Jahrbuch der Unternehmenssicherheit 2013
Transcrição
Jahrbuch der Unternehmenssicherheit 2013
Jahrbuch der Unternehmenssicherheit 2013 Herausgeber: Manfred Buhl 2 Jahrbuch der Unternehmenssicherheit 2013 Inhaltsverzeichnis Vorwort des Herausgebers Seite 12 Einleitung Seite13 Amok-Kriminalität Seite Arbeitsschutz Seite14 Archivsicherheit Seite16 Arzneimittelfälschung Seite Atomunfälle Seite17 Baustellensicherheit Seite17 Besuchermanagement Seite 18 18 14 16 Betrug Anstieg von Betrugsfällen Seite Bilanzbetrug Seite18 Bitcoinbetrüger Seite19 Betrug im Gesundheitswesen Seite 19 Betrug mittels Internet (s. a. IuK-Kriminalität) Seite 19 Kreditkartenbetrug Seite20 Sozialversicherungsbetrug Seite20 Tankbetrug Seite20 Telefonbetrug Seite21 Steuerbetrug Seite21 Biometrie Seite21 Brandanschläge Seite23 Brandschutz baulich-technischer Brandschutz Seite 24 Detektion und Alarmtechnik Seite 27 organisatorischer Brandschutz (s. a. Evakuierung, Fluchtwege) Seite 29 Löschtechnik Seite 29 Arbeitsstätten Seite 31 besondere Brandschutzthemen Seite 32 Bürosicherheit Seite36 Business Continuity Management Seite 36 Change Management Seite 37 Jahrbuch der Unternehmenssicherheit 2013 Cloud-Computing Haltung der Wirtschaft Seite 38 Private oder Public Cloud Seite 38 Empfehlungen des BSI Seite 41 Code of Conduct Seite 41 Compliance Seite41 Grundsätzliche und allgemeine Aspekte Seite 42 Einzelne Compliance-Themen Seite 43 KMU Seite44 Öffentliche Unternehmen Seite Finanzsektor Seite46 45 Datenschutz Seite46 Allgemein Seite46 Arbeitnehmerdatenschutz Seite48 KMU Seite 50 EU-Recht Seite 50 Geheimdienste Seite 51 Einzelthemen Seite 55 Diebstahl (s. a. Einbruch) Seite 55 Seite 58 Devisenmanipulation Seite 58 Dreidimensionaler Drucker Seite 59 Technischer Diebstahlschutz Einbruch Wohnungseinbruch Seite 59 Technischer Einbruchschutz Seite 59 Einbruchmeldetechnik (s. a. Gefahrenmeldetechnik) Seite 60 Embargoverstöße Seite 62 Erpressung Seite63 Evakuierung (s. a. Brandschutz, Fluchtwegsicherung) Seite Explosionsschutz Seite64 Extremismus Seite 65 Fahndung Seite 66 Fahrausweisautomatensicherheit Seite 67 Fahrzeugverriegelung Seite 67 63 3 4 Jahrbuch der Unternehmenssicherheit 2013 Falschgeld Seite 67 Feuerwehrausrüstung Seite68 Fluchtwegsicherung (s. a. Evakuierung) Seite 68 Flughafensicherheit (s. a. Luftsicherheit) Seite 69 Freigeländeüberwachung (s.a. Perimeterschutz) Seite 70 Gasdetektion Seite70 Gebäudesicherheit Seite Gefängnissicherheit Seite71 Gefahrenmanagement (s. a. Risikomanagement) Seite 72 Gefahrenmeldetechnik (s. a. Einbruchmeldetechnik) Seite 72 Gefahrstoffe Seite 74 Geiselnahme Seite 75 71 Geldautomatensicherheit Angriffe Seite 75 Technische Sicherung Seite 76 Geld- und Wertdienste Seite 77 Raubüberfälle Seite77 Neue Sicherheitskonzepte Seite 78 Geldwäsche Seite79 Grenzüberschreitende Kriminalität Seite Homejacking Seite81 Hotelsicherheit Seite 81 Identitätsdiebstahl Seite 82 IT-Sicherheit Seite 82 Absturzsicherheit Seite 82 Anonymisierung Seite82 App-Sicherheit Seite 83 Authentifikation Seite 84 Awareness Seite 85 Big Data Seite 85 BSI Seite 85 BYOD Seite87 Datenbank Seite88 Einzelhandel Seite 80 88 Jahrbuch der Unternehmenssicherheit 2013 Elektrische Signatur Seite 89 Elster Seite90 Email-Sicherheit Seite 90 Embedded Systems Seite 91 Endgeräte Seite91 EU Seite92 Firewall Seite93 Hackingabwehr Seite93 IBM Seite 95 Identity- and Access-.Management (IAM) Seite 95 Industrieanlagen Seite96 Industrie 4.0 Seite 98 IT-Grundschutz Seite 99 IT-Infrastruktur Seite 100 IT-Organisation Seite 101 IT-Sicherheitsgesetz Seite 101 KMU Seite 102 Kooperationen Seite103 Krankenhaus-IT Seite 104 Microsoft Seite 104 Normen Seite 105 Payment Card Industry Seite 105 Personalausweis Seite106 SAP-Systeme Seite 106 Security by Design Seite 106 Security Engineering Seite 106 Sicherheitsbewusstsein Seite 107 Sicherheitslücken Seite110 Social Media Seite 112 Software-Lizenzierung Seite 112 Verschlüsselung Seite 112 Versicherungen Seite 115 Virtual Private Network Seite 116 Virtuelle Rechenzentren Seite 116 5 6 Jahrbuch der Unternehmenssicherheit 2013 Web 2.0 Seite 117 Windows 8 Seite 117 IuK-Kriminalität Seite 117 Adobe Seite118 Advanced Persistant Threats (APT) Seite 118 Banken Seite119 Bedrohungslage / Entwicklung Seite 120 BKA Seite121 Bitcoin Seite123 Botnetze Seite123 China Seite124 Elster Seite 125 Finanzstruktur Seite126 Geheimdienste Seite126 Hacking Seite128 Haftung Seite130 Java Seite131 Phishing Seite131 Ransomware Seite 132 Schadsoftware Seite133 Social Engineering Seite 134 Spam Seite 135 Stuxnet Seite 135 Trojaner Seite 135 Juweliersicherheit Seite136 Kartellrechtsverstöße Seite136 Kartenbetrug (s. a. Betrug) Seite 138 Katastrophenschutz Seite139 Klinik- und Heimsicherheit Seite 140 Know-how-Schutz Seite 140 Kommunikationssicherheit (s. a. IT-Sicherheit) Seite 141 Korruption Dimension Seite142 Einzelfälle Seite146 Jahrbuch der Unternehmenssicherheit 2013 Sanktionen Seite147 Korruptionsprävention Seite148 KFZ-Diebstahl Seite 149 Kriminalstatistik Seite 150 Bank- und Geschäftsraub Seite 151 Diebstahl – Geschäftsdiebstahl Seite 151 Betrug und Untreue im Geschäftsleben Seite 152 Computer- und Internetkriminalität Seite 153 Wettbewerbs- und Korruptionskriminalität Seite 154 Fälschungsdelikte Seite 154 Insolvenzkriminalität Seite 154 Geldwäsche Seite 154 Gefährliche Eingriffe in den Verkehr Seite 155 Umweltkriminalität im Wirtschaftsbereich Seite 155 Verletzung strafrechtlicher Nebengesetze im Wirtschaftsbereich Seite 155 Krisenmanagement Seite 156 Krisenstabsarbeit Seite 157 Krisenregionen Seite 157 Kritische Infrastrukturen Seite 159 Logistiksicherheit Seite 159 Luftsicherheit (s. a. Flughafensicherheit) Seite 164 Managerhaftung Seite 164 Maritime Sicherheit (s. a. Piraterie Seite 165 Maschinensicherheit (s. a. Arbeitsschutz) Seite 166 Metalldiebstahl Seite 169 Mindestlohnüberprüfung Seite169 Mitarbeiterkriminalität (s. a. Compliance) Seite 170 Mobile Endgeräte (s. a. Kommunikationssicherheit) Seite 170 Museumssicherheit Seite 170 Nachhaltigkeit Seite 175 Nationale Sicherheitsstrategie Seite 175 Near Field Communication (NFC) Seite 176 Notfallmanagement Seite176 Notruf- und Service-Leitstelle (NSL) Seite 177 7 8 Jahrbuch der Unternehmenssicherheit 2013 ÖPV-Sicherheit Seite 178 Online-Banking Seite 181 Organisierte Kriminalität Seite 182 Vorbemerkung Seite182 Allgemeiner Überblick Seite 183 OK im Zusammenhang mit dem Wirtschaftsleben Seite 183 Perimeterschutz (s. a. Freigeländesicherung) Seite 186 Personenschutz Seite187 Piraterie (s. a. Maritime Sicherheit Seite 188 Gefährdungshinweise des BMI Seite 188 Gefährdung des Seeverkehrsdurch Piraterie Seite 188 Gefährdung der Seeschifffahrt durch islamistischen Terrorismus Seite 190 Postkontrolle im Unternehmen Seite 192 Produktpiraterie Lage und Abwehrkonzeptionen Seite 193 Messen Seite 195 Einzelfälle Seite 195 Proliferation Seite 196 Raffineriesicherheit Seite 196 Raubüberfälle (s. a. Geld- und Wertdienste, Juweliersicherheit) Seite 196 Rechenzentrumssicherheit Konzeption, Planung Seite 196 Brandschutz Seite197 Lüftungs- / Kühlungssysteme Seite 199 Stromversorgung Seite199 Zutrittskontrolle Seite200 RFID Seite 200 Risikomanagement (s.a. Gefahrenmanagement) Seite 201 Risikoregionen (s.a. Krisenregionen) Seite 202 Robotersicherheit Seite202 Sabotage Seite203 Schließsysteme Seite203 Schwarzarbeit Seite206 Sicherheitsbeleuchtung Seite 207 Jahrbuch der Unternehmenssicherheit 2013 Sicherheitsforschung Seite207 Sicherheitsgewerbe (s. a. Sicherheitswirtschaft) Allgemeine Themen Seite 208 Situation der Beschäftigten Seite 209 Aus- und Weiterbildung Seite 209 Ausrüstung Seite210 Einsatzbereiche Seite211 Politische Forderungen Seite 212 Rechtsextremismus Seite212 Sicherheitsleitsystem Seite212 Seite 213 Sicherheitsmanagement Sicherheitsmarkt Seite213 Sicherheitsplanung Seite 215 Sicherheitsstudium Seite 215 Sicherheitssysteme Seite 215 Sicherheitstechnik Seite 215 Sicherheitswirtschaft (s. a. Sicherheitsgewerbe) Seite 218 Soziale Netzwerke Seite 219 Spionage Schadensausmaß Seite 219 Angriffsziele Seite 221 Spionageprogramme Seite 222 Lauschmittel Seite222 Social Engineering Seite 223 China Seite 224 Abwehr Seite 224 Sprengstoffspürhunde Seite 226 Stadionsicherheit Seite 227 Stalking Seite227 Steuerkriminalität Seite 228 Stromausfall Seite229 Strommastensicherheit Seite 231 Systemrisiken Seite231 Terrorismus 9 10 Jahrbuch der Unternehmenssicherheit 2013 Bedrohungslage Seite232 Krisenregionen Seite233 Terrorismusbekämpfung Seite234 Tunnelsicherheit Seite 235 Überflutungsvorsorge Seite 236 Überspannungsschutz Seite236 Unternehmenssicherheit Sicherheitsenquete 2012/2013 Seite 236 Unternehmensrisiken Seite237 Standards Seite238 Awareness Seite238 Unternehmensstrafrecht und Ordnungswidrigkeiten Seite 239 Untreue Seite240 Urheberrecht Seite240 Vandalismus Seite240 Veranstaltungssicherheit Seite241 Versicherungsbetrug Seite241 Videoüberwachung Seite241 Entwicklungsperspektiven Umfassende Betrachtung Seite 241 Analog contra digitale Videoüberwachung Seite 241 Videoüberwachung in der Cloud Seite 244 Marktübersicht Seite 245 Prognosen Seite 245 Videokamera Objektiv-Design Seite 245 Megapixelkamera Seite 246 Lichtfeldkameras Seite 246 Fischaugen-Kameras Seite 246 Seite 247 Schutz vor Vandalismus Licht Lichtempfindlichkeit Seite 247 Nächtliche Ausleuchtung Seite 248 Infrarot-Technik Seite 248 Jahrbuch der Unternehmenssicherheit 2013 Detektion und Analyse Multifocal-Sensortechnologie Seite 249 Autarke und intelligente Videoüberwachung Seite 249 Managementsystem Seite 251 Audio-visuelle Fernüberwachung Seite 251 Einsatzbereiche Prozessoptimierung Seite 252 Einzelhandel Seite 252 Spielkasino Seite 253 Verkehrswesen Seite 254 Öffentliche Plätze Seite 255 Einbruchschutz Seite 256 Datenschutz Seite 256 Einzelthemen Seite 257 Vorratsdatenspeicherung Seite 258 Wertbehältnisse Seite 258 Whistleblowing Seite 258 Wirtschaftskriminalität Seite 259 Wissenschaftssicherheit Seite 261 Zahlungskartenkriminalität Seite 261 Skimming Seite 262 Tatverdächtige Seite262 Zigarettenschmuggel Seite263 Zoll Seite 263 Zutrittskontrolle Zutrittssystem und –management Seite 263 Cloud-Anwendung Seite 265 Ausweistechnologie Seite 265 Smartphone/Near Field Communication Seite 266 integrierte Systeme Seite 267 Durchgangssperren Seite 268 Marktübersichten Seite 269 Trends Seite 269 Spezifische Liegenschaften Seite 270 11 12 Jahrbuch der Unternehmenssicherheit 2013 Vorwort des Herausgebers Unternehmenssicherheit, das ist ein hohes Ziel und eine komplexe Aufgabenstellung des Managements als Teil des Wertschöpfungsprozesses der Wirtschaft. So unterschiedlich wie die Bedrohungen sind die Möglichkeiten, sie abzuwehren und den durch sie verursachten Schaden zu reduzieren. Die Fülle der Bedrohungsphänomene ist kaum noch zu übersehen, zumal sie sich mit ihren Rahmenbedingungen tendenziell verändern. Und auch die baulichen, technischen, organisatorischen, personellen und normativen Schutzmöglichkeiten sind in ihrer Vielfältigkeit weit gespannt und insbesondere aufgrund der technologischen Innovationen einem fortschreitenden Wandel unterworfen. Von Jahr zu Jahr gewinnt die Informations- und Kommunikationstechnologie an Gewicht, sowohl für die Angreifer wie für die Verteidiger. Die von mir monatlich zusammengestellten Informationen „Focus on Security“ sollen – ohne Anspruch auf Vollständigkeit – einen möglichst breiten Überblick über aktuelle Veröffentlichungen zu Themen der Unternehmenssicherheit geben. Sie enthalten kurze Auszüge und Zusammenfassungen aus den angegebenen Quellentexten, die dem Leser einen Überblick über die aktuell behandelten Probleme und die Möglichkeit geben sollen, ein besonderes Interesse an der Veröffentlichung festzustellen und sie zu beschaffen. Aus mehreren Gründen habe ich mich entschlossen, die jeden Monat erscheinenden Informationen thematisch gegliedert als Jahrbuch zusammenzufassen, soweit sie am Jahresende über das Jahr hinaus von Bedeutung sind: -Das Jahrbuch ermöglicht mehr Übersichtlichkeit und ein schnelleres Auffinden der einzelnen Beiträge, als wenn man jeweils die 12 Monatsausgaben durch sehen muss. -Das Jahrbuch vermittelt einen Eindruck von der Fülle der Themen, die im abgelaufenen Jahr im Fachschrifttum und in der Presse behandelt worden sind. -Es zeigt deutlicher als die einzelnen Monatsausgaben, welche Probleme im Mittel punkt der Erörterung standen, weil die Bedrohungsphänomene sich veränderten oder weil die zu ihrer Abwehr einzusetzende Technologie Fortschritte erzielt hat. Ich wünsche Ihnen, dass das Jahrbuch der Unternehmenssicherheit Ihr Interesse findet und freue mich, wenn Sie ohne langes Suchen auf die Sie interessierenden Themen stoßen, also Zeit und neue Erkenntnisse gewinnen. Jahrbuch der Unternehmenssicherheit 2013 Einleitung Das Jahrbuch der Unternehmenssicherheit ist eine fachlich strukturierte Zusammenstellung der Monatsausgaben „Focus on Security“. Die Texte werden dabei nach Möglichkeit nicht verändert, auch nicht die zur Verdeutlichung der Bezugnahme auf einen Quellentext verwendete indirekte Rede. Wird ein Thema im Verlauf der 12 Monats ausgaben wiederholt behandelt, dann wird die Wiederholung in das Jahrbuch nur aufgenommen, wenn und soweit damit auch neue inhaltliche Aussagen verbunden sind. Verzichtet wird ferner auf die Aufnahme von Texten, die aktuell keine erhebliche Bedeutung mehr haben. Das gilt insbesondere für Schadensereignisse, deren Eintrittsmöglichkeit durch technische oder normative Veränderungen zwischenzeitlich beseitigt wurde. Die Wiedergabe der Fundstelle des Quellentextes – nach Möglichkeit auch die Angabe des Autors – soll die Authentizität des jeweiligen Textes unterstreichen und dem Leser die Beschaffung des Quellentextes erleichtern. Ebenso wie bei den monatlichen Periodika wird im Jahrbuch Wert auf Übersichtlichkeit und leichte Auffindbarkeit von Texten gelegt: -Deshalb ist das Jahrbuch nach gängigen Suchbegriffen in alphabetischer Reihenfolge gegliedert. Dabei lassen sich Themen oft mehreren Suchbegriffen zuordnen, ohne dass einem von ihnen Priorität zukommt. Die Auffindbarkeit wird durch die Aufnahme aller in Betracht kommenden Suchbegriffe in das Schlagwortregister gewährleistet. - S uchbegriffe, die einen weiten Begriffsspiel raum haben, so dass ihnen eine Vielzahl von Texten zuzuordnen ist, werden durch systematisch oder alphabetisch gegliederte Unterbegriffe strukturiert. -Auch im Schlagwortregister sind Oberbegriffen zumeist Unterbegriffe zugeordnet, für die dann die jeweiligen Fundstellen nach Seitenzahlen angegeben werden. -Die Übersicht über das breite Spektrum der behandelten Themen wird durch eine einführende Gliederung erleichtert. Wie bei den Monatsausgaben werden alle Themen einbezogen, aber auch nur solche, die für die Unternehmenssicherheit von Bedeutung sind – also nicht nur Ausführungen zur Security und ihrer Bedrohung, einschließlich Bundeskriminalstatistik und Bundeslagebildern zu einzelnen Bedrohungsphänomenen – sondern auch zur Safety und deren Beeinträchtigung. Ohne Anspruch auf Vollständigkeit werden daher auch der Arbeitsschutz und Maschinensicherheit thematisiert, unbeschadet der organisatorischen Trennung von Corporate Security in vielen Unternehmen. Deshalb werden auch die Bereiche der IT-Sicherheit im Unternehmen und der IuK-Kriminalität im Jahrbuch behandelt. Diese Themenbereiche nehmen sogar einen immer breiteren Raum in Fachzeitschriften und in der Tagespresse ein. Diese Tendenz spiegelt sich im Jahrbuch der Unternehmenssicherheit wider. 13 14 Jahrbuch der Unternehmenssicherheit 2013 Amok-Kriminalität Ein 57 Jahre alter Berufskraftfahrer einer Spedition habe nach anfänglichem Leugnen nach stundenlanger Vernehmung gestanden, der seit fünf Jahren gesuchte „Lkw-Sniper“ zu sein, berichtet die FAZ am 26. Juni. In der Hecke seines Gartens habe die Polizei neben 1300 Schuss Munition zwei Pistolen mit Schalldämpfern gefunden. Auch einen „Schießkugelschreiber“ habe er offenbar für seine Anschläge benutzt. 762 Mal soll er auf Autobahnen zwischen dem 9. Dezember 2009 und dem 19. April 2013 aus der Fahrerkabine seines Lkw vor allem auf Autotransporter und deren Fahrer geschossen haben. Erst der Vergleich Tausender Daten von Lkw-Kennzeichen, die mittels sechs Kameraanlagen erfasst wurden, habe die Ermittler auf die Fährte des Täters gebracht. Als Motiv habe der Tatverdächtige „Ärger und Frust im Straßenverkehr“ genannt. Die Tatserie über mehr als drei Jahre wäre nach Ansicht von BKA-Präsident Ziercke wesentlich früher aufgeklärt worden, wenn die Polizei Zugriff auf die Mautdaten Hunderttausender Lastwagen gehabt hätte, die nicht für polizeiliche Ermittlungen benutzt werden dürfen. Stattdessen habe das BKA mit „großem Aufwand“ über die „Telemetrie-Daten“ der Speditionen für ihre Lastwagen mögliche Tatstrecken rekonstruieren müssen. Arbeitsschutz Eine der Herausforderungen für Fachkräfte für Arbeitssicherheit und Umweltschutzbeauftragte ist die Nachverfolgung von Vorschriftenänderungen und neu erlassenen Vorschriften, heißt es in der Ausgabe 3-2013 der Fachzeitschrift GIT (S. 96–98). Erleichtern könne diese Arbeit eine Software-Lösung wie der „Haufe Vorschriften-Manager“. Da es sich um eine webbasierte Lösung handelt, könnten die Nutzer jederzeit auf aktuelle Informationen zurückgreifen. Der Haufe Vorschriften-Manager biete auch die Möglichkeit, verschiedene Rollen und Rechte zu vergeben. Jeder Bereichsleiter sehe nur die Pflichten, die für ihn oder seine Anlagen gelten. Diese könnten dann über die Software an die Anlagenverantwortlichen delegiert werden. Sind verschiedene Unternehmensbereiche oder Standorte mit Umweltschutzoder Arbeitssicherheitsfragen befasst, sollten für diese jeweils eigene Gruppen einfach einsehbarer Rechtskataster angelegt werden. Mit einer speziellen Software (der EcoIntense GmbH), die den Arbeits- und Umweltschutz bei der Roman Mayer Logistik Group unterstützt, befasst sich GIT in der Ausgabe 102013 (S. 116/117). Bei der Einhaltung der steigenden Anforderungen an Arbeitsstätten entstünden Unmengen an Daten, die nur schwer zu verarbeiten seien. Die Software EcoWebDesk sei spezialisiert auf alle HSE (Health, Safety and Environment)-Prozesse und ermögliche es aufgrund der Webtechnologie, alle Aufgaben des Arbeits- und Umweltschutzes flexibel und standortübergreifend zu bearbeiten. Über eine integrierte Schnittstelle zu einer Umweltrechtsdatenbank würden die Verantwortlichen über Rechtsänderungen automatisch per E-Mail informiert (Fachmodul „EcoWebDesk Legal Compliance“). Dipl.-Ing. Andreas Vogt, Berufsgenossenschaft der Bauwirtschaft und DGUV, nimmt in der Fachzeitschrift GIT (Ausgabe 9-2013, S. 122–124, Ausgabe 11-2013, S. 112/113 und Ausgabe 12-2013, S. 94/95) Stellung zur Auswahl des richtigen Fußschutzes für betriebliche Tätigkeiten. Außerdem beleuchtet er die relevanten rechtlichen Hintergründe, zeigt Auswahlkriterien auf und gibt Informationen und Tipps zur Auswahl. Fußschutz werde in der Regel nach harmonisierten Normen gefertigt. Man unterscheide grundsätzlich folgende Normen: Sicherheitsschuh: DIN EN ISO 20345; Schutzschuh: Jahrbuch der Unternehmenssicherheit 2013 DIN EN ISO 20346; Berufsschuh: DIN EN ISO 20347. In der berufsgenossenschaftlichen Regel „Benutzung von Fuß- und Knieschutz“ (BGR 191) stehe dem Anwender eine umfangreiche Beispielsammlung zur Verfügung. Einflussfaktoren auf den Tragekomfort seien: Passform, Zehenkappen, Polsterung, Klimamembran, Gewicht, Schuhverschluss und Schutz gegen Umknicken. In einem weiteren Beitrag in Ausgabe 11-2013 werden die Anforderungen an HochleistungsIndustriehelme behandelt, die in der DIN EN 14052 festgelegt sind. Die Norm solle da greifen, wo herkömmliche ihre Leistungsgrenze erreichen. Beschrieben werden unter anderem „beliebte Anstoßkappen“, verschiedene Materialien entsprechend auszuhaltenden Temperaturen, passendes Zubehör, Kennzeichnung, Haltbarkeit und Prüfung (S. 114/115). Thematisiert werden ferner pneumatische Hebebühnen. Fast ein Drittel aller tödlichen Arbeitsunfälle in Deutschland zwischen 2001 und 2010 sind laut Bundesanstalt für Arbeitsschutz und Arbeitsmedizin auf Stürze zurückzuführen. Grund für diese Unfälle seien meist fehlende Sicherheitsvorkehrungen. Vor allem beim Lackieren großer Fahrzeuge oder Bauteile werde oft noch mit wackeligen Leitern gearbeitet, da sich ungekapselte elektrische Hebebühnen wegen des Explosionsschutzes verbieten. Dabei gebe es inzwischen Hub-Lösungen, die mit derselben Druckluft betrieben werden wie auch die Lackier-Werkzeuge. Der Installationsaufwand werde dadurch minimiert und gleichzeitig der Arbeiter durch eine Vielzahl an konstruktiven Maßnahmen abgesichert (S. 116/117). Dr. Sabine Trupp, Fraunhofer-Einrichtung für Modulare Festkörper-Technologien, zeigt, dass Sensorfarbstoffe neue Möglichkeiten im Arbeitsschutz eröffnen. Sie reagierten auf bestimmte gefährliche Substanzen. Ein Sensor-Handschuh, der sich bei Kontakt mit Gefahrstoffen verfärbt, warnt den Mitarbeiter unverzüglich, sobald dieser mit gefährlichen Substanzen in Berührung kommt. Darüber hinaus lasse sich mit Hilfe dieser Technologie der kontaminierte Bereich örtlich sehr eng eingrenzen (S. 118/119). Die Fraunhofer Einrichtung für Modulare Festkörper-Technologien (EMFT) habe einen Schutzhandschuh aus intelligentem Textil entwickelt, das toxische Stoffe in der Umgebungsluft detektiert und diese durch Verfärbung anzeigt, berichtet auch der Sicherheits-Berater (Nr. 13, S. 204/205). Dieser Farbwechsel warne den Mitarbeiter, sich schnellstmöglich aus der Gefahrenzone zu begeben. Weitere Anwendungen seien vorstellbar: die schnelle Prüfung von Gaslecks oder die Prüfung der Qualität von Lebensmitteln als zukünftige Einsatzgebiete. Auch ein noch zu entwickelndes Sensormodul, das in der Kleidung integriert ist, könne Messwerte speichern und so über die Exposition der tragenden Person giftige Konzentrationen in einem gefährdeten Umfeld dokumentieren. In der Ausgabe 12-2013 stellt GIT neue Lösungen für den Schutz vor Gefahren durch toxische oder explosive Gase vor (S. 98/99). Neben dem Tango TX1, das als erstes Eingaswarngerät zwei gleiche Sensoren zur Erkennung eines einzelnen Gases verwendet, ermögliche die Accenture Life Safety Solution von Industrial Scientific Deutschland die drahtlose Echtzeitüberwachung und -ortung von Mitarbeitern in Industrieanlagen. Mit dem Service iNet erhielten Kunden Gaswarntechnik als Dienstleistung. Gaswarngeräte müssten mit iNet nicht mehr gekauft, sondern könnten gemietet werden. Gerätekalibrierungen und -wartungen würden automatisch und ohne zusätzliche Kosten durchgeführt. Der Sicherheitsberater befasst sich am 1. Oktober mit der Arbeitsergonomie in Leitstellen (S. 296–298). In Notruf- oder Serviceleitstellen (NSL), in denen sich üblicherweise mehrere Arbeitnehmer einen Arbeitsplatz teilen, sollten sich die Arbeitsmittel dynamisch und flexibel an die jeweiligen Bedürfnisse der Mitarbeiter anpassen lassen. Insgesamt seien die körpergerechten Abmessungen bei Möblierung im Auge zu behalten. Arbeits- und Anzeigegeräte wie Monitore sollten ergonomisch justiert werden können. Beleuchtungs-/Reflexionsvorgaben seien einzuhalten. 15 16 Jahrbuch der Unternehmenssicherheit 2013 Die Temperatur solle bei mindestens 20 und maximal 26 Grad liegen. Für die Einhaltung der zulässigen Umgebungslautstärke müsse gesorgt werden. Vorzugsweise sollte die Be- legschaft bis maximal 30–50 % der Arbeitszeit im Sitzen verbringen, den Rest abwechselnd im Stehen und in Bewegung. Archivsicherheit Archive, in denen wichtige Dokumente wie Handelsbriefe, Jahresabschlüsse, Urkunden oder Hypotheken aufzubewahren sind, müssten vor Feuer, Wasser, Einbruch und Beschädigungen geschützt werden (Sicherheitsberater Nr. 16/2013, S. 236–238). Bei langfristiger Lagerung sei eine konstante Klimatisierung wichtig. Beim Brandschutz müsse ein erhöhter Feuerwiderstandswert in der Qualität F120 angestrebt werden, da Papier leicht brennbar ist. Arzneimittelfälschung INTERPOL hat am 12. März bekannt gegeben, dass die Organisation zusammen mit der pharmazeutischen Industrie eine globale Initiative zur Bekämpfung der Arzneimittelfälschung ins Leben gerufen hat. Das auf drei Jahre angelegte Abkommen mit 29 der größten Pharmazieunternehmen ziele darauf ab, Interpols Programm gegen Pharmaziekriminalität mit 4,5 Millionen Euro zu finanzieren und darauf die Arbeit der „Medical Product Counterfeiting and Pharmaceutical Crime (MCPC)-Einheit“ aufzubauen. Das Programm werde sich auf die Prävention aller Arten pharmazeutischer Kriminalität konzentrieren, einschließlich der Drogenfälschung und der Identifizierung und Aufdeckung von Netzwerken organisierter Kriminalität in diesem Bereich, durch die jedes Jahr Millionen illegaler Profite generiert würden. Der Markt für illegale Arzneimittel blüht wie nie, titelt die FAZ am 14. September. Seien früher Rauschgifte im Inland aus illegal eingeführten Substanzen zusammengemischt worden, so geschehe das heute auch für Arzneimittel immer öfter. Die würden dann über den Bekanntenkreis oder das Internet verkauft. Deshalb warnten Apotheker, Pharmahersteller und der Zoll vor dem Kauf von Arzneimitteln, Aufbaustoffen oder auch Nahrungsergänzungsmitteln auf nicht zerti- fizierten Internetseiten. Selbst wenn dort mit dem Hinweis „alles Natur“ geworben werde, hätten Untersuchungen erschreckend hohe chemische Wirkstoffdosen ergeben. Jedes zweite auf einer illegalen Website erworbene Medikament sei gefälscht. Mit Hilfe eines neuen und angeblich fälschungssicheren Verpackungssystems „Securpharm“ wollten Hersteller und Apotheken das Problem in den Griff bekommen. Seien 2005 noch 531.000 illegale Tabletten aus dem Verkehr gezogen worden, so seien es 2012 schon neunmal so viele: 4,5 Millionen. Die Zahl der Ermittlungsverfahren sei um den Faktor 7 gestiegen, von 268 auf 1.805. Die FAZ befasst sich am 10. Dezember mit Möglichkeiten, die Lieferkette von Medikamenten vor Fälschungen zu sichern. Von 2017 an müssten Erstöffnungsschutz und die Serialisierung bei den meisten verschreibungspflichtigen Medikamenten europaweit sicherstellen, dass Fälschungen nicht in die legale Lieferkette eindringen. Das sei ein großer technischer und finanzieller Aufwand, doch die Gefahr sei eminent. Immerhin läge im Handel mit gefälschten Arzneimitteln die Gewinnspanne mitunter höher als in dem mit Drogen. Zum Spektrum der Fälschungen gehörten Arzneien gegen Aids, Krebs, Malaria, aber auch Erkältungskrankheiten und Jahrbuch der Unternehmenssicherheit 2013 vieles mehr. Weltweit seien rund 10 % aller Medikamente gefälscht, wobei mehr als 50 % der im Internet verkauften Pharmazeutika und rund 60 % der Arzneimittel in Entwicklungsländern den Hauptanteil ausmachten. Schutz könne ein kontrollierter Vertriebsweg bringen, der lückenlos die Ware von der Produktion bis zum Verbraucher verfolgt. In Deutschland habe die Initiative Securpharm (www.securpharm.de), in der sich Arzneimittelhersteller, Pharmagroßhändler und Apotheker zusammengeschlossen haben, eine Überwachung der kompletten Lieferkette entwickelt, die der Richtlinie 2011/62/EU des Europäischen Parlaments entspreche. Zum Schutz des legalen Vertriebswegs werde beim Verpackungsprozess jedes Medikament mit einem aufgedruckten 2D-Data-Matrix-Code gekennzeichnet, dessen Aussehen einer Internetbriefmarke gleiche. In ihm werden nicht nur die weltweit eindeutige Pharmacy Product Number (PPN), Chargenbezeichnung und Verfallsdatum verschlüsselt, sondern auch eine Seriennummer, die für jede Packung generiert wird. Mit ihrer Seriennummer werde jede Verpackung abschließend in einer zentralen Datenbank registriert. Über die eindeutige Kennzeichnung könne dann bei der Abgabe in der Apotheke kontrolliert werden, ob es sich um eine registrierte, frische Verpackung handelt. Für den Schutz des Inhalts müsse laut EU-Richtlinie zudem eine manipulationssichere Verpackung (Tamper Evidence) vorhanden sein. Im Vordergrund stehe hier, dass der Apotheker, aber auch der Kunde, erkennt, ob die Schachtel, Dose oder Flasche schon einmal geöffnet wurde. Der Versiegelungsspezialist Schreiner Prosecure biete neben dem Erstöffnungsschutz auch Kennzeichnungen zum Originalitätsschutz von Packungen wie Hologramme, aber auch die besonders geschützten Kippfarben. Zusätzlich zu solch sichtbaren Verfahren ließen sich – dann aber nur für Fachleute dechiffrierbar – unsichtbare Echtheitsnachweise in Verpackungen integrieren, beispielsweise als RFID-Label oder in Form von Spezialpigmenten. Mit einem spektroskopischen Lesegerät lasse sich per Laser die Mineralienmischung wie eine Art Fingerabdruck überprüfen. Es ließe sich verfolgen, von wem, wo und wann ein Medikament produziert wurde. Atomunfälle Die Betreiber europäischer Atomkraftwerke sollen nur mit rund 1 Milliarde Euro für Unfälle haften. Dafür habe sich Energiekommissar Günther Oettinger ausgesprochen, meldet die FAZ am 1. November. Er habe konkrete Vorschläge für Haftung und einhergehende Versicherungspflicht Anfang 2013 ange- kündigt. Bisher sei die Haftung bei Unfällen in jedem Staat anders geregelt. In Deutschland hafteten Energiekonzerne mit ihrem Vermögen, zudem sei für jedes Kraftwerk eine Versicherung über 2,5 Milliarden Euro abzuschließen. Baustellensicherheit Dr. Karl-Bernhard Lederle, Bosch Sicherheitssysteme, stellt in der Fachzeitschrift WiK (Ausgabe 6-2013, S. 66/67) ein neues Konzept gegen „Klau am Bau“ vor. Mit „Goard’nGo“ habe Bosch ein Konzept entwickelt, das Prävention, Intervention und Überwachung kombiniert. Die Basis sei eine Videoüberwachung mit intelligenter Video- analyse. Die Kommunikation zwischen der Sicherheitstechnik vor Ort und der NSL könne über die vorhandenen Mobilfunknetze erfolgen. Die Stromversorgung werde bei Bedarf über Solarpanels und Akkus sichergestellt. Sogenannte Funksiegel könnten an Baumaschinen befestigt werden und bei Bewegung einen Alarm senden. Aufgrund ihrer Wie- 17 18 Jahrbuch der Unternehmenssicherheit 2013 derverwendbarkeit eigneten sich Funksiegel besonders gut für den temporären Einsatz, wie er für Baustellen typisch ist. Durch ihren weiten Temperaturbereich von - 40 bis + 70 Grad eigneten sie sich für den Außenbereich, auch bei extremen Umgebungsbedingungen. Um tagsüber den Baustellenbetrieb nicht zu behindern, könnten sie zu Arbeitsbeginn über die NSL unscharf geschaltet werden. Besuchermanagement PROTECTOR befasst sich in der Ausgabe 6-2013 mit einem präzisen Besuchermanagement. Mit Voranmeldung durch den jeweiligen Mitarbeiter würden die Daten des Besuchers in einer Datenbank gespeichert. Der Pförtner wisse somit genau, ob tatsächlich ein Termin geplant ist. Externe Berater oder Leiharbeiter, die des Öfteren im Unternehmen tätig sind, müssten nicht jedes Mal neu registriert und begleitet werden. Sie erhielten nach vorheriger Überprüfung über einen Zeitraum Zugang zu eingeschränkten Bereichen. Mitarbeiter von Fremdfirmen, die regelmäßig anwesend sind, bekämen einen aktiven Ausweis. Sie ließen sich am Selbstanmeldekiosk per Biometrie identifizieren (S. 50/51). Mit der elektronischen Personenregistrierung in Gebäudekomplexen befasst sich Protector auch in der Ausgabe 9-2013 (S. 31/32). Intelligente Visitor Management Systeme ließen sich heutzutage eng in die gängigen Zugangskontrollsysteme und Lösungen zur Personalverwaltung integrieren. Damit könnten größere Besucheraufkommen einfach und schnell vor Ort erfasst werden. Verfügt ein Gebäude über mehrere Eingänge, könnten Informationen von allen Eingangspunkten abgerufen und zentral verwaltet werden, so dass der Besucher jederzeit frei entscheiden kann, über welchen Ausgang er das Gebäude verlassen möchte. Ein weiterer Vorteil des elektronischen Besuchermanagements bestünde darin, dass Gäste bequem durch eine Online-Voranmeldung registriert werden können. Bei Ankunft reiche dann das Scannen des Personalausweises oder des Führerscheins. Betrug – Anstieg von Betrugsfällen 71 % der europäischen Sach- und Haftpflichtversicherer bestätigten nach einem Bericht in der Fachzeitschrift SICHERHEITSFORUM (Ausgabe 5-2013, S .31) einen spürbaren Anstieg von Betrugsfällen in den letzten drei Jahren. Die in einer Studie von Accenture befragten Führungskräfte sorgten sich über verschiedene Aspekte ihrer Schadensregulierungssysteme. Dies betreffe vor allem ihren Kundenservice: 84 % der Befragten hielten die Systeme ihrer Versicherungen für nicht flexibel und modern genug. Laut 51 % der Befragten sind ihre Systeme nicht in der Lage, das wachsende und verfügbare Datenvolumen zu erfassen und entsprechend zu analysieren. Nach dem Ergebnis der Studie wollen 79 % der europäischen Versicherer Prozesse optimieren und automatisieren, 60 % in Datenanalyse und Betrugserkennung sowie 45 % in Dokumenten- und Workflow-Management investieren. Betrug – Bilanzbetrug Computerwoche.de berichtet am 22. August, das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) habe das „Benfordsche Gesetz“ weiterentwickelt. Mit der „modellbasierten Zifferanalyse“, die sich selbstlernend dem Untersuchungsumfeld anpasst, würden Jahrbuch der Unternehmenssicherheit 2013 bisherige Schwächen der Methode ausgebessert. Bei der Aufklärung von Betrugs- und Manipulationsdelikten machten sich forensische Wirtschaftsprüfer dieses Zahlengesetz zunutze. Denn wenn ein Betrüger Rechnungen oder Buchhaltungsdaten manipuliere, greife er in die natürliche Verteilung der Zahlen ein. Mittels einer speziellen Software könnten diese Abweichungen erkannt werden. Das Problem für die Wirtschaftsprüfer seien bislang die Besonderheiten von Unternehmensdaten gewesen, die weniger natürlichen, als vielmehr marktbedingten Gesetzmäßigkeiten unterlägen. Den Fraunhofer Experten sei es nun aber gelungen, unternehmensspezifische Bedingungen mit zu berücksichtigen und in der „modellbasier- ten Ziffernanalyse“ umzusetzen. Sie ersetze die pauschale Gesetzmäßigkeit nach Benford durch ein flexibles Modell, das mit bestehenden Unternehmensdaten gefüttert werde. Dass diese Analyse den Praxistest besteht, zeige schon ihr erster Einsatz, der gleich erfolgreich gewesen sei. Eine Aufsichtsbehörde verdächtigte einen internationalen Versicherungskonzern, gesetzlich geforderte Rückstellungen für Groß- und Langzeitschäden manipuliert zu haben, um die Jahresbilanz zu schönen. Mithilfe konventioneller Datenanalysen und der neuen Form der Ziffernanalyse konnten verdächtige Transaktionen entdeckt werden, die gegen die Zahlengesetzmäßigkeit des Unternehmens verstießen. Betrug – Bitcoin-Betrüger Die US-Börsenaufsicht SEC warnt vor BitcoinBetrügern, meldet n-tv.de am 24. Juli. Ein texanischer Investor soll Anleger um einen Millionenbetrag geprellt haben. Investoren könnten bei der Kunstwährung durch Schnee- ballsysteme und andere illegale Verfahren leicht hinters Licht geführt werden. Virtuelle Währungen lockten womöglich Betrüger an, weil sie weniger reguliert seien und weniger in der Öffentlichkeit stünden. Betrug – Betrug im Gesundheitswesen Die FAZ befasst sich am 18. Januar mit Betrugsfällen im Gesundheitswesen. Die gesetzlichen Krankenkassen hätten 2010 und 2011 knapp 53.000 Fälle von Fehlverhalten im Gesundheitswesen verfolgt. Darunter seien 35.000 neue Fälle gewesen. Nach dem Bericht des Spitzenverbandes der gesetzlichen Krankenversicherung (GKV) konnten Schadenersatzforderungen von mehr als 41 Millionen Euro durchgesetzt werden. Angesichts von mehr als 180 Milliarden Euro, welche die gesetzlichen Kassen zuletzt ausgaben, scheine der Schadenersatz ein kleiner Betrug zu sein. Fachleute wiesen aber darauf hin, dass der Schaden ein Vielfaches davon betrage. Der Bericht beruht auf Angaben von 110 der 134 Krankenkassen und deckt damit 93 % des Versichertenmarktes ab. Meist gehe es um Abrechnungsbetrug. Aus dem Bericht sei nicht erkennbar, wie sich die Fälle auf einzelne Berufsgruppen verteilen. Betrug – Betrug mittels Internet Nach einer Meldung der FAZ vom 18. Oktober warnt die Bundesagentur für Arbeit vor einer dreisten Masche im Internet. Demnach stellt ein fremder Anbieter Rechnungen an Arbeitgeber aus, die ihre Stellenangebote auf der kostenlosen Jobbörse der Arbeitsagentur im Internet einstellen. Der Anbieter „Jobdirect24“ verlange für die angebliche 19 20 Jahrbuch der Unternehmenssicherheit 2013 Veröffentlichung 580 Euro. Die Behörde weise darauf hin, dass es sich bei Jobdirect24 nicht um einen Kooperationspartner handelt und rät allen betroffenen Arbeitgebern, die Rechnung nicht zu begleichen. Die Einführung der europaweit einheitlichen Kontonummern sei eine Fundgrube für Kriminelle, heißt es am 10. Dezember in der FAZ. Betrüger forderten Bank- und Firmenkunden dazu auf, ihre Daten – angeblich im Rahmen der Sepa-Umstellung – zu bestätigen. In den Mails befänden sich Links zu Webseiten, die in Wirklichkeit persönliche Daten der Empfänger wegfischen oder deren Computer mit einem Schadprogramm infizieren. Der Rat: nicht öffnen, nicht anklicken, nicht antworten. Betrug – Kreditkartenbetrug Das Handelsblatt berichtet am 6. Februar, die US-Polizei habe einen extremen Fall von Kreditkartenbetrug aufgedeckt. 13 Verdächtige sollen sich mit ausgeklügelten Methoden mindestens 200 Millionen Dollar ergaunert haben. Sie hätten Tausende falsche Identitäten erfunden und damit rund 25.000 Kredit- kartenkonten eröffnet. Mit einem Geflecht aus Scheinfirmen, Bankkonten in aller Welt und Komplizen in mittelständischen Geschäften hätten sie über Jahre immense Schulden aufgebaut, natürlich ohne die Absicht, sie jemals zurückzuzahlen. Betrug – Sozialversicherungsbetrug Focus online meldet am 7. Januar, die Deutsche Rentenversicherung Bund habe 2012 eine Rekordsumme von Arbeitgebern eingetrieben, die keine oder zu geringe Sozialversicherungsbeiträge für ihre Angestellten gezahlt hätten. Nach Zahlen, die dem Hamburger Abendblatt vorlägen, sei die Summe der nachgeforderten Abgaben 2012 auf 432 Millionen Euro angewachsen. 2011 seien es nur 415 Millionen Euro gewesen, obwohl die Prüfer der Rentenversicherung rund 20.000 Betriebe mehr als 2012 überprüften. „Immer öfter versuchen sich Arbeitgeber ihrer sozialen Verantwortung zu entziehen“, habe die Vorsitzende des Bundesvorstands der Rentenversicherung, Annelie Buntenbach, gesagt. Das sei kein Kavaliersdelikt. Der Betrug werde durch kurzfristige oder nicht abgesicherte Beschäftigung, Werkverträge, Scheinselbstständigkeit und Minijobs begünstigt. Betrug – Tankbetrug Noch nie haben in Deutschland so viele Menschen an der Tankstelle vorsätzlich nicht gezahlt wie 2012, meldet die FAZ am 11. Juli. Das gehe aus einer Untersuchung des Internetportals Auto.de hervor. 90.000 Fälle von Tankbetrug seien angezeigt worden, rund 6 % mehr als 2011. Aufgeklärt worden seien nur 43 % der Fälle, weil viele Täter ohne Nummernschild agierten. Der durch Tankbetrug verursachte Schaden liege bei mehr als 30 Millionen Euro im Jahr. Experten schätzen, dass nur ein Fünftel aller Betrügereien angezeigt würden. Bundesweit die meisten Tankbetrügereien gebe es in Magdeburg, wo jede Tankstelle durchschnittlich 26 mal betrogen worden sei. Jahrbuch der Unternehmenssicherheit 2013 Betrug – Telefonbetrug Nach einer Meldung im Magazin Focus am 9. Dezember warnt das BKA vor dreistem Telefonbetrug in steigendem Ausmaß. Der BKA-Präsident habe der IMK die Zahl von bis zu 300.000 Geschädigten durch betrügerische Call Center-Anrufe genannt. Vor allem von der Türkei aus agierende Täter machten per Telefon falsche Gewinnversprechen, die an die vorherige Überweisung von Gebühren geknüpft seien. Durch die Betrügereien hätten die Täter bislang etwa 175 Millionen Euro erbeutet. Betrug – Steuerbetrug Deutsche und europäische Behörden gehen offenbar dem Verdacht von Steuerbetrug im Stromhandel nach, der die Staatskasse Milliarden gekostet haben könnte, berichtet die FAZ am 21. Dezember. Mehrere Staatsanwaltschaften, Steuerbehörden und Kriminalämter arbeiteten in der Sache zusammen. Ein Sprecher des BMF habe erklärt, solchen kriminellen Geschäften auf dem Strommarkt habe man mittlerweile die Grundlage entzogen. Denn die EU-Kommission habe Deutschland gestattet, in dieser Branche die Umsatzsteuerpflicht vom Lieferanten auf den Empfänger zu verlagern (Reversed Charge-Verfahren). EUROPOL sei sich der fortdauernden kriminellen Aktivitäten auf den Energiemärkten bewusst. EU-Steuerkommissar Algirdas Semeta habe wiederholt erklärt, das geltende Mehrwertsteuersystem sei zu betrugsanfällig. In 26 Punkten wolle seine Behörde Änderungen erzielen. Einer B rüsseler Studie zufolge entgingen den EU-Staaten 2011 allein deshalb 193 Milliarden Euro an Einnahmen, davon 27 Milliarden in Deutschland. Biometrie Mit den Grenzen der Gesichtserkennung durch Biometrie befasst sich Alexander Nouak, Fraunhofer Institut für Graphische Datenverarbeitung, in der Fachzeitschrift WiK (Ausgabe 4-2013, S. 14–16). Einige Algorithmen scheiterten bei der Detektion des Gesichts, wenn es um etwa 15 Grad gedreht ist. Auch Gesichtsbemalung oder eine spezielle Haartracht könne die Analysealgorithmen aus dem Konzept bringen. Behebungen solcher Probleme seien noch weit von kostengünstigen, zuverlässigen Lösungen entfernt. Die Fälschungserkennung sei ein aktuelles Forschungsfeld, das unter anderem im EU-geförderten Projekt „Trusted Biometrics under Spoofing Attacks“ untersucht werde. Ziel eines vom BMBNF geförderten Projekts „GES-3D“ sei es, die erkennungsdienstliche Erfassung von Straftätern künftig nicht mehr mit bis zu fünf Fotos vorzunehmen, sondern das Gesicht dreidimensional zu erfassen. Heise.de meldet am 21. August, das Department of Homeland Security habe ein System zur Videoüberwachung entwickeln lassen, das aus bis zu 100 Meter Entfernung und einem 3-D-Verfahren Gesichter erkennen könne. Die durchgeführten Tests hätten aber insgesamt noch keine zufriedenstellenden Ergebnisse gebracht. Die mit dem Pentagon zusammen arbeitende Firma Electronic Warfare Associates (EWA) habe erklärt, dass Treffer mit 80 bis 90 % Wahrscheinlichkeit erzielt werden sollten. Dies habe aber allenfalls bei kürzeren Distanzen erreicht werden können. Weiter weg seien die Erkennungsraten auf 60 bis 70 % abgefallen. Zudem hätte die Bildverarbeitung anfangs sechs bis acht Minuten gedauert, jetzt sei man bei weniger als 30 Sekunden angekommen, was für Sicherheitszwecke aber immer noch recht hoch sei. 21 22 Jahrbuch der Unternehmenssicherheit 2013 Wie die Zeitschrift WiK in der Ausgabe 5-2013, S. 10, mitteilt, haben Forscher der Universität von Leicester eine neue Methode entwickelt, um Fingerabdrücke auf metallischen Oberflächen zu identifizieren. Anders als nach der klassischen Methode nutze die neue Technik die elektrischen Isoliereigenschaften der Fingerspuren. Der Abdruck wirke dabei wie eine Maske, die dafür sorgt, dass per elektrischem Strom farbige, elektroaktive Polymere auf die Flächen zwischen den Ablagerungen des Fingerabdrucks umgelenkt werden. So entstehe ein Negativbild des Fingerabdrucks. Allerdings würden isolierende Rückstände ab Nanometerdicke die Polymerablagerung verhindern. Bisher sei das Verfahren nur im Labor angewandt worden. Heise online meldet am 17. Oktober, der Europäische Gerichtshof habe entschieden, dass die Speicherung digitaler Fingerabdrücke auf deutschen Reisepässen zulässig ist. Die gängige Praxis, biometrische Daten auf dem Ausweis zu speichern, entspreche dem europäischen Recht. Auf diese Weise könne Betrug bei der Verwendung von Reisepässen verhindert werden. Wer viele Kredit- und Bankkarten hat, muss sich auch viele Geheimnummern merken. Wissenschaftler am FraunhoferInstitut für Graphische Datenverarbeitung in Darmstadt haben deshalb einen berührungsempfindlichen Bildschirm für Bankautomaten und Kartenzahlsysteme entwickelt, auf dem sich Kunden auch mit ihrer Unterschrift identifizieren können, berichtet heise online am 4. April. Dabei prüfe eine Software nicht nur, ob die Eingabe mit der hinterlegten Unterschrift übereinstimmt. Sie vergleiche über einen Spezialstift auch, ob man auf dieselbe Art wie auf der Vorlage unterschreibt – etwa anhand des zeitlichen Verlaufs der Stiftposition bei jedem einzelnen Schnörkel und dem üblichen Stiftandruck. Diese zusätzlichen biometrischen Merkmale dienten der Fälschungssicherheit. Eine reine optische Fälschung der Unterschrift allein reiche künftig also nicht mehr. Die Technik lasse sich nicht nur als PIN-Ersatz nutzen, sondern auch dann, wenn man in Geschäften das Bezahlen per Lastschriftverfahren absichern will, bei dem die PIN derzeit nicht zum Einsatz kommt. Die biometrischen Unterschriftsdaten speicherten die IGDForscher direkt auf der Chipkarte, auf dem Bankrechner befänden sie sich nicht. Im Newsletter Sicherheitspolitik weist die ASW am 25. Oktober auf das EU-geförderte Projekt TABULA RASA hin. Software zur Gesichts-, Sprach- und Fingerabdruckerkennung habe es inzwischen auf Smartphones und Tablets geschafft. Doch auch diese äußerst effizienten biometrischen Sicherheitssysteme hätten Schwachstellen, die ausgenutzt werden, um Zugang zu fremden Ressourcen oder Daten zu gewinnen. TABULA RASA habe konkrete Gegenmaßnahmen entwickelt, damit europäische Unternehmen derartige Angriffe abwehren können. Die EU investiere 4,4 Millionen Euro in das Projekt, das TABULA RASA-Konsortium weitere 1,6 Millionen Euro. Die Fachzeitschrift WiK weist in ihrer Ausgabe 3-2013 (S. 7/8) darauf hin, dass das FBI unter dem Titel „Next Generation Identification“ (NCI) ein Milliarden Dollar teures Programm aufgelegt hat, das die Möglich keiten der biometrischen Überwachung in Zukunft erheblich ausweiten soll. Auf dem Wunschzettel der Behörde stehe unter anderem eine Software, die es ermöglichen soll, hochgeladenes Foto- oder Videoma terial möglichst schnell mit einer Datenbank von Millionen Bildern abzugleichen. Auch die Auswertung von Iris-Scans und die Gesichtserkennung sollen erheblich verbessert werden. Jahrbuch der Unternehmenssicherheit 2013 Brandanschläge Mehrere Brandanschläge auf Anlagen und Kraftfahrzeuge von Unternehmen wurden im Laufe des Jahres 2013 gemeldet: In der Nacht zum 26. Dezember 2012 setzten Unbekannte in den Stadtbezirken Berlin-Mitte und Friedrichshain-Kreuzberg zwei Firmenfahrzeuge der Wohnungsbaugesellschaft Degewo AG in Brand, wie die ASW am 11. Januar meldet. Eine bisher unbekannte Gruppe „Autonome Flambiererinnen(polymorphe Sektion)“ stellte im Internet die Taten einerseits in den Begründungszusammenhang „Gentrifizierung“, andererseits in einen Zusammenhang mit dem im Februar 2013 in Berlin stattfindenden Polizeikongress. Die linksextremistische Szene thematisiert diese Veranstaltung seit Jahren im Zusammenhang mit der Begründung von Straftaten gegen Institutionen und Unternehmen. Derzeit werde erneut gegen den Europäischen Polizeikongress 2013 mobilisiert und unter dem Motto „Machen wir den Polizeikongress 2013 zum Desaster!“ zu Aktionen sowie zur Teilnahme an einer Demonstration am 16. Februar in Berlin aufgerufen. In der Nacht zum 4. Januar steckten ebenfalls bisher unbekannte Täter im Bezirk Friedrichshain-Kreuzberg einen Pkw der Deutschen Telekom in Brand. Auch hier wurde in einer Selbstbezichtigung (ohne Gruppenbezeichnung) der Zusammenhang mit dem Polizeikongress 2013 hergestellt und die Zusammenarbeit der Telekom mit Sicherheitsbehörden, zum Beispiel bei mobilen Systemen für Personenkontrollen, thematisiert. Im Landkreis Ludwigsburg habe es seit Oktober 2012 in kleineren Städten und Gemeinden neun Brandanschläge auf Autohäuser, einen auf eine Lagerhalle sowie zwei weitere Brandstiftungen in Schulen gegeben, meldet die FAZ am 4. April. Den Schaden an den 30 zerstörten Fahrzeugen beziffere die Polizei auf mindestens eine Million Euro; der Schaden an der Betriebshalle von „Dürr Dental“ liege bei drei Millionen Euro. Der Brandstifter habe vor allem teure Fahrzeuge der Marken Mercedes, BMW, Audi und Land Rover angezündet, aber auch VW, Ford oder Subaru. Der Täter habe nur Fahrzeuge ausgewählt, die in Bietigheim-Bissingen, Tamm oder Asperg auf Betriebsparkplätzen abgestellt waren. Wie das BKA in der 26. Kalenderwoche berichtet, setzten in der Nacht zum 11. Juni in München unbekannte Täter ein Firmenfahrzeug der Siemens AG und einen Lkw der Deutschen Telekom AG vermutlich mittels Grillanzünder in Brand. Tatverdächtig seien zwei Mitglieder der linken Szene in München. Bereits am 23. Mai und 5. September 2012 sowie am 7. April 2013 waren in München Fahrzeuge der Deutschen Telekom in Brand gesetzt worden. Die Anschläge wurden mit Antikapitalismus und zivilmilitärischer Zusammenarbeit begründet. Nach einer Mitteilung der ASW vom 5. August hat das BKA über einen Brandanschlag am 26. Juli auf einen am Straßenrand geparkten PKW mit Firmenaufdruck der Deutschen Telekom berichtet. In unmittelbarer Tatortnähe seien Plakate mit linksextremistischen Inhalten gefunden worden, auf denen gestanden habe, die Deutsche Telekom überwache Angestellte, schüchtere Gewerkschafter ein, sei in der Rüstungsindustrie tätig, bereichere sich an Strafgefangenen, leiste der Polizei Amtshilfe bei der Bespitzelung sozialer Bewegungen und profitiere von der Krise in Griechenland. Das BKA berichtet in der Wochenlage am 6. Oktober, dass Unbekannte am 29. September auf dem Gelände eines Autohauses in Erfurt zur Auslieferung bereitgestellte Einsatzfahrzeuge der Polizei in Brand gesetzt haben. 15 Mannschaftswagen brannten aus, fünf weitere Fahrzeuge wurden beschädigt. Der Schaden wird auf insgesamt 750.000 Euro geschätzt. In einem Selbstbezichtigungsschreiben wird die Tat von der Gruppe 23 24 Jahrbuch der Unternehmenssicherheit 2013 „Abteilung bürgerlicher Ungehorsam im TRH“, die sich als Mitarbeiter des Landesrechnungshofes ausgibt, in ironischer Weise dahingehend begründet, dass die Thüringer Polizei durch „fehlende Ausschreibungen, Verstöße gegen Vergabe-Vorschriften, verschleierte Kreditfinanzierungen und serienmäßige Mängel bei angekauften Neufahrzeugen“ die Täter zu der Tat gezwungen habe. Das BKA weist auf einen ähnlichen Fall am 23. Januar 2012 in Magdeburg hin. Damals belief sich der Sachschaden auf ca. 500.000 Euro. Dem BKA-Bericht zur 45. Kalenderwoche 2013 ist zu entnehmen, dass Unbekannte in der Nacht zum 31.10.2013 auf einem Firmengelände im Berliner Bezirk MarzahnHellersdorf zwei Transporter der Firma DHL in Brand setzten. Die Fahrzeuge brannten komplett aus. In einem Selbstbezichtigungsschreiben wird die Tat in den Begründungszusammenhang Antimilitarismus gestellt. Insbesondere im Rahmen der sogenannten „DHL-Kampagne“, die aufgrund der Bewerbung der DHL auf eine Ausschreibung als Logistikdienstleister der Bundeswehr ins Leben gerufen wurde, waren zwischen 2009 und 2011 vermehrt Straftaten gegen die DHL verübt worden. Wie das BKA in seiner Wochenlage am 6. Dezember mitteilt, haben unbekannte Täter am 28. November in Berlin-Adlershof einen Kabelschaft an einem Funkverteilermast der Vodafone GmbH mittels selbstgebauter Brandvorrichtungen beschädigt. Sie hatten sich Zugang zu dem umfriedeten Gelände verschafft und anschließend den Mast bis in sechs Meter Höhe erklettert. Der Brand beeinträchtigte den Mobilfunkbetrieb nicht. In einem Selbstbezichtigungsschreiben richten sich die Verfasser unter dem Namen „anonymous/Vulkangruppe Katla“ „gegen die totale Überwachung“ durch Regierungen, Geheimdienste und Konzerne. Eine Einrichtung der Vodafone GmbH sei als Ziel gewählt worden, weil „dieser Konzern besonders bereitwillig mit dem britischen Geheimdienst GCHQ“ zusammenarbeite. Die Autoren rufen unter explizitem Hinweis auf die Gruppen „Das Grollen des Eyjafjallajökull“, das „Hekla-Empfangs-Komitee“ und die Gruppe „Grims Vötn“ dazu auf, weitere Infrastruktureinrichtungen mittels Sabotage „zu blockieren und letztendlich lahmzulegen“. Brandschutz – Baulich-technischer Brandschutz Dr.-Ing. Mingyi Wang, GDV, gibt auf S. 18–22 der Fachzeitschrift s+s report (Ausgabe 3-2013) entsprechend VdS 3149 Hinweise zur Bewertung von Abschnittsflächen, um einen technisch und wirtschaftlich optimalen Brandschutz zu ermöglichen. Gemäß dem Abschottungsprinzip sollten Gebäude nach Möglichkeit durch feuerwiderstandsfähige Wände und Decken baulich unterteilt werden, um eine Ausbreitung von Feuer und Rauch zu verhindern oder wenigstens zu begrenzen. Abgesehen von der Abtrennung von Nutzungseinheiten seien bei Industrie- und Gewerbebauten folgende Abschnittsbildungen bekannt: Komplex, Brandabschnitt (BA), Brandbekämpfungsabschnitt (BBA) und feuerbeständig abgetrennter Raum. Der Autor behandelt die typische Abschnittsbildung, Definitionen der Abschnittsflächen in der Muster-Industriebaurichtlinie, die risikotechnische Bewertung der Abschnittsflächen und Empfehlungen der Versicherer. Diese hätten anhand ausgewerteter Schadenerfahrungen Empfehlungen zur Bewertung von Abschnittsflächen veröffentlicht. Mit ihnen solle die Praxis dabei unterstützt werden, die Brandgefahren und die damit verbundenen Risiken insbesondere durch die Anordnung brandschutztechnisch abgetrennter Gebäudeabschnitte zu minimieren. Peter Pardeyke, Dätwyler Cables GmbH, erläutert in einem von PROTECTOR im August herausgegebenen Brandschutz-Special Aus- Jahrbuch der Unternehmenssicherheit 2013 wirkungen der Bauproduktenverordnung auf die Verwendung von Kabeln in Gebäuden. Mit dieser Verordnung idF v. 12. 04. 2013 werden auf europäischer Ebene erstmals Kabel und Leitungen als Bauprodukte brandschutztechnisch klassifiziert. Die Firma Dätwyler gebe den Verantwortlichen drei Tabellen an die Hand, die ihnen zumindest eine Orientierung über die aktuellen Anforderungen gibt, und die zugleich als ein „Bindeglied“ zwischen den bisher gültigen Bestimmungen und den zukünftigen Anforderungen dienen können (S. 10/11). Die Fachzeitschrift Security insight befasst sich in Ausgabe 4-2013 (S. 28/29) mit feuerbeständigen Kabelboxen. Sie gewährten im baulichen Brandschutz die Brandabschottung von Kabeldurchführungen. Die industriell vorgefertigten Abschottungen bestünden im Wesentlichen aus einem feuerverzinkten Stahlblechgehäuse, dessen Innenseiten mit einer anorganischen Dämmschicht ausgekleidet sind. Diese Auskleidung aus luftdicht gekapselten Alkalisilikat-Blöcken blähe sich sowohl im Brandfall als auch bei Temperaturerhöhung auf und verschließe selbstständig die gesamte lichte Schottöffnung innerhalb kurzer Zeit vollständig. Dipl.-Ing. Roland Motz beschreibt in s+s report (Ausgabe 2-2013) die neuen VDIRichtlinien 2263 (Blatt 8 und 8.1 „Brandund Explosionsschutz an Elevatoren“). Elevatoren im Sinne der Richtlinien seien Stetigförderer, die Schüttgüter zwischen unterschiedlichen Niveaus meist senkrecht transportieren. Erstmals würden in den neuen Richtlinien die Anforderungen an das sichere Betreiben von Elevatoren zur Verhütung von Bränden und Explosionen und zu deren Schadenbegrenzung herausgearbeitet. Der Autor behandelt die Brand gefährdung von Elevatoren, die Zündquellen und Schutzmaßnahmen. Wegen der weniger wertintensiven Technik spiele der Brandschutz an Elevatoren bisher nur eine untergeordnete Rolle. Aber an nachgeschalteten Produktionsanlagen könne im Brandfall ein um ein Vielfaches höherer BU-Schaden durch Stillstand auftreten (S. 24–27). Dipl.-Ing. Alwine Hartwig und Dipl.-Ing. Dieter Pfeiffer, beide VdS, befassen sich in der Ausgabe 1-2013 der Fachzeitschrift s+s report mit der Funktionssicherheit von Rauch- und Wärmeabzugsgeräten (RWGs). Die Autoren gehen auf die Anforderungen der alten Norm DIN 18232-3 und der harmonisierten europäischen Norm EN 12101-2 ein, die ab September 2005 in Deutschland umgesetzt werden musste, deren Überarbeitung aber dringend geboten sei. Damit die Regelungen nach DIN 18232-3 auch weiterhin Standard für RWG in Deutschland bleiben könnten, seien die ehemals gültigen Forderungen als VdS-Mindestanforderungen in die Richtlinien VdS 2159 und VdS 2594 für pneumatisch oder elektrisch wirkende Rauch- und Wärmeabzugsgeräte implementiert worden. Mit der Verwendung VdS-anerkannter Systeme sei man „auf der sicheren Seite“ (S. 20–23). Der Sicherheitsberater weist in seiner Ausgabe 10-2013 (S. 156/157) auf ein neues Produkt der Firma Teckentrup GmbH und Co. KG hin: eine nach EN 1634-1 geprüfte, feuerhemmende Ganzglastür (T 30-Tür), die eine maximale Transparenz ermögliche. Sie sei sowohl in einflügeliger als auch in zweiflügeliger Ausführung erhältlich. Das Türblatt bestehe aus speziellen Ganzglaselementen – zwei thermisch vorgespannten Einscheibensicherheitsgläsern, die mit einer umlaufenden Dichtung miteinander geklebt sind. Durch diesen technischen Kniff besitzt die Tür nach Herstellerangaben sämtliche Eigenschaften, die eine Brandschutztür auszeichnen. Der Sicherheits-Berater weist in seiner Ausgabe 8-2013 (S. 117/118) darauf hin, dass Veränderungen an bestehenden Brand- und/ oder Rauchschutztüren grundsätzlich nicht möglich sind, ohne dass diese Türen ihre bauaufsichtliche Zulassung verlieren. Hinsichtlich der Vorrüstung von Sperrelementen gelte: Da bei der Herstellung der Tür oft noch nicht definiert ist, in welche EMA das Sperrelement 25 26 Jahrbuch der Unternehmenssicherheit 2013 der Tür einzubinden ist, gebe es grundsätzlich die Möglichkeit, das Sperrelement über potenzialfreie Kontakte (Schalterfunktion ohne Stromfluss) in die EMA einzubinden. Somit könnten auch „systemfremde“ Sperr elemente in das BUS-System der EMA eingebunden werden, um die Gefahr von Falschalarmen durch Begehung der Tür im schaftgeschalteten Zustand zu verhindern. Dipl.-Ing. (FH) Sven Reiske, AXA MATRIX Risk Conusltants, gibt in der Fachzeitschrift s+s report (Ausgabe 3-2013) eine aktuelle Übersicht über Leistungsmerkmale und Anforderungen an den Brandschutz bei Wärmedämmverbundsystemen (WDVS). Bei WDVS mit brennbaren Dämmstoffen sei es wichtig, dass der Dämmstoff in die nichtbrennbaren Deckschichten eingepackt bzw. entsprechend geschützt ist. Den Flammen müsse möglichst lange der Zutritt zum Dämmstoff verwehrt bleiben. Das bauordnungsrechtliche Schutzziel an der Gebäudeaußenwand müsse somit darin bestehen, eine schnelle Brandausbreitung über mehr als zwei Geschosse oberhalb bzw. unterhalb der Brandausbruchstelle sowie einen Brandeintritt in die Dämmstoffebene vor dem Löschangriff der Feuerwehr zu verhindern, eine Gefährdung der Rettungskräfte zu vermeiden und die Rettung von Personen zu ermöglichen. Bei der Verwendung von Dämmstoffdicken oberhalb von 10 cm seien zusätzliche Brandbarrieren erforderlich: alternativ ein Sturzschutz über jeder Öffnung oder ein umlaufender „Brandriegel“ in jedem zweiten Geschoss. Die Fachzeitschrift GIT geht in der Ausgabe 9-2013 (S. 88/89) auf den Brandschutz im Hochregallager ein. Im Lagerbereich gingen die wenigsten Brände direkt von den eingelagerten Waren aus. Vielmehr entstünden laut einer Studie des VdS (2008) allein ein Viertel aller Brände durch Mängel an Betriebsmitteln. Anlagen wie elektrische Regalbediengeräte oder batteriebetriebene Regal-Shuttles seien in jedem Hochregallager vorhanden. Die Brandgefahr sei somit allgegenwärtig. Die bauliche Beschaffenheit eines Hochregal- lagers mit den hohen und engen Regalzwischenräumen und den großen Mengen leicht brennbaren Verpackungsmaterialien aus Papier, Pappe und Kunststoff wirke sich zudem ungünstig auf den Verlauf eines Brandes aus. Ein Brandvermeidungssystem wie OxyReduct senke durch die kontrollierte Zufuhr von Stickstoff die Sauerstoffkonzentration im Lagerbereich gezielt ab und entziehe dem Feuer somit den Sauerstoff. Der Lagerbereich bleibe dabei für autorisiertes Personal trotzdem begehbar. Gleichzeitig spare das Unternehmen bei den Betriebskosten und leiste einen wertvollen Beitrag zur Reduzierung der Umweltbelastungen. In derselben Ausgabe befasst sich GIT mit der Modernisierung eines Brandschutzsystems (S. 90–92). Eine Modernisierung garantiere optimalen Schutz für Personen und Einrichtungen. Damit sichere sie langfristig Geschäftsprozesse und Investitionen. Gezielte und rechtzeitig eingeleitete Modernisierungsschritte erhielten die Leistungsfähigkeit des Systems, etwa durch Systemkomponenten, die Serviceleistungen wie die Fehlerprävention durch regelmäßige Ferndiagnose einführen. Zudem sei die sukzessive Modernisierung im Vergleich zu einem Totalaustausch des Systems deutlich kostengünstiger. René Heiser, roda Licht- und Lufttechnik GmbH, erläutert in s+s report (Ausgabe 4-2013, S. 18–20), warum die Wartung von Natürlichen Rauch- und Wärmeabzugsgeräten (NRWG) unerlässlich ist. Sie werde durch eine Reihe von Verordnungen verpflichtend gemacht. Bundesweite Musterverordnungen, die Sonderbauverordnung und landeseigene Prüfverordnungen bezögen sich auf geltende Richtlinien und Normen der DIN. In der DIN 18232-2 sei im Abschnitt 10.2 festgelegt, dass und wie Wartungen in regelmäßigen Zeitabständen durchzuführen sind. In erster Linie seien Umwelteinflüsse für die Beeinflussung der Funktion verantwortlich. Aber auch unsachgemäße Nutzung führe nicht selten zu einem Ausfall von Geräten, hinzu komme Materialverschleiß. Auch um Versicherungsschutz in Anspruch nehmen zu Jahrbuch der Unternehmenssicherheit 2013 können, sei die regelmäßige und sachgemäße Wartung unumgänglich. Protector weist in seiner Ausgabe 10-2013 (S. 16/17) darauf hin, dass der ZVEI beim Brandschutztag am 16.01.2014 Ausblicke auf heutige und künftige Schwerpunkte des anlagentechnischen Brandschutzes gibt: Zunehmend würden Brandschutzmaßnahmen, die sich allein oder überwiegend mit bautechnischen Maßnahmen nicht optimal umsetzen ließen, als kombinierte bau- und anlagentechnische Maßnahmen realisiert. Seit dem 1. Juli 2013 liege mehr Verantwortung bei Planern und Errichtern, denn sie müssten durch die neue europäische Bauproduktenverordnung bei Ausschreibungen viel intensiver als bisher prüfen, ob Bauprodukte für die Verwendung geeignet sind. Die Vernetzung und Dynamisierung gehe weiter. Aus der statischen Fluchtweglenkung werde eine dynamische. In der Brandalarmierung würden inzwischen auch vermehrt optische Signalgeber als Ergänzung zu den akustischen Signalen eingesetzt. Die Kabelindustrie habe neue Brandschutzkabel entwickelt, die sowohl die Brandausbreitung eindämmen und geringere Hitze entwickeln als auch weniger Rauch und giftige Gase entstehen lassen. Brandschutz – Detektion und Alarmtechnik SecuPedia weist in seinem Newsletter 8/2013 auf die „Sulzburger Studie zur Einführungspflicht von Rauchwarnmeldern“ hin, die belege, dass die mittlerweile in den meisten Bundesländern eingeführte Rauchwarnmelderpflicht dabei helfe, die Brandopferzahl zu reduzieren. Die Zahlen seien in Hessen um 9 % und in Thüringen um bis zu 82 % heruntergegangen. Mit dem „Q“ gekennzeichnete Rauchwarnmelder hätten die weltweit härtesten Qualitätsprüfungen bestanden und stünden für maximale Alarmsicherheit im Brandfall. Auch Fachbetriebe, die die Rauchwarnmelder installieren, sollten mit dem „Q“ zertifiziert sein. Mit Brandfrühesterkennung in Gebäuden befasst sich in dem im August von PROTECTOR herausgegebenen BrandschutzSpecial Markus Strübel, Securiton GmbH (S. 22/23). Videosysteme mit Software zur automatischen Erkennung von Feuer und Rauch rückten die Detektion eines Brandes immer näher an den Zeitpunkt des Ursprungs heran. Temperatursensorkabel würden als wirksame Lösung für Tunnel, Parkhäuser oder Versorgungsschächte gelten. Große Abstände zwischen Boden- und Deckenfläche, beispielsweise in Hochregallagern, stellen eine enorme Herausforderung dar. Ansau- grauchmelder ließen sich hier unter schwierigsten und unterschiedlichsten Bedingungen einsetzen. Eine ergänzende, über Normenvorgaben hinausgehende Möglichkeit der Brandfrühesterkennung böte Videotechnik mit Feuer- und Raucherkennungssoftware. Moderne Algorithmen könnten zuverlässig zwischen normalen Abgaben und Rauch unterscheiden. In der Ausgabe 6-2013 weist PROTECTOR darauf hin, dass stark variierende Umgebungsbedingungen wie Hitzestaus, große Temperaturunterschiede oder das Auftreten von Kohlenmonoxid den Brandschutz vor große Herausforderungen stellen. Die von Hekatron entwickelte Cubus-Nivellierung gewährleiste auch in solchen Fällen eine Brandfrüherkennung. Sie messe nicht nur die einzelnen Kenngrößen wie Rauch, Wärme oder CO-Konzentration, sondern setze sie darüber hinaus in Beziehung zueinander. Der Mehrfachsensormelder MTD 533X detektiere auch unter Extrembedingungen zuverlässig und falschalarmsicher alle Brandtypen bereits in der Entstehungsphase. Der CMD 533X Melder könne über Rauch und Wärme hinaus auch Kohlenmonoxid detek tieren (S. 58–59). Der Sicherheits-Berater weist in seiner Nr. 4 vom 15. Februar auf die Möglichkeit der 27 28 Jahrbuch der Unternehmenssicherheit 2013 Falschalarmreduzierung bei optischen Linienmeldern hin. Die brandmeldetechnische Überwachung hoher Hallen oder Gebäude wie Produktionshallen oder ShoppingMalls werde in vielen Anwendungsfällen mit sogenannten optischen Linienmeldern realisiert. Da das System jedoch in der Regel nur das Vorhandensein bzw. die Trübung des Lichtstrahls erkenne, komme es zu einer problematischen Falschalarmrate. Die Firma XTRALIS vertreibe jetzt aber Produkte mit OSID-Technologie (Open Area Smoking Imaging Detektion), die laut Herstellerangabe wesentlich geringere Falschalarmraten aufwiesen, weil Lichtsignale in zwei unterschiedlichen Bandbreiten ausgesendet und verschiedene Alarmkriterien unterschieden würden. Dipl.-Ing. Torsten Schröder, VdS, zeigt in s+s report (Ausgabe 1-2013), was bei Änderungen und Erweiterungen von Brandmeldeanlagen (BMA) zu beachten ist (S. 27–29). Es sei angeraten, sich schon im Vorfeld Gedanken über die Prüfungsgrundlagen zu machen und hierbei – in der Priorität absteigend – Baugenehmigung, Brandschutzkonzept, Richtlinien für Planung und Einbau VDE bzw. VdS und der DIN 14675 und dann auch noch die Aufschaltbedingungen der Feuerwehr zu berücksichtigen. Jedenfalls solle die Anlagentechnik einfach gehalten und die Systemanerkennung des BMA-Systems gemäß DIN EN 54 sichergestellt werden. Andreas Schneckener, Hekatron Vertriebs GmbH, präsentiert in dem von PROTECTOR im August herausgegebenen BrandschutzSpecial neue Lösungen für den uneingeschränkten Fernzugriff auf Brandmelderzentralen. Die mobile Zugriffslösung unterstütze beispielsweise auch die Benachrichtigung via Push-Notification. Der Fernzugriff mittels Windows PC-basierter Lösung erlaube es darüber hinaus, die Brandmeldeanlage zu programmieren (S. 20/21). Dr. Jörg Kelleter, GTE Industrieelektronik GmbH, behandelt in der Ausgabe 1-2013 von s+s report die Detektion von Glutnestern bei Transport und Lagerung brennbarer Stoffe (S. 30–32). Der Autor geht auf die Detektionstechnologien Wärmebildkamera, Infrarot-Detektorarray, Funkenmelder und Flammenmelder mit ihren typischen Anwendungen ein. Mit der Technologie „InfrarotDetektorarray“ zur frühzeitigen Erfassung von Anlagenschäden, Glimm- bzw. Schwelbränden oder Flammenbränden sei die bisherige Lücke zwischen Rauchmeldern und Flammenmeldern gefüllt worden. Insbesondere für Räumlichkeiten, die aufgrund ihrer Größe oder Belüftungssituation bislang nur unzureichend überwacht werden konnten, sei nun eine interessante Lösungsvariante verfügbar. Mehrfachsensoren-Brandmelder mit integrierter Sprachausgabe wie der Integral Cubus MTD 533X-SPCT von Hekatron, den auch die Fachzeitschrift GIT in der Ausgabe 10-2013 (S. 80/81) vorstellt, unterstützen effektiv die Selbstrettung der Menschen aus dem Gefahrenbereich. Über eine entsprechende Parametrierung der Zentrale ließen sich dabei verschiedene Alarmierungsmuster realisieren. Sowohl eine flächendeckende Alarmierung durch alle Melder als auch eine Synchronisation durch die Zentrale sorgten dafür, dass die einzelnen Melder ihre Sprachdurchsagen absolut zeitgleich abgeben, so dass sie klar verständlich sind und sich nicht gegenseitig überlagern. Dass der Melder mit integrierter Ton- und Sprachausgabe Alarmierung und Detektion in einem einzigen Gerät vereint, reduziere die Produktkosten gegenüber Einzellösungen erheblich. Melder mit integriertem akustischem Signalgeber müssten konform mit der MLAR (MusterLeitungsanlagenrichtlinie) eine unterbrechungsfreie Alarmierung gewährleisten. Aktuelle Entwicklungen in der Branddetektion behandelt die Fachzeitschrift WiK in der Ausgabe 6-2013 (S. 62/63). Je nach den atmosphärischen Einsatzbedingungen und dem Vorhandensein von Störgrößen wie Staub, Rauch oder Dampf könnten unterschiedliche Detektionssysteme verwendet Jahrbuch der Unternehmenssicherheit 2013 werden. So stünden für Deponien und Bereiche mit ähnlichen Bedingungen Wärmebildkameras zur Verfügung, die auch in Außenbereichen zur Überwachung von entzündlichem Material einsetzbar seien. Auch Videoüberwachungskameras, die nur sichtbares Licht aufnehmen, würden mittlerweile zur Branddetektion genutzt, beispielsweise in Tunneln. Vorteile seien die erhebliche Reichweite und dass sie oft ohnehin vorhanden sind. Auch hier gelte mit Blick auf die Vermeidung von Täuschungsalarmen: Es muss nicht immer das hochwertigste Brandfrühesterkennungs- system in ein Objekt eingebaut werden, sondern das von der Empfindlichkeit her passende. In Rauchansaugsystemen arbeite die Sensorik in der Regel nach dem Streulichtprinzip, sowohl mit IR-Licht, Laserlicht oder auch mit Licht im sichtbaren Bereich. Anhand der Partikelgrößen und mit inzwischen ausgereiften Algorithmen werde zwischen Rauch, Staub und Dampf unterschieden. Ein Detektionssystem solle nicht nur sagen, ob und wo es brennt, sondern auch, was brennt. Auch hier würden die Algorithmen inzwischen weiterhelfen. Brandschutz – Organisatorischer Brandschutz Marion Fuchs, VdS, plädiert in der Ausgabe 2-2013 von WiK für den Brandschutzbeauftragten im Betrieb (S. 24/25). Die vfdbRichtlinie 12-09/01:2009-03(02) „Bestellung, Aufgaben, Qualifikation und Ausbildung von Brandschutzbeauftragten“, fungiere seit Jahren als das maßgebliche Regelwerk zum Thema. Sie fordere zur Erstausbildung eine zweiwöchige Schulung mit mindestens 64 Unterrichtseinheiten, einem umfassenden Themenkatalog zum vorbeugenden Brandschutz und einer Abschlussprüfung. Aufgaben seien Aufstellung der Brandschutzordnung, der Alarm-, Hausalarm-, Notfall- und Brandschutzpläne, Brandschutzunterweisung, Überwachung der Brandschutzkontrollen, Anweisung und Überwachung der Beseitigung von brandschutztechnischen Mängeln, Festlegung von Ersatzmaßnahmen bei Ausfall von Brandschutzeinrichtungen, Beratung in Fragen des Brandschutzes und Verantwortung für den ständigen Kontakt zur Feuerwehr sowie für gemeinsame Übungen und Begehungen. Brandschutz – Löschtechnik Der Sicherheits-Berater behandelt in seiner Ausgabe 5-2013 die Ansteuerung von Löschanlagen (S. 69–72). Er weist auf die VdS-Richtlinie 2496 hin, die sich ausschließlich mit der Ansteuerung und Steuerung von ortsfesten, automatisch und nicht automatisch ausgelösten Feuerlöschanlagen befasst. In der Richtlinie werde über die Zweckmäßigkeit, zwei unterschiedliche Brandkenngrößen (z. B. Rauch und Wärme) zu nutzen, informiert. Dabei sei unbedingt darauf zu achten, dass im überwachten Bereich auch tatsächlich beide Kenngrößen auftreten. Die Ansteuerung von Löschanlagen sollte sowohl in der Planung wie auch in der Ausführung Spezialisten vorbehalten bleiben. Frank Drolsbach, FM Global, bezeichnet in der Ausgabe 2-2013 der Fachzeitschrift Security insight (S. 24/25) Sprinkler als ein Musterbeispiel für effektiven Brandschutz ohne Elektronik. Sie kontrollierten den Brandherd und dämmten ihn frühzeitig ein. Statistisch betrachtet falle das Schadens ausmaß in gesprinklerten Betrieben im Schnitt vier- bis fünfmal geringer aus als in ungesprinklerten. Bei der Hälfte aller Schadensfälle kontrolliere bereits das Aus lösen von maximal drei Sprinklern einen Brand erfolgreich. Der Wasserschaden durch Sprinkler sei eher gering im Vergleich zu den Schäden infolge anderer Lösch maßnahmen. 