbesserungen im Kern weiter bestehen. Das sind
nach Mitteilung von PwC am 28. Februar die
wichtigsten Ergebnisse der Neuauflage der
Studie „Cloud-Computing – Evolution in
der Wolke“. 83 % der von PwC befragten
60 Cloud-Anbieter geben an, sie würden
den Anteil von Cloud am Gesamtgeschäft in
den nächsten fünf Jahren ausweiten. 85 %
der Befragten offerierten auch „Software as
a Service“. Auch die Cloud-Nutzer hätten
sich weiterentwickelt. Nach 20 % im Jahr
2010 entwickeln nach Ansicht der befragten
Anbieter nun 33 % der Nutzer eine CloudStrategie, und 37 % integrieren diese in ihre
IT-Gesamtstrategie. Ihre größten Herausforderungen sähen die Anbieter nach wie vor in
den Anforderungen der Nutzer hinsichtlich
Datenschutz und Compliance. Dies hätten
75 % der Befragten genannt. Und bei der Informationssicherheit sei der Wert von 49 %
im Jahr 2010 auf 67 % gestiegen. 87 % der
Anbieter hätten angegeben, dass sich ihre
Rechenzentren beziehungsweise die Server
mit den Nutzerdaten in Deutschland befinden (2010: 55 %).
56 % der Entwickler, die aktiv CloudUmgebungen als Entwicklungsplattform
verwenden, seien hinsichtlich der Sicherheit des Cloud-Entwicklungsprozesses in
ihren Unternehmen offenbar „sehr zuversichtlich“, meldet heise.de am 22. August.
Das entspreche einer Zunahme von 44 %
gegenüber den 39 %, die sich vor einem
Jahr bei der Befragung so geäußert hatten.
Für die Studie hatten die Marktforscher im
Juli 2013 insgesamt 450 Softwareentwickler befragt. Vergleichbar viele erklärten sich
zufrieden mit den Sicherheits- und Sandbox-Maßnahmen, die Cloud-Anbieter zum
Schutz von Unternehmensdaten böten.
Als wichtigste Techniken bzw. Maßnahmen
würden hier Datenverschlüsselung, Security Intelligence, Access Control Oriented
Ontology Systems und Security Assertion
Markup Language genannt.
Nach der Aufdeckung der NSA-Programme
sei nach einer aktuellen Studie von Allensbach mit 1.500 Befragten die Angst
gestiegen, digitalisierte Informationen
einem externen Dienstleister zu überlassen,
meldet das Magazin Focus am 9. September. Seien 2012 noch 45 bereit gewesen,
quasi sorglos ihre Daten bei der Telekom
speichern zu lassen, seien es mit 39 % jetzt
6 Prozentpunkte weniger. Weitere Verlierer
seien Vodafone und Apple mit einem Rückgang von jeweils 5 %.
Cloud-Computing – Private oder Public Cloud
Der Behördenspiegel rät in seiner Januarausgabe Unternehmen, die eine eigene private
oder hybride Cloud-Lösung planen, Experten
heranzuziehen, die in acht Bereichen Unterstützung leisten könnten: bei
- der Implementierung und Pflege eines Mana
gement-Systems für IT-Sicherheit der Cloud
- dem Aufbau und Betrieb einer sicheren
Cloud-Infrastruktur
- dem Schutz für vertrauliche Daten
- der Nutzung von starker Authentifizierung
und Identitätsmanagement
-d
er automatisierten Provisionierung von
Ressourcen
-d
em Aufbau einer Governance-Struktur für
Audits und Compliance
- dem präventiven Schutz bei neuen
Schwachstellen
- der wiederholten Prüfung auf intakte CloudUmgebung.
Die Marktforschungsfirma ReRez Research
hat im Auftrag des IT-Sicherheitsunternehmens Symantec weltweit mehr als 3.200
IT-Fachleute nach der Nutzung von CloudComputing durch Mitarbeiter ohne Wissen
der IT-Abteilung befragt (ASW-Newsletter
vom 22. März). Das ernüchternde Ergebnis:
In mehr als 83 % der Großfirmen und in 70 %
der KMU seien Cloud-Computing Services im Einsatz, ohne dass die IT-Abteilung
davon Kenntnis hat. Besonders beliebt
seien „Klassiker“ wie Dropbox, Microsoft
Skydrive, Google und vergleichbare Cloud
Storage-Dienste. Das bedeute, dass keine
Hilfe durch die IT-Abteilung notwendig ist,
um eine Cloud-Lösung zu implementieren
und einzusetzen. Der Service müsse weder
in die IT-Infrastruktur des Unternehmens
eingebunden werden noch sei die Schulung von Mitarbeitern erforderlich. Es gebe
eine ganze Reihe weiterer Cloud-gestützter
IT-Ressourcen, die für eine „Rogue Cloud“ in
Betracht kommen: Collaboration-Services, die
bereits genannten Online-Speicherservices,
E-Mail- und Projektmanagement-Dienste
und Datenbanken. Es gebe eine ganze Reihe
von Gründen, warum Mitarbeiter mithilfe von
Cloud-Computing eine Schatten-IT aufbauen, unter anderen schlechte organisatorische
Abstimmung innerhalb des Unternehmens,
ein zu geringer oder umgekehrt ein zu hoher
Organisationsgrad der IT und eine hohe Autonomie von Unternehmensbereichen. Nicht
autorisierte Cloud-Anwendungen seien ein
klarer Verstoß gegen IT-Complianceregeln.
Risiken bildeten die Verschwendung von ITRessourcen, das Untergraben der unternehmensweiten IT-Strategie, mögliche negative
Auswirkungen auf andere IT-Projekte und
die Beeinträchtigung anderer IT-Systeme.
Lösungsmöglichkeiten bestünden in der klassischen Methode, mit Analyse-Tools geheime
Clouds zu entdecken und zu unterbinden,
oder die Anforderungen der Mitarbeiter weitgehend zu erfüllen und ihnen den sicheren
Zugang zu Cloud-Services einzuräumen.
Neben Komfort birgt Cloud-Computing Risiken, schreibt das Handelsblatt am 26. März.
„Wer hat die Verantwortung für die Daten,
wenn sie auf fremden Servern liegen?“ Der
Nutzer, der Anbieter oder der Betreiber der
Serverfarm? In der Regel würden die Anbieter jede Haftung ablehnen, selbst im Falle
von Datenverlust. Nach deutschem Recht
könnten Anbieter ihre Haftung allerdings nur
begrenzen, wenn sie frei von Schuld oder
leicht fahrlässig handeln. Geschehe etwas
absichtlich oder grob fahrlässig, hafteten sie
nach deutschem Recht weiter, auch wenn in
den Geschäftsbedingungen etwas anderes
steht.
An einem ordentlichen „Backup“ führe in Unternehmen noch immer kein Weg vorbei, ist
Urs Langmeier, Langmeier Software GmbH,
überzeugt (IT-Security, 1-2013, S. 36/37).
Unzuverlässig sei sowohl ein Festplattenverbund in RAID 1-Konfiguration wie eine
manuelle Backup-Lösung. Sinnvollerweise
verlasse man sich auf eine automatische
und im Praxiseinsatz bewährte Software. Ein
Backup sollte einmal wöchentlich erfolgen.
Datensicherung in der Cloud dürfte bei
sehr wichtigen Dateien nur den wenigsten Entscheidungsträgern innerhalb eines
Unternehmens gefallen. Auf der positiven
Seite hingegen sei die Datensicherung durch
Cloud-Services als extrem sicher einzustufen,
da es keine Hardwareausfälle geben könne
und eine ständige Verfügbarkeit aller Daten
gegeben sei.
Das Exportrecht erfasse auch Cloud-Computing, wenn ein Unternehmen Daten an
einen Cloud-Anbieter im Ausland auslagert
(Public Cloud) oder seinen Mitarbeitern an
internationalen Standorten von dort aus den
Zugriff auf Daten gestattet (Private Cloud),
schreibt Rechtsanwalt Philip Haellmigk in
der FAZ am 3. April. Der Export von Daten
beim Cloud-Computing könne demnach im
39
40
Einzelfall eine Genehmigung erfordern oder
ganz verboten sein. Enthielten die Daten
Informationen zur Herstellung von sensiblen
Gütern, sei ihr Export genehmigungspflichtig
oder verboten. Sensibel seien zahlreiche
auf den ersten Blick harmlose Daten, sofern
diese auch zu militärischen Zwecken genutzt
werden können. Beispiele hierfür seien Daten
aus dem Bereich der Telekommunikation,
Elektronik, Chemie oder Schiffstechnik. Ist
Zielort des Datentransfers ein Embargoland,
sei allein aus diesem Grund der Datenexport
genehmigungspflichtig. Gegenwärtig gebe es
gegen 26 Länder Embargos. Cloud-Computing und Exportkontrolle sei daher nicht allein
ein Thema für Exporteure. Alle Unternehmen,
die Cloud-Computing nutzen wollen, sollten
prüfen, ob und inwieweit das Exportrecht
Anwendung findet. Bei Zweifelsfragen könne
die Exportbehörde – das BAFA – befragt werden. Zudem sei darauf zu achten, dass die
Verträge mit dem jeweiligen Cloud-Anbieter
Exportklauseln enthalten, die ihn ebenfalls in
die exportrechtliche Verantwortung nehmen.
Spiegel Online berichtet am 10. Januar über
eine Studie im Auftrag des EU-Parlaments,
die eindringlich vor Datentransfers in die
USA warne. US-Behörden könnten sich
heimlich Zugriff auf die Daten europäischer
Nutzer bei Cloud-Anbietern wie Google oder
Dropbox verschaffen. Davor warne ein Gutachten des Centre D’Etudes Sur Les Conflits
und des Centre for European Policy Studies.
Das Gutachten weise darauf hin, dass der Patriot Act den Ermittlern umfassende Abhöraktionen erlaube. Die Massenüberwachung von
Europäern werde durch den Foreign Intelligence Surveillance Amendment Act (FISAA)
von 2008 ermöglicht. In der EU gebe es für
die Möglichkeit der politischen Massenüberwachung überhaupt kein Bewusstsein.
Sichere Cloud-Dienste mit Active-DirectoryAnbindung stellt in der Beilage zur Ausgabe
5-2013 der Fachzeitschrift <kes> (S. 53–54)
Stefan Keller, noris network AG, vor. Die
Vorteile von Cloud-Services ließen sich
mit Compliance- und Sicherheitsgedanken
nur kombinieren, wenn diese Dienste aus
inländischen Hochsicherheitsrechenzentren
bezogen werden. Der Komfort müsse nicht
leiden und ein effizientes Rechtemanagement
lasse sich über die Kopplung der Dienste mit
dem unternehmenseigenen Active Directory
kombinieren. Eine solche Managed Cloud-Lösung verbinde ein On Demand-Angebot mit
Sicherheitsgarantien und einfacher Administrierbarkeit.
Dipl.-Inform. Michael Herfert, FraunhoferInstitut für Sichere Informationstechnologie
SIT, liefert in der Zeitschrift WiK (Ausgabe
5-2013, S. 27–29) Kriterien, die hilfreich sein
sollen, um Schwächen bei verschiedenen
Cloud-Lösungen zu erkennen. Für CloudSpeicherdienste seien wichtige Eigenschaften
die Verschlüsselung von Daten, bevor sie den
Rechner des Nutzers verlassen, und das mit
Schlüsseln, die in seiner alleinigen Verfügbarkeit liegen, und die Verwendung etablierter kryptographischer Mechanismen und
Protokolle. Für Cloud-Verarbeitungsdienste
seien die größten Sicherheitsrisiken die
Registrierung, der Transport, die Deduplikation und das Teilen von Daten. Es gebe zwar
verschiedene Siegel für Cloud-Computing,
aber darunter seien einige mit fraglichem
Hintergrund. Ein allgemein anerkanntes Siegel wäre ein Schritt in die richtige Richtung.
Bei Diensten, die Daten auch verarbeiten,
werde eine individuelle Prüfung des Dienstes
notwendig bleiben.
Heise online weist am 16. Oktober darauf hin,
dass EU-Kommissarin Neelie Kroes fordert,
Europa solle die führende „vertrauenswürdige Cloud-Region“ werden. Es seien mehr
Transparenz und hohe Standards nötig. Kroes
propagiere Verschlüsselung sowohl beim
Transport als auch beim Speichern von Daten
und warne davor, dass Schlüssel entwendet
und Algorithmen geknackt werden könnten.
Cloud-Computing – Empfehlungen des BSI
IT-Grundschutz für Cloud-Services beschreiben Dr.-Ing. Clemens Doubrava, Alex
Essoh und Isabel Münch, BSI, in der Ausgabe
3-2013 von <kes> (S. 35–39). Das BSI stelle
künftig im Rahmen des IT-Grundschutzes
Hilfsmittel zur Verfügung, um Clouds besser
abzusichern. Die Autoren behandeln internationale Initiativen zur Cloud-Sicherheit,
die Strukturanalyse, die Schutzbedarfsfeststellung, die Risikoanalyse und neue Bausteine im IT-Grundschutz. Sicheres CloudComputing sei ohne ein gut funktionierendes
ISMS nicht möglich. Deshalb setzten fast alle
aussagekräftigen Zertifizierungsverfahren
darauf, dass ein effektives und effizientes Managementsystem für Informationssicherheit
beim Cloud-Computing Provider vorhanden
ist. Welche Cloud-Zertifikate sich durchsetzen, sei noch nicht abzusehen.
Laut ASW-Mitteilung 046/13 wollte das
BSI bis Ende 2013 vier Bausteine zum
Thema Cloud-Computing für den ISMS
IT-Grundschutz fertigstellen. Die Bausteine
„Cloud-Management“, „Cloud-Nutzung“,
„Webservices“ und „Cloud-Storage“ gingen
dabei auf Gefährdungen von Cloud-Lösungen
ebenso ein wie auf wirksame Schutzmaßnahmen gegen diese Gefährdungen. Daher seien
die Bausteine auch eine geeignete Grundlage
für eine Zertifizierung von Cloud-Lösungen
nach ISO 27001 auf der Basis von ITGrundschutz. Die Inhalte der Bausteine seien
darüber hinaus auch für die Risikoanalyse
und Sicherheitskonzeption für Anwender des
ISO 27001 Standards von großem Nutzen.
Um von den Vorteilen der Cloud profitieren
zu können, müssten die Anwender Vertrauen
haben, dass die Daten in der Cloud sicher
sind. Dieses Vertrauen könne jedoch nur entstehen, wenn es unabhängige, transparente
und international anerkannte Standards gebe,
auf deren Grundlage Plattformen für das
Cloud-Computing überprüft und zertifiziert
werden können.
Code of Conduct
Gedanken zum Code of Conduct äußert
Elmar Schwager, The AuditFactory, in der
Ausgabe 2-2013 von Security insight
(S. 40/41). Es mache keinen Sinn, ethische
Kodizes von Seiten der Organisationsleitung
beschließen zu lassen, ohne die Mitarbeiter
um ihren Input zu bitten. Akzeptanz könne
nur durch Einbindung erreicht werden.
Ein einmal verabschiedeter Kodex dürfe nicht
für alle Zeiten statisch bleiben. Die Impulse
für eine Fortschreibung sollten dabei aus
allen möglichen Bereichen der Organisation
kommen. Und bei Verstößen gegen Regelungen, vor allem wenn sie ernster Natur sind,
müssten Konsequenzen folgen.
Compliance
In den nachfolgenden Beiträgen wird die
Vielschichtigkeit des Begriffs Compliance
als Gebot der Einhaltung gesetzlicher und
unternehmenseigener Normen, als notwendiger Bestandteil der Unternehmenskultur,
als Managementaufgabe und bei mangelnder Befolgung als Risiko für das Unternehmen wie für die Haftung des Managements
deutlich.
41
42
Compliance – Grundsätzliche und allgemeine Aspekte
Die Geldbußen gegen Compliance-Vergehen seien oft empfindlich hoch, berichtet
die WirtschaftsWoche am 2. September. Die
höchste bislang von der EU-Kommission
verhängte Kartellstrafe habe zum Beispiel
knapp 1,4 Milliarden Euro betragen. Teuer
werde es für Unternehmen auch, wenn sie
wegen Vergehen von öffentlichen Vergabeverfahren ausgeschlossen werden. Und was
längst nicht allen bekannt sei: Auch private
Auftraggeber könnten bei Bekanntwerden
von Korruptionsdelikten Aufträge zurückziehen und Kooperationen stoppen. Wie
eine Studie der Einkaufsberatung Kloepfel
Consulting zeige, seien mittelständische
Unternehmen sich zwar der Risiken durchaus bewusst, dennoch schützten sie sich
kaum vor Korruption und anderen Formen
der Wirtschaftskriminalität. So schätzten
10 % der befragten 137 Manager aus mittelständischen Unternehmen die ComplianceRisiken sogar als so gering ein, dass sie
überhaupt keine Vorbeugung als notwendig
erachten. Je kleiner die Firma, umso geringer die Vorsorge. Auf einen ComplianceVerantwortlichen verzichteten drei Viertel
aller befragten Unternehmen mit bis zu
200 Mitarbeitern. Die mittlerweile in fünfter
Auflage erschienene Studie der KPMG
zum Thema „Wirtschaftskriminalität in
Deutschland“ zeichne ein noch düstereres
Bild. Vier von fünf Firmenchefs seien mit
den eigenen Präventions- und Aufdeckungsmaßnahmen zufrieden und schätzten das
Risiko, Opfer wirtschaftskrimineller Handlungen zu werden, für sich selbst immer
niedriger ein als für andere Unternehmen.
KPMG beziffere die dadurch entstandenen
Schäden in den Unternehmen im Schnitt auf
300.000 Euro. Die Fehleinschätzung hänge
ursächlich mit einem typisch mittelständischen Phänomen zusammen. Mittelständler
kommunizierten mit anderen Mittelständlern
meist auf Augenhöhe, und viele würden
dem anderen blind vertrauen, ohne kritisch
nachzufragen oder nachzuprüfen, sage
die Compliance-Expertin Akatshi Schilling.
Dies sei aber bei der heutigen Rechtslage
unvorsichtig. Und für viele Mitarbeiter seien
Anglizismen wie White Collar-Crime oder
Anti-Fraudmanagement leere Worthülsen.
Schilling rate ihren Kunden, lieber offen
von Wirtschaftskriminalität, Korruption und
Untreue zu reden. Bei Mittelständlern habe
es sich bewährt, ein Mitglied der Rechtsabteilung zum Compliance-Beauftragten
zu ernennen. Robert Altvater, Corporate
Trust, habe die Erfahrung gemacht, dass
Mittelständler vor allem die Risiken von
internationalen Lieferketten unterschätzen.
Die jüngsten Skandale in der Textilbranche
hätten aber gezeigt, dass es in globalisierten
Märkten besonders wichtig sei, auch darauf
zu bestehen, dass Subunternehmer und
Lieferanten sich gegen Wirtschaftskriminalität wappnen. Bei einigen Unternehmen sei
der Nachweis eines Compliance-Systems
Voraussetzung, um überhaupt ins Geschäft
zu kommen. Altvater zähle drei Elemente
auf jeden Fall zum Vorbeugungsprogramm
jedes Unternehmens: ein sogenanntes Red
Flag-System, das besonders gefährdete Bereiche wie die Einkaufsabteilung identifiziert,
ein Ombudsmann und eine WhistleblowerHotline. Schon vor Vertragsabschluss mit einem neuen Geschäftspartner sollte überprüft
werden, ob er mit negativen Schlagzeilen
in der Presse stand. Vor allem bei neuen
Geschäftspartnern im Ausland empfehle sich
ein professionelles Screening.
Mit der praktischen Umsetzung der
Compliance-Konzeption befasst sich in der
FAZ am 15. Mai Klaus Moosmayer, Siemens
AG. Bei der praktischen Umsetzung gebe es
in den Unternehmen durchaus noch große
Unsicherheiten – vor allem über die Frage,
ob intern erkanntes Fehlverhalten auch unter
Inkaufnahme einer Außenwirkung aufzuklären und den Behörden zur Kenntnis zu
bringen ist. Denn bislang sei die Entscheidung über eine Abmilderung der Haftung
den Staatsanwaltschaften und Gerichten
überlassen, ohne dass es dafür einheitliche
Grundsätze und damit Rechtssicherheit für
die Unternehmen gibt. Unternehmen mit
einem effektiven Compliance-System seien
bei einer freiwilligen Offenlegung gegenüber
Behörden paradoxerweise mit dem Risiko
konfrontiert, für ihre Aufklärungsarbeit durch
hohe Geldbußen – und gegebenenfalls anschließende Vergabeausschlüsse – bestraft
zu werden. Helfen könnte etwa eine umfassende Kronzeugenregelung. Sie sollte
gelten für Unternehmen, die intern erkanntes Fehlverhalten freiwillig und vollständig
melden – und außerdem darlegen, wie
Schwachstellen im Kontrollsystem geschlossen werden. Ein solches Anreizsystem sei
mit Blick auf die spezielle kartellrechtliche
Kronzeugenregelung der Rechtsordnung
alles andere als fremd. Es sei daher an der
Zeit, diese Grundfrage einer Diskussion mit
dem Gesetzgeber zuzuführen. Gerade den
Syndikusanwälten komme aufgrund ihrer
zentralen Rolle im Bereich Compliance hierbei eine wichtige Rolle zu.
Was passiert, wenn ich Compliance-Richtlinien nicht unterschreibe? fragt Rechtsanwalt
Norbert Pflüger in der FAZ am 17. August.
Sie könnten für den Einzelnen nur in Kraft
gesetzt werden, wenn er schriftlich zustimmt. Dies gelte insbesondere bei Einführung neuer, im Arbeitsvertrag so nicht
geregelter Pflichten. In engen Grenzen
komme eine personenbedingte Änderungskündigung in Betracht. Sie könne wirksam
sein, wenn der Arbeitgeber die Zustimmung
des Mitarbeiters zu einer Compliance-Regelung benötigt, um ihn überhaupt noch auf
der Vertragsposition einsetzen zu können.
Fordern etwa schärfere gesetzliche Kontrollregelungen zusätzliche Vertragserklärungen
des Mitarbeiters, so könne er bei deren Fehlen nicht mehr in seiner Position eingesetzt
werden. Eine personenbedingte Änderungskündigung sei aber auch in diesem Fall nur
zulässig, wenn sich der Arbeitgeber auf die
gesetzliche vorgeschriebene Willenserklärung beschränkt.
Compliance – Einzelne Compliance-Themen
Uwe-Bernd Striebeck, KPMG, weist in
der Verlagsbeilage ITK 2013 der FAZ am
26. Februar darauf hin, dass Regularien
für die Sammlung, Verarbeitung und
Nutzung von Daten Unternehmen unter
Zugzwang setzen. Gleichzeitig mehrten
sich die Zeichen, dass die klassischen ITWerkzeuge nicht ausreichen werden, das
notwendige Maß an Konformität (Compliance) zu budgetvertretbaren Kosten
herzustellen. Als sogenannte ComplianceLösungen herausgestellte Produkte gebe
es zuhauf. Die Herausforderung bestehe
darin, für die Implementierung aller notwendigen Kontrollen die richtigen Datenquellen
zu identifizieren und die Systemgrenzen
zwischen diesen durch Datenformatanpassungen zu überwinden. Die Beurteilungsmaßstäbe der zu etablierenden Kontrollen
könnten fast immer in Form maschinell
verarbeitbarer Regeln hinterlegt werden.
Mit dem Thema Compliance befasst sich
die Ausgabe 1-2013 des ASSURANCE
MAGAZIN von KPMG. Im Bereich des
Außenwirtschaftsverkehrs seien vier Kriterien entscheidend bei der Beurteilung,
ob ein Export verboten ist oder staatlicher
Kontrolle unterliegt: Art des Gutes, Zweck
des Gutes, Empfänger der Lieferung und
Ort der Lieferung. Allein in der EU würden derzeit mehr als 20 Embargos mit
unterschiedlichem Umfang gelten. Einen
ersten Anhaltspunkt für die Implementierung einer internen Exportkontrolle biete
das BAFA-Merkblatt „Internal Compliance
Programmes – ICP“. Arbeitsanweisungen,
Prozessbeschreibungen und die Nutzung
geeigneter IT-Tools seien wichtige Bausteine der Compliance-Organisation. Die
Wirksamkeit des Compliance ManagementSystems sollte regelmäßig geprüft und
die Prüfung auch dokumentiert werden.
(S. 11–13)
43
44
Andreas Feege, Assurance Partner, nimmt
im Interview Stellung zur „chinesischen
Compliance“ (S. 15–18). Seit 2012 gebe
es eine Datenbank, in der alle Verurteilungen wegen Bestechungen registriert
sind. Eine Nachfrage auf nationaler Ebene
empfehle sich, um konkrete Situationen
besser einschätzen zu können. China habe
kein bestimmtes Antikorruptionsgesetz.
Zivilrechtliche Regelungen fänden sich
allerdings im Strafgesetzbuch, das neuerdings auch die Bestechung ausländischer
staatlicher Funktionäre im In- und Ausland
unter Strafe stelle. Und das chinesische
Unternehmensrecht enthalte ebenfalls eine
Fülle von Vorschriften für Manager, Direktoren und Aufsichtsräte. Wer wie einige
wenige deutsche Konzernunternehmen
das deutsche Compliance-Rechtssystem
weltweit anwendet, mache mit Sicherheit
nichts falsch. Gefälschte Rechnungen, der
Einsatz von Agenten, Schwarzgeld- und
Auslandskonten, pauschale Rechnungen für
„Beratungshonorare“ und Scheingeschäfte
zwischen verbundenen Unternehmen seien
in China an der Tagesordnung. Es gelte
als bewiesen, dass mehr als die Hälfte der
Multinational Corporations in China keine
interne Revision, kein Fraud Risk Assessment und kein Fraud Awareness-/Antifraud-
Training haben. Die zentralen Abteilungen
aus Deutschland verfügten nicht über ausreichende Kenntnisse über Land, Leute und
die Sprache. Hier bestehe Nachholbedarf.
In der Septemberausgabe behandelt
der Behördenspiegel effektive StorageManagementlösungen für den Umgang
mit vertraulichen Informationen, die für
Compliance sorgen. Herkömmliche StorageManagementsoftware verwalte nur den
Massenspeicher im technischen Sinne, nicht
jedoch die darauf gespeicherten Dateien
und ordne diese nicht Benutzern oder Rollen
innerhalb der Organisation zu. Eine Lösung
wie Novell File Management Suite bringe
Abhilfe für zwei weitere kritische Bereiche:
richtlinienbasierte Dateiablage und Nachweis
von Dateirechten. Für die IT-Verantwortlichen
sei jederzeit nachvollziehbar, wer welche
Dateien im Netz abgelegt hat und um welche
Art von Dateien es sich handelt. Im Fall
eines Audits könne so genau nachgewiesen
werden, wer der Eigentümer der Datei ist und
dass nur autorisierte Benutzer Zugriff darauf
haben. Auch die zentrale Erstellung, Analyse,
Planung und Ausführung von Richtlinien zur
Datenhaltung würden einfach ermöglicht – sie
könnten ebenso als Nachweis der Compliance herangezogen werden.
Compliance – KMU
Wichtig sei Compliance auch für den Mittelstand, erläutert die FAZ am 26. September
in einer Spezialausgabe. Kein Unternehmen
könne es sich leisten, die drohenden Gefahren bei Compliance-Verstößen zu ignorieren. Es gelte, Compliance-Regelwerke und
entsprechende Systeme zu individualisieren.
Statt wahllos Workshops für Mitarbeiter
anzubieten, sollten Geschäftsführer sich
zunächst mal ihr Unternehmen ganz genau
anschauen und sich fragen: „Wo liegen bei
meinem Geschäftsmodell die Risiken?“ Maß
halten, laute unisono die Devise von Experten. Für Geschäftsführer von Unternehmen
gelte eine sogenannte Organisations- und
Aufsichtspflicht: Sie müssten dafür sorgen,
dass ihre Firma als Ganzes sowie jeder einzelne Mitarbeiter gesetzliche und unternehmensinterne Vorschriften einhält. Ebenso
müssten sie regelmäßig kontrollieren und
dokumentieren, inwieweit zum Beispiel
hauseigene Compliance-Systeme Wirkung
zeigen. Außerdem könnten Geschäftsführer,
Vorstände und Aufsichtsräte seit einigen
Jahren persönlich haftbar gemacht werden,
wenn sie sich fahrlässig verhalten oder Entscheidungen treffen, die gegen gesetzliche
oder hausinterne Regeln verstoßen haben,
die Führungskraft davon wusste – und nichts
dagegen unternommen hat. Um Schadener-
satzklagen zu vermeiden, sei die von Beratern empfohlene Risikoanalyse wichtig.
Compliance-Regeln gewinnen im Mittelstand
an Bedeutung – es hapert allerdings oft an
der Umsetzung, titelt das Handelsblatt
am 13. Juni. Laut einer Studie von KPMG
verfügten fast 80 % der befragten Mittelständler über einen Verhaltenskodex. Die
Studie offenbare aber auch, dass bei der
Kommunikation noch Nachholbedarf bestehe – sowohl nach innen wie nach außen. Die
interne Kommunikation scheitere oft schon
an den dröge formulierten Dokumenten, die
meist von der Rechtsabteilung ausgearbeitet
werden. Die Inhalte der Regeln würden in
Teambesprechungen und Mitarbeiterausschüssen immer wieder thematisiert. Und
die prominente Darstellung auf der Homepage helfe inzwischen auch im Wettbewerb
um Aufträge. Die positive Außenwirkung
werde aber noch vielfach unterschätzt.
Ein Drittel der Befragten verzichte darauf,
offensiv auf die Maßnahmen hinzuweisen.
Großkonzerne verlangten von ihren mittelständischen Lieferanten zunehmend einen
Beleg für ein funktionierendes ComplianceSystem. Ein Zertifikat helfe nicht nur bei der
Auftragsvergabe. Es reduziere auch das Risiko der persönlichen Haftung der Geschäftsführung, wenn es zu Gesetzesverstößen im
Unternehmen kommt.
Compliance – Öffentliche Unternehmen
Der Behördenspiegel weist in seiner Septemberausgabe auf die jetzt erschienene
zweite Auflage des Praxishandbuchs
Compliance für öffentliche Unternehmen hin. Die Themen des Kompendiums
reichten von den allgemeinen ComplianceAnforderungen an Wirtschaftsunternehmen
(einschließlich der Herausforderungen im
Bereich des Arbeits-, Kartell-, Steuer- und ITRechts) über die Besonderheiten im Bereich
öffentlicher Unternehmen (einschließlich
Vergabe-, Preis- und Europäisches Beihilferecht), die branchenspezifischen Anforderungen, Haftungsfragen der Unternehmensleitung sowie des Unternehmens gegenüber
Dritten bis zu den Voraussetzungen, den
Maßnahmen zur Implementierung sowie den
Bestandteilen eines CMS.
Die Rechtsanwälte Dr. Martin Gimnich,
LL.M., und Dr. André-M. Szesny, LL.M.,
besprechen in der Februarausgabe des
Behördenspiegel neue Rechtsprechung über
Pflichten zur Verhinderung von Straftaten in kommunalen Unternehmen. Der
BGH hatte im Jahr 2009 die Verurteilung
des Leiters der Innenrevision der Berliner
Stadtreinigungsbetriebe wegen Betruges
bestätigt, weil er gegen von ihm erkannte
Falschabrechnungen gegenüber Endkunden
nicht eingeschritten war (5 StR 394/08).
Er erkannte eine besondere Pflicht der als
Anstalt des öffentlichen Rechts ausgestalteten Stadtreinigungsbetriebe, ihre hoheitliche
Aufgabe der Straßenreinigung gesetzmäßig
zu vollziehen und abzurechnen. Zu ihrer
Aufgabe gehöre es daher auch, die Anlieger vor betrügerisch überhöhten Gebühren
zu schützen. Diese hoheitliche Tätigkeit
unterscheide die Stadtreinigungsbetriebe
von privaten Wirtschaftsunternehmen. Nach
Überzeugung der Autoren ist die Andersbehandlung kommunaler Betriebe im Vergleich
zur Privatwirtschaft zwar angreifbar. Die
Kommunalwirtschaft müsse sich aber mit
dieser Rechtsprechung auseinandersetzen.
Sie müssten mindestens dieselben Vorkehrungen gegen Gesetzesverstöße durch ihre
Mitarbeiter treffen wie die Privatwirtschaft.
Bezüglich Art und Umfang der einzurichtenden Compliance-Struktur komme der Unternehmensleitung ein breites Ermessen zu.
Eine gute Orientierung biete seit 2011 der
Prüfungsstandard 980 der Wirtschaftsprüfer
„Grundsätze ordnungsmäßiger Prüfung von
Compliance-Managementsystemen (IDW
PS 980)“. Ein CMS sei hiernach angemessen, wenn es geeignet ist, mit hinreichender
45
46
Sicherheit sowohl Risiken für wesentliche
Regelverstöße rechtzeitig zu erkennen, als
auch solche Regelverstöße zu verhindern.
Ergänzend könnten weitere Elemente wie
z. B. IT-Systeme oder Whistleblower-Hotlines eingerichtet werden.
Compliance – Finanzsektor
Die FAZ berichtet am 18. Juli über eine Umfrage unter 250 Angestellten der Finanzbranche in den USA. 52 % der Befragten
glaubten, dass Wettbewerber „illegale oder
unethische“ Geschäfte machen. Knapp ein
Viertel berichteten, dass sie selbst Fehlverhalten von Kollegen beobachtet hätten oder
aus erster Hand Informationen darüber besäßen. Mitglieder der Finanzbranche müssten
sich möglicherweise illegal oder unethisch
verhalten, um erfolgreich zu sein, glaubten
29 %. 24 % hätten zugegeben, dass sie
vertrauliche Informationen zu ihrer Bereicherung nutzen würden, solange sie nicht dabei
erwischt würden.
Am 31. Juli weist die FAZ darauf hin, dass
nach § 54a Abs. 1 des Kreditwesengesetzes künftig bestraft werden soll, wer nicht
dafür Sorge trägt, dass sein Institut über
geeignete Strategien und Prozesse verfügt,
und dadurch dessen Bestand gefährdet. Ziel
der Regelung sei es, Risikomanagementund Compliance-Routinen zu verordnen,
damit Banken nicht mehr mit Steuermitteln
gestützt werden müssen. Es sei aber zu befürchten, dass die Norm zu unbestimmt ist.
Bei seiner komplizierten Verweisungstechnik
bleibe auf der Strecke, welche Verfahren in
welcher Weise vorgehalten werden müssen,
um dem Unterlassungsvorwurf zu entgehen. Nach einem vom Finanzausschuss des
Bundestages kreierten Absatz 3 solle die Tat
nur dann strafbar sein, wenn der zunächst
als solcher bezeichnete „Täter“ einer vollziehbaren Anordnung der Bundesanstalt für
Finanzdienstleistungsaufsicht zuwidergehandelt hat. Es bleibe im Dunkeln, ob damit
eine sogenannte objektive Strafbarkeitsbedingung oder ein besonderer Strafausschließungsgrund gemeint ist. Rätseln dürfe man
auch, ob die Aufhebung von Strafbarkeitsvoraussetzungen einer Behörde überlassen
werden darf.
Datenschutz
Das Thema Datenschutz spielt in den Medien
2013 eine große Rolle, insbesondere unter
dem Aspekt des Arbeitnehmerdatenschut-
zes, des Vorhabens einer EU-Datenschutzverordnung und wegen der NSA-Affäre.
Datenschutz – Allgemein
In einem Newsletter vom 8. Februar weist
die ASW auf die Ergebnisse einer aktuellen
Studie von Iron Mountain auf die Einstellung
deutscher Unternehmen zum Datenschutz
hin. Drei Viertel seien gegen Datenschutzverletzungen versichert. Aber 65 % aller
befragten deutschen Unternehmen hätten
angegeben, dass drohende Geldstrafen für
Verstöße gegen Datenschutzbestimmungen
nur geringen Einfluss auf ihre Datenschutzpolitik hätten. Das Beratungsunternehmen PwC
und Iron Mountain hätten ein Online-Tool
entwickelt, das Unternehmen dabei helfen
soll, ihr Informationsrisiko zu bewerten. Es
basiere auf dem sogenannten „Information
Maturity Index“, der eine Reihe von Maßnahmen bewerte, deren Implementierung
und regelmäßige Überwachung dazu bei-
tragen, papierbasierte und digitale Unternehmensdaten zu schützen. Dazu gehörten
Maßnahmen aus den Bereichen Strategie,
Personal, Kommunikation und Sicherheit. Je
mehr Anforderungen erfüllt sind, desto höher
sei die Bewertung auf dem Index.
Mit der Geheimhaltung sensibler Daten nehmen es viele Arbeitnehmer nicht so genau –
meist aus reiner Bequemlichkeit, berichtet die
FAZ am 16. November. Für Rechtsanwalt Böken gehören zum technischen Mindestschutz
achtstellige Passwörter. Die Kommunikation
mit dem Unternehmensserver müsse verschlüsselt erfolgen, außerdem sollte es dem
Unternehmen möglich sein, Daten von der
Ferne aus zu löschen, wenn das Handy gestohlen wird. Doch auch die Nutzer müssten
in Betriebsvereinbarungen zu einem verantwortungsvollen Umgang verpflichtet werden,
etwa zur regelmäßigen Aktualisierung des
Betriebssystems, zur Geheimhaltung der
Zugangsinformationen und – trotz oder gerade wegen des Peinlichkeitsfaktors – auch zu
einer Meldepflicht bei Verlust oder Diebstahl.
Die einzige Lösung im Fall der Genehmigung
von BYOD sei die absolute Trennung zwischen privater und geschäftlicher Nutzung,
die inzwischen bei einigen Smartphones
schon dadurch möglich sei, dass die Geräte
unterschiedliche Container für geschäftliche
und private Nutzung vorsehen.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) weist in einer Pressemitteilung vom 28. Juni auf rechtliche Risiken hin,
die bei der Versendung mehrerer E-Mails
auf einmal auftreten können, wie jetzt der
Sicherheits-Berater in der Ausgabe 17/13
(S. 255–258) berichtet. Beispiel: Ein Handelsunternehmen verschickte eine E-Mail an
seine Kunden. Dabei umfassten die AdressHeader im ausgedruckten Zustand neuneinhalb Seiten. Die Adressen selbst, die sich
„in erheblichem Umfang aus Vornamen und
Nachnamen zusammensetzten“, waren dabei
für sämtliche Empfänger offen sichtbar im
AN- bzw. CC-Feld eingetragen. Das BayLDA
verhängte ein Bußgeld gegen die Unter-
nehmensleitung. Das Fazit des SicherheitsBeraters: Ob das CC-Feld für die Adressen
gewählt werden könne oder das BCC-Feld
zu wählen sei, in dem Adressen für andere EMail-Empfänger nicht lesbar sind, hänge von
den Umständen des Einzelfalles ab. Innerhalb
eines Unternehmens ließen sich offene MailVerteiler wesentlich leichter rechtfertigen, als
dies bei der Kommunikation mit Externen der
Fall sei. Eine Einweisung der Mitarbeiter in die
genaue Funktionsweise der E-Mail-Software
sollte zur Vermeidung von Datenschutzverstößen stets erfolgen.
Die Organisation Privacy International hat
nach einer Meldung von heise online vom
20. November eine Datenbank mit Unternehmen zusammengetragen, die Überwachungstechnik anbieten. Zusammengekommen sei
im Surveillance Industry Index eine Liste
von 338 Unternehmen aus 36 Ländern, welche Technik sie anbieten, wozu die Technik in
der Lage ist und an welche Regierungen sie
verkauft wurde.
Apps sollen künftig zeigen, welche persönlichen Informationen sie über ihre Nutzer sammeln und an wen sie die nutzerspezifischen
Daten weitergeben, meldet die Süddeutsche
Zeitung am 26. Juli. Das leiste ein Programmiercode, den eine Gruppe aus Appentwicklern und Verbraucherschützern entwickelt
hat. Große Anbieter wie Google und Apple,
die Marktstandards setzen können, hätten
sich bisher noch nicht geäußert, ob sie den
Code bei ihren Apps integrieren wollten.
Kritiker äußerten, das Projekt würde keine
wirkliche Verbesserung mit sich bringen.
Teilnehmende Apps würden doch nur grob
preisgeben, welche Daten sie sammeln.
Die deutschen Datenschutzbehörden haben
angedroht, hiesigen Unternehmen keine Auslagerung von Informationen in eine „Cloud“
außerhalb der EU mehr zu erlauben,
berichtet die FAZ am 14. August. In vielen
Fällen seien solche Datenübermittlungen von
der zuständigen Behörde zu genehmigen.
Dieses Erfordernis entfalle nach dem BDSG
47
48
unter anderem, wenn der Empfänger der
Daten in den USA registriert ist oder wenn ein
deutsches Unternehmen für seinen Datenexport mit dem nichteuropäischen Empfänger
einen EU-Standardvertrag abgeschlossen hat.
Mindestens zwei praktische Anwendungsfälle
gebe es, in denen künftig eine Übermittlung
personenbezogener Daten an die USA verhindert und Bußgelder verhängt werden können: Der erste Fall sei die Verwendung von
Standardvertragsklauseln. Besonders strenge
Datenschutzbehörden würden verlangen,
dass der Einsatz solcher Vertragsklauseln vorab von ihnen gebilligt wird. Diese Genehmigung solle nun nicht mehr erteilt werden. Der
zweite Fall sei eine Datenübermittlung auf
Basis der „Safe Harbour“-Regeln oder eines
EU-Standardvertrages, wenn eine Behörde
einen besonders schweren Datenschutzverstoß feststellt. Insbesondere Datenübermittlungen an Unternehmen, die besonders
intensiv mit der NSA zusammenarbeiten
oder gearbeitet haben, könnten von den
Behörden in Augenschein genommen und im
Einzelfall als rechtswidrig eingestuft werden.
Man hoffe, dass bis Ende 2013 sowohl das
Safe Harbour-Abkommen als auch die EUStandardverträge im erforderlichen Maß überarbeitet würden, damit die deutschen Daten
auch in den USA wieder sicher seien.
Die FAZ weist am 24. April auf einen Gesetzentwurf der hessischen Landesregierung hin,
über den der Bundesrat beraten will. Danach
soll die Hehlerei mit gestohlenen Daten
künftig genauso bestraft werden können wie
der Handel mit entwendeten Gegenständen.
Wenn Daten „abgefischt“ und dann in Internetforen und Web-Portalen weiterverkauft
werden, würden die bisherigen Straftatbestände nicht greifen. Der Handel mit illegal
erlangten Kreditkarten habe sich zu einem
Massenphänomen entwickelt. Auch Passwörter für Warenbestellungen oder Abholstationen für Pakete sowie für Online-Banking und
soziale Netzwerke seien betroffen. Hessen
schlage deshalb einen neuen Tatbestand namens Datenhehlerei im Strafgesetzbuch vor,
um der „organisierten Cyberkriminalität“ zu
begegnen. Außerdem sollten die Strafrahmen
für das Ausspähen und Abfangen von Daten
(§ 202a und 202b StGB) angehoben werden,
wenn Kriminelle mit „Bereicherungs- oder
Schädigungsabsicht“ handeln oder „gewerbsoder bandenmäßig“ vorgehen. Schon der
Versuch solle in Zukunft geahndet werden
können.
Dagmar Strunz, Martin Yale International
GmbH, befasst sich in der Ausgabe 3/13 von
Protector (S. 42/43) mit der zuverlässigen
Datenvernichtung. Wichtig sei die Aufstellung von Richtlinien, die Schulung aller
Beteiligten und das Bestehen lokaler Vernichtungsmöglichkeiten. Die 2012 verabschiedete Norm DIN 66 399 definiere erstmals
nicht nur Anforderungen an die Vernichtung
von Daten auf Papier, sondern auch auf allen
gängigen modernen digitalen Datenträgern.
Dabei gebe sie sieben Sicherheitsstufen
vor, nach denen die Medien bedarfsgerecht
vernichtet werden können. Das Zerkratzen
der Speicheroberfläche reiche nicht aus, um
die Daten zuverlässig zu entfernen. Die Datenträgerschicht müsse vollständig zerstört
und abgelöst werden. In derselben Ausgabe
weist Thomas Wirth, Blancco Central Europe
GmbH, darauf hin, dass die gesetzlichen
Richtlinien einen protokollarischen Nachweis
der Löschung fordern. Gerade in komplexen
Hardware-Umgebungen, wie sie in großen
Rechenzentren vorhanden sind, müsse eine
zertifizierte, nachweisbare Datenlöschung
gewährleistet werden (S. 44/45).
Datenschutz – Arbeitnehmerdatenschutz
Wie die FAZ am 12. Januar berichtete,
hatten sich Fachpolitiker der Regierungskoalition auf den Entwurf eines Gesetzes zum
Datenschutz in Unternehmen geeinigt.
Darin sei ein vollständiges Verbot der heimlichen Videoüberwachung in Betrieben vor-
gesehen. Erleichtert werden sollte dagegen
offene Kamerabeobachtung. Die Vorschriften würden jegliche Erhebung, Verarbeitung
und Nutzung von Daten einschränken,
etwa Fragen im Bewertungsgespräch sowie
Eignungstests. E-Mails dürften nach dem
Entwurf unter bestimmten Voraussetzungen
kontrolliert werden. Kontonummern und
andere Angaben dürften nur verfremdet
abgeglichen werden, falls ein konkreter
Verdacht auf gewichtige Verfehlungen besteht. Betriebsvereinbarungen dürften keine
ungünstigeren Regeln treffen. Am 30. Januar
meldete die FAZ, dass die geplante Reform
des Datenschutzes von Arbeitnehmern
kaum noch Aussicht auf Erfolg habe. Die
Koalitionsspitzen hätten beschlossen, das
Vorhaben von der Tagesordnung im Innenausschuss und im Plenum des Parlaments
zu streichen. Die Regierung sei vor den
geharnischten Protesten eingeknickt, die von
Gewerkschaften und Arbeitgebern gleichermaßen gekommen seien. Wirtschaftspolitiker und den Deutschen Anwaltverein habe
gestört, dass heimliche Videoüberwachung
vollständig verboten werden sollte. Dies
würde etwa die Aufklärung von Diebstählen in Unternehmen erschweren, die das
BAG erlaubt habe. Der CSU-Innenpolitiker
Michael Frieser habe gesagt, die Politik
werde versuchen, eine „Moderatorenrolle“
zu übernehmen. Gemeinsam mit Arbeitnehmern und Arbeitgebern wolle man möglichst
noch vor den Wahlen im September eine
Lösung finden.
Big Brother im Betrieb titelt die FAZ am
2. Februar. Das BAG habe in den vergangenen Jahren ein ausgeklügeltes System
zur Videoüberwachung erarbeitet, mit dem
auch die Gewerkschaften leben könnten.
Dabei sei die Rechtslage auf den ersten
Blick verworren und mitunter etwas unklar,
weil nur wenig gesetzlich geregelt und
vieles dem Interpretationsspielraum der
Gerichte überlassen sei. Im Juni 2012 habe
das BAG die engen Grenzen für heimliche
Videoüberwachungen bestätigt (2 AZR
153/11). Dazu müsse ein konkreter Ver-
dacht einer strafbaren Handlung bestehen,
und weniger einschneidende Mittel zur
Aufklärung dieses Verdachts müssen ergebnislos ausgeschöpft worden sein. Noch
dazu dürfe es nicht unverhältnismäßig sein.
Eingrenzbarkeit sei dabei das zentrale Stichwort: Ganze Lagerhallen dürften nicht ausspioniert werden, ein abgrenzbarer Kassenbereich dagegen schon. Und natürlich nur
in einem befristeten Rahmen und nicht über
Wochen hinweg. Erstmals habe das BAG
übrigens auch über heimliche Videoaufnahmen in öffentlich zugänglichen Räumen
geurteilt. Das Kennzeichnungsgebot in §
6b BDSG sei keine Zulässigkeitsvoraussetzung für die Nutzung erhobener Daten. Die
Bundesrichter hätten verfassungsrechtliche
Bedenken, dass ein absolutes Verbot verdeckter Videoaufzeichnungen in öffentlich
zugänglichen Räumen gegen den Schutz
der Eigentumsinteressen des Arbeitgebers
verstoßen könnte. Dem Betriebsrat dürfe der
Arbeitgeber keine Vorschriften zur Einhaltung des BDSG machen (Az: 7 ABR 23/11).
So könnten die Arbeitnehmervertreter vom
Arbeitgeber die Einrichtung eines Gruppenaccounts verlangen, der es dem Unternehmen nicht ermögliche, die Internetnutzung
durch die einzelnen Betriebsratsmitglieder nachzuvollziehen. Das BDSG schreibe zwar für den Rechner des Betriebsrats
datenschutzrechtliche Sicherungen vor.
Für entsprechende Maßnahmen
müsse der Betriebsrat jedoch in eigener
Verantwortung sorgen. Die Entscheidung
des BAG lege nahe, dass der Betriebsrat
selbst darüber entscheiden kann,
welche Beschäftigtendaten er zur Erfüllung
seiner Aufgaben erhebt und verwendet.
Besonders interessant werde das im Licht
einer anderen Rechtsprechung des BAG:
In einer Entscheidung zum Umfang
des Kontrollrechts des Betrieblichen Datenschutzbeauftragten (DSB) habe das
Gericht entschieden, dass dieser den
Betriebsrat nicht daraufhin kontrollieren
darf (oder muss), ob er die Vorschriften zum
Datenschutz beachtet.
49
50
Datenschutz – KMU
In ZEIT Online beklagt Joachim Jakob am
26. Februar, dass sich Selbstständige und
kleine Firmen zu wenig um Cyberkriminalität kümmern. So würden nicht wenige
Selbstständige Patienten-, Kunden- oder
Bewerberdaten ungeschreddert in den
Müll werfen. Es gebe sogar ein Programm
namens „unshredder“, das Papierschnipsel
virtuell zusammenpuzzeln kann. Wenn
ein Selbstständiger oder ein Unternehmen
fahrlässig mit Daten umgeht, könnten die
Kunden hohe Schadensersatzansprüche
geltend machen. Fahrlässiger Datenschutz
könne teuer werden.
Der TÜV SÜD stellte kürzlich eine Studie
„Datenschutz 2012“ vor, in der er den Stellenwert des Datenschutzes bei Mittelstandsfirmen abgefragt hatte, berichtet der Sicherheits-Berater in seiner Ausgabe 4-2013. Der
Umgang mit Kundendaten berge demnach
noch ein ordentliches Risikopotenzial.
Datenschutz – EU-Recht
In der Fachzeitschrift <kes> (Ausgabe
5-2013, S. 22–25) weist Rechtsanwalt
Stefan Jaeger darauf hin, dass die Informationspflicht von Unternehmen über Datenschutzverletzungen jetzt europaweit durch
die VO Nr. 611/2013 der EU-Kommission
vereinheitlicht wurde. Die Informationspflicht
gelte in bestimmten Fällen gegenüber Aufsichtsbehörden und Betroffenen. Ungeklärt
seien nach wie vor einige rechtliche Fragen.
So sehe die VO selbst keinerlei Sanktion für
den Fall des Verstoßes gegen die Meldepflicht vor. Zudem bleibe auch die Frage
nach den Verpflichteten gemäß der EU-VO
unklar.
Wegen Verstößen gegen den Datenschutz
haben sechs europäische Länder, darunter Deutschland, Strafmaßnahmen gegen
den Internetkonzern Google angekündigt,
meldet die FAZ an demselben Tag. Das
Unternehmen habe nach der Kritik der EUDatenschutzbehörden nicht reagiert. Google
beharre darauf, dass seine Nutzungsbestimmungen EU-Recht genügen. Auch würden
Kunden unzureichend über die Zwecke und
die Kategorien der gespeicherten Daten
informiert. Unklar sei außerdem, wann die
Daten gelöscht würden.
Das Europaparlament habe fürs erste
verhindert, dass in der EU ein System zur
polizeilichen Auswertung von Fluggastdaten aufgebaut wird, meldet die FAZ am
25. April. Der Innenausschuss habe einen
entsprechenden Gesetzesvorschlag der EUKommission verworfen.
Mit einem einheitlichen Datenschutz habe
sich die EU tatsächlich viel vorgenommen,
schreibt die FAZ am 3. April. Schließlich
gehe es um nichts weniger, als den überholten Schutz aus dem analogen Zeitalter auf
die digitale Welt zu übertragen. An einen
„Gefällt mir“-Knopf sei zu Zeiten der ersten
Datenschutzrichtlinie 1995 noch nicht zu
denken gewesen, ebenso wenig an CloudComputing mit sich über Grenzen spannenden Rechnernetzwerken. Geregelt werden
solle zudem das lang diskutierte „Recht
auf Vergessen“, mit dem Unternehmen
wie Facebook verpflichtet werden sollen, im
Web veröffentlichte Inhalte auf Wunsch der
Nutzer wieder zu löschen oder zumindest zu
verbergen. Für Gesprächsstoff sorgten auch
die geplanten Sanktionen bei Datenschutzverstößen. Bußgelder sollen bis zu einer
Höhe von einer Million Euro möglich sein,
außerdem sei ein Strafschadenersatz von
bis zu 2 % des weltweiten Jahresumsatzes
eines Unternehmens vorgesehen. Dagegen
solle der vieldiskutierte Beschäftigtendatenschutz außen vor bleiben; dieses ehrgeizige
Vorhaben habe jüngst die Bundesregierung
mit einem verunglückten Regelungsversuch
in die öffentliche Diskussion gebracht. Er
gehöre zu den wenigen „Bereichsausnahmen“, die die Mitgliedstaaten nach der „Vollharmonisierung“ noch eigenständig regeln
könnten. Nicht nur die Technik habe sich
verändert, auch die Globalisierung habe sich
in den vergangenen Jahren rasant entwickelt. Die Schlagworte „Modernisierung und
Harmonisierung“ sollten deshalb das neue
Vorhaben eines europäischen Datenschutzes umreißen. Datenschützer warteten
händeringend auf das neue Regelwerk. Doch
selbst wenn der ehrgeizige Zeitplan hält,
werde es noch eine mindestens zweijährige
Übergangsperiode geben. Vor 2017 sei mit
der Verordnung wohl nicht zu rechnen.
Der Bundesinnenminister setze weiter auf
mehr Selbstregulierung der Wirtschaft,
meldet heise online am 28. Mai. Er sehe
nach einem zeitweiligen Rückschlag im EURat doch wieder gute Chancen, den deutschen Vorschlag für eine stärkere Selbstkontrolle der Wirtschaft in der geplanten
EU-Datenschutzverordnung zu verankern.
Einbezogen werden sollten demnach grundlegende Aspekte wie eine „faire und transparente Datenverarbeitung“, Ausführungen zur
Zweckbestimmung und zum Prinzip, in die
Nutzung persönlicher Informationen einzuwilligen. Schwierigkeiten hätten die Regierungen mit der Klarstellung, für welche Zwecke personenbezogene Informationen von
Firmen überhaupt gesammelt und weiterverarbeitet werden dürfen. Zu den weiteren
Knackpunkten zählten personenbezogene
Profile und damit einhergehende Informationspflichten sowie Auflagen, die Öffentlichkeit oder Betroffene nach Datenpannen
zu informieren. Auch an Formulierungen,
wann eine Datenverarbeitung besonders
risikoreich und so vorab eine Folgenabschätzung nötig ist, habe der EU-Rat gefeilt. Das
umkämpfte Recht, vergessen zu werden, sei
in dem Entwurf leicht eingeschränkt weiter enthalten. Allerdings hätten hier neben
Deutschland sechs andere Länder allgemeine und sechs weitere Staaten spezifische
Prüfungsvorbehalte eingelegt.
Der Innenausschuss des EU-Parlaments hat
mit großer Mehrheit den lange umkämpften Entwurf für eine neue DatenschutzGrundverordnung in der zuvor bekannt
gewordenen Kompromissfassung angenommen, berichtet heise online am 21. Oktober. Damit hätten die Abgeordneten den
Weg frei gemacht für die erste umfassende
Änderung der europäischen Datenschutzbestimmungen seit 1995. Der abgestimmte
Entwurf dürfte viele Wirtschaftsvertreter
auf die Barrikaden treiben. Als Höchststrafe
für Verstöße seien 100 Millionen Euro oder
fünf Prozent des Jahresumsatzes eines
Unternehmens vorgesehen. Wer Daten
verarbeitet, die sensibel sind oder sich auf
5.000 Betroffene pro Jahr beziehen, müsste
beim Durchkommen des Vorstoßes einen
gesonderten Betriebsdatenschutzbeauftragten ernennen, eine Risikoanalyse und eine
Folgenabschätzung durchführen und die
Einhaltung der Regeln alle zwei Jahre durch
einen externen Experten überprüfen lassen.
Datenschutzpannen seien „ohne ungerechtfertigte Verzögerung“ und so in der Regel
binnen 72 Stunden den Betroffenen mitzuteilen. Eine Nutzung persönlicher Daten solle
prinzipiell eine frei abgegebene, spezifische
und informierte Einwilligung des Betroffenen
benötigen. Schweigen oder Inaktivität dürfe
nicht als Hinweis darauf verstanden werden.
Datenschutz – Geheimdienste
Heise online berichtet am 21. Februar über
eine Studie des Centre d’Etude sur les
Conflits und des Centre for European Policy
Studies zum Datenschutz in der Cloud. Es
gebe ein tückisches Zusammenspiel des
Datentransfers in die Cloud und extremer
US-Überwachungsgesetze. Insbesondere
§ 1881a des Foreign Intelligence Surveil-
51
52
lance Act erlaube es, Daten von EU-Bürgern
massenhaft zu sammeln. Es gehe um einen
dauerhaften Strom aller Daten über systematisch in die Infrastruktur von US-CloudAnbietern eingebaute „Installationen“.
Wie die FAZ am 17. Juni meldet, hat Facebook bekannt gegeben, im zweiten Halbjahr
2012 hätten die Behörden zwischen 9.000
und 10.000 Anträge auf die Freigabe von
Nutzerinformationen gestellt. Die Anfragen hätten insgesamt 18.000 bis 19.000
Mitglieder-Profile des weltweit größten
Unternehmens für soziale Netze betroffen.
Bei den Anfragen von örtlichen und staatlichen Behörden, der Bundespolizei FBI sowie
der Geheimdienste sei es um vermisste
Kinder, um gewöhnliche Kriminalfälle wie
auch um Terrordrohungen gegangen. Microsoft teile mit, im zweiten Halbjahr 2012
in 6.000 bis 7.000 Fällen Informationen zu
31.000 bis 32.000 Konten bei verschiedenen Microsoft-Diensten an die Behörden
weitergegeben zu haben. Der BND wolle die
Überwachung des Internet trotz des Skandals um die amerikanische Datenspionage
massiv ausweiten. Wie die Zeitschrift „Spiegel“ berichte, habe der Dienst dazu für die
kommenden fünf Jahre ein 100 MillionenProgramm aufgelegt. An den wichtigsten
Punkten für den digitalen Verkehr habe der
BND eigene Zugänge eingerichtet. E-Mails,
Telefonate, Skype-Gespräche, SMS-Botschaften aus Regionen, für die sich der BND
interessiert, könnten kontrolliert werden.
Deutsche Internetnutzer zu kontrollieren, sei
offiziell nicht erlaubt. E-Mail-Adressen, die
auf „de“ enden, müssten gelöscht werden.
Das gelte auch für deutsche Vorwahlen und
IP-Adressen. Während der BND aber nur
einen Teil der Kommunikation bewertet und
nur einen Bruchteil davon speichert, sammele die amerikanische NSA alles.
Rechtliche Schritte wegen der Ausspähung von Daten durch das amerikanische
„Prism“- und das britische „Tempora“Programm könne die EU kaum ergreifen,
berichtet die FAZ am 29. Juni. Geheim-
dienste ließen sich durch den Datenschutz
nun einmal nicht bändigen, schließlich seien
sie geheim. Auch der Hamburger Datenschutzbeauftragte Johannes Casper sei mit
der Aufzählung rechtlicher Möglichkeiten
schnell am Ende. Einzige Stellschraube im
Verhältnis zu den Amerikanern sei das Safe
Harbor-Abkommen zwischen der EU und
den USA. Es schreibe vor, dass Daten von
EU-Bürgern nur an amerikanische Unternehmen übermittelt werden dürfen, die vom
dortigen Handelsministerium garantierte
hohe Datenschutzstandards erfüllen. Damit
sollte ein Ausgleich geschaffen werden,
dass das Datenschutzniveau in Amerika
ansonsten niedriger sei als in Europa. Auf die
Ausspähung von Daten durch Geheimdienste aber lasse sich dieses Abkommen kaum
anwenden. Anders könnte das aussehen,
wenn die Reform des europäischen Datenschutzrechts einmal Realität werde, über
das momentan in Brüssel debattiert werde.
Art. 41 sehe vor, dass die Kommission dazu
feststellen muss, dass das betreffende Land
einen angemessenen Datenschutz bietet.
Dazu gehöre auch die Frage, ob betroffenen
Personen gerichtliche Rechtsbehelfe zur
Verfügung stehen. Eigentlich hätte die Kommission sogar einen effizienteren Hebel gegen die Weitergabe von Daten an Geheimdienste vorgesehen, die „Anti-Fisaklausel“.
Diese sei gezielt gegen das amerikanische
Überwachungsgesetz „Foreign Intelligence
Surveillance Act“ gerichtet, das als Basis
für Prism diene. Die Kommission hätte aber
die Klausel wieder gestrichen, nachdem die
amerikanische Regierung und amerikanische
Unternehmen interveniert hätten.
Microsoft sehe in der hitzigen Debatte, die
derzeit in Deutschland über die NSA-Affäre
geführt werde, eine Gefahr für den Standort
Deutschland, berichtet die FAZ am 15. Juli.
Die Bereitschaft von Unternehmen, Teile
ihrer Informationstechnologie in die „Cloud“
auszulagern, könne gebremst werden.
Microsoft gehöre zu einer Gruppe von
sieben amerikanischen Unternehmen, die
in das Spähprogramm „Prism“ eingebunden
seien. Das Unternehmen habe den Behörden Zugang zu einer Reihe seiner Angebote
verschafft, darunter die E-Mail-Programme
Outlook.com und Hotmail, der OnlineSpeicher Skydrive sowie der Telefondienst
Skype. Allerdings werde nach Aussage von
Microsoft der Regierung kein direkter und
kein flächendeckender Zugang zu den Computersystemen ermöglicht.
Google kopiere unverschlüsselt auf eigene Server, berichtet SPIEGEL ONLINE am
17. Juli. Google rate, das Passwort zum
eigenen Drahtlos-Netzwerk nie mit Fremden zu teilen. Bei der eigenen BackupFunktion des Android-Systems missachte
Google aber diesen Hinweis. Der Dienst
kopiere die WLAN-Passwörter standardmäßig unverschlüsselt auf Google-Server.
Die Passwort-Übertragung sei in vielerlei
Hinsicht problematisch. Die Funktion sei zumindest auf einem Teil der Android-Geräte
standardmäßig aktiviert. Es könne somit als
sicher gelten, dass Google eine Datenbank
mit Einträgen zu Millionen von Nutzerkonten besitzt, in der neben den genutzten
WLANs auch Kennwörter stehen. Bei einigen
Unternehmen sei das Login-Passwort für
Netzwerke dasselbe wie das zur Anmeldung
am Rechner im Firmennetz. In Googles
WLAN-Passwortlisten dürften also einige
brisante Zugangsinformationen enthalten
sein. Nutzer hätten keine Möglichkeit, einzelne Datensätze zu Android-Geräten von
den Google-Servern zu löschen. Logge man
sich in das eigene Google-Konto ein, finde
man unter dem Stichwort „Android“ eine
Auflistung aller Geräte, auf denen man sich
jemals mit dem Google-Konto angemeldet
hat, inklusive eindeutiger ID-Nummer, dem
Tag der Registrierung und dem der letzten
Anmeldung. Löschen könne man hier nichts.
ZEIT-ONLINE berichtet am 21. August
unter Berufung auf das Wall Street Journal,
die NSA könne bis zu 75 % des Internetverkehrs überwachen, der durch die USA
läuft. Die Zahl passe aber nicht zu den
offiziellen Angaben der NSA: Der Geheim-
dienst habe Anfang August eine Stellungnahme veröffentlicht, in der er angibt, bei
der Auslandsaufklärung nur mit 1,6 % aller
im Internet übertragenen Daten in Berührung zu kommen. Umgesetzt würden die
Überwachungsprogramme mit Codenamen
wie Blarney, Fairview, Oakstar, Lithium und
Stormbrew von Telekommunikationsunternehmen wie AT&T, die Filter an mehr als
einem Dutzend der großen Internetknoten
in den USA installiert haben. Diese suchten
jede Kommunikation heraus, die außerhalb
der USA beginnt oder endet oder schlicht an
irgendeinem Punkt durch US-Infrastruktur
läuft. Das wiederum bedeute: Deutsche Internetnutzer würden in den USA überwacht.
Jede Google-Anfrage, jede Mail über Yahoo
oder Outlook.com, jeder Facebook-Chat – all
das falle unter die Definition „in den USA,
aus den USA oder durch die USA“. Nach den
Berichten des Guardian über die umfangreiche Überwachung der transatlantischen
Glasfaserkabel durch die NSA und den britischen Geheimdienst GCHQ sei der Artikel
des Wall Street Journal ein weiterer Beleg
dafür, dass die NSA „in Deutschland“ kaum
tätig werden müsse. Die Netzüberwachung
der Deutschen finde woanders statt.
Der britische Geheimdienst Government
Communications Headquarters (GCHQ)
habe auch Zugriff auf innerdeutsche EMails, berichtet DIE WELT am 29. August.
Er könne nahezu den gesamten europäischen Internetverkehr speichern und analysieren. Eine Schlüsselrolle spielten dabei
mehrere Glasfaserkabel, zu deren Betreibern
auch die Deutsche Telekom gehöre. Einige
der Kabel träfen an der Nordseeküste auf
deutschen Boden. Mindestens sechs Unternehmen im Betreiberkonsortium würden
mit dem britischen Dienst kooperieren.
Alle seien auch in Deutschland tätig. Über
ihre Netze laufe ein Großteil der deutschen
Internetkommunikation. Der ehemalige
US-Geheimdienstmitarbeiter Thomas Drake
habe in der Süddeutschen Zeitung erklärt,
dass ausländische Geheimdienste für das
Ausspähen deutscher Daten keinen Zugang
53
54
zu Leitungen in Deutschland bräuchten.
Selbst die innerhalb eines Landes verschickten E-Mails liefen in der Regel über interna
tionale Kabel.
Aus Geheimdienstdokumenten, die dem britischen „Guardian“ und der „New York Times“
vorlägen, gehe hervor, dass sich die NSA
und der GCHQ Zugang zu den gängigen
Verschlüsselungstechnologien verschafft
haben, berichtet die FAZ am 7. September.
„SSL“- und „HTTPS“-Verbindungen hätten
bisher als weitgehend sicher gegolten. Laut
der vom „Guardian“ zitierten Dokumente
seien die Geheimdienste sogar in der Lage,
die Entwicklung neuer Verschlüsselungstechnologien zu beeinflussen. Zu den Zielen
des amerikanischen Programms gehöre
es auch, mit Technologie-Unternehmen
zusammenzuarbeiten, um deren „ProduktDesigns heimlich zu beeinflussen“. Um
welche Unternehmen es gehe, bleibe
unklar. Alle Verschlüsselungstechnologien
zu knacken, sei den Geheimdiensten aber
bislang nicht gelungen. Dafür spreche auch
die Empfehlung Snowdens, starke KryptoSysteme sachgemäß anzuwenden, weil sie
„zu den wenigen Dingen“ gehörten, „auf die
man sich verlassen kann“. Am 17. September erläutert die FAZ, dass die Standardmethoden für das Codeknacken schon
seit einigen Jahren bekannt seien. Wer die
Transportverschlüsselung (https) einsetzt,
mache es den Geheimdiensten besonders
leicht. Denn dabei werde mit Zertifikaten
gearbeitet – eine Art Lizenz zum Entschlüsseln. Wer darüber verfügt, könne ungehindert mitlesen. Die notwendigen Zertifikate
besorgten sich die Geheimdienste von den
Zertifikatsherstellern, den sogenannten
Trust-Centern. Deshalb seien sicherheitsbewusste Anwender dazu übergegangen,
ihre Daten mit einem Extraschlüssel zu
kodieren, der dem Empfänger auf separatem
Weg zugestellt wird. Die dafür notwendige
Kryptiersoftware basiere auf dem Advanced Encryption Standard, abgekürzt AES.
Inzwischen gebe es auch einige Hinweise
von ehemaligen NSA-Mitarbeitern, wie die
Entwickler des Geheimdienstes Hintertüren
in Verschlüsselungssoftware realisieren, die
nach dem AES-Standard programmiert sind.
Große Hoffnungen setzten einige Sicherheitsexperten deshalb auf die Quantenverschlüsselung. Denn nach den Gesetzen
der Quantenphysik würde jeder Spion, der
zum Beispiel die Leitung abhört und die
Quantenbits abhängt, diese Quantenbits
verändern oder zerstören. Er würde deshalb
bemerkt werden. Doch auch hier seien die
Geheimdienste schon einen Schritt weiter.
Sie nutzten eine Sicherheitslücke bei den
marktüblichen Quantenverschlüsselungsgeräten aus.
Der russische Inlandsgeheimdienst FSB
erhält völligen Zugriff auf die Internet- und
Telefonverbindungen, meldet heise online
am 21. Oktober. Der FSB könne vom 1. Juli
2014 an alle IP- und Telefonnummern sowie
E-Mail-Adressen kontrollieren und zudem
Daten aus sozialen Netzwerken, Internettelefonaten und Chats abgreifen. Bisher hätten
in Russland Daten nur auf Anforderung
herausgegeben werden müssen.
Die Menschenrechtsorganisation Privacy
International hat eine formelle Beschwerde
bei der OECD gegen einige der weltweit
größten Telekomfirmen eingereicht,
berichtet heise online am 6. November.
Diese helfen angeblich dem britischen
Geheimdienst GCHQ, massenhaft Internetund Telefondaten direkt aus Unterseekabeln
abzugreifen. Es gebe Gründe zu überprüfen,
ob BT, Verizon, Enterprise, Vodafone Cable,
Viatel, Level 3 und Interoute mit dieser
Praxis gegen ihre Verpflichtung verstoßen,
Menschenrechte wie die Privatsphäre zu respektieren. Es sollten alle Schritte offengelegt
werden, mit denen man sich dem Anliegen
des GCHQ widersetzt habe.
Der CIA sammelt in einer Datenbank massenhaft Informationen über internationale
Geldübertragungen, die durch Unternehmen wie Western Union getätigt werden,
berichtet die FAZ am 16. November. Das
Programm stütze sich auf dieselben Regeln
des Patriot Act wie die umstrittene Sammlung von Telefonmetadaten durch die NSA.
Wie die Telefonüberwachung werde die
Datensammlung juristisch durch den Foreign
Intelligence Surveillance Court genehmigt
und kontrolliert. Die Sammlung der Finanzdaten von Geldüberweisungen solle der
Bekämpfung des Terrorismus dienen. Erfasst
werden nach den Angaben nur internationale und grenzüberschreitende, nicht aber
inneramerikanische Geldtransfers. Internationale Überweisungen von einem Bankkonto
zu einem anderen Bankkonto würden durch
dieses Programm nicht erfasst.
Datenschutz – Einzelthemen
Dr. Ing. Andre Braunmandl, Manfred Lochter und Wendel Lohmer, BSI, erläutern in
der Juli-Ausgabe von <kes> (S. 42–45) die
Technische Richtlinie BSI TR-03140 (TR
SatDSiG) zum Satellitendatensicherheitsgesetz. Neben dem Vorliegen aller im
Kryptokonzept definierten Herstellernachweise prüft die Prüfstelle die Umsetzung
der für das Bodensegment vorgesehenen
Sicherheitsmaßnahmen und die Maßnahmen
zur sicheren Übertragung der Daten. Das
BSI leistet mit der Veröffentlichung seinen
Beitrag für die Transparenz und Kalkulierbarkeit der Betriebs-, Genehmigungs- und
Zulassungsprozesse. In derselben Ausgabe
wird der Datenschutz bei Wirtschaftsaus-
kunfteien behandelt (S. 64/65). Sicherlich
werde man es Wirtschaftsauskunfteien
nicht verwehren dürfen, auch im Internet
und in sozialen Netzwerken Bonitätskriterien zu erheben, jedoch dürften sie sich
nicht in geschlossenen Foren einen Zugang
erschleichen. Umstritten sei die in § 28b
BDSG geregelte Möglichkeit des Scoring.
In der Rechtsprechung noch umstritten sei,
inwieweit die Scoring-Verfahren und die ihm
zugrunde liegenden Berechnungsmethoden
betriebswirtschaftliche Geheimnisse darstellen. Jedem Unternehmen sei anzuraten, von
seinem Auskunftsrecht Gebrauch zu machen
und seine Rechte auf Berichtigung bzw.
Löschung wahrzunehmen.
Diebstahl
In Düsseldorf habe eine Bande von Metalldieben über mehrere Monate hinweg
einen Röhrenproduzenten immer wieder
bestohlen, meldet die FAZ am 21. Februar. Der Bande sei es gelungen, Rohrreste
im Gewicht von insgesamt mindestens
200 Tonnen zu entwenden. Wahrscheinlich
habe ein Mitarbeiter des Röhrenherstellers
den Dieben verraten, wo die Waggons mit
den Rohrresten abgestellt wurden, bevor
sie abgewogen werden. Regelmäßig habe
die Bande dann Ladungen im Gewicht
von 7 bis 10 Tonnen entwendet. Die 6
Tatverdächtigen seien Schausteller, die ihr
Winterlager in der Nähe des Röhrenwerkes
aufgeschlagen haben. Ebenfalls verhaftet
worden sei ein Schrotthändler, der Teile des
tonnenschweren Diebesgutes weiterverkauft haben soll.
Die FAZ berichtet am 4. März über eine Bande, die LKW’s während der Fahrt aufbricht.
Immer wieder gelinge es auf Autobahnen in
Nordrhein-Westfalen den Dieben, während
der Fahrt die Ladefläche von Lastwagen zu
entern und hochwertiges Versandgut wie
tragbare Computer oder Mobiltelefone zu
entwenden. Betroffen seien besonders zwei
international tätige Paketdienste. Seit November 2012 seien 50 Fälle bekannt geworden.
Der Schaden betrage mehr als 250.000 Euro.
Der modus operandi: Ein Auto setze sich vor
den Lkw, um ihn auszubremsen. Ein weiteres
Auto fahre von hinten dicht an den Lastwa-
55
56
gen heran. Ein Täter klettere dann durch das
Schiebedach des Autos auf die Motorhaube,
um von dort aus mit einem Winkelschleifer
die Rückseite des LKW aufzuschneiden. Der
Dieb steige schließlich auf die Ladefläche und
werfe die Beute seinen Komplizen zu. Ein
drittes Täterfahrzeug sichere die nur wenige
Minuten dauernde Aktion ab. Der Fahrer
dieses Autos blockiere auf zweistreifigen
Autobahnen die Überholspur. Nach bisherigen Erkenntnissen der Ermittler verfügten die
Täter nicht über Insiderwissen aus Logistikzentren der betroffenen Paketdienste.
Nach einer Pressemitteilung des LKA Mecklenburg-Vorpommern vom 29. Mai wurden
in diesem Land im 1. Quartal 2013 bereits
20 Transporter entwendet, bei denen es die
Täter vornehmlich auf die Ladung abgesehen hätten – nämlich auf sehr hochwertige
Werkzeuge unterschiedlichster Gewerke.
Die Schadenssumme habe insgesamt knapp
eine Million Euro betragen. Notwendig seien
Sicherungsmaßnahmen auf Baustellen und
Firmengeländen. Hochwertige Werkzeuge
sollten so gut wie möglich gesichert werden. Das bedeute auch, sie nach Möglichkeit
nachts nicht im Fahrzeug zu lagern.
Diebstahlschutz und Ortungstechnik sind
für PCs und Notebooks gang und gäbe,
schreibt die FAZ am 28. Mai. Vorbeugend
könne man einiges tun, damit sich der Schaden in Grenzen hält. Dass man sein Benutzerkonto mit einem Kennwort versieht, sei eine
Selbstverständlichkeit. Aber dieser Schutz
sei mit einem älteren Windows XP oder Vista
leicht auszuhebeln. Unter Windows 7 sei
der Aufwand für den Angreifer etwas größer,
die Hürde bleibe indes überwindbar. Zudem könne ein besonders neugieriger Dieb
kurzerhand die Festplatte ausbauen und die
gespeicherten Daten an einem anderen PC
auslesen. Bei einem Diebstahlschutz seien
also umfassende Konzepte gefragt – und
keine halben Sachen. Wer ein funktionierendes System mit Hand und Fuß suche, möge
einen Blick auf die Apple-Welt werfen, wo alle
Bausteine aufeinander abgestimmt sind. Das
aktuelle Betriebssystem OS X Mountain Lion
komme mit dem Verschlüsselungssystem
Filevault 2, das im Unterschied zur Version 1
nun in der Lage sei, die gesamte Festplatte
(und nicht nur das Benutzerverzeichnis) zu
verschlüsseln. Apple gebe seinem Betriebssystem eine Ortungsfunktion mit, wie sie
auch für das iPhone und iPad angeboten
werde. Über den hauseigenen Cloud-Dienst
(abermals in den Systemeinstellungen) melde
man sich mit seiner Apple-ID plus Kennwort
an und aktiviere den Eintrag „Meinen Mac
suchen“. Anschließend sei der Rechner zum
einen über die App „iPhone Suche“ ( auf dem
iPhone oder iPad) unter „Meine Geräte“ zu
sehen. Und zwar auf einer Landkarte mit
seinem zuletzt erfassten Standort und unter
Angabe der Uhrzeit. Ist der Rechner ausgeschaltet, könne man sich eine Push-Nachricht
schicken lassen, sobald er eingeschaltet wird.
Und weiterhin lasse er sich aus der Ferne
sperren und sogar löschen. Stünden weder
iPad noch iPhone zur Verfügung, reiche zum
anderen ein mit dem Internet verbundener
PC. Im Browser buche man sich unter icloud.
com mit seiner Apple-ID ein, und man erhalte
die gleiche Funktionalität wie auf den Kleingeräten. Jenseits von Apple sei alles kompliziert.
Bei jedem Gerät und seiner Hardware sei
zu prüfen, welche Instrumente für Diebstahlschutz und Ortung in Frage kommen.
Individuelle Lösungen seien gefragt, es gebe
kein Standardpaket für alle Fälle.
Wie die Fachzeitschrift WiK in ihrer Ausgabe
3-2013 (S. 9/10) berichtet, summierten sich
nach einer EHI-Studie 2012 die Inventurdifferenzen für den Einzelhandel auf 3,8
Mrd. Euro. Diebstähle durch Kunden machten
davon die Hälfte aus, eigenen Mitarbeitern
würden 800 Mio. Euro Schaden angelastet.
Der Rest entfalle auf Lieferanten und Servicekräfte (400 Mio. Euro) sowie organisatorische
Fehler. Insgesamt würden dem Handel durch
Inventurdifferenzen und Sicherheitsmaßnahmen rund 1,3 % seines Umsatzes entgehen.
Schwere Ladendiebstähle hätten sich in den
letzten fünf Jahren verdoppelt. Ertappt würden weniger als 2 % der Ladendiebe, unent-
deckt blieben somit jährlich rund 30 Millionen
Delikte mit einem durchschnittlichen Wert
von 70 Euro. Für die größten Schäden seien
primär Täter mit „professionellem“ Hintergrund verantwortlich.
Frank Horst, EHI Retail Institute, befasst sich
in der Ausgabe 7-8/2013 der Fachzeitschrift
Protector (S. 16/17) mit der Entwicklung
des Ladendiebstahls und der Sicherheit im
Einzelhandel. Die durchschnittliche Inventurdifferenz habe 2012 insgesamt 0,98 % des
Umsatzes betragen, obwohl der Handel jährlich ca. 1,2 Milliarden Euro in Präventiv- und
Sicherungsmaßnahmen investiere. Von 100
Unternehmen setzten 2012 ca. 92 Mitarbeiterschulung, 82 offene und 34 verdeckte
Kameraüberwachung, 59 Kaufhausdetektive
ohne und 36 mit Kameraüberwachung, 55
Artikelsicherung und 13 Quellensicherung,
46 uniformierte Wachleute und 13 Citydetektive ein. Die durchschnittlichen Inventurdifferenzen lägen im Lebensmittelhandel
bei 0,49 %, in C&C-Märkten bei 0,2 %, in
SB-Warenhäusern bei 0,51 %, in Drogeriemärkten bei 0,78 %, im Bekleidungshandel
bei 0,53 %. Im Durchschnitt gebe der Handel
0,3 % vom Umsatz für Sicherheitsmaßnahmen aus. Die Gesamtaufwendungen
für Inventurdifferenzen und Vermeidung
betrügen also jährlich fünf Milliarden Euro.
Die PKS gebe wegen der angenommenen
Dunkelziffer von 98 % nicht die tatsächlichen
Zahlen der Ladendiebstähle wieder. Täglich
würden mehr als 100.000 Ladendiebstähle
mit je einem Warenwert von durchschnittlich
70 Euro unentdeckt bleiben, insgesamt also
jährlich ca. 30 Millionen Ladendiebstähle. Gut
ein Viertel der Unternehmen habe 2013 sein
Budget für Präventions- und Sicherungsmaßnahmen erhöht.
Die Fachzeitschrift GIT befasst sich in der
Januarausgabe (S. 26–28) anlässlich der
EuroCIS-Messe in Düsseldorf (19.–21. Februar) mit dem Ladendiebstahl und seiner
Bekämpfung. Nach einer aktuellen Erhebung
des Centre for Retail Research (CRR) beliefen sich die weltweiten Bestandsverluste
bei Handelsunternehmen von Juli 2010 bis
Juni 2011 auf über 119.$ und damit rund
1,45 % des Umsatzes. Das sei ein Zuwachs
von 6,6 % gegenüber dem Vorjahreszeitraum. Der deutsche Einzelhandel bewege
sich mit einem Warenschwund von 1,2 % im
unterdurchschnittlichen Bereich. 2011 seien
es dennoch 3,8 Milliarden Euro gewesen.
Zunehmend problematisch sei die organisierte Kriminalität – Bandendiebstähle, die
bei jedem Zugriff wertmäßig hohe Schäden
verursachten. Der durchschnittliche Wert der
gestohlenen Ware belaufe sich bei unehrlichen Kunden auf 202 $, bei MitarbeiterDiebstahl im Schnitt sogar auf 1.697 $. Das
Gesamtbudget des Handels für Verlustprävention stieg 2011 auf 28,3 Milliarden $ –
das entspreche einem Anteil von 0,35 % des
Einzelhandelsumsatzes. Integrierte Logistik-,
Warenwirtschafts- und Sicherheitssysteme
entlang der gesamten Wertschöpfungskette
würden an Bedeutung gewinnen. Eine immer
wichtigere Rolle spiele die Videotechnik.
86 % der vom EHI befragten Handelsunternehmen setzten auf die offene Kameraüberwachung ihrer Verkaufs- und Lagerflächen.
Speziell auf Bargeld-Unterschlagungen an
der Kasse und durch Mitarbeiter zielten
„Loss Prevention“-Lösungen, bei denen eine
spezielle Software die Kassentransaktionen
automatisch prüft. Werden zum Beispiel bei
Bon-Abbrüchen, Rabatten, Storni, Retouren
oder Preiskorrekturen bestimmte Schwellenwerte überschritten, dann werde der Händler
automatisch informiert.
Der ASW-Newsletter vom 1. Februar berichtet über ein neues Whitepaper von Tyco mit
dem Titel „Building Your Defences Against
Organised Retail Crime“. Fast alle Händler
(94,5 %) hätten bei einer Befragung angegeben, in den letzten drei Jahren Opfer von
organisierten Ladendiebstählen geworden zu
sein. Der durchschnittliche Schaden pro Fall
betrage 6.842 $. Typisch für den organisierten Ladendiebstahl sei eine Arbeitsteilung
zwischen dem Diebstahl und dem Verbringen der Beute aus dem Geschäft sowie das
Ausspähen von Überwachungsteams. Die
57
58
Studie behandelt Methoden des organisierten Ladendiebstahls und Optimierungen der
Bekämpfung.
Das BKA hat nach einer Information von
ASW-Securicon vom 12. Oktober darauf
hingewiesen, dass seit etwa 2005 jährlich
ca. zwei Dutzend Diebstähle von Solarmodulen bekannt werden. Die Sachschäden
lägen immer im fünfstelligen, manchmal
sogar im sechsstelligen Euro-Bereich (bis
zu 500.000 Euro). Die Tatorte befänden
sich meist in einsam gelegenen Gebieten
außerhalb bebauter Ortschaften (Lagerhallen, Gehöfte, Stallungen, Solarparks). Die
Gebäude und Parks seien in der Regel offen
zugänglich, wobei die Parks inzwischen
zunehmend mit einem Zaun umfriedet seien.
Die Photovoltaik-Module oder Stromkollektoren sowie die Wechselrichter würden fachgerecht abmontiert. Täterhinweise würden nur
in ganz wenigen Fällen bekannt. Zur Abwehr
solcher Diebstähle rät die Zentrale Geschäftsstelle des Programms Polizeiliche Kriminalprävention zu einer Kombination aus folgenden Komponenten: Perimeterabsicherung,
Zugangstorüberwachung, Videoüberwachung mit Detektion, Bewegungsmelder zur
Überwachung der Zaunanlage, „Technikhaus
Einbruchshemmung nach RC 3 DIN EN 1627
komplett“. Die Alarmtechnik sollte auf einer
ständig besetzten NSL auflaufen. Die Polizei
sollte erst hinzugezogen werden, wenn von
einem Echtalarm ausgegangen werden muss.
Diebstahl – Technischer Diebstahlschutz
Die Zeitschrift WiK stellt in ihrer Ausgabe
2-2013 als „Produkt des Monats der Zeitschrift WiK“ das neue Solarmodul-Diebstahlschutzsystem SolteQ-DSS110 vor, mit
dem ein unauthorisiertes Entwenden bereits
beim ersten Modul detektiert werde. Die
Empfindlichkeit könne grob und fein eingestellt werden, „damit nicht jeder Hagelschauer
zum Falschalarm führt“. Alarm werde auch
ausgelöst, wenn die Datenleitung getrennt
oder kurzgeschlossen wird. Die Zahl der Module, bei der Alarm erfolgen soll, sei einstellbar, so dass es bei Ausfall eines Sensors nicht
gleich zum Fehlalarm komme.
Der Sicherheits-Berater stellt in Nr.14/15 aus
2013 (S. 226–228) die künstliche DNA in der
Produktspezifikation SelectaDNA vor. Die
Flüssigkeit werde individuell für den Käufer
angefertigt, existiere dann mit hoher Wahr-
scheinlichkeit weltweit nur einmal und besitze
damit Fingerabdruckqualität. Die Kennzeichnung eines einzelnen Gegenstandes koste
je nach Abnahmemenge und Produkteigenschaft zwischen 50 und 300 Cent. Der
Flüssigkeit sei ein UVA-Indikator beigemischt,
so dass sich mit Hilfe einer UVA-Lampe der
ganz allgemeine Nachweis einer Markierung
sofort führen lasse. Käufer könnten sich in der
Online-Datenbank des Herstellers registrieren
lassen, d. h. sie könnten dort den auf jeder
Produktpackung befindlichen, individuellen
Code angeben. Damit erlaubten sie zugleich
auch den Zugriff der Polizei auf die Daten,
damit sichergestelltes Diebesgut eventuell
dem Eigentümer zugeordnet werden könne.
Einsatzbereiche seien Markierung von Kabeln
und Metallen, Wertsachen, Kunststoff, Edelstahl, Aluminium, Glas, Eingänge von Industrieanlagen, Windturbinen usw.
Devisenmanipulation
Bankenaufseher vermuten bei mehreren
Banken Devisenmanipulationen, meldet
das Handelsblatt am 5. November. Mussten
Bankinstitute für „Libor-Trixereien“ bis-
her insgesamt 3,7 Milliarden Dollar zahlen,
so fürchteten Beobachter jetzt, dass die
möglichen Strafen wegen Verzerrungen der
Wechselkurse noch höher ausfallen könnten.
Weltweit ermittelten derzeit sechs Aufsichtsund Justizbehörden wegen des Verdachts,
dass Devisenhändler sich zwecks Kursmanipulationen abgesprochen haben. Auch die
deutsche Aufsicht Bafin sei aktiv und schließe
Sonderprüfungen bei den Instituten nicht
aus. Bei der Deutschen Bank arbeiteten sich
interne Ermittler schon seit Wochen durch EMails und Chat-Protokolle der Devisenhändler. Die Ermittlungen konzentrierten sich auf
das sogenannte WM Reuters Fixing. Dabei
würden für 21 der meistgehandelten Devisen
halbstündlich Referenzkurse festgesetzt.
Dreidimensionale Drucker
Der Sicherheits-Berater geht in seiner
Ausgabe 3/2013 der Frage nach, welche
Auswirkungen die sich rasant weiter entwickelnde 3-D-Technologie auf die Sicherheit
von Unternehmen haben kann. Hingewiesen
wird unter anderen auf folgende Sicherheitsprobleme: Herstellung von Waffenattrappen
und von funktionstüchtigen Waffen, Produk-
tion von Architektur- und Geräteattrappen, Erleichterung von Tatbegehungen, Beschaffung
eines Druckdatensatzes (statt des Originals)
zu Spionagezwecken. Der Sicherheits-Berater empfiehlt Sicherheitsverantwortlichen
wie Herstellern, sich schon heute gedanklich
mit der Herausforderung durch 3-D-Drucker
auseinanderzusetzen.
Einbruch – Wohnungseinbruch
Der Sicherheitsdienst DSD weist in der
Ausgabe 3-2013 (S. 6/7) darauf hin, dass
die Wohnungseinbruchdiebstähle nach
der PKS 2012 gegenüber 2011 um 8,7 %
auf 144.117 angestiegen sind. Bereits 2011
betrug der Anstieg mehr als 9 %. Innerhalb
der letzten vier Jahre seien Einbruchsdelikte
um mehr als 30 % angewachsen. Ein großer
Teil der Delikte erfolge tagsüber: 61.200,
das seien 9,5 % mehr als 2011. Nach der
Bilanz des Gesamtverbandes der Deutschen
Versicherungswirtschaft seien die Schadenssummen gestiegen. 2012 habe ein Einbruch
im Durchschnitt 3.300 Euro gekostet. Der
Gesamtschaden belaufe sich auf geschätzte
470 Millionen Euro. Dass Vorsorge etwas bewirke, zeige die aktuelle Zahl der erfolglosen
Einbruchversuche: Knapp 40 % scheiterten
an mechanischen Tür- und Fenstersicherungen sowie an Alarmanlagen.
Einbruch – Technischer Einbruchschutz
In der Fachzeitschrift s+s report (Ausgabe
3-2013, S. 40–42) zieht Julia Christiani,
Programm Polizeiliche Kriminalprävention
der Länder und des Bundes, nach einem Jahr
der Öffentlichkeitskampagne K-Einbruch
eine positive Bilanz. Die Zahl der fehlgeschlagenen Einbrüche sei von 46.000 im Jahr
2010 über 51.000 im Jahr 2011 auf 56.000
im Jahr 2012 gestiegen. Viele Einbrüche
könnten durch die richtige Sicherungstechnik
verhindert werden. Eine Untersuchung des
Bayerischen LKA habe ergeben, dass in Bay-
ern 2012 von insgesamt 5.709 Fällen 1.377
durch mechanische Sicherungen verhindert
wurden. In 223 Fällen sei die Tat durch EMA
vereitelt worden. Dies zeige zudem, dass die
Einbruchmeldetechnik immer eine Ergänzung
zur mechanischen Sicherungstechnik sei
und nicht als Ersatz dafür gesehen werden
sollte. Nach der Erhebung des Bayerischen
LKA (S. 44/45) wurden 2012 im Gewerbebereich 626 Einbrüche durch mechanische
Sicherungen verhindert, und zwar 506 durch
Sicherungen an Türen (312 durch eine wider-
59
60
standsfähige Türkonstruktion und geeignete
Anbauteile, 194 durch Zusatzsicherungen)
und 99 durch mechanische Sicherungen an
Fenstern, Terrassen- und Balkontüren (65
durch Fensterzusatzsicherungen und 34
durch sonstige Sicherungen wie Gitter) sowie
21 durch Schaufenstersicherungen. Ebenfalls
im Gewerbebereich konnten durch 181 Alarme 28 Festnahmen erzielt werden. Die
Festnahmequote betrüge bei stillen Alarmierungen 57 %, bei örtlichen (akustischen oder
optischen) Alarmen 7 %.
Alle vier Minuten werde in Deutschland eine
Wohnung oder ein Haus aufgebrochen, meldet DIE WELT am 15. Mai. Der Vorsitzende
der IMK, Boris Pistorius aus Niedersachsen,
plädiere dafür, dass die Bundesländer in ihren
Bauverordnungen künftig Mindeststandards
für den Einbruchschutz bei Neubauten vorschreiben. Vorgeschrieben werden könnten
zum Beispiel ein besserer Aufhebelschutz für
Türen und Fester, abschließbare Griffe und
Dreifachverriegelungen für Haustüren.
Dipl.-Wirtschaftsjurist (FH) Sebastian Brose,
VdS weist in der Ausgabe 1-2013 der Fachzeitschrift s+s report auf neue VdS-Richtlinien
für einbruchhemmende Fensterbeschläge zur
Nachrüstung hin, die am 1. März 2013 in
Kraft getreten sind (VdS 3168). Der Beschlag
müsse den Anforderungen der DIN 18104,
Teil 2, entsprechen und dann zur Prüfung
nach den Richtlinien VdS 3168 in ein sogenanntes handelsübliches Fenster eingebaut
werden. Entscheidender Faktor sei neben
der Fensterbeschaffenheit und der Güte des
Beschlages die Verglasung (S. 42/43).
Auch Hans-Werner Bastian, VdS Schadenverhütung, befasst sich in der Ausgabe 2-2013
von s+s report (S. 42/43) mit Nachrüstsicherungen. Für praktisch jedes Fenster gebe es
eine passende, vom VdS anerkannte, Nachrüstsicherung. Produkte böten einen guten
Einbruchschutz, wenn sie geprüft und VdSanerkannt, in ausreichender Anzahl angebracht, stabil befestigt sind und die Bandseite
ebenso wie die Griffseite gesichert wird.
Der Sicherheits-Berater bewertet in der
Ausgabe 5-2013 (S. 74/75) die sekundenschnelle Vernebelung in ausreichendem
Maß und langer Standzeit als ein sicheres
Werkzeug, um den Diebstahl zu unterbinden
oder zumindest zu behindern. Bei der Wahl
des Schutznebels solle man auf getestete
Produkte achten, die den gesetzlich vorgeschriebenen Richtlinien entsprechen.
Einbruchmeldetechnik
VdS Schadenverhütung, beschreibt in der
Ausgabe 2-2013 von s+s report (S. 39),
worauf es bei Planung und Einbau von EMA
nach DIN VDE 0833-3 und VdS 2311 zu
achten gilt. Eine nach VdS 2311 errichtete
EMA genüge auch den Anforderungen der
DIN VDE 0833 Teil 1 und 3. Dabei komme
es allerdings darauf an, den Bezug zwischen
Normgrad und VdS-Klasse korrekt herzustellen. Das Merkblatt VdS 3172 erläutere die
Zusammenhänge.
Um die geforderte Flexibilität in mittleren
und großen Unternehmen zu realisieren, sei
vor allem Modularität bei einer Einbruchmeldeanlage notwendig, wird in der Ausgabe 6-2013 von PROTECTOR dargelegt
(S. 36–37). Einbruchmeldesysteme müssten eine sehr schnelle und kostengünstige
Anpassung der Sicherheitsinfrastruktur an
neue Gegebenheiten bieten. Ein System,
das diesen Anforderungen gerecht werde,
sei die Modular Alarm Plattform MAP 5000.
Die hohe Flexibilität dieses Systems werde durch die Kombination aus mehreren
Datenbussen möglich, die mit dem CANProtokoll (Controller Area Network) arbeiten.
Ein interner Bus sorge für die Kommunikation
zwischen den einzelnen Funktionsmodulen
der Anlage, ein externer Bus mit einer Länge
bis zu 1.000 Metern erstrecke sich über die
verschiedenen Gebäudeteile und diene zum
Anschluss von Bedienteilen und überwachten
Netzgeräten für den abgesetzten Einsatz. Das
Interfacemodul ermögliche die Anschaltung
eines Übertragungsgerätes zur Aufschaltung
auf die Polizei und eines Protokolldruckers.
Zudem verfüge es über drei überwachte und
parametrierbare Ausgänge für akustische
und optische Signalgeber oder andere lokale
Benachrichtigungsgeräte.
Die Fachzeitschrift Security insight stellt in
der Ausgabe 4-2013 (S. 26/27) Vor- und
Nachteile konventioneller Technik, der
BUS-Technik und der Funk-Technik für
Einbruchmeldeanlagen (EMA) gegenüber.
Je größer eine EMA geplant wird, desto
sinnvoller sei es, ein BUS-System aufzubauen. EMA auf Funkbasis sei in jedem Fall dann
sinnvoll, wenn etwa Objekte nur temporär zu
sichern sind, denkmalgeschützte Gebäude
nicht verkabelt werden dürfen, Sichtbeton
keine Verkabelung zulässt oder nicht gesicherte Bereiche zu überbrücken sind. Nicht
der Preis und auch nicht die Aktualität der
eingesetzten Technik würde darüber
entscheiden, welche EMA-Variante eingesetzt werden sollte. Erst wenn die Besonder
heiten des zu überwachenden Objekts
berücksichtigt wurden und mögliche
Beeinflussungen auszuschließen sind,
könne die Entscheidung zu Gunsten eines
Systems getroffen werden.
In s+s report (Ausgabe 3-2013) weist
VdS Schadenverhütung darauf hin, dass
VdS nunmehr auch mobile Applikationen
in der Einbruchmeldetechnik anerkennt
(S. 52–54). Die Anforderungen und Prüfmethoden für solche „EMA-Apps“ seien in
den Richtlinien „Fernzugriff auf EMA mittels
Smart Device-Applikation“, VdS 3169, fixiert.
Die Authentizität der Daten werde durch
ein sogenanntes Pairing-Verfahren und die
Ermittlung der Hashcodes sichergestellt.
Im Master werde eine Liste der zulässigen
Clients geführt, die z. B. anhand ihrer MACAdresse oder IMEI-Nummer identifiziert
werden. Die Integrität der Daten werde
durch verschiedene Mechanismen gewährleistet. Um die Vertraulichkeit der Daten zu
wahren, müsse eine AES-Verschlüsselung
mit 128 Bit mit Cipher Block Chaining Mode
eingesetzt werden. Der Verbindungsaufbau
gehe vom Client aus und durchlaufe die
vier Stufen Nutzercode, Schlüsselprüfung,
Pairing-Prüfung, Codeabfrage. Sobald
die EMA extern scharf geschaltet ist, sei
die Bedienung EMA-relevanter Funktionen
nicht möglich.
Sebastian Brose und Wilfried Drzensky, VdS
Schadenverhütung, befassen sich in der
Zeitschrift WiK (Ausgabe 5-2013, S. 51–53)
mit Problemen bei der Attestierung von
EMA. Das Installationsattest dokumentiere, dass es sich tatsächlich um eine VdSanerkannte EMA handelt und stehe damit
für die Vorteile, die eine solche EMA bietet:
Einhaltung der VdS-Richtlinien, Behebung
von Mängeln auf Kosten des Errichters,
jederzeit erreichbarer Instandhaltungsdienst,
Vorhaltung eines Ersatzteillagers, Reparatur-/
Instandhaltungsausrüstung beim Errichter
und Störungsbeseitigung innerhalb von 24
h bei regelmäßiger Instandhaltung. Die Autoren behandeln einige der Fragestellungen
rund um die Attestierung von EMA in den
Bereichen: Dokumentation von Änderungen,
Gültigkeit des VdS-Attests bei „Wartungsverweigerungen“, Instandhaltung durch Dritte,
Versicherer scannt Attest und vernichtet
Original und Bestandschutz von EMA.
Protector befasst sich in der Ausgabe
10-2013 (S. 40/41) mit der Nichtauslösung von Bewegungsmeldern. Für die
unterschiedlich schwierigen Anforderungsbedingungen an Bewegungsmelder gebe
es eine Auswahl von Kombinationen in der
Sensortechnologie. Komplett dichte Erfassungsvorhänge bildeten gegenüber einer
Standarderfassung immer einen maximalen
Detektionsbereich. Bei größeren Überwachungsflächen, bei denen sich auch die
61
62
räumliche Einrichtung ändern kann, böten
sich Deckenmelder zur Flächenüberwachung
an. Diese könnten mehrere Bewegungsmelder mit einer einzigen Deckenmelderinstallation ersetzen und somit auch zur wirtschaftlichen Lösung beitragen. Die kompletten
Vorhänge mit einer 360-Grad-Erfassung
detektierten bis zu 20 Meter Raumdiagonale
bei bis zu fünf Metern Montagehöhe.
Sascha Puppel, Sachverständigen- und
Planungsbüro Sascha Puppel GmbH, befasst
sich in Ausgabe 11 der Fachzeitschrift GIT
(S. 52–54) mit typischen Installationsfehlern bei der Abnahme von Einbruchmeldeanlagen. Grundsätzlich seien die
entsprechenden „allgemein anerkannten
Regeln der Technik“ (z. B. DIN VDE, LAR)
zu beachten. Am Beispiel des „FehlerKlassikers“, der falsch positionierten Bewegungsmelder, beschrieben nicht nur die
„allgemein anerkannten Regeln der Technik“,
sondern fast immer auch die Montage- und
Installationsanleitungen, dass z. B. InfrarotBewegungsmelder unter anderem nicht auf
Fenster, Heizungen usw. gerichtet und auch
nicht in Rauminnenecken zu installieren sind.
Als Leitfaden, Planungs- bzw. Montagehilfe
und als Praxis-Ratgeber sei der informative
Anhang F „Hinweise zur Vermeidung von
Falschalarmen, zur Realisierung der Zwangsläufigkeiten bei Türen im Verlauf von Fluchtund Rettungswegen sowie Brandschutztüren und Mitteilungen über Änderungen bei
Feuerabschlüssen“ der VdS-Richtlinie 2311
dringend zu empfehlen. Oft sei es Errichtern
nicht klar, dass auch zwischen Geräten oder
Leitungen von sicherheitstechnischen Anlagen und Blitzschutzanlagen zwingend der
entsprechende Trennungsabstand gemäß
DIN EN 62305-3 (VDE 185-305-3) und ggf.
VdS 2833 einzuhalten ist. Nicht selten werde die Richtlinie über elektrische Verriegelungssysteme von Türen in Rettungswegen
missachtet.
Embargoverstöße
Immer mehr deutsche Ingenieure geraten
nach Informationen der Wochenzeitung
DIE ZEIT vom 7. Februar in den Verdacht,
das Regime im Iran bei seinem Raketenprogramm zu unterstützen. Nach einer internen
Statistik hätten die Ermittler im Jahr 2012
136 Ermittlungsverfahren wegen EmbargoVerstößen durchgeführt. Das seien mehr
als in den Jahren zuvor. Der Grund für die
Zunahme der illegalen Exporte sei unzureichende Kontrolle. Die Exporteure müssten
zwar den Endverbraucher der Ware vorweisen, aber ob die Waffentechnik wirklich
von diesem verwendet wird, werde nicht
kontrolliert.
Die FAZ weist am 28. August darauf hin,
dass am 1. September ein neues Außenwirtschaftsgesetz in Kraft tritt, das
überwiegend an bewährten Strukturen der
Exportkontrolle festhalte. Neu eingeführt
werde die Möglichkeit der Selbstanzeige. Sie
sei aber auf bestimmte Verstöße beschränkt
und aufgrund zum Teil fehlender Präzision
im Gesetz mit gewissen Unwägbarkeiten
verbunden. Selbst angezeigt werden könnten etwa formale Verstöße gegen Melde-,
Informations- und Unterrichtungspflichten
und gegen die Genehmigungspflicht für die
Verbringung sogenannter „Dual use“-Güter
innerhalb der EU. Nicht zur Selbstanzeige
gebracht werden könnten dagegen Verstöße gegen Embargo- und Genehmigungsvorschriften, auch nicht bei Fahrlässigkeit.
Dem Gesetz lasse sich nicht entnehmen, ob
durch eine erfolgreiche Selbstanzeige auch
eine Unternehmensgeldbuße wegen einer
Aufsichtspflichtverletzung nach dem OWiG
verhindert wird.
Erpressung
Spiegel Online meldet am 31. Januar, die
Staatsanwaltschaft Frankfurt ermittle gegen
einen Mann, der einen leitenden Angestellten der Deutschen Bank erpresst haben
soll. Der Bankmitarbeiter soll unter einem
Vorwand in ein Frankfurter Café gerufen
und dort von dem Mann aufgefordert worden sein, ihm eine Festanstellung zu geben.
Andernfalls wolle er die Doktorarbeit des
Managers im Internet veröffentlichen. Der
mutmaßliche Erpresser habe angegeben,
als Administrator von VroniPlag zu arbeiten.
Auf VroniPlag dokumentierten Aktivisten,
welche verdächtigen Stellen sie in Doktor-
arbeiten und Habilitationsschriften gefunden haben.
Die Wirtschaftswoche meldet am 15. März,
dass der österreichische Getränkehersteller Red Bull durch Unbekannte erpresst
wird, die damit drohen, den Energy Drink
mit Fäkalien zu verunreinigen, sollte der
Konzern nicht zahlen. Die Erpresser hätten
betroffene Geschäfte genannt, in denen
es verseuchte Energy Drinks gäbe. Dort
genommene Proben hätten dies aber nicht
bestätigt. Red Bull zufolge sind die Strafverfolger den Tätern auf der Spur.
Evakuierung
Die Fachzeitschrift W&S befasst sich in der
Ausgabe 2-2013 mit der virtuellen Realität
und Simulationen bei Evakuierungsszenarien (S. 28–30). In der Planungsphase würden
Risikoanalysen durchgeführt, die mit bestimmten vorgegebenen Ereignissen Szenarien durchspielen. In Äquivalenzanalysen
werde untersucht, wie sich ein in Bezug auf
den Brandschutz regelkonformes Konzept zu
einem von diesen Normen abweichendem
verhält. Um die Planer und Konstrukteure
von Kreuzfahrtschiffen zu unterstützen,
setze das Fraunhofer-Institut für Graphische
Datenverarbeitung IGD Konstruktionsdaten in
ein virtuelles 3-D-Modell um. Berechnungen
in Echtzeit, also das aktive Beeinflussen von
Faktoren während des Simulationsablaufs,
lasse die komplexe Datenlage noch nicht zu,
aber langfristig sei denkbar, dass die Simulationen auch solche komplexen Vorgänge
abbilden können. Dazu gehörten z. B. die
Rauchentwicklung oder aktive Löschmaßnahmen, die Einfluss auf das Verhalten bei der
Evakuierung nehmen. Die Fülle von Faktoren
und Parametern, die sich aus dem Verhalten
von Probanden während einer simulierten
Evakuierung ergeben, in verlässliche und
nutzbringende Daten umzusetzen, sei
schwierig. Denn wenn der Computer aus dem
aktuellen Verhalten mehrere Szenarien entwirft, die alle unterschiedlich etwa hinsichtlich
der Dauer sind, sei der Erkenntnisgewinn für
die Verantwortlichen, die im Ernstfall zügig
entscheiden müssen, eher gering.
In derselben Ausgabe behandeln Georg
Tschacher, B.Sc., und Dipl.-Ing. Dirk Grüttjen,
Bureau Veritas, allgemeine sowie für definierte Szenarien festgelegte Handlungsanweisungen. Diese beinhalteten beispielsweise
Checklisten wie die innerbetriebliche Notrufabfrage und Alarmierungslisten für verschiedene Funktionsträger. Mindestbestandteile des
statischen Teils seien die Gefährdungsanalyse
sowie ein Räumungskonzept, neben allgemeinen Anforderungen des vorbeugenden
und betrieblichen Brandschutzes. Veranstaltungs- oder ereignisbezogene Besonderheiten ergänzten das Sicherheitskonzept im
dynamischen Teil (S. 32/33).
Branddirektor Dipl.-Phys. Georg Spangardt,
Kölner Feuerwehr, greift in der Ausgabe 2-2013 von s+s report Probleme der
Gebäuderäumung im Hinblick auf Barrierefreiheit auf (S. 47–53). Bei allen Objekten
zur Nutzung durch Menschen mit Behinderung sei Rettungswegoptimierung das Ziel.
63
64
Räumungsplanungen für öffentliche Gebäude
müssten die Rettung von Menschen mit
Behinderung zwingend berücksichtigen.
Dabei sei jede Konzeption bei der Umsetzung
im Ernstfall nur so gut, wie sie den Betroffenen bekannt ist und im besten Fall auch in
realitätsnahen Räumungsübungen mit ihnen
trainiert wurde. Der Autor behandelt den
rechtlichen Rahmen, die Räumung Krankenhäusern, von Büro- und Geschäftshäusern,
von Justizgebäuden und die Nutzung von
Aufzügen.
Das Sicherheitsforum behandelt in der
Ausgabe 4-2013 (S. 40/41) Probleme der
Evakuierung. Bei der Festlegung des Evakuierungsablaufs stellten folgende Umstände
spezielle Herausforderungen dar: Tag/
Nacht/Wochenende, Gefährdungsart, Verteilung der Personen im Gebäude, verschiedene
Personengruppen und Fluchtwegsituationen.
Bei der Planung würden folgende Punkte
oft vergessen: Eine Meldestelle definieren;
Schnittstellen zu Interventionskräften und
zum Krisenstab klären; Informationspflicht
gegenüber der Geschäftsleitung beachten;
Deeskalation.
René Tepaß, Novar GmbH, befasst sich in
der Fachzeitschrift WiK (Ausgabe 3-2013,
S. 61/62) mit der Sicherheitsbeleuchtung
zur Unterstützung von Evakuierungsmaßnahmen. Angesichts immer komplexerer Gebäudestrukturen forderten die Feuerwehren
verstärkt die passive Evakuierung, also alle
Maßnahmen, zu denen die Feuerwehr nicht
beitragen muss und die der Idealvorstellung
gerecht werden, dass das Gebäude beim
Eintreffen der Feuerwehr bereits geräumt ist.
Nach Baurecht bildeten die Bauordnungen,
Verordnungen und Richtlinien der Bundesländer die rechtliche Basis für eine Sicherheitsbeleuchtung. Nach Arbeitsschutzrecht seien
es die Arbeitsstätten-Verordnungen und die
Arbeitsstätten-Regeln.
Explosionsschutz
Die Fachzeitschrift PROTECTOR befasst
sich in der Ausgabe 1-2/2013 (S. 20/21) mit
wirkungsvollen Alarmsignalen in explosionsgeschützten und -gefährdeten Bereichen. Es gebe verschiedene Möglichkeiten,
um Notfallsituationen optisch anzuzeigen.
Die neueste Version von optischen Alarmgebern seien LED-Leuchten. Durch Einsatz
von High Power-LEDs kämen sie nahezu
an die Leuchtkraft der Xenon-Blitzleuchten
heran. Bei akustischen Alarmgebern sei
die richtige Tonwahl ein wichtiger Faktor.
Dauertöne vermischten sich schnell mit
den Hintergrundgeräuschen und erlangten
somit eine zu geringe Aufmerksamkeit.
Besser seien wechselnde Tonfolgen wie
der DIN-Ton und ein internationaler PFEERTon, der jede Sekunde zwischen 1.200 und
500 Hertz wechselt und auch auf größere
Distanzen wahrgenommen werde. Um
einen wirkungsvollen Alarm zu erzeugen,
sollte der Signalpegel fünf Dezibel über dem
Umgebungsgeräusch liegen. Bei großen
Industrieanlagen sei oft eine Warnung über
das Industriegelände hinaus in angrenzende
Wohngebiete, Parkplätze und Lagereinrichtungen erforderlich. Hier spreche man von
Sirenen, die Eigenschaften wie Batteriepufferung und verschiedene Auslösemethoden
haben sollten.
In derselben Ausgabe der Zeitschrift wird die
Nutzung von Überwachungskameras für
explosionsgefährdete Bereiche behandelt
(S. 26/27). Auch bei Arbeitsabläufen unter
schwierigen Bedingungen könnten Kameras die Sicherheit der Bediener erhöhen.
Hilfreich seien dabei Videoüberwachungsanlagen, deren Videosignale sich benutzerfreundlich auch in Prozessbilder einbinden
und an unterschiedlichen Bedienplätzen
anzeigen und bedienen lassen. Grundsätzlich sei man, um Kamerasignale in ein
Leitsystem zu integrieren, auf projektspezi-
fische Implementierungen durch Programmierer angewiesen. Grundbausteine einer
CCTV-Anlage auch für explosionsgefährdete
Bereiche seien Kameras, die beispielsweise
nach Atex oder IECEx zertifiziert sind und in
Ex-Bereichen wie Zone 1 oder 21 verwendet werden dürfen.
Die Anlagenüberwachung mit Wärmebildkameras in explosionsgefährdeten Umgebungen thematisiert Tobias Kröger, Automation Technology GmbH, in der Ausgabe
5-2013 der Fachzeitschrift GIT (S. 88/89).
Sie bildeten großflächig die Temperaturentwicklungen ihrer Umgebung ab und eigneten sich dadurch hervorragend zur Brandfrüherkennung und Zustandsüberwachung.
Durch die Einführung von EX-Schutzgehäusen mit druckfester Kapselung sei es möglich, temperaturmessende Infrarotkameras in
explosionsgefährdeten Umgebungen nach
aktuellen Ex-Schutznormen zu installieren.
Eine Möglichkeit, Schutz vor Sprengstoffanschlägen auch bei Bestandsgebäuden
zu erreichen, ist der Einsatz von sprengwirkungshemmenden Sicherheitsfolien.
Darauf weist der Sicherheitsberater am 1.
Oktober (S. 300/301) hin. Ungeschütztes
Einfach- und Isolierglas erreiche durch die
Beschichtung mit PROFILON ER1 folgende
Widerstandsklassen: 1. Sprengwirkungshemmung Klasse ER1 nach DIN EN 13541
(NS). 2. Durchwurfhemmung Klasse A1
nach DIN 52290 (alt) bzw. Klasse P2A nach
EN 356 (neu). Die Sicherheitsfolie sei im
Druckstoßrohr getestet und nach Aussage
des Herstellers Haverkamp die weltweit einzige Folie, deren sprengwirkungshemmende
Eigenschaften in diesem Härtetest nach DIN
EN 13541 bestätigt wurde.
Extremismus
Mit der Frage, ob Extremismus bei Mitarbeitern erlaubt ist, befasst sich in der Fachzeitschrift WiK (Ausgabe 6-2012, S. 57-59)
Rechtsanwältin Melanie Kleiné, LL.M. In den
Medien bekannt gewordene Fälle zeigten die
arbeitsrechtlichen Schwierigkeiten, mit denen
Arbeitgeber kämpfen müssten, wenn sie bei
extremistischen Aktivitäten ihrer Mitarbeiter
einschreiten möchten. Es lohne sich, den
Bewerber bereits vor der Einstellung genau
unter die Lupe zu nehmen. Extremistische
Aktivitäten seiner Mitarbeiter, die Auswirkungen auf das Arbeitsverhältnis haben, müsse
der Arbeitgeber nicht hinnehmen. Hier stehe
ihm der gesamte arbeitsrechtliche Maßnahmenkatalog zur Verfügung.
Gewaltorientierte Linksextremisten haben in
Berlin im Rahmen ihrer traditionellen MaiVeranstaltungen auch 2013 unter anderem
Einrichtungen von Wirtschaftsunternehmen
(Berliner S-Bahn, Geldinstitute, Drogerien)
angegriffen, meldet die ASW am 18. Juni.
Im Fokus stünden vor allem Wirtschafts-
unternehmen, die von ihnen aufgrund ihrer
geschäftlichen Aktivitäten als repräsentativer
Teil des kapitalistischen Systems für angebliche soziale und politische Missstände
mitverantwortlich gemacht werden, deren
„ausschließlich profitorientierte Ausrichtung“
zugleich der Sicherung des politischen Einflusses in der Gesellschaft diene.
Das Bundesamt für Verfassungsschutz geht
in seinem Newsletter am 16. Juli auf neue
Tendenzen in der Entwicklung des Extremismus ein. Es beobachte eine Steigerung
des Militanzpotenzials bei gleichzeitigem
Rückgang des Gesamtpotenzials. Das Internet werde zum Katalysator neuer Strukturen
im Extremismus. Radikalisierung finde heute
auch im Internet statt. Zu erkennen seien
Wechselwirkungen zwischen Extremismusphänomenen, zwischen legalistischen und
militanten, zwischen virtuellen und realen
Formen sowie durch das Kopieren von Handlungsstrategien. Die Gewichte im Rechtsextremismus hätten sich im letzten Jahrzehnt
65
66
eindeutig zugunsten des militanten Teils und
hin zu subkulturellen Rechtsextremisten und
Neonazis verschoben. Revolutionäre Linke
(RL) und Revolutionäre Aktionszellen (RZ),
deren Mitglieder für mehrere Brandanschläge
verantwortlich gemacht werden, verfolgten eine Strategie des Zusammenwirkens
unterschiedlicher Aktionsformen bis hin zur
bewaffneten Ebene. In der „jihadistischen“
Szene bildeten sich auch in Deutschland im
letzten Jahrzehnt immer stärker „Täterpersönlichkeiten“ heraus, die jahrelang „mitten unter
uns“ gelebt haben, wenn überhaupt nur sehr
lose mit bekannten Terrornetzwerken verbun-
den sind und sich häufig schnell radikalisieren. Für diesen „individuellen Jihad“ spiele
das Internet eine ganz überragende Rolle. Im
Internet-Magazin „Inspire“.werde eine „Strategie der tausend Schritte“ entwickelt. In der
Ausgabe vom März 2013 würden Aktionen
in Form von „Tausend kleinen Nadelstichen“
angeregt, um mit möglichst geringen Mitteln
großen wirtschaftlichen Schaden anzurichten, auch durch „low level“-Terror, etwa das
Anzünden von Autos. In der Ausgabe vom
31. Mai preise das Magazin die Terrorakte von
Boston, London und Paris als Demonstration
der Effektivität des „individuellen Jihad“.
Fahndung
Das Bundeskriminalamt gab bekannt, dass
am 9. April das Schengener Informationssystem der zweiten Generation, kurz SIS II
genannt, seinen Wirkbetrieb aufgenommen
hat. Es besteht aus einer Zentraleinheit am
Standort Straßburg und den Schnittstellen
zu den nationalen Servern der 28 Mitgliedstaaten zur Eingabe und zum Abruf der
Daten für den polizeilichen Endanwender in
ganz Europa. Die entscheidende Neuerung
bei der Personenfahndung ist, dass in dem
System künftig auch biometrische Daten wie
Lichtbilder oder Fingerabdrücke abgespeichert werden können. Eine weitere Erleichterung bei der Polizeiarbeit: Künftig wird
eine Verknüpfung von Fahndungen möglich
sein. So kann etwa nach einem Banküberfall
gleichzeitig nach dem Fluchtfahrzeug und
nach dem Täter gesucht werden. Außerdem
werden bestehende EZU-Haftbefehle im
SIS II als Bilddabei gespeichert. Doch nicht
nur bei der Personenfahndung, sondern
auch bei der weit umfassenderen Sachfahndung wird das elektronische System deutlich
erweitert. So kann künftig auch nach
industrieller Ausrüstung, Kennzeichentafeln,
Containern, Zulassungsscheinen, Wertpapieren und Zahlungsmittel, aber auch nach
Flugzeugen und Schiffen grenzübergreifend
gesucht werden. Derzeit werden insgesamt
rund 47 Millionen Datensätze im SIS II
gespeichert, 1,2 Millionen Daten zur Personenfahndung und 45,7 Millionen Daten zur
Sachfahndung. Es wird erwartet, dass sich
die Datenmenge aufgrund der neuen Ausschreibungskategorien auf etwa 70 Millionen
erhöht. Eintragungsgründe sind
-Einreiseverweigerung für Personen, die
nicht das Recht haben, den SchengenRaum zu betreten bzw. sich dort aufzuhalten
-Aufenthaltsermittlung und Festnahme
von Personen, für die ein Europäischer
Haftbefehl ausgestellt wurde
-Unterstützung bei Personenfahndungen
gemäß den Anforderungen von Strafverfolgungs- und Justizbehörden
- Suchen und Schützen von Vermissten
- A
uffinden gestohlenen oder verloren
gegangenen Eigentums.
Fahrausweisautomatensicherheit
Dipl.-Ing. Paulus Vorderwülbecke, VdS
Schadenverhütung, befasst sich in der Ausgabe 4-2012 der Fachzeitschrift s+s report
(S. 42–44) mit dem wirksamen Schutz von
Fahrausweisautomaten vor Einbruchdiebstahl und Zerstörung durch Verwendung von
Geräten mit VdS-Anerkennung. Sie könne
für vier Klassen (FA 1, FA 2, FA 3 und FA 4)
ausgesprochen werden. Der Autor behandelt
Werkzeuge und die Praxis der Prüfung. Die
der VdS-Anerkennung zugrunde liegenden
Richtlinien VdS 3165 könnten kostenfrei über
VdS Schadenverhütung bezogen werden.
Fahrzeugverriegelung
Die Fachzeitschrift GIT stellt in der JuniAusgabe (S. 58/59) das elektromagnetische
Fahrzeugverriegelungs-System vanloxx von
deister electronic vor, das sich modernster
RFID-Technik bedient. Verlässt der Zusteller
sein Lieferfahrzeug, werde es automatisch
verriegelt, ohne dass er seinen Schlüssel
benutzen müsse. Komme der Fahrer zurück,
hält er einfach einen RFID-Transponder vor
den eingebauten Leser an der Tür, über die er
einsteigen will. Das System entriegele dann
nur die Tür und gebe sie zum Öffnen frei. Bei
der nächsten Adresse, die der Zusteller an-
steuert, brauche er nur einen Knopf am eingebauten Fahrer-Terminal zu drücken, bevor er
aussteigt. Dann entriegele sich zum Beispiel
die Paketklappe am Heck. Weil durch diese
berührungsfreie Technik jedes umständliche
Schlüsselstecken wegfällt, spare man Zeit
im Zustellprozess, so dass man pro Zeiteinheit deutlich mehr Zustellungen ausführen
könne. Das Verriegelungssystem eigne sich
auch zum Schutz von Sicherheitstransporten.
Genauso könnten wertvolle Materialien und
Werkzeuge auf Baustellen- und Handwerkerfahrzeugen gesichert werden.
Falschgeld
Das Bundeslagebild Fachgeldkriminalität 2012 zeigt einen leichten Anstieg der
polizeilich registrierten Falschgelddelikte um
7 % gegenüber 2011 auf 36.600, wobei der
Schwerpunkt in Euro-Banknotenfälschungen
lag. Fast 60.000 falsche Euro-Banknoten
wurden 2012 angehalten, 9 % mehr als
2011. Erstmals wurden mehr 20-Euronoten
(38 %) als 50-Euronoten (34 %) angehalten.
Der Grund dafür liege darin, dass der Handel
umso mehr von Banknotenprüfgeräten Gebrauch mache, je höher der Nennwert einer
Note sei. Infolge eines deutlichen Rückgangs
angehaltener Fälschungen von 200- und
500-Noten sei der Gesamtnennwert angehaltener Euro-Fälschungen 2012 gegenüber
dem Vorjahr von rund 6,5 Millionen Euro auf
ca. 5 Millionen Euro gesunken. Die imitierten
Sicherheitsmerkmale wie Wasserzeichen,
Hologramm und Mikroschrift seien von hoher
Qualität. Da aber nicht alle Sicherheitsmerkmale in gleich guter Qualität nachgeahmt
würden, sei bei aufmerksamer Prüfung die
Mehrzahl der Banknotenfälschungen auch
ohne technische Hilfsmittel zu erkennen. Bei
der EZB seien 2012 insgesamt 601.167
falsche Banknoten.registriert worden, 10 %
weniger als 2011. Ein Drittel aller Falschnoten sei in Frankreich angehalten worden.
Deutschland liege nach Frankreich, Italien und
Spanien an vierter Stelle.
Die Menge des festgestellten Falschgeldes
sei im ersten Halbjahr 2013 auf 19.500
Euro-Banknoten gesunken. Das seien 14 %
weniger als im Vergleichszeitraum 2012,
habe die Bundesbank nach einer Meldung
der FAZ am 20. Juli mitgeteilt. Insgesamt sei
67
68
durch das registrierte Falschgeld im ersten
Halbjahr 2013 ein Schaden von 1,1 Millionen Euro entstanden. Der Rückgang liege
vor allem an einer verstärkten Prävention.
Ein Schwerpunkt liege auf der Schulung von
Kassierern im Einzelhandel und in Hotels und
Gaststätten. Die beliebtesten Blüten seien
weiterhin der 20- und der 50-Euroschein mit
jeweils 40 % Anteil. Der Anteil an falschen
100-Euroscheinen betrage 13 %.
Wie die ASW am 27. September mitteilt, hat
das LKA Schleswig-Holstein seit Juni 2013
ein plötzliches und konzentriertes Anhalten
von Falsifikaten in Form von 10-, 20- und
50-Eurobanknoten, überwiegend im Raum
Kiel, registriert. Nach einem vorübergehenden
Rückgang seien die Fallzahlen seit August
2013 wieder angestiegen. Es handele sich
um professionelle, vermutlich in italienischen
Fälscherwerkstätten hergestellte, Druckfälschungen. Die gefälschten 50 Euro-Banknoten seien mit einem mangelhaft aufgedruckten Wasserzeichen versehen, das unabhängig
vom Lichteinfall immer werde sichtbar, wenn
die Note gegen das Licht gehalten wird. Helle
und dunkle Stellen gingen sanft ineinander
über. Werde die Note auf eine dunkle Oberfläche gelegt, würden die hellen Stellen dunkel.
Dieses Echtheitsmerkmal fehle der falschen
50 Euro-Banknote. Auch den Farbwechsel
der auf der rechten unteren Rückseite der
Banknote aufgebrachten Ziffer „50“ könnten
die Fälscher nicht täuschend sicher nachempfinden. Beim Kippen der echten 50 EuroBanknote wechsele die Farbe von purpurrot
zu olivgrün/braun.
Feuerwehrausrüstung
Protector weist in der Ausgabe 7-8/2013
(S. 52) auf 3D- und Wärmebilder als Orientierungshilfe für die Feuerwehr hin. Das
EU-Projekt Protifex sehe 3D-Kameras vor, die
die eventuell von Rauchschwaden verhüllte
Umgebung des Einsatzbereichs erfasse und
ein virtuelles dreidimensionales Abbild des
Gebäudes an die Einsatzleitung weiterleite.