29 30 Jahrbuch der Unternehmenssicherheit 2013 In der Fachzeitschrift Security insight (Ausgabe 4-2013) werden „Wohnraumsprinkler“ auf Basis der neuen VdS-Richtlinie 2896 vorgestellt (S. 30/31). Die Anlage führe zur schnellen Detektion bei gleichzeitig automatischer Alarmierung, geringem Wassereinsatz, geringerer Rauchgasentwicklung und zu gesicherten Flucht- und Rettungswegen der angrenzenden Bereiche für eine Zeit von 30 Minuten. Die Abgrenzung zur VdS CEA 4001 erfolge gemäß VdS 2896 in Tabelle 0.01 durch die maximale Schutzfläche von 1.500 qm und die Anzahl von maximal fünf Geschossen. Dipl.-Physiker Thomas Warnecke, T & B electronic GmbH, erläutert in der Ausgabe 2-2013 der Fachzeitschrift s+s report die Überarbeitung der VdS-Richtlinie für Funkenlöschanlagen (S. 20–23), die aus Sicht der Versicherer wie auch aus Sicht der Errichter zwingend erforderlich sei. Er definiert ein VdS-anerkanntes System und den Schutzumfang im Installationsattest und in der Anlagendokumentation, behandelt die Erstellung eines Konzeptes zur Betriebsmittelansteuerung, die Installation der Anlage durch den anerkannten Errichter und die Erhaltung der Betriebsbereitschaft, Wartung und Inspektion. Ergänzend zur Installation müssten weitere Schutzmaßnahmen das Konzept abrunden. Wichtig sei auch die Realisation einer systematischen Maschinenabschaltung im Falle eines andauernden Funkenfluges. Mit verschiedenen Löschpulverarten befasst sich der Sicherheits-Berater in seiner Ausgabe 9-2013 (S. 135–137). Durch die unterschiedliche Zusammensetzung der Löschpulver ergäben sich die verschiedenen Sorten, die für die üblichen Brandklassen A, B, C und D eingesetzt werden könnten. Je nachdem, welche Brandklasse abgedeckt werden solle, seien die Bestandteile des Löschpulvers abweichend. Und entsprechend verschieden seien auch die Löschleistungen der Pulver. Im übrigen dürfe man nicht verschweigen, dass beim Einsatz von Löschpulver oft mehr Schaden durch Verschmutzung als durch den eigentlichen Brand entstehe. In derselben Ausgabe befasst sich der SicherheitsBerater mit Wandhydranten (S. 138–140). Bei deren Planung sei zu berücksichtigen, dass der Rückzug der Löschkräfte möglichst in Richtung des Wandhydranten erfolgen könne. Und der Wandhydrant sollte nicht im Treppenhaus, sondern direkt neben der Tür zum Treppenhaus im Flur installiert werden, weil sonst der ausgerollte Schlauch die Tür zum Treppenhaus offen halte. Wegen der Probleme des Einbaus von Wandhydranten für den baulichen Brandschutz habe PRIORIT ein feuerbeständiges Gehäuse für die Einhausung der Wandhydrantentechnik auf dem Etagenboden entwickelt. Das feuerbeständige System PRIOHYD werde in verschiedenen Ausführungen angeboten. Der Sicherheits-Berater weist in seiner Ausgabe 14/15-2013 (S. 220) darauf hin, dass Löschspraydosen durch die DIN-Spezifikation 14411 „in den Stand eines brauchbaren Produkts erhoben“ werden. Die Spezifikation lege die Anforderungen an nicht nachfüllbare tragbare Löschspraydosen fest. Sie seien als „Erstlöschmittel“ gedacht und nur für die Verwendung im privaten und häuslichen Bereich vorgesehen. Es gebe zwei weitere Unterscheidungskriterien gegenüber tragbaren Feuerlöschern: die begrenzte Haltbarkeit und die mangelnde Nachfüllbarkeit. In Nr. 162013 (S. 239/240) hebt der Sicherheitsberater die VDI-Richtlinie 3819 hervor, die mit Blatt 2 Empfehlungen zum Brandschutz in der Gebäudetechnik und praxisorientiert erläutere. Die Erläuterungen böten Fachplanern wie auch den Fachgewerken eine große Hilfe bei der Bewältigung der Problematik der Wechselwirkungen in den unterschiedlichen technischen Gewerken. Marcel Mager, VdS Schadenverhütung, berichtet in der Ausgabe 2-2013 von s+s report über die aktuelle Entwicklung von Regelwerken für Planung und Einbau von Gaslöschanlagen (S. 14–18). Für die Anwender von Normen und Regelwerken sei es wichtig, die Hintergründe und den Stellenwert der Jahrbuch der Unternehmenssicherheit 2013 verschiedenen Regelwerke zu kennen, da die Wirksamkeit und Zuverlässigkeit der Löschanlage am Ende auch von der Wahl des zugrunde gelegten Regelwerkes abhängig ist. Im Fokus des Beitrags stehen die Aufgaben der einzelnen Fachbereiche und der Arbeitsgruppen der ISO TC21 SC8. Dr. Florian Irrek, VdS Schadenverhütung, befasst sich in der Ausgabe 3-2013 der Fachzeitschrift s+s report mit der Planung von Gaslöschanlagen (S. 24–28). Sie sei eine äußerst komplexe Angelegenheit, bei der viele Faktoren in Betracht gezogen werden müssten. Erschwert werde die Planung dadurch, dass oft noch während des Baus Änderungen vorgenommen werden müssen, die nur schlecht vorauszuplanen sind. Dennoch könne auch ohne ausführliche hydraulische Berechnungen eine recht genaue Vorhersage getroffen werden, wie lang das Rohrnetz der Anlage maximal sein darf. Die Frage, wie viel Platz in der Löschgaszentrale für das Löschgas benötigt wird, könne noch relativ leicht mithilfe der VdS-Richtlinien Planung und Einbau für Gaslöschanlagen, VdS 2093/2380/2381, beantwortet werden. Sofern bereits die Löschkonzentration bekannt ist, könne sehr einfach von Hand die MindestVorratsmenge berechnet werden. Die Beant- wortung der zweiten grundlegenden Frage, wie nah am Löschbereich die Löschgaszentrale positioniert werden muss, setze üblicherweise eine hydraulische Berechnung voraus. Der Autor zeigt aber an einem Beispiel, dass eine brauchbare und belastbare Abschätzung der maximalen Entfernung zum Löschbereich auch in der Planungsphase möglich ist, in der noch keine vollständige hydraulische Berechnung möglich ist. In der Fachzeitschrift Homeland Security (Ausgabe 1-2013, S. 37/38) werden die Vorteile von Druckluftschaum-Löschsystemen als sichere, kostensparende und umweltschonende Möglichkeit der Brandbekämpfung hervorgehoben. Beim Innenangriff werde eine schnelle Abkühlung des Brandgutes erlangt und damit ein Flash-Over verhindert. Zudem könnten die Einsatzkräfte durch große Wurfweiten, einfache Bedienbarkeit sowie ein gutes Handling des Löschsystems genügend Abstand zum Brandort einhalten. Als mobile Systeme seien sie im Kommunalbereich, an Flughäfen, in der Industrie und bei Waldbränden einsetzbar, als stationäre Systeme in Straßentunneln, auf Hubschrauberlandeplätzen, in Industriebetrieben, Recyclingbetrieben und technischen Anlagen. Brandschutz – Arbeitsstätten DIE WELT weist am 28. Mai darauf hin, dass seit März 2013 europaweit ein einheitlicher Standard für die Sicherheitskennzeichnung an Arbeitsstätten gelte. Viele Firmen dürften noch immer ahnungslos sein. Es gebe weder Ausnahmen noch Bestandsschutz. Die einzige Möglichkeit, eine alte Beschilderung weiterzuführen, sei die Überprüfung der gegebenen Sicherheit im Rahmen einer Gefährdungsbeurteilung. Dabei sei festzustellen, ob die im Betrieb verwendeten Sicherheits- und Gesundheitsschutzkennzeichnungen nach der alten Vorschrift das schnelle Erkennen von Gefahren, Geboten und Verboten ermöglichen. Verzichteten die Firmen auf die Gefährdungsbeurteilung und hängten auch keine neuen Schilder auf, könnten sie etwa im Fall eines Brandes Probleme mit ihrer Versicherung bekommen. Eine Mischung von alten und neuen Schildern sei nicht gestattet. Geändert werden müssten das Layout für Rettungs- und Fluchtpläne ebenso wie die, die laut der neuen Verordnung keinen Text mehr beinhalten. Hinweise wie „Notausgang“, „Exit“ oder „Feuerlöscher“ würden bald verschwinden und durch Piktogramme ersetzt werden. Die neuen Sicherheitszeichen müssten als Schilder, Aufkleber oder aufgemalt und dauerhaft in geeigneter 31 32 Jahrbuch der Unternehmenssicherheit 2013 Höhe angebracht werden. Auch müsse für eine entsprechende Beleuchtung gesorgt werden. Auf Fluchtwegen ohne Sicherheitsbeleuchtung sollten lange nachleuchtende Materialien sicherstellen, dass Rettungs- und Brandschutzzeichen auch bei einem Ausfall der normalen Beleuchtung für einige Zeit erkennbar sind. Missverständnisse, was den konkreten Handlungsbedarf betrifft, möchte der Sicherheitsberater in seiner Nr. 12 (S. 183–185) ausräumen. Denn es könne der Eindruck entstanden sein, es seien die kompletten Flucht- und Rettungswegpläne auszutauschen, weil diese nicht mehr den Anforderungen der technischen Regeln entsprächen. Für eine sehr große Anzahl an Arbeitsstätten sei in Wirklichkeit keine Umstellung zwingend erforderlich. Das BMAS weise nämlich nur auf die Verpflichtung hin, mit der Gefährdungsbeurteilung zu ermitteln, ob die in der Arbeitsstätte verwendeten (alten) Sicherheitszeichen auch weiterhin ohne Gefährdung der Beschäftigten angewendet werden können. Nur wenn bauliche Veränderungen stattgefunden haben, sei es sinnvoll, die neue Situation zu nutzen und den Flucht- und Rettungsplan auf den neuesten Stand zu bringen. Brandschutz – Besondere Brandschutzthemen Protector behandelt in der Ausgabe 9/13 in mehreren Beiträgen den Brandschutz in Hochhäusern. Erläutert wird das Brandschutzkonzept für den Frankfurter Opernturm. Die Treppenräume stünden unter Überdruck, der verhindere, dass Rauch ins Treppenhaus gelangt. Insgesamt sorgten etwa 3.600 Brand- und Entrauchungsklappen dafür, dass das Gebäude im Brandfall so weit wie möglich rauchfrei bleibt. Den wirksamen Schutz der 400 qm großen Nutzungseinheiten wie auch des restlichen Gebäudes garantiere eine umfassende und flächendeckende Sprinklertechnik. Das Sprinklersystem schütze auch vor einem möglichen Feuerüberschlag entlang der Fassade. Neben den klassischen Feuerlöschern und Wandhydranten stünden den Mitarbeitern auch „Feuerlöschsprays“ zur Verfügung. Der Feuerwehraufzug sei in einem eigenen Vorraum untergebracht und stehe ebenfalls unter Überdruck. Die Kapazitäten der Notstromversorgung reichten aus, um alle brandschutztechnischen Systeme für mindestens 36 Stunden mit Energie zu versorgen. Jeder Stock habe einen Evakuierungsverantwortlichen, der eine Evakuierung überwacht und der Feuerwehr meldet, ob alle Personen den Stock verlassen haben. Personenströme könnten gezielt durch die Sprach-Alarmierungsanlage per Anweisungen geleitet werden. Hierbei zeige das System si- tuationsabhängig den geeignetsten Rettungsweg auf. Möglich mache dies die Kombination aus intelligenter Brandschutztechnik und dazugehörigen Leitsystemen, die von der BMZ gesteuert werden (S. 14–16). Im „Frankfurter Tower 185“ würden die Büroflächen mit über 20.000 Sprinklern geschützt. Darüber hinaus speise eine Wandhydrantenanlage mit zwei frequenzgesteuerten Hochdruckdoppelpumpen insgesamt 275 Wandhydranten. Mit über acht Kilometer Kabel würden 150 Meldepunkte vernetzt. Darüber hinaus würden auch die Türkontakte der Wandhydrantenschränke eingebunden, so dass beim Öffnen umgehend eine Meldung in der Zentrale aufläuft (S. 50/51). Beim neuen Taunus Turm habe durch die Kombination der Sprinkleranlage mit einer Feinsprüh-Löschanlage eine Druckzone eingespart werden können. Die Niederdruckfeinsprühtechnik biete Gebäudeschutz durch geringere Rohrquerschnitte und dadurch geringeren Platzbedarf. Im Brandfall öffneten Wärmedurchgangskoeffizienten reduzierte Feinsprühsprinkler in unmittelbarer Nähe des Brandherds (S. 91). Mit Brandschutz in Empfangs- und Portierbereichen befasst sich der SicherheitsBerater in Nr. 13 (S. 197/198). Zunächst sei darauf zu achten, dass die Flucht- und Rettungswege nicht durch vorstehende Wän- Jahrbuch der Unternehmenssicherheit 2013 de oder durch Möbel eingeengt werden. Wird der Empfangsplatz mit Wartezone in eine räumlich vom Flur abgesetzte Fläche integriert, dann müsse die Abtrennung wie eine Flurtrennwand ausgeführt werden. Neben der Wandqualität sei selbstverständlich auch die Türqualität zu diesem Raum von Bedeutung. Öffnungen in Flurwänden wie Lichtbänder neben oder Oberlichter über Türen seien in der Brandschutzqualität wie die Flurwand auszuführen. Schiebetore müssten durch Feststellanlagen offen gehalten und über Rauchschalter im Brandfall automatisch geschlossen werden. Dabei dürfe der Fluchtweg für die im Empfang tätigen Personen nicht vernachlässigt werden. Brandschutz für IT-Infrastrukturen behandelt Matthias Müller, Siemens Schweiz AG, in der Fachzeitschrift SICHERHEITSFORUM, Ausgabe 3-2013, S. 23/24. Im Falle einer Luftkühlung, die bei IT-Infrastrukturen erforderlich ist, resultiere im Brandfall ein höherer Luftaustausch, was die frühzeitige Lokalisierung des Brandherdes erschwere. Auch ein für Serverräume typischer Schwelbrand könne Hardware durch Ruß, Korrosion und Giftgase schwer beschädigen. Daher sei in diesen Umgebungen ein präventiver und aktiver Brandschutz mit einer automatischen Löschung besonders relevant. Eine neue Generation von Rauchansaugsystemen verfüge über eine optische DualwellenlängenDetektion, die mit blauen und infraroten Lichtwellen arbeite. Mithilfe der unterschiedlichen Lichtwellenlängen könnten die Melder Partikelgrösse und -konzentration erkennen und so zwischen Rauch und Täuschungsgrößen unterscheiden. Herzstück des Gaslöschsystems sei eine sogenannte Flüsterdüse, welche die Emissionen im relevanten akustischen Spektrum um 12 bis 20 dB reduziert, damit Fehlfunktionen ausgeschlossen werden könnten. Für die bei KMU meist in einem kleinen Raum untergebrachten Server sei ein Kompaktsystem entworfen worden, das eine komplette Brandschutzlösung in einem Schrank vereint. Das System beinhalte ein Rauchansaugsystem, eine Steuerzentrale und das notwendige Löschsystem. Für diesen Anwendungszweck habe sich das Löschmittel Novec 1230 durchgesetzt. SecuPedia befasst sich in der Ausgabe 9/13 mit dem Brandschutz für Unternehmensdaten. Wie Dipl.-Ing. Thomas Hübler, MPA Dresden GmbH, ausführt, ist der Sachwertschutz kein Bestandteil des gesetzlichen Brandschutzes. Er werde lediglich in bestimmten Fällen von Versicherungen gefordert. Beim Brandschutz für ein betriebliches Rechenzentrum oder einen Serverraum seien zwei Risikofälle zu untersuchen. Für den Schutz vor einem Brand im Innern eines IT-Raumes sei eine Brandfrüherkennung mit aufgeschalteter automatischer Löschung immens wichtig. Zum Schutz vor Bränden, die außerhalb des Rechenzentrums entstehen, seien die Vorgaben der speziell entwickelten europäischen „IT-Brandnorm“ EN 1047 für Wertbehältnisse, Teil 1 (Datensicherungsschränke) und Teil 2 (Datensicherungsräume und -container) zu beachten. Besonders zu berücksichtigen seien Einbauteile wie Türen, Kabel- und Rohrabschottungen, Klimaschieber etc. Für den Datenbrandschutz seien Grenzwerte von weniger als 70 Grad Celsius während der Aufheiz- und Abkühlphase einzuhalten. Axel Opp, IGS Ingenieurgesellschaft für Schadenanalyse, skizziert in der Ausgabe 2-2013 der Fachzeitschrift s+s report Gefahren durch Lithium-Akkus, die immer häufiger als Ursache von Brandschäden aufträten. Auch bei vermeintlich korrekter Handhabung stellten tiefentladene oder altersbedingt verschlissene Lithium-Ionen-Akkus eine enorme Brandgefahr dar. Versuche der Hersteller über entsprechende Hinweise in den Anleitungen, hier insbesondere durch Forderung nach beständiger Beaufsichtigung beim Ladevorgang und nach Einschreiten beim Durchgehen eines Akkus, die Verantwortung dem Anwender zuzuschieben, müsse man äußerst kritisch sehen. Für Sachversicherer bestehe ein hohes Regresspotenzial (S. 6–8).Auch Peter Eymael, FM Insurance Company Ltd., befasst sich in 33 34 Jahrbuch der Unternehmenssicherheit 2013 Ausgabe 12-2013 der Fachzeitschrift GIT mit Brandrisiken bei der Massenlagerung von Lithium-Ionen-Akkus. Je größer deren Leistungskapazität ist, umso wahrscheinlicher sei auch das Brandrisiko. Aus diesem Grund sei eine Studie zur Massenlagerung solcher Akkus von FM Global gemeinsam mit der Property Insurance Research Group durchgeführt worden. Ziel sei es gewesen, die Brandrisiken zu bestimmen, die konkreten Gefahrenszenarien zu beschreiben und geeignete Schutzmaßnahmen zu empfehlen. Von den Akkus gingen aufgrund ihrer brennbaren Elektrolytflüssigkeit mehrere besondere Brandgefahren aus. Würden zum Beispiel große Mengen in Wellpappkartons gelagert, sei eine frühzeitige Brandlöschung und Kühlung entscheidend, um einen Großbrand zu verhindern. Da erkannt worden sei, dass die Lithium-Ionen-Akkus während der ersten fünf Minuten in ihrem Brandverhalten den standardisierten Brandgütern gleichen, sei ein Sprinklerschutzkonzept entwickelt worden. Da nach diesen fünf Minuten die Akkus aber erheblich stärker brennen, sei ein alleiniger Deckenschutz durch schnell ansprechende Sprinkler möglicherweise nicht ausreichend. Besonders bei Hochregallagern sei es ratsam, ergänzend auf weiteren Ebenen der Hochregale Sprinkler zu installieren (S. 78/79). Dipl.-Ing. Roland Motz, GDV, erläutert in Ausgabe 3-2013 von s+s report die VDIRichtlinien zum Brand- und Explosionsschutz an Sprühtrocknungsanlagen (S. 14–17). Die Brandgefährdung hänge von der Produktmenge und dem Brandverhalten des herzustellenden Produktes ab. Die Hauptursache für Brände und Explosionen liege in der teils beträchtlichen Wärme- und Druckwirkung und in den Verbrennungsprodukten. Für den Explosionsschutz fordere die BSVO von Betreibern von Sprühtrocknungsanlagen beim Auftreten gefährlicher explosionsfähiger Atmosphäre ein Explosionsschutzdokument. In den Richtlinien VDI 2263 Blatt 7 würden nun erstmals auch die Anforderungen an den Brandschutz berücksichtigt, die bei der Planung, Errichtung und dem Betrieb solcher Anlagen beachtet werden sollten. Nach Blatt 7 seien insgesamt 13 mögliche Zündquellen – von denen für den Brandschutz nur acht von Bedeutung seien – auf ihre Wirksamkeit zum Auslösen einer Staubexplosion zu beurteilen. Der Autor geht näher auf die möglichen Schutzmaßnahmen, eine mögliche Brandfrüherkennung und Brandbekämpfungsmaßnahmen ein. Die wichtigsten Maßnahmen, um im Brandfall ein Ausflühen von Bauteilen der Sprühtrocknungsanlage zu verhindern, seien die sofortige Außerbetriebnahme der Luftzufuhr und das gleichzeitige Löschen und Kühlen. Der Einsatz von speziell für solche Anlagen geplanten stationären Löschanlagen, die automatisch und manuell in Betrieb gesetzt werden können, sei zwingend erforderlich. Sie seien mit einem geeigneten Brandfrüherkennungssystem zu koppeln. In der Ausgabe 9-2013 befasst sich GIT mit der Modernisierung eines Brandschutzsystems (S. 90–92). Eine Modernisierung garantiere optimalen Schutz für Personen und Einrichtungen. Damit sichere sie langfristig Geschäftsprozesse und Investitionen. Gezielte und rechtzeitig eingeleitete Modernisierungsschritte erhielten die Leistungsfähigkeit des Systems, etwa durch Systemkomponenten, die Serviceleistungen wie die Fehlerprävention durch regelmäßige Ferndiagnose einführen. Zudem sei die sukzessive Modernisierung im Vergleich zu einem Totalaustausch des Systems deutlich kostengünstiger. Der Sicherheits-Berater fokussiert sich in Nr. 23 vom 1. Dezember auf mehrere Brandschutzthemen. Er thematisiert vor allem die Alarmierung im Brandfall, den Brandschutz im IT-Raum, baurechtliche Anforderungen an Metallständerwände, eine neue Produktnorm für Feuer- und Rauchschutztüren und den Brandschutz bei Gebäuden mit Mischnutzung. Zu den Empfehlungen bei der Alarmierung zählen: die Priorisierung der Sprachdurchsage gegenüber dem akustischen Signal, eine Lautstärke von mindestens Jahrbuch der Unternehmenssicherheit 2013 65 dB(A) und 10 dB(A) über dem Umgebungsschallpegel bzw. 75 dB(A) bei Schlafplätzen, eine gute Übertragungsqualität der Sprache, grundsätzlich ein Lautsprecher in jedem Raum, in dem sich Personen aufhalten, Einhaltung der DIN EN 54-23 bei optischer Alarmierung, optische und akustische Alarmierung in öffentlich zugänglichen Gebäuden (S. 356–358). Für IT-Räume empfiehlt der Sicherheits-Berater die Installation eines Ansaugrauchmelders mit seinem Ansaugrohr oberhalb der Rackreihe. So werde jedes Rack einer 5er-Reihe überwacht. Und hinter jedem T-Stück eines Serverschrankes werde ein konventioneller Rauchmelder in einem geschlossenen Gehäuse in das Ansaugsystem integriert. Systeme, die essentiell für den IT-Betrieb und grundsätzlich redundant vorhanden sind, wie Domänen- und Namensserver, sollten in verschiedenen Schränken in möglichst großem Abstand zueinander stationiert werden (S. 358–360). Metallständerwände in Trockenbauweise seien heutzutage weit verbreitet. Obwohl sie nach Norm oder nach Einbauanleitung erstellt werden müssen, gebe es viele Fehlerquellen (nicht fachgerechte Anschlüsse, ungenügende Stärke der Beplankung, falsche Durchführung von Kabeln usw.). Diesen Fehlerquellen sollte der Bauherr bereits in der Entstehungsphase der Metallständerwände Aufmerksamkeit schenken, um ein brandschutztechnisch einwandfreies Bauprodukt zu erhalten. Der Sicherheits-Berater führt im einzelnen auf, was bei der Ausführung zu beachten ist (S. 362–366). Der Sicherheits-Berater weist darauf hin, dass neue Produktnormen für Feuer- und Rauchschutztüren im Umbruch sind bzw. sich in der Endbearbeitung befinden: DIN EN 16034 für Fenster, Türen und Tore, DIN EN 14351-1 für Fenster und Außentüren ohne Eigenschaften bezüglich Feuerschutz und/oder Rauchdichtheit sowie DIN EN 14351-2 für Innentüren ohne Feuerschutz- und/oder Rauchdichtheitseigenschaften (S. 366–370). Ferner thematisiert der Sicherheits-Berater den Brandschutz bei Gebäuden, die sowohl gewerblich wie für Wohnungen genutzt werden (S. 370–372). Besonders wichtig sei dann der Einsatz von rauchdichten Türen. Immer dort, wo Nutzungsbereiche wechseln, sollten sie eingesetzt werden. Auch Schachttüren sollten mit rauchdichten Klappen/Türen verschlossen werden. Sollten aus betrieblichen Gründen Türen offen stehen, die im Brandfall automatisch schließen, sollten die dazu eingesetzten Rauchmelder vernetzt werden. Schließlich befasst sich der Sicherheits-Berater mit Brandvermeidung und -löschung im Rechenzentrum (S. 372–374). Behandelt werden: Brandlastvermeidung, Einsatz von Brandund Rauchmeldern, Brandfrühesterkennung, Anlagen- und Objektüberwachung, dezentrale unterbrechungsfreie Stromversorgungen, selektiver Objektschutz an den IT-Komponenten, Brandfallsteuerung und qualifiziertes Klimakonzept. Auch die Fachzeitschrift GIT behandelt in ihrer Ausgabe 12-2013 mehrere Brandschutzthemen: Katrin Stübe, Wagner Group GmbH, befasst sich mit dem Brandschutz für Offshore-Windparks. Anders als die Windkrafträder ließen sich Umspannstation und Versorgungsplattformen umfassend vor Brandrisiken schützen. Den Kern der Brandschutzeinrichtung für die Umspannstation des Offshore-Windparks Riffgat bilde das Titanus-Ansaugrauchmeldesystem. Insgesamt 334 Einheiten des Systems zur Brandfrüherkennung seien in den verschiedenen Bereichen verbaut worden und entnähmen kontinuierlich Proben aus der Umgebungsluft. Im Falle einer Branddetektion mittels FirExting-Gaslöschtechnik mit Stickstoff werde der Sauerstoffgehalt im Raum auf 13,8 Vol-% abgesenkt. Dass eine Löschanlage nur über einen bestimmten Zeitraum hinweg löschen kann, werde durch die Installation eines OxyReduct-Brandvermeidungssystems ausgeglichen. Einige Bereiche wie die Traforäume seien mit Sprinklertechnik ausgestattet. In Außenbereichen kämen Schaumlöschanlagen zum Einsatz. (S. 72/73). Für die frühzeitige Branderkennung, die von größter Bedeutung für Heime ist, in denen Menschen mit eingeschränkter Mobilität leben, bewährten sich 35 36 Jahrbuch der Unternehmenssicherheit 2013 Brandmelder, die nicht nur Rauch detektieren, sondern bereits auf die Entstehung des tückischen Brandgases Kohlenmonoxid anschlagen. Die Detektion von Rauch erfolge bei dem Mehrfachsensormelder CMD 533X von Hekatron über das Tyndall-/Streulicht-Prinzip. Geraten Rauchpartikel zwischen die Quelle des Prüf-Lichtstrahls und den lichtempfindlichen Sensor, so löse der Melder Alarm aus. Bei der Wärmedetektion reagiere der Melder sowohl auf das Überschreiten einer bestimmten Grenztemperatur als auch auf einen überdurchschnittlichen Temperaturanstieg Die Cubus Nivellierung des Melders werte die einzelnen Kenngrößen im Kontext der relativen Veränderung der jeweiligen anderen Kenngröße aus. Die Melder passten sich aktiv, permanent, automatisch und dynamisch an die Umgebungsbedingungen an (S. 76/77). Rechtsanwalt Dr. Ulrich Dieckert behandelt in dem von PROTECTOR im August herausgegebenen Brandschutz-Special Anpassungspflichten und Haftungsfragen. Er erläutert Umfang und Grenzen des Bestandsschutzes, Anpassungspflichten bei konkreten Gefahren bei wesentlichen Änderungen und Konsequenzen bei Nichtbefolgung bauordnungsrechtlicher Pflichten (S. 6–9). Das Spezialheft enthält auch Marktübersichten zu Brandmeldesystemen, Sprachalarmierung, Rauchund Wärmeabzugsanlagen und Brandmeldern (S. 32–37). Bürosicherheit Die WiK befasst sich in der Ausgabe 3-2013 (S. 48/49) mit Schutzvorkehrungen in Büros gegen Gewaltüberfälle. Besonders wichtig seien drei Aspekte: eine Alarmierung (stiller Alarm), Barrieren, die einen möglichen Angreifer aufhalten, und eine Gelegenheit zur schnellen Flucht. Die Fehlalarmanfälligkeit könnte durch die Notwendigkeit gemindert werden, entweder zwei Taster zu drücken oder einen Taster zweimal. Eine BarriereSchutzwirkung könne durch die Schreibtischtiefe und die Anordnung der Möbel erreicht werden. Bei der Schreibtischdekoration sei darauf zu achten, dass keine potenziell gefährlichen Gegenstände im Griffbereich eines möglichen Angreifers liegen. Business Continuity Management (BCM) Der Sicherheitsberater stellt in Nr.23-2012 die neue ISO-Norm 22301 für BCM vor. Sie besteht aus 10 Paragraphen, deren Nummern 4–10 die Anforderungen an einen BCMProzess definieren: Kontext der Organisation, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung und Verbesserung. Eine weitaus stärkere Betonung als im BS 25999 (Vorgängernorm) erhalten -die Festlegung von Zielen für die Aktivitäten der Institution, die Entwicklung von Leistungsmetriken und die Überwachung der Leistung anhand von messbaren Größen -klare Erwartungen an das Management der Institution -Planung und Bereitstellung von Ressourcen. Die Arbeitsschritte einer Business Impact Analyse (BIA) könnten dem BSI Standard 100-4 entsprechen: Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse/Schadensanalyse/ Festlegung der Wiederanlaufparameter/ Berücksichtigung von Abhängigkeiten/Priorisierung und Kritikalität der Geschäftsprozesse/ Erhebung der Ressourcen für Normal- und Notbetrieb/Kritikalität und Wiederanlaufzeiten der Ressourcen. Jahrbuch der Unternehmenssicherheit 2013 Krisenszenarien, die aus „üblichen“ Risiken resultieren, könnten zum Beispiel sein: - Ausfall der Unternehmenszentrale - Ausfall eines Rechenzentrum-Standortes - länger andauernder Stromausfall - umfassender Personalausfall -Ausfall besonderer Produktionslagen (S. 375–379) In der Fachzeitschrift <kes>, Dezemberausgabe 2012, behandeln Matthias Hämmerle und Dr. Klaus-Rainer Müller, Automation Consulting Group GmbH, BCM in der Supply Chain. Methoden und Techniken des BCM müssten um ein Supply Chain-Continuity Management (SCCM) erweitert werden. 73 % der Teilnehmer der Supply Chain-Resilencestudie 2012 des Business Continuity Institute hätten angegeben, in den vorausgegangenen 12 Monaten mindestens eine Störung in der Lieferkette gehabt zu haben, die zu Unterbrechungen im Unternehmen geführt habe. Als Hauptursachen seien IT-Ausfälle (52 %), Wetterereignisse (48 %) und Service-Ausfälle (35 %) angegeben worden. Ein umfassendes SCCM-Framework liefere das „Public Do- cument“ des British Standards Institute PD 25222:2011 „Business continuity management – Guidance on supply chain continuity“ (bestellbar über http://shop.bsigroup.com). Die Autoren skizzieren ein methodisches Vorgehen zur SCCM-Implementierung, basierend auf dem BCM-Lifecycle: SCCMProgramm-Management und Awareness, Analyse der Supply-Chain, SCM-Strategien Implementierung, Test, Aktualisierung und Monitoring. (S. 17–21) Arno Gingl und Dr. Michael Buser, Risk Experts Risiko Engineering GmbH, befassen sich in s+s report (Ausgabe 4-2013, S. 37–39) mit BCM in Mittelstandsunternehmen. Die meisten Unternehmen seien auf Notfallszenarien nicht adäquat vorbereitet oder trügen bei der Planung von Vorsorgemaßnahmen unrealistische – meist zu optimistische – Annahmen. Hauptverantwortlich seien bei 40 % der Befragten in einer Online-Umfrage die Geschäftsführer, nur jedes zehnte Unternehmen verfüge über einen eigenen BCM. Im Bereich der organisatorischen Maßnahmen beschränkten sich zwei von drei Unternehmen auf „Datenbackup“. „Versicherung“ gegen eine etwaige Betriebsunterbrechung sei die mit 50 % am zweithäufigsten genannte Maßnahme. Es werde auch nicht im erforderlichen Umfang im Rahmen von Notfallübungen trainiert. Change Management Dass von einem Transformationsprozess, den ein Unternehmen durchläuft, Corporate Security nicht unberührt bleiben kann, zeigt Dr. Heinz-Dieter Schmelling, Portigon AG, in der Fachzeitschrift Security insight (Ausgabe 6-2013, S. 22/23). Die Unternehmenssicherheit müsse schon in das Projektmanagementverfahren eingebunden werden und das Projekt als definierter „Stakeholder“ in den weiteren Phasen begleiten und unterstützen. Je umfassender Berechtigungen durch zentrale Systeme und Prozesse gehandhabt werden, desto eher sei gewährleistet, dass den Prinzipien der Aktualität, Angemes- senheit und Funktionstrennung auch bei dynamischen Organisationsveränderungen ausreichend Rechnung getragen wird. Die Migration von Assets und Daten, die bei einer Unternehmenstransaktion stattfinden, müssten lückenlos überwacht und dokumentiert werden. Eine zentrale Governance für Richtlinien, Methoden und Werkzeuge der Notfallplanung in Verbindung mit dezentraler Business-Verantwortung für die konkrete Ausgestaltung und Umsetzung der Notfallpläne seien das Erfolgsrezept auch bei Umstrukturierungen. 37 38 Jahrbuch der Unternehmenssicherheit 2013 Cloud-Computing – Haltung der Wirtschaft Cloud sei in Deutschland weiter im Aufwind und werde zunehmend strategisch eingesetzt. Die Herausforderungen auf der Anbieterseite blieben trotz vieler Verbesserungen im Kern weiter bestehen. Das sind nach Mitteilung von PwC am 28. Februar die wichtigsten Ergebnisse der Neuauflage der Studie „Cloud-Computing – Evolution in der Wolke“. 83 % der von PwC befragten 60 Cloud-Anbieter geben an, sie würden den Anteil von Cloud am Gesamtgeschäft in den nächsten fünf Jahren ausweiten. 85 % der Befragten offerierten auch „Software as a Service“. Auch die Cloud-Nutzer hätten sich weiterentwickelt. Nach 20 % im Jahr 2010 entwickeln nach Ansicht der befragten Anbieter nun 33 % der Nutzer eine CloudStrategie, und 37 % integrieren diese in ihre IT-Gesamtstrategie. Ihre größten Herausforderungen sähen die Anbieter nach wie vor in den Anforderungen der Nutzer hinsichtlich Datenschutz und Compliance. Dies hätten 75 % der Befragten genannt. Und bei der Informationssicherheit sei der Wert von 49 % im Jahr 2010 auf 67 % gestiegen. 87 % der Anbieter hätten angegeben, dass sich ihre Rechenzentren beziehungsweise die Server mit den Nutzerdaten in Deutschland befinden (2010: 55 %). 56 % der Entwickler, die aktiv CloudUmgebungen als Entwicklungsplattform verwenden, seien hinsichtlich der Sicherheit des Cloud-Entwicklungsprozesses in ihren Unternehmen offenbar „sehr zuversichtlich“, meldet heise.de am 22. August. Das entspreche einer Zunahme von 44 % gegenüber den 39 %, die sich vor einem Jahr bei der Befragung so geäußert hatten. Für die Studie hatten die Marktforscher im Juli 2013 insgesamt 450 Softwareentwickler befragt. Vergleichbar viele erklärten sich zufrieden mit den Sicherheits- und Sandbox-Maßnahmen, die Cloud-Anbieter zum Schutz von Unternehmensdaten böten. Als wichtigste Techniken bzw. Maßnahmen würden hier Datenverschlüsselung, Security Intelligence, Access Control Oriented Ontology Systems und Security Assertion Markup Language genannt. Nach der Aufdeckung der NSA-Programme sei nach einer aktuellen Studie von Allensbach mit 1.500 Befragten die Angst gestiegen, digitalisierte Informationen einem externen Dienstleister zu überlassen, meldet das Magazin Focus am 9. September. Seien 2012 noch 45 bereit gewesen, quasi sorglos ihre Daten bei der Telekom speichern zu lassen, seien es mit 39 % jetzt 6 Prozentpunkte weniger. Weitere Verlierer seien Vodafone und Apple mit einem Rückgang von jeweils 5 %. Cloud-Computing – Private oder Public Cloud Der Behördenspiegel rät in seiner Januarausgabe Unternehmen, die eine eigene private oder hybride Cloud-Lösung planen, Experten heranzuziehen, die in acht Bereichen Unterstützung leisten könnten: bei - der Implementierung und Pflege eines Mana gement-Systems für IT-Sicherheit der Cloud - dem Aufbau und Betrieb einer sicheren Cloud-Infrastruktur - dem Schutz für vertrauliche Daten - der Nutzung von starker Authentifizierung und Identitätsmanagement -d er automatisierten Provisionierung von Ressourcen -d em Aufbau einer Governance-Struktur für Audits und Compliance Jahrbuch der Unternehmenssicherheit 2013 - dem präventiven Schutz bei neuen Schwachstellen - der wiederholten Prüfung auf intakte CloudUmgebung. Die Marktforschungsfirma ReRez Research hat im Auftrag des IT-Sicherheitsunternehmens Symantec weltweit mehr als 3.200 IT-Fachleute nach der Nutzung von CloudComputing durch Mitarbeiter ohne Wissen der IT-Abteilung befragt (ASW-Newsletter vom 22. März). Das ernüchternde Ergebnis: In mehr als 83 % der Großfirmen und in 70 % der KMU seien Cloud-Computing Services im Einsatz, ohne dass die IT-Abteilung davon Kenntnis hat. Besonders beliebt seien „Klassiker“ wie Dropbox, Microsoft Skydrive, Google und vergleichbare Cloud Storage-Dienste. Das bedeute, dass keine Hilfe durch die IT-Abteilung notwendig ist, um eine Cloud-Lösung zu implementieren und einzusetzen. Der Service müsse weder in die IT-Infrastruktur des Unternehmens eingebunden werden noch sei die Schulung von Mitarbeitern erforderlich. Es gebe eine ganze Reihe weiterer Cloud-gestützter IT-Ressourcen, die für eine „Rogue Cloud“ in Betracht kommen: Collaboration-Services, die bereits genannten Online-Speicherservices, E-Mail- und Projektmanagement-Dienste und Datenbanken. Es gebe eine ganze Reihe von Gründen, warum Mitarbeiter mithilfe von Cloud-Computing eine Schatten-IT aufbauen, unter anderen schlechte organisatorische Abstimmung innerhalb des Unternehmens, ein zu geringer oder umgekehrt ein zu hoher Organisationsgrad der IT und eine hohe Autonomie von Unternehmensbereichen. Nicht autorisierte Cloud-Anwendungen seien ein klarer Verstoß gegen IT-Complianceregeln. Risiken bildeten die Verschwendung von ITRessourcen, das Untergraben der unternehmensweiten IT-Strategie, mögliche negative Auswirkungen auf andere IT-Projekte und die Beeinträchtigung anderer IT-Systeme. Lösungsmöglichkeiten bestünden in der klassischen Methode, mit Analyse-Tools geheime Clouds zu entdecken und zu unterbinden, oder die Anforderungen der Mitarbeiter weitgehend zu erfüllen und ihnen den sicheren Zugang zu Cloud-Services einzuräumen. Neben Komfort birgt Cloud-Computing Risiken, schreibt das Handelsblatt am 26. März. „Wer hat die Verantwortung für die Daten, wenn sie auf fremden Servern liegen?“ Der Nutzer, der Anbieter oder der Betreiber der Serverfarm? In der Regel würden die Anbieter jede Haftung ablehnen, selbst im Falle von Datenverlust. Nach deutschem Recht könnten Anbieter ihre Haftung allerdings nur begrenzen, wenn sie frei von Schuld oder leicht fahrlässig handeln. Geschehe etwas absichtlich oder grob fahrlässig, hafteten sie nach deutschem Recht weiter, auch wenn in den Geschäftsbedingungen etwas anderes steht. An einem ordentlichen „Backup“ führe in Unternehmen noch immer kein Weg vorbei, ist Urs Langmeier, Langmeier Software GmbH, überzeugt (IT-Security, 1-2013, S. 36/37). Unzuverlässig sei sowohl ein Festplattenverbund in RAID 1-Konfiguration wie eine manuelle Backup-Lösung. Sinnvollerweise verlasse man sich auf eine automatische und im Praxiseinsatz bewährte Software. Ein Backup sollte einmal wöchentlich erfolgen. Datensicherung in der Cloud dürfte bei sehr wichtigen Dateien nur den wenigsten Entscheidungsträgern innerhalb eines Unternehmens gefallen. Auf der positiven Seite hingegen sei die Datensicherung durch Cloud-Services als extrem sicher einzustufen, da es keine Hardwareausfälle geben könne und eine ständige Verfügbarkeit aller Daten gegeben sei. Das Exportrecht erfasse auch Cloud-Computing, wenn ein Unternehmen Daten an einen Cloud-Anbieter im Ausland auslagert (Public Cloud) oder seinen Mitarbeitern an internationalen Standorten von dort aus den Zugriff auf Daten gestattet (Private Cloud), schreibt Rechtsanwalt Philip Haellmigk in der FAZ am 3. April. Der Export von Daten beim Cloud-Computing könne demnach im 39 40 Jahrbuch der Unternehmenssicherheit 2013 Einzelfall eine Genehmigung erfordern oder ganz verboten sein. Enthielten die Daten Informationen zur Herstellung von sensiblen Gütern, sei ihr Export genehmigungspflichtig oder verboten. Sensibel seien zahlreiche auf den ersten Blick harmlose Daten, sofern diese auch zu militärischen Zwecken genutzt werden können. Beispiele hierfür seien Daten aus dem Bereich der Telekommunikation, Elektronik, Chemie oder Schiffstechnik. Ist Zielort des Datentransfers ein Embargoland, sei allein aus diesem Grund der Datenexport genehmigungspflichtig. Gegenwärtig gebe es gegen 26 Länder Embargos. Cloud-Computing und Exportkontrolle sei daher nicht allein ein Thema für Exporteure. Alle Unternehmen, die Cloud-Computing nutzen wollen, sollten prüfen, ob und inwieweit das Exportrecht Anwendung findet. Bei Zweifelsfragen könne die Exportbehörde – das BAFA – befragt werden. Zudem sei darauf zu achten, dass die Verträge mit dem jeweiligen Cloud-Anbieter Exportklauseln enthalten, die ihn ebenfalls in die exportrechtliche Verantwortung nehmen. Spiegel Online berichtet am 10. Januar über eine Studie im Auftrag des EU-Parlaments, die eindringlich vor Datentransfers in die USA warne. US-Behörden könnten sich heimlich Zugriff auf die Daten europäischer Nutzer bei Cloud-Anbietern wie Google oder Dropbox verschaffen. Davor warne ein Gutachten des Centre D’Etudes Sur Les Conflits und des Centre for European Policy Studies. Das Gutachten weise darauf hin, dass der Patriot Act den Ermittlern umfassende Abhöraktionen erlaube. Die Massenüberwachung von Europäern werde durch den Foreign Intelligence Surveillance Amendment Act (FISAA) von 2008 ermöglicht. In der EU gebe es für die Möglichkeit der politischen Massenüberwachung überhaupt kein Bewusstsein. Sichere Cloud-Dienste mit Active-DirectoryAnbindung stellt in der Beilage zur Ausgabe 5-2013 der Fachzeitschrift <kes> (S. 53–54) Stefan Keller, noris network AG, vor. Die Vorteile von Cloud-Services ließen sich mit Compliance- und Sicherheitsgedanken nur kombinieren, wenn diese Dienste aus inländischen Hochsicherheitsrechenzentren bezogen werden. Der Komfort müsse nicht leiden und ein effizientes Rechtemanagement lasse sich über die Kopplung der Dienste mit dem unternehmenseigenen Active Directory kombinieren. Eine solche Managed Cloud-Lösung verbinde ein On Demand-Angebot mit Sicherheitsgarantien und einfacher Administrierbarkeit. Dipl.-Inform. Michael Herfert, FraunhoferInstitut für Sichere Informationstechnologie SIT, liefert in der Zeitschrift WiK (Ausgabe 5-2013, S. 27–29) Kriterien, die hilfreich sein sollen, um Schwächen bei verschiedenen Cloud-Lösungen zu erkennen. Für CloudSpeicherdienste seien wichtige Eigenschaften die Verschlüsselung von Daten, bevor sie den Rechner des Nutzers verlassen, und das mit Schlüsseln, die in seiner alleinigen Verfügbarkeit liegen, und die Verwendung etablierter kryptographischer Mechanismen und Protokolle. Für Cloud-Verarbeitungsdienste seien die größten Sicherheitsrisiken die Registrierung, der Transport, die Deduplikation und das Teilen von Daten. Es gebe zwar verschiedene Siegel für Cloud-Computing, aber darunter seien einige mit fraglichem Hintergrund. Ein allgemein anerkanntes Siegel wäre ein Schritt in die richtige Richtung. Bei Diensten, die Daten auch verarbeiten, werde eine individuelle Prüfung des Dienstes notwendig bleiben. Heise online weist am 16. Oktober darauf hin, dass EU-Kommissarin Neelie Kroes fordert, Europa solle die führende „vertrauenswürdige Cloud-Region“ werden. Es seien mehr Transparenz und hohe Standards nötig. Kroes propagiere Verschlüsselung sowohl beim Transport als auch beim Speichern von Daten und warne davor, dass Schlüssel entwendet und Algorithmen geknackt werden könnten. Jahrbuch der Unternehmenssicherheit 2013 Cloud-Computing – Empfehlungen des BSI IT-Grundschutz für Cloud-Services beschreiben Dr.-Ing. Clemens Doubrava, Alex Essoh und Isabel Münch, BSI, in der Ausgabe 3-2013 von <kes> (S. 35–39). Das BSI stelle künftig im Rahmen des IT-Grundschutzes Hilfsmittel zur Verfügung, um Clouds besser abzusichern. Die Autoren behandeln internationale Initiativen zur Cloud-Sicherheit, die Strukturanalyse, die Schutzbedarfsfeststellung, die Risikoanalyse und neue Bausteine im IT-Grundschutz. Sicheres CloudComputing sei ohne ein gut funktionierendes ISMS nicht möglich. Deshalb setzten fast alle aussagekräftigen Zertifizierungsverfahren darauf, dass ein effektives und effizientes Managementsystem für Informationssicherheit beim Cloud-Computing Provider vorhanden ist. Welche Cloud-Zertifikate sich durchsetzen, sei noch nicht abzusehen. Laut ASW-Mitteilung 046/13 wollte das BSI bis Ende 2013 vier Bausteine zum Thema Cloud-Computing für den ISMS IT-Grundschutz fertigstellen. Die Bausteine „Cloud-Management“, „Cloud-Nutzung“, „Webservices“ und „Cloud-Storage“ gingen dabei auf Gefährdungen von Cloud-Lösungen ebenso ein wie auf wirksame Schutzmaßnahmen gegen diese Gefährdungen. Daher seien die Bausteine auch eine geeignete Grundlage für eine Zertifizierung von Cloud-Lösungen nach ISO 27001 auf der Basis von ITGrundschutz. Die Inhalte der Bausteine seien darüber hinaus auch für die Risikoanalyse und Sicherheitskonzeption für Anwender des ISO 27001 Standards von großem Nutzen. Um von den Vorteilen der Cloud profitieren zu können, müssten die Anwender Vertrauen haben, dass die Daten in der Cloud sicher sind. Dieses Vertrauen könne jedoch nur entstehen, wenn es unabhängige, transparente und international anerkannte Standards gebe, auf deren Grundlage Plattformen für das Cloud-Computing überprüft und zertifiziert werden können. Code of Conduct Gedanken zum Code of Conduct äußert Elmar Schwager, The AuditFactory, in der Ausgabe 2-2013 von Security insight (S. 40/41). Es mache keinen Sinn, ethische Kodizes von Seiten der Organisationsleitung beschließen zu lassen, ohne die Mitarbeiter um ihren Input zu bitten. Akzeptanz könne nur durch Einbindung erreicht werden. Ein einmal verabschiedeter Kodex dürfe nicht für alle Zeiten statisch bleiben. Die Impulse für eine Fortschreibung sollten dabei aus allen möglichen Bereichen der Organisation kommen. Und bei Verstößen gegen Regelungen, vor allem wenn sie ernster Natur sind, müssten Konsequenzen folgen. Compliance In den nachfolgenden Beiträgen wird die Vielschichtigkeit des Begriffs Compliance als Gebot der Einhaltung gesetzlicher und unternehmenseigener Normen, als notwendiger Bestandteil der Unternehmenskultur, als Managementaufgabe und bei mangelnder Befolgung als Risiko für das Unternehmen wie für die Haftung des Managements deutlich. 41 42 Jahrbuch der Unternehmenssicherheit 2013 Compliance – Grundsätzliche und allgemeine Aspekte Die Geldbußen gegen Compliance-Vergehen seien oft empfindlich hoch, berichtet die WirtschaftsWoche am 2. September. Die höchste bislang von der EU-Kommission verhängte Kartellstrafe habe zum Beispiel knapp 1,4 Milliarden Euro betragen. Teuer werde es für Unternehmen auch, wenn sie wegen Vergehen von öffentlichen Vergabeverfahren ausgeschlossen werden. Und was längst nicht allen bekannt sei: Auch private Auftraggeber könnten bei Bekanntwerden von Korruptionsdelikten Aufträge zurückziehen und Kooperationen stoppen. Wie eine Studie der Einkaufsberatung Kloepfel Consulting zeige, seien mittelständische Unternehmen sich zwar der Risiken durchaus bewusst, dennoch schützten sie sich kaum vor Korruption und anderen Formen der Wirtschaftskriminalität. So schätzten 10 % der befragten 137 Manager aus mittelständischen Unternehmen die ComplianceRisiken sogar als so gering ein, dass sie überhaupt keine Vorbeugung als notwendig erachten. Je kleiner die Firma, umso geringer die Vorsorge. Auf einen ComplianceVerantwortlichen verzichteten drei Viertel aller befragten Unternehmen mit bis zu 200 Mitarbeitern. Die mittlerweile in fünfter Auflage erschienene Studie der KPMG zum Thema „Wirtschaftskriminalität in Deutschland“ zeichne ein noch düstereres Bild. Vier von fünf Firmenchefs seien mit den eigenen Präventions- und Aufdeckungsmaßnahmen zufrieden und schätzten das Risiko, Opfer wirtschaftskrimineller Handlungen zu werden, für sich selbst immer niedriger ein als für andere Unternehmen. KPMG beziffere die dadurch entstandenen Schäden in den Unternehmen im Schnitt auf 300.000 Euro. Die Fehleinschätzung hänge ursächlich mit einem typisch mittelständischen Phänomen zusammen. Mittelständler kommunizierten mit anderen Mittelständlern meist auf Augenhöhe, und viele würden dem anderen blind vertrauen, ohne kritisch nachzufragen oder nachzuprüfen, sage die Compliance-Expertin Akatshi Schilling. Dies sei aber bei der heutigen Rechtslage unvorsichtig. Und für viele Mitarbeiter seien Anglizismen wie White Collar-Crime oder Anti-Fraudmanagement leere Worthülsen. Schilling rate ihren Kunden, lieber offen von Wirtschaftskriminalität, Korruption und Untreue zu reden. Bei Mittelständlern habe es sich bewährt, ein Mitglied der Rechtsabteilung zum Compliance-Beauftragten zu ernennen. Robert Altvater, Corporate Trust, habe die Erfahrung gemacht, dass Mittelständler vor allem die Risiken von internationalen Lieferketten unterschätzen. Die jüngsten Skandale in der Textilbranche hätten aber gezeigt, dass es in globalisierten Märkten besonders wichtig sei, auch darauf zu bestehen, dass Subunternehmer und Lieferanten sich gegen Wirtschaftskriminalität wappnen. Bei einigen Unternehmen sei der Nachweis eines Compliance-Systems Voraussetzung, um überhaupt ins Geschäft zu kommen. Altvater zähle drei Elemente auf jeden Fall zum Vorbeugungsprogramm jedes Unternehmens: ein sogenanntes Red Flag-System, das besonders gefährdete Bereiche wie die Einkaufsabteilung identifiziert, ein Ombudsmann und eine WhistleblowerHotline. Schon vor Vertragsabschluss mit einem neuen Geschäftspartner sollte überprüft werden, ob er mit negativen Schlagzeilen in der Presse stand. Vor allem bei neuen Geschäftspartnern im Ausland empfehle sich ein professionelles Screening. Mit der praktischen Umsetzung der Compliance-Konzeption befasst sich in der FAZ am 15. Mai Klaus Moosmayer, Siemens AG. Bei der praktischen Umsetzung gebe es in den Unternehmen durchaus noch große Unsicherheiten – vor allem über die Frage, ob intern erkanntes Fehlverhalten auch unter Inkaufnahme einer Außenwirkung aufzuklären und den Behörden zur Kenntnis zu bringen ist. Denn bislang sei die Entscheidung über eine Abmilderung der Haftung den Staatsanwaltschaften und Gerichten überlassen, ohne dass es dafür einheitliche Jahrbuch der Unternehmenssicherheit 2013 Grundsätze und damit Rechtssicherheit für die Unternehmen gibt. Unternehmen mit einem effektiven Compliance-System seien bei einer freiwilligen Offenlegung gegenüber Behörden paradoxerweise mit dem Risiko konfrontiert, für ihre Aufklärungsarbeit durch hohe Geldbußen – und gegebenenfalls anschließende Vergabeausschlüsse – bestraft zu werden. Helfen könnte etwa eine umfassende Kronzeugenregelung. Sie sollte gelten für Unternehmen, die intern erkanntes Fehlverhalten freiwillig und vollständig melden – und außerdem darlegen, wie Schwachstellen im Kontrollsystem geschlossen werden. Ein solches Anreizsystem sei mit Blick auf die spezielle kartellrechtliche Kronzeugenregelung der Rechtsordnung alles andere als fremd. Es sei daher an der Zeit, diese Grundfrage einer Diskussion mit dem Gesetzgeber zuzuführen. Gerade den Syndikusanwälten komme aufgrund ihrer zentralen Rolle im Bereich Compliance hierbei eine wichtige Rolle zu. Was passiert, wenn ich Compliance-Richtlinien nicht unterschreibe? fragt Rechtsanwalt Norbert Pflüger in der FAZ am 17. August. Sie könnten für den Einzelnen nur in Kraft gesetzt werden, wenn er schriftlich zustimmt. Dies gelte insbesondere bei Einführung neuer, im Arbeitsvertrag so nicht geregelter Pflichten. In engen Grenzen komme eine personenbedingte Änderungskündigung in Betracht. Sie könne wirksam sein, wenn der Arbeitgeber die Zustimmung des Mitarbeiters zu einer Compliance-Regelung benötigt, um ihn überhaupt noch auf der Vertragsposition einsetzen zu können. Fordern etwa schärfere gesetzliche Kontrollregelungen zusätzliche Vertragserklärungen des Mitarbeiters, so könne er bei deren Fehlen nicht mehr in seiner Position eingesetzt werden. Eine personenbedingte Änderungskündigung sei aber auch in diesem Fall nur zulässig, wenn sich der Arbeitgeber auf die gesetzliche vorgeschriebene Willenserklärung beschränkt. Compliance – Einzelne Compliance-Themen Uwe-Bernd Striebeck, KPMG, weist in der Verlagsbeilage ITK 2013 der FAZ am 26. Februar darauf hin, dass Regularien für die Sammlung, Verarbeitung und Nutzung von Daten Unternehmen unter Zugzwang setzen. Gleichzeitig mehrten sich die Zeichen, dass die klassischen ITWerkzeuge nicht ausreichen werden, das notwendige Maß an Konformität (Compliance) zu budgetvertretbaren Kosten herzustellen. Als sogenannte ComplianceLösungen herausgestellte Produkte gebe es zuhauf. Die Herausforderung bestehe darin, für die Implementierung aller notwendigen Kontrollen die richtigen Datenquellen zu identifizieren und die Systemgrenzen zwischen diesen durch Datenformatanpassungen zu überwinden. Die Beurteilungsmaßstäbe der zu etablierenden Kontrollen könnten fast immer in Form maschinell verarbeitbarer Regeln hinterlegt werden. Mit dem Thema Compliance befasst sich die Ausgabe 1-2013 des ASSURANCE MAGAZIN von KPMG. Im Bereich des Außenwirtschaftsverkehrs seien vier Kriterien entscheidend bei der Beurteilung, ob ein Export verboten ist oder staatlicher Kontrolle unterliegt: Art des Gutes, Zweck des Gutes, Empfänger der Lieferung und Ort der Lieferung. Allein in der EU würden derzeit mehr als 20 Embargos mit unterschiedlichem Umfang gelten. Einen ersten Anhaltspunkt für die Implementierung einer internen Exportkontrolle biete das BAFA-Merkblatt „Internal Compliance Programmes – ICP“. Arbeitsanweisungen, Prozessbeschreibungen und die Nutzung geeigneter IT-Tools seien wichtige Bausteine der Compliance-Organisation. Die Wirksamkeit des Compliance ManagementSystems sollte regelmäßig geprüft und die Prüfung auch dokumentiert werden. (S. 11–13) 43 44 Jahrbuch der Unternehmenssicherheit 2013 Andreas Feege, Assurance Partner, nimmt im Interview Stellung zur „chinesischen Compliance“ (S. 15–18). Seit 2012 gebe es eine Datenbank, in der alle Verurteilungen wegen Bestechungen registriert sind. Eine Nachfrage auf nationaler Ebene empfehle sich, um konkrete Situationen besser einschätzen zu können. China habe kein bestimmtes Antikorruptionsgesetz. Zivilrechtliche Regelungen fänden sich allerdings im Strafgesetzbuch, das neuerdings auch die Bestechung ausländischer staatlicher Funktionäre im In- und Ausland unter Strafe stelle. Und das chinesische Unternehmensrecht enthalte ebenfalls eine Fülle von Vorschriften für Manager, Direktoren und Aufsichtsräte. Wer wie einige wenige deutsche Konzernunternehmen das deutsche Compliance-Rechtssystem weltweit anwendet, mache mit Sicherheit nichts falsch. Gefälschte Rechnungen, der Einsatz von Agenten, Schwarzgeld- und Auslandskonten, pauschale Rechnungen für „Beratungshonorare“ und Scheingeschäfte zwischen verbundenen Unternehmen seien in China an der Tagesordnung. Es gelte als bewiesen, dass mehr als die Hälfte der Multinational Corporations in China keine interne Revision, kein Fraud Risk Assessment und kein Fraud Awareness-/Antifraud- Training haben. Die zentralen Abteilungen aus Deutschland verfügten nicht über ausreichende Kenntnisse über Land, Leute und die Sprache. Hier bestehe Nachholbedarf. In der Septemberausgabe behandelt der Behördenspiegel effektive StorageManagementlösungen für den Umgang mit vertraulichen Informationen, die für Compliance sorgen. Herkömmliche StorageManagementsoftware verwalte nur den Massenspeicher im technischen Sinne, nicht jedoch die darauf gespeicherten Dateien und ordne diese nicht Benutzern oder Rollen innerhalb der Organisation zu. Eine Lösung wie Novell File Management Suite bringe Abhilfe für zwei weitere kritische Bereiche: richtlinienbasierte Dateiablage und Nachweis von Dateirechten. Für die IT-Verantwortlichen sei jederzeit nachvollziehbar, wer welche Dateien im Netz abgelegt hat und um welche Art von Dateien es sich handelt. Im Fall eines Audits könne so genau nachgewiesen werden, wer der Eigentümer der Datei ist und dass nur autorisierte Benutzer Zugriff darauf haben. Auch die zentrale Erstellung, Analyse, Planung und Ausführung von Richtlinien zur Datenhaltung würden einfach ermöglicht – sie könnten ebenso als Nachweis der Compliance herangezogen werden. Compliance – KMU Wichtig sei Compliance auch für den Mittelstand, erläutert die FAZ am 26. September in einer Spezialausgabe. Kein Unternehmen könne es sich leisten, die drohenden Gefahren bei Compliance-Verstößen zu ignorieren. Es gelte, Compliance-Regelwerke und entsprechende Systeme zu individualisieren. Statt wahllos Workshops für Mitarbeiter anzubieten, sollten Geschäftsführer sich zunächst mal ihr Unternehmen ganz genau anschauen und sich fragen: „Wo liegen bei meinem Geschäftsmodell die Risiken?“ Maß halten, laute unisono die Devise von Experten. Für Geschäftsführer von Unternehmen gelte eine sogenannte Organisations- und Aufsichtspflicht: Sie müssten dafür sorgen, dass ihre Firma als Ganzes sowie jeder einzelne Mitarbeiter gesetzliche und unternehmensinterne Vorschriften einhält. Ebenso müssten sie regelmäßig kontrollieren und dokumentieren, inwieweit zum Beispiel hauseigene Compliance-Systeme Wirkung zeigen. Außerdem könnten Geschäftsführer, Vorstände und Aufsichtsräte seit einigen Jahren persönlich haftbar gemacht werden, wenn sie sich fahrlässig verhalten oder Entscheidungen treffen, die gegen gesetzliche oder hausinterne Regeln verstoßen haben, die Führungskraft davon wusste – und nichts dagegen unternommen hat. Um Schadener- Jahrbuch der Unternehmenssicherheit 2013 satzklagen zu vermeiden, sei die von Beratern empfohlene Risikoanalyse wichtig. Compliance-Regeln gewinnen im Mittelstand an Bedeutung – es hapert allerdings oft an der Umsetzung, titelt das Handelsblatt am 13. Juni. Laut einer Studie von KPMG verfügten fast 80 % der befragten Mittelständler über einen Verhaltenskodex. Die Studie offenbare aber auch, dass bei der Kommunikation noch Nachholbedarf bestehe – sowohl nach innen wie nach außen. Die interne Kommunikation scheitere oft schon an den dröge formulierten Dokumenten, die meist von der Rechtsabteilung ausgearbeitet werden. Die Inhalte der Regeln würden in Teambesprechungen und Mitarbeiterausschüssen immer wieder thematisiert. Und die prominente Darstellung auf der Homepage helfe inzwischen auch im Wettbewerb um Aufträge. Die positive Außenwirkung werde aber noch vielfach unterschätzt. Ein Drittel der Befragten verzichte darauf, offensiv auf die Maßnahmen hinzuweisen. Großkonzerne verlangten von ihren mittelständischen Lieferanten zunehmend einen Beleg für ein funktionierendes ComplianceSystem. Ein Zertifikat helfe nicht nur bei der Auftragsvergabe. Es reduziere auch das Risiko der persönlichen Haftung der Geschäftsführung, wenn es zu Gesetzesverstößen im Unternehmen kommt. Compliance – Öffentliche Unternehmen Der Behördenspiegel weist in seiner Septemberausgabe auf die jetzt erschienene zweite Auflage des Praxishandbuchs Compliance für öffentliche Unternehmen hin. Die Themen des Kompendiums reichten von den allgemeinen ComplianceAnforderungen an Wirtschaftsunternehmen (einschließlich der Herausforderungen im Bereich des Arbeits-, Kartell-, Steuer- und ITRechts) über die Besonderheiten im Bereich öffentlicher Unternehmen (einschließlich Vergabe-, Preis- und Europäisches Beihilferecht), die branchenspezifischen Anforderungen, Haftungsfragen der Unternehmensleitung sowie des Unternehmens gegenüber Dritten bis zu den Voraussetzungen, den Maßnahmen zur Implementierung sowie den Bestandteilen eines CMS. Die Rechtsanwälte Dr. Martin Gimnich, LL.M., und Dr. André-M. Szesny, LL.M., besprechen in der Februarausgabe des Behördenspiegel neue Rechtsprechung über Pflichten zur Verhinderung von Straftaten in kommunalen Unternehmen. Der BGH hatte im Jahr 2009 die Verurteilung des Leiters der Innenrevision der Berliner Stadtreinigungsbetriebe wegen Betruges bestätigt, weil er gegen von ihm erkannte Falschabrechnungen gegenüber Endkunden nicht eingeschritten war (5 StR 394/08). Er erkannte eine besondere Pflicht der als Anstalt des öffentlichen Rechts ausgestalteten Stadtreinigungsbetriebe, ihre hoheitliche Aufgabe der Straßenreinigung gesetzmäßig zu vollziehen und abzurechnen. Zu ihrer Aufgabe gehöre es daher auch, die Anlieger vor betrügerisch überhöhten Gebühren zu schützen. Diese hoheitliche Tätigkeit unterscheide die Stadtreinigungsbetriebe von privaten Wirtschaftsunternehmen. Nach Überzeugung der Autoren ist die Andersbehandlung kommunaler Betriebe im Vergleich zur Privatwirtschaft zwar angreifbar. Die Kommunalwirtschaft müsse sich aber mit dieser Rechtsprechung auseinandersetzen. Sie müssten mindestens dieselben Vorkehrungen gegen Gesetzesverstöße durch ihre Mitarbeiter treffen wie die Privatwirtschaft. Bezüglich Art und Umfang der einzurichtenden Compliance-Struktur komme der Unternehmensleitung ein breites Ermessen zu. Eine gute Orientierung biete seit 2011 der Prüfungsstandard 980 der Wirtschaftsprüfer „Grundsätze ordnungsmäßiger Prüfung von Compliance-Managementsystemen (IDW PS 980)“. Ein CMS sei hiernach angemessen, wenn es geeignet ist, mit hinreichender 45 46 Jahrbuch der Unternehmenssicherheit 2013 Sicherheit sowohl Risiken für wesentliche Regelverstöße rechtzeitig zu erkennen, als auch solche Regelverstöße zu verhindern. Ergänzend könnten weitere Elemente wie z. B. IT-Systeme oder Whistleblower-Hotlines eingerichtet werden. Compliance – Finanzsektor Die FAZ berichtet am 18. Juli über eine Umfrage unter 250 Angestellten der Finanzbranche in den USA. 52 % der Befragten glaubten, dass Wettbewerber „illegale oder unethische“ Geschäfte machen. Knapp ein Viertel berichteten, dass sie selbst Fehlverhalten von Kollegen beobachtet hätten oder aus erster Hand Informationen darüber besäßen. Mitglieder der Finanzbranche müssten sich möglicherweise illegal oder unethisch verhalten, um erfolgreich zu sein, glaubten 29 %. 24 % hätten zugegeben, dass sie vertrauliche Informationen zu ihrer Bereicherung nutzen würden, solange sie nicht dabei erwischt würden. Am 31. Juli weist die FAZ darauf hin, dass nach § 54a Abs. 1 des Kreditwesengesetzes künftig bestraft werden soll, wer nicht dafür Sorge trägt, dass sein Institut über geeignete Strategien und Prozesse verfügt, und dadurch dessen Bestand gefährdet. Ziel der Regelung sei es, Risikomanagementund Compliance-Routinen zu verordnen, damit Banken nicht mehr mit Steuermitteln gestützt werden müssen. Es sei aber zu befürchten, dass die Norm zu unbestimmt ist. Bei seiner komplizierten Verweisungstechnik bleibe auf der Strecke, welche Verfahren in welcher Weise vorgehalten werden müssen, um dem Unterlassungsvorwurf zu entgehen. Nach einem vom Finanzausschuss des Bundestages kreierten Absatz 3 solle die Tat nur dann strafbar sein, wenn der zunächst als solcher bezeichnete „Täter“ einer vollziehbaren Anordnung der Bundesanstalt für Finanzdienstleistungsaufsicht zuwidergehandelt hat. Es bleibe im Dunkeln, ob damit eine sogenannte objektive Strafbarkeitsbedingung oder ein besonderer Strafausschließungsgrund gemeint ist. Rätseln dürfe man auch, ob die Aufhebung von Strafbarkeitsvoraussetzungen einer Behörde überlassen werden darf. Datenschutz Das Thema Datenschutz spielt in den Medien 2013 eine große Rolle, insbesondere unter dem Aspekt des Arbeitnehmerdatenschut- zes, des Vorhabens einer EU-Datenschutzverordnung und wegen der NSA-Affäre. Datenschutz – Allgemein In einem Newsletter vom 8. Februar weist die ASW auf die Ergebnisse einer aktuellen Studie von Iron Mountain auf die Einstellung deutscher Unternehmen zum Datenschutz hin. Drei Viertel seien gegen Datenschutzverletzungen versichert. Aber 65 % aller befragten deutschen Unternehmen hätten angegeben, dass drohende Geldstrafen für Verstöße gegen Datenschutzbestimmungen nur geringen Einfluss auf ihre Datenschutzpolitik hätten. Das Beratungsunternehmen PwC und Iron Mountain hätten ein Online-Tool entwickelt, das Unternehmen dabei helfen soll, ihr Informationsrisiko zu bewerten. Es basiere auf dem sogenannten „Information Maturity Index“, der eine Reihe von Maßnahmen bewerte, deren Implementierung und regelmäßige Überwachung dazu bei- Jahrbuch der Unternehmenssicherheit 2013 tragen, papierbasierte und digitale Unternehmensdaten zu schützen. Dazu gehörten Maßnahmen aus den Bereichen Strategie, Personal, Kommunikation und Sicherheit. Je mehr Anforderungen erfüllt sind, desto höher sei die Bewertung auf dem Index. Mit der Geheimhaltung sensibler Daten nehmen es viele Arbeitnehmer nicht so genau – meist aus reiner Bequemlichkeit, berichtet die FAZ am 16. November. Für Rechtsanwalt Böken gehören zum technischen Mindestschutz achtstellige Passwörter. Die Kommunikation mit dem Unternehmensserver müsse verschlüsselt erfolgen, außerdem sollte es dem Unternehmen möglich sein, Daten von der Ferne aus zu löschen, wenn das Handy gestohlen wird. Doch auch die Nutzer müssten in Betriebsvereinbarungen zu einem verantwortungsvollen Umgang verpflichtet werden, etwa zur regelmäßigen Aktualisierung des Betriebssystems, zur Geheimhaltung der Zugangsinformationen und – trotz oder gerade wegen des Peinlichkeitsfaktors – auch zu einer Meldepflicht bei Verlust oder Diebstahl. Die einzige Lösung im Fall der Genehmigung von BYOD sei die absolute Trennung zwischen privater und geschäftlicher Nutzung, die inzwischen bei einigen Smartphones schon dadurch möglich sei, dass die Geräte unterschiedliche Container für geschäftliche und private Nutzung vorsehen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) weist in einer Pressemitteilung vom 28. Juni auf rechtliche Risiken hin, die bei der Versendung mehrerer E-Mails auf einmal auftreten können, wie jetzt der Sicherheits-Berater in der Ausgabe 17/13 (S. 255–258) berichtet. Beispiel: Ein Handelsunternehmen verschickte eine E-Mail an seine Kunden. Dabei umfassten die AdressHeader im ausgedruckten Zustand neuneinhalb Seiten. Die Adressen selbst, die sich „in erheblichem Umfang aus Vornamen und Nachnamen zusammensetzten“, waren dabei für sämtliche Empfänger offen sichtbar im AN- bzw. CC-Feld eingetragen. Das BayLDA verhängte ein Bußgeld gegen die Unter- nehmensleitung. Das Fazit des SicherheitsBeraters: Ob das CC-Feld für die Adressen gewählt werden könne oder das BCC-Feld zu wählen sei, in dem Adressen für andere EMail-Empfänger nicht lesbar sind, hänge von den Umständen des Einzelfalles ab. Innerhalb eines Unternehmens ließen sich offene MailVerteiler wesentlich leichter rechtfertigen, als dies bei der Kommunikation mit Externen der Fall sei. Eine Einweisung der Mitarbeiter in die genaue Funktionsweise der E-Mail-Software sollte zur Vermeidung von Datenschutzverstößen stets erfolgen. Die Organisation Privacy International hat nach einer Meldung von heise online vom 20. November eine Datenbank mit Unternehmen zusammengetragen, die Überwachungstechnik anbieten. Zusammengekommen sei im Surveillance Industry Index eine Liste von 338 Unternehmen aus 36 Ländern, welche Technik sie anbieten, wozu die Technik in der Lage ist und an welche Regierungen sie verkauft wurde. Apps sollen künftig zeigen, welche persönlichen Informationen sie über ihre Nutzer sammeln und an wen sie die nutzerspezifischen Daten weitergeben, meldet die Süddeutsche Zeitung am 26. Juli. Das leiste ein Programmiercode, den eine Gruppe aus Appentwicklern und Verbraucherschützern entwickelt hat. Große Anbieter wie Google und Apple, die Marktstandards setzen können, hätten sich bisher noch nicht geäußert, ob sie den Code bei ihren Apps integrieren wollten. Kritiker äußerten, das Projekt würde keine wirkliche Verbesserung mit sich bringen. Teilnehmende Apps würden doch nur grob preisgeben, welche Daten sie sammeln. Die deutschen Datenschutzbehörden haben angedroht, hiesigen Unternehmen keine Auslagerung von Informationen in eine „Cloud“ außerhalb der EU mehr zu erlauben, berichtet die FAZ am 14. August. In vielen Fällen seien solche Datenübermittlungen von der zuständigen Behörde zu genehmigen. Dieses Erfordernis entfalle nach dem BDSG 47 48 Jahrbuch der Unternehmenssicherheit 2013 unter anderem, wenn der Empfänger der Daten in den USA registriert ist oder wenn ein deutsches Unternehmen für seinen Datenexport mit dem nichteuropäischen Empfänger einen EU-Standardvertrag abgeschlossen hat. Mindestens zwei praktische Anwendungsfälle gebe es, in denen künftig eine Übermittlung personenbezogener Daten an die USA verhindert und Bußgelder verhängt werden können: Der erste Fall sei die Verwendung von Standardvertragsklauseln. Besonders strenge Datenschutzbehörden würden verlangen, dass der Einsatz solcher Vertragsklauseln vorab von ihnen gebilligt wird. Diese Genehmigung solle nun nicht mehr erteilt werden. Der zweite Fall sei eine Datenübermittlung auf Basis der „Safe Harbour“-Regeln oder eines EU-Standardvertrages, wenn eine Behörde einen besonders schweren Datenschutzverstoß feststellt. Insbesondere Datenübermittlungen an Unternehmen, die besonders intensiv mit der NSA zusammenarbeiten oder gearbeitet haben, könnten von den Behörden in Augenschein genommen und im Einzelfall als rechtswidrig eingestuft werden. Man hoffe, dass bis Ende 2013 sowohl das Safe Harbour-Abkommen als auch die EUStandardverträge im erforderlichen Maß überarbeitet würden, damit die deutschen Daten auch in den USA wieder sicher seien. Die FAZ weist am 24. April auf einen Gesetzentwurf der hessischen Landesregierung hin, über den der Bundesrat beraten will. Danach soll die Hehlerei mit gestohlenen Daten künftig genauso bestraft werden können wie der Handel mit entwendeten Gegenständen. Wenn Daten „abgefischt“ und dann in Internetforen und Web-Portalen weiterverkauft werden, würden die bisherigen Straftatbestände nicht greifen. Der Handel mit illegal erlangten Kreditkarten habe sich zu einem Massenphänomen entwickelt. Auch Passwörter für Warenbestellungen oder Abholstationen für Pakete sowie für Online-Banking und soziale Netzwerke seien betroffen. Hessen schlage deshalb einen neuen Tatbestand namens Datenhehlerei im Strafgesetzbuch vor, um der „organisierten Cyberkriminalität“ zu begegnen. Außerdem sollten die Strafrahmen für das Ausspähen und Abfangen von Daten (§ 202a und 202b StGB) angehoben werden, wenn Kriminelle mit „Bereicherungs- oder Schädigungsabsicht“ handeln oder „gewerbsoder bandenmäßig“ vorgehen. Schon der Versuch solle in Zukunft geahndet werden können. Dagmar Strunz, Martin Yale International GmbH, befasst sich in der Ausgabe 3/13 von Protector (S. 42/43) mit der zuverlässigen Datenvernichtung. Wichtig sei die Aufstellung von Richtlinien, die Schulung aller Beteiligten und das Bestehen lokaler Vernichtungsmöglichkeiten. Die 2012 verabschiedete Norm DIN 66 399 definiere erstmals nicht nur Anforderungen an die Vernichtung von Daten auf Papier, sondern auch auf allen gängigen modernen digitalen Datenträgern. Dabei gebe sie sieben Sicherheitsstufen vor, nach denen die Medien bedarfsgerecht vernichtet werden können. Das Zerkratzen der Speicheroberfläche reiche nicht aus, um die Daten zuverlässig zu entfernen. Die Datenträgerschicht müsse vollständig zerstört und abgelöst werden. In derselben Ausgabe weist Thomas Wirth, Blancco Central Europe GmbH, darauf hin, dass die gesetzlichen Richtlinien einen protokollarischen Nachweis der Löschung fordern. Gerade in komplexen Hardware-Umgebungen, wie sie in großen Rechenzentren vorhanden sind, müsse eine zertifizierte, nachweisbare Datenlöschung gewährleistet werden (S. 44/45). Datenschutz – Arbeitnehmerdatenschutz Wie die FAZ am 12. Januar berichtete, hatten sich Fachpolitiker der Regierungskoalition auf den Entwurf eines Gesetzes zum Datenschutz in Unternehmen geeinigt. Darin sei ein vollständiges Verbot der heimlichen Videoüberwachung in Betrieben vor- Jahrbuch der Unternehmenssicherheit 2013 gesehen. Erleichtert werden sollte dagegen offene Kamerabeobachtung. Die Vorschriften würden jegliche Erhebung, Verarbeitung und Nutzung von Daten einschränken, etwa Fragen im Bewertungsgespräch sowie Eignungstests. E-Mails dürften nach dem Entwurf unter bestimmten Voraussetzungen kontrolliert werden. Kontonummern und andere Angaben dürften nur verfremdet abgeglichen werden, falls ein konkreter Verdacht auf gewichtige Verfehlungen besteht. Betriebsvereinbarungen dürften keine ungünstigeren Regeln treffen. Am 30. Januar meldete die FAZ, dass die geplante Reform des Datenschutzes von Arbeitnehmern kaum noch Aussicht auf Erfolg habe. Die Koalitionsspitzen hätten beschlossen, das Vorhaben von der Tagesordnung im Innenausschuss und im Plenum des Parlaments zu streichen. Die Regierung sei vor den geharnischten Protesten eingeknickt, die von Gewerkschaften und Arbeitgebern gleichermaßen gekommen seien. Wirtschaftspolitiker und den Deutschen Anwaltverein habe gestört, dass heimliche Videoüberwachung vollständig verboten werden sollte. Dies würde etwa die Aufklärung von Diebstählen in Unternehmen erschweren, die das BAG erlaubt habe. Der CSU-Innenpolitiker Michael Frieser habe gesagt, die Politik werde versuchen, eine „Moderatorenrolle“ zu übernehmen. Gemeinsam mit Arbeitnehmern und Arbeitgebern wolle man möglichst noch vor den Wahlen im September eine Lösung finden. Big Brother im Betrieb titelt die FAZ am 2. Februar. Das BAG habe in den vergangenen Jahren ein ausgeklügeltes System zur Videoüberwachung erarbeitet, mit dem auch die Gewerkschaften leben könnten. Dabei sei die Rechtslage auf den ersten Blick verworren und mitunter etwas unklar, weil nur wenig gesetzlich geregelt und vieles dem Interpretationsspielraum der Gerichte überlassen sei. Im Juni 2012 habe das BAG die engen Grenzen für heimliche Videoüberwachungen bestätigt (2 AZR 153/11). Dazu müsse ein konkreter Ver- dacht einer strafbaren Handlung bestehen, und weniger einschneidende Mittel zur Aufklärung dieses Verdachts müssen ergebnislos ausgeschöpft worden sein. Noch dazu dürfe es nicht unverhältnismäßig sein. Eingrenzbarkeit sei dabei das zentrale Stichwort: Ganze Lagerhallen dürften nicht ausspioniert werden, ein abgrenzbarer Kassenbereich dagegen schon. Und natürlich nur in einem befristeten Rahmen und nicht über Wochen hinweg. Erstmals habe das BAG übrigens auch über heimliche Videoaufnahmen in öffentlich zugänglichen Räumen geurteilt. Das Kennzeichnungsgebot in § 6b BDSG sei keine Zulässigkeitsvoraussetzung für die Nutzung erhobener Daten. Die Bundesrichter hätten verfassungsrechtliche Bedenken, dass ein absolutes Verbot verdeckter Videoaufzeichnungen in öffentlich zugänglichen Räumen gegen den Schutz der Eigentumsinteressen des Arbeitgebers verstoßen könnte. Dem Betriebsrat dürfe der Arbeitgeber keine Vorschriften zur Einhaltung des BDSG machen (Az: 7 ABR 23/11). So könnten die Arbeitnehmervertreter vom Arbeitgeber die Einrichtung eines Gruppenaccounts verlangen, der es dem Unternehmen nicht ermögliche, die Internetnutzung durch die einzelnen Betriebsratsmitglieder nachzuvollziehen. Das BDSG schreibe zwar für den Rechner des Betriebsrats datenschutzrechtliche Sicherungen vor. Für entsprechende Maßnahmen müsse der Betriebsrat jedoch in eigener Verantwortung sorgen. Die Entscheidung des BAG lege nahe, dass der Betriebsrat selbst darüber entscheiden kann, welche Beschäftigtendaten er zur Erfüllung seiner Aufgaben erhebt und verwendet. Besonders interessant werde das im Licht einer anderen Rechtsprechung des BAG: In einer Entscheidung zum Umfang des Kontrollrechts des Betrieblichen Datenschutzbeauftragten (DSB) habe das Gericht entschieden, dass dieser den Betriebsrat nicht daraufhin kontrollieren darf (oder muss), ob er die Vorschriften zum Datenschutz beachtet. 49 50 Jahrbuch der Unternehmenssicherheit 2013 Datenschutz – KMU In ZEIT Online beklagt Joachim Jakob am 26. Februar, dass sich Selbstständige und kleine Firmen zu wenig um Cyberkriminalität kümmern. So würden nicht wenige Selbstständige Patienten-, Kunden- oder Bewerberdaten ungeschreddert in den Müll werfen. Es gebe sogar ein Programm namens „unshredder“, das Papierschnipsel virtuell zusammenpuzzeln kann. Wenn ein Selbstständiger oder ein Unternehmen fahrlässig mit Daten umgeht, könnten die Kunden hohe Schadensersatzansprüche geltend machen. Fahrlässiger Datenschutz könne teuer werden. Der TÜV SÜD stellte kürzlich eine Studie „Datenschutz 2012“ vor, in der er den Stellenwert des Datenschutzes bei Mittelstandsfirmen abgefragt hatte, berichtet der Sicherheits-Berater in seiner Ausgabe 4-2013. Der Umgang mit Kundendaten berge demnach noch ein ordentliches Risikopotenzial. Datenschutz – EU-Recht In der Fachzeitschrift <kes> (Ausgabe 5-2013, S. 22–25) weist Rechtsanwalt Stefan Jaeger darauf hin, dass die Informationspflicht von Unternehmen über Datenschutzverletzungen jetzt europaweit durch die VO Nr. 611/2013 der EU-Kommission vereinheitlicht wurde. Die Informationspflicht gelte in bestimmten Fällen gegenüber Aufsichtsbehörden und Betroffenen. Ungeklärt seien nach wie vor einige rechtliche Fragen. So sehe die VO selbst keinerlei Sanktion für den Fall des Verstoßes gegen die Meldepflicht vor. Zudem bleibe auch die Frage nach den Verpflichteten gemäß der EU-VO unklar. Wegen Verstößen gegen den Datenschutz haben sechs europäische Länder, darunter Deutschland, Strafmaßnahmen gegen den Internetkonzern Google angekündigt, meldet die FAZ an demselben Tag. Das Unternehmen habe nach der Kritik der EUDatenschutzbehörden nicht reagiert. Google beharre darauf, dass seine Nutzungsbestimmungen EU-Recht genügen. Auch würden Kunden unzureichend über die Zwecke und die Kategorien der gespeicherten Daten informiert. Unklar sei außerdem, wann die Daten gelöscht würden. Das Europaparlament habe fürs erste verhindert, dass in der EU ein System zur polizeilichen Auswertung von Fluggastdaten aufgebaut wird, meldet die FAZ am 25. April. Der Innenausschuss habe einen entsprechenden Gesetzesvorschlag der EUKommission verworfen. Mit einem einheitlichen Datenschutz habe sich die EU tatsächlich viel vorgenommen, schreibt die FAZ am 3. April. Schließlich gehe es um nichts weniger, als den überholten Schutz aus dem analogen Zeitalter auf die digitale Welt zu übertragen. An einen „Gefällt mir“-Knopf sei zu Zeiten der ersten Datenschutzrichtlinie 1995 noch nicht zu denken gewesen, ebenso wenig an CloudComputing mit sich über Grenzen spannenden Rechnernetzwerken. Geregelt werden solle zudem das lang diskutierte „Recht auf Vergessen“, mit dem Unternehmen wie Facebook verpflichtet werden sollen, im Web veröffentlichte Inhalte auf Wunsch der Nutzer wieder zu löschen oder zumindest zu verbergen. Für Gesprächsstoff sorgten auch die geplanten Sanktionen bei Datenschutzverstößen. Bußgelder sollen bis zu einer Höhe von einer Million Euro möglich sein, außerdem sei ein Strafschadenersatz von bis zu 2 % des weltweiten Jahresumsatzes eines Unternehmens vorgesehen. Dagegen solle der vieldiskutierte Beschäftigtendatenschutz außen vor bleiben; dieses ehrgeizige Vorhaben habe jüngst die Bundesregierung Jahrbuch der Unternehmenssicherheit 2013 mit einem verunglückten Regelungsversuch in die öffentliche Diskussion gebracht. Er gehöre zu den wenigen „Bereichsausnahmen“, die die Mitgliedstaaten nach der „Vollharmonisierung“ noch eigenständig regeln könnten. Nicht nur die Technik habe sich verändert, auch die Globalisierung habe sich in den vergangenen Jahren rasant entwickelt. Die Schlagworte „Modernisierung und Harmonisierung“ sollten deshalb das neue Vorhaben eines europäischen Datenschutzes umreißen. Datenschützer warteten händeringend auf das neue Regelwerk. Doch selbst wenn der ehrgeizige Zeitplan hält, werde es noch eine mindestens zweijährige Übergangsperiode geben. Vor 2017 sei mit der Verordnung wohl nicht zu rechnen. Der Bundesinnenminister setze weiter auf mehr Selbstregulierung der Wirtschaft, meldet heise online am 28. Mai. Er sehe nach einem zeitweiligen Rückschlag im EURat doch wieder gute Chancen, den deutschen Vorschlag für eine stärkere Selbstkontrolle der Wirtschaft in der geplanten EU-Datenschutzverordnung zu verankern. Einbezogen werden sollten demnach grundlegende Aspekte wie eine „faire und transparente Datenverarbeitung“, Ausführungen zur Zweckbestimmung und zum Prinzip, in die Nutzung persönlicher Informationen einzuwilligen. Schwierigkeiten hätten die Regierungen mit der Klarstellung, für welche Zwecke personenbezogene Informationen von Firmen überhaupt gesammelt und weiterverarbeitet werden dürfen. Zu den weiteren Knackpunkten zählten personenbezogene Profile und damit einhergehende Informationspflichten sowie Auflagen, die Öffentlichkeit oder Betroffene nach Datenpannen zu informieren. Auch an Formulierungen, wann eine Datenverarbeitung besonders risikoreich und so vorab eine Folgenabschätzung nötig ist, habe der EU-Rat gefeilt. Das umkämpfte Recht, vergessen zu werden, sei in dem Entwurf leicht eingeschränkt weiter enthalten. Allerdings hätten hier neben Deutschland sechs andere Länder allgemeine und sechs weitere Staaten spezifische Prüfungsvorbehalte eingelegt. Der Innenausschuss des EU-Parlaments hat mit großer Mehrheit den lange umkämpften Entwurf für eine neue DatenschutzGrundverordnung in der zuvor bekannt gewordenen Kompromissfassung angenommen, berichtet heise online am 21. Oktober. Damit hätten die Abgeordneten den Weg frei gemacht für die erste umfassende Änderung der europäischen Datenschutzbestimmungen seit 1995. Der abgestimmte Entwurf dürfte viele Wirtschaftsvertreter auf die Barrikaden treiben. Als Höchststrafe für Verstöße seien 100 Millionen Euro oder fünf Prozent des Jahresumsatzes eines Unternehmens vorgesehen. Wer Daten verarbeitet, die sensibel sind oder sich auf 5.000 Betroffene pro Jahr beziehen, müsste beim Durchkommen des Vorstoßes einen gesonderten Betriebsdatenschutzbeauftragten ernennen, eine Risikoanalyse und eine Folgenabschätzung durchführen und die Einhaltung der Regeln alle zwei Jahre durch einen externen Experten überprüfen lassen. Datenschutzpannen seien „ohne ungerechtfertigte Verzögerung“ und so in der Regel binnen 72 Stunden den Betroffenen mitzuteilen. Eine Nutzung persönlicher Daten solle prinzipiell eine frei abgegebene, spezifische und informierte Einwilligung des Betroffenen benötigen. Schweigen oder Inaktivität dürfe nicht als Hinweis darauf verstanden werden. Datenschutz – Geheimdienste Heise online berichtet am 21. Februar über eine Studie des Centre d’Etude sur les Conflits und des Centre for European Policy Studies zum Datenschutz in der Cloud. Es gebe ein tückisches Zusammenspiel des Datentransfers in die Cloud und extremer US-Überwachungsgesetze. Insbesondere § 1881a des Foreign Intelligence Surveil- 51 52 Jahrbuch der Unternehmenssicherheit 2013 lance Act erlaube es, Daten von EU-Bürgern massenhaft zu sammeln. Es gehe um einen dauerhaften Strom aller Daten über systematisch in die Infrastruktur von US-CloudAnbietern eingebaute „Installationen“. Wie die FAZ am 17. Juni meldet, hat Facebook bekannt gegeben, im zweiten Halbjahr 2012 hätten die Behörden zwischen 9.000 und 10.000 Anträge auf die Freigabe von Nutzerinformationen gestellt. Die Anfragen hätten insgesamt 18.000 bis 19.000 Mitglieder-Profile des weltweit größten Unternehmens für soziale Netze betroffen. Bei den Anfragen von örtlichen und staatlichen Behörden, der Bundespolizei FBI sowie der Geheimdienste sei es um vermisste Kinder, um gewöhnliche Kriminalfälle wie auch um Terrordrohungen gegangen. Microsoft teile mit, im zweiten Halbjahr 2012 in 6.000 bis 7.000 Fällen Informationen zu 31.000 bis 32.000 Konten bei verschiedenen Microsoft-Diensten an die Behörden weitergegeben zu haben. Der BND wolle die Überwachung des Internet trotz des Skandals um die amerikanische Datenspionage massiv ausweiten. Wie die Zeitschrift „Spiegel“ berichte, habe der Dienst dazu für die kommenden fünf Jahre ein 100 MillionenProgramm aufgelegt. An den wichtigsten Punkten für den digitalen Verkehr habe der BND eigene Zugänge eingerichtet. E-Mails, Telefonate, Skype-Gespräche, SMS-Botschaften aus Regionen, für die sich der BND interessiert, könnten kontrolliert werden. Deutsche Internetnutzer zu kontrollieren, sei offiziell nicht erlaubt. E-Mail-Adressen, die auf „de“ enden, müssten gelöscht werden. Das gelte auch für deutsche Vorwahlen und IP-Adressen. Während der BND aber nur einen Teil der Kommunikation bewertet und nur einen Bruchteil davon speichert, sammele die amerikanische NSA alles. Rechtliche Schritte wegen der Ausspähung von Daten durch das amerikanische „Prism“- und das britische „Tempora“Programm könne die EU kaum ergreifen, berichtet die FAZ am 29. Juni. Geheim- dienste ließen sich durch den Datenschutz nun einmal nicht bändigen, schließlich seien sie geheim. Auch der Hamburger Datenschutzbeauftragte Johannes Casper sei mit der Aufzählung rechtlicher Möglichkeiten schnell am Ende. Einzige Stellschraube im Verhältnis zu den Amerikanern sei das Safe Harbor-Abkommen zwischen der EU und den USA. Es schreibe vor, dass Daten von EU-Bürgern nur an amerikanische Unternehmen übermittelt werden dürfen, die vom dortigen Handelsministerium garantierte hohe Datenschutzstandards erfüllen. Damit sollte ein Ausgleich geschaffen werden, dass das Datenschutzniveau in Amerika ansonsten niedriger sei als in Europa. Auf die Ausspähung von Daten durch Geheimdienste aber lasse sich dieses Abkommen kaum anwenden. Anders könnte das aussehen, wenn die Reform des europäischen Datenschutzrechts einmal Realität werde, über das momentan in Brüssel debattiert werde. Art. 41 sehe vor, dass die Kommission dazu feststellen muss, dass das betreffende Land einen angemessenen Datenschutz bietet. Dazu gehöre auch die Frage, ob betroffenen Personen gerichtliche Rechtsbehelfe zur Verfügung stehen. Eigentlich hätte die Kommission sogar einen effizienteren Hebel gegen die Weitergabe von Daten an Geheimdienste vorgesehen, die „Anti-Fisaklausel“. Diese sei gezielt gegen das amerikanische Überwachungsgesetz „Foreign Intelligence Surveillance Act“ gerichtet, das als Basis für Prism diene. Die Kommission hätte aber die Klausel wieder gestrichen, nachdem die amerikanische Regierung und amerikanische Unternehmen interveniert hätten. Microsoft sehe in der hitzigen Debatte, die derzeit in Deutschland über die NSA-Affäre geführt werde, eine Gefahr für den Standort Deutschland, berichtet die FAZ am 15. Juli. Die Bereitschaft von Unternehmen, Teile ihrer Informationstechnologie in die „Cloud“ auszulagern, könne gebremst werden. Microsoft gehöre zu einer Gruppe von sieben amerikanischen Unternehmen, die in das Spähprogramm „Prism“ eingebunden Jahrbuch der Unternehmenssicherheit 2013 seien. Das Unternehmen habe den Behörden Zugang zu einer Reihe seiner Angebote verschafft, darunter die E-Mail-Programme Outlook.com und Hotmail, der OnlineSpeicher Skydrive sowie der Telefondienst Skype. Allerdings werde nach Aussage von Microsoft der Regierung kein direkter und kein flächendeckender Zugang zu den Computersystemen ermöglicht. Google kopiere unverschlüsselt auf eigene Server, berichtet SPIEGEL ONLINE am 17. Juli. Google rate, das Passwort zum eigenen Drahtlos-Netzwerk nie mit Fremden zu teilen. Bei der eigenen BackupFunktion des Android-Systems missachte Google aber diesen Hinweis. Der Dienst kopiere die WLAN-Passwörter standardmäßig unverschlüsselt auf Google-Server. Die Passwort-Übertragung sei in vielerlei Hinsicht problematisch. Die Funktion sei zumindest auf einem Teil der Android-Geräte standardmäßig aktiviert. Es könne somit als sicher gelten, dass Google eine Datenbank mit Einträgen zu Millionen von Nutzerkonten besitzt, in der neben den genutzten WLANs auch Kennwörter stehen. Bei einigen Unternehmen sei das Login-Passwort für Netzwerke dasselbe wie das zur Anmeldung am Rechner im Firmennetz. In Googles WLAN-Passwortlisten dürften also einige brisante Zugangsinformationen enthalten sein. Nutzer hätten keine Möglichkeit, einzelne Datensätze zu Android-Geräten von den Google-Servern zu löschen. Logge man sich in das eigene Google-Konto ein, finde man unter dem Stichwort „Android“ eine Auflistung aller Geräte, auf denen man sich jemals mit dem Google-Konto angemeldet hat, inklusive eindeutiger ID-Nummer, dem Tag der Registrierung und dem der letzten Anmeldung. Löschen könne man hier nichts. ZEIT-ONLINE berichtet am 21. August unter Berufung auf das Wall Street Journal, die NSA könne bis zu 75 % des Internetverkehrs überwachen, der durch die USA läuft. Die Zahl passe aber nicht zu den offiziellen Angaben der NSA: Der Geheim- dienst habe Anfang August eine Stellungnahme veröffentlicht, in der er angibt, bei der Auslandsaufklärung nur mit 1,6 % aller im Internet übertragenen Daten in Berührung zu kommen. Umgesetzt würden die Überwachungsprogramme mit Codenamen wie Blarney, Fairview, Oakstar, Lithium und Stormbrew von Telekommunikationsunternehmen wie AT&T, die Filter an mehr als einem Dutzend der großen Internetknoten in den USA installiert haben. Diese suchten jede Kommunikation heraus, die außerhalb der USA beginnt oder endet oder schlicht an irgendeinem Punkt durch US-Infrastruktur läuft. Das wiederum bedeute: Deutsche Internetnutzer würden in den USA überwacht. Jede Google-Anfrage, jede Mail über Yahoo oder Outlook.com, jeder Facebook-Chat – all das falle unter die Definition „in den USA, aus den USA oder durch die USA“. Nach den Berichten des Guardian über die umfangreiche Überwachung der transatlantischen Glasfaserkabel durch die NSA und den britischen Geheimdienst GCHQ sei der Artikel des Wall Street Journal ein weiterer Beleg dafür, dass die NSA „in Deutschland“ kaum tätig werden müsse. Die Netzüberwachung der Deutschen finde woanders statt. Der britische Geheimdienst Government Communications Headquarters (GCHQ) habe auch Zugriff auf innerdeutsche EMails, berichtet DIE WELT am 29. August. Er könne nahezu den gesamten europäischen Internetverkehr speichern und analysieren. Eine Schlüsselrolle spielten dabei mehrere Glasfaserkabel, zu deren Betreibern auch die Deutsche Telekom gehöre. Einige der Kabel träfen an der Nordseeküste auf deutschen Boden. Mindestens sechs Unternehmen im Betreiberkonsortium würden mit dem britischen Dienst kooperieren. Alle seien auch in Deutschland tätig. Über ihre Netze laufe ein Großteil der deutschen Internetkommunikation. Der ehemalige US-Geheimdienstmitarbeiter Thomas Drake habe in der Süddeutschen Zeitung erklärt, dass ausländische Geheimdienste für das Ausspähen deutscher Daten keinen Zugang 53 54 Jahrbuch der Unternehmenssicherheit 2013 zu Leitungen in Deutschland bräuchten. Selbst die innerhalb eines Landes verschickten E-Mails liefen in der Regel über interna tionale Kabel. Aus Geheimdienstdokumenten, die dem britischen „Guardian“ und der „New York Times“ vorlägen, gehe hervor, dass sich die NSA und der GCHQ Zugang zu den gängigen Verschlüsselungstechnologien verschafft haben, berichtet die FAZ am 7. September. „SSL“- und „HTTPS“-Verbindungen hätten bisher als weitgehend sicher gegolten. Laut der vom „Guardian“ zitierten Dokumente seien die Geheimdienste sogar in der Lage, die Entwicklung neuer Verschlüsselungstechnologien zu beeinflussen. Zu den Zielen des amerikanischen Programms gehöre es auch, mit Technologie-Unternehmen zusammenzuarbeiten, um deren „ProduktDesigns heimlich zu beeinflussen“. Um welche Unternehmen es gehe, bleibe unklar. Alle Verschlüsselungstechnologien zu knacken, sei den Geheimdiensten aber bislang nicht gelungen. Dafür spreche auch die Empfehlung Snowdens, starke KryptoSysteme sachgemäß anzuwenden, weil sie „zu den wenigen Dingen“ gehörten, „auf die man sich verlassen kann“. Am 17. September erläutert die FAZ, dass die Standardmethoden für das Codeknacken schon seit einigen Jahren bekannt seien. Wer die Transportverschlüsselung (https) einsetzt, mache es den Geheimdiensten besonders leicht. Denn dabei werde mit Zertifikaten gearbeitet – eine Art Lizenz zum Entschlüsseln. Wer darüber verfügt, könne ungehindert mitlesen. Die notwendigen Zertifikate besorgten sich die Geheimdienste von den Zertifikatsherstellern, den sogenannten Trust-Centern. Deshalb seien sicherheitsbewusste Anwender dazu übergegangen, ihre Daten mit einem Extraschlüssel zu kodieren, der dem Empfänger auf separatem Weg zugestellt wird. Die dafür notwendige Kryptiersoftware basiere auf dem Advanced Encryption Standard, abgekürzt AES. Inzwischen gebe es auch einige Hinweise von ehemaligen NSA-Mitarbeitern, wie die Entwickler des Geheimdienstes Hintertüren in Verschlüsselungssoftware realisieren, die nach dem AES-Standard programmiert sind. Große Hoffnungen setzten einige Sicherheitsexperten deshalb auf die Quantenverschlüsselung. Denn nach den Gesetzen der Quantenphysik würde jeder Spion, der zum Beispiel die Leitung abhört und die Quantenbits abhängt, diese Quantenbits verändern oder zerstören. Er würde deshalb bemerkt werden. Doch auch hier seien die Geheimdienste schon einen Schritt weiter. Sie nutzten eine Sicherheitslücke bei den marktüblichen Quantenverschlüsselungsgeräten aus. Der russische Inlandsgeheimdienst FSB erhält völligen Zugriff auf die Internet- und Telefonverbindungen, meldet heise online am 21. Oktober. Der FSB könne vom 1. Juli 2014 an alle IP- und Telefonnummern sowie E-Mail-Adressen kontrollieren und zudem Daten aus sozialen Netzwerken, Internettelefonaten und Chats abgreifen. Bisher hätten in Russland Daten nur auf Anforderung herausgegeben werden müssen. Die Menschenrechtsorganisation Privacy International hat eine formelle Beschwerde bei der OECD gegen einige der weltweit größten Telekomfirmen eingereicht, berichtet heise online am 6. November. Diese helfen angeblich dem britischen Geheimdienst GCHQ, massenhaft Internetund Telefondaten direkt aus Unterseekabeln abzugreifen. Es gebe Gründe zu überprüfen, ob BT, Verizon, Enterprise, Vodafone Cable, Viatel, Level 3 und Interoute mit dieser Praxis gegen ihre Verpflichtung verstoßen, Menschenrechte wie die Privatsphäre zu respektieren. Es sollten alle Schritte offengelegt werden, mit denen man sich dem Anliegen des GCHQ widersetzt habe. Der CIA sammelt in einer Datenbank massenhaft Informationen über internationale Geldübertragungen, die durch Unternehmen wie Western Union getätigt werden, berichtet die FAZ am 16. November. Das Jahrbuch der Unternehmenssicherheit 2013 Programm stütze sich auf dieselben Regeln des Patriot Act wie die umstrittene Sammlung von Telefonmetadaten durch die NSA. Wie die Telefonüberwachung werde die Datensammlung juristisch durch den Foreign Intelligence Surveillance Court genehmigt und kontrolliert. Die Sammlung der Finanzdaten von Geldüberweisungen solle der Bekämpfung des Terrorismus dienen. Erfasst werden nach den Angaben nur internationale und grenzüberschreitende, nicht aber inneramerikanische Geldtransfers. Internationale Überweisungen von einem Bankkonto zu einem anderen Bankkonto würden durch dieses Programm nicht erfasst. Datenschutz – Einzelthemen Dr. Ing. Andre Braunmandl, Manfred Lochter und Wendel Lohmer, BSI, erläutern in der Juli-Ausgabe von <kes> (S. 42–45) die Technische Richtlinie BSI TR-03140 (TR SatDSiG) zum Satellitendatensicherheitsgesetz. Neben dem Vorliegen aller im Kryptokonzept definierten Herstellernachweise prüft die Prüfstelle die Umsetzung der für das Bodensegment vorgesehenen Sicherheitsmaßnahmen und die Maßnahmen zur sicheren Übertragung der Daten. Das BSI leistet mit der Veröffentlichung seinen Beitrag für die Transparenz und Kalkulierbarkeit der Betriebs-, Genehmigungs- und Zulassungsprozesse. In derselben Ausgabe wird der Datenschutz bei Wirtschaftsaus- kunfteien behandelt (S. 64/65). Sicherlich werde man es Wirtschaftsauskunfteien nicht verwehren dürfen, auch im Internet und in sozialen Netzwerken Bonitätskriterien zu erheben, jedoch dürften sie sich nicht in geschlossenen Foren einen Zugang erschleichen. Umstritten sei die in § 28b BDSG geregelte Möglichkeit des Scoring. In der Rechtsprechung noch umstritten sei, inwieweit die Scoring-Verfahren und die ihm zugrunde liegenden Berechnungsmethoden betriebswirtschaftliche Geheimnisse darstellen. Jedem Unternehmen sei anzuraten, von seinem Auskunftsrecht Gebrauch zu machen und seine Rechte auf Berichtigung bzw. Löschung wahrzunehmen. Diebstahl In Düsseldorf habe eine Bande von Metalldieben über mehrere Monate hinweg einen Röhrenproduzenten immer wieder bestohlen, meldet die FAZ am 21. Februar. Der Bande sei es gelungen, Rohrreste im Gewicht von insgesamt mindestens 200 Tonnen zu entwenden. Wahrscheinlich habe ein Mitarbeiter des Röhrenherstellers den Dieben verraten, wo die Waggons mit den Rohrresten abgestellt wurden, bevor sie abgewogen werden. Regelmäßig habe die Bande dann Ladungen im Gewicht von 7 bis 10 Tonnen entwendet. Die 6 Tatverdächtigen seien Schausteller, die ihr Winterlager in der Nähe des Röhrenwerkes aufgeschlagen haben. Ebenfalls verhaftet worden sei ein Schrotthändler, der Teile des tonnenschweren Diebesgutes weiterverkauft haben soll. Die FAZ berichtet am 4. März über eine Bande, die LKW’s während der Fahrt aufbricht. Immer wieder gelinge es auf Autobahnen in Nordrhein-Westfalen den Dieben, während der Fahrt die Ladefläche von Lastwagen zu entern und hochwertiges Versandgut wie tragbare Computer oder Mobiltelefone zu entwenden. Betroffen seien besonders zwei international tätige Paketdienste. Seit November 2012 seien 50 Fälle bekannt geworden. Der Schaden betrage mehr als 250.000 Euro. Der modus operandi: Ein Auto setze sich vor den Lkw, um ihn auszubremsen. Ein weiteres Auto fahre von hinten dicht an den Lastwa- 55 56 Jahrbuch der Unternehmenssicherheit 2013 gen heran. Ein Täter klettere dann durch das Schiebedach des Autos auf die Motorhaube, um von dort aus mit einem Winkelschleifer die Rückseite des LKW aufzuschneiden. Der Dieb steige schließlich auf die Ladefläche und werfe die Beute seinen Komplizen zu. Ein drittes Täterfahrzeug sichere die nur wenige Minuten dauernde Aktion ab. Der Fahrer dieses Autos blockiere auf zweistreifigen Autobahnen die Überholspur. Nach bisherigen Erkenntnissen der Ermittler verfügten die Täter nicht über Insiderwissen aus Logistikzentren der betroffenen Paketdienste. Nach einer Pressemitteilung des LKA Mecklenburg-Vorpommern vom 29. Mai wurden in diesem Land im 1. Quartal 2013 bereits 20 Transporter entwendet, bei denen es die Täter vornehmlich auf die Ladung abgesehen hätten – nämlich auf sehr hochwertige Werkzeuge unterschiedlichster Gewerke. Die Schadenssumme habe insgesamt knapp eine Million Euro betragen. Notwendig seien Sicherungsmaßnahmen auf Baustellen und Firmengeländen. Hochwertige Werkzeuge sollten so gut wie möglich gesichert werden. Das bedeute auch, sie nach Möglichkeit nachts nicht im Fahrzeug zu lagern. Diebstahlschutz und Ortungstechnik sind für PCs und Notebooks gang und gäbe, schreibt die FAZ am 28. Mai. Vorbeugend könne man einiges tun, damit sich der Schaden in Grenzen hält. Dass man sein Benutzerkonto mit einem Kennwort versieht, sei eine Selbstverständlichkeit. Aber dieser Schutz sei mit einem älteren Windows XP oder Vista leicht auszuhebeln. Unter Windows 7 sei der Aufwand für den Angreifer etwas größer, die Hürde bleibe indes überwindbar. Zudem könne ein besonders neugieriger Dieb kurzerhand die Festplatte ausbauen und die gespeicherten Daten an einem anderen PC auslesen. Bei einem Diebstahlschutz seien also umfassende Konzepte gefragt – und keine halben Sachen. Wer ein funktionierendes System mit Hand und Fuß suche, möge einen Blick auf die Apple-Welt werfen, wo alle Bausteine aufeinander abgestimmt sind. Das aktuelle Betriebssystem OS X Mountain Lion komme mit dem Verschlüsselungssystem Filevault 2, das im Unterschied zur Version 1 nun in der Lage sei, die gesamte Festplatte (und nicht nur das Benutzerverzeichnis) zu verschlüsseln. Apple gebe seinem Betriebssystem eine Ortungsfunktion mit, wie sie auch für das iPhone und iPad angeboten werde. Über den hauseigenen Cloud-Dienst (abermals in den Systemeinstellungen) melde man sich mit seiner Apple-ID plus Kennwort an und aktiviere den Eintrag „Meinen Mac suchen“. Anschließend sei der Rechner zum einen über die App „iPhone Suche“ ( auf dem iPhone oder iPad) unter „Meine Geräte“ zu sehen. Und zwar auf einer Landkarte mit seinem zuletzt erfassten Standort und unter Angabe der Uhrzeit. Ist der Rechner ausgeschaltet, könne man sich eine Push-Nachricht schicken lassen, sobald er eingeschaltet wird. Und weiterhin lasse er sich aus der Ferne sperren und sogar löschen. Stünden weder iPad noch iPhone zur Verfügung, reiche zum anderen ein mit dem Internet verbundener PC. Im Browser buche man sich unter icloud. com mit seiner Apple-ID ein, und man erhalte die gleiche Funktionalität wie auf den Kleingeräten. Jenseits von Apple sei alles kompliziert. Bei jedem Gerät und seiner Hardware sei zu prüfen, welche Instrumente für Diebstahlschutz und Ortung in Frage kommen. Individuelle Lösungen seien gefragt, es gebe kein Standardpaket für alle Fälle. Wie die Fachzeitschrift WiK in ihrer Ausgabe 3-2013 (S. 9/10) berichtet, summierten sich nach einer EHI-Studie 2012 die Inventurdifferenzen für den Einzelhandel auf 3,8 Mrd. Euro. Diebstähle durch Kunden machten davon die Hälfte aus, eigenen Mitarbeitern würden 800 Mio. Euro Schaden angelastet. Der Rest entfalle auf Lieferanten und Servicekräfte (400 Mio. Euro) sowie organisatorische Fehler. Insgesamt würden dem Handel durch Inventurdifferenzen und Sicherheitsmaßnahmen rund 1,3 % seines Umsatzes entgehen. Schwere Ladendiebstähle hätten sich in den letzten fünf Jahren verdoppelt. Ertappt würden weniger als 2 % der Ladendiebe, unent- Jahrbuch der Unternehmenssicherheit 2013 deckt blieben somit jährlich rund 30 Millionen Delikte mit einem durchschnittlichen Wert von 70 Euro. Für die größten Schäden seien primär Täter mit „professionellem“ Hintergrund verantwortlich. Frank Horst, EHI Retail Institute, befasst sich in der Ausgabe 7-8/2013 der Fachzeitschrift Protector (S. 16/17) mit der Entwicklung des Ladendiebstahls und der Sicherheit im Einzelhandel. Die durchschnittliche Inventurdifferenz habe 2012 insgesamt 0,98 % des Umsatzes betragen, obwohl der Handel jährlich ca. 1,2 Milliarden Euro in Präventiv- und Sicherungsmaßnahmen investiere. Von 100 Unternehmen setzten 2012 ca. 92 Mitarbeiterschulung, 82 offene und 34 verdeckte Kameraüberwachung, 59 Kaufhausdetektive ohne und 36 mit Kameraüberwachung, 55 Artikelsicherung und 13 Quellensicherung, 46 uniformierte Wachleute und 13 Citydetektive ein. Die durchschnittlichen Inventurdifferenzen lägen im Lebensmittelhandel bei 0,49 %, in C&C-Märkten bei 0,2 %, in SB-Warenhäusern bei 0,51 %, in Drogeriemärkten bei 0,78 %, im Bekleidungshandel bei 0,53 %. Im Durchschnitt gebe der Handel 0,3 % vom Umsatz für Sicherheitsmaßnahmen aus. Die Gesamtaufwendungen für Inventurdifferenzen und Vermeidung betrügen also jährlich fünf Milliarden Euro. Die PKS gebe wegen der angenommenen Dunkelziffer von 98 % nicht die tatsächlichen Zahlen der Ladendiebstähle wieder. Täglich würden mehr als 100.000 Ladendiebstähle mit je einem Warenwert von durchschnittlich 70 Euro unentdeckt bleiben, insgesamt also jährlich ca. 30 Millionen Ladendiebstähle. Gut ein Viertel der Unternehmen habe 2013 sein Budget für Präventions- und Sicherungsmaßnahmen erhöht. Die Fachzeitschrift GIT befasst sich in der Januarausgabe (S. 26–28) anlässlich der EuroCIS-Messe in Düsseldorf (19.–21. Februar) mit dem Ladendiebstahl und seiner Bekämpfung. Nach einer aktuellen Erhebung des Centre for Retail Research (CRR) beliefen sich die weltweiten Bestandsverluste bei Handelsunternehmen von Juli 2010 bis Juni 2011 auf über 119.$ und damit rund 1,45 % des Umsatzes. Das sei ein Zuwachs von 6,6 % gegenüber dem Vorjahreszeitraum. Der deutsche Einzelhandel bewege sich mit einem Warenschwund von 1,2 % im unterdurchschnittlichen Bereich. 2011 seien es dennoch 3,8 Milliarden Euro gewesen. Zunehmend problematisch sei die organisierte Kriminalität – Bandendiebstähle, die bei jedem Zugriff wertmäßig hohe Schäden verursachten. Der durchschnittliche Wert der gestohlenen Ware belaufe sich bei unehrlichen Kunden auf 202 $, bei MitarbeiterDiebstahl im Schnitt sogar auf 1.697 $. Das Gesamtbudget des Handels für Verlustprävention stieg 2011 auf 28,3 Milliarden $ – das entspreche einem Anteil von 0,35 % des Einzelhandelsumsatzes. Integrierte Logistik-, Warenwirtschafts- und Sicherheitssysteme entlang der gesamten Wertschöpfungskette würden an Bedeutung gewinnen. Eine immer wichtigere Rolle spiele die Videotechnik. 86 % der vom EHI befragten Handelsunternehmen setzten auf die offene Kameraüberwachung ihrer Verkaufs- und Lagerflächen. Speziell auf Bargeld-Unterschlagungen an der Kasse und durch Mitarbeiter zielten „Loss Prevention“-Lösungen, bei denen eine spezielle Software die Kassentransaktionen automatisch prüft. Werden zum Beispiel bei Bon-Abbrüchen, Rabatten, Storni, Retouren oder Preiskorrekturen bestimmte Schwellenwerte überschritten, dann werde der Händler automatisch informiert. Der ASW-Newsletter vom 1. Februar berichtet über ein neues Whitepaper von Tyco mit dem Titel „Building Your Defences Against Organised Retail Crime“. Fast alle Händler (94,5 %) hätten bei einer Befragung angegeben, in den letzten drei Jahren Opfer von organisierten Ladendiebstählen geworden zu sein. Der durchschnittliche Schaden pro Fall betrage 6.842 $. Typisch für den organisierten Ladendiebstahl sei eine Arbeitsteilung zwischen dem Diebstahl und dem Verbringen der Beute aus dem Geschäft sowie das Ausspähen von Überwachungsteams. Die 57 58 Jahrbuch der Unternehmenssicherheit 2013 Studie behandelt Methoden des organisierten Ladendiebstahls und Optimierungen der Bekämpfung. Das BKA hat nach einer Information von ASW-Securicon vom 12. Oktober darauf hingewiesen, dass seit etwa 2005 jährlich ca. zwei Dutzend Diebstähle von Solarmodulen bekannt werden. Die Sachschäden lägen immer im fünfstelligen, manchmal sogar im sechsstelligen Euro-Bereich (bis zu 500.000 Euro). Die Tatorte befänden sich meist in einsam gelegenen Gebieten außerhalb bebauter Ortschaften (Lagerhallen, Gehöfte, Stallungen, Solarparks). Die Gebäude und Parks seien in der Regel offen zugänglich, wobei die Parks inzwischen zunehmend mit einem Zaun umfriedet seien. Die Photovoltaik-Module oder Stromkollektoren sowie die Wechselrichter würden fachgerecht abmontiert. Täterhinweise würden nur in ganz wenigen Fällen bekannt. Zur Abwehr solcher Diebstähle rät die Zentrale Geschäftsstelle des Programms Polizeiliche Kriminalprävention zu einer Kombination aus folgenden Komponenten: Perimeterabsicherung, Zugangstorüberwachung, Videoüberwachung mit Detektion, Bewegungsmelder zur Überwachung der Zaunanlage, „Technikhaus Einbruchshemmung nach RC 3 DIN EN 1627 komplett“. Die Alarmtechnik sollte auf einer ständig besetzten NSL auflaufen. Die Polizei sollte erst hinzugezogen werden, wenn von einem Echtalarm ausgegangen werden muss. Diebstahl – Technischer Diebstahlschutz Die Zeitschrift WiK stellt in ihrer Ausgabe 2-2013 als „Produkt des Monats der Zeitschrift WiK“ das neue Solarmodul-Diebstahlschutzsystem SolteQ-DSS110 vor, mit dem ein unauthorisiertes Entwenden bereits beim ersten Modul detektiert werde. Die Empfindlichkeit könne grob und fein eingestellt werden, „damit nicht jeder Hagelschauer zum Falschalarm führt“. Alarm werde auch ausgelöst, wenn die Datenleitung getrennt oder kurzgeschlossen wird. Die Zahl der Module, bei der Alarm erfolgen soll, sei einstellbar, so dass es bei Ausfall eines Sensors nicht gleich zum Fehlalarm komme. Der Sicherheits-Berater stellt in Nr.14/15 aus 2013 (S. 226–228) die künstliche DNA in der Produktspezifikation SelectaDNA vor. Die Flüssigkeit werde individuell für den Käufer angefertigt, existiere dann mit hoher Wahr- scheinlichkeit weltweit nur einmal und besitze damit Fingerabdruckqualität. Die Kennzeichnung eines einzelnen Gegenstandes koste je nach Abnahmemenge und Produkteigenschaft zwischen 50 und 300 Cent. Der Flüssigkeit sei ein UVA-Indikator beigemischt, so dass sich mit Hilfe einer UVA-Lampe der ganz allgemeine Nachweis einer Markierung sofort führen lasse. Käufer könnten sich in der Online-Datenbank des Herstellers registrieren lassen, d. h. sie könnten dort den auf jeder Produktpackung befindlichen, individuellen Code angeben. Damit erlaubten sie zugleich auch den Zugriff der Polizei auf die Daten, damit sichergestelltes Diebesgut eventuell dem Eigentümer zugeordnet werden könne. Einsatzbereiche seien Markierung von Kabeln und Metallen, Wertsachen, Kunststoff, Edelstahl, Aluminium, Glas, Eingänge von Industrieanlagen, Windturbinen usw. Devisenmanipulation Bankenaufseher vermuten bei mehreren Banken Devisenmanipulationen, meldet das Handelsblatt am 5. November. Mussten Bankinstitute für „Libor-Trixereien“ bis- her insgesamt 3,7 Milliarden Dollar zahlen, so fürchteten Beobachter jetzt, dass die möglichen Strafen wegen Verzerrungen der Wechselkurse noch höher ausfallen könnten. Jahrbuch der Unternehmenssicherheit 2013 Weltweit ermittelten derzeit sechs Aufsichtsund Justizbehörden wegen des Verdachts, dass Devisenhändler sich zwecks Kursmanipulationen abgesprochen haben. Auch die deutsche Aufsicht Bafin sei aktiv und schließe Sonderprüfungen bei den Instituten nicht aus. Bei der Deutschen Bank arbeiteten sich interne Ermittler schon seit Wochen durch EMails und Chat-Protokolle der Devisenhändler. Die Ermittlungen konzentrierten sich auf das sogenannte WM Reuters Fixing. Dabei würden für 21 der meistgehandelten Devisen halbstündlich Referenzkurse festgesetzt. Dreidimensionale Drucker Der Sicherheits-Berater geht in seiner Ausgabe 3/2013 der Frage nach, welche Auswirkungen die sich rasant weiter entwickelnde 3-D-Technologie auf die Sicherheit von Unternehmen haben kann. Hingewiesen wird unter anderen auf folgende Sicherheitsprobleme: Herstellung von Waffenattrappen und von funktionstüchtigen Waffen, Produk- tion von Architektur- und Geräteattrappen, Erleichterung von Tatbegehungen, Beschaffung eines Druckdatensatzes (statt des Originals) zu Spionagezwecken. Der Sicherheits-Berater empfiehlt Sicherheitsverantwortlichen wie Herstellern, sich schon heute gedanklich mit der Herausforderung durch 3-D-Drucker auseinanderzusetzen. Einbruch – Wohnungseinbruch Der Sicherheitsdienst DSD weist in der Ausgabe 3-2013 (S. 6/7) darauf hin, dass die Wohnungseinbruchdiebstähle nach der PKS 2012 gegenüber 2011 um 8,7 % auf 144.117 angestiegen sind. Bereits 2011 betrug der Anstieg mehr als 9 %. Innerhalb der letzten vier Jahre seien Einbruchsdelikte um mehr als 30 % angewachsen. Ein großer Teil der Delikte erfolge tagsüber: 61.200, das seien 9,5 % mehr als 2011. Nach der Bilanz des Gesamtverbandes der Deutschen Versicherungswirtschaft seien die Schadenssummen gestiegen. 2012 habe ein Einbruch im Durchschnitt 3.300 Euro gekostet. Der Gesamtschaden belaufe sich auf geschätzte 470 Millionen Euro. Dass Vorsorge etwas bewirke, zeige die aktuelle Zahl der erfolglosen Einbruchversuche: Knapp 40 % scheiterten an mechanischen Tür- und Fenstersicherungen sowie an Alarmanlagen. Einbruch – Technischer Einbruchschutz In der Fachzeitschrift s+s report (Ausgabe 3-2013, S. 40–42) zieht Julia Christiani, Programm Polizeiliche Kriminalprävention der Länder und des Bundes, nach einem Jahr der Öffentlichkeitskampagne K-Einbruch eine positive Bilanz. Die Zahl der fehlgeschlagenen Einbrüche sei von 46.000 im Jahr 2010 über 51.000 im Jahr 2011 auf 56.000 im Jahr 2012 gestiegen. Viele Einbrüche könnten durch die richtige Sicherungstechnik verhindert werden. Eine Untersuchung des Bayerischen LKA habe ergeben, dass in Bay- ern 2012 von insgesamt 5.709 Fällen 1.377 durch mechanische Sicherungen verhindert wurden. In 223 Fällen sei die Tat durch EMA vereitelt worden. Dies zeige zudem, dass die Einbruchmeldetechnik immer eine Ergänzung zur mechanischen Sicherungstechnik sei und nicht als Ersatz dafür gesehen werden sollte. Nach der Erhebung des Bayerischen LKA (S. 44/45) wurden 2012 im Gewerbebereich 626 Einbrüche durch mechanische Sicherungen verhindert, und zwar 506 durch Sicherungen an Türen (312 durch eine wider- 59 60 Jahrbuch der Unternehmenssicherheit 2013 standsfähige Türkonstruktion und geeignete Anbauteile, 194 durch Zusatzsicherungen) und 99 durch mechanische Sicherungen an Fenstern, Terrassen- und Balkontüren (65 durch Fensterzusatzsicherungen und 34 durch sonstige Sicherungen wie Gitter) sowie 21 durch Schaufenstersicherungen. Ebenfalls im Gewerbebereich konnten durch 181 Alarme 28 Festnahmen erzielt werden. Die Festnahmequote betrüge bei stillen Alarmierungen 57 %, bei örtlichen (akustischen oder optischen) Alarmen 7 %. Alle vier Minuten werde in Deutschland eine Wohnung oder ein Haus aufgebrochen, meldet DIE WELT am 15. Mai. Der Vorsitzende der IMK, Boris Pistorius aus Niedersachsen, plädiere dafür, dass die Bundesländer in ihren Bauverordnungen künftig Mindeststandards für den Einbruchschutz bei Neubauten vorschreiben. Vorgeschrieben werden könnten zum Beispiel ein besserer Aufhebelschutz für Türen und Fester, abschließbare Griffe und Dreifachverriegelungen für Haustüren. Dipl.-Wirtschaftsjurist (FH) Sebastian Brose, VdS weist in der Ausgabe 1-2013 der Fachzeitschrift s+s report auf neue VdS-Richtlinien für einbruchhemmende Fensterbeschläge zur Nachrüstung hin, die am 1. März 2013 in Kraft getreten sind (VdS 3168). Der Beschlag müsse den Anforderungen der DIN 18104, Teil 2, entsprechen und dann zur Prüfung nach den Richtlinien VdS 3168 in ein sogenanntes handelsübliches Fenster eingebaut werden. Entscheidender Faktor sei neben der Fensterbeschaffenheit und der Güte des Beschlages die Verglasung (S. 42/43). Auch Hans-Werner Bastian, VdS Schadenverhütung, befasst sich in der Ausgabe 2-2013 von s+s report (S. 42/43) mit Nachrüstsicherungen. Für praktisch jedes Fenster gebe es eine passende, vom VdS anerkannte, Nachrüstsicherung. Produkte böten einen guten Einbruchschutz, wenn sie geprüft und VdSanerkannt, in ausreichender Anzahl angebracht, stabil befestigt sind und die Bandseite ebenso wie die Griffseite gesichert wird. Der Sicherheits-Berater bewertet in der Ausgabe 5-2013 (S. 74/75) die sekundenschnelle Vernebelung in ausreichendem Maß und langer Standzeit als ein sicheres Werkzeug, um den Diebstahl zu unterbinden oder zumindest zu behindern. Bei der Wahl des Schutznebels solle man auf getestete Produkte achten, die den gesetzlich vorgeschriebenen Richtlinien entsprechen. Einbruchmeldetechnik Dipl.-Wirtschaftsjurist (FH) Sebastian Brose, VdS Schadenverhütung, beschreibt in der Ausgabe 2-2013 von s+s report (S. 39), worauf es bei Planung und Einbau von EMA nach DIN VDE 0833-3 und VdS 2311 zu achten gilt. Eine nach VdS 2311 errichtete EMA genüge auch den Anforderungen der DIN VDE 0833 Teil 1 und 3. Dabei komme es allerdings darauf an, den Bezug zwischen Normgrad und VdS-Klasse korrekt herzustellen. Das Merkblatt VdS 3172 erläutere die Zusammenhänge. Um die geforderte Flexibilität in mittleren und großen Unternehmen zu realisieren, sei vor allem Modularität bei einer Einbruchmeldeanlage notwendig, wird in der Ausgabe 6-2013 von PROTECTOR dargelegt (S. 36–37). Einbruchmeldesysteme müssten eine sehr schnelle und kostengünstige Anpassung der Sicherheitsinfrastruktur an neue Gegebenheiten bieten. Ein System, das diesen Anforderungen gerecht werde, sei die Modular Alarm Plattform MAP 5000. Die hohe Flexibilität dieses Systems werde durch die Kombination aus mehreren Datenbussen möglich, die mit dem CANProtokoll (Controller Area Network) arbeiten. Ein interner Bus sorge für die Kommunikation zwischen den einzelnen Funktionsmodulen Jahrbuch der Unternehmenssicherheit 2013 der Anlage, ein externer Bus mit einer Länge bis zu 1.000 Metern erstrecke sich über die verschiedenen Gebäudeteile und diene zum Anschluss von Bedienteilen und überwachten Netzgeräten für den abgesetzten Einsatz. Das Interfacemodul ermögliche die Anschaltung eines Übertragungsgerätes zur Aufschaltung auf die Polizei und eines Protokolldruckers. Zudem verfüge es über drei überwachte und parametrierbare Ausgänge für akustische und optische Signalgeber oder andere lokale Benachrichtigungsgeräte. Die Fachzeitschrift Security insight stellt in der Ausgabe 4-2013 (S. 26/27) Vor- und Nachteile konventioneller Technik, der BUS-Technik und der Funk-Technik für Einbruchmeldeanlagen (EMA) gegenüber. Je größer eine EMA geplant wird, desto sinnvoller sei es, ein BUS-System aufzubauen. EMA auf Funkbasis sei in jedem Fall dann sinnvoll, wenn etwa Objekte nur temporär zu sichern sind, denkmalgeschützte Gebäude nicht verkabelt werden dürfen, Sichtbeton keine Verkabelung zulässt oder nicht gesicherte Bereiche zu überbrücken sind. Nicht der Preis und auch nicht die Aktualität der eingesetzten Technik würde darüber entscheiden, welche EMA-Variante eingesetzt werden sollte. Erst wenn die Besonder heiten des zu überwachenden Objekts berücksichtigt wurden und mögliche Beeinflussungen auszuschließen sind, könne die Entscheidung zu Gunsten eines Systems getroffen werden. In s+s report (Ausgabe 3-2013) weist Dipl.-Wirtschaftsjurist (FH) Sebastian Brose, VdS Schadenverhütung darauf hin, dass VdS nunmehr auch mobile Applikationen in der Einbruchmeldetechnik anerkennt (S. 52–54). Die Anforderungen und Prüfmethoden für solche „EMA-Apps“ seien in den Richtlinien „Fernzugriff auf EMA mittels Smart Device-Applikation“, VdS 3169, fixiert. Die Authentizität der Daten werde durch ein sogenanntes Pairing-Verfahren und die Ermittlung der Hashcodes sichergestellt. Im Master werde eine Liste der zulässigen Clients geführt, die z. B. anhand ihrer MACAdresse oder IMEI-Nummer identifiziert werden. Die Integrität der Daten werde durch verschiedene Mechanismen gewährleistet. Um die Vertraulichkeit der Daten zu wahren, müsse eine AES-Verschlüsselung mit 128 Bit mit Cipher Block Chaining Mode eingesetzt werden. Der Verbindungsaufbau gehe vom Client aus und durchlaufe die vier Stufen Nutzercode, Schlüsselprüfung, Pairing-Prüfung, Codeabfrage. Sobald die EMA extern scharf geschaltet ist, sei die Bedienung EMA-relevanter Funktionen nicht möglich. Sebastian Brose und Wilfried Drzensky, VdS Schadenverhütung, befassen sich in der Zeitschrift WiK (Ausgabe 5-2013, S. 51–53) mit Problemen bei der Attestierung von EMA. Das Installationsattest dokumentiere, dass es sich tatsächlich um eine VdSanerkannte EMA handelt und stehe damit für die Vorteile, die eine solche EMA bietet: Einhaltung der VdS-Richtlinien, Behebung von Mängeln auf Kosten des Errichters, jederzeit erreichbarer Instandhaltungsdienst, Vorhaltung eines Ersatzteillagers, Reparatur-/ Instandhaltungsausrüstung beim Errichter und Störungsbeseitigung innerhalb von 24 h bei regelmäßiger Instandhaltung. Die Autoren behandeln einige der Fragestellungen rund um die Attestierung von EMA in den Bereichen: Dokumentation von Änderungen, Gültigkeit des VdS-Attests bei „Wartungsverweigerungen“, Instandhaltung durch Dritte, Versicherer scannt Attest und vernichtet Original und Bestandschutz von EMA. Protector befasst sich in der Ausgabe 10-2013 (S. 40/41) mit der Nichtauslösung von Bewegungsmeldern. Für die unterschiedlich schwierigen Anforderungsbedingungen an Bewegungsmelder gebe es eine Auswahl von Kombinationen in der Sensortechnologie. Komplett dichte Erfassungsvorhänge bildeten gegenüber einer Standarderfassung immer einen maximalen Detektionsbereich. Bei größeren Überwachungsflächen, bei denen sich auch die 61 62 Jahrbuch der Unternehmenssicherheit 2013 räumliche Einrichtung ändern kann, böten sich Deckenmelder zur Flächenüberwachung an. Diese könnten mehrere Bewegungsmelder mit einer einzigen Deckenmelderinstallation ersetzen und somit auch zur wirtschaftlichen Lösung beitragen. Die kompletten Vorhänge mit einer 360-Grad-Erfassung detektierten bis zu 20 Meter Raumdiagonale bei bis zu fünf Metern Montagehöhe. Sascha Puppel, Sachverständigen- und Planungsbüro Sascha Puppel GmbH, befasst sich in Ausgabe 11 der Fachzeitschrift GIT (S. 52–54) mit typischen Installationsfehlern bei der Abnahme von Einbruchmeldeanlagen. Grundsätzlich seien die entsprechenden „allgemein anerkannten Regeln der Technik“ (z. B. DIN VDE, LAR) zu beachten. Am Beispiel des „FehlerKlassikers“, der falsch positionierten Bewegungsmelder, beschrieben nicht nur die „allgemein anerkannten Regeln der Technik“, sondern fast immer auch die Montage- und Installationsanleitungen, dass z. B. InfrarotBewegungsmelder unter anderem nicht auf Fenster, Heizungen usw. gerichtet und auch nicht in Rauminnenecken zu installieren sind. Als Leitfaden, Planungs- bzw. Montagehilfe und als Praxis-Ratgeber sei der informative Anhang F „Hinweise zur Vermeidung von Falschalarmen, zur Realisierung der Zwangsläufigkeiten bei Türen im Verlauf von Fluchtund Rettungswegen sowie Brandschutztüren und Mitteilungen über Änderungen bei Feuerabschlüssen“ der VdS-Richtlinie 2311 dringend zu empfehlen. Oft sei es Errichtern nicht klar, dass auch zwischen Geräten oder Leitungen von sicherheitstechnischen Anlagen und Blitzschutzanlagen zwingend der entsprechende Trennungsabstand gemäß DIN EN 62305-3 (VDE 185-305-3) und ggf. VdS 2833 einzuhalten ist. Nicht selten werde die Richtlinie über elektrische Verriegelungssysteme von Türen in Rettungswegen missachtet. Embargoverstöße Immer mehr deutsche Ingenieure geraten nach Informationen der Wochenzeitung DIE ZEIT vom 7. Februar in den Verdacht, das Regime im Iran bei seinem Raketenprogramm zu unterstützen. Nach einer internen Statistik hätten die Ermittler im Jahr 2012 136 Ermittlungsverfahren wegen EmbargoVerstößen durchgeführt. Das seien mehr als in den Jahren zuvor. Der Grund für die Zunahme der illegalen Exporte sei unzureichende Kontrolle. Die Exporteure müssten zwar den Endverbraucher der Ware vorweisen, aber ob die Waffentechnik wirklich von diesem verwendet wird, werde nicht kontrolliert. Die FAZ weist am 28. August darauf hin, dass am 1. September ein neues Außenwirtschaftsgesetz in Kraft tritt, das überwiegend an bewährten Strukturen der Exportkontrolle festhalte. Neu eingeführt werde die Möglichkeit der Selbstanzeige. Sie sei aber auf bestimmte Verstöße beschränkt und aufgrund zum Teil fehlender Präzision im Gesetz mit gewissen Unwägbarkeiten verbunden. Selbst angezeigt werden könnten etwa formale Verstöße gegen Melde-, Informations- und Unterrichtungspflichten und gegen die Genehmigungspflicht für die Verbringung sogenannter „Dual use“-Güter innerhalb der EU. Nicht zur Selbstanzeige gebracht werden könnten dagegen Verstöße gegen Embargo- und Genehmigungsvorschriften, auch nicht bei Fahrlässigkeit. Dem Gesetz lasse sich nicht entnehmen, ob durch eine erfolgreiche Selbstanzeige auch eine Unternehmensgeldbuße wegen einer Aufsichtspflichtverletzung nach dem OWiG verhindert wird. Jahrbuch der Unternehmenssicherheit 2013 Erpressung Spiegel Online meldet am 31. Januar, die Staatsanwaltschaft Frankfurt ermittle gegen einen Mann, der einen leitenden Angestellten der Deutschen Bank erpresst haben soll. Der Bankmitarbeiter soll unter einem Vorwand in ein Frankfurter Café gerufen und dort von dem Mann aufgefordert worden sein, ihm eine Festanstellung zu geben. Andernfalls wolle er die Doktorarbeit des Managers im Internet veröffentlichen. Der mutmaßliche Erpresser habe angegeben, als Administrator von VroniPlag zu arbeiten. Auf VroniPlag dokumentierten Aktivisten, welche verdächtigen Stellen sie in Doktor- arbeiten und Habilitationsschriften gefunden haben. Die Wirtschaftswoche meldet am 15. März, dass der österreichische Getränkehersteller Red Bull durch Unbekannte erpresst wird, die damit drohen, den Energy Drink mit Fäkalien zu verunreinigen, sollte der Konzern nicht zahlen. Die Erpresser hätten betroffene Geschäfte genannt, in denen es verseuchte Energy Drinks gäbe. Dort genommene Proben hätten dies aber nicht bestätigt. Red Bull zufolge sind die Strafverfolger den Tätern auf der Spur. Evakuierung Die Fachzeitschrift W&S befasst sich in der Ausgabe 2-2013 mit der virtuellen Realität und Simulationen bei Evakuierungsszenarien (S. 28–30). In der Planungsphase würden Risikoanalysen durchgeführt, die mit bestimmten vorgegebenen Ereignissen Szenarien durchspielen. In Äquivalenzanalysen werde untersucht, wie sich ein in Bezug auf den Brandschutz regelkonformes Konzept zu einem von diesen Normen abweichendem verhält. Um die Planer und Konstrukteure von Kreuzfahrtschiffen zu unterstützen, setze das Fraunhofer-Institut für Graphische Datenverarbeitung IGD Konstruktionsdaten in ein virtuelles 3-D-Modell um. Berechnungen in Echtzeit, also das aktive Beeinflussen von Faktoren während des Simulationsablaufs, lasse die komplexe Datenlage noch nicht zu, aber langfristig sei denkbar, dass die Simulationen auch solche komplexen Vorgänge abbilden können. Dazu gehörten z. B. die Rauchentwicklung oder aktive Löschmaßnahmen, die Einfluss auf das Verhalten bei der Evakuierung nehmen. Die Fülle von Faktoren und Parametern, die sich aus dem Verhalten von Probanden während einer simulierten Evakuierung ergeben, in verlässliche und nutzbringende Daten umzusetzen, sei schwierig. Denn wenn der Computer aus dem aktuellen Verhalten mehrere Szenarien entwirft, die alle unterschiedlich etwa hinsichtlich der Dauer sind, sei der Erkenntnisgewinn für die Verantwortlichen, die im Ernstfall zügig entscheiden müssen, eher gering. In derselben Ausgabe behandeln Georg Tschacher, B.Sc., und Dipl.-Ing. Dirk Grüttjen, Bureau Veritas, allgemeine sowie für definierte Szenarien festgelegte Handlungsanweisungen. Diese beinhalteten beispielsweise Checklisten wie die innerbetriebliche Notrufabfrage und Alarmierungslisten für verschiedene Funktionsträger. Mindestbestandteile des statischen Teils seien die Gefährdungsanalyse sowie ein Räumungskonzept, neben allgemeinen Anforderungen des vorbeugenden und betrieblichen Brandschutzes. Veranstaltungs- oder ereignisbezogene Besonderheiten ergänzten das Sicherheitskonzept im dynamischen Teil (S. 32/33). Branddirektor Dipl.-Phys. Georg Spangardt, Kölner Feuerwehr, greift in der Ausgabe 2-2013 von s+s report Probleme der Gebäuderäumung im Hinblick auf Barrierefreiheit auf (S. 47–53). Bei allen Objekten zur Nutzung durch Menschen mit Behinderung sei Rettungswegoptimierung das Ziel. 63 64 Jahrbuch der Unternehmenssicherheit 2013 Räumungsplanungen für öffentliche Gebäude müssten die Rettung von Menschen mit Behinderung zwingend berücksichtigen. Dabei sei jede Konzeption bei der Umsetzung im Ernstfall nur so gut, wie sie den Betroffenen bekannt ist und im besten Fall auch in realitätsnahen Räumungsübungen mit ihnen trainiert wurde. Der Autor behandelt den rechtlichen Rahmen, die Räumung Krankenhäusern, von Büro- und Geschäftshäusern, von Justizgebäuden und die Nutzung von Aufzügen. Das Sicherheitsforum behandelt in der Ausgabe 4-2013 (S. 40/41) Probleme der Evakuierung. Bei der Festlegung des Evakuierungsablaufs stellten folgende Umstände spezielle Herausforderungen dar: Tag/ Nacht/Wochenende, Gefährdungsart, Verteilung der Personen im Gebäude, verschiedene Personengruppen und Fluchtwegsituationen. Bei der Planung würden folgende Punkte oft vergessen: Eine Meldestelle definieren; Schnittstellen zu Interventionskräften und zum Krisenstab klären; Informationspflicht gegenüber der Geschäftsleitung beachten; Deeskalation. René Tepaß, Novar GmbH, befasst sich in der Fachzeitschrift WiK (Ausgabe 3-2013, S. 61/62) mit der Sicherheitsbeleuchtung zur Unterstützung von Evakuierungsmaßnahmen. Angesichts immer komplexerer Gebäudestrukturen forderten die Feuerwehren verstärkt die passive Evakuierung, also alle Maßnahmen, zu denen die Feuerwehr nicht beitragen muss und die der Idealvorstellung gerecht werden, dass das Gebäude beim Eintreffen der Feuerwehr bereits geräumt ist. Nach Baurecht bildeten die Bauordnungen, Verordnungen und Richtlinien der Bundesländer die rechtliche Basis für eine Sicherheitsbeleuchtung. Nach Arbeitsschutzrecht seien es die Arbeitsstätten-Verordnungen und die Arbeitsstätten-Regeln. Explosionsschutz Die Fachzeitschrift PROTECTOR befasst sich in der Ausgabe 1-2/2013 (S. 20/21) mit wirkungsvollen Alarmsignalen in explosionsgeschützten und -gefährdeten Bereichen. Es gebe verschiedene Möglichkeiten, um Notfallsituationen optisch anzuzeigen. Die neueste Version von optischen Alarmgebern seien LED-Leuchten. Durch Einsatz von High Power-LEDs kämen sie nahezu an die Leuchtkraft der Xenon-Blitzleuchten heran. Bei akustischen Alarmgebern sei die richtige Tonwahl ein wichtiger Faktor. Dauertöne vermischten sich schnell mit den Hintergrundgeräuschen und erlangten somit eine zu geringe Aufmerksamkeit. Besser seien wechselnde Tonfolgen wie der DIN-Ton und ein internationaler PFEERTon, der jede Sekunde zwischen 1.200 und 500 Hertz wechselt und auch auf größere Distanzen wahrgenommen werde. Um einen wirkungsvollen Alarm zu erzeugen, sollte der Signalpegel fünf Dezibel über dem Umgebungsgeräusch liegen. Bei großen Industrieanlagen sei oft eine Warnung über das Industriegelände hinaus in angrenzende Wohngebiete, Parkplätze und Lagereinrichtungen erforderlich. Hier spreche man von Sirenen, die Eigenschaften wie Batteriepufferung und verschiedene Auslösemethoden haben sollten. In derselben Ausgabe der Zeitschrift wird die Nutzung von Überwachungskameras für explosionsgefährdete Bereiche behandelt (S. 26/27). Auch bei Arbeitsabläufen unter schwierigen Bedingungen könnten Kameras die Sicherheit der Bediener erhöhen. Hilfreich seien dabei Videoüberwachungsanlagen, deren Videosignale sich benutzerfreundlich auch in Prozessbilder einbinden und an unterschiedlichen Bedienplätzen anzeigen und bedienen lassen. Grundsätzlich sei man, um Kamerasignale in ein Leitsystem zu integrieren, auf projektspezi- Jahrbuch der Unternehmenssicherheit 2013 fische Implementierungen durch Programmierer angewiesen. Grundbausteine einer CCTV-Anlage auch für explosionsgefährdete Bereiche seien Kameras, die beispielsweise nach Atex oder IECEx zertifiziert sind und in Ex-Bereichen wie Zone 1 oder 21 verwendet werden dürfen. Die Anlagenüberwachung mit Wärmebildkameras in explosionsgefährdeten Umgebungen thematisiert Tobias Kröger, Automation Technology GmbH, in der Ausgabe 5-2013 der Fachzeitschrift GIT (S. 88/89). Sie bildeten großflächig die Temperaturentwicklungen ihrer Umgebung ab und eigneten sich dadurch hervorragend zur Brandfrüherkennung und Zustandsüberwachung. Durch die Einführung von EX-Schutzgehäusen mit druckfester Kapselung sei es möglich, temperaturmessende Infrarotkameras in explosionsgefährdeten Umgebungen nach aktuellen Ex-Schutznormen zu installieren. Eine Möglichkeit, Schutz vor Sprengstoffanschlägen auch bei Bestandsgebäuden zu erreichen, ist der Einsatz von sprengwirkungshemmenden Sicherheitsfolien. Darauf weist der Sicherheitsberater am 1. Oktober (S. 300/301) hin. Ungeschütztes Einfach- und Isolierglas erreiche durch die Beschichtung mit PROFILON ER1 folgende Widerstandsklassen: 1. Sprengwirkungshemmung Klasse ER1 nach DIN EN 13541 (NS). 2. Durchwurfhemmung Klasse A1 nach DIN 52290 (alt) bzw. Klasse P2A nach EN 356 (neu). Die Sicherheitsfolie sei im Druckstoßrohr getestet und nach Aussage des Herstellers Haverkamp die weltweit einzige Folie, deren sprengwirkungshemmende Eigenschaften in diesem Härtetest nach DIN EN 13541 bestätigt wurde. Extremismus Mit der Frage, ob Extremismus bei Mitarbeitern erlaubt ist, befasst sich in der Fachzeitschrift WiK (Ausgabe 6-2012, S. 57-59) Rechtsanwältin Melanie Kleiné, LL.M. In den Medien bekannt gewordene Fälle zeigten die arbeitsrechtlichen Schwierigkeiten, mit denen Arbeitgeber kämpfen müssten, wenn sie bei extremistischen Aktivitäten ihrer Mitarbeiter einschreiten möchten. Es lohne sich, den Bewerber bereits vor der Einstellung genau unter die Lupe zu nehmen. Extremistische Aktivitäten seiner Mitarbeiter, die Auswirkungen auf das Arbeitsverhältnis haben, müsse der Arbeitgeber nicht hinnehmen. Hier stehe ihm der gesamte arbeitsrechtliche Maßnahmenkatalog zur Verfügung. Gewaltorientierte Linksextremisten haben in Berlin im Rahmen ihrer traditionellen MaiVeranstaltungen auch 2013 unter anderem Einrichtungen von Wirtschaftsunternehmen (Berliner S-Bahn, Geldinstitute, Drogerien) angegriffen, meldet die ASW am 18. Juni. Im Fokus stünden vor allem Wirtschafts- unternehmen, die von ihnen aufgrund ihrer geschäftlichen Aktivitäten als repräsentativer Teil des kapitalistischen Systems für angebliche soziale und politische Missstände mitverantwortlich gemacht werden, deren „ausschließlich profitorientierte Ausrichtung“ zugleich der Sicherung des politischen Einflusses in der Gesellschaft diene. Das Bundesamt für Verfassungsschutz geht in seinem Newsletter am 16. Juli auf neue Tendenzen in der Entwicklung des Extremismus ein. Es beobachte eine Steigerung des Militanzpotenzials bei gleichzeitigem Rückgang des Gesamtpotenzials. Das Internet werde zum Katalysator neuer Strukturen im Extremismus. Radikalisierung finde heute auch im Internet statt. Zu erkennen seien Wechselwirkungen zwischen Extremismusphänomenen, zwischen legalistischen und militanten, zwischen virtuellen und realen Formen sowie durch das Kopieren von Handlungsstrategien. Die Gewichte im Rechtsextremismus hätten sich im letzten Jahrzehnt 65 66 Jahrbuch der Unternehmenssicherheit 2013 eindeutig zugunsten des militanten Teils und hin zu subkulturellen Rechtsextremisten und Neonazis verschoben. Revolutionäre Linke (RL) und Revolutionäre Aktionszellen (RZ), deren Mitglieder für mehrere Brandanschläge verantwortlich gemacht werden, verfolgten eine Strategie des Zusammenwirkens unterschiedlicher Aktionsformen bis hin zur bewaffneten Ebene. In der „jihadistischen“ Szene bildeten sich auch in Deutschland im letzten Jahrzehnt immer stärker „Täterpersönlichkeiten“ heraus, die jahrelang „mitten unter uns“ gelebt haben, wenn überhaupt nur sehr lose mit bekannten Terrornetzwerken verbun- den sind und sich häufig schnell radikalisieren. Für diesen „individuellen Jihad“ spiele das Internet eine ganz überragende Rolle. Im Internet-Magazin „Inspire“.werde eine „Strategie der tausend Schritte“ entwickelt. In der Ausgabe vom März 2013 würden Aktionen in Form von „Tausend kleinen Nadelstichen“ angeregt, um mit möglichst geringen Mitteln großen wirtschaftlichen Schaden anzurichten, auch durch „low level“-Terror, etwa das Anzünden von Autos. In der Ausgabe vom 31. Mai preise das Magazin die Terrorakte von Boston, London und Paris als Demonstration der Effektivität des „individuellen Jihad“. Fahndung Das Bundeskriminalamt gab bekannt, dass am 9. April das Schengener Informationssystem der zweiten Generation, kurz SIS II genannt, seinen Wirkbetrieb aufgenommen hat. Es besteht aus einer Zentraleinheit am Standort Straßburg und den Schnittstellen zu den nationalen Servern der 28 Mitgliedstaaten zur Eingabe und zum Abruf der Daten für den polizeilichen Endanwender in ganz Europa. Die entscheidende Neuerung bei der Personenfahndung ist, dass in dem System künftig auch biometrische Daten wie Lichtbilder oder Fingerabdrücke abgespeichert werden können. Eine weitere Erleichterung bei der Polizeiarbeit: Künftig wird eine Verknüpfung von Fahndungen möglich sein. So kann etwa nach einem Banküberfall gleichzeitig nach dem Fluchtfahrzeug und nach dem Täter gesucht werden. Außerdem werden bestehende EZU-Haftbefehle im SIS II als Bilddabei gespeichert. Doch nicht nur bei der Personenfahndung, sondern auch bei der weit umfassenderen Sachfahndung wird das elektronische System deutlich erweitert. So kann künftig auch nach industrieller Ausrüstung, Kennzeichentafeln, Containern, Zulassungsscheinen, Wertpapieren und Zahlungsmittel, aber auch nach Flugzeugen und Schiffen grenzübergreifend gesucht werden. Derzeit werden insgesamt rund 47 Millionen Datensätze im SIS II gespeichert, 1,2 Millionen Daten zur Personenfahndung und 45,7 Millionen Daten zur Sachfahndung. Es wird erwartet, dass sich die Datenmenge aufgrund der neuen Ausschreibungskategorien auf etwa 70 Millionen erhöht. Eintragungsgründe sind -Einreiseverweigerung für Personen, die nicht das Recht haben, den SchengenRaum zu betreten bzw. sich dort aufzuhalten -Aufenthaltsermittlung und Festnahme von Personen, für die ein Europäischer Haftbefehl ausgestellt wurde -Unterstützung bei Personenfahndungen gemäß den Anforderungen von Strafverfolgungs- und Justizbehörden - Suchen und Schützen von Vermissten - A uffinden gestohlenen oder verloren gegangenen Eigentums. Jahrbuch der Unternehmenssicherheit 2013 Fahrausweisautomatensicherheit Dipl.