Eine Wärmebildkamera erkenne Gefahren
und blende auf einem durchsichtigen Display
den Feuerwehrleuten wichtige Informationen direkt ins Gesichtsfeld ein. Eine weitere
Verbesserung sollten Infrarot-Laserstrahlen
bringen. Sie würden selbst den dichtesten
Rauch durchdringen.
Fluchtwegsicherung
In einer Verlagsbeilage vom Januar 2013 der
Fachzeitschrift WiK werden zwei Komplettsysteme zur Absicherung von Fluchttüren vorgestellt: EVT (elektrisch verriegelte
Touch Bar) und EVP (elektrisch verriegeltes
Panikschloss). Beide erfüllten die Richtlinie
EltVTR. Das EVT-Paket bestehe aus den
Komponenten Touchbar, Panikschloss und
Fluchttürterminal Set zum Öffnen der Tür.
Im Unterschied zur EVT-Lösung besetze die
EVP-Lösung keine Touchbar, sondern ein
elektrisch verriegeltes Panikschlosssystem.
(S. 14/15)
In einem im August von Protector veröffentlichten Brandschutz Special befasst sich
Gerhard Gutmann, Assa Abloy Sicherheitstechnik GmbH, mit dem Nachrüsten von
Feuerschutz- und Fluchttüren (S. 12–15).
Dabei seien EU-weit geltende Normen einzuhalten und unterschiedliche Produktanforderungen zu beachten. Um auch nachträglich
eine Lösung zur Vermeidung missbräuchlicher Fluchttür-Benutzung zu finden, könnten
Gebäudebetreiber auf drei Kategorien setzen:
Warnhinweise, Überwachung und Absicherung. Bei einer Nutzungsänderung von Türen
müsse die Planung erneut überprüft und mit
der zuständigen Bauaufsicht abgestimmt
werden. Normativ sei bei Panikverschlüssen
die DIN EN 1125, bei Notausgängen die
DIN EN 179 und bei elektrisch gesteuerten Lösungen die zukünftige neue DIN EN
13637 zu berücksichtigen. Für die klassische
Nachrüstung von Feuerschutz- und Fluchttüren ohne signifikante Veränderung des
Türelements stünden vermehrt innovative
Lösungen zur Verfügung, beispielsweise
zur Absicherung von Rettungswegen der
Sicherheitstürschließen von Assa Abloy, der
weltweit erste Sicherheitstürschließer mit
integrierter Rettungswegverriegelung. In
demselben Heft behandelt Joachim Meisehen, Novar GmbH, die Fluchtweglenkung mit
Sprachalarmierung und Signalleuchten
(S. 16–19). Die Sicherheitsbeleuchtung für
Rettungswege sei netzunabhängig, werde
unmittelbar nach Ausfall der Netzspannung
wirksam und trage wesentlich zur Evakuierung in einem Gefahrenfall bei.Aufgelistet
werden Normen mit allgemeinen und elektrotechnischen Forderungen, mit lichttechnischen Forderungen und Produktnormen.
Flughafensicherheit
Für umfassende Sicherheitslösungen für
Flughafen plädiert Steve Batt, Siemens
Building Technologies, in der Januarausgabe
der Fachzeitschrift GIT (S. 42/43). Flughafensicherheit beginne beim Perimeterschutz. Dessen Unzulänglichkeiten könnten
überwunden werden, indem man physische
Maßnahmen mit intelligenten externen Überwachungslösungen wie Wärmebildkameras
für die Weitbereichsüberwachung, modernen
Präsenz- oder Bewegungssensoren sowie
Radar-Tracking kombiniert. Zu weiteren
wichtigen Innovationen in der Perimeterüberwachung zähle die Live-Erfassung und
Nachverfolgung von Objekten – Fahrzeugen
wie Personen – auf dem Flughafenvorfeld
sowie im Bereich von Start- und Landebahnen und auf dem Rollfeld. Eine der aktuellen
Weiterentwicklungen seien bildgestützte
Videoanalyseverfahren, bei denen die Kamerabilder fortlaufend überwacht werden. So
sei es möglich, dynamische und regelbasierte
Zonen einzurichten, in denen sich sämtliche
Aktivitäten automatisch auswerten lassen, so
dass bei Bedarf sofort die definierten Eskalationsprozesse eingeleitet werden können.
Protector befasst sich in der Ausgabe 102013 in einer Reihe von Beiträgen mit der
Flughafensicherheit: Die verschiedenen
Gefahrenquellen erforderten ganzheitliche
Sicherheitskonzepte. Dabei habe jeder Be-
reich seine ganz speziellen Anforderungen.
Außenbereiche erforderten die Absicherung
mithilfe von Sicherheitszäunen, am besten
mit Übersteigschutz und Freigeländeüberwachungssystemen. Durchfahrts- oder Durchgangssperren wie hydraulische oder starre
Poller, Wege Barriers, aber auch Schrankenanlagen, Schnellfalttore und Schiebetore
komplettierten die Konzepte. (S. 28/29) In
einem anderen Beitrag wird der Brandschutz
für einen neuen Flugsteig mit sieben Gates
für Großraumjets auf dem Frankfurter Flughafen behandelt (S. 36/37). Der Flugsteig
A-Plus sei in Abschnitte unterteilt worden, die
im Brandfall durch 21 automatisch schließende Schiebetore getrennt werden. Angesteuert würden die Tore durch 129 optische
Rauchschalter. Wo Fluchtwege durch die Tore
führen, seien diese mit Fluchttüren versehen.
Stefan Schaffner, Vero Certus GmbH,
konzentriert sich in der Fachzeitschrift GIT,
Ausgabe 12-2013 (S. 28/29) auf die interne
Flughafensicherheit. Eine der wesentlichen
Kernaufgaben eines Sicherheitsmanagers im
Flughafenbereich sei es, sowohl die aktuellen
Sicherheitsbestimmungen mit den betrieblichen Erfordernissen tagesaktuell abzugleichen, als auch neu auftretende Lücken
im Sicherheitsnetz zu schließen. Um die
Vergabe und das Lifecycle Management von
Zutrittsberechtigungen in dem heterogenen
69
70
Umfeld eines Flughafens sicher abdecken
zu können, würden die Experten von Vero
Certus die Nutzung übergeordneter Physical
Identity & Access Management.Systeme
oder die Integration der ZuKo über Middleware-Lösungen.empfehlen. Um die Einhaltung der Vorgaben auch im Live-Betrieb
stets im Blick zu halten, biete sich zudem
der zielgerichtete Einsatz von übergreifenden Sicherheitsmanagement Lösungen
der Gattung Physical Security Information
Management an, die eine zielgerichtete
Videoüberwachung mit einem Incident
Management.im zentralen Sicherheitsleitstand vereinen.
Freigeländeüberwachung
In der Fachzeitschrift WiK (Ausgabe
6-2012, S. 60–62) wird ein Dienstleistungspaket „Videowache“ vorgestellt, eine
Kombination aus Sensoren, Videoüberwachungskameras, Alarmvorprüfung in der
Leitstelle und personeller Intervention. Ziel
sei es dabei, so viel Intelligenz wie möglich
im Objekt anzusiedeln, um die Leitstelle so
weit als möglich von unnötigen Alarmierungen zu entlasten. Nahezu 100 % der
Alarme, die von der Leitstelle an die Polizei
weitergeleitet werden, seien begründet.
Kernbestandteile der Technik des Pakets
„Videowache“ seien funkgestützte Langstrecken-Infrarotbewegungsmelder, möglichst
hochauflösende IP-Videokameras, ein Bildübertragungssystem für zehn Kameras mit
lokalem Speicher und Videoanalysesoftware sowie eine flexibel programmierbare
Gefahrenmeldezentrale.
In derselben Ausgabe werden neue
Technologien bei der Zaunüberwachung
präsentiert. Der VibraTek3G-Sensor, der auf
der Security-Messe 2012 mit dem ersten
Preis des Product Innovation Award ausgezeichnet wurde, arbeite als ein linearer
Induktionsgenerator, in dem präzisionsgefertigte konzentrische Leiter innerhalb des
Sensorkabels so angeordnet sind, dass sie
in einem von flexiblen Keramikmagnetprofilen erzeugten statischen Magnetfeld
vibrieren. Von Eindringlingen verursachte
mechanische Vibrationen würden durch
direkten Kontakt zwischen dem Sensor und
der geschützten Konstruktion in den Sensor
eingekoppelt. Ein völlig anderes Konzept
werde mit dem Perimeter Locator verfolgt.
Die Zaunüberwachung werde hier durch
drahtlos arbeitende RFID-Tags mit integriertem Beschleunigungssensor realisiert.
Ein spezieller Auswertealgorithmus könne
aufgrund der Charakteristik beim Auslösen
der Tags unterscheiden, ob ein Intrusionsversuch oder eine Umweltstörung vorliegt.
(S. 62/63).
Gasdetektion
Für die reine Ortung von Gaslecks seien Infrarotkameras sinnvoll, schreibt der
Sicherheits-Berater in seiner Ausgabe
9-2013 (S. 140/141). Mit ihr werde die Anlage gefilmt wie mit einem handelsüblichen
Camcorder, deshalb könne ein gewisser Sicherheitsabstand zu dem möglichen Gasleck
eingehalten werden. Für das menschliche
Auge nicht sichtbare Gaslecks erschienen als
„Rauch“ im Sucher der Kamera oder auf dem
LC-Display. Der Anwender erkenne sofort,
wo ein Sicherverlust auftritt. Gezeigt werde
ein komplettes Infrarotbild des überwachten
Bereichs. Das Bild werde in Echtzeit dargestellt und könne als Filmsequenz in der
Kamera gespeichert werden.
Gebäudesicherheit
Rainer Hannich, Sicherheitsberater, behandelt
in der.Fachzeitschrift SICHERHEITSFORUM
(Ausgabe 5-2013, S. 117–122) Risiken und
Methoden der Gebäudesicherheit, insbesondere das erforderliche Sicherheitskonzept, das
Krisenmanagementsystem, mechanische Sicherungen, Beleuchtung, EMA, Videoüberwachung, Zugangskontrolle, Mitarbeitereingänge,
Kunden- und Besuchereingänge, Empfang
und Brandschutz. Die Gebäudesicherheit
stelle eine umfassende Herausforderung dar,
die nicht nur grundsätzlicher, sondern permanenter Betreuung bedarf. Wichtig sei, dass die
grundsätzlichen Rahmenbedingungen vorhanden sind. Die Verantwortlichen müssten sich
laufend mit Neuerungen auseinandersetzen
und den internen, aber auch den externen
Kontakt pflegen.
SecuPedia weist in einem Newsletter darauf hin, dass die Firma Telenot eine PlanBroschürenreihe entwickelt, die anhand von
Referenzobjekten die Planung und Realisierung maßgeschneiderter Sicherheitskonzepte
für Gebäude zeige. Die Reihe umfasse bisher
Sicherheitslösungen für eine Steuerkanzlei,
ein Modehaus, ein Industrieunternehmen, eine
Arztpraxis sowie ein Einfamilienhaus, kostenlos zu bestellen unter www.telenot.de/mobile/
Plan.htmi.
Architektur und Sicherheit bildet den
Schwerpunkt der Ausgabe des Sicherheitsberaters vom 1. Oktober (S. 282–295). Bewusste und frühzeitige Planung von Sicherheit
bringe dem Immobilienmanagement nur
Vorteile. Durch intelligente Architektur könne
man Flucht- und Rettungsversuche problemlos so planen, dass diese nicht in eine
Nutzungseinheit hineinführen, sondern nur
in allgemein zugängliche Bereiche. Werde
das Gewerk „Sicherheit“ schon früh in einem
Projekt berücksichtigt, so sei es möglich, die
typischen Schutzzonen konzeptionell so umzusetzen, dass diese sich zum einen architektonisch in das Gesamtbauwerk integrieren und
zum anderen von den Nutzern nicht als den
Betriebsablauf störend empfunden werden.
In einem guten Sicherheitskonzept lasse sich
auch eine spätere, anders gelagerte Nutzung
des Gebäudes berücksichtigen. Auch im technischen Brandschutz fänden sich Möglichkeiten, die vorgeschriebene Technik der Branddetektion unauffällig in die Innenarchitektur zu
integrieren.
In einer Verlagsbeilage Januar 2013 der Fachzeitschrift WiK äußern sich Sebastian Rohr,
accessec GmbH, und Roland Feil, Dallmeier
electronic GmbH & Co.KG, zur Konvergenz
von Gebäudesicherheitssystemen in der
Finanzwirtschaft. Viele Banken und Sparkassen verfügten bereits über mehr oder weniger
aktuelle Zeiterfassungssysteme, mechatronische oder vollelektronische Schließanlagen,
Zutrittskontrollsysteme sowie Videoüberwachung. Bisher seien jedoch alle Systeme und
Komponenten einzeln betrachtet und wenig
bis gar nicht aufeinander abgestimmt worden.
Durch Konvergenz werde ein ganzheitlicher
Ansatz verfolgt, der die unverbundenen Einzellösungen integriere. Dadurch ließen sich die
Kosten für zusätzliche Infrastrukturen spürbar
reduzieren. Allem voran erfordere eine ganzheitliche Konvergenzbetrachtung die gemeinsame Planung, Implementierung und Nutzung
grundverschiedener Technologien. Schaffe es
die Kreditwirtschaft, jene in Einklang zu bringen, dann erreiche sie ein deutlich gesteigertes
Sicherheitsniveau. (S. 4/5)
Ministerialrat Wolfgang Suhrbier behandelt
in Ausgabe 5-2013 von Security insight
(S. 38–40) die Sicherheit im Justiz- und
Maßregelvollzug der Sicherungsverwahrung. Immer mehr Bundesländer hätten
auf Wachtürme verzichtet und sie durch
71
72
technische Einrichtungen ersetzt. Die Zahl
der Ausbrüche sei seit Jahrzehnten dank
der sicherheitstechnischen Aufrüstung
auf ein Minimum gesunken. Die Vorgaben des Bundesverfassungsgerichts zum
Maßregelvollzug könne der Vollzug unter
Berücksichtigung der Sicherheitsbelange
nur durch ausgewogene Sicherheitstechnik
und höheren Personaleinsatz erfüllen. Zur
Technik zählten insbesondere Kommunikationsanlagen mit Notruffunktion und
Ortung, Überwachungsanlagen, Alarmmanagementsysteme, die den schnellen
Einsatz weiterer Mitarbeiter im Krisenfall
ermöglichen, sowie bezahlbare Systeme zur
Verhinderung unerlaubter Kontaktaufnahme
der Inhaftierten zur Außenwelt. In derselben
Ausgabe beschreibt Jens Aperdannier, Tyco
Fire & Security Holding Germany GmbH,
ein hochverfügbares System integrierter
Sicherheits- und Kommunikationstechnik
in Justizvollzugsanstalten (S. 42/43). Ein
effizientes Zusammenspiel der einzelnen
integrierten Schwachstrom-Gewerke und
-Technologien sei hierzu zwingend – von Telekommunikations-, Intercom- und Sprachalarmierungsanlagen, Sicherheitstechnik wie
Zutrittskontrolle und Videoüberwachung,
Zellenruf- und Personenschutzanlagen über
sichere Daten- und Kommunikationsnetzwerke sowie Gebäude- und Sicherheits-Managementsysteme bis hin zur übergreifenden Leitstelle. Erst im intelligenten Verbund
via offene Plattformen gewährleisteten die
Einzelgewerke die durchgängige und flexible
Kommunikation und die effiziente Steuerung
von Prozessabläufen.
Gefahrenmanagement
In der Ausgabe 1-2/2013 der Fachzeitschrift PROTECTOR weist Dipl.-Ing. Joachim
Meisehen, Novar GmbH, darauf hin, dass
auch im Bereich der Sicherheitstechnik
die Datenflut ohne Filterung nicht mehr zu
bewältigen sei. Um alle Anforderungen zu
erfüllen, die an ein modernes Gefahrenmanagement gestellt werden, sei ein geeignetes
Softwaredesign erforderlich. Dazu zählten
unterschiedliche Schnittstellen zur Datenerfassung, individuelle Datenaufbereitung,
Modularität, Automatisierungsfunktionen und
verschiedenste Ausgabekanäle zur Verteilung
der Informationen. Eine der zentralen Aufgaben im Gefahrenmanagement sei es, die
beim Auftreten von bestimmten Ereignissen
relevanten Informationen über eine Gefah-
rensituation bereitzustellen. Wenn solche
Systeme neben den Möglichkeiten des Gefahrenmanagements auch noch die tägliche
Arbeit unterstützen können, seien Mehrwerte
evident. So könnten wiederkehrende Vorgänge, die mit angeschlossenen Gewerken
durchgeführt werden müssen, teil- oder sogar
vollautomatisch abgewickelt werden. Um bei
steigender Informationsflut den Überblick zu
behalten, seien Funktionen, die eine Überführungsmöglichkeit von Protokolldaten oder
Meldepunktinformationen in exportierbare,
übersichtliche Tabellen bieten, von großem
Vorteil, besonders, wenn sie anschließend
mit benutzerbezogenen Filtern die für den
jeweiligen Nutzer relevanten Informationen
selektiv anzeigen.
Gefahrenmeldetechnik
In seiner Ausgabe Nr. 4 vom 15. Februar
behandelt der Sicherheits-Berater die Gefahrenmeldetechnik in grundlegender und leicht
verständlicher Weise (S. 42–61). Zumindest
für die traditionelle Gefahrenmelde-Branche
müsse man sagen, dass die meisten Neuerungen eher der Kategorie Evolution statt
Revolution zuzuordnen sind. Trotzdem gebe
es bemerkenswerte Entwicklungen, zum
Beispiel bei der Funkübertragung. Hier
habe sich in den letzten Jahren eine Fülle von
Lösungen etabliert. Funklösungen könnten
mittlerweile problemlos in die Systemlandschaften der großen Hersteller integriert
werden. Im Normenbereich gelte für Brandmeldeanlagen aktuell die VDE 0833-2 und
die darauf aufbauende VdS 2095. Wichtige
Änderung zur Vorgängernorm sei das Einführen des Begriffs „Zweimeldungsabhängigkeit“. Im Bereich der Einbruch- und Überfallmeldetechnik dominiere nach wie vor die VdS
2311, jedoch gewinne hier die VDE 0833-3
immer mehr an Bedeutung, obwohl deren
Detaillierungsgrad lange nicht an die VdSRichtlinie heranreiche. Leider fänden weder
videogestützte Bildanalysen noch innovative
Sensoriken zur Freifeldüberwachung in den
Regelwerken Berücksichtigung. Der Sicherheits-Berater befasst sich in systematischer
Gliederung mit
-der Detektion von Verbrennungsprodukten (stoffliche wie Rauchpartikel, Aerosole
oder Asche und energetische wie Wärme,
Licht oder Strömung)
-der Detektion in Zu- und Abluftkanälen
(Ansaugrauchmelder und LüftungskanalMelder mit externer Probekammer)
-den klassisschen Verfahren zur Einbruchdetektion (Melder der Fassadenüberwachung (Öffnungsverschluss- und
Durchbruchüberwachung); Melder der
Volumenüberwachung (Infrarot-Bewegungsmelder, Ultraschallmelder und
Mikrowellenmelder wie PIR- und Ultraschall oder PIR- und Mikrowellenmelder);
Sondermelder zur Überwachung einzelner
Objekte innerhalb des Sicherungsbereichs
(Körperschallmelder, kapazitive Feldänderungsmelder, elektronische und mechanische Melder).
Behandelt werden ferner Aspekte der Scharfschaltung, der Begriff der „Zwangsläufigkeit“ in seiner doppelten Bedeutung gemäß
VdS 2311 (Verhinderung der Scharfschaltung
einer nicht gänzlich funktionsfähigen EMA
und der versehentlichen Alarmauslösung).
Dargestellt werden auch Vor- und Nachteile
verschiedener Arten der Perimeterdetektion
(Laserscanner, Lichtwellenleiterkabel und
Mikrofon-Sensorkabel) sowie Kameras als
Alternative bei der Perimeterdetektion – mit
einem Plädoyer für kameragestützte Detektionssysteme, besonders in der Kombination
von Wärmebildkameras mit Bildanalysesystemen).
Ulrich Sobers, Redaktion WiK, thematisiert in
der Ausgabe 2-2013 (S. 26/27) betriebliche
Alarmsysteme. Als aktuelle Lösung würden
auf dem Markt Software/Hardware-Lösungen
angeboten, mit denen vorhersehbare und
vorher planbare Szenarien computergestützt
abgearbeitet werden können. Schnelligkeit,
Redundanz und ein automatisiertes Monitoring-/Fehlermeldungs- und –bearbeitungssysteme seien deshalb grundlegend.
Idealerweise sollte die Lösung Eskalationsprozeduren beherrschen, unterschiedlichste Kommunikationswege nutzen können
und flexibel, möglichst vom Nutzer, für die
jeweilige Art von Alarmierung konfiguriert
werden können. Basic Feature und in allen
Alarmlösungen gleichermaßen vorhanden, sei
die Alarmierung von Gruppen aufgrund vordefinierter oder vordefinierbarer Szenarien.
Die Übertragung von Störfalldaten an fremde
Server oder in die Cloud könne zum Problem
werden, denn nicht jede Störfallinformation
gehöre in fremde Hände. Marktführer bei
den Alarmierungslösungen, die in der Regel
auch über (einfachere) NotfallmanagementLösungen verfügen, seien in Deutschland
derzeit wohl FACT24, MIR3 und RapidReach.
Am Anfang jeder Anschaffungsüberlegung
sollte nicht der Funktionsumfang eines Programms stehen, sondern, ob der angebotene
Funktionsumfang den eigenen betrieblichen
Erfordernissen auch unter Berücksichtigung
einer prognostizierten Weiterentwicklung für
eine kalkulierte Zeitspanne genügt.
Volker Matthies, Pfannenberg GmbH, erläutert in der Fachzeitschrift PROTECTOR
(Ausgabe 6-2013, S. 42–43) die optische
73
74
Alarmierung gemäß EN 54-23.Der wachsende Bedarf an optischen Signalgebern sei
nicht zuletzt ein Grund dafür, dass in der EU
der technische Standard EN 54-23 (Brandmeldeanlagen – Teil 23: Feueralarmeinrichtungen – Optische Signalgeber) entwickelt
wurde, der grundlegende Anforderungen
an optische Signalgeräte festlegt und damit
auch einen Vergleich von unterschiedlichen
Lichtquellen wie Xenon oder LED zulässt.
Neben separaten Blitzleuchten würden auch
Kombinationsgeräte der neuen Patrol-Serie
angeboten, deren Signalisierungsbereich
genau aufeinander abgestimmt sei.
Sämtliche Neuwagen in der EU sollen von
Herbst 2015 an mit einem automatischen
Notrufsystem („E-Call“) ausgerüstet
sein, meldet die FAZ am 14. Juni. Einen
entsprechenden Gesetzentwurf habe die
EU-Kommission vorgelegt. Mit Hilfe der
derzeit knapp 100 Euro kostenden Geräte, über die gegenwärtig erst 0,7 % aller
neuzugelassenen Fahrzeuge verfügen,
würden bei schweren Unfällen umgehend
die Notrufzentralen unter der in Europa
einheitlichen Nummer 112 benachrichtigt.
Das Europäische Parlament habe sich schon
vor Jahresfrist mit großer Mehrheit für eine
gesetzliche Verpflichtung zum Einbau der
Geräte ausgesprochen.
Wie Michael von Foerster, Bosch-Sicherheitssysteme, in der Ausgabe 5-2013 der Fachzeitschrift WiK (S. 57/58) berichtet, fordert
Euroalarm von der EU-Kommission zusätzliche Aktivitäten zur Erhöhung der Wettbewerbsfähigkeit der europäischen Industrie für
Gefahrenmeldetechnik. Es sollte Aufgabe der
Politik sein, ein unabhängiges Prüfzentrum mit
einem einheitlichen Prüfzeichen zu schaffen.
WiK (Ausgabe 6-2013, S. 60/61) berichtet
über relevante Neuerungen der Richtlinien
VdS 2311, Neuerungen in den Bereichen:
normative Verweisungen, Alarmierung,
Körperschallmelder, Wertbehältnisse sowie
zulässige und unzulässige Normabweichungen.
So wurde für die Alarmierung die Möglichkeit geschaffen, bei wiederholt auftretenden
netzbedingten Ausfällen einer stehenden
IP-Verbindung die Meldung des Ausfalls der
IP-Verbindung über den Ersatzweg für eine
begrenzte Zeit um bis zu 180 Sekunden verzögert an die NSL zu übertragen. Neu sei auch die
Möglichkeit der Realisierung einer bedarfsgesteuerten IP-Verbindung durch eine stehende
IP-Verbindung, die mit 5- bzw. 25-stündlicher
Funktionsüberwachung betrieben wird. Die
Hinweise zum Betrieb von Schlüsseldepots
sowie das zugrundeliegende Merkblatt VdS
5005 mussten aufgrund geänderter rechtlicher
Rahmenbedingungen angepasst werden.
Gefahrstoffe
Dipl.-Ing. Sven Siebers, asecos GmbH, behandelt in der Ausgabe 4-2012 der Fachzeitschrift
s+s report (S. 50–52) die richtige Lagerung
von Gefahrstoffen in Sicherheitsschränken.
Das sei Aufgabe des Sicherheitsbeauftragten
(Einhaltung der maximalen Lagermengen,
Einlagerungsverbote, technische Funktionsfähigkeit der Sicherheitsschränke, Freihaltung
des Schließbereichs). Neben der geeigneten
Ausstattung beuge vor allem Wissen den Risiken bei der Arbeit mit Gefahrstoffen vor.
Gefahrstofflagerung ist ein Thema in Ausgabe
3-2013 der Fachzeitschrift GIT (S. 100/101).
Eine detaillierte Klasseneinteilung von Gefahrstoffen sei als Unterstützung zur betrieblichen Gefährdungsbeurteilung vom Verband
der Chemischen Industrie (VCI) erstellt worden. Zusätzlich seien umfangreiche Hinweise
bezüglich der Zusammenlagerung von verschiedenen Gefahrstoffen im Leitfaden des
VCI enthalten. Auf der sicheren Seite sei man
bei der Lagerung von Gefahrstoffen immer,
wenn man sich an die Regel „Gleiches mit
Gleichem“ hält. Denn einige Stoffe könnten in
Kombination miteinander gefährlich werden.
Bei der Lagerung in Sicherheitsschränken für
brennbare Flüssigkeiten nach DIN EN 14470-1
seien bei gewissen Stoffen Mengenschwellen
bei der Zusammenlagerung zu beachten.
Für Unternehmen, die nur ab und zu und
kleine Mengen an aggressiven Gefahrstoffen nutzen, gebe es seit kurzem eine neue
Lösung. Die Sicherheitsschränke nach DIN EN
14470-1 des Herstellers asecos seien nun
auch mit metallfreier Ausstattung verfügbar.
Für.größere Mengen aggressiver Gefahrstoffe
seien speziell Säuren-Laugen-Sicherheitsschränke konstruiert. In jedem Fall sollte bei
der Lagerung von brennbaren Flüssigkeiten,.
aber auch.von Säuren und Laugen, auf eine
effiziente Entlüftung Wert gelegt werden.
Mit.der Lagerung unterschiedlicher
Gefahrstoffe befasst sich GIT in der Aus-
gabe 6- 2013 (S. 102/103). Kombinierte.
Sicherheitsschränke seien eine gute Lösung
für alle Betriebe, die wenig Platz haben oder
nur kleine Mengen an sowohl brennbaren
Flüssigkeiten wie z. B. Lösungsmittel als auch
an verschiedenen aggressiven Stoffen wie
Schwefelsäure nutzen. Die einzelnen Abteile
des Kombi-Sicherheitsschrankes seien jeweils
für den Schutz von bestimmten Gefahrstoffklassen ausgerichtet. Säuren und Laugen sollten stets in getrennten Lagereinheiten aufbewahrt werden, da die Verdunstungen der
beiden Stoffe in Kombination zu gefährlichen
Dämpfen reagieren können. Mit optionaler
metallfreier Brandschutz-Inneneinrichtung sei
keine Korrosion möglich.
Geiselnahme
Spiegel Online berichtet am 26. Juni, der
Manager der US-Firma Speciality Medical
Supplies sei vor einer Woche von Arbeitern eines Werks in China in einem Büro
eingesperrt worden. Es sei zu dem Werk
im Norden Pekings gereist, um 30 der 130
Arbeiter zu entlassen. Seitdem hätten ihn die
verbliebenen 100 Beschäftigten festgehalten.
Auch der chinesische Chef des Standorts und
der Buchhalter konnten den Angaben zufolge
das Werk in den vergangenen Tagen nicht
verlassen. Der Amerikaner sei dreimal täglich
mit Mahlzeiten versorgt worden, zudem habe
die Polizei überwacht, dass keine Gewalt
ausbrach. Eingreifen in den Konflikt hätten die
Behörden aber nicht gewollt.
Geldautomatensicherheit – Angriffe
Rund 8 Millionen Schaden durch Datendiebstahl an Geldautomaten (GA) in
Deutschland im ersten Halbjahr 2013 meldet
boersennews.de am 10. Juli. Die Bankenverbände erklärten den Rückgang damit, dass
die Sicherheitstechnik EMV zunehmend auch
außerhalb Europas genutzt werde. Dennoch
seien im 1. Halbjahr 2013 insgesamt 251 GA
bundesweit manipuliert worden, fast ebenso
viele wie im Vorjahreszeitraum. EMV-Karten
hätten eine Art Mini-Computer. Der Datensatz werde verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft. In Deutschland
gestohlene Kontodaten setzten Kriminelle
nach Erkenntnissen von Euro Kartensysteme
vor allem in Ländern ein, die nach wie vor auf
die veraltete Technologie der Magnetstreifen setzen: in den USA (17 %), Kolumbien
(13 %), Indonesien (12 %). In Deutschland
seien nach Branchenangaben inzwischen
alle 94 Millionen umlaufenden Girocards mit
einem EMV-Chip ausgestattet.
Die WirtschaftsWoche berichtet am 10. Mai,
eine Bande von Cyber-Kriminellen habe
weltweit mit manipulierten Prepaid-Karten
innerhalb kürzester Zeit 45 Millionen Dollar
von Bankautomaten gestohlen. US-Behörden
verglichen den Coup mit dem LufthansaRaub von 1978. Sieben Mitglieder einer New
Yorker Zelle seien verhaftet worden. Veraltete
US-Kartentechnologie könnte Sicherheits-
75
76
experten zufolge zumindest teilweise ihren
Raubzug ermöglicht haben. Eingehackt hätten sich die Cyber-Kriminellen in Banken von
Golfstaaten. Die Hacker hätten sich die Daten
für die Prepaid Debit Cards verschafft, deren
Limits von den Konten entfernt und Zugangscodes programmiert. Dann seien Gang-Mitglieder in mehreren Städten ausgeschwärmt
und hätten Geld abgehoben.
Wie das PP Nordhessen am 18. Oktober
meldet, versuchten bislang unbekannte Täter,
in einer Bankfiliale in Nieste nachts einen
Geldautomaten aufzuschweißen. Vom Tatbeginn an habe die installierte Videoanlage
keine Bilder mehr geliefert. Alle Scheibenflächen des Automatenraumes seien von den
Tätern aufwändig tapeziert worden, damit sie
ungestört „arbeiten“ konnten.
Geldautomatensicherheit – Technische Sicherung
Udo Wolf und Dipl.-Ing. Frank Lohmeier, beide R+V Allgemeine Versicherung AG, weisen
in der Ausgabe 4-2012 der Fachzeitschrift
s+s report (S.38/39) auf Präventionsempfehlungen des VdS-Leitfadens Perimeter (VdS
3143) zur Schutz vor Angriffen auf Geldautomaten im SB-Foyer hin: Wandeinbau, Verwendung von GA mit Geldschrankeinheiten
zertifiziert nach CEN/VdS Grad III Gas-Ex und
Schließung des Foyers zwischen 0 und 5 Uhr.
Weitere Details zur Sicherung von GA könnten der Broschüre „Richtlinie zur Sicherung
GA“, VdS 5052, entnommen werden.
Phil Scarfo, Lumidigm, stellt in der Ausgabe
1-2013 der WiK die Frage nach dem Zeitpunkt eines flächendeckenden Einsatzes von
Biometrie an Geldautomaten. Nach einer
Bestandsaufnahme durch die Deutsche Bank
im April 2012 stecke der Einsatz biometrischer Verfahren an Geldautomaten sowie
im Online Banking, aber auch in modernen
Bezahlsystemen des Handels, noch in den
Kinderschuhen – jedenfalls außerhalb Japans
und Brasiliens. In Japan seien bis Ende 2011
rund 40.000 Geldautomaten mit Fingervenenbiometrie ausgestattet worden, in Brasilien
21.000 Geldautomaten auf Biometrie umgestellt worden. Und die Türkei verfüge über ca.
3.000 Geldautomaten mit Handflächenvenenerkennung. Da die Automaten auch unter
schwierigen Außenbedingungen, etwa Nässe,
funktionieren müssten, konnte ein zuverlässiger Datentransfer zwischen Fingerabdruck
und Sensor bislang nicht immer garantiert
werden. Auch Verschmutzungen könnten
Probleme bereiten. Dies solle nun über die
Multispektral-Technologie verhindert werden,
bei der neben der Hautoberfläche auch die
darunter liegenden Blutkapillare gescannt
werden. (S. 62/63)
Die Neuen Richtlinien zur Sicherung von
Geldautomaten (VdS 5052) beschreibt auch.
Dipl.-Ing. Paulus Vorderwülbecke in der Ausgabe 1-2013 der Fachzeitschrift s+s report
(S. 37–41). Sie zeigten Schwachstellen von
Automaten, mögliche Folgen von Angriffen
sowie Maßnahmen auf, wie dem Risiko sinnvoll begegnet werden kann.Nach der Behandlung der Ziele der neuen Richtlinien geht
der Autor auf die elektronische Sicherung, die
Videotechnik und vor allem auf die mechanische Sicherung ein. Der Leitfaden wende sich
insbesondere an Sicherheitsverantwortliche
von Geldinstituten.
Automatisierte Bargeldprozesse vereinfachten zeitaufwändige Kassenvorgänge und
böten den Beschäftigten mehr Sicherheit
bei der täglichen Ein- und Auszahlung der
Einnahmen. Protector stellt in der Ausgabe
7-8/2013 (S. 58) intelligente Bargeldautomaten der Firma Prosegur vor. Vor der
Schicht melde sich der Kassenmitarbeiter am
Terminal an und erhalte automatisch seine
Kasse mit dem entsprechenden Wechselgeld. Bei Schichtende nehme der Mitarbeiter
das Geld aus der Kasse und fülle sowohl die
Noten als auch das Münzgeld in den Automaten. Scheine ab 50 Euro landeten direkt in
dem im Boden verankerten Tresor. Münzgeld
und kleinere Noten bis 20 Euro gelangten
erst in eine spezielle Kassette und dienten bei
Bedarf als Wechselgeld.
Dank moderner Technik kämen Datendiebe
am Geldautomaten immer seltener zum Zug,
berichtet die FAZ am 27. Dezember. In den
ersten 11 Monaten des Jahres 2013 sei der
Schaden durch das sogenannte „Skimming“
von 20 Millionen Euro im Vorjahreszeitraum auf rund 11 Millionen Euro gesunken.
Die positive Entwicklung sei vor allem auf
die EMV-Technik von MasterCard Europe,
Mastercard und Visa zurückzuführen. Durch
sie werde die Echtheit der Karte sowohl an
Geldautomaten als auch an den Terminals
im Handel überprüft. Skimming-Schäden
innerhalb des Girocard-Systems seien daher
ausgeschlossen. Deshalb müssten Betrüger in ferne Länder reisen, um mit den in
Deutschland geklauten Daten auch Geld zu
erbeuten. Der EMV-Sicherheitsstandard sei
vor mehr als zwei Jahren flächendeckend in
Europa eingeführt worden. Inzwischen trügen
alle fast 100 Millionen ausgegebenen Girocards den EMV-Chip, und auch alle 60.000
Geldautomaten sowie die rund 700.000
Terminals im Handel in Deutschland akzeptierten ausschließlich Girocards mit diesen
Chips. Bei diesen Karten werde der Datensatz
verschlüsselt, die Karte bei Gebrauch auf
Echtheit geprüft.
Geld- und Wertdienste – Raubüberfälle
Während es 2011 erstmals in der über
40-jährigen Geschichte deutscher Geld- und
Wertdienstleister keinen einzigen Überfall
gegeben habe, sei die Zahl der Überfälle
auf Spezialgeldtransportfahrzeuge 2011
auf 5 angestiegen, äußert sich Dr. Olschok,
HGF der BDGW, in der Ausgabe 3-2013
des Sicherheitsdienstes DSD (S. 30). Es
bleibe jedoch dabei, dass Deutschland mit
Abstand die sichersten Geldtransporte
in Europa habe. Täglich seien mehr als
2.600 gepanzerte Geldtransportfahrzeuge
auf Deutschlands Straßen unterwegs. Diese
transportierten nach Angaben der Deutschen Bundesbank circa 3 Milliarden Euro.
Ohne die Tätigkeit der 11.000 Beschäftigten
bei Geld- und Wertdienstleistern sei keine
sichere Bargeldversorgung der Kreditinstitute und Bargeldentsorgung des Handels
möglich.
Einen spektakulären Überfall auf zwei Werttransporte meldet die FAZ am 15. Februar.
In Köln-Rodenkirchen habe am Morgen
des 14. Februar ein Pferdetransporter
einen Kleinbus der Kölner Verkehrsbetriebe
gerammt. Mit Gewehren und Maschinenpistolen bewaffnete Männer hätten Fahrer
und Beifahrer bedroht und den Transporter
aufgebrochen. Die Geldkoffer seien jedoch
leer gewesen. Als sich wohl zufällig aus der
Gegenrichtung ein Geldtransporter genähert
habe, hätten die Täter auf dessen Frontscheibe geschossen. Das Panzerglas habe
jedoch dem Beschuss standgehalten. Es sei
ihnen nicht gelungen, das Fahrzeug zu öffnen. Die Täter hätten dann zwei Fahrzeuge,
in denen sie gekommen seien, angezündet
und seien mit einem dritten Auto geflüchtet.
Das sei später in einem Waldstück ebenfalls
brennend aufgefunden worden.
Zwei schwere Raubüberfälle am 6. September vor einer Kreissparkassenfiliale auf zwei
Mitarbeiterinnen, die für die Kreissparkasse
ungepanzerte Geldtransporte in PKWs
durchführten, und im August in Hamburg
Wilhelmsburg auf einen Geldboten, der in
einem ungepanzerten Firmenfahrzeug eines
Sicherheitsunternehmens Geld transportierte, veranlassten den HGF der BDGW,
Dr. Olschok, zu einem Appell an Kreditinstitute, Handelsunternehmen und Veranstalter,
Geldtransporte nur in dafür vorgesehenen
Spezialgeldtransportfahrzeugen durchzuführen. Verletzten Arbeitgeber ihre Sorgfaltspflicht, so drohten Nachforschungen
durch die gesetzliche Unfallversicherung
77
78
Geld- und Wertdienste – Neue Sicherheitskonzepte
und durch Strafverfolgungsbehörden.( WiK,
Special Sicherheitslösungen für Banken,
Oktober 2013, S. 4).
In der Ausgabe 4-2012 der Fachzeitschrift
DSD befasst sich Christian Fischer, GS1 Germany GmbH, mit der Bargeldlogistik der
Zukunft (S. 3–8). Mit dem Projekt der Deutschen Bundesbank CashEDI (Cash Electronic
Data.Interchange) werde ein Verfahren eingeführt, das die Transparenz entscheidend
nach vorne bringt. Im Rahmen von CashEDI
biete die Bundesbank den Bargeldakteuren die Möglichkeit zum elektronischen
Austausch von Daten des Barzahlungsverkehrs. Bargeldrelevante Daten wie Einzahlungsavise und Geldbestellungen könnten
zwischen den Bargeldakteuren und mit der
Bundesbank auf elektronischem Weg ausgetauscht werden. Die Beschleunigung des
Informationsflusses führe auf Kundenseite
zu einer Erhöhung der Transparenz und der
Sicherheit. Durch Nutzung von Barcodes
auf den Einzahlungsbehältnissen würden
Geldübergaben scannerunterstützt erfasst
und eine lückenlose Behälterverfolgung bis
zur Bundesbank ermöglicht. Das manuelle
Ausfüllen von Einzahlungsbelegen entfalle.
Die Rückverfolgbarkeit von Artikeln und die
Sendungsverfolgung von Transporteinheiten
nehme über alle Branchen hinweg einen
stetig steigenden Stellenwert ein (Tracking &
Tracing). Eine automatisierte, IT-unterstützte
Verfolgung sei vielerorts noch Zukunftsmusik. RFID ermögliche die automatische
Identifizierung und Lokalisierung von Gegenständen und erleichtere damit erheblich
die Erfassung von Daten (Funketiketten).
Dadurch könne eine permanente (Echtzeit-)
Verfolgung der Geldbewegungen zwischen
Kreditinstitut, Wertdienstleister und Bundesbank aufgebaut werden.
Dr. Lothar Thoma, Prosegur GmbH, behandelt in der Ausgabe 2-2013 der Fachzeitschrift W&S das Thema „automatisiertes
Bargeldmanagement“. Nach einer Erhe-
bung von Prosegur fielen in Summe rund
95 % der Prozesskosten des Barkreislaufes
bei Handel und Banken an, und nur 5 % der
Kosten würden durch Dienstleistungen der
Geld- und Wertunternehmen verursacht.
Spezialisierte Serviceanbieter übernähmen zeitaufwendiges Bargeldhandling und
verknüpften gleichzeitig die verschiedenen
Prozesse intelligent miteinander. Auch der
Einzahlprozess halte Optimierungspotenzial
bereit. Externe Dienstleister kümmerten sich
nicht nur um die Geldabholung und -zählung, sondern stellten die Technik, kümmerten sich um die Versicherung und erledigten
die Gerätewartung und Inhaltskontrollen. Mit
innovativen Prozessen, unterstützt von Geräten und Software, könnten Servicepartner
die Automation auch direkt zu den Handelskunden bringen und ihnen ermöglichen, dass
sie die Tageseinnahmen direkt im eigenen
Geschäft einzahlen. Online angebundene
Tresorsysteme könnten das Geld zählen,
es auf Echtheit überprüfen und den Betrag
auf dem Konto verbuchen. Eine ausgefeilte
Software überwache die Tresore, gleiche
Sollbeträge aus Kassen- oder ERP-Systemen
mit eingezahlten Beträgen ab und stoße
alle erforderlichen Buchungsvorgänge zum
Abschluss der Transaktionen an (S. 20/21).
In Ausgabe 3-2013 der Fachzeitschrift
Security insight wird ein neues Konzept im
Geld- und Werttransport beschrieben, das
die Gefahr von Raubüberfall senken soll:
Beim Kassiervorgang im Einzelhandelsgeschäft wandern die Scheine ab einem
bestimmten Betrag direkt in ein unter der
Kasse stehendes Gerät. Hier wird es automatisch gezählt und auf Echtheit geprüft.
Der Werttransporteur holt die darin befindlichen Geldkassetten ab und bringt sie zur
Bank. Werden die Kassetten unbefugt geöffnet, platzen Farbbomben, die die Banknoten
einfärben. An keiner Stelle habe ein Räuber
auch nur die geringste Chance, zum Zug zu
kommen (S. 17).
Geldwäsche
Die USA wenden ein Geldwäschegesetz auf
virtuelle Währungen an, berichtet das Wallstreetjournal am 24. März. Genaue Regeln für
virtuelle Währungen festzulegen, sei schwierig. Ein Sprecher der US-Behörde Financial
Crimes Enforcement Network (FinCen) habe
betont, dass Antigeldwäsche-Gesetze je nach
„Faktoren und Umständen“ für jedes Geschäft
gelten, jedoch nicht für Einzelpersonen, die
die virtuelle Währung lediglich nutzen, um
echte oder virtuelle Waren zu kaufen.Laut
dem FBI-Bericht 2012 habe die virtuelle
Währung Cyberkriminelle angezogen, die
Gelder bewegen oder stehlen wollten.
Die Internet-Bank Liberty Reserve habe
Milliarden aus illegalen Geschäften gewaschen , berichtet DIE WELT am 29. Mai. Das
Internet-Bezahlsystem aus Costa Rica sei
sieben Jahre lang das Mekka für jede Art von
Verbrecher auf der Welt gewesen. Nun habe
die US-Justiz den größten Geldwäschering
der Bankengeschichte aufdecken können.
Sechs Milliarden Dollar sollten Cyber-Kriminelle seit 2006 durch das undurchsichtige
Digitalwährungssystem geschleust haben.
Liberty Reserve habe ihren Kunden ermöglicht, völlig anonym große Summen um die
Welt zu bewegen, ohne auf dem Radar einer
Aufsichtsbehörde aufzutauchen. Nutzer
der Plattform hätten ihr Geld zunächst bei
Online-Drittanbietern in die Liberty ReserveWährung „LR“ umtauschen müssen. Diese
Anbieter seien hauptsächlich in Ländern
ohne strenge Finanzaufsicht angesiedelt, so
in Malaysia, Russland, Nigeria und Vietnam.
Als Daten seien bei der Registrierung bei
Liberty Reserve lediglich Name, Adresse
und Geburtsdatum benötigt worden. Ob sie
stimmten, sei nicht kontrolliert worden.
Trotz verschärfter Gesetze gingen viele
Bankinstitute das Problem der Geldwäsche
kaum an, berichtet das Handelsblatt am
13. Juni. Einer Umfrage der Unternehmensberatung Bearing-Point zufolge rüsteten nur
wenige Banken ihre Mittel im Kampf gegen
Betrugsfälle auf. Nach der Studie wollten fast
60 % der 55 befragten deutschen Finanzinstitute kein zusätzliches Geld für Schulungen,
Computersysteme und Personal ausgeben.
Dem stehe aber eine steigende Zahl von
Verdachtsfällen von Geldwäsche gegenüber
(Anstieg gegenüber 2010 um 40 %). Große
Defizite offenbarten sich etwa bei der Frage,
wo das Geld eigentlich herkommt, das die
Banken annehmen. 35 % überprüften das
nicht. Ein weiterer Schwachpunkt seien
grenzüberschreitende Geldwäsche- und
Betrugsfälle. Bei 55 % der Institute finde kein
internationaler Austausch statt. Zudem hätten 65 % der Banken keine Kommunikationsstrategie parat, sollte ein Betrugsfall aufgedeckt werden. Die gesetzlichen Vorschriften
würden zumeist nur als Kostenfaktor betrachtet. Der Europaratsausschuss Moneyval
habe seine 30 Mitgliedsstaaten aufgefordert,
schärfer gegen Geldwäsche und Terrorfinanzierung vorzugehen, meldet das Handelsblatt
am 27. Juni. Auch sollten Banken sehr viel
gründlichere Kundenprofile anlegen, um
Risikofaktoren in Erfahrung zu bringen. Eine
besonders riskante Gruppe seien nach Ansicht der Experten Politiker oder Kunden mit
engen Verbindungen zur Macht.
Das BKA werde sich aller Voraussicht nach in
Zukunft verstärkt mit dem Thema Geldwäsche bei Immobiliengeschäften beschäftigen, berichtet die FAZ am 14. Juni. Auslöser
sei eine Fachstudie, die das BKA angesichts
eines auf „äußerst niedrigem Niveau“ liegenden Meldeverhaltens von Geldwäscheverdachtsfällen der Immobilienbranche bei
einer Wirtschaftsprüfungsgesellschaft in
Auftrag gegeben.hat. Die Studie komme zu
dem.Ergebnis, dass das Gesamtkonzept der
Geldwäsche mit den Phasen Plazierung, und
Integration im Immobiliensektor weitgehend
unbekannt sei und bei Immobiliengeschäften
eine besondere Gefährdung durch Geldwäscheaktivitäten vorliege. Immobilienmaklern
und Wohnungsgesellschaften werde gar
unterstellt, den wirtschaftlichen Interessen
79
80
gegenüber der Geldwäscheproblematik „klaren Vorrang einzuräumen“. In der Fachstudie
werde auch empfohlen, die Überwachung
des Immobiliensektors erheblich zu intensivieren und letztlich auch Sanktionsmöglichkeiten bei Nichterfüllung der gesetzlichen
Pflichten auszuschöpfen. Die große Mehrheit
der gewerblich tätigen Immobilienunternehmen seien als Verpflichtete des Geldwäschegesetzes anzusehen, da sie gewerblich mit
hochwertigen Gütern handeln. Die Verpflichteten müssen ihren Geschäftspartner
identifizieren, feststellen, ob er für einen Hintermann agiert und sich über die Herkunft der
eingesetzten Mittel Gedanken zu machen.
Diese Pflichten bestehen, wenn Bargeld von
mehr als 15.000 Euro angenommen werden
soll. Die EU beabsichtige, in der kommenden
4. EU-Geldwäscherichtlinie den Grenzwert
auf 7.500 Euro zu halbieren.
Eine Analyse von Thomson Reuters habe
ergeben, dass kriminelle und terroristische
Organisationen zunehmend digitale KryptoWährungen nutzen, um illegale Einnahmen
zu verschleiern oder verdeckte Finanztransaktionen durchzuführen. Ein “Vorteil“.
solcher Währungen sei es, dass damit Gelder
weitgehend unbemerkt und anonym bewegt
werden können. Wirtschaft und Strafverfolgungsbehörden stünden daher vor der
Herausforderung, neue Wege zu gehen,
um entsprechende Geldwäsche-Modelle zu
identifizieren und zu bekämpfen. Das berichtet die Fachzeitschrift WiK in der Ausgabe
6-2013 (S. 18/19). Überall dort, wo sich
Schnittstellen zwischen realen und virtuellen
Währungen ergeben, finde auch Geldwäsche
statt. Die Mehrheit der Ermittler sei der Meinung, dass Geldwäsche mit digitalen Währungen in Zukunft eine immer größere Rolle
spielen werde. Laut einer aktuellen Studie
von BearingPoint wird die Bekämpfung von
Geldwäsche immer wichtiger, eine steigende
Zahl an gesetzlichen Bestimmungen erhöhe den Druck auf Finanzinstitute massiv.
Die Zahl der von den Banken gemeldeten
Verdachtsfälle habe sich in den letzten drei
Jahren um rund 40 % erhöht. Aber 35 % der
Banken überprüften nicht, woher das angelegte Geld ursprünglich stammt. Grenzüberschreitende Geldwäscheaktivitäten seien eine
weitere Achillesferse der Banken.
Grenzüberschreitende Kriminalität
Die Wirtschaftswoche berichtet am
25. Februar über einen kontinuierlichen
Anstieg der Zahl von Einbrüchen und
Diebstählen entlang der brandenburgischpolnischen Grenze seit der Grenzöffnung
vor fünf Jahren. Betroffene Unternehmer
in der Grenzregion seien verunsichert und
griffen zur Selbsthilfe. Von 2007 bis
2011 sei der Anteil der Einbrüche und
Diebstähle an der Gesamtkriminalität von
35 auf 51 % angestiegen. Kaum ein Tag
vergehe zum Beispiel beim Unternehmen
T&P Transport – Logistik – Service, an
dem nicht einer der 40 Fahrer einen Diebstahl meldet. Die Rechtslage verhindere
oft, dass deutsche Polizisten nichtdeutsche
Täter jenseits der Grenze weiterverfolgen
können.
Viele Handwerksbetriebe an der Grenze
zu Polen seien von Diebstählen betroffen
und deshalb zunehmend frustriert, meldet
die FAZ am 10. Dezember. Die Angst vor
Kriminalität gefährde den Standort, habe
der Präsident der Dresdner Handwerkskammer gesagt. 58 % der Unternehmen im
LK Görlitz und 46 % im Spree/Neiße-Kreis
sähen die Situation kritisch. Im Dresdner
Raum verbuchten 40 % der befragten
Betriebe einen wirtschaftlichen Schaden
durch Kriminalität. Im KFZ-Gewerbe seien
es sogar 67 %. Die Kammern forderten
unter anderem mehr Präsenz von Polizei
und Bundespolizei. Außerdem sollten die
Länder Schutzvorkehrungen in den Unternehmen fördern. Die Justiz müsse schneller
und härter durchgreifen.
Homejacking
Securicon berichtet am 16. Juni, dass die
Polizei seit Mai wieder vermehrt sogenannte
Homejacking-Fälle meldet. Opfer seien auch
in diesem Jahr häufig besser verdienende
Führungskräfte gerade aus dem Bereich der
Wirtschaft, zu identifizieren nicht selten an
teuren PKW, die trotz ihres vergleichsweise
hohen Wertes häufig vor den Anwesen dieses Personenkreises parkten.Ein Tatortscherpunkt liege.auch 2013 in NRW. Die Täter
kämen vorwiegend in der Zeit zwischen 2
und 6 Uhr morgens. Sie würden überwiegend
durch Fenster- und Fenstertüren, Türen und
Lichtschächte in die Wohnobjekte eindrin-
gen. Sie hätten es oft ausschließlich auf die
Fahrzeugschlüssel und ggf. -papiere.abgesehen. Die Polizei rate, wenn die Täter bereits
im Haus sind, zu folgendem Verhalten:
Verschließen Sie den Raum, in dem Sie sich
befinden! Rufen Sie ggf. laut um Hilfe! Sofern
Sie die Täter beobachten können, merken Sie
sich Aussehen und Fahrzeuge! Greifen Sie
nicht selbst ein, um die Flucht der Einbrecher
zu verhindern! Rufen Sie die Polizei über
Notruf 110, wenn dies gefahrlos möglich ist!
Leisten Sie keinen Widerstand, wenn Sie bedroht werden! Geben Sie ggf. den Ablageort
des Autoschlüssels bekannt!
Hotelsicherheit
Die Zeitschrift WiK (Ausgabe 5-2013, S. 7)
meldet, heise Security habe ausprobiert,
wie leicht Hotelsafes mit Codeschlössern
geknackt werden können. Diese Tresore
ließen sich meist mit einem selbst einzugebenden Code sichern. Sollte dieser vergessen werden, hätten die Hotels sowohl mechanische Schlüssel als auch Mastercodes,
um die Tresore wieder zu öffnen. Doch oft
werde schon beim Einbau „geschlampt“:
Viele Hotels würden vergessen, den vom
Hersteller vorgegebenen Mastercode zu
ändern. Diese Codes ließen sich aber über
eine Suchmaschine herausfinden.
Wie zuverlässiger Brandschutz im Hotel
gestaltet sein muss, ohne die Ästhetik
des Interieurs zu beeinträchtigen, wird
von PROTECTOR in der Ausgabe 12/13
(S. 32/33) thematisiert. Ein Rauchansaugsystem sei um ein vielfaches sensibler,
zuverlässiger und damit effizienter als
Punktmelder. Die konkret beschriebenen
Varianten Titanus Pro-Sens und Titanus
Micro-Sens seien bis zu 2000mal sensibler
als herkömmliche Rauchmelder. Die patentierte „Logic Sens“-Brandmustererkennung
verifiziere die Signale des Detektors im
Ansaugrauchmelder auf gängige Brand-
muster, erkenne umweltbedingte Störgrößen automatisch und könne somit vermeidbare Fehlalarme verhindern. Dies sei für
Hotelbetreiber wichtig, damit das Gebäude
nicht wegen Fehlalarmen unnötig geräumt
werden müsse. Aufgrund der Möglichkeit,
das System individuell an architektonische
Besonderheiten anzupassen, eigneten sich
die Ansaugrauchmelder perfekt für traditionsreiche oder moderne, architektonisch
anspruchsvolle Gebäude.
In derselben Zeitschriftenausgabe werden
„Undercover-Sprinkler“ für Hotels empfohlen (S. 35). Für Aufenthaltsbereiche wie
Hotelzimmer, Flure, Büro- und Konferenzräume oder Wellness-Oasen seien Sprinkleranlagen die gängigste Löschtechnik. Für
Restaurantküchen, in denen Fettbrände
ein besonderes Risiko darstellen, wird eine
Küchenschutzanlage (KS 2000) mit dem
speziell zugelassenen Löschmittel Febramax empfohlen, das als fein versprühter
Schaum und mit Wasser wirke.Es bilde
eine Sperrschicht auf dem Fett oder Öl und
schneide die Sauerstoffzufuhr ab, während
der Wasseranteil das Fett unter die Selbstentzündungstemperatur abkühle.
81
82
Identitätsdiebstahl
WiK thematisiert Claus Schaffner, Redaktion WiK, den „Corporate Identity Theft“
(S. 16–18). Seit 2012 beschäftige sich die
US-Wirtschaft zunehmend mit diesem Identitätsdiebstahl. Kriminelle versuchten dabei,
die komplette Identität eines Unternehmens
zu kidnappen, um diese für eigene Zwecke,
in der Regel betrügerische Profite, zu nutzen.
Inzwischen gingen Ermittler davon aus, dass
es mehrere Tausend Opfer-Unternehmen
gibt. Der Gesamtschaden gehe in die Millionen. Möglich werde dies vor allem durch
einige Besonderheiten des amerikanischen
Registrierungssystems für Unternehmen.
Immer wieder gerieten vor allem „ruhende“
Unternehmen in das Visier von Betrügern, da
sie gültige Geschäftsorganisationen bleiben,
obwohl die Eigentümer die Geschäftstätigkeit
längst eingestellt haben. Für Lieferanten könne das bedeuten, bei neuen Firmenkunden in
den USA noch etwas genauer hinzuschauen,
denn offensichtlich böten weder die bei den
US-Behörden abrufbaren Informationen noch
jene der Wirtschaftsinformationsdienste eine
wirklich verlässliche Sicherheit.
IT-Sicherheit
Wegen der Komplexität der Thematik und der
Unvermeidlichkeit thematischer Überschnei-
dungen ist die Untergliederung nicht systematisch, sondern alphabetisch geordnet.
IT-Sicherheit – Absturzsicherheit
Informatiker am University College London
haben einen Computer entwickelt, der vor
den negativen Auswirkungen von Abstürzen
gefeit ist, berichtet AGITANO, das Wirtschaftsforum Mittelstand, am 20. Februar.
Das System könne im schlimmsten Fall
korrumpierte Daten schnell wiederherstellen und sich so selbst reparieren. Um das
zu ermöglichen, weichen strenge Befehlssequenzen scheinbarem Chaos wie in der
Natur. Der neue Computer verknüpfe Daten
mit Anweisungen, was damit zu machen
ist – beispielsweise, wie zu reagieren ist. So
entstehe eine Sammlung digitaler Einheiten,
die „Systeme“ genannt werden. Jedes davon
umfasse kontextabhängige Daten und könne
nur mit ähnlichen Systemen interagieren.
Zudem würden die Einheiten in zufälliger
Reihenfolge abgearbeitet. Ein entscheidender
Vorteil dieses systemischen Computers sei,
dass stets mehrere Kopien von Anweisungen
über Systeme verteilt vorliegen. Sollte eine
Einheit aus irgendeinem Grund korrumpiert
werden, könne der Computer also auf eine
andere Kopie zugreifen und das Problem so
beheben. Im Gegensatz zu herkömmlichen
Betriebssystemen käme es daher auch nicht
zu Abstürzen, wenn ein Speicherbereich
fehlerhaft ist.
IT-Sicherheit – Anonymisierung
Als Folge der Datenspäh-Skandale verzeichneten Anbieter sicherer Lösungen einen
Zulauf, meldet die FAZ am 13. Juli. Es gebe
einige Hilfsmittel, mit denen sich Nutzer
zumindest etwas anonymer durchs Netz
bewegen können. Internetzugangsprogramme wie der Firefox-Browser von Mozilla oder
der Chrome-Browser von Google böten
eine Reihe von Zusatzprogrammen, mit
denen sich Nutzer vor der Verfolgung durch
Cookies schützen können. Suchwerkzeuge
wie duckduckgo.com, Ixquick.com, startpage.
com oder Metager.de sammelten keine Daten
der Nutzer. Startpage biete sogar dieselben
Ergebnisse wie Google, ohne die Nutzerdaten mit dem Suchmaschinenkonzern zu
teilen. Werbefreie und datensparsamere
E-Mail-Dienste wie Posteo kosteten meist
Geld. Doch böten sie besonderen Schutz
der Daten, indem sie diese auf ihren eigenen
Servern verschlüsseln. Auch der Versand
der Mails an herkömmliche E-Mail- Anbieter
erfolge verschlüsselt. Wer sich den Browser
Tor (The Onion Router) herunterlade, verschicke seine Bewegungen im Netz über so viele
Umwege, dass am Ende so gut wie niemand
mehr die Schichten des eigentlichen Bewegungsablaufs entwirren könne. Um sensible
Dokumente auf dem eigenen Computer zu
verschlüsseln, gebe es ebenfalls Zusatzprogramme wie Truecrypt oder Boxcryptor. Die
Geschäftsmodelle der holländischen Suchmaschinen Ixquick und Startpage unterschieden sich nicht von dem anderer Suchmaschinenanbieter. Wer dort sucht, sehe auch
Werbeanzeigen. Allerdings bezögen.diese
Anzeigen nur die aktuelle Suchanfrage ein
und nicht, was ein Nutzer davor gesucht hat.
Auch verzichte die Suchmaschine darauf, die
IP-Adresse von Internetnutzern zu erfassen.
Heise.de befasst sich am 4. September mit
dem Anonymisierungsnetz Tor. Es gelte als
heißer Tipp für mehr Privatheit im Internet.
Es verschleiere die Adresse eines InternetSurfers vor den von ihm genutzten Diensten.
Für einen Server-Betreiber sehe es so aus, als
kämen die Zugriffe von einem Rechner des
Tor-Netzes. Bei NSA und GCHQ müsse man
jedoch davon ausgehen, dass sie mittlerweile einen beträchtlichen Teil des InternetVerkehrs in das Tor-Netz hinein und aus Tor
hinaus beobachten. Das ermögliche eine
Desanonymisierung durch gezielte Suche
nach Traffic-Mustern. Wissenschaftler hätten
ein Modell für realistische Angriffe entwickelt,
das frustrierende Ergebnisse liefere. Rund
80 % aller Tor-Nutzer ließen sich schon nach
6 Monaten Betrieb eines mittleren Tor-Relays
deanonymisieren. Wenn ein Angreifer den
kompletten Verkehr eines Teilbereichs des
Internet – etwa in Form eines Autonomous
Systems oder eines Internet Exchange Points
– kontrolliert, müssten Tor-Nutzer mit einer
95-prozentigen Gefahr rechnen, dass ihre
Identität innerhalb von drei Monaten aufgedeckt wird.
Die Internet Engineering Task Force (IETF)
diskutierte nach einer Meldung von heise
online vom 1. Dezember mit dem TorProjekt, ob man die Anonymisierungssoftware nicht zu einem Internet-Standard
weiterentwickeln kann. Tor ist eine Anonymisierungstechnik, bei deren Einsatz die
Kommunikationspartner die IP-Adresse ihres
Gegenübers nicht erfahren. Um die beiden
Endstellen einer Verbindung über das TorNetzwerk zu identifizieren, sei ein sehr viel
größerer Aufwand nötig als im „normalen“
Internet. BKA-Präsident Ziercke habe unlängst Tor als größte Herausforderung für die
Kriminalistik bezeichnet, deren Nutzung er
am liebsten unter staatliche Aufsicht stellen
würde.
Microsoft bestätigt nach einer Newsmeldung
vom 5. Dezember Verschlüsselungspläne
wegen NSA-Zugriffen. Man wolle die diensteübergreifende Verschlüsselung bei Outlook.
com, Office 365, SkyDrive und Windows
Azure ausdehnen. Zum Einsatz kommen
sollen dabei Perfect Forward Secrecy und
2048 Bit-Keys.
IT-Sicherheit – App-Sicherheit
Dipl.-Phys. Oliver Schonscheck, IT-Fachjournalist, behandelt in der Ausgabe 1-2013 der
Fachzeitschrift <kes> die Sicherheitsüber-
prüfung von mobilen Apps (S. 6–8). Sie
sollten vor der Beschaffung oder dem Herunterladen einer genauen Prüfung unterzogen
83
84
werden.Dazu würden sich insbesondere
Cloud-Dienste eignen, die eine solche Vorabkontrolle unterstützen. Die App-Kontrolle
sei nicht als einmalige Aufgabe zu sehen. Sie
müsse mit jeder App-Aktualisierung durchgeführt werden. Die wichtigsten Kontrollen
seien:
- Identifizierung vertraulicher Daten
- Prüfung des Passwortverfahrens
-Prüfung der Übertragung vertraulicher
Daten
- Kontrolle der Zugangsverwaltung
F-Secure habe eine Android-Spionage-App
entdeckt, die zum Ausspähen von WindowsRechnern genutzt werden könne, meldet
heise online am 1. Juli. Die App könne ihre
Wirkung entfalten, wenn am Android-Gerät.
ein Windows-Rechner angeschlossen wird.
Dort verschaffe sich ein USB-Hacker Zugriff
auf die Passwörter und die Systeminformationen des Rechners. Der Angriff könne aber nur
funktionieren, wenn Autorun aktiviert oder
die exe auf der SD-Card direkt ausgeführt
wird. Bei neueren Windows-Versionen sei die
Autorun-Funktion standardmäßig deaktiviert.
IT-Sicherheit – Authentifikation
Michael Klatte, ESET Deutschland GmbH,
ist überzeugt, dass das Passwort als Zugangssoftware nicht mehr die Anforderungen moderner IT-Sicherheit erfüllt. Das BSI
und Fachleute von Security-Unternehmen
würden daher die sogenannte 2-FaktorAuthentifizierung für VPN-Nutzer empfehlen. Sie stütze sich auf Wissen, Besitz
oder biometrische Merkmale. Man spreche
von einer 2-Faktor-Authentifizierung, wenn
zwei dieser drei Faktoren zur Anmeldung
verwendet werden (<kes>-Verlagsbeilage
Mai 2013, S. 18/19).
Günther Wohlfahrt, IPG AG, befasst sich
in der Fachzeitschrift <kes> (Ausgabe 4-2013) mit „Single Sign-On“, das
einmalige Anmelden an einem zentralen
Authentifizierungs-Server.Es vereinfache
den Benutzern die tägliche Arbeit. Dennoch
berge diese Vereinfachung und Zentralisierung Risiken zu Lasten der Informationssicherheit. Für die Mindestabsicherung
von Passwörtern lege das BSI folgende
Randbedingungen fest: keine Trivialpasswörter verwenden; Passwortwechsel durch
Benutzer muss möglich sein; Vergabe von
Einmalpasswörtern; Zugangssperre nach
dreimaliger Falscheingabe; keine unverschlüsselte Übertragung von Passwörtern;
keine visuelle Darstellung des Passwortes am Bildschirm während der Eingabe;
zugriffssichere Speicherung der Passwörter;
Passwortwechsel durch das IT-System;
Wiederholung alter Passwörter muss durch
das I-System verhindert werden. Durch den
Aufbau und die Zertifizierung eines ISMS
auf der Basis des BSI-IT-Grundschutzes
könne die IT nachhaltige Regelkonformität
erzielen, auch wenn ein Single Sign OnVerfahren genutzt wird (S. 80-82).
Das sichere Passwort thematisiert die
WirtschaftsWoche am 11. November und
bezeichnet als die wichtigsten Regeln:
Ein Passwort pro Konto/Passwörter nicht
weitergeben oder aufschreiben/Einloggen
in Internetcafés und anderen fremden PCs
vermeiden/Passwörter nicht vom Browser
speichern lassen/generelle Vorsicht beim
Surfen. Mitarbeiter sollten klare Richtlinien
für die Passwortwahl erhalten. Eine monatliche Passwortänderung sei so in den
meisten Fällen überflüssig.
IT-Sicherheit – Awareness
Dietmar Pokoyski, Kölner Kommunikationsagentur known_sense, zeigt in der Ausgabe
3-2013 der Fachzeitschrift <kes>, wie man
Security-Trainings gestalten sollte, die bleibende Awareness schaffen und gleichzeitig
auch noch Spaß bereiten. Das Unternehmen
T-Systems habe das Awareness-Training
„Security Parcours“ entwickelt. Der sei mit
Springreiten, einem Golfplatz oder einer
Geisterbahn vergleichbar: Je nach Umfang
gebe es vier bis sechs Stationen, das heißt
Stände oder einfach nur Tische, die nach
einer bestimmten Dramaturgie an einem oder
an zwei Veranstaltungstagen synchron Teams
mit circa fünf bis zehn Mitarbeitern empfangen. Die jeweiligen Stations-Moderatoren
trainieren diese Kleingruppen in zehnminütigen Mitmach-Settings für ein Sicherheitsthema. Aktuell stünden zur Auswahl
„Informations-Klassifizierung“, „Clear Desk“,
„Besucher & Ausweise“, „Password Hacking“,
„Informationsschutz(allgemein)“ sowie „Social
Engineering“ und „Social Media“ (S. 31–34).
IT-Sicherheit – Big Data
Big Data steht unter Beschuss, titelt die
FAZ am 6. Februar. Vor sechs Jahren sei das
estnische Informationsnetzwerk vorübergehend ausgeschaltet worden. Dem japanischen Konzern Sony seien vor zwei Jahren
hundert Millionen Kundendaten gestohlen
worden. Das habe die Japaner 150 Millionen
Euro gekostet, der Imageverlust halte bis
heute an. Der Schaden, den solche Angriffe
jedes Jahr in aller Welt verursachen, belaufe
sich laut dem Norton Cybercrime Report
des Sicherheitsunternehmens Symantec auf
fast 400 Milliarden Dollar. „Gerade für den
unternehmerischen Mittelstand sind Bedrohungen durch Schadprogramme aus dem
Internet ein Problem“ sage Kurt Brand vom
Eco, dem Verband der deutschen Internetwirtschaft. Um seine IT-Kunden vor Gefahren
aus dem Netz zu schützen, betreibe IBM
zehn Sicherheitszentren in der Welt. Eines
stehe in Kassel. Dort würden täglich mehr als
15 Milliarden Vorgänge für gut 3.700 Kunden
in mehr als 130 Ländern überwacht. So
könnten Angriffe quasi schon im Moment der
Attacke erfasst, in Sekundenschnelle ana-
lysiert und eventuelle Abwehrmaßnahmen
eingeleitet werden. IBM nenne das proaktives
Sicherheitsmanagement in Echtzeit.
Die FAZ befasst sich am 31. Oktober in
einem Verlagsspecial „Big Data“ mit Herausforderungen für Unternehmen in Bezug auf
Sicherheit und.Datenschutz. Der Datenberg
im Internet sei gigantisch: 2,8 Zettabyte
Datenvolumen sollen bereits 2012 erzeugt
worden sein. Ein Zettabyte ist eine 1 mit 21
Nullen dahinter. Bis 2020 solle dieser Betrag
auf 40 Zettabyte anwachsen. Gleichzeitig
steige die Zahl von Hackerangriffen. 2012
seien sie für 40 % aller offengelegten Daten
verantwortlich gewesen. Um die Informationen vor unerlaubtem Zugriff durch Hacker
zu schützen, müssten die Daten bei den
Unternehmen vor allem verschlüsselt und so
anonymisiert werden, dass sie im Fall eines
Diebstahls nicht mehr verständlich sind. Zur
Anonymisierung könne man einen Datensatz
etwa in drei Teile aufteilen, an verschiedenen
Orten speichern und getrennt verarbeiten.
IT-Sicherheit – BSI
Dr. Michaela Harlander, Genua mbh, geht
W&S auf Zertifizierungen für IT-Sicherheitslösungen ein (S. 22/23). Prüfverfahren
85
86
biete das BSI an. Für vergleichbare Ergebnisse sorgten international anerkannte Prüfkriterien, die Common Criteria (CC). Ihre Evaluationsstufen von EAL 1 bis EAL 7 bildeten die
Prüftiefe bezüglich der behaupteten Sicherheitsleistung ab. EAL 1 diene als Einstieg
in die Zertifizierung, EAL 4 verlange vom
Hersteller bereits die Vorlage einer detaillierten Design-Dokumentation, des Quellcodes
sowie ausführliche Tests. Ab EAL 5 seien
die Anforderungen an die Dokumentation so
hoch, dass diese Level auf komplexe Systeme
wie Firewalls nicht mehr komplett anwendbar
seien – der Aufwand würde den Nutzen bei
weitem übersteigen. Die Autorin erläutert
den Zertifizierungsprozess am Beispiel der
Firewall Genugate.
Kurt Klinner, BSI, weist in der Fachzeitschrift
<kes> (Ausgabe 2-2013) darauf hin, dass das
BSI im Rahmen der CeBIT 2013 die Version
1.6 des Hochverfügbarkeits-(HV)-Kompendiums veröffentlicht hat. Dazu habe das BSI
vorliegende Standards der IT-Governance (ISO
38500) und des IT-Betriebes (ISO 20000) mit
den bekannten Standards der IT-Sicherheit
(ISO 27000) zu einem einheitlichen Vorgehen
konsolidiert. Mit dem Kompendium werde das
Ziel verfolgt, den verantwortlichen Managementebenen Hilfestellung zur Wahrnehmung
ihrer Verantwortung im Rahmen der IT-Governance anzubieten. Zentrale Zielsetzung des
HV-Kompendiums sei die Optimierung des
Verfügbarkeitspotenzials durch die Gestaltung
hochverfügbarer Architekturen und damit die
Förderung von Verlässlichkeit und Nachhaltigkeit von IT-Services (S. 52–55).
Die von der ASW herausgegebenen Informationen zum Wirtschaftsschutz weisen
am 13. Mai darauf hin, dass das BSI eine
Technische Richtlinie zum ersetzenden
Scannen von Dokumenten (TR-ResiscanTR 03138) veröffentlicht. Sie beschreibe die
technischen und organisatorischen Anforderungen für Scanprozesse und –produkte, die
erfüllt sein müssen, damit Papierdokumente
rechtssicher und gerichtsverwertbar digitalisiert werden können.
<kes> berichtet in der Ausgabe 4-2013,
dass das BSI eine Studie zur Sicherheit von
Content-Management-Systemen (CMS)
veröffentlicht hat. Diese beleuchte relevante
Bedrohungslagen und Schwachstellen der
weit verbreiteten Open Source-CMS Drupal,
Joomla!, Plone, TYPO3 und WordPress. Die
Ergebnisse sollen IT-Verantwortliche bei der
verlässlichen sicherheitstechnischen Beurteilung von CMS im Rahmen der Planung und
Beschaffung unterstützen. Dazu spreche die
Studie Handlungsempfehlungen zur Absicherung der betrachteten Software aus, bezogen
auf vier typische Anwendungsszenarien,
nämlich „Private Event Sitze“, „Bürgerbüro
einer kleinen Gemeinde“, „Open Government
Site einer Kleinstadt“ und „Mittelständisches
Unternehmen mit mehreren Standorten“. Die
Studie steht auf der Webseite des BSI kostenfrei zum Download zur Verfügung (S. 69).
Nach der ASW-Mitteilung 046/13 hat das
BSI ein Überblickspapier zum Thema „Apple
iOS“ (ein Betriebssystem für verschiedene
Produkte) erstellt. Es konzentriere sich auf
spezifische Angriffsvektoren und entsprechende Schutzempfehlungen für iOSbasierte Geräte. Betrachtet würden u.a. die
Sicherheitsstrategie des Herstellers Apple
sowie Sicherheitsaspekte in den Bereichen
Betriebssystem, Sprachsteuerung, Mobile
Device Management, Nutzung von Apps
oder Nutzung der iCloud. Die Empfehlungen
sollten den Blick der Anwender für potenzielle Gefahrenpunkte schärfen und helfen, diese
Gefahren einzudämmen. Allgemeine Gefährdungen, die auf jedes Smartphone oder
Tablet wirken, würden dabei nicht betrachtet.
Der Behördenspiegel berichtet in seiner
Septemberausgabe über einen neuen BSILeitfaden, der helfe, Software-Mängel zu
verhindern. Um Qualitätsmängel von Programmen und Webanwendungen a priori
im Keim zu ersticken, gelte es gefährlichen
Sicherheitslücken bereits bei der Entwicklung
vorzubeugen. Der Leitfaden definiere angemessene Sicherheitsanforderungen entsprechend des Schutzbedarfs der zu entwickeln-
den Anwendung, den sogenannten Secure
Software Development Lifecycle (SSDL).
Um die Sicherheit bei der Entwicklung von
Software und Webanwendungen zu erhöhen,
sei auch die ÖNORM A 7700 von zentraler
Bedeutung: Mit der. A 7700 „Sicherheitstechnische Anforderungen an Webapplikationen“
sei ein etablierter Standard verfügbar, der ein
eindeutiges Sicherheitsniveau für Webanwendungen definiere. In derselben Ausgabe
empfiehlt der Behördenspiegel, Webanwendungssicherheit durch Penetrationstests
zu verbessern. Das gemeinnützige Open
Web Application Security Project (OWASP)
veröffentliche seit 2004 im Abstand von drei
Jahren die zehn häufigsten Risiken in Webanwendungen. Unangefochtener „Spitzenreiter“
sei auch 2013 die Klasse der sogenannten
„Injection-Schwachstellen“. Prominentester Vertreter sei hierbei die SQL-Injection,
welche es einem Angreifer ermögliche, durch
die Übergabe von spezifischen Zeichen in
einem Parameter der Webanwendung mit
der Datenbank zu „sprechen“. So könne der
Angreifer gegebenenfalls sämtliche Daten
der Datenbank auslesen und in einigen Fällen
sogar verändern. Es gebe mehrere Ebenen,
auf denen man diese Risiken minimieren
sollte. Zum einen empfehle es sich, Mindeststandards für Sicherheitsaspekte sowohl bei
extern vergebenen als auch internen Entwick-
lungen zu definieren. Eine gute Quelle biete
hierzu der neue Baustein „Webanwendungen“
des BSI. Der anlassbezogene Blick in die
Kataloge lohne sich auch ohne Anwendung
des BSI-Grundschutzes selbst als Basis
eines ISMS. Zum andern sollte auch die
regelmäßige Prüfung von Webanwendungen
in Form von Penetrationstests in Erwägung
gezogen werden.
Heise online listet am 27. September
10 Regeln für mehr Sicherheit im Netz
auf, die das BSI als Sicherheitskompass
in Zusammenarbeit mit der Polizeilichen
Kriminalprävention der Länder und des Bundes aufgestellt hat: 1.Verwenden Sie sichere
Passwörter! 2. Schränken Sie Rechte von
PC-Mitbenutzern ein! 3. Halten Sie Ihre Software immer auf dem aktuellen Stand!
4. Verwenden Sie eine Firewall! 5. Gehen Sie
mit E-Mails und deren Anhängen sowie mit
Nachrichten in Sozialen Netzwerken sorgsam
um! 6. Erhöhen Sie die Sicherheit ihres Internet-Browsers! 7. Vorsicht beim Download
von Software aus dem Internet! 8. Sichern Sie
Ihre drahtlose (Funk-)Netzwerkverbindung!
9. Seien Sie zurückhaltend mit der Angabe
persönlicher Daten im Internet! 10. Schützen
Sie Ihre Hardware gegen Diebstahl und unbefugten Zugriff!
IT-Sicherheit – BYOD
„Betriebsgeheimnis auf dem Smartphone“
titelt die FAZ am 23. März. Seit geraumer
Zeit spuke ein technisches Schreckgespenst
durch die IT-Abteilungen vieler Unternehmen.
„Bring Your Own Device“, kurz BYOD. Oder
mit anderen Worten: die dienstliche Nutzung
privater Technik durch Mitarbeiter. Das gelte
zwar als praktisch, preiswert und zeitgemäß. Doch es habe auch einen Haken: Die
Sicherheit der firmeneigenen Datensysteme
stehe auf dem Spiel. Nach einer Umfrage des
IT-Branchenverbandes BITKOM verzichte
fast die Hälfte aller Unternehmen auf Sicherheitsregeln für Mobilgeräte. Einer Erhebung
des kalifornischen Netzwerkspezialisten
Cisco zufolge hat heute jeder Beschäftigte
in Deutschland im Durchschnitt 1,8 Computergeräte im Einsatz. In zwei Jahren sollen es
2,2 Geräte sein. Zwei Drittel der von Cisco
befragten 5.000 IT-Manager bewerteten die
BYOD-Bewegung als positiv. Der BITKOM
veröffentliche demnächst einen 35 Seiten
umfassenden Leitfaden zu BYOD, in dem
wesentliche Fragen zu Technik, Datenschutz
und Mitbestimmungsrechten der Mitarbeiter
erklärt würden. IBM habe eine solche hausinterne Gebrauchsanleitung schon vor Jahren
erstellt. SAP auch. Der BITKOM rate zu ein-
87
88
deutigen Haftungs-, Reparatur-, Betriebs- und
Wartungsregelungen. Auch seien die Kontroll- und Zugriffsrechte des Unternehmens
auf das Gerät genau zu definieren. Das alles
setze nach deutschem Datenschutzrecht
voraus, dass die Mitarbeiter in den Arbeitgeberzugriff auf ihr Endgerät einwilligen – und
zwar freiwillig.
Elmar Török, bits + bites, verweist in der
Ausgabe 3-2013 der Fachzeitschrift <kes>
auf ein neues Übersichtspapier des BSI zum
Thema „Consumerisation und BYOD“. Seit
immer mehr Mitarbeiter private Smartphones
und Tablets auch in der Firma nutzen, beunruhige die Vermischung beruflicher und privater Inhalte die IT-Abteilungen. Das BSI-Papier
enthalte eine Reihe von konkreten Hinweisen,
Best Practices und Handlungsempfehlungen,
wie Firmen mit BYOD umgehen könnten.
Nach einer kurzen Zusammenfassung der
Vorteile werden die potenziellen Gefährdungen für die IT-Sicherheit gelistet (S. 81).
Bereits 29 % aller deutschen Unternehmen
mit mehr als 1.000 Mitarbeitern hätten geschäftskritische Daten verloren, nachdem sie
Mitarbeitern den Einsatz privater Geräte im
Firmennetz gestattet haben, berichtet heise
online am 29. Oktober. Das gehe aus einer
von Samsung beauftragten Studie hervor.
Trotz Kenntnis der Gefahren hätten demnach
nur 39 % der befragten Unternehmen aktuelle Richtlinien für den sicheren Einsatz der
mitgebrachten Geräte. Werde die Nutzung
privater Geräte in ein Sicherheitskonzept
integriert, könne sie jedoch deutliche Vorteile
bringen wie etwa um 17 % niedrigere Telefonkosten. Das entspreche einer Einsparung
von fast 7 Millionen Euro jährlich pro untersuchtes Unternehmen. Für die Studie seien
2013 490 IT-Leiter und Entscheidungsträger
von Firmen mit mehr als 1.000 Mitarbeitern
in insgesamt acht europäischen Ländern
befragt worden. 93 % der Befragten hätten
angegeben, dass sie Bedenken aufgrund der
beruflichen Nutzung von privaten Geräten
haben. Der Studie zufolge haben mehr als
die Hälfte der europäischen Unternehmen bereits formelle (31 %) oder informelle (21 %)
BYOD-freundliche Richtlinien eingeführt.
Dabei seien die deutschen Unternehmen mit
43 % das Schlusslicht und die italienischen
mit 79 % an der Spitze.
IT-Sicherheit – Datenbank
In der Fachzeitschrift IT-Security (Ausgabe
2-2013) befasst sich Jochen Koehler,
Cyber-Ark, mit der Datenbanksicherheit
(S. 23–25). Etliche Unternehmen versuchten,
sie mit der Implementierung von Lösungen.
in den Bereichen Data Loss Prevention (DLP)
oder Database Activity Monitoring (DAM) zu
erreichen. Diese Ansätze seien zwar richtig,
aber keineswegs ausreichend. Die Implementierung zuverlässiger Lösungen für die
automatische Verwaltung von privilegierten
Benutzerkonten sollte für jedes Unternehmen
selbstverständlich sein, zumal das Gefahrenpotenzial kontinuierlich steige.
IT-Sicherheit – Einzelhandel
Mit sicheren Netzwerk-Infrastrukturen
für den Einzelhandel befasst sich Stefan
Herrlich, Lancom Systems, in der Ausgabe
3-2013 des Fachmagazins POSMANAGER
Technology (S. 46/47). Die Gefahren der
Cyberkriminalität machten mittlerweile auch
vielen Handelsunternehmen zu schaffen
(Wirtschaftsspionage durch Datendiebe, „Man
in the middle“-Angriffe, gezielte Sabotage
durch Denial of Service-Attacken). Ein ganzheitliches Sicherheitskonzept für Einzelhandelsketten beginne mit der Filialanbindung.
Als Schnittstellen zwischen den lokalen
Netzen auf der einen und dem Internet auf
der anderen Seite komme ausfallsicheren
Gateways im Rechenzentrum des Unternehmens, die über abgeschirmte VPN-Tunnel
mit den Netzwerk-Routern an den einzelnen
Standorten verbunden sind, eine zentrale Bedeutung bei der Abwehr von Web-Angriffen
zu. Auch professionelle Netzwerk-Router
könnten eine entscheidende Sicherheitslücke
durch sogenannte Backdoors aufweisen, die
Hackern einen leicht zu öffnenden Zugang
zu Unternehmensnetzen und dem darin verborgenen Wissen bieten. Auch innerhalb des
POS stiegen mittlerweile die Anforderungen
an die Sicherheit. Viele Filialen benötigten
heute Multiservice-Netzwerke, bei denen verschiedene Anwendungen oder Nutzer strikt
voreinander getrennt sind. Die VLAN-fähigen
Netzwerkkomponenten ermöglichten es, auf
Basis eines physikalischen Netzes verschiedene, unabhängig voneinander existierende,
Subnetze einzurichten, auf die jeweils nur
die befugten zugreifen können. Wichtig sei
die Einrichtung geschützter Gastzugänge im
WLAN und die Integration mobiler Kassensysteme über durchgängig PCI-kompatible
Infrastrukturen.
IT-Sicherheit – Elektronische Signatur
Online-Kriminelle haben oft Erfolg damit,
Schwachstellen auszunutzen, die zwar
längst behoben wurden, die entsprechenden Aktualisierungen wurden jedoch nicht
installiert, stellt die FAZ am 6. September
fest.Um dieses Problem endlich besser in
den Griff zu bekommen, betreibe die ITIndustrie seit über zehn Jahren eine Initiative, die unter vertrauensheischenden Namen
wie „Trusted Computing Group“ oder “Secure Boot“ daherkomme. In das Herz des digitalen Geräts solle ein spezieller Chip eingebaut werden, der prüft, ob Betriebssystem
und Software, die ausgeführt werden sollen,
über die richtigen elektronischen Unterschriften verfügen. Schadsoftware, so die
Theorie, hätte es damit viel schwerer, sich
auf dem Computer oder Telefon einzunisten. Den ersten Varianten dieses Konzepts
sei der durchschlagende Erfolg versagt geblieben. Berechtigtes Mißtrauen der Käufer
spiele eine Rolle beim Scheitern. Schließlich
sei der Chip hervorragend geeignet, dafür
zu sorgen, dass nur bezahlte Betriebssysteme und Software funktionieren, aber
geborgte Kopien nicht liefen. Das Produkt
verspreche totale Kontrolle über den als
unzuverlässig angesehenen Nutzer – im
Namen der Sicherheit. Microsoft möchte für
die neue Generation seines Betriebssystems
vorschreiben, dass es überhaupt nur noch
funktioniert, wenn der PC oder das Tablet
über einen entsprechenden „Trust“-Chip
verfügt. Bei der Installation werde dann ein
kryptographischer Verbund zwischen Chip
und Betriebssystem geschmiedet, der dazu
führe, dass sich nur noch genau dieses System auf dem Computer starten lasse. Gehe
der Chip allerdings kaputt oder möchte
der Nutzer seine Festplatte in einen neuen
Computer stecken, habe er Pech gehabt.
Heise online meldet am 15. Oktober, der
Industrieausschuss des EU-Parlaments habe
den Weg frei gemacht für einen Verordnungsentwurf der EU-Kommission, mit
dem die Nutzung elektronischer Signaturen
und vergleichbarer Identifikationssysteme
vereinfacht und harmonisiert werden solle.
Die Abgeordneten möchten damit Unternehmen, Behörden und Bürgern die Möglichkeit geben, Dokumente elektronisch zu
unterzeichnen und zu zertifizieren.
Die Mitgliedstaaten sollten verpflichtet
werden, eID-Systeme anderer EU-Länder
offiziell anzuerkennen. Das neue deutsche
E-Government-Gesetz lasse neben der
qualifizierten elektronischen Signatur alternative Technologien für den elektronischen
Ersatz der Schriftform zu und wolle so
weitere Einsatzmöglichkeiten für die
eID-Funktion des neuen Personalausweises
und De-Mail schaffen.
89
90
IT-Sicherheit – Elster
Nach einer Meldung von heise security vom
7. März soll bei der elektronischen Steuererklärung („Elster“) in Zukunft nicht mehr
das sicherheitsanfällige Java zum Einsatz
kommen. Die Steuerverwaltung suche
nach Lösungen, die auch ohne Java genutzt
werden können. Die in jüngster Zeit gehäuft
auftretenden Sicherheitsprobleme habe man
im Jahr 2005 bei der Plattformentscheidung
nicht vorhersehen können, habe ein Sprecher erklärt. „Die aktuelle Diskussion über
Java hat die Steuerverwaltung jedoch veranlasst, nach Lösungen zu suchen, welche die
Nutzung des ElsterOnline-Portals kurzfristig auch ohne Java zulassen, ohne auf die
Nutzung von sicherer Zertifikatstechnologie
verzichten zu müssen.“
IT-Sicherheit – E-Mail-Sicherheit
Eine sichere und rechtsverbindliche E-mail
muss vier Kriterien erfüllen (Süddeutsche
Zeitung am 28. Februar): die lückenlos
sichere Übertragung, die Sicherheit des
Inhalts, die eindeutige Identifizierung von
Absender und Empfänger sowie eine
rechtsverbindliche Unterschrift. Diese
Anforderungen erfülle die De-Mail, für die
das Bundesinnenministerium zusammen
mit dem BSI die technischen Standards und
gesetzlichen Rahmenbedingungen geschaffen habe. In Kürze werde auch die Deutsche
Post mit einem eigenen Angebot dabei sein.
In der Branche viel beachtet werde auch das
Start-up Tutao, dessen.Webapplikation.eine
automatische und durchgehende Ende zu
Ende-Verschlüsselung biete. Einen interessanten Ansatz habe auch die Hamburger
Firma Ojooo mit dem Service „Splitting Mail“
entwickelt. Die S-Mail werde nach dem
Verfassen zerteilt.
Die Macher der alternativen Suchmaschinen Ixquick und Spartpage wollen E-MailDienste mit Verschlüsselung anbieten,
meldet.ZEIT ONLINE am 2. Juli. Die großflächige Überwachung des Internets durch
Geheimdienste habe viele Netznutzer
aufgeschreckt. Diskrete Suchmaschinen wie
DuckDuckGo oder Ixquick verzeichneten
stark gestiegene Zugriffszahlen. Die IxquickMacher wollten dieses Modell bald auch auf
den E-Mail-Verkehr ausdehnen. Startmail
heiße das Angebot, das derzeit in den USA
in der Beta-Testphase sei.Startmail biete die
Infrastruktur für ungestörten E-Mail-Verkehr –
sonst nichts. Es solle keine Auswertung der
Nachrichten geben, keine Werbevermarktung, keine Datenerhebung, keine Nutzerprofile. Bei Startpage würden nicht nur die
Postfächer verschlüsselt: Es solle auch die
Möglichkeit geben, E-Mails mit der Technologie PGP verschlüsselt zu übermitteln.
Wie die FAZ am 31. August meldet, hat der
BGH in einer kürzlich bekannt gewordenen
Entscheidung beschlossen, dass Unternehmen das Recht haben, auf verschlüsselten
E-Mails zu bestehen (Az: KVZ 57/12).
Unternehmen sind danach nicht verpflichtet,
interne Daten über eine ungesicherte E-MailVerbindung an eine Behörde zu schicken.
Auch soweit es sich nicht um Betriebs- oder
Geschäftsgeheimnisse handelt, sei es einem
Unternehmen nicht zumutbar, unverschlüsselt E-Mails als Übertragungsweg nutzen
zu müssen. Umgekehrt hatte das Verwaltungsgericht Berlin zu entscheiden, ob
Unternehmen sämtliche E-Mails oder die
Übermittlung besonders sensitiver Daten
grundsätzlich verschlüsseln müssen, wie
dies von Datenschützern teilweise gefordert
wird. Das Verwaltungsgericht hat dies abgelehnt. Ein Grund hier sei allerdings gewesen,
dass.die Betroffenen über die unverschlüsselte Übermittlung ihrer Daten informiert
waren und darin eingewilligt haben.
Wie die FAZ am 11. November berichtet,
hat das niederländische Unternehmen
Startpage kurz nach den ersten Enthüllungen Snowdens angekündigt, auch einen
sichereren E-Mail-Dienst anbieten zu wollen.
Derzeit gingen die Vorbereitungen in die
entscheidende Phase. Nach und nach sollten
50.000 angemeldet Erstnutzer für den Dienst
freigeschaltet werden. Der.Dienst.solle voraussichtlich rund vier Euro pro Monat.kosten.
Die elektronische Kommunikation zwischen
Bürgern und Ämtern habe dem „De-MailStandard“ zu folgen, so verlangt es das
Anfang August in Kraft getretene E-Government-Gesetz (FAZ am 12. Dezember). Doch
den hätten nur die Deutsche Telekom, der
Internetanbieter 1&1 und Francotyp Postalia
im Angebot. Die Deutsche Post habe sich
im Frühjahr aus dem Zulassungsverfahren
verabschiedet, weil sie die Vorschriften für
die Identifizierung der Kunden nicht hinnehmen wollte. Nun versuche das Unternehmen aber einen neuen Anlauf. Neue Zahlen
von 1&1 deuteten darauf hin, dass sich
zumindest die Unternehmen verstärkt mit
der rechtsverbindlichen digitalen Kommunikation befassen. Etwa zwei Drittel planen
demnach bereits mit De-Mail. Auch bei der
Telekom klopften immer mehr Großkunden
an, gerade aus der öffentlichen Verwaltung.
Inzwischen stehe man mit mehr als 300
Städten und kommunalen Unternehmen in
konkreten Gesprächen. Die Post versuche,
ihren E-Postbrief mit Zusatzanwendungen
wie Zahlungsfunktionen und dem Postscan,
einem elektronischen Nachsendeservice für
Briefe, attraktiver zu machen.
IT-Sicherheit – Embedded Systems
In der Ausgabe 5-2013 der Zeitschrift
<kes> (S. 59/60) befasst sich Jens Mehrfeld,
BSI, mit „eingebetteten Systemen“, die in
unterschiedlichen Geräten, Maschinen und
Anlagen zum Einsatz kommen, häufig an ein
Netz angeschlossen sind und Zugang zum
Internet besitzen. Ein großes Problem bilde
neben den technischen Angriffspunkten das
fehlende Sicherheitsbewusstsein. Was sei zu
tun? Die Sicherheitshinweise des Herstellers
müssten beachtet werden. Die Standardkonfiguration der Geräte sei anzupassen. Die
Verbindung mit dem Internet sollte möglichst nur anlassbezogen und für kurze Zeit
hergestellt werden. Für den Fall der Internetverbindung sollten die Sicherheitsmechanismen des Routers genutzt werden.
IT-Sicherheit – Endgeräte
SecuPedia zeigt in seinem Newsletter 9/13,
wie ein Secure Web Gateway PCs und
mobile Geräte vor Angriffen aus dem Netz
schützt. Die Angriffsfläche für Cyberattacken
sei größer geworden. Immer mehr Unternehmen setzten webbasierte Anwendungen
wie Google Mail ein, kommunizierten in
sozialen Netzwerken und über Microblogging oder streamen multimediale Inhalte
und bewegten sich in der „Cloud“. Webbasierte Gateways, die sogenannten Secure
Web Gateways (SWGs), funktionierten wie
ein Torwächter, der sich auf die Malware-
Abwehr an der Grenze zum Internet konzentriert und beispielsweise die Social MediaRichtlinien des Unternehmens überwacht.
Das SWG enthalte folgende Technologien:
URL-Filter (Uniform Resource Locator),
Technologien, um Schadsoftware aufzuspüren und zu filtern und systematische
Kontrolle auf der Anwendungsebene für alle
gängigen Web 2.0-Applikationen. SWGs
seien spezialisierter und dadurch effizienter
als URL oder anwendungsbezogene Filter.
Der Sicherheitsanbieter gateprotect habe
eine eigenständige Plattform entwickelt,
91
92
die ein neuartiges.WebGUI (graphical user
interface) mit den Funktionen eines SWG auf
einer leistungsstarken Hardware kombiniere.
Die technische Struktur der SWG-Plattform
entlaste zum einen die Firewall, zum anderen könne eine spezialisierte Plattform viel
schneller auf Bedrohungen reagieren. Bei
dem von gateprotect entwickelten WebGUI
könnten mehrere Administratoren gleichzeitig Einstellungen und Regeln verändern. Das
spare Zeit. Eine „Konflikterkennung“ erfasse
konkurrierende Änderungen verschiedener
Administratoren. Grundsätzlich unterstütze
die Plattform sowohl IPv4 als auch IPv6.
IT-Sicherheit – EU
Die EU-Kommission intensiviere den
Kampf gegen Angriffe von Hackern auf
öffentliche Einrichtungen und Unternehmen,
berichtet die FAZ am 4. Februar. Die Opfer
solcher Attacken sollen dazu verpflichtet
werden, diese zu melden. Gelten würde die
Meldepflicht für die Finanzbranche, aber auch
für die Energie-, Gesundheits- und Verkehrsunternehmen sowie Internetanbieter. Die
Unternehmen sollten größere Vorfälle den
nationalen Behörden melden. Dabei gehe es
nicht nur um Vorfälle, die den Verlust persönlicher Daten betreffen, sondern um jedwede
ernsthafte Schäden für die Sicherheit des
Datennetzes – also letztlich auch durch Naturkatastrophen verursachte Schäden. Im Mittelpunkt ständen allerdings eher Betrugsversuche und die gezielte Überlastung der Server
durch Angriffe von Hackern. Die EU-Staaten
würden aufgefordert, nationale Strategiepläne
für den Kampf gegen die Kriminalität im Internet vorzulegen. Jede Regierung solle eine
zentrale Einrichtung für die Cyber-Abwehr
aufbauen sowie Notfall- und Abwehrpläne erstellen. Die bestehende Selbstregulierung der
Wirtschaft reiche nicht mehr aus. Tatsächlich
meldeten viele Unternehmen Angriffe von
Hackern nicht, weil sie den damit verbundenen Imageschaden vermeiden wollten. Die
Deutsche Telekom registriere nach Angaben
von René Obermann täglich bis zu 400.000
Angriffe im eigenen Netz.
Wie heise online am 9. Januar berichtet,
nahm das Europäische Zentrum zur
Bekämpfung der Cyberkriminalität am
10. Januar seine Arbeit auf. Das bei Europol
in Den Haag angesiedelte Zentrum solle die
EU-Staaten „operationell unterstützen und
Fachwissen in die gemeinsamen Untersuchungen auf EU-Ebene einbringen“. Dabei
sollten sich die Ermittler auf organisierte
Kriminalität im Cyberspace konzentrieren.
Schwerpunkte sollten sexuelle Ausbeutung
von Kindern im Internet sowie Finanzdelikte
sein. Zudem sollten sich die EU-Cybercops
mit Attacken auf kritische Infrastrukturen und
Informationssysteme befassen.
Heise online berichtet am 7. Februar, die
EU-Kommission habe ihren neuen „Cybersicherheitsplan“ sowie einen Richtlinienvorschlag für Netz- und Informationssicherheit
vorgestellt, mit dem eine Meldepflicht für
Cyberangriffe eingeführt werden solle. Jeder
Mitgliedstaat solle eine für die Informationssicherheit zuständige Behörde einrichten.
Betreiber kritischer Infrastrukturen in bestimmten Bereichen (Finanzdienste, Verkehr,
Energie und Gesundheitswesen) sowie
Anbieter wichtiger Dienste (etwa App-Stores,
eCommerce, Zahlungssysteme, Cloud-Computing, Suchmaschinen und soziale Netze)
und öffentliche Verwaltungen müssten „große
Sicherheitsvorfälle“ melden.
ENISA hat Anfang Januar eine umfangreiche
Analyse über Gefahren im Internet veröffentlicht. Als die zehn größten Bedrohungen werden benannt: Drive by-Exploits,
Würmer/Trojaner, Code Injection-Angriffe,
Exploit-Kits, Botnets, distributed Denial of
Service-Attacken, Phishing, Datenpannen,
Rogue-Software/Scareware und Spam. ENISA erörtert die erwartete Entwicklung dieser
Gefahren und liefert Schlussfolgerungen, wie
die Industrie und andere relevante Akteure
Bedrohungen aus dem Internet effektiver
bekämpfen könnten ( Ausgabe 2-2013 der
Fachzeitschrift <kes>, S. 82).
Der EU-Rat hat den umstrittenen Richtlinienentwurf über Angriffe auf Informationssysteme abgesegnet, meldet heise
Security am 24. Juli. Er sehe unter anderem
bei illegalem Zugriff auf vernetzte Geräte,
rechtswidrige Beeinträchtigung von Systemen sowie unerlaubtem Abhörten nicht-öffentlicher Datenübertragungen Höchststrafen
von mindestens zwei und in schweren Fällen
von mindestens fünf Jahren Haft vor. Kriminalisiert werde auch, wer Werkzeuge verkauft,
sich beschafft oder verbreitet, mit denen
Cyber-Angriffe ausgeführt oder automatisch
Passwörter herausgefunden werden können.
Eine Strafe von mindestens drei Jahren Haft
sei vorgesehen, wenn Botnetze verwendet
werden. Angriffe auf „kritische Infrastrukturen“ wie Kraftwerke, Verkehrsnetze und
Regierungsnetzwerke könnten zu fünf Jahren
Gefängnis führen.
Die European Network and Information
Security Agency (ENISA) hat ihren Jahresbericht über IT- und Netzausfälle für 2012
vorgelegt, meldet <kes> in der Ausgabe
3-2013 (S. 99). In 18 EU-Ländern sei
es zu 79 signifikanten Vorfällen der vier
Dienstekategorien Festnetz- und Mobilfunk,
Internet und mobiles Internet gekommen.
Die häufigsten Ursachen für die Ausfälle
seien Hard- und Software-Fehler gewesen.
Cyberattacken seien nur sechsmal ursächlich
gewesen, und nach durchschnittlich drei
Stunden seien die Dienste wieder gelaufen.
Naturereignisse seien ebenfalls nur
selten ursächlich gewesen. Allerdings habe die
Beseitigung solcher Ausfälle besonders
lange gedauert.
Konservative und Sozialdemokraten wollen
für eine europäische Cyber-Sicherheitsstrategie eintreten und „Maßnahmen zur
Rückgewinnung der technologischen Souveränität ergreifen“, berichtet heise online am
14. November.
IT-Sicherheit – Firewall
Dr. Markus Müller, secunet Security Networks AG, befasst sich in der Ausgabe
6-2013 der Zeitschrift <kes> mit Web
Application-Firewalls, die dediziert auf den
Schutz von Webapplikationen und -services
ausgelegt seien und diverse Mechanismen
zum Schutz gegen die Bedrohungen gemäß
OWASP (Open Web Application Security
Project) mitbrächten. Denn mit klassischen
Schutzkomponenten wie Netzwerk-Firewalls
seien Angriffe auf Webapplikationen nicht zu
verhindern. Der Autor beschreibt notwendige Schutzmaßnahmen: Maßnahmen zur
Härtung der Plattform gegen Web-Angriffe,
Maßnahmen zur Härtung von Webapplikationen, Next Generation-Firewalls und Web
Application-Firewalls (S. 74–87).
IT-Sicherheit – Hackingabwehr
Google zahlt Hackern 150.000 Dollar pro
Angriff auf den Browser Chrome, berichtet
DIE WELT Kompakt am 30. Januar. Google
wolle Hacker für einen guten Zweck zum
Einbruch in das eigene Betriebssystem
anstacheln. Dafür lobe es bis zu 3,14 Millionen Dollar Preisgeld aus. So wolle der
Konzern möglichen Sicherheitslücken in dem
Google-Betriebssystem Chrome auf die Spur
kommen. Das Ausloben von Preisgeldern für
Hacker sei eine beliebte Praxis der InternetKonzerne, um Sicherheitslücken in den
eigenen Systemen aufzudecken.
93
94
Bundesinnenminister Hans-Peter Friedrich
habe vor der Münchner Sicherheitskonferenz dafür geworben, den Kampf gegen
Hackerangriffe auf Regierungsstellen und
Unternehmen auszuweiten, meldet heise
security am 31. Januar. Man müsse sehen,
dass unser ganzes Leben, ob Wirtschaft oder
Daseinsvorsorge, von Netzen gesteuert sei.
Und das erhöhe natürlich auch die Anfälligkeit gegenüber Angriffen auf diese Netze. Er
wolle alle Betreiber zu einem „gemeinsamen
Sicherheitsniveau“ überreden. Friedrich habe
sich außerdem erneut für Meldepflichten
bei erheblichen Angriffen auf ein System
ausgesprochen.
Google bietet Hilfe für Betreiber infizierter Webseiten an, meldet heise online am
14. März. Sei eine Webseite gehackt und verteile Spam oder Malware, dann wolle Google
unter www.google.com/webmasters/hacked
mit einfachen, möglichst allgemein verständlichen Anleitungen beim Reinigen der Webseite behilflich sein. So sollen infizierte Webseiten schnell wieder zugänglich sein und rasch
von Blacklists entfernt werden. Das Angebot
richte sich vor allem an Webseitenbetreiber,
die mit dem Desinfizieren ihrer Webseiten
überfordert sind. Dementsprechend niederschwellig seien auch die erklärenden Videos
der Kampagne angelegt.
Andreas Bunten, Controlware GmbH, weist
in der Ausgabe 2-2013 der Zeitschrift <kes>
auf den Ende 2012 veröffentlichten Bericht
der Europäischen Agentur für Netz- und
Informationssicherheit (ENISA) zum Thema
Honeypots hin, der ausführlich aktuelle Open
Source-Projekte und ihre Praxistauglichkeit
untersuche. Der Autor erläutert fünf verschiedene Einsatz-Szenarien für Honeypots im
Unternehmen: Ablenkung der Angreifer in
der „Demilitarisierten Zone“(DMZ), Intrusion
Detection-System im internen Netzwerk, Angriffsfrüherkennung für Webanwendungen,
Erkennung manipulierter Webserver-Inhalte
und Honey-Daten als Alarmanlage auf dem
File-Server (S. 66–69). <kes> enthält eine
Marktübersicht über 19 Anbieter von Intru-
sion Detection-/-Prevention-Systems, die
Auskunft über 21 Lösungen zur Angriffserkennung und –abwehr geben (S. 72–77).
Die Deutsche Telekom fährt eine neue
Strategie gegen Cyber-Angriffe, schreibt der
Behörden Spiegel in der April-Ausgabe. Mit
der Auslage von insgesamt 90 „Honeypots“
weltweit wolle sie Hacker in die Falle locken,
deren Vorgehensweise analysieren, sich
darauf einstellen und somit einem möglichen Schaden vorbeugen. Die Auswertung
dieser Angriffe stelle das Unternehmen in
Form eines Online-Lagebildes über globale
Sicherheitsangriffe auch Sicherheitsexperten, Herstellern von Sicherheitssoftware
sowie Behörden zur Verfügung. Ausgewertet würden dabei bis zu 450.000 Angriffe
pro Tag, die in Echtzeit dargestellt werden.
Nach diesem Lagebild kämen die meisten
Angriffe derzeit aus Russland, Taiwan und
Deutschland. Besser gesagt: Sie werden von
zu Botnetzen umfunktionierten Computern in
diesen Ländern vorgenommen. Die Deutsche
Telekom wolle die Zahl ihrer Honeypots zukünftig weiter ausbauen. So sollen diese etwa
auch Smartphones simulieren, um auch die
Angriffe auf diese mobilen Medien untersuchen zu können.
SPIEGEL ONLINE berichtet am 6. August
über einen „Honeypot“ als simuliertes
Wasserwerk, das Hacker in die Falle gelockt
habe. Ein Schadsoftware-Experte in den USA
habe die nachgemachte Pumpstation ans
Internet angeschlossen. Bekannt geworden
seien solche.Steuerungsanlagen durch den
Stuxnet-Wurm. Mit der 2010 entdeckten
Schadsoftware waren die Scada-Systeme
der iranischen Atomaufbereitungsanlage in
Natanz manipuliert und so Hunderte dort
zu Urananreicherung benutzten HightechZentrifugen überlastet und zerstört worden.
Spätestens seitdem würden Scada-Systeme
als einer der Angriffspunkte für den echten
Cyberwar gelten. Binnen weniger Tage habe
der Schadsoftware-Experte etliche Angriffe
aus verschiedenen Ländern registriert. Um
noch mehr Attacken zu provozieren, habe
er das System mit virtuellen Komponenten
nachgebildet, die er an acht Orten quer über
den Globus verteilt habe. Etwa die Hälfte sei
von chinesischen Rechnern ausgegangen.
„London testet Hacker-Abwehr per
Cyber-Kriegsspiel“ durch den Finanzsektor,
meldet SPIEGEL ONLINE am 12. November.
Die streng geheime Operation trage den
Titel „Erwachender Hai II“. Man wolle unter
anderem ermitteln, wie Institute bei einem
schweren Angriff auf die ITZ die Versorgung
von Geldautomaten sicherstellten, wie man
Hacker-Attacken auf die Börse begegne und
wie effizient Banken im Krisenfall untereinander und mit den Behörden kommunizierten.
Ein besonderer Fokus werde auf das Investmentbanking gelegt.
IT-Sicherheit – IBM
Das insbesondere bei großen Firmen weit
verbreitete Mail- und Workgroup-System
Notes/Domino von IBM habe ein riesiges
Sicherheitsproblem, das jetzt mit einem
Update beseitigt werden soll, meldet heise
online am 2. Mai. Schon beim Öffnen einer
E-Mail könne ein Notes-Nutzer seinen PC
mit Spionage-Software infizieren. In Web-
Seiten eingebettenes Java sei seit geraumer
Zeit als potentielles Sicherheitsproblem in
Verruf geraten. Auch das ungefragte Ausführen von JavaScript-Code beim Leser einer
Mail könne unerwünschte Nebenwirkungen
zeigen. Deshalb schalteten eigentlich alle
Mail-Programme bei der Anzeige von HTMLMails sowohl JavaScripts als auch Java ab.
IT-Sicherheit – Identity- and Access-Management (IAM)
Roman Schätzle, IPG AG, befasst sich in der
Fachzeitschrift <kes> (Ausgabe 1-2013)
mit der wirksamen Kontrolle von Mitarbeiterberechtigungen und stellt Bausteine für
eine Access-Controlprüfung vor. Zunächst
müssten Prüfungs- und Kontrollziele eindeutig bestimmt werden. Die zur Erfüllung der
Ziele nötigen und aufbereiteten Daten sollten
in eine speziell für die Analyse von Zugriffsrechten entwickelte Software importiert
werden. Erkannte Risiken und empfohlene
Maßnahmen seien zu beschreiben. Die
Qualität einer Access-Controlprüfung werde
gesteigert, wenn man den Mitarbeiter, der die
Zugriffe auf Daten genehmigt, in die Pflicht
nimmt. Die gefundenen Risiken sollten per
Stellungnahme der „Genehmiger“ beantwortet und signiert werden (S. 55–57).
Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts
seien umfassend, zeigt sich Jochen Koehler,
Cyber-Ark, in der Fachzeitschrift IT-Security
(Ausgabe 1-2013, S. 16/17) überzeugt.
Insgesamt stelle sich nicht die Frage, ob eine
„Privileged Identity Management“-Lösung
(PIM) Fluch oder Segen bedeute. Eine zentralisierte, automatisierte und sichere Verwaltung von administrativen Benutzerkonten,
die einen uneingeschränkten Zugriff auf alle –
auch vertraulichen – Unternehmensdaten
ermöglichen, sei heute unverzichtbar.
Franca Kopperger und Ingo Kautz, punktgenau business consulting, und Prof. Roland
Böttcher, Hochschule Bochum, stellen in
der Juliausgabe der Fachzeitschrift <kes>,
S. 11–14, „Secure User Management“, ein
Prozessmodell für IAM, vor. Der Erfolg
von IAM-Projekten hänge weniger von der
eingesetzten technischen Lösung selbst als
vielmehr von funktionieren Prozessen ab. Das
Secure User Management-Prozessmodell
binde in einem technisch ausgerichteten
Projekt auch die nicht-technischen Abteilungen des Unternehmens ein und mache damit
die Einführung einer IAM-Lösung nachhaltig
und erfolgreich. Die Autoren behandeln die
95
96
Schwerpunktfelder Organisation, Technology
und Governance. Das vorgestellte Prozessmodell sei ein Ansatz, der die Prozesse im
IAM standardisiert zusammenfasse.
In derselben <kes>-Ausgabe plädiert Dipl.Phys. Oliver Schonschek, IT-Fachjournalist,
für ein hybrides IAM, das auch Cloud-Anwendungen und mobile Geräte berücksichtigt. Laut einer Ponemon-Studie wünschten
sich 64 % der befragten IT-Verantwortlichen.
Die Lösungen vereinheitlichten nicht nur
Passwörter oder andere Zugangsverfahren,
sondern verwalteten auch zentral Rollen
und Berechtigungen. Typische Funktion
hybrider IAM-Lösungen seien: Schnittstellen
zur Anbindung von Verzeichnisdiensten,
Anwendungen und Clouds; Importieren und
Vorhalten von Identitäts- und Berechtigungsdaten sowie Nutzerrollen; Unterstützung bei
der Definition zentraler Identitäten und Rollen für alle angeschlossenen Anwendungen;
Definition von Zugangs- und Zugriffsrichtlinien sowie Unterstützung bei der Durchsetzung; Berücksichtigung von Risikomodellen
zur dynamischen Anpassung der Zugangsund Zugriffskontrolle; Übersichten und
Reports zu Zugriffsaktivitäten bei Geräten,
Anwendungen und Clouds; Angebot von Self
Service-Funktionen für Nutzer zur Entlastung
der Administration; Sicherheitsverfahren wie
Single Sign On, Mehrfaktoren-Authentifizierungen und VPN (S. 15–17).
In der Fachzeitschrift IT-Security (Ausgabe
2-2013, S. 13–15) erläutert Urs Biggeli, United Security Providers AG, warum Network
Access Control (NAC) mehr und mehr zu
einem zentralen Element der IT-Infrastruktur
wird. Neben der Sicherheit, dass keine
fremden Endgeräte am Netzwerk angeschlossen werden, liege der Hauptnutzen
einer NAC-Lösung darin, den Überblick im
Netzwerk zu wahren und dessen Verwaltung
in einem hohen Maße zu erleichtern. Dadurch
reduzierten sich erwiesenermaßen auch die
Betriebsaufwände. Heutige NAC-Lösungen
würden bei der Umsetzung von Mobile-Securitystrategien und BYOD-Konzepten helfen.
Armin Simon, SafeNet, beklagt in dem
<kes>-Special vom Oktober 2013, man sei
trotz der Berichte über Datendiebstahl beim
Schutz der Daten bisher nicht wirklich weiter
gekommen. Daten ließen sich inzwischen
mit modernen Verschlüsselungs- und IAMLösungen zuverlässig schützen. Es gebe eine
Methodik, die sich auf einfache Hauptpunkte
reduzieren lasse: Identifiziere die wichtigen
Daten, verschlüssele sie, pass‘ auf die Schlüssel auf und regele zuverlässig den Zugriff
durch Identity- and Access-Management.
IT-Sicherheit – Industrieanlagen
Hunderte Industrieanlagen in Deutschland
seien kaum vor Hackerangriffen geschützt,
berichtet heise online am 2. Mai. Heise Security habe unter anderem Fernwärmekraftwerke, wichtige Rechenzentren, eine Justizvollzugsanstalt und ein Stadion entdeckt,
dessen Industriesteuerungen sorglos mit
dem Internet verbunden waren. Man habe
sich durch eine triviale Sicherheitslücke
als Techniker anmelden und die Kontrolle
übernehmen können. Zahlreiche Betreiber
von Industrieanlagen hätten ihre Steuerungsmodule leichtsinnig mit dem Internet
verbunden. Heise Security sei auf hunderte,
öffentlich erreichbare, IP-Adressen von
virtuellen Schaltzentralen gestoßen, die
ohne effektive Authentifizierung sperr
angelweit offen standen. Unter den aufgespürten Anlagen befänden sich
etwa Fernwärmekraftwerke, die mehrere
tausend Einwohner mit Wärme
versorgen. Generell sei es fahrlässig,
eine Industriesteuerung direkt über das
Internet zugänglich zu machen. Sei es
nötig, ein solches System aus der Ferne
zu administrieren, müsse man einen
verschlüsselten VPNB-Tunnel mit starker
Authentifizierung einrichten.
Prof. Eberhard von Faber und Wolfgang
Behnsen, T-Systems, stellen in Ausgabe
3-2013 der Zeitschrift <kes>. die Referenzarchitektur ESARIS (Enterprise Security
Architecture for Reliable ICT Services) zur
Absicherung von komplexen Produktionslandschaften vor. Anwender könnten
damit Angebote vergleichen und bewerten,
während Service-Provider eine umfassende
Vorlage zur Implementierung und Pflege
aller Sicherheitsmaßnahmen, auch des
Service-Managements, erhalten. ESARIS sei
ein „real-world“ Ordnungs- und Standardisierungsschema. Es umfasse a) alle Phasen der
Geschäftsanbahnung, der Service-Transition
bis zur Bereitstellung zum Betrieb, b) den
Service-Betrieb selbst einschließlich dem
Service-Delivery-Management sowie c) der
Service-Entwicklung einschließlich ServicePortfolio-Management. Für alle diese Bereiche definiere das Schema organisatorische,
prozessbezogene und technische Sicherheitsmaßnahmen in Form von Standards
(S. 52–55).
Dr. Frederico Crazzolara, krügernetwork
GmbH, befasst sich in Ausgabe 5-2013 der
Fachzeitschrift <kes> mit der Sicherheitsinfrastruktur für „smarte“ Versorgungsnetze
(S. 26–33). Intelligente Versorgungsnetze,
so genannte Smart-Grids, sollen flexibler
auf Energieeinspeisungen und auftretende
Spitzenlasten reagieren können. Dabei kämen für eine bessere Koordinierbarkeit von
Stromerzeugung und -bedarf intelligente
Messsysteme zum Einsatz – Smart-Meters.
Solche Systeme führten personenbezogene Daten zusammen, verarbeiteten und
leiteten aufbereitete Daten weiter. Für sie
würden daher hohe Anforderungen an
Datenschutz und Datensicherheit gelten.
Der Autor behandelt das Prinzip Security
by Design, digitale Zertifikate, mehrseitige
Hardware und ECC als Security-Grundlage,
„hoheitliche Vertrauensanker“ (die Stammzertifizierungsstelle der Smart-Meter-PKI
wird vom BSI implementiert und zentral zur
Verfügung gestellt) und die Verantwortung
der Gateway-Administratoren. Die Gate-
way-Administration sei die bedeutendste
technische Smart-Metering-Dienstleistung.
Es bleibe noch viel zu klären und zu tun,
bis ein „intelligentes“ Versorgungsnetz zur
Verfügung steht.
Die Agentur für Netz- und Informationssicherheit der EU (ENISA) hat nach einer
Meldung von heise online vom 5. Dezember
einen Ratgeber zum Aufbau von CERTs für
Sicherheitslücken in industriellen Kontrollsystemen herausgegeben. Der Leitfaden richte sich an Organisationen aus den
Mitgliedsländern der EU, liste empfohlene
Prozesse und Erfahrungswerte auf und gebe
Hilfestellung für die Einrichtung eines CERT.
Nach der US-Standardisierungsbehörde
NIST und dem BSI sei dies das dritte in den
letzten Monaten erschienene Dokument,
das sich mit der Absicherung von kritischer
Computerinfrastruktur befasst. Anders als
die Leitlinien des BSI und der NIST, die sich
auch mit Prävention in den Unternehmen
beschäftigen, setze sich das ENISA-Papier
hauptsächlich mit organisatorischen Abläufen bei CERTs auseinander.
Die ASW weist am 30. November auf die
Veröffentlichung des „ICS Security Kompendium“ des BSI hin, ein Grundlagenwerk
für die IT-Sicherheit in Automatisierungs-,
Prozesssteuerungs- und Prozessleitsystemen (Industrial Control Systems). Es
ermögliche sowohl IT-Sicherheits- als auch
ICS-Experten einen einfachen Zugang zum
Thema IT-Sicherheit in industriellen Steuerungsanlagen. Es bilde den Rahmen für
verschiedene Anwendungsbereiche industrieller Steuerungssysteme und diene als
gemeinsame Basis für Experten in Anwendungsgebieten wie Fabrikautomation und
Prozesssteuerung. Es eigne sich auch für
einen Einsatz in Lehre und Ausbildung, als
Einstiegslektüre für Berufsstarter, aber auch
zur Sensibilisierung von Herstellern, Integratoren und Betreibern. Darüber hinaus biete
es eine Grundlage, auf der entsprechende
Verbände und Organisationen weitergehende, sektorenspezifische Sicherheitsanfor-
97
98
derungen oder Handlungsempfehlungen
erarbeiten können. Es lege den Schwerpunkt
auf die Grundlagen sowie Empfehlungen zur
Cyber-Sicherheit für Betreiber industrieller
Anlagen. 2014 solle es mit weiteren Sicher-
heitsthemen fortgeschrieben werden. Das
Kompendium stehe kostenfrei auf der Webseite des BSI (unter https://www.bsi.bund.
de/ICS-Security-Kompendium) als Download
zur Verfügung.
IT-Sicherheit – Industrie 4.0
4-2013) geht Frederik Humpert-Vrielink,
CETUS Consulting GmbH, der Frage nach,
welche Probleme und Aufgaben durch
„Industrie 4.0“ auf IT-Sicherheitsverantwortliche zukommen. Die Kernproblematik
bewege sich in einem Dreiklang von IT-Architektur, Geschäftsprozessen und Sicherheitsmanagement, die in einer gemeinsamen
Strategie zusammenfinden müssten. Der
CISO werde bei Umsetzung aller Vorhaben im Rahmen der „intelligenten Fabrik“
sehr schnell zum strategischen Partner
des Geschäfts. Er sei zukünftig derjenige,
der nicht nur mitentscheidet, sondern der
auch maßgeblich die Wirtschaftlichkeit der
Sicherheit analysieren muss. Unwirtschaftliche Sicherheitsmaßnahmen würden sich in
der „Industrie 4.0“ nicht umsetzen lassen.
Das Umdenken weg von unidimensionalen
Risikobetrachtungen hin zu ganzheitlichen
Szenarien und Simulationen schaffe neue
Möglichkeiten, die Risiken für verschiedene
Angriffsvektoren wirtschaftlich und sicher zu
beherrschen (S. 56–59).
„Welche Gefahren lauern in der Industrie 4.0?“: Diese Frage stellt Dr. John Röcher
in TEC CHANNEL – IT im Mittelstand, 30.
August 2013. Industrie 4.0 bedeute eine
noch stärkere Vernetzung der Produktion
mit der klassischen IT. Da unter diesen
Voraussetzungen ein Hacker-Angriff jedoch
drastischere Folgen haben könne, müssten sich auch kleine und mittelständische
Unternehmen besonders sorgfältig um die
Sicherheit kümmern. Klassische Firewallund Antivirus-Technologien seien nicht mehr
ausreichend. Vielmehr seien ganzheitliche
Konzepte gefragt, die technische und organi-
satorische Maßnahmen vereinen. Noch größer als mögliche Angriffe von außen sei die
Gefahr von innen. So könnten einerseits die
eigenen Mitarbeiter aus dem Internet unbeabsichtigt Schadprogramme auf die zentralen IT-Systeme übertragen, die sich von dort
auf die Steuerungssysteme ausbreiten. Zum
anderen stellten auch Techniker oder Partner
eine Gefahr dar, wenn sie über mobile Geräte
auf die Systeme zugreifen können oder Dateien sowie Datenträger schicken, die Viren
enthalten. Das Ziel der Angreifer liege eher
in der Manipulation der Produktionsanlagen
als in der Spionage. Denn die Daten für die
täglich laufenden Standardprozesse seien
in der Regel nicht so wertvoll wie diejenigen
in Forschung und Entwicklung. Zur Abwehr
dieser Gefahren müssten im ersten Schritt
die Verantwortlichkeiten festgelegt werden.
Die klassischen IZ-Security-Systeme seien
zur Abwehr von Angriffen von außen erneut
zu überprüfen. Ein größeres Problem stelle
die Kopplung von Office-IT und Produktionsnetz dar. Im Falle komplexer Zulieferketten und vieler Partner reiche der Schutz
des eigenen Unternehmens nicht aus. Hier
seien auch die Externen über umfassende
Sicherheitsmaßnahmen und Richtlinien in
das Gesamtkonzept einzubinden. Seien die
organisatorischen Fragen geklärt, sollten
Unternehmen in einem Referenzprojekt in
einem Werk eine umfangreiche Sicherheitslösung aufbauen, die sich andere Niederlassungen praxisnah ansehen könnten.
Die FAZ befasst sich am 20. November mit
der Rolle der IT bei der sogenannten vierten
industriellen Revolution. Unternehmen
müssten sich über drei große Risiken bewusst werden. Sie müssten ihre vernetzte
Produktion vor zufälligen Angriffen schützen,
vor Viren und Würmern, die irgendwie in
das Betriebssystem gelangen. Den gleichen
Effekt könnten aber auch gezielte Angriffe
haben. Hacker könnten etwa die Produktionsprozesse manipulieren oder für Konkurrenzunternehmen wichtige Daten sammeln.
Das dritte Risiko: Die Produktions-IT müssen
fehlerfrei funktionieren. Seien sich Unternehmer der Risiken bewusst, sollten sie
zunächst festlegen, welche Person für die
IT-Sicherheit verantwortlich ist. Die Herausforderung dabei: Fabriken von Produktionsfirmen arbeiteten meist unabhängig vom
Konzern, die IT sollte aber möglichst einem
einheitlichen Standard folgen. Es müsse eine
gemeinsame Lösung für das Unternehmen
geben – wenn möglich auch mit Zulieferern
und Kunden.