-Ing. Paulus Vorderwülbecke, VdS Schadenverhütung, befasst sich in der Ausgabe 4-2012 der Fachzeitschrift s+s report (S. 42–44) mit dem wirksamen Schutz von Fahrausweisautomaten vor Einbruchdiebstahl und Zerstörung durch Verwendung von Geräten mit VdS-Anerkennung. Sie könne für vier Klassen (FA 1, FA 2, FA 3 und FA 4) ausgesprochen werden. Der Autor behandelt Werkzeuge und die Praxis der Prüfung. Die der VdS-Anerkennung zugrunde liegenden Richtlinien VdS 3165 könnten kostenfrei über VdS Schadenverhütung bezogen werden. Fahrzeugverriegelung Die Fachzeitschrift GIT stellt in der JuniAusgabe (S. 58/59) das elektromagnetische Fahrzeugverriegelungs-System vanloxx von deister electronic vor, das sich modernster RFID-Technik bedient. Verlässt der Zusteller sein Lieferfahrzeug, werde es automatisch verriegelt, ohne dass er seinen Schlüssel benutzen müsse. Komme der Fahrer zurück, hält er einfach einen RFID-Transponder vor den eingebauten Leser an der Tür, über die er einsteigen will. Das System entriegele dann nur die Tür und gebe sie zum Öffnen frei. Bei der nächsten Adresse, die der Zusteller an- steuert, brauche er nur einen Knopf am eingebauten Fahrer-Terminal zu drücken, bevor er aussteigt. Dann entriegele sich zum Beispiel die Paketklappe am Heck. Weil durch diese berührungsfreie Technik jedes umständliche Schlüsselstecken wegfällt, spare man Zeit im Zustellprozess, so dass man pro Zeiteinheit deutlich mehr Zustellungen ausführen könne. Das Verriegelungssystem eigne sich auch zum Schutz von Sicherheitstransporten. Genauso könnten wertvolle Materialien und Werkzeuge auf Baustellen- und Handwerkerfahrzeugen gesichert werden. Falschgeld Das Bundeslagebild Fachgeldkriminalität 2012 zeigt einen leichten Anstieg der polizeilich registrierten Falschgelddelikte um 7 % gegenüber 2011 auf 36.600, wobei der Schwerpunkt in Euro-Banknotenfälschungen lag. Fast 60.000 falsche Euro-Banknoten wurden 2012 angehalten, 9 % mehr als 2011. Erstmals wurden mehr 20-Euronoten (38 %) als 50-Euronoten (34 %) angehalten. Der Grund dafür liege darin, dass der Handel umso mehr von Banknotenprüfgeräten Gebrauch mache, je höher der Nennwert einer Note sei. Infolge eines deutlichen Rückgangs angehaltener Fälschungen von 200- und 500-Noten sei der Gesamtnennwert angehaltener Euro-Fälschungen 2012 gegenüber dem Vorjahr von rund 6,5 Millionen Euro auf ca. 5 Millionen Euro gesunken. Die imitierten Sicherheitsmerkmale wie Wasserzeichen, Hologramm und Mikroschrift seien von hoher Qualität. Da aber nicht alle Sicherheitsmerkmale in gleich guter Qualität nachgeahmt würden, sei bei aufmerksamer Prüfung die Mehrzahl der Banknotenfälschungen auch ohne technische Hilfsmittel zu erkennen. Bei der EZB seien 2012 insgesamt 601.167 falsche Banknoten.registriert worden, 10 % weniger als 2011. Ein Drittel aller Falschnoten sei in Frankreich angehalten worden. Deutschland liege nach Frankreich, Italien und Spanien an vierter Stelle. Die Menge des festgestellten Falschgeldes sei im ersten Halbjahr 2013 auf 19.500 Euro-Banknoten gesunken. Das seien 14 % weniger als im Vergleichszeitraum 2012, habe die Bundesbank nach einer Meldung der FAZ am 20. Juli mitgeteilt. Insgesamt sei 67 68 Jahrbuch der Unternehmenssicherheit 2013 durch das registrierte Falschgeld im ersten Halbjahr 2013 ein Schaden von 1,1 Millionen Euro entstanden. Der Rückgang liege vor allem an einer verstärkten Prävention. Ein Schwerpunkt liege auf der Schulung von Kassierern im Einzelhandel und in Hotels und Gaststätten. Die beliebtesten Blüten seien weiterhin der 20- und der 50-Euroschein mit jeweils 40 % Anteil. Der Anteil an falschen 100-Euroscheinen betrage 13 %. Wie die ASW am 27. September mitteilt, hat das LKA Schleswig-Holstein seit Juni 2013 ein plötzliches und konzentriertes Anhalten von Falsifikaten in Form von 10-, 20- und 50-Eurobanknoten, überwiegend im Raum Kiel, registriert. Nach einem vorübergehenden Rückgang seien die Fallzahlen seit August 2013 wieder angestiegen. Es handele sich um professionelle, vermutlich in italienischen Fälscherwerkstätten hergestellte, Druckfälschungen. Die gefälschten 50 Euro-Banknoten seien mit einem mangelhaft aufgedruckten Wasserzeichen versehen, das unabhängig vom Lichteinfall immer werde sichtbar, wenn die Note gegen das Licht gehalten wird. Helle und dunkle Stellen gingen sanft ineinander über. Werde die Note auf eine dunkle Oberfläche gelegt, würden die hellen Stellen dunkel. Dieses Echtheitsmerkmal fehle der falschen 50 Euro-Banknote. Auch den Farbwechsel der auf der rechten unteren Rückseite der Banknote aufgebrachten Ziffer „50“ könnten die Fälscher nicht täuschend sicher nachempfinden. Beim Kippen der echten 50 EuroBanknote wechsele die Farbe von purpurrot zu olivgrün/braun. Feuerwehrausrüstung Protector weist in der Ausgabe 7-8/2013 (S. 52) auf 3D- und Wärmebilder als Orientierungshilfe für die Feuerwehr hin. Das EU-Projekt Protifex sehe 3D-Kameras vor, die die eventuell von Rauchschwaden verhüllte Umgebung des Einsatzbereichs erfasse und ein virtuelles dreidimensionales Abbild des Gebäudes an die Einsatzleitung weiterleite. Eine Wärmebildkamera erkenne Gefahren und blende auf einem durchsichtigen Display den Feuerwehrleuten wichtige Informationen direkt ins Gesichtsfeld ein. Eine weitere Verbesserung sollten Infrarot-Laserstrahlen bringen. Sie würden selbst den dichtesten Rauch durchdringen. Fluchtwegsicherung In einer Verlagsbeilage vom Januar 2013 der Fachzeitschrift WiK werden zwei Komplettsysteme zur Absicherung von Fluchttüren vorgestellt: EVT (elektrisch verriegelte Touch Bar) und EVP (elektrisch verriegeltes Panikschloss). Beide erfüllten die Richtlinie EltVTR. Das EVT-Paket bestehe aus den Komponenten Touchbar, Panikschloss und Fluchttürterminal Set zum Öffnen der Tür. Im Unterschied zur EVT-Lösung besetze die EVP-Lösung keine Touchbar, sondern ein elektrisch verriegeltes Panikschlosssystem. (S. 14/15) In einem im August von Protector veröffentlichten Brandschutz Special befasst sich Gerhard Gutmann, Assa Abloy Sicherheitstechnik GmbH, mit dem Nachrüsten von Feuerschutz- und Fluchttüren (S. 12–15). Dabei seien EU-weit geltende Normen einzuhalten und unterschiedliche Produktanforderungen zu beachten. Um auch nachträglich eine Lösung zur Vermeidung missbräuchlicher Fluchttür-Benutzung zu finden, könnten Gebäudebetreiber auf drei Kategorien setzen: Warnhinweise, Überwachung und Absicherung. Bei einer Nutzungsänderung von Türen müsse die Planung erneut überprüft und mit Jahrbuch der Unternehmenssicherheit 2013 der zuständigen Bauaufsicht abgestimmt werden. Normativ sei bei Panikverschlüssen die DIN EN 1125, bei Notausgängen die DIN EN 179 und bei elektrisch gesteuerten Lösungen die zukünftige neue DIN EN 13637 zu berücksichtigen. Für die klassische Nachrüstung von Feuerschutz- und Fluchttüren ohne signifikante Veränderung des Türelements stünden vermehrt innovative Lösungen zur Verfügung, beispielsweise zur Absicherung von Rettungswegen der Sicherheitstürschließen von Assa Abloy, der weltweit erste Sicherheitstürschließer mit integrierter Rettungswegverriegelung. In demselben Heft behandelt Joachim Meisehen, Novar GmbH, die Fluchtweglenkung mit Sprachalarmierung und Signalleuchten (S. 16–19). Die Sicherheitsbeleuchtung für Rettungswege sei netzunabhängig, werde unmittelbar nach Ausfall der Netzspannung wirksam und trage wesentlich zur Evakuierung in einem Gefahrenfall bei.Aufgelistet werden Normen mit allgemeinen und elektrotechnischen Forderungen, mit lichttechnischen Forderungen und Produktnormen. Flughafensicherheit Für umfassende Sicherheitslösungen für Flughafen plädiert Steve Batt, Siemens Building Technologies, in der Januarausgabe der Fachzeitschrift GIT (S. 42/43). Flughafensicherheit beginne beim Perimeterschutz. Dessen Unzulänglichkeiten könnten überwunden werden, indem man physische Maßnahmen mit intelligenten externen Überwachungslösungen wie Wärmebildkameras für die Weitbereichsüberwachung, modernen Präsenz- oder Bewegungssensoren sowie Radar-Tracking kombiniert. Zu weiteren wichtigen Innovationen in der Perimeterüberwachung zähle die Live-Erfassung und Nachverfolgung von Objekten – Fahrzeugen wie Personen – auf dem Flughafenvorfeld sowie im Bereich von Start- und Landebahnen und auf dem Rollfeld. Eine der aktuellen Weiterentwicklungen seien bildgestützte Videoanalyseverfahren, bei denen die Kamerabilder fortlaufend überwacht werden. So sei es möglich, dynamische und regelbasierte Zonen einzurichten, in denen sich sämtliche Aktivitäten automatisch auswerten lassen, so dass bei Bedarf sofort die definierten Eskalationsprozesse eingeleitet werden können. Protector befasst sich in der Ausgabe 102013 in einer Reihe von Beiträgen mit der Flughafensicherheit: Die verschiedenen Gefahrenquellen erforderten ganzheitliche Sicherheitskonzepte. Dabei habe jeder Be- reich seine ganz speziellen Anforderungen. Außenbereiche erforderten die Absicherung mithilfe von Sicherheitszäunen, am besten mit Übersteigschutz und Freigeländeüberwachungssystemen. Durchfahrts- oder Durchgangssperren wie hydraulische oder starre Poller, Wege Barriers, aber auch Schrankenanlagen, Schnellfalttore und Schiebetore komplettierten die Konzepte. (S. 28/29) In einem anderen Beitrag wird der Brandschutz für einen neuen Flugsteig mit sieben Gates für Großraumjets auf dem Frankfurter Flughafen behandelt (S. 36/37). Der Flugsteig A-Plus sei in Abschnitte unterteilt worden, die im Brandfall durch 21 automatisch schließende Schiebetore getrennt werden. Angesteuert würden die Tore durch 129 optische Rauchschalter. Wo Fluchtwege durch die Tore führen, seien diese mit Fluchttüren versehen. Stefan Schaffner, Vero Certus GmbH, konzentriert sich in der Fachzeitschrift GIT, Ausgabe 12-2013 (S. 28/29) auf die interne Flughafensicherheit. Eine der wesentlichen Kernaufgaben eines Sicherheitsmanagers im Flughafenbereich sei es, sowohl die aktuellen Sicherheitsbestimmungen mit den betrieblichen Erfordernissen tagesaktuell abzugleichen, als auch neu auftretende Lücken im Sicherheitsnetz zu schließen. Um die Vergabe und das Lifecycle Management von Zutrittsberechtigungen in dem heterogenen 69 70 Jahrbuch der Unternehmenssicherheit 2013 Umfeld eines Flughafens sicher abdecken zu können, würden die Experten von Vero Certus die Nutzung übergeordneter Physical Identity & Access Management.Systeme oder die Integration der ZuKo über Middleware-Lösungen.empfehlen. Um die Einhaltung der Vorgaben auch im Live-Betrieb stets im Blick zu halten, biete sich zudem der zielgerichtete Einsatz von übergreifenden Sicherheitsmanagement Lösungen der Gattung Physical Security Information Management an, die eine zielgerichtete Videoüberwachung mit einem Incident Management.im zentralen Sicherheitsleitstand vereinen. Freigeländeüberwachung In der Fachzeitschrift WiK (Ausgabe 6-2012, S. 60–62) wird ein Dienstleistungspaket „Videowache“ vorgestellt, eine Kombination aus Sensoren, Videoüberwachungskameras, Alarmvorprüfung in der Leitstelle und personeller Intervention. Ziel sei es dabei, so viel Intelligenz wie möglich im Objekt anzusiedeln, um die Leitstelle so weit als möglich von unnötigen Alarmierungen zu entlasten. Nahezu 100 % der Alarme, die von der Leitstelle an die Polizei weitergeleitet werden, seien begründet. Kernbestandteile der Technik des Pakets „Videowache“ seien funkgestützte Langstrecken-Infrarotbewegungsmelder, möglichst hochauflösende IP-Videokameras, ein Bildübertragungssystem für zehn Kameras mit lokalem Speicher und Videoanalysesoftware sowie eine flexibel programmierbare Gefahrenmeldezentrale. In derselben Ausgabe werden neue Technologien bei der Zaunüberwachung präsentiert. Der VibraTek3G-Sensor, der auf der Security-Messe 2012 mit dem ersten Preis des Product Innovation Award ausgezeichnet wurde, arbeite als ein linearer Induktionsgenerator, in dem präzisionsgefertigte konzentrische Leiter innerhalb des Sensorkabels so angeordnet sind, dass sie in einem von flexiblen Keramikmagnetprofilen erzeugten statischen Magnetfeld vibrieren. Von Eindringlingen verursachte mechanische Vibrationen würden durch direkten Kontakt zwischen dem Sensor und der geschützten Konstruktion in den Sensor eingekoppelt. Ein völlig anderes Konzept werde mit dem Perimeter Locator verfolgt. Die Zaunüberwachung werde hier durch drahtlos arbeitende RFID-Tags mit integriertem Beschleunigungssensor realisiert. Ein spezieller Auswertealgorithmus könne aufgrund der Charakteristik beim Auslösen der Tags unterscheiden, ob ein Intrusionsversuch oder eine Umweltstörung vorliegt. (S. 62/63). Gasdetektion Für die reine Ortung von Gaslecks seien Infrarotkameras sinnvoll, schreibt der Sicherheits-Berater in seiner Ausgabe 9-2013 (S. 140/141). Mit ihr werde die Anlage gefilmt wie mit einem handelsüblichen Camcorder, deshalb könne ein gewisser Sicherheitsabstand zu dem möglichen Gasleck eingehalten werden. Für das menschliche Auge nicht sichtbare Gaslecks erschienen als „Rauch“ im Sucher der Kamera oder auf dem LC-Display. Der Anwender erkenne sofort, wo ein Sicherverlust auftritt. Gezeigt werde ein komplettes Infrarotbild des überwachten Bereichs. Das Bild werde in Echtzeit dargestellt und könne als Filmsequenz in der Kamera gespeichert werden. Jahrbuch der Unternehmenssicherheit 2013 Gebäudesicherheit Rainer Hannich, Sicherheitsberater, behandelt in der.Fachzeitschrift SICHERHEITSFORUM (Ausgabe 5-2013, S. 117–122) Risiken und Methoden der Gebäudesicherheit, insbesondere das erforderliche Sicherheitskonzept, das Krisenmanagementsystem, mechanische Sicherungen, Beleuchtung, EMA, Videoüberwachung, Zugangskontrolle, Mitarbeitereingänge, Kunden- und Besuchereingänge, Empfang und Brandschutz. Die Gebäudesicherheit stelle eine umfassende Herausforderung dar, die nicht nur grundsätzlicher, sondern permanenter Betreuung bedarf. Wichtig sei, dass die grundsätzlichen Rahmenbedingungen vorhanden sind. Die Verantwortlichen müssten sich laufend mit Neuerungen auseinandersetzen und den internen, aber auch den externen Kontakt pflegen. SecuPedia weist in einem Newsletter darauf hin, dass die Firma Telenot eine PlanBroschürenreihe entwickelt, die anhand von Referenzobjekten die Planung und Realisierung maßgeschneiderter Sicherheitskonzepte für Gebäude zeige. Die Reihe umfasse bisher Sicherheitslösungen für eine Steuerkanzlei, ein Modehaus, ein Industrieunternehmen, eine Arztpraxis sowie ein Einfamilienhaus, kostenlos zu bestellen unter www.telenot.de/mobile/ Plan.htmi. Architektur und Sicherheit bildet den Schwerpunkt der Ausgabe des Sicherheitsberaters vom 1. Oktober (S. 282–295). Bewusste und frühzeitige Planung von Sicherheit bringe dem Immobilienmanagement nur Vorteile. Durch intelligente Architektur könne man Flucht- und Rettungsversuche problemlos so planen, dass diese nicht in eine Nutzungseinheit hineinführen, sondern nur in allgemein zugängliche Bereiche. Werde das Gewerk „Sicherheit“ schon früh in einem Projekt berücksichtigt, so sei es möglich, die typischen Schutzzonen konzeptionell so umzusetzen, dass diese sich zum einen architektonisch in das Gesamtbauwerk integrieren und zum anderen von den Nutzern nicht als den Betriebsablauf störend empfunden werden. In einem guten Sicherheitskonzept lasse sich auch eine spätere, anders gelagerte Nutzung des Gebäudes berücksichtigen. Auch im technischen Brandschutz fänden sich Möglichkeiten, die vorgeschriebene Technik der Branddetektion unauffällig in die Innenarchitektur zu integrieren. In einer Verlagsbeilage Januar 2013 der Fachzeitschrift WiK äußern sich Sebastian Rohr, accessec GmbH, und Roland Feil, Dallmeier electronic GmbH & Co.KG, zur Konvergenz von Gebäudesicherheitssystemen in der Finanzwirtschaft. Viele Banken und Sparkassen verfügten bereits über mehr oder weniger aktuelle Zeiterfassungssysteme, mechatronische oder vollelektronische Schließanlagen, Zutrittskontrollsysteme sowie Videoüberwachung. Bisher seien jedoch alle Systeme und Komponenten einzeln betrachtet und wenig bis gar nicht aufeinander abgestimmt worden. Durch Konvergenz werde ein ganzheitlicher Ansatz verfolgt, der die unverbundenen Einzellösungen integriere. Dadurch ließen sich die Kosten für zusätzliche Infrastrukturen spürbar reduzieren. Allem voran erfordere eine ganzheitliche Konvergenzbetrachtung die gemeinsame Planung, Implementierung und Nutzung grundverschiedener Technologien. Schaffe es die Kreditwirtschaft, jene in Einklang zu bringen, dann erreiche sie ein deutlich gesteigertes Sicherheitsniveau. (S. 4/5) Gefängnissicherheit Ministerialrat Wolfgang Suhrbier behandelt in Ausgabe 5-2013 von Security insight (S. 38–40) die Sicherheit im Justiz- und Maßregelvollzug der Sicherungsverwahrung. Immer mehr Bundesländer hätten auf Wachtürme verzichtet und sie durch 71 72 Jahrbuch der Unternehmenssicherheit 2013 technische Einrichtungen ersetzt. Die Zahl der Ausbrüche sei seit Jahrzehnten dank der sicherheitstechnischen Aufrüstung auf ein Minimum gesunken. Die Vorgaben des Bundesverfassungsgerichts zum Maßregelvollzug könne der Vollzug unter Berücksichtigung der Sicherheitsbelange nur durch ausgewogene Sicherheitstechnik und höheren Personaleinsatz erfüllen. Zur Technik zählten insbesondere Kommunikationsanlagen mit Notruffunktion und Ortung, Überwachungsanlagen, Alarmmanagementsysteme, die den schnellen Einsatz weiterer Mitarbeiter im Krisenfall ermöglichen, sowie bezahlbare Systeme zur Verhinderung unerlaubter Kontaktaufnahme der Inhaftierten zur Außenwelt. In derselben Ausgabe beschreibt Jens Aperdannier, Tyco Fire & Security Holding Germany GmbH, ein hochverfügbares System integrierter Sicherheits- und Kommunikationstechnik in Justizvollzugsanstalten (S. 42/43). Ein effizientes Zusammenspiel der einzelnen integrierten Schwachstrom-Gewerke und -Technologien sei hierzu zwingend – von Telekommunikations-, Intercom- und Sprachalarmierungsanlagen, Sicherheitstechnik wie Zutrittskontrolle und Videoüberwachung, Zellenruf- und Personenschutzanlagen über sichere Daten- und Kommunikationsnetzwerke sowie Gebäude- und Sicherheits-Managementsysteme bis hin zur übergreifenden Leitstelle. Erst im intelligenten Verbund via offene Plattformen gewährleisteten die Einzelgewerke die durchgängige und flexible Kommunikation und die effiziente Steuerung von Prozessabläufen. Gefahrenmanagement In der Ausgabe 1-2/2013 der Fachzeitschrift PROTECTOR weist Dipl.-Ing. Joachim Meisehen, Novar GmbH, darauf hin, dass auch im Bereich der Sicherheitstechnik die Datenflut ohne Filterung nicht mehr zu bewältigen sei. Um alle Anforderungen zu erfüllen, die an ein modernes Gefahrenmanagement gestellt werden, sei ein geeignetes Softwaredesign erforderlich. Dazu zählten unterschiedliche Schnittstellen zur Datenerfassung, individuelle Datenaufbereitung, Modularität, Automatisierungsfunktionen und verschiedenste Ausgabekanäle zur Verteilung der Informationen. Eine der zentralen Aufgaben im Gefahrenmanagement sei es, die beim Auftreten von bestimmten Ereignissen relevanten Informationen über eine Gefah- rensituation bereitzustellen. Wenn solche Systeme neben den Möglichkeiten des Gefahrenmanagements auch noch die tägliche Arbeit unterstützen können, seien Mehrwerte evident. So könnten wiederkehrende Vorgänge, die mit angeschlossenen Gewerken durchgeführt werden müssen, teil- oder sogar vollautomatisch abgewickelt werden. Um bei steigender Informationsflut den Überblick zu behalten, seien Funktionen, die eine Überführungsmöglichkeit von Protokolldaten oder Meldepunktinformationen in exportierbare, übersichtliche Tabellen bieten, von großem Vorteil, besonders, wenn sie anschließend mit benutzerbezogenen Filtern die für den jeweiligen Nutzer relevanten Informationen selektiv anzeigen. Gefahrenmeldetechnik In seiner Ausgabe Nr. 4 vom 15. Februar behandelt der Sicherheits-Berater die Gefahrenmeldetechnik in grundlegender und leicht verständlicher Weise (S. 42–61). Zumindest für die traditionelle Gefahrenmelde-Branche müsse man sagen, dass die meisten Neuerungen eher der Kategorie Evolution statt Revolution zuzuordnen sind. Trotzdem gebe es bemerkenswerte Entwicklungen, zum Beispiel bei der Funkübertragung. Hier Jahrbuch der Unternehmenssicherheit 2013 habe sich in den letzten Jahren eine Fülle von Lösungen etabliert. Funklösungen könnten mittlerweile problemlos in die Systemlandschaften der großen Hersteller integriert werden. Im Normenbereich gelte für Brandmeldeanlagen aktuell die VDE 0833-2 und die darauf aufbauende VdS 2095. Wichtige Änderung zur Vorgängernorm sei das Einführen des Begriffs „Zweimeldungsabhängigkeit“. Im Bereich der Einbruch- und Überfallmeldetechnik dominiere nach wie vor die VdS 2311, jedoch gewinne hier die VDE 0833-3 immer mehr an Bedeutung, obwohl deren Detaillierungsgrad lange nicht an die VdSRichtlinie heranreiche. Leider fänden weder videogestützte Bildanalysen noch innovative Sensoriken zur Freifeldüberwachung in den Regelwerken Berücksichtigung. Der Sicherheits-Berater befasst sich in systematischer Gliederung mit -der Detektion von Verbrennungsprodukten (stoffliche wie Rauchpartikel, Aerosole oder Asche und energetische wie Wärme, Licht oder Strömung) -der Detektion in Zu- und Abluftkanälen (Ansaugrauchmelder und LüftungskanalMelder mit externer Probekammer) -den klassisschen Verfahren zur Einbruchdetektion (Melder der Fassadenüberwachung (Öffnungsverschluss- und Durchbruchüberwachung); Melder der Volumenüberwachung (Infrarot-Bewegungsmelder, Ultraschallmelder und Mikrowellenmelder wie PIR- und Ultraschall oder PIR- und Mikrowellenmelder); Sondermelder zur Überwachung einzelner Objekte innerhalb des Sicherungsbereichs (Körperschallmelder, kapazitive Feldänderungsmelder, elektronische und mechanische Melder). Behandelt werden ferner Aspekte der Scharfschaltung, der Begriff der „Zwangsläufigkeit“ in seiner doppelten Bedeutung gemäß VdS 2311 (Verhinderung der Scharfschaltung einer nicht gänzlich funktionsfähigen EMA und der versehentlichen Alarmauslösung). Dargestellt werden auch Vor- und Nachteile verschiedener Arten der Perimeterdetektion (Laserscanner, Lichtwellenleiterkabel und Mikrofon-Sensorkabel) sowie Kameras als Alternative bei der Perimeterdetektion – mit einem Plädoyer für kameragestützte Detektionssysteme, besonders in der Kombination von Wärmebildkameras mit Bildanalysesystemen). Ulrich Sobers, Redaktion WiK, thematisiert in der Ausgabe 2-2013 (S. 26/27) betriebliche Alarmsysteme. Als aktuelle Lösung würden auf dem Markt Software/Hardware-Lösungen angeboten, mit denen vorhersehbare und vorher planbare Szenarien computergestützt abgearbeitet werden können. Schnelligkeit, Redundanz und ein automatisiertes Monitoring-/Fehlermeldungs- und –bearbeitungssysteme seien deshalb grundlegend. Idealerweise sollte die Lösung Eskalationsprozeduren beherrschen, unterschiedlichste Kommunikationswege nutzen können und flexibel, möglichst vom Nutzer, für die jeweilige Art von Alarmierung konfiguriert werden können. Basic Feature und in allen Alarmlösungen gleichermaßen vorhanden, sei die Alarmierung von Gruppen aufgrund vordefinierter oder vordefinierbarer Szenarien. Die Übertragung von Störfalldaten an fremde Server oder in die Cloud könne zum Problem werden, denn nicht jede Störfallinformation gehöre in fremde Hände. Marktführer bei den Alarmierungslösungen, die in der Regel auch über (einfachere) NotfallmanagementLösungen verfügen, seien in Deutschland derzeit wohl FACT24, MIR3 und RapidReach. Am Anfang jeder Anschaffungsüberlegung sollte nicht der Funktionsumfang eines Programms stehen, sondern, ob der angebotene Funktionsumfang den eigenen betrieblichen Erfordernissen auch unter Berücksichtigung einer prognostizierten Weiterentwicklung für eine kalkulierte Zeitspanne genügt. Volker Matthies, Pfannenberg GmbH, erläutert in der Fachzeitschrift PROTECTOR (Ausgabe 6-2013, S. 42–43) die optische 73 74 Jahrbuch der Unternehmenssicherheit 2013 Alarmierung gemäß EN 54-23.Der wachsende Bedarf an optischen Signalgebern sei nicht zuletzt ein Grund dafür, dass in der EU der technische Standard EN 54-23 (Brandmeldeanlagen – Teil 23: Feueralarmeinrichtungen – Optische Signalgeber) entwickelt wurde, der grundlegende Anforderungen an optische Signalgeräte festlegt und damit auch einen Vergleich von unterschiedlichen Lichtquellen wie Xenon oder LED zulässt. Neben separaten Blitzleuchten würden auch Kombinationsgeräte der neuen Patrol-Serie angeboten, deren Signalisierungsbereich genau aufeinander abgestimmt sei. Sämtliche Neuwagen in der EU sollen von Herbst 2015 an mit einem automatischen Notrufsystem („E-Call“) ausgerüstet sein, meldet die FAZ am 14. Juni. Einen entsprechenden Gesetzentwurf habe die EU-Kommission vorgelegt. Mit Hilfe der derzeit knapp 100 Euro kostenden Geräte, über die gegenwärtig erst 0,7 % aller neuzugelassenen Fahrzeuge verfügen, würden bei schweren Unfällen umgehend die Notrufzentralen unter der in Europa einheitlichen Nummer 112 benachrichtigt. Das Europäische Parlament habe sich schon vor Jahresfrist mit großer Mehrheit für eine gesetzliche Verpflichtung zum Einbau der Geräte ausgesprochen. Wie Michael von Foerster, Bosch-Sicherheitssysteme, in der Ausgabe 5-2013 der Fachzeitschrift WiK (S. 57/58) berichtet, fordert Euroalarm von der EU-Kommission zusätzliche Aktivitäten zur Erhöhung der Wettbewerbsfähigkeit der europäischen Industrie für Gefahrenmeldetechnik. Es sollte Aufgabe der Politik sein, ein unabhängiges Prüfzentrum mit einem einheitlichen Prüfzeichen zu schaffen. WiK (Ausgabe 6-2013, S. 60/61) berichtet über relevante Neuerungen der Richtlinien VdS 2311, Neuerungen in den Bereichen: normative Verweisungen, Alarmierung, Körperschallmelder, Wertbehältnisse sowie zulässige und unzulässige Normabweichungen. So wurde für die Alarmierung die Möglichkeit geschaffen, bei wiederholt auftretenden netzbedingten Ausfällen einer stehenden IP-Verbindung die Meldung des Ausfalls der IP-Verbindung über den Ersatzweg für eine begrenzte Zeit um bis zu 180 Sekunden verzögert an die NSL zu übertragen. Neu sei auch die Möglichkeit der Realisierung einer bedarfsgesteuerten IP-Verbindung durch eine stehende IP-Verbindung, die mit 5- bzw. 25-stündlicher Funktionsüberwachung betrieben wird. Die Hinweise zum Betrieb von Schlüsseldepots sowie das zugrundeliegende Merkblatt VdS 5005 mussten aufgrund geänderter rechtlicher Rahmenbedingungen angepasst werden. Gefahrstoffe Dipl.-Ing. Sven Siebers, asecos GmbH, behandelt in der Ausgabe 4-2012 der Fachzeitschrift s+s report (S. 50–52) die richtige Lagerung von Gefahrstoffen in Sicherheitsschränken. Das sei Aufgabe des Sicherheitsbeauftragten (Einhaltung der maximalen Lagermengen, Einlagerungsverbote, technische Funktionsfähigkeit der Sicherheitsschränke, Freihaltung des Schließbereichs). Neben der geeigneten Ausstattung beuge vor allem Wissen den Risiken bei der Arbeit mit Gefahrstoffen vor. Gefahrstofflagerung ist ein Thema in Ausgabe 3-2013 der Fachzeitschrift GIT (S. 100/101). Eine detaillierte Klasseneinteilung von Gefahrstoffen sei als Unterstützung zur betrieblichen Gefährdungsbeurteilung vom Verband der Chemischen Industrie (VCI) erstellt worden. Zusätzlich seien umfangreiche Hinweise bezüglich der Zusammenlagerung von verschiedenen Gefahrstoffen im Leitfaden des VCI enthalten. Auf der sicheren Seite sei man bei der Lagerung von Gefahrstoffen immer, wenn man sich an die Regel „Gleiches mit Gleichem“ hält. Denn einige Stoffe könnten in Kombination miteinander gefährlich werden. Bei der Lagerung in Sicherheitsschränken für brennbare Flüssigkeiten nach DIN EN 14470-1 Jahrbuch der Unternehmenssicherheit 2013 seien bei gewissen Stoffen Mengenschwellen bei der Zusammenlagerung zu beachten. Für Unternehmen, die nur ab und zu und kleine Mengen an aggressiven Gefahrstoffen nutzen, gebe es seit kurzem eine neue Lösung. Die Sicherheitsschränke nach DIN EN 14470-1 des Herstellers asecos seien nun auch mit metallfreier Ausstattung verfügbar. Für.größere Mengen aggressiver Gefahrstoffe seien speziell Säuren-Laugen-Sicherheitsschränke konstruiert. In jedem Fall sollte bei der Lagerung von brennbaren Flüssigkeiten,. aber auch.von Säuren und Laugen, auf eine effiziente Entlüftung Wert gelegt werden. Mit.der Lagerung unterschiedlicher Gefahrstoffe befasst sich GIT in der Aus- gabe 6- 2013 (S. 102/103). Kombinierte. Sicherheitsschränke seien eine gute Lösung für alle Betriebe, die wenig Platz haben oder nur kleine Mengen an sowohl brennbaren Flüssigkeiten wie z. B. Lösungsmittel als auch an verschiedenen aggressiven Stoffen wie Schwefelsäure nutzen. Die einzelnen Abteile des Kombi-Sicherheitsschrankes seien jeweils für den Schutz von bestimmten Gefahrstoffklassen ausgerichtet. Säuren und Laugen sollten stets in getrennten Lagereinheiten aufbewahrt werden, da die Verdunstungen der beiden Stoffe in Kombination zu gefährlichen Dämpfen reagieren können. Mit optionaler metallfreier Brandschutz-Inneneinrichtung sei keine Korrosion möglich. Geiselnahme Spiegel Online berichtet am 26. Juni, der Manager der US-Firma Speciality Medical Supplies sei vor einer Woche von Arbeitern eines Werks in China in einem Büro eingesperrt worden. Es sei zu dem Werk im Norden Pekings gereist, um 30 der 130 Arbeiter zu entlassen. Seitdem hätten ihn die verbliebenen 100 Beschäftigten festgehalten. Auch der chinesische Chef des Standorts und der Buchhalter konnten den Angaben zufolge das Werk in den vergangenen Tagen nicht verlassen. Der Amerikaner sei dreimal täglich mit Mahlzeiten versorgt worden, zudem habe die Polizei überwacht, dass keine Gewalt ausbrach. Eingreifen in den Konflikt hätten die Behörden aber nicht gewollt. Geldautomatensicherheit – Angriffe Rund 8 Millionen Schaden durch Datendiebstahl an Geldautomaten (GA) in Deutschland im ersten Halbjahr 2013 meldet boersennews.de am 10. Juli. Die Bankenverbände erklärten den Rückgang damit, dass die Sicherheitstechnik EMV zunehmend auch außerhalb Europas genutzt werde. Dennoch seien im 1. Halbjahr 2013 insgesamt 251 GA bundesweit manipuliert worden, fast ebenso viele wie im Vorjahreszeitraum. EMV-Karten hätten eine Art Mini-Computer. Der Datensatz werde verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft. In Deutschland gestohlene Kontodaten setzten Kriminelle nach Erkenntnissen von Euro Kartensysteme vor allem in Ländern ein, die nach wie vor auf die veraltete Technologie der Magnetstreifen setzen: in den USA (17 %), Kolumbien (13 %), Indonesien (12 %). In Deutschland seien nach Branchenangaben inzwischen alle 94 Millionen umlaufenden Girocards mit einem EMV-Chip ausgestattet. Die WirtschaftsWoche berichtet am 10. Mai, eine Bande von Cyber-Kriminellen habe weltweit mit manipulierten Prepaid-Karten innerhalb kürzester Zeit 45 Millionen Dollar von Bankautomaten gestohlen. US-Behörden verglichen den Coup mit dem LufthansaRaub von 1978. Sieben Mitglieder einer New Yorker Zelle seien verhaftet worden. Veraltete US-Kartentechnologie könnte Sicherheits- 75 76 Jahrbuch der Unternehmenssicherheit 2013 experten zufolge zumindest teilweise ihren Raubzug ermöglicht haben. Eingehackt hätten sich die Cyber-Kriminellen in Banken von Golfstaaten. Die Hacker hätten sich die Daten für die Prepaid Debit Cards verschafft, deren Limits von den Konten entfernt und Zugangscodes programmiert. Dann seien Gang-Mitglieder in mehreren Städten ausgeschwärmt und hätten Geld abgehoben. Wie das PP Nordhessen am 18. Oktober meldet, versuchten bislang unbekannte Täter, in einer Bankfiliale in Nieste nachts einen Geldautomaten aufzuschweißen. Vom Tatbeginn an habe die installierte Videoanlage keine Bilder mehr geliefert. Alle Scheibenflächen des Automatenraumes seien von den Tätern aufwändig tapeziert worden, damit sie ungestört „arbeiten“ konnten. Geldautomatensicherheit – Technische Sicherung Udo Wolf und Dipl.-Ing. Frank Lohmeier, beide R+V Allgemeine Versicherung AG, weisen in der Ausgabe 4-2012 der Fachzeitschrift s+s report (S.38/39) auf Präventionsempfehlungen des VdS-Leitfadens Perimeter (VdS 3143) zur Schutz vor Angriffen auf Geldautomaten im SB-Foyer hin: Wandeinbau, Verwendung von GA mit Geldschrankeinheiten zertifiziert nach CEN/VdS Grad III Gas-Ex und Schließung des Foyers zwischen 0 und 5 Uhr. Weitere Details zur Sicherung von GA könnten der Broschüre „Richtlinie zur Sicherung GA“, VdS 5052, entnommen werden. Phil Scarfo, Lumidigm, stellt in der Ausgabe 1-2013 der WiK die Frage nach dem Zeitpunkt eines flächendeckenden Einsatzes von Biometrie an Geldautomaten. Nach einer Bestandsaufnahme durch die Deutsche Bank im April 2012 stecke der Einsatz biometrischer Verfahren an Geldautomaten sowie im Online Banking, aber auch in modernen Bezahlsystemen des Handels, noch in den Kinderschuhen – jedenfalls außerhalb Japans und Brasiliens. In Japan seien bis Ende 2011 rund 40.000 Geldautomaten mit Fingervenenbiometrie ausgestattet worden, in Brasilien 21.000 Geldautomaten auf Biometrie umgestellt worden. Und die Türkei verfüge über ca. 3.000 Geldautomaten mit Handflächenvenenerkennung. Da die Automaten auch unter schwierigen Außenbedingungen, etwa Nässe, funktionieren müssten, konnte ein zuverlässiger Datentransfer zwischen Fingerabdruck und Sensor bislang nicht immer garantiert werden. Auch Verschmutzungen könnten Probleme bereiten. Dies solle nun über die Multispektral-Technologie verhindert werden, bei der neben der Hautoberfläche auch die darunter liegenden Blutkapillare gescannt werden. (S. 62/63) Die Neuen Richtlinien zur Sicherung von Geldautomaten (VdS 5052) beschreibt auch. Dipl.-Ing. Paulus Vorderwülbecke in der Ausgabe 1-2013 der Fachzeitschrift s+s report (S. 37–41). Sie zeigten Schwachstellen von Automaten, mögliche Folgen von Angriffen sowie Maßnahmen auf, wie dem Risiko sinnvoll begegnet werden kann.Nach der Behandlung der Ziele der neuen Richtlinien geht der Autor auf die elektronische Sicherung, die Videotechnik und vor allem auf die mechanische Sicherung ein. Der Leitfaden wende sich insbesondere an Sicherheitsverantwortliche von Geldinstituten. Automatisierte Bargeldprozesse vereinfachten zeitaufwändige Kassenvorgänge und böten den Beschäftigten mehr Sicherheit bei der täglichen Ein- und Auszahlung der Einnahmen. Protector stellt in der Ausgabe 7-8/2013 (S. 58) intelligente Bargeldautomaten der Firma Prosegur vor. Vor der Schicht melde sich der Kassenmitarbeiter am Terminal an und erhalte automatisch seine Kasse mit dem entsprechenden Wechselgeld. Bei Schichtende nehme der Mitarbeiter das Geld aus der Kasse und fülle sowohl die Noten als auch das Münzgeld in den Automaten. Scheine ab 50 Euro landeten direkt in dem im Boden verankerten Tresor. Münzgeld Jahrbuch der Unternehmenssicherheit 2013 und kleinere Noten bis 20 Euro gelangten erst in eine spezielle Kassette und dienten bei Bedarf als Wechselgeld. Dank moderner Technik kämen Datendiebe am Geldautomaten immer seltener zum Zug, berichtet die FAZ am 27. Dezember. In den ersten 11 Monaten des Jahres 2013 sei der Schaden durch das sogenannte „Skimming“ von 20 Millionen Euro im Vorjahreszeitraum auf rund 11 Millionen Euro gesunken. Die positive Entwicklung sei vor allem auf die EMV-Technik von MasterCard Europe, Mastercard und Visa zurückzuführen. Durch sie werde die Echtheit der Karte sowohl an Geldautomaten als auch an den Terminals im Handel überprüft. Skimming-Schäden innerhalb des Girocard-Systems seien daher ausgeschlossen. Deshalb müssten Betrüger in ferne Länder reisen, um mit den in Deutschland geklauten Daten auch Geld zu erbeuten. Der EMV-Sicherheitsstandard sei vor mehr als zwei Jahren flächendeckend in Europa eingeführt worden. Inzwischen trügen alle fast 100 Millionen ausgegebenen Girocards den EMV-Chip, und auch alle 60.000 Geldautomaten sowie die rund 700.000 Terminals im Handel in Deutschland akzeptierten ausschließlich Girocards mit diesen Chips. Bei diesen Karten werde der Datensatz verschlüsselt, die Karte bei Gebrauch auf Echtheit geprüft. Geld- und Wertdienste – Raubüberfälle Während es 2011 erstmals in der über 40-jährigen Geschichte deutscher Geld- und Wertdienstleister keinen einzigen Überfall gegeben habe, sei die Zahl der Überfälle auf Spezialgeldtransportfahrzeuge 2011 auf 5 angestiegen, äußert sich Dr. Olschok, HGF der BDGW, in der Ausgabe 3-2013 des Sicherheitsdienstes DSD (S. 30). Es bleibe jedoch dabei, dass Deutschland mit Abstand die sichersten Geldtransporte in Europa habe. Täglich seien mehr als 2.600 gepanzerte Geldtransportfahrzeuge auf Deutschlands Straßen unterwegs. Diese transportierten nach Angaben der Deutschen Bundesbank circa 3 Milliarden Euro. Ohne die Tätigkeit der 11.000 Beschäftigten bei Geld- und Wertdienstleistern sei keine sichere Bargeldversorgung der Kreditinstitute und Bargeldentsorgung des Handels möglich. Einen spektakulären Überfall auf zwei Werttransporte meldet die FAZ am 15. Februar. In Köln-Rodenkirchen habe am Morgen des 14. Februar ein Pferdetransporter einen Kleinbus der Kölner Verkehrsbetriebe gerammt. Mit Gewehren und Maschinenpistolen bewaffnete Männer hätten Fahrer und Beifahrer bedroht und den Transporter aufgebrochen. Die Geldkoffer seien jedoch leer gewesen. Als sich wohl zufällig aus der Gegenrichtung ein Geldtransporter genähert habe, hätten die Täter auf dessen Frontscheibe geschossen. Das Panzerglas habe jedoch dem Beschuss standgehalten. Es sei ihnen nicht gelungen, das Fahrzeug zu öffnen. Die Täter hätten dann zwei Fahrzeuge, in denen sie gekommen seien, angezündet und seien mit einem dritten Auto geflüchtet. Das sei später in einem Waldstück ebenfalls brennend aufgefunden worden. Zwei schwere Raubüberfälle am 6. September vor einer Kreissparkassenfiliale auf zwei Mitarbeiterinnen, die für die Kreissparkasse ungepanzerte Geldtransporte in PKWs durchführten, und im August in Hamburg Wilhelmsburg auf einen Geldboten, der in einem ungepanzerten Firmenfahrzeug eines Sicherheitsunternehmens Geld transportierte, veranlassten den HGF der BDGW, Dr. Olschok, zu einem Appell an Kreditinstitute, Handelsunternehmen und Veranstalter, Geldtransporte nur in dafür vorgesehenen Spezialgeldtransportfahrzeugen durchzuführen. Verletzten Arbeitgeber ihre Sorgfaltspflicht, so drohten Nachforschungen durch die gesetzliche Unfallversicherung 77 78 Jahrbuch der Unternehmenssicherheit 2013 Geld- und Wertdienste – Neue Sicherheitskonzepte und durch Strafverfolgungsbehörden.( WiK, Special Sicherheitslösungen für Banken, Oktober 2013, S. 4). In der Ausgabe 4-2012 der Fachzeitschrift DSD befasst sich Christian Fischer, GS1 Germany GmbH, mit der Bargeldlogistik der Zukunft (S. 3–8). Mit dem Projekt der Deutschen Bundesbank CashEDI (Cash Electronic Data.Interchange) werde ein Verfahren eingeführt, das die Transparenz entscheidend nach vorne bringt. Im Rahmen von CashEDI biete die Bundesbank den Bargeldakteuren die Möglichkeit zum elektronischen Austausch von Daten des Barzahlungsverkehrs. Bargeldrelevante Daten wie Einzahlungsavise und Geldbestellungen könnten zwischen den Bargeldakteuren und mit der Bundesbank auf elektronischem Weg ausgetauscht werden. Die Beschleunigung des Informationsflusses führe auf Kundenseite zu einer Erhöhung der Transparenz und der Sicherheit. Durch Nutzung von Barcodes auf den Einzahlungsbehältnissen würden Geldübergaben scannerunterstützt erfasst und eine lückenlose Behälterverfolgung bis zur Bundesbank ermöglicht. Das manuelle Ausfüllen von Einzahlungsbelegen entfalle. Die Rückverfolgbarkeit von Artikeln und die Sendungsverfolgung von Transporteinheiten nehme über alle Branchen hinweg einen stetig steigenden Stellenwert ein (Tracking & Tracing). Eine automatisierte, IT-unterstützte Verfolgung sei vielerorts noch Zukunftsmusik. RFID ermögliche die automatische Identifizierung und Lokalisierung von Gegenständen und erleichtere damit erheblich die Erfassung von Daten (Funketiketten). Dadurch könne eine permanente (Echtzeit-) Verfolgung der Geldbewegungen zwischen Kreditinstitut, Wertdienstleister und Bundesbank aufgebaut werden. Dr. Lothar Thoma, Prosegur GmbH, behandelt in der Ausgabe 2-2013 der Fachzeitschrift W&S das Thema „automatisiertes Bargeldmanagement“. Nach einer Erhe- bung von Prosegur fielen in Summe rund 95 % der Prozesskosten des Barkreislaufes bei Handel und Banken an, und nur 5 % der Kosten würden durch Dienstleistungen der Geld- und Wertunternehmen verursacht. Spezialisierte Serviceanbieter übernähmen zeitaufwendiges Bargeldhandling und verknüpften gleichzeitig die verschiedenen Prozesse intelligent miteinander. Auch der Einzahlprozess halte Optimierungspotenzial bereit. Externe Dienstleister kümmerten sich nicht nur um die Geldabholung und -zählung, sondern stellten die Technik, kümmerten sich um die Versicherung und erledigten die Gerätewartung und Inhaltskontrollen. Mit innovativen Prozessen, unterstützt von Geräten und Software, könnten Servicepartner die Automation auch direkt zu den Handelskunden bringen und ihnen ermöglichen, dass sie die Tageseinnahmen direkt im eigenen Geschäft einzahlen. Online angebundene Tresorsysteme könnten das Geld zählen, es auf Echtheit überprüfen und den Betrag auf dem Konto verbuchen. Eine ausgefeilte Software überwache die Tresore, gleiche Sollbeträge aus Kassen- oder ERP-Systemen mit eingezahlten Beträgen ab und stoße alle erforderlichen Buchungsvorgänge zum Abschluss der Transaktionen an (S. 20/21). In Ausgabe 3-2013 der Fachzeitschrift Security insight wird ein neues Konzept im Geld- und Werttransport beschrieben, das die Gefahr von Raubüberfall senken soll: Beim Kassiervorgang im Einzelhandelsgeschäft wandern die Scheine ab einem bestimmten Betrag direkt in ein unter der Kasse stehendes Gerät. Hier wird es automatisch gezählt und auf Echtheit geprüft. Der Werttransporteur holt die darin befindlichen Geldkassetten ab und bringt sie zur Bank. Werden die Kassetten unbefugt geöffnet, platzen Farbbomben, die die Banknoten einfärben. An keiner Stelle habe ein Räuber auch nur die geringste Chance, zum Zug zu kommen (S. 17). Jahrbuch der Unternehmenssicherheit 2013 Geldwäsche Die USA wenden ein Geldwäschegesetz auf virtuelle Währungen an, berichtet das Wallstreetjournal am 24. März. Genaue Regeln für virtuelle Währungen festzulegen, sei schwierig. Ein Sprecher der US-Behörde Financial Crimes Enforcement Network (FinCen) habe betont, dass Antigeldwäsche-Gesetze je nach „Faktoren und Umständen“ für jedes Geschäft gelten, jedoch nicht für Einzelpersonen, die die virtuelle Währung lediglich nutzen, um echte oder virtuelle Waren zu kaufen.Laut dem FBI-Bericht 2012 habe die virtuelle Währung Cyberkriminelle angezogen, die Gelder bewegen oder stehlen wollten. Die Internet-Bank Liberty Reserve habe Milliarden aus illegalen Geschäften gewaschen , berichtet DIE WELT am 29. Mai. Das Internet-Bezahlsystem aus Costa Rica sei sieben Jahre lang das Mekka für jede Art von Verbrecher auf der Welt gewesen. Nun habe die US-Justiz den größten Geldwäschering der Bankengeschichte aufdecken können. Sechs Milliarden Dollar sollten Cyber-Kriminelle seit 2006 durch das undurchsichtige Digitalwährungssystem geschleust haben. Liberty Reserve habe ihren Kunden ermöglicht, völlig anonym große Summen um die Welt zu bewegen, ohne auf dem Radar einer Aufsichtsbehörde aufzutauchen. Nutzer der Plattform hätten ihr Geld zunächst bei Online-Drittanbietern in die Liberty ReserveWährung „LR“ umtauschen müssen. Diese Anbieter seien hauptsächlich in Ländern ohne strenge Finanzaufsicht angesiedelt, so in Malaysia, Russland, Nigeria und Vietnam. Als Daten seien bei der Registrierung bei Liberty Reserve lediglich Name, Adresse und Geburtsdatum benötigt worden. Ob sie stimmten, sei nicht kontrolliert worden. Trotz verschärfter Gesetze gingen viele Bankinstitute das Problem der Geldwäsche kaum an, berichtet das Handelsblatt am 13. Juni. Einer Umfrage der Unternehmensberatung Bearing-Point zufolge rüsteten nur wenige Banken ihre Mittel im Kampf gegen Betrugsfälle auf. Nach der Studie wollten fast 60 % der 55 befragten deutschen Finanzinstitute kein zusätzliches Geld für Schulungen, Computersysteme und Personal ausgeben. Dem stehe aber eine steigende Zahl von Verdachtsfällen von Geldwäsche gegenüber (Anstieg gegenüber 2010 um 40 %). Große Defizite offenbarten sich etwa bei der Frage, wo das Geld eigentlich herkommt, das die Banken annehmen. 35 % überprüften das nicht. Ein weiterer Schwachpunkt seien grenzüberschreitende Geldwäsche- und Betrugsfälle. Bei 55 % der Institute finde kein internationaler Austausch statt. Zudem hätten 65 % der Banken keine Kommunikationsstrategie parat, sollte ein Betrugsfall aufgedeckt werden. Die gesetzlichen Vorschriften würden zumeist nur als Kostenfaktor betrachtet. Der Europaratsausschuss Moneyval habe seine 30 Mitgliedsstaaten aufgefordert, schärfer gegen Geldwäsche und Terrorfinanzierung vorzugehen, meldet das Handelsblatt am 27. Juni. Auch sollten Banken sehr viel gründlichere Kundenprofile anlegen, um Risikofaktoren in Erfahrung zu bringen. Eine besonders riskante Gruppe seien nach Ansicht der Experten Politiker oder Kunden mit engen Verbindungen zur Macht. Das BKA werde sich aller Voraussicht nach in Zukunft verstärkt mit dem Thema Geldwäsche bei Immobiliengeschäften beschäftigen, berichtet die FAZ am 14. Juni. Auslöser sei eine Fachstudie, die das BKA angesichts eines auf „äußerst niedrigem Niveau“ liegenden Meldeverhaltens von Geldwäscheverdachtsfällen der Immobilienbranche bei einer Wirtschaftsprüfungsgesellschaft in Auftrag gegeben.hat. Die Studie komme zu dem.Ergebnis, dass das Gesamtkonzept der Geldwäsche mit den Phasen Plazierung, und Integration im Immobiliensektor weitgehend unbekannt sei und bei Immobiliengeschäften eine besondere Gefährdung durch Geldwäscheaktivitäten vorliege. Immobilienmaklern und Wohnungsgesellschaften werde gar unterstellt, den wirtschaftlichen Interessen 79 80 Jahrbuch der Unternehmenssicherheit 2013 gegenüber der Geldwäscheproblematik „klaren Vorrang einzuräumen“. In der Fachstudie werde auch empfohlen, die Überwachung des Immobiliensektors erheblich zu intensivieren und letztlich auch Sanktionsmöglichkeiten bei Nichterfüllung der gesetzlichen Pflichten auszuschöpfen. Die große Mehrheit der gewerblich tätigen Immobilienunternehmen seien als Verpflichtete des Geldwäschegesetzes anzusehen, da sie gewerblich mit hochwertigen Gütern handeln. Die Verpflichteten müssen ihren Geschäftspartner identifizieren, feststellen, ob er für einen Hintermann agiert und sich über die Herkunft der eingesetzten Mittel Gedanken zu machen. Diese Pflichten bestehen, wenn Bargeld von mehr als 15.000 Euro angenommen werden soll. Die EU beabsichtige, in der kommenden 4. EU-Geldwäscherichtlinie den Grenzwert auf 7.500 Euro zu halbieren. Eine Analyse von Thomson Reuters habe ergeben, dass kriminelle und terroristische Organisationen zunehmend digitale KryptoWährungen nutzen, um illegale Einnahmen zu verschleiern oder verdeckte Finanztransaktionen durchzuführen. Ein “Vorteil“. solcher Währungen sei es, dass damit Gelder weitgehend unbemerkt und anonym bewegt werden können. Wirtschaft und Strafverfolgungsbehörden stünden daher vor der Herausforderung, neue Wege zu gehen, um entsprechende Geldwäsche-Modelle zu identifizieren und zu bekämpfen. Das berichtet die Fachzeitschrift WiK in der Ausgabe 6-2013 (S. 18/19). Überall dort, wo sich Schnittstellen zwischen realen und virtuellen Währungen ergeben, finde auch Geldwäsche statt. Die Mehrheit der Ermittler sei der Meinung, dass Geldwäsche mit digitalen Währungen in Zukunft eine immer größere Rolle spielen werde. Laut einer aktuellen Studie von BearingPoint wird die Bekämpfung von Geldwäsche immer wichtiger, eine steigende Zahl an gesetzlichen Bestimmungen erhöhe den Druck auf Finanzinstitute massiv. Die Zahl der von den Banken gemeldeten Verdachtsfälle habe sich in den letzten drei Jahren um rund 40 % erhöht. Aber 35 % der Banken überprüften nicht, woher das angelegte Geld ursprünglich stammt. Grenzüberschreitende Geldwäscheaktivitäten seien eine weitere Achillesferse der Banken. Grenzüberschreitende Kriminalität Die Wirtschaftswoche berichtet am 25. Februar über einen kontinuierlichen Anstieg der Zahl von Einbrüchen und Diebstählen entlang der brandenburgischpolnischen Grenze seit der Grenzöffnung vor fünf Jahren. Betroffene Unternehmer in der Grenzregion seien verunsichert und griffen zur Selbsthilfe. Von 2007 bis 2011 sei der Anteil der Einbrüche und Diebstähle an der Gesamtkriminalität von 35 auf 51 % angestiegen. Kaum ein Tag vergehe zum Beispiel beim Unternehmen T&P Transport – Logistik – Service, an dem nicht einer der 40 Fahrer einen Diebstahl meldet. Die Rechtslage verhindere oft, dass deutsche Polizisten nichtdeutsche Täter jenseits der Grenze weiterverfolgen können. Viele Handwerksbetriebe an der Grenze zu Polen seien von Diebstählen betroffen und deshalb zunehmend frustriert, meldet die FAZ am 10. Dezember. Die Angst vor Kriminalität gefährde den Standort, habe der Präsident der Dresdner Handwerkskammer gesagt. 58 % der Unternehmen im LK Görlitz und 46 % im Spree/Neiße-Kreis sähen die Situation kritisch. Im Dresdner Raum verbuchten 40 % der befragten Betriebe einen wirtschaftlichen Schaden durch Kriminalität. Im KFZ-Gewerbe seien es sogar 67 %. Die Kammern forderten unter anderem mehr Präsenz von Polizei und Bundespolizei. Außerdem sollten die Länder Schutzvorkehrungen in den Unternehmen fördern. Die Justiz müsse schneller und härter durchgreifen. Jahrbuch der Unternehmenssicherheit 2013 Homejacking Securicon berichtet am 16. Juni, dass die Polizei seit Mai wieder vermehrt sogenannte Homejacking-Fälle meldet. Opfer seien auch in diesem Jahr häufig besser verdienende Führungskräfte gerade aus dem Bereich der Wirtschaft, zu identifizieren nicht selten an teuren PKW, die trotz ihres vergleichsweise hohen Wertes häufig vor den Anwesen dieses Personenkreises parkten.Ein Tatortscherpunkt liege.auch 2013 in NRW. Die Täter kämen vorwiegend in der Zeit zwischen 2 und 6 Uhr morgens. Sie würden überwiegend durch Fenster- und Fenstertüren, Türen und Lichtschächte in die Wohnobjekte eindrin- gen. Sie hätten es oft ausschließlich auf die Fahrzeugschlüssel und ggf. -papiere.abgesehen. Die Polizei rate, wenn die Täter bereits im Haus sind, zu folgendem Verhalten: Verschließen Sie den Raum, in dem Sie sich befinden! Rufen Sie ggf. laut um Hilfe! Sofern Sie die Täter beobachten können, merken Sie sich Aussehen und Fahrzeuge! Greifen Sie nicht selbst ein, um die Flucht der Einbrecher zu verhindern! Rufen Sie die Polizei über Notruf 110, wenn dies gefahrlos möglich ist! Leisten Sie keinen Widerstand, wenn Sie bedroht werden! Geben Sie ggf. den Ablageort des Autoschlüssels bekannt! Hotelsicherheit Die Zeitschrift WiK (Ausgabe 5-2013, S. 7) meldet, heise Security habe ausprobiert, wie leicht Hotelsafes mit Codeschlössern geknackt werden können. Diese Tresore ließen sich meist mit einem selbst einzugebenden Code sichern. Sollte dieser vergessen werden, hätten die Hotels sowohl mechanische Schlüssel als auch Mastercodes, um die Tresore wieder zu öffnen. Doch oft werde schon beim Einbau „geschlampt“: Viele Hotels würden vergessen, den vom Hersteller vorgegebenen Mastercode zu ändern. Diese Codes ließen sich aber über eine Suchmaschine herausfinden. Wie zuverlässiger Brandschutz im Hotel gestaltet sein muss, ohne die Ästhetik des Interieurs zu beeinträchtigen, wird von PROTECTOR in der Ausgabe 12/13 (S. 32/33) thematisiert. Ein Rauchansaugsystem sei um ein vielfaches sensibler, zuverlässiger und damit effizienter als Punktmelder. Die konkret beschriebenen Varianten Titanus Pro-Sens und Titanus Micro-Sens seien bis zu 2000mal sensibler als herkömmliche Rauchmelder. Die patentierte „Logic Sens“-Brandmustererkennung verifiziere die Signale des Detektors im Ansaugrauchmelder auf gängige Brand- muster, erkenne umweltbedingte Störgrößen automatisch und könne somit vermeidbare Fehlalarme verhindern. Dies sei für Hotelbetreiber wichtig, damit das Gebäude nicht wegen Fehlalarmen unnötig geräumt werden müsse. Aufgrund der Möglichkeit, das System individuell an architektonische Besonderheiten anzupassen, eigneten sich die Ansaugrauchmelder perfekt für traditionsreiche oder moderne, architektonisch anspruchsvolle Gebäude. In derselben Zeitschriftenausgabe werden „Undercover-Sprinkler“ für Hotels empfohlen (S. 35). Für Aufenthaltsbereiche wie Hotelzimmer, Flure, Büro- und Konferenzräume oder Wellness-Oasen seien Sprinkleranlagen die gängigste Löschtechnik. Für Restaurantküchen, in denen Fettbrände ein besonderes Risiko darstellen, wird eine Küchenschutzanlage (KS 2000) mit dem speziell zugelassenen Löschmittel Febramax empfohlen, das als fein versprühter Schaum und mit Wasser wirke.Es bilde eine Sperrschicht auf dem Fett oder Öl und schneide die Sauerstoffzufuhr ab, während der Wasseranteil das Fett unter die Selbstentzündungstemperatur abkühle. 81 82 Jahrbuch der Unternehmenssicherheit 2013 Identitätsdiebstahl In der Ausgabe 2-2013 der Fachzeitschrift WiK thematisiert Claus Schaffner, Redaktion WiK, den „Corporate Identity Theft“ (S. 16–18). Seit 2012 beschäftige sich die US-Wirtschaft zunehmend mit diesem Identitätsdiebstahl. Kriminelle versuchten dabei, die komplette Identität eines Unternehmens zu kidnappen, um diese für eigene Zwecke, in der Regel betrügerische Profite, zu nutzen. Inzwischen gingen Ermittler davon aus, dass es mehrere Tausend Opfer-Unternehmen gibt. Der Gesamtschaden gehe in die Millionen. Möglich werde dies vor allem durch einige Besonderheiten des amerikanischen Registrierungssystems für Unternehmen. Immer wieder gerieten vor allem „ruhende“ Unternehmen in das Visier von Betrügern, da sie gültige Geschäftsorganisationen bleiben, obwohl die Eigentümer die Geschäftstätigkeit längst eingestellt haben. Für Lieferanten könne das bedeuten, bei neuen Firmenkunden in den USA noch etwas genauer hinzuschauen, denn offensichtlich böten weder die bei den US-Behörden abrufbaren Informationen noch jene der Wirtschaftsinformationsdienste eine wirklich verlässliche Sicherheit. IT-Sicherheit Wegen der Komplexität der Thematik und der Unvermeidlichkeit thematischer Überschnei- dungen ist die Untergliederung nicht systematisch, sondern alphabetisch geordnet. IT-Sicherheit – Absturzsicherheit Informatiker am University College London haben einen Computer entwickelt, der vor den negativen Auswirkungen von Abstürzen gefeit ist, berichtet AGITANO, das Wirtschaftsforum Mittelstand, am 20. Februar. Das System könne im schlimmsten Fall korrumpierte Daten schnell wiederherstellen und sich so selbst reparieren. Um das zu ermöglichen, weichen strenge Befehlssequenzen scheinbarem Chaos wie in der Natur. Der neue Computer verknüpfe Daten mit Anweisungen, was damit zu machen ist – beispielsweise, wie zu reagieren ist. So entstehe eine Sammlung digitaler Einheiten, die „Systeme“ genannt werden. Jedes davon umfasse kontextabhängige Daten und könne nur mit ähnlichen Systemen interagieren. Zudem würden die Einheiten in zufälliger Reihenfolge abgearbeitet. Ein entscheidender Vorteil dieses systemischen Computers sei, dass stets mehrere Kopien von Anweisungen über Systeme verteilt vorliegen. Sollte eine Einheit aus irgendeinem Grund korrumpiert werden, könne der Computer also auf eine andere Kopie zugreifen und das Problem so beheben. Im Gegensatz zu herkömmlichen Betriebssystemen käme es daher auch nicht zu Abstürzen, wenn ein Speicherbereich fehlerhaft ist. IT-Sicherheit – Anonymisierung Als Folge der Datenspäh-Skandale verzeichneten Anbieter sicherer Lösungen einen Zulauf, meldet die FAZ am 13. Juli. Es gebe einige Hilfsmittel, mit denen sich Nutzer zumindest etwas anonymer durchs Netz bewegen können. Internetzugangsprogramme wie der Firefox-Browser von Mozilla oder der Chrome-Browser von Google böten eine Reihe von Zusatzprogrammen, mit denen sich Nutzer vor der Verfolgung durch Jahrbuch der Unternehmenssicherheit 2013 Cookies schützen können. Suchwerkzeuge wie duckduckgo.com, Ixquick.com, startpage. com oder Metager.de sammelten keine Daten der Nutzer. Startpage biete sogar dieselben Ergebnisse wie Google, ohne die Nutzerdaten mit dem Suchmaschinenkonzern zu teilen. Werbefreie und datensparsamere E-Mail-Dienste wie Posteo kosteten meist Geld. Doch böten sie besonderen Schutz der Daten, indem sie diese auf ihren eigenen Servern verschlüsseln. Auch der Versand der Mails an herkömmliche E-Mail- Anbieter erfolge verschlüsselt. Wer sich den Browser Tor (The Onion Router) herunterlade, verschicke seine Bewegungen im Netz über so viele Umwege, dass am Ende so gut wie niemand mehr die Schichten des eigentlichen Bewegungsablaufs entwirren könne. Um sensible Dokumente auf dem eigenen Computer zu verschlüsseln, gebe es ebenfalls Zusatzprogramme wie Truecrypt oder Boxcryptor. Die Geschäftsmodelle der holländischen Suchmaschinen Ixquick und Startpage unterschieden sich nicht von dem anderer Suchmaschinenanbieter. Wer dort sucht, sehe auch Werbeanzeigen. Allerdings bezögen.diese Anzeigen nur die aktuelle Suchanfrage ein und nicht, was ein Nutzer davor gesucht hat. Auch verzichte die Suchmaschine darauf, die IP-Adresse von Internetnutzern zu erfassen. Heise.de befasst sich am 4. September mit dem Anonymisierungsnetz Tor. Es gelte als heißer Tipp für mehr Privatheit im Internet. Es verschleiere die Adresse eines InternetSurfers vor den von ihm genutzten Diensten. Für einen Server-Betreiber sehe es so aus, als kämen die Zugriffe von einem Rechner des Tor-Netzes. Bei NSA und GCHQ müsse man jedoch davon ausgehen, dass sie mittlerweile einen beträchtlichen Teil des InternetVerkehrs in das Tor-Netz hinein und aus Tor hinaus beobachten. Das ermögliche eine Desanonymisierung durch gezielte Suche nach Traffic-Mustern. Wissenschaftler hätten ein Modell für realistische Angriffe entwickelt, das frustrierende Ergebnisse liefere. Rund 80 % aller Tor-Nutzer ließen sich schon nach 6 Monaten Betrieb eines mittleren Tor-Relays deanonymisieren. Wenn ein Angreifer den kompletten Verkehr eines Teilbereichs des Internet – etwa in Form eines Autonomous Systems oder eines Internet Exchange Points – kontrolliert, müssten Tor-Nutzer mit einer 95-prozentigen Gefahr rechnen, dass ihre Identität innerhalb von drei Monaten aufgedeckt wird. Die Internet Engineering Task Force (IETF) diskutierte nach einer Meldung von heise online vom 1. Dezember mit dem TorProjekt, ob man die Anonymisierungssoftware nicht zu einem Internet-Standard weiterentwickeln kann. Tor ist eine Anonymisierungstechnik, bei deren Einsatz die Kommunikationspartner die IP-Adresse ihres Gegenübers nicht erfahren. Um die beiden Endstellen einer Verbindung über das TorNetzwerk zu identifizieren, sei ein sehr viel größerer Aufwand nötig als im „normalen“ Internet. BKA-Präsident Ziercke habe unlängst Tor als größte Herausforderung für die Kriminalistik bezeichnet, deren Nutzung er am liebsten unter staatliche Aufsicht stellen würde. Microsoft bestätigt nach einer Newsmeldung vom 5. Dezember Verschlüsselungspläne wegen NSA-Zugriffen. Man wolle die diensteübergreifende Verschlüsselung bei Outlook. com, Office 365, SkyDrive und Windows Azure ausdehnen. Zum Einsatz kommen sollen dabei Perfect Forward Secrecy und 2048 Bit-Keys. IT-Sicherheit – App-Sicherheit Dipl.-Phys. Oliver Schonscheck, IT-Fachjournalist, behandelt in der Ausgabe 1-2013 der Fachzeitschrift <kes> die Sicherheitsüber- prüfung von mobilen Apps (S. 6–8). Sie sollten vor der Beschaffung oder dem Herunterladen einer genauen Prüfung unterzogen 83 84 Jahrbuch der Unternehmenssicherheit 2013 werden.Dazu würden sich insbesondere Cloud-Dienste eignen, die eine solche Vorabkontrolle unterstützen. Die App-Kontrolle sei nicht als einmalige Aufgabe zu sehen. Sie müsse mit jeder App-Aktualisierung durchgeführt werden. Die wichtigsten Kontrollen seien: - Identifizierung vertraulicher Daten - Prüfung des Passwortverfahrens -Prüfung der Übertragung vertraulicher Daten - Kontrolle der Zugangsverwaltung F-Secure habe eine Android-Spionage-App entdeckt, die zum Ausspähen von WindowsRechnern genutzt werden könne, meldet heise online am 1. Juli. Die App könne ihre Wirkung entfalten, wenn am Android-Gerät. ein Windows-Rechner angeschlossen wird. Dort verschaffe sich ein USB-Hacker Zugriff auf die Passwörter und die Systeminformationen des Rechners. Der Angriff könne aber nur funktionieren, wenn Autorun aktiviert oder die exe auf der SD-Card direkt ausgeführt wird. Bei neueren Windows-Versionen sei die Autorun-Funktion standardmäßig deaktiviert. IT-Sicherheit – Authentifikation Michael Klatte, ESET Deutschland GmbH, ist überzeugt, dass das Passwort als Zugangssoftware nicht mehr die Anforderungen moderner IT-Sicherheit erfüllt. Das BSI und Fachleute von Security-Unternehmen würden daher die sogenannte 2-FaktorAuthentifizierung für VPN-Nutzer empfehlen. Sie stütze sich auf Wissen, Besitz oder biometrische Merkmale. Man spreche von einer 2-Faktor-Authentifizierung, wenn zwei dieser drei Faktoren zur Anmeldung verwendet werden (<kes>-Verlagsbeilage Mai 2013, S. 18/19). Günther Wohlfahrt, IPG AG, befasst sich in der Fachzeitschrift <kes> (Ausgabe 4-2013) mit „Single Sign-On“, das einmalige Anmelden an einem zentralen Authentifizierungs-Server.Es vereinfache den Benutzern die tägliche Arbeit. Dennoch berge diese Vereinfachung und Zentralisierung Risiken zu Lasten der Informationssicherheit. Für die Mindestabsicherung von Passwörtern lege das BSI folgende Randbedingungen fest: keine Trivialpasswörter verwenden; Passwortwechsel durch Benutzer muss möglich sein; Vergabe von Einmalpasswörtern; Zugangssperre nach dreimaliger Falscheingabe; keine unverschlüsselte Übertragung von Passwörtern; keine visuelle Darstellung des Passwortes am Bildschirm während der Eingabe; zugriffssichere Speicherung der Passwörter; Passwortwechsel durch das IT-System; Wiederholung alter Passwörter muss durch das I-System verhindert werden. Durch den Aufbau und die Zertifizierung eines ISMS auf der Basis des BSI-IT-Grundschutzes könne die IT nachhaltige Regelkonformität erzielen, auch wenn ein Single Sign OnVerfahren genutzt wird (S. 80-82). Das sichere Passwort thematisiert die WirtschaftsWoche am 11. November und bezeichnet als die wichtigsten Regeln: Ein Passwort pro Konto/Passwörter nicht weitergeben oder aufschreiben/Einloggen in Internetcafés und anderen fremden PCs vermeiden/Passwörter nicht vom Browser speichern lassen/generelle Vorsicht beim Surfen. Mitarbeiter sollten klare Richtlinien für die Passwortwahl erhalten. Eine monatliche Passwortänderung sei so in den meisten Fällen überflüssig. Jahrbuch der Unternehmenssicherheit 2013 IT-Sicherheit – Awareness Dietmar Pokoyski, Kölner Kommunikationsagentur known_sense, zeigt in der Ausgabe 3-2013 der Fachzeitschrift <kes>, wie man Security-Trainings gestalten sollte, die bleibende Awareness schaffen und gleichzeitig auch noch Spaß bereiten. Das Unternehmen T-Systems habe das Awareness-Training „Security Parcours“ entwickelt. Der sei mit Springreiten, einem Golfplatz oder einer Geisterbahn vergleichbar: Je nach Umfang gebe es vier bis sechs Stationen, das heißt Stände oder einfach nur Tische, die nach einer bestimmten Dramaturgie an einem oder an zwei Veranstaltungstagen synchron Teams mit circa fünf bis zehn Mitarbeitern empfangen. Die jeweiligen Stations-Moderatoren trainieren diese Kleingruppen in zehnminütigen Mitmach-Settings für ein Sicherheitsthema. Aktuell stünden zur Auswahl „Informations-Klassifizierung“, „Clear Desk“, „Besucher & Ausweise“, „Password Hacking“, „Informationsschutz(allgemein)“ sowie „Social Engineering“ und „Social Media“ (S. 31–34). IT-Sicherheit – Big Data Big Data steht unter Beschuss, titelt die FAZ am 6. Februar. Vor sechs Jahren sei das estnische Informationsnetzwerk vorübergehend ausgeschaltet worden. Dem japanischen Konzern Sony seien vor zwei Jahren hundert Millionen Kundendaten gestohlen worden. Das habe die Japaner 150 Millionen Euro gekostet, der Imageverlust halte bis heute an. Der Schaden, den solche Angriffe jedes Jahr in aller Welt verursachen, belaufe sich laut dem Norton Cybercrime Report des Sicherheitsunternehmens Symantec auf fast 400 Milliarden Dollar. „Gerade für den unternehmerischen Mittelstand sind Bedrohungen durch Schadprogramme aus dem Internet ein Problem“ sage Kurt Brand vom Eco, dem Verband der deutschen Internetwirtschaft. Um seine IT-Kunden vor Gefahren aus dem Netz zu schützen, betreibe IBM zehn Sicherheitszentren in der Welt. Eines stehe in Kassel. Dort würden täglich mehr als 15 Milliarden Vorgänge für gut 3.700 Kunden in mehr als 130 Ländern überwacht. So könnten Angriffe quasi schon im Moment der Attacke erfasst, in Sekundenschnelle ana- lysiert und eventuelle Abwehrmaßnahmen eingeleitet werden. IBM nenne das proaktives Sicherheitsmanagement in Echtzeit. Die FAZ befasst sich am 31. Oktober in einem Verlagsspecial „Big Data“ mit Herausforderungen für Unternehmen in Bezug auf Sicherheit und.Datenschutz. Der Datenberg im Internet sei gigantisch: 2,8 Zettabyte Datenvolumen sollen bereits 2012 erzeugt worden sein. Ein Zettabyte ist eine 1 mit 21 Nullen dahinter. Bis 2020 solle dieser Betrag auf 40 Zettabyte anwachsen. Gleichzeitig steige die Zahl von Hackerangriffen. 2012 seien sie für 40 % aller offengelegten Daten verantwortlich gewesen. Um die Informationen vor unerlaubtem Zugriff durch Hacker zu schützen, müssten die Daten bei den Unternehmen vor allem verschlüsselt und so anonymisiert werden, dass sie im Fall eines Diebstahls nicht mehr verständlich sind. Zur Anonymisierung könne man einen Datensatz etwa in drei Teile aufteilen, an verschiedenen Orten speichern und getrennt verarbeiten. IT-Sicherheit – BSI Dr. Michaela Harlander, Genua mbh, geht in der Ausgabe 1-2013 der Fachzeitschrift W&S auf Zertifizierungen für IT-Sicherheitslösungen ein (S. 22/23). Prüfverfahren 85 86 Jahrbuch der Unternehmenssicherheit 2013 biete das BSI an. Für vergleichbare Ergebnisse sorgten international anerkannte Prüfkriterien, die Common Criteria (CC). Ihre Evaluationsstufen von EAL 1 bis EAL 7 bildeten die Prüftiefe bezüglich der behaupteten Sicherheitsleistung ab. EAL 1 diene als Einstieg in die Zertifizierung, EAL 4 verlange vom Hersteller bereits die Vorlage einer detaillierten Design-Dokumentation, des Quellcodes sowie ausführliche Tests. Ab EAL 5 seien die Anforderungen an die Dokumentation so hoch, dass diese Level auf komplexe Systeme wie Firewalls nicht mehr komplett anwendbar seien – der Aufwand würde den Nutzen bei weitem übersteigen. Die Autorin erläutert den Zertifizierungsprozess am Beispiel der Firewall Genugate. Kurt Klinner, BSI, weist in der Fachzeitschrift <kes> (Ausgabe 2-2013) darauf hin, dass das BSI im Rahmen der CeBIT 2013 die Version 1.6 des Hochverfügbarkeits-(HV)-Kompendiums veröffentlicht hat. Dazu habe das BSI vorliegende Standards der IT-Governance (ISO 38500) und des IT-Betriebes (ISO 20000) mit den bekannten Standards der IT-Sicherheit (ISO 27000) zu einem einheitlichen Vorgehen konsolidiert. Mit dem Kompendium werde das Ziel verfolgt, den verantwortlichen Managementebenen Hilfestellung zur Wahrnehmung ihrer Verantwortung im Rahmen der IT-Governance anzubieten. Zentrale Zielsetzung des HV-Kompendiums sei die Optimierung des Verfügbarkeitspotenzials durch die Gestaltung hochverfügbarer Architekturen und damit die Förderung von Verlässlichkeit und Nachhaltigkeit von IT-Services (S. 52–55). Die von der ASW herausgegebenen Informationen zum Wirtschaftsschutz weisen am 13. Mai darauf hin, dass das BSI eine Technische Richtlinie zum ersetzenden Scannen von Dokumenten (TR-ResiscanTR 03138) veröffentlicht. Sie beschreibe die technischen und organisatorischen Anforderungen für Scanprozesse und –produkte, die erfüllt sein müssen, damit Papierdokumente rechtssicher und gerichtsverwertbar digitalisiert werden können. <kes> berichtet in der Ausgabe 4-2013, dass das BSI eine Studie zur Sicherheit von Content-Management-Systemen (CMS) veröffentlicht hat. Diese beleuchte relevante Bedrohungslagen und Schwachstellen der weit verbreiteten Open Source-CMS Drupal, Joomla!, Plone, TYPO3 und WordPress. Die Ergebnisse sollen IT-Verantwortliche bei der verlässlichen sicherheitstechnischen Beurteilung von CMS im Rahmen der Planung und Beschaffung unterstützen. Dazu spreche die Studie Handlungsempfehlungen zur Absicherung der betrachteten Software aus, bezogen auf vier typische Anwendungsszenarien, nämlich „Private Event Sitze“, „Bürgerbüro einer kleinen Gemeinde“, „Open Government Site einer Kleinstadt“ und „Mittelständisches Unternehmen mit mehreren Standorten“. Die Studie steht auf der Webseite des BSI kostenfrei zum Download zur Verfügung (S. 69). Nach der ASW-Mitteilung 046/13 hat das BSI ein Überblickspapier zum Thema „Apple iOS“ (ein Betriebssystem für verschiedene Produkte) erstellt. Es konzentriere sich auf spezifische Angriffsvektoren und entsprechende Schutzempfehlungen für iOSbasierte Geräte. Betrachtet würden u.a. die Sicherheitsstrategie des Herstellers Apple sowie Sicherheitsaspekte in den Bereichen Betriebssystem, Sprachsteuerung, Mobile Device Management, Nutzung von Apps oder Nutzung der iCloud. Die Empfehlungen sollten den Blick der Anwender für potenzielle Gefahrenpunkte schärfen und helfen, diese Gefahren einzudämmen. Allgemeine Gefährdungen, die auf jedes Smartphone oder Tablet wirken, würden dabei nicht betrachtet. Der Behördenspiegel berichtet in seiner Septemberausgabe über einen neuen BSILeitfaden, der helfe, Software-Mängel zu verhindern. Um Qualitätsmängel von Programmen und Webanwendungen a priori im Keim zu ersticken, gelte es gefährlichen Sicherheitslücken bereits bei der Entwicklung vorzubeugen. Der Leitfaden definiere angemessene Sicherheitsanforderungen entsprechend des Schutzbedarfs der zu entwickeln- Jahrbuch der Unternehmenssicherheit 2013 den Anwendung, den sogenannten Secure Software Development Lifecycle (SSDL). Um die Sicherheit bei der Entwicklung von Software und Webanwendungen zu erhöhen, sei auch die ÖNORM A 7700 von zentraler Bedeutung: Mit der. A 7700 „Sicherheitstechnische Anforderungen an Webapplikationen“ sei ein etablierter Standard verfügbar, der ein eindeutiges Sicherheitsniveau für Webanwendungen definiere. In derselben Ausgabe empfiehlt der Behördenspiegel, Webanwendungssicherheit durch Penetrationstests zu verbessern. Das gemeinnützige Open Web Application Security Project (OWASP) veröffentliche seit 2004 im Abstand von drei Jahren die zehn häufigsten Risiken in Webanwendungen. Unangefochtener „Spitzenreiter“ sei auch 2013 die Klasse der sogenannten „Injection-Schwachstellen“. Prominentester Vertreter sei hierbei die SQL-Injection, welche es einem Angreifer ermögliche, durch die Übergabe von spezifischen Zeichen in einem Parameter der Webanwendung mit der Datenbank zu „sprechen“. So könne der Angreifer gegebenenfalls sämtliche Daten der Datenbank auslesen und in einigen Fällen sogar verändern. Es gebe mehrere Ebenen, auf denen man diese Risiken minimieren sollte. Zum einen empfehle es sich, Mindeststandards für Sicherheitsaspekte sowohl bei extern vergebenen als auch internen Entwick- lungen zu definieren. Eine gute Quelle biete hierzu der neue Baustein „Webanwendungen“ des BSI. Der anlassbezogene Blick in die Kataloge lohne sich auch ohne Anwendung des BSI-Grundschutzes selbst als Basis eines ISMS. Zum andern sollte auch die regelmäßige Prüfung von Webanwendungen in Form von Penetrationstests in Erwägung gezogen werden. Heise online listet am 27. September 10 Regeln für mehr Sicherheit im Netz auf, die das BSI als Sicherheitskompass in Zusammenarbeit mit der Polizeilichen Kriminalprävention der Länder und des Bundes aufgestellt hat: 1.Verwenden Sie sichere Passwörter! 