Auch die Fachzeitschrift GIT thematisiert
(in Ausgabe 11-2013, S. 106–107) „Industrie 4.0“. Der Sicherheitsbegriff erhalte
eine völlig neue Dimension und werde zum
kritischen Erfolgsfaktor. Neben klassischen
Arbeitschutzmaßnahmen rücke die Sicherheit der IT sowie der Daten in den Vordergrund. Fabriken der „Industrie 4.0“ seien
ganz anders organisiert. Angriffe könnten
von innen und außen (hauptsächlich über
das Internet) erfolgen. Notwendig sei ihre
effektive Abwehr. Verschlüsselte Verbindungen, basierend auf einem IPsec VPN (Virtual
Private Networks) könnten die Fernwartung
solcher Anlagen absichern. Um Angriffe von
ihnen erfolgreich abzuwehren, seien die
Anlagenbauer gefragt, in ihre Systeme ein
hohes Maß an Grundsicherheit einzubringen
(„Security by Design“).
IT-Sicherheit – IT-Grundschutz
Dr. Clemens Doubrava und Isabel Münch,
BSI, stellen in der Ausgabe 1-2013 der
Zeitschrift <kes> den neuen IT-Grundschutz-Baustein „Webanwendungen“
vor (S. 43–46). Im Baustein werden 38
Gefährdungen und ebenso viele Maßnahmen behandelt, Injection-Angriffe ebenso wie die sichere Softwareentwicklung
der Webanwendungen, Authentisierung,
Session-Management, Einbinden von Daten
Dritter in eine Webanwendung, Abwehr
von Angriffen die DoS, Cross-Site RequestForgery und Clickjacking.
Stefan Stumm, Stefan Stumm IT-Sicherheit, Beratung & Schulung, stellt in Ausgabe 2-2013 der Fachzeitschrift <kes> die
Frage: Passt der BSI-Standard 100 (ITGrundschutz) für Netzbetreiber? Zu dem
Ziel der Erfüllung der Norm ISO 27001
gebe es zwei Wege: eine Anwendung von
ISO 27002 oder IT-Grundschutz. Beide
Wege böten entsprechend ihrer Grundtendenz Vor- und Nachteile. IT-Grundschutz
sei für den Einsatz beim Netzbetrieb geeignet und auch mindestens so effizient wie
die einzige Vergleichslösung. Werde der
BSI-Standard von der Bundesnetzagentur
für verbindlich erklärt, werde das nicht zum
Schaden der Netzbetreiber sein (S. 96/97).
In der Verlagsbeilage Mai 2013 der Zeitschrift <kes> beschreibt Konrad Buch,
synetics, die Schlüsselrolle der IT-Dokumentation im IT-Grundschutz (S. 12/14).
Die Software i-doit von Synetics sei dazu
gedacht, den erstrebten Zeitgewinn zu
liefern und zugleich die Qualität genau derzenigen Dokumentationen zu verbessern,
die zur Übersicht beitragen.
Wer IT- Grundschutz nach BSI einsetzt,
kommt spätestens, wenn es an die Zertifizierung geht, nicht um eine Software
zur Unterstützung der Prozesse herum,
ist Elmar Török, bits+bites, überzeugt
(<kes>, Ausgabe 4-2013, S. 77/78). Mit
dem GSTOOL biete das BSI ein bewährtes
Werkzeug an, aber auch andere Tools
passten, je nach Einsatzfall, zur Arbeit mit
dem IT-Grundschutz.
99
100
IT-Sicherheit – IT-Infrastruktur
Norbert Schirmer, Sirrix AG, betrachtet in der
Verlagsbeilage der Zeitschrift <kes> vom Mai
2013 zwei Architekturen, die das Dilemma
zu überwinden versuchen, dass die klassische Abwehrtechnik hinter der Kreativität
der Angreifer her hinkt: Browser in the Box,
als Produkt auch kurz „BitBox“, derzeit die
einzige Standardlösung mit dem Ansatz der
Desktop-Virtualisierung, und das RemoteControlled Browsers System (ReCoBS). Die
zentralen Schutzziele seien dabei der Schutz
von vertraulichen Daten und der Schutz der
internen Infrastruktur (Intranet) vor webbasierten Angriffen aus dem Internet. Beide
Systeme sicherten nicht den Browser ab,
sondern schützten den Arbeitsplatz-PC und
das Intranet vor dem Browser. Die BitBox
eigne sich auch für herausfordernde Anwendungsumgebungen. Ein ReCoB-System
bleibe aber weiterhin durchaus attraktiv für
Anwender mit Terminal-Server-Umgebungen
ohne mobile Nutzer oder für Szenarien, in denen ausschließlich Thin Clients zum Einsatz
kommen (S. 28–30).
Eberhard Schmolz, op5, befasst sich in dieser
Verlagsbeilage mit proaktivem IT-Monitoring. Es helfe, die Änderungsdynamik der
IT-Infrastrukturen zu verstehen. Es reduziere Probleme und Risiken, die aus einem
Fehlverhalten der Komponenten entstehen
können. Nagios – eine etablierte OpensourceMonitoringsoftware – werde als Industriestandard anerkannt. Das System unterstütze die
Überwachung einer Vielzahl von beteiligten
Infrastrukturobjekten von unterschiedlichen
Herstellern und Dienstleistern. Op5 Monitor
kommuniziere über Plugins mit den überwachten Objekten (S. 15–17).
Wenn es eine „boomende“ Dienstleistung in
der IT-Sicherheit gebe, dann sei es „SIEM“
(Security Information and Event Management), meint der Sicherheits-Berater in seiner
Ausgabe 9-2013 (S. 132/133). Gemeint sei
damit die zentrale Beobachtung und Auswertung aller relevanter Protokolldaten aus
IT-Systemen. Zwei Dinge machten SIEM aus
Sicht des Managements interessant: Es gebe
immer ein Dashboard, also eine komprimierte
Sicht auf das Thema. Und der Einsatz von
SIEM stehe für ein deutlich sichtbares und
nachweisbares Risikomanagement. Wer SIEM
einsetze, sei „compliant“.
Michael Dümesnil, Twinsoft GmbH, befasst
sich in der Juliausgabe von <kes> (S. 60–62)
mit der notwendigen Verfügbarkeit der
IT-Infrastruktur. Zunehmend ablaufkritischere Geschäftsprozessketten forderten
der IT-Infrastruktur eine besonders hohe
Verfügbarkeit ab. Unternehmen bräuchten
eine Verfügbarkeit exakt nach Bedarf, damit
sich die Investitionen in Hochverfügbarkeit (HV) auszahlen. Nach der Analyse und
Bemessung der Verfügbarkeitsansprüche aus
Geschäftssicht stehe der zweite Projektschritt
an: der Rückschluss von den definierten
ablaufkritischen Geschäftsprozessen auf die
IT-Infrastruktur mit ihren Komponenten. Diese
sollten wie ein operatives System ineinander
wirken. Steht das HV-Konzept und seine
technische Umsetzung, sei es ratsam, den
HV-Aufbau vor der Umsetzung durch eine
Machbarkeitsstudie abzusichern. Ein Baustein zur erreichbaren Verfügbarkeit eines
HV-Betriebs sei in hohem Maß von einer rein
menschlichen Komponente abhängig: von
der Fitness des zuständigen Personals im
Operating.
Kathrin Beckert, G Data, stellt in einem <kes>Special vom Oktober 2013 neue Netzwerklösungen für Unternehmen vor. Neben
technologischen Neuerungen hätten Administratoren künftig auch alle Android-Devices
fest im Griff. Die Lösung habe folgende
Produkteigenschaften: Hybridschutz, Mobile
Device-Management, einfache Administration
und mobilen Zugriff (S. 343/35).
Gereon Schroeder, UTC Climate, Controls &
Security, thematisiert in der Fachzeitschrift
Security insight (Ausgabe 6-2013, S. 26/27)
die Integration modernster Sicherheitstechnik in die bereits vorhandenen IT-Infrastrukturen des Finanzwesens. Aus Sicht
des Anwenders liege das wirtschaftliche
Optimierungspotenzial einerseits in der
Nutzung vorhandener Netzwerkstrukturen
zur Übertragung von Alarmmeldungen und
Videobildern. Von Vorteil sei andererseits die
Verwendung einheitlicher Hardware, die für
das Unternehmensnetzwerk zugelassen ist.
Die Übertragung von Alarm- und Videodaten
zwischen den Filialen und Leitstellen erfolge
in diesem Konzept über das Bankennetzwerk
des Endanwenders. Der Videoserver vor Ort
trenne dabei mittels zweier Netzwerkkarten
das lokale Videonetzwerk der Filiale vom
eigentlichen Bankennetzwerk und übernehme das Bandbreiten-Management, so dass
ein unkontrollierter direkter Zugriff auf die
Kameras nicht möglich ist.
IT-Sicherheit – IT-Organisation
3-2013, S. 40–43) beschreibt Günther
Ennen, BSI, Aufgaben, Befugnisse, Kompetenzen, Prozesse und Standards für den
„IT-Sicherheitsbeauftragten“.
Als Schatten-IT bezeichnet Sebastian Broecker, Deutsche Flugsicherung, in Ausgabe
5-2013 dieser Zeitschrift (S. 16–20) generell
alle Assets inklusive Hardware, Software und
Projekten, die an den offiziellen Beschaffungs- und Implementierungswegen einer
Firma vorbei in diese eingebracht werden.
Die Schatten-IT könne entweder mit „eigentlich“ guten Absichten implementiert werden
oder von vornherein klar egoistischen oder
kriminellen Zielen dienen. Der Autor behandelt Schatten-Hardware, Schatten-Software,
Schatten-Dienste und Schatten-Projekte.
Ansatzpunkte für eine Reduzierung solcher
Vorgänge sieht er in folgenden Empfehlungen: 1. Halten Sie in Ihrer Rolle als Securityverantwortlicher Augen und Ohren offen! 2.
Behalten Sie „die üblichen Verdächtigen“ im
Auge und suchen Sie den Dialog zu solchen
Mitarbeitern! 3. Wecken Sie Security-Awareness! 4. Bieten Sie Lösungen an! 5. Versuchen Sie, neben aller notwendigen Kontrolle
in Fragen zur IT auch als kooperativer Partner
zu gelten, um die Bildung geschlossener
Zirkel möglichst zu vermeiden!
Holger Gerlach und Felix Preussner, Schutzwerk GmbH, plädieren in der Ausgabe
6-2013 der Zeitschrift <kes> für einen praxisorientierten Umgang mit Schatten-IT. Sie
könne sogar das Gesamtsicherheitskonzept
eines Unternehmens kompromittieren. Doch
sie lasse sich auch als Chance verstehen,
Geschäftsprozesse zu optimieren und den ITBetrieb effizienter zu gestalten. Um SchattenIT möglichst von vornherein zu vermeiden,
seien keine außergewöhnlichen Maßnahmen
erforderlich. Es müsse zunächst gelingen, der
Geschäftsleitung und den Fachbereichsverantwortlichen den stetig steigenden Stellenwert der IT für den Unternehmenserfolg
zu vermitteln. Ein konsequent umgesetztes
Informationssicherheitsmanagement liefere
hierzu die notwendige Transparenz bezüglich
der IT-Abhängigkeit aller kritischen Geschäftsprozesse. Daraus sollte einerseits eine
zunehmende Sensibilität der Fachbereichsverantwortlichen erwachsen, andererseits
werde der Weg für die benötigten zusätzlichen Ressourcen bereitet (S. 10–14).
IT-Sicherheit – IT-Sicherheitsgesetz
In der Aprilausgabe berichtet der Behörden
Spiegel, BITKOM habe Nachbesserungen am geplanten IT-Sicherheitsgesetz des
Bundes gefordert. Der Entwurf enthalte drei
Schwerpunkte:
101
102
-Die Betreiber Kritischer Infrastrukturen werden zu einer Verbesserung des
Schutzes der von ihnen eingesetzten
Informationstechnik und zur Verbesserung
ihrer Kommunikation mit dem Staat bei
IT-Vorfällen verpflichtet.
-Telemediendiensteanbieter, die eine
Schlüsselrolle für die Sicherheit des CyberRaumes haben, werden stärker als bisher
hierfür in die Verantwortung genommen.
-Das BSI wird in seinen Aufgaben und
Kompetenzen gestärkt.
Im Gesetzestext solle klargestellt werden,
was mit „erheblichen IT-Sicherheitsvorfällen“
gemeint sei. Völlig unklar bleibe, welche Unternehmen in Zukunft als Betreiber Kritischer
Infrastrukturen eingestuft werden und deshalb IT-Sicherheitsvorfälle melden müssen.
Aus Sicht des BITKOM sollte sich das Gesetz
bei der Festlegung an der Definition des BMI
orientieren. Im übrigen setze sich BITKOM für
die freiwillige Meldung von IT-Sicherheitsvorfällen ein. Ein entsprechendes Meldesystem
sei unter www.allianz-fuer-cybersicherheit.de
bereits etabliert.
Vor dem Hintergrund der Spionageaktivitäten der USA im Internet formiere sich
in Deutschland breiter Widerstand gegen
das von Bundesinnenminister Hans-Peter
Friedrich geplante Cyber-Gesetz, berichtet
das Handelsblatt am 13. Juni. Alle Branchen,
von Telekommunikation, Internet-Serviceprovidern, Banken bis hin zu Energie lehnten den Gesetzentwurf wegen potentieller
Doppel- beziehungsweise Überregulierung
ab, heiße es in einem internen Vermerk aus
dem BMWi. Angesichts der Aktivitäten des
amerikanischen Geheimdienstes stehe allerdings infrage, wie sicher Daten noch sind und
welche Folgen dies für das Geschäft mit großen Datenmengen, den „Big Data“ habe. So
soll der Geheimdienst NSA direkten Zugriff
auf Server und damit auf die Kundendaten
amerikanischer Internetkonzerne wie Google
und Facebook haben.
Die Untergruppe Digitale Agenda der Koalitionsverhandlungen hat sich nach einer
Meldung von heise online vom 19. November
darauf geeinigt, Chancen für ein „freies und
sicheres Internet“ zu schaffen. Deep Packet
Inspection (DPI), mit der Dienste diskriminiert
und Nutzer überwacht werden, soll gesetzlich untersagt werden. Anonymisierung,
Pseudonymisierung und Datensparsamkeit“
sollten verbindliche Regeln werden. Um die
Netzneutralität zu wahren, wollten Union und
SPD einen „diskriminierungsfreien Transport
aller Datenpakete“ gewährleisten und als
Regulierungsziel im Telekommunikationsgesetz verbindlich verankern. Weiteres Ziel der
digitalen Bundesagenda sei es, bei Schlüsseltechnik und IT-Kernkompetenzen in Bereichen wie IT-Sicherheit, Netzwerktechnik,
integrierte Systeme, Unternehmenssoftware
oder Kryptographie „eigene Technologieplattformen und Produktionslinien“ in Deutschland
oder im europäischen Verbund zu halten.
„Software made in Germany“ müsse als Qualitätsversprechen etwa für Datenschutz und
Nutzerfreundlichkeit gestärkt werden.
IT-Sicherheit – KMU
Michael Gruber, BSP.SECURITY, erläutert
in Ausgabe 2-2013 der Zeitschrift <kes>
ISIS12, ein praxisnahes Verfahrensmodell,
um ein Informationssicherheits-Managementsystem (ISMS) mit integriertem IT-Service zu
etablieren und zu betreiben. Es sei speziell
für den Mittelstand entwickelt worden und
für diese Unternehmen als Einstieg in die Informationssicherheit gedacht, bevor der BSIIT-Grundschutz angegangen wird. Empfohlen
wird ein phasenweises Vorgehen (Initialisierungsphase, Aufbau- und Ablauforganisation
festlegen, Entwicklung und Umsetzung des
ISMS, S. 91–93).
Während das BSI im Netz jeden Tag 60.000
neue Schadprogramme ausfindig mache,
hat nach Darstellung der FAZ am 20. April
nur jedes zweite deutsche Unternehmen
ein digitales Sicherheitskonzept, das
den Namen verdiene und über die üblichen
Firewalls oder Passwörter hinaus gehe. Das
aber sei zu wenig. Denn herkömmliche digitale Schutzmauern könnten von Angreifern
heute leicht umschifft, Passwörter ohne viel
Aufwand ausgespäht werden Hier zeigten
sich vor allem mittelständische Unternehmen verwundbar. Sie müssten in Zeiten der
Dauerkommunikation via sozialer Netzwerke, internetfähiger Mobiltelefone, Tablet-,
Laptop- oder Personalcomputer ihre Systeme
besser abzusichern. Geschäftsführer sollten
ihre besonders schützenswerten Unternehmensdaten definieren und verschlüsseln
lassen. Zweitens dürften sie digitale Kundenkarteien nicht in allgemein zugängliche Netzwerke hängen. Drittens sollten sie mögliche
Wege angreifender Schadsoftware ausloten
und blockieren lassen. Ihren Mitarbeitern
müssten sie klare Richtlinien geben, Pläne für
Notfälle erarbeiten und mehrstufige Zugriffsund Überwachungssysteme für Technik und
Personal installieren. Zwar gebe es auf dem
Schwarzmarkt der Computerhacker alles, was
das kriminelle Herz begehrt. "Konzerne wie
SSP verkauften keine IT-Leistung mehr, die
nicht Teil eines Sicherheitssystems ist. Die
Deutsche Telekom errichte gerade „Honey-
pots“, die gezielt Hacker anlocken und sie in
aufgespannte Softwarefallen tappen lässt.
Der Schutz der Computer möge für viele
mittelständische Unternehmen nicht billig
sein. Doch ihn nicht zu haben, werde früher
oder später teuer.
Klaus Gheri, Barracuda Networks, fordert im
<kes>-Special vom Oktober 2013, dass Sicherheitslösungen für KMUs den gleichen
Schutz bieten, wie bei Großunternehmen,
aber sie müssten intuitiv und einfach einzusetzen sein. Wenn KMUs Security- und
Backup-Lösungen einsetzen, die konkret auf
den unkomplizierten Betrieb ausgelegt sind,
gleichzeitig aber den kompletten Schutz einer
vollen Enterprise-Lösung böten und noch
dazu mit datenschutzkonformen Cloud-Technologien die Infrastruktur des Unternehmens
entlasten, könnten sie sich gegen Angriffe
oder Datenverlust absichern (S. 50–52).
In der Ausgabe 2-2013 (S. 100) weist <kes>
darauf hin, dass fast jeder fünfte Mitarbeiter
in KMUs schon einmal Firmendaten mit Absicht zerstört habe. Das sei das Ergebnis der
Studie „Datenzerstörung im Mittelstand“,
für die Mozy 100 Manager und Mitarbeiter
von KMUs befragt habe. Der Grund für die
absichtliche Zerstörung sei überwiegend
harmlos: in 78 % handelten die Angestellten
gemäß den Weisungen eines Vorgesetzten.
IT-Sicherheit – Kooperationen
Das LKA Baden-Württemberg ist der seit
2011 bestehenden Sicherheitskooperation
zwischen BITKOM und dem LKA NRW als
weiteres Mitglied beigetreten, meldet der
Behörden Spiegel in der April-Ausgabe.
Ziel der Kooperation sei es, den Informationsaustausch und Wissenstransfer zwischen Wirtschaft und Sicherheitsbehörden
über technologische Entwicklungen und
aktuelle Kriminalitätsphänomene zu fördern
sowie Präventionsmaßnahmen zu entwickeln und umzusetzen.
Isabel Münch und Marc Schober, BSI,
befassen sich in der Ausgabe 6-2013 der
Zeitschrift <kes> mit der Allianz für CyberSicherheit, einer Initiative des BSI in Zusammenarbeit mit BITKOM. Sie habe sich
bereits im ersten Jahr als eine der führenden
Plattformen für den Informations- und Erfahrungsaustausch zur Cybersicherheit etabliert.
Die Autoren gehen insbesondere auf den
Informationspool, den Erfahrungsaustausch
zwischen den Teilnehmern, auf regionale
und themenspezifische Erfahrungskreise und
103
104
auf einen praxisnahen Handlungsleitfaden zur
Beurteilung der Cybersicherheit im Unternehmen mit dem Cyber-Basis-Check ein
(S. 47–50). Heise online meldet am 14. Dezember, dass die von BITKOM zusammen mit
dem BSI 2012 gegründete Allianz für CyberSicherheit ihren Mitgliederbestand deutlich
erhöhen konnte. Momentan seien es bereits
580 Teilnehmer.
Die USA und China haben nach einem Bericht der „New York Times“ beschlossen,
auf hoher Ebene regelmäßig Gespräche
über Cybersicherheit und Industriespionage
zu führen, meldet die FAZ am 3. Juni. Dies
sei ein erster Schritt, zunehmende Spannungen zwischen beiden Ländern abzubauen, die nach amerikanischer Darstellung
durch chinesische Hackerattacken und den
Diebstahl von Betriebs- und Regierungsgeheimnissen entstehen. Peking behaupte
dagegen, selbst Opfer von Hackerattacken
zu sei.
IT-Sicherheit – Krankenhaus-IT
Dr. Frank Jestczemski, adesso AG, und Marc
Müller, BSI, erläutern in Ausgabe 6-2013 der
Fachzeitschreift <kes> den seit dem Frühjahr
2013 verfügbaren Leitfaden „Risikoanalyse
Krankenhaus-IT“ (RiKrIT) des BSI, des BBK
und der Senatsverwaltung für Gesundheit
und Soziales des Landes Berlin, der eine
Methode beschreibt, mit der Krankenhäuser kritische IT-Abhängigkeiten und daraus
erwachsende Risiken identifizieren und
bewerten könnten. Die Autoren beschreiben
die vier aufeinanderfolgenden Schritte der
Methode: vorbereitende Aktivitäten, Analyse
der Kritikalität; Identifizierung und Bewertung
der Risiken und ihre Behandlung. Faktoren
der Wahrscheinlichkeit bei vorsätzlichen
Handlungen werden bewertet und Kriterien der Bewertung der Auswirkungen eines
Schadensereignisses dargestellt (S. 43–46).
IT-Sicherheit – Microsoft
Michael Kranawetter, Microsoft Deutschland
GmbH, befasst sich in Ausgabe 3-2013
der Fachzeitschrift <kes> mit dem von
Microsoft kostenfrei angebotenen SecurityCompliance-Manager, mit dem Admins ITGrundschutz-Maßnahmenkataloge auch für
Windows7 und den Windows Server 2008
R2 verwalten könnten (S. 60–62). So werde
die Umsetzung des IT-Grundschutzes wieder
ein Stück einfacher. Das Template stehe über
die Webseite www.hisolutions.com kostenfrei
zur Verfügung.
Microsoft habe seinem Windows-Härter
EMET in der Version 4.0 einige neue Tricks
beigebracht, berichtet heise online am
18. Juni. Das Tool solle nun unter anderem
Lauschangriffe auf verschlüsselte Verbindungen überführen und TOP-Attacken besser
stoppen können. Die wichtigste Änderung sei
jedoch oberflächlicher Natur: EMET 4.0 sei
durch seine generalüberholte Bedienoberfläche deutlich leichter zu steuern. So dürfte das
nützliche Schutztool weniger abschreckend
auf technisch unerfahrene Nutzer wirken.
Nach der Installation des Härtungstools
erscheine nun ein Einrichtungsassistent, über
den man mit wenigen Klicks die wichtigsten
Schutzeinstellungen vornehmen könne. Diese Grundkonfiguration bringe Schutzprofile
für verbreitete Programme wie Java, Adobe
Reader und Office mit. Dadurch würden
Exploit-Bremsen aktiv, die viele Cyber-Angriffe selbst dann verhindern könnten, wenn
es für die ausgenutzte Lücke noch keinen
Patch gebe. Gegen sogenannte ROP-Exploits
(Return Oriented Programming) soll die neue
Version besser denn je schützen.
Prof. Hartmut Pohl, Gürkan Aydin und Anja
Wallikewitz, softScheck GmbH, geben in der
Ausgabe 4-2013 der Zeitschrift <kes> eine
Übersicht über Tools zur Identifizierung
von Softwareschwachstellen, die in den
jeweiligen Phasen des „Security Development Lifecycle“ (SDL) von Microsoft zum
Einsatz kommen können (S. 20–23). Mit
ihnen ließen sich Schwachstellen in den vier
SDL-Methoden Bedrohungsmodellierung,
statische Codeanalyse, Fuzzing und Penetrationstests identifizieren.
Michael Klatte, ESET Deutschland, fordert
im <kes>-Special vom Oktober 2013 mehr
Sicherheit am SharePoint (eine Web-
anwendung von Microsoft, die folgende
Anwendungsbereiche abdeckt: Intranetportal,
Soziale Netzwerke, Content-Management,
Koordinierungs- und Verwaltungsfunktionen
sowie Geschäftsanwendungen). Ein lascher
Umgang in puncto Sicherheit könne den
Sharepoint schnell in eine Virenschleuder verwandeln. Malware stelle für den SharePoint
die aktuell größte Gefahr dar. Microsoft werde
seine Antivirus-Lösung „Forefront Protection
for SharePoint“ nicht mehr weiterführen.
ESET zähle zu den wenigen Anbietern, die
Malware-Schutz für Microsoft SharePoint
2013 anbieten. Der Autor hat eine Checkliste
für mehr Sicherheit am SharePoint aufgestellt
(S. 26/27).
IT-Sicherheit – Normen
Dr. Ing. Oliver Weissmann, Co-Editor der ISO/
IEC 27002 und ISO/EC 27003:2010, und
Dipl.-Inf. (FH) Andreas Rauer, xiv-consult
GmbH, erläutern in der Ausgabe 6-2013 der
Zeitschrift <kes> die zum 1. Oktober 2013
veröffentlichten neuen Fassungen der ISO/
IEC-Normen 27001 und 27002, die umfassend überarbeitet und an die einheitliche
Struktur für Managementsystemstandards
angepasst und in den technischen Bereichen
aktualisiert worden seien. Die Revision der
ISO/IEC 27001 bedeute sowohl für beste-
hende als auch in der Einführung befindliche
ISMS entscheidenden Mehraufwand. Dafür
werde die Risikomanagementmethodik
flexibler. Bei der Revision der ISO/IEC 27002
ergäben sich durch die größeren Änderungen
vor allem Vorteile bezüglich der Ausrichtung
auf die Organisationsstrategie und die Einbeziehung des Supply Chain-Management. Und
die häufig „hakelige“ und redundante Struktur
sei deutlich verbessert worden, so dass die
Implementierung leichter werde (S. 83–89).
IT-Sicherheit – Payment Card Industry
Frank Weisel, Forescout, behandelt in der
Ausgabe 6-2013 der Zeitschrift <kes> eine
neue Version (3.0) des Richtlinienkatalogs
der Payment Card Industry (PCI) und
Neuerungen beim „Payment Application
Data Security Standard“ (PA DSS). Mit der
Einführung der neuen Richtlinien verspreche
sich das PCI Security Standards Council vor
allem einen vermehrten Fokus auf Sicherheit. Zahlungssicherheit solle alltäglicher
Bestandteil der Geschäftsvorgänge sein. PCI
biete Unternehmen detaillierte und pragma-
tische Anleitungen, die auch weit über die
Zahlungsmittelindustrie hinaus anwendbar
seien. Besondere Beachtung verdienten die
Ergänzungen und Erläuterungen in den Bereichen Bewerten und Priorisieren von AssetRisiken, Sicherstellen der Systemintegrität,
Durchsetzen geeigneter Zugriffsverfahren
auf Netzwerk- und Systemressourcen sowie
Verbesserungen bei der Schwachstellenbewertung, Protokollierung und Reaktion auf
Sicherheitsvorfälle (S. 60–63).
105
106
IT-Sicherheit – Personalausweis
Heise online meldet am 16. September, der
Chaos Computer Club sei „erbost“ über die
Antwort des BMI auf eine Kleine Anfrage von
MdB Korte nach der Sicherheit des neuen
Personalausweises. Der Club bezeichne
den Ratschlag des BMI, das Betriebssystem
regelmäßig zu aktualisieren sowie einen
aktuellen Virenschutz und eine Firewall zu
installieren, als „trügerische Sicherheit“.
Nach Angaben der Bundesregierung treffe
es nicht zu, dass der neue Personalausweis
„gehackt“ werden konnte. Dies bestreite der
Chaos Computer Club.
IT-Sicherheit – SAP-Systeme
Dipl.-Inf. (FH) Thomas Werth, Werth IT
GmbH, gibt in der Ausgabe 6-2013 der Zeitschrift <kes> einen Überblick über Risiken
von SAP-Systemen und Gegenmaßnahmen.
Sicherheitsrisiken bei SAP, die weit über die
Probleme und Möglichkeiten des Berechtigungskonzepts hinausgehen, seien Realität.
Allein die große Zahl an „SAP Security Notes“
verdeutliche diesen Umstand. Zur Wahrung der Systemsicherheit seien deswegen
umfassende Tests ratsam. Um vorhandene
Schwachstellen in SAP schnell zu identifizieren, zu priorisieren und zu beheben, erschienen letztlich auch automatisierte Prüfungen
unumgänglich (S. 16–19).
IT-Sicherheit – Security by Design
Joshua Tiago, cirosec GmbH, stellt in der
Ausgabe 4-2013 der Zeitschrift <kes> einige
Werkzeuge vor, mit denen Programmierer
schon in einem frühen Stadium des Entwicklungsprozesses von Webanwendungen erste
Sicherheitstests durchführen können. Und
er zeigt, wie sich mit wenig Aufwand einfach
gestrickte Sicherheitstests implementieren
lassen. Frameworks wie Selenium, Watijh,
Watip und Watir eröffneten Entwicklern ganz
neue Möglichkeiten. Da alle die aktuellen
Skript- und Programmiersprachen unterstützen, seien äußerst komplexe Testfälle
realisierbar (S. 24–28).
IT-Sicherheit – Security Engineering
Das Information Security Forum (ISF)
hat Ende 2012 einen neuen Report zum
Umgang mit IT-Sicherheitsvorfällen
und Cyberattacken veröffentlicht: „You
could be next – learning from incidents to
improve resilience“ mit Handlungsempfehlungen für die Bestandsaufnahme sowie
die Ursachenanalyse. Die Veröffentlichung
basiert laut Herausgeber auf den Erfahrungen und Best Practices weltweiter ISF-Mitgliedsunternehmen (Ausgabe 2-2013
der Zeitschrift <kes>, S. 83/84).
Arne Jacobsen, Varonis, warnt in der Fachzeitschrift <kes> (Ausgabe 1-2013) vor
einem hohen Sicherheitsrisiko bei der
wichtigsten Kommunikationsstelle in vielen
Unternehmen: Der Exchange-Server sei oft
zu groß, zu komplex und zu vielschichtig,
um noch manuell administriert zu werden.
Besonders bei der Rechteverwaltung, der
Erfassung und Analyse von Aktivitäten
und beim Finden veralteter Daten stießen
Administratoren schnell an die Grenze des
manuell Möglichen. Die Automatisierung
der Administrationsprozesse könne diese
Lücke schließen. Durch automatisierte Software würden die Zugriffsaktivitäten ständig
analysiert. Im Fall statistischer Abweichung
vom normalen Zugriffsverhalten werde dem
Administrator automatisch eine Benachrichtigung geschickt. (S. 41/42).
Ralph Dombach befasst sich in Ausgabe
2-2013 der Zeitschrift <kes> mit Key Performance Indicators (KPIs) im IT-Bereich und
weist auf drei Malware-KPIs hin, die wirklich
gebraucht würden: Die Aktualität von Malware-Pattern, die Anzahl der je Kalenderwoche
entdeckten Bedrohungen auf allen Endgeräten im Verhältnis zum entsprechenden Wert
der Vorwoche und die durchschnittliche Bearbeitungszeit einer Malware-Nachfolgeaktivität
sowie den prozentualen Vergleich mit dem
jeweiligen Wert des Vormonats, und zwar
unterschieden nach eingestellter Handlungs-
option der Antimalware-Lösung (S. 10–12).
Arved Graf von Stackelberg, HP Software
Deutschland, empfiehlt im <kes>-Special
vom Oktober 2013 das System SIEM (Security Incident and Event Management) als
intelligentes Sicherheitsradar (S. 22–24).
SIEM-Lösungen könnten die disparaten LogFiles sammeln und in Echtzeit miteinander
abgleichen. Aus dem Kontext heraus würden
sie verborgene Angriffsmuster erkennen, sortieren und die Ergebnisse zu übersichtlichen
Warnhinweisen und Reports zusammenstellen. Der Autor beschreibt die Leistungsmerkmale von SIEM. Das Produkt müsse geschickt
implementiert werden. Die Implementierung
sei als Prozess zu verstehen, der Schritt für
Schritt immer mehr kritische Sicherheitsmanagement-Aufgaben durch intelligente
Software unterstützt.
IT-Sicherheit – Sicherheitsbewusstsein
Im Auftrag von T-Systems hat das Institut
für Demoskopie Allensbach mit dem Cyber
Security Report 2012 die Ergebnisse einer
repräsentativen Befragung von Entscheidungsträgern aus Wirtschaft und Politik
veröffentlicht, berichtet der Behörden Spiegel
in seiner April-Ausgabe. Als größtes Risiko im
Bereich IT- und Datenschutz sei mit 55 % der
Missbrauch von persönlichen Daten bewertet
worden. Ihm folgten mit 54 % der Datenbetrug im Internet und das Risiko von Computerviren mit 49 %. Mit 69 % messe ein Großteil der Befragten dem IT-Schutz des eigenen
Unternehmensnetzwerks einen sehr hohen
Stellenwert bei. Dieser Schutz spiegele sich
aber auch in den Kosten für die IT-Sicherheit.
76 % der Befragten hätten angegeben, dass
sich die Kosten für IT-Sicherheit im Unternehmen erhöht hätten, bei 29 % sogar „deutlich“.
Als mit Abstand häufigste Schutzmaßnahme
(50 %) sei die Firewall genannt worden. Lediglich 9 % der Befragten setzten als Schutzmaßnahme die Kontrolle der Internetnutzung
von Mitarbeitern ein. Sowohl in der Wirtschaft
als auch in der Politik werde ein erhebliches
Sicherheitsbedenken gegen das Cloud-Computing geäußert und kritisch diskutiert.
Die Ausspähaktionen amerikanischer und
britischer Geheimdienste hätten das Vertrauen der Deutschen in die Behörden und in die
Sicherheit im Internet erschüttert, berichtet die FAZ am 26. Juli. Das sei das Ergebnis
einer Repräsentativumfrage von mehr als
1.000 Internetnutzern durch Bitkom. Hielten
2011 erst 12 % ihre persönlichen Daten im
Internet für „völlig unsicher“, so seien es jetzt
bereits 27 %. Auch das Vertrauen in den
Staat und die Behörden habe massiv gelitten.
58 % der Internetnutzer vertrauten ihnen
aktuell wenig oder überhaupt nicht, wenn es
um den Umgang mit persönlichen Daten im
Netz geht. Vor zwei Jahren habe noch mehr
als die Hälfte der Internetnutzer sehr starkes
oder starkes Vertrauen in staatliche Stellen
gehabt. Als Konsequenz auf die Sicherheitsbedenken wollten 43 % keine Emails mit
vertraulichen oder wichtigen Dokumenten
verschicken. 19 % wollten auf Cloud-Dienste
verzichten, 13 % auf eine Mitgliedschaft in
107
108
sozialen Netzwerken. Trotz der Sicherheitsbedenken würden die meisten Nutzer ihr
Verhalten im Netz kaum ändern. Nur eine
Minderheit ergreife konkrete Maßnahmen
gegen Ausspähungen – wie den Einsatz von
Verschlüsselung, Anonymisierungsdiensten
oder Meta-Suchmaschinen, die keine persönlichen Daten speichern. Dagegen wollen
nach einer Umfrage der Forschungsgruppe
Wahlen 25 % der Internetnutzer die eigenen
Daten künftig besser schützen, und weitere
13 % geben an, bereits mit Verschlüsselungssystemen zu arbeiten, schreibt die FAZ am
30. Juli. Da Nachrichtendienste direkt an den
Datenströmen von Glasfaserkabeln abschöpften könnten, drehen sich die empfohlenen
Abwehrmaßnahmen um Anonymisierung
und Verschlüsselung. Die entsprechenden
Werkzeuge seien in der Regel frei zugänglich,
ihr Programmcode sei öffentlich einsehbar.
Für unbeobachtete private Kommunikation
stünden eine ganze Reihe von sogenannten
Anonymisierungsdiensten zur Verfügung.
Aktuelle Verschlüsselungstechnik setze auf
asymmetrische Kryptographie, bei der jeder
Teilnehmer ein Schlüsselpaar aus öffentlichem und privatem Schlüssel erzeugt. Der
Absender einer Nachricht sichere sie mit dem
öffentlichen Schlüssel des Empfängers, und
nur der wiederum könne sie allein mit seinem
privaten Schlüssel öffnen. Solange der private
Schlüssel geheim bleibt, sei asymmetrische
Kryptographie sicher. Als Standardprogramm
gelte PGP (Pretty Good Privacy). Der Nachteil von PGP sei nicht allein seine überaus
komplizierte Einrichtung und aufwendige
Handhabung im Alltag. Es müsse auch jeder
Kommunikationspartner mitspielen. Und eine
offene Flanke seien die Metadaten. Verschlüsselung und Anonymisierung seien technische
Verfahren, und natürlich werde man sie im
unternehmerischen Umfeld einsetzen. Aber
sie seien keine Lösung des umfassenderen
politischen Problems, dass die Geheimdienste
offenbar rechtsstaatliche Prinzipien bei der Internet- und Telefonkommunikation aushebeln.
Was Internet-Nutzer tun können, um im Netz
weniger Spuren zu hinterlassen, beschreibt
die FAZ am 8. Juni: Ein erster Schritt sei es,
regelmäßig Suchverläufe aus Internetzugangsprogrammen wie dem Internetexplorer
von Microsoft zu löschen. In sozialen Netzwerken wie Facebook und Google+ rieten Datenschützer seit Jahren dazu, mit Daten sparsam umzugehen. Dazu zähle, dass Nutzer
ihre Einträge, Fotoalben oder Einladungen zu
Veranstaltungen nur Freunden öffentlich machen. Generell biete Facebook inzwischen bei
manchen Aktivitäten auch direkt an, den Personenkreis einzugrenzen. Wer unterwegs mit
dem Smartphone oder dem Tabletcomputer
online geht, solle sich bewusst sein, dass
Anwendungen nur reibungslos funktionieren,
weil sie den Standort des Nutzers über die
GPS-Funktion erkennen und auswerten. Wer
sicher gehen will, dass Anwendungen nicht
dauerhaft wissen, wo ein Nutzer sich gerade aufhält, solle die GPS-Funktion nur dann
einschalten, wenn er tatsächlich einen Dienst
nutzt, für den der Standort wichtig ist.
Das Vertrauen in den Umgang der Wirtschaft
mit persönlichen Daten habe abgenommen,
berichtet der Behördenspiegel in seiner
Augustausgabe unter Bezugnahme auf eine
aktuelle Umfrage des BITKOM, zwar weniger
stark, dafür von einem ohnehin schon niedrigeren Niveau kommend. Nur 34 % (2011:
41 %) hätten aktuell starkes oder sehr starkes
Vertrauen gegenüber der Wirtschaft, was ihre
persönlichen Daten betrifft. Bei der Sorge der
Nutzer, wer ihre Daten ausspionieren könnte,
liegen Staat (39 %) und Wirtschaft (34 %)
nur knapp hinter Cyber-Kriminellen (42 %)
zurück. Auch bei deutschen Unternehmen
habe die Sorge zugenommen, Opfer einer
Cyber-Attacke zu werden, wie eine aktuelle
Studie von Ernst & Young zeige. Die Furcht
gelte insbesondere der internationalen
Wirtschaftsspionage. Gut jedes vierte Unternehmen sehe darin ein hohes Gefährdungspotenzial. An zweiter Stelle folgten staatliche
Stellen und Geheimdienste aus dem Ausland (17 %). Als Hauptursprungsländer der
Attacken würden nach China (28 %) die USA
(26 %) genannt. In einem anderen Beitrag in
dieser Ausgabe des Behördenspiegels wird
die Notwendigkeit eines ganzheitlichen Ansatzes bei Sicherheitskonzeptionen betont.
Sie sollten nicht nur Maßnahmen zur Gewährleistung der IT-Sicherheit enthalten, sondern
auch die organisatorische und physische
Sicherheit eines Unternehmens berücksichtigen. Moderne Sicherheitskonzepte seien
daten- und prozessorientiert. Letztendlich
könne man eine IT-Umgebung nur dann vor
potenziellen Angreifern schützen, wenn man
deren Vorgehensweise kenne.
Die Bevölkerung stufe Internetrisiken wie
Datenbetrug, Missbrauch von persönlichen
Daten oder Computerviren mittlerweile als
deutlich gravierender ein als die klassische
Kriminalität. Und fast zwei Drittel glaubten,
dass das Missbrauchsrisiko persönlicher
Daten durch Unternehmen (65 %) und
der Datenbetrug im Internet (64 %) weiter
zunehmen werde (heise.de am 14. August),
so die jetzt veröffentlichten Ergebnisse des
Sicherheitsreports 2013, einer repräsentativen Umfrage des Instituts für Demoskopie
Allensbach im Auftrag von T-Systems. Die
Meinungsforscher hatten im Juni, also zu
Beginn des Bekanntwerdens von „Prism et
cetera“, mit 1.490 Interviews einen repräsentativen Querschnitt der Bevölkerung ab 16
Jahren nach ihren Sorgen und Risiken befragt.
Insgesamt verzeichne der Risikoindex, der
sich aus der Bewertung der Einzelrisiken
ableite und das Sicherheitsempfinden der
Bevölkerung widerspiegele, einen Anstieg.
Ausgehend von 476 Indexpunkten 2012 sei
der Risikoindex inzwischen um 6 % auf 504
Punkte geklettert. Die persönlichen Sorgen
der Bevölkerung seien also insgesamt wieder
leicht gestiegen. Der Wert übertreffe auch
die 480 Punkte aus dem Jahr 2011, als er
erstmals ermittelt worden sei.
Die jüngsten Entwicklungen rund um geheimdienstliche Programme zur Überwachung des
digitalen Datenverkehrs führen nach Angaben des Analystenhauses Gartner in vielen
Konzernen zu einer Erhöhung der SecurityBudgets, berichtet die FAZ am 6. August.
In diesem Jahr würden digitale Sicherheits-
produkte im Wert von 67 Milliarden Dollar
gekauft. Das wären 9 % mehr als 2012. In
Deutschland seien nach Angaben des Bitkom
derzeit vor allem Verschlüsselungstechniken
gesucht. Das BSI wolle für ein sicheres CloudComputing Zertifikate einführen und dafür bis
Ende 2013 die Grundlagen schaffen.
Ein Newsletter der ASW vom 9. August
weist auf eine von AGITANO (Wirtschaftsforum Mittelstand) veröffentlichte Studie von
Ernst & Young hin, bei der Geschäftsführer
und Führungskräfte aus IT-Sicherheit und
Datenschutz von 400 deutschen Unternehmen befragt wurden. Ergebnisse: 8 von 10
Unternehmen gehen davon aus, dass die
eigenen Sicherheitsvorkehrungen ausreichen,
um unerwünschten Informationsabfluss zu
verhindern. Immerhin richteten sich die Unternehmen auf eine zunehmende Gefährdung
durch Datenklau-Attacken ein. Neun von
zehn Managern erwarteten, dass das Risiko
für Unternehmen, Opfer von Cyber-Attacken
zu werden, in Deutschland zunehmen wird.
Doch umfassendere Schutzvorkehrungen
seien in den Unternehmen Mangelware. Ein
Intrusion Detection bzw. Prevention System
leisteten sich zum Beispiel nur 13 bzw. 12 %
der Unternehmen. Auch bei den eigenen Mitarbeitern setzten die Befragten vorwiegend
auf klassische Sicherheitsmaßnahmen wie
Geheimhaltungsklauseln in Arbeitsverträgen
(88 %). Ein Teil der Unternehmen versuche
außerdem, bei den Mitarbeitern ein verstärktes Verbundenheitsgefühl zu wecken (58 %)
und sie für die Gefahren des Datendiebstahls
zu sensibilisieren (49 %). Eine anonyme
Anlaufstation für Mitarbeiter, die illegale Vorgänge am Arbeitsplatz beobachten, gebe es
bislang nur bei 6 % der Unternehmen. Dabei
wird laut 90 % der Befragten die Gefährdung
durch Industriespionage für die deutsche
Wirtschaft insgesamt steigen.
In deutschen Unternehmen führt der NSASkandal zu einem Umdenken bei der
IT-Sicherheit, bemerkt das Handelsblatt am
5. September. In einer aktuellen Umfrage
des Beratungsunternehmens EY hätten über
109
110
90 % aller Entscheider angegeben, dass das
Problem Spionage und Datenklau in Zukunft
zunehmen wird. Zwar sicherten sich die
meisten Unternehmen mit Standardmaßnahmen wie Firewalls oder Virenprogrammen ab. Doch ausgefeiltere Programme, die
beispielsweise erkennen können, wenn Daten
aus dem Firmennetz abfließen, verwendeten
nur weniger als 13 % der Unternehmen. Die
Größe eines Betriebs sei unbedeutend für das
Risiko, angegriffen zu werden. Kleine Firmen
seien oft das Ziel. Häufig gerieten Zulieferer
von großen Konzernen ins Visier. Selbst Anbieter von Nischenprodukten würden Opfer
von Attacken. Firmen, die bemerken, dass
Daten abgezapft werden, sollten sich an die
Behörden wenden. Staatliche Stellen könnten
dann helfen, die Täter zu überführen oder
zumindest die Löcher zu finden.
In der Ausgabe5-2013 kritisiert <kes> das
Fehlen von IT-Sicherheitsrichtlinien in vielen Unternehmen. Nach einer von Kaspersky
und B2B durchgeführten Studie beklagen
57 % der deutschen IT-Entscheider das
Fehlen von Zeit und Budget. Eine Studie des
IT-Dienstleisters Iron Mountain habe gezeigt,
dass viele Arbeitgeber Verhaltensweisen ihrer
Mitarbeiter bei der Arbeit im Homeoffice tolerieren, die ihre Unternehmensinformationen
einem erheblichen Risiko aussetzten. 60 %
der befragten Deutschen hätten angegeben,
ihre privaten E-Mail-Accounts zum Senden
und Empfangen von Arbeitsdokumenten zu
verwenden. 35 % ließen ihre Arbeitsdokumente zu Hause liegen und 21 % entsorgten
Geschäftsdokumente im Haushaltsabfall. 7 %
benutzten eine unsichere WLAN-Verbindung,
um Arbeitsdokumente per E-Mail zu senden und zu empfangen. Eine Hauptursache
seien die Unternehmen selbst. So würden
lediglich 25 % der deutschen Unternehmen
ihren Mitarbeitern Vorgaben machen, welche
Papierakten und elektronischen Daten sie mit
nach Hause nehmen dürfen. In 73 % der Fälle
fehlten entsprechende Richtlinien, die das
Arbeiten im Homeoffice regeln. Ein weiteres
Problem sei die Infrastruktur: Bei 54 % der
Arbeitgeber scheitere ein sicheres Arbeiten
im Homeoffice an fehlender IT-Ausstattung,
und 67 % stellten keinen sicheren Zugang
zum Intranet zur Verfügung (S. 98/99).
IT-Sicherheit – Sicherheitslücken
Der Sicherheitsexperte Michael Messner
habe in seinem Blog Details zu Schwachstellen in zahlreichen Router-Modellen
veröffentlicht, meldet heise online am 7. Februar. Betroffen seien Geräte von Linksys,
Netgear und D-Link. Einige Lücken eigneten
sich zum Einschleusen von Befehlen aus der
Ferne. In der Firmware der Linksys-Modelle
E1500 und E2500 habe er gleich mehrere
Sicherheitsprobleme entdeckt. Es sei nicht
erforderlich, dass das Webinterface von außen erreichbar ist. Ein Angreifer könnte sein
Opfer auf eine speziell präparierte Webseite
locken, die auf die Router-Oberfläche im
lokalen Netz verweist.
Mit ihrer offensiven Cyberwar-Strategie
fördere die US-Regierung einen globalen
Markt für IT-Sicherheitslücken, beklagt
heise online am 15. Februar unter Berufung
auf Technology Review. Ein Beispiel bilde die
Hackerkonferenzen Black Hat und Defcon
in Las Vegas, wo Experten vor großem
Publikum die neuesten Sicherheitslücken in
gängiger Soft- und Hardware präsentierten.
Wer eine so genannte Zero Day-Schwachstelle aufgespürt hat (eine bis dahin noch nicht
bekannte Lücke), der könne mit ihr längst
mehr verdienen, als ein bisschen Ruhm in
der Szene. Rüstungsfirmen, Geheimdienste
und Regierungen würden inzwischen einige
hunderttausend Dollar für solche Funde im
Code verbreiteter Software zahlen.
Dass der Sperrbildschirm des Sony Xperia Z
keinen Schutz vor ungewollten Zugriffen
biete, meldet heise Security am 26. März.
Ohne PIN oder Passwort zu kennen, könne
ein Angreifer das Gerät dauerhaft freischalten und an die darauf gespeicherten Daten
gelangen. Wie schon bei Samsung Galaxy S3
und dem iPhone werde über die Notruffunktion angegriffen. Vermutlich betreffe die
Lücke auch andere Sony Xperia mit aktuellem
Android. Gebe der Nutzer die Zeichenfolge
*#*#7378423#*#* ein, gelange er in ein
umfangreiches Testmenü, über das sich die
Funktion der verbauten Hardware prüfen
lasse. Starte er im Untermenü „Service Test“
den NFC-Test, reiche ein Druck auf die HomeTaste, um direkt auf den Startbildschirm zu
gelangen. Von nun an könne das Gerät vom
Angreifer in vollem Umfang genutzt werden.
Auch beim Aufwecken aus dem Ruhezustand
frage das Smartphone nicht mehr nach dem
Gerätepasswort. Die mögliche Verschlüsselung des internen Speichers helfe nur vor
unerwünschtem Zugriff, wenn das Handy
ausgeschaltet ist. Beim Aufwecken aus dem
Standby frage das Gerät nicht erneut nach
dem Schlüssel.
Thorsten Urbanski, G Data Software, hält
in der <kes>-Verlagsbeilage Mai 2013 ein
effektives Patch-Management für unumgänglich, weil es gefährliche Angriffslücken in
der IT-Infrastruktur schließt (S. 20/22). Eine
gute Patch-Managementlösung sollte einen
Überblick über die verfügbaren Updates
und den Sicherheitsstatus der installierten
Software schaffen. IT-Verantwortliche sollten
sich außerdem für ein Werkzeug entscheiden,
das ein schrittweises Ausrollen der neuen
Updates ermöglicht.
Gerald Spiegel, Steria Mummert Consulting
AG, stellt in der Fachzeitschrift <kes> (Ausgabe 4-2013) Bausteine für eine wirksame
Data Leakage-Prevention (DLP) vor. Die
wirke nur dann, wenn ein dazu passender
Prozess eingeführt wird. Die Gelder, die
Unternehmen weltweit an DLP-Anbieter
zahlen, würden 2013 mehr als 600 Millionen
US-Dollar betragen. Der Autor behandelt die
Schutzbedarfsfeststellung, die Strukturanalyse, Rollen, Regeln und Policies, organisatorische und technische Maßnahmen. In den
Unternehmen sei das Bewusstsein erkennbar,
sich vor fahrlässig verursachten Datenabflüssen von innen genauso zu schützen wie vor
Hacker-Angriffen (S. 29–32). Georg Hohnhorst, KPMG AG, befasst sich in Ausgabe
4-2013 der Zeitschrift <kes> mit einer Reihe
von Herausforderungen von Security-Notes
der SAP (S. 6–10). Monatlich würden etwa
40 neue Hinweise veröffentlicht. Hindernis
bei der schnellen Umsetzung sei die regelmäßige Prioritätenfestlegung. Die Risikoeinschätzung erfordere viel Spezialistenwissen,
sowohl von der SAP-Technikseite als auch
von der Geschäftsprozessseite. In der Praxis
habe es sich bewährt, statt übereifrig alle Hinweise umzusetzen, neutralen und unabhängigen Sachverstand zu nutzen, um effektiv und
effizient auf die Bedrohungen zu reagieren.
Angesichts der Vielzahl der bestehenden
und zu erwartenden weiteren Hinweise seien
fundierte Klassifizierungsverfahren und Geschwindigkeit in der Umsetzung die Schlüsselfaktoren, um nachhaltig ein angemessenes
Sicherheitsniveau für die SAP-Anwendungen
zu gewährleisten.
Das BSI warne Kunden von Vodafone vor
einer schwerwiegenden Sicherheitslücke,
meldet SPIEGEL ONLINE am 5. August.
Angreifer könnten unbemerkt Kontrolle über
die von Vodafone vertriebenen DSL-Router
Easybox 802 und 803 erlangen. Das BSI
habe die Sicherheitslücke mit der zweithöchsten Risikostufe überhaupt bewertet.
Die Schwachstelle liege bei der sogenannten
WPS-Konfiguration. Das BSI empfehle den
Besitzern entsprechender Vodafone-Router,
die vorgegebene WPS-PIN zu ändern oder
WPS generell zu deaktivieren.
Andreas Müller, Lumension, erläutert im
<kes>-Special vom Oktober 2013 das professionelle Patchmanagement für sichere
Geschäftsprozesse. Es führe durch die hohen
Aufwände an Mehrarbeit, die nötig sei, um
schnell auf Gefahrenpunkte reagieren zu können, zu höheren Kosten. Das Unternehmen
Lumension biete eine gute Alternative, die die
Umsetzung einer holistischen Schwachstellen-
111
112
Managementstrategie ermögliche. Der geringere Bedarf an punktorientierten Produkten
und an Mitarbeiterressourcen ermöglichte eine
Reduzierung der Betriebskosten (S. 40–42).
IT-Sicherheit – Social Media
Christian Volkmer, Projekt29 GmbH, behandelt in der Fachzeitschrift <kes> (Ausgabe
1-2013) Social Media und Datenschutz
in Unternehmen. Er weist darauf hin, dass
86 % der deutschen Unternehmen soziale Netzwerke für geschäftliche Zwecke
verwenden. Die beliebteste Plattform sei
Facebook (74 %). Danach folgten Xing (31
%), Twitter (19 %) und Google (15 %). Als
unerlässlich bei der Einrichtung von Unternehmens- und Produkt-Seiten und -Profilen
bezeichnet er die Prüfung der Datenschutzbestimmungen des Betreibers bei der Wahl
des Anbieters, Transparenz darüber, welche
Daten von wem und wofür erhoben werden,
vollständige Informierung der Anwender von
Social-Media-Angeboten über die Tragweite
der Nutzung, Sicherung der personenbezogenen Nutzerdaten und Zusicherung
der Nutzer, dass hochgeladene Daten und
Fotos keine Datenschutzbelange verletzen
(S. 38–40).
Nach einer Meldung der Süddeutschen Zeitung vom 22. Juni hat ein technischer Fehler
beim sozialen Netzwerk Facebook eine
Datenpanne ausgelöst. Der Fehler gehe auf
eine Funktion zurück, mit der Vorschläge zur
Kontaktaufnahme zwischen Bekannten oder
Einladungen zu Facebook erstellt werden.
Bei dem Vergleich von hochgeladenen Adressbüchern von Nutzern mit Kontaktdaten
von Facebook-Mitgliedern seien durch die
Software-Panne zum Teil Adressbuch-Daten
zusammen mit Profil-Informationen anderer
Nutzer gespeichert worden. Wenn diese Mitglieder sich den Inhalt ihres Profils über die
Download-Funktion von Facebook herunterluden, hätten sie eventuell auch die fremden
Adressbuch-Daten dazu bekommen.
IT-Sicherheit – Software-Lizenzierung
Nach einer Studie, die die Softwareinitiative Deutschland bereits 2010 durchgeführt habe, verschwendeten deutsche
Unternehmen ca. 30 bis 40 Milliarden Euro
allein durch nicht zutreffende SoftwareLizenzierung. Bei dem steigenden Tempo,
das manche Software-Hersteller bei Neuentwicklung und Upgrade an den Tag legen,
sei die Tendenz wohl eher steigend, meint
AGITANO, das Wirtschaftsforum Mittelstand
laut einer Pressemitteilung vom 25. Juni.
IT-Sicherheit – Verschlüsselung
W&S weist Richard Moulds, Thales e-Security, auf die „Global Encryption Trend Study
von 2012 hin, nach der heute in der Mehrheit
der Firmen erstmals eine formelle Verschlüsselungsstrategie durchgehend im Unternehmen zur Anwendung kommt (S. 12/13).
Der Prozentsatz des Budgets im Bereich
IT für die Verschlüsselung wachse immer
weiter und habe sich seit 2005 von 10 auf
18 % beinahe verdoppelt. Die Studie zeige
eine klare Interessenverschiebung von relativ
veralteten statischen Technologien wie etwa
Laptop- und Netzwerkverschlüsselungen hin
zu ausgereifteren Anwendungen, die darauf
abzielten, Daten in Echtzeit zu schützen, wie
sie bei Apps, Datenbanken und cloudbasierten Diensten zur Anwendung kommen – das
Konzept einer "Laufzeitkurve für Verschlüsselungen“ scheine sich herauszubilden. Je
weiter eine Organisation auf dieser Laufzeitkurve voranschreite, desto wichtiger werde
ihre Keymanagement-Strategie, da komplexe
Anwendungsfälle viel kontextbezogenere
Richtlinien verlangten.
Eine „persistente“ Verschlüsselung – Daten
bei ihrer Übertragung, in der Cloud oder
beim Verschieben innerhalb des Netzwerkes
zu schützen – sei das beste Rezept gegen
Datenverlust, heißt es in der Juli-Ausgabe des
Behördenspiegel. Autorisierte Nutzer hätten
die entsprechenden Schlüssel, um auf die Daten zuzugreifen, für alle anderen blieben sie
gesperrt. Wenn es einem Cyber-Kriminellen
gelinge, an verschlüsselte Daten zu gelangen,
könne er ohne den Schlüssel mit den Daten
schlichtweg nichts anfangen. Benutzer könnten ihre eigenen Schlüssel zum Absichern
bestimmter Dateien festlegen und verwalten.
Hiermit könnten die Benutzer jederzeit auf
Dateien hinter der Firewall oder in der Cloud
zugreifen. Die Verschlüsselung finde auf dem
Client vor der Datensynchronisierung statt.
Die vollständige Kontrolle über die Sicherheit
der Daten bleibe also erhalten.
Wie sollen Unternehmen und Konsumenten
ihrem Cyber-Defencesystem vertrauen, wenn
Sicherheitsgiganten selbst Opfer von Angriffen werden? fragt wave am 31. Juli. Symantec zum Beispiel, deren Software gerade man
einen von den 45 Angriffen auf die New York
Times entdeckte, haben einen Angriff auf
seine eigenen Norton Utility Quellcode-Asset
erlitten. Und Symantecs größter Konkurrent,
McAfee, habe versehentlich selbst einen
verheerenden Angriff gestartet und Millionen
von Kunden den Netzwerkzugriff entzogen.
Dieses Muster der ständig steigenden Ausgaben bei immer schlechter werdenden Ergebnissen spreche für ein gescheitertes technologisches Paradigma und verlange nach einer
neuen Herangehensweise an das Problem.
Zum Glück gebe es einen solchen neuen
Ansatz bereits. Integriert in die innerste Domain des Computersystems, und somit nicht
vom Nutzer entfernbar, sitze das Trusted
Platform Module (TPM). Das TPM verschiebe wesentliche Sicherheitstransaktionen in
einen Hardware-„Tresor“-Chip, der für externe
Software unerreichbar sei und so den Aufbau
einer „Root of Trust“ ermögliche, auf die die
Sicherheit aufgebaut werden kann. Als sicherer, kryptographischer Prozessor steuere es
nicht-volatile Speicher, deren Inhalte erhalten
bleiben, auch wenn der Strom ausgeschaltet
wird. Das TPM enthalte einen Zufallszahlengenerator, der auf Chip-Physik und nicht auf
einer Algorithmus-Quelle beruhe und liefere
die Grundlage für kryptographische Schlüssel, die den Computer für Außenstehende
identifizieren. Der Chip sei so aufgebaut, dass
kein Befehl ihn jemals dazu bringen könnte,
den privaten kryptographischen Schlüssel
preiszugeben, der die Maschine eindeutig
identifiziert und authentifiziert. Praktisch alle
neuen Geschäftscomputer – um die 600 Millionen bis jetzt – verfügten über TPMs, die auf
ihr Motherboard geschweißt sind. Samsung,
Wave Systems und andere weiteten die
Technologie jetzt auf Mobilgeräte aus. Fast
niemand habe seine TPMs aktiviert. Sie seien
also schlafende Wächter, deren Standardeinstellung der Ruhezustand ist, da sie ohne Softwarfe, die ihren Dienst aktiviert und verwaltet,
nutzlos seien.
Die Wirtschaftswoche befasst sich am
29. Juli mit der Verschlüsselung, die selbst
in Konzernen längst nicht mehr so komplex
sei wie früher. Moderne Kryptosoftware
für Unternehmen könne unter anderem
das Schlüsselmanagement für Hunderte
von Nutzern übernehmen. Sobald sich ein
Mitarbeiter per Smartcard und PIN an einem
PC identifiziert, übertrage der Kryptoserver
die in der Karte gesicherten Schlüsselcodes
in die E-Mail-Software, bis der Benutzer sich
abmeldet. Und während Kryptotools für
Privatleute oft nur funktionieren, wenn beide
Seiten die gleiche Technik nutzen, könnten Kryptoserver vor dem Versand prüfen,
welche Technik, etwa PGP oder S/Mime, die
Gegenstelle einsetzt, und das passende Verfahren wählen. Und selbst wenn der Adressat
113
114
keinerlei Verschlüsselung nutze, halte die
Spitzelabwehr. Dann bekomme er statt einer
ungeschützten Nachricht einen Link auf ein
Online-Portal, bei dem er Inhalt und Anhänge
nur aufrufen könne, wenn er sich zuvor mit
getrennt verschickten Zugangsdaten identifiziert hat. Die Wirtschaftswoche erläutert Vorund Nachteile der symmetrischen und der
asymmetrischen Verschlüsselung. Bei letzterer müsse nicht der Absender einen elektronischen Schlüssel erzeugen. Er benötige den
des Empfängers, nämlich dessen öffentlichen
Schlüssel. Öffnen könne der Empfänger die
Nachricht nur mit seinem privaten Schlüssel.
Beide Schlüssel erzeuge der Empfänger
von Programmen wie PGP4Win auf seinem
Rechner. Alternativ könne er sie bei WebmailAnbietern wie Web.de herunterladen. Der
Nutzer könne den öffentlichen Schlüssel an
einzelne Kontakte verschicken oder ihn auf
öffentlichen Key-Servern publizieren, damit
beliebige Absender ihm dadurch gesicherte
Nachrichten schicken können. Das sei ungefährlich, weil ja nur der Empfänger die E-Mails
wieder öffnen könne (S. 65/66).
Am 19. September berichtet heise online,
drei Forscher der Ruhr-Universität Bochum,
der TU Delft und der University of Massachusetts hätten ein Konzept vorgestellt, mit dem
sich Chips nach ihrer Ansicht schon in der
Produktion so manipulieren lassen, dass ihre
Zufallszahlen stark geschwächt werden. Die
Manipulation wäre von außen kaum zu entdecken, aber ein Angreifer, der weiß, wonach
er sucht, könne die damit erzeugten kryptografischen Schlüssel mit wenig Aufwand
knacken. Auch ein als sicher geglaubter langer Schlüssel lasse sich plötzlich errechnen,
falls bei der Erzeugung nicht genug Zufall
eingeflossen ist. Intel bestreite die Existenz
von Hintertüren in ihren Chips. Design und
Produktion würden streng kontrolliert.
Im Interview mit der FAZ berichtet am
22. November der Präsident des BSI, Michael Hange, über neue Erkenntnisse und
Konsequenzen aus dem Fall Snowden. Die
Kryptographie sei inzwischen so weit ent-
wickelt, dass bei richtiger Implementierung
Vertraulichkeit durch Verschlüsselung
gewährleistet werden könne. Er rate bei
Mobilkommunikation grundsätzlich zur Ende
zu Ende-Verschlüsselung. Hange sieht eine
Chance für einen Markt für integre europäische Systeme. Es müsse möglich sein,
außereuropäischen Systemkomponenten wie
beispielsweise Router – mit eigenen nationalen Krypto-Algorithmen abzusichern und so
die Kommunikationssouveränität zu erlangen.
Die NSA-Debatte sollte ein Weckruf sein.
Wichtig sei, nicht in Aktionismus zu verfallen.
Die Prävention müsse sich verbessern. Es
müsse in jedem Unternehmen Verantwortungen für IT-Sicherheit geben, und man müsse
Konzepte erarbeiten, um das Unternehmenswissen und die Kronjuwelen zu schützen.
Wie die ASW am 22. Dezember mitteilt,
nutzen aktuell rund 5 Millionen Bundesbürger
für ihre E-Mails eine Verschlüsselungssoftware. Das entspreche 9 % der Internetnutzer.
Kurz nach Aufdeckung der NSA-Spähaktionen seien es erst 6 % gewesen. Trotz
des Anstiegs würden weiterhin die meisten
Nutzer den Einsatz von Verschlüsselungssystemen scheuen. 61 % geben als Grund
dafür an, dass sie sich damit nicht auskennen.
Immerhin 13 % halten auch Verschlüsselungssoftware nicht für sicher. Und 8 % der
Internetnutzer störe es nicht, wenn ihre Daten
von Dritten eingesehen werden. Ein Viertel
halte Verschlüsselung grundsätzlich für zu
aufwändig. Dass die meisten deutschen
Internetnutzer durch die NSA-Enthüllungen
nichts an ihrem Verhalten im Netz ändern,
berichtet auch die FAZ am 30. Dezember.
Nur rund jeder Fünfte wolle künftig OnlineDienste weniger nutzen oder setze zusätzliche Vorkehrungen wie Verschlüsselung ein,
wie eine repräsentative Umfrage des Meinungsforschungsinstituts You Gov im Auftrag
der dpa ergeben habe. Dabei glaubten 84 %
der Befragten, dass die Überwachung durch
den NSA und seinen britischen Partner GCHQ
gegen die Bürgerrechte in Deutschland
verstößt. Zugleich fühlten sich aber nur 45 %
in ihren persönlichen Rechten eingeschränkt.
Während europäische Anbieter von OnlineDiensten hofften, ihre Marktposition mit
Rückenwind der Enthüllungen ausbauen zu
können, erklärten 65 % der Befragten, dass
sie Internet-Angebote aus Deutschland nicht
für sicherer halten als Dienste von amerikanischen Unternehmen.
Mit ihrer Verschlüsselungssoftware Boxcryptor haben Robert Freudenreich und Andrea
Pfundmeier den WirtschaftsWoche-Gründerwettbewerb 2013 gewonnen, berichtet das
Wirtschaftsmagazin am 11. November. Wer
Boxcryptor auf PC oder Smartphone nutzt,
könne Dateien mit einem Passwort verschlüsseln, bevor er sie übers Internet auf die
Festplatten von Speicherdiensten in die Cloud
überträgt. Sobald die Daten über PC oder
Smartphone wieder abgerufen werden, entschlüssele Boxcryptor sie, ohne dass es der
Nutzer merkt. Mehr als eine Million Menschen
nutzten die Software bereits, darunter viele,
die von der kostenlosen Basisversion auf das
36 Euro-Jahresabo umgestiegen sind.
Die Deutsche Telekom wolle ihre 38 Millionen Handykunden in Deutschland mit einer
neuen Sicherheitstechnologie besser vor
neugierigen Mithörern schützen, berichtet die
FAZ am 10. Dezember. Der Konzern werde
für Telefonate auf GSM-Netz, über das die
allermeisten Mobilfunkgespräche laufen, zum
Jahreswechsel den Verschlüsselungsstandard A5/3 einführen, habe das Unternehmen mitgeteilt. Damit seien Gespräche im
GSM-Netz besser gegen Abhören gesichert.
Die Telekom sei der erste Mobilfunkanbieter
in Deutschland, der die Technik landesweit
einsetze. Bis zum Jahreswechsel solle die
Umstellung, für die 30.000 Handy-Basisstationen aufgerüstet werden, abgeschlossen
sein. Im UMTS- und LTE-Netz, auf dem in
erster Linie Daten übertragen werden, seien
ähnlich starke Verschlüsselungen bereits
im Einsatz. Die bislang auf dem GSM-Netz
eingesetzte Sprachverschlüsselung gelte seit
Jahren als unsicher. Ob mit der neuen Technologie Handynutzer vor den großen Ohren
der NSA sicher sind, sei offen.
IT-Sicherheit – Versicherungen
Cyber-Versicherungen bieten Versicherungsschutz bei Verlust von personenbezogenen,
vertraulichen Daten. Krisenmanagementkosten, ein gegebenenfalls entstandener Betriebsunterbrechungsschaden und sogar Zahlungen
an Erpresser würden im Versicherungsfall
erstattet, schreibt Johannes Behrends, Aon,
in der Ausgabe 2-2013 von W&S (S. 26/27).
In den USA gebe es eine solche Versicherung
schon sei einigen Jahren. Dort unterhielten
schon jetzt etwa 14 % aller Unternehmen
eine Cyber-Versicherung, Tendenz steigend.
Dagegen reagiere der heimische Markt noch
sehr verhalten. Deutsche Versicherer zögerten
noch, eigene Produkte auf den Markt zu bringen. Allerdings sei davon auszugehen, dass
sich der europäische Markt in den nächsten
Jahren stark wandeln wird.
Cyberpolicen kommen nach Europa, titelt
die FAZ am 8. August. Landete das Cyber
risiko im globalen „Risk Index“ des Versicherungsmaklers Lloyd’s vor vier und zwei Jahren
noch im hinteren Mittelfeld, so habe es in der
jüngsten Befragung unter 600 Topmanagern
schon an dritter Stelle gelegen. Parallel dazu
hätten sich auch die Märkte für Versicherungen gegen Cyberkriminalität entwickelt. In
den USA erziele die Assekuranz mit solchen
Policen schon heute Beitragseinnahmen
von umgerechnet rund einer Milliarde Euro
im Jahr. Als wichtigstes Ereignis für das
veränderte Bewusstsein sähen Beobachter
den Hackerangriff auf Sony im April 2011.
Der Ausspähskandal um die NSA habe die
Sensibilisierung weiter verstärkt. Seien bei
den Amerikanern eher Deckungssummen
von etwa 5 Millionen üblich, so stellten Zurich
mit 25 und die Allianz mit 50 Millionen Euro
deutlich größere Limits bereit. Beide setzten
auf modulartige Produkte, die einen Grundschutz enthalten (darunter Haftung gegenüber
115
116
Dritten, Wiederherstellungskosten für zerstörte Daten, Cybererpressung) und die man mit
Zusatzkomponenten aufstocken könne.
Der Sicherheitsberater weist am 15. Oktober auf Versicherungen hin, die Policen zur
Absicherung von Cyberrisiken und IT-Schäden
anbieten: Neben der Axa-Versicherung seien
dies folgende Produkte: „ITSafeCare 2.0“ der
Zurich Gruppe, „Allianz Cyber Protect“ der
Allianz Global Corporate & Speciality sowie
„Cyber+“ von HDI Gerling (S. 311/312).
IT-Sicherheit – Virtual Private Network
Mastercard und Visa schließen VPNAnbieter aus, meldet SPIEGEL ONLINE
am 4. Juli. Ein VPN, ein Virtual Private
Network, ermögliche es dem Nutzer, über
eine verschlüsselte Verbindung mit dem
Browser eine Webseite anzusteuern. Diese
Seitenanfrage werde dann vom VPN-Server
an die eigentliche Zieladresse weitergeleitet
und erhalte dabei eine neue IP-Adresse.
Versandte Daten sollen bei diesem System
von außen nicht einsehbar sein. Seit dem
Wochenende sei es nun nicht mehr möglich,
über die Kreditkartenkonten Zahlungen an
bestimmte VPN-Provider zu leisten. PaysonKunden hätten eine E-Mail erhalten, in der es
heiße, der Finanzdienstleister habe Auflagen
in Bezug auf Anonymisierung, einschließlich
VPN, erlassen. Die vermutete Ursache liege
wohl in der Bekämpfung von Urheberrechtsverstößen und Online-Piraterie.
Die FAZ berichtet am 13. August über ein
Treffen von Internet-Ingenieuren, die mehr
Sicherheit im Netz fordern. Für das Online-Banking sollte über den Einsatz der
VPN-Technik nachgedacht werden, habe
einer der Vorschläge gelautet. VPN steht für
„virtuelle private Netzwerke“. Die Datenpäckchen werden nicht nur verschlüsselt,
sondern dazu in anderen Datenpäckchen
versteckt (Tunneling). Weil die Päckchen
einfach in andere Datenpäckchen mit einer
differierenden Internetprotokoll-Adresse
versteckt werden, können sie nur mit großem Aufwand zurückverfolgt werden. Die
Tagung der IT-Ingenieure habe sich nicht
nur mit sicheren Kommunikationskanälen
beschäftigt. Es sei auch um Zertifikate gegangen, die eingesetzt werden, um Websites zu legitimieren.
IT-Sicherheit – Virtuelle Rechenzentren
Achim Kraus, Palo Alto Networks, gibt in der
Ausgabe 1-2013 der Zeitschrift <kes> Tipps
zur Sicherung virtueller Rechenzentren.
Gegenüber physischen Rechenzentren gebe
es einige erschwerende Faktoren und neue
Herausforderungen. Eine zur Absicherung
eingesetzte Security-Lösung sollte in der
Lage sein, Applikationen unabhängig von
Ports und Protokoll zu erkennen und die
Applikationen nach User beziehungsweise
Gruppe bereit zu stellen. Das sei wichtig, um
Richtlinien umsetzen zu können (S. 62/63).
Dipl.-Inf. Alexander von Gernler, genua mbh,
warnt in der Ausgabe 6-2013 der Zeitschrift
<kes> davor, dass bei heute verbreiteten
Virtualisierungstechniken Vorteile durch
Einbußen bei der Sicherheit erkauft würden.
Als Alternative biete sich eine Separationslösung mit Microkernet-Technologie an, die
eine Plattform für virtualisierte Lösungen mit
einem hohen Schutzniveau schaffe. Durch
die Separation wesentlicher Systemfunktionen eröffneten sich viele interessante Perspektiven für neue hochsichere Plattformen
und Produkte (S. 79–82).
IT-Sicherheit – Web 2.0
Steffen Ullrich und Alexander von Gernler,
genua mbH, bieten in der Fachzeitschrift
<kes> (Ausgabe 3-2013) Erkenntnisse
aus dem Forschungsprojekt Padiofire zur
Entwicklung von Methoden zur besseren
Absicherung von Web 2.0-Anwendungen. Der Beitrag geht auf die Gefahren im
Web 2.0 ein und betrachtet auf Basis erster
Studienergebnisse, welche Schutzmechanismen existieren, ob diese ausreichend sind
und an welchen Stellen man neue Wege
zur Absicherung braucht. Bei Attacken wie
CSRF (Cross Site Request-Forgery) sollte
klar geworden sein, dass keine Firewall das
Intranet oder die internen Router einer Firma
schützt. Selbst Passwörter würden nichts
nützen, da der Browser bei einem CSRF
einfach den aktuellen Session-Cookie des
bereits eingeloggten Nutzers mitschickt. An
vielen Stellen könne man jedoch durch die
Verwendung von Anzeigenblocker und ähnlichen Erweiterungen den Schutz signifikant
verbessern. So könnten Nutzer das überbordende Verbrauen von Site-Betreibern in
die Sicherheit von Anzeigen- und TrackingNetzwerke einschränken.
IT-Sicherheit – Windows 8
Martin Huber, Corporate Trust, Business Risk &
Crisis Management GmbH, geht in der Ausgabe 2-2013 der Fachzeitschrift <kes> der Frage
nach: Lohnt sich der Einsatz von Windows 8
im Unternehmen? Mit Windows 8 unternehme man erste Schritte, um ein einheitliches
Bedienkonzept für alle Geräteklassen (Server, Desktop, Laptop, Tablet, Smartphone)
bereitzustellen. Der Autor geht insbesondere
auf die neue „Metro“-Applikationsumgebung,
auf „Windows-Intune“ und auf verschiedene Sicherheitsaspekte ein (durchgehende
Integritätsprüfung auf Plattformebene,
Verbesserungen bei der „Bitlocker“-Laufwerksverschlüsselung, integrierter pdf-Betrachter,
integrierter Adobe Flash Player, „Windows
to go“ für Heimarbeit und BYOD Alternative,
Anmeldung mittels Picture Password und integrierte Antimalware-Lösung) ein (S. 17–22).
Michael Kranawetter, Microsoft Deutschland
GmbH, gibt im zweiten Teil seiner Beitragsserie zu Windows 8 einen Überblick über neue
Server-Funktionen. Er beschreibt einige
Serverneuerungen, die direkt oder indirekt
den vier Schutzbereichen Authentifizierung
und Identität, Autorisierung und Isolation,
Schutz der Informationen sowie Schutz der
Kommunikation dienen. Darüber hinaus seien
als hilfreiches Sicherheitsfeature sowohl bei
Windows 8 als auch beim Windows Server
2012 „Schadensminderungen“ (Mitigations)
einbezogen, die auch im „Enhanced Mitigation
Experience Toolkit“ enthalten sind. Um den
Überblick über die eigene Systemlandschaft
zu behalten, wollten sich Unternehmen auch
mit einer Sicherheitsarchitektur ihrer Infrastruktur auseinandersetzen und dies mit entsprechenden Prozessen untermauern (S. 23–28).
heise.de weist am 22. August darauf hin,
dass – entgegen einer Zeitungsmeldung – das
BSI deutsche Unternehmen nicht vor einem
Einsatz von Windows 8 warne. Man sehe
allenfalls einige kritische Aspekte beim Einsatz von Windows 8 in Verbindung mit einem
Trusted Platform Module (TPM). Dies habe vor
allem mit dem durch den Einsatz eines Kryptoprozessors bedingten Kontrollverlust zu tun.
IuK-Kriminalität
Wegen der Komplexität der Thematik und der
Unvermeidlichkeit thematischer Überschnei-
dungen ist die Untergliederung nicht systematisch, sondern alphabetisch geordnet.
117
118
IuK-Kriminalität – Adobe
Bei dem Anfang Oktober bekannt gewordenen Einbruch ins Adobe-Netzwerk sollen
die Daten von mindestens 38 Millionen
Kundenkonten kompromittiert worden sein,
meldet heise online am 29. Oktober. Adobe
habe nach Bekanntwerden des Lecks alle
Passwörter zurückgesetzt. Adobe gehe von
einer noch nicht genannten Zahl inaktiver
Accounts sowie Testkonten aus, die betroffen
gewesen seien. Bekannt sei auch, dass rund
2,9 Millionen verschlüsselte Kreditkartendaten von Kunden betroffen seien.
IuK-Kriminalität – Advanced Persistant Threats (APT)
Der Journalist Stephan Frey befasst sich in
der Dezemberausgabe des Behördenspiegel
mit ATPs, umfangreichen und zielgerichteten Angriffen auf besonders sensible Datenstrukturen und IT-Anlagen von mittleren
und großen Unternehmen. Wörtlich bedeute
der Begriff „eine fortgeschrittene, andauernde Bedrohung“. Ein zusätzliches
Charakteristikum sei der optimale Zuschnitt
auf den jeweiligen Zweck des Einsatzes,
also einer bestimmten Softwareanwendung,
die erfolgt, wenn der Angreifer die erforderlichen Rechte besitzt. Als Urheber seien in
erster Linie Staaten und ihre Geheimdienste,
aber auch konkurrierende Unternehmen,
zu nennen. Im Fall eines Angriffs nach dem
Beispiel von Stuxnet gebe es kaum eine
Möglichkeit, die Schadsoftware zu erkennen, da diese keine Steuerung durch außen
erfahre. Es gebe Sicherheitsmechanismen,
die die sogenannten fingierten Daten bei
einem Datentransfer melden. Dadurch könne
ein APT-Angriff verhindert oder der Urheber
nachvollzogen werden. Bei Unternehmen
mit Zulieferbetrieben könne ein eigenes
Netzwerk aufgebaut werden, das regelmäßig Reports erstellt und an das Netzwerk
verteilt. Aktuellen Erhebungen zufolge sei
nahezu jedes fünfte Unternehmen gefährdet, Opfer eines APT-Angriffs zu werden.
Timo Steffens, BSI, behandelt in der
Fachzeitschrift <kes> (Ausgabe 5-2013,
S. 56–58) Möglichkeiten der Abwehr von
APT-Angriffen. Aus Sicht des BSI liege
ein APT vor, wenn ein gut ausgebildeter
Angreifer mit Rückgriff auf große Ressour-
cen sehr gezielt und mit großem Aufwand
ein Netz oder System angreift, sich dann in
dem System ausbreitet, weitere Hintertüren
einbaut, und möglicherweise über längere
Zeit Informationen sammelt oder Manipulationen vornimmt. Die Angreifer arbeiteten
häufig in thematischen Kampagnen wie
beispielsweise Luftfahrt oder Energie. APTs
seien darauf ausgelegt, unter dem Radar der
klassischen Antiviren-Lösungen zu bleiben.
Generell zeige die Erfahrung, dass APTs
nicht durch den Einsatz einzelner IT-Sicherheitsprodukte verhindert werden können.
Und sie zeige, dass es den Angreifern zu
einfach gemacht werde, weil die eigentlichen
Basis-Sicherheitsmaßnahmen nicht durchgeführt wurden. Um gegen APTs stets auf dem
Laufenden zu bleiben, sei es wichtig, dass
sich Unternehmen gegenseitig über gezielte
Angriffe informieren. Um die Anonymität der
Unternehmen zu bewahren, baue das BSI
derzeit eine Austauschplattform auf. Und auf
Seiten der Allianz für Cybersicherheit stehe
ein anonymes Meldeportal zur Verfügung.
Andres Wild, Redwood.Shores (US/CA),
geht in derselben Ausgabe (S. 10/11)
der Frage nach: „Wie soll man APTs begegnen?“ Für die Implementierung eines
starken risikobasierten Ansatzes gebe es
eine ganze Menge passender Rahmenwerke: ISO 27000, NIST SP-800-53 & Co.
seien keine Unbekannten. Ein möglicher
Weg sei die Nutzung einer Methodik mit
Überwachungs- und Steuerelementen, die
sich bei der Minderung von Risiken realer
Bedrohungen als effektiv erwiesen haben.
Die zwanzig „Critical Controls for Effective Cyber Defense“ seien ein Ansatz, der
dieser Methodik entspreche. Sie würden
nach Bedarf aktualisiert und lägen aktuell im
vierten Release (Version 4.1) vor.
IuK-Kriminalität – Banken
Das Handelsblatt berichtet am 9. Januar, Hacker aus dem Iran seien für den Zusammenbruch von Banken-Webseiten in den USA
verantwortlich. Bank of America, Citigroup
und Wells Fargo seien betroffen. Die Hacker
sollen Clouds unter ihre Kontrolle gebracht
haben. In den vergangenen Wochen habe
auch die Intensität der Angriffe zugenommen.
Nach Informationen der New York Times sei
der Iran für diese Verschärfung verantwortlich. Durch die Attacken sei das Laden der
Banking-Webseiten extrem verlangsamt worden. Im schlimmsten Fall seien die Onlineseiten zusammengebrochen und seien für die
Bankkunden nicht mehr erreichbar gewesen.
Um die Attacken auf die US-Banken durchzuführen, hätten die Hacker Tausende vernetzter Computer genutzt. Diese Clouds würden
von Amazon, Google und vielen weiteren
kleineren Anbietern betrieben. Das Geschick
und die Raffinesse der Attacken weisen laut
Offiziellen der US-Regierung und Sicherheitsexperten auf den Iran hin.
Die USA verschärfen ihre Warnungen vor
Angriffen oder Spionage über digitale Datenkanäle, berichtet die FAZ am 14. März. Alle
Bereiche seien gefährdet, von der Regierung
über private Netzwerke bis hin zu Infrastruktureinrichtungen. Präsident Obama habe in
einem Gespräch gewarnt, dass diese Risiken
ständig anstiegen und manche Bedrohungen
eindeutig von Regierungen ausgingen. Die
Regierung versuche zur Zeit, Unternehmen
in den USA auf gemeinsame Standards zum
Schutz vor Internetspionage einzuschwören. Die Besorgnis richte sich vor allem auf
Wirtschaftsspionage und mögliche Angriffe
auf die Infrastruktur wie Elektrizitätsnetze
oder Flugsicherung. Dass die Warnungen berechtigt sind, sei zuletzt durch neue HackerAngriffe auf Internetseiten untermauert
worden. Eine Internetseite der Großbank JP
Morgan Chase sei am 12. März für mehrere
Stunden lahmgelegt worden. Andere Banken
wie Citigroup, Bank of America und selbst
die Notenbank Federal Reserve seien in den
vergangenen Wochen Ziel solcher Internetattacken gewesen.
Wie auch die FAZ am 21. Mai meldet, waren
die wiederholten Hacker-Angriffe auf
Internetseiten großer amerikanischer
Banken nach Angaben von amerikanischen
Sicherheitsbehörden schwerwiegender als
bislang bekannt. Große und wichtige Teile der
Infrastruktur bei den Banken und in der Telekommunikation seien in einem gefährlichen
Ausmaß belastet worden. Zeitgleich seien
Seiten von mehr als einem Dutzend Geldhäusern mit Daten überflutet worden und
daraufhin abgestürzt. US-Politiker machten
dafür den Iran verantwortlich.
Am 15. September weist heise online auf
einen Bericht der Tageszeitung Daily Mail
Online hin, nach dem ein als IT-Techniker
verkleideter Mann in die Büroräume der
Santander Bank in London eingedrungen sei
und einen KVM-Switch an einem der Rechner
installiert habe, der sämtliche Eingaben per
Maus und Tastatur sowie das Monitor-Bild
über einen Ethernet-Anschluss an einen
Rechner der Hacker-Gruppe ins Internet
geschickt habe. Der womöglich mit einer
Funkeinheit kombinierte KVM-Switch habe
den Hackern Login-Daten sowie Passwörter
übermitteln und einen Remote Access zum
Bank-Computer ermöglichen sollen. Allerdings seien Mitarbeiter der Bank misstrauisch
geworden und hätten Scotland Yard eingeschaltet. Am 12. September habe die Polizei
bei Hausdurchsuchungen zwölf Männer
festgenommen, denen der Versuch des
119
120
gemeinschaftlichen Bankraubs vorgeworfen
werde. Die Polizei habe das robuste Sicherheitssystem des Geldinstituts gelobt.
Nach einer Meldung in der FAZ am 20. Dezember haben unbekannte Hacker möglicherweise Bankkarten-Daten von rund
40 Millionen Kunden des amerikanischen
Discounters Target erbeutet. Die Angreifer
hätten die Informationen wohl über zwei
Wochen lang abgegriffen. Unter anderem seien die Magnetstreifen der Karten gestohlen
worden. Mit diesen Daten könnten gefälschte
Karten produziert werden.
IuK-Kriminalität – Bedrohungslage/Entwicklung
Das BSI gibt folgenden Überblick über die
IT-Sicherheitslage 2013:
„Die Bedrohung durch eine Vielzahl von Cyber-Gefahren hält unvermindert an. Weder für
Bürger noch für Unternehmen und Behörden
sinkt die Angriffslast. Nach Erkenntnissen des
BSI nehmen Angreifer verstärkt die Wirtschaft
ins Visier, wobei gerade auch mittelständische Unternehmen in besonderem Maße von
Wirtschaftsspionage, Konkurrenzausspähung,
aber auch Erpressung betroffen sind. Als dominierendes Motiv für Internetangriffe gelten
daher nach wie vor finanzielle Beweggründe.
Darüber hinaus haben auch Sabotage und
der Versuch politischer Einflussnahme durch
Hacktivismus im Motivspektrum der Täter
deutlich an Gewicht gewonnen. Der Einsatz
von Angriffswerkzeugen auch durch nicht
professionell agierende Akteure wird durch
günstigere Beschaffungskosten leichter möglich. Abseits der Masse an Standardangriffen
auf IT-Systeme von Privatnutzern, Behörden
und Unternehmen ist eine gesteigerte Zielorientierung, eine weitere Professionalisierung
der Angreifer und eine damit gesteigerte
Qualität der Angriffe zu beobachten. Mehrstufige Angriffe kombinieren verschiedene
Angriffsarten, um sich dem eigentlichen Ziel
schrittweise zu nähern. In einigen Fällen wird
sogar eigens eine neue Schadsoftware mit
speziellen Funktionen konstruiert – etwa zur
Tarnung oder um nach dem Angriff Spuren
zu verwischen. Keine Ausnahme, sondern die
Regel ist dies in professionell ausgeführten,
langfristig ausgelegten und umfassenden
Cyber-Angriffen – den sogenannten Advanced Persistent Threats (APT). APTs bedrohen
die Wettbewerbsfähigkeit der deutschen
Industrie durch gezielte Wirtschaftsspionage
oder Konkurrenzausspähung. Das BSI geht
davon aus, dass heute mindestens jedes
international aufgestellte Unternehmen
in Deutschland ein potenzielles APT-Ziel
ist. Ziel der Angreifer ist, möglichst umfassenden und langfristigen Zugang zu
einem Opfer-Netzwerk zu erhalten, um dort
sensible Daten zu stehlen. Oft nutzen die
Angreifer bei APTs eine Kombination aus
Social Engineering und technischen Angriffswerkzeugen. APTs werden in der Regel mit
eigens auf das jeweilige Opfer zugeschnittenen Schadcode-Emails ausgeführt. Für
hochwertige Spionageprogramme werden
oft auch Funktionen zur Tarnung oder zum
Verwischen der Spuren entwickelt.“
97 Schachstellenwarnungen gab das BSI
2012 heraus – darunter monatlich ein bis
zwei hochkritische Zero Day Exploits, die
bereits am Tag der öffentlichen Bekanntmachung und häufig auch schon viele Tage
vorher für Angriffe ausgenutzt wurden.
Das BSI beobachtet einen Anstieg von individuell zugeschnittenen und raffiniert getarnten
E-Mails, mit denen die avisierten Opfer zum
Öffnen des Dateianhangs verleitet oder auf
eine manipulierte Webseite gelockt werden
sollen. Das dafür nötige Vorwissen über ihr
Opfer sammeln Angreifer häufig auf den
Webseiten von Unternehmen oder in Sozialen Netzwerken. Bei persönlicher Ansprache
und oft gefälschten, aber vertrauenswürdig
erscheinenden Inhalten sind IT-Anwender
schneller bereit, auf einen scheinbar harmlo-
sen Link zu klicken. Mangelnde Sensibilisierung im Umgang mit persönlichen und auch
betrieblichen Informationen in Sozialen Netzwerken birgt nach Einschätzung des BSI dabei fast ebenso große Risiken wie technisch
veraltete Systeme. Schadsoftware wird auch
nach wie vor massenhaft ungezielt verbreitet.
Längst tot geglaubt, erlebt das Phishing, bei
dem potenzielle Opfer per Link in einer E-Mail
auf eine gefälschte Webseite gelockt werden,
derzeit ein Comeback. Die durchschnittliche
Lebenszeit von Phishing-Webseiten ist zwar
auf ein Rekordtief gesunken, die Anzahl
solcher Seiten aber im Gegenzug wieder
deutlich angestiegen.
Der Behörden Spiegel weist in seiner AprilAusgabe auf einen strategischen Bericht
von EUROPOL zur Prioritätensetzung der
Jahre 2013 bis 2017 hin, nach dem der
aktuelle und zukünftige Trend der CyberKriminalität zum Hacken von Dienstleistern
gehe. Mehrere dieser großen Angriffe seien
schon bekannt. Den Angreifern gehe es dabei
um die Entwendung großer Datenmengen,
die dann gewinnbringend in der Underground
Economy verkauft würden.
Die Fachzeitschrift IT-Security weist in ihrer
Ausgabe 1-2013 (S. 31) darauf hin, dass
das Information Security Forum (ISF, www.securityforum.org), eine der weltweit führenden
Nonprofit-Organisationen für Informationssicherheit, seinen „Threat Horizon 2015“
vorstellt. Das größte Sicherheitsrisiko für
Unternehmen gehe demnach weiterhin von
bereits bekannten Faktoren aus. Gleichzeitig
würden aber das Entwicklungsniveau und
die Komplexität der von diesen Faktoren
ausgehenden Risiken stetig steigen, womit
die meisten Unternehmen nicht Schritt halten
könnten. Das ISF fordere Unternehmen
deshalb dazu auf, ihr Risikomanagement so
zu gestalten, dass sie jederzeit flexibel auf
Veränderungen bei bekannten und neuen Bedrohungen reagieren können. Cyberkriminelle
würden genau abwägen, welche Personen
im Unternehmen Zugang zu wertvollen
Informationen haben und damit potentielle
Eingangstore bieten. Das erhöhte Tempo des
technologischen Fortschritts verschärfe die
Sicherheitslage.
Tecchannel.de weist am 21. August auf die
Erklärung des BKA-Präsidenten Ziercke hin,
die Kriminalität im Internet habe sich in
den vergangenen fünf Jahren verdoppelt.
Die Aufklärungsquote von 30 % sei völlig
unbefriedigend, die Dunkelziffer sehr hoch.
Einen drastischen Rückgang der Kriminalität
habe es im Bereich Online-Banking durch
Phishing gegeben. Dies sei auf die Einführung
der SMS-TAN zurückzuführen. Smartphones
würden zunehmend von Cyber-Kriminellen
attackiert.
Einen starken Zuwachs der Internet- und
Computerkriminalität registriere das LKA
NRW, meldet die FAZ am 12. November. In
den ersten zehn Monaten 2013 habe es im
Lande 23.104 Fälle von Computerkriminalität
gegeben. Das sei ein Zuwachs von 22 % im
Vergleich zum Vorjahr. Bei Straftaten der Datenveränderung und der Computersabotage
habe es sogar einen Anstieg um rund 60 %
auf knapp 6.000 Fälle gegeben. Das Cybercrime-Kompetenzzentrum in Düsseldorf, in
dem mit rund 100 spezialisierten Polizeibeamten, Wissenschaftlern und Technikern
das Expertenwissen des LKA gebündelt ist,
sei mittlerweile die zentrale Anlaufstelle für
hilfesuchende Behörden und Unternehmen
im Land.
IuK-Kriminalität – BKA
Die Kosten, die durch Cyberkriminalität
entstehen, seien größer als jene, die der
Handel von Kokain, Heroin und Marihuana
gemeinsam erzeugen, schreibt die FAZ am
13. November. Der Präsident des BKA, Jörg
Ziercke, habe bei der Eröffnung der Herbst-
121
122
tagung des BKA von der Cyberkriminalität
als einer „entgrenzten Kriminalität“ gesprochen, die „ungebremst entwicklungsoffen“ sei und die Strafverfolgungsbehörden an
funktionale und territoriale Grenzen bringe. Er
habe für eine „public private Partnership“ zwischen Polizei und Wirtschaft geworben und
einen Mangel an deliktspezifischer Expertise
in den Justizbehörden beklagt. Es mangle an
Technik und auch an rechtlichen Voraussetzungen für effiziente Fahndung. Ziercke und
Staatssekretär Fritsche vom BMI hätten für
die Wiedereinführung der Vorratsdatenspeicherung plädiert. Am Beispiel des BombenAnschlags auf den Boston-Marathon habe
der BKA-Präsident verlangt, die Polizei müsse
in der Lage sein, große Datenmengen zu
sichten, die durch öffentliche Fahndungsaufrufe entstehen können. Es müssten „automatisierte Bearbeitungstools“ dafür aufgebaut
werden. Spionage in Deutschland finde auf
allen Ebenen statt, insbesondere zu Lasten
der deutschen Wirtschaft, habe Fritsche
gemahnt. Gerade der hochinnovative Mittelstand sei akut bedroht.
BKA-Hacker auf digitaler Spurensuche,
titelt DIE WELT kompakt am 30. Januar.
Dass bei der Nutzung jedes elektronischen
Geräts digitale Spuren anfallen, klinge erst
einmal banal. Doch an solche Beweise
heranzukommen, erfordere hochkomplexes
Handwerk. Um an Daten auf SmartphoneChips heranzukommen, müssten die Chips
erst einmal aus den Geräten herausgelötet werden. Um die Chips dabei nicht zu
beschädigen, setzten die Forscher auf eine
selbst entwickelte Vorrichtung, mit der sie
Chips schmelzpunktgenau aus Geräten löten
und im Notfall fräsen können. Eine eigens
programmierte Software prüfe dabei, welche
Leiterbahnen des Chips Daten führen. So
bekämen die Ermittler auch Baupläne von
Mikro-Controllern , die nicht per Datenblatt
verfügbar seien. Mit sogenannten BruteForce-Angriffen, bei denen in Sekundenbruchteilen Tausende Wortkombinationen
automatisch ausprobiert würden, ließen sich
Kennwörter ermitteln. In komplizierteren
Fällen müsse ein Oszilloskop ran. Deutlich
schwerer seien die Ermittlungen gegen
Skimmer-Banden. Denn die Kriminellen, die
EC-Kartendaten mit manipulierten Aufsätzen
für Geldautomaten abgreifen, seien bestens
ausgerüstet. Die Experten des BKA orteten
Verschlüsselungssektoren des Chips per
Elektronen-Mikroskop und legten sie mit
einer Nano-Fräse frei. Oder sie überbrückten
die Stromversorgung des Verschlüsselungssektors mit einem gebündelten Ionenstrahl
und löteten Leiterbahnen.
BKA will Cybercrime mit Cyberlab und
eigener Software bekämpfen, meldet heise
online am 12.November. Auf der Herbsttagung des BKA habe Präsident Ziercke
den Aufbau eines Cyberlab als kriminaltechnische Servicestelle mit über 100
Cyber-Spezialisten vorgestellt. Sie solle für
die „Kryptoanalyse und die Dekryptierung
von Verschlüsselungen“ zuständig sein und
„digitalelektronische Asservate“ sichern.
Das weiteren solle beim BKA eine sichere
IT-Infrastruktur zur automatisierten Bearbeitung von Foto- und Videodaten eingerichtet werden. Als zusätzliche Maßnahme
habe Ziercke den Aufbau eines Arbeitsbereichs Cyberspionage in der Abteilung
Staatsschutz angekündigt. Es gebe aktuell
164 Fälle der Schwerkriminalität, in denen
das BKA und die KLA Ermittlungsdefizite
hinnehmen müssten, „weil die Überwachung
oder Auswertung von Telekommunikation rechtlich oder technisch aufgrund von
Verschlüsselung nicht möglich war. Ziercke
habe betont, dass eine schnellstmögliche
Einführung einer funktionierenden Telekommunikationsüberwachung mit ausreichender
Mindestspeicherfrist von IP-Adressen bei
den Providern unumgänglich sei. Man würde
allerdings zu kurz greifen, wenn man sich
ausschließlich auf die Entwicklung digitaler
Fahndungsinstrumente konzentriere. Die
verdeckte Informationsgewinnung durch
spezialisierte Cyber-Ermittler müsse die Abschottung der Kommunikation und Interaktion von Tätern im Internet überwinden.
IuK-Kriminalität – Bitcoin
Heise online berichtet am 13. November
über Hackerangriffe auf Bitcoin-Dienste.
Gleich drei Fälle von unsicheren BitcoinDienstleistern zeigten die Schattenseiten der
noch jungen Wirtschaft rund um die virtuelle
Währung. Jüngstes Beispiel sei die gehackte
tschechische Bitcoinbörse Bitcash.cz, bei
der laut Bericht von Coindesk rund 4.000
Kunden mit ihren Accounts betroffen sein
sollen. Angreifer sollen sich bei einem
Angriff Zugriff auf die Server inklusive der
Kunden-Wallets verschafft haben. In einer
Phishing-Mail hätten sich die Hacker als Börsenbetreiber getarnt und Kunden zu einer
Bitcoinzahlung aufgefordert, die für einen
vermeintlichen US-Service nötig sei, der ihre
verlorenen Guthaben zurückholen könne.
Bereits Ende Oktober sei eine in China aktive
Bitcoin-Börse ohne Benachrichtigung der
Kunden aus dem Netz verschwunden.Verschwunden seien gleichzeitig die Einlagen
der Kunden mit Guthaben in einem Wert von
rund 25 Millionen Yuan.
IuK-Kriminalität – Botnetze
Wenn drei leichtsinnige Grundeinstellungen
zueinander kommen, können sich Kriminelle
über einfach erreichbare Geräte und Industriesteuerungsanlagen freuen. Das stellt
nach einer Meldung von heise online am
27. Mai das australische Computer Response
Team fest. Ein kriminell genutztes Botnetz
habe sich auf Geräten ausgebreitet, die
erstens über das Internet erreichbar sind, die
zweitens über Port 23 einen Telnet-Zugang
ohne Firewall bereitstellen und die drittens Standardlogindaten verwenden. Über
„ifconfig“ seien die Geräte zu identifizieren
gewesen. Dass die Geräte so ungeschützt
seien, läge an den Herstellern und nicht etwa
an „dummen“ Nutzern. Nutzer könnten die
Grundeinstellungen nachträglich oft kaum
beeinflussen.
SecuPedia gibt in einem Newsletter Tipps
zur Abwehr von Bots, die als „dark clouds“
die Speicher- und Rechenleistung von Millionen verteilter PCs bündeln und Hackern
zahllose lukrative Einsatzmöglichkeiten
bieten. Bei der Abwehr der Botnetze könnten Unternehmen auf eine breite Palette
von Best Practice-Ansätzen zugreifen.
Folgende 10 Regeln werden empfohlen:
1. Aktueller Desktop-Antivirus ist Pflicht. Bei
der Produktauswahl sei darauf zu achten,
dass die Lösung neben E-Mails und Attachements auch Downloads scannen und
dafür klassische Pattern- und Signatur-Filter
unterstützen könne. 2. Ergänzung durch ein
Mail-Gateway, wobei der Gateway und der
Desktop-AV von verschiedenen Herstellern
stammen sollten, 3. Malware aus dem Internet durch ein Web-Gateway stoppen, das
über URL- und Kategorie-Filter Zugriffe auf
kompromittierte Seiten stoppt. 4. Firewall
restriktiv konfigurieren. Sie sollte lediglich
tatsächlich benötigte Ports und Protokolle
zulassen. 5. Die Anwendungsebene mithilfe
einer Next Generation Firewall oder einer
dedizierten App Control-Lösung im Auge
behalten. 6. Bei kritischen Web-Anwendungen lohnt sich eine Web Application Firewall,
die als „lernendes System“ gängige Angriffsmuster stoppt. 7. Ein Intrusion Detection
System garantiert höchste Transparenz.
8. Unternehmensweite Security-Suite installieren, die zumindest eine Personal Firewall,
Mobile AV, sicheren Remote Access und
zentralisierte Management-Features umfasst. 9. Sich über neue Produkte auf dem
Laufenden halten. 10. Mitarbeiter schulen.
123
124
IuK-Kriminalität – China
China soll die „New York Times“ ausgespäht haben, meldet die FAZ am 1. Februar.
Wie die „New York Times“ berichtet habe,
hätten die Hackerangriffe auf die Computer
der Zeitung unmittelbar nach der Veröffentlichung eines gründlich recherchierten
Artikels vom 25. Oktober begonnen. Darin
sei der immense Reichtum der Familie des
chinesischen Ministerpräsidenten Wen Jiabao
beschrieben worden. Die Hacker hätten sich
zunächst Zugang zu Computern an amerikanischen Universitäten verschafft. Die Angriffe
seien dann über diese Rechner geführt worden. Mit Schadsoftware, die über Emails auf
die Computer von 53 Mitarbeitern außerhalb
der Redaktion installiert worden sei, hätten
die Angreifer Zugang zu den E-Mail-Konten
beinah aller Mitarbeiter des Blattes erlangt.
Der Angriff mutmaßlich im Auftrag des
Pekinger Regimes handelnder Hacker sei kein
Einzelfall. Die Nachrichtenagentur Bloomberg
habe im vorigen Jahr ebenfalls von einem
Hackerangriff aus China berichtet, während
Mitarbeiter der Agentur für einen Bericht
über das Vermögen der Familie des heutigen
Parteichefs Xi Jinping recherchierten. Auch
beim Rüstungskonzern Lockheed Martin
und bei der amerikanischen Handelskammer
habe es Hackerangriffe gegeben, die offenbar
von China ausgingen. Iran werde dagegen
hinter Hackerangriffen auf die Websites von
mindestens neun amerikanischen Banken
sowie von Ölunternehmen in Saudi-Arabien
seit September vermutet. Die bis heute
andauernden Angriffe gegen Banken dürften
Vergeltungsschläge für den – offiziell nie bestätigten – israelisch-amerikanischen Angriff
mit dem Stuxnet-Virus auf iranische Atomanlagen gewesen sein.
Wie die ASW am 11. Februar unter Hinweis
auf das BfV mitteilt, konnten im Zusammenhang mit dem
18. Nationalkongress der Kommunistischen
Partei Chinas im November 2012 mit Schadsoftware versehene E-Mails festgestellt
werden, die auf einen staatlichen chinesischen Ursprung hinweisen. Adressaten der
infizierten E-Mails seien unter anderen Vertreter internationaler sowie deutscher Medien
und Mitarbeiter einer staatlichen deutschen
Außenhandelsorganisation gewesen. Als
Absender sei eine Adresse des chinesischen
Außenministeriums angegeben gewesen. Bei
der Schadsoftware habe es sich um einen als
Anhang versandten so genannten Trojaner
gehandelt, der typische Ausspähungsmerkmale aufwies. Die für den Rückmeldeweg
der Schadsoftware genutzte Infrastruktur bei
einem chinesischen Anbieter auf chinesische
Namen und Anschriften registriert. Bei diesem offenkundig von staatlichen Stellen der
VR China gestützten elektronischen Angriff
sei ein Hauptfokus auf die Berichterstattung
der Medien über den 18. Nationalkongress in
Peking festgestellt worden.
In derselben Mitteilung wird darauf hingewiesen, dass die für die Einreise in die VR China
geltenden
Visaformulare eine Vielzahl an Fragen zur
persönlichen sowie beruflichen Situation
enthalten. Von Geschäftsreisenden seien ausführliche Angaben zur beruflichen Tätigkeit,
zum Reisezweck, zu geplanten Aufenthaltsorten sowie zu Kontaktstellen und -personen
in China zu machen. Diese Angaben dienten
einer umfassenden staatlichen Kontrolle.
Auch die Nutzung von Daten- und Kommunikationsdiensten unterliege ihr. Ziel sei in
der Regel die direkte Beschaffung sensibler
Informationen und die Möglichkeit verdeckter
Manipulation von Datenträgern und Kommunikationsgeräten von Geschäftsreisenden.
Auch nach Rückkehr aus China könne mit
Schadsoftware manipulierte Technik Informationsverluste verursachen. Dies gelte insbesondere für eine weitere Verwendung dieser
Geräte in Firmennetzwerken. Während des
Aufenthalts in der VR China sollten insbesondere folgende Sicherheitsempfehlungen
berücksichtigt werden: Einschränkung von
elektronischer Kommunikation auf das unumgängliche Maß; Beschränkung der Datenträger auf die für den Reisezweck notwendigen
Daten; Wachsamkeit und Sensibilität gegenüber Dienstleistern; keine Aufbewahrung sensibler Unterlagen und entsprechender Geräte
in Fahrzeugen und Hotelzimmern.
Die FAZ meldet am 25. Februar, Verfassungsschützer hätten 2012 mehr als tausend
Angriffe chinesischer Hacker auf Computer
deutscher Bundesbehörden und Unternehmen registriert. Vor einigen Monaten habe
es eine „bemerkenswerte“ Attacke auf die
Rechner von EADS gegeben. Auch ThyssenKrupp habe Mitte 2012 Angriffe beklagt, die
„eine besondere Qualität“ hatten. Die Attacke
sei zwar in den USA erfolgt, die Adressen der
Täter seien aber chinesisch.
„Chinas Militär unter Hacker-Verdacht“
titelt die FAZ am 20. Februar. Eine am 19. Februar vorgelegte Studie des auf Netzwerksicherheit spezialisierten amerikanischen Unternehmens Mandiant Corp. komme zu dem
Ergebnis, dass eine geheime Militäreinheit
im Auftrag der chinesischen Regierung seit
Jahren mit systematischen Hacking-Angriffen
sensible Informationen von amerikanischen
Unternehmen stehlen. Mehr als 140 Unternehmen und andere Organisationen seien
seit 2006 Ziel solcher Attacken geworden,
die sich zum Teil über mehrere Jahre hingezogen hätten.
Das Bundesamt für Verfassungsschutz
(BfV) weist in seinem Newsletter am 8. April darauf hin, dass Firmenhinweisen und
Pressemeldungen zufolge in der VR China
ansässige Firmenniederlassungen deutscher
Unternehmen von regionalen Polizeibehörden aufgefordert werden, eine technische
Kontrolle des Internet-Datenverkehrs
zu ermöglichen. Bei dem von chinesischen
Behörden zertifizierten und von einem chinesischen Hersteller stammenden MonitoringDevice soll es sich um ein Gerät handeln,
das zwischen einem Internetrouter und dem
angeschlossenen Netzwerk geschaltet wird.
Dadurch solle die Erfassung unverschlüsselter Daten wie Browserinhalte, Downloads und
Uploads, durch staatliche chinesische Stellen
sichergestellt werden. Als Begründung für
eine Intensivierung der staatlichen Internetkontrolle werde angegeben, eine illegale
Nutzung des Internets durch chinesische
Staatsbürger, z. B. als Unternehmensbeschäftigte, zu unterbinden. Eine Nichtbeachtung
der geförderten Maßnahmen würde eine
Sanktionierung nach sich ziehen. Ein Zusammenschluss internationaler Unternehmen in
der VR China – „Quality Brands Protection
Committee“ – soll seine Mitgliedsunternehmen auf entsprechende Forderungen der Behörden in Peking und in den Provinzen Hebei
und Shandong hingewiesen haben. Demnach
sei ein „Internet Security Censor Managing
System“ zu installieren, das innerhalb des
Firmennetzwerkes eingesetzt werden müsse.
Aus den Meldungen sei derzeit nicht gesichert, ob generell eine Installierung innerhalb
eines Firmennetzwerkes erforderlich ist oder
eine Verwendung außerhalb einer Firmenfirewall als ausreichend angesehen wird.
Insbesondere der Einsatz von technischen
Kontrollmaßnahmen innerhalb von Firmennetzwerken durch chinesische Behörden
würde das Risiko eines ungewünschten
Know-how-Abflusses oder auch der Sabotage deutlich erhöhen.
IuK-Kriminalität – Elster
Das BSI weist am 31. Januar auf eine SpamWelle hin, mit der aktuell angebliche ELSTERSteuerbescheide an Bürger verschickt werden.
Die angehängte, per ZIP gepackte Datei
„ELSTER.de“ enthalte einen Schadcode. Be-
kannt seien bisher folgende Versandadressen:
[email protected], [email protected],
[email protected], [email protected].
125
126
IuK-Kriminalität – Finanzinfrastruktur
Wie heise online am 22. Oktober meldet,
haben mehr als 50 Institutionen in New
York bei der Übung Quantum Dawn 2 einen
Cyberangriff auf die Finanzinfrastruktur in
den USA durchgespielt. Die Angreifer seien
dabei größtenteils erfolgreich gewesen: Nach
fünf Stunden sei der simulierte Börsenhandel
an der Wallstreet vorsichtshalber ausge-
setzt worden. Während des sechsstündigen
Cyber-Manövers hätten Hacker die Konten
von Aktienhändlern übernehmen und den
Markt mit Wertpapieren überschwemmen
können. Bei dem Manöver habe vor allem das
Krisenmanagement der Beteiligten auf dem
Prüfstand gestanden.
IuK-Kriminalität – Geheimdienste
Der BND rüste für den Kampf gegen die
über das Internet geführten digitalen Spionageattacken personell auf, berichtet
SPIEGEL ONLINE am 24. März. BND-Chef
Gerhard Schindler habe eine kleine Runde von Bundestagsabgeordneten darüber
unterrichtet, dass sich eine neue Abteilung,
die sich ausschließlich mit Hackerangriffen
auf Bundeseinrichtungen und die deutsche
Industrie beschäftigt, bis zu 130 Mitarbeiter
stark werden solle. Deswegen müsse der
BND auch Expertisen von Software-Unternehmen einkaufen, die sich auf AntivirenProgramme spezialisiert haben. Schindler
habe ein drastisches Bild der Bedrohung
durch Cyberspionage gezeichnet, die vor allem von China ausgehe. Dort arbeiteten nach
BND-Erkenntnissen bis zu 6.000 Experten
in einer eigens eingerichteten Abteilung des
Verteidigungsministeriums, die sich auf die
Abschöpfung von Technologieunternehmen
und Rüstungskonzernen aus dem Ausland
spezialisiert haben. Russland betreibe eine
ähnlich aggressive Cyberstrategie. Allerdings
seien die staatlichen Hacker dort als private
Firmen getarnt. In den letzten Monaten habe
der Dienst pro Tag drei bis fünf Attacken
allein auf Bundes- und Regierungsstellen in
Deutschland registriert.
Die NSA-Spionageaffäre beunruhigt auch
deutsche Unternehmen. Wurden vom USGeheimdienst unter dem Deckmantel des
Kampfes gegen den Terror Firmengeheimnisse ausgespäht?, fragt Deutsche Welle. Der
Vorsitzende der CSU-Mittelstands-Union,
Hans Michelbach, sehe die mutmaßliche
Überwachung von EU-Institutionen als
Alarmsignal. Die EU sei kein Unterstützer von
Terroristen, wohl aber ein starker Konkurrent auf dem Weltmarkt. Wirtschafts- und
Unternehmensverbände drängten auf
Klärung, welche Daten tatsächlich gespeichert und wie sie weiterverwendet wurden.
Dass Firmen-Know-how weitergegeben sein
könnte, sei erst einmal nur ein Verdacht.
Rainer Glatz vom VDMA wünsche sich neben
der Aufklärung über die Verwendung der
Daten vor allem ein internationales Abkommen, in dem Datenschutz und Rechte an
geistigem Eigentum klar geregelt werden.
Darüber hinaus müssten die Unternehmen
aber selbst aktiv werden. Beim Schutz ihres
Know-how könnten sie sich nicht allein auf
den Staat verlassen. Die Wirtschaftswoche
geht am 8. Juli der Frage nach, „was wirklich hinter Prism & Co. steckt“. Erstmals
habe 2004 laut Geheimdienstexperten das
atomgetriebene U-Boot USS Jimmy Carter
am Meeresgrund unbemerkt Glasfaserkabel
anzapfen können. Das sei eine Revolution in
der Geheimdienstwelt gewesen, denn durch
die Datenadern in Atlantik und Pazifik poche
der Puls der weltweiten Kommunikation:
Telefonate, E-Mails, alles, was Menschen
und Unternehmen elektronisch austauschen.
Das sei nur der erste Schritt gewesen. Seit
2011 arbeiteten die US-Agenten zusätzlich
mit britischen Kollegen und privaten Telekommunikationsfirmen zusammen, um dort
Daten abzufangen, wo es zuvor unmöglich
gewesen sei: an den wichtigsten Netzknotenpunkten, durch die der Datenstrom zwischen
Europa und den USA fließt. Ziel von Spionageprojekten wie Tempora und Prism sei
nicht bloß Terrorabwehr. Per Datenanalyse
entschlüsselten sie auch die Geheimnisse
der Wirtschaft. Die USA hätten mehrfach
von der NSA abgefangene Informationen
gegen europäische Wettbewerber eingesetzt:
In den Neunzigerjahren etwa habe der Dienst
Telefonate des französischen Rüstungskonzerns Thomson-CSF mit Brasilien abgehört.
Denen zufolge bestachen die Franzosen
Regierungsmitglieder, um einen Satellitenauftrag an Land zu ziehen. Amerika habe
dies publik gemacht, das Geschäft habe der
US-Konkurrenz Raytheon erhalten. Ähnlich
sei es Airbus etwa zur selben Zeit bei einem
Auftrag in Saudi-Arabien ergangen. Längst
habe Großbritannien eingeräumt, bei Spionage gehe es neben Sicherheit auch um
nationale Prosperität. In Frankreich gebe es
sogar eine Schule für Wirtschaftsspionage.
Kaum ein Experte bezweifle, dass die Datenanalyse immer öfter auch gegen Unternehmen angewendet wird, um Geheimnisse zu
erfahren. In wenigen Stunden könnten Spione
mit modernen Big Data-Techniken ausspähen, wofür sie noch vor einer Dekade Wanzen
und Minikameras installieren mussten. Lange
habe die Industrie die Gefahren verdrängt,
jetzt sei das Erschrecken groß. Thomas
Lindner, Präsident beim VDMA, beobachte
„im Süden und Westen Deutschlands eine
wachsende Zahl von Spionagefällen“. Studien
bestätigten das: Jedes fünfte deutsche Unternehmen, so eine repräsentative Erhebung der
Unternehmensberatung Corporate Trust, sei
in den vergangenen drei Jahren Opfer eines
Spionageangriffs geworden. Der dadurch
entstandene Schaden sei auf 4,2 Milliarden
Euro gestiegen – auf 50 % über dem Wert
von 2007. Erst kürzlich seien Analytiker des
Sicherheitsdienstleisters Integralis bei einem
Automobilzulieferer im zentralen Server auf
eine Software gestoßen, die sämtliche Druckaufträge des Unternehmens kopierte und an
eine externe Adresse schickte. Besonders
oft fingen die Cyber-Spione den Sprach- und
Datenverkehr direkt in Mobilfunknetzen oder
Datenkabeln ab. Zweites bevorzugtes Ziel
seien die Server, auf denen Unternehmen ihre
Geschäftsgeheimnisse ablegen. Erst recht
spiele der Trend zum Speichern und Verarbeiten von Daten auf Speichern im Internet,
das sogenannte Cloud-Computing, den
elektronischen Spionen in den Lauf. Schließlich warnten Sicherheitsberater vor Risiken,
die von Betriebssystemen wie Windows,
MacOS, aber auch Android und dem iPhoneSystem iOS ausgingen: Sie ließen sich kaum
schützen, weil nicht klar sei, ob und welche
Hintertüren Microsoft, Apple und Google im
Auftrag der US-Geheimdienste eingebaut
haben. Die Verantwortlichen des Chemiekonzerns Lanxess hätten daraus Konsequenzen
gezogen: Das Unternehmen verzichte auf
US-Schutzsoftware.
Die US-Sicherheitsbehörden verlangen
einem Bericht des US-Fachdienstes „Cnet“
zufolge Nachschlüssel für verschlüsselte
Internetverbindungen von US-Unternehmen,
meldet SPIEGEL ONLINE am 25. Juli. Die
Geheimdienst-Allianz aus NSA und britischem GCHQ habe sich offenbar in großem
Stil Zugriff auf die Datenkabel verschafft, die
etwa Europa und Amerika miteinander verbinden. So könne der Datenstrom ausgeleitet,
zwischengespeichert und nach Belieben
durchforstet werden, es sei denn, er ist verschlüsselt. Die Grundfrage, vor der freiheitliche Gesellschaften nun stünden, seien diese:
Haben freie Bürger ein Recht auf verschlüsselte Kommunikation – und haben Sicherheitsbehörden ein Recht auf Nachschlüssel?
Der nächste „Crypto War“ sei längst in vollem
Gange. Schon im Jahre 2010 habe das
FBI ein neues Gesetz gefordert, das Strafverfolgern auch Zugriff auf verschlüsselte
Kommunikationskanäle wie Skype zusichern
sollte. Dank Edward Snowden sei bekannt,
dass die FBI und NSA sich längst Zugriff auf
verschlüsselte Kommunikationskanäle wie
Skype verschafft hätten – ohne neues Gesetz,
sondern mit Hilfe des geheimen Fisa-Gerichts
der USA. Fast kurios mute an, dass sogar In-
127
128
nenminister Friedrich derzeit zur Verschlüsselung rät – gegen die Interessen seiner eigenen
Sicherheitsbehörden. Solange die Balance
zwischen Rechtsstaat und Sicherheitsbedürfnis nicht wiederhergestellt sei, sei Verschlüsselung eine der wenigen Möglichkeiten der
Notwehr, die den Bürgern geblieben sei.
Der Ruf nach einem nationalen Internet sei
im Zeichen der Geheimdienstaffäre wieder
laut geworden, schreibt die FAZ am 3. Dezember. Und die Deutsche Telekom habe
jüngste Pläne für ein sogenanntes „Schengen-Routing“ vorgelegt. Internetprovider und
Sicherheitsexperten bewerteten diese Pläne
unterschiedlich. Um den innerdeutschen
Datenverkehr nur über Server in Deutschland
laufen zu lassen, müssten die Server- und
Leitungskapazitäten erheblich ausgebaut
werden. Die Abwicklung sämtlichen Datenverkehrs über die Netzknoten der SchengenStaaten würde mit der sukzessiven Einführung des neuen Internetprotokolls Version 6
in technischer Hinsicht immer einfacher. Aber
von mehreren Seiten rege sich Widerstand
gegen die Pläne der Telekom. Sie würde vom
Schengen-Routing oder gar einem nationalen Internet erheblich profitieren, denn ihr
gehöre ein Großteil der Leitungsinfrastruktur
in Deutschland. Sicherheitsexperten gäben
zudem zu bedenken, dass mit Blick auf den
Datenschutz und bei der Verhinderung von
Datenspionage nicht allzu viel mit solchen
Routingplänen zu holen sei.
IuK-Kriminalität – Hacking
Mit den „üblen Tricks der Online-Betrüger“
befasst sich das Handelsblatt am 22. Januar.
Wer als Einbrecher heute noch zur Axt greift,
wer Banken überfällt oder Tresore knackt, der
habe den digitalen Wandel verpasst – und
setze sich unnötigen Risiken aus. Im Zeitalter
des Cybercrime gingen erfolgreiche Hacker,
Spione und Internet-Kriminelle virtuell auf
Beutezug. An die Stelle von Brecheisen,
Schweißgerät und Pistole seien Spam-EMails, Trojaner, Computer-Würmer getreten
und – allen voran – das Wissen um verborgene Schwachstellen in populärer PC-Software.
Die Schwachstellen – Hacker nennen sie
Bugs – öffneten geheime virtuelle Türen in
Computern. Um sie zu finden, verwendeten
Bug-Jäger eine Art hochintelligenter Rechtschreibprüfung. Die durchforste automatisch
die oft Millionen Zeilen langen Programmcodes anderer Software nach Schreibfehlern.
Wer diese Fehler kenne, könne Spionageprogramme schreiben, die Passwörter und
Kontodaten ausspionieren. Er könne aber
auch Computerwürmer programmieren, die
sich weltweit in Rechnernetzwerken ausbreiten und sie lahmlegen. So biete zum Beispiel
der Hacker Thaddeus Grugq sogenannte
Exploits an, so etwas wie digitale Dietriche,
auf einem boomenden globalen Markt für
hoch spezialisierte Angriffsprogramme an.
Geheimdienste würden primär das Geschäft
antreiben.
Wie ZEIT ONLINE am 6. Februar meldet,
sind Hacker in das interne Netzwerk der
US-Notenbank eingedrungen. Die Federal
Reserve Bank habe den Angriff bestätigt.
Das Internetmagazin ZDNet habe berichtet,
dass Anonymous Kontaktinformationen und
Zugangsdaten der Notenbank-Mitarbeiter
veröffentlicht habe. Eine Sprecherin der Federal Reserve habe mitgeteilt, dass die Informationen durch eine „temporäre Schwachstelle“
bei der Website eines Anbieters abgerufen
werden konnten. Es seien keine kritischen
Bereiche der Notenbank betroffen, die Lücke
sei schnell wieder geschlossen worden.
heise online meldet am 14. Januar, dass die
Sicherheitsexperten von Kaspersky Labs offenbar einen massiven Fall von Cyberspionage aufgedeckt haben. Seit geschätzten fünf
Jahren seien dabei Rechnernetzwerke von
diplomatischen Vertretungen, Regierungsund Handelsorganisationen, Energie-Konzerne sowie Einrichtungen der Forschung, der
Luftfahrt und des Militärs infiltriert worden.
Über eine ausgeklügelte Infrastruktur hätten
die unbekannten Hacker vermutlich Terabyte
an geopolitischen Informationen und Daten
höchster Vertraulichkeit erbeutet. Betroffen
von der umfassenden Spionage seien hauptsächlich Organisationen aus osteuropäischen
und zentralasiatischen Ländern sowie aus
den ehemaligen Sowjet-Republiken gewesen.
Westeuropäische und nordamerikanische
Institutionen sollen nur im geringen Umfang
ausspioniert worden sein. Der gesamte
Aufbau sei ähnlich komplex geschachtelt wie
bei der Flame-Malware. Die Server seien in
einer Kette strukturiert. Die Angriffe seien
mindestens seit Mai 2007 geführt worden.
Die Malware selbst sei ähnlich vielschichtig.
Die Experten hätten mehr als 1.000 Dateien
identifiziert, die sich rund 30 verschiedenen
Funktions-Modellen zuordnen ließen. Neben Angriffen auf Workstations sollen die
Malware-Module zum Datenraub von mobilen
Geräten ebenso in der Lage sein wie zum
Anzapfen von Netzwerkkomponenten und
lokalen FTP-Servern. Ferner seien Dateien von
USB-Speichermedien erbeutet worden. Um
die Infektionen einzuleiten, hätten die Hacker
offenbar „Spear Phishing“ betrieben: Ausgewählten Opfern seien E-Mails mit angehängten
infizierten Dokumenten zugeschickt worden.
Bestimmte Hinweise wie linguistische Eigenarten im Code würden darauf hindeuten, dass
die Malware-Module von russischen Hackern
entwickelt wurden.
Computer-Hacker seien in ein Datenzentrum
für Reisebuchungen eingedrungen und hätten Kreditkartendaten entwendet, meldet die
FAZ am 23. April. Eine Sprecherin des Reisedienstleisters Traveltainment habe betroffene
Geschäftspartner informiert. Mehrere Reiseveranstalter wie Opodo.de und DER Touristik
hätten sich an Kunden gewandt, die kürzlich
eine Reise gebucht hatten, und empfohlen, die
Kreditkarte gegebenenfalls sperren zu lassen.
Hacker sorgen für Milliarden-Chaos an den
Märkten, berichtet DIE WELT am 23. April.
Eine gefälschte Twitter-Meldung habe
neue Ängste um die Stabilität der Finanzmärkte ausgelöst: Die US-Nachrichtenagentur
Associated Press (AP) hatte von einem
Anschlag auf das Weiße Haus berichtet. Die
Nachrichtenagentur habe jedoch kurz darauf
den Hinweis geschickt, dass ihr Zugang gehackt worden sei. Doch an den Finanzmärkten habe die Aktion der Hacker für kräftigen
Wirbel gesorgt. Unmittelbar nach der gefälschten Nachricht sei der Dow Jones Index
um 143 Punkte abgesackt. Aktienkurse seien
zunehmend das Ergebnis von Computerprogrammen und Algorithmen. Die zunehmende
Verbindung mit sozialen Netzwerken erhöhe
die Anfälligkeit des Systems. Twitter, Facebook und Co. multiplizierten und verbreiteten
in Windeseile Nachrichten in jeden Winkel der
Erde. Mit gefälschten Nachrichten könnten
also Märkte manipuliert werden, um daraus
Profit zu schlagen. Twitter warne Medienunternehmen vor weiteren Hackerangriffen.
Konten sollten zur Sicherheit nur von einem
speziellen Rechner aus befüllt werden.
Am 19. September berichtet heise online
über eine äußerst raffinierte und bisher
unbekannte Gruppe von Hackern, die neuen
Erkenntnissen zufolge hinter einer ganzen
Reihe von spektakulären Hacks seit 2009
stehe. Unter anderem seien die Hacker bei
der Sicherheitsfirma Bit9 eingebrochen, um
ihren Schadcode mit gültigen Zertifikaten zu
versehen und so in Firmen der Rüstungsindustrie einzuschleusen. Das Team, von Symantec in dem jetzt veröffentlichten Exposé
als „Hidden Lynx“ bezeichnet, bestehe aus
50 bis 100 Hackern und zeichne demnach
für Angriffe auf Hunderte von Organisationen
weltweit verantwortlich. Die Gruppe scheue
sich auch nicht vor erheblichem Aufwand,
um ihre Ziele zu erreichen. Angriffe, die die
Sicherheitsinfrastruktur oder Zulieferer des
eigentlichen Ziels ausnutzen, um sich Zugriff
zu dessen System zu verschaffen, würden
sich häufen. So sei zum Bespiel 2011 die
Firma RSA gehackt worden, um im Endeffekt
Lockheed Martin anzugreifen.
Einen Schaden zwischen 7.000 und 22.000
Euro haben bislang unbekannte Täter bei
129
130
jeweils drei mittelständischen Unternehmen
im Rems/Murr-Kreis mit TelefonanlagenHacking innerhalb von 5 Wochen angerichtet, berichtet die ASW am 19. Juli. Sie
manipulierten die Telefonanlage und richteten
Anrufweiterleitungen ins Ausland ein, wodurch immense Telefonverbindungskosten
entstünden. Das Phänomen beschäftige die
Polizei seit einiger Zeit im ganzen Bundesgebiet. Die Täter machten sich den Umstand
zunutze, dass dort, wo Telefonanlagen mit
einer integrierten Voicemail-Funktion, sprich
Anrufbeantworter, benutzt werden, in der
Regel noch das herstellerseitig vergebene
Passwort bzw. der Zugangscode aktiv ist. Die
Hacker verfügten teils über eigene Suchwerkzeuge, um solche Anlagen über das Internet
ausfindig zu machen. Die werkseitig vergebenen Zugangscodes kursierten zumeist im
Internet. Es folge ein Täteranruf, in aller Regel
am Wochenende oder in einer Zeit, in der am
ausgewählten Anschluss niemand erreichbar
sein dürfte. In dem Moment, in dem der Anruf
dann an die Mailbox weitergeleitet wird, erreiche der Täter über den werkseitig vergebenen Zugangscode den Konfigurationsmodus
und sei dann in der Lage, auf diesem Anschluss eine Anrufweiterleitung einzurichten.
Der werde dann exzessiv genutzt. Mehrere
tausend Anrufe in einer einzigen Nacht seien
die Regel, unter Umständen erfolgten diese
Anrufe automatisiert. Die Kriminalpolizei
rät: 1. Auf die Voicemail-Funktion möglichst
verzichten und sie deaktivieren; 2.jedenfalls
unbedingt das werkseitig vergebene Passwort ändern; 3. Wenn möglich herkömmliche
Anrufbeantworter nutzen (stand alone-Geräte); 4. Einzelverbindungsnachweise kontrollieren; 5. Telefonate ins Ausland sperren
lassen, sofern betrieblich vertretbar.
IuK-Kriminalität – Haftung
Der Diebstahl von Kundendaten oder
Geschäftsgeheimnissen Dritter sowie die
Weiterverbreitung von Viren oder Schadprogrammen können zu Schadenersatzklagen
führen, erläutern Rechtsanwälte Stefan
Schuppert und Markus Burckhardt in der
FAZ am 2. Oktober. Kunden oder Mitarbeiter eines Unternehmens, die durch dessen
IT-Systeme geschädigt werden, könnten
grundsätzlich vertragliche Schadenersatzansprüche geltend machen. Auch Dritten
gegenüber sei eine Deliktshaftung nicht
ausgeschlossen. Dies gelte auch für mögliche
Sammelklagen. Ferner drohten bei bestimmten Verstößen erhebliche Geldbußen. Ein
umfassendes IT-Sicherheitskonzept müsse
neben technischen Maßnahmen auch die
betriebliche Organisation, die Überprüfung
von Mitarbeitern und Dienstleistern sowie die
Vertragsgestaltung miteinbeziehen. Zudem
sollten Notfallpläne mit klaren Handlungsanweisungen und Verantwortlichkeiten erstellt
und kommuniziert werden. Die Einhaltung
von Sicherheitsstandards habe auch für eine
mögliche Haftung gegenüber Dritten große
Bedeutung. Die Einhaltung vorhandener Normen führe zwar nicht zu einem gesetzlichen
Haftungsausschluss. In aller Regel werde man
in diesem Fall aber eine Pflichtverletzung
verneinen können. Die Durchsetzung von Regressansprüchen gegen die Cyberkriminellen
sei schwierig, denn die Angriffe erfolgten oft
aus dem Ausland. Bei effektiver Einbindung
von IT-Forensikern und Behörden in den Zielländern ließen sich Ansprüche unter Umständen vorläufig sichern und Vermögenswerte
einfrieren.
Hackerangriffe auf Unternehmen können
ruinöse Haftungsansprüche zur Folge
haben, schreibt auch das Handelsblatt am
5. November. Die Sicherheitsbarrieren vieler
Unternehmen böten nur wenig Schutz. Laut
einer KPMG-Studie sei jeder vierte Betrieb im
deutschsprachigen Wirtschaftsraum in den
vergangenen beiden Jahren Opfer von Cyberattacken geworden. Nach einer Erhebung von
Freshfields hätten börsennotierte Unternehmen in den vergangenen drei Jahren durch
Cyberattacken allein am ersten Handelstag
nach dem Vorfall insgesamt 38 Milliarden
Euro ihres Börsenwertes verloren. Auch die
Haftungsrisiken seien immens. Verliere ein
Unternehmen etwa die Kreditkartendaten seiner Kunden, müsse es jedem Einzelnen eine
neue Karte ausstellen. Wer belegen könne,
dass sein Sicherheitssystem auf dem Stand
der Technik ist, minimiere nicht nur sein Haftungsrisiko. Er erhalte sich auch das Vertrauen
seiner Kunden und Geschäftspartner.
IuK-Kriminalität – Java
Nach einer Meldung von heise online vom
21. November haben Sicherheitsexperten
von Symantec einen Wurm entdeckt,
der Apaches Java-Webserver Tomcat
befällt und auf diesen Hintertüren öffnet.
Er verbreite sich in der Form eines
Java-Servlets und könne von Server zu
Server springen. Werde der Schadcode
vom Java-Server ausgeführt, melde sich
das System in einem IRC-Chatroom an und
warte auf weitere Befehle.
IuK-Kriminalität – Phishing
Am 12. Januar warnten das BSI und das
BKA vor derzeit im Umlauf befindlichen
E-Mails mit dem Betreff „Verifizierung
ihrer Kreditkarte“. Die Empfänger wurden
aufgefordert, einen in der E-Mail enthaltenen
Internet-Link mit der Bezeichnung „VeriSign“
anzuklicken. Auf der sich dann öffnenden
Webseite sollen Kreditkartendaten eingegeben werden, um diese angeblich auf
ihre Sicherheit überprüfen zu lassen. Diese
E-Mails sind mit „Bundesamt des Innern“ unterzeichnet. Das BSI und das BKA warnen:
„Es handelt sich hierbei um einen Versuch,
Ihre persönlichen Kreditkarteninformationen
rechtswidrig auszuspähen. Sollten Sie eine
derartige E-Mail erhalten, klicken Sie auf keinen Fall auf den darin angegebenen InternetLink, sondern löschen Sie diese umgehend.“
Die Zeitschrift <kes> weist in ihrer Ausgabe
3-2013 (S. 100) darauf hin, BITKOM habe
berichtet, dass die Zahl der gemeldeten
Phishing-Fälle 2012 deutlich abgenommen habe. Nach Angaben des BKA habe
sich die Zahl 2012 nahezu halbiert (- 46 %).
Die verursachten Schäden seien 2012
ebenfalls um 46 % auf 13,8 Millionen Euro
gesunken. Allerdings würden die Betrü-
ger zunehmend raffinierter vorgehen und
verstärkt auf Phishing-Malware setzen. Die
Zahl der Sicherheitsvorfälle insgesamt sei in
den letzten 12 Monaten um 25 % gestiegen, meldet das Handelsblatt am 1. Oktober
unter Hinweis auf die Beratungsgesellschaft
PwC. Im Durchschnitt hätten die befragten
Sicherheits- und IT-Manager globaler Unternehmen über 3.700 Attacken pro Firma
und Jahr verzeichnet. Jeder dritte Manager
vermute Hacker hinter den Angriffen, 14 %
verdächtigten Wettbewerber als Drahtzieher, und 4 % nähmen an, dass ausländische Staaten versuchen, auf die Daten des
Unternehmens zuzugreifen. Budgets für
IT-Sicherheit seien binnen Jahresfrist massiv
aufgestockt worden, von durchschnittlich
2,8 auf heute 4,3 Millionen EU-Dollar pro
Unternehmen. Dennoch mangele es an Abwehrkraft. Das Hauptproblem: Die Zahl der
möglichen Einfallstore steige rasch. Mobile
Geräte eröffneten neue Zugangspunkte
auf die Firmen-IT, private Geräte entsprächen nicht dem Sicherheitsstandard des
Konzerns und Cloud-Computing-Lösungen
stellten die IT parallel vor zahlreiche neue
Herausforderungen.
131
132
IuK-Kriminalität – Ransomware
Das BKA und das BSI warnten am 29. Januar
vor einer aktuellen digitalen Erpressungswelle bei der Internetnutzung. Eine neue
Variante von Schadsoftware (sogenannte
Ransomware) sei im Umlauf, die Computer
infiziert und sperrt. Eine Nutzung des Rechners sei nicht mehr möglich. Dabei werde
durch die Schadsoftware ein sogenanntes
Popup-Fenster mit den Logos des BSI und
der Gesellschaft für Verfolgung von Urheberrechtsverletzungen (GVU) eingeblendet.
Darin werde dem Nutzer unterstellt, dass der
Rechner im Zusammenhang mit der Verbreitung kinderpornografischen Materials, bei
terroristischen Aktionen, Urheberrechtsverletzungen oder anderen Straftaten genutzt worden sei. Es folge die Behauptung, dass die
Funktion des Computers „aus Gründen unbefugter Netzaktivitäten ausgesetzt worden“
sei. Bei dieser Variante von Schadsoftware
werde auch ein Foto eingeblendet. Dabei
handelt es sich nach Einschätzung des BKA
um eine strafbewehrte jugendpornografische
Darstellung. Wie bei Ransomware üblich,
werde der Nutzer schließlich zur Zahlung von
100 Euro über die digitalen Zahlungsdienstleister uKash oder Paysafecard aufgefordert,
um einen Freigabecode zur angeblichen
Entsperrung des Rechners zu erhalten. BKA
und BSI weisen darauf hin, dass sie nicht
Urheber einer solchen Meldung sind und
dass der geforderte Betrag auf keinen Fall
gezahlt werden soll. Ein regulärer Zugriff auf
das Betriebssystem wäre mit hoher Wahrscheinlichkeit auch nach der Zahlung nicht
möglich. Hilfreiche Hinweise zur Bereinigung
des Systems von Schadsoftware finde man
auf den Internetseiten des Antibotnetz-Beratungszentrums unter www.botfrei.de.
3-2013, S. 6–9) beschreiben Dirk Kollberg
und Anand Ajjan, Sophos, aktuelle Erscheinungsformen von Ransomware. Ein Trojaner
sperre den Nutzer von seinem eigenen Rechner aus, verschlüssele Dokumente und fordere ein Lösegeld. Eine Klasse der Ransomwa-
re-Trojaner setze sich im Master Boot Record
(MBR) des Rechners fest und verhindere den
Start des Betriebssystems. Und Botnetze
würden genutzt, um Spam-E-Mails mit dem
Schädling als Anhang zu verbreiten. Welches
Programm auch immer zum Einsatz komme,
die potenziellen Gewinnspannen der Cyberkriminellen seien enorm. Ihre auf dem Server
gespeicherten Exploit Kits hielten die Hacker
immer auf dem neuesten Stand. Die Autoren
gehen näher auf die Schädlinge Troj/GpCoder-F, Mal/EncPk-AEM und Mal/Ransom-U
ein. Wer von Ransomware betroffen ist, sollte
sich umgehend mit seinem Sicherheitsanbieter in Verbindung setzen. Der Trend zur
Ransomware werde sich auch in Zukunft
fortsetzen.
Die ASW berichtet in einer Mitteilung vom
18. Juni über Ransomware-Vorfälle bei
deutschen KMUs. Als Ransomware würden
üblicherweise Schadprogramme bezeichnet, die den Zugang zu Computersystemen
blockieren und angeblich gegen die Zahlung
eines Lösegeldes wieder freigeben. Wiederholt sei in der jüngeren Vergangenheit in den
Medien über Ransomware-Angriffe gegen
ausländische Firmen berichtet worden. Diese
Angriffe richteten sich neuerdings auch gegen deutsche KMUs. Nach Analyse handele
es sich bei der verwendeten Ransomware
um eine Variante der ACCDFISA-Malware.
Bei den bekannt gewordenen Angriffen seien
ganze Festplatten-Partitionen verschlüsselt.
Gleichzeitig würden die Originale samt Backup mit der Sysinternals-Funktion SDELETE
gelöscht. Dieses Verfahren erschwere sehr
stark die Wiederherstellung der Dokumente
mit den üblichen Verfahren. Die Angreifer
nutzten scheinbar das Remote-Desktop-Protokoll (RDP), um sich zunächst einen Zugang
zu Unternehmensservern zu verschaffen. Anschließend werde die Ransomware manuell
nachgeladen, um die Daten zu verschlüsseln.
Wie schon bei den per E-Mail versendeten
und vornehmlich auf Privatanwender abzielenden Ransomware werde bei den Angriffen
auf KMUs der Zugriff auf die Daten auch
hier mit einer in die Irre führenden Meldung
vorgeblicher Sicherheitsbehörden gesperrt.
Darin werde der Anwender zur Zahlung eines
Geldbetrages in Höhe von 5.000 US-Dollar
unter Verwendung alternativer Zahlungssysteme wie MoneyPak, Paysafe oder Ukash
aufgefordert. Die Höhe der Forderungen gehe
deutlich über den von Privatpersonen geforderten Betrag hinaus. Bei den genannten Angriffen handele es sich um eine Ausweitung
der bisherigen Angriffsziele auf KMUs. Dabei
motiviere die Angreifer vermutlich, dass der
Verlust von Unternehmensdaten insgesamt
schwerwiege. Deswegen sei mit einer hohen
Zahlungsbereitschaft zu rechnen und könne
eine höhere Lösegeldsumme gefordert werden. Unternehmen sollten keinen Kontakt mit
den Angreifern aufnehmen und der Aufforderung zur Zahlung eines Lösegeldes in keiner
Weise nachkommen. Stattdessen sollte eine
Anzeige bei der Polizei erstattet werden.
IuK-Kriminalität – Schadsoftware
Die Entwicklung von Schadsoftware werde
zum Industriezweig. Ob mit bekannten Mitteln oder neuen Strategien – die Geschäftsmodelle der Cyber-Kriminellen lohnen
sich, ist die FAZ in einer Verlagsbeilage
ITK 2013 vom 26. Februar überzeugt. Die
Rekrutierung der Hacker-Mitarbeiter geschehe ganz offen im Internet. Auch Erpressung
sei ein lukratives Cyber-Verbrechen. Ein
gezielter Angriff auf den Web-Server bringe
ihn zum Absturz oder erzwinge Stillstand.
Smartphones und Tablets stünden derzeit
ganz oben auf der Wunschliste der Cybergangster, denn sie enthielten Zugangsdaten
und Zahlungsinformationen, meist völlig
ungeschützt. Aktuell seien nur 5 % der
weltweit im Einsatz befindlichen mobilen
Endgeräte mit einer Sicherheitssoftware
geschützt. In derselben Ausgabe weist Arne
Ohlsen, Bluecoat, darauf hin, dass Angreifer,
die ein spezielles Unternehmen im Auge
haben, von kriminellen Botnet-Betreibern
gezielt infizierte Systeme innerhalb eines
IPS-Adressraumes mieten oder kaufen
könnten. Aber auch die Erkennungsintelligenz steige durch neue Analyse-Methoden.
Es würden neue, schnelle Analyseverfahren
eingesetzt, um große Datenmengen aus
den Logfiles von verschiedenen Netzwerkund Sicherheitslösungen auszuwerten. Das
Data Mining in dieser immens erweiterten
Datenbasis mache potenziell gefährliches
Nutzerverhalten, neue Bedrohungspotenziale oder Anomalien sichtbar.
AGITANO.com berichtet am 22. August,
im McAfee Threats Report für das zweite
Quartal 2013 warne der Hersteller von Antivirus- und Computersicherheitssoftware vor
SMS Banking-Malware, betrügerischen
Daten-Apps sowie Apps zum Diebstahl
von Daten. Zudem seien 2013 zusammengerechnet mehr Ransomware-Varianten als
in den vorangegangenen Perioden entdeckt
worden. Die Forscher hätten einen Anstieg
der auf Android basierenden Malware um
35 % festgestellt. Im zweiten Quartal sei auch
ein 16 %-iger Anstieg verdächtiger URLs
und ein 50 %-iger Anstieg digital signierter
Malware entdeckt worden. Im Online-Banking habe AcAfee vier maßgebliche mobile
Malware-Varianten identifiziert, die Anwendername, Passwort sowie die SMS-Nachricht
mit persönlichen Angaben zu den LoginDaten abfingen. Festgestellt worden sei auch
ein Anstieg an Legitimations-Apps, die als
Spyware auf Geräten von Nutzern fungieren. Cyber-Kriminelle nutzten zudem Apps,
die sich als hilfreiche Tools tarnen, jedoch
Spyware installieren und persönliche Daten
sammeln und weiterleiten.
Online-Kriminelle haben jüngst in großem
Umfang Werbebanner auf Internetseiten
so manipuliert, dass darüber Schadsoftware
auf die Rechner der Nutzer gelangen kann,
berichtet das BSI laut FAZ vom 6. April. Es
reiche, wenn Nutzer eine Website anklicken,
auf der sich ein befallenes Banner befindet,
133
134
um sich Schadprogramme wie Onlinebanking-Trojaner einzuhandeln. Voraussetzung
sei, dass auf den Rechnern das Betriebssystem oder bestimmte Programme nicht in
der aktuellsten Version aufgespielt sind. Die
Schadsoftware nutze bekannte Schwachstellen im Internet Explorer, Acrobat Reader,
Flash Player oder in Java. Betroffen sei Werbung auf Nachrichtenportalen, Onlinezeitungen und -magazinen, Jobbörsen und Städteportalen. Es sei bekannt, dass die Kriminellen
so genannte Open X-Server zur Auslieferung
von Werbebannern kompromittierten.
Eine Schadsoftware namens Darkleech soll
seit mindestens einem Dreivierteljahr Tausende Webseiten mit unsichtbaren iFrames
ausstatten, die auf verseuchte Webseiten
verweisen, berichtet heise online am 3. April.
Der Schädling soll hierfür den Apache-Server
missbrauchen. Allerdings sei bisher das Einfallstor in die Software nicht gefunden worden. Auf den durch die Webserver verseuchten Webseiten suche sich Darkleech seine
Opfer genau aus. Nutzer mit IP-Adressen von
Sicherheits- und Hosting-Firmen sowie die
Seitenbetreiber würden beispielsweise nicht
auf bösartige Webseiten gelenkt. Betroffen
sollen vor allem Webseiten in den USA, Großbritannien und Deutschland sein.
Die von der ASW herausgegebenen Informationen zum Wirtschaftsschutz berichten
am 13. Mai darüber, dass das BSI erneut auf
breitflächige Verteilung von Schadprogrammen über Werbebanner hinweist. Auf vielen
bekannten und teils vielbesuchten deutschsprachigen Webseiten – darunter auch die
Online-Angebote von Nachrichten-, Politik-,
Lifestyle- und Fachmagazinen, Tageszeitungen, Jobbörsen und Städteportalen – würden
manipulierte Werbebanner ausgeliefert,
welche einen schädlichen JavaScript-Code
enthalten, der auf sogenannte Exploit-Kits
verweist. Diese würden bekannte Schwachstellen unter anderem in Java, im Adobe
Reader, in Adobe Flash oder im Microsoft
Internet Explorer nutzen. Ziel der Angreifer
sei es, Schadprogramme wie OnlinebankingTrojaner auf Windows-basierten PCs der
Besucher der Webseiten zu installieren. Die
Infektion des Rechners erfolge dabei allein
durch den Besuch einer Webseite, auf der
ein entsprechend manipuliertes Werbebanner eingeblendet wird. Täglich würden neue
Webseiten identifiziert, auf denen schädliche
Werbebanner ausgeliefert werden. Für alle
derzeit von den Exploit-Kits ausgenutzten
Schwachstellen seien bereits seit längerem
Sicherheitsupdates verfügbar.
Immer mehr Schädlinge tragen nach einer
Meldung von heise online vom 20. Dezember eine gültige digitale Signatur. Die
Unterschriften würden dabei typischerweise mit gestohlenen Entwicklerzertifikaten
erstellt. Microsoft warne jetzt vor mehreren
Schädlingsfamilien und rufe Entwickler dazu
auf, besser auf ihre Zertifikate aufzupassen.
Das Problem sei, dass digital signierte Dateien als vertrauenswürdiger gelten als solche
ohne Unterschrift.
IuK-Kriminalität – Social Engineering
Klassische Netzwürmer wie conficker
verlieren aktuell an Bedeutung, erklärt
Sicherheitsexperte Tim Rains, Autor einer
Bedrohungsanalyse von Microsoft, im Gespräch mit der Zeitung DIE WELT (18. April). Stattdessen setzten die Täter immer
häufiger auf sogenanntes Social Engineering.
Sie verschickten Mails von gefälschten Absenderadressen oder übernähmen gleich
ganze Mailaccounts. Damit der Code wirke,
reiche es, einmal eine infizierte Webseite
anzusurfen, einen bösartigen Link anzuklicken. Komme die Aufforderung dazu – per
Mail oder aus einem sozialen Netzwerk –
von einem guten Bekannten, klickten viele
Nutzer erst einmal unbesorgt darauf. Ist erst
einmal eine Lücke gefunden, könnten die
Täter beliebig Schadsoftware nachladen und
auf dem Computer alles Mögliche anrichten.
Zumeist suchten sie nach Passwörtern und
Onlinebanking-Informationen; alternativ
installierten sie Fernsteuersoftware und
übernähmen das System komplett.
IuK-Kriminalität – Spam
<kes> gibt in der Ausgabe 1-2013 eine
Marktübersicht mit 35 Anbietern von Antispam-Lösungen (S. 25–37). Die befragten
Anbieter geben Auskunft über ihre Produkte (u. a. die Art der Verfügbarkeit und die
unterstützten Mail-Systeme), über Analyse-
methoden (u. a. Whitelists, Blacklists, SpamSignaturen oder Mailverkehrs-Analyse), die
Spambehandlung (u. a. Markieren und Ausliefern, Umleiten, Abweisen, Löschen), zusätzlichen Leistungsumfang und Circa-Preise.
IuK-Kriminalität – Stuxnet
SPIEGEL ONLINE meldet am 22. November,
der gefährliche Computerwurm Stuxnet, der
2010 iranische Atomanlagen sabotierte, habe
mindestens ein russisches Atomkraftwerk
infiziert. Ob oder welche Schäden dabei
angerichtet wurden, sei nicht erklärt worden.
IuK-Kriminalität – Trojaner
Trojaner tarnen sich mit Chat-Protokollen,
meldet heise security am 21. Januar. Trend
Micro habe neue Trojaner entdeckt, die ihre
Kommunikation mit der Nachahmung von
gängigen Chat-Protokollen tarnen, beispielsweise Yahoos Messenger. Das Sicherheitsunternehmen gebe diesen Trojanern den
Beinamen „Faker“; mit Faker Remote Access
Trojans könnten Angreifer aus der Ferne auf
den PCs der Opfer Ordner durchsuchen,
Screenshots tätigen, Webcams und Mikrofone steuern und Daten angreifen. Verbreitet
würden die Trojaner über E-Mails, die mit
Social Engineering arbeiten. Über präparierte
Word- und Excel-Dokumente, die Schwachstellen in den Office-Programmen ausnutzen,
gelangten die Schädlinge ins System.
Der Antiviren-Spezialist F-Secure habe einen
neuen Erpressungs-Trojaner entdeckt, meldet heise.de am 15. August. Es handele sich
dabei offensichtlich nicht um eine weitere
Variante des bereits bekannten BKS-Trojaners, sondern um eine Neuentwicklung, die
bei weitem noch nicht so ausgereift sei wie
das Vorbild. Zwar sperre auch der Browlock
getaufte Trojaner den Rechner angeblich im
Namen der Bundespolizei und fordere einen
Betrag wie 200 Euro für dessen Freigabe. Er
schalte dabei aber nur ein Browser-Fenster
in den Vollbildmodus und versuche durch diverse Tricks, den Anwender daran zu hindern,
dieses Fenster zu schließen. Der BKA-Trojaner gehe da deutlich raffinierter zu Werke.
Nach einer Meldung der FAZ vom 28.
November müssen Bankkunden, die das
Internet nutzen, einen neuen Namen kennenlernen: „Neverquest“. Das sei der Name
eines sogenannten Trojaners, der schon
Tausende Computer auf der Welt attackiert
habe, die für Online-Banking genutzt werden.
Er stehle Nutzernamen und Passwörter von
Bankkonten sowie Daten, die von Anwendern
auf manipulierten Websites von Banken eingegeben werden. Spezielle Programmzeilen.
die Internetbrowser „Internet Explorer“ und
„Firefox“ ermöglichten den Datendiebstahl
offenbar, indem sie dem Schädling Kontrolle
über die Verbindung des Browsers mit den
135
136
Steuerungs-Netzwerkrechnern der Cyberkriminellen ermöglichen. Dies geschehe, sobald
Seiten aufgerufen werden, die auf einer Liste
mit derzeit 28 Websites stünden. Darunter
seien große internationale Banken zu finden
sowie Online-Bezahldienste. Mit einer weiteren Funktion könnten Cyberkriminelle ihre
Liste mit neuen anvisierten Banken auffüllen
und den Code auf neuen Websites platzieren,
die zuvor nicht auf der Liste kompromittier-
ter Websites standen. Das Hauptziel von
„Neverquest“ scheine nach den Angaben
des Sicherheitssoftwareunternehmens
Kaspersky, das die entsprechenden Informationen streut, bisher eine Plattform für die
Verwaltung von Investmentfonds zu sein. Der
Trojaner mit vollem Namen „Trojan-Banker.
Win32/64Neverquest“ sei zudem dazu in der
Lage, sich selbst zu replizieren.
Juweliersicherheit
Die Fachzeitschrift WiK berichtet in der Ausgabe 12-2012 (S. 9) über die Auswertung
von 840 Straftaten im Jahr 2011 gegen
Juweliergeschäfte durch den „Internationalen Juwelier-Warndienst für die Schmuckund Uhrenbranche“. Insgesamt sei ein Anstieg von über 40 % zum Vorjahr registriert
worden. Die Aufklärungsquote werde auf
10 % geschätzt. Es handele sich zu 35 %
um Trickdiebstähle, zu 24 % um Schaufenstereinbrüche, zu 16 % um Raubüberfälle, zu
10 % um Eingangstüreneinbrüche, zu 4 %
um den modus operandi „Greifen und Rennen“, zu 3 % um Diebstahl/Raub aus Vitrinen
und zu 2 % um sogenannte Blitz-Einbruchdiebstähle. Die Täter kämen überwiegend
aus Ost- und Südosteuropa. Geschäfte in
zentralen Lagen würden weniger angegriffen
als schlecht gesicherte Geschäfte in kleine-
ren Orten, Vorstadtlagen oder in Randgebieten. Jede Tat werde eingehend vorbereitet.
Bei Raubüberfällen sei eine „extreme“ Brutalität der Täter festzustellen.
Die Kölner Polizei hat eine Räuberbande
aus Osteuropa zerschlagen, die es bei
Überfällen auf Juweliergeschäfte vor allem
auf Luxusuhren abgesehen hatte, berichtet
die FAZ am 20. November. Acht Personen
seien festgenommen worden, die überwiegend aus Litauen stammten. Die Gruppe
stehe im Verdacht, in Deutschland, Luxemburg und Frankreich mehrere Raubüberfälle
begangen zu haben. Es handle sich um eine
straff organisierte Räuberbande. Eine „Führungsebene“ habe die Überfälle organisiert,
während dann meist jüngere Bandenmitglieder sie ausgeführt hätten.
Weil sie jahrelang die Preise für Körperpflege-,
Wasch- und Reinigungsmittel abgesprochen haben sollen, habe das Bundeskartellamt
Bußgelder gegen Markenhersteller verhängt,
meldet DIE WELT am 18. März. Sechs Unternehmen der Branche und der Markenverband
müssten rund 39 Millionen Euro zahlen. In einer
ersten Runde seien bereits Strafen in Höhe von
etwa 24 Millionen Euro verhängt worden.
Unternehmen, die sich an illegalen Kartellen
beteiligen, können nicht mehr auf Gnade
hoffen, ist das Handelsblatt am 19. April überzeugt. Der BGH habe jetzt in einer Grundsatzentscheidung die Praxis millionenschwerer
Bußgelder des Bundeskartellamtes bestätigt.
In dem aktuellen Fall müssten die beteiligten Firmen eines vor Jahren aufgedeckten
Zementkartells nun endgültig 380 Millionen
Euro zahlen. Damit aber nicht genug: Nach
der höchstrichterlichen Rechtsprechung
müssten große Unternehmen künftig mit
noch höheren Strafen rechnen. Denn der BGH
habe den Wettbewerbshütern neue Regeln
zur Berechnung der Geldbußen vorgegeben. Unterstützung für seinen harten Kurs
bekomme das Bundeskartellamt zudem von
Kartellrichtern. Das OLG Düsseldorf habe
gerade eine Strafe von 180 Millionen Euro
auf 244 Millionen Euro gegen ein FlüssiggasKartell aufgestockt. Allein im vergangenen
Jahr habe die Behörde 303 Millionen Euro
Bußgelder gegen insgesamt 59 Unternehmen neu verhängt. Schokolade, Beton, Mehl,
Zement, Feuerwehrfahrzeuge, Reißverschlüsse – es gebe keinen noch so speziellen Markt,
der nicht irgendwann einmal Opfer illegaler
Absprachen zwischen Unternehmen geworden wäre. Zuletzt habe das Schienenkartell
unter Beteiligung von Thyssen-Krupp Furore
gemacht. Wer vermute, dass einmal erwischte Kartellanten nie wieder vor die Bonner
Wettbewerbsbehörde zitiert werden müssten, der irre. Gerade erst habe das Kartellamt
abermals Bußgelder in Millionenhöhe gegen
Hersteller von Drogerieartikeln verhängt.
Sechs Unternehmen der Branche und der
Markenverband e. V. sollen nun insgesamt
39 Millionen Euro Bußgeld zahlen. Und es sei
nicht das erste Mal gewesen, dass die Behörde der Branche auf die Schliche gekommen
sei. In den Jahren 2008 bis 2011 habe das
Bundeskartellamt in dem gleichen Komplex
schon einmal Bußgelder gegen neun Unternehmen in Höhe von insgesamt rund 24
Millionen Euro verhängt.
Einer Reihe von Herstellern spezieller Mikroprozessoren für Plastikkarten drohen
wegen von der EU vermuteter Kartellabsprachen empfindliche Geldbußen, meldet die
FAZ am 23. April. Die Chipanbieter hätten
Absprachen mit dem Ziel getroffen, die Preise
hoch zu halten.
Die WirtschaftsWoche listet am 10. Mai die
„spektakulärsten Kartellfälle“ auf. In den
letzten Jahren habe die EU-Wettbewerbskommission „die Krallen ausgefahren“ – und
Strafen in Rekordhöhe gegen Unternehmen
verhängt, die untereinander heimlich Preise
abgesprochen oder ihre Wettbewerber mit
unerlaubten Mitteln unter Druck gesetzt
hätten. Der aktuellste Fall sei der italienische
Kautschuk-Hersteller Eni. Der Europäische
Gerichtshof habe am 8. Mai eine EU-Geldstrafe in Höhe von 181,5 Millionen Euro
bestätigt. Das Unternehmen werde damit für
Kungelei mit Konkurrenten zum Schaden der
Kunden bestraft. Daran sei auch Bayer beteiligt gewesen. Da Bayer die Aufsichtsbehörden aber zuerst auf das Kartell aufmerksam
gemacht habe, sei es von einer Geldstrafe
verschont geblieben. Gegen insgesamt 13
Unternehmen hätten die Wettbewerbshüter der EU-Kommission 2008 Geldstrafen
in Höhe von insgesamt 519 Millionen Euro
verhängt. Die bislang höchste Kartellstrafe
habe die EU-Kommission Ende 2008 verhängt: 1,38 Milliarden Euro Bußgeld hätten
vier internationale Autoglashersteller zahlen
müssen, die von 1998 bis 2003 Marktaufteilung und Preise in Europa besprochen hatten.
Allein auf Saint-Gobain (Frankreich) seien fast
900 Millionen entfallen, der Rest auf Pilkington (Großbritannien), Solvier (Belgien) und
Asahin (Japan).
Die FAZ behandelt in einem Verlagsspezial
am 16. Mai die „rote Linie“ des Kartellrechts. Die Zahl der Mittelständler, die Ärger
mit dem Bundeskartellamt bekommen, steige
stetig. Meist werde ihnen zum Verhängnis,
dass sich im Unternehmen keiner so richtig
ums Thema Kartellrecht kümmert. Mittlerweile seien mehr Kartellwächter unterwegs, um
Sünder aufzuspüren. Auch die Kronzeugenregelung trage dazu bei, die seit 2009 In Kraft
sei. Ein Unternehmen komme nahezu straffrei
aus einem Kartell heraus, wenn es sich als
erstes stellt und alle Karten auf den Tisch legt.
Die Firmen in einem Kartell müssten seither
immer mit der Angst leben, dass einer der
Partner aussteigen und die anderen verraten
könnte. Im Kartellrecht gehe beileibe nicht
immer nur um den Preis. Genauso gefährlich
seien Absprachen oder gar der bloße Austausch zu bestimmten Themen: Auf welche
Kundengruppe spezialisiere ich mich? Wie
sehen meine Expansionspläne aus? Inwiefern
will ich neue Produkte einführen oder meine
Produktion ausweiten? Es reiche, wenn einer
137
138
spricht und andere dazu nicken oder entsprechende Handzeichen geben. Wenn ein
Mitarbeiter zufällig hört, wie der Kollege eines
Wettbewerbers über dessen Marketingstrategie spricht, bewege man sich in einem
rechtlichen Graubereich. Die beste Lösung sei,
sich für alle erkennbar vom Gesprächsinhalt zu
distanzieren und zu gehen, und das in einem
Protokoll festzuhalten.
Bei einem Kartellverstoß schützt ein Irrtum
über die Rechtmäßigkeit des eigenen Verhaltens nicht vor Strafe, berichtet die FAZ am
19. Juni. Das habe der Europäische Gerichtshof entschieden (Az.: C-681/11). Ein Unternehmen könne demnach nicht mit Hinweis auf
den Rat eines Anwalts oder den Irrtum eines
nationalen Kartellgerichts einer Geldbuße der
EU entgehen.
Das Bundeskartellamt veröffentlicht
Fallberichte und erntet dafür scharfe Kritik,
berichtet das Handelsblatt am 9. Juli. Das
gelte als „weiche“ Form der Durchsetzung des
deutschen Kartellrechts. Dagegen warnt die
internationale Anwaltskanzlei Kay Scholer,
dass damit bisweilen nicht bekannte Unternehmensinterna veröffentlicht werden, die
weitreichende Schlüsse zuließen. Auf diese
Weise trage das Bundeskartellamt selbst zur
Verzerrung eines fairen Wettbewerbs bei. Die
Konkurrenz reibe sich die Hände angesichts
der sensiblen Informationen und justiere über
die neu gewonnenen Fakten ihre Strategien.
Dagegen hält sich das Bundeskartellamt nach
dem Grundgesetz dazu verpflichtet, dem
allgemeinen Informationsanspruch der Öffentlichkeit Rechnung zu tragen. Dies geschehe
stets in der Abwägung, dass auch die Interessen der beteiligten Unternehmen gewahrt
blieben. Es würden keine Geschäftsgeheimnisse veröffentlicht. Die „Eingriffstiefe“ sei gering.
Die FAZ weist am 27. Juli auf die vom Bundeskartellamt im Juni veröffentlichten
neuen Leitlinien hin. Nach ihnen gelte nicht
mehr der Umsatz, der mit der Tat erzielt
wurde, als Bezugsgröße für die Höhe des
Bußgeldes. Vielmehr rücke nun der gesamte
Konzernumsatz in den Blickpunkt – mit der
Konsequenz, dass große Unternehmen künftig
wesentlich mehr zahlen müssten als bisher.
Auch die Schwere und die Dauer der konkreten Tat seien zwar künftig weiterhin maßgeblich. Allerdings könne es bei Konzernen, die
in einer Vielzahl von Märkten aktiv sind und
deren Absprachen nur ein bestimmtes Produkt
eines größeren Portfolios betrafen, künftig zu
höheren Bußgeldern kommen. Der eigentliche Grund für diese „Malaise“ sei nicht das
Bundeskartellamt, sondern der BGH. Dieser
hatte die bisherigen Leitlinien der Bonner
Behörde vor allem deshalb gekippt, weil sie in
der Vergangenheit besonders bei Fällen aus
dem Mittelstand zu unverhältnismäßig hohen
Bußgeldern führten. Dies habe besonders kleinere Unternehmen mit nur einem Produkt und
wenig Exporten betroffen, die an Preis- oder
Gebietsabsprachen teilgenommen hatten.
„Kartellamt freut sich über seine Schlagkraft“,
titelt die FAZ am 28. Dezember. Die Kartellwächter hätten 2012 in 11 Fällen insgesamt
240 Millionen Euro an Bußgeldern verhängt.
Diese Sanktionen hätten 54 Unternehmen und
52 Privatpersonen – etwa aus der Schienenbranche und der Mühlenindustrie, ferner im
Bereich von Süßwaren, Haushaltsgeschirr und
Drogerieartikeln – getroffen.
Kartenbetrug
Die FAZ berichtet am 19. Juli, dass Datendiebe mit Kredit- und EC-Kartenbetrug 2011
nach einer Studie der EZB 1,16 Milliarden
Euro Schaden angerichtet haben. Die Schadenssumme sei um 5,8 % gegenüber 2010
gesunken. Vor allem die EMV-Technologie mit
einer Art Mini-Computer habe die Geldkarten sicherer gemacht. Am häufigsten hätten
Kriminelle Kartendaten und PIN im Internet
abgegriffen. In Deutschland habe der Betrug
mittels gestohlener Kreditkarten nach den
jüngsten verfügbaren Daten des BKA um
8 % auf rund 8.200 Fälle abgenommen. Der
Betrug mit Lastschriftverfahren, bei denen
die Kriminellen keine PIN eingeben müssten, habe indessen stark zugenommen. Die
Fallzahl sei um fast 14 % auf 15.471 im Jahr
2012 angestiegen.
Handelsblatt.com weist am 10. Juli auf
eine interaktive Grafik des Spezialisten für
Betrugsbekämpfung FICO hin, in der die
Entwicklung der Betrugsverluste nach
Kartendiebstählen in 19 europäischen
Ländern dargestellt werden. Im Ranking
liege Frankreich mit 442 Millionen Euro an der
Spitze, gefolgt von Großbritannien (410 Millionen €) und Deutschland (144 Millionen €; 7 %
Anstieg 2012). Europaweit seien die Betrugsverluste 2012 um rund 6 % angestiegen.
Die Süddeutsche Zeitung beschreibt am
27. Juli einen der größten Fälle von Kredit-
kartenbetrug, der je aufgedeckt wurde. Die
US-Staatsanwaltschaft habe vier Männer aus
Russland und einen aus der Ukraine angeklagt, zwischen 2005 und 2012 die Systeme
von Kreditkarten- und Handelsunternehmen
gehackt zu haben und so an 160 Millionen
Kreditkarten-Nummern herangekommen
zu sein. Dadurch sei den Unternehmen ein
Schaden von mehr als 300 Millionen Dollar entstanden. Kunden selbst sollten nicht
geschädigt worden sein. Die Täter hätten die
Server der Firmen mit Schadprogrammen
infiziert. Die Zeitung weist darauf hin, dass
Inhaber von Kreditkarten den erlittenen Schaden bei dem Herausgeber ihrer Karte geltend
machen können. Der Schadenersatz werde
in der Regel schnell und unbürokratisch
gewährt, da die Anbieter nicht ins Gerede
kommen wollten – Schlagzeilen, sie würden
ihre Kunden bei Betrug auf dem Verlust
sitzen lassen, wären Gift für ihr Geschäftsmodell. Geschädigt werde damit am Ende das
Unternehmen, das die Karte ausgegeben hat.
Katastrophenschutz
Artur Kubik, GDV, gibt in der Ausgabe 1-2013
von s+s report einen Überblick über den Naturgefahrenreport 2012, den der GDV im
Dezember 2012 veröffentlicht hat (S. 15–17).
Nach dem Bericht regulierten deutsche
Versicherer jährlich im Durchschnitt 1,3
Millionen Schäden an privatem Hab und Gut
infolge von Sturm- und Hagelereignissen. Die
Versicherten erhielten jedes Jahr im Schnitt
rund 1,1 Milliarden Euro Entschädigungen.
Weitere rund 70.000 Schäden kämen durch
Elementargefahren hinzu, mit einem Schadensaufwand von rund 250 Millionen Euro.
Der bislang teuerste Wintersturm sei „Kyrill“
gewesen, der am 18. und 19. Januar 2007
über Deutschland hinwegfegte. Der volkswirtschaftliche Schaden habe damals rund
4 Milliarden Euro betragen. Der GDV habe in
einer wissenschaftlichen Studie mit mehreren
Forschungsinstituten zusammen die Folgen
für die Versicherungswirtschaft untersuchen
lassen. Die Studie zeige, dass zum Beispiel
besonders heftige Stürme häufiger auftreten
könnten als bisher, und dass Schäden durch
Flussüberschwemmungen sich bis zum Jahr
2100 verdoppeln oder gar verdreifachen
könnten.
Die Betreiber von Öl- und Gasplattformen
haften in Europa fortan in voller Höhe für
die nach Unfällen auftretenden Schäden für
geschützte Tierarten und die Verschmutzung
des Wassers. Darauf hätten sich, wie die FAZ
am 22. Februar berichtet, Unterhändler von
Europaparlament und Ministerrat geeinigt.
Die Regeln würden den Haftungsrahmen auf
alle Bohrinseln ausdehnen. Die Betreiber sollten darüber hinaus für jede einzelne Plattform
– wie bei Chemiewerken schon üblich – eine
detaillierte Risikoanalyse und Notfallpläne bei
den nationalen Aufsichtsbehörden einreichen.
In ihren Notfallplänen sollten die Betreiber
belegen, dass sie die im Extremfall auftretenden Kosten eigenständig tragen können. Alle
139
140
eingesetzten Geräte sollten von unabhängiger Stelle zertifiziert und regelmäßig überprüft werden. Zudem sollten die Betreiber
alle Unfallberichte veröffentlichen und in eine
Datenbank einspeisen. Bei Verstößen gegen
die Vorgaben sollten die EU-Mitgliedstaaten
Sanktionen verhängen und im Extremfall dem
Unternehmen auch die Bohrrechte entziehen.
Inwieweit die Ölkonzerne für den wirtschaftlichen Schaden, etwa für die Verdienstausfälle
von Fischern, oder für den Tourismus, haften
müssen, bleibe den Staaten überlassen.
Klinik- und Heimsicherheit
In einer Verlagsbeilage April 2013 der Fachzeitschrift WiK werden sicherheitstechnische
Lösungen für Kliniken, Alters- und Pflegeheime angeboten: SCHNEIDER INTERCOM stellt
ein Alarmsystem für Mitarbeiter in Kliniken
und Pflegeeinrichtungen für den Fall eines gewaltsamen Übergriffs vor. Bei diesem System
wisse der Notrufempfänger nicht nur exakt,
in welchem Gebäude und Raum der Alarm
ausgelöst wurde. Er sei auch durch Sprechstellen in der Lage, bei dem Hilfesuchenden
über Mikrofon die Situation vor Ort mitverfolgen (S. 8). Der Fluchtwegspezialist GfS habe
eine neue komfortable Stand alone-Lösung
entwickelt, bei der alle Funktionseinheiten,
erstmals sogar Blitzleuchte, in einem Gerät
zusammengefasst seien (S. 9). DOM Sicherheitstechnik habe eine dauerhaft antibakteriell wirkende Beschichtung für Türbeschläge entwickelt, die Mikroben keine Chance
lasse (S. 9). Das Dementenschutzsystem
Clino Guard helfe Pflegeeinrichtungen,
Patienten zu schützen, ohne in ihre Alltagsroutine einzugreifen, und das Pflegepersonal
zu entlasten. Es bestehe im Wesentlichen aus
den drei Komponenten Ortungs-Hardware,
Software sowie RFID-Transpondern. Die
Kommunikation zwischen den Transpondern
und den Empfangseinheiten sei bidirektional und ermögliche Echtzeit-Lokalisation
(S. 10/11). Drumm Sicherheitstechnik biete
bei der Tür- und Fenstersicherheit auf die
jeweiligen Anforderungen zugeschnittene
Lösungen: so eine Schutzrosette statt Fenstergriff, einen Knaufschutz für elektronische
Schließzylinder, ein stahlhartes Schüsseldepot und eine Sicherung von Türspionen vor
missbräuchlicher Nutzung (S. 12/13). Eine
innovative Zutrittsorganisation von Winkhaus sichere mit rund 2.000 elektronischen
blueSmart Zylindern, neun AccessPoints und
30 Standalone-Lesern einen Pflegekomplex
mit 30 Gebäuden (S. 15–17). IP-basierte
Lösungen böten heute faszinierende Möglichkeiten in der Krankenhaus-Kommunikation
und würden zum Beispiel den klassischen
Schwesternruf mit modernen IP-basierenden
Technologien verbinden (S. 18).
Know-how-Schutz
Dr. Tim Karg, Karg und Petersen Agentur
für Kommunikation GmbH, skizziert in
der Ausgabe 2-2013 von Security insight
(S. 38/39) Kommunikationsstrategien für
den Know-how-Schutz. Bereits der Alltag zeige deutlich, wo zentrale Gefahren
liegen: Flipchart-Notizen, die nach einem
Meeting achtlos hängen gelassen werden;
der Vertriebsmitarbeiter, der Kunden ein
Angebot mit ausführlichen technischen
Spezifikationen vorstellt; das Passwort,
das zu einfach ist und für den IT-Spion kein
Hindernis darstellt – trotz vieler Warnungen
seien Kombinationen wie „123456“ oder
„iloveyou“ unter den häufigsten Passwörtern.
Soll Know-how-Schutz nachhaltig verankert
werden, eigne sich etwa ein firmeninterner
Newsletter, der regelmäßig aktuelle Informationen und Tipps liefert. Ergänzen könne
man diese Maßnahmen beispielsweise durch
Broschüren und ein Intranet-Portal, um
auf Gefahrensituationen hinzuweisen und
ausführlichere Handlungshilfen zu geben.
Auch moderne Kommunikationswege wie
ein moderiertes Online-Forum könnten hier
sinnvoll eingesetzt werden.
Kommunikationssicherheit
Die Wirtschaftswoche berichtet am 4. März
über eine neue Generation sicherer
Smartphones. Das von Secusmart getunte
Hochsicherheits-Blackberry (2.500 Euro)
sei eines der am besten gesicherten Smartphones der Welt. Das teure Geheimnis des
supersicheren Blackberrys sei eine spezielle
Micro-SD-Karte, auf der alle vertraulichen
Informationen verschlüsselt werden. Erster
Abnehmer sei die Bundesregierung. Aber
nicht nur für Politiker sei das neue Telefon
interessant. Auch von Konzernen erwarte Secusmart künftig mehr Bestellungen.
Der Clou sei, dass die Nutzer des neuen
Sicherheits-Smartphones darauf zudem
auch sämtliche Apps von Twitter bis Angry
Birds laden können. Denn Blackberry biete
eine Funktion namens Balance, die auch
schon in der normalen Variante zwischen
einem privaten und einem professionellen
Nutzungsmodus unterscheidet. Mit einer
Fingerbewegung und einer PIN könnten die
Nutzer in den dienstlichen Bereich wechseln,
wo vertrauliche Daten technisch streng vom
offenen Privatbereich getrennt sind. Die
Deutsche Telekom habe ebenfalls ein neues,
Simko3 genanntes, Hochsicherheitshandy
entwickelt. Ab Sommer sollen beide Unternehmen jeweils etwa die Hälfte der fast
10.000 sicheren Smartphones an die Regierung liefern. Die Telekom verspreche, mit der
Technik sogar das beliebte Samsung Galaxy
Telefon und Tabletrechner von Samsung
abzusichern. Sie stoße damit auch bei Unternehmen auf ein großes Interesse. Blackberry
habe sich mit der neuen Gerätegeneration
von seiner alten Netzwerkstruktur verabschiedet. Damit habe Secusmart auch die
Bedenken des BSI zerstreuen können.
Rohde & Schwarz wolle mit einer neuen
Technologie namens TopSec Mobile den
Gebrauch des bisherigen Smartphones
ermöglichen und dabei sicherstellen, dass
auch verschlüsselte
Gespräche geführt werden können, berichtet
der Sicherheits-Berater in seiner Ausgabe
2-2013. Der Nutzer erhalte ein Headset,
dass über Bluetooth mit dem Smartphone
verbunden werde, und das Telefonate verschlüsselt und unverschlüsselt sicherstelle.
Zur Nutzung der Verschlüsselungsoption
werde eine App auf das Smartphone heruntergeladen und installiert. Der Anwender
könne unverschlüsselte Gespräche wie
bisher führen, indem er die Rufnummer auf
der virtuellen Tastatur des Smartphones
eingibt. Will er ein verschlüsseltes Gespräch
führen, öffne der Nutzer die App, suche den
entsprechenden Kontakt aus dem Telefonbuch aus und betätige die Krypto-Taste.
Der Angerufene nehme das verschlüsselte
Telefongespräch durch Drücken einer Taste
am Headset an. Das Charmante an der
Lösung sei, dass das benutzte Smartphone
selbst nicht den Krypto-Regeln gehorchen
müsse, da die Verschlüsselung in einem
separaten Gerät durchgeführt werde und
nicht im Smartphone. Es stelle also nur
den Übertragungsweg zur Verfügung, die
Verschlüsselung werde in einem separaten
Gerät durchgeführt. Damit bleibe auch ein
möglicher Angriffsversuch, der durch andere
auf dem Smartphone installierte Apps ausgeführt werden kann, erfolglos.
Immer mehr maßgeschneiderte Angriffe
zielten auf mobile Kommunikationsgeräte, warnt der Sicherheits-Berater in
seiner Ausgabe 9-2013 (S. 133–135). Bei
der Nutzung von Smartphones und Tablets
sollten folgende Hinweise beachtet werden:
Installation einer Sicherheitslösung speziell
für das mobile Endgerät/Überwachung des
Datenverkehrs auf ungewöhnliche Aktivitä-
141
142
ten/Einsatz eines Mobile Device Managementsystems für alle betrieblich genutzten
Smartphones und Tablets/regelmäßige
Aktualisierung des mobilen Betriebssystems
und der benutzten Apps/Herunterladen von
Apps nur aus sicheren Quellen/Überprüfung
jeder App vor Installation und Verwendung/
keine ungeprüfte Nutzung von Links im Internet und in E-Mails/Sensible Daten sollten
nur verschlüsselt auf dem mobilen Endgerät
gespeichert werden.
Seit Anfang Juli bietet Secusmart Bundesbehörden das neue Blackberry Z10 mit der auf
einer Micro-SD-Karte installierten Software
„Secusuite“ an, berichtet das Handelsblatt
Nutzer könnten telefonieren, mailen, SMS
senden oder im Internet surfen und Dienstliches von Privatem trennen. Im sicheren Bereich authentifizieren sie sich. Daten würden
per Ende-zu-Ende-Verschlüsselung verschickt. Der Stückpreis betrage 2.500 Euro.
Der Sicherheitsberater weist am 1. Oktober
darauf hin, dass das BSI offiziell die Zulassung des Handys SiMKo 3 für die Geheimhaltungsstufe „Verschlusssache – Nur für
den Dienstgebrauch“ (VS-NfD) erteilt hat. Im
Unterschied zu einem herkömmlichen Android-Handy sitze im SiMKo3 ein alternatives
Betriebssystem, der sogenannte L4-Hochsicherheits-Mikrokern. Dieser bietet laut
Telekom den Hackern kein Versteck mehr
für Überraschungen. An der Entwicklung
seien durchgängig deutsche Firmen beteiligt
gewesen. Die Entwicklung des SiMKo3 gehe
weiter. Es solle in den nächsten Monaten
zusätzliche Produktmerkmale bieten: verschlüsselte Voice over IP-Telefonie mit hochsicheren Verschlüsselungsverfahren, sichere
netzübergreifende Sprachverschlüsselung,
SiMKo-Produktfamilie mit Tablets und Notebooks für den Heimarbeitsplatz und Unterstützung des schnellen LTE-Funkstandards
(S. 299/300).
Der NSA zapft nach Informationen des
„Spiegel“ eine der wichtigsten Telekommunikationsverbindungen zwischen Europa
und Asien an, meldet die FAZ am 30. Dezember. Es sei ihm gelungen, „Informationen über das Netzwerkmanagement des
Dea-Me-We-4-Unterwasserkabelsystems zu
erlangen“, heiße es in einem als „streng geheim“ eingestuften Dokument vom 13. Februar 2013, das die Zeitschrift eingesehen
haben will. Das Kabelsystem verlaufe dem
Bericht zufolge vom französischen Marseille
aus über Nordafrika und die Golfstaaten
nach Pakistan und Indien und von dort weiter bis nach Singapur, Malaysia und Thailand.
Zu den Anteilseigern gehörten der halbstaatliche französische Konzern Orange und
Telecom Italia.
Korruption – Dimension
Nach dem vom Bundeskriminalamt im
Dezember 2013 veröffentlichten Bundeslagebild Korruption für das Jahr 2012 ist
sowohl die Zahl der Ermittlungsverfahren als
auch die der im Rahmen dieser Verfahren
polizeilich registrierten Straftaten zurückgegangen. Bedingt durch den statistischen
Einfluss umfangreicher Ermittlungskomplexe
betrug der Rückgang gegenüber 2011
82 % auf 8.175 Korruptionsstraftaten.
Dagegen ist die Zahl der Begleittaten um
32 % auf 1.973 angestiegen.
Die Situation der Korruption sei in Deutschland seit Jahren durch folgende Kernaussagen
gekennzeichnet: Korruptive Verbindungen
zwischen Gebern und Nehmern sind in der
Regel längerfristig angelegt. Der Anteil dieser
sogenannten strukturellen Korruption beträgt
mehr als 80 %. In mehr als der Hälfte der Verfahren stehen Geber und Nehmer über einen
Zeitraum von drei Jahren oder länger in einer
korruptiven Beziehung zueinander. 2012
gehörten 17 % der Geber der Baubranche
und 16 % dem Dienstleistungsgewerbe an.
14 % waren Privatpersonen, 10 % waren
im Handel tätig. In etwa 75 % der Fälle sind
die Funktionen der Geber bekannt. In mehr
als 60 % der Verfahren hatten sie Leitungsfunktionen inne: 35,7 % als Geschäftsführer, 16,4 % als Firmeninhaber, 12,9 % als
Leitende Angestellte. Korruption verursacht
hohe Schäden. 2012 betrug der festgestellte
bzw. geschätzte Schaden rund 354 Millionen
Euro. Der durch die korruptive Erlangung
von Aufträgen und Genehmigungen entstehende Schaden lässt sich allerdings nur
vage schätzen. Hinzu kommt ein großes
Dunkelfeld nicht ermittelter Korruptionen. Die
Vorteile für die Geber lagen zu 56 % in der
Erlangung von Aufträgen, zu 12,4 % in der
Erlangung einer behördlichen Genehmigung,
zu 6,5 % in sonstigen Wettbewerbsvorteilen.
Die Nehmer waren im Jahr 2012 zu 55 %
Amtsträger und zu 34,8 % ein Unternehmen.
In 87 % der Verfahren ist die Funktion des
Nehmers bekannt. In 50,8 % der Fälle waren
es Sachbearbeiter, in 34,6 % leitende Funktionäre, in 4,5 % Bürgermeister. Die Vorteile
bestanden für die Nehmer zu 36,4 % in Bargeld, zu 36,3 % in Sachleistungen, zu 10,2
% in Bewirtungen, zu 4,7 % in der Teilnahme
an Veranstaltungen. Korruption ist Kontrollkriminalität. Erfolge in der Bekämpfung dieser
Kriminalität hängen stark von der Gewinnung
qualifizierter Hinweise ab. Rund zwei Drittel
der Verfahren wurden auf entsprechende
externe Hinweise hin eingeleitet. Die in vielen
Unternehmen geschaffenen ComplianceStrukturen dürften dazu beigetragen haben.
Wie das Handelsblatt am 3. Dezember
berichtet, hat Transparency International
den aktuellen Korruptionsindex veröffentlicht. Er ermittele, wie korrupt die öffentliche
Verwaltung in einem Land ist. Er gründe
auf Studien und Einschätzungen renommierter unabhängiger Institute. Fallzahlen
von Bestechlichkeit in öffentlichen Ämtern
ließen dagegen keine eindeutige Bewertung
zu. In keinem europäischen Land sei Korruption so stark verbreitet wie in Griechenland. Es belege Platz 80 unter 177 Staaten
weltweit. Deutschland komme mit 78 von
100 möglichen Punkten auf Platz 12. Am
unbestechlichsten seien der Studie zufolge
die Verwaltungen in Dänemark und Neuseeland. Den letzten Platz teilten sich – wie im
vergangenen Jahr – Afghanistan, Nordkorea
und Somalia. Besonders stark habe sich Spanien verschlechtert. Es sei nur auf Platz 40
gelandet. Die engen Beziehungen zwischen
Politikern und Bauunternehmen hätten in der
Vergangenheit die Immobilienblase gefördert.
Prof. Hartmut Berghoff, Deutsches Historisches Institut in Washington, und Prof.
Cornelia Rauh, Uni Hannover, befassen sich
in der FAZ am 5. Februar mit der Korruptionsproblematik. Es falle schwer, die Schäden
zu beziffern, von denen die Opfer meist
gar nichts wüssten. Zu den Konsequenzen
gehörten überteuerte Preise und – schlimmer
noch – der Verlust von Regelvertrauen, einer
für die Wirtschaft grundlegenden Ressource.
Investoren würden abgeschreckt, es komme
zur Fehlallokation von Kapital und Produktivitätseinbußen. Wachstumschancen, insbesondere in Entwicklungsländern, würden zerstört.
Zuweilen werde argumentiert, dass Korruption in Ländern wie Venezuela, Bangladesch,
Nigeria oder Argentinien alternativloses Mittel
zur Auftragsbeschaffung und deshalb für die
Unternehmen ökonomisch rational sei. Martin
Walser habe das Korruptionssystem von
Siemens sogar als „eine sehr solide, vernünftige Konstruktion“ bezeichnet. Ein Blick in
die Geschichte der Korruption wecke jedoch
Zweifel an der These der privatwirtschaftlichen Rationalität der Korruption. Der Preis,
den europäische Firmen durch Schmiergelder
in Ländern mit einer gewachsenen Korruptionskultur zahlten, habe im Kontrollverlust
über Zahlungsströme und die Loyalität ihrer
Angestellten bestanden. Ob diese Nachteile
durch Vorteile für die Unternehmen aufgewogen wurden, sei kaum feststellbar. Genau
in diesem Verlust der Rechenhaftigkeit liege
aber ein Charakteristikum der Korruption.
Mittelsmänner kämen auch heute noch zum
Einsatz. Nur dass sie meist vornehm als
„Consultants“ firmierten. Jedoch gebe es auch
andere Methoden. So habe Siemens über
lange Zeit Mitarbeiter mit prall gefüllten Kof-
143
144
fern voller Bargeld durch die Welt reisen lassen. Als 1999 die Bestechung ausländischer
Amtsträger in Deutschland strafbar wurde,
habe der Konzern zunehmend Scheinfirmen
und Berater eingeschaltet. In Venezuela
seien zwischen 2001 und 2006 fast 17 Millionen Dollar versickert. In Argentinien habe
Siemens nach Erkenntnissen der SEC binnen
zwei Jahrzehnten rund 100 Millionen Dollar
an Politiker und Beamte sowie „Consultants“
gezahlt, um an einen Milliardenauftrag für
Personalausweise zu kommen. Noch 1985
habe der Bundesgerichtshof festgestellt,
dass von „einem deutschen Unternehmen“
nicht „erwartet werden“ könne, „dass es in
den Ländern, in denen staatliche Aufträge
nur durch Bestechung … zu erlangen sind,
auf dieses Mittel völlig verzichtet“. „Nützliche Aufwendungen“ seien bis 1999 in
Deutschland nicht nur steuerlich absetzbar
gewesen, sondern die Unternehmen hätten
sogar auf Zahlungsbelege verzichten können. Angesichts der ausufernden Korruption
amerikanischer Unternehmen habe der
amerikanische Kongress 1977 den „Foreign
Corrupt Practices Act“ (FCPA) verabschiedet,
der die Bestechung ausländischer Amtsträger unter scharfe Strafen stellte. Eine OECDKonvention habe 1999 die Signatarstaaten
verpflichtet, die Bestechung ausländischer
Amtsträger zu verbieten. Weltweit hätten die
wichtigsten Industriestaaten entsprechende
Gesetze erlassen. Im Zuge der Ratifizierung
der OECD-Konvention habe die ClintonRegierung 1998 den FCPA verschärft. Die
Reichweite erstrecke sich nicht nur auf
Unternehmen, die in den USA niedergelassen oder börsennotiert sind. Es genüge,
dass eine Tathandlung – und als solche gelte
bereits ein E-Mail-Verkehr oder eine Überweisung – auf amerikanischem Territorium
stattfindet. Nach den gigantischen Bilanzfälschungen bei Enron und Worldcom hätten
die USA 2002 ihre Bilanzierungsvorschriften
durch den „Sarbanes-Oxley Act“ verschärft,
der im Extremfall langjährige Haftstrafen
vorsah. Erste Recherchen zur jüngsten
Siemens-Geschichte zeigten, dass das
dortige System das genaue Gegenteil einer
„soliden, vernünftigen Konstruktion“ gewesen sei. Es habe vielfach Chaos und Kontrollverlust erzeugt. Es habe kein straff von oben
organisiertes System gegeben, sondern in
den einzelnen Sparten und Ländern des
Riesenkonzerns eine Vielzahl undurchsichtiger Vorgänge, Insidercliquen und Hunderte
von Konten im Ausland, die niemand in
Gänze überblickte. Selbst für Großunternehmen könnten Korruptionsvorwürfe infolge
der neuen Rechtslage und der gewandelten Einstellung der Öffentlichkeit schnell
existenzgefährdend werden. Siemens habe
das Ruder gerade noch rechtzeitig herumgerissen, sich zur kompromisslosen Aufklärung
entschlossen und praktisch seine gesamte
Führungsriege ausgetauscht. Zugleich sei
ein umfassendes Compliance-System aufgebaut worden. Mit einem Vermögensschaden
von geschätzten 2,5 Milliarden Euro, davon
allein 1,2 Milliarden an Strafzahlungen, sei
Siemens mit einem blauen Auge aus einer
Krise herausgekommen, die es gefährlich
nahe an den Abgrund geführt habe.
Der ASW-Newsletter vom 10. Mai weist auf
eine Studie von Ernst & Young zur Korruptionsgefahr hin, für die knapp 3.500
Finanzvorstände, Revisionsleiter, Leiter der
Rechtsabteilung und des Compliance-Managements aus 36 Ländern befragt worden seien, darunter 100 aus Deutschland.
Korruption sei in Europas Wirtschaft immer
noch überraschend weit verbreitet. Slowenien, die Ukraine und Griechenland belegten
einen unrühmlichen Spitzenplatz im EuropaRanking: Dort liege der Anteil der Befragten, die Korruption in ihrem Land für üblich
halten, bei 96, 85 bzw. 84 % und damit
etwa auf dem Niveau von Kenia und Nigeria. Deutschland liege mit 30 % unter dem
europäischen Durchschnitt. Am wenigsten
verbreitet sei Korruption in der Schweiz: Hier
gäben nur 10 % der Befragten an, Bestechung sei in ihrem Wirtschaftsleben gängig.
Finnland und Schweden lägen jeweils bei
12 %, Norwegen bei 17 %. Erstaunlich
viele Manager könnten sich vorstellen, in
Notsituationen dem Geschäftserfolg mit
unlauteren Mitteln nachzuhelfen: So hielten
von den westeuropäischen Managern 13
% (Deutschland: 7 %) Bestechung von Geschäftspartnern für gerechtfertigt, wenn auf
diese Weise ein Unternehmen über einen
Wirtschaftsabschwung hinweggerettet werden kann. In vielen deutschen Unternehmen
seien in den letzten Jahren massive Anstrengungen unternommen worden, Korruption
im eigenen Haus zu verhindern. 64 % der
befragten deutschen Manager hätten angegeben, das gehobene Management habe ein
klares Bekenntnis zu Antibestechungsrichtlinien abgegeben. Tatsächlich vorgegangen
gegen Mitarbeiter, die Regeln verletzten, sei
man bei 32 % der Befragten in Deutschland.
Aber nur 45 % der Befragten in Deutschland
hätten angegeben, dass „Whistleblower“ mit
der Rückendeckung durch die Unternehmensleitung rechnen könnten.
Eine von der EU-Kommission in Auftrag
gegebene Studie über die wirtschaftlichen
Folgen der Korruption kommt laut FAZ vom
5. November zu dem Ergebnis, dass die realen Kosten der Korruption weit höher seien
als die Bestechungssummen, etwa wenn der
Preis für einen km Autobahn den Marktpreis
um das Dreifache überschreite. Untersucht
worden seien acht europäische Länder und
fünf Bereiche. In der EU seien 2010 für
öffentliche Aufträge 2.406 Milliarden Euro
aufgewendet worden. Das sei ein Fünftel
des in der EU erarbeiteten Sozialprodukts. In
den fünf untersuchten Segmenten der acht
untersuchten Länder hätten die Kosten, die
durch Korruption entstanden seien, zwischen 1,4 und 2,2 Milliarden Euro gelegen.
Bei kleineren Projekten seien korrupte Praktiken häufiger vorgekommen als bei großen.
An der Spitze rangierten Bildungsprojekte,
bei denen die Korruptionskosten 44 % der
budgetierten Projektsumme ausmachten,
gefolgt von Stadtprojekten (29 %), dem
Eisenbahn- und Autobahnbau (20 %), der
Wasserwirtschaft und Abfallbeseitigung (16
%) sowie Forschung und Entwicklung (5
%). In absoluten Zahlen stünden städtische
Großprojekte mit 830 bis 1.141 Millionen
Euro an erster Stelle, gefolgt vom Bahn- und
Autobahnbau (488 bis 755 Millionen). Wenn
Projekte mit korrupten Praktiken zustande
gekommen sind, belasteten diese die Etats
mit durchschnittlich 18 % der Projektsumme. Davon ließen sich 13 % direkt auf
Korruption zurückführen, 5 % machten die
sogenannten „grauen Fälle“ aus, bei denen
Korruption lediglich vermutet wird. Vorgeschlagen werde, dass die EU eine Richtlinie
verabschiedet, die gewährleisten soll, dass
Eigentum, das nachweislich aus kriminellen
Quellen stammt, straf- oder zivilgerichtlich
konfisziert werden kann, wenn der Eigentümer nicht oder noch nicht verurteilt ist.
Ärztekammern und die Vereinigungen der
Kassenärzte tun nach Auffassung der Union
zu wenig gegen Korruption im Gesundheitswesen, berichtet die FAZ am 2. Januar.
Die Grenzen zwischen Kooperation von Ärzten mit Pharmafirmen und Korruption seien
unscharf, habe der gesundheitspolitische
Sprecher der Union, Jens Spahn, geäußert.
Welches Ausmaß die umstrittenen Praktiken
haben, sei unklar. Transparancy International
behaupte, der Schaden für das Gesundheitssystem gehe in die Milliarden. Spahn greife
mit seiner Drohung, eine Strafnorm zu schaffen, eine Debatte auf, die durch ein Urteil
des BGH entflammt war. Die Richter hatten
entschieden, dass niedergelassene Ärzte
als Freiberufler nicht wegen Bestechlichkeit
angeklagt werden können. Der Gesetzgeber
müsse entscheiden, ob es strafwürdig sei,
wenn Pharmaunternehmen oder Labore
Ärzten Geld oder andere Vorteile gewähren,
und gegebenenfalls das Strafrecht ausweiten. Unbeschadet dessen könnten Ärzte für
Vorteilsnahme aber auch nach dem Sozialoder Berufsrecht belangt werden.
Blogger legen immer mehr Korruptionsskandale chinesischer Funktionäre offen,
titelt die FAZ am 2. Januar. Ji Xuguang, ein
investigativer Journalist, der in seinem Blog
Videobilder veröffentlicht hatte, die einen
örtlichen Parteifunktionär belasteten, der daraufhin abgesetzt worden war, habe dies als
145
146
Durchbruch im Kampf gegen die Korruption
bewertet. Bislang hätten die Disziplinwächter der Partei nicht mit Journalisten wie ihm
zusammengearbeitet. Ji Xuguang glaube an
Rückendeckung von ganz oben. Die neue
Parteiführung unter Xi Jinping habe der Korruption den Kampf erklärt und zu mehr Mitwirkung der Bevölkerung bei der Enthüllung
von Fällen des Machtmissbrauchs ermutigt.
Fast täglich seien während der vergangenen
Wochen in den chinesischen Mikroblogs Fälle von Korruption und Machtmissbrauch und
Sex-Skandalen gemeldet worden. Aber auch
die offiziellen Medien folgten den Enthüllungen im Internet immer öfter mit eigenen
Recherchen.
In der Wirtschaft Italiens habe sich systematische Korruption eingenistet, klagt
Rechnungshof-Chef Luigi Giampaolino laut
einem Bericht in der Wirtschaftswoche am
25. Februar. Rüstungskonzernchef Orsi werde
von der Staatsanwaltschaft verdächtigt, indische Regierungsmitglieder mit 28 Millionen
Euro geschmiert zu haben. Das drittgrößte
Kreditinstitut Italiens, das Geldhaus Monte die
Paschi, werde von einer Lawine von Enthüllungen erfasst. Ex-Finanzchef Gianluca Baldassarri verdächtigten die Ermittler, als Chef einer
„Fünf-Prozent-Bande“ bei jeder Finanzoperation Schmiergelder eingestrichen zu haben. Der
Informationsdienst Kroll glaubt, ein Fünftel der
Unternehmen sei von Korruption betroffen.
Korruption – Einzelfälle
Die Deutsche Bahn hat sich wegen hoher
Korruptionsrisiken aus Griechenland und
anderen Staaten zurückgezogen, meldet
die FAZ am 19. Juni. Diese Entscheidung
sei schon vor längerer Zeit gefallen. Es
sei aber denkbar, dass das Unternehmen
unter besonderen Sicherheitsvorkehrungen
künftig auch wieder Geschäfte in Risikoländern mache. Damit ziehe die Bahn auch
Konsequenzen aus Ermittlungen gegen ihre
Tochter DB International. Sie soll im vergangenen Jahr in mehreren Staaten Schmiergeld gezahlt haben, um Beratungs- und
Planungsaufträge für Eisenbahnprojekte zu
bekommen. Die Bahn wolle daher jetzt auch
in Algerien, Libyen, Ruanda und Thailand
keine Geschäfte mehr machen. Von mehr als
30 DBI-Beschäftigten habe sich das Unternehmen getrennt. Seit 2011 richte sich das
Unternehmen nach dem Index zur Korruptionswahrnehmung (CPI), den Transparency
International erstellt hat.
Korruption und Untreue habe den niederländischen Gebäudeausrüster Imtech wie ein
Krebsgeschwür zerfressen, meldet das Handelsblatt am 27. Juni. Imtech selbst beziffere
den Schaden bisher auf 370 Millionen Euro.
Schon 2011 habe ein Berater vor mafiösen
Strukturen gewarnt. Doch Imtech habe die
Aufklärung verschleppt.
In Chinas staatlicher Rohstoffindustrie
häuften sich die Korruptionsverdächtigungen,
meldet die FAZ am 29. August. So seien
Verfahren gegen Manager der China National
Petroleum Corporation (CNPC) und gegen
Manager eines Tochterunternehmens von
Petro China, Ran Xinquan, eingeleitet worden.
Wie SPIEGEL ONLINE berichtet, sollen
Debeka-Vertreter jahrelang unter dubiosen
Umständen Adressen von angehenden
Beamten angekauft und sich so einen unerlaubten Wettbewerbsvorteil verschafft haben.
Es habe bei der Debeka keinerlei Sanktionen
gegen diejenigen gegeben, die mit Adressen handelten. Inzwischen habe die Debeka
einen neuen Verhaltenskodex für ihre 17.000
Mitarbeiter eingeführt. Die FAZ meldet am
5. November, dass die Staatsanwaltschaft
Koblenz die Vorwürfe des illegalen Datenhandels prüfe.
Enthüllungen eines ehemaligen Spitzenbeamten im griechischen Verteidigungsministerium bringen nach einem Bericht der FAZ
vom 30. Dezember deutsche Rüstungs-
hersteller in Bedrängnis. Danach soll beim
Verkauf von 1.709 Kampfpanzern des Typs
„Leopard 2A6“ für rund 1,7 Milliarden Euro
nach Griechenland Schmiergeld in Höhe von
1,7 Millionen Euro aus Deutschland geflossen
sein. Die vor mehr als 12 Jahren erfolgten
Zahlungen kämen wohl von einem griechischen Repräsentanten von Kraus-Maffei. Der
Hersteller, der nach der Fusion mit Wegmann
heute als KMW firmiert, stelle den „Leopard“
gemeinsam mit Rheinmetall her. Der ehemalige Spitzenbeamte Antonios Kantas, der
von 1996 bis 2002 als stellvertretender
Einkaufschef für die Rüstungseinkäufe der
griechischen Militärs zuständig gewesen sei,
habe zugegeben, für Waffeneinkäufe aus
Deutschland, Frankreich, Russland, Nordamerika und Israel Schmiergeld von insgesamt
16 Millionen Euro kassiert zu haben. Die
Bestechungsvorwürfe würden von KMW
bestritten. Das Unternehmen verpflichte
seine Mitarbeiter und Geschäftspartner, sich
strikt rechtmäßig zu verhalten. Der Auftrag
aus Griechenland sei sorgfältig überwacht
worden. Kantas habe bei seiner Vernehmung
weitere Geschäfte mit deutschen Rüstungsherstellern genannt, für die er Schmiergeld
erhalten habe. Dabei sei es beispielsweise
um die Modernisierung von U-Booten durch
Rheinmetall und den heute von ThyssenKrupp geführten Ausrüster Atlas gegangen.
Am selben Tag berichtet die Zeitung, in der
südchinesischen Provinz Hunan seien mehr
als 500 Delegierte des Volkskongresses
wegen Bestechlichkeit suspendiert worden. Sie hätten gegen Geld gut 50 Abgeordnete in die Provinz-Vertretung gewählt. Auch
diese Funktionäre seien ihrer Ämter enthoben
worden. Insgesamt sollen umgerechnet
13 Millionen Euro geflossen sein. Die von der
Kommunistischen Partei herausgegebene
Volkszeitung habe in einem Kommentar eine
„umfassende Untersuchung“ des Skandals
gefordert. Die chinesische Führung habe unlängst eine härtere Gangart gegen Korruption
angekündigt.
Korruption – Sanktionen
Das Landesarbeitsgericht München hat entschieden, dass ein Arbeitnehmer, der Schmiergeld kassiert, es seinem Arbeitgeber herausgeben muss. Der für den Anspruch gegen den
korrupten Mitarbeiter erforderliche Schaden
sei nach den Regeln des Anscheinsbeweises
in der Höhe der Zuwendung anzunehmen
(6 Sa 957/11). Anders sei es nur bei einem
„relativ geringen“ Betrag, den die Richter mit
maximal 5 % der Gesamtauftragssumme
angesetzt haben (FAZ vom 30. Januar).
Droht mir bei Korruptionsverdacht die
Kündigung?, fragt die FAZ am 16. März.
Verwendet ein Arbeitnehmer das Geld
seines Arbeitgebers, um Geschäftspartner zu
bestechen, könne dies eine fristlose Kündigung rechtfertigen. Doch das gelte nur,
wenn im Unternehmen ein funktionierendes
Compliance-System besteht. Sonst könne
sich der Mitarbeiter damit herausreden, dass
der Vorgesetzte das Verhalten gebilligt hat.
Nach einer kürzlichen Entscheidung des
BAG fehle es an der Rechtfertigung für eine
Kündigung, wenn der Arbeitnehmer aus
vertretbaren Gründen annehmen darf, dass er
nicht pflichtwidrig handelt, weil der Arbeitgeber sein Verhalten akzeptiert. Eine strafbare
Bestechung habe auch für den Arbeitgeber
erhebliche Konsequenzen. Ihm drohten Geldbußen wegen Aufsichtspflichtverletzungen.
Außerdem würden in solchen Fällen auch
die finanziellen Vorteile abgeschöpft, die der
Arbeitgeber durch die Bestechungen erlangt
hat. Das Urteil des BAG zeige klar, wie wichtig
funktionierende Compliance-Systeme für
Unternehmen sind. Der Arbeitgeber müsse
unter anderem eindeutig nachweisen können, dass seine Arbeitnehmer Vorgaben zu
Korruption und anderen Compliance-Themen
kennen und wissen, dass sie diese Regeln
beachten müssen.
147
148
Die Wochenzeitung DAS PARLAMENT
berichtet am 4. März über die Forderung
der GRÜNEN-Fraktion im Bundestag nach
Einrichtung eines bundesweiten Registers
über unzuverlässige Unternehmen (Entwurf eines Korruptionsregister-Gesetzes
17/11415). In der Anhörung des Ausschusses
für Wirtschaft und Technologie hätten sich die
Sachverständigen für die Einrichtung eines
Registers über unzuverlässige Unternehmen
ausgesprochen. So habe der Deutsche Städteund Gemeindebund, dessen Mitglieder jedes
Jahr Aufträge von 250 bis 300 Milliarden Euro
vergeben, erklärt, vorrangiges Ziel müssten
„saubere und transparente Vergabeverfahren
im Wettbewerb bei der Gleichbehandlung aller
Unternehmen“ sein. Auch der BDI unterstützte
grundsätzlich die Einrichtung eines Registers.
Besser wäre nach Meinung des Verbandes
allerdings die Beibehaltung des Primats der öffentlichen Ausschreibung, die Absenkung der
Schwellenwerte für freihändige Vergaben und
mehr Transparenzpflichten. Nach der Überzeugung des DGB dürften Aufträge nur an
zuverlässige und gesetzestreue Unternehmen
vergeben werden, und dafür sei die Einrichtung eines bundesweiten Korruptionsregisters
ein wichtiger Baustein.
Der Vorsitzende des Bundestagsrechtsausschusses, Siegfried Kauder, wolle strengere
Korruptionsregeln für Abgeordnete noch
vor der Sommerpause auf den Weg bringen,
meldet die FAZ am 8. April. Nach dem erar-
beiteten Gesetzentwurf würden sich Mandatsträger künftig strafbar machen, wenn sie
für die Ausübung ihres Mandats einen Vorteil
annehmen oder einfordern. „Die Grenze zur
Korruption könnte bei 200 Euro verlaufen“,
habe Kauder gesagt.
Bundesgesundheitsminister Bahr sage der
Korruption im Gesundheitswesen den
Kampf an, heißt es bei n-tv.de am 3. April.
Bestechung und Bestechlichkeit von Kassenärzten, Herstellern von Medizintechnik und in
anderen Gesundheitsberufsgruppen sollten
künftig mit einer Geldstrafe oder bis zu drei
Jahren Haft geahndet werden. Der SPD gehe
Bahrs Vorschlag nicht weit genug, die Krankenkassen begrüßten ihn.
In Österreich mache der Fiskus Druck auf
Schmiergeldempfänger, berichtet die FAZ am
5. April. Wer sich bestechen lässt, bekomme
im Steuerjahrbuch 2013 des Finanzministeriums Tipps, wie solche Zahlungen zu
veranlagen sind. Demnach müssten korrupte
Arbeitnehmer für die normale Veranlagung
zusätzlich ein bestimmtes Formular ausfüllen,
um Einkünfte aus nichtselbstständiger Arbeit
ohne Lohnsteuerabzug darzulegen. Darunter
fielen auch bestimmte Provisionen – beispielsweise Schmiergelder – von dritter Seite.
Schmiergeldempfängern drohe zusätzlich
zum regulären Strafverfahren noch ein Finanzstrafverfahren, wenn die Einnahmen nicht
versteuert werden.
Korruption – Korruptionsprävention
In einer Pressemitteilung vom 4. Juli veröffentlicht das BMI eine praktische Hilfestellung
für Antikorruptionsmaßnahmen in Unternehmen. Das BMI informiert insbesondere
über wirksame Compliance-Maßnahmen. Es
wendet sich neben der Führung von Organisationen gleichermaßen auch an diejenigen,
die mit der Entwicklung, Einführung oder
Umsetzung von Compliance-Maßnahmen
befasst sind. Die Hilfestellungen können auf
der Internetseite des BMI abgerufen werden.
Der Behördenspiegel weist in seiner Augustausgabe darauf hin, dass der „Initiativkreis
Korruptionsprävention Bundesverwaltung/Wirtschaft – Gemeinsam gegen
Korruption“ einen Fragen-/Antwortkatalog
zum Thema Annahme von Belohnungen,
Geschenken und sonstigen Vorteilen (Zuwendungen) erarbeitet hat. Er ist auf der Webseite des Initiativkreises abrufbar und behandelt
Zuwendungen, Geschenke, Einladungen/
Bewirtungen, Reisekosten, Delegationsreisen
und Rabatte zur privaten Nutzung. Wer wissen will, was alles in Sachen Korruptionsverhinderung geprüft und getan werden könne,
solle sich dieses Papier zur Hand nehmen. Es
besteche durch seine Vollständigkeit, gehe
letztlich jedoch nur indirekt auf einen entscheidenden Faktor ein: die Motivation der
Beschäftigten, gezielt gegen Korruption anzugehen bzw. sich nicht in korruptives Verhalten
hineinziehen zu lassen.
Zehn Jahre nach Verabschiedung einer
Konvention gegen Korruption durch die
UN habe die deutsche Wirtschaft die künftige
Bundesregierung aufgefordert, das Abkommen ebenfalls zu unterzeichnen, meldet
die FAZ am 10. Dezember. Für deutsche
Unternehmen stelle die fehlende Ratifizierung eine zunehmende Belastung bei ihren
Auslandsaktivitäten dar. Immer wieder würden sie auf die Nichtumsetzung der Konvention angesprochen, insbesondere wenn sie
sich bemühen, mit ausländischen Partnern
Vereinbarungen zur Korruptionsbekämpfung
einzugehen.
KFZ-Diebstahl
Im Jahr 2012 wurden nach dem vom BKA
veröffentlichten Bundeslagebild 37.238
KFZ als gestohlen registriert. Das sind 9 %
weniger als 2011 und 6 % weniger als der
Durchschnitt der letzten fünf Jahre. Als auf
Dauer entwendet wurden 18.554 KFZ
registriert. Das sind 4 % weniger als 2011,
aber 2 % mehr als der Durchschnitt der
letzten fünf Jahre.
Bei rund 75 % der auf Dauer entwendeten PKW handelt es sich um Fahrzeuge
deutscher Hersteller. Am stärksten belastet
waren die Hersteller bestimmter hochwertiger Fahrzeuge. Erneut wurden in Berlin mehr
PKS dauerhaft entwendet als in NordrheinWestfalen, dem Bundesland mit dem höchsten Zulassungsbestand. Die Belastungszahl
(bezogen auf je 100.000 zugelassene PKW
des jeweiligen Herstellers) betrug 2012 im
gesamten Bundesgebiet 45, in Berlin 333, in
Bayern 12. In den östlichen Bundesländern
ist wegen der im Osten Europas gelegenen
Absatzmärkte eine erhöhte Belastung festzustellen.
Die Zahl der im Ausland auf Dauer entwendeten Fahrzeuge mit deutscher Zulassung ist 2012 erneut um 16 % (auf 533)
gesunken. Innerhalb Europas kommt Polen
und Litauen als Transit- und Zielstaaten
entwendeter KFZ und als Herkunftsregion
von Tätern eine besondere Bedeutung zu.
Rund ein Drittel der im Ausland begangenen
Diebstähle von in Deutschland zugelassenen
Fahrzeugen wurde in Polen begangen.
Zurückgegangen ist 2012 auch die Zahl
der auf Dauer entwendeten LKW (um 14 %
auf 1.630). Die illegalen Absatzmärkte
für gestohlene LIW liegen vorwiegend im
Nahen Osten.
Nach Angaben der fünf größten deutschen
Autovermietungsunternehmen wurden im
Jahre 2012 925 Mietfahrzeuge entwendet,
zumeist unterschlagen oder betrügerisch
erlangt, 16 % mehr als 2011. Der Anteil
der Sicherstellungen lag mit 74 % auf dem
Vorjahresniveau.
Die internationale KFZ-Verschiebung wird
von hochqualifizierten, spezialisierten und
arbeitsteilig vorgehenden Tätergruppierungen dominiert, zumeist aus Osteuropa. Die
Überwindung von elektronischen Sicherungseinrichtungen, der Fahrzeugtransport,
die Zerlegung der Fahrzeuge in Einzelteile,
die Fälschung oder Verfälschung von Fahrzeugpapieren und Identifizierungsmerkmalen sowie der Absatz der entwendeten Fahrzeuge erfordern eine umfassende Logistik
und sprechen für die hohe Professionalität
der Täter. Der Transport der gestohlenen
149
150
Fahrzeuge in die Absatzstaaten erfolgt teilweise in Containern. In Südost- und Osteuropa sowie im Nahen und Mittleren Osten
besteht ein anhaltender Bedarf an KFZ und
Fahrzeugteilen. Ein wichtiger Transportweg
für den Absatz im Nahen und Mittleren Osten
sowie in Zentralasien führt durch die Türkei.
Eine grundlegende Änderung der Kriminalitätslage ist künftig nicht zu erwarten, da die
wesentlichen Rahmenbedingungen (Erweiterung des Schengen-Raumes, technische
Möglichkeiten zur Überwindung moderner
Wegfahrsperren, gute Absatzmöglichkeiten)
fortbestehen.
Die FAZ weist am 12. September darauf
hin, dass nach der Jahresstatistik des GDV
die Zahl gestohlener kaskoversicherter KFZ
2012 um 8 % auf 18.063 zurückgegangen
ist. Früher habe es wesentlich mehr Gelegenheitsdiebe gegeben. Inzwischen benötige man für den Diebstahl erhebliches technisches Wissen. Die regionalen Unterschiede
seien beachtlich. Die meisten Autos würden
in Berlin gestohlen: 32 von 10.000, rund
doppelt so viele wie in Hamburg. Der Osten
Deutschlands sei generell stärker betroffen
als der Westen. Das mit Abstand begehrteste Fahrzeug sei der BMW X6 Xdrive (266
gestohlene Autos von 10.000). Da die Fahrzeuge immer wertvoller seien, steige auch
der durchschnittliche Schaden immer weiter.
13.421 Euro zahlten die Versicherungen im
typischen Fall an den Kunden aus. Immer
häufiger würden gestohlene Autos nicht
mehr komplett am Zweitmarkt verkauft,
sondern in Zerlegungshallen auseinander
genommen und in Einzelteilen veräußert.
Wissenschaftler haben eine weit verbreitete Wegfahrsperre gehackt, berichtet die
Wirtschaftswoche am 1. August. Durch eine
von VW beantragte Einstweilige Verfügung
seien sie gezwungen worden, die von ihnen
entdeckte Sicherheitslücke unter Verschluss
zu halten. Organisierte Kriminelle hätten
damit eigene Schlüssel herstellen und Autos
problemlos stehlen können. Die Wissenschaftler hätten die Software der Wegfahrsperre analysiert, die seit 2009 im Internet
öffentlich zugänglich sei. Außerdem hätten
sie die Chips auseinander genommen,
auf denen die Software installiert ist. Das
Verfahren dazu sei aufwändig. Dabei werde
der Chip mit einer Poliermaschine mikrometerweise abgefräst. Jede freigelegte Schicht
werde anschließend durch ein Mikroskop fotografiert. Würden diese Fotos anschließend
wieder zu einem Bild zusammengesetzt,
lasse sich darauf auf die Struktur des Chips
schließen – und auch auf die Struktur der in
ihm enthaltenen Kryptografie. Die Anordnung von Transistoren verrate im Zweifel,
wie diese funktioniert.
Der Schaden, den Autohäuser durch PKWDiebstahl, Teilediebstahl oder Vandalismus
zu tragen haben, sei erheblich, äußert das
Sachverständigenbüro Neuscheler (SecuPedia, Newsletter 8/2013). Hinter der Bezeichnung Argostronic stehe ein von Neuscheler
entwickeltes Sicherheitssystem, bestehend
aus einer Sensoreinheit und einem Empfänger als Managementsystem. Die Sensoreinheit werde in den Zigarettenanzünder eines
Fahrzeugs gesteckt und überwache dann
mit einem Bewegungs-, einem Neigungsund einem Infraschallsensor das Auto auf
Wegnahme, Anheben zum Teilediebstahl
oder Aufbruch der Scheiben. Die kontinuierliche Kommunikation der Sensoren mit der
Empfangseinheit stelle sicher, dass Manipulationen am Fahrzeug sofort auffallen und zu
einer Alarmmeldung führen.
Kriminalstatistik
Im Verlauf des Jahres 2013 hat das Bundeskriminalamt die Polizeiliche Kriminalstatistik
für das Jahr 2012 veröffentlicht. Für die
Unternehmenssicherheit erscheinen folgende
Ergebnisse von besonderer Bedeutung:
-Die Wirtschaft besonders belastende
Kriminalitätsphänomene
-Wirtschaftskriminalität
Die in der PKS erfasste Wirtschaftskriminalität ist eine Teilmenge der gesamten, die
Wirtschaft bzw. einzelne Branchen belastenden Kriminalität. Abgegrenzt wird sie
durch Bezugnahme auf einen in § 74c des
Gerichtsverfassungsgesetzes enthaltenen
Deliktskatalog.
Die so definierte Wirtschaftskriminalität ist
2012 um 2,9 % gegenüber dem Vorjahr
auf 81.793 Fälle angewachsen. Der Anstieg
beruht vor allem auf einem Zuwachs der
betrügerischen Wirtschaftskriminalität (um
14,9 %).
Kriminalstatistik – Bank- und Geschäftsraub
Fallzahl 2012/Veränderungen gegenüber 2011
- auf Tankstellen: 808 / 2,5 %
Raubüberfälle auf Banken und Post: 280 / 13,6 %
- auf Geld- und Kassenboten: 128 / 0,8 %
davon:
- auf Spezialgeldtransporte: 5 ( 2011: 0)
- auf Banken und Sparkassen: 202 / 20,5 %.
- auf Taxifahrer: 205 / 6,2 %
- auf Postfilialen und -agenturen: 78 / 11,4 %
Die deutliche Abnahme der Raubüberfälle auf
Banken und Sparkassen spricht dafür, dass
sich der Einsatz von Sicherheitstechnik weiter
verbessert hat.
-auf sonstige Zahlstellen und Geschäfte
4.748 / 1,7 %
- auf Spielhallen: 1.315 / + 0,9 %
Kriminalstatistik – Diebstahl – Geschäftsdiebstahl
Wie in den Vorjahren dominierten auch 2012
insgesamt die Diebstahlsdelikte die registrierte
Kriminalität – und zwar mit 39,7 %. Diebstahls
delikte haben gegenüber 2011 insgesamt um
1 % abgenommen. 46,2 % der Diebstähle
erfolgten unter erschwerenden Umständen.
Diebstahlsstruktur 2012
Diebstahl von, aus und an KFZ: 16,0 %
Ladendiebstahl: 15,2 %
Fahrraddiebstahl: 13,7 %
Diebstahl in/aus Wohnungen: 8,5 %
sonstige Diebstähle: 46,6 %
Die Anzahl der Diebstähle von KFZ hat 2012
erneut abgenommen (um 9,3 % auf 37.238
Fälle), der Diebstähle aus und an KFZ ebenfalls (um 6,1 % auf 43.460 Fälle). Besorgniserregend ist der Anstieg des Wohnungseinbruchdiebstahls um 8,7 % auf 144.117 Fälle
(nach einem Anstieg im Vorjahr um 9,3 %).
Gravierend ist vor allem der Zuwachs an
Tageswohnungseinbrüchen (um 9,5 % auf
61.200). Und auch die Einbrüche in Bodenund Kellerräume sind nach dem Zuwachs im
Vorjahr von 8,9 % nochmals um 2,3 % auf
85.061 Fälle angestiegen.
151
152
Im Bereich der Geschäftsdiebstähle haben
folgende Deliktsarten 2012 gegenüber 2011
zugenommen: Diebstähle
-von Antiquitäten und Kunstobjekten um
24,0 % auf 2.930
- in/aus Gaststätten und Hotels um 2,0 %
auf 69.121
abgenommen: Diebstähle
- v
on unbaren Zahlungsmitteln um 7,6 %
auf 129.976
-in/aus Büros, Fabriken und Lagern um
1,4 % auf 145.883
- von/aus Automaten um 0,7 % auf 18.707
-in/aus Verkaufsräumen und Schaufenstern
um 5,6 % auf 440.101
darunter: Ladendiebstahl um 6,1 % auf
361.759
- in/aus Baustellen um 3,5 % auf 33.150
Die Fallzahlen der Diebstahlsdelikte beruhen in hohem Maße auf Anzeigen durch die
Geschädigten, sind also von der Schadenswahrnehmung und dem Anzeigeverhalten
abhängig. Insbesondere beim Ladendiebstahl
ist das Dunkelfeld der nicht entdeckten Fälle
besonders hoch.
Kriminalstatistik – Betrug und Untreue im Geschäftsleben
Die Entwicklung der Betrugskriminalität im
Verhältnis zu 2011 zeigt „Licht und Schatten“.
- d
er Leistungsbetrug um 24,6 % auf
37.344 Fälle
Angestiegen ist
- d
er Leistungskreditbetrug um 2,8 % auf
45.328 Fälle
-die Betrugskriminalität insgesamt um
2,5 % auf 958.515 Fälle
- d
er Geldkreditbetrug um 12,6 % auf
7.150 Fälle
darunter: Subventionsbetrug um 46,3 % auf
727 Fälle
- d
ie Beförderungserschleichung um 4,2 %
auf 253.312 Fälle
- der Tankbetrug um 5,5 % auf 89.769 Fälle
-der Betrug mittels rechtswidrig erlangter unba
rer Zahlungsmittel um 4,8 % auf 69.720 Fälle
darunter: mit Debitkarten ohne PIN um
13,8 % auf 15.471 Fälle
...mit Daten von Zahlungskarten um 22,4 %
auf 19.652 Fälle
-der Arbeitsvermittlungsbetrug um
174,8 % auf 654 Fälle
- d
er Provisionsbetrug um 23,3 % auf
3.005 Fälle
- d
er Abrechnungsbetrug um 45,6 % auf
7.347 Fälle
- d
er Kreditvermittlungsbetrug um 308,5 %
auf 2.839 Fälle
Der Anstieg der ermittelten Fälle von Beförderungserschleichung beruht primär auf
einem geänderten Erfassungsverhalten
bei der Bundespolizei. Die hohen Zuwächse
bei Leistungsbetrug, Arbeitsvermittlungs
betrug und Kreditvermittlungsbetrug
erklären sich durch mehrere neue Sammelverfahren.
Zurückgegangen ist
-der Waren- und Warenkreditbetrug um
1,9 % auf 272.117 Fälle
-der Grundstücks- und Baubetrug um
13,4 % auf 376 Fälle
-der Beteiligungs- und Kapitalanlagebetrug
um 24,7 % auf 4.939 Fälle
-der Betrug mit Debitkarten mit PIN um
6,9 % auf 23.210 Fälle
- d
er Betrug mit Kreditkarten um 7,9 % auf
8.182 Fälle
-der Versicherungsbetrug und Versicherungsmissbrauch um 2,5 % auf 4.302 Fälle
-der Computerbetrug (§ 263a StGB) um
7,1 % auf 24.817 Fälle
- d
er Sozialversicherungsbetrug um 19,3 %
auf 3.472 Fälle
- s onstiger Sozialleistungsbetrug um 11,0 %
auf 16.338 Fälle
-der Betrug mit Zugangsberechtigungen zu
Kommunikationsdiensten um 37,6 % auf
2.952 Fälle
- d
er Einmietbetrug um 3,7 % auf 9.998
Fälle
- d
er Kontoeröffnungs- und Überweisungsbetrug um 5,3 % auf 19.519 Fälle
- d
ie Untreue (§ 266 StGB) um 20,8 % auf
8.471 Fälle
-das Vorenthalten von Arbeitsentgelt um
7,6 % auf 14.712 Fälle
-der Missbrauch von Scheck- und Kreditkarten um 7,2 % auf 2.460 Fälle.
Ganz besonders abhängig vom Anzeige- und
Kontrollverhalten ist die Zahl der registrierten
Fälle von Beförderungserschleichung.
Kriminalstatistik – Computer- und Internetkriminalität
Die Computerkriminalität ist 2012 gegenüber dem Vorjahr um 3,4 % auf 87.871 Fälle
angewachsen. Der Anstieg ist zurückzuführen auf
Die IuK-Kriminalität im engeren Sinne, bei
der die Informations- und Kommunikationstechnik Tatbestandsmerkmal ist, ist 2012
um 7,5 % auf 63.959 Fälle angestiegen.
-den Anstieg an Fällen des Ausspähens
und Abfangens von Daten um 6,8 %
auf 16.794
Unter Missbrauch des Internets wurden
2012 insgesamt 229.408 ermittelte Straftaten begangen. Das waren 3,2 % mehr als
2011. Dabei handelte es sich prozentual um
folgende Deliktsarten:
-den Anstieg der Fälschungen beweiserheblicher Daten und der Täuschungen im
Rechtsverkehr bei der Datenverarbeitung
um 11,3 % auf 8.539
-vor allem aber auf die Zunahme der
Fälle von Datenveränderung und
Computersabotage um 133,8 % auf
10.857 (nach einem Anstieg um 84 %
im Vorjahr).
- Warenbetrug: 23,6 %
- Warenkreditbetrug: 16,3 %
- Computerbetrug: 8,2 %..
- Leistungskreditbetrug: 3,0 %
- Leistungsbetrug: 2,4 %
153
154
- Verbreitung von Pornographie: 2,2 %
- sonstige Straftaten: 42,8 %
- Urheberrechtsdelikte: 1,5 %
Kriminalstatistik – Wettbewerbs- und Korruptionskriminalität
Dieser Kriminalitätsbereich ist gegenüber
2011 um 8,5 % angewachsen (auf 5.684
Fälle). Fälle der Vorteilsannahme und Bestechlichkeit nahmen um 2,7 % auf 655 zu,
Fälle von Vorteilsgewährung und Bestechung
um 29,9 % auf 613 Fälle. Das Dunkelfeld
wird auf ein Vielfaches der erfassten Fälle
geschätzt. Bestechung und Bestechlichkeit
im geschäftlichen Verkehr sind allerdings um
41,6 % auf 519 Fälle gesunken. In 115 Fällen
wurden wettbewerbsbeschränkende Absprachen bei Ausschreibungen festgestellt.
Das ist eine erhebliche Zunahme um 117 %
gegenüber dem Vorjahr.
Kriminalstatistik – Fälschungsdelikte
Die Zahl der erfassten Urkundenfälschungen
ist 2012 um 3,5 % auf 65.717 gesunken.
Dagegen nahm die Anzahl der Fälschung
technischer Aufzeichnungen um 1,5 % auf
1.301 Fälle zu, darunter die Manipulation
von Fahrtenschreibern um 49,6 % auf 347.
Erheblich zugenommen hat die Zahl der
ermittelten Fälschungen beweiserheblicher
Daten einschließlich der Täuschung im
Rechtsverkehr bei der Datenverarbeitung (um
11,3 % auf 8.539 Fälle).
Stark abgenommen hat die Anzahl der
ermittelten Geld- und Wertzeichenfälschungen, Fälschungen von Zahlungskarten,
Schecks und Wechseln um 22,9 % auf
5.476, nachdem schon 2011 eine Abnahme
um 29,5 % zu verzeichnen war. Zugenommen hat dagegen die Zahl des Inverkehrbringens von Falschgeld um 6 % auf 964
Fälle (nach einer Abnahme von 27,9 % im
Vorjahr).
Kriminalstatistik – Insolvenzkriminalität
2012 wurden 11.518 Insolvenzstraftaten
ermittelt, 7,1 % weniger als 2011. Darunter
waren
-994 Fälle der Verletzung der Buchführungspflicht (-10,9 %)
- 3.586 Bankrottfälle (-3,9 %)
-141 Fälle der Gläubigerbegünstigung
(-23,8 %)
- 14 Fälle des besonders schweren Bankrotts
- 50 Fälle der Schuldnerbegünstigung (-10,7 %)
Kriminalstatistik – Geldwäsche
7.673 Fälle der Geldwäsche wurden 2012
ermittelt. Das ist gegenüber dem Vorjahr eine
Abnahme von 10,5 %.
Kriminalstatistik – Gefährliche Eingriffe in den Verkehr
Gefährliche Eingriffe in den Bahn-, Schiffsund Luftverkehr sind 2012 um 6,6 % auf
3.768 zurückgegangen, dagegen gefährliche
Eingriffe in den Straßenverkehr um 0,6 % auf
18.471 angestiegen.
Zurückgegangen ist die Zahl der festgestellten strafbaren Störungen von Telekommunikationsanlagen (um 16,8 % auf 801 Fälle).
Sachbeschädigungen durch Graffiti sind
2012 um 10,5 % weniger ermittelt worden als 2011 (44.994 Fälle, nach einem
Rückgang schon 2011 um 13,2 %), ebenso
gemeinschädliche Sachbeschädigungen
durch Graffiti (um 26,7 % auf 2.689 Fälle,
nach einem Rückgang 2011 um 17,3 %).
Diese Fallzahlen werden erheblich durch das
unterschiedliche Anzeige- und Kontrollverhalten beeinflusst.
Zugenommen hat die Anzahl erfasster Zerstörungen wichtiger Arbeitsmittel (um 5,1 %
auf 470).
Kriminalstatistik – Umweltkriminalität im Wirtschaftsbereich
Unter den 2012 ermittelten 31.871 Straftaten gegen die Umwelt (ein Rückgang gegenüber dem Vorjahr um 3,4 %) befanden sich
-1.038 Fälle der Bodenverunreinigung
(+3,9 %)
- 2
.587 Fälle der Gewässerverunreinigung
(-11,2 %)
- 165 Fälle der Luftverunreinigung (-35,5 %)
-7.966 Fälle des unerlaubten Umgangs mit
gefährlichen Abfällen (-4,8 %)
-494 Fälle des unerlaubten Betreibens von
Anlagen (+5,3 %)
-108 Fälle des unerlaubten Umgangs mit
radioaktiven Stoffen und anderen gefährlichen Gütern (-4,4 %)
-30 Fälle der Gefährdung schutzbedürftiger
Gebiete (-16,7 %)
-223 Fälle der strafbaren Abfallein-/-ausund -durchfuhr (+90,6 %)
- 1
15 Fälle der schweren Gefährdung durch
Freisetzen von Giften (+144,7 %)
-279 Straftaten nach dem Chemikaliengesetz (-8 %)
Kriminalstatistik – Verletzung strafrechtlicher Nebengesetze
im Wirtschaftsbereich
2012 wurden insgesamt 23.976 Straftaten
gegen strafrechtliche Nebengesetze auf dem
Wirtschaftssektor registriert (3,6 % weniger
als 2011), darunter
- 7
.125 Straftaten nach AktG, GenG,
GmbHG, HGB, RechnungslegungsG, UmwandlungsG, InsO (-8,5 %)
-147 Delikte im Zusammenhang mit dem
SchwarzarbeitbekämpfungsG und ArbeitnehmerüberlassungsG (+13,1 %)
-196 Straftaten in Verbindung mit dem
Bankgewerbe sowie Wertpapierhandelsgesetz (-8 %)
155
156
-7.417 Straftaten im Zusammenhang mit
Urheberrechtsbestimmungen (+5,6 %)
darunter: 525 Fälle des Verrats von Betriebsund Geschäftsgeheimnissen (+5 %)
-6.880 Straftaten im Zusammenhang mit
Lebens- und Arzneimitteln (-7,3 %)
-262 Straftaten nach der Gewerbeordnung
(+18 %)
-178 Straftaten nach dem Telekommunikationsgesetz (-19,5 %)
-122 Straftaten nach dem Luftsicherheitsgesetz (-30,3 %).
Manfred Buhl, Vizepräsident BDSW, zieht in
der Fachzeitschrift Security insight (Ausgabe
6-2012, S. 44–47) Konsequenzen aus der
Polizeilichen Kriminalstatistik (2011) für
die Sicherheitswirtschaft. Die tendenzielle
Ab- oder Zunahme gemessener Kriminalität
sei eine valide Messgröße. Ein Anstieg führe
zu erhöhtem Gefahrenbewusstsein und damit
zu erhöhter Nachfrage nach Sicherheit. Aus
der PKS 2011 ergebe sich vor allem folgende
Konsequenz:
-Der Anstieg der Wohnungseinbrüche
dürfte zu erhöhter Nachfrage nach Präventionsberatung, nach mechanischer und
elektronischer Sicherheitstechnik führen.
-Der Anstieg der Diebstahlsfälle in Warenhäusern spreche dafür, dass der Einzelhandel den Umfang seiner Nachfrage nach
Sicherheitstechnik und -dienstleistung
steigern wird.
-Die kräftige Zunahme von Baustellendiebstählen werde zu einer erhöhten Nachfrage nach Objektschutz führen.
-Der hohe Anstieg des Tankbetrugs,
verbunden mit einer Schätzung der
Dunkelziffer von mindestens 80 %, werde
den Bedarf an Videoüberwachung weiter
erhöhen.
Krisenmanagement
Der Sicherheitsberater ist in seiner Nummer
23-2012 auf Krisenmanagement fokussiert
(S. 363–375). Er behandelt vor allem Krisenursachen (Ereignisse, die einen bestimmten
Schwellwert überschreiten; Ereignisse, für
die kein Notfallplan existiert oder dieser nicht
mehr ausreicht), Argumente für Krisenmanagement, Vorbereitung auf Krisen, Alarmierungssysteme, insbesondere Anforderungen
für Alarmierungsserver, und Krisenkommunikation (mit elf spezifischen Maßnahmen zur
Optimierung der Kommunikation).
Mit dem Krisenmanagement befasst sich die
FAZ am 11. Mai. Nach Auskunft des Kieler
Dienstleisters „Krisennavigator“ Roselieb
sei die Zahl der dort registrierten Krisen in
Unternehmen seit Jahren relativ konstant:
„Zwischen 250 und 280 im deutschsprachigen Raum“, davon etwa 50 größere Fälle.
„Die Lebensdauer von Krisen verkürzt sich“.
Sie betrage heute nur noch 9 bis 10 Tage. Die
Bedeutung der „Social Media“ werde überschätzt. Sie könnten eine Krise zwar flankieren,
als Auslöser dienten aber nach wie vor die
klassischen Medien. In vielen Fällen fehle es an
einem geeigneten Frühwarnsystem.
Die diesjährige Krisenmanagement-Übung
von Bund und Ländern (Lükex) soll nach einer
Meldung von heise online vom 19. November prüfen, wie gut ihre Krisenstäbe auf eine
„außergewöhnliche biologische Bedrohungslage“ vorbereitet sind. In einem solchen Katastrophenfall müssten die unterschiedlichsten
Management-Strukturen reibungslos zusammenarbeiten. Nach Ansicht von Katastrophenforschern ist Twitter in solchen Situationen als
Frühwarnsystem und für eine präzise Beurteilung der Lage vor Ort unverzichtbar.
Tina Glasl, Tina Glasl Kommunikation, empfiehlt in der Ausgabe 12-2013 der Zeitschrift
PROTECTOR (S. 44) folgende Sofortmaßnahmen im Krisenfall: umgehende Sprachregelung; Festlegung der Sprecherrollen;
Überprüfung und gegebenenfalls Stopp
aller möglicherweise parallel zum Krisenfall
startenden Kommunikations- und Marketingaktivitäten; Check, ob Medien oder andere
Zielgruppen bereits über das Thema Bescheid wissen; Beantwortung fallbezogener
Anfragen von Medien, Kunden, Betroffenen;
fallbezogene Arbeitsanweisungen an Mitarbeiter mit Kontakt nach außen.
Krisenstabsarbeit
Klaus Bockslaff und Denis Standhardt, Verismo GmbH, behandeln in der Fachzeitschrift
WiK (Ausgabe 3-2013, S. 22–24) typische
Fehler in der Krisenstabsarbeit. Krisenmanagement richte sich nicht gegen Ereignisse,
sondern gegen die Auswirkungen von Ereignissen. Ziele seien: Marktanteile halten, Leistungen für die Kunden sicherstellen, Einbußen infolge Prozessstörungen oder -ausfällen
mindern, Regressansprüche vermeiden, und
Chancen zur Imagepflege ergreifen. Krisenstabsarbeit könne nur funktionieren, wenn
das Team über einen umfassend definierten
Prozess der Entscheidungsfindung verfügt:
Einen „Führungsrhythmus“, der kreislaufartig
von der Auswertung der Informationen über
die Entwicklung von Handlungsmöglichkeiten
und die Entscheidungsfindung bis hin zur
exakten Formulierung von Aufträgen und der
lückenlosen Dokumentation die zentrale Leistung des Krisenstabes abbildet. Schon am
Beginn des Krisenmanagements fehle häufig
die klare Zuordnung der Aufgaben. Zur vollständigen Bewältigung der Informationsflut
in der Krise solle eine sinnvolle Arbeitsverteilung und frühzeitige Delegation im Team im
Prozess verankert werden.
Krisenregionen
Im ASW-Newsletter vom 8. März wird auf
die aktuelle Political Risk Map 2013 von
Marsh und Maplecroft hingewiesen. Nach ihr
ist die Anzahl der Länder mit eskalierender
politischer Gewalt gegenüber dem Vorjahr
um 36 % gestiegen. In der Risk Map seien
die dynamischen politischen Risiken in
197 Ländern dargestellt. Diese umfassten
Konflikte, Terrorismus, gesamtwirtschaftliche
Stabilität, Rechtssicherheit, das aufsichtsrechtliche Umfeld und die Rahmenbedingungen für Unternehmen, einschließlich Enteignungsrisiken, Ressourcensicherheit und
Verfügbarkeit von Infrastruktur. Wachsende
Enteignungsrisiken bestünden in Ländern
des Nahen Ostens und in Afrika, in denen
der Ruf nach einem Regimewechsel aus der
Bevölkerung lauter werde. Das Risiko eines
zivilen Umsturzes sei derzeit in Guinea-Bissau, Zimbabwe, Syrien, Madagaskar, Südsu-
dan, Pakistan, Jemen, Mali, Bangladesch,
Kenia und Turkmenistan am größten.
Der Sicherheits-Berater gibt in seiner Ausgabe 4-2013 einen Überblick über frei zugängliche Risk Maps verschiedener Anbieter:
„Aon’s Interactive Political Risk Map 2013“
werde von der Aon Holding Deutschland
GmbH angeboten. Aon sei ein internationaler Großkonzern, der das politische Risiko in
163 Ländern und Territorien misst. Die aus
den Daten erstellte Weltkarte dokumentiere
politische Risiken, politische Gewalt und Terrorismus und unterstütze Unternehmen bei
der Bewertung von Devisentransfer-Risiken,
rechtlichen und aufsichtsrechtlichen Risiken,
politischer Einflussnahme, politischer Gewalt, Zahlungsausfällen und Schwierigkeiten
in Beschaffungsketten. Marsh, nach eigenen
Angaben ein weltweit führender Indust-
157
158
rieversicherungsmakler und Risikoberater,
veröffentliche zusammen mit dem Unternehmen Maplecroft eine Weltkarte zu politischen Risiken. Maplecroft sei ein britisches
Unternehmen, das auf Datenbeschaffung
und Aufbereitung spezialisiert sei. Control
Risks, die globale Unternehmensberatung
für Risikomanagement und strategischer
Partner von International SOS, veröffentliche
Jahr für Jahr ihre „RiskMap“. Sie solle die
zentrale Informationsquelle für Politik und
Unternehmen über die Entwicklung der globalen Risiken im kommenden Jahr sein.
Der Deutsche ReiseVerband (DRV) berichtet
in einer Pressemitteilung über eine Befragung von 222 Geschäftsführungen von Unternehmen ab 300 Mitarbeitern zum Thema
„Geschäftsreisen“. Nur 51 % der befragten
Unternehmen würden ihre Mitarbeiter in Bezug auf Reiserisiken und durch entsprechende Betreuung bei Problemen während der
Reise unterstützen. Arbeitgeber seien aber
zur Fürsorge gegenüber ihren Beschäftigten
verpflichtet. Geschäftsreisebüros unterstützten Unternehmen bei der Einhaltung der
Vorgaben zur Fürsorgepflicht auf Dienstreisen. Die Spezialisten versorgten Mitarbeiter
und Unternehmen während der Reise mit
allen notwendigen Informationen. Dazu
bauten sie eine umfassende Datenbasis auf,
die neben sämtlichen Reisedaten auch die
Analyse potenzieller oder bereits eingetretener Gefahren umfasst. Diese Informationen
würden allen Beteiligten in Echtzeit übermittelt. Darüber hinaus werde dem Reisenden
ein ständig verfügbarer Ansprechpartner zur
Seite gestellt.
Maxim Worcester, German Business Protection GmbH, behandelt in der Ausgabe
2-2013 von Security insight (S. 52/53) die
Sicherheit mit ausreisender Familien von
Expatriates. Wichtig seien in jedem Fall:
Verständnis der Familiensituation vor und
während der Versetzung; Vorbereitungsmaßnahmen auch für Partner und Kinder; re-
gionale Betrachtung von Risikofaktoren, die
die unabhängige Reisetätigkeit von Partnern
und Kindern berücksichtigt; Sicherheitsanalyse des Versetzungsorts aus Familiensicht;
Überprüfung der Notfall- und Evakuierungspläne; Kapazität vor Ort, um kurzfristig auf
Probleme zu reagieren.
PD Dr. Markus Ritter, Bundespolizei, beschreibt in einem Beitrag in Security Insight
(Ausgabe 5-2013, S. 12–17) das minimale
Grundgerüst für die Entsendung von Mitarbeitern in Risiko- und Krisengebiete. Das
Gastland habe auf jeden Fall eine „Garantenstellung“, aus der sich eine Schutzpflicht
gegenüber den ausländischen Unternehmen
im Lande ergibt. Bei der diplomatischen
oder konsularischen Vertretung Deutschlands sollten sich die entsandten Mitarbeiter
registrieren lassen. Der Schutz von UZNB-,
EU- oder NATO-Vertretungen im Gastland
werde nicht automatisch gestellt, sondern
müsse durch ein Technical Agreement oder
ein Memorandum of Understanding vorab
vereinbart werden. Familienangehörige seien
als „weiche Ziele“ oft mehr gefährdet als der
eigentliche Expatriat. In Risiko- und Krisengebieten müsse ein hauptamtlicher Sicherheitsverantwortlicher eingesetzt werden,
der über einschlägige Erfahrungen verfügt.
In Ländern mit Entführungsrisiko sei das
Vorhalten vorbereiteter Proof of Life-Fragen
und -Antworten wichtig. Fahrzeuge sollten
mit GPS, Track 24 und gegebenenfalls auch
mit Funk und einem Jammer ausgestattet
sein. Wenn man sich auf die örtliche Stromversorgung nicht verlassen kann, sollten
Dieselgeneratoren und zur Vermeidung
von Computerabsturz und Datenverlust
unbedingt Uninterruptable Power SupplyEinheiten beschafft werden. Wichtig sei
auch der garantierte Zugang zu Kliniken mit
westlichem Standard oder die Möglichkeit
einer umgehenden medizinischen Evakuierung aus dem Land. Zur Vorbereitung für
den Krisenfall gehöre auch die Bildung eines
Critical Incident Management Team.
Kritische Infrastrukturen
Bernhard Voit, Siemens Building Technologies, befasst sich in Ausgabe 2-2013 von s+s
report (S. 54–59) mit dem wirksamen Schutz
kritischer Infrastrukturen durch Koordination
und Kommunikation aller Systeme. Ein
mehrschichtiger Ansatz, der sich auf eine
breite Palette physischer und elektronischer
Systeme und Funktionen stützt, sei die beste
Präventionsmethode, um Anlagen so gut wie
möglich zu schützen. Komplexe Standorte,
die ein großes Areal mit weiten Perimeterlinien umfassen, müssten kontinuierlich überwacht werden. Es gehe darum, eine Lösung
zu konzipieren, die klar definierte, normale
Arbeitsroutinen unterstützt und gleichzeitig
eine schnelle, wirkungsvolle und allen Anforderungen entsprechende Reaktionsmethode
auf Notfallsituationen sicherstellt. Heutige Sicherheitslösungen für kritische Infrastrukturen
verbänden intelligente Videofunktionen mit
Management- und Leitstellensystemen. Die
neue europäische Leitstellennorm EN 50518
enthalte konkrete Anweisungen, die auf Störfälle mit potenziell kriminellem oder terroristischem Hintergrund reagieren.
Dasselbe Thema behandelt Thomas Pedrett,
Siemens Building Technologies, in der Fachzeitschrift SICHERHEITSFORUM (Ausgabe
5-2013, S. 13–17). Es gehe darum, eine
Lösung zu konzipieren, die klar definierte,
normale Arbeitsroutinen unterstützt und
gleichzeitig eine schnelle, wirkungsvolle und
allen Anforderungen entsprechende Reaktionsmethode auf Notfallsituationen sicherstellt. Meldungen und Alarme könnten mit
vordefinierten Aktionen verknüpft werden,
um einen kompletten Arbeitsablauf für das
Entscheidungsmanagement zu bieten. Eine
Langzeitunterbrechung kritischer Infrastrukturen, ganz gleich ob natürlich, unfallbedingt oder vorsätzlich, habe katastrophale
Auswirkungen auf das Leben von Millionen
von Menschen. Kraftwerke, petrochemische
Industrie und Schwerindustrie, Straßen- und
Schienennetze, Flughäfen, Transportsysteme
und Kommunikations- und Computernetzwerke müssten stets umfassend geschützt
sein. Die Bedeutung dieser Infrastrukturen
nehme mit zunehmender Verstädterung
weiter zu. Daher seien innovative Lösungen
gefragt, mit denen selbst die komplexesten
Standorte stets umfassend geschützt sind.
In der Fachzeitschrift <kes> (Juliausgabe,
S. 32–37) berichten Nora Lieberknecht und
Timo Hauschild, BSI, über eine neue Organisationsstruktur, die den Umsetzungsplan
(UP) KRITIS für weitere Teilnehmer öffnet.
Danach können alle Betreiber kritischer
Infrastrukturen mit Sitz in Deutschland, die
zugehörigen Fach- und Branchenverbände
aus den KRITIS-Sektoren sowie die zuständigen Aufsichtsbehörden Teilnehmer des
UP KRITIS werden. Die bisherigen Unterarbeitsgruppen werden unter dem neuen
Titel Themenarbeitskreis (TAK) fortgeführt.
Themenarbeitskreise gibt es z. B. für die
Vorbereitung von Übungen, für die Ausgestaltung der Krisenreaktionsstrukturen und
zur Begleitung von umfassenden Analysen.
Als neue Komponente kommen Branchenarbeitskreise (BAK) hinzu. Vervollständigt wird
die Organisationsstruktur durch einen Stab,
der die Arbeiten koordiniert und strategische
Ziele vorbereitet, sowie durch den hochrangig zu besetzenden Rat als Impulsgeber und
strategischen Richtungsweiser.
Logistiksicherheit
Der ASW-Newsletter vom 1. Februar weist
auf eine Studie des World Economic Forum
„Resilience in Supply Chains 2013“ hin,
die Unternehmen und Behörden bei der
Prävention gegenüber Unterbrechungen
der Lieferkette unterstützen soll. Nach der
Untersuchung von Accenture seien mehr
als 80 % der Unternehmen besorgt um die
159
160
Widerstandsfähigkeit der Lieferkette. Drei
zwingende Forderungen würden sich aus der
2012 durchgeführten Analyse
aufgrund von Experten-Workshops und
Datenerhebungen ergeben:
-die Notwendigkeit eines gemeinsamen
„Risiko-Vokabulars“
-überprüfter Daten- und Informationsaustausch zwischen den Akteuren in der
Lieferkette
-die Entwicklung größerer Flexibilität in den
Sicherheitsstrategien für die Lieferkette.
pa, bis zu 50. Im Luftfrachtverkehr müssten
sämtliche Spediteure, Transporteure und
produzierende Unternehmen entweder vom
Luftfahrtbundesamt zertifiziert sein, oder die
Fracht müsse einzeln kontrolliert werden. Es
gebe aber bundesweit nur etwa 80 zugelassene Scanner, zu wenige, um die gesamte
anfallende Fracht scannen zu können, und es
gebe auch zu wenig ausgebildetes Personal,
das diese komplexen Geräte bedienen kann.
Die Absicherung der Lieferketten sollte
für Unternehmen kein Selbstzweck sein,
sondern ganzheitlichen unternehmerischen
Strategien folgen.
- Organisationen zur Entwicklung anpassungsfähiger Strategien zur Verbesserung der
Widerstandsfähigkeit der Lieferkette gegen
Unterbrechungen anzuregen und
In der Fachzeitschrift Homeland Security
(Ausgabe 1-2013, S. 39–49) behandelt
Marcus Hellmann, Beauftragter für Sicherheit,
Strahlenschutz, Datenschutz und Risikomanagement, für Europa und Deutschland
wichtige Standards für die Sicherheit in der
Lieferkette. Die verschiedenen globalen und
regionalen Sicherheitsinitiativen zum Beispiel
seitens der Zollbehörden, in der Luftfracht,
allgemein in der Logistik und in der maritimen
Welt belegten den eindeutigen Trend hin zu
mehr Sicherheit in der Lieferkette. Generell
könne dieses Ziel nur erreicht werden, wenn
es international möglichst viele Anerkennungen für alle Verkehrsträger geben wird. Der
Autor geht auf folgende Standards näher ein:
-die Nutzung von Datenplattformen auf die
Identifizierung von Risiken und Reaktionen
auf diese Risiken auszudehnen.
WCO SAFE-Framework of Standards (ein
freiwilliger Sicherheitsstandard der Weltzollorganisation)
Die Fachzeitschrift W&S untersucht in ihrer
Ausgabe 1-2013 (S. 28–30) die Problematik einer angestrebten unterbrechungsfreien Lieferkette. Damit ein Unternehmen
eine sichere Lieferkette implementieren kann,
müsse es sich über verschiedene Faktoren
Gedanken machen: die Notwendigkeit einer
solchen Sicherung, ihre Realisierbarkeit
und die Kosten. Je länger die Lieferkette,
desto mehr mögliche „Bruchstellen“ gebe
es. Transatlantische weisen in der Regel 14
potenzielle solche Stellen auf, andere, noch
längere Ketten, etwa von China nach Euro-
Authorised Economic Operator (AEO), basierend auf der VO (EG) Nr. 648/2005 sowie der
DVO (ZK DVO) VO (EG) Nr. 1875/2006 mit
dem Ziel, die Sicherheit in der internationalen
Lieferkette zu gewährleisten
Die Studie empfiehlt
-einen übergreifenden Risiko-Bewertungsprozess einzuführen
-internationale Standardisierungsgremien
für die Entwicklung, Harmonisierung und
Verabschiedung von entsprechenden
Sicherheitsstandards zu mobilisieren
Customs Trade Partnership against Terrorism
(C-TPAT), ein freiwilliges Partnerschaftsprogramm zwischen dem US-Zoll und der
Wirtschaft
der bekannte Versender (bV), der auf der VO
(EG) Nr. 300/2008 sowie der DVO (EU) Nr.
185/2010 und mehreren Ergänzungsverordnungen beruht
AEL S/F-Zertifikat für „Nur-Fracht-Flugzeuge“
Transported Asset Protection Association
(TAPA), ein Zusammenschluss von internationalen Herstellern, Logistikdienstleistern,
Frachtunternehmen, Strafverfolgungsbehörden und anderen Beteiligten
ISO 28000 und 28001 als Standard zur
Sicherheit in der Lieferkette
ISO 22301:2012 als neuer Versuch, die
Komplexität des Risikomanagements in Verbindung mit dem Kontinuitätsmanagement
und der Unternehmenssicherheit auf Basis
einer ISO-Norm abzubilden.
Wie der Sicherheits-Berater in seiner Ausgabe 8-2013 berichtet, musste dass OLG
Jena einen Schadenfall bewerten, bei dem es
zum Diebstahl von 25 Tonnen Kupferdraht
im Wert von ca. 141.000 Euro gekommen
war. Die von dem bestellenden Unternehmen beauftragte Spedition zur Abholung der
Fracht in Frankreich bediente sich eines Subunternehmers, dessen LKW-Fahrer nach der
Beladung zur Einhaltung der erforderlichen
Ruhezeit seinen LKW auf einen nicht bewachten Parkplatz an einer öffentlichen Straße im Stadtgebiet abstellte. Der Fahrer legte
sich im Fahrzeug schlafen, wurde nachts
von den Tätern aus dem Fahrzeug gezerrt
und zusammengeschlagen. Der LKW nebst
Ladung wurde entwendet. Der Transportversicherer bezahlte den entstandenen Schaden,
wollte aber Regress beim Spediteur nehmen
und machte ein qualifiziertes Verschulden
im Sinne von Art. 29 CMR (Internationale
Vereinbarung über Beförderungsverträge auf
Straßen) des LKW-Fahrers geltend. Dieses
Verschulden setzt das Vorliegen besonderer Diebstahls-/Raubgefährdung und deren
Erkennbarkeit durch den Frachtführer voraus.