2. Schränken Sie Rechte von PC-Mitbenutzern ein! 3. Halten Sie Ihre Software immer auf dem aktuellen Stand! 4. Verwenden Sie eine Firewall! 5. Gehen Sie mit E-Mails und deren Anhängen sowie mit Nachrichten in Sozialen Netzwerken sorgsam um! 6. Erhöhen Sie die Sicherheit ihres Internet-Browsers! 7. Vorsicht beim Download von Software aus dem Internet! 8. Sichern Sie Ihre drahtlose (Funk-)Netzwerkverbindung! 9. Seien Sie zurückhaltend mit der Angabe persönlicher Daten im Internet! 10. Schützen Sie Ihre Hardware gegen Diebstahl und unbefugten Zugriff! IT-Sicherheit – BYOD „Betriebsgeheimnis auf dem Smartphone“ titelt die FAZ am 23. März. Seit geraumer Zeit spuke ein technisches Schreckgespenst durch die IT-Abteilungen vieler Unternehmen. „Bring Your Own Device“, kurz BYOD. Oder mit anderen Worten: die dienstliche Nutzung privater Technik durch Mitarbeiter. Das gelte zwar als praktisch, preiswert und zeitgemäß. Doch es habe auch einen Haken: Die Sicherheit der firmeneigenen Datensysteme stehe auf dem Spiel. Nach einer Umfrage des IT-Branchenverbandes BITKOM verzichte fast die Hälfte aller Unternehmen auf Sicherheitsregeln für Mobilgeräte. Einer Erhebung des kalifornischen Netzwerkspezialisten Cisco zufolge hat heute jeder Beschäftigte in Deutschland im Durchschnitt 1,8 Computergeräte im Einsatz. In zwei Jahren sollen es 2,2 Geräte sein. Zwei Drittel der von Cisco befragten 5.000 IT-Manager bewerteten die BYOD-Bewegung als positiv. Der BITKOM veröffentliche demnächst einen 35 Seiten umfassenden Leitfaden zu BYOD, in dem wesentliche Fragen zu Technik, Datenschutz und Mitbestimmungsrechten der Mitarbeiter erklärt würden. IBM habe eine solche hausinterne Gebrauchsanleitung schon vor Jahren erstellt. SAP auch. Der BITKOM rate zu ein- 87 88 Jahrbuch der Unternehmenssicherheit 2013 deutigen Haftungs-, Reparatur-, Betriebs- und Wartungsregelungen. Auch seien die Kontroll- und Zugriffsrechte des Unternehmens auf das Gerät genau zu definieren. Das alles setze nach deutschem Datenschutzrecht voraus, dass die Mitarbeiter in den Arbeitgeberzugriff auf ihr Endgerät einwilligen – und zwar freiwillig. Elmar Török, bits + bites, verweist in der Ausgabe 3-2013 der Fachzeitschrift <kes> auf ein neues Übersichtspapier des BSI zum Thema „Consumerisation und BYOD“. Seit immer mehr Mitarbeiter private Smartphones und Tablets auch in der Firma nutzen, beunruhige die Vermischung beruflicher und privater Inhalte die IT-Abteilungen. Das BSI-Papier enthalte eine Reihe von konkreten Hinweisen, Best Practices und Handlungsempfehlungen, wie Firmen mit BYOD umgehen könnten. Nach einer kurzen Zusammenfassung der Vorteile werden die potenziellen Gefährdungen für die IT-Sicherheit gelistet (S. 81). Bereits 29 % aller deutschen Unternehmen mit mehr als 1.000 Mitarbeitern hätten geschäftskritische Daten verloren, nachdem sie Mitarbeitern den Einsatz privater Geräte im Firmennetz gestattet haben, berichtet heise online am 29. Oktober. Das gehe aus einer von Samsung beauftragten Studie hervor. Trotz Kenntnis der Gefahren hätten demnach nur 39 % der befragten Unternehmen aktuelle Richtlinien für den sicheren Einsatz der mitgebrachten Geräte. Werde die Nutzung privater Geräte in ein Sicherheitskonzept integriert, könne sie jedoch deutliche Vorteile bringen wie etwa um 17 % niedrigere Telefonkosten. Das entspreche einer Einsparung von fast 7 Millionen Euro jährlich pro untersuchtes Unternehmen. Für die Studie seien 2013 490 IT-Leiter und Entscheidungsträger von Firmen mit mehr als 1.000 Mitarbeitern in insgesamt acht europäischen Ländern befragt worden. 93 % der Befragten hätten angegeben, dass sie Bedenken aufgrund der beruflichen Nutzung von privaten Geräten haben. Der Studie zufolge haben mehr als die Hälfte der europäischen Unternehmen bereits formelle (31 %) oder informelle (21 %) BYOD-freundliche Richtlinien eingeführt. Dabei seien die deutschen Unternehmen mit 43 % das Schlusslicht und die italienischen mit 79 % an der Spitze. IT-Sicherheit – Datenbank In der Fachzeitschrift IT-Security (Ausgabe 2-2013) befasst sich Jochen Koehler, Cyber-Ark, mit der Datenbanksicherheit (S. 23–25). Etliche Unternehmen versuchten, sie mit der Implementierung von Lösungen. in den Bereichen Data Loss Prevention (DLP) oder Database Activity Monitoring (DAM) zu erreichen. Diese Ansätze seien zwar richtig, aber keineswegs ausreichend. Die Implementierung zuverlässiger Lösungen für die automatische Verwaltung von privilegierten Benutzerkonten sollte für jedes Unternehmen selbstverständlich sein, zumal das Gefahrenpotenzial kontinuierlich steige. IT-Sicherheit – Einzelhandel Mit sicheren Netzwerk-Infrastrukturen für den Einzelhandel befasst sich Stefan Herrlich, Lancom Systems, in der Ausgabe 3-2013 des Fachmagazins POSMANAGER Technology (S. 46/47). Die Gefahren der Cyberkriminalität machten mittlerweile auch vielen Handelsunternehmen zu schaffen (Wirtschaftsspionage durch Datendiebe, „Man in the middle“-Angriffe, gezielte Sabotage durch Denial of Service-Attacken). Ein ganzheitliches Sicherheitskonzept für Einzelhandelsketten beginne mit der Filialanbindung. Als Schnittstellen zwischen den lokalen Netzen auf der einen und dem Internet auf Jahrbuch der Unternehmenssicherheit 2013 der anderen Seite komme ausfallsicheren Gateways im Rechenzentrum des Unternehmens, die über abgeschirmte VPN-Tunnel mit den Netzwerk-Routern an den einzelnen Standorten verbunden sind, eine zentrale Bedeutung bei der Abwehr von Web-Angriffen zu. Auch professionelle Netzwerk-Router könnten eine entscheidende Sicherheitslücke durch sogenannte Backdoors aufweisen, die Hackern einen leicht zu öffnenden Zugang zu Unternehmensnetzen und dem darin verborgenen Wissen bieten. Auch innerhalb des POS stiegen mittlerweile die Anforderungen an die Sicherheit. Viele Filialen benötigten heute Multiservice-Netzwerke, bei denen verschiedene Anwendungen oder Nutzer strikt voreinander getrennt sind. Die VLAN-fähigen Netzwerkkomponenten ermöglichten es, auf Basis eines physikalischen Netzes verschiedene, unabhängig voneinander existierende, Subnetze einzurichten, auf die jeweils nur die befugten zugreifen können. Wichtig sei die Einrichtung geschützter Gastzugänge im WLAN und die Integration mobiler Kassensysteme über durchgängig PCI-kompatible Infrastrukturen. IT-Sicherheit – Elektronische Signatur Online-Kriminelle haben oft Erfolg damit, Schwachstellen auszunutzen, die zwar längst behoben wurden, die entsprechenden Aktualisierungen wurden jedoch nicht installiert, stellt die FAZ am 6. September fest.Um dieses Problem endlich besser in den Griff zu bekommen, betreibe die ITIndustrie seit über zehn Jahren eine Initiative, die unter vertrauensheischenden Namen wie „Trusted Computing Group“ oder “Secure Boot“ daherkomme. In das Herz des digitalen Geräts solle ein spezieller Chip eingebaut werden, der prüft, ob Betriebssystem und Software, die ausgeführt werden sollen, über die richtigen elektronischen Unterschriften verfügen. Schadsoftware, so die Theorie, hätte es damit viel schwerer, sich auf dem Computer oder Telefon einzunisten. Den ersten Varianten dieses Konzepts sei der durchschlagende Erfolg versagt geblieben. Berechtigtes Mißtrauen der Käufer spiele eine Rolle beim Scheitern. Schließlich sei der Chip hervorragend geeignet, dafür zu sorgen, dass nur bezahlte Betriebssysteme und Software funktionieren, aber geborgte Kopien nicht liefen. Das Produkt verspreche totale Kontrolle über den als unzuverlässig angesehenen Nutzer – im Namen der Sicherheit. Microsoft möchte für die neue Generation seines Betriebssystems vorschreiben, dass es überhaupt nur noch funktioniert, wenn der PC oder das Tablet über einen entsprechenden „Trust“-Chip verfügt. Bei der Installation werde dann ein kryptographischer Verbund zwischen Chip und Betriebssystem geschmiedet, der dazu führe, dass sich nur noch genau dieses System auf dem Computer starten lasse. Gehe der Chip allerdings kaputt oder möchte der Nutzer seine Festplatte in einen neuen Computer stecken, habe er Pech gehabt. Heise online meldet am 15. Oktober, der Industrieausschuss des EU-Parlaments habe den Weg frei gemacht für einen Verordnungsentwurf der EU-Kommission, mit dem die Nutzung elektronischer Signaturen und vergleichbarer Identifikationssysteme vereinfacht und harmonisiert werden solle. Die Abgeordneten möchten damit Unternehmen, Behörden und Bürgern die Möglichkeit geben, Dokumente elektronisch zu unterzeichnen und zu zertifizieren. Die Mitgliedstaaten sollten verpflichtet werden, eID-Systeme anderer EU-Länder offiziell anzuerkennen. Das neue deutsche E-Government-Gesetz lasse neben der qualifizierten elektronischen Signatur alternative Technologien für den elektronischen Ersatz der Schriftform zu und wolle so weitere Einsatzmöglichkeiten für die eID-Funktion des neuen Personalausweises und De-Mail schaffen. 89 90 Jahrbuch der Unternehmenssicherheit 2013 IT-Sicherheit – Elster Nach einer Meldung von heise security vom 7. März soll bei der elektronischen Steuererklärung („Elster“) in Zukunft nicht mehr das sicherheitsanfällige Java zum Einsatz kommen. Die Steuerverwaltung suche nach Lösungen, die auch ohne Java genutzt werden können. Die in jüngster Zeit gehäuft auftretenden Sicherheitsprobleme habe man im Jahr 2005 bei der Plattformentscheidung nicht vorhersehen können, habe ein Sprecher erklärt. „Die aktuelle Diskussion über Java hat die Steuerverwaltung jedoch veranlasst, nach Lösungen zu suchen, welche die Nutzung des ElsterOnline-Portals kurzfristig auch ohne Java zulassen, ohne auf die Nutzung von sicherer Zertifikatstechnologie verzichten zu müssen.“ IT-Sicherheit – E-Mail-Sicherheit Eine sichere und rechtsverbindliche E-mail muss vier Kriterien erfüllen (Süddeutsche Zeitung am 28. Februar): die lückenlos sichere Übertragung, die Sicherheit des Inhalts, die eindeutige Identifizierung von Absender und Empfänger sowie eine rechtsverbindliche Unterschrift. Diese Anforderungen erfülle die De-Mail, für die das Bundesinnenministerium zusammen mit dem BSI die technischen Standards und gesetzlichen Rahmenbedingungen geschaffen habe. In Kürze werde auch die Deutsche Post mit einem eigenen Angebot dabei sein. In der Branche viel beachtet werde auch das Start-up Tutao, dessen.Webapplikation.eine automatische und durchgehende Ende zu Ende-Verschlüsselung biete. Einen interessanten Ansatz habe auch die Hamburger Firma Ojooo mit dem Service „Splitting Mail“ entwickelt. Die S-Mail werde nach dem Verfassen zerteilt. Die Macher der alternativen Suchmaschinen Ixquick und Spartpage wollen E-MailDienste mit Verschlüsselung anbieten, meldet.ZEIT ONLINE am 2. Juli. Die großflächige Überwachung des Internets durch Geheimdienste habe viele Netznutzer aufgeschreckt. Diskrete Suchmaschinen wie DuckDuckGo oder Ixquick verzeichneten stark gestiegene Zugriffszahlen. Die IxquickMacher wollten dieses Modell bald auch auf den E-Mail-Verkehr ausdehnen. Startmail heiße das Angebot, das derzeit in den USA in der Beta-Testphase sei.Startmail biete die Infrastruktur für ungestörten E-Mail-Verkehr – sonst nichts. Es solle keine Auswertung der Nachrichten geben, keine Werbevermarktung, keine Datenerhebung, keine Nutzerprofile. Bei Startpage würden nicht nur die Postfächer verschlüsselt: Es solle auch die Möglichkeit geben, E-Mails mit der Technologie PGP verschlüsselt zu übermitteln. Wie die FAZ am 31. August meldet, hat der BGH in einer kürzlich bekannt gewordenen Entscheidung beschlossen, dass Unternehmen das Recht haben, auf verschlüsselten E-Mails zu bestehen (Az: KVZ 57/12). Unternehmen sind danach nicht verpflichtet, interne Daten über eine ungesicherte E-MailVerbindung an eine Behörde zu schicken. Auch soweit es sich nicht um Betriebs- oder Geschäftsgeheimnisse handelt, sei es einem Unternehmen nicht zumutbar, unverschlüsselt E-Mails als Übertragungsweg nutzen zu müssen. Umgekehrt hatte das Verwaltungsgericht Berlin zu entscheiden, ob Unternehmen sämtliche E-Mails oder die Übermittlung besonders sensitiver Daten grundsätzlich verschlüsseln müssen, wie dies von Datenschützern teilweise gefordert wird. Das Verwaltungsgericht hat dies abgelehnt. Ein Grund hier sei allerdings gewesen, dass.die Betroffenen über die unverschlüsselte Übermittlung ihrer Daten informiert waren und darin eingewilligt haben. Jahrbuch der Unternehmenssicherheit 2013 Wie die FAZ am 11. November berichtet, hat das niederländische Unternehmen Startpage kurz nach den ersten Enthüllungen Snowdens angekündigt, auch einen sichereren E-Mail-Dienst anbieten zu wollen. Derzeit gingen die Vorbereitungen in die entscheidende Phase. Nach und nach sollten 50.000 angemeldet Erstnutzer für den Dienst freigeschaltet werden. Der.Dienst.solle voraussichtlich rund vier Euro pro Monat.kosten. Die elektronische Kommunikation zwischen Bürgern und Ämtern habe dem „De-MailStandard“ zu folgen, so verlangt es das Anfang August in Kraft getretene E-Government-Gesetz (FAZ am 12. Dezember). Doch den hätten nur die Deutsche Telekom, der Internetanbieter 1&1 und Francotyp Postalia im Angebot. Die Deutsche Post habe sich im Frühjahr aus dem Zulassungsverfahren verabschiedet, weil sie die Vorschriften für die Identifizierung der Kunden nicht hinnehmen wollte. Nun versuche das Unternehmen aber einen neuen Anlauf. Neue Zahlen von 1&1 deuteten darauf hin, dass sich zumindest die Unternehmen verstärkt mit der rechtsverbindlichen digitalen Kommunikation befassen. Etwa zwei Drittel planen demnach bereits mit De-Mail. Auch bei der Telekom klopften immer mehr Großkunden an, gerade aus der öffentlichen Verwaltung. Inzwischen stehe man mit mehr als 300 Städten und kommunalen Unternehmen in konkreten Gesprächen. Die Post versuche, ihren E-Postbrief mit Zusatzanwendungen wie Zahlungsfunktionen und dem Postscan, einem elektronischen Nachsendeservice für Briefe, attraktiver zu machen. IT-Sicherheit – Embedded Systems In der Ausgabe 5-2013 der Zeitschrift <kes> (S. 59/60) befasst sich Jens Mehrfeld, BSI, mit „eingebetteten Systemen“, die in unterschiedlichen Geräten, Maschinen und Anlagen zum Einsatz kommen, häufig an ein Netz angeschlossen sind und Zugang zum Internet besitzen. Ein großes Problem bilde neben den technischen Angriffspunkten das fehlende Sicherheitsbewusstsein. Was sei zu tun? Die Sicherheitshinweise des Herstellers müssten beachtet werden. Die Standardkonfiguration der Geräte sei anzupassen. Die Verbindung mit dem Internet sollte möglichst nur anlassbezogen und für kurze Zeit hergestellt werden. Für den Fall der Internetverbindung sollten die Sicherheitsmechanismen des Routers genutzt werden. IT-Sicherheit – Endgeräte SecuPedia zeigt in seinem Newsletter 9/13, wie ein Secure Web Gateway PCs und mobile Geräte vor Angriffen aus dem Netz schützt. Die Angriffsfläche für Cyberattacken sei größer geworden. Immer mehr Unternehmen setzten webbasierte Anwendungen wie Google Mail ein, kommunizierten in sozialen Netzwerken und über Microblogging oder streamen multimediale Inhalte und bewegten sich in der „Cloud“. Webbasierte Gateways, die sogenannten Secure Web Gateways (SWGs), funktionierten wie ein Torwächter, der sich auf die Malware- Abwehr an der Grenze zum Internet konzentriert und beispielsweise die Social MediaRichtlinien des Unternehmens überwacht. Das SWG enthalte folgende Technologien: URL-Filter (Uniform Resource Locator), Technologien, um Schadsoftware aufzuspüren und zu filtern und systematische Kontrolle auf der Anwendungsebene für alle gängigen Web 2.0-Applikationen. SWGs seien spezialisierter und dadurch effizienter als URL oder anwendungsbezogene Filter. Der Sicherheitsanbieter gateprotect habe eine eigenständige Plattform entwickelt, 91 92 Jahrbuch der Unternehmenssicherheit 2013 die ein neuartiges.WebGUI (graphical user interface) mit den Funktionen eines SWG auf einer leistungsstarken Hardware kombiniere. Die technische Struktur der SWG-Plattform entlaste zum einen die Firewall, zum anderen könne eine spezialisierte Plattform viel schneller auf Bedrohungen reagieren. Bei dem von gateprotect entwickelten WebGUI könnten mehrere Administratoren gleichzeitig Einstellungen und Regeln verändern. Das spare Zeit. Eine „Konflikterkennung“ erfasse konkurrierende Änderungen verschiedener Administratoren. Grundsätzlich unterstütze die Plattform sowohl IPv4 als auch IPv6. IT-Sicherheit – EU Die EU-Kommission intensiviere den Kampf gegen Angriffe von Hackern auf öffentliche Einrichtungen und Unternehmen, berichtet die FAZ am 4. Februar. Die Opfer solcher Attacken sollen dazu verpflichtet werden, diese zu melden. Gelten würde die Meldepflicht für die Finanzbranche, aber auch für die Energie-, Gesundheits- und Verkehrsunternehmen sowie Internetanbieter. Die Unternehmen sollten größere Vorfälle den nationalen Behörden melden. Dabei gehe es nicht nur um Vorfälle, die den Verlust persönlicher Daten betreffen, sondern um jedwede ernsthafte Schäden für die Sicherheit des Datennetzes – also letztlich auch durch Naturkatastrophen verursachte Schäden. Im Mittelpunkt ständen allerdings eher Betrugsversuche und die gezielte Überlastung der Server durch Angriffe von Hackern. Die EU-Staaten würden aufgefordert, nationale Strategiepläne für den Kampf gegen die Kriminalität im Internet vorzulegen. Jede Regierung solle eine zentrale Einrichtung für die Cyber-Abwehr aufbauen sowie Notfall- und Abwehrpläne erstellen. Die bestehende Selbstregulierung der Wirtschaft reiche nicht mehr aus. Tatsächlich meldeten viele Unternehmen Angriffe von Hackern nicht, weil sie den damit verbundenen Imageschaden vermeiden wollten. Die Deutsche Telekom registriere nach Angaben von René Obermann täglich bis zu 400.000 Angriffe im eigenen Netz. Wie heise online am 9. Januar berichtet, nahm das Europäische Zentrum zur Bekämpfung der Cyberkriminalität am 10. Januar seine Arbeit auf. Das bei Europol in Den Haag angesiedelte Zentrum solle die EU-Staaten „operationell unterstützen und Fachwissen in die gemeinsamen Untersuchungen auf EU-Ebene einbringen“. Dabei sollten sich die Ermittler auf organisierte Kriminalität im Cyberspace konzentrieren. Schwerpunkte sollten sexuelle Ausbeutung von Kindern im Internet sowie Finanzdelikte sein. Zudem sollten sich die EU-Cybercops mit Attacken auf kritische Infrastrukturen und Informationssysteme befassen. Heise online berichtet am 7. Februar, die EU-Kommission habe ihren neuen „Cybersicherheitsplan“ sowie einen Richtlinienvorschlag für Netz- und Informationssicherheit vorgestellt, mit dem eine Meldepflicht für Cyberangriffe eingeführt werden solle. Jeder Mitgliedstaat solle eine für die Informationssicherheit zuständige Behörde einrichten. Betreiber kritischer Infrastrukturen in bestimmten Bereichen (Finanzdienste, Verkehr, Energie und Gesundheitswesen) sowie Anbieter wichtiger Dienste (etwa App-Stores, eCommerce, Zahlungssysteme, Cloud-Computing, Suchmaschinen und soziale Netze) und öffentliche Verwaltungen müssten „große Sicherheitsvorfälle“ melden. ENISA hat Anfang Januar eine umfangreiche Analyse über Gefahren im Internet veröffentlicht. Als die zehn größten Bedrohungen werden benannt: Drive by-Exploits, Würmer/Trojaner, Code Injection-Angriffe, Exploit-Kits, Botnets, distributed Denial of Service-Attacken, Phishing, Datenpannen, Rogue-Software/Scareware und Spam. ENISA erörtert die erwartete Entwicklung dieser Gefahren und liefert Schlussfolgerungen, wie Jahrbuch der Unternehmenssicherheit 2013 die Industrie und andere relevante Akteure Bedrohungen aus dem Internet effektiver bekämpfen könnten ( Ausgabe 2-2013 der Fachzeitschrift <kes>, S. 82). Der EU-Rat hat den umstrittenen Richtlinienentwurf über Angriffe auf Informationssysteme abgesegnet, meldet heise Security am 24. Juli. Er sehe unter anderem bei illegalem Zugriff auf vernetzte Geräte, rechtswidrige Beeinträchtigung von Systemen sowie unerlaubtem Abhörten nicht-öffentlicher Datenübertragungen Höchststrafen von mindestens zwei und in schweren Fällen von mindestens fünf Jahren Haft vor. Kriminalisiert werde auch, wer Werkzeuge verkauft, sich beschafft oder verbreitet, mit denen Cyber-Angriffe ausgeführt oder automatisch Passwörter herausgefunden werden können. Eine Strafe von mindestens drei Jahren Haft sei vorgesehen, wenn Botnetze verwendet werden. Angriffe auf „kritische Infrastrukturen“ wie Kraftwerke, Verkehrsnetze und Regierungsnetzwerke könnten zu fünf Jahren Gefängnis führen. Die European Network and Information Security Agency (ENISA) hat ihren Jahresbericht über IT- und Netzausfälle für 2012 vorgelegt, meldet <kes> in der Ausgabe 3-2013 (S. 99). In 18 EU-Ländern sei es zu 79 signifikanten Vorfällen der vier Dienstekategorien Festnetz- und Mobilfunk, Internet und mobiles Internet gekommen. Die häufigsten Ursachen für die Ausfälle seien Hard- und Software-Fehler gewesen. Cyberattacken seien nur sechsmal ursächlich gewesen, und nach durchschnittlich drei Stunden seien die Dienste wieder gelaufen. Naturereignisse seien ebenfalls nur selten ursächlich gewesen. Allerdings habe die Beseitigung solcher Ausfälle besonders lange gedauert. Konservative und Sozialdemokraten wollen für eine europäische Cyber-Sicherheitsstrategie eintreten und „Maßnahmen zur Rückgewinnung der technologischen Souveränität ergreifen“, berichtet heise online am 14. November. IT-Sicherheit – Firewall Dr. Markus Müller, secunet Security Networks AG, befasst sich in der Ausgabe 6-2013 der Zeitschrift <kes> mit Web Application-Firewalls, die dediziert auf den Schutz von Webapplikationen und -services ausgelegt seien und diverse Mechanismen zum Schutz gegen die Bedrohungen gemäß OWASP (Open Web Application Security Project) mitbrächten. Denn mit klassischen Schutzkomponenten wie Netzwerk-Firewalls seien Angriffe auf Webapplikationen nicht zu verhindern. Der Autor beschreibt notwendige Schutzmaßnahmen: Maßnahmen zur Härtung der Plattform gegen Web-Angriffe, Maßnahmen zur Härtung von Webapplikationen, Next Generation-Firewalls und Web Application-Firewalls (S. 74–87). IT-Sicherheit – Hackingabwehr Google zahlt Hackern 150.000 Dollar pro Angriff auf den Browser Chrome, berichtet DIE WELT Kompakt am 30. Januar. Google wolle Hacker für einen guten Zweck zum Einbruch in das eigene Betriebssystem anstacheln. Dafür lobe es bis zu 3,14 Millionen Dollar Preisgeld aus. So wolle der Konzern möglichen Sicherheitslücken in dem Google-Betriebssystem Chrome auf die Spur kommen. Das Ausloben von Preisgeldern für Hacker sei eine beliebte Praxis der InternetKonzerne, um Sicherheitslücken in den eigenen Systemen aufzudecken. 93 94 Jahrbuch der Unternehmenssicherheit 2013 Bundesinnenminister Hans-Peter Friedrich habe vor der Münchner Sicherheitskonferenz dafür geworben, den Kampf gegen Hackerangriffe auf Regierungsstellen und Unternehmen auszuweiten, meldet heise security am 31. Januar. Man müsse sehen, dass unser ganzes Leben, ob Wirtschaft oder Daseinsvorsorge, von Netzen gesteuert sei. Und das erhöhe natürlich auch die Anfälligkeit gegenüber Angriffen auf diese Netze. Er wolle alle Betreiber zu einem „gemeinsamen Sicherheitsniveau“ überreden. Friedrich habe sich außerdem erneut für Meldepflichten bei erheblichen Angriffen auf ein System ausgesprochen. Google bietet Hilfe für Betreiber infizierter Webseiten an, meldet heise online am 14. März. Sei eine Webseite gehackt und verteile Spam oder Malware, dann wolle Google unter www.google.com/webmasters/hacked mit einfachen, möglichst allgemein verständlichen Anleitungen beim Reinigen der Webseite behilflich sein. So sollen infizierte Webseiten schnell wieder zugänglich sein und rasch von Blacklists entfernt werden. Das Angebot richte sich vor allem an Webseitenbetreiber, die mit dem Desinfizieren ihrer Webseiten überfordert sind. Dementsprechend niederschwellig seien auch die erklärenden Videos der Kampagne angelegt. Andreas Bunten, Controlware GmbH, weist in der Ausgabe 2-2013 der Zeitschrift <kes> auf den Ende 2012 veröffentlichten Bericht der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) zum Thema Honeypots hin, der ausführlich aktuelle Open Source-Projekte und ihre Praxistauglichkeit untersuche. Der Autor erläutert fünf verschiedene Einsatz-Szenarien für Honeypots im Unternehmen: Ablenkung der Angreifer in der „Demilitarisierten Zone“(DMZ), Intrusion Detection-System im internen Netzwerk, Angriffsfrüherkennung für Webanwendungen, Erkennung manipulierter Webserver-Inhalte und Honey-Daten als Alarmanlage auf dem File-Server (S. 66–69). <kes> enthält eine Marktübersicht über 19 Anbieter von Intru- sion Detection-/-Prevention-Systems, die Auskunft über 21 Lösungen zur Angriffserkennung und –abwehr geben (S. 72–77). Die Deutsche Telekom fährt eine neue Strategie gegen Cyber-Angriffe, schreibt der Behörden Spiegel in der April-Ausgabe. Mit der Auslage von insgesamt 90 „Honeypots“ weltweit wolle sie Hacker in die Falle locken, deren Vorgehensweise analysieren, sich darauf einstellen und somit einem möglichen Schaden vorbeugen. Die Auswertung dieser Angriffe stelle das Unternehmen in Form eines Online-Lagebildes über globale Sicherheitsangriffe auch Sicherheitsexperten, Herstellern von Sicherheitssoftware sowie Behörden zur Verfügung. Ausgewertet würden dabei bis zu 450.000 Angriffe pro Tag, die in Echtzeit dargestellt werden. Nach diesem Lagebild kämen die meisten Angriffe derzeit aus Russland, Taiwan und Deutschland. Besser gesagt: Sie werden von zu Botnetzen umfunktionierten Computern in diesen Ländern vorgenommen. Die Deutsche Telekom wolle die Zahl ihrer Honeypots zukünftig weiter ausbauen. So sollen diese etwa auch Smartphones simulieren, um auch die Angriffe auf diese mobilen Medien untersuchen zu können. SPIEGEL ONLINE berichtet am 6. August über einen „Honeypot“ als simuliertes Wasserwerk, das Hacker in die Falle gelockt habe. Ein Schadsoftware-Experte in den USA habe die nachgemachte Pumpstation ans Internet angeschlossen. Bekannt geworden seien solche.Steuerungsanlagen durch den Stuxnet-Wurm. Mit der 2010 entdeckten Schadsoftware waren die Scada-Systeme der iranischen Atomaufbereitungsanlage in Natanz manipuliert und so Hunderte dort zu Urananreicherung benutzten HightechZentrifugen überlastet und zerstört worden. Spätestens seitdem würden Scada-Systeme als einer der Angriffspunkte für den echten Cyberwar gelten. Binnen weniger Tage habe der Schadsoftware-Experte etliche Angriffe aus verschiedenen Ländern registriert. Um noch mehr Attacken zu provozieren, habe Jahrbuch der Unternehmenssicherheit 2013 er das System mit virtuellen Komponenten nachgebildet, die er an acht Orten quer über den Globus verteilt habe. Etwa die Hälfte sei von chinesischen Rechnern ausgegangen. „London testet Hacker-Abwehr per Cyber-Kriegsspiel“ durch den Finanzsektor, meldet SPIEGEL ONLINE am 12. November. Die streng geheime Operation trage den Titel „Erwachender Hai II“. Man wolle unter anderem ermitteln, wie Institute bei einem schweren Angriff auf die ITZ die Versorgung von Geldautomaten sicherstellten, wie man Hacker-Attacken auf die Börse begegne und wie effizient Banken im Krisenfall untereinander und mit den Behörden kommunizierten. Ein besonderer Fokus werde auf das Investmentbanking gelegt. IT-Sicherheit – IBM Das insbesondere bei großen Firmen weit verbreitete Mail- und Workgroup-System Notes/Domino von IBM habe ein riesiges Sicherheitsproblem, das jetzt mit einem Update beseitigt werden soll, meldet heise online am 2. Mai. Schon beim Öffnen einer E-Mail könne ein Notes-Nutzer seinen PC mit Spionage-Software infizieren. In Web- Seiten eingebettenes Java sei seit geraumer Zeit als potentielles Sicherheitsproblem in Verruf geraten. Auch das ungefragte Ausführen von JavaScript-Code beim Leser einer Mail könne unerwünschte Nebenwirkungen zeigen. Deshalb schalteten eigentlich alle Mail-Programme bei der Anzeige von HTMLMails sowohl JavaScripts als auch Java ab. IT-Sicherheit – Identity- and Access-Management (IAM) Roman Schätzle, IPG AG, befasst sich in der Fachzeitschrift <kes> (Ausgabe 1-2013) mit der wirksamen Kontrolle von Mitarbeiterberechtigungen und stellt Bausteine für eine Access-Controlprüfung vor. Zunächst müssten Prüfungs- und Kontrollziele eindeutig bestimmt werden. Die zur Erfüllung der Ziele nötigen und aufbereiteten Daten sollten in eine speziell für die Analyse von Zugriffsrechten entwickelte Software importiert werden. Erkannte Risiken und empfohlene Maßnahmen seien zu beschreiben. Die Qualität einer Access-Controlprüfung werde gesteigert, wenn man den Mitarbeiter, der die Zugriffe auf Daten genehmigt, in die Pflicht nimmt. Die gefundenen Risiken sollten per Stellungnahme der „Genehmiger“ beantwortet und signiert werden (S. 55–57). Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts seien umfassend, zeigt sich Jochen Koehler, Cyber-Ark, in der Fachzeitschrift IT-Security (Ausgabe 1-2013, S. 16/17) überzeugt. Insgesamt stelle sich nicht die Frage, ob eine „Privileged Identity Management“-Lösung (PIM) Fluch oder Segen bedeute. Eine zentralisierte, automatisierte und sichere Verwaltung von administrativen Benutzerkonten, die einen uneingeschränkten Zugriff auf alle – auch vertraulichen – Unternehmensdaten ermöglichen, sei heute unverzichtbar. Franca Kopperger und Ingo Kautz, punktgenau business consulting, und Prof. Roland Böttcher, Hochschule Bochum, stellen in der Juliausgabe der Fachzeitschrift <kes>, S. 11–14, „Secure User Management“, ein Prozessmodell für IAM, vor. Der Erfolg von IAM-Projekten hänge weniger von der eingesetzten technischen Lösung selbst als vielmehr von funktionieren Prozessen ab. Das Secure User Management-Prozessmodell binde in einem technisch ausgerichteten Projekt auch die nicht-technischen Abteilungen des Unternehmens ein und mache damit die Einführung einer IAM-Lösung nachhaltig und erfolgreich. Die Autoren behandeln die 95 96 Jahrbuch der Unternehmenssicherheit 2013 Schwerpunktfelder Organisation, Technology und Governance. Das vorgestellte Prozessmodell sei ein Ansatz, der die Prozesse im IAM standardisiert zusammenfasse. In derselben <kes>-Ausgabe plädiert Dipl.Phys. Oliver Schonschek, IT-Fachjournalist, für ein hybrides IAM, das auch Cloud-Anwendungen und mobile Geräte berücksichtigt. Laut einer Ponemon-Studie wünschten sich 64 % der befragten IT-Verantwortlichen. Die Lösungen vereinheitlichten nicht nur Passwörter oder andere Zugangsverfahren, sondern verwalteten auch zentral Rollen und Berechtigungen. Typische Funktion hybrider IAM-Lösungen seien: Schnittstellen zur Anbindung von Verzeichnisdiensten, Anwendungen und Clouds; Importieren und Vorhalten von Identitäts- und Berechtigungsdaten sowie Nutzerrollen; Unterstützung bei der Definition zentraler Identitäten und Rollen für alle angeschlossenen Anwendungen; Definition von Zugangs- und Zugriffsrichtlinien sowie Unterstützung bei der Durchsetzung; Berücksichtigung von Risikomodellen zur dynamischen Anpassung der Zugangsund Zugriffskontrolle; Übersichten und Reports zu Zugriffsaktivitäten bei Geräten, Anwendungen und Clouds; Angebot von Self Service-Funktionen für Nutzer zur Entlastung der Administration; Sicherheitsverfahren wie Single Sign On, Mehrfaktoren-Authentifizierungen und VPN (S. 15–17). In der Fachzeitschrift IT-Security (Ausgabe 2-2013, S. 13–15) erläutert Urs Biggeli, United Security Providers AG, warum Network Access Control (NAC) mehr und mehr zu einem zentralen Element der IT-Infrastruktur wird. Neben der Sicherheit, dass keine fremden Endgeräte am Netzwerk angeschlossen werden, liege der Hauptnutzen einer NAC-Lösung darin, den Überblick im Netzwerk zu wahren und dessen Verwaltung in einem hohen Maße zu erleichtern. Dadurch reduzierten sich erwiesenermaßen auch die Betriebsaufwände. Heutige NAC-Lösungen würden bei der Umsetzung von Mobile-Securitystrategien und BYOD-Konzepten helfen. Armin Simon, SafeNet, beklagt in dem <kes>-Special vom Oktober 2013, man sei trotz der Berichte über Datendiebstahl beim Schutz der Daten bisher nicht wirklich weiter gekommen. Daten ließen sich inzwischen mit modernen Verschlüsselungs- und IAMLösungen zuverlässig schützen. Es gebe eine Methodik, die sich auf einfache Hauptpunkte reduzieren lasse: Identifiziere die wichtigen Daten, verschlüssele sie, pass‘ auf die Schlüssel auf und regele zuverlässig den Zugriff durch Identity- and Access-Management. IT-Sicherheit – Industrieanlagen Hunderte Industrieanlagen in Deutschland seien kaum vor Hackerangriffen geschützt, berichtet heise online am 2. Mai. Heise Security habe unter anderem Fernwärmekraftwerke, wichtige Rechenzentren, eine Justizvollzugsanstalt und ein Stadion entdeckt, dessen Industriesteuerungen sorglos mit dem Internet verbunden waren. Man habe sich durch eine triviale Sicherheitslücke als Techniker anmelden und die Kontrolle übernehmen können. Zahlreiche Betreiber von Industrieanlagen hätten ihre Steuerungsmodule leichtsinnig mit dem Internet verbunden. Heise Security sei auf hunderte, öffentlich erreichbare, IP-Adressen von virtuellen Schaltzentralen gestoßen, die ohne effektive Authentifizierung sperr angelweit offen standen. Unter den aufgespürten Anlagen befänden sich etwa Fernwärmekraftwerke, die mehrere tausend Einwohner mit Wärme versorgen. Generell sei es fahrlässig, eine Industriesteuerung direkt über das Internet zugänglich zu machen. Sei es nötig, ein solches System aus der Ferne zu administrieren, müsse man einen verschlüsselten VPNB-Tunnel mit starker Authentifizierung einrichten. Jahrbuch der Unternehmenssicherheit 2013 Prof. Eberhard von Faber und Wolfgang Behnsen, T-Systems, stellen in Ausgabe 3-2013 der Zeitschrift <kes>. die Referenzarchitektur ESARIS (Enterprise Security Architecture for Reliable ICT Services) zur Absicherung von komplexen Produktionslandschaften vor. Anwender könnten damit Angebote vergleichen und bewerten, während Service-Provider eine umfassende Vorlage zur Implementierung und Pflege aller Sicherheitsmaßnahmen, auch des Service-Managements, erhalten. ESARIS sei ein „real-world“ Ordnungs- und Standardisierungsschema. Es umfasse a) alle Phasen der Geschäftsanbahnung, der Service-Transition bis zur Bereitstellung zum Betrieb, b) den Service-Betrieb selbst einschließlich dem Service-Delivery-Management sowie c) der Service-Entwicklung einschließlich ServicePortfolio-Management. Für alle diese Bereiche definiere das Schema organisatorische, prozessbezogene und technische Sicherheitsmaßnahmen in Form von Standards (S. 52–55). Dr. Frederico Crazzolara, krügernetwork GmbH, befasst sich in Ausgabe 5-2013 der Fachzeitschrift <kes> mit der Sicherheitsinfrastruktur für „smarte“ Versorgungsnetze (S. 26–33). Intelligente Versorgungsnetze, so genannte Smart-Grids, sollen flexibler auf Energieeinspeisungen und auftretende Spitzenlasten reagieren können. Dabei kämen für eine bessere Koordinierbarkeit von Stromerzeugung und -bedarf intelligente Messsysteme zum Einsatz – Smart-Meters. Solche Systeme führten personenbezogene Daten zusammen, verarbeiteten und leiteten aufbereitete Daten weiter. Für sie würden daher hohe Anforderungen an Datenschutz und Datensicherheit gelten. Der Autor behandelt das Prinzip Security by Design, digitale Zertifikate, mehrseitige Hardware und ECC als Security-Grundlage, „hoheitliche Vertrauensanker“ (die Stammzertifizierungsstelle der Smart-Meter-PKI wird vom BSI implementiert und zentral zur Verfügung gestellt) und die Verantwortung der Gateway-Administratoren. Die Gate- way-Administration sei die bedeutendste technische Smart-Metering-Dienstleistung. Es bleibe noch viel zu klären und zu tun, bis ein „intelligentes“ Versorgungsnetz zur Verfügung steht. Die Agentur für Netz- und Informationssicherheit der EU (ENISA) hat nach einer Meldung von heise online vom 5. Dezember einen Ratgeber zum Aufbau von CERTs für Sicherheitslücken in industriellen Kontrollsystemen herausgegeben. Der Leitfaden richte sich an Organisationen aus den Mitgliedsländern der EU, liste empfohlene Prozesse und Erfahrungswerte auf und gebe Hilfestellung für die Einrichtung eines CERT. Nach der US-Standardisierungsbehörde NIST und dem BSI sei dies das dritte in den letzten Monaten erschienene Dokument, das sich mit der Absicherung von kritischer Computerinfrastruktur befasst. Anders als die Leitlinien des BSI und der NIST, die sich auch mit Prävention in den Unternehmen beschäftigen, setze sich das ENISA-Papier hauptsächlich mit organisatorischen Abläufen bei CERTs auseinander. Die ASW weist am 30. November auf die Veröffentlichung des „ICS Security Kompendium“ des BSI hin, ein Grundlagenwerk für die IT-Sicherheit in Automatisierungs-, Prozesssteuerungs- und Prozessleitsystemen (Industrial Control Systems). Es ermögliche sowohl IT-Sicherheits- als auch ICS-Experten einen einfachen Zugang zum Thema IT-Sicherheit in industriellen Steuerungsanlagen. Es bilde den Rahmen für verschiedene Anwendungsbereiche industrieller Steuerungssysteme und diene als gemeinsame Basis für Experten in Anwendungsgebieten wie Fabrikautomation und Prozesssteuerung. Es eigne sich auch für einen Einsatz in Lehre und Ausbildung, als Einstiegslektüre für Berufsstarter, aber auch zur Sensibilisierung von Herstellern, Integratoren und Betreibern. Darüber hinaus biete es eine Grundlage, auf der entsprechende Verbände und Organisationen weitergehende, sektorenspezifische Sicherheitsanfor- 97 98 Jahrbuch der Unternehmenssicherheit 2013 derungen oder Handlungsempfehlungen erarbeiten können. Es lege den Schwerpunkt auf die Grundlagen sowie Empfehlungen zur Cyber-Sicherheit für Betreiber industrieller Anlagen. 2014 solle es mit weiteren Sicher- heitsthemen fortgeschrieben werden. Das Kompendium stehe kostenfrei auf der Webseite des BSI (unter https://www.bsi.bund. de/ICS-Security-Kompendium) als Download zur Verfügung. IT-Sicherheit – Industrie 4.0 In der Fachzeitschrift <kes> (Ausgabe 4-2013) geht Frederik Humpert-Vrielink, CETUS Consulting GmbH, der Frage nach, welche Probleme und Aufgaben durch „Industrie 4.0“ auf IT-Sicherheitsverantwortliche zukommen. Die Kernproblematik bewege sich in einem Dreiklang von IT-Architektur, Geschäftsprozessen und Sicherheitsmanagement, die in einer gemeinsamen Strategie zusammenfinden müssten. Der CISO werde bei Umsetzung aller Vorhaben im Rahmen der „intelligenten Fabrik“ sehr schnell zum strategischen Partner des Geschäfts. Er sei zukünftig derjenige, der nicht nur mitentscheidet, sondern der auch maßgeblich die Wirtschaftlichkeit der Sicherheit analysieren muss. Unwirtschaftliche Sicherheitsmaßnahmen würden sich in der „Industrie 4.0“ nicht umsetzen lassen. Das Umdenken weg von unidimensionalen Risikobetrachtungen hin zu ganzheitlichen Szenarien und Simulationen schaffe neue Möglichkeiten, die Risiken für verschiedene Angriffsvektoren wirtschaftlich und sicher zu beherrschen (S. 56–59). „Welche Gefahren lauern in der Industrie 4.0?“: Diese Frage stellt Dr. John Röcher in TEC CHANNEL – IT im Mittelstand, 30. August 2013. Industrie 4.0 bedeute eine noch stärkere Vernetzung der Produktion mit der klassischen IT. Da unter diesen Voraussetzungen ein Hacker-Angriff jedoch drastischere Folgen haben könne, müssten sich auch kleine und mittelständische Unternehmen besonders sorgfältig um die Sicherheit kümmern. Klassische Firewallund Antivirus-Technologien seien nicht mehr ausreichend. Vielmehr seien ganzheitliche Konzepte gefragt, die technische und organi- satorische Maßnahmen vereinen. Noch größer als mögliche Angriffe von außen sei die Gefahr von innen. So könnten einerseits die eigenen Mitarbeiter aus dem Internet unbeabsichtigt Schadprogramme auf die zentralen IT-Systeme übertragen, die sich von dort auf die Steuerungssysteme ausbreiten. Zum anderen stellten auch Techniker oder Partner eine Gefahr dar, wenn sie über mobile Geräte auf die Systeme zugreifen können oder Dateien sowie Datenträger schicken, die Viren enthalten. Das Ziel der Angreifer liege eher in der Manipulation der Produktionsanlagen als in der Spionage. Denn die Daten für die täglich laufenden Standardprozesse seien in der Regel nicht so wertvoll wie diejenigen in Forschung und Entwicklung. Zur Abwehr dieser Gefahren müssten im ersten Schritt die Verantwortlichkeiten festgelegt werden. Die klassischen IZ-Security-Systeme seien zur Abwehr von Angriffen von außen erneut zu überprüfen. Ein größeres Problem stelle die Kopplung von Office-IT und Produktionsnetz dar. Im Falle komplexer Zulieferketten und vieler Partner reiche der Schutz des eigenen Unternehmens nicht aus. Hier seien auch die Externen über umfassende Sicherheitsmaßnahmen und Richtlinien in das Gesamtkonzept einzubinden. Seien die organisatorischen Fragen geklärt, sollten Unternehmen in einem Referenzprojekt in einem Werk eine umfangreiche Sicherheitslösung aufbauen, die sich andere Niederlassungen praxisnah ansehen könnten. Die FAZ befasst sich am 20. November mit der Rolle der IT bei der sogenannten vierten industriellen Revolution. Unternehmen müssten sich über drei große Risiken bewusst werden. Sie müssten ihre vernetzte Jahrbuch der Unternehmenssicherheit 2013 Produktion vor zufälligen Angriffen schützen, vor Viren und Würmern, die irgendwie in das Betriebssystem gelangen. Den gleichen Effekt könnten aber auch gezielte Angriffe haben. Hacker könnten etwa die Produktionsprozesse manipulieren oder für Konkurrenzunternehmen wichtige Daten sammeln. Das dritte Risiko: Die Produktions-IT müssen fehlerfrei funktionieren. Seien sich Unternehmer der Risiken bewusst, sollten sie zunächst festlegen, welche Person für die IT-Sicherheit verantwortlich ist. Die Herausforderung dabei: Fabriken von Produktionsfirmen arbeiteten meist unabhängig vom Konzern, die IT sollte aber möglichst einem einheitlichen Standard folgen. Es müsse eine gemeinsame Lösung für das Unternehmen geben – wenn möglich auch mit Zulieferern und Kunden. Auch die Fachzeitschrift GIT thematisiert (in Ausgabe 11-2013, S. 106–107) „Industrie 4.0“. Der Sicherheitsbegriff erhalte eine völlig neue Dimension und werde zum kritischen Erfolgsfaktor. Neben klassischen Arbeitschutzmaßnahmen rücke die Sicherheit der IT sowie der Daten in den Vordergrund. Fabriken der „Industrie 4.0“ seien ganz anders organisiert. Angriffe könnten von innen und außen (hauptsächlich über das Internet) erfolgen. Notwendig sei ihre effektive Abwehr. Verschlüsselte Verbindungen, basierend auf einem IPsec VPN (Virtual Private Networks) könnten die Fernwartung solcher Anlagen absichern. Um Angriffe von ihnen erfolgreich abzuwehren, seien die Anlagenbauer gefragt, in ihre Systeme ein hohes Maß an Grundsicherheit einzubringen („Security by Design“). IT-Sicherheit – IT-Grundschutz Dr. Clemens Doubrava und Isabel Münch, BSI, stellen in der Ausgabe 1-2013 der Zeitschrift <kes> den neuen IT-Grundschutz-Baustein „Webanwendungen“ vor (S. 43–46). Im Baustein werden 38 Gefährdungen und ebenso viele Maßnahmen behandelt, Injection-Angriffe ebenso wie die sichere Softwareentwicklung der Webanwendungen, Authentisierung, Session-Management, Einbinden von Daten Dritter in eine Webanwendung, Abwehr von Angriffen die DoS, Cross-Site RequestForgery und Clickjacking. Stefan Stumm, Stefan Stumm IT-Sicherheit, Beratung & Schulung, stellt in Ausgabe 2-2013 der Fachzeitschrift <kes> die Frage: Passt der BSI-Standard 100 (ITGrundschutz) für Netzbetreiber? Zu dem Ziel der Erfüllung der Norm ISO 27001 gebe es zwei Wege: eine Anwendung von ISO 27002 oder IT-Grundschutz. Beide Wege böten entsprechend ihrer Grundtendenz Vor- und Nachteile. IT-Grundschutz sei für den Einsatz beim Netzbetrieb geeignet und auch mindestens so effizient wie die einzige Vergleichslösung. Werde der BSI-Standard von der Bundesnetzagentur für verbindlich erklärt, werde das nicht zum Schaden der Netzbetreiber sein (S. 96/97). In der Verlagsbeilage Mai 2013 der Zeitschrift <kes> beschreibt Konrad Buch, synetics, die Schlüsselrolle der IT-Dokumentation im IT-Grundschutz (S. 12/14). Die Software i-doit von Synetics sei dazu gedacht, den erstrebten Zeitgewinn zu liefern und zugleich die Qualität genau derzenigen Dokumentationen zu verbessern, die zur Übersicht beitragen. Wer IT- Grundschutz nach BSI einsetzt, kommt spätestens, wenn es an die Zertifizierung geht, nicht um eine Software zur Unterstützung der Prozesse herum, ist Elmar Török, bits+bites, überzeugt (<kes>, Ausgabe 4-2013, S. 77/78). Mit dem GSTOOL biete das BSI ein bewährtes Werkzeug an, aber auch andere Tools passten, je nach Einsatzfall, zur Arbeit mit dem IT-Grundschutz. 99 100 Jahrbuch der Unternehmenssicherheit 2013 IT-Sicherheit – IT-Infrastruktur Norbert Schirmer, Sirrix AG, betrachtet in der Verlagsbeilage der Zeitschrift <kes> vom Mai 2013 zwei Architekturen, die das Dilemma zu überwinden versuchen, dass die klassische Abwehrtechnik hinter der Kreativität der Angreifer her hinkt: Browser in the Box, als Produkt auch kurz „BitBox“, derzeit die einzige Standardlösung mit dem Ansatz der Desktop-Virtualisierung, und das RemoteControlled Browsers System (ReCoBS). Die zentralen Schutzziele seien dabei der Schutz von vertraulichen Daten und der Schutz der internen Infrastruktur (Intranet) vor webbasierten Angriffen aus dem Internet. Beide Systeme sicherten nicht den Browser ab, sondern schützten den Arbeitsplatz-PC und das Intranet vor dem Browser. Die BitBox eigne sich auch für herausfordernde Anwendungsumgebungen. Ein ReCoB-System bleibe aber weiterhin durchaus attraktiv für Anwender mit Terminal-Server-Umgebungen ohne mobile Nutzer oder für Szenarien, in denen ausschließlich Thin Clients zum Einsatz kommen (S. 28–30). Eberhard Schmolz, op5, befasst sich in dieser Verlagsbeilage mit proaktivem IT-Monitoring. Es helfe, die Änderungsdynamik der IT-Infrastrukturen zu verstehen. Es reduziere Probleme und Risiken, die aus einem Fehlverhalten der Komponenten entstehen können. Nagios – eine etablierte OpensourceMonitoringsoftware – werde als Industriestandard anerkannt. Das System unterstütze die Überwachung einer Vielzahl von beteiligten Infrastrukturobjekten von unterschiedlichen Herstellern und Dienstleistern. Op5 Monitor kommuniziere über Plugins mit den überwachten Objekten (S. 15–17). Wenn es eine „boomende“ Dienstleistung in der IT-Sicherheit gebe, dann sei es „SIEM“ (Security Information and Event Management), meint der Sicherheits-Berater in seiner Ausgabe 9-2013 (S. 132/133). Gemeint sei damit die zentrale Beobachtung und Auswertung aller relevanter Protokolldaten aus IT-Systemen. Zwei Dinge machten SIEM aus Sicht des Managements interessant: Es gebe immer ein Dashboard, also eine komprimierte Sicht auf das Thema. Und der Einsatz von SIEM stehe für ein deutlich sichtbares und nachweisbares Risikomanagement. Wer SIEM einsetze, sei „compliant“. Michael Dümesnil, Twinsoft GmbH, befasst sich in der Juliausgabe von <kes> (S. 60–62) mit der notwendigen Verfügbarkeit der IT-Infrastruktur. Zunehmend ablaufkritischere Geschäftsprozessketten forderten der IT-Infrastruktur eine besonders hohe Verfügbarkeit ab. Unternehmen bräuchten eine Verfügbarkeit exakt nach Bedarf, damit sich die Investitionen in Hochverfügbarkeit (HV) auszahlen. Nach der Analyse und Bemessung der Verfügbarkeitsansprüche aus Geschäftssicht stehe der zweite Projektschritt an: der Rückschluss von den definierten ablaufkritischen Geschäftsprozessen auf die IT-Infrastruktur mit ihren Komponenten. Diese sollten wie ein operatives System ineinander wirken. Steht das HV-Konzept und seine technische Umsetzung, sei es ratsam, den HV-Aufbau vor der Umsetzung durch eine Machbarkeitsstudie abzusichern. Ein Baustein zur erreichbaren Verfügbarkeit eines HV-Betriebs sei in hohem Maß von einer rein menschlichen Komponente abhängig: von der Fitness des zuständigen Personals im Operating. Kathrin Beckert, G Data, stellt in einem <kes>Special vom Oktober 2013 neue Netzwerklösungen für Unternehmen vor. Neben technologischen Neuerungen hätten Administratoren künftig auch alle Android-Devices fest im Griff. Die Lösung habe folgende Produkteigenschaften: Hybridschutz, Mobile Device-Management, einfache Administration und mobilen Zugriff (S. 343/35). Gereon Schroeder, UTC Climate, Controls & Security, thematisiert in der Fachzeitschrift Security insight (Ausgabe 6-2013, S. 26/27) Jahrbuch der Unternehmenssicherheit 2013 die Integration modernster Sicherheitstechnik in die bereits vorhandenen IT-Infrastrukturen des Finanzwesens. Aus Sicht des Anwenders liege das wirtschaftliche Optimierungspotenzial einerseits in der Nutzung vorhandener Netzwerkstrukturen zur Übertragung von Alarmmeldungen und Videobildern. Von Vorteil sei andererseits die Verwendung einheitlicher Hardware, die für das Unternehmensnetzwerk zugelassen ist. Die Übertragung von Alarm- und Videodaten zwischen den Filialen und Leitstellen erfolge in diesem Konzept über das Bankennetzwerk des Endanwenders. Der Videoserver vor Ort trenne dabei mittels zweier Netzwerkkarten das lokale Videonetzwerk der Filiale vom eigentlichen Bankennetzwerk und übernehme das Bandbreiten-Management, so dass ein unkontrollierter direkter Zugriff auf die Kameras nicht möglich ist. IT-Sicherheit – IT-Organisation In der Fachzeitschrift <kes> (Ausgabe 3-2013, S. 40–43) beschreibt Günther Ennen, BSI, Aufgaben, Befugnisse, Kompetenzen, Prozesse und Standards für den „IT-Sicherheitsbeauftragten“. Als Schatten-IT bezeichnet Sebastian Broecker, Deutsche Flugsicherung, in Ausgabe 5-2013 dieser Zeitschrift (S. 16–20) generell alle Assets inklusive Hardware, Software und Projekten, die an den offiziellen Beschaffungs- und Implementierungswegen einer Firma vorbei in diese eingebracht werden. Die Schatten-IT könne entweder mit „eigentlich“ guten Absichten implementiert werden oder von vornherein klar egoistischen oder kriminellen Zielen dienen. Der Autor behandelt Schatten-Hardware, Schatten-Software, Schatten-Dienste und Schatten-Projekte. Ansatzpunkte für eine Reduzierung solcher Vorgänge sieht er in folgenden Empfehlungen: 1. Halten Sie in Ihrer Rolle als Securityverantwortlicher Augen und Ohren offen! 2. Behalten Sie „die üblichen Verdächtigen“ im Auge und suchen Sie den Dialog zu solchen Mitarbeitern! 3. Wecken Sie Security-Awareness! 4. Bieten Sie Lösungen an! 5. Versuchen Sie, neben aller notwendigen Kontrolle in Fragen zur IT auch als kooperativer Partner zu gelten, um die Bildung geschlossener Zirkel möglichst zu vermeiden! Holger Gerlach und Felix Preussner, Schutzwerk GmbH, plädieren in der Ausgabe 6-2013 der Zeitschrift <kes> für einen praxisorientierten Umgang mit Schatten-IT. Sie könne sogar das Gesamtsicherheitskonzept eines Unternehmens kompromittieren. Doch sie lasse sich auch als Chance verstehen, Geschäftsprozesse zu optimieren und den ITBetrieb effizienter zu gestalten. Um SchattenIT möglichst von vornherein zu vermeiden, seien keine außergewöhnlichen Maßnahmen erforderlich. Es müsse zunächst gelingen, der Geschäftsleitung und den Fachbereichsverantwortlichen den stetig steigenden Stellenwert der IT für den Unternehmenserfolg zu vermitteln. Ein konsequent umgesetztes Informationssicherheitsmanagement liefere hierzu die notwendige Transparenz bezüglich der IT-Abhängigkeit aller kritischen Geschäftsprozesse. Daraus sollte einerseits eine zunehmende Sensibilität der Fachbereichsverantwortlichen erwachsen, andererseits werde der Weg für die benötigten zusätzlichen Ressourcen bereitet (S. 10–14). IT-Sicherheit – IT-Sicherheitsgesetz In der Aprilausgabe berichtet der Behörden Spiegel, BITKOM habe Nachbesserungen am geplanten IT-Sicherheitsgesetz des Bundes gefordert. Der Entwurf enthalte drei Schwerpunkte: 101 102 Jahrbuch der Unternehmenssicherheit 2013 -Die Betreiber Kritischer Infrastrukturen werden zu einer Verbesserung des Schutzes der von ihnen eingesetzten Informationstechnik und zur Verbesserung ihrer Kommunikation mit dem Staat bei IT-Vorfällen verpflichtet. -Telemediendiensteanbieter, die eine Schlüsselrolle für die Sicherheit des CyberRaumes haben, werden stärker als bisher hierfür in die Verantwortung genommen. -Das BSI wird in seinen Aufgaben und Kompetenzen gestärkt. Im Gesetzestext solle klargestellt werden, was mit „erheblichen IT-Sicherheitsvorfällen“ gemeint sei. Völlig unklar bleibe, welche Unternehmen in Zukunft als Betreiber Kritischer Infrastrukturen eingestuft werden und deshalb IT-Sicherheitsvorfälle melden müssen. Aus Sicht des BITKOM sollte sich das Gesetz bei der Festlegung an der Definition des BMI orientieren. Im übrigen setze sich BITKOM für die freiwillige Meldung von IT-Sicherheitsvorfällen ein. Ein entsprechendes Meldesystem sei unter www.allianz-fuer-cybersicherheit.de bereits etabliert. Vor dem Hintergrund der Spionageaktivitäten der USA im Internet formiere sich in Deutschland breiter Widerstand gegen das von Bundesinnenminister Hans-Peter Friedrich geplante Cyber-Gesetz, berichtet das Handelsblatt am 13. Juni. Alle Branchen, von Telekommunikation, Internet-Serviceprovidern, Banken bis hin zu Energie lehnten den Gesetzentwurf wegen potentieller Doppel- beziehungsweise Überregulierung ab, heiße es in einem internen Vermerk aus dem BMWi. Angesichts der Aktivitäten des amerikanischen Geheimdienstes stehe allerdings infrage, wie sicher Daten noch sind und welche Folgen dies für das Geschäft mit großen Datenmengen, den „Big Data“ habe. So soll der Geheimdienst NSA direkten Zugriff auf Server und damit auf die Kundendaten amerikanischer Internetkonzerne wie Google und Facebook haben. Die Untergruppe Digitale Agenda der Koalitionsverhandlungen hat sich nach einer Meldung von heise online vom 19. November darauf geeinigt, Chancen für ein „freies und sicheres Internet“ zu schaffen. Deep Packet Inspection (DPI), mit der Dienste diskriminiert und Nutzer überwacht werden, soll gesetzlich untersagt werden. Anonymisierung, Pseudonymisierung und Datensparsamkeit“ sollten verbindliche Regeln werden. Um die Netzneutralität zu wahren, wollten Union und SPD einen „diskriminierungsfreien Transport aller Datenpakete“ gewährleisten und als Regulierungsziel im Telekommunikationsgesetz verbindlich verankern. Weiteres Ziel der digitalen Bundesagenda sei es, bei Schlüsseltechnik und IT-Kernkompetenzen in Bereichen wie IT-Sicherheit, Netzwerktechnik, integrierte Systeme, Unternehmenssoftware oder Kryptographie „eigene Technologieplattformen und Produktionslinien“ in Deutschland oder im europäischen Verbund zu halten. „Software made in Germany“ müsse als Qualitätsversprechen etwa für Datenschutz und Nutzerfreundlichkeit gestärkt werden. IT-Sicherheit – KMU Michael Gruber, BSP.SECURITY, erläutert in Ausgabe 2-2013 der Zeitschrift <kes> ISIS12, ein praxisnahes Verfahrensmodell, um ein Informationssicherheits-Managementsystem (ISMS) mit integriertem IT-Service zu etablieren und zu betreiben. Es sei speziell für den Mittelstand entwickelt worden und für diese Unternehmen als Einstieg in die Informationssicherheit gedacht, bevor der BSIIT-Grundschutz angegangen wird. Empfohlen wird ein phasenweises Vorgehen (Initialisierungsphase, Aufbau- und Ablauforganisation festlegen, Entwicklung und Umsetzung des ISMS, S. 91–93). Jahrbuch der Unternehmenssicherheit 2013 Während das BSI im Netz jeden Tag 60.000 neue Schadprogramme ausfindig mache, hat nach Darstellung der FAZ am 20. April nur jedes zweite deutsche Unternehmen ein digitales Sicherheitskonzept, das den Namen verdiene und über die üblichen Firewalls oder Passwörter hinaus gehe. Das aber sei zu wenig. Denn herkömmliche digitale Schutzmauern könnten von Angreifern heute leicht umschifft, Passwörter ohne viel Aufwand ausgespäht werden Hier zeigten sich vor allem mittelständische Unternehmen verwundbar. Sie müssten in Zeiten der Dauerkommunikation via sozialer Netzwerke, internetfähiger Mobiltelefone, Tablet-, Laptop- oder Personalcomputer ihre Systeme besser abzusichern. Geschäftsführer sollten ihre besonders schützenswerten Unternehmensdaten definieren und verschlüsseln lassen. Zweitens dürften sie digitale Kundenkarteien nicht in allgemein zugängliche Netzwerke hängen. Drittens sollten sie mögliche Wege angreifender Schadsoftware ausloten und blockieren lassen. Ihren Mitarbeitern müssten sie klare Richtlinien geben, Pläne für Notfälle erarbeiten und mehrstufige Zugriffsund Überwachungssysteme für Technik und Personal installieren. Zwar gebe es auf dem Schwarzmarkt der Computerhacker alles, was das kriminelle Herz begehrt. "Konzerne wie SSP verkauften keine IT-Leistung mehr, die nicht Teil eines Sicherheitssystems ist. Die Deutsche Telekom errichte gerade „Honey- pots“, die gezielt Hacker anlocken und sie in aufgespannte Softwarefallen tappen lässt. Der Schutz der Computer möge für viele mittelständische Unternehmen nicht billig sein. Doch ihn nicht zu haben, werde früher oder später teuer. Klaus Gheri, Barracuda Networks, fordert im <kes>-Special vom Oktober 2013, dass Sicherheitslösungen für KMUs den gleichen Schutz bieten, wie bei Großunternehmen, aber sie müssten intuitiv und einfach einzusetzen sein. Wenn KMUs Security- und Backup-Lösungen einsetzen, die konkret auf den unkomplizierten Betrieb ausgelegt sind, gleichzeitig aber den kompletten Schutz einer vollen Enterprise-Lösung böten und noch dazu mit datenschutzkonformen Cloud-Technologien die Infrastruktur des Unternehmens entlasten, könnten sie sich gegen Angriffe oder Datenverlust absichern (S. 50–52). In der Ausgabe 2-2013 (S. 100) weist <kes> darauf hin, dass fast jeder fünfte Mitarbeiter in KMUs schon einmal Firmendaten mit Absicht zerstört habe. Das sei das Ergebnis der Studie „Datenzerstörung im Mittelstand“, für die Mozy 100 Manager und Mitarbeiter von KMUs befragt habe. Der Grund für die absichtliche Zerstörung sei überwiegend harmlos: in 78 % handelten die Angestellten gemäß den Weisungen eines Vorgesetzten. IT-Sicherheit – Kooperationen Das LKA Baden-Württemberg ist der seit 2011 bestehenden Sicherheitskooperation zwischen BITKOM und dem LKA NRW als weiteres Mitglied beigetreten, meldet der Behörden Spiegel in der April-Ausgabe. Ziel der Kooperation sei es, den Informationsaustausch und Wissenstransfer zwischen Wirtschaft und Sicherheitsbehörden über technologische Entwicklungen und aktuelle Kriminalitätsphänomene zu fördern sowie Präventionsmaßnahmen zu entwickeln und umzusetzen. Isabel Münch und Marc Schober, BSI, befassen sich in der Ausgabe 6-2013 der Zeitschrift <kes> mit der Allianz für CyberSicherheit, einer Initiative des BSI in Zusammenarbeit mit BITKOM. Sie habe sich bereits im ersten Jahr als eine der führenden Plattformen für den Informations- und Erfahrungsaustausch zur Cybersicherheit etabliert. Die Autoren gehen insbesondere auf den Informationspool, den Erfahrungsaustausch zwischen den Teilnehmern, auf regionale und themenspezifische Erfahrungskreise und 103 104 Jahrbuch der Unternehmenssicherheit 2013 auf einen praxisnahen Handlungsleitfaden zur Beurteilung der Cybersicherheit im Unternehmen mit dem Cyber-Basis-Check ein (S. 47–50). Heise online meldet am 14. Dezember, dass die von BITKOM zusammen mit dem BSI 2012 gegründete Allianz für CyberSicherheit ihren Mitgliederbestand deutlich erhöhen konnte. Momentan seien es bereits 580 Teilnehmer. Die USA und China haben nach einem Bericht der „New York Times“ beschlossen, auf hoher Ebene regelmäßig Gespräche über Cybersicherheit und Industriespionage zu führen, meldet die FAZ am 3. Juni. Dies sei ein erster Schritt, zunehmende Spannungen zwischen beiden Ländern abzubauen, die nach amerikanischer Darstellung durch chinesische Hackerattacken und den Diebstahl von Betriebs- und Regierungsgeheimnissen entstehen. Peking behaupte dagegen, selbst Opfer von Hackerattacken zu sei. IT-Sicherheit – Krankenhaus-IT Dr. Frank Jestczemski, adesso AG, und Marc Müller, BSI, erläutern in Ausgabe 6-2013 der Fachzeitschreift <kes> den seit dem Frühjahr 2013 verfügbaren Leitfaden „Risikoanalyse Krankenhaus-IT“ (RiKrIT) des BSI, des BBK und der Senatsverwaltung für Gesundheit und Soziales des Landes Berlin, der eine Methode beschreibt, mit der Krankenhäuser kritische IT-Abhängigkeiten und daraus erwachsende Risiken identifizieren und bewerten könnten. Die Autoren beschreiben die vier aufeinanderfolgenden Schritte der Methode: vorbereitende Aktivitäten, Analyse der Kritikalität; Identifizierung und Bewertung der Risiken und ihre Behandlung. Faktoren der Wahrscheinlichkeit bei vorsätzlichen Handlungen werden bewertet und Kriterien der Bewertung der Auswirkungen eines Schadensereignisses dargestellt (S. 43–46). IT-Sicherheit – Microsoft Michael Kranawetter, Microsoft Deutschland GmbH, befasst sich in Ausgabe 3-2013 der Fachzeitschrift <kes> mit dem von Microsoft kostenfrei angebotenen SecurityCompliance-Manager, mit dem Admins ITGrundschutz-Maßnahmenkataloge auch für Windows7 und den Windows Server 2008 R2 verwalten könnten (S. 60–62). So werde die Umsetzung des IT-Grundschutzes wieder ein Stück einfacher. Das Template stehe über die Webseite www.hisolutions.com kostenfrei zur Verfügung. Microsoft habe seinem Windows-Härter EMET in der Version 4.0 einige neue Tricks beigebracht, berichtet heise online am 18. Juni. Das Tool solle nun unter anderem Lauschangriffe auf verschlüsselte Verbindungen überführen und TOP-Attacken besser stoppen können. Die wichtigste Änderung sei jedoch oberflächlicher Natur: EMET 4.0 sei durch seine generalüberholte Bedienoberfläche deutlich leichter zu steuern. So dürfte das nützliche Schutztool weniger abschreckend auf technisch unerfahrene Nutzer wirken. Nach der Installation des Härtungstools erscheine nun ein Einrichtungsassistent, über den man mit wenigen Klicks die wichtigsten Schutzeinstellungen vornehmen könne. Diese Grundkonfiguration bringe Schutzprofile für verbreitete Programme wie Java, Adobe Reader und Office mit. Dadurch würden Exploit-Bremsen aktiv, die viele Cyber-Angriffe selbst dann verhindern könnten, wenn es für die ausgenutzte Lücke noch keinen Patch gebe. Gegen sogenannte ROP-Exploits (Return Oriented Programming) soll die neue Version besser denn je schützen. Jahrbuch der Unternehmenssicherheit 2013 Prof. Hartmut Pohl, Gürkan Aydin und Anja Wallikewitz, softScheck GmbH, geben in der Ausgabe 4-2013 der Zeitschrift <kes> eine Übersicht über Tools zur Identifizierung von Softwareschwachstellen, die in den jeweiligen Phasen des „Security Development Lifecycle“ (SDL) von Microsoft zum Einsatz kommen können (S. 20–23). Mit ihnen ließen sich Schwachstellen in den vier SDL-Methoden Bedrohungsmodellierung, statische Codeanalyse, Fuzzing und Penetrationstests identifizieren. Michael Klatte, ESET Deutschland, fordert im <kes>-Special vom Oktober 2013 mehr Sicherheit am SharePoint (eine Web- anwendung von Microsoft, die folgende Anwendungsbereiche abdeckt: Intranetportal, Soziale Netzwerke, Content-Management, Koordinierungs- und Verwaltungsfunktionen sowie Geschäftsanwendungen). Ein lascher Umgang in puncto Sicherheit könne den Sharepoint schnell in eine Virenschleuder verwandeln. Malware stelle für den SharePoint die aktuell größte Gefahr dar. Microsoft werde seine Antivirus-Lösung „Forefront Protection for SharePoint“ nicht mehr weiterführen. ESET zähle zu den wenigen Anbietern, die Malware-Schutz für Microsoft SharePoint 2013 anbieten. Der Autor hat eine Checkliste für mehr Sicherheit am SharePoint aufgestellt (S. 26/27). IT-Sicherheit – Normen Dr. Ing. Oliver Weissmann, Co-Editor der ISO/ IEC 27002 und ISO/EC 27003:2010, und Dipl.-Inf. (FH) Andreas Rauer, xiv-consult GmbH, erläutern in der Ausgabe 6-2013 der Zeitschrift <kes> die zum 1. Oktober 2013 veröffentlichten neuen Fassungen der ISO/ IEC-Normen 27001 und 27002, die umfassend überarbeitet und an die einheitliche Struktur für Managementsystemstandards angepasst und in den technischen Bereichen aktualisiert worden seien. Die Revision der ISO/IEC 27001 bedeute sowohl für beste- hende als auch in der Einführung befindliche ISMS entscheidenden Mehraufwand. Dafür werde die Risikomanagementmethodik flexibler. Bei der Revision der ISO/IEC 27002 ergäben sich durch die größeren Änderungen vor allem Vorteile bezüglich der Ausrichtung auf die Organisationsstrategie und die Einbeziehung des Supply Chain-Management. Und die häufig „hakelige“ und redundante Struktur sei deutlich verbessert worden, so dass die Implementierung leichter werde (S. 83–89). IT-Sicherheit – Payment Card Industry Frank Weisel, Forescout, behandelt in der Ausgabe 6-2013 der Zeitschrift <kes> eine neue Version (3.0) des Richtlinienkatalogs der Payment Card Industry (PCI) und Neuerungen beim „Payment Application Data Security Standard“ (PA DSS). Mit der Einführung der neuen Richtlinien verspreche sich das PCI Security Standards Council vor allem einen vermehrten Fokus auf Sicherheit. Zahlungssicherheit solle alltäglicher Bestandteil der Geschäftsvorgänge sein. PCI biete Unternehmen detaillierte und pragma- tische Anleitungen, die auch weit über die Zahlungsmittelindustrie hinaus anwendbar seien. Besondere Beachtung verdienten die Ergänzungen und Erläuterungen in den Bereichen Bewerten und Priorisieren von AssetRisiken, Sicherstellen der Systemintegrität, Durchsetzen geeigneter Zugriffsverfahren auf Netzwerk- und Systemressourcen sowie Verbesserungen bei der Schwachstellenbewertung, Protokollierung und Reaktion auf Sicherheitsvorfälle (S. 60–63). 105 106 Jahrbuch der Unternehmenssicherheit 2013 IT-Sicherheit – Personalausweis Heise online meldet am 16. September, der Chaos Computer Club sei „erbost“ über die Antwort des BMI auf eine Kleine Anfrage von MdB Korte nach der Sicherheit des neuen Personalausweises. Der Club bezeichne den Ratschlag des BMI, das Betriebssystem regelmäßig zu aktualisieren sowie einen aktuellen Virenschutz und eine Firewall zu installieren, als „trügerische Sicherheit“. Nach Angaben der Bundesregierung treffe es nicht zu, dass der neue Personalausweis „gehackt“ werden konnte. Dies bestreite der Chaos Computer Club. IT-Sicherheit – SAP-Systeme Dipl.