Nach der Rechtsprechung des BGH hängt der
Umfang der notwendigen Sicherheitsvorkehrungen von den Umständen des Einzelfalls
ab, insbesondere von der Verwertbarkeit und
dem Wert des transportierten Gutes ab. Das
OLG verneinte ein qualifiziertes Verschulden,
weil der Fahrer wegen der Gewichtigkeit der
Ladung und der Anzahl von Angreifern nicht
in der Lage gewesen wäre, den Raubüberfall
zu verhindern. Trotz der Weisung, beladene
Fahrzeuge nicht unbeaufsichtigt zu lassen
und nur auf abgeschlossenem Gelände
abzustellen, sei ein solches Verschulden nicht
gegeben, da der Fahrer auch nachts anwesend geblieben sei. Nur bei besonders diebstahlsgefährdeten Produkten und konkreten
Vorgaben in Bezug auf Gefährdungssituationen und zu ergreifende Schutzmaßnahmen
hätten sich Spediteur und Frachtführer ein
qualifiziertes Verschulden vorwerfen lassen
müssen. Eine solche Konkretisierung habe
nicht durch AGBs erfolgen können.
Mit der Sicherheit in der Lieferkette befasst
sich Marcus Hellmann, AOB und EUWISA,
in der Ausgabe 5-2013 der Zeitschrift GIT
(S. 53–54). Er konzentriert sich auf Anforderungen an die physische Sicherheit beim
„Authorized Economic Operator (AEO)“, bei der
„Customs Trade Partnership against Terrorism
(C-PAT“bekannten Versender (bV)“ und.bei
der „Transported Asset Protection Association
(TAPA)“.Planungen sollten nicht auf Basis der
aktuellen Anforderungen, sondern im Hinblick
auf eine 5- bis 7-Jahresperspektive erfolgen.
Protector beschreibt in der Ausgabe 102013 (S. 36/37) den Brandschutz im größten
Distributionszentrum Norddeutschlands.
Beim Schutzkonzept der Hochregallager habe sich Minimax an dem Regelwerk
VdS CEA 4001 orientiert, das neben einer
klassischen Deckensprinklerung auch eine
Sprinklerung in den Regalen vorschreibt. In
diesem Projekt seien die insgesamt 238.000
Palettenstellplätze in 15 Sprinklerebenen
unterteilt und mit über 110.000 Sprinklern
geschützt worden. Dagegen seien im Bereich
des Blocklagers nach den FM-Richtlinien
sogenannte SFR-Sprinkler (SFR = Early Suppression – Fast Response) eingesetzt worden.
Sie würden, an der Decke montiert, dem
161
162
Betreiber eine flexible Lagerung ermöglichen.
Sensible Bereiche (Serverraum, elektrische
Schalt- und Betriebsräume) seien mit Oxeo
Inertgas-Löschanlagen versehen worden.
Acht Brandmeldezentralen vom Typ FMZ
5000 seien mit den 255 Meldepunkten durch
vier Kilometer Kabel verbunden worden.
Protector beschreibt in der Ausgabe 102013 (S. 38/39) das Gefahrenmanagement
beim Versender Netrada. Am Standort
Lehrte komme das Siemens-Gefahrenmanagementsystem (GMS) SiNVR-Command
mit dem netzwerkbasierten Videosystem
SiNVR zum Einsatz. Die GMS-Software führe
verschiedene Subsysteme für Sicherheit und
Gebäudebetrieb auf einer einheitlichen Plattform zusammen (Brand- und EMA, Videosystem, Sprinklerzentrale, automatische Evakuierungsanlage sowie den „BOS-Gebäudefunk“.
Daten aus den Inhouse-Logistiksystemen
seien über TCP/IP direkt im System verfügbar. Ein wichtiges Element der Gesamtlösung
sei eine Client/Server-basierte Software zur
Verarbeitung von digitalen Videobildern.
Sie erlaube eine vielseitige Darstellung von
Videobildern und unterstütze Recherchemöglichkeiten. In einem weiteren Beitrag
(S. 42/43) beschreibt Protector die Eignung von Videosicherheitssystemen zur
Prozessdokumentation und -optimierung
für Unternehmen innerhalb jeder Lieferkette.
Die Dokumentation des Haftungsübergangs
werde zur Wahrung von Rechtsansprüchen
gegenüber Dritten durch die Verknüpfung
von Prozessdaten und Videosystem erheblich
vereinfacht. Idealerweise würden Kameras
entlang der gesamten Prozesskette platziert, meist ab der Anlieferung. Während der
Videoaufzeichnung verknüpfe das System
die Videodaten erstmalig automatisch und in
Echtzeit mit den Barcode- oder RFID-Daten.
Werden kleine Artikel von Hand ausund
eingepackt oder sortiert, sei die Dokumentation mit Überkopfkameras hilfreich. Hier seien
hochauflösende IP-Kameras zweckmäßig, da
sie auch Details über den Zustand der bearbeiteten Artikel liefern. Gleichzeitig werde mit
Übersichtskameras die Umgebung erfasst.
Eine leistungsstarke Datenbank garantiere den
schnellen Zugriff auf die relevanten Videoaufzeichnungen anhand der Prozessdaten oder
von Datum und Uhrzeit als Suchkriterium.
Die Güterverkehrs- und Logistiksicherheit
als Aufgabe für die Sicherheitswirtschaft
beschreibt Manfred Buhl, Securitas. In
einem ersten Teil (S. 50/51) geht er auf die
vom Bundesministerium für Verkehr, Bau
und Standentwicklung entwickelte Sicherheitsstrategie für die Güterverkehrs- und
Logistikwirtschaft ein. Dann benennt er die
relevanten technischen und organisatorischen Standards, einschließlich der Norm des
Authorised Economic Operator (AEO), die auf
EU-Verordnungen beruht und die Sicherheit
in der internationalen Lieferkette zum Ziel
hat. Schließlich behandelt er das noch weithin
ungelöste Problem des Mangels an sicheren
LKW-Stellplätzen an Autobahnen und die
maritime Sicherheit als Grundvoraussetzung
für funktionsfähige internationale Transportketten. Im zweiten Teil seines Beitrages (Ausgabe 11-2013 der Zeitschrift Protector) über
die Zusammenarbeit von Staat und Wirtschaft zum Schutz der Logistikwirtschaft geht
Manfred Buhl der Frage nach, ob und wie
die Sicherheitswirtschaft wesentlich zur
Logistiksicherheit beitragen kann (S. 62/63).
Sicherheitsunternehmen entwickelten die
Sicherheitstechnik, die speziell zum Schutz
der Lieferketten und des Güterverkehrs
erforderlich ist. Videoüberwachungstechnik einschließlich intelligenter Bildanalyse,
mechanische und elektronische Zutrittskontrolltechnik und sicheres Identity- und AccessManagement seien hier zu nennen. Der RFIDTechnologie komme besonderes Gewicht
zu. Sicherheitsdienstleister könnten diese
Technik bedienen und kritische Transporte
begleiten. Sie könnten auch die technischen
Anlagen gesicherter LKW-Parkplätze an
Autobahnen kontrollieren und Interventionen
durchführen. Und sie berieten regelmäßig
Hafenunternehmen hinsichtlich der spezifischen Sicherheitsanforderungen, erarbeiteten
Risikoanalysen und Sicherheitskonzepte und
übernähmen Sicherheitsaufgaben in den Ha-
fenanlagen. Wichtig sei, dass baldmöglichst
die von der IMK geforderte Zertifizierung als
Voraussetzung für die Übernahme des Schutzes solcher kritischer Infrastrukturen geregelt
und gesetzlich verankert wird.
Transportüberwachung gegen Frachtdiebstahl ist ein Thema in der Ausgabe 11-2013
von Protector (S. 20–22). Einer Statistik der
Zentralen Geschäftsstelle der Polizeilichen
Kriminalprävention der Länder und des Bundes zufolge wurde jeder sechste Fernfahrer
in den vergangenen fünf Jahren Opfer eines
LKW- und Ladediebstahls. Die Versicherungsprämien würden sich nach den Sicherheitsvorkehrungen richten, die das Frachtunternehmen getroffen hat. Neben der Art des
transportierten Gutes und der Zielorte würden Maßnahmen an den Fahrzeugen ebenso
einfließen wie die Kommunikation zwischen
Fahrer und Zentrale sowie die Sicherheitsvorschriften für die Fahrer während des Transports. Die Diebe seien nicht nur raffinierter,
sondern auch brutaler geworden. So werde
beispielsweise auf ungesicherten Parkplätzen
Gas über die Klimaanlage in die Führerkabine
eingeleitet und so der schlafende Trucker
betäubt. In Italien und Osteuropa würden
die Fahrer häufig mit Waffengewalt beraubt.
Ein großer Teil der Verbrechen (ca. 70 %)
beruhe auf Insiderwissen. Unternehmen täten
gut daran, auch ihre langjährigen Mitarbeiter
gelegentlich zu kontrollieren. Die Lieferkette
müsse durch Aufrüstung des Umfeldes der
Frachthöfe, der Lagerhallen, Verteilzentren
und Umschlageinrichtungen gegen Einbruch
und durch die genaueste Warenverfolgung
mittels „Tracking and Tracing“ gestärkt werden. Wegfahrsperren, zusätzliche Verschlusseinrichtungen für Führerhaus und Aufbauten,
abschließbare Deichsel-/Kupplungssicherungen und zusätzliche Lenk-/Schalthebelsperren könnten Diebstähle erschweren.
Parkplätze sollten mit hohen Zäunen gesichert und gut beleuchtet sein, Dome- und
Wärmebildkameras sollten die Zäune und das
Geschehen überwachen und aufzeichnen.
Die Ein- und Ausfahrten seien mit Sicherheitspersonal zu besetzen und mit Schranken
und Kennzeichenerkennungssystemen zu
versehen. Tapa, ein Zusammenschluss von
mehr als sechshundert Warenherstellern,
Versicherern und Strafverfolgungsbehörden
hätten exakte Vergaberichtlinien entwickelt,
die genau festlegen, in welchen Bereichen
das Frachtunternehmen welche Sicherheitsvorgaben zu erfüllen hat.
Über einen Vortrag von Prof. Dr. Thorsten
Blecker, TU Hamburg, im ASW-Arbeitskreis
Logistiksicherheit berichtet die WiK in der
Ausgabe 6-2013 (S. 34/35): In Europa
würden jedes Jahr Waren im Wert von 10 bis
15 Milliarden Euro gestohlen. Dabei ereigneten sich 75 % der Überfälle auf LKW bei
einem stehenden Fahrzeug, vorwiegend bei
Nacht. Empfohlen werde daher, dass bei der
Touren- und Routenplanung auf die Auswahl
von sicheren Parkplätzen geachtet wird.
Als Geschäftsmodell lohne das Angebot
von Sicherheitsparkplätzen dennoch nicht –
Spediteuren sei die Nutzung zu teuer. Teuer
seien auch die Maßnahmen zur maritimen
Sicherheit. Von den geschätzten Gesamtkosten, die 2010 durch Piraterie entstanden
sind (7 bis 12 Milliarden $) seien nur 1,5 %
bis 3 % auf die direkten Kosten entfallen, die
im Zuge der Angriffe entstanden. Schäden,
die Angriffe auf Infrastrukturen wie etwa den
Suezkanal verursachen, den etwa 7,5 % des
weltweiten Frachtverkehrs passieren, könnten
größer sein als bei Angriffen auf Schiffe. Wie
schwierig es sei, die Luftverkehrssicherheit
zu erhöhen, sei daran zu ersehen, dass schon
Sprengstoff in der Menge einer Tafel Schokolade ein Flugzeug zum Absturz bringen
könne. Der Anteil der Sicherheitskosten an
den Flughafenbetriebskosten, der vor dem
11. September 2001 etwa 5 bis 8 % betragen
habe, sei auf rund 29 % gestiegen. Sicherheitsprozesse sollten von Beginn an bei der
Prozessentwicklung berücksichtigt werden –
also vom Versender bis zur Bodenabfertigung.
Das Management in den Unternehmen hätte
dafür allerdings noch nicht den erforderlichen
Reifegrad erreicht. Die Logistikprozesse und
die Sicherheitsprozesse würden bisher noch
parallel und nicht integriert verlaufen.
163
164
Luftsicherheit
Die FAZ meldet am 31. Dezember, dass im
Jahre 2012 in den USA bei Fluggastkontrollen mehr als 1.500 Schusswaffen sichergestellt worden seien. Das sei gegenüber 2011
eine Steigerung von mehr als 15 %. Die
meisten Waffen seien geladen gewesen. Viele
Reisende hätten schlicht vergessen, dass sie
die Waffen im Fluggepäck mit sich trugen.
Die Fachzeitschrift WiK weist in ihrer Ausgabe 1-2013 (S. 14/15) darauf hin, dass
Unternehmen, die nach dem 25. März ihren
Status als „bekannter Versender“ (bV) vorliegen, mit Wartezeiten, erhöhten Kosten und
anderen Nachteilen beim Luftfrachtversand
rechnen müssten. Von den schätzungsweise
20.000 bis 65.000 bisher anerkannten bV
haben nach Auskunft des Luftfahrt-Bundesamtes (LBA) bis 31. Januar nur 1.014 eine
behördliche Zulassung als bV bekommen.
Weitere 412 Anträge seien auditierfähig.
Doch sei man – auch im LBA – gelassen. Erwartet werde, dass sich Ende März die Menge
der „nicht sicher“ an Flughäfen angelieferten
Luftfracht von derzeit 15 % auf bis zu 40 %
erhöhen wird. Mittel- bis langfristig könnte
sich der Anteil bei 20 bis 25 % einpendeln.
Auch Felix Welz, Interflex Datensysteme
GmbH & Co. KG, befasst sich in der Ausgabe
2-2013 der Zeitschrift mit dem Thema „bekannter Versender“ (S. 48/50). Die Zertifizierung zum „bekannten Versender“ setze
umfassende Sicherheitsmaßnahmen voraus
und stelle auch besondere Anforderungen an
ein präzises und geschütztes Besuchermanagement. Externe Berater oder Leiharbeiter,
die des Öfteren in Firmen tätig sind, müssten
nicht jedes Mal einen neuen Ausweis erhalten
und begleitet werden. Sie sollten nach vorheriger Überprüfung über einen längeren Zeit-
raum Zugang zu eingeschränkten Bereichen
erhalten. Mitarbeiter von Fremdfirmen, die
bekannt sind, sollten einen aktiven Ausweis
bekommen. Das Besuchermanagement ende
nicht mit der möglichst effizienten Ausstellung von Ausweisen. Wichtig sei auch eine
höchstmögliche Sicherheit, dass sich der
Besucher im Unternehmen an die Besuchsregeln hält. Smartphones würden dabei
künftig eine wichtige Rolle spielen. Während
das Luftfahrtbundesamt im Februar 2012
von 40.000 Unternehmen ausgegangen sei,
die ihre Produkte über Luftfrachtversand an
die jeweiligen Empfänger bringen, seien bis
heute von diesen Unternehmen nur ca. 2.900
als bekannte Versender zertifiziert, stellt
Philip Buse, Geschäftsführer des VSWN, fest.
Da viele Produkte der Luftfracht nicht oder
nur sicher gemacht werden könnten, komme
es beim Versand zu hohen Zeitverlusten.
Das Luftfahrtbundesamt habe 267 Stellen
besetzt, die Unternehmen als bekannte
Versender auditieren und zertifizieren sollten.
Am wahrscheinlichsten sei, dass sie nun vor
allem die „reglementierten Beauftragten“
häufiger kontrollieren (WiK, Ausgabe 5-2013,
S. 38/39).
Piloten, Lokführer und Autofahrer werden
einem Bericht in der Zeitung DIE WELT am
4. April zufolge immer öfter mit Laserpointern geblendet. 2012 habe das Luftfahrtbundesamt 342 Fälle von Blendungen mit
Laserpointern vom Boden registriert. Dies sei
ein Höchststand seit Beginn der Registrierung
vor fünf Jahren. 2011 seien 279 Fälle registriert worden. Als Folge der Blendung durch
Laserpointer könnten Besatzungen nicht nur
im Landeanflug irritiert werden, sondern auch
gesundheitliche Schäden davontragen.
Managerhaftung
Nach einem Bericht der WirtschaftsWoche
vom 9. Dezember schätzt Michael Hendricks, Geschäftsführer der auf Organ- und
Managerhaftpflichtversicherungen (D&O)
spezialisierten Beratung, dass vor Gerichten
derzeit rund 6.000 Managerhaftungsverfah-
ren anhängig sind. Bei durchschnittlich zwei
bis drei Beklagten pro Fall bedeute das: Rund
20.000 Manger und Ex-Manager seien derzeit
mit Schadenersatzforderungen konfrontiert.
Vier Fünftel kämen vom Ex-Arbeitgeber.
Immer massiver würden Unternehmen für
Compliance-Verstöße zur Kasse gebeten.
Die von den Managern geforderten Summen würden immer höher. Beim früheren
MAN-Chef Hakan Samuelsen gehe es um
237 Millionen Euro und beim Ex-Chef der
früheren Karstadt-Mutter Arcandor, Thomas
Middelhoff, um 175 Millionen. Einen großen
Schwung von Managerhaftungsfällen habe die
Finanzkrise beschert. Die D&O-Anbieter HDI,
VOV und Axa versicherten wegen des hohen
Risikos keine Finanzdienstleister mehr. Auch
immer mehr mittelständische Unternehmen
verklagten ihre Führungskräfte. Von den 300
bis 400 Millionen Euro, die D&O-Versicherer in
Deutschland pro Jahr derzeit auszahlten, fließe
ein großer Teil an die am Verfahren beteiligten
Dienstleister. Renommierte ComplianceExperten kassierten 600 Euro pro Stunde. Am
Fall Siemens etwa verdiene die Wirtschaftsprüfung Deloitte rund 235 Millionen Euro.
Die FAZ weist am 8. Mai auf eine Entscheidung des BGH (II ZR 90/11) hin, die offenbar
ein Zeichen setzen solle hin zu einer strengeren Anwendung der Regeln zur Vorstandshaftung. Das Urteil ziehe eine klare Linie
zwischen Fehlverhalten, das eine Haftung
begründet, und den haftungsfreien Folgen
unternehmerischer (Fehl-)Entscheidungen.
Das Vorstandshandeln müsse von Gesetz
und Unternehmensgegenstand klar gedeckt
sein. Zweifelsfälle gingen immer zu Lasten
des Vorstands. Komme es zum Schaden,
müsse der Vorstand sich eindeutig und detailliert entlasten. Die Aktiengesellschaft dürfe
aber kein „Cherry Picking“ betreiben: Aus
einer pflichtwidrig getroffenen Vorstandsentscheidung resultierende Vor- und Nachteile
für das Unternehmen seien gegeneinander
aufzurechnen. Die Grundsätze der „AragGarmenbeck“-Entscheidung von 1993 würden aber nicht angerührt. Wer als Vorstand
vernünftigerweise annehmen darf, auf der
Grundlage angemessener Informationen zum
Wohle der Gesellschaft zu handeln, bleibe
von der Haftung frei.
Maritime Sicherheit
Joachim Peters, Fachberater bei Securitas,
behandelt in Security insight (Ausgabe
6-2012, S. 52/53) den Beitrag privater
Sicherheitsdienstleister zur maritimen
Sicherheit. Sie berieten Hafenunternehmen
hinsichtlich der spezifischen Sicherheitsanforderungen, erarbeiteten Risikoanalysen und
Sicherheitskonzepte, erstellten für Hafenunternehmen die erforderlichen Gefahrenabwehrpläne und stellten bei Anforderung auch
den PFSO (Port Facility Security Officer) für
Unternehmen. Die Mitarbeiter der Sicherheitsunternehmen seien hierfür umfänglich
ausgebildet und qualifiziert. Die Inspektionen
der EU-Kommission führten ihre Kontrollen
sehr schematisch und „kleinteilig“ durch.
Die Tendenz zu einheitlichen technischen
Standards zur Absicherung der Hafenanlagen
im Rahmen der Gefahrenabwehr nach dem
ISPS-Code werde von der Hafenwirtschaft
sehr kritisch beurteilt. In der Ausgabe 1-2013
von Security insight (S. 54/55) befasst sich
Peters mit der Pirateriebekämpfung (Teil 3
eines Serienbeitrags). Im Fokus des Beitrags
stehen Maßnahmen aus den „Best Management Practices“, einem Empfehlungskatalog
der IMO und der EU: notwendige Planungen
vor dem Transit, während des Transits, Maßnahmen beim Piratenangriff und im Fall einer
Enterung.
Nach einer Meldung des NDR vom 26. März
richtet die Reederei Aida Cruises in Rostock ein Kontrollzentrum ein. Damit solle die
Sicherheit an Bord der weiter wachsenden
Schiffsflotte erhöht werden. Wie bei großen
Fluggesellschaften berieten Experten künftig
rund um die Uhr die Kapitäne auf den zehn
165
166
Aida-Kreuzfahrtschiffen. Via Satellit würden
alle wichtigen Schiffsdaten live nach Rostock
übertragen und ausgewertet. Mit dem Aufbau
des Kontrollzentrums betrete Aida Cruises
nach der Einschätzung von Schifffahrtsexperten nicht nur technisches, sondern auch juristisches Neuland. Denn nach internationalem
Seerecht habe der Kapitän das letzte Wort.
Die Fachzeitschrift GIT zeigt in ihrer Ausgabe 5-2013 (S. 30/31), wie auf einem Schiff,
das für das Entladen und die Lagerung von
Gas und Öl auf hoher See genutzt wird,
eine spezielle Software (See Tec ProBox
15 – entsprechend der Zahl der eingesetzten
Kamerakanäle) die Prozesse und die Einhaltung der Sicherheitsstandards überwacht.
Sie sei plattformunabhängig und unterstütze
eine Vielzahl verschiedener Kameramodelle
führender Hersteller. Sie beschränke sich
nicht nur auf Grundfunktionen, sondern bilde
ein breites Funktionsspektrum ab.
Nach einer Meldung von SPIEGEL ONLINE
vom 30. Juli haben Forscher der Universität
von Texas gefälschte GPS-Signale ausgesendet und so die GPS-Empfänger einer Yacht
getäuscht. Als sich die Schiffsnavigation an
den Fake-Signalen orientiert habe, hätten die
Angreifer ein geringfügiges Abkommen vom
geplanten Kurs suggeriert. Crewmitglieder
hätten daraufhin mehrfach die Richtung korrigiert – womit sie das Schiff vom ursprünglich
geplanten Kurs abgebracht hätten. Mit dem
Experiment wolle das Forscherteam Aufmerksamkeit auf das Thema GPS-Manipulation
lenken. Spoofing sei eine ernste Bedrohung
für Schiffe und andere Transportformen.
Maschinensicherheit
Mit dem Personenschutz an Abfüll- und
Verschließanlagen befasst sich GIT in seiner
Ausgabe 5-2013 (S. 102–104). Die Anforderungen, die sowohl Maschinenhersteller als
auch Maschinenanwender aus der Verpackungsbranche an ein innovatives Sicherheitssystem stellen, seien Flexibilität, einfache
Umsetzbarkeit des Linien-Not-Halts, Abschaltung maschinenübergreifender Schutzkreise,
Reduzierung der Projektierungszeit sowie
die lückenlose Dokumentation des Sicherheitskonzepts. Für diese Anforderungen
habe ABB den Sicherheitscontroller Pluto
entwickelt. Dargestellt werden besondere
Anforderungen an die Sicherheitssensoren,
der berührungslose Sicherheitssensor, der
Not-Halt-Taster sowie schlanke Sicherheitsund Erweiterungsrelais.
Mehrere Beiträge in der Juni-Ausgabe
der Fachzeitschrift GIT befassen sich mit
Sicherheitseinrichtungen an Maschinen:
Sicherheitszuhaltungen gehörten zu den
gängigsten (Sicherheits-)Schaltgeräten an der
Schutztür bzw. an Gefahrenbereichen. Ihre
Aufgabe sei es, das Öffnen einer Schutztür so
lange zu verhindern, wie das Bedienpersonal
gefährliche Maschinenfunktionen erreichen
könnte. Immer häufiger würden Zuhaltungen
auch aus Prozessgründen verwendet. Seit
neuestem gebe es die Sicherheitszuhaltung
AZM 300, ein Zuhaltesystem in Form eines
Malteserkreuzes, in das der Betätiger eingreift. Die symmetrische Kreuzform schaffe
die Voraussetzung dafür, dass die Zuhaltung
von drei Seiten angefahren werden könne.
Das sorge für universelle Einsetzbarkeit. Eine
weitere praxisgerechte Funktion des AZM
300 sei die Einstellbarkeit der Rastkraft; d.h.
der nicht sicherheitsgerichteten Zuhaltefunktion bei entriegelter Schutztür. Ebenso
innovativ sei die eingesetzte Elektronik. Für
die Identifizierung und Codierung des Betätigers werde ein RFID-Sensor verwendet. Das
schaffe die Voraussetzung dafür, dass der
Anwender zwischen drei Arten der Codierung
währen könne, ohne dass sich die mechanische Konstruktion verändere (S. 90/91). In
einem weiteren Beitrag wird die Norm EN ISO
14119 vorgestellt, die die bisher gültige EN
1088 zur Beurteilung der Sicherheitstechnik
an einer Tür mit Zuhaltung demnächst ablöst.
Der vollständige Weg durch die Norm wird
am Beispiel einer Drehmaschine gezeigt,
deren Hauptgefährdung die drehende Hauptspindel mit dem aufgespannten Werkstück
ist (S. 92/93). Präsentiert wird ferner eine
neue Sicherheitslichtvorhang-Baureihe
von Leuze Electronic. Das modulare Konzept
ermögliche es Anwendern, optimal passende
Ausstattungsmerkmale auszuwählen und
damit hochgradig flexible, wirtschaftliche
Lösungen einzusetzen. Gleiches gelte für
Komplettsysteme für Zugangssicherungen:
Auf der Grundlage eines Baukastensystems
biete Leuze Electronic passgenaue Sicherheitslichtschranken-Sets, die eine einfache
und effiziente Errichtung der gängigsten Zugangssicherungen ermöglichten (S. 94–96).
GIT (S. 100/101) wird der Weg zur sicheren Maschine in 6 Schritten strukturiert.
Er beginne mit der Risikobeurteilung, d.h.
der Definition der Maschinenfunktionen, der
Identifizierung von Gefährdungen sowie der
Einschätzung und Dokumentation von Risiken. Darauf aufbauend gelte es, die Maschine
sicher zu gestalten. Im dritten Schritt würden
technische Schutzmaßnahmen definiert und
Sicherheitsfunktionen umgesetzt, verifiziert
und validiert. Danach würden Benutzerinformationen über Restrisiken zusammengestellt
und z. B. als Warnhinweise, Vorgaben von
Schutzausrüstungen oder Arbeitsanweisungen formuliert. Es folge die Gesamtvalidierung des Sicherheitskonzepts einschließlich
der Erstellung der Dokumentation, bevor
im sechsten und letzten Schritt die EEGKonformitätserklärung erstellt werde und die
Maschine in Verkehr gebracht werden könne.
In derselben Ausgabe behandelt GIT die
optische Absicherung der Arbeitsräume an
Rohrbiegemaschinen (S. 108/109). Solche
Anlagen erforderten aus diversen Gründen
das manuelle Einlegen der Rohr-Rohlinge in
die jeweiligen Spannvorrichtungen. Ein Mitarbeiter müsse in den Arbeitsraum eintreten,
ggf. das fertig gebogene Rohr entnehmen,
einen neuen Rohling einlegen, aus dem
Arbeitsraum heraustreten und dann den
Zyklus mittels Zweihandbedienung auslösen.
Eine perfekte Lösung zur Absicherung aller
automatischen Rohrbiegemaschinen böten
Sicherheits-Laserscanner. Die Rotoscan RS4Geräte stellten eine besonders flexible Variante der optischen Gefahrbereichssicherung
dar. Sie erfüllten zugleich die Aufgabe der so
genannten Hintertrittsicherung. Erst durch
beidhändiges Freischalten außerhalb des
Schutzfeldes könne ein Biegezyklus gestartet
werden. Als Flächenscanner seien die Laserscanner berührungslos wirkende Schutzeinrichtungen vom Typ 3, die zuverlässig Körper,
Bein, Arm oder Hand in beliebig konfigurierbaren Schutzfeldkonturen erkennen. Je nach
Anforderung ließen sich mit einem einzigen
Scanner sowohl komplexe als auch wechselnde Sicherheitsbereiche flexibel und lückenlos
überwachen. GIT stellt ferner ein konfigurierbares Sicherheitsmodul für Rollenschneidmaschinen vor (S. 112–114). Es lasse sich
flexibel einrichten, um die Sicherheitsfunktionen für die meisten Schutzvorrichtungen an
Maschinen zur Verfügung zu stellen. Dazu
gehöre die Überwachung von Sicherheitsabdeckungen und -klappen, Sicherheitssperren,
Lichtvorhängen mit und ohne Durchlassfunktion sowie Laserabtastern und Notaus-Schaltern. Im Gegensatz zu einem herkömmlichen
Sicherheitsrelais mit nur einer festen Funktion
handele es sich bei den Safety-Funktionen
des Sicherheitsmoduls PSR-Trisafe um eine
Kombination aus TÜV-geprüfter Hardware
und Software-Funktionsblöcken. Letztere
würden mit Hilfe von Anwender-Software
konfiguriert und über ein USB-Kabel auf das
Sicherheitsmodul übertragen.
Mit der Einbeziehung der Maschinensicherheit in die frühe Konstruktionsphase
befasst sich Martin Bauer, Omron, in der
Fachzeitschrift GIT (Ausgabe 10-2013,
S. 92/93). Eine solche Einbeziehung spare
Entwicklungszeiten und vermeide Kosten für
Anpassungen innerhalb eines Maschinenlebenszyklus. Durch die Integration von Safety
in eine einheitliche Entwicklungsumgebung
würden Systementwurf, Einrichtung und
Wartung erheblich vereinfacht. Dadurch,
167
168
dass die Safety-Variablen automatisch in das
Ablaufprogramm des Standardcontrollers
integriert sind, ließen sich Anwendungen
noch schneller und einfacher erstellen. In der
Architektur des „Black Channel-Konzepts“
führe der Standardcontroller die nicht sicheren Steuerungsaufgaben und die Masterfunktion für das EtherCat-Netzwerk aus, während
der Safety-Controller die Sicherheitslogik
übernimmt.
Grundsätze der Maschinen- und Anlagensicherheit behandeln in derselben Ausgabe von
GIT Joachim Albertz, Stefan Horvatic und Dr.
Konrad Kern von Pepperl + Fuchs (S. 98–
100). Die sicherheitsgerichtete industrielle
Automation sei von einer hohen technologischen Dynamik geprägt. Aktuelle Trends
in der Sicherheitstechnik fokussierten sich
zum einen auf ergonomie- und prozessgerechte Sensor- und Steuerungssysteme, die
Menschen vor Unfallgefahren schützen und
gleichzeitig die Sicherheit und die Wirtschaftlichkeit von Maschinen verbessern. Mit der
sicherheitsgerichteten Geschwindigkeits- und
Stillstands-Überwachung für Antriebssysteme erreiche die Safety-Thematik in zunehmendem Maß auch die Antriebstechnik.
Das Portfolio von Sicherheitslösungen von
Pepperl + Fuchs unterstütze effiziente Lösungen für eine gesetzes- und normenkonforme
funktionale Sicherheit. Sensoren unterschiedlicher physikalischer Wirkprinzipien, modulare
Schalt- und Auswertegeräte, ein innovatives
Konzept für die sicherheitsgerichtete, unterlagerte Feldbus-Kommunikation: das alles
ermögliche es, viele sicherheitsgerichtete
Herausforderungen mit maßgeschneiderten
Lösungen auf höchstem Schutzniveau technisch und wirtschaftlich effizient zu meistern.
Jan Baldauf, Sick Vertriebs-GmbH, stellt in
demselben Heft die modulare Sicherheitssteuerung Flexi Soft von Sick vor, die einen
besonderen Schwerpunkt auf technisch wie
auch wirtschaftlich effiziente Safetylösungen
lege (S. 104–106). Das Steuerungsmerkmal Flexi Line diene der Verbesserung der
sicherheitsgerichteten Umsetzung modularer
Maschinenkonzepte. Damit wolle der Hersteller die Forderung nach einer kostensparenden Kaskadierung sicherer Schalter und
Sensoren innerhalb eines Maschinenmoduls
sowie umfangreicher Diagnosemöglichkeiten
erfüllen. Flexibel kombinierbare Funktionsmodule, kompakte Baugröße in jeder möglichen
Endkonfiguration, softwareunterstützte Logikfunktionen und bidirektionale Gateways für
alle gängigen Feldbusanbindungen würden
um zwei weitere Trends ergänzt: Zum einen
gehe es darum, modulare Maschinenelemente, die jede mit einer eigenen Sicherheitssteuerung versehen sind, auf einfache Weise
sicher zu vernetzen. Dies solle es beispielsweise ermöglichen, die sicheren Steuerungen
getrennt gefertigter Maschinenmodule am
späteren Aufstellungsort mit geringstmöglichem Zeit- und Arbeitsaufwand zusammenzuführen. Der zweite Trend thematisiere die
wirtschaftlich effiziente Integration sicherer
Schalter und Sensoren in ein Maschinenmodul. Kosten für Schalteingänge und Verkabelung sollten gespart werden.
Eine komplette Sicherheitslösung für ein
Laser-Testzentrum wird in Ausgabe 11
der Zeitschrift GIT (S. 88–90) vorgestellt.
Kernstück der von der Pilz GmbH & Co. KG
entwickelten Lösung sei das Automatisierungssystem PSS 4000 für Sicherheit und
Standard. Als zentrale Instanz manage dieses
vielseitige, in der Maschinenbaubranche
erprobte System einfache wie komplexere
Automatisierungsaufgaben und stehe für ein
optimales Zusammenspiel von Hardwareund Software-Komponenten. Im Testlabor
überwache die Steuerung PSS universal PLC
sicherheitsrelevante Signale wie Betriebsart,
Not-Halt und Schutztüren mit Verriegelung.
Türen und Fenster seien mit Lasersensoren
ausgestattet. Trifft der Laserstrahl auf eines
dieser Elemente, registriere dies der Lasersensor. Die Auswertung bzw. die Abschaltung des Lasers erfolge innerhalb von
Sekundenbuchteilen. In derselben Ausgabe
der Zeitschrift wird eine höhere AnlagenVerfügbarkeit durch Überwachung der
Differenzströme thematisiert (S. 100–102).
Um Fehlerströme in einer elektrischen Anlage
zu erkennen, bevor es zu einer plötzlichen
Abtrennung der Verbraucher kommt, könnten
Differenzstrom-Überwachungsgeräte eingesetzt werden, die Fehlerströme detektieren
und melden. Mit den Produktreihen RCM-A
und RCM-B biete Phoenix Contact Differenzstrom-Überwachungsgeräte nach DIN EN
62020 an, die diese Anforderungen erfüllen.
Um die Fehlerströme zu ermitteln, werde
nicht mit einer tatsächlichen messtechnisch
erfassten Messgröße gearbeitet, sondern mit
einem Stromwert, der im DifferenzstromWandler erzeugt und im DifferenzstromÜberwachungsgerät ausgewertet wird. Die
Ergebniswerte der Überwachung würden
permanent signalisiert, und beim Erreichen
festgelegter Grenzwerte werde alarmiert.
Ausfallzeiten und damit verbundene Kosten
würden deutlich reduziert.
Metalldiebstahl
Seit mehreren Jahren würden in Deutschland
verstärkt Metalldiebstähle gemeldet, berichtet die FAZ am 29. Juli. Die Diebe hätten es
besonders auf Buntmetall abgesehen. Außer
Friedhöfen würden auch Schrottplätze, Baustellen, Bahnstrecken oder leerstehende Häuser heimgesucht. Metalldiebe in Deutschland
ließen sich in zwei Gruppen einteilen. Zum
einen gebe es organisierte Banden, die an
schweren Gegenständen aus Buntmetall interessiert sind. Es gebe aber auch Einzeltäter,
die ihr Diebesgut nicht beim Altmetallhändler
verkaufen, sondern auf dem Schwarzmarkt
oder auf Flohmärkten. Bei vielen Tätern
handle es sich wahrscheinlich um Roma.
Die Hintermänner seien mächtige Clanchefs
aus Rumänien oder Bulgarien, „Bulibashas“
genannt. In ihren herrschaftlichen Villen
sitzend, sendeten sie ihre Gefolgsleute nach
Westeuropa. Von der Beute dürften die Täter
kaum etwas behalten. Bei der Bahn habe der
im Jahr 2012 entstandene Materialschaden
17 Millionen Euro betragen. Die Kosten für
die Reparaturen seien wesentlich höher.
Außerdem leide der Ruf der Bahn durch die
anfallenden Verspätungen von insgesamt
4.000 Stunden (2012). Die Bahn reagiere
deshalb mit mehreren Präventionsmaßnahmen, unter anderem mit der Anwendung der
„künstlichen DNA“. Wohl dadurch seien die
Schäden 2012 erstmals um 10 % gesunken.
Am 8. Oktober ist dieser Zeitung zu entnehmen, dass vor allem in östlichen Regionen
Metalldiebe Bahntrassen „plünderten“.
Ursachen seien unter anderem Täter aus
Osteuropa und viele Baustellen. Obwohl die
Deutsche Bahn im ersten Halbjahr 2013 mit
rund 820 Diebstählen etwa 40 % weniger
Taten als im Vorjahreszeitraum gezählt habe,
sei das Problem immer noch erheblich. Die
Deutsche Bahn gehe mit verdeckten Einsätzen, künstlicher DNA und Informationsaktionen gegen Metalldiebe vor. Während andere
Betroffene wie der Stromkonzern Vattenfall
unter anderem mit Flugrobotern Langfingern
das Handwerk legen wollten, setze die Bahn
auf Polizeiarbeit und Vorbeugung.
Mindestlohnüberprüfung
Die Zoll-Sondereinheit „Finanzkontrolle
Schwarzarbeit“ (FKS) habe 2012 insgesamt
34.372 Arbeitgeber in den Mindestlohnbranchen überprüft, berichtet die WirtschaftsWoche
am 30. März. Das seien doppelt so viele wie vor
drei Jahren. Dabei hätten die Kontrolleure vor
allem die Bauwirtschaft (26.775 Unternehmen)
unter die Lupe genommen. Ebenfalls unter
besonderer Beobachtung: 3.443 Gebäudereinigungsbetriebe und die Abfallwirtschaft mit
1.060 Firmen. Immerhin sei die Quote der
Verstöße bei den kontrollierten Unternehmen
binnen drei Jahren deutlich gesunken – von 9,9
auf 6,4 %. Insgesamt habe die FKS 2.188 Fälle
169
170
ermittelt, in denen nicht mal der Mindestlohn
gezahlt wurde. Unter den 1.924 geprüften Betrieben der Sicherheitsdienstleister hätten die
Kontrolleure 124 schwarze Schafe gefunden.
In der Abfallwirtschaft seien es 55, bei den Pflegeberufen 50 Verstöße gewesen. Am schmuddeligsten: die Wäschereien – fast jede zehnte
habe zu wenig gezahlt. Bei den Bauunterneh-
men habe der Zoll 2012 1.690 Vergehen und
damit 17 % mehr als 2009 registriert, während
sich bei den Gebäudereinigern ein Zuwachs
um 22 % auf 248 Verstöße ergeben habe.
Kaum gestiegen seien jedoch die Geldbußen.
Insgesamt hätten die Arbeitgeber 2012 rund
16 Millionen Euro Strafe gezahlt.
Mitarbeiterkriminalität
Christian Schaaf, Corporate Trust, sieht in
einem Beitrag in der Zeitschrift <kes> (Ausgabe 1-2013) die wesentlichen Merkmale
bei der Bekämpfung von Mitarbeiterkriminalität in einer vernünftigen Unternehmenskultur, in standardisierten Prüfregularien bei
der Einstellung von neuen Mitarbeitern und
in Awareness-Maßnahmen. Als typische
Hinweiszeichen (Red Flags) für Mitarbeiterkriminalität benennt er zum Beispiel Überschuldung, Missverhältnis zwischen Lebensstil
und Einkommen, starken Leistungsabfall mit
Symptomen der inneren Kündigung, aber
auch die Vermeidung von Urlaub, die Verweigerung der Einarbeitung von Vertretern
und den Verzicht auf Beförderung, die einen
Bereichswechsel bedeuten würde (S. 16–18).
Der Anteil der Beschäftigten, die keine
emotionale Bindung zu ihrem Arbeitgeber
haben, hat sich nach einem Bericht in der
FAZ am 18. März innerhalb eines Jahrzehnts
um ein Drittel erhöht. Er sei von 18 auf 24 %
gestiegen, wie aus einer Umfrage von Gallup
hervorgehe, die für die Erwerbsbevölkerung
repräsentativ sei. Hochgerechnet seien das
8,4 Millionen. Der Anteil der Mitarbeiter mit
hoher Bindung habe sich aber ebenfalls
erhöht, von 12 auf 15 %.
Mitarbeiterscreening
Udo Hohlfeld, Info + Daten GmbH & Co.KG,
behandelt in Security insight (Ausgabe
4-2013, S. 10–15) Möglichkeiten und
Grenzen des Screening von Mitarbeitern.
Unternehmen sollten grundsätzlich die Angaben von Bewerbern überprüfen, wenn die
Bewerber dazu schriftlich ihr Einverständnis
erklärten. Für die Möglichkeit des Screening
während der Beschäftigung sei wichtig, was
zwischen Unternehmen und Mitarbeiter im
Arbeitsvertrag vereinbart wurde, gerade
in Bezug auf die Internetnutzung, private
E-Mails und Telefonate. Die Nutzung von
Kameras in Sozialräumen, Umkleideräumen oder Toiletten sei verboten. Die offene
Videoüberwachung wiederum sei erlaubt,
wenn die Mitarbeiter darüber vorab informiert
wurden. Wenn das Beschäftigungsverhältnis
beendet wird, müssten viele Mitarbeiterdaten
vernichtet werden, es sei denn, sie werden für
Unternehmensprüfungen genötigt und ihre
Speicherung sei gesetzlich vorgeschrieben.
Mobile Endgeräte
In der Verlagsbeilage ITK 2013 der FAZ am
26. Februar befasst sich Thomas Kühlewein,
VMware, mit dem Schutz von Unterneh-
mensdaten auf Smartphone und Tablet.
Aufgrund ihrer nahezu ständigen Verbindung
mit dem Internet seien mobile Endgeräte ext-
rem angreifbar. Und die Betriebssysteme der
mobilen Endgeräte seien für die Einbindung
einer Smartcard nicht gerüstet. Das Manko
der fehlenden Infrastruktur im Betriebssystem lasse sich recht einfach lösen: Der
Browser, über den die Daten innerhalb der
Online-Anwendung aus dem Web-Portal des
Unternehmens dargestellt werden, könne fest
in die Struktur einer App integriert werden.
Werde darin eine Funktion aufgerufen, die
schutzwürdige Daten bereitstellt, startet innerhalb der App dieser Browser und stößt die
sichere Kommunikation über die Smartcard
via Bluetooth an.
In einer Beilage zur Juliausgabe der Fachzeitschrift <kes> werden mehrere Beiträge zum
Themenbereich „Mobile Security“ veröffentlicht: Gerhard Eschelbeck, Sophos, behandelt
das Risiko von BYOD-Geräten. Am wichtigsten seien: Durchsetzung strenger Kennwörter
auf allen Geräten; Virenschutz und DLP;
vollständige Verschlüsselung von Festplatten,
Wechseldatenträgern und Cloud Storage
Mobile Device Management (MDM) und
Application Control. 7 Schritte zu einem
BYOD-Sicherheitsplan benennt der Autor:
1. Finden Sie heraus, welche Risiken durch
BYOD entstehen. 2. Stellen Sie für die
Implementierung ein Experten-Gremium
zusammen. 3. Entscheiden Sie, wie die
Richtlinien für Geräte, die auf Ihr Netzwerk
zugreifen, durchgesetzt werden. 4. Planen
Sie ein Projekt mit den (im einzelnen bezeichneten) Sicherheitsmaßnahmen. 5. Vergleichen Sie die Lösungen, die der Markt für Ihr
Projekt bietet. 6. Implementieren Sie die
Lösungen. 7. Reevaluieren Sie die Lösungen
regelmäßig (S. 5–8). Thomas Brinkschröder,
Westcom Security, zeigt Alternativen beim
MDM auf. Unter Compliance-Aspekten sei die
„Container-Lösung“, bei der für die gesamte
Business-Umgebung ein abgeschlossener
und verschlüsselter Bereich auf dem mobilen
Gerät angelegt wird, der „nativen Lösung“
vorzuziehen, bei der alle benötigten Management- und Security-Tools direkt auf dem
Smartphone-OS installiert werden und das
gesamte Gerät schützen. Bei der Wahl des
Produkts empfehle es sich angesichts der
Komplexität und des Umfang des Projekts auf
jeden Fall, großen Playern mit langfristiger
Zukunftssicherheit den Vorzug zu geben
(S. 9–11). Hans-Peter Dietrich, Controlware
GmbH, gibt Ratschläge für den MDM-Einstieg in der Praxis. Die Einführung eines
systematischen Sicherheitsmanagements
mobiler Geräte verlange am Anfang nach der
Entscheidung für ein grundlegendes Konzept.
Anwender sollten die Folgen eingehend
prüfen, die eine Weichenstellung in Richtung
eines bestimmten Ansatzes für die Unternehmenspraxis hat, und die Produkte evaluieren,
die der Markt bietet. Auch Dietrich spricht
sich für die „Container-Lösung“ aus, deren
Vorteil auch in der hohen Standardisierung
und den vergleichsweise geringe Unterhaltskosten liege. Fast alle Hersteller von Smartphones und Tablets versuchten derzeit, eine
bessere Trennung von geschäftlichen und
privaten Daten zu ermöglichen (S. 12–14).
Uwe Wöhler, Computacenter, weist auf einen
neuen Lösungsansatz für die Datensicherung
auf mobilen Endgeräten hin, der das „Information Rights Management“-Verfahren (IRM)
und Data Leakage Prevention (DLP) miteinander verbinde. Sobald sensitive Informationen
auf die Geräte geschickt werden, würden sie
durch eine zusätzliche Authentifizierung und
weitere Maßnahmen in den Apps geschützt.
Aus der Kombination von IRM und DLP
ergebe sich für Unternehmen bereits heute
ein gangbarer Weg, eine übergreifende
Durchsetzung von Richtlinien für die mobile
Datensicherheit zu erreichen (S. 16–18).
Andreas Gabriel, Rimo Weithöner und
Michael Leuker, Ethon GmbH, befassen sich
mit softwaregestützter Gesprächsverschlüsselung auf VoiP-Basis. Eine speziell entwickelte App wie etwa „etaPhone“ von Ethon
mache aus einem gängigen Smartphone ein
abhörsicheres Telefon. Die App setze den
ZRTP-Standard des anerkannten KryptoExperten Phil Zimmermann ein, der bisher
besser bekannt sei für seine E-Mail-Verschlüsselung PGP. Der ZRTP-Standard
nehme dem Endanwender und dem Betreiber jeden Aufwand für Schlüssel- oder
171
172
Zertifikatsmanagement ab, wehre sogenannte Man in the Middle-Angriffe sicher ab und
baue eine echte Ende zu Ende-Verschlüsselung auf. Es sei keine zentrale PKI notwendig,
um Gespräche zu sichern (S. 20–22). Swenja
Kremer, Secusmart GmbH, nimmt zum
Einsatz und der Funktionsweise hardwaregestützter Sprachverschlüsselung
Stellung. Zu einem ganzheitlichen Sicherheitskonzept für moderne Unternehmenskommunikation gehöre angesichts der
aktuellen Bedrohungslage auch der Abhörschutz für Mobiltelefone. Erforderlich sei
dabei ein Ansatz, der für den Anwender
komfortabel ist, über Ländergrenzen hinweg
wirkt und auf einem zentral verwalteten
Sicherheitsmanagement aufsetzt. Wo hohe
Sicherheitsanforderungen bestehen, garantiere Hardwareverschlüsselung die nötige
Performance. Darauf habe sich Secusmart
konzentriert. Die Secusmart Security Card sei
nicht größer als ein Fingernagel, stelle aber
ein Hochsicherheits-Device dar. Implementiert seien Verschlüsselungstechniken der
neuesten Generation und zusätzlich bis zu
4 GByte ebenfalls verschlüsselter Speicherplatz für die geschützte Ablage von Informationen. Eine moderne Mobiltelefon-Sicherheitssoftware, die die Karte ergänzt, sichere
die mobile Kommunikation zweifach: durch
Ende zu Ende-Verschlüsselung und durch
zertifikatsbasierte Authentifizierung der
Gesprächsteilnehmer. Alle Schutzprozesse
liefen ohne Einfluss auf das Telefonverhalten
des Anwenders im Hintergrund ab. Die
Bereitschaft zum Einsatz sicherer Verfahren
steige enorm, wenn diese problemlos und
unbemerkt funktionierten. Für Festnetzgespräche lasse sich das Smartcard-Verfahren
ebenfalls verwenden, auch im Rahmen einer
Telefonkonferenz (S. 24–26). Erika Friesen,
Rohde & Schwarz, favorisiert die Verschlüsselung außerhalb des Telefons. Dies biete
ein deutliches Mehr an Sicherheit gegenüber
reinen App-Lösungen oder der Verschlüsselung mittels Micro-SD-Karten. Aufgrund der
Auslagerung der Sprachverschlüsselung
müsse das Smartphone nicht „gehärtet“
werden, bleibe somit voll funktionsfähig und
könne jederzeit gegen ein neues ausgetauscht werden, ohne dass Änderungen beim
Krypto-Headset nötig sind (S. 28–30).
Benedikt Leder, Datev eG, weist darauf hin,
dass die Betriebssysteme der mobilen
Endgeräte für die Einbindung einer Smartcard
nicht gerüstet seien. Außerdem besäßen
etliche Smartphones und Tablets keine
USB-Schnittstellen, um einen Kartenleser
anzuschließen. Abhilfe verspreche ein neuer
Smartcard-Leser („mIDentity air“), der via
Bluetooth mit Mobilgeräten kommuniziert
und so den sicheren und verschlüsselten
Informationsaustausch mit Unternehmensressourcen erlaube. Das Manko der fehlenden
Infrastruktur im Betriebssystem lasse sich
ebenfalls recht einfach lösen: Ein Browser, der
über ein Webportal bereitgestellte Unternehmensdaten anzeigen kann, werde fest in die
Struktur einer App integriert. Ruft der
Anwender darin eine Funktion auf, die ihm
schutzwürdige Daten zugänglich macht,
starte der erwähnte Browser innerhalb der
App und stoße die sichere Kommunikation
unter Zugriff auf die Smartcard an (S. 32–34).
Robert Korherr, ProSoft, plädiert für eine
mobile „Zwei Faktor-Authentifizierung“
(Notwendigkeit von zwei Elementen für die
eindeutige Authentifizierung, von denen je
eins aus den drei Bereichen „Haben“, „Wissen“ oder „Sein“ ausgewählt wird) per
Smartphone. Für Unternehmen ergäben sich
organisatorische Vorteile und Einsparpotenziale, wenn Mobiltelefone die Rolle von
Hardware-Tokens übernehmen. Der Autor
zeigt unterschiedliche Einsatzszenarien und
beschreibt die jeweils passenden Varianten
des Lösungsansatzes (S. 36/37). Elmar
Török, NCP, befasst sich mit Herausforderungen beim Management mobiler VPNs
(Virtuelle private Netze). Für mobile VPNs mit
Clients wie Smartphone, Tablets und Notebooks, die sich über ein halbes Dutzend
unterschiedlicher Medien mit dem Gateway
verbinden wollen, benötigten Unternehmen
ein effizientes und einfaches VPN-Management, das viele Administrationsaufgaben automatisiert. Ein guter VPN-Client
suche sich selbständig das jeweils beste Netz
aus und wechsle selbständig zu anderen
Netzverbindungen, sobald diese verfügbar
werden. Die VPN-Managementsoftware
müsse in der Lage sein, alle für den VPNZugang notwendigen Daten zu finden und
abzugleichen (S. 39–41). Kai Haller, mediaTest digital, zeigt, dass Mobile Application
Management (MAM) bei der Absicherung
von Business-Daten gegen schädliche oder
schlecht programmierte Anwendungen
(Apps) eine wichtige Rolle spielt. Das MAM
umfasse Softwarelösungen und Services, die
die Beschaffung von und den Zugriff auf
Apps für betrieblich genutzte Smartphones
oder Tablets mit Unternehmens-Richtlinien
in Einklang bringen. Es erlaube dem Unternehmen, ein hohes Sicherheitsniveau bei der
Nutzung von mobilen Endgeräten zu
erreichen, ohne dabei allzu große Nachteile
in der Anwendung in Kauf nehmen zu
müssen (S. 42).
Viele Firmen begeben sich mangels BYODRichtlinien in Gefahr, berichtet TECCHANNEL IT im Mittelstand am 17. Juli. Eine Studie
„Acronis 2013 Data Protection Research“
komme zu dem Schluss, dass Unternehmen
durch nachlässigen Umgang mit einfachen Sicherheitsmaßnahmen und fehlende
Trainingsangebote zu BYOD ihre sensiblen
Daten einem hohen Risiko aussetzen. 44 %
der deutschen Unternehmen hätten keine
Richtlinie zur Nutzung privater Geräte. 81 %
der deutschen Mitarbeiter würden von ihren
Arbeitgebern über die Risiken von BYOD für
die Datensicherheit nicht ausreichend informiert. 76 % der deutschen Unternehmen
hinkten auch beim Training im Umgang mit
Public Clouds hinterher. Nur gut jedes dritte
Unternehmen in Deutschland fordere für
beruflich genutzte private Geräte Kennwörter oder Tastensperren. Nur 30 % löschten
Geräte, wenn Mitarbeiter das Unternehmen
verlassen. Fast jede zweite deutsche Firma
habe für die Nutzung öffentlicher CloudDienste keine Richtlinie.
Auf Druck der südkoreanischen Regierung
planten die Smartphone-Hersteller LG und
Samsung, Antidiebstahl-Funktionen in
ihre Smartphones einzubauen, meldet heise.de am 27. August. Sollten Smartphones
gestohlen werden oder auf andere Weise
abhanden kommen, könnten Besitzer oder
auch Netzbetreiber die Geräte aus der Ferne
sperren oder komplett löschen. Durch die
Einbindung in das Betriebssystem solle es
Smartphone-Dieben erschwert werden, die
Funktionen nach einem Diebstahl außer
Kraft zu setzen. Auch ein Wechsel der SIMKarte solle nicht helfen. Die meisten gestohlenen Smartphones werden den Angaben
zufolge aus dem Land gebracht, weil sie in
Südkorea von den dortigen Netzbetreibern
nicht mehr ins Netz gelassen würden. In
Deutschland gebe es kein Netzbetreiberübergreifendes Register mit den IMEI-Nummern gestohlener Smartphones. Aus dem
Ausland importierte Handys – ob legal oder
illegal – dürften sich hier problemlos in alle
Netze einbuchen können.
Kaspersky weist am 22. August auf eine weltweite Umfrage hin, nach der weltweit bislang
nur 14 % aller Unternehmen über voll implementierte Sicherheitsrichtlinien verfügen.
32 % der deutschen Unternehmen hätten angegeben, noch keinerlei Richtlinien für den
Umgang mit mobilen Geräten eingeführt
zu haben. 53 % der deutschen Unternehmen hätten eingeräumt, zwar bereits Regeln
entwickelt, aber noch nicht voll umgesetzt
zu haben. 12 % glaubten, auch künftig ganz
darauf verzichten zu können. Oft scheitere
die Umsetzung an finanziellen Fragen. Bei der
Umsetzung könne auch geeignete Sicherheitssoftware wie etwa Kaspersky Security
for Mobile helfen. Damit würden zum Beispiel
die Unternehmensdaten oder Anwendungen
auf den Geräten der Mitarbeiter in eigene
Container gepackt, die aus der Ferne verwaltet oder im Fall eines Geräteverlustes auch
gelöscht werden könnten. Außerdem lasse
sich so kontrollieren, welche Apps auf den
mobilen Geräten gestartet werden, und der
Benutzer sei vor einem Zugriff auf schadhafte
Links oder Webseiten geschützt.
173
174
Wissenschaftler der TU Berlin hätten demonstriert, wie sich das per Broadcast-Nachricht gesendete GSM-Pagingsignal durch
manipulierte Mobiltelefone zum Umleiten von
Telefonaten oder SMS-Nachrichten missbrauchen lässt. Dahinter stehe eine konzeptionelle
Schwäche der GSM-Spezifikation. Bevor das
Mobilfunknetz ein Telefonat oder eine SMS
zustellt, sende es einen Rundruf, in dem es
das Zielgerät auffordert, sich zu melden und
das Gespräch oder die SMS anzunehmen.
Das Paging-Signal werde in der Location Area
von diversen Basisstationen in ihre jeweiligen
Zellen abgestrahlt und es enthalte die Mobile
Identity des Zielgeräts (TMSI/IMSI), meldet
heise online am 30. August. Die Entwickler
des Paging-Verfahrens seien seinerzeit davon
ausgegangen, dass das Mobilnetz die Mobile
Identity nur vertrauenswürdigen Gegenstellen übergibt (den Geräten der eigenen und
der Roaming-Kunden), so dass ihr Protokoll
nicht prüft, ob auch die tatsächlich gemeinte
Gegenstelle antwortet. Die Wissenschaftler
demonstrierten, dass sich diese Konzeptschwäche zu einem Angriff ausnutzen lässt.
Dafür hätten die Forscher die OpenSourceBaseband-Firmware OsmocomBB so modifiziert, dass ein damit präpariertes Mobiltelefon
Paging-Nachrichten mit beliebigen Mobile
Identities beantworten kann. Die Technik
lasse sich prinzipiell aber auch zu Angriffen
auf einzelne Handys abwandeln.
Datensparsamkeit bezeichnet der Behördenspiegel in seiner Septemberausgabe als
das oberste Gebot, um das mobile Internet
sicher nutzen zu können. Persönliche oder
andere vertrauliche Daten, Passwörter und
PIN-Codes gehörten nicht auf das Smartphone oder das Tablet. Für deren Nutzung
würden grundsätzlich die gleichen Vorsichtsmaßnahmen gelten wie für das stationäre
Internet auch. Damit niemand unbemerkt aus
der Ferne auf das eigene mobile Gerät zugreift, empfehle es sich, alle zu deaktivieren,
die man gerade nicht braucht. Hierzu gehörten etwa WLAN- oder Bluetoothfunktionen.
Besondere Vorsicht sei bei frei zugänglichen
WLAN-Verbindungen geboten.
Die FAZ befasst sich am 24. September
mit dem Scanner für Fingerabdrücke
beim iPhone 5S. Man lege den Finger nur
auf und ziehe ihn nicht, wie bei Notebooks,
über eine Fläche. Vermessen würden untere
Hautschichten. Auf diese Weise sei auch
eine Lebenderkennung implementiert. Apple
speichere die biometrischen Daten in einem
separaten Bereich des Geräts, der von außen
nicht lesbar sei, nicht in eine iTunes-Synchronisation übernommen werde und nicht auf
Apple-Server übertragen werde. Das alles
verspreche einzigartige Sicherheit, zumal
auch kein Abbild des Fingerabdrucks gespeichert werde, sondern eine Art Kondensat
(„Hash“), aus dem sich das Original nicht wiederherstellen lasse. Damit verspreche Apple
mehr Schutz der Privatsphäre, der Fingerscan
sei einfacher als die Kennworteingabe. Wer
diese lieber meide, werde jenen mögen. Zum
anderen Diebstahlschutz: In Verbindung mit
dem neuen Betriebssystem iOS 7 könne
ein gestohlenes Gerät nicht mehr in den
Auslieferungszustand versetzt werden. Das
Diebesgut werde wertlos. Das werde sich
herumsprechen.
In der Zeitschrift <kes> (Ausgabe 3-2013,
S. 12–15) sieht Rüdiger Trost, F-Secure, in
der mobilen Malware eine Bedrohung mit
Zukunftspotential. Wenn immer mehr professionelle Anwendungen über mobile Geräte
laufen, würden sie auch interessanter für
Entwickler mobiler Malware. Dabei sei das
Betriebssystem mit dem größten Marktanteil
auch das Angriffsziel Nummer 1: Malware
werde vor allem für Android entwickelt. Ein
weiterer wichtiger Trend sei die Zunahme von
Malware, die eine Verbindung zu Command
and Control-(C & C)-Servern erstellt: 123 der
149 von Januar bis März 2013 von F-Secure
neu entdeckten Bedrohungen sendeten über
eine solche Verbindung Kommandos an das
mobile Gerät, ohne dass der rechtmäßige
Besitzer etwas davon merke. Habe man erst
einmal die Kontrolle über ein Handy übernommen, so lasse sich ohne weiteres damit
Profit generieren – etwa durch die Veranlassung von Long Distance-Calls, während der
Handy-Besitzer schläft. Mit dem „OnlineBankraub“ sei auch schon eine noch lukrativere Disziplin der profitmotivierten Malware
belegt. Malware werde zwar komplexer, lasse
sich aber durch ein Angebot an Malware-Kits
dennoch schnell entwickeln. Botnets würden
mittlerweile auch zur Verbreitung mobiler
Malware benutzt. Zugleich würden Aktivitäten immer zielgerichteter: Targeted Attacks
seien im Windows-Bereich schon lange
verbreitet, spielten aber nun auch im mobilen
Malware-Markt eine große Rolle.
Der Trend gehe zu immer leistungsfähigeren und kleineren mobilen Geräten, stellt
Armin Leinfelder, baramundi software AG,
im „special“ von <kes> im Oktober 2013
(S. 38/39) fest. Die Grenzen zwischen den
Geräteklassen würden unscharf. An diese
Entwicklung müsse sich die IT-Administration
anpassen. Auch das Arbeitsverhalten ändere
sich. So würden Dokumente unterwegs auf
einem Mobilgerät begonnen und später auf
dem PC fertiggestellt, E-Mails und Kalender
sollten überall verfügbar sein. Die Folge für
die IT-Administration: Es müssten alle Geräte
mit den nötigen Programmen, Daten und
Rechten versorgt werden – und es müssten
alle Geräte zuverlässig abgesichert werden.
Nach einem Bericht von git-sicherheit
vom 3. Dezember haben Forscher der TU
München einen neuen, informationstheoretischen Ansatz für eine abhörsichere mobile
Kommunikation gefunden. Ihre Lauschabwehr setze an der sogenannten physikalischen Schicht des Kommunikationssystems an. Die Methode verhindere, dass
ein potenzieller Mithörer die übertragene
Nachricht überhaupt empfängt.
Museumssicherheit
Die Fachzeitschrift Security insight beschreibt
in ihrer Ausgabe 2-2013 (S. 32/33), wie in
der Kunstkammer des Kunsthistorischen
Museums in Wien sichtbare und unsichtbare Sicherheitsmaßnahmen kombiniert sind.
Bewusst nicht versteckt seien die Melder
eines Lasermesssystems. Diese Systeme
legten einen Sicherheitsvorhang über ganze
Wände und würden in der Kunstkammer vor
allem zur Sicherung der unzähligen Tapisserien eingesetzt. Wesentlich an dieser Sicherung sei, dass sie auch Sprühnebel anzeige,
auf den eine herkömmliche Alarmanlage nicht
reagiere. In der rund um die Uhr besetzten
Alarmzentrale würden sämtliche Alarm- und
Videodaten sowie die Brandschutzeinrichtungen mehrerer Museen überwacht.
Nachhaltigkeit
Die Bedeutung von Nachhaltigkeit in der
Wirtschaft habe sich radikal gewandelt, ist das
ASSURANCE MAGAZIN von KPMG in seiner
Ausgabe 1-2013 (S. 24–27) überzeugt. Vor
kurzem habe Nachhaltigkeit noch der Darstellung ethischer Motive und besonders vorbildlichen Verhaltens hinsichtlich sozialer und
umweltrelevanter Aspekte gedient. Heute sei
Nachhaltigkeit ein messbarer, kapitalmarktrelevanter Erfolgsfaktor. Er stehe für eine
ganzheitliche und strategische Ausrichtung in
den verschiedensten Branchen und Unter-
nehmensbereichen. 62 % aller Unternehmen
in Deutschland machten Nachhaltigkeit zum
Thema in ihren Berichtswerken. Nachhaltigkeit sei über Vision und Strategie in den
Managementprozessen verortet und ziele auf
Aspekte wie Innovationskraft, Mitarbeitermotivation, Reputationssteigerung, Risikoreduzierung oder die Verbesserung von zu einem
nachvollziehbaren wirtschaftlichen Orientierungssystem, das nach innen das Handeln
des Unternehmens lenke und nach außen
Orientierung für Kunden, Konsumenten und
175
176
Stakeholder schaffe. Der G3-Leitfaden der
Global Reporting Initiative (GRI) stelle derzeit
den De-facto-Standard der Nachhaltigkeitsberichterstattung dar. Er weise eine Reihe von
Indikatoren von der ökologischen Leistung bis
hin zur Beachtung von Menschenrechten aus,
mit der Unternehmen ihre Leistung messen
und dokumentieren können. In der geplanten
Veröffentlichung des G4-Leitfadens solle vor
allem das Konzept der „Wesentlichkeit“ in der
Berichterstattung gestärkt werden. Trends in
der Nachhaltigkeitsberichterstattung seien
ganzheitliche Betrachtung, Verständlichkeit,
Wesentlichkeit und Inklusion (einheitlicher
Berichtsrahmen für eine Vielzahl verschiedener Berichtseinzelthemen wie Finanzen,
Nachhaltigkeit oder Governance).
Nationale Sicherheitsstrategie
Eine nationale Sicherheitsstrategie fordert
Bernd Oliver Bühler als Lehre aus dem NSASkandal in der Ausgabe 6-2013 der Fachzeitschrift Security insight (S. 10–15) und
stellt dazu fünf Grundsätze auf: Stärkung
des Wirtschaftsstandorts durch Schutz der
am Standort Deutschland aktiven Unternehmen vor Abfluss vorhandenen Know-hows,
gesetzliche Ernennung von Beauftragten für
Unternehmenssicherheit, stärkerer strafrechtlicher Schutz von Unternehmenswissen, neue
Ausrichtung der Sicherheitsbehörden und
Erarbeitung einer nationalen Sicherheitsstrategie, möglichst mit Abstimmung innerhalb
der EU.
Near Field Communication (NFC)
Das Potenzial von NFC für die Personenidentifikation ist unbestritten, zeigt sich Oliver
Burke, Legic Identsystems AG, in Security insight (Ausgabe 1-2013, S. 20/21) überzeugt.
Mit NFC befasst sich auch der SicherheitsBerater in seiner Ausgabe 5-2013 (S. 76/77).
Im Sinne der Informationssicherheit könne
die notwendige Nähe von wenigen Zentimetern zum Kommunikationspartner als Vorteil
gewertet werden, da ein möglicher Angreifer
nah an sein Ziel gelangen muss.
Notfallmanagement
Dipl.-Math. Harro von Wardenburg, nullPC
GmbH, befasst sich in der Ausgabe 3-2013
von <kes> (S. 78–80) mit dem Notfallmanagement. Es solle sicherstellen, dass wichtige Geschäftsprozesse selbst in kritischen
Situationen nicht oder nur temporär unterbrochen werden. Dazu müssten ganzheitlich alle
Aspekte des Geschäftsbetriebes betrachtet
werden. Entscheidend sei eine abgestufte
Vorgehensweise, die sich am BSI-Standard
100-4 orientieren könne. Würden der Standard und die korrespondierenden Bausteine
in den IT-Grundschutzkatalogen vollständig
umgesetzt, werde ein Notfallmanagement
etabliert, das auch weniger technisch-orientierte Standards wie den British Standard BS
25999 Part 1 und 2 komplett erfülle.
Sicherheitsforum beschreibt Dr. Annina Gaschen, Neosys AG, den Weg vom
Notfallkonzept zum Notfallhandbuch
in 5 Schritten: Analyse der möglichen
Bedrohungsszenarien, Schnittstellen zu
bestehenden Notfallplänen mit Klärung der
Zuständigkeiten, Erfassen der bereits vorhandenen Dokumente und standardrelevanten
Informationen, Erstellung von Merkblättern
und Integration des Notfallhandbuchs in das
bestehende Managementsystem. Darüber
hinaus werden Anforderungen an Sammelplätze aufgelistet (S. 31–35).
Der Sicherheitsberater befasst sich in Nr.
16-2013 (S. 241/242) mit dem jüngst vom
BSI herausgegebenen „Umsetzungsrahmenwerk zum Notfallmanagement nach
BSI-Standard 100-4“ (UMRA). Es stelle
Module bereit, die jeweils aus einer inhaltlichen Beschreibung des jeweiligen Themas, aus Checklisten, Ausfüllanleitung und
Vorlagen für Präsentationen und Berichte
bestehen. Solche Module gebe es für alle
Phasen des Notfallmanagement-Prozesses
des BSI-Standards 100-4 (Leitlinie, Konzeption, Umsetzung, Notfallbewältigung, Übungen
und Tests, Aufrechterhaltung und kontinuierliche Verbesserung). Das BSI stelle damit eine
erstklassige Hilfe zur Selbsthilfe bereit.
In der Zeitschrift <kes> (Ausgabe 3-2013,
S. 74–76) behandeln Manuela Reiss und
Marco Sportelli, dokuit, die Notfallorganisation der IT. Aus den Ausführungen des BSI
in dem 2008 veröffentlichten BSI-Standard
100-4 „Notfallmanagement“ lasse sich klar
ableiten, dass die Erstellung eines Notfallhandbuchs keine alleinige Aufgabe der
IT-Organisation sein könne, sondern sich
in ein übergeordnetes Notfallmanagement
einbinden müsse. Die Autoren behandeln
das Zusammenspiel im Notfallmanagement
und mit den Inhalten des Notfallhandbuchs:
Organisation, Sofortmaßnahmen und Notfallbewältigung. Es sei ein zentrales Notfallhandbuch zu erstellen, das in der Verantwortung
einer ebenso zentralen Notfallorganisation
liege und das durch Geschäftsfortführungsund Wiederherstellungspläne ergänzt werde,
welche die jeweiligen Fachbereiche erstellen.
Nach der ASW-Mitteilung 054/13 hat das
BSI eine Studie zum Thema „Notfallmanagement mit der Cloud für KMU“ veröffentlicht. Die Studie beleuchte Potenziale
von Cloud-Techniken für die Absicherung
eines Ausfalls IT-gestützter Geschäftsprozesse in KMU. Ziel der Studie sei es,
praxisnahe Methoden zur Notfallprävention
und -reaktion aufzuzeigen, die mithilfe moderner Virtualisierungs- und Cloud-Technologien umgesetzt werden können. Im Fokus
stünde dabei eine Betrachtung der auf dem
Markt verfügbaren Cloud-Angebote für
das Notfallmanagement von KMU sowie
deren Einsatz in drei typischen Szenarien.
Die Studie zeige, dass der Einsatz von
Cloud-Techniken das Notfallmanagement
sowie verschiedene Kontinuitätsstrategien
von Unternehmen verbessern können. Die
Studie verdeutliche, dass in KMU durch den
Einsatz von Virtualisierungstechniken sowie
von Cloud-Diensten fast automatisch eine
höhere Verfügbarkeit und Ausfallsicherheit der IT-gestützten Geschäftsprozesse
erreicht wird.
Mit der Notfallplanung für Versicherungsunternehmen entsprechend der aufsichtsrechtlichen Mindestanforderung für das Risikomanagement (MaRisk VA) befasst sich
Tim Jordan, Controllit AG, in der Fachzeitschrift Security insight (Ausgabe 6-2013,
S. 32/33). Entwicklungen wie die verbreitete Nutzung mobiler Technologien und
Cloud-Computing machten es erforderlich,
auch die Notfallplanung nebst Strategien
für spezifische Ausfallszenarien anzupassen
und regelmäßig zu testen. Ein ganzheitliches Test- und Übungskonzept bilde somit
einen Hauptbestandteil für die effektive und
qualitativ hochwertige Notfallplanung.
Notruf- und Service-Leitstelle (NSL)
Nach Zustimmung durch den Fachausschuss
Technik des BDSW kann die neue VdSRichtlinie 3138 für NSL ab 2014 angewandt
werden, meldet die Fachzeitschrift WiK in
der Ausgabe 6-2013 (S. 56). Die VdS 3138
vereine erstmals die aktuelle IP-Welt der
177
178
Übertragungseinrichtungen mit der Welt
der NSL und biete wirksame ManagementWerkzeuge, die den zukünftigen Herausforderungen an Datensicherheit, Vernetzung,
Kooperation und rasanter technologischer
Entwicklung Rechnung trügen. Die VdS
werde als offen und rein prozessorientiert
beschrieben. Außerdem skizziere sie einen
möglichst breiten Korridor zur technischen
und organisatorischen Umsetzung.
Änderungsvorschläge zur europäischen
Norm DIN EN 50518 skizziert der Dipl.-Wirtschaftsjurist (FH) Sebastian Brose in der Ausgabe 2-2013 von s+s report (S. 41/41). Ein
Vorschlag sehe vor, den Scope von „Alarmanlagen“ auf „Einbruch- und Überfallmeldeanlagen“ zu reduzieren. Weiterhin sei vorgesehen,
einen Hinweis in die Norm aufzunehmen, der
besagt, dass alle drei Normenteile zusammenhängend anzuwenden sind und keine
Zertifizierung einer AES beruhend auf nur
einem oder zwei Teilen der Norm möglich ist.
Die erforderliche Widerstandsklasse gegen
Einbruch nach den Normen DIN EN 1627 ff.
solle von WK 4 auf WK 3 reduziert werden.
Protector stellt in seiner Ausgabe 9/13 (S. 28)
das Alarm Service Provider (ASP)-Modell
als Dienstleistung für Leitstellenbetreiber vor,
die den individuellen Bedürfnissen und Anforderungen entsprechend durch einen externen
Dienstleister erbracht wird. Er ermögliche das
sichere Alarmmanagement über alle Übertragungsnetze. Die IP- und softwareplattformorientierte Konzeption des Systems sei für das
Zusammenwirken mit unterschiedlich funktionalen Systemen in einer Leitstelle ausgelegt.
Zu den wesentlichsten Funktionen gehörten
sichere und überwachte Alarmübertragungen, flexible Meldungsverteilung, Schutz vor
Meldungsflut, Integration und Separation
von Meldungen, zentrale Überwachung und
Administration aller Übertragungsgeräte.
Rechtsanwältin Petra Menge beleuchtet in
s+s report (Ausgabe 4-2013, S. 26–30) Haftungsprobleme von Betreibern und Kunden.
Sie behandelt Aufschaltverträge, Interventionsverträge und Service/Provider-Verträge
und ihre Inhalte und gibt folgende Tipps zur
Haftungsprävention für NSL-Betreiber: Achten Sie auf ein vernünftiges Vertragsumfeld
und richtige Versicherungen. Benutzen Sie
zuverlässige Dienstleister, Provider und achten Sie dabei auf gültige Zertifikate. Achten
Sie auf sorgfältige Dokumentation der Dienstleistungen. Achten Sie auf solvente Subunternehmer, die gut versichert sind. Bedenken Sie
bei ausländischen Partnern, dass dort eventuell anderes Recht gilt. Machen Sie ausdrückliche Datenschutzverpflichtungserklärungen
mit ihren Subunternehmern. Beziehen Sie
technische Normen und Richtlinien als Mittel
zur Risikobegrenzung, Haftungsminimierung
und besseren Versicherbarkeit.
ÖPV-Sicherheit
Die Fachzeitschrift GIT befasst sich in ihrer
Ausgabe 5-2013 (S. 22–24) mit der Videoüberwachung im ÖPV. Es gebe im Bereich
des öffentlichen Nahverkehrs spezielle
Anforderungen an die Kameras. Das betreffe
beispielsweise die Zertifizierbarkeit und die
langfristige Lieferverfügbarkeit.
Der Präsident der Bundespolizei, Dieter
Romann, fordere mehr Videoüberwachung
auf Deutschlands Bahnhöfen, berichtet
das Magazin Focus am 13. Mai. Er verweise
angesichts der mitunter hitzig geführten
Debatte um Videoüberwachung auf die
Faktensammlung seines Hauses. Demnach
seien von den 5.700 Bahnhöfen und Haltepunkten der Deutschen Bahn lediglich 141
Bahnhöfe mit Kameras ausgestattet, die
Videobilder aufzeichnen und abspeichern
können. Im Jahr 2012 sei die Bundespolizei
rund 900 Straftätern nur per Videoaufzeichnung auf die Spur gekommen. Mit Hilfe von
Kameras seien immerhin 500 Gewalttaten
aufgeklärt worden.
Die Zahl der Gewaltdelikte in den Berliner UBahnen, Straßenbahnen, Bussen und Bahnhöfen ist 2012 im Vergleich zu den Vorjahren
deutlich gesunken, meldet der Tagesspiegel
am 4. April. 2012 seien insgesamt 3.183 Gewalttaten im ÖPV verübt worden. Das seien
714 weniger als 2011. Innensenator Henkel
führe die sinkende Zahl der Gewaltdelikte
einerseits auf den Ausbau der Videoüberwachung, andererseits auf die regelmäßige Polizeipräsenz im Nahverkehr zurück. Mittlerweise seien alle 1.238 U-Bahnen, gut die Hälfte
der Straßenbahnen und mehr als 80 % der
Busse mit Videokameras ausgestattet. Jens
Wieseke vom Berliner Fahrgastverband IGEB
wolle den Rückgang der Gewaltdelikte nicht
überbewerten. Anstatt in weitere Kameras
zu investieren, müsse das subjektive Sicherheitsgefühl der Fahrgäste gestärkt werden:
etwa durch bessere Informationssysteme und
mehr Personal auf den Bahnsteigen, besonders nach Einbruch der Dunkelheit.
Eine flächendeckende Videoüberwachung im
ÖPV in ganz Bayern fordert Innenminister
Joachim Herrmann (Pressemitteilung des
BayStMdI vom 3. April). Die Videoüberwachung trage dazu bei, die Bürger noch besser
vor Kriminalität zu schützten und gleichzeitig
ihr subjektives Sicherheitsgefühl zu stärken.
Sie helfe, Sicherheitsstörungen und Straftaten
zu verhüten, zu bekämpfen und aufzuklären.
In München seien derzeit 18 S-Bahnhöfe
mit 229 Kameras, 96 U-Bahnhöfe mit 1.265
Kameras, 238 S-Bahn-Zuggarnituren mit
3.808 Kameras, 108 U-Bahn-Zuggarnituren
mit 432 Kameras, 58 Straßenbahnen mit
449 Kameras und 237 MVG-Busse mit
997 Kameras ausgestattet. Dennoch bleibe
noch viel zu tun. Es sei nicht nachvollziehbar, warum etwa in Augsburg, Regensburg,
Ingolstadt, Fürth und Erlangen keine Kameras
an den Hauptbahnhöfen installiert seien. Und
von den annähernd 1.200 Bussen, die in den
bayerischen Großstädten im ÖPV unterwegs
sind, werde nicht einmal ein Drittel videoüberwacht. Im Gegensatz dazu betrage die
Überwachungsquote in den S-Bahnen von
München nahezu 100 %. Uneinheitlich sei
die Videoüberwachung von Straßenbahnund Bushaltestellen. Sie würden in den
Ballungsräumen München und Nürnberg gar
nicht überwacht. Eine ähnliche Bandbreite
sei bei der Speicherung des Bildmaterials
festzustellen. So erwarte Herrmann von der
Bahn, dass eine Aufzeichnung in der Größenordnung von 72 Stunden stattfindet.
In der Ausgabe 4-2013 der Zeitschrift DER
NAHVERKEHR zeigt Wolfgang Peper, Securitas, welchen Einfluss gut ausgebildete Sicherheitsfachkräfte auf die Servicequalität
von Verkehrsunternehmen ausüben (S. 60–
62). Kundenbefragungen hätten gezeigt, dass
die Zufriedenheit mit der Sicherheit einen
relevanten Einfluss auf die Zufriedenheit mit
dem Angebot des Verkehrsunternehmens
insgesamt hat. Dieselben Umfragen zeigten
aber auch, dass eine zu massive Präsenz der
Sicherheitskräfte von den meisten Fahrgästen als verstörend und eher Angst schürend
bewertet wird. Um diese Ängste zu vermeiden, sei das serviceorientierte Auftreten des
Personals elementar: sichtbar, ansprechbar,
kompetent und dienstleistungsbereit. Für
die steigende Anerkennung innerhalb der
Verkehrsunternehmen sei eine umfassende
betriebliche Ausbildung der Sicherheitsfachkräfte und die damit verbundene Entlastung
des Betriebspersonals verantwortlich. Die
Vernetzung von Betrieb und Security in einer
gemeinsamen Einsatz- und Betriebszentrale
gewährleiste im Störungsfall ein gemeinsames Lagebild und verkürze Kommunikationswege. Im Umgang mit Fahrgästen
Handlungssicherheit herzustellen, sei eine
zentrale Aufgabe der Aus- und Fortbildung.
In München setze der Dienst in der U-Bahnwache auch eine betriebliche Ausbildung bei
der Münchner Verkehrsgesellschaft voraus,
an deren Ende die Prüfung zum Betriebsmeister bestanden werden muss. Für eine
Kompetenz der Sicherheitsunternehmen
in den Bereichen Beratung und Konzeption
interessierten sich leider nur wenige Auftraggeber. Sie schrieben lediglich „Mannstunden“
aus. Die Vermutung, dass diese Auftraggeber
der Qualität der Sicherheitsdienstleistung nur
179
180
wenig Bedeutung beimessen, liege bedauerlicherweise nahe. Mindestlohn und Zertifizierung seien wichtige Meilensteine auf dem
Weg zu mehr serviceorientierter Sicherheitsdienstleistung und einer höheren Kundenund Mitarbeiterzufriedenheit.
Das Verkehrsbündnis Allianz pro Schiene, der
Fahrgastverband Pro Bahn und der BDSW
haben bei Forsa eine Studie zum Sicherheitsgefühl im öffentlichen Verkehr 2013
in Auftrag gegeben, deren Ergebnisse laut
Mitteilung der Allianz vom 29. Mai jetzt vorgestellt wurden. Nach der Forsa-Umfrage hätten 91 % der befragten Nutzer angegeben,
sich unabhängig vom Risiko eines Verkehrsunfalls in öffentlichen Verkehrsmitteln sicher
zu führen. Während sich das Sicherheitsgefühl gegenüber 2012 in den Zügen auf
hohem Niveau verbessert habe, zeichne die
Forsa-Umfrage von der Lage an Bahnhöfen
oder Haltestellen ein anderes Bild. Insgesamt
32 % der Reisenden fühlten sich dort 2013
unsicher (2012 waren es sogar 36 %). Das
ängstliche Drittel unter den Reisenden sende
mit dieser Umfrage einen Hilferuf an Politik
und Unternehmen, sagte der Geschäftsführer der Allianz pro Schiene. Im Zweifelsfall
gebe nämlich das Gefühl den Ausschlag, ob
jemand den öffentlichen Verkehr nutzt oder
eher meidet. Der Hauptgeschäftsführer des
BDSW habe darauf hingewiesen, dass die zur
Zeit öffentlich umstrittene Videotechnik von
den Reisenden in den Zügen zwar sehr positiv bewertet werde, die Nutzer an den Bahnhöfen aber andere Prioritäten hätten. Laut
Forsa votierten die Befragten am häufigsten
für ansprechbares Sicherheitspersonal (91 %)
oder uniformiertes Bahn- oder Buspersonal
(84 %). Erst an dritter Stelle rangiere die
Videoüberwachung (73 %). Im einzelnen gaben die Befragten als wichtig für das Sicherheitsgefühl in öffentlichen Verkehrsmitteln
an: ansprechbares Personal in Dienstuniform
(97 %), mitfahrendes Sicherheitspersonal
(68 %), mitfahrende Polizeibeamte (27 %).
Auf Bahnhöfen oder an Haltestellen: schnell
erreichbares Sicherheitspersonal (91 %),
ansprechbares Bahn- oder Buspersonal in
Dienstuniform (84 %), Videoüberwachung
(80 %), schnell erreichbare Polizeibeamte
(76 %), geöffnete Geschäfte und Kioske
(58 %). Das Sicherheitsgefühl in öffentlichen
Verkehrsmitteln ist nach der Forsa-Umfrage
auch in den einzelnen Bundesländern sehr
unterschiedlich. So fühlten sich 2013 in
öffentlichen Verkehrsmitteln weniger oder
überhaupt nicht sicher: 16 % in Brandenburg,
15 % in Berlin und 13 % in Hamburg, andererseits nur 5 % in Niedersachsen und 4 % in
Sachsen und Thüringen. Auf Bahnhöfen oder
an Haltestellen ist das Unsicherheitsgefühl
offensichtlich viel höher: Weniger oder überhaupt nicht sicher fühlten sich 2013 etwa in
Sachsen 21 %, in Thüringen 22 %, aber zum
Beispiel in NRW 38 %, im Saarland 42 % und
in Brandenburg 44 % der Fahrgäste.
Auf das Bündnis „Allianz pro Schiene“
geht auch der Sicherheitsdienst DSD in der
Ausgabe 3-2013 (S. 28) ein. In einem ersten
Schritt halte es das Bündnis für wünschenswert, einen einheitlichen „Bundesbericht
Sicherheit im öffentlichen Verkehr“ durch die
Sicherheitsbehörden erarbeiten zu lassen.
Da es bislang bundesweit keine vollständige
Zahlenbasis gebe. Reiner Bieck, EVG, habe
die öffentliche Hand aufgefordert, in jedem
Bundesland organisierte Dialoge mit allen
Beteiligten aus dem Unterzeichner-Spektrum
zu beginnen. Der gemeinsame Appell an die
Politik werde getragen von allen drei bundesweit agierenden Fahrgastverbänden, den
beiden Polizeigewerkschaften den Verkehrsverbünden Rhein-Main, Rhein-Ruhr und
Stuttgart, von der Deutschen Bahn und ihren
Wettbewerbern Veolia Verkehr GmbH und
Keolis Deutschland GmbH & Co.KG sowie
von der Allianz pro Schiene.
Die EU versuche immer wieder, das Risiko
von Busfahrten durch gesetzliche Vorgaben
zu minimieren, berichtet SPIEGEL ONLINE
am 30. Juli. Ab November 2013 müssten alle
neu zugelassenen Busse zusätzlich mit einer
Abstandskontrolle, einem Notbrems- und
Spurhalteassistenten ausgerüstet sein, habe
Johannes Hübner, Sicherheitsbeauftragter
des Internationalen Bustouristikverbandes,
gesagt. Bei entsprechend ausgerüsteten
Bussen überwachten Sensoren im Fahrzeug
den vorausfahrenden Verkehr und anhand
der Fahrbahnmarkierung die Position des
Fahrzeugs auf der Straße. Registriert die Elektronik ein Verlassen der Spur oder die Gefahr
einer Kollision, werde der Fahrer optisch und
akustisch gewarnt. Der Notbremsassistent sei
sogar in der Lage, das Fahrzeug selbständig
abzubremsen. Hübner plädiere außerdem für
den Einsatz von automatischen Feuerlöschsystemen. Doch bislang sei eine verpflichtende Einführung kein Thema.
Online-Banking
Nach einer Meldung von welt.de vom 21. August verzichtet fast ein Drittel der deutschen
Verbraucher aus Sicherheitsgründen auf das
Online-Banking, womöglich auch als Folge
der NSA- Spähaffäre. 38 % der Verbraucher
mit Internet-Zugang habe Angst vor Betrug
beim Online-Banking. Der Bundesverband
deutscher Banken habe auf die Veröffentlichung reagiert und erklärt, Online-Banking sei
„sicher“. Verbrauchern empfehle der Verband,
ihre Betriebssysteme und Virenprogramme
immer auf dem aktuellen Stand zu halten.
Zudem sollten Nutzer auf ihren Computern
Firewalls installieren. Außerdem dürften
sensible Daten wie Passwörter, PIN und TANs
niemals auf der PC-Festplatte gespeichert
werden.
In der Februarausgabe des Behördenspiegel
werden Ergebnisse der Studie „OnlineBanking – Mit Sicherheit!“ vorgestellt, die
von der Initiative D21 und der Fiducia IT
AG herausgegeben und von TNS Infratest
durchgeführt wurde. Über 95 % der Internetnutzer Online-Banking legten großen
Wert auf Sicherheit und Datenschutz. Dafür
etwas tun oder bezahlen wollten aber immer
weniger Menschen. Aktuell erwarteten 57 %,
dass ihre Hausbank ihnen sichere Transaktionen kostenlos zur Verfügung stellt. Die
Ängste, bei Bankgeschäften über das Internet
betrogen zu werden, seien besonders stark
bei Menschen ausgeprägt, die OnlineBanking nicht nutzen. Fast drei Viertel von
ihnen misstrauten dem Weg in die „virtuelle
Bankfiliale“. Dagegen fühlten sich 80 % der
Online-Banker sicher. Gleichzeitig sicherten
immer weniger Menschen ihren Computer.
Nur noch 75 % der Online-Banker schützten
ihren PC mit speziellen Programmen. 2008
seien es immerhin noch 84 % gewesen. 31 %
der Nutzer verwendeten beim Online-Banking mobile TAN und 28 % Sm@rtTAN-plus.
Wer ein Smartphone oder ein Tablet besitzt,
nutze immer häufiger auch diese Geräte für
seine Bankgeschäfte: 26 % der SmartphoneBesitzer und 37 % der Tablet-Besitzer. Die
Studie steht unter www.initiatived21.de/
publikationen kostenlos zum Download zur
Verfügung.
Die Welt am Sonntag befasst sich am 3.
November mit Angriffen auf das OnlineBanking. MobileTAN und chipTAN-Generator sollten es den Verbrechern unmöglich
machen, an die Ziffernfolge zur Freischaltung
einer Transaktion zu kommen. Die neuen
Verfahren zeigten Wirkung: Zwischen 2011
und 2012 sei die Zahl der Phishing-Fälle
von 6.422 auf 3.440 zurückgegangen. Aber
die Kriminellen fänden immer wieder einen
Weg. Verschiedene Methoden seien schon
entdeckt worden. Die Täter infizierten beispielsweise zunächst via Internet den PC des
Opfers. Loggt sich der Anwender das nächste
Mal in sein Konto ein, werde ihm eine manipulierte Bankseite gezeigt. Der Kunde werde
aufgefordert, eine bestimmte Software auf
seinem Mobiltelefon zu installieren. Der entsprechende Link wird ihm dorthin geschickt
– nachdem er auch noch seine Mobiltelefonnummer preisgegeben hat. Das BKA warne
zudem vor einer Schadsoftware für AndroidSmartphones, durch die der Computer des
Opfers nicht mehr infiziert werden müsse.
Die Täter bieten sogenannte Apps im Internet
181
182
an, mit denen sie die kompletten Onlinebanking-Zugangsdaten abgreifen können. Zur
Installation der App, die im Gewand eines
Banking-Programms daherkomme, werde
nach Kontonummer und PIN gefragt. Ähnliche Tricks, die auch nur funktionieren, wenn
die Kontoinhaber Daten preisgeben, kursieren für chipTAN-Generatoren. Mit neuen
Verfahren wolle nun die Finanzindustrie den
Abstand zu den Betrügern wieder vergrößern. Im Sparkassenbereich würden weitere
Sicherungsverfahren pilotiert, die speziell für
den Einsatz im mobilen Bereich vorgesehen
sind. Welt am Sonntag benennt zwei weitere
Verfahren:
1. photoTAN: Hierbei fotografiere der Kunde
mit seinem Handy eine Grafik auf dem
Computerbildschirm. Nach Entschlüsselung würden TAN und weitere Überweisungsdetails sichtbar.
2.HBCI/FinTS: Das Verfahren funktioniere
mittels Kartenlesegerät und Chipkarte. Die
persönlichen Daten würden mittels spezieller Software zusätzlich verschlüsselt. Der
Kunde sei auf seinen heimischen Computer angewiesen, auf dem das entsprechende Programm installiert ist. Das Verfahren
gelte als eines der sichersten, aber auch
unkomfortabelsten.
Das umstrittene Verschlüsselungsverfahren RC4 komme noch immer beim OnlineBanking namhafter deutscher Banken zum
Einsatz, obwohl das BSI schon im Januar auf
„bekannte kryptographische Schwächen“ hingewiesen habe, berichtet die FAZ am 21. November. RC4 sei allenfalls eine „Übergangslösung“ und solle „nach Möglichkeit nicht
mehr verwendet“ werden, heiße es in einer
Technischen Richtlinie des BSI. Vergangene
Wochen habe auch Microsoft die klare Empfehlung an Systemadministratoren veröffentlicht, RC4 zu deaktivieren. Allerdings gebe es
in der Sicherheitsgemeinde auch Stimmen,
die den Einsatz derzeit noch verteidigen. Wer
RC4 entschlüsseln kann, sei auch in der Lage,
vollen Zugriff auf das Konto zu erlangen.
Allerdings befänden sich die Banken in einer
„Zwickmühle“, denn RC4 gelte derzeit noch
als Schutz gegen sogenannte Beast-Attacken
(„Browser Exploit against SSL/TLS“), eine andere Sicherheitslücke. Alle aktuellen Browser
seien gegen solche Angriffe geschützt, ältere
Versionen und Betriebssysteme seien aber
noch verwundbar. Den besten Schutz gegen
Beast-Attacken böte allerdings ein Update
des Verschlüsselungsprotokolls auf die neueste Version. Das Protokoll beschreibe den
gesamten Vorgang einschließlich Schlüsselaustausch und Authentifikation der Daten.
Organisierte Kriminalität
Im Dezember 2013 veröffentlichte das Bundeskriminalamt (BKA) das Bundeslagebild
2012 zur Organisierten Kriminalität (OK) in
Deutschland. Es wird hier auszugsweise und
zusammengefasst wiedergegeben, soweit
insbesondere die Erkenntnisse für die Unternehmenssicherheit von Bedeutung sind.
Organisierte Kriminalität – Vorbemerkung
OK ist besonders schwer zu bekämpfen,
weil die einzelnen Gruppen zumeist über
erhebliche finanzielle Mittel, ausgezeichnete
Tarnungsmöglichkeiten und internationale
Strukturen verfügen und arbeitsteilig vorgehen. Definiert wird OK als die von Gewinn-
oder Machtstreben bestimmte planmäßige
Begehung von Straftaten, die einzeln oder
in ihrer Gesamtheit von erheblicher Bedeutung sind, wenn mehr als zwei Beteiligte auf
längere oder unbestimmte Dauer arbeitsteilig
zusammenwirken
-unter Verwendung gewerblicher oder
geschäftsähnlicher Strukturen ( 2012:
518 Verfahren)
- o
der unter Einflussnahme auf Politik, Medien, öffentliche Verwaltung, Justiz oder
Wirtschaft (2012: 148 Verfahren) .
-unter Anwendung von Gewalt oder anderer zur Einschüchterung geeigneter Mittel
(2012: 255 Verfahren)
Organisierte Kriminalität – Allgemeiner Überblick
2012 waren 568 Verfahren der OK anhängig,
davon 278 Erstmeldungen. Die 568 Verfahren richteten sich gegen 7.973 Tatverdächtige. 38,3 % waren deutsche Staatsangehörige, 12,8 % türkische, 6,2 % litauische
Staatsangehörige.
Der 2012 ermittelte Schaden belief sich auf
1,1 Milliarden Euro (ein Anstieg gegenüber
2011 um 24 %), der festgestellte kriminelle
Gewinn auf 580 Millionen Euro (ein Anstieg
gegenüber 2011 um 67 %). Davon wurden
(nur) 52 Millionen Euro vorläufig gesichert.
Hauptaktivitätsfelder der OK bildeten 2012
der Rauschgifthandel- und -schmuggel
(37 %), Krimi-nalität im Zusammenhang mit
dem Wirtschaftsleben (13,2 %) und Eigentumskriminalität (13,2 %). Stärker als im
Vorjahr war vor allem die organisierte Steuerund Zollkriminalität ausgeprägt.
84 % der Verfahren waren geprägt von
internationaler Tatbegehung. Bei 35,4 % der
Verfahren konnten Geldwäscheaktivitäten
festgestellt werden.
Die Anzahl der Tatverdächtigen pro Gruppe
lag im Durchschnitt bei 14 Personen. Nur
in 3,3 % der Verfahren wurde eine OKGruppierung mit mehr als 50 Tatverdächtigen
ermittelt.
Der Organisations- und Professionalisierungsgrad der einzelnen OK-Gruppierungen
wird mit dem so genannten OK-Potenzial
ausgedrückt, das sich aus der Anzahl
und Gewichtung der jeweils zutreffenden
Indikatoren zur Erkennung OK-relevanter
Sachverhalte (Bewertung im wesentlichen
nach Tatplanung, Tatausführung und Beuteverwertung) ergibt. Bei der Feststellung der
Indikatoren spielen die Ermittlungsdauer und
der Ressourcenansatz eine entscheidende
Rolle. Das durchschnittliche OK-Potenzial
aller Gruppierungen lag 2012 mit 42,7 Punkten in etwa auf dem Niveau der Vorjahre.
Nach wie vor stellen Gruppen mit mittlerem
OK-Potenzial den mit Abstand größten
Anteil. 31 % der Gruppierungen wiesen ein
OK-Potenzial von über 60 Punkten, 4 % von
über 80 Punkten auf.
Organisierte Kriminalität – OK im Zusammenhang mit
dem Wirtschaftsleben
Die OK i. Z. m. dem Wirtschaftsleben nimmt
den zweiten Rang mit 13,2 % ein. 35 Tätergruppen waren an ihr beteiligt. Das
OK-Potenzial dieser Gruppen wurde mit
44,4 Punkten bewertet. Im Berichtsjahr
wurden in diesem Kriminalitätsbereich Schä-
den von ca. 427 Millionen Euro verursacht.
Dies entsprach ca. 38 % der festgestellten
Schadenssumme aller OK-Verfahren. Von den
kriminellen Erträgen (ca. 239 Millionen Euro)
konnten lediglich 7,2 Millionen Euro vorläufig
gesichert werden. Der Anteil deutsch domi-
183
184
nierter Gruppen lag bei 62,7 %, der türkisch
dominierter Gruppen bei 8 %.
Bei einer internationalen Sicherheitskonferenz am 7. und 8. Januar in Italien äußerte
sich der Präsident des BKA, Jörg Ziercke zur
Bekämpfung der Mafia in Deutschland: „Ein
Mafia-Problem in Italien ist auch ein Problem
in Deutschland. Dass hier ein Rückzugs-,
Ruhe, Investitions- und auch Aktionsraum
ist, haben uns zuletzt die sechs Morde in
Duisburg im Jahr 2007 nachdrücklich vor
Augen geführt.“ Seit Mitte der Neunzigerjahre
seien in Deutschland rund 270 mutmaßliche
Mafia-Mitglieder festgenommen worden. In
den Jahren 2007 bis 2011 seien vierzehn
Ermittlungsverfahren gegen Mitglieder
der italienischen Organisierten Kriminalität
geführt worden – davon zwölf gegen `Ndrangheta, zwei gegen Camorra), 44 weitere
Ermittlungsverfahren hätten enge Bezüge
zur italienischen Mafiakriminalität aufgewiesen. Allein 2011 sei durch diese Formen
der Kriminalität ein Schaden in Höhe von
etwa 2,9 Millionen Euro verursacht worden.
Im Kampf gegen Organisierte Kriminalität
komme der deutsch-italienischen Kooperation herausragende Bedeutung zu. Durch die
Einrichtung der deutsch-italienischen Task
Force (DITF) zur Bekämpfung der italienischen Mafia in Deutschland 2007 sei bereits
viel erreicht worden. Zur Aufspürung illegaler
Mafiavermögen in Italien und Deutschland
bestehe innerhalb der DITF eine gemeinsame
Arbeitsgruppe. Unangetastete Ruheräume
der Mafia in Deutschland würden zu einer
Sogwirkung des illegal erlangten Vermögens
nach Deutschland führen. Erforderlich sei
eine auf EU-Ebene harmonisierte Rechtsgrundlage, die eine einheitliche Bekämpfung
der italienischen OK nach Art der Mafia in
allen Mitgliedstaaten ermöglicht.
Rumänische Tätergruppen treten nach den
Erkenntnissen des BKA in verschiedenen
Deliktsbereichen in Erscheinung, vor allem
im Menschenhandel, der Eigentums- und
Zahlungskartenkriminalität. Die Bundespolizei ermittle seit 2007 im Zusammenhang mit
einer Aufbruchsserie von Güterwagen gegen
eine rumänische Tätergruppe, die bereits in
25 Fällen Zigaretten im Gesamtwert von rund
3,6 Millionen Euro aus Güterzügen auf einer
Strecke zwischen den Niederlanden und
Italien entwendet habe. Nach der Festnahme eines Großteils der Tatverdächtigen sei
am 26. November erneut ein Diebstahl und
am 19. Dezember ein versuchter Diebstahl
festgestellt worden. Einzelne Täter bestiegen den Zug bei günstiger Gelegenheit und
bereiteten die auf Paletten verschweißten
Zigaretten zum Abwurf vor. Zum Öffnen des
Verschlussbolzens und eines Metallsiegelstiftes an der Waggontür benutzten die Täter
einen Winkelschleifer. Bei betriebsbedingten
Langsamfahrten würden die Zigaretten aus
dem Zug geworfen, von weiteren Tätern in
Kleintransportern verladen und in Italien an
unbekannte Abnehmer verkauft.
Laut FAZ vom 4. April haben die italienischen Mafiajäger aus Palermo bekanntgegeben, dass Mafiavermögen von 1,3 Milliarden
Euro endgültig konfisziert worden sei. Dazu
gehörten 43 Gesellschaften und Beteiligungen, 98 Immobilien und Grundstücke, sieben
Fahrzeuge und Boote sowie 66 Bankkonten
und Versicherungspolicen. Größter Vermögensbestandteil seien Windparks in der
Provinz Trapani im Westen von Sizilien. Die
Mafiajäger in Italien verfolgten seit Jahren die
Strategie, das Organisierte Verbrechen durch
Beschlagnahme und Einziehen ihres Vermögens zu treffen, weil damit die Organisation
Macht, Prestige und die Mittel für den laufenden Betrieb, auch für Rechtsanwälte oder die
Familien von einsitzenden Mafiosi, verlieren.
Sobald in Italien eine Person unter dem Verdacht steht, zu einer mafiösen Vereinigung
zu gehören, könne ihr Vermögen beschlagnahmt werden. Bei einer Verurteilung kehre
sich grundsätzlich die Beweislast um, und der
Beschuldigte müsse nachweisen, dass er das
Vermögen rechtmäßig erworben hat.
Das organisierte Verbrechen ist ein Megageschäft in Ostasien, titelt die FAZ am
19. April. Der illegale Handel, betrieben durch
organisierte Verbrecherbanden, erreiche
in Asien-Pazifik enorme Summen: Auf ein
jährliches Volumen von 90 Milliarden Dollar
schätzten die UN das Geschäft mit dem
Handel mit Menschen, gefälschten Medikamenten, illegal geschlagenem Tropenholz
oder Drogen. Das Volumen, das die Verbrecher bewegen, sei so groß, dass es ganze
Gesellschaftssysteme rund um die Erde
destabilisieren könne. Mit einem Anteil von
gut 24 Milliarden Dollar bilde der Handel gefälschter Produkte – von Handtaschen bis zu
Ersatzteilen für Automobile – den Löwenanteil. Das schlimmste Täterland sei hier China.
75 % aller gefälschten Produkte stammten
aus Ostasien, insbesondere aus der Volksrepublik. An zweiter Stelle folge der Handel
mit illegal geschlagenem Holz (17 Milliarden
Dollar), dann der mit Heroin (16 Milliarden
Dollar). Die Schlüsselfiguren im Geschäft
mit Fälschungen seien die Vermittler und
die Logistiker, die Angebot und Nachfrage
zusammenbringen.
Wie der Behörden Spiegel in seiner Mai-Ausgabe berichtet, hat Europol die Bedrohungslage Europas durch Gruppierungen schwerer
und organisierter Kriminalität (OK) dargelegt.
Hierbei seien etwa 3.600 OK-Gruppierungen
als aktiv in Europa tätig identifiziert worden.
Die OK sei zunehmend nicht mehr durch die
Nationalität oder durch Spezialisierungen
auf bestimmte Deliktsbereiche zu definieren,
sondern im Gegenteil über ihre Fähigkeit,
auf internationaler Basis zu operieren. Der
Fokus dieser Operationen läge grundsätzlich
auf dem Prinzip von maximalem Profit bei
minimalem Risiko. Die neuen Möglichkeiten
des Netzes und die Wirtschaftskrise hätten
zu einem Umdenken bei den Kriminellen
geführt. So gebe es eine verstärkte Aktivität
der OK-Gruppierungen in den Bereichen
Warenfälschung, illegaler Handel mit Arzneimitteln, illegaler Handel mit Sicherheitsprodukten, Fälschung von alltäglichen Produkten
und Fälschung von Nahrungsmitteln. Über
die Hälfte aller OK-Gruppierungen in der EU
seien in Drogenhandel und Geldfälschung
verstrickt. Illegale Migration und Waffenhandel ständen oftmals mit der Drogenkriminalität in Verbindung. Über 40 % der in der EU
aktiven Gruppierungen wiesen heute eine
Netzwerk-Struktur auf. Die Veränderung der
OK-Gruppen führe ebenso zu veränderten
Modi Operandi. Die Gruppen verfügten über
eine größere Mobilität und könnten parallele
Operationen in den Mitgliedstaaten der EU
durchführen. Zudem spezialisierten sie sich
zunehmend auf multiple Formen der Kriminalität und würden in ihren eigenen Strukturen
stärker international agieren.
Nach einem Bericht von EUROPOL haben
finnische Strafverfolgungsbehörden in enger
Zusammenarbeit mit dem European Cybercrime Centre (EC3) bei Europol eine asiatische kriminelle Bande aufgedeckt, die für
illegale Internet-Transaktionen und den Verkauf von Flugtickets verantwortlich sei. Als
Ergebnis der erfolgreichen Operation seien
zwei Mitglieder der Gang, die unter falschen
Dokumenten reisten, am Flughafen Helsinki
verhaftet worden. Auf den sichergestellten
Computern seien 15.000 kompromittierte
Kreditkarten-Nummern gefunden worden.
Die kriminelle Bande habe Kreditkartendetails missbraucht, die sie von Karteninhabern
weltweit gestohlen hatte. Allein in Europa
sei Karteninhabern und Banken ein Schaden
von mehr als 70.000 Euro entstanden. Es
gebe Beweise für weitere kriminelle Aktivitäten, großangelegte internationale Betrügereien und illegale Immigration. Koordinierte
Ermittlungsmaßnahmen auf EU-Ebene,
internationale Einsatzbesprechungen,
forensische Überprüfung sichergestellter
elektronischer Nachweise und die wertvolle
Unterstützung der Finanzwirtschaft seien
der Schlüssel zu dem erfolgreichen Abschluss dieser Ermittlungen.
185
186
Perimeterschutz
Wie Stefan Brose, VdS, in der Ausgabe
6-2012 der Fachzeitschrift WiK (S. 70–72)
berichtet, werden im neuen „Sicherungsleitfaden Perimeter (VdS 3143)“ unter
anderem die speziellen Eigenschaften von
über einem Dutzend elektronischer Überwachungsanlagen sowie verschiedene bauliche
und mechanische Sicherungsmaßnahmen
erklärt. Enthalten seien zudem Beispielkonzepte sowie Regelungen zu Anlagendokumentation, Planung Betrieb und Instandhaltung. Im Bereich des Perimeterschutzes gebe
es eine unerschöpfliche Vielfalt an Produkten
und Lösungen. Der korrekten Melderauswahl
komme eine entscheidende Bedeutung zu.
Anders als bei der Einbruchmeldetechnik
gebe es bei den Sensoren zur Perimeterdetektion eine Vielzahl an Einstellmöglichkeiten.
Die Kombination verschiedener Detektionssysteme generiere einen Mehrwert,
der über die Summe der Einzelleistungen
hinausgeht. Werde Perimeteralarm mit dem
Bewegungsmelder im Gebäude kombiniert,
so lasse die Erkenntnis, dass der Einbruchalarm dem Perimeteralarm in zeitlicher Nähe
folgt, den Schluss zu, dass es sich mit hoher
Wahrscheinlichkeit um einen „echten“ Alarm
handelt (vgl. auch den Beitrag von Stefan
Brose in s+s report).
Wolfgang Wüst, BSG-Wüst GmbH, befasst sich in der Fachzeitschrift s+s report
(Ausgabe 4-2012, S. 28–30) mit der Wirtschaftlichkeit des Perimeterschutzes. Der
fordere eine Abwägung zwischen Detektionswahrscheinlichkeit und Falschalarmrate,
technischem Aufwand und organisatorischen
Einschränkungen. Selektive technische Detektion erkenne typische Bewegungsmuster.
Als ganz hervorragend habe sich ein Netz
aus Langstrecken-Infrarotbewegungsmeldern erwiesen, die, intelligent verknüpft, in
Mehrmelder-Abhängigkeit Alarme generieren. Die Kunst bestehe darin, die Sensoren in
solcher Weise zu verknüpfen, dass erst deren
Auslösung in einer erwarteten Folge einen
Alarm auslöst. Wichtig sei, alle Übertragungs-
wege und die Sensorik auf Manipulationen
hin permanent zu überwachen. Dies gelinge
heute sogar bei verschlüsselter Funkübertragung im Freigelände mit großem Erfolg.
Detektionswahrscheinlichkeiten von über
90 % seien wirtschaftlich erreichbar, und die
Zahl von Falschalarmen, die der Polizei zur
Intervention übergeben werden, sinke auf
unter 5 %.
Roger Zobel, Siemens AG, befasst sich in
dieser Ausgabe von s+s report mit intelligenten Systemen für den Außenbereich. Ein
Sektorenkonzept (Sektor 0: außerhalb der
Perimetergrenze; Sektor 1: Perimetergrenze;
Sektor 2: Innenfläche; Sektor 3: zu schützende Objekte im Innenbereich) erlaube eine
flexible Anpassung. Mit diesem Konzept könne auch eine intelligente, sensorunabhängige
Alarmsteuerung auf der Ebene des Alarmmanagementsystems erzielt werden (S. 37/38).
Dipl.-Wirtschaftsjurist (FH) Sebastian Brose
weist in s+s report (Ausgabe 2-2013) darauf
hin, dass mit der Richtlinie VdS 3456 zum
ersten Mal Richtlinien für Perimetermelder
veröffentlicht werden (S. 44–46). Sie gelten
in Verbindung mit den Richtlinien für EMA,
Allgemeine Anforderungen Prüfmethoden,
VdS 2227, und den Richtlinien für EMA, Anforderungen und Prüfmethoden, VdS 2110.
Sie könnten ab sofort angewendet werden
und würden zukünftig ergänzt durch die
Richtlinien für Anlageteile zur videobasierten Perimeterüberwachung, VdS 3463, und
Richtlinien für Perimeterüberwachungsanlagen, Planung und Einbau, VdS 3146.
Peter Niggl, Security insight, stellt in Ausgabe
5-2013 (S. 52/53) ein „intelligentes“ Zaunsystem mit Sensorik vor, das Eindringlinge
detektiert. Die Sicherheitstechnik sei unsichtbar. Eine gebe keine auffällige Infrastruktur.
Bestandszäune ließen sich kostengünstig
nachrüsten. Das modular aufgebaute Detektionssystem bestehe aus einem zurücksetzbaren Kippausleger sowie einem 3D-Beschleu-
nigungssensor der Firma Sysco. In den
Zaunpfosten lägen die Nervenstränge des
Systems. Die Sensoren registrierten nicht
nur Körperschall, sondern auch Erschütterung, Neigung und andere Besonderheiten.
Jeder Sensor habe eine Adresse, die im Managementsystem sofort die Alarmauslösung
exakt lokalisiere.
Auch in Ausgabe 6 dieser Zeitschrift
(S. 48/49) wird intelligenter Perimeterschutz thematisiert. Entscheidend sei und
bleibe der eine „Schritt voraus“ bei der Meldung eines Ereignisses. Die Meldung erfolge
bereits, bevor Unbefugte die Chance haben,
in ein Gebäude einzudringen. Kombiniert mit
einer effizienten Gebäudesicherung entstehe
so ein wertvolles Zeitfenster, um eine Tat zu
verhindern, statt sie nur zu protokollieren.
Einen entscheidenden Vorteil böten Schnelllauftore: Sie vereinten Eigenschaften von
Schranken und Schiebetoren, seien ausreichend schnell, um nach jedem Fahrzeug zu
schließen, und böten Schutz vor unberechtigtem Betreten. Generell gelte: Höchste
Sicherheit schafft nur die Überwachung
jeder Toröffnung.
Personenschutz
Daniel Schrader, Sicherheitsakademie Berlin,
beschreibt in der Fachzeitschrift Security insight (Ausgabe 6-2012, S. 27/28) Kriterien für
eine erfolgreiche Entwaffnung von Angreifern mit Kurzwaffen. Vorbereitet auf eine solche Situation sei man, wenn man sich bewusst
gemacht hat, dass die Waffe auf verschiedene
Distanzen mit schnellen Richtungswechseln
erhebliche Verletzung anrichten kann, und
dass es zur Abwehr einer „Arbeitsdistanz“
bedarf, die die Armlänge des Verteidigers als
Maß hat. Vorbereitet sei man, wenn man die
Gefährlichkeit einer Situation erkennt sowie sie
„im Geiste“ durchspielt. Zwingende Kriterien
für einen Handlungserfolg seien:
GmbH, in der Fachzeitschrift Security insight
(Ausgabe 1-2013, S. 42/43). Als sinnvolle
Maßnahmebereiche benennt er:
- Entwaffnung nur in Nahdistanz
-Corporate Cyber-Sonar: getaktete Auswertungen und Alerts. Dabei kämen computerlinguistische und semantische Methoden zum Einsatz, um aus dem „großen
Rauschen“ sicherheitsrelevante Beiträge
zu filtern. Durch das Aufdecken von
schwachen Signalen werde das Unternehmen frühzeitig gewarnt.
- Ablenkung des Angreifers nutzen
-im richtigen Moment überraschend,
schnell und aggressiv handeln
- S
chussrichtung der Waffe einkalkulieren
und kontrollieren
- S
ituation kontrollieren (Waffe und/oder
Gegner).
Personenschutz auch im digitalen Raum
empfiehlt Prof. Dr. Martin Grothe, complexium
-C-Level Cyber Checkup: Personenschützer müssen den aktuellen Status ihrer
Schutzpersonen im Social Web kennen.
Sie sollten wissen, welches Profil Dritte aus
dem digitalen Raum aufbauen können.
-C-Level Social Media Guideline: Mit
einigen Verhaltensempfehlungen für die
Schutzperson und ihre Familienangehörigen lassen sich Fehler im Umgang mit
sozialen Netzwerken vermeiden.
Personenschutz für „Vermögende“ ist das
Thema von Wolfgang Kirner, Corporate Trust
Business Risk & Crisis Management GmbH
WiK (S. 22–24). Der moderne Personenschützer habe nichts mit den Klischees
187
188
aus Hollywood-Filmen zu tun. Anstatt dem
Auftraggeber auf Schritt und Tritt zu folgen,
würden in der Regel abgesetzte Vorausklärungsmaßnahmen mit hohem Technikeinsatz
durchgeführt. Damit die Bedrohung nicht zur
Realität wird, sollten Schwachstellenanalysen
über die Wohn- und Arbeitsobjekte vorliegen,
Hausangestellte überprüft und sensibilisiert
sowie ein präventives Krisenmanagement
aufgebaut sein. Und für den Worst Case
sollte eine Kidnapp & Ransom-Versicherung
bestehen.
Piraterie
Nachfolgend werden Informationen aus dem
Lagebild Seesicherheit des Bundeskriminalamtes (Stand: April 2012) wiedergege-
ben, die von besonderem Interesse für die
Sicherheit deutscher Unternehmen und ihrer
Beschäftigten sein können.
Piraterie – Gefährdungshinweise des BMI
Das BMI hat die Gewässer vor dem NigerDelta im Golf von Guinea und im Golf von
Aden/Seegebiet vor Somalia-Ostafrika/Indischer Ozean mit der Gefahrenstufe 2 belegt
und Gefährdungshinweise für die Küstengewässer und Häfen von Somalia, Dschibuti
und Kenia, für die Straße von Mosambik, für
die Gewässer vor Brasilien, das Seegebiet vor
der Küste Venezuelas und vor dem Libanon,
für die Straße von Hormuz und das Seegebiet von Indonesien veröffentlicht. Über
den Internetauftritt des Bundesamtes für
Seeschifffahrt und Hydrographie (BSH) bzw.
über die Veröffentlichung der Nachrichten für
Seefahrer können diese Sicherheitshinweise
im Einzelnen nachgelesen werden.
Piraterie – Gefährdung des Seeverkehrs durch Piraterie
Piraterie ist ein weltweites Phänomen. Im
Fokus der internationalen Betrachtung dieser
Kriminalitätsform steht seit geraumer Zeit die
Bedrohung der internationalen Seeschifffahrt
durch die von Somalia am Horn von Afrika
ausgehenden Piratenattacken. Aufgrund des
Einsatzes von Mutterschiffen hat sich das
hiervon betroffene Seegebiet bereits seit
2010 über das Somalia-Becken und den Golf
von Aden in das Arabische Meer und darüber
hinaus weit in den Indischen Ozean bis an die
indischen Hoheitsgewässer im Osten und bis
in die Straße von Madagaskar sowie an die
Seychellen-Inselgruppe im Süden ausgeweitet. Längst handelt es sich bei den Piratengruppierungen um hierarchisch organisierte
kriminelle Vereinigungen.
Eine Gefährdung ist nach wie vor im Golf
von Guinea, an der Westküste des afrikani-
schen Kontinents, zu konstatieren. Weitere
von Piraterie betroffene Gebiete sind in den
asiatischen Gewässern sowie in einigen Küstenregionen Lateinamerikas und der Karibik
zu sehen.
Wenngleich die Ursachen und Hintergründe jeweils differenziert zu betrachten sind,
so ist das Ausmaß der Piratenattacken in
vielen Fällen gleich. Mit Waffen ausgerüstete
Piraten entern langsam fahrende oder auf
Reede liegende Schiffe, plündern und rauben
Ausrüstung und Wertgegenstände, um dann
das Schiff wieder zu verlassen. Kurzzeitige
Entführungen sind ebenfalls möglich. Angriffe
auf Schiffe der internationalen Handelsflotte
außerhalb der Seegebiete am Horn von Afrika
sowie im Golf von Guinea sind im Berichtszeitraum nicht bekannt geworden.
Die Bundespolizei hat am 1. Februar 2010
ein Piraterie-Präventionszentrum (PPZ)
eingerichtet und verfolgt in Abstimmung
mit anderen nationalen Partnern das Ziel,
Präventionsmaßnahmen verschiedener
Behörden zu koordinieren und deutschen
Reedereien sowie Freizeitschiffern einen
zentralen Ansprechpartner für Pirateriefragen
zur Verfügung zu stellen. Deutsche Reeder
werden auf Wunsch bei der Planung von
Reisen durch gefährdete Seegebiete durch
das PPZ unterstützt, um sich z. B. auch durch
technische Maßnahmen zu schützen.
2011 sind mit 505 festgestellten Piraterievorfällen die Fallzahlen im Vergleich zum
Vorjahr (500) nochmals leicht angestiegen.
Die Anzahl der registrierten Entführungen/
Kaperungen ist jedoch mit 90 gegenüber 95
im Jahr zuvor zurückgegangen.
Am Horn von Afrika sind Piraterievorkommnisse, die ihren Ursprung in Somalia haben,
2011 mit 253 registrierten Vorfällen wieder
angestiegen (um 9,5 %). Davon entwickelten sich 59 Fälle zu Schiffsentführungen,
die sich in 26 Kaperungen von Schiffen der
internationalen Seefahrt zum vorwiegenden
Zweck der Lösegelderpressung sowie in 33
Entführungen von kleineren Fahrzeugen der
überwiegend lokalen Schifffahrt aufteilen.
Im Vergleich zum Vorjahr ist die Anzahl der
Entführungen von Handelsschiffen erheblich
zurückgegangen.
Seit Juni 2011 ist insgesamt eine rückläufige Tendenz erkennbar. Insbesondere das
verstärkte Vorgehen der internationalen
Marineeinheiten gegen die Mutterschiffe, aber
auch zusätzliche Sicherheitsmaßnahmen
der betroffenen Reedereien, führten Mitte
des Jahres zu einer signifikanten Wende.
Wurden in den ersten 6 Monaten noch 175
Piratenattacken gezählt, so kam es in der
zweiten Jahreshälfte lediglich zu 80 Vorfällen.
Die bisherige Entwicklung 2012 zeigt, dass
die Piratenaktivitäten sich weiterhin auf dem
Ende 2011 konstatierten Niveau bewegen.
Die internationale Seeschifffahrt ist zunehmend gegen die Übergriffe der Piraten
gewappnet. Die Anwendung der Best
Management Practices sowie die Einrichtung
eines Schutzraumes stellen massive Hindernisse für kaperwillige somalische Piraten
dar. In vielen dokumentierten Fällen konnten
durch diese konkreten Gegenmaßnahmen
Entführungen von Schiffen sowie die Geiselnahme von Besatzungsmitgliedern verhindert
werden. Der Rückgang von erfolgreichen
Kaperungen ist nicht zuletzt darauf zurückzuführen, dass die Eigner und Reeder vermehrt
bewaffnete Sicherheitskräfte an Bord ihrer
Schiffe einsetzen.
Der Golf von Guinea ist nach wie vor ein
Krisenherd. Der im Vergleich zu den Vorjahren festgestellte Wiederanstieg der Fallzahlen
von 51 auf 75 ist alarmierend. Ausgangspunkt ist nach wie vor Nigeria. Zum einen
gibt es eine armutsbedingte Piraterie, zum
anderen verüben seit Jahren die NigerdeltaRebellen – im wesentlichen die Movement for
the emancipation of the Niger Delta (MEND) –
Überfälle auf Ölplattformen und deren
Serviceschiffe. Insgesamt brachten Piraten
2011 13 Mal Schiffe in ihren Besitz. Eine
steigende Tendenz ist erkennbar. Im Golf von
Guinea besteht grundsätzlich für Schiffe aller
Art und Nationalität die Gefahr, Opfer eines
Piratenüberfalls zu werden. Das größte Risiko
besteht allerdings für Öltanker.
In den Seegebieten in Südostasien liegen die
Fallzahlen (121 Vorfälle) ebenfalls auf relativ
hohem Niveau. Betroffen ist in den meisten
Fällen nur die lokale Schifffahrt. Frachtschiffe
und Tanker sind am häufigsten von Piraterieüberfällen betroffen.
189
190
Piraterie – Gefährdung der Seeschifffahrt durch
islamistischen Terrorismus
Aus Sicht islamistischer Täter dürfte der Seeverkehr ein lohnendes Anschlagsziel darstellen, da entsprechende Anschläge eine hohe
Medienwirksamkeit erzeugen und darüber
hinaus auch hohe Opferzahlen sowie Auswirkungen auf die Umwelt und auf die Wirtschaft
mit sich bringen könnten.
Insbesondere in den Gewässern um die
Arabische Halbinsel ist in diesem Kontext von
einer erhöhten abstrakten Gefährdung auszugehen. Mithin ist eine Gefährdung der in den
weltweiten Gewässern fahrenden deutschen
Handelsflotte sowie der Kritischen Infrastrukturen in deutschen Hafenanlagen gegeben.
Berthold Stoppelkamp, BDSW, erläutert in
DSD, Ausgabe 2-2013, S. 20/21, das Zulassungsverfahren für Sicherheitsunternehmen zum Einsatz auf deutschen Seeschiffen
zur Abwehr von Piraterieangriffen. Antragstellende Sicherheitsunternehmen müssten
im Rahmen des Zulassungsverfahrens dem
BAFA darlegen, dass sie bestimmte Anforderungen an die betriebliche Organisation
und Verfahrensabläufe erfüllen. Sie müssten
zudem sicherstellen, dass nur geeignetes
und zuverlässiges Personal eingesetzt wird.
Durch den verstärkten Einsatz von privaten
Sicherheitsdiensten auf Seeschiffen hätten
sich im ersten Quartal 2013 die Piratenangriffe gegenüber dem Vorjahr weltweit erheblich
reduziert (von 102 auf 60). Darunter sei kein
Schiff unter deutscher Flagge gewesen. Der
BDSW fordere die deutschen Reeder auf,
beim Schutz ihrer Schiffe zukünftig verstärkt
qualifizierte deutsche Sicherheitsunternehmen einzusetzen. Mit dem Zulassungsverfahren sei juristisches „Neuland“ betreten
worden.
Rechtsanwalt Michael Karschau befasst sich
in der Ausgabe 2-2013 von W&S (S. 16/17)
mit offenen Fragen im Verfahren der Zulassung von Sicherheitsunternehmen zur
Pirateriebekämpfung. Nach einer Studie von
Pricewaterhousecoopers 2012 setzen bis zu
80 % der deutschen Schiffseigner bewaffnete Sicherheitskräfte für den Transit ein. Ab
Dezember 2013 müssten Sicherheitsunternehmen für den Einsatz zur Piraterieabwehr
über eine vom BAFA erteilte Zulassung
verfügen. Das Zulassungsverfahren werde
jedes Unternehmen zwischen 8.000 und
16.000 Euro kosten. Die Zulassungsvoraussetzungen seien immer noch unklar: Müssen
die Sicherheitskräfte beispielsweise deutsch
sprechen können? Ungelöst sei vor allem der
Einsatz von Subunternehmern. Offen seien
auch Fragen des Waffenrechts.