-Inf. (FH) Thomas Werth, Werth IT GmbH, gibt in der Ausgabe 6-2013 der Zeitschrift <kes> einen Überblick über Risiken von SAP-Systemen und Gegenmaßnahmen. Sicherheitsrisiken bei SAP, die weit über die Probleme und Möglichkeiten des Berechtigungskonzepts hinausgehen, seien Realität. Allein die große Zahl an „SAP Security Notes“ verdeutliche diesen Umstand. Zur Wahrung der Systemsicherheit seien deswegen umfassende Tests ratsam. Um vorhandene Schwachstellen in SAP schnell zu identifizieren, zu priorisieren und zu beheben, erschienen letztlich auch automatisierte Prüfungen unumgänglich (S. 16–19). IT-Sicherheit – Security by Design Joshua Tiago, cirosec GmbH, stellt in der Ausgabe 4-2013 der Zeitschrift <kes> einige Werkzeuge vor, mit denen Programmierer schon in einem frühen Stadium des Entwicklungsprozesses von Webanwendungen erste Sicherheitstests durchführen können. Und er zeigt, wie sich mit wenig Aufwand einfach gestrickte Sicherheitstests implementieren lassen. Frameworks wie Selenium, Watijh, Watip und Watir eröffneten Entwicklern ganz neue Möglichkeiten. Da alle die aktuellen Skript- und Programmiersprachen unterstützen, seien äußerst komplexe Testfälle realisierbar (S. 24–28). IT-Sicherheit – Security Engineering Das Information Security Forum (ISF) hat Ende 2012 einen neuen Report zum Umgang mit IT-Sicherheitsvorfällen und Cyberattacken veröffentlicht: „You could be next – learning from incidents to improve resilience“ mit Handlungsempfehlungen für die Bestandsaufnahme sowie die Ursachenanalyse. Die Veröffentlichung basiert laut Herausgeber auf den Erfahrungen und Best Practices weltweiter ISF-Mitgliedsunternehmen (Ausgabe 2-2013 der Zeitschrift <kes>, S. 83/84). Arne Jacobsen, Varonis, warnt in der Fachzeitschrift <kes> (Ausgabe 1-2013) vor einem hohen Sicherheitsrisiko bei der wichtigsten Kommunikationsstelle in vielen Unternehmen: Der Exchange-Server sei oft zu groß, zu komplex und zu vielschichtig, um noch manuell administriert zu werden. Besonders bei der Rechteverwaltung, der Erfassung und Analyse von Aktivitäten und beim Finden veralteter Daten stießen Administratoren schnell an die Grenze des manuell Möglichen. Die Automatisierung der Administrationsprozesse könne diese Jahrbuch der Unternehmenssicherheit 2013 Lücke schließen. Durch automatisierte Software würden die Zugriffsaktivitäten ständig analysiert. Im Fall statistischer Abweichung vom normalen Zugriffsverhalten werde dem Administrator automatisch eine Benachrichtigung geschickt. (S. 41/42). Ralph Dombach befasst sich in Ausgabe 2-2013 der Zeitschrift <kes> mit Key Performance Indicators (KPIs) im IT-Bereich und weist auf drei Malware-KPIs hin, die wirklich gebraucht würden: Die Aktualität von Malware-Pattern, die Anzahl der je Kalenderwoche entdeckten Bedrohungen auf allen Endgeräten im Verhältnis zum entsprechenden Wert der Vorwoche und die durchschnittliche Bearbeitungszeit einer Malware-Nachfolgeaktivität sowie den prozentualen Vergleich mit dem jeweiligen Wert des Vormonats, und zwar unterschieden nach eingestellter Handlungs- option der Antimalware-Lösung (S. 10–12). Arved Graf von Stackelberg, HP Software Deutschland, empfiehlt im <kes>-Special vom Oktober 2013 das System SIEM (Security Incident and Event Management) als intelligentes Sicherheitsradar (S. 22–24). SIEM-Lösungen könnten die disparaten LogFiles sammeln und in Echtzeit miteinander abgleichen. Aus dem Kontext heraus würden sie verborgene Angriffsmuster erkennen, sortieren und die Ergebnisse zu übersichtlichen Warnhinweisen und Reports zusammenstellen. Der Autor beschreibt die Leistungsmerkmale von SIEM. Das Produkt müsse geschickt implementiert werden. Die Implementierung sei als Prozess zu verstehen, der Schritt für Schritt immer mehr kritische Sicherheitsmanagement-Aufgaben durch intelligente Software unterstützt. IT-Sicherheit – Sicherheitsbewusstsein Im Auftrag von T-Systems hat das Institut für Demoskopie Allensbach mit dem Cyber Security Report 2012 die Ergebnisse einer repräsentativen Befragung von Entscheidungsträgern aus Wirtschaft und Politik veröffentlicht, berichtet der Behörden Spiegel in seiner April-Ausgabe. Als größtes Risiko im Bereich IT- und Datenschutz sei mit 55 % der Missbrauch von persönlichen Daten bewertet worden. Ihm folgten mit 54 % der Datenbetrug im Internet und das Risiko von Computerviren mit 49 %. Mit 69 % messe ein Großteil der Befragten dem IT-Schutz des eigenen Unternehmensnetzwerks einen sehr hohen Stellenwert bei. Dieser Schutz spiegele sich aber auch in den Kosten für die IT-Sicherheit. 76 % der Befragten hätten angegeben, dass sich die Kosten für IT-Sicherheit im Unternehmen erhöht hätten, bei 29 % sogar „deutlich“. Als mit Abstand häufigste Schutzmaßnahme (50 %) sei die Firewall genannt worden. Lediglich 9 % der Befragten setzten als Schutzmaßnahme die Kontrolle der Internetnutzung von Mitarbeitern ein. Sowohl in der Wirtschaft als auch in der Politik werde ein erhebliches Sicherheitsbedenken gegen das Cloud-Computing geäußert und kritisch diskutiert. Die Ausspähaktionen amerikanischer und britischer Geheimdienste hätten das Vertrauen der Deutschen in die Behörden und in die Sicherheit im Internet erschüttert, berichtet die FAZ am 26. Juli. Das sei das Ergebnis einer Repräsentativumfrage von mehr als 1.000 Internetnutzern durch Bitkom. Hielten 2011 erst 12 % ihre persönlichen Daten im Internet für „völlig unsicher“, so seien es jetzt bereits 27 %. Auch das Vertrauen in den Staat und die Behörden habe massiv gelitten. 58 % der Internetnutzer vertrauten ihnen aktuell wenig oder überhaupt nicht, wenn es um den Umgang mit persönlichen Daten im Netz geht. Vor zwei Jahren habe noch mehr als die Hälfte der Internetnutzer sehr starkes oder starkes Vertrauen in staatliche Stellen gehabt. Als Konsequenz auf die Sicherheitsbedenken wollten 43 % keine Emails mit vertraulichen oder wichtigen Dokumenten verschicken. 19 % wollten auf Cloud-Dienste verzichten, 13 % auf eine Mitgliedschaft in 107 108 Jahrbuch der Unternehmenssicherheit 2013 sozialen Netzwerken. Trotz der Sicherheitsbedenken würden die meisten Nutzer ihr Verhalten im Netz kaum ändern. Nur eine Minderheit ergreife konkrete Maßnahmen gegen Ausspähungen – wie den Einsatz von Verschlüsselung, Anonymisierungsdiensten oder Meta-Suchmaschinen, die keine persönlichen Daten speichern. Dagegen wollen nach einer Umfrage der Forschungsgruppe Wahlen 25 % der Internetnutzer die eigenen Daten künftig besser schützen, und weitere 13 % geben an, bereits mit Verschlüsselungssystemen zu arbeiten, schreibt die FAZ am 30. Juli. Da Nachrichtendienste direkt an den Datenströmen von Glasfaserkabeln abschöpften könnten, drehen sich die empfohlenen Abwehrmaßnahmen um Anonymisierung und Verschlüsselung. Die entsprechenden Werkzeuge seien in der Regel frei zugänglich, ihr Programmcode sei öffentlich einsehbar. Für unbeobachtete private Kommunikation stünden eine ganze Reihe von sogenannten Anonymisierungsdiensten zur Verfügung. Aktuelle Verschlüsselungstechnik setze auf asymmetrische Kryptographie, bei der jeder Teilnehmer ein Schlüsselpaar aus öffentlichem und privatem Schlüssel erzeugt. Der Absender einer Nachricht sichere sie mit dem öffentlichen Schlüssel des Empfängers, und nur der wiederum könne sie allein mit seinem privaten Schlüssel öffnen. Solange der private Schlüssel geheim bleibt, sei asymmetrische Kryptographie sicher. Als Standardprogramm gelte PGP (Pretty Good Privacy). Der Nachteil von PGP sei nicht allein seine überaus komplizierte Einrichtung und aufwendige Handhabung im Alltag. Es müsse auch jeder Kommunikationspartner mitspielen. Und eine offene Flanke seien die Metadaten. Verschlüsselung und Anonymisierung seien technische Verfahren, und natürlich werde man sie im unternehmerischen Umfeld einsetzen. Aber sie seien keine Lösung des umfassenderen politischen Problems, dass die Geheimdienste offenbar rechtsstaatliche Prinzipien bei der Internet- und Telefonkommunikation aushebeln. Was Internet-Nutzer tun können, um im Netz weniger Spuren zu hinterlassen, beschreibt die FAZ am 8. Juni: Ein erster Schritt sei es, regelmäßig Suchverläufe aus Internetzugangsprogrammen wie dem Internetexplorer von Microsoft zu löschen. In sozialen Netzwerken wie Facebook und Google+ rieten Datenschützer seit Jahren dazu, mit Daten sparsam umzugehen. Dazu zähle, dass Nutzer ihre Einträge, Fotoalben oder Einladungen zu Veranstaltungen nur Freunden öffentlich machen. Generell biete Facebook inzwischen bei manchen Aktivitäten auch direkt an, den Personenkreis einzugrenzen. Wer unterwegs mit dem Smartphone oder dem Tabletcomputer online geht, solle sich bewusst sein, dass Anwendungen nur reibungslos funktionieren, weil sie den Standort des Nutzers über die GPS-Funktion erkennen und auswerten. Wer sicher gehen will, dass Anwendungen nicht dauerhaft wissen, wo ein Nutzer sich gerade aufhält, solle die GPS-Funktion nur dann einschalten, wenn er tatsächlich einen Dienst nutzt, für den der Standort wichtig ist. Das Vertrauen in den Umgang der Wirtschaft mit persönlichen Daten habe abgenommen, berichtet der Behördenspiegel in seiner Augustausgabe unter Bezugnahme auf eine aktuelle Umfrage des BITKOM, zwar weniger stark, dafür von einem ohnehin schon niedrigeren Niveau kommend. Nur 34 % (2011: 41 %) hätten aktuell starkes oder sehr starkes Vertrauen gegenüber der Wirtschaft, was ihre persönlichen Daten betrifft. Bei der Sorge der Nutzer, wer ihre Daten ausspionieren könnte, liegen Staat (39 %) und Wirtschaft (34 %) nur knapp hinter Cyber-Kriminellen (42 %) zurück. Auch bei deutschen Unternehmen habe die Sorge zugenommen, Opfer einer Cyber-Attacke zu werden, wie eine aktuelle Studie von Ernst & Young zeige. Die Furcht gelte insbesondere der internationalen Wirtschaftsspionage. Gut jedes vierte Unternehmen sehe darin ein hohes Gefährdungspotenzial. An zweiter Stelle folgten staatliche Stellen und Geheimdienste aus dem Ausland (17 %). Als Hauptursprungsländer der Attacken würden nach China (28 %) die USA (26 %) genannt. In einem anderen Beitrag in dieser Ausgabe des Behördenspiegels wird Jahrbuch der Unternehmenssicherheit 2013 die Notwendigkeit eines ganzheitlichen Ansatzes bei Sicherheitskonzeptionen betont. Sie sollten nicht nur Maßnahmen zur Gewährleistung der IT-Sicherheit enthalten, sondern auch die organisatorische und physische Sicherheit eines Unternehmens berücksichtigen. Moderne Sicherheitskonzepte seien daten- und prozessorientiert. Letztendlich könne man eine IT-Umgebung nur dann vor potenziellen Angreifern schützen, wenn man deren Vorgehensweise kenne. Die Bevölkerung stufe Internetrisiken wie Datenbetrug, Missbrauch von persönlichen Daten oder Computerviren mittlerweile als deutlich gravierender ein als die klassische Kriminalität. Und fast zwei Drittel glaubten, dass das Missbrauchsrisiko persönlicher Daten durch Unternehmen (65 %) und der Datenbetrug im Internet (64 %) weiter zunehmen werde (heise.de am 14. August), so die jetzt veröffentlichten Ergebnisse des Sicherheitsreports 2013, einer repräsentativen Umfrage des Instituts für Demoskopie Allensbach im Auftrag von T-Systems. Die Meinungsforscher hatten im Juni, also zu Beginn des Bekanntwerdens von „Prism et cetera“, mit 1.490 Interviews einen repräsentativen Querschnitt der Bevölkerung ab 16 Jahren nach ihren Sorgen und Risiken befragt. Insgesamt verzeichne der Risikoindex, der sich aus der Bewertung der Einzelrisiken ableite und das Sicherheitsempfinden der Bevölkerung widerspiegele, einen Anstieg. Ausgehend von 476 Indexpunkten 2012 sei der Risikoindex inzwischen um 6 % auf 504 Punkte geklettert. Die persönlichen Sorgen der Bevölkerung seien also insgesamt wieder leicht gestiegen. Der Wert übertreffe auch die 480 Punkte aus dem Jahr 2011, als er erstmals ermittelt worden sei. Die jüngsten Entwicklungen rund um geheimdienstliche Programme zur Überwachung des digitalen Datenverkehrs führen nach Angaben des Analystenhauses Gartner in vielen Konzernen zu einer Erhöhung der SecurityBudgets, berichtet die FAZ am 6. August. In diesem Jahr würden digitale Sicherheits- produkte im Wert von 67 Milliarden Dollar gekauft. Das wären 9 % mehr als 2012. In Deutschland seien nach Angaben des Bitkom derzeit vor allem Verschlüsselungstechniken gesucht. Das BSI wolle für ein sicheres CloudComputing Zertifikate einführen und dafür bis Ende 2013 die Grundlagen schaffen. Ein Newsletter der ASW vom 9. August weist auf eine von AGITANO (Wirtschaftsforum Mittelstand) veröffentlichte Studie von Ernst & Young hin, bei der Geschäftsführer und Führungskräfte aus IT-Sicherheit und Datenschutz von 400 deutschen Unternehmen befragt wurden. Ergebnisse: 8 von 10 Unternehmen gehen davon aus, dass die eigenen Sicherheitsvorkehrungen ausreichen, um unerwünschten Informationsabfluss zu verhindern. Immerhin richteten sich die Unternehmen auf eine zunehmende Gefährdung durch Datenklau-Attacken ein. Neun von zehn Managern erwarteten, dass das Risiko für Unternehmen, Opfer von Cyber-Attacken zu werden, in Deutschland zunehmen wird. Doch umfassendere Schutzvorkehrungen seien in den Unternehmen Mangelware. Ein Intrusion Detection bzw. Prevention System leisteten sich zum Beispiel nur 13 bzw. 12 % der Unternehmen. Auch bei den eigenen Mitarbeitern setzten die Befragten vorwiegend auf klassische Sicherheitsmaßnahmen wie Geheimhaltungsklauseln in Arbeitsverträgen (88 %). Ein Teil der Unternehmen versuche außerdem, bei den Mitarbeitern ein verstärktes Verbundenheitsgefühl zu wecken (58 %) und sie für die Gefahren des Datendiebstahls zu sensibilisieren (49 %). Eine anonyme Anlaufstation für Mitarbeiter, die illegale Vorgänge am Arbeitsplatz beobachten, gebe es bislang nur bei 6 % der Unternehmen. Dabei wird laut 90 % der Befragten die Gefährdung durch Industriespionage für die deutsche Wirtschaft insgesamt steigen. In deutschen Unternehmen führt der NSASkandal zu einem Umdenken bei der IT-Sicherheit, bemerkt das Handelsblatt am 5. September. In einer aktuellen Umfrage des Beratungsunternehmens EY hätten über 109 110 Jahrbuch der Unternehmenssicherheit 2013 90 % aller Entscheider angegeben, dass das Problem Spionage und Datenklau in Zukunft zunehmen wird. Zwar sicherten sich die meisten Unternehmen mit Standardmaßnahmen wie Firewalls oder Virenprogrammen ab. Doch ausgefeiltere Programme, die beispielsweise erkennen können, wenn Daten aus dem Firmennetz abfließen, verwendeten nur weniger als 13 % der Unternehmen. Die Größe eines Betriebs sei unbedeutend für das Risiko, angegriffen zu werden. Kleine Firmen seien oft das Ziel. Häufig gerieten Zulieferer von großen Konzernen ins Visier. Selbst Anbieter von Nischenprodukten würden Opfer von Attacken. Firmen, die bemerken, dass Daten abgezapft werden, sollten sich an die Behörden wenden. Staatliche Stellen könnten dann helfen, die Täter zu überführen oder zumindest die Löcher zu finden. In der Ausgabe5-2013 kritisiert <kes> das Fehlen von IT-Sicherheitsrichtlinien in vielen Unternehmen. Nach einer von Kaspersky und B2B durchgeführten Studie beklagen 57 % der deutschen IT-Entscheider das Fehlen von Zeit und Budget. Eine Studie des IT-Dienstleisters Iron Mountain habe gezeigt, dass viele Arbeitgeber Verhaltensweisen ihrer Mitarbeiter bei der Arbeit im Homeoffice tolerieren, die ihre Unternehmensinformationen einem erheblichen Risiko aussetzten. 60 % der befragten Deutschen hätten angegeben, ihre privaten E-Mail-Accounts zum Senden und Empfangen von Arbeitsdokumenten zu verwenden. 35 % ließen ihre Arbeitsdokumente zu Hause liegen und 21 % entsorgten Geschäftsdokumente im Haushaltsabfall. 7 % benutzten eine unsichere WLAN-Verbindung, um Arbeitsdokumente per E-Mail zu senden und zu empfangen. Eine Hauptursache seien die Unternehmen selbst. So würden lediglich 25 % der deutschen Unternehmen ihren Mitarbeitern Vorgaben machen, welche Papierakten und elektronischen Daten sie mit nach Hause nehmen dürfen. In 73 % der Fälle fehlten entsprechende Richtlinien, die das Arbeiten im Homeoffice regeln. Ein weiteres Problem sei die Infrastruktur: Bei 54 % der Arbeitgeber scheitere ein sicheres Arbeiten im Homeoffice an fehlender IT-Ausstattung, und 67 % stellten keinen sicheren Zugang zum Intranet zur Verfügung (S. 98/99). IT-Sicherheit – Sicherheitslücken Der Sicherheitsexperte Michael Messner habe in seinem Blog Details zu Schwachstellen in zahlreichen Router-Modellen veröffentlicht, meldet heise online am 7. Februar. Betroffen seien Geräte von Linksys, Netgear und D-Link. Einige Lücken eigneten sich zum Einschleusen von Befehlen aus der Ferne. In der Firmware der Linksys-Modelle E1500 und E2500 habe er gleich mehrere Sicherheitsprobleme entdeckt. Es sei nicht erforderlich, dass das Webinterface von außen erreichbar ist. Ein Angreifer könnte sein Opfer auf eine speziell präparierte Webseite locken, die auf die Router-Oberfläche im lokalen Netz verweist. Mit ihrer offensiven Cyberwar-Strategie fördere die US-Regierung einen globalen Markt für IT-Sicherheitslücken, beklagt heise online am 15. Februar unter Berufung auf Technology Review. Ein Beispiel bilde die Hackerkonferenzen Black Hat und Defcon in Las Vegas, wo Experten vor großem Publikum die neuesten Sicherheitslücken in gängiger Soft- und Hardware präsentierten. Wer eine so genannte Zero Day-Schwachstelle aufgespürt hat (eine bis dahin noch nicht bekannte Lücke), der könne mit ihr längst mehr verdienen, als ein bisschen Ruhm in der Szene. Rüstungsfirmen, Geheimdienste und Regierungen würden inzwischen einige hunderttausend Dollar für solche Funde im Code verbreiteter Software zahlen. Dass der Sperrbildschirm des Sony Xperia Z keinen Schutz vor ungewollten Zugriffen biete, meldet heise Security am 26. März. Ohne PIN oder Passwort zu kennen, könne Jahrbuch der Unternehmenssicherheit 2013 ein Angreifer das Gerät dauerhaft freischalten und an die darauf gespeicherten Daten gelangen. Wie schon bei Samsung Galaxy S3 und dem iPhone werde über die Notruffunktion angegriffen. Vermutlich betreffe die Lücke auch andere Sony Xperia mit aktuellem Android. Gebe der Nutzer die Zeichenfolge *#*#7378423#*#* ein, gelange er in ein umfangreiches Testmenü, über das sich die Funktion der verbauten Hardware prüfen lasse. Starte er im Untermenü „Service Test“ den NFC-Test, reiche ein Druck auf die HomeTaste, um direkt auf den Startbildschirm zu gelangen. Von nun an könne das Gerät vom Angreifer in vollem Umfang genutzt werden. Auch beim Aufwecken aus dem Ruhezustand frage das Smartphone nicht mehr nach dem Gerätepasswort. Die mögliche Verschlüsselung des internen Speichers helfe nur vor unerwünschtem Zugriff, wenn das Handy ausgeschaltet ist. Beim Aufwecken aus dem Standby frage das Gerät nicht erneut nach dem Schlüssel. Thorsten Urbanski, G Data Software, hält in der <kes>-Verlagsbeilage Mai 2013 ein effektives Patch-Management für unumgänglich, weil es gefährliche Angriffslücken in der IT-Infrastruktur schließt (S. 20/22). Eine gute Patch-Managementlösung sollte einen Überblick über die verfügbaren Updates und den Sicherheitsstatus der installierten Software schaffen. IT-Verantwortliche sollten sich außerdem für ein Werkzeug entscheiden, das ein schrittweises Ausrollen der neuen Updates ermöglicht. Gerald Spiegel, Steria Mummert Consulting AG, stellt in der Fachzeitschrift <kes> (Ausgabe 4-2013) Bausteine für eine wirksame Data Leakage-Prevention (DLP) vor. Die wirke nur dann, wenn ein dazu passender Prozess eingeführt wird. Die Gelder, die Unternehmen weltweit an DLP-Anbieter zahlen, würden 2013 mehr als 600 Millionen US-Dollar betragen. Der Autor behandelt die Schutzbedarfsfeststellung, die Strukturanalyse, Rollen, Regeln und Policies, organisatorische und technische Maßnahmen. In den Unternehmen sei das Bewusstsein erkennbar, sich vor fahrlässig verursachten Datenabflüssen von innen genauso zu schützen wie vor Hacker-Angriffen (S. 29–32). Georg Hohnhorst, KPMG AG, befasst sich in Ausgabe 4-2013 der Zeitschrift <kes> mit einer Reihe von Herausforderungen von Security-Notes der SAP (S. 6–10). Monatlich würden etwa 40 neue Hinweise veröffentlicht. Hindernis bei der schnellen Umsetzung sei die regelmäßige Prioritätenfestlegung. Die Risikoeinschätzung erfordere viel Spezialistenwissen, sowohl von der SAP-Technikseite als auch von der Geschäftsprozessseite. In der Praxis habe es sich bewährt, statt übereifrig alle Hinweise umzusetzen, neutralen und unabhängigen Sachverstand zu nutzen, um effektiv und effizient auf die Bedrohungen zu reagieren. Angesichts der Vielzahl der bestehenden und zu erwartenden weiteren Hinweise seien fundierte Klassifizierungsverfahren und Geschwindigkeit in der Umsetzung die Schlüsselfaktoren, um nachhaltig ein angemessenes Sicherheitsniveau für die SAP-Anwendungen zu gewährleisten. Das BSI warne Kunden von Vodafone vor einer schwerwiegenden Sicherheitslücke, meldet SPIEGEL ONLINE am 5. August. Angreifer könnten unbemerkt Kontrolle über die von Vodafone vertriebenen DSL-Router Easybox 802 und 803 erlangen. Das BSI habe die Sicherheitslücke mit der zweithöchsten Risikostufe überhaupt bewertet. Die Schwachstelle liege bei der sogenannten WPS-Konfiguration. Das BSI empfehle den Besitzern entsprechender Vodafone-Router, die vorgegebene WPS-PIN zu ändern oder WPS generell zu deaktivieren. Andreas Müller, Lumension, erläutert im <kes>-Special vom Oktober 2013 das professionelle Patchmanagement für sichere Geschäftsprozesse. Es führe durch die hohen Aufwände an Mehrarbeit, die nötig sei, um schnell auf Gefahrenpunkte reagieren zu können, zu höheren Kosten. Das Unternehmen Lumension biete eine gute Alternative, die die Umsetzung einer holistischen Schwachstellen- 111 112 Jahrbuch der Unternehmenssicherheit 2013 Managementstrategie ermögliche. Der geringere Bedarf an punktorientierten Produkten und an Mitarbeiterressourcen ermöglichte eine Reduzierung der Betriebskosten (S. 40–42). IT-Sicherheit – Social Media Christian Volkmer, Projekt29 GmbH, behandelt in der Fachzeitschrift <kes> (Ausgabe 1-2013) Social Media und Datenschutz in Unternehmen. Er weist darauf hin, dass 86 % der deutschen Unternehmen soziale Netzwerke für geschäftliche Zwecke verwenden. Die beliebteste Plattform sei Facebook (74 %). Danach folgten Xing (31 %), Twitter (19 %) und Google (15 %). Als unerlässlich bei der Einrichtung von Unternehmens- und Produkt-Seiten und -Profilen bezeichnet er die Prüfung der Datenschutzbestimmungen des Betreibers bei der Wahl des Anbieters, Transparenz darüber, welche Daten von wem und wofür erhoben werden, vollständige Informierung der Anwender von Social-Media-Angeboten über die Tragweite der Nutzung, Sicherung der personenbezogenen Nutzerdaten und Zusicherung der Nutzer, dass hochgeladene Daten und Fotos keine Datenschutzbelange verletzen (S. 38–40). Nach einer Meldung der Süddeutschen Zeitung vom 22. Juni hat ein technischer Fehler beim sozialen Netzwerk Facebook eine Datenpanne ausgelöst. Der Fehler gehe auf eine Funktion zurück, mit der Vorschläge zur Kontaktaufnahme zwischen Bekannten oder Einladungen zu Facebook erstellt werden. Bei dem Vergleich von hochgeladenen Adressbüchern von Nutzern mit Kontaktdaten von Facebook-Mitgliedern seien durch die Software-Panne zum Teil Adressbuch-Daten zusammen mit Profil-Informationen anderer Nutzer gespeichert worden. Wenn diese Mitglieder sich den Inhalt ihres Profils über die Download-Funktion von Facebook herunterluden, hätten sie eventuell auch die fremden Adressbuch-Daten dazu bekommen. IT-Sicherheit – Software-Lizenzierung Nach einer Studie, die die Softwareinitiative Deutschland bereits 2010 durchgeführt habe, verschwendeten deutsche Unternehmen ca. 30 bis 40 Milliarden Euro allein durch nicht zutreffende SoftwareLizenzierung. Bei dem steigenden Tempo, das manche Software-Hersteller bei Neuentwicklung und Upgrade an den Tag legen, sei die Tendenz wohl eher steigend, meint AGITANO, das Wirtschaftsforum Mittelstand laut einer Pressemitteilung vom 25. Juni. IT-Sicherheit – Verschlüsselung In der Ausgabe 2-2013 der Fachzeitschrift W&S weist Richard Moulds, Thales e-Security, auf die „Global Encryption Trend Study von 2012 hin, nach der heute in der Mehrheit der Firmen erstmals eine formelle Verschlüsselungsstrategie durchgehend im Unternehmen zur Anwendung kommt (S. 12/13). Der Prozentsatz des Budgets im Bereich IT für die Verschlüsselung wachse immer weiter und habe sich seit 2005 von 10 auf 18 % beinahe verdoppelt. Die Studie zeige eine klare Interessenverschiebung von relativ veralteten statischen Technologien wie etwa Laptop- und Netzwerkverschlüsselungen hin zu ausgereifteren Anwendungen, die darauf abzielten, Daten in Echtzeit zu schützen, wie sie bei Apps, Datenbanken und cloudbasierten Diensten zur Anwendung kommen – das Jahrbuch der Unternehmenssicherheit 2013 Konzept einer "Laufzeitkurve für Verschlüsselungen“ scheine sich herauszubilden. Je weiter eine Organisation auf dieser Laufzeitkurve voranschreite, desto wichtiger werde ihre Keymanagement-Strategie, da komplexe Anwendungsfälle viel kontextbezogenere Richtlinien verlangten. Eine „persistente“ Verschlüsselung – Daten bei ihrer Übertragung, in der Cloud oder beim Verschieben innerhalb des Netzwerkes zu schützen – sei das beste Rezept gegen Datenverlust, heißt es in der Juli-Ausgabe des Behördenspiegel. Autorisierte Nutzer hätten die entsprechenden Schlüssel, um auf die Daten zuzugreifen, für alle anderen blieben sie gesperrt. Wenn es einem Cyber-Kriminellen gelinge, an verschlüsselte Daten zu gelangen, könne er ohne den Schlüssel mit den Daten schlichtweg nichts anfangen. Benutzer könnten ihre eigenen Schlüssel zum Absichern bestimmter Dateien festlegen und verwalten. Hiermit könnten die Benutzer jederzeit auf Dateien hinter der Firewall oder in der Cloud zugreifen. Die Verschlüsselung finde auf dem Client vor der Datensynchronisierung statt. Die vollständige Kontrolle über die Sicherheit der Daten bleibe also erhalten. Wie sollen Unternehmen und Konsumenten ihrem Cyber-Defencesystem vertrauen, wenn Sicherheitsgiganten selbst Opfer von Angriffen werden? fragt wave am 31. Juli. Symantec zum Beispiel, deren Software gerade man einen von den 45 Angriffen auf die New York Times entdeckte, haben einen Angriff auf seine eigenen Norton Utility Quellcode-Asset erlitten. Und Symantecs größter Konkurrent, McAfee, habe versehentlich selbst einen verheerenden Angriff gestartet und Millionen von Kunden den Netzwerkzugriff entzogen. Dieses Muster der ständig steigenden Ausgaben bei immer schlechter werdenden Ergebnissen spreche für ein gescheitertes technologisches Paradigma und verlange nach einer neuen Herangehensweise an das Problem. Zum Glück gebe es einen solchen neuen Ansatz bereits. Integriert in die innerste Domain des Computersystems, und somit nicht vom Nutzer entfernbar, sitze das Trusted Platform Module (TPM). Das TPM verschiebe wesentliche Sicherheitstransaktionen in einen Hardware-„Tresor“-Chip, der für externe Software unerreichbar sei und so den Aufbau einer „Root of Trust“ ermögliche, auf die die Sicherheit aufgebaut werden kann. Als sicherer, kryptographischer Prozessor steuere es nicht-volatile Speicher, deren Inhalte erhalten bleiben, auch wenn der Strom ausgeschaltet wird. Das TPM enthalte einen Zufallszahlengenerator, der auf Chip-Physik und nicht auf einer Algorithmus-Quelle beruhe und liefere die Grundlage für kryptographische Schlüssel, die den Computer für Außenstehende identifizieren. Der Chip sei so aufgebaut, dass kein Befehl ihn jemals dazu bringen könnte, den privaten kryptographischen Schlüssel preiszugeben, der die Maschine eindeutig identifiziert und authentifiziert. Praktisch alle neuen Geschäftscomputer – um die 600 Millionen bis jetzt – verfügten über TPMs, die auf ihr Motherboard geschweißt sind. Samsung, Wave Systems und andere weiteten die Technologie jetzt auf Mobilgeräte aus. Fast niemand habe seine TPMs aktiviert. Sie seien also schlafende Wächter, deren Standardeinstellung der Ruhezustand ist, da sie ohne Softwarfe, die ihren Dienst aktiviert und verwaltet, nutzlos seien. Die Wirtschaftswoche befasst sich am 29. Juli mit der Verschlüsselung, die selbst in Konzernen längst nicht mehr so komplex sei wie früher. Moderne Kryptosoftware für Unternehmen könne unter anderem das Schlüsselmanagement für Hunderte von Nutzern übernehmen. Sobald sich ein Mitarbeiter per Smartcard und PIN an einem PC identifiziert, übertrage der Kryptoserver die in der Karte gesicherten Schlüsselcodes in die E-Mail-Software, bis der Benutzer sich abmeldet. Und während Kryptotools für Privatleute oft nur funktionieren, wenn beide Seiten die gleiche Technik nutzen, könnten Kryptoserver vor dem Versand prüfen, welche Technik, etwa PGP oder S/Mime, die Gegenstelle einsetzt, und das passende Verfahren wählen. Und selbst wenn der Adressat 113 114 Jahrbuch der Unternehmenssicherheit 2013 keinerlei Verschlüsselung nutze, halte die Spitzelabwehr. Dann bekomme er statt einer ungeschützten Nachricht einen Link auf ein Online-Portal, bei dem er Inhalt und Anhänge nur aufrufen könne, wenn er sich zuvor mit getrennt verschickten Zugangsdaten identifiziert hat. Die Wirtschaftswoche erläutert Vorund Nachteile der symmetrischen und der asymmetrischen Verschlüsselung. Bei letzterer müsse nicht der Absender einen elektronischen Schlüssel erzeugen. Er benötige den des Empfängers, nämlich dessen öffentlichen Schlüssel. Öffnen könne der Empfänger die Nachricht nur mit seinem privaten Schlüssel. Beide Schlüssel erzeuge der Empfänger von Programmen wie PGP4Win auf seinem Rechner. Alternativ könne er sie bei WebmailAnbietern wie Web.de herunterladen. Der Nutzer könne den öffentlichen Schlüssel an einzelne Kontakte verschicken oder ihn auf öffentlichen Key-Servern publizieren, damit beliebige Absender ihm dadurch gesicherte Nachrichten schicken können. Das sei ungefährlich, weil ja nur der Empfänger die E-Mails wieder öffnen könne (S. 65/66). Am 19. September berichtet heise online, drei Forscher der Ruhr-Universität Bochum, der TU Delft und der University of Massachusetts hätten ein Konzept vorgestellt, mit dem sich Chips nach ihrer Ansicht schon in der Produktion so manipulieren lassen, dass ihre Zufallszahlen stark geschwächt werden. Die Manipulation wäre von außen kaum zu entdecken, aber ein Angreifer, der weiß, wonach er sucht, könne die damit erzeugten kryptografischen Schlüssel mit wenig Aufwand knacken. Auch ein als sicher geglaubter langer Schlüssel lasse sich plötzlich errechnen, falls bei der Erzeugung nicht genug Zufall eingeflossen ist. Intel bestreite die Existenz von Hintertüren in ihren Chips. Design und Produktion würden streng kontrolliert. Im Interview mit der FAZ berichtet am 22. November der Präsident des BSI, Michael Hange, über neue Erkenntnisse und Konsequenzen aus dem Fall Snowden. Die Kryptographie sei inzwischen so weit ent- wickelt, dass bei richtiger Implementierung Vertraulichkeit durch Verschlüsselung gewährleistet werden könne. Er rate bei Mobilkommunikation grundsätzlich zur Ende zu Ende-Verschlüsselung. Hange sieht eine Chance für einen Markt für integre europäische Systeme. Es müsse möglich sein, außereuropäischen Systemkomponenten wie beispielsweise Router – mit eigenen nationalen Krypto-Algorithmen abzusichern und so die Kommunikationssouveränität zu erlangen. Die NSA-Debatte sollte ein Weckruf sein. Wichtig sei, nicht in Aktionismus zu verfallen. Die Prävention müsse sich verbessern. Es müsse in jedem Unternehmen Verantwortungen für IT-Sicherheit geben, und man müsse Konzepte erarbeiten, um das Unternehmenswissen und die Kronjuwelen zu schützen. Wie die ASW am 22. Dezember mitteilt, nutzen aktuell rund 5 Millionen Bundesbürger für ihre E-Mails eine Verschlüsselungssoftware. Das entspreche 9 % der Internetnutzer. Kurz nach Aufdeckung der NSA-Spähaktionen seien es erst 6 % gewesen. Trotz des Anstiegs würden weiterhin die meisten Nutzer den Einsatz von Verschlüsselungssystemen scheuen. 61 % geben als Grund dafür an, dass sie sich damit nicht auskennen. Immerhin 13 % halten auch Verschlüsselungssoftware nicht für sicher. Und 8 % der Internetnutzer störe es nicht, wenn ihre Daten von Dritten eingesehen werden. Ein Viertel halte Verschlüsselung grundsätzlich für zu aufwändig. Dass die meisten deutschen Internetnutzer durch die NSA-Enthüllungen nichts an ihrem Verhalten im Netz ändern, berichtet auch die FAZ am 30. Dezember. Nur rund jeder Fünfte wolle künftig OnlineDienste weniger nutzen oder setze zusätzliche Vorkehrungen wie Verschlüsselung ein, wie eine repräsentative Umfrage des Meinungsforschungsinstituts You Gov im Auftrag der dpa ergeben habe. Dabei glaubten 84 % der Befragten, dass die Überwachung durch den NSA und seinen britischen Partner GCHQ gegen die Bürgerrechte in Deutschland verstößt. Zugleich fühlten sich aber nur 45 % in ihren persönlichen Rechten eingeschränkt. Jahrbuch der Unternehmenssicherheit 2013 Während europäische Anbieter von OnlineDiensten hofften, ihre Marktposition mit Rückenwind der Enthüllungen ausbauen zu können, erklärten 65 % der Befragten, dass sie Internet-Angebote aus Deutschland nicht für sicherer halten als Dienste von amerikanischen Unternehmen. Mit ihrer Verschlüsselungssoftware Boxcryptor haben Robert Freudenreich und Andrea Pfundmeier den WirtschaftsWoche-Gründerwettbewerb 2013 gewonnen, berichtet das Wirtschaftsmagazin am 11. November. Wer Boxcryptor auf PC oder Smartphone nutzt, könne Dateien mit einem Passwort verschlüsseln, bevor er sie übers Internet auf die Festplatten von Speicherdiensten in die Cloud überträgt. Sobald die Daten über PC oder Smartphone wieder abgerufen werden, entschlüssele Boxcryptor sie, ohne dass es der Nutzer merkt. Mehr als eine Million Menschen nutzten die Software bereits, darunter viele, die von der kostenlosen Basisversion auf das 36 Euro-Jahresabo umgestiegen sind. Die Deutsche Telekom wolle ihre 38 Millionen Handykunden in Deutschland mit einer neuen Sicherheitstechnologie besser vor neugierigen Mithörern schützen, berichtet die FAZ am 10. Dezember. Der Konzern werde für Telefonate auf GSM-Netz, über das die allermeisten Mobilfunkgespräche laufen, zum Jahreswechsel den Verschlüsselungsstandard A5/3 einführen, habe das Unternehmen mitgeteilt. Damit seien Gespräche im GSM-Netz besser gegen Abhören gesichert. Die Telekom sei der erste Mobilfunkanbieter in Deutschland, der die Technik landesweit einsetze. Bis zum Jahreswechsel solle die Umstellung, für die 30.000 Handy-Basisstationen aufgerüstet werden, abgeschlossen sein. Im UMTS- und LTE-Netz, auf dem in erster Linie Daten übertragen werden, seien ähnlich starke Verschlüsselungen bereits im Einsatz. Die bislang auf dem GSM-Netz eingesetzte Sprachverschlüsselung gelte seit Jahren als unsicher. Ob mit der neuen Technologie Handynutzer vor den großen Ohren der NSA sicher sind, sei offen. IT-Sicherheit – Versicherungen Cyber-Versicherungen bieten Versicherungsschutz bei Verlust von personenbezogenen, vertraulichen Daten. Krisenmanagementkosten, ein gegebenenfalls entstandener Betriebsunterbrechungsschaden und sogar Zahlungen an Erpresser würden im Versicherungsfall erstattet, schreibt Johannes Behrends, Aon, in der Ausgabe 2-2013 von W&S (S. 26/27). In den USA gebe es eine solche Versicherung schon sei einigen Jahren. Dort unterhielten schon jetzt etwa 14 % aller Unternehmen eine Cyber-Versicherung, Tendenz steigend. Dagegen reagiere der heimische Markt noch sehr verhalten. Deutsche Versicherer zögerten noch, eigene Produkte auf den Markt zu bringen. Allerdings sei davon auszugehen, dass sich der europäische Markt in den nächsten Jahren stark wandeln wird. Cyberpolicen kommen nach Europa, titelt die FAZ am 8. August. Landete das Cyber risiko im globalen „Risk Index“ des Versicherungsmaklers Lloyd’s vor vier und zwei Jahren noch im hinteren Mittelfeld, so habe es in der jüngsten Befragung unter 600 Topmanagern schon an dritter Stelle gelegen. Parallel dazu hätten sich auch die Märkte für Versicherungen gegen Cyberkriminalität entwickelt. In den USA erziele die Assekuranz mit solchen Policen schon heute Beitragseinnahmen von umgerechnet rund einer Milliarde Euro im Jahr. Als wichtigstes Ereignis für das veränderte Bewusstsein sähen Beobachter den Hackerangriff auf Sony im April 2011. Der Ausspähskandal um die NSA habe die Sensibilisierung weiter verstärkt. Seien bei den Amerikanern eher Deckungssummen von etwa 5 Millionen üblich, so stellten Zurich mit 25 und die Allianz mit 50 Millionen Euro deutlich größere Limits bereit. Beide setzten auf modulartige Produkte, die einen Grundschutz enthalten (darunter Haftung gegenüber 115 116 Jahrbuch der Unternehmenssicherheit 2013 Dritten, Wiederherstellungskosten für zerstörte Daten, Cybererpressung) und die man mit Zusatzkomponenten aufstocken könne. Der Sicherheitsberater weist am 15. Oktober auf Versicherungen hin, die Policen zur Absicherung von Cyberrisiken und IT-Schäden anbieten: Neben der Axa-Versicherung seien dies folgende Produkte: „ITSafeCare 2.0“ der Zurich Gruppe, „Allianz Cyber Protect“ der Allianz Global Corporate & Speciality sowie „Cyber+“ von HDI Gerling (S. 311/312). IT-Sicherheit – Virtual Private Network Mastercard und Visa schließen VPNAnbieter aus, meldet SPIEGEL ONLINE am 4. Juli. Ein VPN, ein Virtual Private Network, ermögliche es dem Nutzer, über eine verschlüsselte Verbindung mit dem Browser eine Webseite anzusteuern. Diese Seitenanfrage werde dann vom VPN-Server an die eigentliche Zieladresse weitergeleitet und erhalte dabei eine neue IP-Adresse. Versandte Daten sollen bei diesem System von außen nicht einsehbar sein. Seit dem Wochenende sei es nun nicht mehr möglich, über die Kreditkartenkonten Zahlungen an bestimmte VPN-Provider zu leisten. PaysonKunden hätten eine E-Mail erhalten, in der es heiße, der Finanzdienstleister habe Auflagen in Bezug auf Anonymisierung, einschließlich VPN, erlassen. Die vermutete Ursache liege wohl in der Bekämpfung von Urheberrechtsverstößen und Online-Piraterie. Die FAZ berichtet am 13. August über ein Treffen von Internet-Ingenieuren, die mehr Sicherheit im Netz fordern. Für das Online-Banking sollte über den Einsatz der VPN-Technik nachgedacht werden, habe einer der Vorschläge gelautet. VPN steht für „virtuelle private Netzwerke“. Die Datenpäckchen werden nicht nur verschlüsselt, sondern dazu in anderen Datenpäckchen versteckt (Tunneling). Weil die Päckchen einfach in andere Datenpäckchen mit einer differierenden Internetprotokoll-Adresse versteckt werden, können sie nur mit großem Aufwand zurückverfolgt werden. Die Tagung der IT-Ingenieure habe sich nicht nur mit sicheren Kommunikationskanälen beschäftigt. Es sei auch um Zertifikate gegangen, die eingesetzt werden, um Websites zu legitimieren. IT-Sicherheit – Virtuelle Rechenzentren Achim Kraus, Palo Alto Networks, gibt in der Ausgabe 1-2013 der Zeitschrift <kes> Tipps zur Sicherung virtueller Rechenzentren. Gegenüber physischen Rechenzentren gebe es einige erschwerende Faktoren und neue Herausforderungen. Eine zur Absicherung eingesetzte Security-Lösung sollte in der Lage sein, Applikationen unabhängig von Ports und Protokoll zu erkennen und die Applikationen nach User beziehungsweise Gruppe bereit zu stellen. Das sei wichtig, um Richtlinien umsetzen zu können (S. 62/63). Dipl.-Inf. Alexander von Gernler, genua mbh, warnt in der Ausgabe 6-2013 der Zeitschrift <kes> davor, dass bei heute verbreiteten Virtualisierungstechniken Vorteile durch Einbußen bei der Sicherheit erkauft würden. Als Alternative biete sich eine Separationslösung mit Microkernet-Technologie an, die eine Plattform für virtualisierte Lösungen mit einem hohen Schutzniveau schaffe. Durch die Separation wesentlicher Systemfunktionen eröffneten sich viele interessante Perspektiven für neue hochsichere Plattformen und Produkte (S. 79–82). Jahrbuch der Unternehmenssicherheit 2013 IT-Sicherheit – Web 2.0 Steffen Ullrich und Alexander von Gernler, genua mbH, bieten in der Fachzeitschrift <kes> (Ausgabe 3-2013) Erkenntnisse aus dem Forschungsprojekt Padiofire zur Entwicklung von Methoden zur besseren Absicherung von Web 2.0-Anwendungen. Der Beitrag geht auf die Gefahren im Web 2.0 ein und betrachtet auf Basis erster Studienergebnisse, welche Schutzmechanismen existieren, ob diese ausreichend sind und an welchen Stellen man neue Wege zur Absicherung braucht. Bei Attacken wie CSRF (Cross Site Request-Forgery) sollte klar geworden sein, dass keine Firewall das Intranet oder die internen Router einer Firma schützt. Selbst Passwörter würden nichts nützen, da der Browser bei einem CSRF einfach den aktuellen Session-Cookie des bereits eingeloggten Nutzers mitschickt. An vielen Stellen könne man jedoch durch die Verwendung von Anzeigenblocker und ähnlichen Erweiterungen den Schutz signifikant verbessern. So könnten Nutzer das überbordende Verbrauen von Site-Betreibern in die Sicherheit von Anzeigen- und TrackingNetzwerke einschränken. IT-Sicherheit – Windows 8 Martin Huber, Corporate Trust, Business Risk & Crisis Management GmbH, geht in der Ausgabe 2-2013 der Fachzeitschrift <kes> der Frage nach: Lohnt sich der Einsatz von Windows 8 im Unternehmen? Mit Windows 8 unternehme man erste Schritte, um ein einheitliches Bedienkonzept für alle Geräteklassen (Server, Desktop, Laptop, Tablet, Smartphone) bereitzustellen. Der Autor geht insbesondere auf die neue „Metro“-Applikationsumgebung, auf „Windows-Intune“ und auf verschiedene Sicherheitsaspekte ein (durchgehende Integritätsprüfung auf Plattformebene, Verbesserungen bei der „Bitlocker“-Laufwerksverschlüsselung, integrierter pdf-Betrachter, integrierter Adobe Flash Player, „Windows to go“ für Heimarbeit und BYOD Alternative, Anmeldung mittels Picture Password und integrierte Antimalware-Lösung) ein (S. 17–22). Michael Kranawetter, Microsoft Deutschland GmbH, gibt im zweiten Teil seiner Beitragsserie zu Windows 8 einen Überblick über neue Server-Funktionen. Er beschreibt einige Serverneuerungen, die direkt oder indirekt den vier Schutzbereichen Authentifizierung und Identität, Autorisierung und Isolation, Schutz der Informationen sowie Schutz der Kommunikation dienen. Darüber hinaus seien als hilfreiches Sicherheitsfeature sowohl bei Windows 8 als auch beim Windows Server 2012 „Schadensminderungen“ (Mitigations) einbezogen, die auch im „Enhanced Mitigation Experience Toolkit“ enthalten sind. Um den Überblick über die eigene Systemlandschaft zu behalten, wollten sich Unternehmen auch mit einer Sicherheitsarchitektur ihrer Infrastruktur auseinandersetzen und dies mit entsprechenden Prozessen untermauern (S. 23–28). heise.de weist am 22. August darauf hin, dass – entgegen einer Zeitungsmeldung – das BSI deutsche Unternehmen nicht vor einem Einsatz von Windows 8 warne. Man sehe allenfalls einige kritische Aspekte beim Einsatz von Windows 8 in Verbindung mit einem Trusted Platform Module (TPM). Dies habe vor allem mit dem durch den Einsatz eines Kryptoprozessors bedingten Kontrollverlust zu tun. IuK-Kriminalität Wegen der Komplexität der Thematik und der Unvermeidlichkeit thematischer Überschnei- dungen ist die Untergliederung nicht systematisch, sondern alphabetisch geordnet. 117 118 Jahrbuch der Unternehmenssicherheit 2013 IuK-Kriminalität – Adobe Bei dem Anfang Oktober bekannt gewordenen Einbruch ins Adobe-Netzwerk sollen die Daten von mindestens 38 Millionen Kundenkonten kompromittiert worden sein, meldet heise online am 29. Oktober. Adobe habe nach Bekanntwerden des Lecks alle Passwörter zurückgesetzt. Adobe gehe von einer noch nicht genannten Zahl inaktiver Accounts sowie Testkonten aus, die betroffen gewesen seien. Bekannt sei auch, dass rund 2,9 Millionen verschlüsselte Kreditkartendaten von Kunden betroffen seien. IuK-Kriminalität – Advanced Persistant Threats (APT) Der Journalist Stephan Frey befasst sich in der Dezemberausgabe des Behördenspiegel mit ATPs, umfangreichen und zielgerichteten Angriffen auf besonders sensible Datenstrukturen und IT-Anlagen von mittleren und großen Unternehmen. Wörtlich bedeute der Begriff „eine fortgeschrittene, andauernde Bedrohung“. Ein zusätzliches Charakteristikum sei der optimale Zuschnitt auf den jeweiligen Zweck des Einsatzes, also einer bestimmten Softwareanwendung, die erfolgt, wenn der Angreifer die erforderlichen Rechte besitzt. Als Urheber seien in erster Linie Staaten und ihre Geheimdienste, aber auch konkurrierende Unternehmen, zu nennen. Im Fall eines Angriffs nach dem Beispiel von Stuxnet gebe es kaum eine Möglichkeit, die Schadsoftware zu erkennen, da diese keine Steuerung durch außen erfahre. Es gebe Sicherheitsmechanismen, die die sogenannten fingierten Daten bei einem Datentransfer melden. Dadurch könne ein APT-Angriff verhindert oder der Urheber nachvollzogen werden. Bei Unternehmen mit Zulieferbetrieben könne ein eigenes Netzwerk aufgebaut werden, das regelmäßig Reports erstellt und an das Netzwerk verteilt. Aktuellen Erhebungen zufolge sei nahezu jedes fünfte Unternehmen gefährdet, Opfer eines APT-Angriffs zu werden. Timo Steffens, BSI, behandelt in der Fachzeitschrift <kes> (Ausgabe 5-2013, S. 56–58) Möglichkeiten der Abwehr von APT-Angriffen. Aus Sicht des BSI liege ein APT vor, wenn ein gut ausgebildeter Angreifer mit Rückgriff auf große Ressour- cen sehr gezielt und mit großem Aufwand ein Netz oder System angreift, sich dann in dem System ausbreitet, weitere Hintertüren einbaut, und möglicherweise über längere Zeit Informationen sammelt oder Manipulationen vornimmt. Die Angreifer arbeiteten häufig in thematischen Kampagnen wie beispielsweise Luftfahrt oder Energie. APTs seien darauf ausgelegt, unter dem Radar der klassischen Antiviren-Lösungen zu bleiben. Generell zeige die Erfahrung, dass APTs nicht durch den Einsatz einzelner IT-Sicherheitsprodukte verhindert werden können. Und sie zeige, dass es den Angreifern zu einfach gemacht werde, weil die eigentlichen Basis-Sicherheitsmaßnahmen nicht durchgeführt wurden. Um gegen APTs stets auf dem Laufenden zu bleiben, sei es wichtig, dass sich Unternehmen gegenseitig über gezielte Angriffe informieren. Um die Anonymität der Unternehmen zu bewahren, baue das BSI derzeit eine Austauschplattform auf. Und auf Seiten der Allianz für Cybersicherheit stehe ein anonymes Meldeportal zur Verfügung. Andres Wild, Redwood.Shores (US/CA), geht in derselben Ausgabe (S. 10/11) der Frage nach: „Wie soll man APTs begegnen?“ Für die Implementierung eines starken risikobasierten Ansatzes gebe es eine ganze Menge passender Rahmenwerke: ISO 27000, NIST SP-800-53 & Co. seien keine Unbekannten. Ein möglicher Weg sei die Nutzung einer Methodik mit Überwachungs- und Steuerelementen, die sich bei der Minderung von Risiken realer Bedrohungen als effektiv erwiesen haben. Jahrbuch der Unternehmenssicherheit 2013 Die zwanzig „Critical Controls for Effective Cyber Defense“ seien ein Ansatz, der dieser Methodik entspreche. Sie würden nach Bedarf aktualisiert und lägen aktuell im vierten Release (Version 4.1) vor. IuK-Kriminalität – Banken Das Handelsblatt berichtet am 9. Januar, Hacker aus dem Iran seien für den Zusammenbruch von Banken-Webseiten in den USA verantwortlich. Bank of America, Citigroup und Wells Fargo seien betroffen. Die Hacker sollen Clouds unter ihre Kontrolle gebracht haben. In den vergangenen Wochen habe auch die Intensität der Angriffe zugenommen. Nach Informationen der New York Times sei der Iran für diese Verschärfung verantwortlich. Durch die Attacken sei das Laden der Banking-Webseiten extrem verlangsamt worden. Im schlimmsten Fall seien die Onlineseiten zusammengebrochen und seien für die Bankkunden nicht mehr erreichbar gewesen. Um die Attacken auf die US-Banken durchzuführen, hätten die Hacker Tausende vernetzter Computer genutzt. Diese Clouds würden von Amazon, Google und vielen weiteren kleineren Anbietern betrieben. Das Geschick und die Raffinesse der Attacken weisen laut Offiziellen der US-Regierung und Sicherheitsexperten auf den Iran hin. Die USA verschärfen ihre Warnungen vor Angriffen oder Spionage über digitale Datenkanäle, berichtet die FAZ am 14. März. Alle Bereiche seien gefährdet, von der Regierung über private Netzwerke bis hin zu Infrastruktureinrichtungen. Präsident Obama habe in einem Gespräch gewarnt, dass diese Risiken ständig anstiegen und manche Bedrohungen eindeutig von Regierungen ausgingen. Die Regierung versuche zur Zeit, Unternehmen in den USA auf gemeinsame Standards zum Schutz vor Internetspionage einzuschwören. Die Besorgnis richte sich vor allem auf Wirtschaftsspionage und mögliche Angriffe auf die Infrastruktur wie Elektrizitätsnetze oder Flugsicherung. Dass die Warnungen berechtigt sind, sei zuletzt durch neue HackerAngriffe auf Internetseiten untermauert worden. Eine Internetseite der Großbank JP Morgan Chase sei am 12. März für mehrere Stunden lahmgelegt worden. Andere Banken wie Citigroup, Bank of America und selbst die Notenbank Federal Reserve seien in den vergangenen Wochen Ziel solcher Internetattacken gewesen. Wie auch die FAZ am 21. Mai meldet, waren die wiederholten Hacker-Angriffe auf Internetseiten großer amerikanischer Banken nach Angaben von amerikanischen Sicherheitsbehörden schwerwiegender als bislang bekannt. Große und wichtige Teile der Infrastruktur bei den Banken und in der Telekommunikation seien in einem gefährlichen Ausmaß belastet worden. Zeitgleich seien Seiten von mehr als einem Dutzend Geldhäusern mit Daten überflutet worden und daraufhin abgestürzt. US-Politiker machten dafür den Iran verantwortlich. Am 15. September weist heise online auf einen Bericht der Tageszeitung Daily Mail Online hin, nach dem ein als IT-Techniker verkleideter Mann in die Büroräume der Santander Bank in London eingedrungen sei und einen KVM-Switch an einem der Rechner installiert habe, der sämtliche Eingaben per Maus und Tastatur sowie das Monitor-Bild über einen Ethernet-Anschluss an einen Rechner der Hacker-Gruppe ins Internet geschickt habe. Der womöglich mit einer Funkeinheit kombinierte KVM-Switch habe den Hackern Login-Daten sowie Passwörter übermitteln und einen Remote Access zum Bank-Computer ermöglichen sollen. Allerdings seien Mitarbeiter der Bank misstrauisch geworden und hätten Scotland Yard eingeschaltet. Am 12. September habe die Polizei bei Hausdurchsuchungen zwölf Männer festgenommen, denen der Versuch des 119 120 Jahrbuch der Unternehmenssicherheit 2013 gemeinschaftlichen Bankraubs vorgeworfen werde. Die Polizei habe das robuste Sicherheitssystem des Geldinstituts gelobt. Nach einer Meldung in der FAZ am 20. Dezember haben unbekannte Hacker möglicherweise Bankkarten-Daten von rund 40 Millionen Kunden des amerikanischen Discounters Target erbeutet. Die Angreifer hätten die Informationen wohl über zwei Wochen lang abgegriffen. Unter anderem seien die Magnetstreifen der Karten gestohlen worden. Mit diesen Daten könnten gefälschte Karten produziert werden. IuK-Kriminalität – Bedrohungslage/Entwicklung Das BSI gibt folgenden Überblick über die IT-Sicherheitslage 2013: „Die Bedrohung durch eine Vielzahl von Cyber-Gefahren hält unvermindert an. Weder für Bürger noch für Unternehmen und Behörden sinkt die Angriffslast. Nach Erkenntnissen des BSI nehmen Angreifer verstärkt die Wirtschaft ins Visier, wobei gerade auch mittelständische Unternehmen in besonderem Maße von Wirtschaftsspionage, Konkurrenzausspähung, aber auch Erpressung betroffen sind. Als dominierendes Motiv für Internetangriffe gelten daher nach wie vor finanzielle Beweggründe. Darüber hinaus haben auch Sabotage und der Versuch politischer Einflussnahme durch Hacktivismus im Motivspektrum der Täter deutlich an Gewicht gewonnen. Der Einsatz von Angriffswerkzeugen auch durch nicht professionell agierende Akteure wird durch günstigere Beschaffungskosten leichter möglich. Abseits der Masse an Standardangriffen auf IT-Systeme von Privatnutzern, Behörden und Unternehmen ist eine gesteigerte Zielorientierung, eine weitere Professionalisierung der Angreifer und eine damit gesteigerte Qualität der Angriffe zu beobachten. Mehrstufige Angriffe kombinieren verschiedene Angriffsarten, um sich dem eigentlichen Ziel schrittweise zu nähern. In einigen Fällen wird sogar eigens eine neue Schadsoftware mit speziellen Funktionen konstruiert – etwa zur Tarnung oder um nach dem Angriff Spuren zu verwischen. Keine Ausnahme, sondern die Regel ist dies in professionell ausgeführten, langfristig ausgelegten und umfassenden Cyber-Angriffen – den sogenannten Advanced Persistent Threats (APT). APTs bedrohen die Wettbewerbsfähigkeit der deutschen Industrie durch gezielte Wirtschaftsspionage oder Konkurrenzausspähung. Das BSI geht davon aus, dass heute mindestens jedes international aufgestellte Unternehmen in Deutschland ein potenzielles APT-Ziel ist. Ziel der Angreifer ist, möglichst umfassenden und langfristigen Zugang zu einem Opfer-Netzwerk zu erhalten, um dort sensible Daten zu stehlen. Oft nutzen die Angreifer bei APTs eine Kombination aus Social Engineering und technischen Angriffswerkzeugen. APTs werden in der Regel mit eigens auf das jeweilige Opfer zugeschnittenen Schadcode-Emails ausgeführt. Für hochwertige Spionageprogramme werden oft auch Funktionen zur Tarnung oder zum Verwischen der Spuren entwickelt.“ 97 Schachstellenwarnungen gab das BSI 2012 heraus – darunter monatlich ein bis zwei hochkritische Zero Day Exploits, die bereits am Tag der öffentlichen Bekanntmachung und häufig auch schon viele Tage vorher für Angriffe ausgenutzt wurden. Das BSI beobachtet einen Anstieg von individuell zugeschnittenen und raffiniert getarnten E-Mails, mit denen die avisierten Opfer zum Öffnen des Dateianhangs verleitet oder auf eine manipulierte Webseite gelockt werden sollen. Das dafür nötige Vorwissen über ihr Opfer sammeln Angreifer häufig auf den Webseiten von Unternehmen oder in Sozialen Netzwerken. Bei persönlicher Ansprache und oft gefälschten, aber vertrauenswürdig erscheinenden Inhalten sind IT-Anwender schneller bereit, auf einen scheinbar harmlo- Jahrbuch der Unternehmenssicherheit 2013 sen Link zu klicken. Mangelnde Sensibilisierung im Umgang mit persönlichen und auch betrieblichen Informationen in Sozialen Netzwerken birgt nach Einschätzung des BSI dabei fast ebenso große Risiken wie technisch veraltete Systeme. Schadsoftware wird auch nach wie vor massenhaft ungezielt verbreitet. Längst tot geglaubt, erlebt das Phishing, bei dem potenzielle Opfer per Link in einer E-Mail auf eine gefälschte Webseite gelockt werden, derzeit ein Comeback. Die durchschnittliche Lebenszeit von Phishing-Webseiten ist zwar auf ein Rekordtief gesunken, die Anzahl solcher Seiten aber im Gegenzug wieder deutlich angestiegen. Der Behörden Spiegel weist in seiner AprilAusgabe auf einen strategischen Bericht von EUROPOL zur Prioritätensetzung der Jahre 2013 bis 2017 hin, nach dem der aktuelle und zukünftige Trend der CyberKriminalität zum Hacken von Dienstleistern gehe. Mehrere dieser großen Angriffe seien schon bekannt. Den Angreifern gehe es dabei um die Entwendung großer Datenmengen, die dann gewinnbringend in der Underground Economy verkauft würden. Die Fachzeitschrift IT-Security weist in ihrer Ausgabe 1-2013 (S. 31) darauf hin, dass das Information Security Forum (ISF, www.securityforum.org), eine der weltweit führenden Nonprofit-Organisationen für Informationssicherheit, seinen „Threat Horizon 2015“ vorstellt. Das größte Sicherheitsrisiko für Unternehmen gehe demnach weiterhin von bereits bekannten Faktoren aus. Gleichzeitig würden aber das Entwicklungsniveau und die Komplexität der von diesen Faktoren ausgehenden Risiken stetig steigen, womit die meisten Unternehmen nicht Schritt halten könnten. Das ISF fordere Unternehmen deshalb dazu auf, ihr Risikomanagement so zu gestalten, dass sie jederzeit flexibel auf Veränderungen bei bekannten und neuen Bedrohungen reagieren können. Cyberkriminelle würden genau abwägen, welche Personen im Unternehmen Zugang zu wertvollen Informationen haben und damit potentielle Eingangstore bieten. Das erhöhte Tempo des technologischen Fortschritts verschärfe die Sicherheitslage. Tecchannel.de weist am 21. August auf die Erklärung des BKA-Präsidenten Ziercke hin, die Kriminalität im Internet habe sich in den vergangenen fünf Jahren verdoppelt. Die Aufklärungsquote von 30 % sei völlig unbefriedigend, die Dunkelziffer sehr hoch. Einen drastischen Rückgang der Kriminalität habe es im Bereich Online-Banking durch Phishing gegeben. Dies sei auf die Einführung der SMS-TAN zurückzuführen. Smartphones würden zunehmend von Cyber-Kriminellen attackiert. Einen starken Zuwachs der Internet- und Computerkriminalität registriere das LKA NRW, meldet die FAZ am 12. November. In den ersten zehn Monaten 2013 habe es im Lande 23.104 Fälle von Computerkriminalität gegeben. Das sei ein Zuwachs von 22 % im Vergleich zum Vorjahr. Bei Straftaten der Datenveränderung und der Computersabotage habe es sogar einen Anstieg um rund 60 % auf knapp 6.000 Fälle gegeben. Das Cybercrime-Kompetenzzentrum in Düsseldorf, in dem mit rund 100 spezialisierten Polizeibeamten, Wissenschaftlern und Technikern das Expertenwissen des LKA gebündelt ist, sei mittlerweile die zentrale Anlaufstelle für hilfesuchende Behörden und Unternehmen im Land. IuK-Kriminalität – BKA Die Kosten, die durch Cyberkriminalität entstehen, seien größer als jene, die der Handel von Kokain, Heroin und Marihuana gemeinsam erzeugen, schreibt die FAZ am 13. November. Der Präsident des BKA, Jörg Ziercke, habe bei der Eröffnung der Herbst- 121 122 Jahrbuch der Unternehmenssicherheit 2013 tagung des BKA von der Cyberkriminalität als einer „entgrenzten Kriminalität“ gesprochen, die „ungebremst entwicklungsoffen“ sei und die Strafverfolgungsbehörden an funktionale und territoriale Grenzen bringe. Er habe für eine „public private Partnership“ zwischen Polizei und Wirtschaft geworben und einen Mangel an deliktspezifischer Expertise in den Justizbehörden beklagt. Es mangle an Technik und auch an rechtlichen Voraussetzungen für effiziente Fahndung. Ziercke und Staatssekretär Fritsche vom BMI hätten für die Wiedereinführung der Vorratsdatenspeicherung plädiert. Am Beispiel des BombenAnschlags auf den Boston-Marathon habe der BKA-Präsident verlangt, die Polizei müsse in der Lage sein, große Datenmengen zu sichten, die durch öffentliche Fahndungsaufrufe entstehen können. Es müssten „automatisierte Bearbeitungstools“ dafür aufgebaut werden. Spionage in Deutschland finde auf allen Ebenen statt, insbesondere zu Lasten der deutschen Wirtschaft, habe Fritsche gemahnt. Gerade der hochinnovative Mittelstand sei akut bedroht. BKA-Hacker auf digitaler Spurensuche, titelt DIE WELT kompakt am 30. Januar. Dass bei der Nutzung jedes elektronischen Geräts digitale Spuren anfallen, klinge erst einmal banal. Doch an solche Beweise heranzukommen, erfordere hochkomplexes Handwerk. Um an Daten auf SmartphoneChips heranzukommen, müssten die Chips erst einmal aus den Geräten herausgelötet werden. Um die Chips dabei nicht zu beschädigen, setzten die Forscher auf eine selbst entwickelte Vorrichtung, mit der sie Chips schmelzpunktgenau aus Geräten löten und im Notfall fräsen können. Eine eigens programmierte Software prüfe dabei, welche Leiterbahnen des Chips Daten führen. So bekämen die Ermittler auch Baupläne von Mikro-Controllern , die nicht per Datenblatt verfügbar seien. Mit sogenannten BruteForce-Angriffen, bei denen in Sekundenbruchteilen Tausende Wortkombinationen automatisch ausprobiert würden, ließen sich Kennwörter ermitteln. In komplizierteren Fällen müsse ein Oszilloskop ran. Deutlich schwerer seien die Ermittlungen gegen Skimmer-Banden. Denn die Kriminellen, die EC-Kartendaten mit manipulierten Aufsätzen für Geldautomaten abgreifen, seien bestens ausgerüstet. Die Experten des BKA orteten Verschlüsselungssektoren des Chips per Elektronen-Mikroskop und legten sie mit einer Nano-Fräse frei. Oder sie überbrückten die Stromversorgung des Verschlüsselungssektors mit einem gebündelten Ionenstrahl und löteten Leiterbahnen. BKA will Cybercrime mit Cyberlab und eigener Software bekämpfen, meldet heise online am 12.November. Auf der Herbsttagung des BKA habe Präsident Ziercke den Aufbau eines Cyberlab als kriminaltechnische Servicestelle mit über 100 Cyber-Spezialisten vorgestellt. Sie solle für die „Kryptoanalyse und die Dekryptierung von Verschlüsselungen“ zuständig sein und „digitalelektronische Asservate“ sichern. Das weiteren solle beim BKA eine sichere IT-Infrastruktur zur automatisierten Bearbeitung von Foto- und Videodaten eingerichtet werden. Als zusätzliche Maßnahme habe Ziercke den Aufbau eines Arbeitsbereichs Cyberspionage in der Abteilung Staatsschutz angekündigt. Es gebe aktuell 164 Fälle der Schwerkriminalität, in denen das BKA und die KLA Ermittlungsdefizite hinnehmen müssten, „weil die Überwachung oder Auswertung von Telekommunikation rechtlich oder technisch aufgrund von Verschlüsselung nicht möglich war. Ziercke habe betont, dass eine schnellstmögliche Einführung einer funktionierenden Telekommunikationsüberwachung mit ausreichender Mindestspeicherfrist von IP-Adressen bei den Providern unumgänglich sei. Man würde allerdings zu kurz greifen, wenn man sich ausschließlich auf die Entwicklung digitaler Fahndungsinstrumente konzentriere. Die verdeckte Informationsgewinnung durch spezialisierte Cyber-Ermittler müsse die Abschottung der Kommunikation und Interaktion von Tätern im Internet überwinden. Jahrbuch der Unternehmenssicherheit 2013 IuK-Kriminalität – Bitcoin Heise online berichtet am 13. November über Hackerangriffe auf Bitcoin-Dienste. Gleich drei Fälle von unsicheren BitcoinDienstleistern zeigten die Schattenseiten der noch jungen Wirtschaft rund um die virtuelle Währung. Jüngstes Beispiel sei die gehackte tschechische Bitcoinbörse Bitcash.cz, bei der laut Bericht von Coindesk rund 4.000 Kunden mit ihren Accounts betroffen sein sollen. Angreifer sollen sich bei einem Angriff Zugriff auf die Server inklusive der Kunden-Wallets verschafft haben. In einer Phishing-Mail hätten sich die Hacker als Börsenbetreiber getarnt und Kunden zu einer Bitcoinzahlung aufgefordert, die für einen vermeintlichen US-Service nötig sei, der ihre verlorenen Guthaben zurückholen könne. Bereits Ende Oktober sei eine in China aktive Bitcoin-Börse ohne Benachrichtigung der Kunden aus dem Netz verschwunden.Verschwunden seien gleichzeitig die Einlagen der Kunden mit Guthaben in einem Wert von rund 25 Millionen Yuan. IuK-Kriminalität – Botnetze Wenn drei leichtsinnige Grundeinstellungen zueinander kommen, können sich Kriminelle über einfach erreichbare Geräte und Industriesteuerungsanlagen freuen. Das stellt nach einer Meldung von heise online am 27. Mai das australische Computer Response Team fest. Ein kriminell genutztes Botnetz habe sich auf Geräten ausgebreitet, die erstens über das Internet erreichbar sind, die zweitens über Port 23 einen Telnet-Zugang ohne Firewall bereitstellen und die drittens Standardlogindaten verwenden. Über „ifconfig“ seien die Geräte zu identifizieren gewesen. Dass die Geräte so ungeschützt seien, läge an den Herstellern und nicht etwa an „dummen“ Nutzern. Nutzer könnten die Grundeinstellungen nachträglich oft kaum beeinflussen. SecuPedia gibt in einem Newsletter Tipps zur Abwehr von Bots, die als „dark clouds“ die Speicher- und Rechenleistung von Millionen verteilter PCs bündeln und Hackern zahllose lukrative Einsatzmöglichkeiten bieten. Bei der Abwehr der Botnetze könnten Unternehmen auf eine breite Palette von Best Practice-Ansätzen zugreifen. Folgende 10 Regeln werden empfohlen: 1. Aktueller Desktop-Antivirus ist Pflicht. Bei der Produktauswahl sei darauf zu achten, dass die Lösung neben E-Mails und Attachements auch Downloads scannen und dafür klassische Pattern- und Signatur-Filter unterstützen könne. 2. Ergänzung durch ein Mail-Gateway, wobei der Gateway und der Desktop-AV von verschiedenen Herstellern stammen sollten, 3. Malware aus dem Internet durch ein Web-Gateway stoppen, das über URL- und Kategorie-Filter Zugriffe auf kompromittierte Seiten stoppt. 4. Firewall restriktiv konfigurieren. Sie sollte lediglich tatsächlich benötigte Ports und Protokolle zulassen. 5. Die Anwendungsebene mithilfe einer Next Generation Firewall oder einer dedizierten App Control-Lösung im Auge behalten. 6. Bei kritischen Web-Anwendungen lohnt sich eine Web Application Firewall, die als „lernendes System“ gängige Angriffsmuster stoppt. 7. Ein Intrusion Detection System garantiert höchste Transparenz. 8. Unternehmensweite Security-Suite installieren, die zumindest eine Personal Firewall, Mobile AV, sicheren Remote Access und zentralisierte Management-Features umfasst. 9. Sich über neue Produkte auf dem Laufenden halten. 10. Mitarbeiter schulen. 123 124 Jahrbuch der Unternehmenssicherheit 2013 IuK-Kriminalität – China China soll die „New York Times“ ausgespäht haben, meldet die FAZ am 1. Februar. Wie die „New York Times“ berichtet habe, hätten die Hackerangriffe auf die Computer der Zeitung unmittelbar nach der Veröffentlichung eines gründlich recherchierten Artikels vom 25. Oktober begonnen. Darin sei der immense Reichtum der Familie des chinesischen Ministerpräsidenten Wen Jiabao beschrieben worden. Die Hacker hätten sich zunächst Zugang zu Computern an amerikanischen Universitäten verschafft. Die Angriffe seien dann über diese Rechner geführt worden. Mit Schadsoftware, die über Emails auf die Computer von 53 Mitarbeitern außerhalb der Redaktion installiert worden sei, hätten die Angreifer Zugang zu den E-Mail-Konten beinah aller Mitarbeiter des Blattes erlangt. Der Angriff mutmaßlich im Auftrag des Pekinger Regimes handelnder Hacker sei kein Einzelfall. Die Nachrichtenagentur Bloomberg habe im vorigen Jahr ebenfalls von einem Hackerangriff aus China berichtet, während Mitarbeiter der Agentur für einen Bericht über das Vermögen der Familie des heutigen Parteichefs Xi Jinping recherchierten. Auch beim Rüstungskonzern Lockheed Martin und bei der amerikanischen Handelskammer habe es Hackerangriffe gegeben, die offenbar von China ausgingen. Iran werde dagegen hinter Hackerangriffen auf die Websites von mindestens neun amerikanischen Banken sowie von Ölunternehmen in Saudi-Arabien seit September vermutet. Die bis heute andauernden Angriffe gegen Banken dürften Vergeltungsschläge für den – offiziell nie bestätigten – israelisch-amerikanischen Angriff mit dem Stuxnet-Virus auf iranische Atomanlagen gewesen sein. Wie die ASW am 11. Februar unter Hinweis auf das BfV mitteilt, konnten im Zusammenhang mit dem 18. Nationalkongress der Kommunistischen Partei Chinas im November 2012 mit Schadsoftware versehene E-Mails festgestellt werden, die auf einen staatlichen chinesischen Ursprung hinweisen. Adressaten der infizierten E-Mails seien unter anderen Vertreter internationaler sowie deutscher Medien und Mitarbeiter einer staatlichen deutschen Außenhandelsorganisation gewesen. Als Absender sei eine Adresse des chinesischen Außenministeriums angegeben gewesen. Bei der Schadsoftware habe es sich um einen als Anhang versandten so genannten Trojaner gehandelt, der typische Ausspähungsmerkmale aufwies. Die für den Rückmeldeweg der Schadsoftware genutzte Infrastruktur bei einem chinesischen Anbieter auf chinesische Namen und Anschriften registriert. Bei diesem offenkundig von staatlichen Stellen der VR China gestützten elektronischen Angriff sei ein Hauptfokus auf die Berichterstattung der Medien über den 18. Nationalkongress in Peking festgestellt worden. In derselben Mitteilung wird darauf hingewiesen, dass die für die Einreise in die VR China geltenden Visaformulare eine Vielzahl an Fragen zur persönlichen sowie beruflichen Situation enthalten. Von Geschäftsreisenden seien ausführliche Angaben zur beruflichen Tätigkeit, zum Reisezweck, zu geplanten Aufenthaltsorten sowie zu Kontaktstellen und -personen in China zu machen. Diese Angaben dienten einer umfassenden staatlichen Kontrolle. Auch die Nutzung von Daten- und Kommunikationsdiensten unterliege ihr. Ziel sei in der Regel die direkte Beschaffung sensibler Informationen und die Möglichkeit verdeckter Manipulation von Datenträgern und Kommunikationsgeräten von Geschäftsreisenden. Auch nach Rückkehr aus China könne mit Schadsoftware manipulierte Technik Informationsverluste verursachen. Dies gelte insbesondere für eine weitere Verwendung dieser Geräte in Firmennetzwerken. Während des Aufenthalts in der VR China sollten insbesondere folgende Sicherheitsempfehlungen berücksichtigt werden: Einschränkung von Jahrbuch der Unternehmenssicherheit 2013 elektronischer Kommunikation auf das unumgängliche Maß; Beschränkung der Datenträger auf die für den Reisezweck notwendigen Daten; Wachsamkeit und Sensibilität gegenüber Dienstleistern; keine Aufbewahrung sensibler Unterlagen und entsprechender Geräte in Fahrzeugen und Hotelzimmern. Die FAZ meldet am 25. Februar, Verfassungsschützer hätten 2012 mehr als tausend Angriffe chinesischer Hacker auf Computer deutscher Bundesbehörden und Unternehmen registriert. Vor einigen Monaten habe es eine „bemerkenswerte“ Attacke auf die Rechner von EADS gegeben. Auch ThyssenKrupp habe Mitte 2012 Angriffe beklagt, die „eine besondere Qualität“ hatten. Die Attacke sei zwar in den USA erfolgt, die Adressen der Täter seien aber chinesisch. „Chinas Militär unter Hacker-Verdacht“ titelt die FAZ am 20. Februar. Eine am 19. Februar vorgelegte Studie des auf Netzwerksicherheit spezialisierten amerikanischen Unternehmens Mandiant Corp. komme zu dem Ergebnis, dass eine geheime Militäreinheit im Auftrag der chinesischen Regierung seit Jahren mit systematischen Hacking-Angriffen sensible Informationen von amerikanischen Unternehmen stehlen. Mehr als 140 Unternehmen und andere Organisationen seien seit 2006 Ziel solcher Attacken geworden, die sich zum Teil über mehrere Jahre hingezogen hätten. Das Bundesamt für Verfassungsschutz (BfV) weist in seinem Newsletter am 8. April darauf hin, dass Firmenhinweisen und Pressemeldungen zufolge in der VR China ansässige Firmenniederlassungen deutscher Unternehmen von regionalen Polizeibehörden aufgefordert werden, eine technische Kontrolle des Internet-Datenverkehrs zu ermöglichen. Bei dem von chinesischen Behörden zertifizierten und von einem chinesischen Hersteller stammenden MonitoringDevice soll es sich um ein Gerät handeln, das zwischen einem Internetrouter und dem angeschlossenen Netzwerk geschaltet wird. Dadurch solle die Erfassung unverschlüsselter Daten wie Browserinhalte, Downloads und Uploads, durch staatliche chinesische Stellen sichergestellt werden. Als Begründung für eine Intensivierung der staatlichen Internetkontrolle werde angegeben, eine illegale Nutzung des Internets durch chinesische Staatsbürger, z. B. als Unternehmensbeschäftigte, zu unterbinden. Eine Nichtbeachtung der geförderten Maßnahmen würde eine Sanktionierung nach sich ziehen. Ein Zusammenschluss internationaler Unternehmen in der VR China – „Quality Brands Protection Committee“ – soll seine Mitgliedsunternehmen auf entsprechende Forderungen der Behörden in Peking und in den Provinzen Hebei und Shandong hingewiesen haben. Demnach sei ein „Internet Security Censor Managing System“ zu installieren, das innerhalb des Firmennetzwerkes eingesetzt werden müsse. Aus den Meldungen sei derzeit nicht gesichert, ob generell eine Installierung innerhalb eines Firmennetzwerkes erforderlich ist oder eine Verwendung außerhalb einer Firmenfirewall als ausreichend angesehen wird. Insbesondere der Einsatz von technischen Kontrollmaßnahmen innerhalb von Firmennetzwerken durch chinesische Behörden würde das Risiko eines ungewünschten Know-how-Abflusses oder auch der Sabotage deutlich erhöhen. IuK-Kriminalität – Elster Das BSI weist am 31. Januar auf eine SpamWelle hin, mit der aktuell angebliche ELSTERSteuerbescheide an Bürger verschickt werden. Die angehängte, per ZIP gepackte Datei „ELSTER.de“ enthalte einen Schadcode. Be- kannt seien bisher folgende Versandadressen: [email protected], [email protected], [email protected], [email protected]. 