Der Behörden Spiegel weist am 8. Mai auf
zwei vom Bundeskabinett beschlossene
Verordnungen hin, die die Zulassung von
bewaffneten privaten Sicherheitsdiensten
zur Abwehr von Piraten auf deutschflaggigen
Seeschiffen regeln. Sie machten den Weg
frei für den Einsatz offiziell zugelassener
privater Sicherheitsunternehmen auf deutschen Seeschiffen. Mit einem geordneten
Zulassungsverfahren werde Rechtssicherheit
für die Reeder garantiert. Die Verordnungen
konkretisierten ein am 4. März in Kraft getretenes Gesetz, mit dem die gewerbe- und
waffenrechtlichen Rahmenbedingungen für
private bewaffnete Sicherheitsdienste auf
hoher See geschaffen wurden. Der BDSW
fordere nun die deutschen Reeder auf, beim
Schutz ihrer Schiffe qualifizierte deutsche
Sicherheitsunternehmen mit dieser schwierigen und verantwortungsvollen Aufgabe zu
betrauen. Es müsse eine ausreichende Zahl
von Unternehmen in Deutschland zugelassen
werden.
Im Golf von Guinea haben Piraten das
deutsche Frachtschiff „Hansa Marburg“
überfallen und vier Seeleute als Geiseln
genommen, meldet die FAZ am 27. April.
Der Piratenangriff sei 130 Seemeilen süd-
westlich von Malabo, der Hauptstadt von
Äquatorialguinea, erfolgt. Die Piraten hätten
die vier Seeleute aus Russland, der Ukraine
und Kiribati offenbar entführt, um von der
Reederei Leonhardt & Blumberg Lösegeld zu
erpressen. Die übrigen Besatzungsmitglieder
hätten die Reise mit der „Hansa Marburg“, die
unter liberianischer Flagge fährt, in Richtung
Senegal fortgesetzt. Piratenüberfälle vor der
westafrikanischen Küste nähmen zu. In der
Vergangenheit seien dort aber zumeist keine
Geiseln genommen worden. Die Zahl der
Entführungen an der ostafrikanischen Küste
habe stark abgenommen, weil inzwischen
fast alle Frachter bewaffnete Sicherheitskräfte
an Bord haben. Außerdem habe die internationale Marine ihre Präsenz stark erhöht.
Vor der Küste Westafrikas gebe es hingegen
kaum eine funktionierende Küstenwache. Im
Jahre 2012 habe es im Golf von Guinea mehr
als 50 Überfälle auf Schiffe gegeben.
In der Fachzeitschrift WiK, Ausgabe 4-2013
(S. 32–34) wird das Piraterie-PräventionsZentrum (PPZ) in Neustadt/Holstein vorgestellt. Schwerpunkt sei die Piraterie-Prävention, und hier insbesondere die Beratung der
Reedereien und die Beratung und Schulung
der Crews. Zuständig sei die Bundespolizei
für Schiffe, die unter deutscher Flagge fahren
und über deutsche Besatzungen verfügen,
Schiffe mit einer deutschen Crew, die ausgeflaggt wurden, und Schiffe deutscher Reeder.
Basis der Piraterieprävention seien zwei
Aspekte: möglichst frühzeitige Information
über konkret absehbare Gefährdungen und
Ertüchtigung des Schiffs, um den Widerstandszeitwert und die Schutzmöglichkeiten
für die Besatzung möglichst so zu erhöhen,
dass militärische Hilfe eingreifen kann, bevor
das Schiff geentert wird. Zur Ganzheitlichkeit
der Trainingsmaßnahmen trage bei, dass
neben der Bundespolizei und der Bundesmarine auch Polizeipsychgologen, Nautiker,
Kriminalisten und Analysten beteiligt würden,
außerdem Ingenieure, die an technischen
Sicherheitslösungen ausbilden. Ein weiterer
wichtiger Teil der Dienststelle sei die Maritime
Ermittlungs- und Fahndungseinheit. Im Golf
von Guinea könnten private Sicherheitsdienste nicht eingesetzt werden, da Nigeria dies
nicht zuließe. Als technische Abwehrmaßnahmen gegen Enterversuche empfehle das PPZ
spezielle Wasserkanonen, NATO-Drahtrollen
oder Abwehrgitter, die in den gefährdeten
Gebieten ausgeklappt werden. In einem Kommentar zum Zulassungsverfahren für Sicherheitsunternehmen wird darauf hingewiesen,
dass bei der Prüfung der Zulassung auch die
fachliche Geeignetheit des Einsatzpersonals
durch die betroffenen Unternehmen darzustellen sei. Dafür sei eine spezielle Zusatzausbildung erforderlich, die mit einer entsprechenden Sachkundeprüfung enden sollte. Es
wäre hilfreich, wenn ein rechtlich verbindlicher Rahmenstoffplan durch den DIHK bzw.
das BMI erstellt und dann diese Ausbildung
durch eine anerkannte Schulungseinrichtung
sichergestellt werde.
Claus Schaffner, WiK (Ausgabe 5-2013,
S. 12-15), erläutert die im Juni vorgestellte
Studie „The Human Cost of Maritime Piracy
2012“ von „One Earth Future“. Es sei gelungen, die Gefahr der Überfälle durch somalische Piraten um etwa 78 % zu reduzieren,
aber das Piraten-Risiko habe sich nun an
die westafrikanische Küste verlagert. Der
Golf von Guinea sei inzwischen gefährlicher
einzuschätzen als Somalia. Die finanziellen
Einsatzkosten allein für die Somalia-Region
beziffere die Studie für 2012 mit rund 6 Milliarden $, im Golf von Guinea mit ca. 1 Milliarde $. Die Dauer von Geiselnahmen durch
somalische Piraten habe im Durchschnitt
11 Monate betragen. Abgesehen von der
psychischen Belastung bestünde die größte
Gefahr für körperliche Gewalt und Folter vor
allem für Besatzungen, die länger als Geiseln
gehalten wurden. Insgesamt hätten seit 2009
vor den Küsten Somalias über 600 Menschen
ihr Leben verloren. Für den Golf von Guinea
liste das International Maritime Bureau (IMB)
die Küsten von Nigeria, Benin, Togo und der
Elfenbeinküste als besonders piratengefährdet auf. Geiselnahme und Entführung seien
nicht das primäre Ziel der westafrikanischen
Piraten. Ihnen gehe es eher um die Ladung.
191
192
Das IMB habe 2012 insgesamt 43 Meldungen von Schiffen erhalten, die im Golf von
Guinea attackiert wurden. 800 Seeleute seien
dort von einer Enterung betroffen gewesen,
206 als Geiseln genommen worden. 83 %
der Attacken im Golf von Guinea hätten mit
der Enterung geendet. Schiffe würden meist
vor Anker angegriffen oder während der
Umladungen. Insgesamt verhielten sich laut
Studie die Piraten vor Westafrika gewalttätiger als vor Somalia. Die Qualität der eingesetzten Waffen sei jener der Sicherheitskräfte
überlegen.
Immer weniger Piratenangriffe, titelt die
FAZ am 18. Oktober. Ihre Zahl habe nach
Angaben des Internationalen Schifffahrtsbüros (IMB) den niedrigsten Stand seit sieben
Jahren erreicht. Gleichwohl sei die Gefahr
solcher Überfälle nach wie vor sehr groß. Laut
dem Bericht seien in den ersten 9 Monaten
des Jahres 2013 insgesamt 188 Piratenangriffe registriert worden. Im gleichen Vorjahreszeitraum seien es noch 233 gewesen. 10
Schiffe seien in diesem Jahr bislang gekapert
worden, 17 beschossen und 140 geentert.
Dabei seien 266 Seeleute vorübergehend als
Geisel genommen und 34 entführt worden.
Drastisch gesunken sei die Zahl der Angriffe
vor Somalia. Lediglich 10 der registrierten
Fälle seien somalischen Piraten zugerechnet worden. Vor einem Jahr seien es noch
70 gewesen. Immer noch in der Hand von
somalischen Piraten seien Ende September
zwei Schiffe mit 15 Seeleuten an Bord. 49
entführte Besatzungsmitglieder würden
an Land festgehalten, 37 von ihnen bereits
länger als zwei Jahre.
Heise online meldet am 16. Oktober, dass
das Schiffsüberwachungssystem AIS von
außen ohne Probleme manipuliert werden
könne. Weder werde eine Authentifizierung
eingefordert, noch würden AIS-Nachrichten
verschlüsselt oder signiert. Praktisch ließen
sich hierdurch Meldungen zu Schiffsposition, Route, Name, Landeszugehörigkeit und
Ladung verändern. Hacker könnten etwa
gefälschte Datenpakete an die zentralen AISServer senden, um so die Fernüberwachung
zu stören. Vorstellbar sei, dass Piraten vor
Somalia dafür sorgen, dass Schiffe aus der
AIS-Überwachung verschwinden.
Postkontrolle im Unternehmen
Aspekte der Postkontrolle im Unternehmen
behandelt Ekkehard Hahn, Mail Professional
GmbH, in der Ausgabe 3-2013 der WiK
(S. 16–18). Der größte Feind der Sicherheit in den Poststellen sei die gefährliche
Routine. Die Mitarbeiter müssen jeden Tag
neu ein gesundes Misstrauen entwickeln.
Dazu gehöre auch das regelmäßige Üben
mit „echten“ Testsendungen. Standards zur
sicheren visuellen Erkennung von gefährlichen Sendungen gebe es nicht. Jede
sehe anders aus und sei anders aufgebaut
– angefangen vom verwendeten Kampfstoff
bis hin zum Zündmechanismus. Falsch
wäre es, nur mit explosiven Sendungen zu
rechnen. Problematischer zu erkennen seien
Sendungen, die chemische oder biologische
Stoffe enthalten, da sich deren Äußeres nicht
von einer normalen Sendung unterscheiden müsse. Manchmal gebe es allerdings
Indizien: Ein Umschlag, der nur unzureichend und fehlerhaft beschriftet ist oder ein
Paket, dessen Verpackung verschmutzt oder
beschädigt ist. Abgesehen von Metalldetektoren und sogenannten „Sniffern“ seien
derzeit leistungsfähige Röntgengeräte und
Massenspektrometer die beste Hilfe. Brieföffnungsmaschinen sollten erst eingesetzt
werden, nachdem Sendungen die Sicherheitsüberprüfungen durchlaufen haben. Um
die Auswirkungen von chemischen oder
biologischen Angriffen über Postsendungen zu begrenzen, sollte der Raum, in dem
die Sicherheitskontrolle erfolgt, möglichst
nicht an die allgemeine Klimaanlage angeschlossen sein. Sinnvoll sei ein Raum, der
eine Außenwand und ein Fenster hat, das
geöffnet sein sollte, damit bei einer eventuell
vorzeitigen Zündung der Explosionsdruck
nach außen entweichen kann.
Produktpiraterie – Lage und Abwehrkonzeptionen
Den weltweiten Handel mit gefälschten Waren beziffert die EU-Kommission auf über
200 Milliarden Euro. Allein der deutsche
Zoll habe 2012 Warenfälschungen im Wert
von fast 130 Millionen Euro beschlagnahmt.
Die Aufgriffe vermutlicher Produktfälschungen durch den deutschen Zoll im Jahr 2012
ließen folgende Herkunftsländer erkennen:
China: 45 %
Hongkong: 22 %
Singapur: 7 %
USA: 5 %
Thailand: 4 %
Türkei: 3 %
Großbritannien: 3 %
Australien: 3 %
Schweiz: 2 %
Indien: 1 %
Sonstige: 5 %
Inhaber von gewerblichen Schutzrechten
können bei der Zentralstelle Gewerblicher Rechtsschutz (ZGR) in München das
Tätigwerden der Zollbehörden beantragen.
Dies erfolge schnell und sicher im Internet
über ZGR-online. Nach Bewilligung des
Antrags könnten sämtliche Zollstellen in
Deutschland elektronisch auf diese Informationen zugreifen und Originalwaren
von Mogelpackungen unterscheiden. Die
Bundesfinanzdirektion Südost hat 2012 als
Zentralstelle Gewerblicher Rechtsschutz
insgesamt 1.137 Entscheidungen über
Anträge auf Grenzbeschlagnahme getroffen.
Das ist ein Zuwachs von 9 % gegenüber
dem Vorjahr und von mehr als 300 % im
10-Jahresvergleich. 2012 arbeiteten 913
Inhaber gewerblicher Schutzrechte mit
der ZGR zusammen. Bei den 2012 in fast
24.000 Fällen aufgegriffenen Waren wurden
die Schutzrechte von 416 Rechtsinhabern
verletzt. Unternehmen, die z. B. Inhaber eines Gemeinschaftsgeschmacksmusters oder
einer Gemeinschaftsmarke sind, könnten in
Deutschland die Gültigkeit des Antrags für
alle EU-Antragsteller tätig.
SPIEGEL ONLINE weist am 5. August auf
den EU-Jahresbericht über den Schutz
geistigen Eigentums hin, nach dem mit etwa
40 Millionen Waren 2012 Urheber- oder
Markenrechte verletzt worden seien. 2011
seien es 144 Millionen gewesen. 90.000
Fälle seien 2012 entdeckt worden. Gut 64 %
der vom Zoll abgefangenen Waren seien
aus China gekommen. 70 % der illegalen
Einfuhren seien bei Postkontrollen entdeckt
worden. Allein in 23 % dieser Fälle sei es um
gefälschte Medikamente gegangen. Den insgesamt größten Anteil an den nachgemachten Produkten hätten mit 31 % Zigaretten
gehabt. Außer China seien unverändert
Hongkong, Bulgarien und die Türkei führend
beim Export von gefälschten Produkten
gewesen.
Heise online meldet am 13. Januar, der EURat habe den lange erwarteten Entwurf für
eine Verordnung zur besseren Durchsetzung der Rechte an immateriellen Gütern
durch Zollbehörden veröffentlicht. Der Vorstoß lege fest, unter welchen Umständen unlizenzierte Waren beschlagnahmt, wie lange
sie festgehalten und unter welchen Umständen sie zerstört werden dürfen. Unter den
193
194
Begriff von Gegenständen, die im Verdacht
stehen, Rechte an immateriellen Gütern zu
verletzen, fassten die Autoren des Entwurfs
auch Werkzeuge zum Kopierschutzknacken.
Außen vor bleiben sollten Güter, die keinen
gewerblichen Charakter haben und Reisende in ihrem persönlichen Gepäck mit sich
führen. Ebenfalls müssten die Zöllner dem
Plan nach kein Augenmerk richten auf sogenannte Parallelimporte, also auf Waren, die in
Drittstaaten mit Zustimmung des Rechteinhabers produziert, aber nicht für den Verkauf
in der EU freigegeben worden sind. Einzelne
Rechteinhaber und Verwertungsgesellschaften sollten dem Vorhaben nach bei speziell
ausgewiesenen nationalen Zollbehörden
Anträge zur Beschlagnahme unlizensierter Waren oder verdächtiger Güter stellen.
Dazu müssten sie bestätigen, dass sie selbst
einschlägige Schutzrechte haben und einen
Verstoß dagegen wittern. Anzugeben seien
zudem spezifische Details und technische
Daten wie Barcodes zu den authentischen
Produkten. Nicht zuletzt müssten sie die
Kosten für das Einbehalten von Waren sowie
deren eventuelle Vernichtung tragen. Diese
könnten sie später aber dem Rechtsverletzer in Rechnung stellen. Die kompetenten
Zollämter sollten den Antragstellern spätestens nach 30 Tagen mitteilen, ob sie
dem Begehr nachkommen oder nicht. Die
Liste der betroffenen Schutzrechte könne
nachträglich noch verändert werden. Sollte
eines auslaufen, müsse darauf hingewiesen
werden. Meldet sich der Antragsteller binnen
zehn Tagen nicht, werde von einer stillschweigenden Zustimmung ausgegangen.
Auch zur Freigabe von Gütern, gegen die
sich ein Verdacht der Rechtsverletzung nicht
erhärtet, gebe es ausführliche Regeln.
Der Zoll habe 2012 den Kampf gegen die
Produkt- und Markenpiraterie verstärkt,
berichtet die FAZ am 23. März. Die Zollfahnder hätten gefälschte technische Geräte,
Ersatzteile, Medikamente, Uhren, Schmuck
und Textilien im Gesamtwert von 127,4 Mil-
lionen Euro beschlagnahmt (2011: 82,6 Millionen). Knapp die Hälfte der gefälschten
Waren sei aus China, Hongkong und Singapur gekommen. Außerdem habe der Zoll
29 Tonnen Rauschgift beschlagnahmt und
Schäden durch Schwarzarbeit in Höhe von
mehr als 750 Millionen Euro aufgedeckt. Der
Zoll trage maßgeblich dazu bei, Verbraucher
vor verbotenen Gütern zu schützen. Er fange
gesundheitsgefährdende Feuerwerkskörper,
Spielzeuge, Lebensmittel und Medikamente
ab. Regelmäßig würden auch Waren entdeckt, die radioaktiv kontaminiert waren.
Der Zoll habe zudem 321.000 gefälschte
Arzneimittel im Wert von 4,8 Millionen Euro
beschlagnahmt. Er habe verhindert, dass
146 Millionen Schmuggelzigaretten auf den
deutschen Schwarzmarkt gelangten. Und
er habe in 1.100 Fällen mehr als 71.000
geschützte Tier- und Pflanzenarten sichergestellt.
ASW-Securicon weist am 15. Oktober auf
eine Pressekonferenz im Zollkriminalamt
hin, in der die europäische Kampagne
gegen Produktpiraterie „Zu schön, um
wahr zu sein?“ vorgestellt wurde, mit der
die EU-Kommission auf die Bedeutung der
Marken- und Produktpiraterie als weltweit
ernstes Problem für Verbraucher und Wirtschaft aufmerksam mache. Der weltweite
Handel mit gefälschten Waren mache über
200 Milliarden Euro aus. Allein der deutsche
Zoll habe 2012 Warenfälschungen im Wert
von fast 130 Millionen Euro beschlagnahmt.
Dabei handele es sich längst nicht mehr nur
um Fälschungen von Luxusgütern wie Markenuhren oder teure Designertextilien. Auch
Güter des täglichen Bedarfs wie Arzneimittel, Elektrogeräte, Werkzeug und Maschinen
würden gefälscht. In den vergangenen Jahren hätten sich dazu auch die Vertriebswege
geändert. Fälscher nutzten heute moderne
Internetplattformen, um ihre Waren möglichst anonym aus dem nichteuropäischen
Ausland unmittelbar an den Endverbraucher
zu vertreiben.
Produktpiraterie – Messen
Das Hauptzollamt Darmstadt berichtet am
20. Februar, dass der Zoll auf der Konsumgütermesse Ambiente 272 mutmaßliche
Fälschungen aus dem Verkehr gezogen hat.
Er sei an 42 von 1.078 kontrollierten Ständen
fündig geworden. Die Zahl der sichergestellten
Fälschungen sei gegenüber dem Vorjahr um 20
% gestiegen. Die sichergestellten Waren, insbesondere Schüsseln, Pfannen, Glaswaren und
andere Haushaltsgegenstände, stammten zum
größten Teil aus China. 30 Beschäftigte des
Zolls seien zwei Tage lang in den Messehallen
unterwegs gewesen und von 21 Vertretern
betroffener Originalhersteller und Mitarbeiter
der Messe Frankfurt unterstützt worden.
Wie die Frankfurter Rundschau berichtet,
hat der Zoll auf der internationalen Sanitärmesse ISHG in Frankfurt an mehr als 40
Ständen insgesamt 52 Plagiate einkassiert.
Hauptsächlich seien hochwertige Armaturen, Duschköpfe, Pumpen und WC-Brillen
kopiert worden. Die ertappten Produktfälscher stammten allesamt aus Fernost: 38 aus
China, 3 aus Taiwan und einer aus Südkorea.
Die Kontrolleure hätten nicht nur nach billigen
Kopien gesucht, die unter falschem Namen
verkauft werden. Hauptsächlich hätten sie
Produkte sichergestellt, die zwar offiziell von
asiatischen Unternehmen stammen, aber
verbotenerweise die Optik oder Funktion
bekannter Markenprodukte nachahmen. Ernst
& Young schätze die Verluste durch Fälschungen auf 50 Milliarden Euro pro Jahr allein in
Deutschland – Tendenz steigend. Im Jahr
2015 könnte der weltweite Schaden einer
Studie der internationalen Handelskammer
zufolge bis zu 1,77 Billionen Dollar betragen.
Produktpiraterie – Einzelfälle
Wie das Handelsblatt am 24. Januar berichtet,
habe sich der Reinigungsspezialist Kärcher in
China erfolgreich gegen Plagiate eines Konkurrenten gewehrt. Wenzhou Haibao dürfe ein
bestimmtes, von Kärcher abgekupfertes Gerät
nicht weiter herstellen. Außerdem müsse der
Wettbewerber eine Kompensationszahlung
in unbekannter Höhe leisten. Kärcher-Chef
Hartmut Jenner habe gesagt: „Unser Vertrauen
in die chinesischen Gerichte und Behörden hat
sich ausnahmslos bestätigt.“ Sie hätten das
geistige Eigentum in vollem Umfang geschützt.
Wie die FAZ am 25. Mai meldet, hat der
Sanitärarmaturenhersteller Grohe in einem
Lagerhaus in den Arabischen Emiraten bei einer Razzia 9.000 gefälschte Grohe-Produkte
sicherstellen lassen. Neben den Armaturen
und Brausen seien auch gefälschte Autoersatzteile, Sonnenbrillen und Kühlschrank-Teile
anderer bekannter Hersteller entdeckt worden. Schlecht kopierte Wasserhähne könnten
Verbraucher gefährden, weil minderwertige
Teile verwendet und Sicherheitsstandards
nicht eingehalten würden.
Das Wochenmagazin FOCUS (Ausgabe
45/2013) weist auf das Geschäft mit nachgemachten Luxusuhren hin. Die kopierten
Zeitmesser stammten zu 95 % aus China
und Hongkong. Der Präsident des Zollkriminalamts spreche von organisierten Banken.
Die Kartelle hätten längst ihre Vertriebswege
geändert. Statt Seehäfen oder Transitstrecken
per LKW nutzten die Syndikate verstärkt das
Internet als Verkaufsplattform. Über diesen
Vertriebsweg gelangten die Taubkopien per
Paketdienst risikolos an den Käufer. Der Focus gibt Ratschläge zum Schutz vor „Fakes“:
Gravierte Linien bei Fälschungen seien oft
ungenau gearbeitet. Originalmarken lieferten
Echtheitszertifikate mit. Fälschungen solcher
Zertifikate könne man oft an Schreibfehlern
erkennen. Seriöse Produzenten verwendeten meist extrem hartes Saphirglas auf der
Oberseite. Das Glas lasse sich durch einen
Kratztest prüfen. Und unscharfe Konturen
ließen auf eine Billigkopie schließen.
195
196
Proliferation
Die ASW-Mitteilung 046/13 weist auf das
Proliferationsrisiko für Unternehmen hin.
Nach den Erfahrungen des Verfassungsschutzes könnten folgende Anhaltspunkte auf ein
proliferationsrelevantes Geschäft hindeuten:
Der Käufer verfügt nicht über das erforderliche Fachwissen und/oder kann nicht erklären,
wofür das Produkt gebraucht wird. Es werden
ohne erkennbaren Grund Zwischenhändler
eingeschaltet. Die angebotenen Zahlungs-
bedingungen sind besonders günstig. Der
Kunde wünscht eine außergewöhnliche
Etikettierung, um die Güter zu neutralisieren.
Firmenangehörige werden zu Ausbildungszwecken zur Herstellerfirma nach Deutschland geschickt, obwohl eine Einweisung vor
Ort praktischer wäre. Der Käufer verzichtet
auf das Einweisen in die Handhabung, auf
Service-Leistungen oder auf Garantie.
Mit der Detektion von Gasundichtigkeiten
in Raffinerien befassen sich Steve Beynon,
GF Cameras & Gas Imaging Applications, und
Frank Liebelt, Fachjournalist, in der JanuarAusgabe der Fachzeitschrift GIT (S. 72–74).
Es gebe derzeit kein spezifisches europäisches Leak Detection and Repair-Programm,
das festlegt, wie oft und vollständig Unternehmen Lecks flüchtiger organischer Verbindungen aufspüren, reparieren und melden
müssen. Die herkömmliche Technologie habe
auf der Toxic Vapor Analyzer (TVA)-Technologie basiert. Während ein Inspektor mit einem
solchen TVA-Gerät durchschnittlich 500
Tags pro Tag kontrollieren könne, schaffe ein
Kontrollprogramm mit der neuen FLIR-GFKamera bereits mehr als einhundert solcher
Objekte pro Stunde. Die Kamera sorge in
diesem Bereich für einen enormen Zeit- und
Kostenvorteil. Mit einer Gasdetektionskamera
könne sich der Anwender nicht nur schnell
einen Überblick verschaffen, sondern auch
sofort größere Bereiche von einer genaueren Untersuchung ausschließen. Dank ihrer
Technologie visualisierten die Kameras der
GF-Serie von FLIR Systems Gaslecks unmittelbar. Die Bilder könnten als Filmsequenzen
gespeichert und archiviert werden.
Raubüberfälle
Der Sicherheitsberater befasst sich in Nr.
14/15 – 2013 (S. 213–215) mit dem Risiko
von Raubüberfällen auf Kreditinstitute und
Geschäfte. Das Risiko, Opfer eines Überfalls
zu werden, sei an Tankstellen 8-mal höher
als in einem Kreditinstitut, in Spielhallen rund
20-mal höher.
Rechenzentrumssicherheit – Konzeption, Planung
„Zwölf goldene Regeln“ für die Planung
sicherer und kosteneffizienter Rechenzentren stellt Ulrich , dc-ce RZ-Beratung, in der
(S. 64/65) auf: Ein sicheres Verständnis für
das Konzept entwickeln; integral denken bei
der Planung; definierter Sicherheitsanspruch
von Anfang an; den laufenden Betrieb schon
im Konzept berücksichtigen; die erforderliche
Stromleistung richtig einschätzen; den Fortschritt der IT einkalkulieren; Energie-Effizienz
von Anfang an mitdenken; modular denken;
Änderungen im Laufe des Projekts vermeiden; Testen auf Herz und Nieren; auf umfas-
sende Dokumentation achten; ausreichendes
und qualifiziertes Personal einstellen.
Outdoor-Rechenzentren stünden in Sachen
Sicherheit IT-Räumen innerhalb der Unternehmensgebäude in nichts nach, betont die
RZ-Products GmbH in der Ausgabe 3/13
von Protector (S. 52/53). Zukunftsfähige
Outdoor-Rechenzentren verfügten über
eine ECB-S-Zertifizierung, die einen Hochverfügbarkeitsschutz biete. Diese beinhalte
auch eine Klassifizierung in die Güteklasse
R60D, auf Basis der Brandschutzprüfung als
Typprüfung nach EN 1047-2. Ferner werde
eine Güteüberwachung in Produktion und
Errichtung gewährleistet.
Marcel Schmid, Chefredakteur der Fachzeitschrift IT-Security, stellt in der Ausgabe
1-2013, S. 32–34, die Frage nach den
Anforderungen an Rechenzentren als Folge
von Cloud-Computing, Virtualisierung, Big
Data und dem „Internet der Dinge“. Die modernsten Server-Generationen seien deutlich
kompakter und effizienter als ihre Vorgänger.
Der Trend gehe klar in Richtung „Blade- und
Rackmount-Server“. Durch die immer kompaktere Bauform, höhere Skalierungsdichte
und Rechenleistung steige naturgemäß auch
die Wärmelast an. Als mögliche Kühlvarianten
führt er an: Verdunstungskühlung, natürliche
Luftströmungen und ein Vertikaldesign für
die optimierte Kühlung, thermisches Rad,
Submersionskühlung, „Liquidblade und Liquid
Cooling Package Direct Expansion“.
In der Fachzeitschrift IT-Security (Ausgabe 2-2013) behandeln Ernesto Hartmann,
InfoGuard AG, und Albert Brauchli, Juniper
Networks Switzerland GmbH, die Sicherheit
der nächsten Generation für Rechenzentren
(S. 20/21). Es sei heutzutage für businesskritische Internet-Services unerlässlich, einen
DDoS-Schutz vorzusehen. Im zweiten Schritt
identifiziere eine Intrusion-Detection-Lösung
den Hacker in Echtzeit und ermögliche flexible Reaktionsszenarien sowohl auf der Anwendungsebene als auch an der NetzwerkFirewall. Die Autoren empfehlen die globale
Junos-Spotlight Secure Hacker-Datenbank.
Angreifer würden durch die Junos WebApp
Secure-Plattform eindeutig identifiziert. Dies
geschehe anhand eines Fingerabdrucks des
Hackers mit über 200 einzigartigen Merkmalen. Jedes neue Profil werde sogleich global
verfügbar gemacht.
Rechenzentrumssicherheit – Brandschutz
Die Rauchdetektion in Rechenzentren
wird in der Ausgabe 1-2013 der Fachzeitschrift WiK (S. 54–56) thematisiert. Die
Erhöhung der Leistungsdichte von Rechenzentren bedinge Modifizierungen bei der
Energieversorgung und der Klimatisierung
– mit Auswirkungen auf das Brandschutzkonzept. Der neue Ansatz mit Warm- und
Kaltgangeinhausung und „Raum im Raum“Konzepten habe Konsequenzen für die
Brandfrüherkennung, auf die Auslegung von
Feuerlöschanlagen und auf die Gestaltung
von Fluchtwegen. Das Merkblatt VdS 3152
„Kalt- und Warmgangeinhausung. Brandschutztechnische Anforderungen“ sei nur
von Fachleuten anwendbar. Aufgaben für
die Zukunft seien eine komplexe Potenzi-
alsteuerung der Versorgungsnetze und die
Sicherstellung der Branderkennung trotz
hoher Luftwechselraten und der „Raum im
Raum“-Geometrie.
Brunnenkühlung im Rechenzentrum thematisiert der Sicherheits-Berater in seiner
Ausgabe 9-2013 (S. 137/138). Ihr sinnvoller
Einsatz unterliege lokalen Faktoren: Standortfaktoren wie Bodenbeschaffenheit, Tiefe des
Grundwassers oder Sandanteile im Boden
seien bestimmend für einen Erfolg. Bei einer
positiven Wirtschaftlichkeitsbetrachtung
müsse eine Probebohrung durchgeführt
werden. In die Kälteerzeugung eingebunden
werde das Grundwasser mittels Systemtrennung durch einen Wärmetauscher.
197
198
Erwin Frick, MINIMAX AG, befasst sich in
der Zeitschrift Sicherheitsforum (Ausgabe 2-2013, S. 23–26) mit dem optimalen
Brandschutz in Data Centern und anderen IT-Bereichen: mit Sprinkleranlagen; mit
Feinsprühlöschanlagen, die die physikalischen Eigenschaften des Wassers effizienter
nutzen als klassische Wasserlöschanlagen;
mit Schaumlöschanlagen für den Fall von
Bränden brennbarer Flüssigkeiten oder
Kunststoffen; mit Inertgas-Löschanlagen;
mit Sauerstoffreduzierungsanlagen und mit
chemischen Löschanlagen, deren Löschmittel weder korrosiv noch elektrisch leitend
und daher insbesondere für den Schutz
von Räumen mit elektronischen und elektrischen Einrichtungen geeignet sei. Anders als
Inertgas-Löschsysteme arbeiteten bedarfsgesteuerte Systeme mit einer von der gemessenen Sauerstoffkonzentration abhängigen
Inertgas-Nachführung. Das verschaffe im
Ernstfall den gewünschten Handlungsspielraum, um das Thermolyseereignis zu
lokalisieren und dessen Ursache zu beheben. Der Sicherheitsberater begründet in
seiner Ausgabe 10-2013 (S. 149–151),
warum Sprühnebel-Löschanlagen keine
empfehlenswerte Lösung für Rechenzentren
seien. Das Schutzziel sei die Verfügbarkeit
der Rechner und damit Inhaltsschutz. Da die
VdS-Zulassung ausdrücklich auf Raum- und
Gebäudeschutz abhebt, sei das Löschmittel
für diesen Zweck ungeeignet.
Den physischen Schutz von Daten in
Rechenzentren behandelt auch Dipl.-Ing.
Thomas Hübler, MPA Dresden GmbH, in
der Zeitschrift WiK (Ausgabe 5-2013,
S. 60/61). Eine Brandfrüherkennung mit
aufgeschalteter automatischer Löschung des
Entstehungsbrandes sei immens wichtig.
Um die Brandbeständigkeit der Datencenter
gegenüber einem von außen einwirkenden
Brand nachzuweisen, könnten sich Betreiber
an den Vorgaben der europäischen „ITBrandnorm“ EN 1047 für Wertbehältnisse, Teil 1 (Datensicherungsschränke) und
Teil 2 (Datensicherungsräume und –container) orientieren.
Mit dem „Multi-Sensor“ zum Erkennen
potenzieller Gefahren für den Serverraum wie
Wassereinbruch, Überhitzung und Sabotage
befasst sich Jörn Wehle, Kentix GmbH, in
derselben Zeitschrift (S. 62-64). Eine Umfrage bei ca. 200 Behörden und KMU belege,
dass solche Risiken vernachlässigt werden.
80 % aller Serverräume und Racks seien
physikalisch nicht adäquat abgesichert. Dabei
könnten moderne Sensoren heute in einem
Gerät kombiniert werden. Die Sensoren seien
softwarebasiert. Die Schwellwerte der verschiedenen Sensoren für die Alarmauslösung
seien in der Regel voreingestellt, könnten
bei Bedarf aber auch individuell bestimmt
werden. Entsprechende Algorithmen würden
Risiken wie Brand, Überhitzung Betauung,
Sabotage oder den Verlust der Spannungsversorgung erkennen und berechnen. Der
ideale Einbauort dieser Multisensoren sei von
den räumlichen Gegebenheiten abhängig. In
typischen Serverräumen würden diese rauchmeldergroßen Sensoren an der Decke des
Raumes angebracht. Bei größeren Räumen
würden mehrere Multisensoren eingesetzt.
Die Fachzeitschrift GIT thematisiert in der
Ausgabe 11-2013 (S. 74/75) das optimale
Brandschutzkonzept für Rechenzentren. Die
Basis für einen effektiven Brandschutz stelle
die Brandfrühesterkennung dar. Über ein
Rohrsystem mit definierten Ansaugöffnungen im zu überwachenden Raum würden
permanent Luftproben genommen und in
eine Messkammer geleitet. Unter Zuhilfenahme spezieller Lasertechnologien würden an
dieser Stelle selbst kleinste Rauchmengen
unmittelbar detektiert, woraufhin ein Infoalarm ausgelöst werde. Vor allem in Serverumgebungen, in denen häufig eine hohe
Luftumwälzung stattfindet, seien Rauchansaugsysteme sehr empfehlenswert. Erkennt
der erste Rauchmelder einen Brand, erfolge
zunächst ein Voralarm, in der Regel mittels
eines optischen Signals. Die Nutzung von
Novec 1230 stelle eine der bewährtesten
Lösungen hinsichtlich des Brandschutzes
im IT-Bereich dar. Es bestehe aus diversen
Kohlenstoffen, Fluor und Sauerstoff, werde in
den Löschmittelbehältern flüssig gelagert und
könne dadurch äußerst platzsparend bevorratet werden. Die Flutungszeit betrage maximal
zehn Sekunden, und das Löschmittel verfüge
über ein hohes Durchdringungsvermögen.
Für Serverräume bis zu einem Schutzvolumen von 100 Kubikmetern lohne sich als
Alternative zu einer stationären Anlage eine
Kompaktlöschanlage. Schranklöschsyste-
me könnten ebenfalls eine hervorragende
Möglichkeit sein, um den hohen Schutzlevel
in einzelnen Serverschränken aufrechtzuerhalten. Die Branddetektion erfolge über zwei
Rauchmelder, die nach dem Streulichtprinzip
arbeiten. Wichtig sei, dass die sensiblen
Technikkomponenten im Fall einer Auslösung nicht durch das Löschmittel beschädigt
werden.
Rechenzentrumssicherheit – Lüftungs-/Kühlungssysteme
Der Sicherheits-Berater behandelt in Nr.162013 (S. 242–244) die DIN EN 13779-2007
„Lüftung von Nichtwohngebäuden – Allgemeine Grundlagen und Anforderungen für
Lüftungs- und Klimaanlagen und Raumkühlsysteme“. Zunächst sei eine Klassifizierung
der Luftarten (hohe, mittlere, mäßige oder
niedrige Raumluftqualität vorzunehmen,
die von der Art der zu berücksichtigenden
Verunreinigungsquellen abhingen. Es sollten
möglichst nur Baustoffe verwendet werden,
die allenfalls eine geringfügige Verunreinigung verursachten. Für die Auslegung des
Außenluftvolumenstroms habe sich die
Festlegung auf IDA 2 „mittlere Raumluftqualität“ bewährt. Der notwendige Außenluftvolumenstrom könne nach der Personenzahl
oder der Bodenfläche berechnet werden. In
der Frischluftzufuhr müsse eine Rauchgasdetektion existieren, damit bei eindringenden
Rauchgasen sofort die Frischluftversorgung
abgeschiebert werden könne.
Jörg Poschen, Daxten, befasst sich im SicherheitsForum (Ausgabe 5-2013, S. 129–131)
mit der Optimierung der Kühlung und
Kaltluftzuführung in Rechenzentren (RZ).
The Green Grid, ein internationales Konsortium zur Förderung der ganzheitlichen
Ressourceneffizienz in der IT, beziffere
den durchschnittlichen Anteil der Kühlung
am gesamten Stromverbrauch eines RZ
auf 42 %. Eine erhebliche Steigerung der
Kühlungs- und damit Energieeffizienz im RZ
mit einfachen Mitteln sei machbar und lasse
sich nachweislich mit geringem finanziellen
Aufwand und Amortisationszeiten zwischen
drei und zwölf Monaten realisieren. Optimierungswillige würden am besten damit
fahren, zu allererst den Effizienzgrad ihrer
bestehenden Kühlungsinfrastruktur durch
eine „Vor Ort Analyse“ bestimmen zu lassen,
um auf einer soliden Basis das tatsächliche Optimierungs- und Einsparpotenzial
ermitteln zu können. Dann gelte es, die
wirkungsvollsten Maßnahmen miteinander
zu kombinieren, zur Anwendung zu bringen
und deren Wirkungsgrad innerhalb eines
Jahres zu evaluieren.
Rechenzentrumssicherheit – Stromversorgung
Der Sicherheits-Berater befasst sich in seiner
Ausgabe 7-2013 mit der optimalen Einbindung von USV-Anlagen (unterbrechungsfreie Stromversorgung). Er unterscheidet bei
USV-Anlagen drei verschiedene Bypassarten: automatischer, interner Bypass; manueller, interner Bypass (Servicebypass) und
externe Handumgehung und gibt praktische
Hinweise zur Nutzung von Bypässen:
-Sind mehrere USV-Anlagen n+1 redundant
zu einem Netz parallelgeschaltet, kann auf
die separate Absicherung von Gleichrichter- und Bypasseingang verzichtet werden.
199
200
-Die externe Handumgehung muss immer
räumlich, brandund rauchschutztechnisch
separiert werden.
-Die externe Handumgehung muss gegen
Fehlbetätigung wirksam geschützt werden.
(S. 100–103)
„Wie modular dürfen USV-Anlagen für Serverräume sein?“ fragt Oliver Woll, von zur
Mühlen‘sche GmbH, in der Fachzeitschrift
IT-Security (Ausgabe 2-2013, S. 16/17). Die
Wahl für das richtige USV-System im Serverraum werde im unteren Teillastbereich
(20–30 %) und unter schwierigsten Lastbedingungen entschieden. Der Betrieb einer
einzigen – wenn auch in sich N+1-redundanten – modularen USV sei nur für Verbraucher
mit geringeren Verfügbarkeitsansprüchen
zu empfehlen. Würden zwei unabhängige
Einzelblock-USV-Anlagen installiert, so könnten diese auch parallel geschaltet und somit
erweitert werden.
Rechenzentrumssicherheit – Zutrittskontrolle
Die Möglichkeit des Einsatzes der Handvenenerkennung beleuchtet Stephan
Speth, PCS Systemtechnik GmbH, in der
Ausgabe 3/13 der Fachzeitschrift Protector
(S. 24/25). Für den Hochsicherheitsbereich
in einem Rechenzentrum wäre eine reine
RFID-Lösung nicht zulässig. Die Zutrittskontrollanlage sollte gemäß VdS der Klasse C
entsprechen, wofür zwingend ein weiteres
Identifikationsmedium vorgeschrieben sei.
Mit der Handvenenerkennung könne eine
Person sicher und eindeutig identifiziert
werden. Die Konvergenz von physischer Zutrittskontrolle mit der Zugangskontrolle zum
Rechner sei ein weiterer Schritt für ein umfassendes Sicherheitskonzept. Noch sicherer
als RFID-Zutrittskarten seien biometrische
Sensoren. Am Markt seien Computermäuse
verfügbar, in die ein Handvenensensor integriert wird. Der Mitarbeiter halte einfach seine
Handfläche über die Maus und könne sich so
am Rechner anmelden.
RFID
Sabine Mull und Harald Kelter, beide BSI,
und Cord Bartels, CBcon, behandeln in der
Fachzeitschrift <kes> (Ausgabe 2-2013)
Prüfkriterien für RFID-Anwendungen.
Gemeinsam mit der Industrie habe das BSI
Sicherheitsempfehlungen für typische RFIDEinsatzgebiete erarbeitet, die in der technischen Richtlinie zum sicheren RFID-Einsatz
(TR 03126/TR RFDI) zusammengefasst
sind. Mit einer jetzt erstellten Prüfspezifikation könnten Unternehmen die Konformität
ihres Mitarbeiterausweissystems zur TR
03126-5 erklären oder durch unabhängige
Prüfstellen zertifizieren lassen. Der Vorteil dieser Zertifizierung liege darin, dass
einerseits RFID-Anwendungen nach einheitlichen, transparenten und von der Wirtschaft
mitgetragenen Kriterien eingesetzt werden
können, andererseits mit der Zertifizierung
nach technischen Richtlinien des BSI eine
bewährte Vorgehensweise für die Realisierung bestimmter Sicherheitseigenschaften
und die Erfüllung funktionaler Anforderungen für den Betrieb eines IT-Produktes oder
Systems genutzt werden kann (S. 56–59).
Andreas Löw, Feig Electronic GmbH,
bezeichnet in der Fachzeitschrift Security
insight (Ausgabe 4-2013, S. 43–45) ePayment und sichere Identitäten als neue
Treiber der RFID-Technologie. Projekte
wie „girogo“, die neue kontaktlose Bezahllösung der deutschen Kreditwirtschaft, und
der neue Personalausweis (nPA) eröffneten
zahlreiche praktische Anwendungsfelder.
Ein entscheidender Erfolgsfaktor sei die
Datensicherheit. Der in den nPA integrierte
RFID-Chip ermögliche, sich mit dem Dokument eindeutig zu identifizieren. Durch ein
Berechtigungszertifikat sei das unbemerkte
kontaktlose Auslesen des RFID-Chips
nicht möglich. Auch erfolge die Datenübermittlung erst nach Eingabe einer sechs
stelligen PIN.
Risikomanagement
3-2013, S. 88–92) gibt Roland Erben, Risk
Management Association e.V., einen Überblick über Gesetze, Standards und Methoden zum Risikomanagement. Gesetze,
Standards und Begrifflichkeiten erschwerten
die Auswahl einer geeigneten Methodik,
aber diese Herausforderung sei zu meistern.
Entscheider müssten das Risikomanagement heute als einen integralen Bestandteil
von Organisationsprozessen verstehen und
Methoden in diesem Sinne systematisch,
strukturiert und zeitgemäß auswählen. In
diesem Kontext zählten Frühwarnsysteme als
zusätzliche und probate Mittel der Unternehmenssteuerung. Wichtig sei eine von der
Firmenleitung vorgelebte Unternehmenskultur in puncto Prozesse, Risikowahrnehmung
und Awareness.
In derselben Ausgabe fordern Dipl.-Ing. Dirk
Kalinowski, AXA Versicherung AG, Dr. Keye
Moser, SIZ GmbH, und Götz Schartner, 8com
GmbH, die Integration von IT-Risiken in
das ganzheitliche Risikomanagement. Für die
Definition des Risikomanagementprozesses
bevorzugen die Autoren eine Orientierung
an der sehr generischen ISO 31000, da sie
übergreifend anwendbar sei und internationale Akzeptanz erfahren habe. Sie lasse sich
auch auf IT- und Informationsrisiken übertragen. Behandelt werden der Risikomanagementprozess, die Bedrohungsanalyse, die
Risikoanalyse, die Aggregation von Risiken
und Bewältigungsmaßnahmen. Die Integration von IT-Risiken in ein unternehmerisches,
wertorientiertes Risikomanagementsystem
fördere das Verständnis zwischen IT- und
kaufmännischen Fachkräften und erlaube es,
angemessene Maßnahmen zu bestimmen
und entsprechend zu budgetieren.
Uwe Müller-Gauss, Dipl. Entrepreneur FH
MBA, Müller-Gauss Consulting, und Madeleine Renner, Hochschule Luzern, behandeln
in der Zeitschrift Sicherheitsforum (Ausgabe
4-2013, S. 48–51) das integrale Risikomanagement für KMU. Weitverbreitet sei die
Risikobewertung nach Eintrittswahrscheinlichkeit, multipliziert mit dem Schadensausmaß. Die Eintrittswahrscheinlichkeit sei
jedoch meist schwer zu berechnen. Deshalb
bewerteten nachhaltige Risikomanager die
Risiken mit folgenden Metriken: Schadensausmaß qualitativ; Schadensausmaß quantitativ; Entwicklungszeit bis zum Erkennen
des Ereignisses; Umgang.im Ereignisfall;
Kontrolle bei Risikoexposition; Sensibilisierung für die Risikoexposition. Diese Einteilung
in 6 Metriken erlaube eine feine und gezielte
Steuerung des Risikos. Die Methode zum
Aufbau und der Implementierung eines BCM
bestehe grundsätzlich aus einer wiederkehrenden Abfolge von 5 Phasen, die von der
Analyse des eigenen Geschäfts bis hin zur
regelmäßigen Pflege des aufgebauten BCM
reiche: Business Impact Analyse; BCM-Strategien; Business Continuity Plan; BCM-Kultur;
Übung, Pflege und Audit.
Und in Ausgabe 5-2013 dieser Fachzeitschrift bezeichnen Bettina Hübscher und
Patrik Senn, Hochschule Luzern, ein integrales Risikomanagement.(IRM) als Erfolgsfaktor für KMU. Leitprinzipien des IRM
seien: Vermeiden von Doppelspurigkeiten
und Lücken, Definieren von Aufgaben, Kompetenzen und Verantwortlichkeiten, Dokumentieren von Prozessabläufen und Schaffen
von Synergiepotential.Das IRM helfe einem
Unternehmer, bewusst Risiken einzugehen,
um Chancen nicht ungenutzt vorbeiziehen zu
lassen. Es ermögliche die Entwicklung eines
201
202
Instrumentariums zur ganzheitlichen Sicherung der Geschäftstätigkeit und die Erzielung
von Risikoprophylaxe. (S. 47–49)
Die ASW hat in ihrem Newsletter vom
8. März über eine KPMG-Analyse zum
Thema „Externe Risikoberichterstattung“
im Maschinen- und Anlagenbau berichtet.
KPMG hat eine umfangreiche Analyse von 15
Geschäftsberichten dieser Branche aus dem
Geschäftsjahr 2011 durchgeführt. Untersucht
wurden das berichtete Risikobewusstsein
der Vertreter dieser Branchengruppe und
die beschriebenen Maßnahmen zur Risikobegrenzung und -minimierung. Rund 170
relevante Risikoaspekte und Fragestellungen
wurden in 18 Kategorien gebündelt und
zu vier Risiko-Clustern zusammengefasst.
Diese Risk Map diente als Bewertungsleitfaden. Für die Vergleichbarkeit wurde aus den
Werten ein Benchmark-Koeffizient gebildet.
Die Ergebnisse der Analyse zeichneten ein
ausgesprochen heterogenes Bild der Risikoberichterstattung. Obwohl viele Risikoaspekte
angesprochen werden, werde eine hohe
Anzahl an Risiken nur unzureichend behandelt. Signifikante Risiken würden zum Teil
gar nicht oder nur rudimentär angesprochen.
Eine detaillierte und aussagekräftige Risikoberichterstattung erfolge häufig nur im Zuge
einer regulativen Kopplung durch gesetzliche
Vorgaben. Generell gebe es eine nur lückenhafte Berichterstattung über die Maßnahmen
zur Risikobekämpfung und nahezu kein
Reporting in Bezug auf die Effektivität der
Kontrollmaßnahmen. Schlussfolgernd sei
zusammenzufassen, dass Unternehmen die
Chance, mit einer soliden Risikoberichterstattung die Stärke und das Potenzial ihrer
Organisation zu vermitteln, zu selten nutzen
und den damit verbundenen Mehrwert nicht
ausschöpfen.
Risikoregionen
Auf die HealthMap 2013 wies Focus-Online
am 8. April 2013 hin. Sie zeige auf einen
Blick, welches Reiseziel ein Risikogebiet ist,
sagt Jadwiga Dutsch, Medizinische Leiterin
für Zentraleuropa bei International SOS. Das
Unternehmen sei weltweit führender Anbieter von Prävention und Krisenmanagement
in Gesundheits- und Sicherheitsfragen. Die
HealthMap sei ein wichtiges Instrument für
Individualreisende, Langzeiturlauber und
Geschäftsreisende. Denn gerade wer dauerhaft in einem Land mit höherem medizinischem Risiko umherreist oder arbeitet, läuft
sechsmal häufiger Gefahr ins Krankenhaus
eingewiesen zu werden als in wenig riskanten
Staaten. Trotz stationärer Behandlung vor
Ort müsse fast die Hälfte aller Mitarbeiter
in diesen Risikoländern letztlich evakuiert
werden. In extremen Risikoländern erhöhe
sich die Wahrscheinlichkeit, evakuiert zu
werden, auf 79 %. Dabei seien es vor allem
landestypische Krankheiten wie Malaria und
Dengue-Fieber sowie gefährliche Rahmenbedingungen und Schwächen im lokalen
Gesundheitswesen, die das Risiko zum Teil
stark erhöhen.
Robotersicherheit
Dr. Gernot Bachler, B&R, befasst sich in der
(S. 105/106) mit spezifischen Sicherheitskonzepten für die Robotik. Damit Industrieroboter mit Menschen zusammenarbeiten
könnten, brauche die Geschwindigkeit am
Werkzeugarbeitspunkt eine sichere Überwa-
chung. Wichtig sei die Realisierung spezifischer Sicherheitskonzepte für die Robotik,
in denen sich die sichere Überwachung der
Verfahrgeschwindigkeit nicht nur auf einzelne
Achsen bezieht, sondern auf den gesamten
Roboter und damit auch auf den Toll Center
Point (TCP). Abgeleitet aus den Anforderun-
gen der Normen EN ISO 10218-1 und -2
habe B&R als ersten Baustein einer erweiterten Roboter-Sicherheit die Funktion SLS (Safely Limited Speed) am TCP geschaffen. Der
Autor skizziert die überwachte kinematische
Kette und die TÜV-zertifizierten Funktionsbausteine.
Sabotage
Ein Schwelbrand in Berlin hat am 22. Februar
das Datennetz des Mobilfunknetzbetreibers
Vodafone in Teilen Ostdeutschlands lahmgelegt, meldete Heise online am gleichen
Tag. Vodafone habe von Sabotage an einem
Kabelschaft gesprochen. Schätzungen zufolge dürften bis zu 20.000 Kunden betroffen
gewesen sein.
Schließsysteme
Mit der Unterscheidung zwischen mechatronischem und elektronischem Schließsystem befasst sich der Sicherheits-Berater
in seiner Ausgabe 8-2013 (S. 120–122).
Die Unterscheidung könne nicht am Verriegelungsverfahren festgemacht werden. Zur
Unterscheidung von mechanischem, mechatronischem oder elektronischem Schließsystem könne aber der Schlüssel, also der
Identifizierungsmerkmalträger, herangezogen werden. Allerdings sei inzwischen
auch der Übergang von elektronischem zu
mechatronischem Schließsystem fließend.
Die Hersteller gingen immer mehr dazu über,
ihre einzelnen Komponenten miteinander
zu kombinieren. So könne dem Kunden ein
möglichst variantenreiches und im Idealfall
alle Anwendungsszenarien abdeckendes
Systemkonzept angeboten werden.
Die Angreifbarkeit mechatronischer
Schließsysteme thematisieren Dr. Ing. Timo
Kasper und Dr.-Ing. David Oswald, Kasper
& Oswald GmbH, in der Fachzeitschrift WiK
(Ausgabe 6-2013, S. 52–54). Sie schildern
den sogenannten Relay-Angriff, bei dem ein
Angreifer die Funkdaten des elektronischen
Schlosses der zu öffnenden Tür abgreift
und der andere aus einer Entfernung von
mehreren hundert Metern eine Verbindung
zum Token des Opfers aufbaut. Deshalb
sei solchen Token der Vorzug zu geben,
bei denen zum Türöffnen eine definierte
Benutzerinteraktion nötig ist. Vorsicht sei
geboten auch bei (NFC-)Smartphones, die
eine besonders große Angriffsfläche bieten,
weil sie mit vielfältigen Schnittstellen und
einem komplexen Betriebssystem ausgestattet sind. Elektronische Zugangssysteme,
die einzelne mechatronische Schließzylinder über eine Funkschnittstelle programmieren können, seien hoch riskant. Daher
sei besonders Augenmerk auf die sichere
Konzeption und Umsetzung eines kryptografisch abgesicherten Firmware-Updates zu
legen. Sonst eröffne man neue Manipulationsmöglichkeiten, zum Beispiel die unbefugte Vergabe von Schließberechtigungen.
Zum Schutz vor Angriffen benötigten Token
und Schließzylinder zwingend zuverlässige
Verschlüsselungsverfahren. Leider würden
oft veraltete oder proprietäre Verfahren zur
Verschlüsselung eingesetzt, die auf einfachem Wege ausgehebelt werden können.
Ein klassisches, verbreitetes Beispiel seien
„Mifare Classic basierte Systeme“, die nicht
einmal die proprietäre, in den Karten verbaute Verschlüsselung verwendeten, sondern
lediglich eine vom Hersteller aufgebrachte,
eindeutige und unveränderliche Zahl – die
sogenannte UID – auswerteten. Ein Angreifer
könne durch Mitlesen der Kommunikation
mit einem Türzylinder aus mehreren Metern
die UID der belauschten Karte erhalten
oder direkt mit einem Lesegerät aus bis zu
30 cm die UID auslesen. Alle sogenannten
203
204
Festcode-Systeme, deren Funkschnittstelle
ohne Kryptografie auskommt, seien einem
klassischen mechanischen Schließsystem in
punkto Sicherheit unterlegen.
4-2012, S. 40/41) stellt Dipl.-Ing. Paulus
Vorderwülbecke, VdS Schadenverhütung, die überarbeiteten Richtlinien für
Schließanlagen (VdS 2386) vor. Das 2012
zusammen mit den betroffenen Kreisen
entwickelte und eingeführte Sterne-Klassifizierungssystem für Sicherungstechnik
könne nun auch auf Schließanlagenzylinder
angewendet werden. Die Umsetzung der
Neuerungen (unter anderem Verschärfung
der Anforderungen an die Dauerbelastung
von Schließzylindern und Einführung einer
VdS-Endverbraucherkennzeichnung) werde,
langen Übergangsfristen geschuldet, ab
Mitte 2020 vollumfänglich greifen.
mit einer nach SOAA definierten Chipkarte
bidirektional kommunizieren. Das OfflineSegment könne auch bei reinen Online-Zutrittssystemen Verwendung finden. Für die
drahtgebundene Kommunikation auf einer
Zweidraht-Leitung (RS485) zwischen Controller und Leser hätten andere Hersteller das
offene, von der Security Industry Association (SIA) standardisierte Open Supervised
Device Protocol (OSDP) entwickelt. Somit
bildeten SOAA und OSDP fast den Lückenschluss zu einem offenen standardisierten
Datenaustausch über alle Kommunikationsebenen in der Zutrittskontrolltechnik.
SecuPedia befasst sich in dem Newsletter
9/13 mit elektronischen Schließanlagen,
die entweder als elektronisch-elektromechanische Systeme aufgebaut oder in Verbindung mit mechanischen Schließzylindern als
Schließanlage aufgebaut seien. Aufgelistet
werden Merkmale und Bestandteile elektronischer Schließanlagen und elektronische
Identifikationsmerkmalsträger.
Jürgen Lienau, CES Gruppe, behandelte in
Ausgabe 3-2013 der WiK (S. 55–57) die im
Januar veröffentlichte DIN EN 15684, die
die Anforderungen für mechatronische
Schließzylinder festlegt. In der Norm, die
elektromechanische Schließzylinder in drei
Hauptausführungen aufteile, würden nach
Klassen gestaffelt Anforderungen festgelegt. Der 8-stellige Klassifizierungsschlüssel
(Gebrauchskategorie/Dauerhaftigkeit/Feuerund Rauchwiderstand/Umweltbeständigkeit/
mechanische Verschlusssicherheit/elektronische Verschlusssicherheit/Systemmanagement/Angriffswiderstand) gebe Auskunft
über die Eigenschaften des jeweiligen
Schließzylinders.
Der Sicherheits-Berater berichtete in
der Ausgabe 17/13 (S. 260/261) über
einen neuen Standard Offline Access
Application (SOAA) für elektronische
Offline-Schlösser. Er ermögliche es, OfflineSchlösser verschiedener Hersteller in ein
und demselben Zutrittskontrollsystem zu
verwenden. Das sei bisher nicht möglich.
SOAA definiere eine Codierungsvorschrift
für den Identifikationsmerkmalträger, die alle
Hersteller nutzen könnten. Dadurch solle die
proprietäre (herstellergebundene) Codierung der Chipkarten bald der Vergangenheit
angehören und durch einheitliche und somit
untereinander kompatible Datenstrukturen
ersetzt werden. Somit könnten elektronische
Offline-Schlösser eines jeden Herstellers
Trotz steigender Nachfrage an elektronischen Sicherheitslösungen bieten mechanische Systeme nach Überzeugung der
Fachzeitschrift GIT (Ausgabe Juni 2013,
S. 56/57) immer noch das höchste Maß an
Sicherheit und Zuverlässigkeit. Die steigende Nachfrage an elektronischen Schließsystemen würden die Ansprüche an die Mechanik steigern. Generell sei die Verwendung
neuer, widerstandsfähiger Materialien Trend
in der Entwicklung mechanischer Schließsysteme. Standards in der Mechanik, wie
etwa der Aufbohrschutz, seien in den letzten
Jahren aufgegriffen und verfeinert worden.
Zudem machten neue Technologien wie die
Verwendung von Magneten oder federnfreie
Mechanismen mechanische Schließsyste-
me noch resistenter gegen Angriffe. Neue
Entwicklungsansätze in der Mechanik lägen
in der Verwendung von Materialien und
Oberflächenbehandlungen, bei denen keine
giftigen oder umweltschädlichen Materialien
anfallen.
Die Fachzeitschrift Security insight zeigt
in ihrer Ausgabe 3-2013 (S. 48), wie sich
elektronische Knäufe im hektischen Alltag
von Kliniken und Pflegeeinrichtungen vor
Zerstörung schützen lassen. Drumm Sicherheitstechnik habe den Geminy DigiSafe
entwickelt, der als eine Art Panzer über
den vorhandenen Zylinderknauf gestülpt
und massiv von der Innenseite befestigt
werde. Der bisherige Knauf werde vollständig verdeckt und mit dem DigiSafe fixiert.
Bedient werde der Zylinder dann über den
drehbar gelagerten Knauf der Sicherung. So
konstruiert verhindere die Vorrichtung, dass
der Knauf abgeschlagen, abgefahren oder
abgetreten wird. Die Innovation schütze den
digitalen Schließzylinder gegen Beschädigung und Vandalismus.
Der Einsatz von Schlüsseldepots in Verbindung mit einer Alarmaufschaltung auf
Leitstellen verkürze Zugriffszeiten, erleichtere das Schlüsselmanagement und sorge für
mehr Flexibilität auch für den Betriebsalltag
des Auftraggebers, argumentiert Wolfgang
Herber, Kötter Sicherheitssysteme GmbH
& Co.KG, in der Ausgabe 3-2013 der WiK
(S. 50–52). Neben der Vereinfachung von
Prozessabläufen werde durch den Einsatz
von Schlüsseldepots auch ein erhöhter
Sicherheitsstandard gegeben. Von einigen
Herstellern elektronischer Depots werde
ein interner Speicher mitgeliefert, der alle
Schlüsselentnahmen im Schloss selbst registriert. Darüber hinaus würden alle Aktivitäten in der beauftragten NSL dokumentiert.
Die Konvergenz von IP und IT in Sicherheitsanwendungen setzt sich fort, heißt
es in Security insight (Ausgabe 3-2013,
S. 52/53). Deshalb fordere der Markt eine
Standardisierung. Ein Beispiel seien nicht
vernetzte elektronische Schlösser als der
einzige proprietäre Teil eines Zutrittskontrollsystems. Die Hardware bestehe
inzwischen aus nativen IP-Geräten, deren
Funktionen die Software vorgibt. Mit dem
Trend der Zusammenführung von Sicherheitslösungen und Kartentechnologien habe
die Nachfrage nach einer Standardlösung für
das Schreiben von Zutrittsrechten auf einer
Karte zugenommen. Deshalb hätten Nedap,
Assa Abloy und Zugang GmbH gemeinsam
einen neuen Standard entwickelt: Standard Offline Access Application (SOAA).
Anwender würden durch die Standardisierung in die Lage versetzt, nicht vernetzte
elektronische Schlösser von verschiedenen
Lieferanten zu verwenden und sie in ihrem
Sicherheitssystem auf ein und dieselbe
Weise zu behandeln. Das mache das Leben
derjenigen leichter, die die Berechtigungen
verwalten, und sei auch für die Kartennutzer
bequem. Außerdem werde die Integration
nicht vernetzter Schlösser einfacher.
Security insight weist in der Ausgabe
3-2013 (S. 58/59) auf den 2010 in Kraft
getretenen „Cruise Vessel Security & Safety Act“ (CVSSA) – auch bekannt als „Kerry
Bill“ – hin, das für jedes Kreuzfahrtschiff
gelte, das in einen amerikanischen Hafen
einläuft. Unter den zahlreichen Vorgaben
des Gesetzes fänden sich auch signifikante Anforderungen an die Zugangs- und
Kontrollverfahren für Besatzungsmitglieder. Gefordert werde ein System, das den
Zugriff auf jeden einzelnen Schlüssel sowohl
personen- als auch zeitbezogen kontrolliert,
dokumentiert sowie definierte Zeitfenster
überwacht. Der Anbieter Traka erfülle dieses
Ziel mit Hilfe seiner netzwerkgesteuerten elektronischen Schlüsselschränke.
Aufgrund der intuitiv bedienbaren, mit
einer interaktiven realgrafischen Oberfläche
ausgestatteten Software sei der zuständige
Sicherheitsoffizier in kürzester Zeit in der
Lage, das Gesamtsystem zu verwalten. Über
die Datenbank-Kommunikation würden ihm
Status und Alarme unmittelbar gemeldet.
205
206
Schwarzarbeit
Der Umfang der Schattenwirtschaft in
Deutschland hat 2012 um 2,7 Milliarden
Euro abgenommen, meldet die FAZ am
7. Februar. Er mache rund 340 Milliarden Euro
aus, wie aus einer Untersuchung des Instituts
für angewandte Wirtschaftsforschung und
des Ökonomen Friedrich Schneider hervorgehe. Das Ausmaß der Schwarzarbeit habe
sich auf 13,2 % reduziert. Als Gründe für den
Rückgang hätten die Autoren die Wirtschaftslage, den geminderten Beitragssatz in der
Rentenversicherung und die höhere Verdienstgrenze für Minijobber genannt.
Nahezu alle Bereiche der Wirtschaft, besonders aber lohnintensive Branchen, sind
von Schwarzarbeit betroffen, berichtete
die Wochenzeitung DAS PARLAMENT am
28. Oktober 2013. Umfang und Entwicklung
der Schwarzarbeit und illegaler Beschäftigung zu beziffern sei allerdings nicht möglich,
heißt es im Zwölften Bericht der Bundesregierung über die Auswirkungen des Gesetzes
zur Bekämpfung der illegalen Beschäftigung
(17/14800). Verwiesen wird unter anderem
auf Angaben des Instituts für angewandte
Wirtschaftsforschung Tübingen (IAW) und
die Arbeiten von Prof. Dr. Friedrich Schneider,
die in ihren Analysen von einem Umfang der
Schattenwirtschaft von 343 bis 352 Milliarden Euro ausgehen würden. Das würde
einem Verhältnis der Schattenwirtschaft zum
offiziellen Bruttoinlandsprodukt von rund
13,4 bis 14,6 % entsprechen. Die Forscher
würden aber tendenziell von einem Rückgang der Schattenwirtschaft ausgehen. Die
Einführung eines bundesweiten Mindestlohnes von 8,50 Euro dürfte zu mehr Schwarzarbeit führen, hieß es in der Wirtschaftswoche am 28. Oktober. Nach Berechnungen
des IAW würde die Schattenwirtschaft in
Deutschland um rund 900 Millionen Euro pro
Jahr wachsen. Schwarzarbeitbranchen, die
bisher keinen Branchenmindestlohn haben,
wie das Gaststätten-, Taxi- und Logistikgewerbe, wären stark betroffen.
Der Deutsche Gewerkschaftsbund habe
die Bundesregierung zu einer effektiveren
Bekämpfung der Schwarzarbeit aufgefordert,
meldete boersennews.de am 6. April. Man
gehe davon aus, dass bei Umwandlung der
Schwarzarbeit in Beschäftigung mindestens
500.000 Arbeitsplätze entstehen könnten.
Annelie Buntenbach, Mitglied des DGB-Bundesvorstands, habe eine neue Ordnung am
Arbeitsmarkt gefordert, die die Beschäftigten
vor Lohndumping und Ausbeutung schützt.
Sie wolle eine klare Abgrenzung von selbstständiger und abhängiger Beschäftigung,
damit Arbeitgeber nicht länger ungestraft
Arbeitnehmer in angeblich Selbstständige
umdefinieren könnten, denen sie dann die
gesamten Risiken und Kosten zum Beispiel für die Sozialversicherung zuschieben
könnten. Nach einem Bericht des BMF sei der
durch Schwarzarbeit entstandene bundesweite Schaden in den Jahren 2011 und 2012
von 660 auf 750 Millionen Euro gestiegen.
Deutschland und die Niederlande wollen
bei der Bekämpfung der grenzüberschreitenden Schwarzarbeit besser kooperieren,
meldete die Wochenzeitung DAS PARLAMENT am 4. Februar. Daher habe die Bundesregierung den Entwurf eines Gesetzes zum
deutsch-niederländischen Vertrag zur Bekämpfung grenzüberschreitender Schwarzarbeit (17/2015) eingebracht, der inzwischen
vom Bundestag an die Ausschüsse überwiesen worden sei. Der Vertrag regele besonders
den Informationsaustausch zwischen den
beiden Ländern.
In deutschen Schlachthöfen sollen Leiharbeiter-Kolonnen systematisch schwarz
beschäftigt worden sein, meldete WELT
kompakt am 25. Juni. Es werde gegen 22
Beschuldigte und ein Firmengeflecht von
rund zwei Dutzend Unternehmen ermittelt.
Die Ermittler gingen dem Verdacht nach, dass
mit dem Einsatz der Leiharbeiter aus Rumänien und Polen von den Leiharbeitsfirmen
Steuern und Sozialabgaben in Millionenhöhe
hinterzogen wurden. Mehr als ein Dutzend
Schlachthöfe soll von Hintermännern der
Szene mit billigen Arbeitskräften versorgt
worden sein. Die Leiharbeiter-Kolonnen hätten die Stammbelegschaften der Schlachthöfe vielerorts dezimiert.
Rechtsanwalt Dr. Wolfgang Frisch erläutert in
WiK (Ausgabe 5-2013, S. 54–56) ein neues
BGH-Urteil (vom 1.8.2013) zur rechtlichen
Beurteilung von Schwarzarbeitsverträgen.
Das Gericht geht in dieser Entscheidung von
der Nichtigkeit des Gesamtvertrages aus.
Bei einseitigem Verstoß gegen das Schwarz-
arbeitsgesetz habe der Besteller einen Anspruch auf ordnungsgemäße Erfüllung durch
den Errichter und dieser dann auch Anspruch
auf Leistung der vereinbarten Vergütung. Bei
beiderseitigem Verstoß habe der Errichter
dagegen keinen Anspruch auf den vertraglichen Werklohn und könne nur Wertersatz für
seine Leistung verlangen. Bei der Bemessung
des Wertersatzes seien erhebliche Abschläge als Ausgleich für die nicht bestehenden
Gewährleistungsansprüche vorzunehmen.
Hierbei seien Abschläge von 15 bis 50 %
anzusetzen.
Sicherheitsbeleuchtung
René Tepaß, Novar GmbH, befasst sich in
der Fachzeitschrift WiK (Ausgabe 3-2013,
S. 61/62) mit der Sicherheitsbeleuchtung
zur Unterstützung von Evakuierungsmaßnahmen. Angesichts immer komplexerer
Gebäudestrukturen forderten die Feuerwehren verstärkt die passive Evakuierung, also
alle Maßnahmen, zu denen die Feuerwehr
nicht beitragen muss und die der Idealvorstellung gerecht werden, dass das Gebäude beim
Eintreffen der Feuerwehr bereits geräumt ist.
Nach Baurecht bildeten die Bauordnungen,
Verordnungen und Richtlinien der Bundesländer die rechtliche Basis für eine Sicherheitsbeleuchtung. Nach Arbeitsschutzrecht seien
es die Arbeitsstätten-Verordnungen und die
Arbeitsstätten-Regeln.
Für Notfallleuchten mussten bei einer Nachinstallation mühsam Wände aufgeschlagen
und Kabel verlegt werden. Diese Zeiten seien
vorbei, hieß es in der Juliausgabe des Behördenspiegels. Mit dem WirelessControl-System
von SCHORISCH Systems lasse sich Sicherheitsbeleuchtung über Funk sogar in großer
Stückzahl vernetzen. Der Computer erkenne
automatisch alle Rettungszeichen und Sicherheitsleuchten. Fällt eine Leuchte aus oder liegt
womöglich eine Funkstörung vor, erhalte der
Haustechniker per E-Mail einen Warnhinweis.
Die Notlichtfunktion sei immer gewährleistet.
Rund 1,5 Milliarden Euro sollen im Rahmen
eines mehrjährigen Forschungsprogramms
namens „Horizon 2020“ unter anderem zur
Weiterentwicklung der Technik bei der Kriminalitäts- und Terrorbekämpfung zur Verfügung stehen, hieß es nach einer Meldung des
Tagesspiegel vom 31. Juli in der EU-Kommission. Die Kritik von Netzpolitikern richte sich
indes auf Projekte wie das Programm „Clean
IT“, das bis zum Beginn dieses Jahres mit
EU-Mitteln gefördert wurde. Das Programm,
das den Missbrauch des Internets durch
Terrorgruppen einschränken soll, werfe nach
den Worten des Grünen-Innenexperten Konstantin von Notz zahlreiche Fragen auf. So sei
ungeklärt, ob solche Suchprogramme auf die
E-Mails unbescholtener Bürger zugreifen.
207
208
Sicherheitsgewerbe – Allgemeine Themen
Auf einen Antrag der Bundestagsfraktion
Die Linke, die „Privatisierung der öffentlichen Sicherheit“ rückgängig zu machen
(17/10810), verwies die Wochenzeitung
DAS PARLAMENT am 18. März. Zunehmend
finde eine „Übertragung hoheitlicher Befugnisse auf private Wach- und Sicherheitsdienste“ statt. „Öffentliche Ordnungs- und
Sicherheitsaufgaben werden privatisiert, das
staatliche Gewaltmonopol wird vom Gesetzgeber selbst zugunsten kommerzieller
Interessen aufgeweicht“. Die Bundesregierung werde in dem Antrag aufgefordert, „eine
Politik zu verfolgen, die die Staatsquote in
den Bereichen der öffentlichen Sicherheit
erhöht“. Vordringlich solle dies im Bereich der
Bahn und Flughäfen sichergestellt werden.
Die Linksfraktion fordere unter anderem erhöhte Standards für die Aus- und Fortbildung
des Personals von Sicherheitsfirmen sowie
eine Bezahlung nach den Tarifen des öffentlichen Dienstes. Dagegen betont der CDUAbgeordnete Armin Schuster, die öffentliche
Sicherheit und Ordnung sei „Sache des Staates, und das bleibt auch so“. Niemand stelle
das Gewaltmonopol des Staates ernsthaft in
Frage. Nach Meinung der FDP-Fraktionsvize
Gisela Piltz müssten nicht überall, wo etwa
Bewachungsaufgaben wahrgenommen werden, dafür Polizisten eingesetzt werden. Nach
Ansicht des SPD-Parlamentariers Wolfgang
Gunkel müssen für die Aus- und Weiterbildung des Personals höhere Standards als
bisher gelten, wenn private Dienstleister
Sicherungsaufgaben wie beispielsweise beim
Werkschutz übernehmen. Auch müssten
annehmbare Arbeitsbedingungen herrschen
und angemessene Löhne gezahlt werden.
Manfred Buhl, Securitas Holding GmbH,
bezeichnete im Special Sicherheitsdienstleistung der Fachzeitschrift WiK vom Juni
2013 die Lage des Sicherheitsgewerbes als
stabil. Der 2011 eingeführte Mindestlohn für
einfache Tätigkeiten habe sich insgesamt bewährt und werde in der Regel beachtet. Eine
Verdächtigenquote von 6,4 % bei Kontrollen
durch den Zoll entspreche dem Durchschnitt
aller Kontrollen in der Bauwirtschaft, dem
Gebäudereinigungsgewerbe und der Abfallwirtschaft. Der latenten Gefahr, dass ein
allgemeiner gesetzlicher Mindestlohn zum
generellen Maßstab auch bei der Vergabe von
anspruchsvollen Leistungen werde, müsse
durch die von der IMK geforderte Zertifizierung als Voraussetzung für die Wahrnehmung
für die öffentliche Sicherheit wichtiger Funktionen begegnet werden. Ohne eine gesetzliche Verankerung (in einem neuen § 32 GewO
oder in einem eigenen Gesetz der privaten
Sicherheit) könne im Vergabeverfahren das
Erfordernis der Zertifizierung (als Berufsausübungs-, nicht Berufswahlbeschränkung)
nicht durchgesetzt werden (S. 9/10).
Die FAZ berichtete am 22. November über
eine Untersuchung des Marktforschungsunternehmens Lünendonk. Der deutsche
Markt für Sicherheitsdienstleistungen sei
2012 auf rund 5 Milliarden Euro gewachsen,
der Umsatz aller Sicherheitsdienstleister um
200 Millionen Euro gegenüber 2011 gestiegen. Gleichzeitig hätten die Renditen auf
dem hart umkämpften Markt abgenommen.
Einen allgemeinen Mindestlohn sähen die 40
befragten Sicherheitsunternehmen positiv
und hielten einen Stundensatz von 8,50 Euro
sogar für zu niedrig. Sie plädierten für 9,40
Euro im Westen und 8,90 Euro im Osten. Der
Markt sei stark fragmentiert. Auf ihm tummelten sich viele Kleinstunternehmen. Es gebe
jedoch erste Konsolidierungsanzeichen: Die
15 größten Firmen seien mit durchschnittlich
4,3 % schneller gewachsen als der Gesamtmarkt. Da die Eintrittshürden niedrig seien,
drängten jedes Jahr etwa 100 neue Unternehmen auf den Markt und machten den
Etablierten das Leben schwer. Auch die Auftraggeber wollten immer weniger für Sicherheitsdienstleistungen bezahlen. Bis 2020
erwarte Lünendonk ein Marktwachstum von
unter 5 % je Jahr. Möglicher Wachstumstreiber sei die Verhinderung von Wirtschaftsspionage und Cyberkriminalität.
Sicherheitsgewerbe – Situation der Beschäftigten
Der Sicherheits-Berater ist in seiner Ausgabe
vom 15. Februar im „Stressreport Deutschland 2012“ den Aussagen zur Situation von
Beschäftigten im Sicherheitsgewerbe nachgegangen. 19 % müssten sich mit befristeten
Arbeitsverhältnissen zufrieden geben und
42 % seien in den Jahren von einer Umstrukturierung betroffen gewesen. 72 % hätten
angegeben, „einen gewissen Handlungsspielraum“ zu besitzen, ihre eigene Arbeit also
selbst planen und einteilen zu können. 78 %
fühlten sich am Arbeitsplatz als Teil einer Ge-
meinschaft. 42 % beobachteten eine Stresszunahme in den letzten zwei Jahren. 86 %
klagten über gesundheitliche Beschwerden.
Der Sicherheitsberater weist in Nr. 16-2013
(S. 234–236) darauf hin, dass tarifliche
Zuschläge für Nacht-, Sonntags- und Feiertagsarbeit nur auf die Lohn- und Lohnnebenkosten, nicht aber auf den Verrechnungssatz
(VRS), aufgeschlagen werden dürfen.
Sicherheitsgewerbe – Aus- und Weiterbildung
Andreas Brink, Vollmergruppe Dienstleistung,
sieht Verbesserungsbedarf in der Ausbildung (Special Sicherheitsdienstleistung der
Fachzeitschrift WiK vom Juni 2013). 2011
habe die Durchfallquote bei den Fachkräften
bei 23 % und bei den Servicekräften bei 30
% gelegen. Die Abbruchquote habe 42,9 %
betragen. Als Hauptgrund für den Abbruch
würden betriebliche Hintergründe genannt
(70 %). Dazu zählten unter anderem ungünstige Arbeitsbedingungen, mangelnde Vermittlung von Ausbildungsinhalten und Konflikte
mit Vorgesetzten. Leider sei es in vielen
Sicherheitsunternehmen zur gängigen Praxis
geworden, die Auszubildenden eigenverantwortlich als feste Mitarbeiter im operativen
Bereich einzusetzen. Vielfach seien sie allein
an den Schutzobjekten tätig und leisteten bis
zu 200 Arbeitsstunden monatlich. Verständlich, dass bei einer Vergütung von 560 € im
ersten Ausbildungsjahr Konflikte mit Vorgesetzten vorprogrammiert seien und die eigentlichen Ausbildungsinhalte nicht vermittelt
werden könnte (S. 11/12). Markus Benkwitz,
OSD Schäfer GmbH, zeigt sich überzeugt,
dass kombinierte und das Management unterstützende Dienstleistungen zur effizienten
Unternehmensführung beitragen. Klassische
Tätigkeiten in der Standortsicherheit ließen
sich effizient mit Schutzaufgaben wie Arbeits- und Gesundheitsschutz, Brandschutz
und Umweltschutz verknüpfen. Fachbereiche
im Unternehmen könnten operativ entlastet
werden. Das Spektrum reiche bis zur Übernahme von Beauftragtenfunktionen sowie
der Hilfestellung bei internen Audits und der
Vorbereitung auf Zertifizierungen (S. 13).
Gabriele Biesing, Securitas Holding GmbH,
befasst sich in Ausgabe 3-2013 der Zeitschrift WiK (S. 42–44) mit der wachsenden
Professionalisierung und Verbesserungsmöglichkeiten bei der Aus- und Weiterbildung.
Die beiden Ausbildungsberufe – Fachkraft
und Servicekraft für Schutz und Sicherheit
– seien sowohl hinsichtlich ihrer Anforderungen, Inhalte und Kompetenzen als auch
der danach möglichen Karrierewege und
ihrer Chancen noch immer nicht allgemein
bekannt, oder sie würden unterschätzt. Angesichts der derzeit noch unerfreulich hohen
Abbruchquoten werde deutlich, dass noch
einiges in Angriff zu nehmen ist. Oft werde im
Vorfeld bei der Auswahl die Auszubildenden
nicht genügend über die Ausbildungs- und
Einsatzzeiten (Schichtdienst) informiert oder
ein falsches Bild geweckt (Stichworte: Bodyguard, Observation, Event-Schutz).Leider
gebe es auch eine Vielzahl von „trügerischen
Bildungstiteln“ verschiedener Bildungsträger.
Hinter klangvollen Abschlüssen und Titeln
wie „Facility Security Worker“ oder „Sicher
209
210
heitsdienstleistungsfachkraft(IHK)“ würden
sich oft lediglich die gewerberechtlichen
Zugangsvoraussetzungen gemäß § 34a
GewO verbergen. Potenziale habe der Handel
erkannt: Gemeinsam mit dem BDSW habe
eine Arbeitsgruppe verschiedener Handelsunternehmen und des EHI einen Entwurf für
eine Zusatzqualifikation „Sicherheitskraft im
Handel“ erarbeitet.
Zur Ausbildung im Sicherheitsgewerbe
äußert sich auch Martin Hildebrandt, BDSW,
in DSD (Ausgabe 2-2013, S. 3–5). Kurz nach
Einführung des zweijährigen Ausbildungsberufs habe sich der BDSW am Projekt
„Optimierung der Qualifizierungsangebote für
gering qualifizierte Arbeitslose“ der Bundesagentur für Arbeit (BA) beteiligt. Entwickelt
werden sollte ein neues Weiterbildungskonzept, mit dem Geringqualifizierte zu
den anerkannten Abschlüssen Service- und
Fachkraft für Schutz und Sicherheit geführt
werden können. Es handele sich um ein modulares Bildungsangebot, das das Erreichen
der Berufsabschlüsse auf überschaubare
Qualifikationseinheiten herunter bricht. Jede
einzelne Teilqualifikation sei nicht nur ein
Schritt in Richtung Berufsabschluss, sondern gleichzeitig auch einzeln am Arbeitsmarkt verwertbar, weil sie alle notwendigen
Kompetenzen für identifizierte betriebliche
Einzelfelder umfasse. Die Erfahrungen der
beteiligten Unternehmen seien, sowohl was
die Ergebnisse der Qualifizierung als auch
was die Integration der Mitarbeiter angeht,
sehr positiv. Derzeit laufe eine Verlängerung
der Erprobungsphase. Danach werde die BA
entscheiden, welchen Platz Teilqualifikationen
künftig im Förderportfolio der BA einnehmen
werden.
Sicherheitsgewerbe – Ausrüstung
Ausstattungstipps für den mobilen Sicherheitsdienst gibt in der Ausgabe 1-2013 der
WiK Redaktionsmitglied Ulrich Sobers (S. 20–
22) und beschränkt sich dabei auf Lösungen
auf Android-Basis. Netze und Endgeräte werden leistungsfähiger, doch wer originelle Lösungen für Smartphones oder Tablet-Rechner
sucht, die für den mobilen Sicherheitseinsatz
geeignet sind, werde nicht allzu schnell
fündig. Zwar gebe es Apps für Fernabfragen
der Videoüberwachung, Fernsteuerlösungen
für intelligente Gebäudetechniksysteme oder
auch bei Wächterkontrollsystemen, doch
ausgeschöpft würden die Möglichkeiten in
diesem Einsatzbereich längst nicht. Als Basisfunktionen für Sicherheitszwecke stünden
zur Verfügung: weltweite Verfügbarkeit über
Mobilfunk und Internet, Anzeige visueller und
akustischer Informationen, Ermittlung von
Geokoordinaten, Zugriffsfunktionen mit mobiler Berechtigungsvergabe und Verknüpfung
von Informationen und Daten mit Ereignissen
und Reaktionen. Wichtige Grundvoraussetzung für eine Nutzung von Smartphones bei
Sicherheitsaufgaben sei die Berücksichtigung der systembedingten Schwächen von
mobilfunkbasierten Lösungen. Die App-Ausstattung eines „Wachdienst-Smartphones“
müsse daher über Apps aus unterschiedlichen Topics zusammengestellt werden.
Objektschlüssel und Stechuhr könnten durch
NFC ersetzt werden. Denkbar sei auch die
Verwendung als Scharf-/Unscharf-Schalter für
Gefahrenmeldeanlagen. Ein „must have“ aus
der Security-Rubrik sei allerdings eine App
zum Schutz bei Verlust. Je tiefer Smartphone-Anwendungen in den Dienstalltag eindringen sollen, umso komplexer würden die
Bedienvorgänge. Automatisierte „Reaktionen“
im Objektschutz könnten das Versenden von
Standortinformationen zum Arbeitsnachweis,
die Freigabe von Zugriffscodes bei bestimmter Geoposition oder Alarme bei Verlassen
eines Aufenthaltsbereichs sein.
Sicherheitsgewerbe – Einsatzbereiche
Mehrere Beiträge im Special Sicherheitsdienstleistung der Fachzeitschrift WiK
(Juni 2013) befassen sich mit Themen der
Sicherheitsdienstleistung für die Unternehmenssicherheit: 92,4 % der im Rahmen
der WiK-Sicherheitsenquete 2012/2013
Befragten aus der Unternehmenssicherheit
hatten 2012 mindestens eine Sicherheitsaufgabe an externe Anbieter vergeben. Im
Durchschnitt wurden 5 aus 18 abgefragten
Sicherheitsdienstleistungen fremd vergeben.
Am häufigsten genannt wurden Wartung von
Sicherheitstechnik, Objektschutz, Empfangsdienste und Alarmaufschaltung. Auch künftig
sei ein weiter wachsendes Outsourcing
wahrscheinlich. Etwa die Hälfte der Unternehmen kündigte an, dass sie bis Ende 2013
zusätzliche, bisher selbst erbrachte, Sicherheitsservices nach außen vergeben wollten.
Insourcing spiele so gut wie keine Rolle mehr.
Besondere Trends der Fremdvergabe seien
aktuell nicht festzustellen. Die relativ größten
Potenziale für Neuvergaben gebe es im Bereich Arbeitssicherheit und bei der Ausschreibung für Sicherheitstechnik. Bei 35,5 % der
befragten Anbieter von Sicherheitsdiensten
sollen 2013 neue Servicebereiche hinzukommen. Am häufigsten wurden als neue
Dienstleistungsangebote Arbeitssicherheit,
IT-Sicherheit, Telefonzentrale, Wartung von
Sicherheitstechnik und Transportbegleitung
genannt. 11 Unternehmen erwägen, Geldund Wertdienste ab 2013 wieder oder neu
ins Portfolio zu nehmen. Die überwiegende Zahl der Kunden sei mit den von ihnen
beauftragten Sicherheitsdienstleistern recht
zufrieden. Wenig beliebt bei Auftraggebern
sei es, wenn der Dienstleister Subunternehmen einsetzt. Eine ordentliche, tariftreue
Entlohnung der Mitarbeiter des Dienstleisters
sei den Auftraggebern wichtig. 48 % der
befragten Sicherheitsbeauftragten von Unternehmen nannten den Sachkundenachweis als
Mindestqualifikation eingesetzter Mitarbeiter
von Sicherheitsdienstleistern, 35 % die geprüfte Schutz- und Sicherheitskraft, 29 % die
Fachkraft für Schutz und Sicherheit (S. 5–8).
Stefan Berlin, Simacek Security GmbH, stellt
in der Ausgabe 3-2013 der Zeitschrift Security insight (S. 31) das Konzept „StadtService“ vor, das auf integrierte Prävention ziele,
um die Innenstädte sicher zu machen und
für den Einzelhandel attraktiv zu halten. Der
Sicherheitsarbeiter des StadtService komme
dabei die Rolle des Dienstleisters im öffentlichen Alltag der Stadt zu als Ansprechpartner
für die im täglichen Bewegungsfluss entstehenden Bedürfnisse und Probleme. Er müsse
sympathische Präsenz zeigen, ansprechbar
sein, passiv steuern oder aktiv dort eingreifen, wo Hilfe, ein „nachdrücklicher Hinweis“
oder eine „ordnende Hand“ nötig sind. Und
der WSO Sicherheitsdienst bezeichnet im
Special Sicherheitsdienstleistung (Juni 2013,
S. 16/17) der Fachzeitschrift WiK die CityStreife in Osnabrück als eine nicht mehr
wegzudenkende Institution. Stets werde eine
deeskalierende Taktik verfolgt.
In der Ausgabe 4-2012 der Zeitschrift DSD
weist Cornelia Okpara, BDSW, auf ein Urteil
des Bundesfinanzhofs v. 19. 06. 2012 (VII R
43/11) hin, nach dem das Hauptzollamt die
Erteilung des AEO-Zertifikats „Zollrechtliche Vereinfachungen/Sicherheit“ von der
Bedingung abhängig machen darf, dass der
Antragsteller seine in sicherheitsrelevanten
Bereichen tätigen Bediensteten einer Sicherheitsüberprüfung anhand der sogenannten
Terrorismuslisten unterzieht. Es bestünden
keine datenschutzrechtlichen Bedenken.
Der Abgleich der personenbezogenen Daten
der Bediensteten mit den Namen in den
Listen der VO Nr.2580/2001 und der VO Nr.
881/2002 sei nach § 32 Abs.1 Satz 1 BDSG
zulässig. (S. 40/41)
211
212
Sicherheitsgewerbe – Politische Forderungen
SecuMedia berichtet am 22. August 2013
über eine Pressekonferenz des BDSW-Präsidenten, der einen Forderungskatalog an die
zukünftige Bundesregierung präsentiert
habe. Mit Ausnahme von Deutschland und
Österreich unterliege die Zuständigkeit für die
privaten Sicherheitsdienste in allen anderen
25 EU-Staaten den Innen- bzw. Justizministerien. Die Zeit sei reif, dass auch in Deutschland die privaten Sicherheitsdienste in den
Zuständigkeitsbereich der Innenbehörden
übernommen werden. Die 2009 von der IMK
geforderte Zertifizierung von Sicherheitsunternehmen als Voraussetzung der Übernah-
me besonders anspruchsvoller Tätigkeiten
sei noch immer nicht umgesetzt. Außerdem
müsse der Gewerbezugang zum Sicherheitsgewerbe deutlich verschärft werden. Auch
die derzeitige Praxis der Zuverlässigkeitsüberprüfung der Sicherheitsmitarbeiterinnen
und -mitarbeiter müsse auf den Prüfstand.
Der BDSW fordere eine bessere Zusammenarbeit zwischen Staat und Wirtschaft in Fragen des Wirtschaftsschutzes. Dazu gehöre
auch eine Schulung der Geschäftsführer und
Führungskräfte von Sicherheitsunternehmen
durch kompetente Vertreter der Sicherheitsbehörden.
Sicherheitsgewerbe – Rechtsextremismus
Unter Bezugnahme auf die Vorwürfe gegenüber dem Sicherheitsdienstleister H.E.S.S.,
dessen Mitarbeiter Kleidung der Marke Thor
Steinar getragen haben sollen, die in der
rechtsextremen Szene als Erkennungszeichen gilt, beklagte die FAZ am 8. März 2013,
mit welcher Lethargie manche Behörden
die Überprüfung von rechtsextremen
Sicherheitskräften praktizieren würden.
Dies werde hinter vorgehaltener Hand auch
von Verfassungsschützern kritisiert. Auch
der Brandenburger Landesgruppenleiter
des Bundesverbandes der Sicherheitswirtschaft, Matthias Schulze, sage, das Problem
der Beschäftigung von Rechtsextremisten
bei Sicherheitsfirmen sei zunehmend zu
beobachten. Allein in Brandenburg ist nach
Angaben der Leiterin des Verfassungsschutzes von mehreren Hundert Rechtsextremisten auszugehen, die in ihrer Tätigkeit unter
Umständen auch hoheitliche Aufgaben
wahrnehmen würden. Eine Projektgruppe der
IMK habe 2011 eine strengere Zertifizierung
von Sicherheitsfirmen erarbeitet. Die Fachleute hätten eine stärkere Überprüfung von
Wachleuten empfohlen, die momentan nur
einmalig bei ihrer Einstellung ein polizeiliches
Führungszeugnis vorlegen müssten. Solche
Prüfungen sollten mindestens alle drei Jahre
erfolgen, forderten die Fachleute. Umgesetzt
seien die Vorschläge bisher nicht.
El. Ing. HTL/Wirtschaftsing. STV André Corpataux, Securiton AG, behandelt im SicherheitsForum (Ausgabe 5-2013, S. 41–43) Anforderungen an moderne Sicherheitsleitsysteme.
Die dienten der zentralen Überwachung aller
Subsysteme, stellten Meldungen sowie die
Fernbedienung aller Subsysteme standardisiert dar und protokollierten alle Ereignisse
und Benutzereingriffe. Moderne Sicher-
heitsleitsysteme seien in der Lage, mit allen
Gewerken zu kommunizieren. Sie müssten
universell und offen für neue Funktionen und
Datenbanken sowie möglichst betriebssystemunabhängig sein. Pro Meldung müssten
alle sinnvollen Befehle des auslösenden
Datenpunktes sowie mögliche Reaktionen
auf andere Datenpunkte dem Benutzer zur
Verfügung gestellt werden. Zur optimalen
Unterstützung des täglichen Ablaufs bedürfe
es einer Datenpunktliste, die alle Zustände
der angeschlossenen Sensoren zu jeder Zeit
online nachführe und visualisiere.
Sicherheitsmanagement
Unternehmenssicherheit als Managementaufgabe thematisiert PROTECTOR
in der Ausgabe 12-2013 (S. 42/43). Die
stärkste Sicherheit sei die, die den Mitarbeitern in Fleisch und Blut übergegangen ist.
Ein Kardinalfehler sei es, Sicherheit quasi
von oben anzuordnen. Sie sei trügerisch,
denn sie könne hinsichtlich ihrer Effizienz
nicht kontrolliert werden. Nicht viel besser
sei ein dickleibiges Sicherheitskompendium,
eine „Policy“. Drei Faktoren seien es, die aus
einer angeordneten Sicherheit ein brüchiges
Gebilde machen, auf das im Ernstfall kein Verlass ist: die Unkenntnis. Die Einbettung der
Information über Sicherheitsthemen in eine
Betriebsversammlung müsse als denkbar ungeeignet angesehen werden. Sicherheitsthemen seien keine Angelegenheit, die nebenher
verhandelt werden könnten.
Sicherheitsmarkt
Rainer A. H. von zur Mühlen, von zur
Mühlen’sche GmbH, prognostizierte in der
Ausgabe 1-2013 des SicherheitsForums
(S. 13–17) Trends für das Jahr 2013. Für
Brandmeldeanlagen geht er im Hinblick auf
zu erwartende Erweiterungsinvestitionen und
Modernisierungen von einem Wachstum von
6–8 % aus. Den Zuwachs bei Einbruchmeldeanlagen schätzt er im Privatbereich auf 5 %
(infolge zunehmender Einbruchskriminalität
in höherwertige Wohnobjekte durch international tätige Banden), im Geschäftsbereich
auf 4–6 %. Er prognostiziert für Videoüberwachungsanlagen infolge der Kriminalitätslage
im Eigenheimbereich einen Zuwachs von ca.
4 %. An der Front der Zutrittskontrollsysteme
dürfe man wieder ein Wachstum von 3–4 %
erwarten. Der Umsatz des Sicherheitsgewerbes würde um ca. 2–3 % wachsen. Sichtbar
werde der Trend, Qualität der angebotenen
Leistungen schwerer zu gewichten als noch
in den Jahren zuvor. Ferner zeige sich ein
Trend zur SLA-basierten Auftragsvergabe.
Das Sicherheitsunternehmen bekomme eine
zu bepreisende Aufgabe und ein definiertes
Anspruchsniveau. Wie diese Aufgabe zu erfüllen und das Niveau zu erreichen ist, die Anzahl der Einsatzkräfte, ihre Qualifizierung und
Qualität, sei seine Sache. Ferner rechnet der
Autor mit einer Zunahme von Zertifizierungen von Rechenzentren mit einem Anstieg
von etwa 15 % im Vergleich zum Vorjahr.
2013 werde auch ein Jahr der Revision der
E-Versorgung von Rechenzentren und der
Verbesserung der Not-Autarkie. Die Hersteller
der Anlagen könnten sich über ein Plus von
ca. 8–10 % freuen.
Nach einem Bericht der Forschungsfirma
The Freedonia Group wird erwartet, dass
der weltweite Bedarf nach Sicherheitsausrüstung jährlich um 7 % auf 117 Billionen $ anwachsen wird, berichtet SecurityinfoWatch. Die höchsten Zuwächse
werden in Asien, Osteuropa, Afrika und dem
Mittleren Osten erwartet, wo der Sicherheitsmarkt noch relativ unterentwickelt
sei. Die wichtigsten Einflussfaktoren seien:
größeres wirtschaftliches Wachstum, neue
Geschäftsmodelle und ausländische Investitionen, Urbanisierung und Zunahme des
Mittelstandes und der Oberschicht. Es werde
erwartet, dass die schnellsten Zuwächse am
sicherheitstechnischen Bedarf in China und
Indien entstehen. 2016 soll China mehr als
ein Viertel des weltweiten Wachstums des
Umsatzes von Sicherheitstechnik erreichen.
In Nordamerika wird ein jährliches Wachstum
213
214
von 6,5 % bis 2016 erwartet. 2011 habe
elektronische Sicherheitstechnik 65 % der
weltweiten Nachfrage erreicht, die kommerzielle und industrielle Sicherheitsausrüstung
habe etwa 65 % der Umsätze ausgemacht.
In einer Mitteilung des BHE beurteilt die
Mehrzahl der Fachfirmen für Sicherheitstechnik ihre derzeitige Geschäftslage als gut,
berichtet SecuPedia in einem Newsletter.
Dabei zeige sich, dass diese positive Bewertung überwiegend von den Gewerbekunden
gespeist werde, die Lage bei behördlichen
und privaten Nachfragern sicherheitstechnischer Leistungen werde tendenziell eher
als befriedigend eingeschätzt. Das Gewerk
Brandmeldeanlagen sei erneut am besten
und die Lage bei der Einbruchmeldetechnik
noch mit „gut“ bewertet worden. Die künftige
Geschäftslage werde etwas schlechter eingeschätzt als im Herbst 2012.
Protector berichtet in seiner Ausgabe
7-8/2013 (S. 15) über den Markt für elektronische Sicherheitssysteme in Deutschland.
Der werde 2012 mit 2,95 Milliarden Euro
beziffert (+ 6,3 % gegenüber 2011). Für
2013 gingen Experten des ZVEI von + 3 %
aus. Struktur des Marktes: 44 % BMA, 22 %
ÜEMA, 14 % Videoüberwachung. 2012 hätte
der Umsatz von BMA um 8,6 % auf 1,3 Milliarden €, von Zutrittskontrollsystemen um
5,3 % auf 260 Millionen €, von Videotechnik
um 4,6 % auf 413 Millionen €, von RWA
um 8,6 % auf 239 Millionen €, von Sprachalarmanlagen um 8,6 % auf 76 Millionen €
und von ÜEMA um 2 % auf 654 Millionen €
zugenommen. Wie SecuPedia im Newsletter
8/2013 berichtet, kommt eine im Auftrag des
Brandenburgischen Instituts für Gesellschaft
und Sicherheit (BIGS) vom GfK in Nürnberg
2012/2013 durchgeführte Marktstrukturerhebung über die Sicherheitswirtschaft in
Deutschland zu deutlich höheren Ergebnissen, als dies von Branchenverbänden angegeben wird. In der Studie werde der zivile
Gesamtmarkt für Sicherheitsprodukte und
-dienstleistungen in der klassischen und der
IT-Sicherheit auf zusammen rund 35 Milliar-
den Euro geschätzt. Dagegen schätzten die
Verbände BDSW, BHE und ZVEI anlässlich
der Security 2012 den Markt auf zusammen
etwa 12 Milliarden Euro, BITKOM den aktuellen IT-Sicherheitsmarkt auf 3,3 Milliarden
Euro ein. Die Unterschiede ergäben sich aus
einer breiteren und verbandsübergreifenden
Marktabgrenzung durch BIGS, das unter
Sicherheitswirtschaft alle Umsätze erfasse,
die in der zivilen Sicherheit entstehen, also
etwa im Bereich Sicherheitsgewerbe auch
Unternehmen einbeziehe, die nur einen
Teil ihrer Umsätze in der zivilen Sicherheit
erzielen. Für 2013 erwarteten die Befragten
ein durchschnittliches Umsatzwachstum
von 3,9 %. Dabei würden die Unternehmen
das Wachstum des gesamten deutschen
Sicherheitsmarktes für 2013 mit 5,5 % höher
einschätzen als das Wachstum ihres eigenen
Unternehmens.
Die Fachzeitschrift WiK weist in der Ausgabe 4-2013 (S. 7) auf eine neue Studie des
US-Sicherheitsberaters Homeland Security
Research hin. Danach sollen die weltweiten
Videoinvestitionen bis 2020 auf 21 Milliarden $ steigen. Für 2012 schätzen die Marktforscher den Weltumsatz auf ca. 7,5 Milliarden $. Treiber der künftigen Entwicklung
seien vor allem der wachsende Bedarf an
Überwachungstechnik, die ständige Verbesserung der Technik und auch die fallenden
Kosten für die Systeme.
WiK weist in der Ausgabe 5-2013 (S. 50)
darauf hin, dass der US-Sicherheitsmarkt
2012 rund 350 Milliarden $ schwer gewesen
sei. 202 Milliarden $ seien auf die „klassische“
Sicherheit, 80 auf die IT-Sicherheit entfallen,
mit erwarteten Zuwächsen 2013 bei der
klassischen Sicherheit von 5 %, bei der ITSicherheit von 9 %. Eine Studie von RNCOS
erwartet für den weltweiten Videoüberwachungsmarkt zwischen 2013 und 2017 ein
durchschnittliches Wachstum von jährlich
14 %. Dabei würden IP-basierte Systeme und
die Datenspeicherung in IP Storage Are-Netzwerken die wichtigsten Umsatzträger sein.
Sicherheitsplanung
„10 Grundsätze der Sicherheitsplanung“
nennt der Sicherheits-Berater in der Ausgabe
7/2013: Frühzeitigkeit der Sicherheitsplanung in allen Phasen/Schutz- und Verfügbarkeitsziele bestimmen/Vorrang der Prävention
gegenüber Detektion und Schadensbekämpfung /Ganzheitlichkeit/Gleichwertigkeit/Wirtschaftlichkeit/Reduktion physischer Außenbeziehungen/Konsistenz/Praktikabilität und
Akzeptanz/Antizipation von Entwicklungen.
Sicherheitsstudium
Prof. Sachar Paulus, Fachhochschule Brandenburg, erläutert in Security insight (Ausgabe 4-2013, S. 18/19), warum an der Akademisierung der Unternehmenssicherheit
kein Weg vorbei führe. Die Anforderungen,
die sich aus einer immer komplexeren
Integration von Geschäftsprozessen und
Realisierung von Mehrwert durch innovative,
technisch unterstützte Geschäftsmodelle
ergäben, ließen sich nur durch eine entsprechende Qualifizierung nachhaltig sicherstellen. Statt „Lage und Einsatzplanung“ sei
„Mehrwert und Geschäftsprozess-Integration“
angesagt – eine völlig neue Perspektive sei
erforderlich. Entsprechend dieser Logik seien
gerade Studiengänge interessant, die auch
den aktuellen Sicherheitsmitarbeitern die
Möglichkeit bieten, auf ihre Erfahrungen die
fehlenden Kompetenzen aufzusatteln – mit
etwas Technik und viel Prozessgedanken.
Eine Übersicht des Ausbildungs- und Studienangebots zu Sicherheitsthemen sei unter
www.security-qualification.de zu finden.
Sicherheitssysteme
Die Fachzeitschrift GIT stellt in ihrer Ausgabe
5-2013 (S. 10/11) eine standortübergreifende Sicherheitslösung für Airbus vor. Kern
der Lösung sei die Sicherheitsmanagementsoftware „Siveillance Fusion“. Sie verwalte
sämtliche Systeme für Zutrittskontrolle,
Videoüberwachung und Einbruchsicherung.
Zudem würden Daten aus weiteren Systemen in die zentrale Sicherheitsmanagementplattform einfließen. Für Airbus bedeute das
Transparenz und Kontrolle über die Sicher-
heitssysteme in allen Niederlassungen und
Werken weltweit. Siveillance Fusion gewährleiste nicht nur die physische Sicherheit der
Standorte, sondern auch der Fertigungsund Logistikprozesse. Sie Software gebe
an zentralen Stellen und in Echtzeit einen
Überblick über alle sicherheitsrelevanten
Parameter. Zudem könne das System Daten
von anderen Gewerken und Fremdherstellern
abgreifen und sie für die Gesamtbeurteilung
der Sicherheitslage berücksichtigen.
Sicherheitstechnik
Michael Schaller, WIOSAG Sicherheitstechnik GmbH & Co.KG, weist in der Ausgabe
3-2013 der Fachzeitschrift Security insight
darauf hin, dass Sicherheitstechnik ihre
ganze Leistungsfähigkeit erst durch das
Zusammenspiel mit Mensch und Organisation entfaltet (S. 22–24). Die Kombination
aus Basisberatung, Standardlösungen und
Leitstellen-Aufschaltung liefere für Apotheken, Bäckereien und anderes Kleingewerbe
kostenattraktive und professionelle Lösungen, ohne dass sich jemand aus dem Unternehmen selbst intensiv mit der Thematik
auseinandersetzen müsste.
215
216
SecuPedia befasst sich in einem Newsletter
mit Anwendungen der Terahertz-Strahlung.
Die THz-Messtechnik teile man in zerstörungsfreie Materialprüfung, in medizinischbiologische Anwendungen sowie in Anwendungen in der Sicherheitstechnik ein.
Aufgrund ihrer Eigenschaft, Verdecktes
sichtbar zu machen, ließen sich mit der THzMesstechnik Gegenstände wie z.B. Sprengstoffe oder Drogen unter Kleidung bzw. in
nicht metallischen Behältern nachweisen. Für
die Personenkontrolle würden dabei parallel
zwei unterschiedliche Ansätze verfolgt: passive und aktive THz-Systeme, die sich darin unterscheiden, ob die natürliche THz-Strahlung
verwendet wird oder eine künstliche THzQuelle zum Einsatz kommt. Bei passiven
Verfahren werde die von Körpern ausgesendete oder reflektierte natürliche Strahlung mit
Hilfe sehr empfindlicher Detektoren, meist
auf Basis von Mikrobolometern, nachgewiesen. Dem Vorteil der Vermeidung von
künstlicher Beleuchtung und der damit verbundenen Strahlenschutzproblematik stehe
der Nachteil der sehr geringen Signalstärke
gegenüber. Bei den aktiven Verfahren werde
die zu untersuchende Person mit künstlich
erzeugten THz-Wellen beleuchtet und das
reflektierte Licht detektiert. Neben Personen
könnten auch andere Objekte wie Pakete
und Briefe untersucht werden. Hier habe das
Fraunhofer IPM zusammen mit Partnern den
Postscanner T-Cognition 2.0 zur Drogen- und
Sprengstoffdetektion in Briefen und kleinen Päckchen entwickelt. Dieser detektiere
simultan spektrale THz-Fingerabdrücke der
Probe in Transmission sowie Reflexion und
wertet diese anhand einer chemometrischen
Analysesoftware auf Basis einer umfangreichen Datenbank online aus.
Satellitentechnik spürt kriminelle Fischer
auf, titelte SPIEGEL ONLINE am 22. April
2013. Experten schätzten, dass mit illegalen
und nicht offiziell gemeldeten Fängen pro
Jahr zwischen 10 und 23,5 Milliarden USDollar umgesetzt würden. Das Treiben auf
See zu überwachen, sei eine logistische Herausforderung. Behörden und NGO versuch-
ten dies vermehrt per Satellit. Zusätzlich ermögliche das Antikollisions-System (AIS), das
viele größere Schiffe besitzen, theoretisch
eine Überwachung. Das AIS sende Namen
und Position eines Schiffs, seine Größe und
Geschwindigkeit. Aber das AIS könne manipuliert oder einfach ausgeschaltet werden.
Die Überwachung der Fischerei per Satelliten
stecke zwar noch in den Kinderschuhen, aber
sie sei dabei, sich rasant zu entwickeln.
Entwicklungstrends bei Brandschutz,
Sicherheit und Gebäudeautomatisierung im
Jahr 2013 skizziert in der Ausgabe 5-2013
der Zeitschrift GIT (S. 14–17) René Jungbluth, Siemens Schweiz AG. Er beschreibt
solche Trends beispielsweise in der Systemintegration, der Konvergenz, der kabellosen
Kommunikationstechnologie, der mehrfachen
Datennutzung, in der Systemintelligenz,
in der Energieeffizienzüberwachung und
dem Reporting und in vertikalen Lösungen.
Werner Kühn, Tyco Fire & Security Holding
Germany GmbH, skizziert sieben Trends: Die
Notwendigkeit von dialogfähigen, integrierten
Systemen; den Übergang von analogen zu
digitalen Technologien; den zunehmenden
Einsatz von Videoanalysen und ihre Nutzung,
um Geschäftsinformationen zu erhalten und
die Geschäftseffizienz zu verbessern; die
Annäherung von physischen und IP-basierten
Sicherheitslösungen; die Bedeutung von
betrieblichen Effizienzgewinnen und Gesamtbetriebskosten für Kunden; den Einsatz in
IT-Umgebungen eingebetteter Sicherheitslösungen zum Schutz sensibler Daten; und
die organisierte Kriminalität in der gesamten
Lieferkette (S. 18–20).
Bernd Nonnenmacher, Euromicron Solutions
GmbH, äußert sich in der Ausgabe 5-2013
von Protector (S. 34/35) zu den Vorteilen von
Ethernet und IP als Übertragungsmedium
für sicherheitstechnische Anlagen. Die Nutzung bestehender LAN-Infrastrukturen und
die daraus entstehenden Kostenvorteile seien
dafür der offensichtliche Treiber. Zudem
führe die Nutzung standardisierter und weit
verbreiteter Technologien wie Ethernet-Swit-
ches zu einer signifikanten Optimierung der
Betriebskosten und reduziere die Wartungskosten durch die gemeinsame Nutzung der
Infrastrukturen. Intelligenter als die Installierung paralleler Netzinfrastrukturen sei eine
zusammen mit dem IT-Bereich geplante
Integration von Bürokommunikation und
Sicherheitstechnik in die vorhandene Netzinfrastruktur, gegebenenfalls mit Erweiterung
oder Erneuerung bestehender Netzwerkkomponenten. Die einfachste Form des Schutzes
vertraulicher Daten aus einer Brandmeldeanlage oder einer Videoüberwachung sei die
Verlagerung der Anschlüsse für die Sicherheitstechnik in ein eigenes virtuelles LAN. Bei
erhöhtem Schutzbedarf sei es aber ratsam,
die Kopplung der virtuellen LANs nicht auf
den zentralen Layer 3-Switches, sondern auf
einer Firewall zu realisieren.
Der Sicherheitsberater weist in seiner Ausgabe 10-2013 (S. 155/156) auf die Möglichkeit der Umrüstung von IP-Sprechstellen zum Alarmsensor hin. Scanvest habe
mit der Zusatzfunktion „AudioAnalytics“
eine solche Lösung entwickelt. Die Möglichkeit, die Entstehung von Konflikten aktiv
zu melden, sei eine ideale Ergänzung für
die Videoanalyse. Das Signal des Mikrofons
werde ständig an einen Server übertragen.
AudioAnalytics durchsuche dabei die Geräusche, die das Mikrofon der Sprechstelle
aufnimmt, auf spezifische Muster. Finde der
Algorithmus eine ausreichende Ähnlichkeit
mit entsprechenden sicherheitskritischen
Mustern, werde ein Alarm generiert und
übertragen. Als detektierbare Muster nenne
Scanvest Aggression in Stimmen, Glasbruch, Autoalarm oder Schüsse. Durch die
Analyse der Daten im Server ergebe sich
auch bei lauten Nebengeräuschen eine gute
Detektion.
In der Ausgabe 6-2013 von Security insight
zeigt Albert Dercksen, Nedap Security
Management, wie die Welt der IT und
die der Sicherheitstechnik sich einander
immer weiter annähern, da sie oftmals auf
den gleichen Betriebssystemen aufsetzen
und zunehmend miteinander vernetzt sind
(S. 46/47). Die folgenden Forderungen
der IT-Sicherheit könnten je nach Art des
Systems für die Auswahl und Implementierung der physischen Sicherheitslösungen
gelten: Treffen Sie in der Tiefe gestaffelte
Sicherheitsmaßnahmen! Wenden Sie ein
positives Sicherheitsmodell an! Implementieren Sie eine Politik, die die Vermeidung
von Fehlern gewährleistet! Vermeiden Sie
unklare Sicherheitsmaßnahmen! Erkennen
Sie Einbrüche! Vertrauen Sie Infrastrukturen
und Dienstleistungen nicht blind! Legen Sie
sichere Standardeinstellungen fest! Machen
Sie die Sicherheitsmaßnahmen so einfach
wie möglich!
Die Fachzeitschrift GIT stellt in der Ausgabe 12-2013 (S. 10–13) die Gewinner des
„GIT SICHERHEIT AWARD 2014“ vor:
-in der Kategorie „sichere Automatisierung“ : 1. Sicherheitsschaltgeräte Sirius
3SK1 von Siemens; 2. Blitzstrom-Ableiter zum Schutz von DC-Anwendungen
von Dehn+Söhne; 3. berührungsloser
und codierter Sicherheitssensor auf
RFID-Basis von Bernstein
-in der Kategorie Brandschutz, Ex- und
Arbeitsschutz: 1. OxyRecuct VPSA von
Wagner; 2. kabelloses Brandmeldesystem SWING von Siemens; 3. portable
Wärmebildkameras für die Brandbekämpfung von FLIR
-in der Kategorie CCTV: 1. IP-Kamera
M15 von Mobotix; 2. Full-HD Dome
Kamera mit 30fach optischem Zoom von
Panasonic; 3. robuste PTZ-Domekamera
von Samsung Techwin
-in der Kategorie „Zutritt, Einbruch- und
Perimeterschutz“: 1. Clay Cloud-Zutrittsystem von Salto Systems; 2. Amax Einbruchmeldeanlage von Bosch Security
Systems; 3. Ultivest Funkalarmsystem
von Abus Security-Center
217
218
-in der Kategorie Sicherheitsmanagement:
1.Bosch Secure Truck Parking von Bosch
Communication Center; 2. erweiterte
Schutzfunktion für Zutrittskontrollsyste-
me von SimonsVoss; 3. Winguard Softwareplattform zur Integration unverbundener Sicherheitssysteme von Advancis.
Sicherheitswirtschaft
Dr. Bernd Stoppelkamp, BDSW, befasst sich
in der Ausgabe 4-2013 des Fachorgans DSD
(S. 38–40) mit der Definition der Sicherheitswirtschaft und mit einem „Masterplan Zivile
Sicherheit“. Aus Sicht des BDSW spreche
viel dafür, der Definition des Brandenburgischen Instituts für Gesellschaft und Sicherheit
(BIGS) zu folgen, nach der die Sicherheitswirtschaft alle Unternehmen umfasst, die Produkte und Dienstleistungen zum Schutz von
kritischen Infrastrukturen sowie zum Schutz
vor Kriminalität, Wirtschaftsspionage und
Terrorismus und zur Bewältigung von Krisenund Naturkatastrophen anbieten. Durch die
BIGS-Studie sei es zwar nicht gelungen, die
genaue Aufteilung der einzelnen Marktsegmente der Sicherheitswirtschaft zu ermitteln,
aber die Studie habe das Gesamtumsatzvolumen für die deutsche Sicherheitswirtschaft im
Jahre 2011 mit 35 Milliarden Euro ermittelt.
Das BMWi habe im September 2013 die
Auftragsstudie „Masterplan Zivile Sicherheit“
vorgestellt, in der neun Schwerpunktfelder
herausgearbeitet worden seien, in denen
es aktuell Probleme und Optimierungsbedarf gebe: Mangel der Branchendefinition
Sicherheitswirtschaft, fragmentierte Märkte,
zu hohe Marktzutrittsbarrieren, mangelnder
Referenzmarkt Deutschlands zur Erschließung von Fremdmärkten, Defizite in der
Systemfähigkeit, Notwendigkeit effizienterer
Marketing- und Kommunikationsinstrumente,
um den Bekanntheitsgrad deutscher Lösungen zu erhöhen, Transferproblematik zwischen Forschungsergebnissen und Umsetzung in marktfähige Lösungen, Verbesserung
der Kooperationsmodelle zwischen Industrie
und Sicherheitsbehörden sowie Ausbau der
Kooperationsfähigkeit auf internationalen
Märkten. In der Studie fänden sich vielfältige
Handlungsempfehlungen hinsichtlich der
Übersicht der relevanten Marktentwicklungen, der Stimulierung des nationalen Marktes,
der konsequenten Fortführung der „Exportinitiative Sicherheitstechnologien“ und einer
begleitenden Informations- und Kommunikationsstrategie.
Manfred Buhl, Vizepräsident BDSW, plädiert
in der Fachzeitschrift WiK (Ausgabe 6-2012,
S. 67–69) dafür, dass die Sicherheitswirtschaft alle Möglichkeiten technischer
Intelligenz und intelligenter Sicherheitslösungen ausschöpft. Beispiele intelligenter
Sicherheitslösungen fänden sich in der aktiven Sicherheitsdienstleistung, der Kundenberatung, in der Nutzung von Synergien, der
Ressourceneinsparung und in der Integration
von Sicherheitstechnik und Dienstleistung.
Als Beispiele intelligenter Sicherheitstechnik
skizziert Buhl die modernen Mehrkriterienmelder, die intelligente Videobildanalyse,
die Anwendung von Lasermesssystemen
zum Schutz von Ausstellungsexponaten, die
Alarmübertragung über das Internet Protocol
IP-basiert und das Zusammenwachsen von
Gebäudeautomatisierung und Sicherheitstechnik mittels IT-Konvergenz.
Derselbe Autor beschreibt in der Zeitschrift
Homeland Security (Ausgabe 1-2013, S. 4–7)
den Beitrag der Sicherheitswirtschaft zur
Homeland Security, also dem Schutz der
Inneren Sicherheit vor grenzüberschreitender
Kriminalität. Als besonders gefährliche Bedrohungsphänomene sieht er den Internationalen Terrorismus, die Organisierte Kriminalität,
die Wirtschaftsspionage, die Produkt- und
Markenpiraterie und die IuK-Kriminalität. Er
benennt moderne Sicherheitstechnologien,
die den Einsatz der Organe der öffentlichen
Sicherheit optimieren und den Beitrag des
Sicherheitsgewerbes, sowohl zur Entlastung
der Polizei als auch zum Schutz kritischer
Infrastrukturen vor grenzüberschreitender
Kriminalität.
Nach einem Bericht von Public ICT vom
14. Oktober 2013 kommt eine Studie des
Wirtschaftsforschungsinstituts WifOR der
TU Darmstadt zu dem Ergebnis, dass die
IT-Sicherheitswirtschaft eine der leistungsfähigsten deutschen Zukunftsbranchen ist.
Die besonderen Stärken der IT-Sicherheitsan-
bieter lägen in den Bereichen Kryptographie,
Smartcards, PKI-Lösungen, digitalen Signaturen sowie Hochsicherheitslösungen. 2012
seien von der deutschen IT-Sicherheitswirtschaft Güter im Wert von 6,254 Milliarden
Euro in rund 9.200 Unternehmen produziert
worden. Der Wert der exportierten Güter
habe bei 1,228 Milliarden Euro, der Import
bei 1,575 Milliarden Euro gelegen. Das
gesamte Aufkommen an IT-Sicherheitsgütern
in Deutschland habe 7,829 Milliarden Euro
betragen.
Soziale Netzwerke
It-sa Benefiz weist am 22. August 2013
auf ein vom Fraunhofer-Institut für Sichere
Informationstechnologie erarbeitetes Dossier
„Soziale Netzwerke bewusst nutzen“ hin.
Dort sei der aktuelle Wissensstand zu Risiken
und Handlungsmöglichkeiten für Privatnutzer
und Unternehmen zusammengestellt. Das
Dossier beschreibe die Methoden von Datensammlern und Wirtschaftsspionen und gebe
konkrete Hilfestellungen, wie Unternehmen
die Risiken minimieren können. Die Studie ist
kostenfrei im Internet unter www.sit.fraunhofer.de/soziale-netzwerke-2013 erhältlich.
Spionage – Schadensausmaß
Um mehr als vier Milliarden Euro jährlich
schädigen nach einem Bericht vom Focus am
18. März 2013 Netzwerk-Späher die deutsche Wirtschaft. Ihre Beute: Know-how. Für
gestohlene Konstruktionspläne beziehungsweise Patente zahlten Marktkonkurrenten
oder interessierte Staaten oftmals hohe Summen. Jedes vierte Unternehmen habe in einer
Befragung von KPMG eingeräumt, 2012
schon einmal ausgespäht worden zu sein. Auf
eine im Juni 2012 entdeckte Attacke auf VW
habe das Unternehmen offenbar nur noch
reagieren können. In einer geheimen Mail der
„Priorität 1“, welche die zentralen Sicherheitskoordinatoren des Konzerns (CERT) versandten, seien alle Standorte weltweit angewiesen worden, ihre Rechner umgehend nach
„newvw.exe“ zu durchsuchen. Die Angst der
Ingenieure: Gelänge es einem Angreifer, in
den abgeschotteten Fertigungsbereich einzudringen, drohe nicht nur der Verlust wertvoller
Daten, sondern im schlimmsten Fall auch
der Produktionsstillstand. Konzerne verschwiegen oder verharmlosten zumindest die
Attacken, denen sie regelmäßig ausgesetzt
sind. Zu groß sei die Angst, dass Kunden und
Aktionäre das Vertrauen in das Unternehmen
verlieren oder Mitbewerber von einem solchen Eingeständnis der Schwäche profitieren
könnten. Polizei und Verfassungsschutz würden absichtlich nicht informiert. Mit Behörden
zu sprechen sei ein Tabu. Internet-Spionage
entwickele sich zu einem regelrechten Wirtschaftszweig. „Wir haben es mit organisierter
Kriminalität zu tun“, stelle Paul Gillen, Leiter
der europäischen Task Force gegen CyberKriminalität, klar. Der Ire koordiniere länderübergreifende Ermittlungen bei Cyber-Verbrechen. Er befehlige die vor wenigen Wochen
gestartete Spezialtruppe, mit der Europol die
wachsende Bedrohung bekämpfen wolle. Die
Web-Spitzel stellten sich meist so geschickt
an, dass die Unternehmen nicht einmal merken, wenn ein Angreifer in ihrem Netz wütete.
219
220
Oft bereiteten die Täter ihre Einbrüche sehr
langfristig vor, betone Michael George vom
Bayerischen Landesamt für Verfassungsschutz. So auch im Fall eines deutschen
Großkonzerns aus dem Technologiebereich.
Dort hätte der Dieb mit einer chinesischen
Rechneradresse bereits ein Jahr vor der
Attacke die Unternehmensnetze genauestens
untersucht und Schwachstellen ausgekundschaftet. Der Einbrecher habe einen schlecht
gesicherten Hintereingang (eine nicht mehr
verwendete Web-Anwendung) in einem der
US-Netze des Unternehmens gefunden. Wenige Wochen später sei er über diese Tür in
den Konzern eingestiegen. Er habe sich durch
den internen Schutzwall gefräst, den Techniker „entmilitarisierte Zone“ (DMZ) nennen.
Dann habe er sich in die zentrale Kontrollstation gehackt und sich im zentralen Verzeichnisdienst eingenistet. In monatelanger Arbeit
sei es der Firma gelungen, den Kriminellen
schrittweise aus dem System zu werfen. Ob
das wirklich geklappt hat, wüssten die Opfer
nie. Inzwischen konstruierten Kriminelle ihre
Einbruchs-Software auch so, dass Sicherheitsprogramme sie nicht erkennen.
Über die Hälfte aller deutschen Unternehmen sei bereits Opfer von Industriespionage geworden. Das sei das Ergebnis der
Studie „Industriespionage 2012“ der Sicherheitsberatung Corporate Trust, berichtet der
Security Explorer. Davon gehörten 23,5 % der
Unternehmen zum Mittelstand, 18,5 % seien
große Konzerne. Der deutschen Wirtschaft
entstünde durch Industriespionage jährlich
ein Gesamtschaden von ca. 4,2 Milliarden
Euro. Auftraggeber seien zu 39 % Konkurrenten, zu 19 % Kunden, zu 9 % Zulieferer und
zu 7 % Geheimdienste.
Das IHK-Magazin für München und Obernbayern befasst sich in seiner Ausgabe
02/2013 mit der gegen mittelständische
Firmen gerichteten Industriespionage anhand
eines Falles, in dem die clearaudio electronics GmbH in Erlangen, die auf HightechPlattenspieler spezialisiert ist, von einer
chinesischen Firma ausspioniert worden sei.
Es habe sich sicher nachweisen lassen, dass
aus China auf seine Firmen-IT zugegriffen
worden war. Weil der Unternehmer befürchtete, dass sein chinesischer Wettbewerber
das Plagiat weiter herstellen und verkaufen
würde, habe er über seine Tochterfirma in
Hongkong einen V-Mann bei der Konkurrenz
eingeschleust. Dieser habe herausgefunden,
wann die plagiierten Bauteile das nächste Mal
nach Deutschland geliefert würden. Auf einen
Hinweis hin seien die Zollbehörden eingeschritten, die Plagiate verschrottet worden,
und der chinesische Konkurrent habe aufgegeben. Wie die aktuelle Studie „Industriespionage 2012“ der Corporate Trust Business
Risk & Crises Management GmbH bestätige,
seien 2012 mindestens 21,4 % der befragten
Unternehmen von Industriespionage betroffen gewesen. Rechne man die Verdachtsfälle
hinzu, seien es mehr als 50 %. Dabei gebe
es ein doppeltes Dunkelfeld: Unternehmen
merkten nicht, dass sie ausspioniert werden,
oder sie machten aus Angst vor Imageschäden keine Angaben. Bernhard Kux, IT-Experte
der IHK München, appelliert deshalb auch
besonders an die kleinen und mittleren Unternehmen. Weil sie sich als nicht gefährdet
einstuften, schützen sie sich nicht genug,
seien also ein leichtes Angriffsziel. Es seien
drei verschiedene Tätergruppen zu unterscheiden: ausländische Nachrichtendienste,
Konkurrenzunternehmen und Kriminelle, die
die Ergebnisse ihrer Tätigkeit oft in geheimen
Internetforen verkauften oder die ausspionierten Unternehmen erpressten. Um in die
Firmen-IT einzudringen, gebe es vor allem
vier Einfallstore: Remote Access-Zugänge,
schlecht programmierte Webanwendungen,
eine fehlende klare Zugriffsverwaltung und
zu einfache Passwörter. Nicht zuletzt stellten
mobile Endgeräte ein immenses Sicherheitsproblem dar, auch als Tatwaffe gegen das Unternehmensnetz. Ein noch neues potentielles
Einfallstor für Spione bilde das Cloud-Computing. Doch das Ausspionieren von Unternehmen sei nicht nur ein technisches Thema. An
rund 70 % aller Informationsabflüsse seien
unzufriedene Mitarbeiter beteiligt. Um herauszufinden, wo die größten Gefahren lauern,
ließen manche Firmenchefs zunächst sogenannte Penetration Tests durchführen. Dann
gelte es, die nötigen Sicherheitsmaßnahmen
zu erarbeiten. Zunächst sollten Unternehmen
die entscheidenden fünf Prozent ihrer Daten
bestimmen, hinter denen sich ihre „Kronjuwelen“ verbergen. Diese Daten würden am
besten über individuelle Kryptoverfahren
verschlüsselt.