125 126 Jahrbuch der Unternehmenssicherheit 2013 IuK-Kriminalität – Finanzinfrastruktur Wie heise online am 22. Oktober meldet, haben mehr als 50 Institutionen in New York bei der Übung Quantum Dawn 2 einen Cyberangriff auf die Finanzinfrastruktur in den USA durchgespielt. Die Angreifer seien dabei größtenteils erfolgreich gewesen: Nach fünf Stunden sei der simulierte Börsenhandel an der Wallstreet vorsichtshalber ausge- setzt worden. Während des sechsstündigen Cyber-Manövers hätten Hacker die Konten von Aktienhändlern übernehmen und den Markt mit Wertpapieren überschwemmen können. Bei dem Manöver habe vor allem das Krisenmanagement der Beteiligten auf dem Prüfstand gestanden. IuK-Kriminalität – Geheimdienste Der BND rüste für den Kampf gegen die über das Internet geführten digitalen Spionageattacken personell auf, berichtet SPIEGEL ONLINE am 24. März. BND-Chef Gerhard Schindler habe eine kleine Runde von Bundestagsabgeordneten darüber unterrichtet, dass sich eine neue Abteilung, die sich ausschließlich mit Hackerangriffen auf Bundeseinrichtungen und die deutsche Industrie beschäftigt, bis zu 130 Mitarbeiter stark werden solle. Deswegen müsse der BND auch Expertisen von Software-Unternehmen einkaufen, die sich auf AntivirenProgramme spezialisiert haben. Schindler habe ein drastisches Bild der Bedrohung durch Cyberspionage gezeichnet, die vor allem von China ausgehe. Dort arbeiteten nach BND-Erkenntnissen bis zu 6.000 Experten in einer eigens eingerichteten Abteilung des Verteidigungsministeriums, die sich auf die Abschöpfung von Technologieunternehmen und Rüstungskonzernen aus dem Ausland spezialisiert haben. Russland betreibe eine ähnlich aggressive Cyberstrategie. Allerdings seien die staatlichen Hacker dort als private Firmen getarnt. In den letzten Monaten habe der Dienst pro Tag drei bis fünf Attacken allein auf Bundes- und Regierungsstellen in Deutschland registriert. Die NSA-Spionageaffäre beunruhigt auch deutsche Unternehmen. Wurden vom USGeheimdienst unter dem Deckmantel des Kampfes gegen den Terror Firmengeheimnisse ausgespäht?, fragt Deutsche Welle. Der Vorsitzende der CSU-Mittelstands-Union, Hans Michelbach, sehe die mutmaßliche Überwachung von EU-Institutionen als Alarmsignal. Die EU sei kein Unterstützer von Terroristen, wohl aber ein starker Konkurrent auf dem Weltmarkt. Wirtschafts- und Unternehmensverbände drängten auf Klärung, welche Daten tatsächlich gespeichert und wie sie weiterverwendet wurden. Dass Firmen-Know-how weitergegeben sein könnte, sei erst einmal nur ein Verdacht. Rainer Glatz vom VDMA wünsche sich neben der Aufklärung über die Verwendung der Daten vor allem ein internationales Abkommen, in dem Datenschutz und Rechte an geistigem Eigentum klar geregelt werden. Darüber hinaus müssten die Unternehmen aber selbst aktiv werden. Beim Schutz ihres Know-how könnten sie sich nicht allein auf den Staat verlassen. Die Wirtschaftswoche geht am 8. Juli der Frage nach, „was wirklich hinter Prism & Co. steckt“. Erstmals habe 2004 laut Geheimdienstexperten das atomgetriebene U-Boot USS Jimmy Carter am Meeresgrund unbemerkt Glasfaserkabel anzapfen können. Das sei eine Revolution in der Geheimdienstwelt gewesen, denn durch die Datenadern in Atlantik und Pazifik poche der Puls der weltweiten Kommunikation: Telefonate, E-Mails, alles, was Menschen und Unternehmen elektronisch austauschen. Das sei nur der erste Schritt gewesen. Seit 2011 arbeiteten die US-Agenten zusätzlich mit britischen Kollegen und privaten Telekommunikationsfirmen zusammen, um dort Jahrbuch der Unternehmenssicherheit 2013 Daten abzufangen, wo es zuvor unmöglich gewesen sei: an den wichtigsten Netzknotenpunkten, durch die der Datenstrom zwischen Europa und den USA fließt. Ziel von Spionageprojekten wie Tempora und Prism sei nicht bloß Terrorabwehr. Per Datenanalyse entschlüsselten sie auch die Geheimnisse der Wirtschaft. Die USA hätten mehrfach von der NSA abgefangene Informationen gegen europäische Wettbewerber eingesetzt: In den Neunzigerjahren etwa habe der Dienst Telefonate des französischen Rüstungskonzerns Thomson-CSF mit Brasilien abgehört. Denen zufolge bestachen die Franzosen Regierungsmitglieder, um einen Satellitenauftrag an Land zu ziehen. Amerika habe dies publik gemacht, das Geschäft habe der US-Konkurrenz Raytheon erhalten. Ähnlich sei es Airbus etwa zur selben Zeit bei einem Auftrag in Saudi-Arabien ergangen. Längst habe Großbritannien eingeräumt, bei Spionage gehe es neben Sicherheit auch um nationale Prosperität. In Frankreich gebe es sogar eine Schule für Wirtschaftsspionage. Kaum ein Experte bezweifle, dass die Datenanalyse immer öfter auch gegen Unternehmen angewendet wird, um Geheimnisse zu erfahren. In wenigen Stunden könnten Spione mit modernen Big Data-Techniken ausspähen, wofür sie noch vor einer Dekade Wanzen und Minikameras installieren mussten. Lange habe die Industrie die Gefahren verdrängt, jetzt sei das Erschrecken groß. Thomas Lindner, Präsident beim VDMA, beobachte „im Süden und Westen Deutschlands eine wachsende Zahl von Spionagefällen“. Studien bestätigten das: Jedes fünfte deutsche Unternehmen, so eine repräsentative Erhebung der Unternehmensberatung Corporate Trust, sei in den vergangenen drei Jahren Opfer eines Spionageangriffs geworden. Der dadurch entstandene Schaden sei auf 4,2 Milliarden Euro gestiegen – auf 50 % über dem Wert von 2007. Erst kürzlich seien Analytiker des Sicherheitsdienstleisters Integralis bei einem Automobilzulieferer im zentralen Server auf eine Software gestoßen, die sämtliche Druckaufträge des Unternehmens kopierte und an eine externe Adresse schickte. Besonders oft fingen die Cyber-Spione den Sprach- und Datenverkehr direkt in Mobilfunknetzen oder Datenkabeln ab. Zweites bevorzugtes Ziel seien die Server, auf denen Unternehmen ihre Geschäftsgeheimnisse ablegen. Erst recht spiele der Trend zum Speichern und Verarbeiten von Daten auf Speichern im Internet, das sogenannte Cloud-Computing, den elektronischen Spionen in den Lauf. Schließlich warnten Sicherheitsberater vor Risiken, die von Betriebssystemen wie Windows, MacOS, aber auch Android und dem iPhoneSystem iOS ausgingen: Sie ließen sich kaum schützen, weil nicht klar sei, ob und welche Hintertüren Microsoft, Apple und Google im Auftrag der US-Geheimdienste eingebaut haben. Die Verantwortlichen des Chemiekonzerns Lanxess hätten daraus Konsequenzen gezogen: Das Unternehmen verzichte auf US-Schutzsoftware. Die US-Sicherheitsbehörden verlangen einem Bericht des US-Fachdienstes „Cnet“ zufolge Nachschlüssel für verschlüsselte Internetverbindungen von US-Unternehmen, meldet SPIEGEL ONLINE am 25. Juli. Die Geheimdienst-Allianz aus NSA und britischem GCHQ habe sich offenbar in großem Stil Zugriff auf die Datenkabel verschafft, die etwa Europa und Amerika miteinander verbinden. So könne der Datenstrom ausgeleitet, zwischengespeichert und nach Belieben durchforstet werden, es sei denn, er ist verschlüsselt. Die Grundfrage, vor der freiheitliche Gesellschaften nun stünden, seien diese: Haben freie Bürger ein Recht auf verschlüsselte Kommunikation – und haben Sicherheitsbehörden ein Recht auf Nachschlüssel? Der nächste „Crypto War“ sei längst in vollem Gange. Schon im Jahre 2010 habe das FBI ein neues Gesetz gefordert, das Strafverfolgern auch Zugriff auf verschlüsselte Kommunikationskanäle wie Skype zusichern sollte. Dank Edward Snowden sei bekannt, dass die FBI und NSA sich längst Zugriff auf verschlüsselte Kommunikationskanäle wie Skype verschafft hätten – ohne neues Gesetz, sondern mit Hilfe des geheimen Fisa-Gerichts der USA. Fast kurios mute an, dass sogar In- 127 128 Jahrbuch der Unternehmenssicherheit 2013 nenminister Friedrich derzeit zur Verschlüsselung rät – gegen die Interessen seiner eigenen Sicherheitsbehörden. Solange die Balance zwischen Rechtsstaat und Sicherheitsbedürfnis nicht wiederhergestellt sei, sei Verschlüsselung eine der wenigen Möglichkeiten der Notwehr, die den Bürgern geblieben sei. Der Ruf nach einem nationalen Internet sei im Zeichen der Geheimdienstaffäre wieder laut geworden, schreibt die FAZ am 3. Dezember. Und die Deutsche Telekom habe jüngste Pläne für ein sogenanntes „Schengen-Routing“ vorgelegt. Internetprovider und Sicherheitsexperten bewerteten diese Pläne unterschiedlich. Um den innerdeutschen Datenverkehr nur über Server in Deutschland laufen zu lassen, müssten die Server- und Leitungskapazitäten erheblich ausgebaut werden. Die Abwicklung sämtlichen Datenverkehrs über die Netzknoten der SchengenStaaten würde mit der sukzessiven Einführung des neuen Internetprotokolls Version 6 in technischer Hinsicht immer einfacher. Aber von mehreren Seiten rege sich Widerstand gegen die Pläne der Telekom. Sie würde vom Schengen-Routing oder gar einem nationalen Internet erheblich profitieren, denn ihr gehöre ein Großteil der Leitungsinfrastruktur in Deutschland. Sicherheitsexperten gäben zudem zu bedenken, dass mit Blick auf den Datenschutz und bei der Verhinderung von Datenspionage nicht allzu viel mit solchen Routingplänen zu holen sei. IuK-Kriminalität – Hacking Mit den „üblen Tricks der Online-Betrüger“ befasst sich das Handelsblatt am 22. Januar. Wer als Einbrecher heute noch zur Axt greift, wer Banken überfällt oder Tresore knackt, der habe den digitalen Wandel verpasst – und setze sich unnötigen Risiken aus. Im Zeitalter des Cybercrime gingen erfolgreiche Hacker, Spione und Internet-Kriminelle virtuell auf Beutezug. An die Stelle von Brecheisen, Schweißgerät und Pistole seien Spam-EMails, Trojaner, Computer-Würmer getreten und – allen voran – das Wissen um verborgene Schwachstellen in populärer PC-Software. Die Schwachstellen – Hacker nennen sie Bugs – öffneten geheime virtuelle Türen in Computern. Um sie zu finden, verwendeten Bug-Jäger eine Art hochintelligenter Rechtschreibprüfung. Die durchforste automatisch die oft Millionen Zeilen langen Programmcodes anderer Software nach Schreibfehlern. Wer diese Fehler kenne, könne Spionageprogramme schreiben, die Passwörter und Kontodaten ausspionieren. Er könne aber auch Computerwürmer programmieren, die sich weltweit in Rechnernetzwerken ausbreiten und sie lahmlegen. So biete zum Beispiel der Hacker Thaddeus Grugq sogenannte Exploits an, so etwas wie digitale Dietriche, auf einem boomenden globalen Markt für hoch spezialisierte Angriffsprogramme an. Geheimdienste würden primär das Geschäft antreiben. Wie ZEIT ONLINE am 6. Februar meldet, sind Hacker in das interne Netzwerk der US-Notenbank eingedrungen. Die Federal Reserve Bank habe den Angriff bestätigt. Das Internetmagazin ZDNet habe berichtet, dass Anonymous Kontaktinformationen und Zugangsdaten der Notenbank-Mitarbeiter veröffentlicht habe. Eine Sprecherin der Federal Reserve habe mitgeteilt, dass die Informationen durch eine „temporäre Schwachstelle“ bei der Website eines Anbieters abgerufen werden konnten. Es seien keine kritischen Bereiche der Notenbank betroffen, die Lücke sei schnell wieder geschlossen worden. heise online meldet am 14. Januar, dass die Sicherheitsexperten von Kaspersky Labs offenbar einen massiven Fall von Cyberspionage aufgedeckt haben. Seit geschätzten fünf Jahren seien dabei Rechnernetzwerke von diplomatischen Vertretungen, Regierungsund Handelsorganisationen, Energie-Konzerne sowie Einrichtungen der Forschung, der Jahrbuch der Unternehmenssicherheit 2013 Luftfahrt und des Militärs infiltriert worden. Über eine ausgeklügelte Infrastruktur hätten die unbekannten Hacker vermutlich Terabyte an geopolitischen Informationen und Daten höchster Vertraulichkeit erbeutet. Betroffen von der umfassenden Spionage seien hauptsächlich Organisationen aus osteuropäischen und zentralasiatischen Ländern sowie aus den ehemaligen Sowjet-Republiken gewesen. Westeuropäische und nordamerikanische Institutionen sollen nur im geringen Umfang ausspioniert worden sein. Der gesamte Aufbau sei ähnlich komplex geschachtelt wie bei der Flame-Malware. Die Server seien in einer Kette strukturiert. Die Angriffe seien mindestens seit Mai 2007 geführt worden. Die Malware selbst sei ähnlich vielschichtig. Die Experten hätten mehr als 1.000 Dateien identifiziert, die sich rund 30 verschiedenen Funktions-Modellen zuordnen ließen. Neben Angriffen auf Workstations sollen die Malware-Module zum Datenraub von mobilen Geräten ebenso in der Lage sein wie zum Anzapfen von Netzwerkkomponenten und lokalen FTP-Servern. Ferner seien Dateien von USB-Speichermedien erbeutet worden. Um die Infektionen einzuleiten, hätten die Hacker offenbar „Spear Phishing“ betrieben: Ausgewählten Opfern seien E-Mails mit angehängten infizierten Dokumenten zugeschickt worden. Bestimmte Hinweise wie linguistische Eigenarten im Code würden darauf hindeuten, dass die Malware-Module von russischen Hackern entwickelt wurden. Computer-Hacker seien in ein Datenzentrum für Reisebuchungen eingedrungen und hätten Kreditkartendaten entwendet, meldet die FAZ am 23. April. Eine Sprecherin des Reisedienstleisters Traveltainment habe betroffene Geschäftspartner informiert. Mehrere Reiseveranstalter wie Opodo.de und DER Touristik hätten sich an Kunden gewandt, die kürzlich eine Reise gebucht hatten, und empfohlen, die Kreditkarte gegebenenfalls sperren zu lassen. Hacker sorgen für Milliarden-Chaos an den Märkten, berichtet DIE WELT am 23. April. Eine gefälschte Twitter-Meldung habe neue Ängste um die Stabilität der Finanzmärkte ausgelöst: Die US-Nachrichtenagentur Associated Press (AP) hatte von einem Anschlag auf das Weiße Haus berichtet. Die Nachrichtenagentur habe jedoch kurz darauf den Hinweis geschickt, dass ihr Zugang gehackt worden sei. Doch an den Finanzmärkten habe die Aktion der Hacker für kräftigen Wirbel gesorgt. Unmittelbar nach der gefälschten Nachricht sei der Dow Jones Index um 143 Punkte abgesackt. Aktienkurse seien zunehmend das Ergebnis von Computerprogrammen und Algorithmen. Die zunehmende Verbindung mit sozialen Netzwerken erhöhe die Anfälligkeit des Systems. Twitter, Facebook und Co. multiplizierten und verbreiteten in Windeseile Nachrichten in jeden Winkel der Erde. Mit gefälschten Nachrichten könnten also Märkte manipuliert werden, um daraus Profit zu schlagen. Twitter warne Medienunternehmen vor weiteren Hackerangriffen. Konten sollten zur Sicherheit nur von einem speziellen Rechner aus befüllt werden. Am 19. September berichtet heise online über eine äußerst raffinierte und bisher unbekannte Gruppe von Hackern, die neuen Erkenntnissen zufolge hinter einer ganzen Reihe von spektakulären Hacks seit 2009 stehe. Unter anderem seien die Hacker bei der Sicherheitsfirma Bit9 eingebrochen, um ihren Schadcode mit gültigen Zertifikaten zu versehen und so in Firmen der Rüstungsindustrie einzuschleusen. Das Team, von Symantec in dem jetzt veröffentlichten Exposé als „Hidden Lynx“ bezeichnet, bestehe aus 50 bis 100 Hackern und zeichne demnach für Angriffe auf Hunderte von Organisationen weltweit verantwortlich. Die Gruppe scheue sich auch nicht vor erheblichem Aufwand, um ihre Ziele zu erreichen. Angriffe, die die Sicherheitsinfrastruktur oder Zulieferer des eigentlichen Ziels ausnutzen, um sich Zugriff zu dessen System zu verschaffen, würden sich häufen. So sei zum Bespiel 2011 die Firma RSA gehackt worden, um im Endeffekt Lockheed Martin anzugreifen. Einen Schaden zwischen 7.000 und 22.000 Euro haben bislang unbekannte Täter bei 129 130 Jahrbuch der Unternehmenssicherheit 2013 jeweils drei mittelständischen Unternehmen im Rems/Murr-Kreis mit TelefonanlagenHacking innerhalb von 5 Wochen angerichtet, berichtet die ASW am 19. Juli. Sie manipulierten die Telefonanlage und richteten Anrufweiterleitungen ins Ausland ein, wodurch immense Telefonverbindungskosten entstünden. Das Phänomen beschäftige die Polizei seit einiger Zeit im ganzen Bundesgebiet. Die Täter machten sich den Umstand zunutze, dass dort, wo Telefonanlagen mit einer integrierten Voicemail-Funktion, sprich Anrufbeantworter, benutzt werden, in der Regel noch das herstellerseitig vergebene Passwort bzw. der Zugangscode aktiv ist. Die Hacker verfügten teils über eigene Suchwerkzeuge, um solche Anlagen über das Internet ausfindig zu machen. Die werkseitig vergebenen Zugangscodes kursierten zumeist im Internet. Es folge ein Täteranruf, in aller Regel am Wochenende oder in einer Zeit, in der am ausgewählten Anschluss niemand erreichbar sein dürfte. In dem Moment, in dem der Anruf dann an die Mailbox weitergeleitet wird, erreiche der Täter über den werkseitig vergebenen Zugangscode den Konfigurationsmodus und sei dann in der Lage, auf diesem Anschluss eine Anrufweiterleitung einzurichten. Der werde dann exzessiv genutzt. Mehrere tausend Anrufe in einer einzigen Nacht seien die Regel, unter Umständen erfolgten diese Anrufe automatisiert. Die Kriminalpolizei rät: 1. Auf die Voicemail-Funktion möglichst verzichten und sie deaktivieren; 2.jedenfalls unbedingt das werkseitig vergebene Passwort ändern; 3. Wenn möglich herkömmliche Anrufbeantworter nutzen (stand alone-Geräte); 4. Einzelverbindungsnachweise kontrollieren; 5. Telefonate ins Ausland sperren lassen, sofern betrieblich vertretbar. IuK-Kriminalität – Haftung Der Diebstahl von Kundendaten oder Geschäftsgeheimnissen Dritter sowie die Weiterverbreitung von Viren oder Schadprogrammen können zu Schadenersatzklagen führen, erläutern Rechtsanwälte Stefan Schuppert und Markus Burckhardt in der FAZ am 2. Oktober. Kunden oder Mitarbeiter eines Unternehmens, die durch dessen IT-Systeme geschädigt werden, könnten grundsätzlich vertragliche Schadenersatzansprüche geltend machen. Auch Dritten gegenüber sei eine Deliktshaftung nicht ausgeschlossen. Dies gelte auch für mögliche Sammelklagen. Ferner drohten bei bestimmten Verstößen erhebliche Geldbußen. Ein umfassendes IT-Sicherheitskonzept müsse neben technischen Maßnahmen auch die betriebliche Organisation, die Überprüfung von Mitarbeitern und Dienstleistern sowie die Vertragsgestaltung miteinbeziehen. Zudem sollten Notfallpläne mit klaren Handlungsanweisungen und Verantwortlichkeiten erstellt und kommuniziert werden. Die Einhaltung von Sicherheitsstandards habe auch für eine mögliche Haftung gegenüber Dritten große Bedeutung. Die Einhaltung vorhandener Normen führe zwar nicht zu einem gesetzlichen Haftungsausschluss. In aller Regel werde man in diesem Fall aber eine Pflichtverletzung verneinen können. Die Durchsetzung von Regressansprüchen gegen die Cyberkriminellen sei schwierig, denn die Angriffe erfolgten oft aus dem Ausland. Bei effektiver Einbindung von IT-Forensikern und Behörden in den Zielländern ließen sich Ansprüche unter Umständen vorläufig sichern und Vermögenswerte einfrieren. Hackerangriffe auf Unternehmen können ruinöse Haftungsansprüche zur Folge haben, schreibt auch das Handelsblatt am 5. November. Die Sicherheitsbarrieren vieler Unternehmen böten nur wenig Schutz. Laut einer KPMG-Studie sei jeder vierte Betrieb im deutschsprachigen Wirtschaftsraum in den vergangenen beiden Jahren Opfer von Cyberattacken geworden. Nach einer Erhebung von Freshfields hätten börsennotierte Unternehmen in den vergangenen drei Jahren durch Cyberattacken allein am ersten Handelstag Jahrbuch der Unternehmenssicherheit 2013 nach dem Vorfall insgesamt 38 Milliarden Euro ihres Börsenwertes verloren. Auch die Haftungsrisiken seien immens. Verliere ein Unternehmen etwa die Kreditkartendaten seiner Kunden, müsse es jedem Einzelnen eine neue Karte ausstellen. Wer belegen könne, dass sein Sicherheitssystem auf dem Stand der Technik ist, minimiere nicht nur sein Haftungsrisiko. Er erhalte sich auch das Vertrauen seiner Kunden und Geschäftspartner. IuK-Kriminalität – Java Nach einer Meldung von heise online vom 21. November haben Sicherheitsexperten von Symantec einen Wurm entdeckt, der Apaches Java-Webserver Tomcat befällt und auf diesen Hintertüren öffnet. Er verbreite sich in der Form eines Java-Servlets und könne von Server zu Server springen. Werde der Schadcode vom Java-Server ausgeführt, melde sich das System in einem IRC-Chatroom an und warte auf weitere Befehle. IuK-Kriminalität – Phishing Am 12. Januar warnten das BSI und das BKA vor derzeit im Umlauf befindlichen E-Mails mit dem Betreff „Verifizierung ihrer Kreditkarte“. Die Empfänger wurden aufgefordert, einen in der E-Mail enthaltenen Internet-Link mit der Bezeichnung „VeriSign“ anzuklicken. Auf der sich dann öffnenden Webseite sollen Kreditkartendaten eingegeben werden, um diese angeblich auf ihre Sicherheit überprüfen zu lassen. Diese E-Mails sind mit „Bundesamt des Innern“ unterzeichnet. Das BSI und das BKA warnen: „Es handelt sich hierbei um einen Versuch, Ihre persönlichen Kreditkarteninformationen rechtswidrig auszuspähen. Sollten Sie eine derartige E-Mail erhalten, klicken Sie auf keinen Fall auf den darin angegebenen InternetLink, sondern löschen Sie diese umgehend.“ Die Zeitschrift <kes> weist in ihrer Ausgabe 3-2013 (S. 100) darauf hin, BITKOM habe berichtet, dass die Zahl der gemeldeten Phishing-Fälle 2012 deutlich abgenommen habe. Nach Angaben des BKA habe sich die Zahl 2012 nahezu halbiert (- 46 %). Die verursachten Schäden seien 2012 ebenfalls um 46 % auf 13,8 Millionen Euro gesunken. Allerdings würden die Betrü- ger zunehmend raffinierter vorgehen und verstärkt auf Phishing-Malware setzen. Die Zahl der Sicherheitsvorfälle insgesamt sei in den letzten 12 Monaten um 25 % gestiegen, meldet das Handelsblatt am 1. Oktober unter Hinweis auf die Beratungsgesellschaft PwC. Im Durchschnitt hätten die befragten Sicherheits- und IT-Manager globaler Unternehmen über 3.700 Attacken pro Firma und Jahr verzeichnet. Jeder dritte Manager vermute Hacker hinter den Angriffen, 14 % verdächtigten Wettbewerber als Drahtzieher, und 4 % nähmen an, dass ausländische Staaten versuchen, auf die Daten des Unternehmens zuzugreifen. Budgets für IT-Sicherheit seien binnen Jahresfrist massiv aufgestockt worden, von durchschnittlich 2,8 auf heute 4,3 Millionen EU-Dollar pro Unternehmen. Dennoch mangele es an Abwehrkraft. Das Hauptproblem: Die Zahl der möglichen Einfallstore steige rasch. Mobile Geräte eröffneten neue Zugangspunkte auf die Firmen-IT, private Geräte entsprächen nicht dem Sicherheitsstandard des Konzerns und Cloud-Computing-Lösungen stellten die IT parallel vor zahlreiche neue Herausforderungen. 131 132 Jahrbuch der Unternehmenssicherheit 2013 IuK-Kriminalität – Ransomware Das BKA und das BSI warnten am 29. Januar vor einer aktuellen digitalen Erpressungswelle bei der Internetnutzung. Eine neue Variante von Schadsoftware (sogenannte Ransomware) sei im Umlauf, die Computer infiziert und sperrt. Eine Nutzung des Rechners sei nicht mehr möglich. Dabei werde durch die Schadsoftware ein sogenanntes Popup-Fenster mit den Logos des BSI und der Gesellschaft für Verfolgung von Urheberrechtsverletzungen (GVU) eingeblendet. Darin werde dem Nutzer unterstellt, dass der Rechner im Zusammenhang mit der Verbreitung kinderpornografischen Materials, bei terroristischen Aktionen, Urheberrechtsverletzungen oder anderen Straftaten genutzt worden sei. Es folge die Behauptung, dass die Funktion des Computers „aus Gründen unbefugter Netzaktivitäten ausgesetzt worden“ sei. Bei dieser Variante von Schadsoftware werde auch ein Foto eingeblendet. Dabei handelt es sich nach Einschätzung des BKA um eine strafbewehrte jugendpornografische Darstellung. Wie bei Ransomware üblich, werde der Nutzer schließlich zur Zahlung von 100 Euro über die digitalen Zahlungsdienstleister uKash oder Paysafecard aufgefordert, um einen Freigabecode zur angeblichen Entsperrung des Rechners zu erhalten. BKA und BSI weisen darauf hin, dass sie nicht Urheber einer solchen Meldung sind und dass der geforderte Betrag auf keinen Fall gezahlt werden soll. Ein regulärer Zugriff auf das Betriebssystem wäre mit hoher Wahrscheinlichkeit auch nach der Zahlung nicht möglich. Hilfreiche Hinweise zur Bereinigung des Systems von Schadsoftware finde man auf den Internetseiten des Antibotnetz-Beratungszentrums unter www.botfrei.de. In der Fachzeitschrift <kes> (Ausgabe 3-2013, S. 6–9) beschreiben Dirk Kollberg und Anand Ajjan, Sophos, aktuelle Erscheinungsformen von Ransomware. Ein Trojaner sperre den Nutzer von seinem eigenen Rechner aus, verschlüssele Dokumente und fordere ein Lösegeld. Eine Klasse der Ransomwa- re-Trojaner setze sich im Master Boot Record (MBR) des Rechners fest und verhindere den Start des Betriebssystems. Und Botnetze würden genutzt, um Spam-E-Mails mit dem Schädling als Anhang zu verbreiten. Welches Programm auch immer zum Einsatz komme, die potenziellen Gewinnspannen der Cyberkriminellen seien enorm. Ihre auf dem Server gespeicherten Exploit Kits hielten die Hacker immer auf dem neuesten Stand. Die Autoren gehen näher auf die Schädlinge Troj/GpCoder-F, Mal/EncPk-AEM und Mal/Ransom-U ein. Wer von Ransomware betroffen ist, sollte sich umgehend mit seinem Sicherheitsanbieter in Verbindung setzen. Der Trend zur Ransomware werde sich auch in Zukunft fortsetzen. Die ASW berichtet in einer Mitteilung vom 18. Juni über Ransomware-Vorfälle bei deutschen KMUs. Als Ransomware würden üblicherweise Schadprogramme bezeichnet, die den Zugang zu Computersystemen blockieren und angeblich gegen die Zahlung eines Lösegeldes wieder freigeben. Wiederholt sei in der jüngeren Vergangenheit in den Medien über Ransomware-Angriffe gegen ausländische Firmen berichtet worden. Diese Angriffe richteten sich neuerdings auch gegen deutsche KMUs. Nach Analyse handele es sich bei der verwendeten Ransomware um eine Variante der ACCDFISA-Malware. Bei den bekannt gewordenen Angriffen seien ganze Festplatten-Partitionen verschlüsselt. Gleichzeitig würden die Originale samt Backup mit der Sysinternals-Funktion SDELETE gelöscht. Dieses Verfahren erschwere sehr stark die Wiederherstellung der Dokumente mit den üblichen Verfahren. Die Angreifer nutzten scheinbar das Remote-Desktop-Protokoll (RDP), um sich zunächst einen Zugang zu Unternehmensservern zu verschaffen. Anschließend werde die Ransomware manuell nachgeladen, um die Daten zu verschlüsseln. Wie schon bei den per E-Mail versendeten und vornehmlich auf Privatanwender abzielenden Ransomware werde bei den Angriffen Jahrbuch der Unternehmenssicherheit 2013 auf KMUs der Zugriff auf die Daten auch hier mit einer in die Irre führenden Meldung vorgeblicher Sicherheitsbehörden gesperrt. Darin werde der Anwender zur Zahlung eines Geldbetrages in Höhe von 5.000 US-Dollar unter Verwendung alternativer Zahlungssysteme wie MoneyPak, Paysafe oder Ukash aufgefordert. Die Höhe der Forderungen gehe deutlich über den von Privatpersonen geforderten Betrag hinaus. Bei den genannten Angriffen handele es sich um eine Ausweitung der bisherigen Angriffsziele auf KMUs. Dabei motiviere die Angreifer vermutlich, dass der Verlust von Unternehmensdaten insgesamt schwerwiege. Deswegen sei mit einer hohen Zahlungsbereitschaft zu rechnen und könne eine höhere Lösegeldsumme gefordert werden. Unternehmen sollten keinen Kontakt mit den Angreifern aufnehmen und der Aufforderung zur Zahlung eines Lösegeldes in keiner Weise nachkommen. Stattdessen sollte eine Anzeige bei der Polizei erstattet werden. IuK-Kriminalität – Schadsoftware Die Entwicklung von Schadsoftware werde zum Industriezweig. Ob mit bekannten Mitteln oder neuen Strategien – die Geschäftsmodelle der Cyber-Kriminellen lohnen sich, ist die FAZ in einer Verlagsbeilage ITK 2013 vom 26. Februar überzeugt. Die Rekrutierung der Hacker-Mitarbeiter geschehe ganz offen im Internet. Auch Erpressung sei ein lukratives Cyber-Verbrechen. Ein gezielter Angriff auf den Web-Server bringe ihn zum Absturz oder erzwinge Stillstand. Smartphones und Tablets stünden derzeit ganz oben auf der Wunschliste der Cybergangster, denn sie enthielten Zugangsdaten und Zahlungsinformationen, meist völlig ungeschützt. Aktuell seien nur 5 % der weltweit im Einsatz befindlichen mobilen Endgeräte mit einer Sicherheitssoftware geschützt. In derselben Ausgabe weist Arne Ohlsen, Bluecoat, darauf hin, dass Angreifer, die ein spezielles Unternehmen im Auge haben, von kriminellen Botnet-Betreibern gezielt infizierte Systeme innerhalb eines IPS-Adressraumes mieten oder kaufen könnten. Aber auch die Erkennungsintelligenz steige durch neue Analyse-Methoden. Es würden neue, schnelle Analyseverfahren eingesetzt, um große Datenmengen aus den Logfiles von verschiedenen Netzwerkund Sicherheitslösungen auszuwerten. Das Data Mining in dieser immens erweiterten Datenbasis mache potenziell gefährliches Nutzerverhalten, neue Bedrohungspotenziale oder Anomalien sichtbar. AGITANO.com berichtet am 22. August, im McAfee Threats Report für das zweite Quartal 2013 warne der Hersteller von Antivirus- und Computersicherheitssoftware vor SMS Banking-Malware, betrügerischen Daten-Apps sowie Apps zum Diebstahl von Daten. Zudem seien 2013 zusammengerechnet mehr Ransomware-Varianten als in den vorangegangenen Perioden entdeckt worden. Die Forscher hätten einen Anstieg der auf Android basierenden Malware um 35 % festgestellt. Im zweiten Quartal sei auch ein 16 %-iger Anstieg verdächtiger URLs und ein 50 %-iger Anstieg digital signierter Malware entdeckt worden. Im Online-Banking habe AcAfee vier maßgebliche mobile Malware-Varianten identifiziert, die Anwendername, Passwort sowie die SMS-Nachricht mit persönlichen Angaben zu den LoginDaten abfingen. Festgestellt worden sei auch ein Anstieg an Legitimations-Apps, die als Spyware auf Geräten von Nutzern fungieren. Cyber-Kriminelle nutzten zudem Apps, die sich als hilfreiche Tools tarnen, jedoch Spyware installieren und persönliche Daten sammeln und weiterleiten. Online-Kriminelle haben jüngst in großem Umfang Werbebanner auf Internetseiten so manipuliert, dass darüber Schadsoftware auf die Rechner der Nutzer gelangen kann, berichtet das BSI laut FAZ vom 6. April. Es reiche, wenn Nutzer eine Website anklicken, auf der sich ein befallenes Banner befindet, 133 134 Jahrbuch der Unternehmenssicherheit 2013 um sich Schadprogramme wie Onlinebanking-Trojaner einzuhandeln. Voraussetzung sei, dass auf den Rechnern das Betriebssystem oder bestimmte Programme nicht in der aktuellsten Version aufgespielt sind. Die Schadsoftware nutze bekannte Schwachstellen im Internet Explorer, Acrobat Reader, Flash Player oder in Java. Betroffen sei Werbung auf Nachrichtenportalen, Onlinezeitungen und -magazinen, Jobbörsen und Städteportalen. Es sei bekannt, dass die Kriminellen so genannte Open X-Server zur Auslieferung von Werbebannern kompromittierten. Eine Schadsoftware namens Darkleech soll seit mindestens einem Dreivierteljahr Tausende Webseiten mit unsichtbaren iFrames ausstatten, die auf verseuchte Webseiten verweisen, berichtet heise online am 3. April. Der Schädling soll hierfür den Apache-Server missbrauchen. Allerdings sei bisher das Einfallstor in die Software nicht gefunden worden. Auf den durch die Webserver verseuchten Webseiten suche sich Darkleech seine Opfer genau aus. Nutzer mit IP-Adressen von Sicherheits- und Hosting-Firmen sowie die Seitenbetreiber würden beispielsweise nicht auf bösartige Webseiten gelenkt. Betroffen sollen vor allem Webseiten in den USA, Großbritannien und Deutschland sein. Die von der ASW herausgegebenen Informationen zum Wirtschaftsschutz berichten am 13. Mai darüber, dass das BSI erneut auf breitflächige Verteilung von Schadprogrammen über Werbebanner hinweist. Auf vielen bekannten und teils vielbesuchten deutschsprachigen Webseiten – darunter auch die Online-Angebote von Nachrichten-, Politik-, Lifestyle- und Fachmagazinen, Tageszeitungen, Jobbörsen und Städteportalen – würden manipulierte Werbebanner ausgeliefert, welche einen schädlichen JavaScript-Code enthalten, der auf sogenannte Exploit-Kits verweist. Diese würden bekannte Schwachstellen unter anderem in Java, im Adobe Reader, in Adobe Flash oder im Microsoft Internet Explorer nutzen. Ziel der Angreifer sei es, Schadprogramme wie OnlinebankingTrojaner auf Windows-basierten PCs der Besucher der Webseiten zu installieren. Die Infektion des Rechners erfolge dabei allein durch den Besuch einer Webseite, auf der ein entsprechend manipuliertes Werbebanner eingeblendet wird. Täglich würden neue Webseiten identifiziert, auf denen schädliche Werbebanner ausgeliefert werden. Für alle derzeit von den Exploit-Kits ausgenutzten Schwachstellen seien bereits seit längerem Sicherheitsupdates verfügbar. Immer mehr Schädlinge tragen nach einer Meldung von heise online vom 20. Dezember eine gültige digitale Signatur. Die Unterschriften würden dabei typischerweise mit gestohlenen Entwicklerzertifikaten erstellt. Microsoft warne jetzt vor mehreren Schädlingsfamilien und rufe Entwickler dazu auf, besser auf ihre Zertifikate aufzupassen. Das Problem sei, dass digital signierte Dateien als vertrauenswürdiger gelten als solche ohne Unterschrift. IuK-Kriminalität – Social Engineering Klassische Netzwürmer wie conficker verlieren aktuell an Bedeutung, erklärt Sicherheitsexperte Tim Rains, Autor einer Bedrohungsanalyse von Microsoft, im Gespräch mit der Zeitung DIE WELT (18. April). Stattdessen setzten die Täter immer häufiger auf sogenanntes Social Engineering. Sie verschickten Mails von gefälschten Absenderadressen oder übernähmen gleich ganze Mailaccounts. Damit der Code wirke, reiche es, einmal eine infizierte Webseite anzusurfen, einen bösartigen Link anzuklicken. Komme die Aufforderung dazu – per Mail oder aus einem sozialen Netzwerk – von einem guten Bekannten, klickten viele Nutzer erst einmal unbesorgt darauf. Ist erst einmal eine Lücke gefunden, könnten die Täter beliebig Schadsoftware nachladen und Jahrbuch der Unternehmenssicherheit 2013 auf dem Computer alles Mögliche anrichten. Zumeist suchten sie nach Passwörtern und Onlinebanking-Informationen; alternativ installierten sie Fernsteuersoftware und übernähmen das System komplett. IuK-Kriminalität – Spam <kes> gibt in der Ausgabe 1-2013 eine Marktübersicht mit 35 Anbietern von Antispam-Lösungen (S. 25–37). Die befragten Anbieter geben Auskunft über ihre Produkte (u. a. die Art der Verfügbarkeit und die unterstützten Mail-Systeme), über Analyse- methoden (u. a. Whitelists, Blacklists, SpamSignaturen oder Mailverkehrs-Analyse), die Spambehandlung (u. a. Markieren und Ausliefern, Umleiten, Abweisen, Löschen), zusätzlichen Leistungsumfang und Circa-Preise. IuK-Kriminalität – Stuxnet SPIEGEL ONLINE meldet am 22. November, der gefährliche Computerwurm Stuxnet, der 2010 iranische Atomanlagen sabotierte, habe mindestens ein russisches Atomkraftwerk infiziert. Ob oder welche Schäden dabei angerichtet wurden, sei nicht erklärt worden. IuK-Kriminalität – Trojaner Trojaner tarnen sich mit Chat-Protokollen, meldet heise security am 21. Januar. Trend Micro habe neue Trojaner entdeckt, die ihre Kommunikation mit der Nachahmung von gängigen Chat-Protokollen tarnen, beispielsweise Yahoos Messenger. Das Sicherheitsunternehmen gebe diesen Trojanern den Beinamen „Faker“; mit Faker Remote Access Trojans könnten Angreifer aus der Ferne auf den PCs der Opfer Ordner durchsuchen, Screenshots tätigen, Webcams und Mikrofone steuern und Daten angreifen. Verbreitet würden die Trojaner über E-Mails, die mit Social Engineering arbeiten. Über präparierte Word- und Excel-Dokumente, die Schwachstellen in den Office-Programmen ausnutzen, gelangten die Schädlinge ins System. Der Antiviren-Spezialist F-Secure habe einen neuen Erpressungs-Trojaner entdeckt, meldet heise.de am 15. August. Es handele sich dabei offensichtlich nicht um eine weitere Variante des bereits bekannten BKS-Trojaners, sondern um eine Neuentwicklung, die bei weitem noch nicht so ausgereift sei wie das Vorbild. Zwar sperre auch der Browlock getaufte Trojaner den Rechner angeblich im Namen der Bundespolizei und fordere einen Betrag wie 200 Euro für dessen Freigabe. Er schalte dabei aber nur ein Browser-Fenster in den Vollbildmodus und versuche durch diverse Tricks, den Anwender daran zu hindern, dieses Fenster zu schließen. Der BKA-Trojaner gehe da deutlich raffinierter zu Werke. Nach einer Meldung der FAZ vom 28. November müssen Bankkunden, die das Internet nutzen, einen neuen Namen kennenlernen: „Neverquest“. Das sei der Name eines sogenannten Trojaners, der schon Tausende Computer auf der Welt attackiert habe, die für Online-Banking genutzt werden. Er stehle Nutzernamen und Passwörter von Bankkonten sowie Daten, die von Anwendern auf manipulierten Websites von Banken eingegeben werden. Spezielle Programmzeilen. die Internetbrowser „Internet Explorer“ und „Firefox“ ermöglichten den Datendiebstahl offenbar, indem sie dem Schädling Kontrolle über die Verbindung des Browsers mit den 135 136 Jahrbuch der Unternehmenssicherheit 2013 Steuerungs-Netzwerkrechnern der Cyberkriminellen ermöglichen. Dies geschehe, sobald Seiten aufgerufen werden, die auf einer Liste mit derzeit 28 Websites stünden. Darunter seien große internationale Banken zu finden sowie Online-Bezahldienste. Mit einer weiteren Funktion könnten Cyberkriminelle ihre Liste mit neuen anvisierten Banken auffüllen und den Code auf neuen Websites platzieren, die zuvor nicht auf der Liste kompromittier- ter Websites standen. Das Hauptziel von „Neverquest“ scheine nach den Angaben des Sicherheitssoftwareunternehmens Kaspersky, das die entsprechenden Informationen streut, bisher eine Plattform für die Verwaltung von Investmentfonds zu sein. Der Trojaner mit vollem Namen „Trojan-Banker. Win32/64Neverquest“ sei zudem dazu in der Lage, sich selbst zu replizieren. Juweliersicherheit Die Fachzeitschrift WiK berichtet in der Ausgabe 12-2012 (S. 9) über die Auswertung von 840 Straftaten im Jahr 2011 gegen Juweliergeschäfte durch den „Internationalen Juwelier-Warndienst für die Schmuckund Uhrenbranche“. Insgesamt sei ein Anstieg von über 40 % zum Vorjahr registriert worden. Die Aufklärungsquote werde auf 10 % geschätzt. Es handele sich zu 35 % um Trickdiebstähle, zu 24 % um Schaufenstereinbrüche, zu 16 % um Raubüberfälle, zu 10 % um Eingangstüreneinbrüche, zu 4 % um den modus operandi „Greifen und Rennen“, zu 3 % um Diebstahl/Raub aus Vitrinen und zu 2 % um sogenannte Blitz-Einbruchdiebstähle. Die Täter kämen überwiegend aus Ost- und Südosteuropa. Geschäfte in zentralen Lagen würden weniger angegriffen als schlecht gesicherte Geschäfte in kleine- ren Orten, Vorstadtlagen oder in Randgebieten. Jede Tat werde eingehend vorbereitet. Bei Raubüberfällen sei eine „extreme“ Brutalität der Täter festzustellen. Die Kölner Polizei hat eine Räuberbande aus Osteuropa zerschlagen, die es bei Überfällen auf Juweliergeschäfte vor allem auf Luxusuhren abgesehen hatte, berichtet die FAZ am 20. November. Acht Personen seien festgenommen worden, die überwiegend aus Litauen stammten. Die Gruppe stehe im Verdacht, in Deutschland, Luxemburg und Frankreich mehrere Raubüberfälle begangen zu haben. Es handle sich um eine straff organisierte Räuberbande. Eine „Führungsebene“ habe die Überfälle organisiert, während dann meist jüngere Bandenmitglieder sie ausgeführt hätten. Kartellrechtsverstöße Weil sie jahrelang die Preise für Körperpflege-, Wasch- und Reinigungsmittel abgesprochen haben sollen, habe das Bundeskartellamt Bußgelder gegen Markenhersteller verhängt, meldet DIE WELT am 18. März. Sechs Unternehmen der Branche und der Markenverband müssten rund 39 Millionen Euro zahlen. In einer ersten Runde seien bereits Strafen in Höhe von etwa 24 Millionen Euro verhängt worden. Unternehmen, die sich an illegalen Kartellen beteiligen, können nicht mehr auf Gnade hoffen, ist das Handelsblatt am 19. April überzeugt. Der BGH habe jetzt in einer Grundsatzentscheidung die Praxis millionenschwerer Bußgelder des Bundeskartellamtes bestätigt. In dem aktuellen Fall müssten die beteiligten Firmen eines vor Jahren aufgedeckten Zementkartells nun endgültig 380 Millionen Euro zahlen. Damit aber nicht genug: Nach der höchstrichterlichen Rechtsprechung müssten große Unternehmen künftig mit noch höheren Strafen rechnen. Denn der BGH habe den Wettbewerbshütern neue Regeln Jahrbuch der Unternehmenssicherheit 2013 zur Berechnung der Geldbußen vorgegeben. Unterstützung für seinen harten Kurs bekomme das Bundeskartellamt zudem von Kartellrichtern. Das OLG Düsseldorf habe gerade eine Strafe von 180 Millionen Euro auf 244 Millionen Euro gegen ein FlüssiggasKartell aufgestockt. Allein im vergangenen Jahr habe die Behörde 303 Millionen Euro Bußgelder gegen insgesamt 59 Unternehmen neu verhängt. Schokolade, Beton, Mehl, Zement, Feuerwehrfahrzeuge, Reißverschlüsse – es gebe keinen noch so speziellen Markt, der nicht irgendwann einmal Opfer illegaler Absprachen zwischen Unternehmen geworden wäre. Zuletzt habe das Schienenkartell unter Beteiligung von Thyssen-Krupp Furore gemacht. Wer vermute, dass einmal erwischte Kartellanten nie wieder vor die Bonner Wettbewerbsbehörde zitiert werden müssten, der irre. Gerade erst habe das Kartellamt abermals Bußgelder in Millionenhöhe gegen Hersteller von Drogerieartikeln verhängt. Sechs Unternehmen der Branche und der Markenverband e. V. sollen nun insgesamt 39 Millionen Euro Bußgeld zahlen. Und es sei nicht das erste Mal gewesen, dass die Behörde der Branche auf die Schliche gekommen sei. In den Jahren 2008 bis 2011 habe das Bundeskartellamt in dem gleichen Komplex schon einmal Bußgelder gegen neun Unternehmen in Höhe von insgesamt rund 24 Millionen Euro verhängt. Einer Reihe von Herstellern spezieller Mikroprozessoren für Plastikkarten drohen wegen von der EU vermuteter Kartellabsprachen empfindliche Geldbußen, meldet die FAZ am 23. April. Die Chipanbieter hätten Absprachen mit dem Ziel getroffen, die Preise hoch zu halten. Die WirtschaftsWoche listet am 10. Mai die „spektakulärsten Kartellfälle“ auf. In den letzten Jahren habe die EU-Wettbewerbskommission „die Krallen ausgefahren“ – und Strafen in Rekordhöhe gegen Unternehmen verhängt, die untereinander heimlich Preise abgesprochen oder ihre Wettbewerber mit unerlaubten Mitteln unter Druck gesetzt hätten. Der aktuellste Fall sei der italienische Kautschuk-Hersteller Eni. Der Europäische Gerichtshof habe am 8. Mai eine EU-Geldstrafe in Höhe von 181,5 Millionen Euro bestätigt. Das Unternehmen werde damit für Kungelei mit Konkurrenten zum Schaden der Kunden bestraft. Daran sei auch Bayer beteiligt gewesen. Da Bayer die Aufsichtsbehörden aber zuerst auf das Kartell aufmerksam gemacht habe, sei es von einer Geldstrafe verschont geblieben. Gegen insgesamt 13 Unternehmen hätten die Wettbewerbshüter der EU-Kommission 2008 Geldstrafen in Höhe von insgesamt 519 Millionen Euro verhängt. Die bislang höchste Kartellstrafe habe die EU-Kommission Ende 2008 verhängt: 1,38 Milliarden Euro Bußgeld hätten vier internationale Autoglashersteller zahlen müssen, die von 1998 bis 2003 Marktaufteilung und Preise in Europa besprochen hatten. Allein auf Saint-Gobain (Frankreich) seien fast 900 Millionen entfallen, der Rest auf Pilkington (Großbritannien), Solvier (Belgien) und Asahin (Japan). Die FAZ behandelt in einem Verlagsspezial am 16. Mai die „rote Linie“ des Kartellrechts. Die Zahl der Mittelständler, die Ärger mit dem Bundeskartellamt bekommen, steige stetig. Meist werde ihnen zum Verhängnis, dass sich im Unternehmen keiner so richtig ums Thema Kartellrecht kümmert. Mittlerweile seien mehr Kartellwächter unterwegs, um Sünder aufzuspüren. Auch die Kronzeugenregelung trage dazu bei, die seit 2009 In Kraft sei. Ein Unternehmen komme nahezu straffrei aus einem Kartell heraus, wenn es sich als erstes stellt und alle Karten auf den Tisch legt. Die Firmen in einem Kartell müssten seither immer mit der Angst leben, dass einer der Partner aussteigen und die anderen verraten könnte. Im Kartellrecht gehe beileibe nicht immer nur um den Preis. Genauso gefährlich seien Absprachen oder gar der bloße Austausch zu bestimmten Themen: Auf welche Kundengruppe spezialisiere ich mich? Wie sehen meine Expansionspläne aus? Inwiefern will ich neue Produkte einführen oder meine Produktion ausweiten? Es reiche, wenn einer 137 138 Jahrbuch der Unternehmenssicherheit 2013 spricht und andere dazu nicken oder entsprechende Handzeichen geben. Wenn ein Mitarbeiter zufällig hört, wie der Kollege eines Wettbewerbers über dessen Marketingstrategie spricht, bewege man sich in einem rechtlichen Graubereich. Die beste Lösung sei, sich für alle erkennbar vom Gesprächsinhalt zu distanzieren und zu gehen, und das in einem Protokoll festzuhalten. Bei einem Kartellverstoß schützt ein Irrtum über die Rechtmäßigkeit des eigenen Verhaltens nicht vor Strafe, berichtet die FAZ am 19. Juni. Das habe der Europäische Gerichtshof entschieden (Az.: C-681/11). Ein Unternehmen könne demnach nicht mit Hinweis auf den Rat eines Anwalts oder den Irrtum eines nationalen Kartellgerichts einer Geldbuße der EU entgehen. Das Bundeskartellamt veröffentlicht Fallberichte und erntet dafür scharfe Kritik, berichtet das Handelsblatt am 9. Juli. Das gelte als „weiche“ Form der Durchsetzung des deutschen Kartellrechts. Dagegen warnt die internationale Anwaltskanzlei Kay Scholer, dass damit bisweilen nicht bekannte Unternehmensinterna veröffentlicht werden, die weitreichende Schlüsse zuließen. Auf diese Weise trage das Bundeskartellamt selbst zur Verzerrung eines fairen Wettbewerbs bei. Die Konkurrenz reibe sich die Hände angesichts der sensiblen Informationen und justiere über die neu gewonnenen Fakten ihre Strategien. Dagegen hält sich das Bundeskartellamt nach dem Grundgesetz dazu verpflichtet, dem allgemeinen Informationsanspruch der Öffentlichkeit Rechnung zu tragen. Dies geschehe stets in der Abwägung, dass auch die Interessen der beteiligten Unternehmen gewahrt blieben. Es würden keine Geschäftsgeheimnisse veröffentlicht. Die „Eingriffstiefe“ sei gering. Die FAZ weist am 27. Juli auf die vom Bundeskartellamt im Juni veröffentlichten neuen Leitlinien hin. Nach ihnen gelte nicht mehr der Umsatz, der mit der Tat erzielt wurde, als Bezugsgröße für die Höhe des Bußgeldes. Vielmehr rücke nun der gesamte Konzernumsatz in den Blickpunkt – mit der Konsequenz, dass große Unternehmen künftig wesentlich mehr zahlen müssten als bisher. Auch die Schwere und die Dauer der konkreten Tat seien zwar künftig weiterhin maßgeblich. Allerdings könne es bei Konzernen, die in einer Vielzahl von Märkten aktiv sind und deren Absprachen nur ein bestimmtes Produkt eines größeren Portfolios betrafen, künftig zu höheren Bußgeldern kommen. Der eigentliche Grund für diese „Malaise“ sei nicht das Bundeskartellamt, sondern der BGH. Dieser hatte die bisherigen Leitlinien der Bonner Behörde vor allem deshalb gekippt, weil sie in der Vergangenheit besonders bei Fällen aus dem Mittelstand zu unverhältnismäßig hohen Bußgeldern führten. Dies habe besonders kleinere Unternehmen mit nur einem Produkt und wenig Exporten betroffen, die an Preis- oder Gebietsabsprachen teilgenommen hatten. „Kartellamt freut sich über seine Schlagkraft“, titelt die FAZ am 28. Dezember. Die Kartellwächter hätten 2012 in 11 Fällen insgesamt 240 Millionen Euro an Bußgeldern verhängt. Diese Sanktionen hätten 54 Unternehmen und 52 Privatpersonen – etwa aus der Schienenbranche und der Mühlenindustrie, ferner im Bereich von Süßwaren, Haushaltsgeschirr und Drogerieartikeln – getroffen. Kartenbetrug Die FAZ berichtet am 19. Juli, dass Datendiebe mit Kredit- und EC-Kartenbetrug 2011 nach einer Studie der EZB 1,16 Milliarden Euro Schaden angerichtet haben. Die Schadenssumme sei um 5,8 % gegenüber 2010 gesunken. Vor allem die EMV-Technologie mit einer Art Mini-Computer habe die Geldkarten sicherer gemacht. Am häufigsten hätten Kriminelle Kartendaten und PIN im Internet abgegriffen. In Deutschland habe der Betrug Jahrbuch der Unternehmenssicherheit 2013 mittels gestohlener Kreditkarten nach den jüngsten verfügbaren Daten des BKA um 8 % auf rund 8.200 Fälle abgenommen. Der Betrug mit Lastschriftverfahren, bei denen die Kriminellen keine PIN eingeben müssten, habe indessen stark zugenommen. Die Fallzahl sei um fast 14 % auf 15.471 im Jahr 2012 angestiegen. Handelsblatt.com weist am 10. Juli auf eine interaktive Grafik des Spezialisten für Betrugsbekämpfung FICO hin, in der die Entwicklung der Betrugsverluste nach Kartendiebstählen in 19 europäischen Ländern dargestellt werden. Im Ranking liege Frankreich mit 442 Millionen Euro an der Spitze, gefolgt von Großbritannien (410 Millionen €) und Deutschland (144 Millionen €; 7 % Anstieg 2012). Europaweit seien die Betrugsverluste 2012 um rund 6 % angestiegen. Die Süddeutsche Zeitung beschreibt am 27. Juli einen der größten Fälle von Kredit- kartenbetrug, der je aufgedeckt wurde. Die US-Staatsanwaltschaft habe vier Männer aus Russland und einen aus der Ukraine angeklagt, zwischen 2005 und 2012 die Systeme von Kreditkarten- und Handelsunternehmen gehackt zu haben und so an 160 Millionen Kreditkarten-Nummern herangekommen zu sein. Dadurch sei den Unternehmen ein Schaden von mehr als 300 Millionen Dollar entstanden. Kunden selbst sollten nicht geschädigt worden sein. Die Täter hätten die Server der Firmen mit Schadprogrammen infiziert. Die Zeitung weist darauf hin, dass Inhaber von Kreditkarten den erlittenen Schaden bei dem Herausgeber ihrer Karte geltend machen können. Der Schadenersatz werde in der Regel schnell und unbürokratisch gewährt, da die Anbieter nicht ins Gerede kommen wollten – Schlagzeilen, sie würden ihre Kunden bei Betrug auf dem Verlust sitzen lassen, wären Gift für ihr Geschäftsmodell. Geschädigt werde damit am Ende das Unternehmen, das die Karte ausgegeben hat. Katastrophenschutz Artur Kubik, GDV, gibt in der Ausgabe 1-2013 von s+s report einen Überblick über den Naturgefahrenreport 2012, den der GDV im Dezember 2012 veröffentlicht hat (S. 15–17). Nach dem Bericht regulierten deutsche Versicherer jährlich im Durchschnitt 1,3 Millionen Schäden an privatem Hab und Gut infolge von Sturm- und Hagelereignissen. Die Versicherten erhielten jedes Jahr im Schnitt rund 1,1 Milliarden Euro Entschädigungen. Weitere rund 70.000 Schäden kämen durch Elementargefahren hinzu, mit einem Schadensaufwand von rund 250 Millionen Euro. Der bislang teuerste Wintersturm sei „Kyrill“ gewesen, der am 18. und 19. Januar 2007 über Deutschland hinwegfegte. Der volkswirtschaftliche Schaden habe damals rund 4 Milliarden Euro betragen. Der GDV habe in einer wissenschaftlichen Studie mit mehreren Forschungsinstituten zusammen die Folgen für die Versicherungswirtschaft untersuchen lassen. Die Studie zeige, dass zum Beispiel besonders heftige Stürme häufiger auftreten könnten als bisher, und dass Schäden durch Flussüberschwemmungen sich bis zum Jahr 2100 verdoppeln oder gar verdreifachen könnten. Die Betreiber von Öl- und Gasplattformen haften in Europa fortan in voller Höhe für die nach Unfällen auftretenden Schäden für geschützte Tierarten und die Verschmutzung des Wassers. Darauf hätten sich, wie die FAZ am 22. Februar berichtet, Unterhändler von Europaparlament und Ministerrat geeinigt. Die Regeln würden den Haftungsrahmen auf alle Bohrinseln ausdehnen. Die Betreiber sollten darüber hinaus für jede einzelne Plattform – wie bei Chemiewerken schon üblich – eine detaillierte Risikoanalyse und Notfallpläne bei den nationalen Aufsichtsbehörden einreichen. In ihren Notfallplänen sollten die Betreiber belegen, dass sie die im Extremfall auftretenden Kosten eigenständig tragen können. Alle 139 140 Jahrbuch der Unternehmenssicherheit 2013 eingesetzten Geräte sollten von unabhängiger Stelle zertifiziert und regelmäßig überprüft werden. Zudem sollten die Betreiber alle Unfallberichte veröffentlichen und in eine Datenbank einspeisen. Bei Verstößen gegen die Vorgaben sollten die EU-Mitgliedstaaten Sanktionen verhängen und im Extremfall dem Unternehmen auch die Bohrrechte entziehen. Inwieweit die Ölkonzerne für den wirtschaftlichen Schaden, etwa für die Verdienstausfälle von Fischern, oder für den Tourismus, haften müssen, bleibe den Staaten überlassen. Klinik- und Heimsicherheit In einer Verlagsbeilage April 2013 der Fachzeitschrift WiK werden sicherheitstechnische Lösungen für Kliniken, Alters- und Pflegeheime angeboten: SCHNEIDER INTERCOM stellt ein Alarmsystem für Mitarbeiter in Kliniken und Pflegeeinrichtungen für den Fall eines gewaltsamen Übergriffs vor. Bei diesem System wisse der Notrufempfänger nicht nur exakt, in welchem Gebäude und Raum der Alarm ausgelöst wurde. Er sei auch durch Sprechstellen in der Lage, bei dem Hilfesuchenden über Mikrofon die Situation vor Ort mitverfolgen (S. 8). Der Fluchtwegspezialist GfS habe eine neue komfortable Stand alone-Lösung entwickelt, bei der alle Funktionseinheiten, erstmals sogar Blitzleuchte, in einem Gerät zusammengefasst seien (S. 9). DOM Sicherheitstechnik habe eine dauerhaft antibakteriell wirkende Beschichtung für Türbeschläge entwickelt, die Mikroben keine Chance lasse (S. 9). Das Dementenschutzsystem Clino Guard helfe Pflegeeinrichtungen, Patienten zu schützen, ohne in ihre Alltagsroutine einzugreifen, und das Pflegepersonal zu entlasten. Es bestehe im Wesentlichen aus den drei Komponenten Ortungs-Hardware, Software sowie RFID-Transpondern. Die Kommunikation zwischen den Transpondern und den Empfangseinheiten sei bidirektional und ermögliche Echtzeit-Lokalisation (S. 10/11). Drumm Sicherheitstechnik biete bei der Tür- und Fenstersicherheit auf die jeweiligen Anforderungen zugeschnittene Lösungen: so eine Schutzrosette statt Fenstergriff, einen Knaufschutz für elektronische Schließzylinder, ein stahlhartes Schüsseldepot und eine Sicherung von Türspionen vor missbräuchlicher Nutzung (S. 12/13). Eine innovative Zutrittsorganisation von Winkhaus sichere mit rund 2.000 elektronischen blueSmart Zylindern, neun AccessPoints und 30 Standalone-Lesern einen Pflegekomplex mit 30 Gebäuden (S. 15–17). IP-basierte Lösungen böten heute faszinierende Möglichkeiten in der Krankenhaus-Kommunikation und würden zum Beispiel den klassischen Schwesternruf mit modernen IP-basierenden Technologien verbinden (S. 18). Know-how-Schutz Dr. Tim Karg, Karg und Petersen Agentur für Kommunikation GmbH, skizziert in der Ausgabe 2-2013 von Security insight (S. 38/39) Kommunikationsstrategien für den Know-how-Schutz. Bereits der Alltag zeige deutlich, wo zentrale Gefahren liegen: Flipchart-Notizen, die nach einem Meeting achtlos hängen gelassen werden; der Vertriebsmitarbeiter, der Kunden ein Angebot mit ausführlichen technischen Spezifikationen vorstellt; das Passwort, das zu einfach ist und für den IT-Spion kein Hindernis darstellt – trotz vieler Warnungen seien Kombinationen wie „123456“ oder „iloveyou“ unter den häufigsten Passwörtern. Soll Know-how-Schutz nachhaltig verankert werden, eigne sich etwa ein firmeninterner Newsletter, der regelmäßig aktuelle Informationen und Tipps liefert. Ergänzen könne man diese Maßnahmen beispielsweise durch Broschüren und ein Intranet-Portal, um auf Gefahrensituationen hinzuweisen und Jahrbuch der Unternehmenssicherheit 2013 ausführlichere Handlungshilfen zu geben. Auch moderne Kommunikationswege wie ein moderiertes Online-Forum könnten hier sinnvoll eingesetzt werden. Kommunikationssicherheit Die Wirtschaftswoche berichtet am 4. März über eine neue Generation sicherer Smartphones. Das von Secusmart getunte Hochsicherheits-Blackberry (2.500 Euro) sei eines der am besten gesicherten Smartphones der Welt. Das teure Geheimnis des supersicheren Blackberrys sei eine spezielle Micro-SD-Karte, auf der alle vertraulichen Informationen verschlüsselt werden. Erster Abnehmer sei die Bundesregierung. Aber nicht nur für Politiker sei das neue Telefon interessant. Auch von Konzernen erwarte Secusmart künftig mehr Bestellungen. Der Clou sei, dass die Nutzer des neuen Sicherheits-Smartphones darauf zudem auch sämtliche Apps von Twitter bis Angry Birds laden können. Denn Blackberry biete eine Funktion namens Balance, die auch schon in der normalen Variante zwischen einem privaten und einem professionellen Nutzungsmodus unterscheidet. Mit einer Fingerbewegung und einer PIN könnten die Nutzer in den dienstlichen Bereich wechseln, wo vertrauliche Daten technisch streng vom offenen Privatbereich getrennt sind. Die Deutsche Telekom habe ebenfalls ein neues, Simko3 genanntes, Hochsicherheitshandy entwickelt. Ab Sommer sollen beide Unternehmen jeweils etwa die Hälfte der fast 10.000 sicheren Smartphones an die Regierung liefern. Die Telekom verspreche, mit der Technik sogar das beliebte Samsung Galaxy Telefon und Tabletrechner von Samsung abzusichern. Sie stoße damit auch bei Unternehmen auf ein großes Interesse. Blackberry habe sich mit der neuen Gerätegeneration von seiner alten Netzwerkstruktur verabschiedet. Damit habe Secusmart auch die Bedenken des BSI zerstreuen können. Rohde & Schwarz wolle mit einer neuen Technologie namens TopSec Mobile den Gebrauch des bisherigen Smartphones ermöglichen und dabei sicherstellen, dass auch verschlüsselte Gespräche geführt werden können, berichtet der Sicherheits-Berater in seiner Ausgabe 2-2013. Der Nutzer erhalte ein Headset, dass über Bluetooth mit dem Smartphone verbunden werde, und das Telefonate verschlüsselt und unverschlüsselt sicherstelle. Zur Nutzung der Verschlüsselungsoption werde eine App auf das Smartphone heruntergeladen und installiert. Der Anwender könne unverschlüsselte Gespräche wie bisher führen, indem er die Rufnummer auf der virtuellen Tastatur des Smartphones eingibt. Will er ein verschlüsseltes Gespräch führen, öffne der Nutzer die App, suche den entsprechenden Kontakt aus dem Telefonbuch aus und betätige die Krypto-Taste. Der Angerufene nehme das verschlüsselte Telefongespräch durch Drücken einer Taste am Headset an. Das Charmante an der Lösung sei, dass das benutzte Smartphone selbst nicht den Krypto-Regeln gehorchen müsse, da die Verschlüsselung in einem separaten Gerät durchgeführt werde und nicht im Smartphone. Es stelle also nur den Übertragungsweg zur Verfügung, die Verschlüsselung werde in einem separaten Gerät durchgeführt. Damit bleibe auch ein möglicher Angriffsversuch, der durch andere auf dem Smartphone installierte Apps ausgeführt werden kann, erfolglos. Immer mehr maßgeschneiderte Angriffe zielten auf mobile Kommunikationsgeräte, warnt der Sicherheits-Berater in seiner Ausgabe 9-2013 (S. 133–135). Bei der Nutzung von Smartphones und Tablets sollten folgende Hinweise beachtet werden: Installation einer Sicherheitslösung speziell für das mobile Endgerät/Überwachung des Datenverkehrs auf ungewöhnliche Aktivitä- 141 142 Jahrbuch der Unternehmenssicherheit 2013 ten/Einsatz eines Mobile Device Managementsystems für alle betrieblich genutzten Smartphones und Tablets/regelmäßige Aktualisierung des mobilen Betriebssystems und der benutzten Apps/Herunterladen von Apps nur aus sicheren Quellen/Überprüfung jeder App vor Installation und Verwendung/ keine ungeprüfte Nutzung von Links im Internet und in E-Mails/Sensible Daten sollten nur verschlüsselt auf dem mobilen Endgerät gespeichert werden. Seit Anfang Juli bietet Secusmart Bundesbehörden das neue Blackberry Z10 mit der auf einer Micro-SD-Karte installierten Software „Secusuite“ an, berichtet das Handelsblatt Nutzer könnten telefonieren, mailen, SMS senden oder im Internet surfen und Dienstliches von Privatem trennen. Im sicheren Bereich authentifizieren sie sich. Daten würden per Ende-zu-Ende-Verschlüsselung verschickt. Der Stückpreis betrage 2.500 Euro. Der Sicherheitsberater weist am 1. Oktober darauf hin, dass das BSI offiziell die Zulassung des Handys SiMKo 3 für die Geheimhaltungsstufe „Verschlusssache – Nur für den Dienstgebrauch“ (VS-NfD) erteilt hat. Im Unterschied zu einem herkömmlichen Android-Handy sitze im SiMKo3 ein alternatives Betriebssystem, der sogenannte L4-Hochsicherheits-Mikrokern. Dieser bietet laut Telekom den Hackern kein Versteck mehr für Überraschungen. An der Entwicklung seien durchgängig deutsche Firmen beteiligt gewesen. Die Entwicklung des SiMKo3 gehe weiter. Es solle in den nächsten Monaten zusätzliche Produktmerkmale bieten: verschlüsselte Voice over IP-Telefonie mit hochsicheren Verschlüsselungsverfahren, sichere netzübergreifende Sprachverschlüsselung, SiMKo-Produktfamilie mit Tablets und Notebooks für den Heimarbeitsplatz und Unterstützung des schnellen LTE-Funkstandards (S. 299/300). Der NSA zapft nach Informationen des „Spiegel“ eine der wichtigsten Telekommunikationsverbindungen zwischen Europa und Asien an, meldet die FAZ am 30. Dezember. Es sei ihm gelungen, „Informationen über das Netzwerkmanagement des Dea-Me-We-4-Unterwasserkabelsystems zu erlangen“, heiße es in einem als „streng geheim“ eingestuften Dokument vom 13. Februar 2013, das die Zeitschrift eingesehen haben will. Das Kabelsystem verlaufe dem Bericht zufolge vom französischen Marseille aus über Nordafrika und die Golfstaaten nach Pakistan und Indien und von dort weiter bis nach Singapur, Malaysia und Thailand. Zu den Anteilseigern gehörten der halbstaatliche französische Konzern Orange und Telecom Italia. Korruption – Dimension Nach dem vom Bundeskriminalamt im Dezember 2013 veröffentlichten Bundeslagebild Korruption für das Jahr 2012 ist sowohl die Zahl der Ermittlungsverfahren als auch die der im Rahmen dieser Verfahren polizeilich registrierten Straftaten zurückgegangen. Bedingt durch den statistischen Einfluss umfangreicher Ermittlungskomplexe betrug der Rückgang gegenüber 2011 82 % auf 8.175 Korruptionsstraftaten. Dagegen ist die Zahl der Begleittaten um 32 % auf 1.973 angestiegen. Die Situation der Korruption sei in Deutschland seit Jahren durch folgende Kernaussagen gekennzeichnet: Korruptive Verbindungen zwischen Gebern und Nehmern sind in der Regel längerfristig angelegt. Der Anteil dieser sogenannten strukturellen Korruption beträgt mehr als 80 %. In mehr als der Hälfte der Verfahren stehen Geber und Nehmer über einen Zeitraum von drei Jahren oder länger in einer korruptiven Beziehung zueinander. 2012 gehörten 17 % der Geber der Baubranche und 16 % dem Dienstleistungsgewerbe an. 14 % waren Privatpersonen, 10 % waren Jahrbuch der Unternehmenssicherheit 2013 im Handel tätig. In etwa 75 % der Fälle sind die Funktionen der Geber bekannt. In mehr als 60 % der Verfahren hatten sie Leitungsfunktionen inne: 35,7 % als Geschäftsführer, 16,4 % als Firmeninhaber, 12,9 % als Leitende Angestellte. Korruption verursacht hohe Schäden. 2012 betrug der festgestellte bzw. geschätzte Schaden rund 354 Millionen Euro. Der durch die korruptive Erlangung von Aufträgen und Genehmigungen entstehende Schaden lässt sich allerdings nur vage schätzen. Hinzu kommt ein großes Dunkelfeld nicht ermittelter Korruptionen. Die Vorteile für die Geber lagen zu 56 % in der Erlangung von Aufträgen, zu 12,4 % in der Erlangung einer behördlichen Genehmigung, zu 6,5 % in sonstigen Wettbewerbsvorteilen. Die Nehmer waren im Jahr 2012 zu 55 % Amtsträger und zu 34,8 % ein Unternehmen. In 87 % der Verfahren ist die Funktion des Nehmers bekannt. In 50,8 % der Fälle waren es Sachbearbeiter, in 34,6 % leitende Funktionäre, in 4,5 % Bürgermeister. Die Vorteile bestanden für die Nehmer zu 36,4 % in Bargeld, zu 36,3 % in Sachleistungen, zu 10,2 % in Bewirtungen, zu 4,7 % in der Teilnahme an Veranstaltungen. Korruption ist Kontrollkriminalität. Erfolge in der Bekämpfung dieser Kriminalität hängen stark von der Gewinnung qualifizierter Hinweise ab. Rund zwei Drittel der Verfahren wurden auf entsprechende externe Hinweise hin eingeleitet. Die in vielen Unternehmen geschaffenen ComplianceStrukturen dürften dazu beigetragen haben. Wie das Handelsblatt am 3. Dezember berichtet, hat Transparency International den aktuellen Korruptionsindex veröffentlicht. Er ermittele, wie korrupt die öffentliche Verwaltung in einem Land ist. Er gründe auf Studien und Einschätzungen renommierter unabhängiger Institute. Fallzahlen von Bestechlichkeit in öffentlichen Ämtern ließen dagegen keine eindeutige Bewertung zu. In keinem europäischen Land sei Korruption so stark verbreitet wie in Griechenland. Es belege Platz 80 unter 177 Staaten weltweit. Deutschland komme mit 78 von 100 möglichen Punkten auf Platz 12. Am unbestechlichsten seien der Studie zufolge die Verwaltungen in Dänemark und Neuseeland. Den letzten Platz teilten sich – wie im vergangenen Jahr – Afghanistan, Nordkorea und Somalia. Besonders stark habe sich Spanien verschlechtert. Es sei nur auf Platz 40 gelandet. Die engen Beziehungen zwischen Politikern und Bauunternehmen hätten in der Vergangenheit die Immobilienblase gefördert. Prof. Hartmut Berghoff, Deutsches Historisches Institut in Washington, und Prof. Cornelia Rauh, Uni Hannover, befassen sich in der FAZ am 5. Februar mit der Korruptionsproblematik. Es falle schwer, die Schäden zu beziffern, von denen die Opfer meist gar nichts wüssten. Zu den Konsequenzen gehörten überteuerte Preise und – schlimmer noch – der Verlust von Regelvertrauen, einer für die Wirtschaft grundlegenden Ressource. Investoren würden abgeschreckt, es komme zur Fehlallokation von Kapital und Produktivitätseinbußen. Wachstumschancen, insbesondere in Entwicklungsländern, würden zerstört. Zuweilen werde argumentiert, dass Korruption in Ländern wie Venezuela, Bangladesch, Nigeria oder Argentinien alternativloses Mittel zur Auftragsbeschaffung und deshalb für die Unternehmen ökonomisch rational sei. Martin Walser habe das Korruptionssystem von Siemens sogar als „eine sehr solide, vernünftige Konstruktion“ bezeichnet. Ein Blick in die Geschichte der Korruption wecke jedoch Zweifel an der These der privatwirtschaftlichen Rationalität der Korruption. Der Preis, den europäische Firmen durch Schmiergelder in Ländern mit einer gewachsenen Korruptionskultur zahlten, habe im Kontrollverlust über Zahlungsströme und die Loyalität ihrer Angestellten bestanden. Ob diese Nachteile durch Vorteile für die Unternehmen aufgewogen wurden, sei kaum feststellbar. Genau in diesem Verlust der Rechenhaftigkeit liege aber ein Charakteristikum der Korruption. Mittelsmänner kämen auch heute noch zum Einsatz. Nur dass sie meist vornehm als „Consultants“ firmierten. Jedoch gebe es auch andere Methoden. So habe Siemens über lange Zeit Mitarbeiter mit prall gefüllten Kof- 143 144 Jahrbuch der Unternehmenssicherheit 2013 fern voller Bargeld durch die Welt reisen lassen. Als 1999 die Bestechung ausländischer Amtsträger in Deutschland strafbar wurde, habe der Konzern zunehmend Scheinfirmen und Berater eingeschaltet. In Venezuela seien zwischen 2001 und 2006 fast 17 Millionen Dollar versickert. In Argentinien habe Siemens nach Erkenntnissen der SEC binnen zwei Jahrzehnten rund 100 Millionen Dollar an Politiker und Beamte sowie „Consultants“ gezahlt, um an einen Milliardenauftrag für Personalausweise zu kommen. Noch 1985 habe der Bundesgerichtshof festgestellt, dass von „einem deutschen Unternehmen“ nicht „erwartet werden“ könne, „dass es in den Ländern, in denen staatliche Aufträge nur durch Bestechung … zu erlangen sind, auf dieses Mittel völlig verzichtet“. „Nützliche Aufwendungen“ seien bis 1999 in Deutschland nicht nur steuerlich absetzbar gewesen, sondern die Unternehmen hätten sogar auf Zahlungsbelege verzichten können. Angesichts der ausufernden Korruption amerikanischer Unternehmen habe der amerikanische Kongress 1977 den „Foreign Corrupt Practices Act“ (FCPA) verabschiedet, der die Bestechung ausländischer Amtsträger unter scharfe Strafen stellte. Eine OECDKonvention habe 1999 die Signatarstaaten verpflichtet, die Bestechung ausländischer Amtsträger zu verbieten. Weltweit hätten die wichtigsten Industriestaaten entsprechende Gesetze erlassen. Im Zuge der Ratifizierung der OECD-Konvention habe die ClintonRegierung 1998 den FCPA verschärft. Die Reichweite erstrecke sich nicht nur auf Unternehmen, die in den USA niedergelassen oder börsennotiert sind. Es genüge, dass eine Tathandlung – und als solche gelte bereits ein E-Mail-Verkehr oder eine Überweisung – auf amerikanischem Territorium stattfindet. Nach den gigantischen Bilanzfälschungen bei Enron und Worldcom hätten die USA 2002 ihre Bilanzierungsvorschriften durch den „Sarbanes-Oxley Act“ verschärft, der im Extremfall langjährige Haftstrafen vorsah. Erste Recherchen zur jüngsten Siemens-Geschichte zeigten, dass das dortige System das genaue Gegenteil einer „soliden, vernünftigen Konstruktion“ gewesen sei. Es habe vielfach Chaos und Kontrollverlust erzeugt. Es habe kein straff von oben organisiertes System gegeben, sondern in den einzelnen Sparten und Ländern des Riesenkonzerns eine Vielzahl undurchsichtiger Vorgänge, Insidercliquen und Hunderte von Konten im Ausland, die niemand in Gänze überblickte. Selbst für Großunternehmen könnten Korruptionsvorwürfe infolge der neuen Rechtslage und der gewandelten Einstellung der Öffentlichkeit schnell existenzgefährdend werden. Siemens habe das Ruder gerade noch rechtzeitig herumgerissen, sich zur kompromisslosen Aufklärung entschlossen und praktisch seine gesamte Führungsriege ausgetauscht. Zugleich sei ein umfassendes Compliance-System aufgebaut worden. Mit einem Vermögensschaden von geschätzten 2,5 Milliarden Euro, davon allein 1,2 Milliarden an Strafzahlungen, sei Siemens mit einem blauen Auge aus einer Krise herausgekommen, die es gefährlich nahe an den Abgrund geführt habe. Der ASW-Newsletter vom 10. Mai weist auf eine Studie von Ernst & Young zur Korruptionsgefahr hin, für die knapp 3.500 Finanzvorstände, Revisionsleiter, Leiter der Rechtsabteilung und des Compliance-Managements aus 36 Ländern befragt worden seien, darunter 100 aus Deutschland. Korruption sei in Europas Wirtschaft immer noch überraschend weit verbreitet. Slowenien, die Ukraine und Griechenland belegten einen unrühmlichen Spitzenplatz im EuropaRanking: Dort liege der Anteil der Befragten, die Korruption in ihrem Land für üblich halten, bei 96, 85 bzw. 84 % und damit etwa auf dem Niveau von Kenia und Nigeria. Deutschland liege mit 30 % unter dem europäischen Durchschnitt. Am wenigsten verbreitet sei Korruption in der Schweiz: Hier gäben nur 10 % der Befragten an, Bestechung sei in ihrem Wirtschaftsleben gängig. Finnland und Schweden lägen jeweils bei 12 %, Norwegen bei 17 %. Erstaunlich viele Manager könnten sich vorstellen, in Notsituationen dem Geschäftserfolg mit Jahrbuch der Unternehmenssicherheit 2013 unlauteren Mitteln nachzuhelfen: So hielten von den westeuropäischen Managern 13 % (Deutschland: 7 %) Bestechung von Geschäftspartnern für gerechtfertigt, wenn auf diese Weise ein Unternehmen über einen Wirtschaftsabschwung hinweggerettet werden kann. In vielen deutschen Unternehmen seien in den letzten Jahren massive Anstrengungen unternommen worden, Korruption im eigenen Haus zu verhindern. 