Die Berichte über elektronische Massenüberwachung, angezapfte Internet-Knotenpunkte
und transatlantische Datenleitungen haben Deutschlands Wirtschaft aufgeschreckt, berichtete SPIEGEL ONLINE am
27. Juni 2013. Viele Firmen fürchteten nun,
dass die Geheimdienste nicht nur Terroristen
ausspionieren wollen, sondern vor allem ihre
Betriebsgeheimnisse. Sie bangten um ihren
Know-how-Vorsprung gegenüber amerikanischen, britischen und französischen Konkurrenten. Die Berichte über die Aktivitäten der
Geheimdienste seien ein Weckruf für viele
Unternehmen, sagt Rainer Glatz, Geschäftsführer der AG Produkt- und Know-howSchutz beim VDMA. Die Sensibilität steige.
Es tue auch dringend not. Höchstens jeder
vierte Mittelständler habe bislang überhaupt
eine IT-Sicherheitsstrategie, sagt Christian
Schaaf, Corporate Trust. Viele beschränkten
sich auf eine einfache Firewall und ein paar
Anti-Virenprogramme. Das aber reiche nicht
gegen professionelle Hacker. Der Verfassungsschutz schätze den Schaden durch Industriespionage auf 30 bis 60 Milliarden Euro
pro Jahr. So gut wie nie hätten sich ausspionierte Firmen an die Öffentlichkeit gewagt,
weil sie Angst hätten vor Nachahmern. Weil
sie keinen potentiellen Angreifer wissen lassen wollten, wo ihre Schwachstellen sind und
wie sie sich gegen Attacken wappnen. Oder
weil sie befürchteten, ihnen könnten Kunden
abspringen. Der vergleichsweise strenge
Datenschutz könnte zum Standortvorteil für
deutsche Anbieter von IT-Sicherheit werden.
So seien hiesige Rechenzentren neuerdings
stark gefragt. Private Cloud-Anbieter wie
Demando, eine Tochter der Stadtwerke
Kaiserslautern, böten den Kunden eigene
Serverschränke oder sogar exklusive Glasfaserleitungen von Unternehmen zu ihrer Serverfarm, damit sensible Daten erst gar nicht
durchs Internet geschickt werden müssten.
Überwachung habe das Vertrauen in
Technik zerstört, schrieben nach einer
Meldung von ZEIT ONLINE vom 9. Dezember Apple, Google, Facebook und andere in
einem offenen Brief. Es brauche eine Reform
der Geheimdienstkontrolle. Die USA sollten
mit gutem Beispiel für andere Regierungen
vorangehen.
Trotz der NSA-Affäre unterschätzten viele
deutsche Mittelständler noch immer die Gefahren durch Wirtschaftsspionage, zeigt sich
nach einer Meldung der FAZ am 31.12.2013
Friedrich Kötter, Vizepräsident des BDSDW,
überzeugt. Dagegen stehe bei den Großkonzernen das Thema Unternehmenssicherheit
ganz oben auf der Agenda. Die Diskussion
dürfe auch nicht auf den Schutz der IT-Systeme verengt werden.
Spionage – Angriffsziele
Wie heise online am 5. Juni 2013 meldet, hat
Kaspersky Lab eine Cyberspionage-Kampagne analysiert, die seit 2004 hochrangige Opfer ins Visier nimmt. Insgesamt sollen bis zu
1.000 Personen aus mindestens 40 Ländern
systematisch ausgehorcht worden sein – darunter auch Opfer aus Deutschland. 350 der
ausspionierten Personen seien identifiziert
worden. Sie bekleideten wichtige Positionen
in privaten und öffentlichen Einrichtungen.
Die als NetTraveler benannte Kampagne habe
sich so vor allem Informationen aus den Bereichen der Weltraumforschung, Nanotechnologie, Energieproduktion, Nuklearenergie,
Lasertechnologie, Medizin und Kommunikation verschafft. Die Opfer hätten sich mit der
221
222
Spionagesoftware über gezieltes Phishing
infiziert. Geködert worden seien die Empfänger über auf sie zugeschnittene Mailanhänge.
Die Hackergruppe soll aus circa 50 Personen
bestehen, von denen die meisten chinesische
Muttersprachler mit Englischkenntnissen sein
müssten.
Der Ende März verhaftete mutmaßliche pakistanische Agent Umar R. habe offenbar das international renommierte Deutsche Zentrum
für Luft- und Raumfahrt (DLR) ausspioniert,
meldete der Focus am 8. April. Der 28-jährige
Diplom-Ingenieur werde verdächtigt, in der
DLR-Forschungsabteilung militärisch nutzbare Hochtechnologie beschafft zu haben. Sein
besonderes Interesse habe der Steuerungstechnik von Überwachungsdrohnen gegolten,
wie sie von der Bundeswehr in Afghanistan
eingesetzt werden. Auftraggeber sei nach
Erkenntnissen der Ermittler der pakistanische
Geheimdienst ISI.
Im Skandal um den im Dezember aufgeflogenen „Apotheker-Spion“ im Bundesgesundheitsministerium seien nun bei der Spitzenorganisation der deutschen Apothekerverbände
(Abda) schwerwiegende Organisationsmängel und fehlende Kontrollen offenbart
worden, meldete die FAZ am 22. April. Auch
seien Aufgaben und Kompetenzen unklar
definiert. Gegen den früheren Leiter der Abteilung Öffentlichkeitsarbeit, Thomas Bellartz,
ermittele seit Monaten die Berliner Staatsanwaltschaft. Er soll einen im Gesundheitsministerium eingesetzten Beschäftigten eines
IT-Dienstleisters dafür bezahlt haben, ihm geheime Dokumente wie Gesetzentwürfe und
Mails aus dem Ministerium zu beschaffen.
„Ausspähen von Daten“ und die Anstiftung
dazu, lauten die Beschuldigungen. Offenbar
seien einzelne Apothekenvertreter mit dem
ausgespähten Material versorgt worden.
Die deutsche Bergbaumaschinenindustrie
werde ausspioniert, meldete die FAZ am
22. November. Nicht nur für Geheimdienste,
sondern auch für die Mafia sei der Datendiebstahl lukrativ geworden. Nach Informationen
des VDMA verdienten manche Clans mit
gestohlenem Firmenwissen und Produktpiraterie mehr als mit Prostitution und Drogenhandel. Die Unternehmen hätten kaum
Abwehrchancen, weil die Möglichkeiten, sich
der technisch hochgerüsteten Methoden von
Geheimdiensten zu erwehren, sehr begrenzt
seien. Um sich vor Nachahmung zu schützen,
meldeten die Firmen keine Patente an.
Spionage – Spionageprogramme
Wie die Wirtschaftswoche am 1. August
berichtet, stellte die britische Tageszeitung
„The Guardian“ eine NSA-Präsentation ins
Netz, nach der Mitarbeiter über ein Programm
namens „XKeyscore“ Zugriff auf gewaltige Datenmengen haben. Geheimdienstler
könnten in den enormen Datenbanken der
NSA nach Namen E-Mail-Adressen, Telefonnummern und Schlagworten suchen. Für die
einzelnen Anfragen bräuchten sie keine gesonderte Zustimmung eines Richters. Auch
die Bobachtung der Internetaktivität einzelner
Menschen in Echtzeit sei mit „XKeyscore“
möglich. Unter anderem könne man die IPAdresse jedes Besuchers einer bestimmten
Website erfassen, Inhalte der Kommunikation
würden drei bis fünf Tage lang gespeichert,
Verbindungsdaten 30 Tage.
Spionage – Lauschmittel
In der Ausgabe 11-2013 des Protector
(S. 60/61) befasst sich Klaus-Henning Glitza
mit der technologischen Entwicklung von
Lauschmitteln. Die operative Technik könne
durchaus in einem Stück Pappe stecken, das
unter einen Tisch geschoben wird, damit
dieser nicht wackelt. Längst seien „Wanzen“
von miniaturisierten Systemen abgelöst
worden, die ihre gespeicherten Aufzeichnungen nur einmal am Tag aussenden. Technisch
ausgereifte Sendeeinheiten nutzten das im
Mikrowellenbereich liegende Satellitenübertragungsverfahren. Die Werkstoffe moderner
Miniatursender ließen sich messtechnisch
kaum noch nachweisen. Der Autor erwähnt
aber auch „unmoderne“ Verfahren der
Ausspähung, die noch immer eingesetzt
würden. Dazu gehörten: „aus Versehen“
liegen gelassene Mobiltelefone, digitale
Recorder und Diktiergeräte, Mitschnittgeräte,
Fax-Monitoring-Systeme, das Abhören über
das Stromnetz, Richtmikrofone und mobile
Hochleistungsmikrofone.
Europäische Unternehmen beliefern die
Welt mit Spionagegeräten, berichtet das
Handelsblatt am 8. Juli 2013. Trovicor, ein
100-Mann-Betrieb aus München, vertreibe,
installiere und warte ganze IT-Systeme für
die Datenüberwachung. Area aus Italien
entwickle Technologien, mit denen Kunden Daten aus Internet, Mobilfunk und
Festnetztelefonie abfangen, analysieren
und speichern können. Auch Atis Uher aus
Bad Homburg, Utimatico aus Aachen und
die Saarländer Firma Syborg seien in dem
Geschäft für Überwachungssoftware und
-technologie dabei. Der Markt für Überwachungsequipment weltweit sei 4,8 Milliarden
Euro schwer.
Spionage – Social Engineering
Dr. Carsten Hesse, Riskworkers GmbH, analysiert in der WiK (Ausgabe 5-2013, S. 22–26)
Tricks der Angreifer beim Social Engineering.
Manipuliert werde, seit es Geheimnisse gibt,
die andere erfahren wollen. Neu seien Effizienz und Zielgenauigkeit der Manipulationen,
das Social Engineering. Psychologisch betrachtet gebe es drei motivationale Faktoren,
die eine Manipulation begünstigen: Angst,
Gier und Defizite im Sicherheitskonzept. Eine
Manipulationsmöglichkeit bestehe im Vortäuschen des Anrufs eines Headhunters, der
eine attraktive Position offeriert. Der Autor
schildert verschiedene Gesprächstechniken. Bei der ersten Kontaktsituation täusche
der Agent oft vor, die Zielperson zufällig zu
treffen. Sie werde oft im vertrauten Umfeld
angesprochen, in der sie sich sicher fühlt
und eine zufällige Unterhaltung zwischen
Fremden normal ist. Günstig sei es, wenn der
Agent über eine gewisse Ähnlichkeit zur Zielperson hinsichtlich Auftreten, Physiognomie,
Dialekt, Sprachstil und Herkunft verfügt. Beim
Erstkontakt werde so Akzeptanz erzeugt. Als
manipulative Gesprächstechnik werde oft
das Konzept der Reziprozität angewandt: Im
Verlauf eines Gesprächskontakts erwähne der
Agent beiläufig, dass er aktuell bestimmte
Schwierigkeiten habe. Gemäß der Reziprozität fühle sich der Gesprächspartner verpflichtet, auf die Preisgabe einer persönlichen
Information mit einer vergleichbaren Offenbarung seinerseits zu reagieren. Eine andere
Gesprächstechnik sei das „Cold-Reading“: Unter Verwendung von allgemeingültigen Halbwahrheiten, denen praktisch jeder zustimmen
kann, werde ein tiefer gehendes Verständnis
des Gesprächspartners suggeriert. Dieser
werde dann auf Basis einer angenommenen
Vertrautheit dazu verleitet, dem Manipulator
weitere persönliche Informationen mitzuteilen. Hilfreich sei auch die Gesprächstechnik
des sogenannten „Synchronisierens“: Mitteilungen des Gesprächspartners würden dabei
in verschiedenen Variationen wiederholt.
Man höre nur die eigenen Worte in immer
anderer Abwandlung. Der Gesprächspartner
empfinde ein hohes Maß an Verständnis und
Akzeptanz.
223
224
Spionage – China
Ein deutsches Unternehmen wurde offenbar Opfer von Konkurrenzspionage durch
einen chinesischen Joint Venture-Partner,
wurde in den von der ASW am 13. Mai 2013
herausgegebenen Informationen zum Wirtschaftsschutz berichtet. 2012 habe sich ein
Mitarbeiter eines chinesischen Joint VentureUnternehmens für eine mehrwöchige Hospitation zur Einführung in ein gemeinsames
Projektteam am Hauptsitz des deutschen
Unternehmens aufgehalten. Die Personalauswahl sei nicht auf dem sonst üblichen Weg
durch das deutsche Unternehmen, sondern
aufgrund einer Delegierung der chinesischen Seite erfolgt. Bei der Ausführung von
Arbeitsaufträgen seien bei dem chinesischen
Hospitanten unzureichendes Fachwissen
sowie nicht vorhandene Erfahrungen so
offenkundig geworden, dass weitere Aufgaben ihm nur noch bedingt zugeleitet werden
konnten. Während seines Aufenthalts hätten
mehrere Auffälligkeiten zu dem Verdacht
einer gezielten Ausspähung der deutschen
Firma geführt.
Der frühere CIA-Chef Michael Hayden habe
den chinesischen Telekommunikationskonzern Huawei der Spionage bezichtigt, meldete die FAZ am 20. Juli 2013. Er sei sich sicher,
dass der Konzern Peking mit geheimen
Informationen versorge. China habe er eine
unbeschränkte Ausspähung des Westens
vorgeworfen. Huawei stelle eine eindeutige
Gefahr für die nationale Sicherheit der USA
und Australiens dar. Großbritannien, die USA
und Australien würden Huawei vorwerfen,
enge Verbindungen zum chinesischen Staat
zu unterhalten und ihm Ausrüstung für Spionage und Cyber-Attacken zu liefern.
Die ASW behandelt in ihrer Mitteilung
040/13 v. 14. August 2013 die Ausforschungsgefahr durch chinesische Besuchsdelegationen. Es gebe keine einheitliche
Vorgehensweise, mit der externe Besucher
Betriebe ausspähen. Die Wahrscheinlichkeit
eines Schadens könne durch einige elementare Vorsichtsmaßnahmen gesenkt werden:
durch eine auf die Bedürfnisse der Firma
abgestimmte Besucherregelung; durch generelle Sensibilisierung aller Mitarbeiter; durch
Benennung von Verantwortlichen, die Besucher begleiten, intern als Ansprechpartner
zur Verfügung stehen und bei Auffälligkeiten
reagieren müssen; durch Instruktion der vom
Besuch betroffenen Personen; durch Einsatz
von fachkundigem Empfangspersonal, das
auf Verbote hinweist, Sicherheitsvorschriften von Besuchern unterschreiben lässt und
mitgebrachte elektronische Geräte verwahrt;
durch Abklärung von Besuchern bereits im
Vorfeld; durch Registrierung aller Besucher
und ihrer Fahrzeuge; durch Anordnung, Besucherausweise offen sichtbar zu tragen.
Spionage – Abwehr
Basis für Sicherheitsmaßnahmen zur Abwehr von Industriespionage sei in jedem Fall
Grundschutz nach BSI und die Normenfamilie
ISO 27000, ist die softScheck GmbH nach einer Meldung am 8. Juli 2013 unter pr-inside.
com überzeugt. Als die 9 wichtigsten zusätzlichen Sicherheitsmaßnahmen werden
bezeichnet: Datensparsamkeit; Anschluss an
das Internet auf hoch abgesicherte Computer und Netze beschränken ; Prüfung, ob die
Nutzung sozialer Netze für den Geschäftser-
folg notwendig ist; möglichst anonymisierte
Suchmaschinen nutzen; Verschlüsselung mit
langen Schlüsseln, die nach jeder Nachricht
gewechselt werden; strikte Zugriffskontrolle
auf hohem Sicherheitsniveau; Überprüfen der
wichtigsten Programme auf Hintertüren und
Sicherheitslücken, Untersuchung des Security
Designs schon in der Phase der Softwareentwicklung und Überprüfung der Implementierung mit Static Source Code Analysis und
Penetrationstests.
Wie die FAZ am 29. August 2013 berichtete,
haben Bundesinnenminister Friedrich und die
Präsidenten von BDI und DIHK am 28. August
eine gemeinsame Erklärung unterzeichnet,
auf deren Grundlage bis 2015 eine Strategie
gegen Wirtschafts- und Industriespionage erarbeitet werden solle. Eingerichtet
werde dafür zunächst eine gemeinsame
Steuerungsgruppe von Staat und Wirtschaft.
Zudem solle eine Koordinierungsstelle für
die Sicherheitsbehörden zu Fragen des
Wirtschaftsschutzes im Innenministerium geschaffen werden. Friedrich schätze den jährlichen Schaden durch die illegale Abschöpfung
von Wissen auf 50 Milliarden Euro. Der BDIPräsident habe bedauert, dass acht von zehn
Unternehmen nicht die Behörden verständigten, wenn sie Opfer von Ausspähversuchen
würden. Dahinter stecke unter anderem die
Angst vor einem Reputationsverlust, falls die
Attacken bekannt würden. Der DIHK-Präsident warnte vor einer „aufgebauschten Skandalisierung“ in Bezug auf westliche Geheimdienste. Hans-Georg Maaßen, Präsident des
Bundesamtes für Verfassungsschutz, habe
unterstrichen, dass es keine Erkenntnisse für
eine „digitale Ausspähung“ durch Nachrichtendienste gebe. Ein bedrohliches Bild habe
Maaßen hingegen von einer systematischen
Wirtschaftsspionage vor allem aus China,
aber auch aus Russland gemalt. Ein besonderes Gefahrenpotential stecke in „angeworbenen Innentätern“. In der Fachzeitschrift
Security Insight (Ausgabe 4-2013, S. 20/21)
bezeichnet Maaßen den illegalen Knowhow-Transfer als aktuelles Risiko insbesondere für innovationsstarke Unternehmen im
Mittelstand. Das entscheidende Bindeglied
in einer aufeinander abgestimmten Kette von
Sicherheitsmaßnahmen seien die Mitarbeiter
des Unternehmens. Das BfV sehe sich auf
dem Gebiet des Wirtschaftsschutzes als Partner der Unternehmen und biete im Rahmen
der präventiven Spionageabwehr vielfältige
„Security Awareness“-Aktivitäten an. Dazu
gehörten bilaterale Sicherheitsgespräche.
Die FAZ meldete am 14. Oktober 2013, die
Deutsche Telekom wolle den deutschen
Internetverkehr innerhalb der Landesgrenzen
belassen, um die Kunden vor Spionage zu
schützen. Zu diesem Zweck solle die Telekom mit allen wichtigen Geschäftspartnern in
Deutschland vereinbaren, dass E-Mails und
anderer Informationsaustausch nur noch
über deutsche Knotenpunkte geleitet werden. Beim Transport zwischen Sendern und
Empfängern in Deutschland solle garantiert
werden, dass kein Byte Deutschland verlässt.
Für den Schutz der IT-Infrastruktur vor
Spionageangriffen empfiehlt Thorsten Urbanski, G Data Software AG, in der Fachzeitschrift <kes> (Ausgabe 5-2013, S. 40/41),
IT Security-Hersteller auszuwählen, die das
Teletrust T-Qualitätssiegel „IT-Security made
in Germany“ tragen und sich zur Erfüllung folgender 5 Kriterien verpflichtet haben: 1. Der
Unternehmenshauptsitz muss in Deutschland
liegen. 2. Das Unternehmen muss vertrauenswürdige IZT-Sicherheitslösungen anbieten. 3. Die angebotenen Produkte dürfen
keine versteckten Zugänge enthalten. 4. Die
IT-Sicherheitsforschung und -entwicklung
des Unternehmens muss in Deutschland
stattfinden. 5. Das Unternehmen muss sich
verpflichten, den Anforderungen des deutschen Datenschutzrechts zu genügen. Der
Autor behandelt folgende Probleme und
Handlungsempfehlungen: a) Cloud-Nutzung
vorab regeln b) Cyberspionage von innen
vermeiden c) Software-Sicherheitslücken
als Einfallstor d) Patch-Management in den
Grundschutz-Katalogen.
Jan Roßmann, n.runs professionals, behandelt in der WiK (Ausgabe 5-2013, S. 30–32)
die Sicherheit von Videokonferenzen. Eine
abgesicherte Implementierung erfordere die
detaillierte Betrachtung sowohl der Infrastruktur als auch der einzelnen Komponenten der
Lösung. Es empfehle sich, möglichst frühzeitig Spezialisten einzubinden, die den Blickwinkel eines Angreifers einbringen und so potentielle Schwachstellen frühzeitig erkennen.
Anhand der Komponenten des Marktführers
Polycom würden für einen sicheren Aufbau
der Videokonferenzlösung mindestens vier
225
226
Sicherheitszonen benötigt: externe, direkt mit
dem Internet verbundene Systeme; Systeme,
die aus dem Internet direkt angesprochen
werden; interne Serversysteme, deren Funktionalitäten auch für externe Benutzer zur
Verfügung stehen und rein interne Systeme.
Nur mit einem derart segmentierten „Defense
in Depth“-Ansatz ließen sich die Verbindungen zwischen den Systemen mit unterschiedlicher Sicherheitseinstufung entsprechend
kontrollieren.
Unternehmen in der EU sollen sich künftig
besser gegen den Diebstahl von Geschäftsgeheimnissen wehren können, berichtete
die FAZ am 29. November 2013. Einen
Gesetzentwurf mit diesem Ziel habe die
EU-Kommission vorgelegt. Die neue Richtlinie solle die derzeit in den Mitgliedstaaten
bestehenden Rechtsvorschriften zum Schutz
vor rechtswidriger Aneignung solcher Geschäftsgeheimnisse angleichen. Bisher seien
diese Regelungen sehr unterschiedlich. In
Deutschland existiere beispielsweise bislang
keine Definition, was ein (schützenswertes)
Geschäftsgeheimnis darstellt. Der Vorstoß
der Kommission ziele auf eine einheitliche
zivilrechtliche Durchsetzbarkeit von Schadenersatzansprüchen bei einem „Diebstahl“
von Geschäftsgeheimnissen. Die mögliche
strafrechtliche Verfolgung eines Diebstahls
sei nicht Gegenstand des Vorschlags. Sie falle
ausschließlich in die Kompetenz der Mitgliedstaaten.
Die Berliner Umschau meldete am 12. Januar,
dass US-Präsident Obama ein Gesetz unterzeichnet habe, das die Strafen für Industrie- und Wirtschaftsspionage drastisch
erhöht. Bislang mussten Einzelpersonen für
Industriespionage vor US-Gerichten maximal
eine Strafe von 500.000 Dollar befürchten.
In dem seit Monaten im Parlament behandelten Gesetz steige der Höchstsatz nun auf
5 Millionen Dollar. Sofern Organisationen
(also etwa andere Konzerne bzw. Nachrichtendienste) spionieren, würden sogar bis zu
10 Millionen oder das Dreifache des durch
die Spionagetätigkeit angerichteten Schadens
fällig. An wen die Vorlage adressiert ist, gehe
aus der Novelle zwar nicht direkt hervor; wie
jeder Gesetzestext sei sie allgemein formuliert. Doch belangt werden sollen Straftaten
„im Zusammenhang mit der Übertragung
oder versuchten Übertragung eines gestohlenen Geschäftsgeheimnisses außerhalb der
Vereinigten Staaten“ bzw. „zu Gunsten einer
ausländischen Regierung, ausländischen Instrumentalitäten oder ausländischen Agenten.“
Überprüft werden solle die Umsetzung von
der United States Sentencing Commission,
die sich dabei u.a. mit dem Außenministerium
und der US-Heimatschutzbehörde berate.
Henri Ulitzsch, Wacker Chemie AG, weist
in Security insight (Ausgabe 1-2013,
S. 44/45) darauf hin, dass das Einsatzspektrum und die Zahl der Einsätze privater
Teams mit Sprengstoffspürhunden (SSTs)
in den letzten zehn Jahren stark gewachsen sei. Das liege zum einen an der terroristischen Bedrohung, zum anderen an den
begrenzten Ressourcen der diensthundehaltenden Sicherheitsbehörden. Sie könne
als hochqualitativer Standard angesehen
werden. Zu den vom Autor gegebenen
Tipps gehört die Erkenntnis, dass ein SSH
nur eine begrenzte Zeit konzentriert suchen
könne und die Einsatzzeit abhängig sei von
Witterungsbedingungen und der Kondition
des Tieres. Deshalb sollten mindestens
zwei Hunde zum Einsatz kommen. Eine
weitere Erfahrung: Ein SSH könne nur mit
„echtem“ Sprengstoff konditioniert und
trainiert werden.
Stadionsicherheit
Martin Hildebrandt, BDSW, plädiert im Sicherheitsdienst DSD (Ausgabe 3-2013, S. 23) für
Änderungen der rechtlichen Rahmenbedingungen bei Sicherheits- und Ordnungsdiensten in Fußballstadien. Die Inhalte von Unterrichtung und Sachkundeprüfung deckten die
für diese sehr spezielle Tätigkeit notwendigen
Schulungsinhalte in keiner Weise ab. Vielmehr
könnte eine spezielle Schulung mit Qualifizierungsnachweis eingeführt werden. Diese sollte
sich nicht nur auf die Mitarbeiter beziehen,
die derzeit unter den Geltungsbereich von §
34a GewO fallen, sondern auch vereinseigene Ordner und Mitarbeiter, die reine Ordnungs- oder Servicetätigkeiten durchführen,
sollten erfasst werden. Die Durchführung der
Schulung und des Qualitätsnachweises müsse
von unabhängigen, zertifizierten Institutionen
vorgenommen werden. In jedem Fall sei eine
Zertifizierung analog der Anerkennung der
vom BDSW zertifizierten Sicherheitsfachschulen notwendig. Für die Normierung des Qualifizierungsnachweises biete sich § 5 Abs. 1
BewachV an. Darüber hinaus müsse natürlich
auch eine Verpflichtung von vereinseigenen
Mitarbeitern, die nur Ordnungs- und Servicetätigkeiten erbringen, zur Ablegung des Qualifizierungsnachweises festgeschrieben werden.
Dies könne im Rahmen der Lizenzierung der
Vereine durch den DFB geschehen.
Ein Jahr nach der Verabschiedung des umstrittenen Sicherheitskonzepts zur Stadionsicherheit habe die Deutsche Fußball Liga (DFL) eine
zurückhaltende Bilanz gezogen, berichtet die
FAZ am 4. Dezember 2013. Gegen organisierte Gewalttäter sehe die DFL weiterhin wenig
Handhabe. DFL-Geschäftsführer Andreas
Rettig habe auf eine Marktforschungsstudie
verwiesen, wonach sich 96 % der Stadionbesucher sicher fühlen. Bei den Vereinen habe
es viele strukturelle Verbesserungen in der
Fanarbeit gegeben. Michael Gabriel, Leiter der
bundesweiten Koordinationsstelle für Fanprojekte (KOS) habe den Profifußball gelobt, aber
auch die Politik in die Pflicht genommen. In
Rheinland-Pfalz, Sachsen-Anhalt und Brandenburg sei dringend mehr Geld nötig. Dass in den
Stadien nach wie vor an jedem Wochenende
die verbotene Pyrotechnik brennt, habe für den
KOS-Chef den Charakter „von Trotz und etwas
Widerstand“. Er plädiere dafür, dass die Fans
nicht nur auf der Tribüne sitzen, sondern dabei
unterstützt werden, dass sie sich einmischen.
Der größte Konflikt bestehe zwischen den Fans
und den Polizeigewerkschaften.
Stalking
Laut eines Berichts der FAZ vom 27. Mai
2013 sollen Stalking-Opfer besser geschützt werden. Seit 2007 gibt es den
Paragraphen 258 StGB. Mit 1,9 % sei die
Verurteilungsquote extrem niedrig. Nach
Angaben der Fachleute wird in 40 % der
Stalking-Fälle keine Anzeige erstattet. Die
große Mehrheit der Fälle, in denen Anzeige
wegen Nachstellung erstattet werde, sei nach
der Rechtslage evident kein Stalking. Deshalb
solle es für die Strafbarkeit von Stalking nach
den Reformplänen der Länderjustizminister
künftig ausreichen, dass der Täter seinem
Opfer in einer Weise nachstellt, die „geeignet
ist“, eine schwerwiegende Beeinträchti-
gung der Lebensgestaltung herbeizuführen.
Bislang müsse bewiesen werden, dass die Tat
nach außen erkennbar eine „schwerwiegende
Beeinträchtigung der Lebensgestaltung“ des
Opfers verursacht. Dieser Nachweis gelinge
oft nicht. Der wirksamste Schutz bestehe
darin, Stärke zu zeigen und sich dem Täter zu
widersetzen. Aber nur etwa 10 % der Täter
hätten nach einer Internetbefragung mutmaßlicher Stalking-Opfer danach aufgehört. In
knapp 50 % der Fälle habe sich das Verhalten
der Täter etwas gebessert. In mehr als 30 %
der Fälle sei es dagegen noch viel schlimmer
geworden.
227
228
Steuerkriminalität
Ein Steuerfahnder bringt 1,85 Millionen Euro
ein, titelte die FAZ am 1. Juni 2013. Dabei
machten natürliche Personen nur etwa ein
Fünftel der Arbeit aus. Fast die Hälfte der
Arbeit entfalle auf verheimlichte Einnahmen
durch Unternehmen und illegale Praktiken
von Konzernen. Knapp ein Drittel der Ermittlungen entfalle auf Betrügereien mit der
Umsatzsteuer. Die sogenannten Karussellgeschäfte sollten allein für Steuerausfälle von
bis zu 15 Milliarden Euro verantwortlich sein.
Dabei werden Waren über die Grenze steuerfrei eingekauft, aber gegenüber dem Fiskus
gleichwohl so getan, als wenn Umsatzsteuer
gezahlt wurde. So kassiert man nie gezahlte
Vorsteuer. Damit das nicht auffliegt, versuchen die Täter, ihre Spuren zu verwischen,
indem die Ware immer weiter von einem
Unternehmen zum nächsten verkauft wird.
Mitarbeiter der Deutschen Bank sollen sich an
betrügerischen Umsatzsteuerkarussellen
beteiligt haben, die spätestens seit 2008 die
Ermittlungsbehörden in ganz Europa in Atem
halten, berichtet die FAZ am 14. Dezember.
Schäden von insgesamt 5 Milliarden Euro
sollen Betrüger mit dem Handel von Kohlendioxidemissionszertifikaten verursacht
haben, stellte die europäische Polizeibehörde Europol schon im Dezember 2009
fest – und ergänzt in diesen Tagen, diese
Zahl sei wohl eher konservativ geschätzt.
Noch beeindruckender sei jedoch diese
Nachricht, ebenfalls spätestens bekannt seit
dem Weckruf von Europol 2009: Es scheine
zumindest zwischen 2008 und 2010 kaum
ein Geschäft mit den Verschmutzungsrechten
gegeben zu haben, das nicht auf betrügerischen Machenschaften basierte. 90 % des
Handelsvolumens in diesem Bereich sollen
auf Umsatzsteuerkarusselle zurückzuführen
sein, die schon im Handel mit Handys oder
Computerchips seit Jahren gängig gewesen seien. Die Masche solcher Betrüger sei
komplex, meist kämen mehrere Scheinfirmen
zum Einsatz, die die Verschmutzungsrechte
ins Ausland verschieben und wieder zurück.
Das könne mehrmals so gehen, wie im Karussell würden die Zertifikate dann immer weiter
im Kreis verkauft. Der Clou dieser Konstruktionen: Das Finanzamt erstatte bei diesen
grenzüberschreitenden Transaktionen eine
Mehrwertsteuer in Höhe von 19 % zurück,
die von keinem Glied der Kette jemals gezahlt
worden sei. Im Juli 2010 wurde in Deutschland das Umsatzsteuergesetz so geändert,
dass Betrügereien in diesem Bereich nicht
mehr möglich sind, doch da sei der Schaden
in geschätzter Höhe von 850 Millionen Euro
zu Lasten des Steuerzahlers schon entstanden.
„Durch Umsatzsteuerbetrug entgehen
dem deutschen Fiskus nach Schätzungen
des Ifo-Instituts 14 bis 15 Milliarden Euro im
Jahr“, ist auf den Internetseiten des Bundeszentralamts für Steuern zu lesen, berichtet
die Süddeutsche Zeitung am 25. Juli 2013.
Ein großer Teil dieser Summe gehe auf die
Aktivitäten krimineller Organisationen zurück,
die staatenübergreifend sogenannte Karussellgeschäfte praktizierten. In der EU belaufe
sich der Schaden auf 100 Milliarden Euro im
Jahr. Doch die Politik reagiere kaum. Dabei
wäre der Betrug leicht abstellbar, indem die
Umsatzsteuer stark vereinfacht oder gar beim
Handel zwischen den Firmen abgeschafft und
nur noch vom Endkunden erhoben wird.
Der deutsche Zoll warne vor der „DieselMafia“, berichtete das Magazin Focus am
28. Oktober 2013. Durch bandenmäßig
organisierten Kraftstoffschmuggel entgingen
dem Staat immer mehr Steuereinnahmen.
2012 habe der Zoll von Sprit-Betrügern
25,4 Millionen Euro zurückgefordert, fast
sechsmal mehr als 2011. Zunehmend habe
man es mit internationalen Tätergruppen zu
tun. In Brandenburg hätten Polizei und Zoll
vor wenigen Wochen eine deutsch-polnische
Bande gestoppt. 29 Beschuldigte sollten mit
gepanschtem Diesel gehandelt haben, in der
Szene „Mafia-Diesel“ genannt. Um den Zoll
zu täuschen, hätten die mutmaßlichen Täter
das Gemisch als abgabenfreies Schmieröl
deklariert. Steuerschaden: mehr als 3 Millionen Euro. Knapp sechs Jahre ins Gefängnis
müsse ein kürzlich verurteilter Sprit-Betrüger
aus Bayern. Seine Bande habe 268 Tanklaster mit jeweils 30.000 Liter Dieselgemisch
als abgabefreien „Rostreiniger“ deklariert.
Steuerschaden: 7,3 Millionen Euro.
Stromausfall
In der Fachzeitschrift WiK (Ausgabe 6-2012,
S.43/44) wird über die ASW-Fachtagung
„Lang anhaltender Stromausfall“ Ende
Oktober 2012 berichtet. Das Büro für Technikfolgenabschätzung des Deutschen Bundestages habe ein Projekt zur „Gefährdung
und Verletzbarkeit moderner Gesellschaften
am Beispiel eines großräumigen und lang
andauernden Ausfalls der Stromversorgung“
durchgeführt. Zu den Ergebnissen des Projekts zähle, dass die Telekommunikation, das
Internet, die Zahlungssysteme, der Verkehr
und die Gesundheitsversorgung zu den anfälligsten Infrastrukturen im Fall eines Blackouts
gehörten. Zu unterstützenden Maßnahmen
(von der temporären Stromversorgung und
der Versorgung der Bevölkerung mit Lebensmitteln bis zum Bau und Betrieb von Kommunikationsnetzen und einem Tankstellen-Notbetrieb) könnten 80.000 freiwillige Helfer des
THW aktiviert werden. In der Arbeitsgruppe
KRITIS der Hamburger Behörde für Inneres
und Sport seien Handlungsempfehlungen für
einen großflächigen und länger andauernden
Stromausfall in Hamburg erarbeitet worden.
Der Berliner Tagesspiegel berichtete am
22. Januar 2013 über eine Fachkonferenz
des Vereins Kompetenzzentrum Kritische Infrastruktur (KKI) in Berlin, die sich mit den Risiken von Stromausfällen befasste. Deutschland und vor allem der Großraum Berlin
seien unzureichend auf große Stromausfälle vorbereitet, die mit dem Fortgang der
Energiewende aber immer wahrscheinlicher
werden dürften. Zwar gebe es bei Behörden
und Unternehmen viele Schutzkonzepte
und Leitfäden für Stromausfälle, diese seien
allerdings selten abgestimmt. Hans-Liudger
Dienel vom Zentrum für Technik und Gesellschaft an der TU Berlin erklärte die gestiege-
ne Stromausfallwahrscheinlichkeit mit den
Erneuerbaren Energien, die vor allem in die
Stromverteilernetze einspeisen, wofür diese
ursprünglich nicht ausgelegt seien. Früher
hätten nur wenige Großkraftwerke Strom
eingespeist, heute kämen hunderttausende
Windräder und Solaranlagen dazu. Steigende
Komplexität erhöhe die Fehleranfälligkeit.
Für die Öffentlichkeit wichtige Einrichtungen
müssten dazu verpflichtet werden, wenigstens Notstromaggregate bereit zu halten.
Mathias Köppe, HiSolutions AG, befasst sich
Security insight (S. 12–16) mit dem Krisenmanagement bei lang anhaltendem
Stromausfall. Er sei ein Schlüsselszenario
der Geschäftsfortführung. Durch die absehbaren Auswirkungen auf alle Sektoren der so
genannten Kritischen Infrastrukturen entstehe
eine kaskadierende Schadenswirkung für
Wirtschaft und Bevölkerung. Leider gebe
es derzeit kein aufeinander abgestimmtes
Risiko- und Krisenmanagement von Staat
und Wirtschaft. Eine Studie von HiSolutions
habe zu dem Ergebnis geführt, dass 23 %
der 150 befragten Unternehmen in den
letzten zehn Jahren von einer Krise durch
lang anhaltenden Stromausfall betroffen
waren. Die wenigsten Unternehmen seien in
der Lage, das Ereignis aus eigener Kraft zu
bewältigen. Standardkonformes BCM (zum
Beispiel nach BSI 100-4 oder ISO 22301)
würden keine lang anhaltenden Stromausfälle
vorsehen. Die Notstromversorgung sei eng
an die Batteriekapazität oder den jeweiligen
Kraftstoffvorrat geknüpft. Dieser reiche in
der Regel nur für drei bis 24 Stunden. Die
kontinuierliche Beschaffung von Kraftstoff sei
daher für die Funktionsfähigkeit essentiell.
Auch Frequenzschwankungen seien eine
229
230
Anfälligkeit des Energienetzes. Und mit der
zunehmenden Digitalisierung des Energienetzes nähmen die sensiblen Schnittstellen
durch die stärkere Vernetzung von Stromerzeuger, Netzbetreiber und Verbraucher
zu. Nur eine integrierte Organisation für
Unternehmenssicherheit sei in der Lage, die
Vielzahl von Aspekten des Szenarios zu erheben und zu bewerten. Präventive Maßnahmen gegen Stromausfall könnten nur durch
Übungen wirkungsvoll bekämpft werden. Der
geeignete Übungstyp, die Simulation, stelle
höchste Anforderungen an die Organisation. In derselben Ausgabe (S. 46/47) erklärt
Simon Feger, Eaton Electric GmbH, warum
Fertigungsumgebungen verstärkt auf den
Einsatz von unterbrechungsfreier Technik
(USV-Technik) setzen. Expertenschätzungen zufolge soll die Zahl der kurzzeitigen
Stromausfälle unter drei Minuten bei rund
400.000 Unterbrechungen im Jahr liegen.
Doch gerade diese machten der oftmals
empfindlichen Automatisierungstechnik
zu schaffen. Sacke die Netzversorgung etwa
inmitten eines mechanischen Bearbeitungsschritts ab, könnten durch den abrupten
Stillstand der elektromechanischen Antriebe
teure Werkstücke beschädigt werden. Damit
die komplexen Ebenen eines Produktionssystems miteinander verbunden werden können,
biete moderne USV-Software die Möglichkeit,
Statusmeldungen zwischen USV-System,
Industrie-PCs und Steuerung auszutauschen.
USV-Anlagen sollten einmal im Jahr professionell gewartet werden. Wichtig sei vor allem
die Überprüfung der Batteriemodule auf
Korrosion, Verformung und Undichtigkeiten.
Der Tagesspiegel befasste sich am 8. April mit
dem Risiko großer Stromausfälle. Die seien
in Deutschland extrem selten. Und doch steige die abstrakte Gefahr, dass sich derartige
Ereignisse wiederholen. So prognostizierten
Meteorologen eine Häufung von Wetterextremen, Schneestürmen und Hitzewellen. Darunter würden Kraftwerke leiden, die Wasser
zur Kühlung brauchen. Windräder schalteten
bei Orkanen in Leerlauf und gingen vom
Netz, Solarparks produzierten unter Schnee
kaum Strom. Im Jahresschnitt werde heute
schon rund ein Viertel des benötigten Storms
regenerativ erzeugt. Doch die Stromproduktion schwanke extrem stark, teils innerhalb
einer Viertelstunde, was die Betreiber von
Stromübertragungsnetzen zunehmend in
die Bredouille bringe, die Netzfrequenz stabil
um die 50 Hertz zu halten. Bei Vattenfall,
dem Betreiber des knapp 36.000 km langen
Stromverteilnetzes in Berlin, sei man besorgt
wegen der Entwicklung. Thomas Schäfer,
technischer Leiter des Stromnetzes, sagt, er
halte einen Ausfall der Versorgung in ganz
Berlin für „unwahrscheinlich“. Das Kompetenzzentrum Kritische Infrastrukturen (KKI),
eine Ausgründung der NBB Netzgesellschaft
Berlin Brandenburg, biete Beratungen,
Dienstleistungen und Havarie-Trainings an
und betreibe eine Telefonzentrale für die Annahme von Störungsfällen bei Energieversorgern. Gegen eine Gebühr analysiere die Firma
auch Betriebe im Hinblick auf Notfallversorgung. Je nach Aufwand und Betriebsgröße
koste so eine Beratung ab 5.000 Euro. Noch
gebe es bundesweit nur wenige Spezialfirmen wie KKI. Sobald es wieder zu einem
Ausfall kommt, dürften viele – auch schwarze
Schafe – hier ihr Geschäft wittern.
Mit dem Fortgang der Energiewende steige auch das Risiko von Blackouts, ist der
Behörden Spiegel in seiner Aprilausgabe
überzeugt. Das Problem liege dabei nicht nur
in der digitalen Vernetzung der Infrastrukturen, sondern vor allem auch in der steigenden
Komplexität der Energieversorgung. 80 %
der deutschen Netze sind in privater Hand.
Die entsprechenden Schutzkonzepte und
Leitfäden sollen oftmals nicht abgestimmt
sein. Hier sei ein Dialog zwischen den Betreibern von KRITIS, der Politik und der Wirtschaft notwendig.
Die Einsatzplanung für einen großflächigen Stromausfall erläutert Branddirektor
Dipl.-Ing. Peter Hartl, Kölner Berufsfeuerwehr,
in s+s report (Ausgabe 4-2013, S. 54–60).
Er geht insbesondere auf Grundlagen der
elektrischen Energieversorgung, Risiken und
Folgen eines Stromausfalls (Ursachen, lokale
und regionale Stromausfälle, Zusammenbruch des europäischen Verbundnetzes) und
die Einsatzplanungen der Kölner Berufsfeuerwehr ein. Die negativen Einflüsse auf die
Rahmenbedingungen für eine stabile und
zuverlässige Netzbetriebsführung würden
in naher Zukunft stärker. Um für den höchst
anspruchsvollen Entscheidungsprozess bei
der Konzentration auf kritische Schwerpunkte
im lokalen und regionalen Bereich möglichst fundierte Grundlagen zur Verfügung
zu stellen, müssten Entscheidungshilfen in
Form von Checklisten, Maßnahmenkatalogen
und Lösungsskizzen für die derzeit bereits
erkennbaren Problemgruppen erarbeitet
werden: Konzepte zur Sicherung der Trinkwasserversorgung, Erfassung möglichst aller
Objekte mit leistungsfähiger Notstromversorgung, Erarbeitung von Informationsmaterial
für besonders gefährdete Menschen und
Institutionen und Beschreibung von Eskalationspotenzialen.
Strommastensicherheit
Die Wirtschaftswoche befasst sich am
29. April 2013 mit der Messung der Standfestigkeit von Strommasten (S. 147). Das
Unternehmen Mastap habe einen Sensor
entwickelt, den ein Prüfer am Mast mit einem
Band fixiert und der die Schwingungen des
Mastes misst. Anschließend berechne eine
Software aus den Schwingungsdaten, ob es
Schäden am Mast gibt und wie es um seine
Standfestigkeit bestellt ist. Grundlage dafür
seien seine Größe, das Material, sein Alter
und eventuelle Anbauteile oder auf den Trägern aufgelagerte Stromleitungen. Wo früher
nur eine subjektive Einschätzung der Geräusche und des Aussehens des Mastes darüber
entschied, ob er ausgetauscht wird, seien es
heute harte Fakten. Statt wie früher 10 %,
würde nun wegen der genaueren Messungen
nur noch 1 % der Pfähle ausgetauscht. Bei
50.000 überprüften Masten spare die Technik mehr als 10 Millionen Euro.
Systemrisiken
Herbert Saurugg, Berater, erläutert in der
Ausgabe 3-2013 der Fachzeitschrift Security insight, wie sich Unternehmen durch
die Erhöhung von „Resilienz“ – der Fähigkeit eines Systems, mit Störungen sinnvoll
umzugehen – in der vernetzten Welt stärken
lassen. Bei komplexen, nicht linearen Systemen komme es zu Rückkoppelungen, die
den weiteren Verlauf der Prozesse beeinflussen. Sie seien nicht mit unseren bewährten
Management- und Steuerungsmethoden
kontrollier- und steuerbar. In Zeiten von
Turbulenzen seien nicht die Turbulenzen die
größte Gefahr, sondern die Handlungen mit
der Logik von gestern. Daher seien ganz klar
jene im Vorteil, die sich bereits im Vorfeld mit
möglichen Entwicklungen, Konsequenzen
und Optionen auseinandergesetzt haben.
Wichtig sei auch: Die Ausbildung müsse noch
stärker vernetztes und systemübergreifendes
Denken fördern und fordern. Transparenz,
Partizipation und Kollaboration seien ganz
wesentliche Fähigkeiten in der Netzwerkgesellschaft. Effizienzsteigerungsmaßnahmen
dürften nicht zur Reduktion der Robustheit
von Systemen führen. Redundanzen seien
überlebenswichtig. Ein systemisches Risikound Krisenmanagement bedeute nicht den
Ersatz bisheriger Methoden, sondern den
komplementären Einsatz (S. 10–16).
231
232
Terrorismus – Bedrohungslage
Das BKA hat Ende November 2013 die
Gefährdungslage islamistischer Terrorismus fortgeschrieben. Folgende Auszüge sind
für die Unternehmenssicherheit besonders
aussagekräftig:
1.Kernaussagen
Deutsche Interessen im In- und Ausland
sind erklärtes und tatsächliches Ziel jihadistisch motivierter Gewalt. Für diese besteht
damit auch weiterhin eine hohe abstrakte
Gefährdung, die sich jederzeit in Form von
sicherheitsrelevanten Ereignissen bis hin zu
Anschlägen konkretisieren kann. Aktuelle Anschläge und Anschlagsversuche gegen Ziele
in westlichen Staaten, auch in der Bundesrepublik, durch propagandistisch beeinflusste, organisationsungebundene Einzeltäter
zeigen, dass die Strategie des „individuellen
Jihads“ an Bedeutung stetig zunimmt. Dabei
ist mit allen bereits bekannten und auch neuartigen Tatbegehungsweisen zu rechnen. Im
Bundesgebiet konnten die Sicherheitsbehörden in den vergangenen Monaten konkrete
Anschlagsversuche und -vorbereitungen feststellen bzw. die Tatausführung durch Festnahmen vereiteln. Einzeltäter oder autonom
agierende Gruppen können nahezu beliebige,
subjektiv als islamfeindlich empfundene
Ereignisse, Äußerungen oder Handlungen im
In- und Ausland zum Anlass nehmen, selbst
jihadistisch motivierte Straftaten zu planen
oder spontan zu begehen.
2. Ideologische und programmatische Aspekte
AL-QAIDA und ihre Regionalorganisationen
halten an der Durchsetzung ihrer globalen
und regionalen Agenda mit terroristischen
Mitteln fest. Kern-ALQAIDA unter AL-ZAWAHARI kommt weiterhin eine ideologische und
strategische Führungsrolle zu. Die Regionalorganisationen schließen sich deren Leitlinien
zumeist an; sie stellen jedoch aufgrund ihrer
operativen Autonomie sowie ihrer Propagandaarbeit ein erhebliches eigenständiges
Bedrohungspotenzial, insbesondere in ihren
unmittelbaren Aktionsräumen, dar. Neben
der allgegenwärtigen, ablehnenden Haltung
gegen den Westen im Ganzen ergeben sich
für Staaten mit überwiegend muslimischem
Bevölkerungsanteil und „pro-westlicher“
Ausrichtung der jeweiligen Regierungen
gefährdungsbegründende Umstände aus der
täterseitig als ketzerisch angesehenen Politik.
3. Gefährdungslage Inland
Der versuchte Anschlag am Bonner Hauptbahnhof im Dezember 2012 sowie die
vereitelten Mordpläne gegen islamkritische
Politiker in Nordrhein-Westfalen im März
2013 zeigen, dass die anhaltenden Aufrufe
zu „individuellem Jihad“ auch im Inland bei
Personen des islamistischen Spektrums
ankommen und konkrete Wirkung entfalten;
sie belegen, dass die Bundesrepublik nach
wie vor jederzeit Ziel jihadistischer Gewalt werden kann. Die seit dem Jahr 2000
mittlerweile acht organisationsgesteuerten
Anschlagsversuche im Inland belegen, dass
den vielfachen Ankündigungen der internationalen jihadistischen Organisationen,
gegen deutsche Interessen vorgehen zu
wollen, auch Taten folgen. Personen, die sich
in einem terroristischen Ausbildungslager
aufgehalten haben, stellen – wenn bei diesen
auch die Motivation besteht, Anschläge
zu begehen – hierbei aufgrund der bereits
erfolgten ideologischen Indoktrinierung und
der dort erhaltenen Ausbildung im Umgang
mit Waffen und Sprengstoffen ein besonderes Sicherheitsrisiko dar. Grundsätzlich ist bei
jihadistisch motivierten Taten neben Sprengstoffanschlägen auch die Gefahr von Angriffen auf Freiheit bzw. Leben von Einzelpersonen, einschließlich monetärer oder politischer
Forderungen bis hin zu medial inszenierten
Tötungen, in Betracht zu ziehen.
4. Gefährdungslage Europäische Union
Nahezu alle Staaten der Europäischen Union
stehen im erklärten Zielspektrum international agierender jihadistischer Organisationen.
Neben dem politischen und militärischen
Engagement in Krisen- und Kriegsgebieten ist
nach wie vor die Veröffentlichung, Förderung
oder Duldung islamkritischen Verhaltens ein
für die Gefährdung einzelner europäischer
Staaten wesentlicher Aspekt. Täterseitig als
blasphemisch oder islamophob gewertete
staatliche Maßnahmen werden ebenso wie
bekannt werdendes Verhalten von Einzelpersonen als Propagandaargument und als
Rechtfertigung für terroristische Aktivitäten
verschiedener Dimension herangezogen.
5. Gefährdungslage für deutsche Interessen
im außereuropäischen Ausland
In Kriegs- und Krisengebieten der islamischen
Welt, vor allem in Afghanistan und im Irak,
aber auch in Pakistan, Syrien, Jemen sowie in
Nord-, Ost- und Westafrika, ist jederzeit mit
terroristischen Anschlägen gegen Interessen
und Einrichtungen der Bundesrepublik und
verbündeter Staaten sowie mit Entführungen westlicher und somit auch deutscher
Staatsbürger zu rechnen. Die überwiegend
von muslimischer Bevölkerung geprägten
Staaten Süd-, Südost- und Zentralasiens, der
Arabischen Halbinsel, Nord- und Westafrikas
sowie des Horns von Afrika sind unverändert
als Räume mit besonderer Anschlags- und
Entführungsgefahr anzusehen. Für deutsche
Interessen im außereuropäischen Ausland besteht besonders in den USA, in der Republik
Irak, in Israel, in der Republik Jemen, in der
Libanesischen Republik, der Arabischen Republik Syrien, im Königreich Saudi-Arabien, in
Afghanistan und Pakistan, in Ägypten, der Republik Mali, in Libyen, Nigeria und in Ostafrika
eine Gefährdung durch den islamistischen
Terrorismus.
Terrorismus – Krisenregionen
Zur Situation in Mali und Nordafrika hat das
BKA am 21. Januar die Gefährdung deutscher Interessen im In- und Ausland wie folgt
bewertet: „Auch wenn die Unterstützung
Deutschlands logistischer Natur ist und es
sich demnach nicht um einen „klassischen“
militärischen (Kampf-)Einsatz handelt, bleibt
festzuhalten, dass ein derartiges Engagement
die grundsätzliche Gefahr birgt, als Begründung für gegen deutsche Interessen und
Einrichtungen gerichtete Aktionen sowohl im
Inland als auch im Ausland herangezogen zu
werden.“ Dies ist dem Umstand geschuldet,
dass aus Sicht islamistisch terroristischer
Gruppierungen jegliche Form einer militärischen Beteiligung als unmittelbare und
wiederholte Einmischung und Teilnahme
Deutschlands am „Kampf gegen Muslime“
missbräuchlich gewertet werden kann.
Auch das Engagement der Bundeswehr in
Afghanistan wird seit Jahren entsprechend
propagandistisch genutzt. Das Existieren von
Unterstützerstrukturen der AQM (AL-QAIDA
IM ISLAMISCHEN MAGHREB) in Europa
muss in Betracht gezogen werden. Möglicherweise könnten derartige Gruppierungen
sich angesichts der aktuellen Entwicklungen
veranlasst sehen, Anschlagsplanungen in
Europa voranzutreiben. In Deutschland selbst
wurden bislang keine AQM-Strukturen festgestellt. Unabhängig von der Möglichkeit eines
organisationsgesteuerten Anschlags besteht
weiterhin die grundsätzliche Gefahr, dass
sowohl die militärische Intervention selbst als
auch die in diesem Zusammenhang zu erwartende Propaganda bei Einzelpersonen oder
Kleinstgruppen zu einer Emotionalisierung
führen wird. Hierbei könnte das Spektrum der
möglicherweise zu erwartenden Reaktionen
von Sachbeschädigung bis hin zu einem
terroristischen Anschlag oder Entführungen/
Geiselnahmen reichen. Diese Einschätzung
wird aktuell durch die Geiselnahme auf einem
Gasfeld der Firma BP durch Mitglieder der
AQM sowie durch einen weiteren Angriff auf
eine von einem deutschen Unternehmen
233
234
betriebene Bohranlage in Algerien untermauert. In Presseveröffentlichungen wurden
als Grund für die Angriffe Vergeltung für die
Gewährung von Überflugrechten durch die algerische Regierung für die französische Luftwaffe im Zusammenhang mit deren Einsatz
in Mali genannt. Ferner ist zu berücksichtigen,
dass gerade die AQM und MUJAO mittlerweile über eine größere Anzahl von Mitgliedern
aus vielen Staaten Westafrikas, der Sahelzone und der Maghrebregion verfügen, die in
Nordmali terroristische Ausbildungsmaßnahmen durchlaufen und an Kampfhandlungen
teilgenommen haben. Dieser Personenkreis
könnte in seine Heimatländer zurückgesandt
werden, um dort Anschläge durchzuführen.
Hierbei könnten auch deutsche Einrichtungen
in den Fokus von AQM und MHJAO geraten.
In der Gesamtschau ist aufgrund der aktuellen politischen Entwicklung in Mali sowie des
Unterstützungsangebots der Bundesregierung gegenüber Frankreich von einer hohen
Gefährdung für deutsche Interessen und
Einrichtungen insbesondere in Mali, aber aufgrund der ethnischen Vielfalt der Mitglieder
der AQM auch in anderen Staaten Westafrikas, der Sahelzone und der Maghrebregion
auszugehen.
Der Informationsservice Stratfor befasst
sich am 21. Februar mit dem Aufstieg einer
neuen militanten Gruppe in Nigeria. In den
vergangenen Wochen seien 14 Ausländer
im nördlichen Nigeria und Kamerun bei
zwei Überfällen entführt worden. Ansaru,
eine Absplitterung von Boko Haram, habe
die Verantwortung für die erste Entführung
übernommen und könnte auch für die zweite
verantwortlich sein. Ansaru sei im letzten Jahr
aufgetaucht und scheine Boko Haram in der
Taktik und den Zielen überholt zu haben. Alle
Terroraktionen der Gruppe seit Dezember
2012 seien auf Personen aus Frankreich oder
aus Ländern gezielt gewesen, die Frankreich
in Mali unterstützt hätten. Eine Fortdauer der
Gewaltwelle könnte ausländische Interessen
in Nigeria und den umliegenden Staaten betreffen und den militanten Jihadismus in der
Region stärken.
Die EU setzt den militärischen Arm der libanesischen Hisbollah auf ihre Terrorliste, meldete die FAZ am 22. Juli 2013. Darauf hätten
sich die EU-Außenminister geeinigt. Personen und Unternehmen mit Verbindungen zu
der radikalislamischen Schiitenorganisation
drohten nun Sanktionen wie Kontosperren
und Reisebeschränkungen. Auch die finanzielle Unterstützung werde verboten.
Die Zeitschrift WiK (Ausgabe 5-2013, S. 8)
weist auf den jährlichen US-Bericht zum
Terrorismus hin. Danach habe es im Jahr
2012 insgesamt 6.771 Terroranschläge
gegeben. Die Hälfte habe sich in Pakistan,
im Irak und in Afghanistan ereignet. Von
den weltweit ca. 11.000 Toten und 21.600
Verletzten entfielen auf diese drei Länder
62 %. Als aktuell gefährlichste Länder würden
Syrien und Nigeria genannt. Von rund 160
bekannten Terror-Organisationen seien die
Taliban am aktivsten, gefolgt von Boko Haram
und Al-Quaida. 62 % der Anschläge seien
mit Sprengstoff verübt worden, 25 % mit
Waffengewalt.
Terrorismus – Terrorismusbekämpfung
Heise.de meldet am 27. Januar 2013, dass
am 4. Februar die im Sommer 2011 vom
Bundeskabinett beschlossen Regierungskommission ihre Arbeit aufnimmt, die die Gesetzgebung zur Terrorismusbekämpfung
insbesondere seit dem 11. September 2001
aus rechtspolitischer Sicht bewerten solle.
Das Gremium werde die einschlägigen AntiTerror-Befugnisse „losgelöst vom politischen
Tagesgeschäft beleuchten“, habe Bundesinnenminister Hans-Peter Friedrich betont.
Bundesjustizministerin Leutheusser-Schnarrenberger sehe den Fokus der Untersuchung
dagegen in einer kritischen Gesamtschau der
verschiedenen Behörden und ihres Zusammenwirkens sowie der Entwicklung ihrer
Aufgaben und Befugnisse. Die Eckpunkte für
die Arbeit des Gremiums habe die Regierung
parallel mit der vierjährigen Verlängerung
und Ausweitung umstrittener Befugnisse aus
dem Terrorismusbekämpfungsergänzungsgesetz verabschiedet. Dabei gehe es vor
allem um Auskünfte, die Sicherheitsbehörden
bei Banken, Fluggesellschaften, Reisebüros,
Postdienstleistern oder Telekommunikationsanbietern über Terrorverdächtige einholen
könnten. Ein Gutachten des Bundestages
habe 26 Gesetze und internationale Abkommen zur Terrorismusbekämpfung gezählt, die
allein zwischen 2001 und 2008 verabschiedet worden seien.
Marcus Hellmann, AOB Außenwirtschaftsund Organisationsberatung GmbH, erläutert
Auswirkungen der sogenannten Sanktionslisten (Namenslisten von natürlichen und
juristischen Personen, zu denen geschäftliche
Kontakte untersagt sind, um Terroristen keine
wirtschaftlichen Ressourcen zur Verfügung
zu stellen) in der Ausgabe 3-2013 der
Fachzeitschrift WiK (S. 31–33). Die Verbote
seien umfassend und allgemein zu sehen. Sie
erfassten somit nicht nur Gelder und finanzielle Werte, sondern auch Vorteile und Güter,
die zur Erzielung von Geldeinnahmen genutzt
werden können. Grundsätzlich begründeten
diese Verordnungen keine generelle Pflicht
zur Prüfung von Adressen, auch wenn das
immer wieder so dargestellt werde. Es sei
lediglich sicherzustellen, dass den gelisteten
Adressen keine wirtschaftlichen Ressourcen
zur Verfügung gestellt werden. Sie entsprä-
chen inhaltlich einem „Personenembargo“
und würden unabhängig von den Arten des
Geschäfts und der Region gelten, in der die
Geschäfte durchgeführt werden. Der Autor
warnt vor einer Bewertung von Verstößen
gegen die Verordnungen als Kavaliersdelikt. Sie könnten aufgrund von Geld- und
Gefängnisstrafen durchaus das „Aus“ eines
Unternehmens bedeuten. Der Zugriff auf
die EU-Sanktionslisten sei derzeit kostenlos
möglich über: http://eeas.europa.eu/cfsp/sanctions/consol-listen.htm. Der Autor beschreibt,
welche Punkte im Hinblick auf die Erstellung
und Umsetzung eines Organisationskonzeptes und bei der Auswahl einer Software zur
Überprüfung der Adressaten Berücksichtigung finden sollten. Und er listet Kriterien
für die Auslagerung der Prüfung an einen
vertrauenswürdigen Dritten auf.
Britische Grenzbeamte dürfen offenbar Einreisenden bei der Kontrolle am Grenzübertritt
das Handy abnehmen und darauf befindliche
Daten speichern, berichtete heise online am
15. Juli 2013. Laut einem Bericht des Telegraph könnten dabei Metadaten der Anrufe,
SMS und E-Mails ebenso wie Fotos und persönliche Kontakte gespeichert werden – und
das so lange, wie es britische Behörden für
nötig halten. Die Inhalte der erfassten Kommunikation seien dabei allerdings außen vor.
Eine richterliche Verfügung sei dafür nicht nötig. Die Beamten müssten nicht einmal einen
begründeten Verdacht formulieren. Selbst
wenn die Person ohne Beanstandung einreisen darf, sei die Abnahme der Daten möglich.
Rechtliche Grundlage sei die Gesetzgebung
des Terrorism Act aus dem Jahr 2000.
Tunnelsicherheit
Nach der verheerenden Brandkatastrophe
im Gotthard-Tunnel 2001 stellt jetzt ein von
einer Ampel am Tunneleingang gesteuertes
sogenanntes Tropfenzählersystem einen
Mindestabstand von 150 m zwischen zwei
Lastwagen sicher, berichtete die FAZ am
9. April 2013. Zusätzlich sorge ein aufwendi-
ges Thermoportal dafür, dass – aus welchen
Gründen auch immer – überhitzte Lastwagen gar nicht erst in den Tunnel einfahren.
Durchfährt ein Lastwagen das Portal, erfasse
zunächst ein Lasergerät dreidimensional die
Außenabmessungen des Fahrzeugs. Darauf
ließen sich die wichtigsten Kennwerte wie
235
236
Fahrzeugklasse, Länge, Breite, Höhe und
gefahrene Geschwindigkeit ableiten. Zwei Infrarotkameras messen die Temperaturen der
erwähnten Fahrzeugkomponenten, während
eine Videokamera die Seitenansicht des vorbeifahrenden Fahrzeugs aufzeichne. Auf der
Grundlage der in der Testphase ermittelten
Messprofile werde eine Datenbank mit den
Solltemperaturwerten der jeweiligen Fahrzeugteile angelegt. Registriert das System
eine Überschreitung dieser Grenzwerte, löse
es ein Alarmsignal aus und schalte die Ampel
des Tropenzählersystems auf Rot, so dass
kein weiteres Fahrzeug in den Tunnel einfahren kann. Das Alarmsignal lande auf dem
Tablet-PC des diensthabenden Sicherheitsbeauftragten, der innerhalb von höchstens 90
Sekunden am betroffenen Fahrzeug eintreffe,
den Fahrer zum Parken auffordere und die
Tropfenzählerampel wieder auf Grün schalte,
um unnötige Staus zu vermeiden. Am angehaltenen Fahrzeug messen dann Fachleute
der gleichzeitig alarmierten Feuerwehr nochmals die einzelnen Temperaturen.
Dr.-Ing. Mingyi Wang, VdS, stellt den von
einer Arbeitsgruppe der Deutschen Vereinigung für Wasserwirtschaft, Abwasser und
Abfall e.V. (DWA) und vom Bund der Ingenieure für Wasserwirtschaft, Abfallwirtschaft
und Kulturbau (BWK) erarbeiteten Praxisleitfaden zur Überflutungsvorsorge in der
Fachzeitschrift s+s report (Ausgabe 4-2013,
S. 48–53) vor. Er geht auf Gefährdungen und
Risikomerkmale, Gefährdungsbeurteilung und
Risikobewertung, Schutzziele und Schutzkonzept, Vorsorgemaßnahmen in der Fläche
und am Objekt, Risikokommunikation und
Öffentlichkeitsarbeit ein. Es handele sich um
umfassende und systematische Empfehlungen.
Worauf es beim Einsatz von Blitz- und Überspannungsschutz in Applikationen der Mess-,
Steuer- und Regelungstechnik (MSR-Technik)
ankommt, zeigt Jens Willmann, Phoenix Contact GmbH &Co. KG, in der Ausgabe 5-2013
der Zeitschrift GIT (S. 94/95). Aufgrund der
zahlreichen Signalleitungen in der MSR-Technik und der damit häufig zu installierenden
Schutzgeräte müssten die Produkte komfortabel, sicher und schnell installiert werden
können. Zudem müsse sich der Anlagenbetreiber auf die ordnungsgemäße Funktion des
Überspannungsschutzes verlassen können.
Die elektronische Überwachung der Schutzkomponenten dürfe zu keinem Zeitpunkt das
zu schützende System beeinflussen.
Unternehmenssicherheit – Sicherheitsenquete 2012/2013
Die WiK veröffentlicht in ihrer Ausgabe
2-2013 (S. 10–14) die Ergebnisse der
Sicherheits-Enquete 2012/2013, an der 279
Sicherheitsexperten teilgenommen haben.
Für sie blieben Angriffe auf die Informationstechnik und die Unternehmensdaten
das drängendste Problem. Zwei Drittel
der Befragten gehen davon aus, dass die
Belastungen durch IT-Kriminalität künftig
weiter steigen werden. Dementsprechend
rechnen 76 % mit mehr Aufwendungen für
IT-Sicherheit und 68 % für einen verbesserten
Datenschutz. Die höchsten Risiken für das eigene Unternehmen seien Schadsoftware aus
dem Internet, Hackerangriffe auf betriebliche
Daten, Zeit-Diebstahl und Diebstahl durch
Mitarbeiter sowie Konkurrenzausspähung.
70 % der Befragten gehen von schützens-
wertem Know-how in ihrem Unternehmen
aus, aber nur 39 % haben in ihrem Unternehmen ein Know-how-Schutzkonzept. Nur
61 % der Befragten bewerten Sicherheitsbehörden als vertrauensvolle und kompetente
Partner der Wirtschaft. 35 % wünschen
sich mehr Informationen und Aktivitäten im
Wirtschaftsschutz. 50 % erwarten, dass im
laufenden Jahr die Wirtschaft mehr Geld für
die Sicherheit ausgeben wird als im Vorjahr.
Für 2014 sind 47 % dieser Annahme. An der
Spitze der Investitionen in die Sicherheitstechnik stehen für den Zeitraum 2013–2015
Videoüberwachung, baulicher Brandschutz,
Biometrie, Perimeterschutz und elektronische
Schließtechnik. Über 30 % der befragten
Manager werden hier nachrüsten. Gespart
worden sei im Sicherheitsbereich seit 2011
vor allem durch die Belastung des vorhandenen Personals mit zusätzlichen Aufgaben
(43 %), durch Ersatz personeller Leistungen
durch Technik (32,7 %), Fremdvergabe von
Aufgaben (30,6 %), Verzicht auf geplante
Neueinstellungen (25,5 %), Stellenstreichungen (24,5 %) und Streckung von Investitionen (22,4 %).
der Befragung von Sicherheitsbeauftragten
im Unternehmen und externen Sicherheitsexperten bei einer Reihe von Kompetenzen, insbesondere hinsichtlich von Kenntnissen der
IT-Sicherheit (Platz 2 bei unternehmensinternen Sicherheitsbeauftragten, aber nur Platz 7
bei externen) und hinsichtlich technisch-naturwissenschaftlicher Ausbildung (Platz 8 bei
unternehmensinternen, Platz 12 bei externen
Sicherheitsexperten). Studienangebote im
Bereich Sicherheitsmanagement werden
grundsätzlich positiv bewertet. Aber nur
jeder fünfte Betrieb hat bereits Absolventen
von Sicherheitsmanagementstudiengängen
eingestellt. Das Anforderungsniveau für die
Wahrnehmung von operativen Aufgaben in
der Unternehmenssicherheit sei niedriger
geworden. Der Sachkundenachweis wurde
zwar häufiger als 2010 genannt, die geprüfte
Schutz- und Sicherheitskraft und die Fachkraft dagegen seltener genannt. 77,4 % der
befragten Unternehmen würden ihr Sicherheitspersonal regelmäßig schulen, im Schnitt
jährlich 63 Stunden je Mitarbeiter. 40 %.
Weiterbildungsstunden entfielen dabei auf
externe Maßnahmen.
WiK werden die Ergebnisse der SicherheitsEnquete 2012/2013 zur Organisation der
Unternehmenssicherheit wiedergegeben
(S. 39–41). Auf die Frage nach zusätzlichen
Aufgaben der Securitymanager haben die
Befragten den Brandschutz (48,4 %), den
Arbeitsschutz (46,2 %) und die IT-Sicherheit
(40,9 %) an die Spitze gestellt. Ein unterschiedliches Ranking der günstigsten
Voraussetzungen für eine Leitungsfunktion in
der Unternehmenssicherheit ergibt sich bei
Der BDSW hat den Arbeitskreis „Wirtschaftsschutz/Unternehmenssicherheit“ gegründet,
meldet das Fachorgan DSD in der Ausgabe
4-2013 (S. 29). Er soll alle Mitgliedsunternehmen für alle Belange des Wirtschaftsschutzes
sensibilisieren und sie über aktuelle Herausforderungen informieren. Damit sollen sie
in die Lage versetzt werden, ihre Dienstleistungskompetenz auszuweiten, um dadurch
ihre Kunden speziell im KMU-Bereich noch
besser in allen Aufgabenfeldern der Unternehmenssicherheit zu unterstützen.
Unternehmenssicherheit – Unternehmensrisiken
Über eine weltweite Umfrage unter mehr als
500 Allianz-Experten in 28 Ländern nach den
Top-Unternehmensrisiken 2013 berichtet das SicherheitsForum in seiner Ausgabe
1-2013 und listet die 10 gewichtigsten Risiken
für Unternehmen in der Schweiz auf (S. 31).
„Was sind die typischen Sicherheitslecks
bei Unternehmen?“ fragt die FAZ am
26. September 2013 in einem Verlagsspezial für den Mittelstand. 1. Unternehmen nähmen allzu häufig Risiken in Kauf.
2. Selbst langjährige Mitarbeiter, die als
237
238
sehr vertrauenswürdig gelten, gehörten
zum Kreis derer, die geheime Informationen für sich nutzen und bewusst an die
Konkurrenz weitergeben würden. 3. Wenn
die Produktionsanlagen mit dem Internet
verbunden sind, seien sie den gleichen
Gefahren ausgesetzt wie der PC im Büro.
4. Vertriebsmitarbeiter, Sekretäre und Ingenieure würden als die besten Quellen für
Konkurrenzbeobachter gelten, um an geheime Infos zu kommen. 5. Websites, soziale
Netzwerke und Datenbanken seien wahre
Goldgruben für findige Analysten. Bei der
Vorstellung von Produkten sollte man nur
die nötigsten Informationen zu Bau- und
Funktionsweise preisgeben. 6. Wenn das
Unternehmen den Mitarbeitern erlaubt,
private Laptops auch bei der betrieblichen
Arbeit zu benutzen, könne es passieren,
dass aus Versehen bei der privaten Nutzung Viren eingeschleust werden und so
geheime Daten auf dem Gerät in Gefahr
kommen könnten. 7. Weil es immer wieder
passiere, dass Mitarbeiter Unterlagen aus
dem Unternehmen versehentlich irgendwo
liegen lassen, sollten sie darin geschult
werden, keine geheimen Unterlagen ausgedruckt mitzunehmen.
Unternehmenssicherheit – Standards
WiK stellte Sebastian Brose, VdS, neue
VDS-Richtlinien im Jahr 2013 vor. Er geht
insbesondere auf den Leitfaden Perimetersicherung (VdS 3143), auf die VdS 3456
(Entwicklung von Anforderungen und Prüfmethoden) und auf die Richtlinie VdS 3169
(Fernzugriff auf Einbruchmeldeanlagen mittels Smart Devices) ein. Aufgelistet wurden
alle 2013 geplanten, neuen und überarbeiteten VdS-Richtlinien (S. 52/53).
Als „nettes Werkzeug der Informationssicherheit“ lobt der Sicherheits-Berater in der
Ausgabe 17/13 (S. 258/259) „verinice“, das
eine Reihe von wichtigen Standards abdecke:
die Implementierung von BSI IT-Grundschutz,
den Betrieb eines ISMS nach ISO 27001,
das Durchführen eines IS-Assessments nach
VDA-Vorgaben, den Nachweis von Compliance mit Standards wie ISO 27002 und
IDW PS 330 und das Durchführen einer Risikoanalyse nach ISO 27005. Es könnten auch
eigene Gefährdungskataloge zusammengestellt und verwendet werden. Dokumente
könnten direkt in der verinice-Datenbank
gespeichert werden oder auch über URLs in
externen Quellen wie Dokumenten-Managementsystemen, Wikis oder Sharepoint-Strukturen referenziert werden. So könne eine
zentral organisierte, revisionssichere Dokumentenpyramide aufgebaut werden. Verinice
werde in seiner Standardversion unter der
Lizenz GPLv3 zum freien Download als Open
Source-Software kostenfrei bereitgestellt und
unterstütze Windows, Linux und MacOS.
Unternehmenssicherheit – Awareness
Nach Überzeugung von Michael Helisch,
HECOM Security-Awareness Consulting, zielt
Security-Awareness auf Verhaltensänderung
ab. Und umfassende Security-Awareness-Aktivitäten enthielten zudem wesentliche Elemente von Organisationsentwicklungsprojekten.
Indem sich der Einzelne verändere, verändere
sich auch das System. (Ausgabe 3-2013 der
Zeitschrift <kes>, S. 86/87)
Neue Wege zur Security-Awareness empfiehlt Sven Leidel, ASI Europe, in der Ausgabe
5-2013 der Zeitschrift WiK (S. 46/47). Bei
der Methodenwahl helfe es, zwei grundlegende Voraussetzungen für ein langfristiges
Sicherheitsbewusstsein näher zu betrachten:
die nachhaltige Wissensvermittlung und
den standardisierten Trainingserfolg. Beide
Faktoren sollten berücksichtigt werden. Die
Form des Präsenztrainings „Face to face“
gelange schnell an ihre Grenzen. Bei größerer Mitarbeiterzahl seien hohe Kosten zu
erwarten, und der persönliche Charakter des
Präsenzunterrichts gehe verloren. Als methodische Alternativen empfiehlt der Autor das
multimediale E-Learning und das integrierte
Lernen. Das sogenannte „blended Learning“
vereine sowohl die klassische Methode des
Präsenz-Unterrichts als auch das moderne
E-Learning.
Unternehmensstrafrecht und Ordnungswidrigkeiten
Die FAZ berichtet am 19. September 2013,
dass die Regierung von NRW den Entwurf
für ein Unternehmensstrafrecht beschlossen hat. Es gehe darum, Wirtschaftskriminalität effektiver zu bekämpfen. Wenn
Banken Beihilfe zur Steuerhinterziehung zum
Geschäftsmodell machten, wenn Bespitzelung und Produktpiraterie den Unternehmen
und dem Standort Deutschland schadeten,
müsse sich die Politik überlegen, wie der
Staat darauf reagiere. Wenn sich beispielsweise nicht mehr feststellen lasse, wer Bestechungsgelder gezahlt hat, erfolge keinerlei
strafrechtliche Ahndung. Auch lasse sich
Wirtschaftskriminalität nicht wie bisher mit
Bußgeldbescheiden ahnden. Als Sanktionen
sehe der Entwurf Geldstrafen bis zu 10 %
des Jahresumsatzes eines Unternehmens,
den Ausschluss von öffentlichen Aufträgen
und – als schärfste Waffe – die Auflösung
eines Unternehmens vor. Allerdings soll auch
von einer Strafe abgesehen werden können,
„wenn ein Unternehmen Aufklärungshilfe
leistet und ausreichende organisatorische
oder personelle Maßnahmen eine Wiederholung ausschließen“. Justizminister Kutschaty
habe darauf hingewiesen, dass alle neun an
Deutschland angrenzenden EU-Staaten ein
Unternehmensstrafrecht haben.
Wie die FAZ am 20. November 2013
meldete, haben sich die Justizminister auf
ihrer Herbstkonferenz mit dem Vorstoß aus
Nordrhein-Westfalen angefreundet, ein eigenes Strafrecht für Unternehmen einzuführen.
Insbesondere solle nun bei den weiteren
Beratungen geprüft werden, ob eine solche
Reform die internen Kontrollsysteme in den
Unternehmen stärken und damit zur Vermei-
dung von Straftaten beitragen würde. Ziel der
Gesetzesinitiative sei es, dass Staatsanwälte
nicht mehr nur Manager vor Gericht anklagen
können, sondern auch die Unternehmen
selbst. Als Sanktionen seien spürbare Geldstrafen vorgesehen. Eingeführt werden sollten zudem ein Ausschluss von öffentlichen
Ausschreibungen oder Subventionen sowie
die Bekanntmachung von Verurteilungen. Im
Extremfall sollten Firmen aufgelöst werden.
Rechtsanwalt Bernd Groß befasst sich in der
FAZ am 27. November 2013 mit Sanktionen
nach dem OWiG gegen Unternehmen. Spätestens seit der Verhängung von Sanktionen
in dreistelliger Millionenhöhe gegen Siemens gingen Strafverfahren regelmäßig mit
Geldbußen gegen Unternehmen nach § 30
OWiG einher. Für sie bedeuteten derartige
Verfahren zudem erhebliche Imageschäden,
immense Anwaltskosten sowie aufsichtsund vergaberechtliche Konsequenzen. Von
besonderer Bedeutung als Anknüpfungstat
sei § 130 OWiG, dessen Zusammenspiel mit
§ 30 OWiG oft nicht verstanden werde. Hiernach handelt ordnungswidrig, wer Aufsichtsmaßnahmen unterlässt, die Straftaten oder
Ordnungswidrigkeiten aus dem Unternehmen
heraus verhindert oder wesentlich erschwert
hätten. Die Vorschrift sei somit eine Art strafrechtliches Sammelbecken für die Fälle, bei
denen Leitungspersonen keine Beteiligung an
den Taten nachgewiesen werden kann. Das
Recht biete bereits ein Instrumentarium mit
dem gegen rechtswidriges Handeln massiv
vorgegangen werden könne. Das Drohpotenzial liege vor allem im Abschöpfungsteil
(§ 17 Abs.4 OWiG). Die Ermittlungsbehörden
stellten die Unternehmen oft vor die Wahl:
239
240
Entweder sie akzeptieren die Schätzung von
Vorteilen aus den Taten oder sie müssten
weitere kostspielige und imageschädigende
Ermittlungen hinnehmen. Angesichts der
immer kritischer gewordenen Öffentlichkeit
seien viele Unternehmen dann bereit, Sanktionen zu akzeptieren, die über das hinausgehen, was gerichtlich durchsetzbar wäre. Das
geltende Recht berge existenzielle Risiken für
Unternehmen und deren Führungspersonal.
Untreue
Die FAZ berichtet am 11. September 2013
über ein Urteil des BGH (Az: 5 StR 551/11),
das hohe Hürden für die Annahme des Straftatbestandes Untreue setze. Die Entscheidung
betreffe zwar konkret nur frühere Geschäftsführer, Prokuristen und Aufsichtsratsmitglieder
von GmbHs, die Grundsätze dürften aber
auch für Vorstände und Aufsichtsräte von AGs
gelten. Die Pflichtverletzung müsse „klar und
evident“ sein, eine „schwere Pflichtverletzung“
darstellen. Sie müsse den „Grad der Existenzgefährdung“ erreichen. Auf der subjektiven Seite
müssten die Merkmale von Pflichtwidrigkeit
und Vermögensnachteil selbständig geprüft
werden. Auch bei bedingtem Vorsatz müsse
der Täter die Verwirklichung des Straftatbestan-
des für möglich halten und den Erfolg billigend
in Kauf nehmen. Bei Risikogeschäften seien an
die Feststellung der subjektiven Tatseite erhöhte Anforderungen zu stellen. Die bewusste Eingehung des immanenten Risikos könne für sich
genommen nicht ausreichen. Es komme darauf
an, ob der Angeklagte die Risikofaktoren und
den Risikograd tatsächlich erkannt hat. Noch
bedeutsamer sei, ob er mit dem Erfolg der Tat
einverstanden war. Anders als bei Kapitaldelikten lasse sich das nicht bereits weitgehend aus
dem Gefährdungspotenzial der Handlung ableiten. Es komme auf die Umstände des Einzelfalles an. Entlastend bewertet der BGH, wenn
ein Risikocontrolling eingeführt worden ist, das
deutlich mehr Transparenz geschaffen hat.
Urheberrecht
Mit unangemessen hohen Abmahnkosten
schon bei der ersten Urheberrechtsverletzung durch illegale Downloads soll Schluss
sein, berichtet die Wochenzeitung DAS
PARLAMENT am 22. April 2013. Das sei
das Ziel eines von der Bundesregierung
vorgelegten Gesetzentwurfes (17/13057).
In dem Entwurf sei unter anderen ein Verbot
von Werbeanrufen vorgesehen, die von
einer automatischen Anrufmaschine getätigt
werden. Zudem sollten telefonisch abgeschlossene Verträge mit Gewinnspieldiensten nur noch wirksam werden, wenn sie
schriftlich bestätigt werden. Schließlich solle
gegen ungerechtfertigt hohe Abmahnungssummen vorgegangen werden, indem ein
Regelstreitwert von 1.000 Euro für die erste
Abmahnung bei privat handelnden Nutzern
festgelegt wird.
Vandalismus
Vandalismus bleibe weiterhin ein großes
Problem in Berlin, berichtet der Berliner
Tagesspiegel am 8. Februar 2013. 2012
hätten bei BVG und S-Bahn Schäden in
Höhe von 12 Millionen Euro behoben werden müssen. Über 300 Mal habe die Polizei
2012 nach Vandalismusvorfällen Aufnahmen von Kameras der BVG ausgewertet.
Auch in allen Bussen und U-Bahnen sowie
in einem großen Teil der Straßenbahnen
gebe es Aufzeichnungsgeräte. Mehrfach
sei es dadurch gelungen, Täter ausfindig zu
machen, vor allem nach Gewaltvorfällen.
Neben den „Mischbahnhöfen“ seien bei der
S-Bahn 35 der insgesamt 166 Bahnhöfe
mit Kameras ausgestattet. Zudem seien
550 Sicherheitskräfte beschäftigt.
Zu einigen Problemen des Veranstaltungsordnungsdienstes äußert sich der Vorsitzende des für diesen Funktionsbereich neu gegründeten Arbeitskreises des BDSW, Martin
Houbé, in DSD (Ausgabe 2-2013, S. 44). Als
eine seiner wichtigsten Aufgaben bezeichnet
er eine klare Definition von Ordnungsdiens-
ten. Wichtig sei es auch, angepasste Qualifikationsmodule für die unterschiedlichen
Tätigkeiten bei Schutz und Ordnung von Veranstaltungen vorzunehmen. Houbé fordert
Veranstalter aller Art auf, rechtzeitig qualifizierte und kompetente Ordnungsdienstleister
in die Planung einzubeziehen.
Versicherungsbetrug
IT-Fachjournalist Hartmut Giesen zeigt in der
Ausgabe 2-2013 der Fachzeitschrift WiK
(S. 22/23), wie mit Fuzzy Logic betrugsverdächtige Schadensmeldungen von dem
System „RiskShield“ identifiziert werden. Die
von INFORM entwickelte Software addiere für
jedes gefundene Betrugsindiz eine Punktzahl
zwischen 1 und 100 zur Prüfsumme. Für
entlastende Merkmale ziehe sie umgekehrt
Punkte ab. Übersteige die Punktsumme am
Ende der Prüfung eine von der Versicherung
definierte Summe, steuere die Software die
Schadensmeldung als „auffällig“ aus. Sie
werde dann an einen Betrugsexperten weitergeleitet. Im KFZ-Bereich erwiesen sich ca.
10 % aller von RiskShield als auffällig ausgesteuerten Schadensmeldungen tatsächlich als
Betrugsversuch.
Videoüberwachung
Die Videoüberwachung nimmt in den
Beiträgen der Medien 2013 einen breiten
Raum ein. Das ist zum einen in der hohen
Bedeutung dieser Technologie für die Unternehmenssicherheit und der Effizienz dieses
Instrumentariums begründet, zum anderen
im raschen technischen Fortschritt, der diese
Sicherheitstechnik in ihrem Einsatzwert permanent erhöht. Da in diesen Beiträgen mehrere Aspekte der Videoüberwachungstechnik
behandelt werden, ist eine streng systematische und zugleich überschneidungsfreie
Zusammenstellung nicht möglich.
Videoüberwachung – Entwicklungsperspektiven
Umfassende Betrachtung
Die Fachzeitschrift Protector hat im September das Special Videoüberwachung mit
vielen interessanten Beiträgen herausgegeben. Den Schwerpunkt bildet das „9. PRO-
TECTOR Forum Videoüberwachung 2013“.
Nachfolgend werden Äußerungen einzelner
Diskussionsteilnehmer zusammengefasst
wiedergegeben.
241
242
Zunächst sei es darum gegangen, wie sich
die Überwachungskameras in den letzten
Jahren durch immer höhere Auflösungen
und zunehmend smarten Komponenten
weiterentwickelt haben und welchen Nutzen
dies heute in der Praxis bringe (S. 10–16).
„720p“ habe sich quasi als Standard für Überwachungskameras etabliert. Auch „1080p“
spiele eine wachsende Rolle. Aber in den
höheren Megapixel-Bereich dringe man nur
vor, wenn es die Anforderungen ausdrücklich
voraussetzen – etwa wenn es auf extreme
Detailgenauigkeit ankomme oder es in die
Flächenüberwachung hineingehe. Die digitale
VGA-Kamera sei abseits der Low BudgetLösung kaum noch lebensfähig, da seien sich
die Experten einig. Was aber trotz jahrelanger
Grabesreden noch recht lebendig sei, sei die
Analogtechnik. Hinsichtlich der „1080p-Kameras“ dürfe man auch nicht vergessen, dass
es hierbei hauptsächlich um den sogenannten
Upgrade-Markt gehe. Der habe noch andere
Technologien hervorgebracht, die eine Brücke schlagen zwischen analogen Altsystemen
und der hochauflösenden digitalen Welt von
heute. HD-SDI benötige hochwertige Koaxialnetze. Natürlich könne es vereinzelt Probleme mit der vorhandenen Koaxialverkabelung
geben, aber trotzdem sei die Umrüstung von
analogen Anlagen auf Full HD eine interessante und kostensparende Alternative zu IP.
Was bei HD-SDI öfter bemängelt werde, sei
die Deckelung der Auflösung – bei 1080p sei
Schluss. Oberhalb davon beginne die Liga
der ausschließlich IP-basierten Megapixelkameras. Sie hätten vor allem in speziellen
Anwendungen ihren Markt. Überall dort, wo
es um die Überwachung von großen Arealen
geht, könnten solche Systeme ihre Stärken
besonders gut ausspielen, wie zum Beispiel
bei großen Werkshallen, Schwimmbädern,
Logistikunternehmen, Bahnhöfen und dergleichen . Als vermeintliche Nischentechnik
und als Trendprodukte würden die heute in
vielfältiger Form erhältlichen Panorama- und
Fisheye-Modelle gelten. Fisheyes seien nur
bedingt für die Identifikation einsetzbar. Die
3D-Videotechnik scheine momentan noch
wenig Relevanz zu besitzen. Neue Verfahren
und Standards stünden schon in den Startlöchern. Man beobachte bereits die Potenziale
der neuen 4K-Auflösung, die aus der Digitalkino-Technik komme.
Im Anschluss diskutierten die Experten über
die Auswirkungen von HD und Megapixel
auf Peripherie und Netzwerk. Dabei habe
das reibungslose Zusammenspiel verschiedener Komponenten im Fokus gestanden
(S. 18–23). Wenn man in den hochauflösenden Bereich gehe, dann bitteschön
nicht nur in der Kamera, sondern bei allen
Komponenten. Das sei aber längst nicht
allen Anwendern bewusst. Das Objektiv sei
ein wesentlicher Faktor, der die Bildqualität enorm beeinflusse. Und daher nütze
es natürlich nichts, wenn die Kamera fünf
Megapixel liefern könnten, man davon aber
ein minderwertiges Kunststoffobjektiv, zum
Beispiel ohne asphärische Linsenelemente
habe, das diese Auflösung gar nicht abbilden
könne. Es sei auch eine Erkenntnis der letzten
Jahre, dass sogenannte Megapixel-Objektive
durchaus megapixeltauglich seien, aber oft
nur in der Bildmitte, nicht an den Rändern.
Auch an der Monitorfront halte sich mancher gerne mit Investitionen zurück. Dem
Consumer-Monitor fehlten meistens die
wesentlichen Eigenschaften, die einen Security-Monitor auszeichnen. Das betreffe neben
der allgemeinen Bildqualität zum Beispiel
den Einbrennschutz und natürlich vorrangig
den „24/7-Betrieb“. Ein sehr starker Trend
seien heute integrierte IR-Strahler in Kameras.
Die Netzwerkinfrastruktur sei ein nicht zu
vernachlässigender Faktor bei der Implementierung von Videolösungen. Mit steigenden
Sensorauflösungen stiegen auch die benötigten Bandbreiten im Netzwerk. Es mache aber
keinen großen Unterschied mehr, ob man an
ein Netzwerkkabel eine VGA-Kamera oder
eine Megapixelkamera anschließt. Selbst die
höhere Bandbreite habe in heutigen Zeiten
kaum eine Auswirkung, weil häufig bereits
Gigabit-Switche installiert seien. Bei bestehenden Netzwerken, die man für Video mit
benutzen möchte, sollte man vorher immer
eine Netzwerkanalyse machen. Ebenfalls
nicht zu vernachlässigen seien die Kompressionsmethoden für HD-Formate. Eine weitere
wesentliche Frage sei, wie viel einer Megapixelauflösung durch starke Kompression
verloren gehe. Mit dem Stichwort Speicherung sei der letzte Aspekt angesprochen, der
mit zunehmender Auflösung kritisch werden
könne. Ein Engpass liege auch bei den Festplatten selbst.
Im dritten Teil des Forums ging es um die
grundsätzlichen Philosophien von zentralen und dezentralen Systemen sowie um
ihre konkreten Vor- und Nachteile (S. 24–35).
Viele Videoanalysefunktionen, von der
Bewegungsdetektion bis hin zur Kennzeichenerkennung, seien auf der Kamera heute
sehr gut und auch günstiger zu betreiben
als auf einem Server. Dennoch müsse man
dabei auch die Qualität bedenken. Unter
Umständen reiche es auch, auf den Kameras eine Voranalyse zu machen. Die nötige
Rechenleistung sei dort ohnehin vorhanden.
Ganz davon abgesehen würden als Videoanalyse zum Beispiel auch Verdrehschutz,
Blendungserkennung oder auch Rauscherkennung definiert. Videoanalyse werde in
der Kamera heute nicht nur zur Alarmierung
genutzt, sondern auch zur Verbesserung
des Bildes. Wenn beispielsweise ein Objekt
erkannt wird, werde es mittels dynamischer
Kompression besser dargestellt, während der
Hintergrund weniger detailliert wiedergegeben werde. Egal, welche Systemarchitektur
man wähle, ihr müsse immer eine sorgfältige
Planung zugrunde liegen. Dezentrale und
zentrale Systeme seien nicht messerscharf
zu trennen. Im Grunde gebe es in jedem
System Teilbereiche, die man besser zentral organisiert, und es gebe Funktionen, die
man dezentralisiert. Ein dezentrales System
lasse sich relativ leicht erweitern. Bei einem
zentralen System komme man je nach Größenordnung der Erweiterung um die Hinzunahme weiterer kostenintensiver Server nicht
herum. Die Verfügbarkeit könne durch eine
dezentrale Intelligenz deutlich erhöht werden.
Dagegen sei eine zentrale Lösung meist
einfacher zu sichern als eine dezentrale – vor
allem, was die Aufzeichnung betrifft. Falle
der Server aus, seien die Aufzeichnungen
aller Kameras weg. Hier liege der Ausweg in
einer angemessenen Redundanz. Wenn man
Videoanalyse auf Servern betreibe, brauche
man entsprechend hohe Rechenleistung.
Plane man seriös, liefen die Server mit maximal 70 % Auslastung. Kaum ein Aspekt von
dezentralen Lösungen werde so leidenschaftlich debattiert wie die lokale Speicherung von
Videobildern auf der Kamera. Für die einen
sei dies ein absolutes No-Go, für andere ein
Gimmick, und für andere wiederum eine
nützliche Funktion für bestimmte Anwendungen. Bei wachsenden Videoanlagen sei der
clevere und investitionsschonende Umgang
mit bestehenden Komponenten wichtig.
Encoder seien nur dazu da, vorübergehend
die existierenden Kameras in das neue
System zu integrieren. Ein Konzept, das die
Investitionen des Kunden wirklich schützt,
sei der Ansatz einer Softwareoberfläche, die
vorhandene analoge Technik aufnimmt und
vollumfänglich unterstützt.
Analog contra digitale Videoüberwachung
Hardo Naumann, Accellence Technologies
GmbH, zeigt in der Ausgabe 2-2013 der
Zeitschrift WiK, wie eine gute Darstellung
analoger Videobilder auf modernen Bildschirmen gelingt (S. 57–59). Um den sogenannten „Lattenzauneffekt“ (bewegte Bilder
scheinen an den Rändern „auszufransen“)
zu vermeiden, gebe es drei Verfahren des
sogenannten „Deinterlacing“. Das erste Verfahren bestehe darin, jedes zweite Halbbild
zu verwerfen. Das zweite Verfahren sei das
Hochrechnen aller Halbbilder zu Vollbildern,
das dritte der Einsatz von Algorithmen, mit
denen die Bilder vor der Anzeige gefiltert
und korrigiert werden.
243
244
Protector (S. 26/27) äußert sich Martin Gren,
Axis Communications, zu Trends in der IPVideoüberwachung. Während vor einiger
Zeit noch der Pixelwert das A und O war, sei
inzwischen die Bildnutzbarkeit ein weiterer
wichtiger Punkt geworden. Dank neuer Technologien könnten Netzwerkkameras auch
unter erschwerten Bedingungen detailliertere
Bilder liefern, beispielsweise bei geringer
Beleuchtung oder schwieriger Umgebung.
Dabei sollten die Basisfunktionen der Netzwerkkameras nicht aus dem Blick geraten. Sie
sendeten automatisch Alarmmeldungen an
das Wachpersonal, sobald die Geräte manipuliert werden oder andere Fehler auftreten.
Auch die Videobewegungserkennung (VMD)
habe gegenüber früheren Möglichkeiten
deutlich aufgeholt. Weil Netzwerkkameras
in zwei Richtungen kommunizieren könnten,
ließen sie sich besonders gut mit anderen
Geräten wie Zugangskontrollen oder Verkaufsterminals integrieren. Ein weiterer Faktor
für die Weiterentwicklung von Netzwerkkameras seien die kontinuierlich wachsenden
Speicherkapazitäten.
Im Protector-Special Videoüberwachung vom
September 2013 beschreibt Ludwig Bergschneider, ASP AG, die verbesserte analoge
Videoqualität durch den neuen 960H-Standard (S. 44/45). Die analoge Videotechnik
werde noch über viele Jahre auf steigendem
Niveau weiter verwendet werden. Die wichtigsten Gründe hierfür seien einerseits die
bereits verlegten Koaxialkabel und andererseits die relativ günstigen Komponenten der
Systeme. Um aber dennoch mit den steigenden Anforderungen an Qualität und Auflösung Schritt halten zu können, bedürfe es
neuer technischer Ansätze. Mit dem Standard
960H (oder auch HD-Analog) gelinge dies
ohne massive Neuinvestitionen. Aus technologischer Sicht liege der Hauptvorteil des
Standards in der höheren Auflösung. Aber
auch der weite Dynamikbereich und eine
konstante Leistung bei schlechten Lichtverhältnissen zählten zu den Vorteilen. Aus Sicht
von Anwendern und Errichtern sei 960H
ebenfalls unkompliziert zu nutzen, denn es
sei voll abwärtskompatibel zum herkömmlichen PAL-Standard.
Videoüberwachung in der Cloud
Videoüberwachung in der Cloud ist das
Thema, das Karsten F. Kirchhof, Accellence
Technologies GmbH, in der Fachzeitschrift WiK (Ausgabe 4-2013) behandelt
(S. 54/55). Die verteilte Installation in der
Cloud biete neben klaren Kostenvorteilen
vor allem höchstmögliche Flexibilität und
Redundanz. Für die Speicherung und Weiterleitung in einem Rechenzentrum müsse
die Aufzeichnung verschlüsselt werden. Dies
gelte speziell beim Einsatz in der Filialstruktur von Banken, wo Bereiche überwacht
werden, in denen sehr hohe Geldbeträge
bewegt werden, oder in der Industrie, wo
jede Form von Bildinformation etwa aus der
Forschungs- und Entwicklungsabteilung
einem hohen Sicherheitslevel unterliegen.
Durch die Integration eines PKI-Systems
in das Videomanagement seien kostengünstige, hochredundante und komfortable
Videoüberwachungslösungen in der Cloud
unter aktuellen Datenschutzauflagen und
höchsten Sicherheitsstandards realisierbar.
Dr. Michael Gürtner, Bosch Sicherheitssysteme GmbH, weist in der Zeitschrift Protector
(Ausgabe 7-2013) darauf hin, dass „cloud
basierte“ Videoüberwachungs-Lösungen
kleinen und mittelständischen Unternehmen ermöglichen, von zentraler Sicherheitsinfrastruktur und Kompetenz zu profitieren,
ohne selbst in eine komplizierte Lösung
mit Hardware und Personal investieren zu
müssen (S. 30/31).
Marktübersicht
Das Protector-Special Videoüberwachung
vom September 2013 enthält Marktübersichten zu CCTV-Kameras (S. 60/61), zu
Video-Encodern (S. 62/63), zu Netzwerk-
kameras (S. 64/65), zu digitalen Speichersystemen (S. 66/67), zu VideomanagementSoftware (S. 68/69) und zu Monitoren
(S. 70/71).
Prognosen
Trends für 2013 bei der IP-Videoüberwachung skizziert in der Fachzeitschrift GIT
(Ausgabe 3-2013, S. 40/41) Axis Communications: Trend 1: Videoüberwachung in
Städten nimmt an Bedeutung zu; Trend 2:
proaktive Überwachung in öffentlichen
Verkehrsmitteln – generell ermögliche
IP-Videoüberwachung, dass von überall
Echtzeit-Videobilder zugänglich sind; Trend
3: Die IP-Videotechnologie biete dem traditionsgemäß auf umfangreiche Sicherheitsmaßnahmen bedachten Bankbereich viele
Vorteile. Für 2013 werde IP-Überwachung
auch im hochsensiblen ATM-Bereich rund um
den Geldautomaten vermehrt in den Fokus
rücken; Trend 4: Im Einzelhandel werden in
Zukunft IP-Kameras auch vermehrt über den
Sicherheitsbereich hinaus genutzt (Analyse
von Kundenverhalten oder Effektivität von
Ausstellungsbereichen und Regalflächen).
Magnus Ekerot, Mobotix AG, wirft in der
Fachzeitschrift GIT (Ausgabe 6-2013,
S. 40/41) einen Blick auf die weitere Entwicklung der Videoüberwachung bis zum
Jahr 2020. Der Trend zu digitalen Lösungen
sei ungebrochen. Für die Bildqualität sei mit
5 bis 20 Megapixeln als zukünftigem Stan-
dard zu rechnen. Der Trend zur Mobilität
werde weiter zunehmen. Und es werde eine
Entwicklung weg vom Einzelprodukt hin zur
Plattform geben. Die Videoanalyse werde
immer populärer werden. Immer mehr Daten
würden künftig kameraintern gespeichert.
Hosted Video werde ein Wachstumsmarkt
sein. Europa und die USA blieben Kernmärkte
für Videosysteme. Indien und China würden zu den Treibern im asiatischen Markt
gehören. Auch in Regionen mit starkem
Breitband-Infrastrukturzuwachs sei mit einer
starken Nachfrage nach digitalen Videosystemen zu rechnen. Die Prognose eines
Wachstums von jährlich 14 % bis 2017 sei
absolut realistisch. In der Ausgabe 9-2013
setzt Dr. Magnus Ekerot seinen Blick auf den
Markt der Videosicherheit im Jahr 2020
fort (S. 70/71). Die Zahl der Megapixel der
Sensoren werde sich erhöhen. Eine höhere
Megapixelzahl bringe aber nicht immer eine
gute Bildqualität mit sich. Sie brächte nichts,
solange der Sensor nicht ausreichend groß
und die Qualität der einzelnen Pixel entsprechend gut sei. Die Auflösung werde sich
bis 2020 bei 5 bis 10 Megapixel bei den
Standardanwendungen einpendeln, obwohl
technisch mehr möglich sei.
Videoüberwachung – Videokamera
Objektiv-Design
Die Kunst des Objektiv-Designs behandelt
ein Beitrag in der Ausgabe 7/8-2013 der
Zeitschrift Protector (S. 36/37). Die höheren Auflösungen der Kameras stellten auch
die Objektivhersteller vor immer größere
Herausforderungen. Die Kunst bestehe
darin, alle optischen Fehler auf ein Minimum zu reduzieren. Asphärische Linsen
245
246
zeichneten sich durch einen veränderten
Radius in den Randbereichen aus. Das Licht
werde in einem anderen Winkel abgelenkt
und somit korrigiert. Zusätzlich bestehe die
Möglichkeit, unterschiedliche Materialien zu
verwenden. Sogenannte Hybrid-asphärische
Elemente bestünden aus zwei unterschiedlichen Materialien, die jeweils einen anderen
Brechungsindex besitzen. Eine Kombination
solcher Linsen korrigiere dann nicht nur die
Randstrahlen, sondern sei auch in der Lage,
längere Wellenlängen, wie sie im IR-Licht
vorhanden sind, auf einen Punkt zu bringen.
Ein weiterer Schlüssel für eine hochwertige
Optik sei das Gehäuse.
Megapixelkamera
Dank hochauflösender Megapixelkameras lassen sich heute auch große Areale mit einer
relativ geringen Kameraanzahl überwachen.
Dabei würden feinste Details erfasst, was die
allgemeine Sicherheit erhöhe. Gleichzeitig ließen sich auf diese Weise Infrastrukturkosten
senken und ein Return on Investment früher
erreichen, zeigt sich Scott Schafe, Arecont
Vision, in der Zeitschrift Protector (Ausgabe
5-2013, S. 24/25) überzeugt. Ursprünglich
seien Megapixel-Panoramamodelle eher für
Spezialanwendungen gedacht gewesen.
Mittlerweise seien sie wegen ihrer Vorteile
in Sachen Leistungsfähigkeit und Kosteneffizienz aber im Mainstream angekommen
und würden in einer großen Bandbreite an
Branchen und Szenarien eingesetzt.
Lichtfeldkameras
In der Fachzeitschrift WiK (Ausgabe 4-2013)
untersucht Ulrich Sober die Möglichkeit der
Nutzung von Lichtfeldkameras für die Videoüberwachung (S. 45/46). Professionelle
Lichtfeldkameras erreichten eine sechsfach
höhere Schärfentiefe als die gleiche Kamera
ohne die spezielle Optik. In den heutigen
Lichtfeldkameras befänden sich statt nur
einer Linse eine Vielzahl von Mikrolinsen in
einer Gitteranordnung unmittelbar vor dem
Aufnahmechip. Durch das Mikrolinsengitter
werde ein einfallender Lichtstrahl kegelförmig geweitet und belege je nach Chip mehr
oder weniger Pixel auf dem Aufnahmechip. Per Software sei es möglich, aus dem
aufgefangenen Datensatz für jede beliebige
Entfernung ein scharfes Bild zu generieren.
Zusätzliche Bildinformationen seien aber
auch ein Handicap für die Lichtfeldtechnik. Je
mehr Linsen eine Lichtfeldkamera hat, desto
geringer werde die Auflösung. Dem könne
zwar mit höher aufgelösten Chips entgegen
gesteuert werden, allerdings erhöhe dies
auch das Datenvolumen je Bild. Für Auftrieb im Markt sorge möglicherweise eine
von der Firma Lytro vertriebene Kamera mit
8-fach optischem Zoom, die es effektiv auf
eine Auflösung von 540 x 540 Pixel bringe.
Realisiert werde dies mit einem kostengünstigen Sensor, bei dem pro Linse jeweils 6 x 6
Bildpunkte belichtet werden.
Fischaugenkameras
Steve Ma, Vivotek Inc., befasst sich im
Protector-Special Videoüberwachung vom
September 2013 mit Fischaugenkameras
zur Überwachung (S. 46/47). Der Vorteil
eines Fischaugen-Objektivs im Vergleich zu
anderen 360-Grad-Kameras seien die geringeren Kosten und die niedrigere Anfälligkeit
für Fehler aufgrund der angeschlossenen
Hardware. Auch gebe es keine Datenverluste
und tote Winkel, die durch ein ungenaues
Zusammenfügen von Bildern entstehen. Eine
für einen 180-Grad-Panoramablick ausgestattete Fischaugenkamera oder eine 360-GradFischaugenkamera ohne tote Winkel hätte ein
achtmal breiteres Blickfeld als herkömmliche
VGA-Kameras, so dass weniger Kameras
installiert werden müssten. Sie böten für
unterschiedliche Einsatzformen verschiedene
Darstellungsmöglichkeiten wie die ursprüng-
liche Rundumsicht, den Panoramablick und
Bereichsansichten. Hochauflösende Fischaugenkameras hätten eine breite Bereichsabdeckung und eine hohe Auflösung, eine
hervorragende Bildqualität, ein robustes
Design, benutzerfreundliche Anwendungen
für die Steuerung über Handheld-Geräte und
eine dem Branchenstandard entsprechende
Verschlüsselung. Zudem seien sie kostengünstig und unauffällig.
Schutz vor Vandalismus
Der Sicherheitsberater weist in seiner Ausgabe 2-2013 auf ein vom „The Guardian“ ins
Netz gestelltes Video hin, in dem Mitglieder
der Gruppe CAMOVER bei der Demolierung von Videokameras in Berlin zeige:
Eine Domekamera in einer U-Bahn werde
kaputtgeschlagen. Eine andere, meterhoch an
einem Gebäude angebrachte Kamera werde
mit einem Lasso zu Fall gebracht. Eine dritte
am Fuhrparktor einer Feuerwehr werde mit
einem langen Stangengreifer malträtiert. Wer
sich über den aktuellen Stand in der Szene
und damit über den Gefährdungsgrad seiner
Überwachungskameras informieren möchte,
sollte nach dem Stichwort „Camover“ oder
„Camoverblog“ googeln. Angesichts der
Bilder seien die Zweifel groß, dass „vandalensichere Außendomekameras“ (Produktbezeichnung von ABUS) roher Gewalt lange
standhalten können. Der Schutz von Überwachungskameras könne nicht nur bei der
Materialhärtung einsetzen. Den Folgen von
Vandalismus müsse man definitiv schon bei
der Planung und der Platzierung vorbeugen.
In der Ausgabe 7-2013 befasst sich der
Sicherheits-Berater erneut mit dem Vandalismusschutz für Videokameras. Eine
einigermaßen wirksame Strategie gegen
Vandalismus sei Diskretion, also das Verstecken der Kamera. Gegen die Möglichkeit, die
Kamera oder das Sichtfenster zuzusprühen,
helfe nur die Montage möglichst weit oben
außerhalb des Handbereichs. Aber gegen
einen präzise gezielten Farbbeutel sei man
auch damit kaum gerüstet. Letztlich bleibe
nur die Möglichkeit, die Auswirkungen eines
vandalistischen Angriffs gering zu halten,
indem man ihn unmittelbar erkennt. Das
bedeute, dass die Videoanlage Bildausfälle
durch Totalverlust, Verdecken, Verdrehen
oder Unscharfschalten der Kamera erkennt
und meldet (S. 106–108).
Videoüberwachung – Licht
Fedja Vehabovic, VJC Professional Europe
Ltd., befasst sich in der Ausgabe 5-2013
der Zeitschrift GIT (S. 68/69) mit modernen
Sensoren und intelligenten Prozessoren, die
die Lichtempfindlichkeit von Full HD Ka-
meras erhöhen. Er empfiehlt, zunächst die
Beleuchtungssituation zu verbessern, die
Lichtempfindlichkeit zu erhöhen und einen
neuen lichtempfindlichen CMOS-Sensor zu
nutzen. JVC sei es gelungen, bei der Sockel-
247
248
struktur seines neuen Sensors das Beste aus
zwei Welten zu kombinieren: die Vorteile des
Wiring-Layouts eines klassischen CCD-Sensors mit der Sockelstruktur eines modernen
CMOS-Sensors.
Ein Beitrag in dem Protector-Special Videoüberwachung vom September 2013 behandelt die Lichtempfindlichkeit aktueller IPÜberwachungskameras. Moderne, höchst
lichtempfindliche IP-Kameras böten sich als
leistungsfähigere und finanzierbare Alternative zu bisheriger analoger Kamera- und Aufzeichnungstechnik an. Hochauflösende Tag-/
Nacht-Netzwerkkameras vereinten neben
der Gewinnung eines scharfen Bildes für eine
verwertbare Analyse die Funktionen Bildverarbeitung, Bildanalyse, Kompression, Speicherung und sichere Übertragung der Bilddaten. Die Bilderfassung in HD(720p) und Full
HD(1080p) übernähmen CMOS-Sensoren
mit äußerst hoher Lichtempfindlichkeit.
Nachtaufnahmen, bei denen das Bildsignal
mit nur geringer Lichtmenge auf die einzelnen
Bildpunkte des CMOS-Sensors trifft, seien
geprägt von einem starken Rauschen. Die nötige Verstärkung des Bildsignals produziere eine
große Datenmenge mit nur geringem Anteil an
nutzbarem Inhalt. Hier setzten die jeweiligen
Rauschunterdrückungs- und Rauschfilteralgorithmen an, um neben der Erhöhung des Nutz-
signals die Kostenfaktoren Rechenkapazität,
Übertragungsbandbreite und Speicherbedarf
zu reduzieren. Die technologisch führenden
Anbieter hoch lichtempfindlicher IP-Kameras
nutzten ihre jeweiligen Stärken und Erfahrungen bei der Neu- und Weiterentwicklung der
Komponenten zu ihren aktuellen Gesamtlösungen. Vorgestellt werden in dem Beitrag das
System Ipela Engine von Sony, die LightfinderTechnologie von Axis Communications, die
Starlight-Technologie der Bosch-Entwickler
und Super Lolux HD von JVC. Selbst wenn
verschieden gewichtete Lösungsansätze zur
Verbesserung der Lichtempfindlichkeit verfolgt
würden, das Zusammenspiel der Komponenten im Gesamtsystem sichere letztlich das
Qualitätsniveau (S. 40–43).
Die Beurteilung der Lichtempfindlichkeit
einer Video-Kamera gilt laut Experten des
BHE (Bundesverband Sicherheitstechnik e. V.)
als eines der schwierigsten Themen in der
professionellen Videoüberwachungstechnik,
betont WiK in der Ausgabe 4-2013 (S. 51).
In einem neuen Papier erläutert der BHE die
wichtigsten Parameter und gibt eine Übersicht über die erforderliche Mindestbeleuchtungsstärke in Abhängigkeit zur Lichtstärke
des Objektivs. Das Papier stehe unter
www. bhe.de zum Download bereit.
Nächtliche Ausleuchtung
In der Zeitschrift Protector (Ausgabe 112013) wird die Ausleuchtung bei nächtlicher
Videoüberwachung thematisiert (S. 32/33).
Mit guter Szenenausleuchtung seien folgende Effekte zu erreichen: kleine Blendenöffnung, dadurch größerer Schärfentiefenbereich; Minimierung des Bildrauschens;
Sicherstellung der Lesbarkeit von KFZKennzeichen trotz direkten Bestrahlens; das
Arbeiten mit Reflexion über Gebäudewände
und damit das Verringern von Schlagschatten
und Überblendungen durch Erzielen homogenerer Ausleuchtung der Gesamtszene.
Infrarot-Technik
In einem Beitrag in der Zeitschrift Protector
(Ausgabe 7/8-2013, S. 34/35) wird erläutert,
wie adaptive Infrarot-Technik für gleichmä-
ßige Ausleuchtung sorge. Sie reagiere dynamisch und passe die Ausleuchtung der Szene
und den Objekten an. Ein von Avigilon an-
gebotenes System verbinde gleich mehrere
veränderliche Kriterien, um je nach Bildinhalt
stets die bestmögliche Qualität zu erzielen.
Die Funktion „Zoom Adaptive“ fokussiere den
IR-Strahl so, dass er genau zum Sichtfeld der
Kamera passt. So werde eine bestmögliche
Ausleuchtung aller Bereiche bei jeder ZoomEinstellung erreicht. Die „Content Adaptive“Funktion richte sich nach dem Bildinhalt. Für
eine größtmögliche Detailauflösung würden
zwei Methoden angewandt: „Oversaturation Detection“ und „Ignoring Background
Oversaturation“. Erstere erkenne, sobald ein
Objekt oder Bildbereich überstrahlt, und regele entsprechend nach. Die zweite Methode
erkenne überstrahlte Bereiche im weniger
wichtigen Hintergrund und ignoriere diese,
falls weiter vorne wichtige Objekte erkannt
werden. Es gebe zwei herkömmliche Arten,
um Überstrahlen auszugleichen. Der erste
Weg sei die Verminderung der IR-Strahlerleistung. Dies sei ein recht effektiver Weg. Der
zweite Weg führe über die Anpassung der
Kameraeinstellung. Am Sensor werde ein generell schwächer belichtetes Bild abgegriffen,
was das Überstrahlen eliminiere.
Videoüberwachung – Detektion und Analyse
Multifocal-Sensortechnologie
Im Newsletter 8/2013 von SecuPedia
befasst sich Roland Meier, Dallmeier electronic GmbH & Co. KG, mit der sogenannten
Multifocal-Sensortechnologie. Sie eröffne
neue Überwachungs- und Auswertemöglichkeiten. Anders als HD- und MegapixelKameras arbeiteten mit dieser Technologie
ausgestattete Kameras mit mehreren
Objektiven mit jeweils unterschiedlichen
Brennweiten. Die Kamera könne so dem zu
überwachenden Bereich angepasst werden, so dass auch auf große Entfernungen
Details und Personen noch gut erkennbar
seien. Sie passten das Pixelverhältnis der
entsprechenden Situation an. Das Bild werde
effizient aufgeteilt, ohne dabei an bestimmte
Seitenverhältnisse gebunden zu sein. Durch
Nutzung verschiedener Objektive werde eine
gleichbleibende Auflösung über den gesamten zu überwachenden Bereich ermöglicht.
Beispielsweise ließen sich Personen auch auf
160 Meter noch erkennen. Das Gesamtbild
werde permanent und auch stets mit höchster Auflösung aufgezeichnet, so dass kein
Bereich und keine Details verloren gingen,
selbst wenn sich der Betrachter live gerade
auf einen kleineren Ausschnitt konzentriert.
Autarke und intelligente Videoüberwachung
Security Insight behandelt Martin Scherrer,
Siemens-Division Building Technologies,
intelligente Videoanalysesysteme. Sie seien wahre Multitalente: Sie könnten mithilfe
hoch entwickelter Sensorik Kamerasignale
eigenständig und unterbrechungsfrei auswerten, definierte Ereignisse identifizieren
sowie entsprechende Aktivitäten auslösen.
Zunehmend fänden sie auch Anwendung
in belebten Szenen. Hier seien besonde-
re Analysefunktionen gefordert. GraffitiSprayer, Personen mit auffälligem Verhalten
oder Akte von Vandalismus sollten ebenso
sicher erkannt werden wie zurückgelassene Gegenstände. Die modernen Systeme
könnten noch mehr, zum Beispiel Personenzählung und Besucherstromanalyse. Je
nach Anforderung könne die Bildanalyse an
unterschiedlichen Stellen im Netzwerk stattfinden. Statt der Auswertung des unkomprimierten Bildstroms direkt in der Kamera
249
250
eigne sich für komplexere, merkmalbasierte
Auswertungen die „Back End-Analyse“. Die
Bilddaten könnten so parallel für unterschiedliche Anforderungen ausgewertet
werden. Eine Aufzeichnung könne auch ereignisgesteuert ausgelöst werden. Wichtiger
als die Analyse des Videostroms nach dem
Ereignis sei die Analyse der Vorlaufzeit. Sie
könne Aufschluss über Abläufe und Tathergänge geben (S. 40/41).
Ulrich Sobers, WiK-Redaktion, zeigt in der
Ausgabe 4-2013 Entwicklungsperspektiven in der Videoanalyse auf. Richtig
effizient werde sie erst, wenn Software
dafür sorgt, dass alle Sequenzen, die für
die Überwachung relevant sein könnten
– und möglichst auch nur die – entdeckt
und angezeigt oder gespeichert werden.
Videoanalyse-Software reiche deshalb je
nach Aufgabe von ganz einfach (Bewegungsdetektion durch Pixelveränderung)
bis hochkomplex (Erwartung von Verhalten). Die technischen Voraussetzungen für
hochkomplexe Analysemethoden seien
längst vorhanden. Technologisch betrachtet
könne Videoanalyse als eine höhere Art der
Mustererkennung aufgefasst werden, bei der
über die zeitliche Reihenfolge im Ergebnis
auf eine Art von Verhalten geschlossen werden könne. Hierbei müsse ein Muster von
einem Hintergrund unterscheidbar sein. Die
Videoüberwachung stehe und falle dabei mit
der Definition der Muster. Ein grundlegendes
Problem bei der Entwicklung von Algorithmen in der Bildanalyse sei, unter welchen
Rahmenbedingungen ein zu erkennender
Vorgang abläuft und ob man diesen als
Mensch der Maschine gegenüber in deren
Programmiersprache vermitteln könne.
Je nachdem, wie viele Fehler tolerabel
sind, ließen sich passende Algorithmen für
spezifische Aufgabenstellungen entwickeln
(S. 42/43). Eine besondere Herausforderung
der Videoanalyse – so Sobers – sei nach wie
vor das Object Tracking, also das Verfolgen
einer Person oder von Gegenständen über
verschiedene Kamera-Stationen hinweg.
Automatisch funktioniere das bisher nicht,
„sicheres“ Tracking benötige die personelle
Unterstützung durch einen Bediener. Ein
denkbarer Ausweg könne die Bereitstellung
von 3D-Bildern sein. Mit Tiefeninformationen würden einzelne (auch in ihrer Position
verharrende) Objekte und „Agenten“ im Bild
räumlich erfasst und sowohl voneinander als
auch vom Hintergrund separiert, um dann
in einer kamerainternen Vorauswerteeinheit
verarbeitet und danach der eigentlichen,
rechnergestützten Videoanalyse zur Verfügung gestellt zu werden (S. 44).
In Ausgabe 6-2013 behandelt Ulrich Sobers,
Redaktion WiK, die autarke Videoüberwachung (S. 67/68). Nicht immer stehe
ein Kabelanschluss zur Verfügung. Die
autarke Lösung bestehe neben der Kamera
aus einem Funkmodul zur Bildübermittlung, einer Stromerzeugungseinheit, einer
Lade- und Spannungsregler-Einheit und
einem Energiespeicher. Der Autor geht auf
den Strombedarf, die Stromerzeugung, auf
Speicherlösungen und den Anschluss an
die Kamera ein. Perspektiven für die autarke
Videoüberwachung biete die zu erwartende
Miniaturisierung der Kameras, der nur wegen
der zu verarbeitenden Lichtmenge qualitative Grenzen gesetzt seien.
Martin Scherrer, Siemens, zeigt auch in s+s
report (Ausgabe 4-2013, S. 21–23) die
Vorteile automatischer Bildanalyse bei
der Videoüberwachung. Graffiti-Sprayer,
Personen mit auffälligem Verhalten oder
Vandalismusaktionen sollten ebenso sicher
erkannt werden wie zurückgelassene Gegenstände. Doch die modernen Systeme
könnten noch mehr. Es sei möglich, sie auch
für Personenzählungen und Besucherstromanalysen einzusetzen. Bei der Aufzeichnung
im Ringmodus würden die Aufnahmen über
eine definierte Zeitspanne in einem Network
Video Recorder gespeichert und dann wieder überschrieben.
Managementsystem
In Ausgabe 5-2013 der Zeitschrift Security
Insight behandelt Katharina Geutebrück die
Funktionsmöglichkeiten eines Video-Managementsystems (S. 24/25). Es analysiere
Bilder auf ihre Gefährdungswahrscheinlichkeit, auf ihre Legitimität und darauf, ob
weitere Informationen enthalten sind, etwa
ein Nummernschild. Verknüpft werde das
Ganze dann mit anderen Gewerken wie Zutrittskontrolle, Brandmeldetechnik oder der
Rollladen-Steuerung, woraus sich wiederum
weitere Prozesse in Gang setzen und neue
Informationen generieren ließen. Die Autorin
bezeichnet als wesentlichen Vorteil des GSIM von Geutebrück, dass es einem kleinen
Team von Bedienern ermögliche, weitläufige
und komplexe Videosysteme effizient und
komfortabel zu handhaben. G- SIM berichte automatisch, was wo passiert und was
man sehen muss, um die Vorfälle effektiv
beurteilen zu können. Schlage eine Kamera
Alarm, dann ziehe der Bediener per Maus
die Meldung auf den hinterlegten LageplanViewer. Der Plan der auslösenden Kamera
werde sofort aufgerufen und das Bild auf
die Vergrößerungsstufe eingestellt. Auch
Markus Strübel, Securiton, befasst sich mit
intelligenter Videoüberwachung (S. 28–30).
Intelligente Videobildanalysen seien softwarebasierte Algorithmen zur automatischen Auswertung digitaler Bilder. Mithilfe
der unterschiedlichen Verfahren ermöglichten sie die Erkennung definierter Objekte
und Ereignisse. Die Objektklassifizierung
erlaube die Unterscheidung definierter Objektarten, spezifischer Objekteigenschaften
und spezifischer Objektzustände. Der anwendungsorientierte Ansatz führe zu einer
sehr hohen Detektionswahrscheinlichkeit
und äußerst geringer Fehlalarmrate auch bei
schwierigen Umgebungsbedingungen.
Videoüberwachung – Audio-visuelle Fernüberwachung
Markus Müller, Fraunhofer Institut für Optronik, Systemtechnik und Bildauswertung,
behandelt in der Fachzeitschrift WiK (Ausgabe 4-2013, S. 39–41) die Möglichkeiten
der Fernaufklärung per Bild-Sensorik und
gibt einen Überblick über verschiedene
Sensorsysteme: visuell-optische Sensorik,
mit der Digitalkameras arbeiten; InfrarotSensoren, die die Wärmestrahlung der
Objekte erfassen; SAR-Sensor, der die zu
erfassende Erdoberfläche aktiv mit Mikrowellenstrahlung beleuchtet; Lidar-Sensoren,
die sich zum Beispiel zur Gewinnung von
Höhenmodellen von Gelände und der darauf
befindlichen Infrastruktur eignen, und Gated
Viewing: ein pulsierender Laser als Sendevorrichtung und eine Empfängereinheit, die
die Blende nur in bestimmten Zeitfenstern
öffnet. Zur Informationsgewinnung sei der
Einsatz heterogener, vernetzter Sensorik
vorteilhaft. Die Auswertekette beginne beim
zu erfassenden Objekt und seinen physi-
kalischen Eigenschaften, wie Abstrahl- und
Reflektionscharakteristika. Weiterhin wichtig
seien die atmosphärischen, tageszeitlichen
oder witterungsbedingten Einflüsse sowie
die technischen und optischen Eigenschaften der jeweils eingesetzten Sensoren
sowie die Eigenschaften der jeweiligen
Sensorträger.
Uwe Breker, Protection One GmbH, zeigt
sich in derselben Ausgabe überzeugt,
dass die audio-visuelle Fernüberwachung
in Sicherheitskonzeption noch zu wenig
genutzt wird (S. 58/59). Die Live-Ansprache
von potenziellen Tätern verspreche eine
hohe Erfolgsquote. Nach Alarmauslösung im
Innenbereich erfolge die akustische Alarmvorprüfung. Werde eine verdächtige Situation erkannt, werde die Person im Objekt
über Lautsprecher lautstark mit 90 Dezibel,
im Außenbereich mit bis zu 120 dB, direkt
angesprochen. Die Live-Ansprache verjage
251
252
in 95 % der Fälle die überraschten Einbrecher sofort. Bei bestimmten Objekten seien
zusätzlich Kameras zur Verifikation der
Alarme unverzichtbar. Dazu gehörten etwa
Unternehmen mit hohem Risikopotenzial
oder Bargeldbestand oder Gewerbebetriebe,
bei denen durch Maschinen eine enorme
Geräuschkulisse herrsche. Dies gelte auch
für die Perimeterabsicherung, wo aufgrund
von zahlreichen geräuschintensiven Umwelteinflüssen eine akustische Vorprüfung
nicht möglich ist.
Videoüberwachung – Einsatzbereiche
Prozessoptimierung
Norbert Herzer, Geutebrück GmbH, befasst
sich in der Ausgabe 1-2013 der Fachzeitschrift W&S mit der Nutzung der Videoüberwachung zur Prozessoptimierung
(S. 34/35). Videodaten seien gut. Verknüpft
mit Prozessdaten sei ihr Nutzen aber erheblich größer. Solche Informationspakete dienten als Beleg in der Kundenkommunikation,
helfen bei der Klärung von Unregelmäßigkeiten und unterstützten die Verbesserung
von Abläufen. So könnten die Arbeitsplätze
im Verpackungsprozess mit Tischkameras ausgestattet werden, die den Verpackungsvorgang „von oben“ aufzeichnen.
Die Videobilder würden auf Videorecordern
aufgezeichnet. Jede Datenübergabe könne
als Suchkriterium für eine Recherche in der
kundenspezifisch einstellbaren Benutzeroberfläche genutzt werden. Meist geschehe
dies beim Wareneingang, der Kommissionierung, der Verpackung und beim Warenausgang. Das Bildmaterial dokumentiere
z. B. Anzahl, Zustand und Verpackung der
Ware und könne bei Bedarf als Einzelbild
oder auch Bildsequenz exportiert werden.
Es sei manipulationssicher und könne als
Nachweis zur Klärung von Unregelmäßigkeiten eingesetzt werden. Ferner würden
Lagerbereiche mit hochwertiger Ware häufig
durch Video gesichert, auch die Außenhaut
des Gebäudes und das Betriebsgelände. Bei
Betreten des Geländes würden Fahrzeugbewegungen durch Nummernschilderkennung
automatisch erfasst. Und auch im Rahmen
der Zertifizierung als „bekannter Versender“
in der „sicheren Lieferkette“ spiele Video
eine große Rolle.
Einzelhandel
Die Fachzeitschrift GIT (Ausgabe 9-2013,
S. 12–15) berichtet über eine Studie des
EHI Retail Instituts, nach der immer mehr
Einzelhandelsunternehmen auf digitale
Videoüberwachung setzen. Zu den drei
wichtigsten Gründen für den Umstieg auf die
neue Technologie gehörten neben dem einfachen Fernzugriff per IP-Verbindung auch
die bessere Bildqualität sowie eine höhere
Flexibilität bei der Montage. So ließen sich
mithilfe von HDTV- oder Megapixel-Kameras
Details in einem Videobild besser darstellen
als mit einer traditionellen analogen Kame-
ra. Per Ferngriff seien Netzwerkkameras
und Video-Encoder zudem für mehrere
autorisierte Benutzer jederzeit und von
jedem vernetzten Ort weltweit zugänglich
und konfigurierbar. Die Bildqualität hänge
eng damit zusammen, wie genau man die
Blende der Kamera steuern könne – denn
umso besser lasse sich der Lichteinfall auf
den Sensor regeln. Moderne Netzwerkkameras mit integrierter Intelligenz oder Analysefunktionalität reduzierten die Menge an
irrelevanten Aufzeichnungen und initiierten
vorprogrammierte Reaktionen. Netzwerkka-
meras bieten diverse integrierte Funktionen,
z. B. Videobewegungserkennung, Audioerkennung, aktiven Manipulationsalarm sowie
Alarm- und Ereignisverwaltungsfunktionen.
Mithilfe dieser Funktionen seien die Netzwerkkameras in der Lage, kontinuierlich den
Dateneingang zu analysieren, um Ereignisse
zu erkennen und automatisch darauf zu
reagieren.
Ralph Siegfried, Axis Communications, befasst sich in der Fachzeitschrift PROTECTOR
(Ausgabe 1-2/2013, S. 28/29) ebenfalls
mit Netzwerkkameras mit Zusatzfunktionen
für Händler. Viele Netzwerkkameras seien
inzwischen auf die speziellen Bedürfnisse
des Einzelhandels zugeschnitten. Neben
den reinen Sicherheitsaspekten biete die
digitale Videoüberwachung dem Handel
einen deutlichen Mehrwert und sei zu einem
wichtigen Werkzeug für Marketing und
Shop-Management geworden. Die Verbindung der Netzwerkkamera mit Point of
Sale (POS)-Systemen biete eine interessante Einsatzmöglichkeit: Die Auswertung
der Aufnahmen zusammen mit Daten zu
Umsatzraten und -mengen, die aus den Kassendaten stammen, könne die Sicherheit im
Kassenbereich deutlich erhöhen. Eine solche
Lösung helfe schnell und effizient, häufig
vorkommende Fehler aufzudecken, Missstände aufzuklären und innovative Manipulationen des POS-Systems nachzuweisen.
Neue Herausforderungen für Systemintegratoren, die ein Projekt auf IP-Basis für
Einzelhandelsketten realisieren sollen, sieht
Protector (Ausgabe 9-2013, S. 44). Der
jeweilige Filialleiter möchte unverzüglich
über ein eingetretenes Ereignis informiert
werden oder direkt die Transaktionsdaten
inklusive Point of Sale (PoS)-Daten mit dem
entsprechenden Video sehen. Ebenso sollte
es möglich sein, aus der Ferne über ein
Smartphone oder einen PC zuzugreifen und
eventuell auf diesem Wege auch Recordereinstellungen für mehrere Filialen von der
Zentrale aus vornehmen zu können. Der
Netzwerkrecorder erkenne alle angeschlossenen IP-Kameras automatisch und zeige sie
auf dem Monitor an. Er könne an ein POSGerät angeschlossen werden, um dessen
Transaktionsdaten zu übernehmen. Die
Daten könnten lokal oder über Web-Clients
in anderen Filialen oder unterwegs betrachtet werden.
Videoüberwachung im Einkaufszentrum
thematisiert auch die WiK (Ausgabe 6-2013,
S. 65). Supermärkte und Einkaufszentren
seien in der Regel gut ausgeleuchtet, so
dass 2- oder 5-Megapixel-Kameras eingesetzt werden könnten, die auch eine Gesichtserkennung erlauben. Die Einbindung
vorhandener Analogkameras werde über
Video-Server oder Capture-Karten realisiert.
Sinnvoll sei es, zur Unterstützung der fest
installierten Kameras zusätzlich Pan-TiltZoom-Kameras einzusetzen, so dass tagsüber verdächtige Personen manuell gezielt
verfolgt oder außerhalb der Öffnungszeiten
nach Bewegungserkennung durch Kameras oder andere Melder gezielt Positionen
angefahren werden könnten. Weitere
Einsatzbereiche für fest installierte Kameras
seien neben der Erfassung der Kundenanzahl die Ermittlung von Hotspots und die
Kassenüberwachung im Rahmen eines PoSSystems. Hierzu werde über der Kasse eine
Kamera installiert, das PoS-System werde
zwischen Kasse und Drucker installiert und
alle über die Kasse gebuchten Vorgänge
würden live in das Videobild geschrieben.
Spielkasino
Wie die Süddeutsche Zeitung am 15. März
2013 berichtete, hat ein Betrüger das
Kasino von Melbourne um 25 Millionen Euro
gebracht, indem er gemeinsam mit einem
Komplizen das Video-System geknackt
habe. Jeder Würfelwurf, jedes Blatt, je-
253
254
der einarmige Bandit werde in modernen
Kasinos videoüberwacht. Der Komplize des
Betrügers habe sich in das Video-Überwachungssystem gehackt und dem Spieler am
Kartentisch Signale gegeben. 32 Millionen
australische Dollar soll der Mann, der aus
dem Ausland nach Australien gekommen
sein soll, so in nur acht Runden erschummelt haben.
Verkehrswesen
Ulrich Sobers, Redaktion der WiK, befasst
sich in der Ausgabe 2-2013 mit der Nummernschilderkennung (S. 60–62). Bisher
seien es vor allem Polizei, Ordnungsbehörden
und die Maut-Organisationen, die Nummernschilderkennung von Kraftfahrzeugen einsetzen. Private Nutzer seien eher zurückhaltend,
obwohl die Technik ausgereift sei. Bei den
zum Einsatz kommenden Kameras handele
es sich in der Regel um Spezialanfertigungen,
die zwar aus handelsüblichen Baugruppen
bestehen können, für ihren speziellen Zweck
aber über besonders angepasste Komponenten verfügen müssten. Denkbar seien auch
Anwendungen in der Logistik. So könne man
bei Hafenanlagen eine Kennzeichenerkennung nutzen, um erfolgte Ein- und Ausgänge
von Containern zu dokumentieren und Steuerungsprozesse bei der Lagerung zu optimieren. Eine wichtige Rolle spiele Videoüberwachungstechnik zum Beispiel bei der Abholung
von Kalkerzeugnissen in Selbstbedienung
im Werk Flandersbach der Rheinkalk GmbH.
Das Prozesssteuerungssystem VAS steuere
ohne Bediener Schranken, Zutrittskontrollen,
Waagen, Silos und Terminals, und binde auch
die kaufmännischen Komponenten wie Auftragssteuerung, Fakturierung und Controlling
ein. Die im Außenbereich installierte Kamera
reagiere automatisch auf alle Fahrzeuge auf
der Waage, nehme Bilder auf, registriere das
Kennzeichen, Datum und Uhrzeit und speise
die Daten über eine Visualisierungs-Applikation in die Versandsystem-Software ein, wo
sie mit den auf der ID-Karte gespeicherten
Informationen, dem Lieferschein sowie dem
Eichprotokoll kombiniert würden (S. 62).
Die FAZ meldet am 31. August 2013, der
Bundesinnenminister und Bahnchef Grube
hätten vereinbart, 36 Millionen Euro in den
Ausbau der Videoanlagen zu investieren.
Weitere 24 Millionen Euro wolle die Bahn
für das Projekt „Sicherheit, Sauberkeit und
Service“ an ihren Bahnhöfen zur Verfügung
stellen. Die auszurüstenden Bahnhöfe
sollen gemeinsam anhand polizeilicher
und bahnbetrieblicher Kriterien ausgewählt
und anschließend priorisiert und projektiert
werden. Die Bahn habe insgesamt 5.700
Bahnhöfe. Zur Zeit würden 640 Bahnhöfe
mit etwa 4.800 Kameras überwacht. Der
Minister habe gesagt, es gehe nicht um
flächendeckende Überwachung, sondern um
einen selektiven Ausbau der sicherheitspolitischen Maßnahmen.
Mit mobiler Videoüberwachung im Verkehrswesen befasst sich ein Beitrag in Security
insight (Ausgabe 4-2013, S. 38/39). Nur IPNetzwerkkameras, deren Stromversorgung
via Power over Ethernet gewährleistet sei,
eigneten sich für die Anwendung in öffentlichen Verkehrsmitteln. Diese könnten
an jeder kompatiblen Schnittstelle mit dem
Netzwerk verbunden werden und müssten nicht an einen PC angeschlossen sein.
Videosysteme, bei denen rechenintensive
Funktionen wie die Entzerrung des Bildmaterials und die Speicherung der Aufnahmen
direkt in der Kamera erfolgen, benötigten
deutlich weniger Netzwerkbandbreite. Damit
Vorfälle rekonstruiert und Täter identifiziert
werden können, müssten die Bilder hochaufgelöst vorliegen. Kameras mit 3,1 Megapixel lieferten dabei Aufnahmen in höherer
Auflösung als HDTV und ermöglichten auch
bei hoher Vergrößerung noch eine Gesichtsoder Kennzeichenerkennung.
Jan Engelschalt, BDM Transportation, beschreibt in der Fachzeitschrift GIT (Ausgabe
12-2013, S. 32–34) ebenfalls den Nutzen
digitaler, intelligenter und vernetzter
Videokameras für öffentliche Verkehrsmittel. Wichtig sei dabei, dass Investitionen
in analoge Systeme nicht verloren seien –
mittels Encoder schafften Unternehmen den
Sprung von analoger zu digitaler Technologie. Gegenüber der Überwachung mit digitalen Kameras sei die forensische Nutzung im
Vergleich zu analogen Systemen wesentlich
erleichtert. Die Ermittler könnten die relevanten Stellen deutlich schneller finden. Und
die Bildqualität moderner HDTV-Kameras
sei um ein Vielfaches höher. Kameras mit
intelligenten Funktionen seien heute schon
in der Lage, eigenständig Echtzeitanalysen
des Videomaterials vorzunehmen. Habe
die Kamera eine ungewöhnliche Aktivität
bemerkt, könne sie nach einer sekundenschnellen algorithmischen Analyse entscheiden, wie auf den Vorfall reagiert werden soll.
Die vernetzten Kameras könnten anrückende Einsatzkräfte bis zu ihrem Eintreffen mit
Live-Bildern versorgen, die auf mobile Endgeräte übertragen werden. Für detailgetreue
Aufnahmen auch in Dunkelheit eigneten
sich Thermalkameras. Im Transportbereich
überwachten solche Kameras beispielsweise
Tunnels und schützten bei Nacht abgestellte
Busse und Waggons von Graffiti-Sprayern
und Metalldieben. Zusätzlich zu der Technologie, die direkt in den Kameras steckt, gebe
es die Möglichkeit, intelligente Applikationen
von Drittanbietern zu verwenden. Beispiele
seien hier die KFZ-Kennzeichenerkennung
oder spezielle Software für Kameras, die
Menschenmassen überwachen: Eine Applikation könne die Zahl der beobachteten
Personen bestimmen, eine andere Verhalten
erkennen, Objekte verfolgen und identifizieren. Als sehr nützlich habe sich eine Software für Manipulationsalarm erwiesen.
Nach Überzeugung des rheinland-pfälzischen Landesbeauftragten für den Datenschutz (LfDI) findet an Tankstellen eine
intensive und nahezu flächendeckende
Videoüberwachung statt (WiK, Ausgabe
2-2013). Nicht nur der Tankvorgang werde
überwacht, sondern auch die Shops. Damit
sei auch die Identifizierung der Kunden möglich, so dass für jede Tankstelle der Einsatz
eines Datenschutzbeauftragten notwendig
sei. Abgedruckt wird eine Checkliste über
Anforderungen des Datenschutzes und für
den Zugriff auf Daten (S. 51/52).
Überwachungskameras an öffentlichen
Plätzen überführen Straftäter, und zwar
mit Regelmäßigkeit, schreibt der Focus am
22. April 2013. Das hätten die Ermittlungen nach dem Bombenanschlag in Boston
beeindruckend vorgeführt. Trotzdem stoße
die Videoüberwachung hierzulande auf
erhebliche Kritik. Gewiss, die Gewaltausbrüche, die von Überwachungskameras
mitgeschnitten werden, seien geschehen.
Aber die elektronischen Zeugen hielten
die Vorfälle unbestechlich fest. Bei einem
Bandenüberfall lasse sich identifizieren, wer
welchen Schlag oder Tritt führte. Außerdem
wirkten die Kameras für den Schutz der
res publica präventiv: Je mehr sich nämlich
herumspreche, dass immer wieder Kriminelle anhand von Videobeweisen überführt
worden sind – und je mehr stille Beobachter
etwa auf Bahnhöfen und in Verkehrsmitteln
installiert werden, desto wahrscheinlicher
dürften es sich Gewalttäter in spe genau
überlegen, ob sie ihre Aggressionen nicht
besser auf andere Weise ausleben.
Auch der Behördenspiegel befasst sich in
seiner Januarausgabe mit Videoüberwachung auf Plätzen zum Schutz der Bürger.
Wie wirkungsvoll der Betrieb der Videoüberwachungsanlagen auf Plätzen sei, belegten die Zahlen aus Hessen. 2006 habe
die Zahl mit 3.976 registrierten Straftaten
255
256
noch deutlich höher gelegen. Insbesondere
in den Bereichen der klassischen Beschaffungskriminalität und der Rauschgiftkriminalität habe die Polizei mithilfe der Videoüberwachung sehr erfolgreich gearbeitet.
Zum Beispiel seien zum Zeitpunkt der
Inbetriebnahme der Videoüberwachungsanlage 2002 an der Konstablerwache in
Frankfurt noch 475 Straftaten registriert
worden, 2011 aber nur noch 196, ein Minus
von 58,7 %. Die hessische Landesregierung
unterstütze Kommunen, die Videoüberwachung im öffentlichen Raum planen. Eine
Arbeitsgruppe der Polizei habe dazu eine
„Handlungsempfehlung für die Errichtung
und den Betrieb von Videoüberwachungsanlagen im öffentlichen Raum“ erarbeitet.
Die Landesregierung stelle jährlich 300.000
Euro für die Förderung durch die Kommunen bereit. In Zusammenarbeit mit der
örtlich zuständigen Polizeidirektion bzw.
Polizeipräsidium und dem hessischen LKA
werde eine Kriminalitätsanalyse für die zu
überwachenden Örtlichkeiten erstellt sowie
im Rahmen einer Begehung vor Ort ein Beratungsbericht erarbeitet und gegebenenfalls ein Landeszuschuss von bis zu einem
Drittel der Errichtungskosten gewährt.
Einbruchschutz
„Intelligente Software und smarte Sensoren verwandeln schnurlose Videokameras
in billige Alarmanlagen“, titelt die Wirtschaftswoche am 11. November 2013. Die
Produktidee „Canary“ sei die „All-in-oneAlarmanlage“ für den Hausgebrauch. Das
System könne das normale Geschehen in
der Wohnung analysieren und dann erkennen, „ob später der Dackel durch den Flur
schleicht, während sein Herrchen arbeiten
ist, oder die Putzfrau wie stets Montagfrüh
die Wohnung aufräumt.“ Rührt sich aber ein
Dieb, schicke Canary einen Alarm auf Smartphone des Besitzers und auf dem Display
heimischen PC, per App vom Smartphone
oder quasi autonom. Und wer Haus oder
Wohnung verlässt, schalte die Technik entweder an der Kamera scharf oder per Befehl
übers Internet. Im Falle der Canary könne
der Nutzer sogar über eine Handy-App ei-
nen virtuellen Datenzaun errichten. Mithilfe
des sogenannten „Geofencing“ aktiviere
sich die Anlage dann automatisch, sobald
der Besitzer mit seinem Smartphone einen
vordefinierten Radius um sein Zuhause
verlässt. Die Kameras liefern Bilder in fernsehreifer Full-HD-Qualität mit 2 Megapixeln.
Die besseren Bilder benötigen aber auch
immer schnellere Datenverbindungen, wenn
die Aufnahmen im Netz gespeichert werden
sollen. Die Hersteller setzten auf andere
Aufnahme- und Speicherstrategien. Statt
permanent live ins Netz zu senden, aktivieren sich die meisten Kameras erst, wenn der
Bewegungssensor anspringt. „Dezentrale
Intelligenz“ heiße das in der Branche. Selbst
für den Störfall sei vorgesorgt: Bricht die
Internet-Verbindung ab, legten viele Kameras die Bilder auf einem internen Speicher
ab oder auf einer SD-Karte.
Videoüberwachung – Datenschutz
In der Fachzeitschrift Security insight (Ausgabe 5-2013, S. 22/23) erläutert Winfried
Holzapfel, AVT Alarm- und Video Technik
GmbH, wie mit innovativer Technik datenschutzrechtliche Anforderungen erfüllt
werden können. Eine wirklich sichere Lösung
beginne bei der Aufzeichnung, indem ein
intelligentes Video-Managementsystem
(VMS) zum Einsatz kommt, das in Echtzeitz unterscheiden kann, ob es sich bei der
Aufnahme um statische Räume handelt oder
um Personen. Idealerweise verfüge dieses
VMS über zusätzliche Algorithmen, die in
Echtzeit alle Personenbilder verschlüsselt
und die so geschützten Daten im öffentlich
zugänglichen Speicher ablegt. Bestehe
ein berechtigtes Interesse daran, einen
aufgezeichneten Vorgang in einem klaren
Video-Stream anzuzeigen, so könne über ein
mehrschichtiges Authentifizierungsverfahren der Rückverrechnungsvorgang gestartet
werden. Dabei sei darauf zu achten, dass
der Zugriff immer nur für eine klar begrenzte
Periode gilt und daher nur der betreffende
Zeitraum geöffnet und protokolliert wird.
Dem Verfahren der personenbezogenen
Verpixelung sei auf jeden Fall gegenüber der
Maskierung von Teilbereichen des Bildes der
Vorzug zu geben.
Videoüberwachung – Einzelthemen
3-2013, S. 55–59) behandelt Rechtsanwältin Petra Menge Haftungsrisiken des
Errichters einer Videoüberwachungsanlage
anhand von Beispielfällen.
In dem Protector-Special Videoüberwachung
vom September 2013 erläutert Rudolf Rohr,
Barox Kommunikation GmbH, das interaktive Strommanagement (S. 48/49). Es
sei ein generelles Anliegen der PoE (Power
over Ethernet)-Industrie, die vielen kleinen
Netzteile zu reduzieren mit dem Ziel, ein
intelligentes, interaktives Strommanagement
einzuführen, bei dem die Quelle mit der
Senke in einem ständigen Austausch stehe.
Praktisch alle neuen Kamerasysteme seien
mit PoE ausgestattet. PoE erlaube es, Kameras direkt über bestehende Koaxialkabel oder
neue UTP-Kabel mit PoE von bis zu einem
Kilometer zu speisen. Dies biete einen ganz
neuen Ansatz: Kameras könnten mit über
das Datenkabel autark versorgt werden.
Wenn in der Zentrale eine USV-Anlage mit
montiert werde, könnten Kameras auch bei
Stromausfall im Gebäude weiterlaufen.
Justin Schorn, Aimetis Corp., befasst sich in
der Zeitschrift WiK, Ausgabe 4-2013, mit
der Auswahl des Speichers für das Videomanagementsystem. Wichtige Faktoren
seien die Größe des Projekts, der Umfang
und die Skalierung der bestehenden Infrastruktur und das verfügbare IT-Budget. Die
Wahl bestehe zwischen einem StorageArea-Network (SAN) und einem Network
Attached Storage (NAS). Sowohl Block-
speicher als auch Dateispeicher ließen sich
in einer Video-Speicherlösung verwenden.
Die komfortableren NAS-Lösungen würden
dabei aber insbesondere durch ihr gewachsenes Leistungsvermögen zu einer attraktiveren Variante (S. 52/53).
Die Gesamtbetriebskosten für Videoprojekte thematisiert Protector in der Ausgabe
11-2013 (S. 30/31). Folgende Fragen
sollten für eine fundierte Einschätzung der
wahrscheinlichen Gesamtbetriebskosten
berücksichtigt werden: Bietet der Hersteller
eine kostenfreie Systemplanung an? Wie
lange dauert die Installation der spezifizierten Kameras oder anderer Geräte? Hat der
Hersteller einen Schätzungswert für die
Lebensdauer der Produkte gegeben? Wie
viel kostet die Wartung des Produkts? Kann
das Produkt aufgerüstet werden? Ist das
Produkt zukunftssicher ausgelegt? Stellt der
Hersteller lizenzfreie Videoverwaltungssoftware bereit? Hat der Hersteller Software von
unabhängigen Entwicklungsunternehmen
integriert? Was sind die geschätzten Energiekosten? Können die Kameras wechselnde
Beleuchtungsbedingungen handhaben?
WiK geht Buchzik, eurosec GmbH, der
Frage nach, worauf sich der Vorsprung der
USA in der Technik der Videoüberwachung
gründe. Er behandelt verschiedene Bildverbesserungsschritte: die Möglichkeit, verwackelte Aufnahmen so zu stabilisieren, dass
ein normaler Bildablauf gewährleistet ist;
durch Algorithmen Bilder, die durch Regen,
257
258
Schneefall oder Dunst beeinträchtigt sind,
„klar zu rechnen“; über eine Spotlight-Funktion einzelne Objekte in der Masse anderer
Bildinhalte in ihrem Bewegungsablauf zu
verfolgen; durch automatische Bildvergleiche „vorher-nachher“-Situationen darzustellen. Wenn – wie in Boston (Anschlag auf
die Marathon-Veranstaltung) – die Kameradichte ausreichend ist und die Videoanalyse
professionell betrieben wird, sei dies ein
hervorragendes Mittel zur anlassbezogenen
nachträglichen Aufklärung von Straftaten
(S. 12/13).
Die Koalition wolle die EU-Richtlinie zur Vorratsdatenspeicherung umsetzen, meldete
heise online am 26. November 2013. Ein
Zeitpunkt für dieses Vorhaben werde aber
nicht genannt. Genauso offen sei die vage
Formulierung, was mit Standortdaten aus
dem Mobilfunk erfolgen soll. Ein Zugriff auf
die gespeicherten Informationen solle nur
bei schweren Straftaten und nach Genehmigung durch einen Richter sowie zur Abwehr
akuter Gefahren für Leib und Leben erfolgen
können. Die Koalition wolle auf EU-Ebene
auf eine Verkürzung der Speicherfrist auf
drei Monate hinwirken.
Wertbehältnisse
Dipl.-Ing. Paulus Vorderwülbecke weist in
der Ausgabe 1-2013 der Fachzeitschrift s+s
report darauf hin, dass die VdS Richtlinien
2450 für Wertbehältnisse in der 7. aktualisierten Ausgabe erschienen sind (S. 44–47).
In der neuen Version vom 1. November
2012 werde eine aktuelle Überarbeitung
hinsichtlich verschiedener, zwischenzeitlich
normierter Anforderungen an die Wertbehältnisprüfung durchgeführt. Änderungen
ergäben sich bei der Zertifizierung der Sicherungseigenschaften gegen Gassprengungen. Interessant seien Modifikationen einiger
ausgewählter Produkteigenschaften zum
Schutz gegen spezielle Vorgehensweisen,
wie Angriffe mit Kernbohrwerkzeug. Ebenfalls neu beschrieben werden „kombinierte“
Angriffe, etwa die manuelle Nacharbeit nach
einem vorhergehenden Sprengangriff. Die
neuen Richtlinien können über den VdSWebshop (www.vds-shop.de) bezogen
werden.
Die EMA-Überwachung von Wertbehältnissen behandelt Dipl.-Wirtschaftsjurist(FH)
Sebastian Brose in der Ausgabe 2-2013 von
s+s report (S. 36–38). Ihre Einbeziehung
in die Überwachungsmaßnahmen der EMA
sei sinnvoll, werfe mitunter jedoch Fragen
auf. Das neue Merkblatt VdS 3171 biete
einen Überblick über die Zusammenhänge.
Es schaffe die notwendige Klarheit bei der
Lösung praktischer Fragestellungen und
könne unter www.vds.de/infothek-security
heruntergeladen werden.
Whistleblowing
Nach einer Meldung von heise online vom
6. November 2013 bleiben beim Schutz von
Whistelblowern die meisten EU-Länder hinter den internationalen Standards zurück.
Das ergebe ein Bericht, den Transparency
International in Berlin vorgestellt habe. So
gebe es in Deutschland und weiteren 15
Ländern nur einen eingeschränkten Schutz,
in sieben Ländern keinen oder nur sehr
geringen Schutz. Als Grund für diesen Rück-
stand führe der Bericht einen „komplexen
Mix aus politischen, sozialen, historischen
und anderen Faktoren“ auf. So seien Whistleblower mit negativen Stereotypen belastet
und würden als „Informanten“ oder „Verräter“
denunziert. Ein guter gesetzlicher Whistleblowerschutz müsse zwei Prinzipien er-
füllen: So müsse ein Mitarbeiter gegenüber
dem Arbeitgeber auf Missstände hinweisen
können, ohne vor arbeitsrechtlichen oder
anderen Folgen Angst haben zu müssen.
Falls dem Hinweis nicht nachgegangen wird,
müsse er auch zuständige Stellen außerhalb
des Unternehmens ansprechen können.
Wirtschaftskriminalität
Im Oktober 2013 hat das Bundeskriminalamt das Bundeslagebild Wirtschaftskriminalität (WiK) für das Jahr 2012 veröffentlicht. Es existiert keine Legaldefinition zur
Beschreibung der WiK. Die Polizei rechnet
dazu alle Straftaten, für die nach den Vorschriften des Gerichtsverfassungsgesetzes
die Wirtschaftsstrafkammer zuständig ist.
Berücksichtigt werden nur von der Polizei
ermittelte Straftaten.
2012 wurden in der Polizeilichen Kriminalstatistik (PKS) insgesamt 81.793 Fälle der WiK
registriert, knapp 3 % mehr als im Vorjahr. Die
Zahl liegt unter dem Mittelwert der letzten
fünf Jahre. Der Anteil der WiK an den insgesamt polizeilich bekannt gewordenen Straftaten betrug im Berichtsjahr 1,4 %, aber die
durch WK verursachten Schäden erreichten
etwa die Hälfte des durch die Gesamtkriminalität verursachten erfassbaren Schadens.
Gegenüber 2011 ist die WiK bei Betrugsfällen und speziell dem Abrechnungsbetrug im
Gesundheitswesen angestiegen, dagegen
bei Insolvenzdelikten, bei Anlage- und Finanzierungsdelikten, bei Betrug und Untreue
im Zusammenhang mit Kapitalanlagen und
bei Wettbewerbsdelikten gesunken.
Insgesamt wurden fast 35.000 Tatverdächtige registriert, rund 3 % weniger als 2011.
Der Anteil der nichtdeutschen Tatverdächtigen betrug 20 %, weniger als an der
Gesamtkriminalität (24 %).
Der registrierte materielle Gesamtschaden, der bei 80 % der Wirtschaftsdelikte
erfasst werden konnte, betrug 2012 ca.
3,75 Milliarden Euro. Er lag damit knapp
9 % unter der Vorjahressumme. Dabei ist
unstrittig, dass gerade die nicht erfassbaren
und quantifizierbaren immateriellen Schäden
wesentliche Faktoren für die Bewertung des
Schadenspotenzials sind, etwa
• W
ettbewerbsverzerrungen durch Wettbewerbsvorsprünge des Straftäters
• B
etroffenheit von Geschäftspartnern, die
an den Straftaten nicht beteiligt sind
• g
esundheitliche Schäden infolge von Verstößen gegen Lebens- und Arzneimittelrecht, gegen Arbeitsschutzrecht, Umweltstrafrecht und gegen Markenrechte
• Reputationsverluste
• V
erlust des Vertrauens in die Funktionsfähigkeit der Wirtschaftsordnung
Die Aufklärungsquote 2012 betrug 91 %
(Gesamtkriminalität: 54 %).
In 12 % der Fälle von WiK wurde 2012 das
Internet genutzt. Die Nutzung dieses Tatmittels ist damit gegenüber dem Vorjahr um 13
% gesunken. Dennoch sieht das Bundeskriminalamt im Hinblick auf die sich ständig weiter
entwickelnden technischen Tatgelegenheiten
keinen Indikator für eine Trendwende.
259
260
Wirtschaftskriminalität – Einzelne Deliktsbereiche
Anlage- und Finanzierungsdelikte sind gegenüber dem Vorjahr erneut zurückgegangen
(um 18 %) und erreichten den niedrigsten
Wert der letzten fünf Jahre. Der registrierte
Schaden sank um 38 %.
Zurückgegangen ist gegenüber 2011 auch
die Zahl der Fälle des Kapitalanlagebetrugs
(um 28 %). Damit sank der registrierte Schaden um 54 % auf 272 Millionen Euro.
Die Zahl der Arbeitsdelikte – fast ausschließlich Fälle des Vorenthaltens und Veruntreuens
von Arbeitsentgelt – ist mit 10.701 nahezu
gleich geblieben. Der erfasste Schaden
betrug 49 Millionen Euro (Anstieg um 7 %
gegenüber 2011).
zwei Jahren entdeckten kriminellen Handlungen seien auf Vermögensdelikte, Unterschlagung und Diebstahl entfallen, 10 % auf
Verstöße gegen Markenrechte und jeweils 6
% auf Korruptions- und Kartellfälle. Im Durchschnitt seien den befragten Unternehmen unmittelbare finanzielle Schäden von knapp 3,2
Millionen Euro entstanden. Mit Abstand die
höchsten Schäden hätten Wettbewerbsdelikte verursacht, mit durchschnittlich rund 20
Millionen Euro je betroffenem Unternehmen.
Die finanzielle Belastung durch Korruptionsfälle sei mit rund 530.000 Euro je Schadensfall deutlich geringer gewesen.
Der in der WiK erfasste Abrechnungsbetrug
im Gesundheitswesen ist 2012 gegenüber
dem Vorjahr um 52 % angestiegen (4.379
Fälle). Der registrierte Schaden stieg auf rund
64 Millionen Euro. Das ist gegenüber 2011
ein Anstieg um 102 %.
Ein SPD-Antrag zur Bekämpfung der
Wirtschaftskriminalität (17/13087)
stoße bei der Koalition auf Kritik, meldet die
Wochenzeitung DAS PARLAMENT am 22.
April 2013. In der Bevölkerung mache sich
der Eindruck breit, „die Kleinen hängt man
und die Großen lässt man laufen“, sagte
Christine Lambrecht (SPD). Neben dem
wirtschaftlichen Schaden entstehe durch
die Wirtschaftskriminalität auch ein Vertrauensschaden. Um dagegen vorzugehen,
schlage ihre Fraktion ein Maßnahmenbündel
vor. Dazu gehöre unter anderem der Schutz
von Hinweisgebern sowie ein bundesweites
Korruptionsregister. Unbedingt geschlossen
werden müsse auch die Strafbarkeitslücke für
niedergelassene Ärzte, die Prämien der Pharmaindustrie für die Verschreibung bestimmter Medikamenten empfangen könnten, ohne
sanktioniert zu werden. Demgegenüber habe
Ansgar Heveling (CDU) gesagt, in dem Papier
finde sich nichts, was nicht schon ausdiskutiert sei oder derzeit angepackt werde.
Über eine Studie von PriceWaterhousCoopers (PwC) zur Wirtschaftskriminalität
und Unternehmenskultur 2013 (www.pwc.
de/wirtschaftskriminalitaet) berichtet die
Fachzeitschrift WiK in der Ausgabe 6-2013
(S. 11). Befragt worden seien deutschlandweit 603 Unternehmen mit mindestens 500
Beschäftigten. 34 % der in den vergangenen
Um Delikte wie Korruption und Wirtschaftskriminalität wirksamer zu bekämpfen, sei am
14. Juni 2013 das „Netzwerk Standortsicherheit Hamburg“ gegründet worden,
meldet der Sicherheitsdienst DSD in der
Ausgabe 3-2013 (S. 26/27). Es solle die
Unternehmen der Hansestadt besser schützen. In der neuen Struktur würden künftig
Seit dem Jahr 2008 ist die Zahl der Wettbewerbsdelikte stetig zurückgegangen. 2012
wurden 2.409 Wettbewerbsdelikte registriert (8 % weniger als 2011). Der erfassbare
Schaden ging um 62 % auf 15 Millionen Euro
zurück.
Obwohl auch die Insolvenzdelikte (entsprechend dem Rückgang der Unternehmensinsolvenzen um 6 %) gegenüber dem Vorjahr
rückläufig waren (um 7 % auf 11.518 Fälle),
lag der registrierte Schaden mit ca. 1,87 Milliarden Euro um rund 22 % höher als 2011.
sämtliche Aktivitäten zur Verbesserung der
Standortsicherheit für die Hamburger Wirtschaft gebündelt. Folgende neun Themenfelder sollen in Form von Expertenkreisen,
Informationsveranstaltungen und gemeinsamen Projekten besonders herausgestellt
werden: Wirtschaftskriminalität und Korruption, Wirtschaftsspionage, IT-Sicherheit und
Cybercrime, Sicherheitswirtschaft, Kritische
Infrastrukturen, Sport und Veranstaltungen,
Qualifizierung und Bildung, Prävention sowie
lokale Kooperationen. Die Geschäftsstelle
des Netzwerkes fungiere für die Hamburger
Wirtschaft als „Single Point of Contact“ für alle
Fragen rund um die Unternehmenssicherheit
und bei der Kontaktaufnahme zu den Sicherheitsbehörden. Es werde künftig auch einen
„Perspektivwechsel“ geben, der Führungs-
kräften aus der Wirtschaft Gelegenheit gibt,
hinter die Kulissen der Arbeit der Sicherheitsbehörden zu blicken. Andersherum würden
Führungskräfte der Polizei bei Hamburger
Unternehmen hospitieren. Der bundesweit
einmalige Studiengang „Sicherheitsmanagement“ habe mit der NBS Northern Business
School eine neue Trägerhochschule für den
privaten Studiengang gefunden. Er werde im
Oktober 2013 neu starten, mit ausdrücklicher Unterstützung der Hamburger Polizei.
Schließlich werde im künftigen Netzwerk
auch der Gedanke der Verbrechensprävention eine stärkere Rolle spielen. Für einzelne
Branchen wie den Einzelhandel und den
Wohnungsbau sollen in Zusammenarbeit von
Verbänden mit dem LKA spezielle Präventionsangebote entwickelt werden.
Wissenschaftssicherheit
Security insight (S. 28–30) befasst sich Prof.
Dr. Alexander Huber mit dem Informationsschutz im deutschen Wissenschaftsbetrieb. Dieser sei hinsichtlich der Informationsschutz-Rahmenbedingungen strukturell
komplexer als der Unternehmensbetrieb.
Das Dilemma beruhe auf der Interdependenz
von Forschungsfreiheit, notwendiger und
auch gewollter Offenheit sowie dem Schutz
ausgewählter Erkenntnisse. Ziel müsse
es sein, eine gesunde Balance zwischen
diesen Einzelinteressen zu schaffen. Die
Heterogenität der Systeme und Endgeräte
des Hochschulnetzes führe dazu, dass eine
Security-Policy nicht durchsetzbar ist. Der
Wissenschaftsbetrieb sei praktisch lückenlos
über das „Deutsche Forschungsnetz“ (DFN)
miteinander verbunden. Schulungen oder
Awareness-Kampagnen seien für die im Wissenschaftsbetrieb Beschäftigten die Ausnahme. Durch die stark fragmentierte Forschung
sei die systematische Identifikation schützenswerten Know-hows schwierig.
Zahlungskartenkriminalität
Das vom BKA veröffentlichte Bundeslagebild Zahlungskartenkriminalität erstreckt
sich ausschließlich auf Debit- und Kreditkarten. Das BKA schätzt, dass in Deutschland
über 130 Millionen Zahlungskarten ausgegeben wurden, davon rund drei Viertel
Debitkarten. Ein Großteil der Straftaten wird
nicht angezeigt, da der Schaden des Betroffenen in der Regel durch die Geldinstitute
und Kreditkartenorganisationen erstattet
wird. Die Informationspolitik dieser Organi-
sationen hinsichtlich der erlittenen Verluste
und Missbrauchsumsätze wird vom BKA als
sehr restriktiv bezeichnet.
Mit gefälschten Karten bieten sich den
Tätern bessere Einsatzmöglichkeiten als mit
gestohlenen, da Letztere gesperrt werden,
sobald der Diebstahl bemerkt wird. Der
Einsatz gefälschter Debitkarten deutscher
Emittenten kann allerdings aufgrund besonderer technischer Sicherheitsvorkehrungen
261
262
nicht an inländischen Geldautomaten (GA)
erfolgen. Seit 2011 ist es zudem den Tätern
nicht mehr möglich, gefälschte Debitkarten
im europäischen „SEPA-Raum“ einzusetzen,
da innereuropäisch – mit Ausnahme Russlands – die Abrechnung ausschließlich über
den Chip und nicht mehr über den Magnetstreifen erfolgt.
Zahlungskartenkriminalität – Skimming
2012 wurde in Deutschland mit insgesamt
856 Angriffen auf GA erneut ein Rückgang
der Skimming-Straftaten um rund 34 %
registriert. Die Zahl liegt um 56 % unter dem
Mittelwert der letzten fünf Jahre. Bedingt
durch Mehrfachangriffe waren 2012 bundesweit 505 GA betroffen (2011: 784). Insbesondere GA in stark frequentierten Bereichen
werden oft mehrfach manipuliert. Die Modi
Operandi zur Erlangung der PIN/Geheimzahl
sind im Wesentlichen unverändert: Verwendung von Vorbaugeräten zur Auslesen der
Kartendaten, versteckte Mini-Kameras oder
alternativ Tastaturattrappen unmittelbar auf
der Originaltastatur.
In mindestens 77 Fällen wurden 2012
Kassenterminals (PoS-Terminals) manipuliert. Hiervon haben die Täter in 50 Fällen
erfolgreich die Kartendaten und PIN ausgespäht. Das ist gegenüber 2011 ein Anstieg
um 257 %. 2012 stand die Sperrung von
rund 20.000 Zahlungskarten durch deutsche
Banken und Sparkassen im Zusammenhang
mit der Manipulation von PoS-Terminals. Bei
der Manipulation wurden unterschiedliche
Vorgehensweisen festgestellt: Die Täter
erlangen Zugriff auf die PoS-Terminals durch
Einbruch oder Verbleiben im Objekt nach Geschäftsschluss. Die Geräte werden außerhalb
des Geschäfts manipuliert und noch in der
gleichen Nacht wieder im Kassenbereich deponiert. Oder die Täter ersetzen die PoS-Terminals nach Ablenkung des Personals gegen
einen Dummy. Nach der Manipulation werden
die Geräte wieder im Kassenbereich platziert.
Die elektronischen Bauteile zum Auslesen
und Abspeichern von Magnetstreifendaten
und PIN werden entweder im PoS-Terminal
selbst installiert oder befinden sich in einer
„Haube“, die auf das Originalgerät aufgesetzt
wird. Die Veränderungen am oder im Gerät sind bei beiden Varianten äußerlich nur
schwer erkennbar. Der Datenabgriff erfolgt
zum Teil über mehrere Wochen mit mehreren
Hundert oder Tausend betroffenen Kunden.
Die Schadenssumme allein aus PoS-Terminalmanipulationen belief sich 2012 auf etwa 10
Millionen Euro. Durch die Übermittlung von
Warnhinweisen und Präventionsempfehlungen sowie durch die Umsetzung spezifischer
Maßnahmen sollen die potenziell betroffenen
Unternehmen in die Lage versetzt werden,
PoS-Terminalmanipulationen zu erschweren
bzw. leichter erkennen zu können.
Im Ausland wurden 2012 bei Manipulationen von insgesamt 830 GA und PoSTerminals deutsche Kartendaten abgegriffen.
Am häufigsten ausgespäht wurden deutsche
Kartendaten in der Türkei (152), in Frankreich
(137) und in Italien (102). Seit 2011 werden
Transaktionen mit Debitkarten im „SEPARaum“ nur noch über den Chip autorisiert.
Der Einsatz auf Magnetstreifenbasis funktionierender „White Plastics“ wird daher in
„Nichtchip-Länder“ verlagert (USA, Mexiko,
Dominikanische Republik, Kolumbien, Peru,
Brasilien, Argentinien, Thailand, Japan).
Zahlungskartenkriminalität – Tatverdächtige
Die Tatverdächtigen bei der Manipulation
von inländischen GA stammen fast aus-
schließlich aus Südosteuropa. Es dominieren
rumänische vor bulgarischen Staatsangehö-
rigen. Sie agieren in kleinen Gruppen und
halten sich zum Abgriff auf Kartendaten
meist nur relativ kurze Zeit an unterschiedlichen Orten in Deutschland auf. Nach bis-
herigen Erfahrungswerten liegen zwischen
dem Datenabgriff und dem betrügerischen
Einsatz im Ausland meist nur ein oder
zwei Tage.
Zigarettenschmuggel
Nach einer im Auftrag des Tabakkonzerns
Philip Morris von der Beratungsgesellschaft
KPMG durchgeführten Studie soll der Zigarettenschmuggel von 8,4 auf 11,1 % gestiegen
sein, berichtet die FAZ am 17. Juni – ein
Anstieg um rund 30 %. EU-Betrugsbekämpfungskommissar Algirdas Semeta beziffere
die den EU-Staaten durch Schmuggel und
Fälschung von Tabakwaren jährlich entgangenen Steuereinnahmen auf 10 Milliarden
Euro. Sorgen bereite ihm die zunehmende
gesetzwidrige Herstellung von Zigaretten.
So seien 2011 in der EU neun Fabriken mit
einer täglichen Fertigungskapazität von
mehr als neun Millionen Zigaretten entdeckt
worden. Positiv bewerte die Kommission
dagegen die zwischen 2004 und 2010 mit
vier führenden Tabakkonzernen geschlossenen Kooperationsabkommen. Die Vereinbarungen zur Rückverfolgung der Zigaretten
zu mehr Sorgfalt im Umgang mit Kunden
sowie zur Verhütung von Geldwäsche hätten
einen erheblichen Rückgang des Schmuggels bewirkt. Vermehrt wolle die Kommission potentielle Käufer für die Probleme des
Zigarettenschmuggels sensibilisieren. Das
Betrugsbekämpfungsamt Olaf verwalte ein
mit fast 19 Millionen Euro im Zeitraum 2007
bis 2013 dotiertes EU-Programm (Hercule II), das nicht zuletzt der Bekämpfung des
Schmuggels und des illegalen Handels mit
Zigaretten diene.
Zoll
Die Generaldirektion des französischen Zolls
habe eingeräumt, dass alle elektronischen
Geräte bei einer Kontrolle an der Grenze
durchsucht werden können, meldet heise
online am 6. Mai 2013. Das sei nach Artikel
60 des Zollgesetzes möglich. Zollbeamte
dürften demnach „Güter, Transportmittel und
Personentransporter“ inspizieren. Handys und
Laptops fielen darunter. Dabei müssten keine
Verdachtsmomente für eine Straftat vorliegen. Durchsuchungen von Laptops an der
Grenze seien bislang vor allem aus den USA
bekannt. Die Erlaubnis dazu habe aber ein
Bundesgericht im März eingeschränkt auf das
Vorliegen „ausreichender Verdachtsgründe“.
Zutrittskontrolle – Zutrittssystem und -management
Mit dem bedarfsgerechten Zutrittsmanagement befasst sich Klaus Wössner,
Isgus GmbH in der Ausgabe 2-2013 von
W&S (S. 38/39). Eine Zutrittskontrolle mit
modernen Lesern für sichere Ausweis- und
Transponderverfahren und biometrische
Identifikation stelle die Grundausstattung
dar. Sie werde durch digitale Schließzylinder
und Beschlagsleser ergänzt, die es inner-
halb eines Systems erlauben, neben den
klassisch verkabelten Zutrittslesern, Zutritte
auch offline exakt zu steuern und zentral zu
verwalten. Über die Flexibilität und Anwendungsfreundlichkeit, die vor allem bei häufig
wechselnden Zutrittsrechten und hohen Personenzahlen eine gewichtige Rolle spielen,
entscheide die eingesetzte Software und
deren Integrationsfähigkeit in bestehende
263
264
Systemumgebungen. Rollenbasierte Nutzungsrechte, das Vererbungsprinzip bei der
Rechtevergabe und ein durchgängiges und
klares Bedienkonzept sorgten dafür, dass die
Bedienung einfach und übersichtlich bliebe
und eine Besucherverwaltung auch von
wechselnden Wachdiensten bedient werden
könne. Wenn das Zutrittsmanagement auch
mit einer leistungsfähigen Zeiterfassung,
einer Personaleinsatzplanung oder Betriebs-/Maschinendatenerfassung kombiniert
werden könne, entstehe eine leistungsfähige
unternehmensweite Lösung mit einer zentralen Datenhaltung und einem durchgängigen Bedienkonzept.
Dipl. EL.-Ing. ETH Marco Hauri, Bixi Systems
AG, fokussiert seinen Beitrag im K-Special
Sicherheitsforum vom Juni 2013 auf
Kundenerwartungen zur Ausgestaltung der
Zutrittskontrollsoftware. Die Erwartung
richte sich auf eine Systemarchitektur, die
von den kontinuierlichen Verbesserungen
bezüglich Datenverarbeitungskapazität
profitierten kann, sich einfüge in moderne ITSicherheitsarchitekturen und skalierbar sei.
Ein Kernthema sei die visuelle Unterstützung
durch spezifisch angereicherte Gebäudepläne. Weiter werde von der Software erwartet,
dass sie mandantenfähig ist und Einschränkungen auf Daten konfiguriert werden
können (S. 31–33). Marcel Imhof, batishield
ag, behandelt Aspekte der Sicherheit des
Zutrittskontrollsystems. Es komme heute
noch zu oft vor, dass zwischen dem Zutrittskontrollsystem und der mechanischen oder
mechatronischen Schließanlage ein Graubereich bzw. eine zum Teil erhebliche Sicherheitslücke bestehe. Der Autor geht auf die
Risikoanalyse, das Sicherheitskonzept, die
Evaluation des Zutrittskontrollsystems und
die Regelung der Schnittstellen, auf Service
und Unterhalt, das Audit, die Inkonsistenz in
der Medienverwaltung sowie auf die Schnittstellenproblematik zwischen Human Ressources und Schlüsselverwaltung ein. Mögliche Lösungen seien: periodische Prüfung,
ob alle Schlüssel mit hohen Berechtigungen
vorhanden sind, kontrollierte Rückführung,
Vernichtung unnötiger Pässe, Prüfung, ob
bei Personalmutationen die Zutrittsrechte
angepasst werden müssen, Prüfung der
Inkonsistenz, Einsatz von Schlüsseldepots
und Outsourcing der Medienverwaltung an
ein spezialisiertes und zertifiziertes Unternehmen (S.34–37).
Auch die Fachzeitschrift PROTECTOR hat
im Juni ein Special Zutrittskontrolle veröffentlicht: Knut Conrads, Integid GmbH,
und Volker Kraiss, Kraiss & Wilke Security
Consult GmbH, behandeln Anforderungen
an ein zeitgemäßes Ausweis- und Berechtigungsmanagement (S. 32–35). Ein
modernes, zukunftsorientiertes und hochskalierbares Ausweis- und Berechtigungsmanagement müsse sich hocheffektiv in die unternehmensspezifischen Prozesse einfügen
und hinsichtlich zukünftiger Anforderungen
flexibel wirksam sein. Es müsse den gesamten Lebenszyklus eines Ausweises abbilden
und mit einem hohen Grad an Wertschöpfung
als systemübergreifende, neutrale, revisionsund rechtssichere Managementebene wirken.
Bei Lösungen nach dem Adaptable Branch
Solutions (ABS)-Prinzip bilde eine breit angelegte und modulare Standardsoftware alle
wesentlichen Leistungsmerkmale ab. Darauf
aufbauend würden spezielle branchenspezifische Module entwickelt, die wiederum
kundenspezifisch angepasst werden können.
Durch diese dreistufige Architektur könnten
sehr leistungsfähige und hochindividuelle
branchenspezifische Lösungen schnell und
effizient realisiert werden. Als hilfreiche Indikatoren für die Einführung eines übergeordneten Ausweis- und Berechtigungsmanagementsystems werden genannt: Migration
eines oder mehrerer Zutrittskontrollsysteme,
Einführung eines neuen Ausweises oder
einer neuen Chiptechnologie, systemübergreifendes Management unterschiedlicher
Zutrittskontrollsysteme, standortübergreifende Organisation der Ausweisverwaltung, Auflösung einer Fabrikats-/Systemeinbindung,
Berücksichtigung komplexer unternehmensspezifischer Prozesse, Kostenreduzierung für
bestehende Verfahren.
Matthias Fuchs, FSB Franz Schneider Brakel
GmbH+Co KG, erläutert in der Ausgabe 112013 der Fachzeitschrift GIT (S. 60/61) die
Philosophie seines Zutrittskonzepts:
-Flexibilität, gepaart mit gleichzeitigen
Kontrollmöglichkeiten; - Fehlervermeidungsstrategien: Der annähernd 100%ige
und softwareseitig gestützte Ausschluss
von menschlich bedingten Fehlern oder
Unzulänglichkeiten bei der Absicherung
von Gebäuden oder Prozessen innerhalb
eines Gebäudes
-Investitionssicherheit unter dem Aspekt
„Schlüsselverlust“, aber auch unter dem
Aspekt Erweiterbarkeit oder gar Skalierbarkeit eines Systems und als zukunftssi-
chere Basis in Form einer auf lange Sicht
tragfähigen Chiptechnologie.
Der Sicherheits-Berater befasst sich in der
Ausgabe 14/15-2013 (S. 221/222) mit
dem Secure Open Supervised Device
Protocol (OSDP) für die Zutrittskontrolle.
Es sei für die Kommunikation zwischen
Leser und Controller entwickelt worden. Die
Zwei-Wege-Kommunikation zwischen Leser
und Controller geschehe mithilfe von OSDP
erstmals verschlüsselt. Als Verschlüsselungsalgorithmus werde hierbei der bekannte Advanced Encryption Standard AES-128
genutzt. Der Sicherheits-Berater empfiehlt,
OSDP als Anforderung in die Ausschreibung
von Zutrittskontrollsystemen aufzunehmen.
Zutrittskontrolle – Cloud-Anwendung
Ulrich Sobers, Redaktion WiK (Ausgabe
5-2013, S. 65/66) empfiehlt die Zutrittskontrolle via Cloud als kostengünstig und
komfortabel. Für Unternehmen, die das Ausspähungsrisiko als gering einstufen, bedeute
eine externe Lösung für Zeit oder Zutritt
keine Erhöhung der Sicherheitsgefährdung.
Zudem könne durch vergleichsweise einfache Maßnahmen ein Mehr an Sicherheit für
die Zutrittskontrolle erreicht werden, etwa
durch ein Splitting bei der Datenhaltung.
Kostengünstig sei vor allem die Nutzung einer public Cloud. Für Störfälle wie ein Stromausfall im Objekt oder eine Kabelstörung im
Netzwerk müssten die Komponenten vor Ort
stand alone-fähig sein. Für die Zutrittskontrolle müssten an den Türen oder zumindest
bei den nachgelagerten Steuereinheiten
auch hardwareseitig Voraussetzungen für
den Zugang zum Web bereitgestellt werden.
Und auch in der Fachzeitschrift SICHERHEITSFORUM (Ausgabe 5-2013, S. 133–
135) wirft Ulrich Sobers einen Blick auf die
aktuelle Situation der Cloud-Anwendung
auf die Zutrittskontrolle. Während im
Zeiterfassungsmarkt die Cloud-Lösung
längst etabliert sei, stehe das Thema für
die Zutrittskontrolle noch am Anfang. Hier
müssten an den Türen oder zumindest bei
den nachgelagerten Steuereinheiten auch
hardwareseitig Voraussetzungen für den
Zugang zum Web bereitgestellt werden. Das
sei technologisch sicherlich nicht besonders
schwierig, doch für den Markterfolg sei mindestens ebenso wichtig, dass das dahinter
liegende Konzept nicht nur komfortabel und
preisgünstig ist, sondern auch die Sicherheitsaspekte berücksichtigt werden.
Zutrittskontrolle – Ausweistechnologie
Ulrich Sobers von der Redaktion der WiK
(Ausgabe 1-2013, S. 38–40) untersucht
Ausweistechnologien nach den Kriterien
Sicherheit gegen Fälschung, Kryptographiemöglichkeit, aufbringbare Datenmenge,
frei programmierbare Speicher, Wider-
265
266
standsfähigkeit gegen Umwelteinflüsse,
Verschleißfestigkeit der Medien und Kosten bei folgenden Ausweistypen: induktiv
arbeitende Ausweise, „Wiegand codierte“
Ausweise, per Infrarotlicht lesbare Ausweise, kontaktbehaftete Chipkarten, Karten mit
Barcodes, Magnetstreifenkarten und Karten
mit RFID-Element. Letztere schneiden nach
den genannten Kriterien insgesamt am
besten ab, Karten mit Barcodes am schlechtesten. Systeme sollten, so wie sie beschafft
werden, in das konkrete betriebliche Umfeld
eingebaut werden können. Eine Auftragsvergabe sollte erst erfolgen, wenn das Konzept
steht. Der Autor befasst sich in derselben
Ausgabe mit der digitalen Eingangszonentechnik (S. 57–59). Zur Gegensprechanlage
kämen immer häufiger auch Videotechnik
und Zutrittskontrolle. Dadurch würden zwei
betriebliche Prozesse besonders positiv
beeinflusst: Videosprechstellen ermöglichten durch Bildübertragung zusätzlich zur
Stimme eine optische Identifikation des
Einlasssuchenden und die Einbindung eines
Zutrittskontrolllesers in eine Klingelanlage
ermögliche ohne Interaktion mit anderen
Mitarbeitern, dass dauernd oder zeitweise
Zutrittsberechtigte das Gebäude betreten
können. Für die Ausstattung der Türstationen stehe eine breite Palette zur Verfügung: hochauflösende 360 Grad-Kameras,
Proximity Module für die Zugangskontrolle,
PIN-Code-Tastaturen für die Personenauthentifizierung und biometrisch arbeitende
Module wie Fingerprint oder Iris-Scanner.
Der Wandel bei Identitätsausweisen weg
vom Magnetstreifen hin zu Smartcards
sei unumstritten, schreibt Protector in der
Ausgabe (10-2013, S. 30/31). Die Vorteile der smarten Lösung sprächen vielfach
für sich, weil personalisierte Daten wie
PIN und PUK eingebracht werden können.
Außerdem sei sie multifunktional einsetzbar
durch die Integration von Bezahl-, Signier-,
Verschlüsselungs- und Ausweisfunktion für
die Zutrittskontrolle sowie PC-Anmeldung
auf nur einer Karte. Die Vorteile beschreibt
Protector näher an dem Zutrittskontrollsystem der Norwegischen Post mit der iClassSE
Zutrittskontrollplattform von HID Global,
die auf einer offenen Umgebung mit Secure
Identity Objects basiere – einer neuen portablen Ausweismethodik. Die Lesegeräte seien
im Innen- wie im Außenbereich vandalismusresistent.
Zutrittskontrolle – Smartphone/Near Field Communication
Werner Störmer, PCS, zeigt in der Fachzeitschrift GIT (Ausgabe 12-2012, S. 56–58)
Möglichkeiten und Randbedingungen des
Smartphone-Einsatzes zur Zutrittskontrolle
auf NFC-Basis auf. Die NFC-Technik werde
für viele betriebliche, kartengesteuerte Anwendungen wie die Personenidentifikation,
Zutrittskontrolle und Zeiterfassung genutzt.
Wichtigster Unterschied zur RFID-Technik
sei, dass NFC-Chips sowohl senden als auch
empfangen können, während RFID-Chips
nur passiver Gegenpart des aktiven Lesegeräts sind. Für betriebliche Anwendungen
seien jedoch viele Einflussfaktoren zu beachten: Nicht alle Mitarbeiter verfügen über
NFC-fähige Firmenhandys, der Austausch
personenbezogener Daten sei mitbestim-
mungspflichtig und zusätzlich seien mögliche Kompatibilitätsprobleme zwischen den
Systemkomponenten zu berücksichtigen.
Zutrittskontrolle mittels Smartphone ist
ein Thema im Sicherheits-Berater (Ausgabe
5-2013, S. 77/78). Zutrittsberechtigungen,
die bisher auf der Chipkarte mehr oder
weniger fest hinterlegt waren, könnten nun
jederzeit auf das Smartphone mit integrierter NFC-Hardware (Chip) übertragen
werden. Über die Berechtigungsverwaltung
sei es möglich, Zutrittsrechte zeitlich zu
begrenzen, neu zu erteilen oder erteilte Berechtigungen zu widerrufen. Zusätzlich sei
die Weitergabe einer Zutrittsberechtigung
an einen anderen Nutzer per QR-Code über
eine App möglich. Die Ablage der digitalen
Token erfolge entweder auf einem besonders gesicherten Krypto-Chip (Smartcard)
oder in einer softwarebasierten, mehrschichtigen Sicherheitsarchitektur im Smartphone.
NFC in der Zutrittskontrolle thematisiert
auch die WiK in ihrer Ausgabe 1-2013
(S. 49/50). Es werde davon ausgegangen,
dass der Marktanteil NFC-fähiger Mobiltelefone weltweit von 6 % im Jahr 2012 auf
ca. 30 % bis 2015 steige. Lösungsvarianten
für die NFC-Komponenten seien im Gerät
integrierte Chips (embedded NFC), eine
SIM-Card-basierte NFC-Komponente oder
eine zusätzliche microSD im Speicher-Slot.
Sicherheit bei der Zutrittskontrolle könne
von einem NFC-Chip allein nicht realisiert
werden. Sichere Lösungen innerhalb von
NFC-Anwendungen griffen deshalb auf
das im NFC-System vorgesehene Secure
Element zurück. Dasselbe Thema wird in
der Ausgabe 3-2013 der Fachzeitschrift GIT
erneut von Werner Störmer, PCS Systemtechnik GmbH, behandelt (S. 70–72). Das
NFC-fähige Smartphone nur als mobiles Administrations-/Parametrier-Gerät zu nutzen,
sei eine sehr kostengünstige und insbesondere für Filialbetriebe geeignete Zutrittskontrolllösung. Insgesamt aber seien viele
Fragen noch nicht beantwortet, z.B. bei der
Sicherheit, dem Datenschutz, der Akzeptanz
von betrieblichen NFC-ZK-Lösungen und
ob dazu private oder Firmenhandys genutzt
werden können. Aus heutiger Sicht dürfte
nach Ansicht des Autors der Einsatzbereich
von NFC-Smartphones zur Zutrittskontrolle
nur für Nischenlösungen geeignet sein, als
Ergänzung zu der Vielfalt der aktuellen ZKMöglichkeiten.
Mit NFC in der Zutrittskontrolle befasst sich
auch Manfred Klostermeier, Interflex Datensysteme GmbH & Co. KG, in SecuPedia
am 6. November 2013. Das Einsatzgebiet
der Near Field Communication-Technik
werde immer vielfältiger. Aktuell biete der
Markt rund 60 Mobiltelefone mit NFC-Unterstützung und weitere sollen in nächster Zeit
hinzukommen. Der Unterschied zwischen
bekannter Funktechnologie und NFC sei,
dass NFC einen viel kleineren Wirkungsbereich hat, während Funk in einer Entfernung
von einigen Metern verwendet werden kann.
Die physische Nähe erhöhe die Sicherheit
der Datenübertragung: Ein Smartphone mit
entsprechender App und einem SecureElement, das auf einen passenden Ausweisleser trifft. Die Rechte würden dann über
einen Workflow erteilt oder entzogen und
dann über den Mobilfunkbetreiber vorab in
das Handy geladen. Beim anschließenden
Präsentieren des Handys würden die Daten
vom Ausweisleser auf Korrektheit geprüft.
Vor allem für die Besucherverwaltung berge
die NFC-Technologie Potenziale, werfe aber
auch Fragen auf. Sollten Zugangsdaten für
den Zutritt auf Smartphones übertragen
werden , bevor der Besucher sich im Gebäude registriert hat? Denkbar sei beispielsweise eine Zusendung der Zutrittsdaten bereits
über das Internet, nachdem der Termin über
einen Kalendereintrag vereinbart wurde.
Zutrittskontrolle – Integrierte Systeme
In der Fachzeitschrift Sicherheitsforum (Ausgabe Dezember 2012, S. 28–30) untersuchen Giovanni Scinta und Roland Hunkeler,
Siemens Schweiz AG, Möglichkeiten und
Vorteile der Integration von Zutrittskontrolle und Einbruchmeldesystem. Zu
den Vorteilen eines kombinierten Systems
zählten einfachere Bedienung und höherer
Benutzerkomfort. Die Integration könne
auch operative Vorteile mit sich bringen.
Einem Benutzer, der bei deaktiviertem Einbruchmeldesystem Zugang zum Gebäude
hat, könne bei aktiviertem System leicht der
Zutritt verweigert werden. Auch von der Administration her böten kombinierte Systeme
Vorteile. Die Einrichtung kombinierter Systeme könne aber komplizierter sein als bei
getrennten Systemen. Das Integrationsni-
267
268
veau variiere oft, und es bedürfe sorgfältiger
Planung, um die gewünschte Funktionalität
zu erzielen.
Jeremy Kimber, Honeywell Security Group,
beschreibt im ZK-Special Sicherheitsforum
vom Juni 2013 Vorteile integrierter Systeme (S. 38/39). Bei Sicherheitssystemen
bedeute Integration weitaus mehr als nur
eine reine „Verbindung“ mehrerer Produkte.
Integrierte Lösungen vereinten Zugangskontrolle, Besucherverwaltung sowie Einbruchmelde- und Videosysteme und stellten als
ein einheitliches Sicherheitsmanagementsystem einen reibungslosen Betrieb sicher.
Aufgrund der Kombination von verschiedenen Datenströmen könne das Sicherheitspersonal mit einem breiter angelegten
Bild hinsichtlich Unternehmenssicherheit
und Schutzebenen versorgt werden. Dank
der Förderung von Kompatibilitätsrechten
über den gesamten Industriezweig hinweg
könnten kleinere Kunden die Vorteile von
integrierten und interoperablen Systemen
in Anspruch nehmen. Hersteller böten auch
Zugangskontrollen mit einer erweiterten
Videofunktionalität an. Eine der großen
Vorteile des integrierten Ansatzes liege in
den kontrollierbar auszuführenden Schritten
(modularer Ansatz).
Auch Protector stellt in seiner Ausgabe
9/13 (S. 22/23) ein System vor, in das die
Funktionen der Einbruchmeldung und der
Zutrittskontrolle integriert sind. Die neue
IP-gestützte, digitale Audio- und VideoAlarmverifikation bedeute eine erhebliche
Effizienzsteigerung in der NSL, da Falschalarme aufgrund falscher Benutzeraktivierungen praktisch auf null reduziert würden.
Mit der App „SPCanywhere“ lasse sich das
Einbruchmeldesystem SPC von Siemens
von jedem Ort aus kontrollieren und steuern.
Eingebunden in den Remote-MaintenanceServer könne das Einbruchmeldesystem
vollautomatisiert alle Anlagen und deren
Zustand analysieren. Die Software SPC
Manager eigne sich für Firmen mit einem
oder mehreren Standorten wie für kleinere
Büros, Geschäfte, Einzelhandelsketten oder
Banken. Der SPC Manager verwalte bis
zu eintausend SPC-Zentralen, die sich an
beliebigen Orten weltweit befinden können. In derselben Ausgabe wird an einem
Beispiel gezeigt, dass Zutrittskontrollanlagen
so gestaltet werden können, dass sie mit
der Architektur harmonieren. Drehsperren,
berührungsfreie Sensorschleusen oder Open
Gate-Sperren ließen sich mit unterschiedlichen Materialien und Oberflächengestaltungen in die Architektur einfügen. Seit
Erfindung der asymmetrischen ZweiarmDrehsperre könne ohne optische Beeinträchtigung jede einzelne Sperre fluchttauglich
ausgeführt sein und eigne sich in Kombination mit kurzen, motorisch angetriebenen oder bei Alarm öffnenden Dreh- oder
Drehfalttüren als zertifizierter Durchgang im
Gefahrenfall (S. 34/35).
Zutrittskontrolle – Durchgangssperren
Michael Luckey, Perimeter Protection‚
Germany GmbH, gibt im ZK-Special der
Zeitschrift Sicherheitsforum vom Juni 2013
einen Überblick über Durchgangskontrollen (S. 40–43). Mit einem Durchlauf von
bis zu 35 Personen pro Minute je Anlage
könnten heutzutage auch große Besucherströme effizient gesteuert werden. Neben
der Regulierung, Steuerung oder Vereinzelung sollten die Anlagen als unterstützender
Flucht- und Rettungsweg eingesetzt werden
können. Im Bereich des Warenversands
müsse gewährleistet sein, Gegenstände
schnell und bequem in gesicherte Bereiche
hinein oder hinaus zu befördern. In puncto
Luftfrachtsicherheit könnten Durchgangskontrollen effizient bei den Anforderungen
als „Zugelassener Bekannter Verwender“
unterstützen. Grundsätzlich unterscheide
man drei verschiedene Arten und Sicher-
heitsklassifizierungen der mechanischen
Durchgangskontrolle: regulierende Funktion innerhalb von Bereichen mit niedriger
bis mittlerer Sicherheitsstufe, mannshohe
Drehkreuze oder Sicherheitsdrehtüren in
Bereichen mit einer höheren Sicherheitsstufe und Sicherheitsschleusen für sensible
Hochsicherheitsbereiche, in denen eine
strikte Vereinzelung erforderlich ist. Andreas
Wotke, Karl Gotschlich GesmbH, behandelt
in derselben Ausgabe die Zugangssteuerung durch Drehkreuze (S. 44/45). Längst
seien es nicht mehr bloße mechanische
Ausführungsorgane, sondern eigenständige
mechatronische Geräte. Wichtig sei, dass
Kompatibilität nicht nur zu einem bestimmten Fabrikat, sondern mit Bezahlautomaten,
Karten- oder Biometrielesern aller Arten
gegeben ist. Auch die Bereitstellung von
Rückmeldesignalen über die Durchgänge
und über Störungen sollte selbstverständlich
sein. Die Vereinzelungsgeräte sollten über
eine gewisse Autonomie verfügen (Ansteuerung ein- und ausgangsseitiger Ampeln zur
Benutzerführung, Weiterschaltung manipulationssicherer Zähler). Vereinzelungsgeräte müssten mit eigenen Signaleingängen
ausgestattet sein, über die Sicherheitseinrichtungen wie Brandmeldeanlagen oder
Not-Taster unabhängig von der Zutrittskont-
rollanlage den Wechsel in die Fluchtstellung
auslösen könnten. Als Grundanforderung
sollte gelten, dass sie sich zum Betrieb in
beiden Richtungen eignen und jederzeit
per Software als Eingangs-, Ausgangsoder Zweirichtungssperren konfigurieren
lassen. In der Ausgabe 3/13 von Protector
(S. 30/31) weist Wotke darauf hin, dass
in den letzten Jahren Personenvereinzelungseinrichtungen mit flächigen, transparenten Sperrelementen den klassischen
Drehsperren Marktanteile abgenommen
haben. So vielfältig wie ihre Einsatzgebiete,
so zahlreich seien auch die Kriterien, die bei
der Auswahl der Technik beachtet werden
sollten, um das beste Verhältnis zwischen
Schutz und Ergonomie zu erzielen. Vor
allem die Art des Sperrantriebes solle mit
Bedacht gewählt werden. Die Höhe der
Sperrelemente habe eine psychologische
Wirkung. Der tatsächlich erzielbare Effekt
in der Verhinderung unbefugter Zutritte sei
jedoch bei der Drehmechanik höher. Das
habe seine Ursache in unterschiedlichen
juristischen Vorschriften. Ein Vorteil der
Drehflügel-Sensorschleusen liege in der
Möglichkeit, ihre Sperrelemente aus leichtem, aber bruchfestem Acryl herzustellen.
Ihre 90-Grad-Drehung könne wegen der
geringeren Masse sehr schnell erfolgen.
Zutrittskontrolle – Marktübersichten
Das Special von PROTECTOR vom Juni
2013 enthält Marktübersichten zu Zutrittskontrollsoftware, Zutrittskontrollzentralen,
Lesegeräte für Zutrittssysteme, Stand aloneTerminals, Biometrielösungen und Ausweispersonalisierung (S. 52–62).
Im ZK-Special der Zeitschrift Sicherheitsforum vom Juni 2013 werden 44 Unter-
nehmen der Zutrittskontrollsystembranche
vorgestellt, mit Angaben zu dem jeweiligen System, zur Serviceorganisation, der
Instandhaltung und der vorbeugenden Wartung, der Instandsetzung, Störungsbehebung und Reparatur, Software-Updates und
-Upgrades, Benutzerschulung und Migration
(S. 41–85).
Zutrittskontrolle – Trends
WiK befasst sich Dipl. El.-Ing. Marco Hauri,
Bixi Systems AG, mit Trends in der
Zutrittskontroll-Software in Bezug auf
269
270
Erwartungen der Kunden, konkurrierende
Anforderungen und Funktionalitäten (einschließlich visueller Unterstützung durch
spezifisch angereicherte Gebäudepläne
und zunehmende Vernetzung). Neben dem
Trend hin zur „ZuKo-Commodity“ würden
Cloud-Dienste, die Touch-Bedienung sowie
die zunehmende Mobilität die ZuKo-Software der Zukunft prägen. (S. 58–60).
Auch Roland Hunkeler ( Siemens Schweiz
AG) behandelt in dem ZK-Special der
Zeitschrift Sicherheitsforum im Juni 2013
Trends bei Zutrittskontrollsystemen
(S. 11–14). Dank der zunehmenden Integration von Sicherheits-, Brandschutz- und
Gebäudemanagementsystemen bestehe das
Potenzial, beträchtliche Energie- und damit
Kosteneinsparungen zu erzielen. Beim The-
ma Konnektivität habe sich der Markt stark
weiterentwickelt, besonders offene Architekturen würden populär. Das BACnet-Protokoll
diene als Impulsgeber für die Entwicklung
offener Architekturen. Dieser Trend werde
durch Standardprotokolle von Branchenverbänden wie ONVIF (Open Network Video
Interface Forum) und PSIA (Physical Security Interoperability.Alliance) bestärkt. Ein
wegweisender Trend sei die Forderung nach
erweiterter Funktionalität. Die Entwicklung
gehe ganz klar in Richtung Smartcards. Die
Karten würden heute für zahlreiche weitere
Applikationen verwendet. Je mehr Anwendungen gesteuert werden können, desto
stärker wachse das Potenzial von Smartcards und desto wichtiger werde es, dass
ihre Sicherheit durch starke Verschlüsselung
gewährleistet sei.
Zutrittskontrolle – Spezifische Liegenschaften
Zutrittskontrollen im Stadion-Umfeld
sind das Thema von Nico Hruby, BTD Group,
WiK (S. 44–46). Mit den neuen Sicherheitsanforderungen in Stadien und Weiterentwicklungen im Ticketing müssten sich
Clubs und Stadionbetreiber auch mit neuen
Anforderungen an die Zutrittskontrolle
auseinandersetzen. Elementare Unterschiede im Vergleich zu den Anforderungen an
die Zutrittskontrolle im Unternehmen seien
unterschiedlichste Wetterbedingungen und
eine notwendigerweise hohe Betriebsgeschwindigkeit. Während der Konzeptionsphase komme vor allem den notwendigen
Systemschnittstellen besondere Bedeutung zu. Unterschiedliche Ticketing- und
Adressierungssysteme müssten flexibel
und performant angebunden werden. Ein
wesentlicher Bestandteil der Konzeptionsphase für Zutrittskontrollsysteme im
Stadionumfeld sei das sogenannte People
Flow-Konzept. Es beinhalte schon in der
Planung von Spielstätten die Steuerung von
Menschenströmen auf den Zuwegen und
Zufahrten und determiniere somit maßgeb-
lich die Positionierung der Zugänge, Vereinzelungsanlagen, Personenvorkontrollen und
Drehkreuz-Einheiten.
In der Fachzeitschrift Security insight (Ausgabe 6-2013, S. 30/31) wird beschrieben,
wie die elektronische Zutrittsorganisation in
einer Vielzahl von Geschäftsstellen einer
Bank hohe Flexibilität schafft. Das elektronische Schließsystem arbeite mit einem
virtuellen Netzwerk. Das funktioniere offline
und drahtlos zwischen den installierten elektronischen Komponenten, die miteinander
kommunizieren, Informationen verarbeiten
und diese weitergeben. Im Gegensatz zu
konventionellen Netzen entfalle die aufwändige Verkabelung, eine Vielzahl von
Umsetzern oder störanfällige Funkstrecken.
Durch die Übertragung von Informationen
im virtuellen Netzwerk entfalle das manuelle
Programmieren von Offline-Türkomponenten
nahezu komplett.
In der Fachzeitschrift PROTECTOR (Ausgabe 12-2013, S. 28) befasst sich Gareth
O’Hara, Paxton GmbH, mit der Zutrittskon-
trolle zur Absicherung kleinerer Objekte.
Bei solchen Zutrittskontrollanlagen sollten
vor allem folgende Merkmale beachtet
werden:
-Einzeltürsteuerungen seien für den Errichter deutlich flexibler als die teureren und
komplexeren Steuerungen für vier oder
acht Türen
-Eingebaute IP-Fähigkeit sorge für eine
schnellere und kostengünstigere Installation, weil der Errichter die Türsteuerungen
an das vorhandene LAN anschließen kann
-Verfügbarkeit drahtgebundener und
drahtloser Steuereinheiten in derselben
Anlage trage ebenfalls dazu bei, die
Zutrittskontrolle in kleineren Objekten
preisgünstiger zu machen
-Einfache Steuersoftware mit intuitiven
Funktionen, die innerhalb weniger Minuten verstanden werden können
-Zutrittskontrollsysteme für kleinere Objekte sollten die Möglichkeit bieten, EMA,
BMA und Videoüberwachungsanlagen zu
integrieren
-Die neuesten Anlagen erlaubten sogar
eine abgesetzte Verwaltung des Systems
über ein Smartphone oder einen Web
browser
271
272
Stichwortverzeichnis
Abfall- und Verschließanlagen Arbeitsschutz
Seite166
Automatisierung
Seite106
Adobe
Netzwerkeinbruch
Seite118
Advanced Persistent Threats (APT)
Abwehr von Angriffen Seite 118
Bedrohungscharakter
Seite3
Seite
Critical Controls for effective Cyber Defense 3
AEO-Zertifikat
Sicherheitsgewerbe
Seite3
Aida Cruises
Kontrollzentrum
Seite3
Alarmtechnik
Brandschutz Seite
3
Seite
3
Seite
3
Seite
3
Seite
3
Allianz für Cybersicherheit
BSI + Bitkom Amok-Kriminalität
LKW-Sniper Ansaru
Terroristische Gruppe Anonymisierung
IT-Sicherheit TOR
Seite3
Apotheker-Spion
BMG
Seite3
Apps
Datendiebstahl
Seite3
Seite
Datenschutz 3
Sicherheitsüberprüfung
Seite3
Seite
Spionage-App 3
Apple iOS
Überblickspapier des BSI Seite
3
Arbeitnehmer
Datenschutz
Seite3
Arbeitsschutz
s. a. Maschinensicherheit
Fußschutz
Seite3
Gase
Seite3
Industriehelm Seite
3
pneumatische Hebebühne Seite
3
Schutzhandschuh
Seite3
Sensorfarbstoff
Seite
3
Software EcoWebDesk
Seite
3
Vorschriftenänderungen
Seite3
Seite
Arbeitsergonomie Leitstellen 3
Arbeitsstätten
Brandschutz
Seite3
Seite
Flucht- und Rettungswegeplan Archivsicherheit
3
Seite3
Arzneimittelfälschung
Interpol-Initiative Seite
3
Lieferkette
Seite3
Seite
Verpackungssystem Securpharm
3
Atomunfall
Haftung
Seite3
Authentifikation
2 Faktor-Authentifizierung
Seite
3
Single Sign on
Seite
3
Autohaus
Brandanschläge
Seite3
Awareness
Neue Wege
Seite x
Training
Seite x
Verhaltensveränderung
Seite x
Banken
Geldwäsche
Seite3
Hacking US-Notenbank Seite
3
Santander Bank Seite
3
SMS Banking-Malware
Seite
3
USA Seite
3
Webseiten-Zusammenbruch Seite
3
273
274
Bankraub
Kriminalstatistik 2012
Seite
3
Bargeld
Automatisiertes Management
Seite
3
Bargeldlogistik der Zukunft Seite
3
Seite
3
Bargeldlogistik
Projekt CashEDI Bargeldmanagement
Automatisierung
Seite3
Beast-Attacken
RC4 als Schutz Seite
3
Behinderte
Brandschutz
Seite3
Bekannter Versender
Luftsicherheit Seite
3
Benfordsches Gesetz
Betrugsaufklärung
Seite3
Bergbaumaschinenindustrie
Spionageopfer
Seite3
Besuchermanagement
Elektronische Personenregistrierung Seite
3
Betriebsgeheimnis
Scoring
Seite3
Betrug (s. a. Kartenbetrug)
Bilanzbetrug
Seite3
Bitcoin-Betrüger
Seite3
Entwicklung
Seite3
Gesundheitswesen
Seite3
Internet Seite
Jobdirect24
Seite3
Kreditkartenbetrug
Seite3
Seite
3
3
Sepa-Umstellung
Seite3
Sozialversicherungsbetrug
Seite3
Seite
Tankbetrug Telefonbetrug
Bewegungsmelder
3
Seite3
Nichtauslösung
Seite3
BHE
Sicherheitsmarkt
Seite3
Big Data
Datenberg im Internet Seite
3
IT-Sicherheit Seite
3
Seite
3
Bilanzbetrug
Benfordsches Gesetz Biometrie
Fingerabdrücke
Seite3
Geldautomat
Seite3
Gesichtserkennung
Seite3
Handvenenerkennung
Seite3
iPhone 5S
Seite
3
Next Generation Identification
Seite
3
Tabula Rasa Seite
3
3D-Verfahren Seite
3
Bitcoin
Betrug
Seite3
Seite
3
Hackerangriff
BKA
Cyberlab
Seite x
Digitale Spurensuche Seite x
Entgrenzte Cyberkriminalität
Seite
x
Seite
3
Seite
x
Boko Haram
Terroristische Gruppe Bots
Tipps zur Abwehr
Boxcryptor
Verschlüsselungssoftware
Seite3
Brandanschläge
Autohäuser
Seite3
Seite
Deutsche Telekom
x
DHL
Seite3
Seite
Europäischer Polizeikongress 3
Siemens
Seite3
Vodafone
Seitex
275
276
Wohnungsbaugesellschaft
Seite3
Brandmeldeanlage
Änderungen
Seite3
Fernzugriff
Seite
x
Integrierte Sprachausgabe Seite
3
Seite
3
Brandschutz (s. a. Löschtechnik, Evakuierung)
Abschnittsflächen Alarmtechnik
Seitex
Anlagentechnik
Seite3
Arbeitsstätten
Seitex
Seite
Baulich-technischer 3
Behinderte
Seitex
Brandfrühesterkennung
Seite3
Brandschutzbeauftragter
Seite3
Elevatoren
Seitex
Empfangsbereich
Seite3
Ganzglastür
Seitex
Glutnester
Seite3
Haftungsfragen
Seite3
Hochhäuser
Seite3
Hochregallage
Seite3
IT-Infrastruktur
Seitex
IT-Räume Seite
3
Kabel in Gebäuden
Seite
x
Lithium-Akkus Seite
3
Löschtechnik
Seitex
Marktübersichten
Seitex
Metallständerwand
Seite3
Modernisierung
Seite3
Seite
Offshore-Windparks 3
Organisatorischer
Seite3
OSID-Technologie Seite
3
Rauchschutztür Seite
3
Rauch- und Wärmeabzugsgeräte Seite
3
Rechenzentrum
Seite3
Sprühtrockungsanlagen
Seite3
Unternehmensdaten
Seitex
Videoüberwachung Wärmedämmverbundsystem
Seite
3
Seite3
Bring Your Own Device (BYOD)
Risiken
Seitex
Brunnenkühlung
Rechenzentrum
Seite3
BSI
Allianz für Cybersicherheit Seite
3
Apple iOS
Seite
3
Cloud-Computing
Seitex
Content Management-Systeme Seite
3
Hochverfügbarkeits-Kompendium Seite
3
ICS Security-Kompendium
Seite
x
3
IT-Sicherheitslage 2013 Seite
x
Richtlinie für Scannen von Dokumenten Seite x
Secure Software Development Lifecycle Seite x
Standard 100-4
Seite x
Zertifizierung für IT-Sicherheitslösungen
Seite
x
Seite
x
Bürosicherheit
Schutz vor Gewalt Buntmetall (s. a. Metalldiebstahl)
Diebstahl
Seitex
Business Continuity Management
Mittelstandsunternehmen
Seitex
Neue ISO-Norm 22301
Seite
3
Supply Chain Seite
x
Change Management
Seite3
CashEDI
Bargeldlogistik
Seitex
China
Ausspähung der New York Times Seite
x
Einreisekontrollen
Seite3
Geschäftsreisen
Seitex
Hacking
Seite3
Spionage
Seitex
277
278
Technische Kontrolle des Datenverkehrs Seite
3
Seite
3
CIA
Datenbank Geldübertragungen Citystreife
Stadtservice
Seite3
Cloud-Computing
Active Directory-Anbindung Seite
3
Außerhalb EU Seite
3
BSI-Empfehlungen
Seitex
Datensicherung
Seite3
Seite
Einstellung der Wirtschaft x
Exportrecht
Seite3
3
Private oder Public Cloud Seite
3
Unternehmensinterne Zuständigkeit Seite
3
USA Seite
x
Zutrittskontrolle
Seite3
Code of Conduct
Akzeptanz
Seite3
Compliance
China
Seitex
Exportkontrolle
Seite3
Finanzsektor
Seite3
Computerkriminalität
Seite
3
KMU
Seite3
Kommunale Unternehmen Seite
3
Öffentliche Unternehmen Seite
3
Praktische Umsetzung Seite
3
Seite3
Computerkriminalität
s. IuK-Kriminalität
Content-Management
BSI-Studie
Seitex
Cyber-Versicherungen
Umfang des Schutzes
Data Center
Seite
x
Brandschutz
Seite3
Data Leakage Prevention
Bausteine
Seite3
Datenbank
Sicherheit
Seite
3
Datendiebstahl
Haftung
Seitex
Datenhehlerei
Neuer Tatbestand vorgeschlagen Seite
x
Datenschutz
Apps
Seite x
Arbeitnehmer Seite x
Datensparsamkeit
Seitex
Datenvernichtung
Seitex
Seite
Einstellung der Wirtschaft x
EU-Recht
Seitex
Facebook
Seitex
Fluggastdaten
Seitex
Geheimdienste
Seitex
Google
Seite3
KMU
Seitex
Satellitendatensicherheitsgesetz
Seitex
Seite
Versendung mehrerer Emails 3
Videoüberwachung
Seite3
Wirtschaftsauskunfteien
Seitex
Datensicherung
Cloud-Computing Seite
x
Datenvernichtung
Zuverlässigkeit
Seitex
De Mail-Standard
E-Government-Gesetz Seite
x
Dementenschutzsystem
Komponenten
Seitex
Detektion
Brandschutz
Seitex
Glutnest
Seite3
Deutsche Bahn
279
280
Korruption
Seite3
Videoüberwachung
Seite3
Deutsche Bank
Brandanschläge
Seite3
Deutsche Telekom
Nationales Internet Seite
3
Seite
3
Devisenmanipulation
Libor Diebstahl (s. a. Einbruch, Ladendiebstahl)
Einzelhandel Seite
x
Kriminalstatistik 2012 Seite
3
Künstliche DNA
Seite
x
Ladendiebstahl
Seite3
Seite
LKW in Fahrt
x
Metalldiebstahl
Seitex
Seite
PCs und Notebooks 3
Solarmodule
Seite3
Seite
Technischer Schutz
Transporter
x
Seite3
Differenzstrom
Überwachung
Seite3
Digitale Signatur
Schadsoftware
Seite3
Digitale Spurensuche
BKA
Seitex
Dreidimensionaler Drucker
Seitex
Drehkreuz
Zutrittskontrolle
Seitex
DSL-Router Easybox
Sicherheitslücke
Seitex
Durchgangssperre
Zutrittskontrolle
Seitex
EcoWebDesk
Arbeitsschutz
Seitex
Einbruch
Wohnungseinbruch
Seitex
Technischer Schutz Videoüberwachung
Seite
x
Seitex
Einbruchmeldetechnik (s. a. Gefahrenmeldetechnik)
Attestierung
Seitex
Funktechnik
Seite x
Installationsfehler
Seite x
Integriert mit Zutrittskontrolle Seite
x
Mobile Applikationen Seite
x
Modularität
Seitex
Nichtauslösung
Seitex
Planung
Seitex
Wertbehältnisse
Seitex
Einkaufszentrum
Videoüberwachung
Seite3
Einzelhandel (s. a. Ladendiebstahl)
Diebstahl
Seitex
Netzwerk-Infrastruktur Seite
3
Sicherheitskraft im Handel Seite
3
Videoüberwachung
Seitex
Elektronische Offline-Schlösser
OAA-Standard Seite
x
Elektronische Sicherheitstechnik
Sicherheitsmarkt
Seitex
Elektronische Signatur
Trusted Computing Group Seite
x
Verordnungsentwurf der EU
Seite
x
Seite
x
Seite
3
Elektronisches Schließsystem
s. Schließsystem
Elektronisches Zugangssystem
Mechatronisches Schließsystem Elevatoren
Brandschutz
Seite3
Elster
Sicherheitsanfällige Java Seite
x
Spamwelle Seite
3
Email
Datenschutz
Seite3
281
282
De Mail-Standard
Seite
x
Rechtsverbindlichkeit
Seite3
Verschlüsselung
Seitex
Embargoverstöße
Kontrollen
Seite3
Embedded systems EMV-Technik
Geldautomaten
Seitex
Endgeräte (s. a. mobile Endgeräte)
Secure Web Gateway Seite
3
Energieversorgung
Stromausfall
Seitex
ENISA
Jahresbericht 2012 Seite
x
Erpressung
Einzelfälle
Seitex
Ethernet
Übertragungsmedium
Seite3
Euroalarm
Seitex
Evakuierung
Barrierefreiheit
Seitex
Seitex
Simulation
Seitex
EU-Kommission
Cybersicherheitsplan
Seitex
Seite
x
Seite
x
Hacking-Bekämpfung EUROPOL
Zentrum zur Bekämpfung der Cyberkriminalität Explosionsschutz
Alarmsignale
Seitex
Sicherheitsfolien
Seitex
Überwachungskamera
Seitex
Wärmebildkamera
Seitex
Extremismus
Mitarbeiter
Seite x
Neue Tendenzen Seite x
Facebook
Datenschutz
Seitex
Fälschungsdelikte
Seitex
Seite
x
Seite
x
Seite
3
Seite
x
Kriminalstatistik 2012 Fahndung
Schengener Informationssystem Fahrausweisautomatensicherung
Wirksamer Schutz Fahrzeugverriegelung
Vanloxx-System Falschgeld
Bundeslagebild 2012 Seite
3
Entwicklung 2013 Seite
x
Seite
x
Seite
x
Seite
x
Feuerwehr
Großflächiger Stromausfall Feuerwehrausrüstung
3D- und Wärmebilder Finanzwirtschaft
Cyberangriff in USA Gebäudesicherheit
Seitex
Firewall
Web Application Seite
x
Seite
3
Flexi Soft
Modulare Sicherheitssteuerung Fluchttür
Absicherung
Seite3
Nachrüsten
Seitex
Fluchtweg
Absicherung von Fluchttüren Arbeitsstätten
Seite
3
Seitex
Fluggastdaten
Datenschutz
Seitex
Flughafensicherheit (s. a. Luftverkehrssicherheit)
Interne Flughafensicherheit Seite
x
Perimeterschutz
Seitex
Sicherheitskonzepte
Seite3
Frachtdiebstahl
283
284
Fahrerverschulden
Seitex
Gefahrendimension
Seitex
Schutzmaßnahmenspektrum
Seitex
Speditionsverschulden
Seite3
Freigeländeüberwachung (s. a. Perimeterschutz)
Videowache
Seitex
Zaunüberwachung
Seitex
Funkenlöschanlage
VdS-Richtlinie Seite
x
Seite
x
Funkübertragung
EMA Gefahrenmeldetechnik
Seitex
Fußschutz
Arbeitsschutz
Seite3
Ganzglastür
Feuerhemmend Seite
x
Gas
Arbeitsschutz
Seitex
Gaslöschanlage
Planung
Seitex
Gasplattform
Betreiberhaftung
Seitex
GCHQ
Kabelzugriff Seite
x
Gebäudesicherheit
Architektur
Seitex
Finanzwirtschaft
Seitex
Planbroschüren
Seitex
Seite x
Seite x
Risiken und Methoden Gefahrenmanagement (s. a. Risikomanagement)
Datenflug
AudioAnalytics
Seitex
Betriebliche Alarmsysteme
Seite
x
Europäische Industrie
Seite
x
Funkübertragung
Seitex
Seite
Notrufsystem für Autos
x
Optische Alarmierung
Seite
x
VdS-Richtlinie 2311
Seite
x
Zwangsläufigkeit
Seite
x
Seite
3
Integrierte Sicherheitstechnik
Sicherungsverwahrung
Seitex
Geheimdienste
Datenschutz
Seite3
FSB
Seitex
GCHQ
Seitex
Nachschlüssel
Seitex
NSA
Seite3
Geiselnahme
Werk in China Seite
x
Seite
x
Geldautomatensicherheit
Angriffe
Biometrie
Seitex
EMV-Technik Seite
x
Intelligente Automaten Seite
3
Manipulation von Prepaid-Karten
Seite
x
Neue Richtlinien Seite
3
Technische Sicherung Seite
x
Geld- und Wertdienste
Bargeldlogistik der Zukunft Seite
x
Neue Sicherheitskonzepte
Seite
x
Raubüberfälle
Seitex
Seite
x
Seite
x
Seite
3
Ungepanzerte Transporte Geldwäsche
Bankenmitwirkung bei Bekämpfung Digitale Kryptowährungen
Immobiliengeschäfte
Seitex
Ndrangheta
Seitex
USA
Seitex
Windstromprojekt
Seite3
Geschäftsdiebstahl
Seite
x
285
286
Geschäftsraub
Seite
x
Gesundheitswesen
Korruption
Seitex
Glutnest
Detektion
Seitex
Google
Datenschutz
Seitex
Hacking
Abwehraktivitäten
Seite3
Seite
Bekämpfung durch EU-Kommission
x
Bitcoin
Seitex
China
Seitex
Cyberspionage
Seitex
Haftung
Seitex
Hidden Lynx
Seite x
Online-Betrüger
Seite x
Telefonanlagen
Seitex
US-Notenbank
Seitex
Wegfahrsperre
Seitex
Grohe
Produktpiraterie
Seitex
GSM-Pagingsignal
Mißbrauch
Seite x
Haftung (s. a. Compliance)
Errichterhaftung
Seitex
NSL
Seitex
Hamburg
Netzwerk Standortsicherheit
Seite
x
Handvenenerkennung
s. a.Kommunikationssicherheit
Verschlüsselung
Seitex
Hebebühne
Arbeitsschutz
Seitex
Hochhaus
Brandschutz
Hochregallager
Seite3
Brandschutz
Seitex
Logistiksicherheit
Seite3
Homejacking
Entwicklung
Seitex
Homeland Security
Seite3
Hotelsicherheit
Ästhetik
Seitex
Seite
Safes mit Codeschlössern
Undercover-Sprinkler
x
Seitex
Honeypots
Deutsche Telekom
Seite
3
Simuliertes Wasserwerk
Seite
x
Huawei
Spionage
Seitex
IBM
Notes/Domino-System
Seitex
Identitätsausweis
USA
Seitex
Identity- and Access-Management (IAM)
Access Control
Seite
x
Hybrides IAM
Seite
x
Priviliged Identity Management
Seite
3
Prozessmodell
Seite3
Immobiliengeschäfte
Geldwäsche
Seitex
Imtech
Korruption
Seitex
Industrie 4.0
Aufgaben und Probleme
Seite
x
Rolle der IT
Seite
3
Seite
x
Industrieanlagen
ICS-Security Kompendium
IT-Sicherheit
Seitex
Referenz-Architektur ESARIS
Seite
x
Sicherheitslücken in Kontrollsystemen
Seite
x
Smarte Versorgungsnetze
Seite
x
287
288
Industriehelm
Arbeitsschutz
Seitex
Industriespionage
s. Spionage
Information Maturity Index
Datenschutz
Seitex
Infrarot
Videoüberwachung
Seitex
Seite x
Internet-Kriminalität
Seite
x
Seite
x
Internet-Risiken
Gravierend eingestuft
Inventurdifferenz
Ladendiebstahl
Seitex
IP
Übertragung
Seite x
Umrüstung von Sprechstellen
Seite x
IP-Videoüberwachung
Trends
Seitex
iPhone 5 S
Scanner für Fingerabdrücke
Seite
x
ISIS
ISMS
Islamistischer Terrorismus
Gefährdungslage November 2013
Seite
x
ISO-Normen
27001/27002
Seitex
IT-Grundschutz
Baustein Webanwendungen
Seite
3
BSI-Standard 100
Seite
x
Cloud-Computing
Seite3
GSTool
Seitex
SIEM
Seitex
IT-Infrastrukturen
BitBox
Seitex
Brandschutz
Seite3
Finanzwesen
Seite3
Proaktives IT-Monitoring
Seite
x
Schutz vor Spionage
Seite
x
SIEM
Seitex
Verfügbarkeit
Seitex
IT-Organisation
IT-Sicherheitsbeauftragter
Seite3
Schatten-IT
Seite3
IT-Sicherheit
Absturzsicherheit
Seitex
Seite
Allianz für Cybersicherheit
x
Anonymisierung
Seitex
App-Sicherung
Seitex
Seite
Authentifikation
x
Awareness
Seitex
Seite
Big Data
3
BSI
Seite3
BYOD
Seitex
Seite
Cyber Security Report 2012
x
Datenbank
Seitex
Einzelhandel
Seitex
Seite
Elektronische Signatur
x
Elster
Seitex
Email-Sicherheit
Seite3
Seite
Embedded systems
x
Endgeräte
Seitex
EU-Cybersicherheitsplan
Seitex
EU-Kommission
Seitex
Firewall
Seitex
Hackingabwehr
Seitex
Honeypots
Seitex
IAM
Seitex
IBM
Seitex
Industrieanlagen
Seitex
Industrie 4.0
Seite
x
Intelligentes Sicherheitsradar
Seite
x
289
290
ISO-Normen
Seitex
IT-Grundschutz
Seitex
IT-Infrastruktur
Seite x
IT-Organisation
Seite x
IT-Sicherheitsbeauftragter
Seite x
IT-Sicherheitsgesetz
Seitex
Seite Key Performance Indicators (KPI)
x
KMU
Seitex
Seite Krankenhaus-IT
x
Microsoft
Seitex
Patchmanagement
Seite x
Payment Card Industry
Seite x
Personalausweis
Seite x
SAP-Systeme
Seitex
Schatten-IT
Seitex
Security by design
Seite
x
Security Engineering
Seite
x
Sicherheitslücken
Sicherheitsrichtlinien fehlen
Social Media
Seitex
Seite
x
Software-Lizenzierung
Seitex
Seite
Umdenken nach NSA-Skandal
x
Verschlüsselung
Seitex
Versicherungen
Seitex
Virtual Private Network
Seite
3
Virtuelle Rechenzentren
Seite
x
Web 2.0
Seite
3
Windows 8
Seite
x
10 Regeln
Seite
x
Seite
x
Seite
x
Seite
x
IT-Sicherheitsgesetz
Nachbesserungswünsche Bitkom
IT-Sicherheitslage 2013
IT-Sicherheitslücken
Globaler Markt
Routermodell
Seitex
IuK-Kriminalität
Adobe
Seitex
Advanced Persistant Threats (APT)
Seite
x
Anstieg
Seite
x
Banken
Seite3
Seite
Bedrohungslage
x
Bitcoin
Seitex
Seite
BKA-Hacker x
Botabwehr
Seitex
China
Seitex
Elster
Seitex
Finanzinfrastruktur
Seitex
Geheimdienste
Seite3
Hacking
Seite3
Haftung
Seitex
Java
Seitex
Seite
Leichtsinn bei Grundeinstellungen
x
NSA
Seitex
Phishing
Seitex
Ransomware
Seitex
Schadsoftware
Seite3
Seite
Social Engineering
x
Spam
Seitex
Stuxnet Seite
x
Threat Horizon 2015
Seite
x
Trojaner
Seitex
Vodafone
Seitex
Java Wurm befällt Tomcat
Seite
x
Juweliersicherheit
Entwicklung 2011
Seite
x
Osteuropäische Bande
Seite
x
Kabel
Brandschutz
Seitex
Kärcher
Produktpiraterie
Seite x
Hersteller von Mikroprozessoren
Seite x
Leitlinie des Bundeskartellamtes
Seite
x
291
292
Rechtsmäßigkeitsirrtum
Seite x
Reinigungsmittelwirtschaft
Seitex
Rote Linie
Seite x
Veröffentlichung
Seite
x
Zementkartell
Seite x
Seite x
Kartenbetrug
Entwicklung 2011
Europa
Seitex
Kartenzahlsysteme
Biometrie
Seitex
Katastrophenschutz
Naturgefahrenreport 2012
Ölplattform
Seite
x
Seitex
KFZ
Notrufsystem
Seitex
KFZ-Diebstahl
Bundeslagebild 2012
Seite
x
GDV-Statistik 2012
Seite
x
Internationale Verschiebungen
Seite
3
Wegfahrsperre
Seitex
KFZ-Kennzeichen
Videoüberwachung
Seitex
Klinik- und Heimsicherheit
Alarmsystem
Seitex
Dementenschutzsystem
Seitex
IT-Sicherheit
Seitex
Zutrittsorganisation
Seitex
KMU
BCM
Seitex
Compliance
Seitex
Datenschutz
Seitex
IT-Sicherheit Seite
x
Risikomanagement
Seite
x
Ransomware
Seite3
Seite
Spionageopfer
x
Know how Schutz (s. a. Spionage)
Kommunikationsstrategien
Seitex
Kommunikationssicherheit (s. a. Mobile Endgeräte, Verschlüsselung)
Hacking
Seitex
Seite
Handy Simko3
x
NSA
Seitex
Smartphone
Seite3
Software Secusuite
Seite
3
TopSec Mobile
Seite
x
Konsumgütermesse
Produktpiraterie
Seitex
Korruption
Abgeordnete
Seitex
Seite
Bundeslagebild 2012
x
China
Seite3
Debeka
Seitex
Seite
Deutsche Bahn
x
Imtech
Seitex
Italien
Seitex
Korruptionsindex
Seitex
Korruptions-Registergesetz
Seitex
Österreich
Seitex
Prävention
Seitex
Rüstungswirtschaft
Seitex
Sanktionen
Seitex
Schadensdimension
Seitex
Siemens
Seitex
UN-Konvention
Seitex
Bank- und Geschäftsraub
Seite x
Betrug im Geschäftsleben
Seite x
Computer- und Internetkriminalität Seite x
Fälschungsdelikte
Seitex
Geschäftsdiebstahl
Geldwäsche
Seitex
Seite x
Konsequenzen für die Sicherheitswirtschaft
Seite
x
Seite x
Umweltkriminalität
Seite x
293
294
Untreue im Geschäftsleben
Seite x
Wettbewerbs- und Korruptionskriminalität
Seite
x
Seitex
Krisenmanagement
Krisennavigator
Seite
Krisenursachen
Seitex
Seite
Lükex 2013
x
Sofortmaßnahmen
Seitex
Stromausfall
Seitex
Krisenregionen (s. a. Terrorismus)
Expatriates
Seitex
Seite
x
Seite
x
Political Risk Map 2013
Krisenstabsarbeit
Typische Fehler
KRITIS
Umsetzungsplan
Seitex
Koordination aller Systeme
Seite
x
Seite
x
Innovative Lösungen
Seite
x
Umsetzungsplan KRITIS
Seite
x
Kühlungssystem
Rechenzentrum
Seitex
Künstliche DNA
Diebstahlsschutz
Seitex
Ladendiebstahl
Bekämpfungsbudgets
Seite
x
Entwicklung
Seite3
Organisierter
Seite
x
Schadensdimension
Seite
x
Seite
x
Lagerung
Gefahrstoffe
Leitstelle
Arbeitsergonomie
Seitex
Libanon
Hisbollah
Libor
Seite3
Manipulationen
295
Seitex
Lichtfeld-Kamera
Videoüberwachung
Seitex
Lieferkette (s. a. Logistiksicherheit)
BCM
Seitex
Bruchstellen
Seitex
Prozessdokumentation
Seite3
Lithium-Akkus
Brandschutz
Seitex
LKW
Diebstahl
Seitex
LKW-Sniper
Autotransporter als Ziel
Seite
x
Seite
x
Logistiksicherheit
Aufgabe für die Sicherheitswirtschaft
Frachtdiebstahl
Seitex
Hochregallager
Seitex
Kosten
Seitex
Parkplatzsicherheit
Seitex
Seite
Physische Sicherheit
x
Resilience
Seitex
Standards
Seite x
Unterbrechungsfreie Lieferkette
Seite x
Löschspraydose
Normen
Seitex
Löschtechnik
Ansteuerung von Löschanlagen
Seite
x
Druckluftschaum
Seite x
Funkenlöschanlage
Seitex
Gaslöschanlage
Seite x
Löschpulverarten
Seite x
Sprinkler
Seite x
Wandhydranten
Seitex
Lüftungssysteme
Rechenzentrum
Seitex
Lükex 2013
Krisenmanagement
Seitex
296
Luftsicherheit (s. a. Flughafensicherheit)
„bekannter Versender“ Laserpointer
Seite
x
Seitex
Mali Terrorismus
Seitex
Malware
Mobile
Seitex
Managerhaftung
Verfahrenshäufigkeit
Vorstandshaftung
Seite
x
Seitex
Maritime Sicherheit (s. a. Piraterie)
Aida Cruises
Seite
x
GPS-Signale gefälscht Seite
x
Lagebild
Seitex
Pirateriebekämpfung
Seitex
Sicherheitsstandards
Seitex
Maschinensicherheit
Abfall- und Verschließanlagen
Seite
x
Differenzstromüberwachung
Seite
x
EN ISO 14119
Seite
x
Flexi Soft
Seite
x
Industrielle Automation
Seite
3
Laser-Testzentrum
Seite
x
Rohrbiegemaschinen
Seite
x
Rollenschneidemaschinen
Seite
x
Security by design
Seite
x
Sicherheitslichtvorhang
Seite
x
Sicherheitszuhaltungen
Seitex
Maschinen- und Anlagenbau
Risk Map
Seite
3
Masterplan Zivile Sicherheit
Schwerpunktfelder
Seitex
Mechatronisches Schließsystem
s. a. Schließsysteme
Seite
x
elektronisches Zugangssystem
Seite
x
Messen
Produktpiraterie
Seitex
Metalldiebstahl
Bahntrassen
Seite3
Buntmetall
Seitex
Röhren
Seitex
Microsoft
Datenschutz
Seitex
IT-Sicherheit
Seitex
Mindestlohn
Überwachung
Seitex
Mitarbeiterkriminalität
Bekämpfung
Seitex
Ursachen
Seitex
Mitarbeiterscreening
Möglichkeiten und Grenzen
Seite
x
Seite
x
Mittelstandsunternehmen
s. KMU
Mobile Endgeräte (s. a. Endgeräte)
Absicherung von Business-Daten
Seite x
Antidiebstahlfunktionen
Seite x
BYOD
Seitex
Containerlösung
Seitex
Datensparsamkeit
Seite x
GSM-Pagingsignal Seite
x
Information Rights Management (IRM)
Seite x
Kombination von IRM und DLP
Seite x
Lauschabwehr
Seite x
MAM
Seite x
Mobile Application Management
Seite
x
Mobile Malware
Seite
x
Mobile Zweifaktor-Authentifizierung
Seite
x
Scanner für Fingerabdrücke
Seite
x
Smartcard-Leser
Seitex
Unternehmensdaten
Seitex
VPN-Management
Seitex
Mobile Malware
Zukunftspotential
Seitex
Museumssicherheit 297
298
Kunsthistorisches Museum Wien
Lesermesssystem
Seite
x
Seitex
Nachhaltigkeit
Bedeutung in der Wirtschaft
Seite
x
Nachrüstung
Einbruchschutz
Seitex
Nationale Sicherheitsstrategie
Fünf Grundsätze
Seite
x
Near Field Communication (NFC)
Potential
Seitex
Zutrittskontrolle
Seitex
Netzwerklösungen
Für Unternehmen
Seite
x
Neverquest
Trojaner
Seite
x
New York Times
Ausspähung
Seite3
Nigeria
Terrorismus
Seite
x
Nordafrika
Terrorismus
Seitex
Notebook
Diebstahl
Seitex
Notfallmanagement
BSI-Standard 100-4
Seite
3
Cloud für KMU
Seite
x
Notfallhandbuch
Seitex
Organisation
Seitex
Versicherungsunternehmen
Seitex
Notruf- und Service-Leitstelle (NSL)
Alarm Service Provider-Modell
Seite
x
DIN EN 50518
Seite
3
Haftungsprobleme
Seite3
Seite
VdS-Richtlinie 3138
x
Videoüberwachung
Öffentliche Sicherheit
Seitex
Privatisierung
Seitex
Öffentliche Unternehmen
Compliance
Seitex
Ölplattform
Betreiberhaftung
Seitex
ÖPV-Sicherheit
Allianz pro Schiene
Seite
x
Bayern
Seitex
Berlin
Seitex
Bus
Seitex
Sicherheitsfachkräfte
Seitex
Sicherheitsgefühl
Seite x
Videoüberwachung
Seite x
Österreich
Korruption
Seitex
Offshore-Windpark
Brandschutz
Seite x
Online-Banking
Angriffe
Seite x
Angst vor Betrug
Seite x
Verschlüsselung
Seite x
VPN
Seite x
Seite
x
Online-Betrüger
Modus Operandi
Optische Alarmierung
Seitex
Organisierte Kriminalität Bedrohungslage Europa
Seite
x
Bundeslagebild 2012
Seite
x
Ladendiebstahl
Seitex
Seite
Mafia
x
Ostasien
Seitex
Seite
Rumänische Tätergruppen
x
OSID-Technologie
Branddetektion
Seitex
OWiG
Sanktionen gegen Unternehmen
Seite
x
299
300
Parkplatzsicherheit
Frachtdiebstahl
Seitex
Geschäftsmodell
Seitex
Passwort
Mindestabsicherung
Seitex
Patch-Management
Schließt Angriffslücken
Seite
x
Sichere Geschäftsprozesse
Seite
x
Payment Card Industry
Richtlinienkatalog
Seite
x
PC
Diebstahl
Seite3
Perimeterschutz (s. a. Freigeländesichereung)
Intelligentes Zaunsystem
Seite
x
Perimetermelder
Seitex
Schnelllauftor
Seitex
Seite
Sektorenkonzept
x
Sicherungsleitfaden
Seitex
Wirtschaftlichkeit
Seitex
Personalausweis
Sicherheit
Seitex
Personenschutz
Digitaler Raum
Seite
x
Entwaffnung von Angreifern
Seite
x
Personenvereinzelung
Zutrittskontrolle
Seitex
PGP
Asymmetrische Verschlüsselung
Seite
3
Seite
x
Phishing
VdS-Richtlinie 3138
Piraterie (s. a. Maritime Sicherheit)
Human Cost
Seite
x
Islamistische Terroristen
Seite
x
Lagebild Seesicherheit Seite
x
Piraterie-Präventionszentrum
Seitex
Verordnungen der Bundesregierung
Seite
x
Zulassung von Sicherheitsunternehmen
Seite
x
301
Polizeiliche Kriminalstatistik
s. Kriminalstatistik
Seite
x
Prepaid-Karten
Manipulation
Seitex
Prism
NSA-Spähprogramm
Seitex
Produktpiraterie
Bekämpfung
Seite x
Einzelfälle
Seite x
Entwicklung
Seitex
EU-Jahresbericht
Seite x
EU-Verordnung
Seite x
EU-Verordnung
Seite x
Europäische Kampagne
Seite x
Luxusuhren
Seite x
Messen
Seite x
Zentralstelle gewerblicher Rechtsschutz
Seite x
Seite
x
Proliferation
Risiko für Unternehmen
Gasundichtigkeiten
Seitex
Ransomware Digitale Erpressungswelle
Seite
x
Erscheinungsformen
Seitex
KMU
Seitex
Raubüberfälle (s. a. Banken)
Geld- und Wertdienste
Geschäfte
Seite
x
Seitex
Rauchschutztür
Neue Produktnormen
Veränderungen
Seite
x
Seitex
Rauch- und Wärmeabzugsgeräte
Normen
Seitex
Wartung
Seitex
Rechenzentrumssicherheit
Anforderungen
Seitex
Brandfrühesterkennung
Seitex
302
Brandschutz
Seitex
Brunnenkühlung
Seitex
Handvenenerkennung
Seitex
IT-Brandnorm EN 1047
Seite
x
Lüftungs-/Kühlungssystem
Seite
x
Multisensor
Seite
x
Nächste Generation
Seite
3
Outdoor-Rechenzentrum
Seite
x
Planung
Seite
x
Rauchdetektion
Seite
x
Sprühnebel-Löschanlage
Seitex
Stromversorgung
Seitex
Zutrittskontrolle
Seitex
Rechtsextremismus
Sicherheitsgewerbe
Seitex
Reinigungsmittelbranche
Kartell
Seitex
Resilience
Definition
Seite
x
Logistiksicherheit
Seitex
Systemrisiken
Seitex
RFID
Bargeldlogistik
Seite3
ePayment
Seite3
Seite
Prüfkriterien für Anwendungen
Treiber
x
Seitex
Risikomanagement (s. a. Gefahrenmanagement)
Berichterstattung
Seitex
Seite
Gesetze, Standards, Methoden
x
Integrales
Seitex
Seite
Integration von IT-Risiken
KMU
x
Seitex
Risk Map
Maschinen- und Anlagebau
Seite
x
Robotersicherheit
Sicherheitskonzepte
Rohrbiegemaschinen
Seitex
Maschinensicherheit
303
Seitex
Rollschneidemaschinen
Maschinensicherheit
Seite x
Routermodell
Schwachstellen
Seitex
Rüstungswirtschaft
Korruption
Seite x
Seite x
Sabotage
Vodafone
SAP-Systeme
Risiken und Gegenmaßnahmen
Seite x
Security Notes
Seite x
Sanitärmesse ISHG
Produktpiraterie
Seitex
Satellitentechnik
Einsatz auf See
Seite
x
Scannen von Dokumenten
Technische Richtlinie
Seite
x
Schadsoftware
Darkleech
Seitex
Seite
Digitale Signatur
x
Schatten-IT
Praxisorientierter Umgang
Risiken
Seite
x
Seitex
Schattenwirtschaft
s. Schwarzarbeit
Seite
x
Schengener Informationssystem
Fahndung
Seitex
Schiffsüberwachungssystem
Pirateriebekämpfung
Seitex
Schließsysteme
DIN EN 15684
Seite
x
Elektronisches
Seitex
GeminiDigiSafe
Seitex
Mechanisches
Seitex
Mechatronisches
Seitex
Seite
Offline Access Application
x
304
Richtlinien
Seite
x
Schlüsseldepot
Alarmaufschaltung auf Leitstellen
Seite
x
Netzwerksteuerung
Seite
x
Schutzhandschuh
Arbeitsschutz
Seitex
Schnelllauftor
Perimeterschutz
Seitex
Schwarzarbeit
BGH-Urteil
Seitex
DGB
Seitex
Entwicklung
Seitex
Kooperation mit Niederlanden
Seite
x
Nichtigkeit des Vertrags
Seite
x
Scoring
Betriebsgeheimnisse
Seitex
Security by Design
Sicherheitstests
Seite3
Security Engineering
Umgang mit Sicherheitsvorfällen
Seite
x
Seite
x
Securpharm
Fälschungssichere Verpackung
Secusuite
Seitex
Selbstregulierung
Datenschutz
Seitex
Sensorfarbstoff
Arbeitsschutz
Seitex
Sensortechnologie
Videoüberwachung
Seitex
SEPA-Umstellung
Betrug
Seitex
Evakuierung
Seite x
Sicherheitsenquete 2012/2013
Ergebnisse
Sicherheitsfachkraft
Seitex
ÖPV
Seite x
Seite x
Seite x
Seite x
Seite
x
Sicherheitsfolie
Explosionsschutz
EU-Mittel
Sicherheitsgefühl
ÖPV
Sicherheitsgewerbe
AEO-Zertifikat
Ausrüstung
Seitex
Seite
Aus- und Weiterbildung
x
Citystreife
Seitex
Einsatzbereiche
Seitex
Markt
Seitex
Politische Forderungen
Seite
x
Privatisierung öffentlicher Sicherheit
Seite
x
Rechtsextremismus
Seitex
Stadtservice
Seitex
Seite
Stressreport Deutschland 2012
x
Seitex
Sicherheitskraft im Handel
Entwurf einer Zusatzqualifikation
Seite
x
Anforderungen
Seitex
Sicherheitslichtvorhang
Maschinensicherheit
Seitex
Sicherheitsmanagement
Seitex
Sicherheitsmarkt
Elektronische Sicherheitssysteme
Seite
x
Marktstrukturerhebung
Seitex
Sicherheitsausrüstung
Seitex
Trends 2013
Seite
x
USA
Seite
x
Videoinvestitionen
Seite
x
Seite
x
Sicherheitsplanung
10 Grundsätze
305
306
Sicherheitsschrank
Gefahrstoffe
Seite
x
Sicherheitsstudium
Akademisierung
Seitex
Sicherheitssysteme
Siveillance Fusion
Seite
x
Sicherheitstechnik
Entwicklungstrends
Seitex
Ethernet
Seitex
Seite
GIT Sicherheitsaward 2014
x
Satellitentechnik
Seitex
Terahertz-Strahlung
Seitex
Trends für Sicherheitsmarkt 2013
Seite
3
Weltweiter Bedarf
Seite
x
Definition
Seite
x
Homeland Security
Seite
x
Intelligente Sicherheitslösungen
Seite
x
Masterplan Zivile Sicherheit
Seite
x
Zukunftsbranche
Seitex
Sicherheitszuhaltung
Maschinensicherheit
Seitex
SIEM
Protokolldaten aus IT-Systemen
Seite
x
Siemens
Brandschutz
Seitex
Korruption
Seitex
Simko
Seite x
Skimming
Rückgang
Seitex
Smartcard
Zutrittskontrolle
Seite x
Smartphone (s. a. Kommunikationssicherheit, mobile Endgeräte)
Antidiebstahlfunktionen
Seite x
Zutrittskontrolle
Seite x
Social Engineering
Gesprächstechniken
Seite 307
x
Software
Abwehr
Seitex
Seite
Angriffsziele
x
Apotheker-Spion
Seitex
Bergbaumaschinenindustrie
Seitex
China
Seitex
Seite
Deutsches Zentrum für Luft- und Raumfahrt
x
Huawei
Seitex
Industriespionage
Seitex
IT-Infrastruktur
Seitex
Löschmittel
Seitex
Seite
Mittelständische Wirtschaft als Opfer
x
NSA
Seitex
Schadensdimension
Seitex
Social Engineering
Seite
x
Straferhöhung USA
Seite
x
Videokonferenzen
Seitex
Sozialversicherung
Betrug
Seitex
Sprachausgabe
Brandmelder
Seitex
Einsatzspektrum
Seitex
Sprinkler
Hotel
Seitex
Seite
Wohnraumsprinkler
Sprühnebel-Löschanlage
x
Seitex
Sprühtrocknungsanlagen
Brandschutz
Seite
x
Stadionsicherheit
Entwicklung
Seite
x
Rechtliche Rahmenbedingungen
Seite
x
Stalking
Opferschutz
Seitex
Standards
Lieferkette
Seitex
308
Maritime Sicherheit
Seite
x
Offline Access Application
Seite
x
Seitex
Steuerbetrug
Stromhandel
Seitex
Stromausfall
Automatisierungstechnik
Seitex
Seite
Einsatzplanung der Feuerwehr 3
Energieversorgung
Seitex
Krisenmanagement
Seitex
Vorbereitung
Seitex
Seite
Wirkungsvolle Prävention
x
Stromhandel
Betrug
Seitex
Strommastensicherheit
Messung der Standfestigkeit
Seite
x
Seite
x
Supply Chain
s. a. Lieferkette
Logistiksicherheit
Seitex
Surveillance Industry Index
Überwachungstechnik
Seitex
Systemrisiken
Erhöhung von Resilience
Seite
x
Seite x
Tabula Rasa
Biometrie
Tankbetrug
Entwicklung
Seitex
Tankstelle
Videoüberwachung
Seite x
Seite x
Seite x
Target
Bankkartendaten gehackt
Telefonbetrug
Entwicklung
Terahertz-Strahlung
Anwendungen
Seitex
Terrorismus
Bedrohungslage November 2013
Seite
x
Bekämpfung
Seitex
Seite
Gefährdungslage Europa
309
x
Krisenregionen
Seitex
Libanon
Seitex
Mali
Seitex
Nigeria
Seitex
Nordafrika
Seitex
Sanktionslisten
Seitex
US-Bericht
Seitex
Tor
Anonymisierungsnetz
Seitex
Toxisches Gas
Arbeitsschutz
Seitex
Transportverschlüsselung
Zugang von Geheimdiensten
Seite
x
Trojaner
Chat-Protokoll
Seitex
Erpressung
Seitex
Neverquest
Seitex
Tunnelsicherheit
Tropfenzählsystem
Seitex
Praxisleitfaden
Seite
x
Seite
x
MSR-Technik
Umsatzsteuerkriminalität
Diesel-Mafia
Seite
x
Umsatzsteuerkarussell
Seite
x
Umweltkriminalität
Seite
x
UN-Konvention
Korruption
Seitex
Awareness
Seitex
Expertenbefragung
Seitex
Organisation
Seitex
Seite
Sicherheitsenquete 2012/2013
x
310
Sicherheitsgewerbe
Seitex
Standards
Seite3
Seite
x
Seite
x
Typische Sicherheitslecks
Unternehmensstrafrecht
Gesetzentwurf NRW
OWiG-Sanktionen
Seitex
Untreue im Geschäftsleben
Enger Tatbestand
Seite
x
Seite
x
Urheberrecht
Abmahnkosten
Seitex
USA
Hacking von Banken
Seite
x
Strafen für Spionage
Seite
x
Vandalismus
Berlin
Seitex
Videoüberwachung
Seitex
Ordnungsdienst
Seite x
Seite
x
Verschlüsselung
Außerhalb des Telefons
Boxcryptor
Seitex
Einstellung der Wirtschaft
Seite
x
Emails
Seite x
Handy
Seite x
Hardwaregestützt
Seite x
Kryptosoftware
Seite x
Mobile Endgeräte
Seite x
NSA-Skandal Seite
x
RC4 mit Schwächen
Seite
x
Strategie
Seitex
Trusted Platform Module
Seite
x
Verschlüsselungsstandard A5/3
Seite
x
VoiP-Basis
Seitex
Versicherung
Notfallplanung
Versicherungsbetrug
Seitex
System „RiskShield“
Seite
x
Verinice
Sicherheitsstandard
Seitex
Videoüberwachung
Adaptive Infrarottechnik
Seite
x
Algorithmen
Seitex
Analoge Videoüberwachung
Seite
x
Audio-visuelle Fernüberwachung
Seite
x
Auflösung
Seite
x
Autarke Analyse
Seite
x
Bahn
Seitex
Seite
Berliner ÖPV
x
Cloud
Seitex
Datenschutz
Seitex
Deinterlacing
Seitex
Detektion
Seitex
Dezentrale Systeme
Seite
x
Digitale Videoüberwachung
Seite
x
Einbruchschutz
Seite
x
Einkaufszentrum
Seite
x
Einsatzbereiche
Seite
x
Einzelhandel
Seite
x
Entwicklungsperspektiven
Seite
x
Errichterhaftung
Seitex
Explosionsschutz
Seitex
Fischaugen-Kamera
Seitex
Freigeländesicherung
Seitex
HD-Auswirkungen
Seitex
Hessen
Seitex
Infrarot-Technik
Seitex
Intelligente Analyse
Seite
x
IP-Überwachung: Trends
Seite
x
Kamera
Seite3
Seite
x
Lichtfeld-Kamera
Seitex
Managementsystem
Seitex
Marktübersicht
Seitex
311
312
Megapixel
Seitex
Multifocal Sensortechnologie
Seite
x
Nächtliche Ausleuchtung
Seite
x
Nummernschilderkennung
Seitex
Seite
x
Öffentliche Verkehrsmittel
Seite
x
ÖPV
Seitex
Prognosen
Seitex
Prozessoptimierung
Seitex
Sensorsysteme
Seitex
Spielkasino
Seitex
Strommanagement
Seitex
Seite Systemintegration
x
Tankstellen
Seitex
Tracking
Seitex
Überstrahlung
Seitex
USA
Seitex
Vandalismus
Seite x
Verkehrswesen
Seite x
Zentrale Systeme
Seite x
Seite x
Virtual Private Network (NVP)
Effizientes Management
Mastercard
Seitex
Online-Banking
Seitex
Visa
Seitex
Virtuelles Rechenzentrum
Sicherung
Seitex
Vodafone
Brandschutz
Seitex
Sabotage
Seitex
EU-Richtlinie
Seitex
Wärmebildkamera
Explosionsschutz
Seitex
Wärmedämmverbundsystem
Leistungsmerkmale
Wandhydranten
Seitex
Planung
Seitex
Web 2.0
Absicherung
Seitex
Wegfahrsperre
Hacking
Seitex
Werbebanner (Internet)
Manipulation
Seitex
Wertbehältnisse
Brandschutz
Seitex
EMA
Seitex
Seite
x
Seite
x
Seite
x
VdS-Richtlinie 2450
Wettbewerbskriminalität
Whistleblowing
Internationale Standards
Windows
EMET
Seite
x
Windows 8
Seite
x
Wirtschaftsauskunftei
Datenschutz
Seitex
Seite
x
Lagebild 2012
Seite
x
Netzwerk Standortsicherung Hamburg
Seite
x
Unternehmenskultur
Seitex
Wissenschaftssicherheit
Informationsschutz
Seite3
Zahlungskartenkriminalität
Ausland
Seitex
Seite
Bundeslagebild 2012
x
Skimming
Seitex
Tatverdächtige
Seitex
Zaunüberwachung (s. a. Perimeterschutz)
Neue Technologien
Seite
x
Zementwirtschaft
Kartell
Zigarettenschmuggel
Seitex
313
314
Ausweis- und Berechtigungsmanagement
Seite
x
Ausweistechnologie
Seitex
Seite Bank-Geschäftsstellen
x
Besuchermanagement
Seitex
Cloud-Anwendung
Seitex
Drehkreuz
Seitex
Durchgangssperren
Seitex
Einbruchmelder integriert
Seite x
Handvenenerkennung
Seite x
Integrierte Systeme
Seite x
Kleinere Objekte
Seite x
Klinik- und Heimsicherheit Seite x
Marktübersichten
Seitex
Seite
Near Field Communication
x
Personenvereinzelung
Seitex
Seite
Secure Open Supervised Device Protocol
x
Smartcard
Seitex
Software
Seitex
Stadion-Umfeld
Seitex
Trends
Seitex
Zutrittskonzept
Seitex
Zutrittsmanagement
Seitex
Zwangsläufigkeit
Seitex
Zylinderknauf
Elektronisch
Seitex
315
Impressum
Focus on Security enthält Informationen zum Unternehmensschutz und wird m
onatlich
herausgegeben. Der Focus on Security erscheint per elektronischem Newsletter, der an
1.800 Abonnenten verteilt wird.
Hinweis der Redaktion:
Sämtliche Personenbezeichnungen im Plural gelten auch ohne ausdrückliche Nennung
gleichermaßen für männliche und weibliche Personen.
Herausgeber:
Manfred Buhl, Vorsitzender der Geschäftsführung, Düsseldorf
Verantwortliche Redakteurin:
Birgit Dräger, Unternehmenskommunikation
Beratender Redakteur:
Reinhard Rupprecht, Bonn
focus.securitas.de
Kontakt
Securitas Holding GmbH
Redaktion Focus on Security
Hallesches Ufer 74–76
D-10963 Berlin
Sitz: Düsseldorf, Amtsgericht Düsseldorf HRB 33348
Geschäftsführer: Manfred Buhl (Vors.), Jens Müller,
René Helbig, Elke Hollenberg, Gabriele Biesing
Vorsitzender des Aufsichtsrates: Dr. Carl A. Schade
E-Mail: [email protected]

Jahrbuch der Unternehmenssicherheit 2013

Transcrição

Documentos relacionados

scouting Jahrbuch Voransicht

UNSER BEITRAG FÜR ÖSTERREICH

Zertifikat - Carlsberg Deutschland

1`13 ZEP - Brand Eins

Rx-Kommunikation in den Zeiten von Web 2.0

„Bespitzelung“ von Mitarbeitern - was ist erlaubt?

Literaturhinweise

list of abbreviations - German Historical Institute Washington DC

FAZ Ost Hallenturnier U12

Verkaufsgerüchte Berlin - Die Gerüchte um mögliche