64 % der befragten deutschen Manager hätten angegeben, das gehobene Management habe ein klares Bekenntnis zu Antibestechungsrichtlinien abgegeben. Tatsächlich vorgegangen gegen Mitarbeiter, die Regeln verletzten, sei man bei 32 % der Befragten in Deutschland. Aber nur 45 % der Befragten in Deutschland hätten angegeben, dass „Whistleblower“ mit der Rückendeckung durch die Unternehmensleitung rechnen könnten. Eine von der EU-Kommission in Auftrag gegebene Studie über die wirtschaftlichen Folgen der Korruption kommt laut FAZ vom 5. November zu dem Ergebnis, dass die realen Kosten der Korruption weit höher seien als die Bestechungssummen, etwa wenn der Preis für einen km Autobahn den Marktpreis um das Dreifache überschreite. Untersucht worden seien acht europäische Länder und fünf Bereiche. In der EU seien 2010 für öffentliche Aufträge 2.406 Milliarden Euro aufgewendet worden. Das sei ein Fünftel des in der EU erarbeiteten Sozialprodukts. In den fünf untersuchten Segmenten der acht untersuchten Länder hätten die Kosten, die durch Korruption entstanden seien, zwischen 1,4 und 2,2 Milliarden Euro gelegen. Bei kleineren Projekten seien korrupte Praktiken häufiger vorgekommen als bei großen. An der Spitze rangierten Bildungsprojekte, bei denen die Korruptionskosten 44 % der budgetierten Projektsumme ausmachten, gefolgt von Stadtprojekten (29 %), dem Eisenbahn- und Autobahnbau (20 %), der Wasserwirtschaft und Abfallbeseitigung (16 %) sowie Forschung und Entwicklung (5 %). In absoluten Zahlen stünden städtische Großprojekte mit 830 bis 1.141 Millionen Euro an erster Stelle, gefolgt vom Bahn- und Autobahnbau (488 bis 755 Millionen). Wenn Projekte mit korrupten Praktiken zustande gekommen sind, belasteten diese die Etats mit durchschnittlich 18 % der Projektsumme. Davon ließen sich 13 % direkt auf Korruption zurückführen, 5 % machten die sogenannten „grauen Fälle“ aus, bei denen Korruption lediglich vermutet wird. Vorgeschlagen werde, dass die EU eine Richtlinie verabschiedet, die gewährleisten soll, dass Eigentum, das nachweislich aus kriminellen Quellen stammt, straf- oder zivilgerichtlich konfisziert werden kann, wenn der Eigentümer nicht oder noch nicht verurteilt ist. Ärztekammern und die Vereinigungen der Kassenärzte tun nach Auffassung der Union zu wenig gegen Korruption im Gesundheitswesen, berichtet die FAZ am 2. Januar. Die Grenzen zwischen Kooperation von Ärzten mit Pharmafirmen und Korruption seien unscharf, habe der gesundheitspolitische Sprecher der Union, Jens Spahn, geäußert. Welches Ausmaß die umstrittenen Praktiken haben, sei unklar. Transparancy International behaupte, der Schaden für das Gesundheitssystem gehe in die Milliarden. Spahn greife mit seiner Drohung, eine Strafnorm zu schaffen, eine Debatte auf, die durch ein Urteil des BGH entflammt war. Die Richter hatten entschieden, dass niedergelassene Ärzte als Freiberufler nicht wegen Bestechlichkeit angeklagt werden können. Der Gesetzgeber müsse entscheiden, ob es strafwürdig sei, wenn Pharmaunternehmen oder Labore Ärzten Geld oder andere Vorteile gewähren, und gegebenenfalls das Strafrecht ausweiten. Unbeschadet dessen könnten Ärzte für Vorteilsnahme aber auch nach dem Sozialoder Berufsrecht belangt werden. Blogger legen immer mehr Korruptionsskandale chinesischer Funktionäre offen, titelt die FAZ am 2. Januar. Ji Xuguang, ein investigativer Journalist, der in seinem Blog Videobilder veröffentlicht hatte, die einen örtlichen Parteifunktionär belasteten, der daraufhin abgesetzt worden war, habe dies als 145 146 Jahrbuch der Unternehmenssicherheit 2013 Durchbruch im Kampf gegen die Korruption bewertet. Bislang hätten die Disziplinwächter der Partei nicht mit Journalisten wie ihm zusammengearbeitet. Ji Xuguang glaube an Rückendeckung von ganz oben. Die neue Parteiführung unter Xi Jinping habe der Korruption den Kampf erklärt und zu mehr Mitwirkung der Bevölkerung bei der Enthüllung von Fällen des Machtmissbrauchs ermutigt. Fast täglich seien während der vergangenen Wochen in den chinesischen Mikroblogs Fälle von Korruption und Machtmissbrauch und Sex-Skandalen gemeldet worden. Aber auch die offiziellen Medien folgten den Enthüllungen im Internet immer öfter mit eigenen Recherchen. In der Wirtschaft Italiens habe sich systematische Korruption eingenistet, klagt Rechnungshof-Chef Luigi Giampaolino laut einem Bericht in der Wirtschaftswoche am 25. Februar. Rüstungskonzernchef Orsi werde von der Staatsanwaltschaft verdächtigt, indische Regierungsmitglieder mit 28 Millionen Euro geschmiert zu haben. Das drittgrößte Kreditinstitut Italiens, das Geldhaus Monte die Paschi, werde von einer Lawine von Enthüllungen erfasst. Ex-Finanzchef Gianluca Baldassarri verdächtigten die Ermittler, als Chef einer „Fünf-Prozent-Bande“ bei jeder Finanzoperation Schmiergelder eingestrichen zu haben. Der Informationsdienst Kroll glaubt, ein Fünftel der Unternehmen sei von Korruption betroffen. Korruption – Einzelfälle Die Deutsche Bahn hat sich wegen hoher Korruptionsrisiken aus Griechenland und anderen Staaten zurückgezogen, meldet die FAZ am 19. Juni. Diese Entscheidung sei schon vor längerer Zeit gefallen. Es sei aber denkbar, dass das Unternehmen unter besonderen Sicherheitsvorkehrungen künftig auch wieder Geschäfte in Risikoländern mache. Damit ziehe die Bahn auch Konsequenzen aus Ermittlungen gegen ihre Tochter DB International. Sie soll im vergangenen Jahr in mehreren Staaten Schmiergeld gezahlt haben, um Beratungs- und Planungsaufträge für Eisenbahnprojekte zu bekommen. Die Bahn wolle daher jetzt auch in Algerien, Libyen, Ruanda und Thailand keine Geschäfte mehr machen. Von mehr als 30 DBI-Beschäftigten habe sich das Unternehmen getrennt. Seit 2011 richte sich das Unternehmen nach dem Index zur Korruptionswahrnehmung (CPI), den Transparency International erstellt hat. Korruption und Untreue habe den niederländischen Gebäudeausrüster Imtech wie ein Krebsgeschwür zerfressen, meldet das Handelsblatt am 27. Juni. Imtech selbst beziffere den Schaden bisher auf 370 Millionen Euro. Schon 2011 habe ein Berater vor mafiösen Strukturen gewarnt. Doch Imtech habe die Aufklärung verschleppt. In Chinas staatlicher Rohstoffindustrie häuften sich die Korruptionsverdächtigungen, meldet die FAZ am 29. August. So seien Verfahren gegen Manager der China National Petroleum Corporation (CNPC) und gegen Manager eines Tochterunternehmens von Petro China, Ran Xinquan, eingeleitet worden. Wie SPIEGEL ONLINE berichtet, sollen Debeka-Vertreter jahrelang unter dubiosen Umständen Adressen von angehenden Beamten angekauft und sich so einen unerlaubten Wettbewerbsvorteil verschafft haben. Es habe bei der Debeka keinerlei Sanktionen gegen diejenigen gegeben, die mit Adressen handelten. Inzwischen habe die Debeka einen neuen Verhaltenskodex für ihre 17.000 Mitarbeiter eingeführt. Die FAZ meldet am 5. November, dass die Staatsanwaltschaft Koblenz die Vorwürfe des illegalen Datenhandels prüfe. Enthüllungen eines ehemaligen Spitzenbeamten im griechischen Verteidigungsministerium bringen nach einem Bericht der FAZ vom 30. Dezember deutsche Rüstungs- Jahrbuch der Unternehmenssicherheit 2013 hersteller in Bedrängnis. Danach soll beim Verkauf von 1.709 Kampfpanzern des Typs „Leopard 2A6“ für rund 1,7 Milliarden Euro nach Griechenland Schmiergeld in Höhe von 1,7 Millionen Euro aus Deutschland geflossen sein. Die vor mehr als 12 Jahren erfolgten Zahlungen kämen wohl von einem griechischen Repräsentanten von Kraus-Maffei. Der Hersteller, der nach der Fusion mit Wegmann heute als KMW firmiert, stelle den „Leopard“ gemeinsam mit Rheinmetall her. Der ehemalige Spitzenbeamte Antonios Kantas, der von 1996 bis 2002 als stellvertretender Einkaufschef für die Rüstungseinkäufe der griechischen Militärs zuständig gewesen sei, habe zugegeben, für Waffeneinkäufe aus Deutschland, Frankreich, Russland, Nordamerika und Israel Schmiergeld von insgesamt 16 Millionen Euro kassiert zu haben. Die Bestechungsvorwürfe würden von KMW bestritten. Das Unternehmen verpflichte seine Mitarbeiter und Geschäftspartner, sich strikt rechtmäßig zu verhalten. Der Auftrag aus Griechenland sei sorgfältig überwacht worden. Kantas habe bei seiner Vernehmung weitere Geschäfte mit deutschen Rüstungsherstellern genannt, für die er Schmiergeld erhalten habe. Dabei sei es beispielsweise um die Modernisierung von U-Booten durch Rheinmetall und den heute von ThyssenKrupp geführten Ausrüster Atlas gegangen. Am selben Tag berichtet die Zeitung, in der südchinesischen Provinz Hunan seien mehr als 500 Delegierte des Volkskongresses wegen Bestechlichkeit suspendiert worden. Sie hätten gegen Geld gut 50 Abgeordnete in die Provinz-Vertretung gewählt. Auch diese Funktionäre seien ihrer Ämter enthoben worden. Insgesamt sollen umgerechnet 13 Millionen Euro geflossen sein. Die von der Kommunistischen Partei herausgegebene Volkszeitung habe in einem Kommentar eine „umfassende Untersuchung“ des Skandals gefordert. Die chinesische Führung habe unlängst eine härtere Gangart gegen Korruption angekündigt. Korruption – Sanktionen Das Landesarbeitsgericht München hat entschieden, dass ein Arbeitnehmer, der Schmiergeld kassiert, es seinem Arbeitgeber herausgeben muss. Der für den Anspruch gegen den korrupten Mitarbeiter erforderliche Schaden sei nach den Regeln des Anscheinsbeweises in der Höhe der Zuwendung anzunehmen (6 Sa 957/11). Anders sei es nur bei einem „relativ geringen“ Betrag, den die Richter mit maximal 5 % der Gesamtauftragssumme angesetzt haben (FAZ vom 30. Januar). Droht mir bei Korruptionsverdacht die Kündigung?, fragt die FAZ am 16. März. Verwendet ein Arbeitnehmer das Geld seines Arbeitgebers, um Geschäftspartner zu bestechen, könne dies eine fristlose Kündigung rechtfertigen. Doch das gelte nur, wenn im Unternehmen ein funktionierendes Compliance-System besteht. Sonst könne sich der Mitarbeiter damit herausreden, dass der Vorgesetzte das Verhalten gebilligt hat. Nach einer kürzlichen Entscheidung des BAG fehle es an der Rechtfertigung für eine Kündigung, wenn der Arbeitnehmer aus vertretbaren Gründen annehmen darf, dass er nicht pflichtwidrig handelt, weil der Arbeitgeber sein Verhalten akzeptiert. Eine strafbare Bestechung habe auch für den Arbeitgeber erhebliche Konsequenzen. Ihm drohten Geldbußen wegen Aufsichtspflichtverletzungen. Außerdem würden in solchen Fällen auch die finanziellen Vorteile abgeschöpft, die der Arbeitgeber durch die Bestechungen erlangt hat. Das Urteil des BAG zeige klar, wie wichtig funktionierende Compliance-Systeme für Unternehmen sind. Der Arbeitgeber müsse unter anderem eindeutig nachweisen können, dass seine Arbeitnehmer Vorgaben zu Korruption und anderen Compliance-Themen kennen und wissen, dass sie diese Regeln beachten müssen. 147 148 Jahrbuch der Unternehmenssicherheit 2013 Die Wochenzeitung DAS PARLAMENT berichtet am 4. März über die Forderung der GRÜNEN-Fraktion im Bundestag nach Einrichtung eines bundesweiten Registers über unzuverlässige Unternehmen (Entwurf eines Korruptionsregister-Gesetzes 17/11415). In der Anhörung des Ausschusses für Wirtschaft und Technologie hätten sich die Sachverständigen für die Einrichtung eines Registers über unzuverlässige Unternehmen ausgesprochen. So habe der Deutsche Städteund Gemeindebund, dessen Mitglieder jedes Jahr Aufträge von 250 bis 300 Milliarden Euro vergeben, erklärt, vorrangiges Ziel müssten „saubere und transparente Vergabeverfahren im Wettbewerb bei der Gleichbehandlung aller Unternehmen“ sein. Auch der BDI unterstützte grundsätzlich die Einrichtung eines Registers. Besser wäre nach Meinung des Verbandes allerdings die Beibehaltung des Primats der öffentlichen Ausschreibung, die Absenkung der Schwellenwerte für freihändige Vergaben und mehr Transparenzpflichten. Nach der Überzeugung des DGB dürften Aufträge nur an zuverlässige und gesetzestreue Unternehmen vergeben werden, und dafür sei die Einrichtung eines bundesweiten Korruptionsregisters ein wichtiger Baustein. Der Vorsitzende des Bundestagsrechtsausschusses, Siegfried Kauder, wolle strengere Korruptionsregeln für Abgeordnete noch vor der Sommerpause auf den Weg bringen, meldet die FAZ am 8. April. Nach dem erar- beiteten Gesetzentwurf würden sich Mandatsträger künftig strafbar machen, wenn sie für die Ausübung ihres Mandats einen Vorteil annehmen oder einfordern. „Die Grenze zur Korruption könnte bei 200 Euro verlaufen“, habe Kauder gesagt. Bundesgesundheitsminister Bahr sage der Korruption im Gesundheitswesen den Kampf an, heißt es bei n-tv.de am 3. April. Bestechung und Bestechlichkeit von Kassenärzten, Herstellern von Medizintechnik und in anderen Gesundheitsberufsgruppen sollten künftig mit einer Geldstrafe oder bis zu drei Jahren Haft geahndet werden. Der SPD gehe Bahrs Vorschlag nicht weit genug, die Krankenkassen begrüßten ihn. In Österreich mache der Fiskus Druck auf Schmiergeldempfänger, berichtet die FAZ am 5. April. Wer sich bestechen lässt, bekomme im Steuerjahrbuch 2013 des Finanzministeriums Tipps, wie solche Zahlungen zu veranlagen sind. Demnach müssten korrupte Arbeitnehmer für die normale Veranlagung zusätzlich ein bestimmtes Formular ausfüllen, um Einkünfte aus nichtselbstständiger Arbeit ohne Lohnsteuerabzug darzulegen. Darunter fielen auch bestimmte Provisionen – beispielsweise Schmiergelder – von dritter Seite. Schmiergeldempfängern drohe zusätzlich zum regulären Strafverfahren noch ein Finanzstrafverfahren, wenn die Einnahmen nicht versteuert werden. Korruption – Korruptionsprävention In einer Pressemitteilung vom 4. Juli veröffentlicht das BMI eine praktische Hilfestellung für Antikorruptionsmaßnahmen in Unternehmen. Das BMI informiert insbesondere über wirksame Compliance-Maßnahmen. Es wendet sich neben der Führung von Organisationen gleichermaßen auch an diejenigen, die mit der Entwicklung, Einführung oder Umsetzung von Compliance-Maßnahmen befasst sind. Die Hilfestellungen können auf der Internetseite des BMI abgerufen werden. Der Behördenspiegel weist in seiner Augustausgabe darauf hin, dass der „Initiativkreis Korruptionsprävention Bundesverwaltung/Wirtschaft – Gemeinsam gegen Korruption“ einen Fragen-/Antwortkatalog zum Thema Annahme von Belohnungen, Geschenken und sonstigen Vorteilen (Zuwendungen) erarbeitet hat. Er ist auf der Webseite des Initiativkreises abrufbar und behandelt Zuwendungen, Geschenke, Einladungen/ Bewirtungen, Reisekosten, Delegationsreisen Jahrbuch der Unternehmenssicherheit 2013 und Rabatte zur privaten Nutzung. Wer wissen will, was alles in Sachen Korruptionsverhinderung geprüft und getan werden könne, solle sich dieses Papier zur Hand nehmen. Es besteche durch seine Vollständigkeit, gehe letztlich jedoch nur indirekt auf einen entscheidenden Faktor ein: die Motivation der Beschäftigten, gezielt gegen Korruption anzugehen bzw. sich nicht in korruptives Verhalten hineinziehen zu lassen. Zehn Jahre nach Verabschiedung einer Konvention gegen Korruption durch die UN habe die deutsche Wirtschaft die künftige Bundesregierung aufgefordert, das Abkommen ebenfalls zu unterzeichnen, meldet die FAZ am 10. Dezember. Für deutsche Unternehmen stelle die fehlende Ratifizierung eine zunehmende Belastung bei ihren Auslandsaktivitäten dar. Immer wieder würden sie auf die Nichtumsetzung der Konvention angesprochen, insbesondere wenn sie sich bemühen, mit ausländischen Partnern Vereinbarungen zur Korruptionsbekämpfung einzugehen. KFZ-Diebstahl Im Jahr 2012 wurden nach dem vom BKA veröffentlichten Bundeslagebild 37.238 KFZ als gestohlen registriert. Das sind 9 % weniger als 2011 und 6 % weniger als der Durchschnitt der letzten fünf Jahre. Als auf Dauer entwendet wurden 18.554 KFZ registriert. Das sind 4 % weniger als 2011, aber 2 % mehr als der Durchschnitt der letzten fünf Jahre. Bei rund 75 % der auf Dauer entwendeten PKW handelt es sich um Fahrzeuge deutscher Hersteller. Am stärksten belastet waren die Hersteller bestimmter hochwertiger Fahrzeuge. Erneut wurden in Berlin mehr PKS dauerhaft entwendet als in NordrheinWestfalen, dem Bundesland mit dem höchsten Zulassungsbestand. Die Belastungszahl (bezogen auf je 100.000 zugelassene PKW des jeweiligen Herstellers) betrug 2012 im gesamten Bundesgebiet 45, in Berlin 333, in Bayern 12. In den östlichen Bundesländern ist wegen der im Osten Europas gelegenen Absatzmärkte eine erhöhte Belastung festzustellen. Die Zahl der im Ausland auf Dauer entwendeten Fahrzeuge mit deutscher Zulassung ist 2012 erneut um 16 % (auf 533) gesunken. Innerhalb Europas kommt Polen und Litauen als Transit- und Zielstaaten entwendeter KFZ und als Herkunftsregion von Tätern eine besondere Bedeutung zu. Rund ein Drittel der im Ausland begangenen Diebstähle von in Deutschland zugelassenen Fahrzeugen wurde in Polen begangen. Zurückgegangen ist 2012 auch die Zahl der auf Dauer entwendeten LKW (um 14 % auf 1.630). Die illegalen Absatzmärkte für gestohlene LIW liegen vorwiegend im Nahen Osten. Nach Angaben der fünf größten deutschen Autovermietungsunternehmen wurden im Jahre 2012 925 Mietfahrzeuge entwendet, zumeist unterschlagen oder betrügerisch erlangt, 16 % mehr als 2011. Der Anteil der Sicherstellungen lag mit 74 % auf dem Vorjahresniveau. Die internationale KFZ-Verschiebung wird von hochqualifizierten, spezialisierten und arbeitsteilig vorgehenden Tätergruppierungen dominiert, zumeist aus Osteuropa. Die Überwindung von elektronischen Sicherungseinrichtungen, der Fahrzeugtransport, die Zerlegung der Fahrzeuge in Einzelteile, die Fälschung oder Verfälschung von Fahrzeugpapieren und Identifizierungsmerkmalen sowie der Absatz der entwendeten Fahrzeuge erfordern eine umfassende Logistik und sprechen für die hohe Professionalität der Täter. Der Transport der gestohlenen 149 150 Jahrbuch der Unternehmenssicherheit 2013 Fahrzeuge in die Absatzstaaten erfolgt teilweise in Containern. In Südost- und Osteuropa sowie im Nahen und Mittleren Osten besteht ein anhaltender Bedarf an KFZ und Fahrzeugteilen. Ein wichtiger Transportweg für den Absatz im Nahen und Mittleren Osten sowie in Zentralasien führt durch die Türkei. Eine grundlegende Änderung der Kriminalitätslage ist künftig nicht zu erwarten, da die wesentlichen Rahmenbedingungen (Erweiterung des Schengen-Raumes, technische Möglichkeiten zur Überwindung moderner Wegfahrsperren, gute Absatzmöglichkeiten) fortbestehen. Die FAZ weist am 12. September darauf hin, dass nach der Jahresstatistik des GDV die Zahl gestohlener kaskoversicherter KFZ 2012 um 8 % auf 18.063 zurückgegangen ist. Früher habe es wesentlich mehr Gelegenheitsdiebe gegeben. Inzwischen benötige man für den Diebstahl erhebliches technisches Wissen. Die regionalen Unterschiede seien beachtlich. Die meisten Autos würden in Berlin gestohlen: 32 von 10.000, rund doppelt so viele wie in Hamburg. Der Osten Deutschlands sei generell stärker betroffen als der Westen. Das mit Abstand begehrteste Fahrzeug sei der BMW X6 Xdrive (266 gestohlene Autos von 10.000). Da die Fahrzeuge immer wertvoller seien, steige auch der durchschnittliche Schaden immer weiter. 13.421 Euro zahlten die Versicherungen im typischen Fall an den Kunden aus. Immer häufiger würden gestohlene Autos nicht mehr komplett am Zweitmarkt verkauft, sondern in Zerlegungshallen auseinander genommen und in Einzelteilen veräußert. Wissenschaftler haben eine weit verbreitete Wegfahrsperre gehackt, berichtet die Wirtschaftswoche am 1. August. Durch eine von VW beantragte Einstweilige Verfügung seien sie gezwungen worden, die von ihnen entdeckte Sicherheitslücke unter Verschluss zu halten. Organisierte Kriminelle hätten damit eigene Schlüssel herstellen und Autos problemlos stehlen können. Die Wissenschaftler hätten die Software der Wegfahrsperre analysiert, die seit 2009 im Internet öffentlich zugänglich sei. Außerdem hätten sie die Chips auseinander genommen, auf denen die Software installiert ist. Das Verfahren dazu sei aufwändig. Dabei werde der Chip mit einer Poliermaschine mikrometerweise abgefräst. Jede freigelegte Schicht werde anschließend durch ein Mikroskop fotografiert. Würden diese Fotos anschließend wieder zu einem Bild zusammengesetzt, lasse sich darauf auf die Struktur des Chips schließen – und auch auf die Struktur der in ihm enthaltenen Kryptografie. Die Anordnung von Transistoren verrate im Zweifel, wie diese funktioniert. Der Schaden, den Autohäuser durch PKWDiebstahl, Teilediebstahl oder Vandalismus zu tragen haben, sei erheblich, äußert das Sachverständigenbüro Neuscheler (SecuPedia, Newsletter 8/2013). Hinter der Bezeichnung Argostronic stehe ein von Neuscheler entwickeltes Sicherheitssystem, bestehend aus einer Sensoreinheit und einem Empfänger als Managementsystem. Die Sensoreinheit werde in den Zigarettenanzünder eines Fahrzeugs gesteckt und überwache dann mit einem Bewegungs-, einem Neigungsund einem Infraschallsensor das Auto auf Wegnahme, Anheben zum Teilediebstahl oder Aufbruch der Scheiben. Die kontinuierliche Kommunikation der Sensoren mit der Empfangseinheit stelle sicher, dass Manipulationen am Fahrzeug sofort auffallen und zu einer Alarmmeldung führen. Kriminalstatistik Im Verlauf des Jahres 2013 hat das Bundeskriminalamt die Polizeiliche Kriminalstatistik für das Jahr 2012 veröffentlicht. Für die Unternehmenssicherheit erscheinen folgende Jahrbuch der Unternehmenssicherheit 2013 Ergebnisse von besonderer Bedeutung: -Die Wirtschaft besonders belastende Kriminalitätsphänomene -Wirtschaftskriminalität Die in der PKS erfasste Wirtschaftskriminalität ist eine Teilmenge der gesamten, die Wirtschaft bzw. einzelne Branchen belastenden Kriminalität. Abgegrenzt wird sie durch Bezugnahme auf einen in § 74c des Gerichtsverfassungsgesetzes enthaltenen Deliktskatalog. Die so definierte Wirtschaftskriminalität ist 2012 um 2,9 % gegenüber dem Vorjahr auf 81.793 Fälle angewachsen. Der Anstieg beruht vor allem auf einem Zuwachs der betrügerischen Wirtschaftskriminalität (um 14,9 %). Kriminalstatistik – Bank- und Geschäftsraub Fallzahl 2012/Veränderungen gegenüber 2011 - auf Tankstellen: 808 / 2,5 % Raubüberfälle auf Banken und Post: 280 / 13,6 % - auf Geld- und Kassenboten: 128 / 0,8 % davon: - auf Spezialgeldtransporte: 5 ( 2011: 0) - auf Banken und Sparkassen: 202 / 20,5 %. - auf Taxifahrer: 205 / 6,2 % - auf Postfilialen und -agenturen: 78 / 11,4 % Die deutliche Abnahme der Raubüberfälle auf Banken und Sparkassen spricht dafür, dass sich der Einsatz von Sicherheitstechnik weiter verbessert hat. -auf sonstige Zahlstellen und Geschäfte 4.748 / 1,7 % - auf Spielhallen: 1.315 / + 0,9 % Kriminalstatistik – Diebstahl – Geschäftsdiebstahl Wie in den Vorjahren dominierten auch 2012 insgesamt die Diebstahlsdelikte die registrierte Kriminalität – und zwar mit 39,7 %. Diebstahls delikte haben gegenüber 2011 insgesamt um 1 % abgenommen. 46,2 % der Diebstähle erfolgten unter erschwerenden Umständen. Diebstahlsstruktur 2012 Diebstahl von, aus und an KFZ: 16,0 % Ladendiebstahl: 15,2 % Fahrraddiebstahl: 13,7 % Diebstahl in/aus Wohnungen: 8,5 % sonstige Diebstähle: 46,6 % Die Anzahl der Diebstähle von KFZ hat 2012 erneut abgenommen (um 9,3 % auf 37.238 Fälle), der Diebstähle aus und an KFZ ebenfalls (um 6,1 % auf 43.460 Fälle). Besorgniserregend ist der Anstieg des Wohnungseinbruchdiebstahls um 8,7 % auf 144.117 Fälle (nach einem Anstieg im Vorjahr um 9,3 %). Gravierend ist vor allem der Zuwachs an Tageswohnungseinbrüchen (um 9,5 % auf 61.200). Und auch die Einbrüche in Bodenund Kellerräume sind nach dem Zuwachs im Vorjahr von 8,9 % nochmals um 2,3 % auf 85.061 Fälle angestiegen. 151 152 Jahrbuch der Unternehmenssicherheit 2013 Im Bereich der Geschäftsdiebstähle haben folgende Deliktsarten 2012 gegenüber 2011 zugenommen: Diebstähle -von Antiquitäten und Kunstobjekten um 24,0 % auf 2.930 - in/aus Gaststätten und Hotels um 2,0 % auf 69.121 abgenommen: Diebstähle - v on unbaren Zahlungsmitteln um 7,6 % auf 129.976 -in/aus Büros, Fabriken und Lagern um 1,4 % auf 145.883 - von/aus Automaten um 0,7 % auf 18.707 -in/aus Verkaufsräumen und Schaufenstern um 5,6 % auf 440.101 darunter: Ladendiebstahl um 6,1 % auf 361.759 - in/aus Baustellen um 3,5 % auf 33.150 Die Fallzahlen der Diebstahlsdelikte beruhen in hohem Maße auf Anzeigen durch die Geschädigten, sind also von der Schadenswahrnehmung und dem Anzeigeverhalten abhängig. Insbesondere beim Ladendiebstahl ist das Dunkelfeld der nicht entdeckten Fälle besonders hoch. Kriminalstatistik – Betrug und Untreue im Geschäftsleben Die Entwicklung der Betrugskriminalität im Verhältnis zu 2011 zeigt „Licht und Schatten“. - d er Leistungsbetrug um 24,6 % auf 37.344 Fälle Angestiegen ist - d er Leistungskreditbetrug um 2,8 % auf 45.328 Fälle -die Betrugskriminalität insgesamt um 2,5 % auf 958.515 Fälle - d er Geldkreditbetrug um 12,6 % auf 7.150 Fälle darunter: Subventionsbetrug um 46,3 % auf 727 Fälle - d ie Beförderungserschleichung um 4,2 % auf 253.312 Fälle - der Tankbetrug um 5,5 % auf 89.769 Fälle -der Betrug mittels rechtswidrig erlangter unba rer Zahlungsmittel um 4,8 % auf 69.720 Fälle darunter: mit Debitkarten ohne PIN um 13,8 % auf 15.471 Fälle ...mit Daten von Zahlungskarten um 22,4 % auf 19.652 Fälle -der Arbeitsvermittlungsbetrug um 174,8 % auf 654 Fälle - d er Provisionsbetrug um 23,3 % auf 3.005 Fälle - d er Abrechnungsbetrug um 45,6 % auf 7.347 Fälle - d er Kreditvermittlungsbetrug um 308,5 % auf 2.839 Fälle Der Anstieg der ermittelten Fälle von Beförderungserschleichung beruht primär auf einem geänderten Erfassungsverhalten bei der Bundespolizei. Die hohen Zuwächse bei Leistungsbetrug, Arbeitsvermittlungs betrug und Kreditvermittlungsbetrug erklären sich durch mehrere neue Sammelverfahren. Jahrbuch der Unternehmenssicherheit 2013 Zurückgegangen ist -der Waren- und Warenkreditbetrug um 1,9 % auf 272.117 Fälle -der Grundstücks- und Baubetrug um 13,4 % auf 376 Fälle -der Beteiligungs- und Kapitalanlagebetrug um 24,7 % auf 4.939 Fälle -der Betrug mit Debitkarten mit PIN um 6,9 % auf 23.210 Fälle - d er Betrug mit Kreditkarten um 7,9 % auf 8.182 Fälle -der Versicherungsbetrug und Versicherungsmissbrauch um 2,5 % auf 4.302 Fälle -der Computerbetrug (§ 263a StGB) um 7,1 % auf 24.817 Fälle - d er Sozialversicherungsbetrug um 19,3 % auf 3.472 Fälle - s onstiger Sozialleistungsbetrug um 11,0 % auf 16.338 Fälle -der Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten um 37,6 % auf 2.952 Fälle - d er Einmietbetrug um 3,7 % auf 9.998 Fälle - d er Kontoeröffnungs- und Überweisungsbetrug um 5,3 % auf 19.519 Fälle - d ie Untreue (§ 266 StGB) um 20,8 % auf 8.471 Fälle -das Vorenthalten von Arbeitsentgelt um 7,6 % auf 14.712 Fälle -der Missbrauch von Scheck- und Kreditkarten um 7,2 % auf 2.460 Fälle. Ganz besonders abhängig vom Anzeige- und Kontrollverhalten ist die Zahl der registrierten Fälle von Beförderungserschleichung. Kriminalstatistik – Computer- und Internetkriminalität Die Computerkriminalität ist 2012 gegenüber dem Vorjahr um 3,4 % auf 87.871 Fälle angewachsen. Der Anstieg ist zurückzuführen auf Die IuK-Kriminalität im engeren Sinne, bei der die Informations- und Kommunikationstechnik Tatbestandsmerkmal ist, ist 2012 um 7,5 % auf 63.959 Fälle angestiegen. -den Anstieg an Fällen des Ausspähens und Abfangens von Daten um 6,8 % auf 16.794 Unter Missbrauch des Internets wurden 2012 insgesamt 229.408 ermittelte Straftaten begangen. Das waren 3,2 % mehr als 2011. Dabei handelte es sich prozentual um folgende Deliktsarten: -den Anstieg der Fälschungen beweiserheblicher Daten und der Täuschungen im Rechtsverkehr bei der Datenverarbeitung um 11,3 % auf 8.539 -vor allem aber auf die Zunahme der Fälle von Datenveränderung und Computersabotage um 133,8 % auf 10.857 (nach einem Anstieg um 84 % im Vorjahr). - Warenbetrug: 23,6 % - Warenkreditbetrug: 16,3 % - Computerbetrug: 8,2 %.. - Leistungskreditbetrug: 3,0 % - Leistungsbetrug: 2,4 % 153 154 Jahrbuch der Unternehmenssicherheit 2013 - Verbreitung von Pornographie: 2,2 % - sonstige Straftaten: 42,8 % - Urheberrechtsdelikte: 1,5 % Kriminalstatistik – Wettbewerbs- und Korruptionskriminalität Dieser Kriminalitätsbereich ist gegenüber 2011 um 8,5 % angewachsen (auf 5.684 Fälle). Fälle der Vorteilsannahme und Bestechlichkeit nahmen um 2,7 % auf 655 zu, Fälle von Vorteilsgewährung und Bestechung um 29,9 % auf 613 Fälle. Das Dunkelfeld wird auf ein Vielfaches der erfassten Fälle geschätzt. Bestechung und Bestechlichkeit im geschäftlichen Verkehr sind allerdings um 41,6 % auf 519 Fälle gesunken. In 115 Fällen wurden wettbewerbsbeschränkende Absprachen bei Ausschreibungen festgestellt. Das ist eine erhebliche Zunahme um 117 % gegenüber dem Vorjahr. Kriminalstatistik – Fälschungsdelikte Die Zahl der erfassten Urkundenfälschungen ist 2012 um 3,5 % auf 65.717 gesunken. Dagegen nahm die Anzahl der Fälschung technischer Aufzeichnungen um 1,5 % auf 1.301 Fälle zu, darunter die Manipulation von Fahrtenschreibern um 49,6 % auf 347. Erheblich zugenommen hat die Zahl der ermittelten Fälschungen beweiserheblicher Daten einschließlich der Täuschung im Rechtsverkehr bei der Datenverarbeitung (um 11,3 % auf 8.539 Fälle). Stark abgenommen hat die Anzahl der ermittelten Geld- und Wertzeichenfälschungen, Fälschungen von Zahlungskarten, Schecks und Wechseln um 22,9 % auf 5.476, nachdem schon 2011 eine Abnahme um 29,5 % zu verzeichnen war. Zugenommen hat dagegen die Zahl des Inverkehrbringens von Falschgeld um 6 % auf 964 Fälle (nach einer Abnahme von 27,9 % im Vorjahr). Kriminalstatistik – Insolvenzkriminalität 2012 wurden 11.518 Insolvenzstraftaten ermittelt, 7,1 % weniger als 2011. Darunter waren -994 Fälle der Verletzung der Buchführungspflicht (-10,9 %) - 3.586 Bankrottfälle (-3,9 %) -141 Fälle der Gläubigerbegünstigung (-23,8 %) - 14 Fälle des besonders schweren Bankrotts - 50 Fälle der Schuldnerbegünstigung (-10,7 %) Kriminalstatistik – Geldwäsche 7.673 Fälle der Geldwäsche wurden 2012 ermittelt. Das ist gegenüber dem Vorjahr eine Abnahme von 10,5 %. Jahrbuch der Unternehmenssicherheit 2013 Kriminalstatistik – Gefährliche Eingriffe in den Verkehr Gefährliche Eingriffe in den Bahn-, Schiffsund Luftverkehr sind 2012 um 6,6 % auf 3.768 zurückgegangen, dagegen gefährliche Eingriffe in den Straßenverkehr um 0,6 % auf 18.471 angestiegen. Zurückgegangen ist die Zahl der festgestellten strafbaren Störungen von Telekommunikationsanlagen (um 16,8 % auf 801 Fälle). Sachbeschädigungen durch Graffiti sind 2012 um 10,5 % weniger ermittelt worden als 2011 (44.994 Fälle, nach einem Rückgang schon 2011 um 13,2 %), ebenso gemeinschädliche Sachbeschädigungen durch Graffiti (um 26,7 % auf 2.689 Fälle, nach einem Rückgang 2011 um 17,3 %). Diese Fallzahlen werden erheblich durch das unterschiedliche Anzeige- und Kontrollverhalten beeinflusst. Zugenommen hat die Anzahl erfasster Zerstörungen wichtiger Arbeitsmittel (um 5,1 % auf 470). Kriminalstatistik – Umweltkriminalität im Wirtschaftsbereich Unter den 2012 ermittelten 31.871 Straftaten gegen die Umwelt (ein Rückgang gegenüber dem Vorjahr um 3,4 %) befanden sich -1.038 Fälle der Bodenverunreinigung (+3,9 %) - 2 .587 Fälle der Gewässerverunreinigung (-11,2 %) - 165 Fälle der Luftverunreinigung (-35,5 %) -7.966 Fälle des unerlaubten Umgangs mit gefährlichen Abfällen (-4,8 %) -494 Fälle des unerlaubten Betreibens von Anlagen (+5,3 %) -108 Fälle des unerlaubten Umgangs mit radioaktiven Stoffen und anderen gefährlichen Gütern (-4,4 %) -30 Fälle der Gefährdung schutzbedürftiger Gebiete (-16,7 %) -223 Fälle der strafbaren Abfallein-/-ausund -durchfuhr (+90,6 %) - 1 15 Fälle der schweren Gefährdung durch Freisetzen von Giften (+144,7 %) -279 Straftaten nach dem Chemikaliengesetz (-8 %) Kriminalstatistik – Verletzung strafrechtlicher Nebengesetze im Wirtschaftsbereich 2012 wurden insgesamt 23.976 Straftaten gegen strafrechtliche Nebengesetze auf dem Wirtschaftssektor registriert (3,6 % weniger als 2011), darunter - 7 .125 Straftaten nach AktG, GenG, GmbHG, HGB, RechnungslegungsG, UmwandlungsG, InsO (-8,5 %) -147 Delikte im Zusammenhang mit dem SchwarzarbeitbekämpfungsG und ArbeitnehmerüberlassungsG (+13,1 %) -196 Straftaten in Verbindung mit dem Bankgewerbe sowie Wertpapierhandelsgesetz (-8 %) 155 156 Jahrbuch der Unternehmenssicherheit 2013 -7.417 Straftaten im Zusammenhang mit Urheberrechtsbestimmungen (+5,6 %) darunter: 525 Fälle des Verrats von Betriebsund Geschäftsgeheimnissen (+5 %) -6.880 Straftaten im Zusammenhang mit Lebens- und Arzneimitteln (-7,3 %) -262 Straftaten nach der Gewerbeordnung (+18 %) -178 Straftaten nach dem Telekommunikationsgesetz (-19,5 %) -122 Straftaten nach dem Luftsicherheitsgesetz (-30,3 %). Manfred Buhl, Vizepräsident BDSW, zieht in der Fachzeitschrift Security insight (Ausgabe 6-2012, S. 44–47) Konsequenzen aus der Polizeilichen Kriminalstatistik (2011) für die Sicherheitswirtschaft. Die tendenzielle Ab- oder Zunahme gemessener Kriminalität sei eine valide Messgröße. Ein Anstieg führe zu erhöhtem Gefahrenbewusstsein und damit zu erhöhter Nachfrage nach Sicherheit. Aus der PKS 2011 ergebe sich vor allem folgende Konsequenz: -Der Anstieg der Wohnungseinbrüche dürfte zu erhöhter Nachfrage nach Präventionsberatung, nach mechanischer und elektronischer Sicherheitstechnik führen. -Der Anstieg der Diebstahlsfälle in Warenhäusern spreche dafür, dass der Einzelhandel den Umfang seiner Nachfrage nach Sicherheitstechnik und -dienstleistung steigern wird. -Die kräftige Zunahme von Baustellendiebstählen werde zu einer erhöhten Nachfrage nach Objektschutz führen. -Der hohe Anstieg des Tankbetrugs, verbunden mit einer Schätzung der Dunkelziffer von mindestens 80 %, werde den Bedarf an Videoüberwachung weiter erhöhen. Krisenmanagement Der Sicherheitsberater ist in seiner Nummer 23-2012 auf Krisenmanagement fokussiert (S. 363–375). Er behandelt vor allem Krisenursachen (Ereignisse, die einen bestimmten Schwellwert überschreiten; Ereignisse, für die kein Notfallplan existiert oder dieser nicht mehr ausreicht), Argumente für Krisenmanagement, Vorbereitung auf Krisen, Alarmierungssysteme, insbesondere Anforderungen für Alarmierungsserver, und Krisenkommunikation (mit elf spezifischen Maßnahmen zur Optimierung der Kommunikation). Mit dem Krisenmanagement befasst sich die FAZ am 11. Mai. Nach Auskunft des Kieler Dienstleisters „Krisennavigator“ Roselieb sei die Zahl der dort registrierten Krisen in Unternehmen seit Jahren relativ konstant: „Zwischen 250 und 280 im deutschsprachigen Raum“, davon etwa 50 größere Fälle. „Die Lebensdauer von Krisen verkürzt sich“. Sie betrage heute nur noch 9 bis 10 Tage. Die Bedeutung der „Social Media“ werde überschätzt. Sie könnten eine Krise zwar flankieren, als Auslöser dienten aber nach wie vor die klassischen Medien. In vielen Fällen fehle es an einem geeigneten Frühwarnsystem. Die diesjährige Krisenmanagement-Übung von Bund und Ländern (Lükex) soll nach einer Meldung von heise online vom 19. November prüfen, wie gut ihre Krisenstäbe auf eine „außergewöhnliche biologische Bedrohungslage“ vorbereitet sind. In einem solchen Katastrophenfall müssten die unterschiedlichsten Management-Strukturen reibungslos zusammenarbeiten. Nach Ansicht von Katastrophenforschern ist Twitter in solchen Situationen als Frühwarnsystem und für eine präzise Beurteilung der Lage vor Ort unverzichtbar. Jahrbuch der Unternehmenssicherheit 2013 Tina Glasl, Tina Glasl Kommunikation, empfiehlt in der Ausgabe 12-2013 der Zeitschrift PROTECTOR (S. 44) folgende Sofortmaßnahmen im Krisenfall: umgehende Sprachregelung; Festlegung der Sprecherrollen; Überprüfung und gegebenenfalls Stopp aller möglicherweise parallel zum Krisenfall startenden Kommunikations- und Marketingaktivitäten; Check, ob Medien oder andere Zielgruppen bereits über das Thema Bescheid wissen; Beantwortung fallbezogener Anfragen von Medien, Kunden, Betroffenen; fallbezogene Arbeitsanweisungen an Mitarbeiter mit Kontakt nach außen. Krisenstabsarbeit Klaus Bockslaff und Denis Standhardt, Verismo GmbH, behandeln in der Fachzeitschrift WiK (Ausgabe 3-2013, S. 22–24) typische Fehler in der Krisenstabsarbeit. Krisenmanagement richte sich nicht gegen Ereignisse, sondern gegen die Auswirkungen von Ereignissen. Ziele seien: Marktanteile halten, Leistungen für die Kunden sicherstellen, Einbußen infolge Prozessstörungen oder -ausfällen mindern, Regressansprüche vermeiden, und Chancen zur Imagepflege ergreifen. Krisenstabsarbeit könne nur funktionieren, wenn das Team über einen umfassend definierten Prozess der Entscheidungsfindung verfügt: Einen „Führungsrhythmus“, der kreislaufartig von der Auswertung der Informationen über die Entwicklung von Handlungsmöglichkeiten und die Entscheidungsfindung bis hin zur exakten Formulierung von Aufträgen und der lückenlosen Dokumentation die zentrale Leistung des Krisenstabes abbildet. Schon am Beginn des Krisenmanagements fehle häufig die klare Zuordnung der Aufgaben. Zur vollständigen Bewältigung der Informationsflut in der Krise solle eine sinnvolle Arbeitsverteilung und frühzeitige Delegation im Team im Prozess verankert werden. Krisenregionen Im ASW-Newsletter vom 8. März wird auf die aktuelle Political Risk Map 2013 von Marsh und Maplecroft hingewiesen. Nach ihr ist die Anzahl der Länder mit eskalierender politischer Gewalt gegenüber dem Vorjahr um 36 % gestiegen. In der Risk Map seien die dynamischen politischen Risiken in 197 Ländern dargestellt. Diese umfassten Konflikte, Terrorismus, gesamtwirtschaftliche Stabilität, Rechtssicherheit, das aufsichtsrechtliche Umfeld und die Rahmenbedingungen für Unternehmen, einschließlich Enteignungsrisiken, Ressourcensicherheit und Verfügbarkeit von Infrastruktur. Wachsende Enteignungsrisiken bestünden in Ländern des Nahen Ostens und in Afrika, in denen der Ruf nach einem Regimewechsel aus der Bevölkerung lauter werde. Das Risiko eines zivilen Umsturzes sei derzeit in Guinea-Bissau, Zimbabwe, Syrien, Madagaskar, Südsu- dan, Pakistan, Jemen, Mali, Bangladesch, Kenia und Turkmenistan am größten. Der Sicherheits-Berater gibt in seiner Ausgabe 4-2013 einen Überblick über frei zugängliche Risk Maps verschiedener Anbieter: „Aon’s Interactive Political Risk Map 2013“ werde von der Aon Holding Deutschland GmbH angeboten. Aon sei ein internationaler Großkonzern, der das politische Risiko in 163 Ländern und Territorien misst. Die aus den Daten erstellte Weltkarte dokumentiere politische Risiken, politische Gewalt und Terrorismus und unterstütze Unternehmen bei der Bewertung von Devisentransfer-Risiken, rechtlichen und aufsichtsrechtlichen Risiken, politischer Einflussnahme, politischer Gewalt, Zahlungsausfällen und Schwierigkeiten in Beschaffungsketten. Marsh, nach eigenen Angaben ein weltweit führender Indust- 157 158 Jahrbuch der Unternehmenssicherheit 2013 rieversicherungsmakler und Risikoberater, veröffentliche zusammen mit dem Unternehmen Maplecroft eine Weltkarte zu politischen Risiken. Maplecroft sei ein britisches Unternehmen, das auf Datenbeschaffung und Aufbereitung spezialisiert sei. Control Risks, die globale Unternehmensberatung für Risikomanagement und strategischer Partner von International SOS, veröffentliche Jahr für Jahr ihre „RiskMap“. Sie solle die zentrale Informationsquelle für Politik und Unternehmen über die Entwicklung der globalen Risiken im kommenden Jahr sein. Der Deutsche ReiseVerband (DRV) berichtet in einer Pressemitteilung über eine Befragung von 222 Geschäftsführungen von Unternehmen ab 300 Mitarbeitern zum Thema „Geschäftsreisen“. Nur 51 % der befragten Unternehmen würden ihre Mitarbeiter in Bezug auf Reiserisiken und durch entsprechende Betreuung bei Problemen während der Reise unterstützen. Arbeitgeber seien aber zur Fürsorge gegenüber ihren Beschäftigten verpflichtet. Geschäftsreisebüros unterstützten Unternehmen bei der Einhaltung der Vorgaben zur Fürsorgepflicht auf Dienstreisen. Die Spezialisten versorgten Mitarbeiter und Unternehmen während der Reise mit allen notwendigen Informationen. Dazu bauten sie eine umfassende Datenbasis auf, die neben sämtlichen Reisedaten auch die Analyse potenzieller oder bereits eingetretener Gefahren umfasst. Diese Informationen würden allen Beteiligten in Echtzeit übermittelt. Darüber hinaus werde dem Reisenden ein ständig verfügbarer Ansprechpartner zur Seite gestellt. Maxim Worcester, German Business Protection GmbH, behandelt in der Ausgabe 2-2013 von Security insight (S. 52/53) die Sicherheit mit ausreisender Familien von Expatriates. Wichtig seien in jedem Fall: Verständnis der Familiensituation vor und während der Versetzung; Vorbereitungsmaßnahmen auch für Partner und Kinder; re- gionale Betrachtung von Risikofaktoren, die die unabhängige Reisetätigkeit von Partnern und Kindern berücksichtigt; Sicherheitsanalyse des Versetzungsorts aus Familiensicht; Überprüfung der Notfall- und Evakuierungspläne; Kapazität vor Ort, um kurzfristig auf Probleme zu reagieren. PD Dr. Markus Ritter, Bundespolizei, beschreibt in einem Beitrag in Security Insight (Ausgabe 5-2013, S. 12–17) das minimale Grundgerüst für die Entsendung von Mitarbeitern in Risiko- und Krisengebiete. Das Gastland habe auf jeden Fall eine „Garantenstellung“, aus der sich eine Schutzpflicht gegenüber den ausländischen Unternehmen im Lande ergibt. Bei der diplomatischen oder konsularischen Vertretung Deutschlands sollten sich die entsandten Mitarbeiter registrieren lassen. Der Schutz von UZNB-, EU- oder NATO-Vertretungen im Gastland werde nicht automatisch gestellt, sondern müsse durch ein Technical Agreement oder ein Memorandum of Understanding vorab vereinbart werden. Familienangehörige seien als „weiche Ziele“ oft mehr gefährdet als der eigentliche Expatriat. In Risiko- und Krisengebieten müsse ein hauptamtlicher Sicherheitsverantwortlicher eingesetzt werden, der über einschlägige Erfahrungen verfügt. In Ländern mit Entführungsrisiko sei das Vorhalten vorbereiteter Proof of Life-Fragen und -Antworten wichtig. Fahrzeuge sollten mit GPS, Track 24 und gegebenenfalls auch mit Funk und einem Jammer ausgestattet sein. Wenn man sich auf die örtliche Stromversorgung nicht verlassen kann, sollten Dieselgeneratoren und zur Vermeidung von Computerabsturz und Datenverlust unbedingt Uninterruptable Power SupplyEinheiten beschafft werden. Wichtig sei auch der garantierte Zugang zu Kliniken mit westlichem Standard oder die Möglichkeit einer umgehenden medizinischen Evakuierung aus dem Land. Zur Vorbereitung für den Krisenfall gehöre auch die Bildung eines Critical Incident Management Team. Jahrbuch der Unternehmenssicherheit 2013 Kritische Infrastrukturen Bernhard Voit, Siemens Building Technologies, befasst sich in Ausgabe 2-2013 von s+s report (S. 54–59) mit dem wirksamen Schutz kritischer Infrastrukturen durch Koordination und Kommunikation aller Systeme. Ein mehrschichtiger Ansatz, der sich auf eine breite Palette physischer und elektronischer Systeme und Funktionen stützt, sei die beste Präventionsmethode, um Anlagen so gut wie möglich zu schützen. Komplexe Standorte, die ein großes Areal mit weiten Perimeterlinien umfassen, müssten kontinuierlich überwacht werden. Es gehe darum, eine Lösung zu konzipieren, die klar definierte, normale Arbeitsroutinen unterstützt und gleichzeitig eine schnelle, wirkungsvolle und allen Anforderungen entsprechende Reaktionsmethode auf Notfallsituationen sicherstellt. Heutige Sicherheitslösungen für kritische Infrastrukturen verbänden intelligente Videofunktionen mit Management- und Leitstellensystemen. Die neue europäische Leitstellennorm EN 50518 enthalte konkrete Anweisungen, die auf Störfälle mit potenziell kriminellem oder terroristischem Hintergrund reagieren. Dasselbe Thema behandelt Thomas Pedrett, Siemens Building Technologies, in der Fachzeitschrift SICHERHEITSFORUM (Ausgabe 5-2013, S. 13–17). Es gehe darum, eine Lösung zu konzipieren, die klar definierte, normale Arbeitsroutinen unterstützt und gleichzeitig eine schnelle, wirkungsvolle und allen Anforderungen entsprechende Reaktionsmethode auf Notfallsituationen sicherstellt. Meldungen und Alarme könnten mit vordefinierten Aktionen verknüpft werden, um einen kompletten Arbeitsablauf für das Entscheidungsmanagement zu bieten. Eine Langzeitunterbrechung kritischer Infrastrukturen, ganz gleich ob natürlich, unfallbedingt oder vorsätzlich, habe katastrophale Auswirkungen auf das Leben von Millionen von Menschen. Kraftwerke, petrochemische Industrie und Schwerindustrie, Straßen- und Schienennetze, Flughäfen, Transportsysteme und Kommunikations- und Computernetzwerke müssten stets umfassend geschützt sein. Die Bedeutung dieser Infrastrukturen nehme mit zunehmender Verstädterung weiter zu. Daher seien innovative Lösungen gefragt, mit denen selbst die komplexesten Standorte stets umfassend geschützt sind. In der Fachzeitschrift <kes> (Juliausgabe, S. 32–37) berichten Nora Lieberknecht und Timo Hauschild, BSI, über eine neue Organisationsstruktur, die den Umsetzungsplan (UP) KRITIS für weitere Teilnehmer öffnet. Danach können alle Betreiber kritischer Infrastrukturen mit Sitz in Deutschland, die zugehörigen Fach- und Branchenverbände aus den KRITIS-Sektoren sowie die zuständigen Aufsichtsbehörden Teilnehmer des UP KRITIS werden. Die bisherigen Unterarbeitsgruppen werden unter dem neuen Titel Themenarbeitskreis (TAK) fortgeführt. Themenarbeitskreise gibt es z. B. für die Vorbereitung von Übungen, für die Ausgestaltung der Krisenreaktionsstrukturen und zur Begleitung von umfassenden Analysen. Als neue Komponente kommen Branchenarbeitskreise (BAK) hinzu. Vervollständigt wird die Organisationsstruktur durch einen Stab, der die Arbeiten koordiniert und strategische Ziele vorbereitet, sowie durch den hochrangig zu besetzenden Rat als Impulsgeber und strategischen Richtungsweiser. Logistiksicherheit Der ASW-Newsletter vom 1. Februar weist auf eine Studie des World Economic Forum „Resilience in Supply Chains 2013“ hin, die Unternehmen und Behörden bei der Prävention gegenüber Unterbrechungen der Lieferkette unterstützen soll. Nach der Untersuchung von Accenture seien mehr als 80 % der Unternehmen besorgt um die 159 160 Jahrbuch der Unternehmenssicherheit 2013 Widerstandsfähigkeit der Lieferkette. Drei zwingende Forderungen würden sich aus der 2012 durchgeführten Analyse aufgrund von Experten-Workshops und Datenerhebungen ergeben: -die Notwendigkeit eines gemeinsamen „Risiko-Vokabulars“ -überprüfter Daten- und Informationsaustausch zwischen den Akteuren in der Lieferkette -die Entwicklung größerer Flexibilität in den Sicherheitsstrategien für die Lieferkette. pa, bis zu 50. Im Luftfrachtverkehr müssten sämtliche Spediteure, Transporteure und produzierende Unternehmen entweder vom Luftfahrtbundesamt zertifiziert sein, oder die Fracht müsse einzeln kontrolliert werden. Es gebe aber bundesweit nur etwa 80 zugelassene Scanner, zu wenige, um die gesamte anfallende Fracht scannen zu können, und es gebe auch zu wenig ausgebildetes Personal, das diese komplexen Geräte bedienen kann. Die Absicherung der Lieferketten sollte für Unternehmen kein Selbstzweck sein, sondern ganzheitlichen unternehmerischen Strategien folgen. - Organisationen zur Entwicklung anpassungsfähiger Strategien zur Verbesserung der Widerstandsfähigkeit der Lieferkette gegen Unterbrechungen anzuregen und In der Fachzeitschrift Homeland Security (Ausgabe 1-2013, S. 39–49) behandelt Marcus Hellmann, Beauftragter für Sicherheit, Strahlenschutz, Datenschutz und Risikomanagement, für Europa und Deutschland wichtige Standards für die Sicherheit in der Lieferkette. Die verschiedenen globalen und regionalen Sicherheitsinitiativen zum Beispiel seitens der Zollbehörden, in der Luftfracht, allgemein in der Logistik und in der maritimen Welt belegten den eindeutigen Trend hin zu mehr Sicherheit in der Lieferkette. Generell könne dieses Ziel nur erreicht werden, wenn es international möglichst viele Anerkennungen für alle Verkehrsträger geben wird. Der Autor geht auf folgende Standards näher ein: -die Nutzung von Datenplattformen auf die Identifizierung von Risiken und Reaktionen auf diese Risiken auszudehnen. WCO SAFE-Framework of Standards (ein freiwilliger Sicherheitsstandard der Weltzollorganisation) Die Fachzeitschrift W&S untersucht in ihrer Ausgabe 1-2013 (S. 28–30) die Problematik einer angestrebten unterbrechungsfreien Lieferkette. Damit ein Unternehmen eine sichere Lieferkette implementieren kann, müsse es sich über verschiedene Faktoren Gedanken machen: die Notwendigkeit einer solchen Sicherung, ihre Realisierbarkeit und die Kosten. Je länger die Lieferkette, desto mehr mögliche „Bruchstellen“ gebe es. Transatlantische weisen in der Regel 14 potenzielle solche Stellen auf, andere, noch längere Ketten, etwa von China nach Euro- Authorised Economic Operator (AEO), basierend auf der VO (EG) Nr. 648/2005 sowie der DVO (ZK DVO) VO (EG) Nr. 1875/2006 mit dem Ziel, die Sicherheit in der internationalen Lieferkette zu gewährleisten Die Studie empfiehlt -einen übergreifenden Risiko-Bewertungsprozess einzuführen -internationale Standardisierungsgremien für die Entwicklung, Harmonisierung und Verabschiedung von entsprechenden Sicherheitsstandards zu mobilisieren Customs Trade Partnership against Terrorism (C-TPAT), ein freiwilliges Partnerschaftsprogramm zwischen dem US-Zoll und der Wirtschaft der bekannte Versender (bV), der auf der VO (EG) Nr. 300/2008 sowie der DVO (EU) Nr. Jahrbuch der Unternehmenssicherheit 2013 185/2010 und mehreren Ergänzungsverordnungen beruht AEL S/F-Zertifikat für „Nur-Fracht-Flugzeuge“ Transported Asset Protection Association (TAPA), ein Zusammenschluss von internationalen Herstellern, Logistikdienstleistern, Frachtunternehmen, Strafverfolgungsbehörden und anderen Beteiligten ISO 28000 und 28001 als Standard zur Sicherheit in der Lieferkette ISO 22301:2012 als neuer Versuch, die Komplexität des Risikomanagements in Verbindung mit dem Kontinuitätsmanagement und der Unternehmenssicherheit auf Basis einer ISO-Norm abzubilden. Wie der Sicherheits-Berater in seiner Ausgabe 8-2013 berichtet, musste dass OLG Jena einen Schadenfall bewerten, bei dem es zum Diebstahl von 25 Tonnen Kupferdraht im Wert von ca. 141.000 Euro gekommen war. Die von dem bestellenden Unternehmen beauftragte Spedition zur Abholung der Fracht in Frankreich bediente sich eines Subunternehmers, dessen LKW-Fahrer nach der Beladung zur Einhaltung der erforderlichen Ruhezeit seinen LKW auf einen nicht bewachten Parkplatz an einer öffentlichen Straße im Stadtgebiet abstellte. Der Fahrer legte sich im Fahrzeug schlafen, wurde nachts von den Tätern aus dem Fahrzeug gezerrt und zusammengeschlagen. Der LKW nebst Ladung wurde entwendet. Der Transportversicherer bezahlte den entstandenen Schaden, wollte aber Regress beim Spediteur nehmen und machte ein qualifiziertes Verschulden im Sinne von Art. 29 CMR (Internationale Vereinbarung über Beförderungsverträge auf Straßen) des LKW-Fahrers geltend. Dieses Verschulden setzt das Vorliegen besonderer Diebstahls-/Raubgefährdung und deren Erkennbarkeit durch den Frachtführer voraus. Nach der Rechtsprechung des BGH hängt der Umfang der notwendigen Sicherheitsvorkehrungen von den Umständen des Einzelfalls ab, insbesondere von der Verwertbarkeit und dem Wert des transportierten Gutes ab. Das OLG verneinte ein qualifiziertes Verschulden, weil der Fahrer wegen der Gewichtigkeit der Ladung und der Anzahl von Angreifern nicht in der Lage gewesen wäre, den Raubüberfall zu verhindern. Trotz der Weisung, beladene Fahrzeuge nicht unbeaufsichtigt zu lassen und nur auf abgeschlossenem Gelände abzustellen, sei ein solches Verschulden nicht gegeben, da der Fahrer auch nachts anwesend geblieben sei. Nur bei besonders diebstahlsgefährdeten Produkten und konkreten Vorgaben in Bezug auf Gefährdungssituationen und zu ergreifende Schutzmaßnahmen hätten sich Spediteur und Frachtführer ein qualifiziertes Verschulden vorwerfen lassen müssen. Eine solche Konkretisierung habe nicht durch AGBs erfolgen können. Mit der Sicherheit in der Lieferkette befasst sich Marcus Hellmann, AOB und EUWISA, in der Ausgabe 5-2013 der Zeitschrift GIT (S. 53–54). Er konzentriert sich auf Anforderungen an die physische Sicherheit beim „Authorized Economic Operator (AEO)“, bei der „Customs Trade Partnership against Terrorism (C-PAT“bekannten Versender (bV)“ und.bei der „Transported Asset Protection Association (TAPA)“.Planungen sollten nicht auf Basis der aktuellen Anforderungen, sondern im Hinblick auf eine 5- bis 7-Jahresperspektive erfolgen. Protector beschreibt in der Ausgabe 102013 (S. 36/37) den Brandschutz im größten Distributionszentrum Norddeutschlands. Beim Schutzkonzept der Hochregallager habe sich Minimax an dem Regelwerk VdS CEA 4001 orientiert, das neben einer klassischen Deckensprinklerung auch eine Sprinklerung in den Regalen vorschreibt. In diesem Projekt seien die insgesamt 238.000 Palettenstellplätze in 15 Sprinklerebenen unterteilt und mit über 110.000 Sprinklern geschützt worden. Dagegen seien im Bereich des Blocklagers nach den FM-Richtlinien sogenannte SFR-Sprinkler (SFR = Early Suppression – Fast Response) eingesetzt worden. Sie würden, an der Decke montiert, dem 161 162 Jahrbuch der Unternehmenssicherheit 2013 Betreiber eine flexible Lagerung ermöglichen. Sensible Bereiche (Serverraum, elektrische Schalt- und Betriebsräume) seien mit Oxeo Inertgas-Löschanlagen versehen worden. Acht Brandmeldezentralen vom Typ FMZ 5000 seien mit den 255 Meldepunkten durch vier Kilometer Kabel verbunden worden. Protector beschreibt in der Ausgabe 102013 (S. 38/39) das Gefahrenmanagement beim Versender Netrada. Am Standort Lehrte komme das Siemens-Gefahrenmanagementsystem (GMS) SiNVR-Command mit dem netzwerkbasierten Videosystem SiNVR zum Einsatz. Die GMS-Software führe verschiedene Subsysteme für Sicherheit und Gebäudebetrieb auf einer einheitlichen Plattform zusammen (Brand- und EMA, Videosystem, Sprinklerzentrale, automatische Evakuierungsanlage sowie den „BOS-Gebäudefunk“. Daten aus den Inhouse-Logistiksystemen seien über TCP/IP direkt im System verfügbar. Ein wichtiges Element der Gesamtlösung sei eine Client/Server-basierte Software zur Verarbeitung von digitalen Videobildern. Sie erlaube eine vielseitige Darstellung von Videobildern und unterstütze Recherchemöglichkeiten. In einem weiteren Beitrag (S. 42/43) beschreibt Protector die Eignung von Videosicherheitssystemen zur Prozessdokumentation und -optimierung für Unternehmen innerhalb jeder Lieferkette. Die Dokumentation des Haftungsübergangs werde zur Wahrung von Rechtsansprüchen gegenüber Dritten durch die Verknüpfung von Prozessdaten und Videosystem erheblich vereinfacht. Idealerweise würden Kameras entlang der gesamten Prozesskette platziert, meist ab der Anlieferung. Während der Videoaufzeichnung verknüpfe das System die Videodaten erstmalig automatisch und in Echtzeit mit den Barcode- oder RFID-Daten. Werden kleine Artikel von Hand aus- und eingepackt oder sortiert, sei die Dokumentation mit Überkopfkameras hilfreich. Hier seien hochauflösende IP-Kameras zweckmäßig, da sie auch Details über den Zustand der bearbeiteten Artikel liefern. Gleichzeitig werde mit Übersichtskameras die Umgebung erfasst. Eine leistungsstarke Datenbank garantiere den schnellen Zugriff auf die relevanten Videoaufzeichnungen anhand der Prozessdaten oder von Datum und Uhrzeit als Suchkriterium. Die Güterverkehrs- und Logistiksicherheit als Aufgabe für die Sicherheitswirtschaft beschreibt Manfred Buhl, Securitas. In einem ersten Teil (S. 50/51) geht er auf die vom Bundesministerium für Verkehr, Bau und Standentwicklung entwickelte Sicherheitsstrategie für die Güterverkehrs- und Logistikwirtschaft ein. Dann benennt er die relevanten technischen und organisatorischen Standards, einschließlich der Norm des Authorised Economic Operator (AEO), die auf EU-Verordnungen beruht und die Sicherheit in der internationalen Lieferkette zum Ziel hat. Schließlich behandelt er das noch weithin ungelöste Problem des Mangels an sicheren LKW-Stellplätzen an Autobahnen und die maritime Sicherheit als Grundvoraussetzung für funktionsfähige internationale Transportketten. Im zweiten Teil seines Beitrages (Ausgabe 11-2013 der Zeitschrift Protector) über die Zusammenarbeit von Staat und Wirtschaft zum Schutz der Logistikwirtschaft geht Manfred Buhl der Frage nach, ob und wie die Sicherheitswirtschaft wesentlich zur Logistiksicherheit beitragen kann (S. 62/63). Sicherheitsunternehmen entwickelten die Sicherheitstechnik, die speziell zum Schutz der Lieferketten und des Güterverkehrs erforderlich ist. Videoüberwachungstechnik einschließlich intelligenter Bildanalyse, mechanische und elektronische Zutrittskontrolltechnik und sicheres Identity- und AccessManagement seien hier zu nennen. Der RFIDTechnologie komme besonderes Gewicht zu. Sicherheitsdienstleister könnten diese Technik bedienen und kritische Transporte begleiten. Sie könnten auch die technischen Anlagen gesicherter LKW-Parkplätze an Autobahnen kontrollieren und Interventionen durchführen. Und sie berieten regelmäßig Hafenunternehmen hinsichtlich der spezifischen Sicherheitsanforderungen, erarbeiteten Risikoanalysen und Sicherheitskonzepte und übernähmen Sicherheitsaufgaben in den Ha- Jahrbuch der Unternehmenssicherheit 2013 fenanlagen. Wichtig sei, dass baldmöglichst die von der IMK geforderte Zertifizierung als Voraussetzung für die Übernahme des Schutzes solcher kritischer Infrastrukturen geregelt und gesetzlich verankert wird. Transportüberwachung gegen Frachtdiebstahl ist ein Thema in der Ausgabe 11-2013 von Protector (S. 20–22). Einer Statistik der Zentralen Geschäftsstelle der Polizeilichen Kriminalprävention der Länder und des Bundes zufolge wurde jeder sechste Fernfahrer in den vergangenen fünf Jahren Opfer eines LKW- und Ladediebstahls. Die Versicherungsprämien würden sich nach den Sicherheitsvorkehrungen richten, die das Frachtunternehmen getroffen hat. Neben der Art des transportierten Gutes und der Zielorte würden Maßnahmen an den Fahrzeugen ebenso einfließen wie die Kommunikation zwischen Fahrer und Zentrale sowie die Sicherheitsvorschriften für die Fahrer während des Transports. Die Diebe seien nicht nur raffinierter, sondern auch brutaler geworden. So werde beispielsweise auf ungesicherten Parkplätzen Gas über die Klimaanlage in die Führerkabine eingeleitet und so der schlafende Trucker betäubt. In Italien und Osteuropa würden die Fahrer häufig mit Waffengewalt beraubt. Ein großer Teil der Verbrechen (ca. 70 %) beruhe auf Insiderwissen. Unternehmen täten gut daran, auch ihre langjährigen Mitarbeiter gelegentlich zu kontrollieren. Die Lieferkette müsse durch Aufrüstung des Umfeldes der Frachthöfe, der Lagerhallen, Verteilzentren und Umschlageinrichtungen gegen Einbruch und durch die genaueste Warenverfolgung mittels „Tracking and Tracing“ gestärkt werden. Wegfahrsperren, zusätzliche Verschlusseinrichtungen für Führerhaus und Aufbauten, abschließbare Deichsel-/Kupplungssicherungen und zusätzliche Lenk-/Schalthebelsperren könnten Diebstähle erschweren. Parkplätze sollten mit hohen Zäunen gesichert und gut beleuchtet sein, Dome- und Wärmebildkameras sollten die Zäune und das Geschehen überwachen und aufzeichnen. Die Ein- und Ausfahrten seien mit Sicherheitspersonal zu besetzen und mit Schranken und Kennzeichenerkennungssystemen zu versehen. Tapa, ein Zusammenschluss von mehr als sechshundert Warenherstellern, Versicherern und Strafverfolgungsbehörden hätten exakte Vergaberichtlinien entwickelt, die genau festlegen, in welchen Bereichen das Frachtunternehmen welche Sicherheitsvorgaben zu erfüllen hat. Über einen Vortrag von Prof. Dr. Thorsten Blecker, TU Hamburg, im ASW-Arbeitskreis Logistiksicherheit berichtet die WiK in der Ausgabe 6-2013 (S. 34/35): In Europa würden jedes Jahr Waren im Wert von 10 bis 15 Milliarden Euro gestohlen. Dabei ereigneten sich 75 % der Überfälle auf LKW bei einem stehenden Fahrzeug, vorwiegend bei Nacht. Empfohlen werde daher, dass bei der Touren- und Routenplanung auf die Auswahl von sicheren Parkplätzen geachtet wird. Als Geschäftsmodell lohne das Angebot von Sicherheitsparkplätzen dennoch nicht – Spediteuren sei die Nutzung zu teuer. Teuer seien auch die Maßnahmen zur maritimen Sicherheit. Von den geschätzten Gesamtkosten, die 2010 durch Piraterie entstanden sind (7 bis 12 Milliarden $) seien nur 1,5 % bis 3 % auf die direkten Kosten entfallen, die im Zuge der Angriffe entstanden. Schäden, die Angriffe auf Infrastrukturen wie etwa den Suezkanal verursachen, den etwa 7,5 % des weltweiten Frachtverkehrs passieren, könnten größer sein als bei Angriffen auf Schiffe. Wie schwierig es sei, die Luftverkehrssicherheit zu erhöhen, sei daran zu ersehen, dass schon Sprengstoff in der Menge einer Tafel Schokolade ein Flugzeug zum Absturz bringen könne. Der Anteil der Sicherheitskosten an den Flughafenbetriebskosten, der vor dem 11. September 2001 etwa 5 bis 8 % betragen habe, sei auf rund 29 % gestiegen. Sicherheitsprozesse sollten von Beginn an bei der Prozessentwicklung berücksichtigt werden – also vom Versender bis zur Bodenabfertigung. Das Management in den Unternehmen hätte dafür allerdings noch nicht den erforderlichen Reifegrad erreicht. Die Logistikprozesse und die Sicherheitsprozesse würden bisher noch parallel und nicht integriert verlaufen. 163 164 Jahrbuch der Unternehmenssicherheit 2013 Luftsicherheit Die FAZ meldet am 31. Dezember, dass im Jahre 2012 in den USA bei Fluggastkontrollen mehr als 1.500 Schusswaffen sichergestellt worden seien. Das sei gegenüber 2011 eine Steigerung von mehr als 15 %. Die meisten Waffen seien geladen gewesen. Viele Reisende hätten schlicht vergessen, dass sie die Waffen im Fluggepäck mit sich trugen. Die Fachzeitschrift WiK weist in ihrer Ausgabe 1-2013 (S. 14/15) darauf hin, dass Unternehmen, die nach dem 25. März ihren Status als „bekannter Versender“ (bV) vorliegen, mit Wartezeiten, erhöhten Kosten und anderen Nachteilen beim Luftfrachtversand rechnen müssten. Von den schätzungsweise 20.000 bis 65.000 bisher anerkannten bV haben nach Auskunft des Luftfahrt-Bundesamtes (LBA) bis 31. Januar nur 1.014 eine behördliche Zulassung als bV bekommen. Weitere 412 Anträge seien auditierfähig. Doch sei man – auch im LBA – gelassen. Erwartet werde, dass sich Ende März die Menge der „nicht sicher“ an Flughäfen angelieferten Luftfracht von derzeit 15 % auf bis zu 40 % erhöhen wird. Mittel- bis langfristig könnte sich der Anteil bei 20 bis 25 % einpendeln. Auch Felix Welz, Interflex Datensysteme GmbH & Co. KG, befasst sich in der Ausgabe 2-2013 der Zeitschrift mit dem Thema „bekannter Versender“ (S. 48/50). Die Zertifizierung zum „bekannten Versender“ setze umfassende Sicherheitsmaßnahmen voraus und stelle auch besondere Anforderungen an ein präzises und geschütztes Besuchermanagement. Externe Berater oder Leiharbeiter, die des Öfteren in Firmen tätig sind, müssten nicht jedes Mal einen neuen Ausweis erhalten und begleitet werden. Sie sollten nach vorheriger Überprüfung über einen längeren Zeit- raum Zugang zu eingeschränkten Bereichen erhalten. Mitarbeiter von Fremdfirmen, die bekannt sind, sollten einen aktiven Ausweis bekommen. Das Besuchermanagement ende nicht mit der möglichst effizienten Ausstellung von Ausweisen. Wichtig sei auch eine höchstmögliche Sicherheit, dass sich der Besucher im Unternehmen an die Besuchsregeln hält. Smartphones würden dabei künftig eine wichtige Rolle spielen. Während das Luftfahrtbundesamt im Februar 2012 von 40.000 Unternehmen ausgegangen sei, die ihre Produkte über Luftfrachtversand an die jeweiligen Empfänger bringen, seien bis heute von diesen Unternehmen nur ca. 2.900 als bekannte Versender zertifiziert, stellt Philip Buse, Geschäftsführer des VSWN, fest. Da viele Produkte der Luftfracht nicht oder nur sicher gemacht werden könnten, komme es beim Versand zu hohen Zeitverlusten. Das Luftfahrtbundesamt habe 267 Stellen besetzt, die Unternehmen als bekannte Versender auditieren und zertifizieren sollten. Am wahrscheinlichsten sei, dass sie nun vor allem die „reglementierten Beauftragten“ häufiger kontrollieren (WiK, Ausgabe 5-2013, S. 38/39). Piloten, Lokführer und Autofahrer werden einem Bericht in der Zeitung DIE WELT am 4. April zufolge immer öfter mit Laserpointern geblendet. 2012 habe das Luftfahrtbundesamt 342 Fälle von Blendungen mit Laserpointern vom Boden registriert. Dies sei ein Höchststand seit Beginn der Registrierung vor fünf Jahren. 2011 seien 279 Fälle registriert worden. Als Folge der Blendung durch Laserpointer könnten Besatzungen nicht nur im Landeanflug irritiert werden, sondern auch gesundheitliche Schäden davontragen. Managerhaftung Nach einem Bericht der WirtschaftsWoche vom 9. Dezember schätzt Michael Hendricks, Geschäftsführer der auf Organ- und Managerhaftpflichtversicherungen (D&O) spezialisierten Beratung, dass vor Gerichten derzeit rund 6.000 Managerhaftungsverfah- Jahrbuch der Unternehmenssicherheit 2013 ren anhängig sind. Bei durchschnittlich zwei bis drei Beklagten pro Fall bedeute das: Rund 20.000 Manger und Ex-Manager seien derzeit mit Schadenersatzforderungen konfrontiert. Vier Fünftel kämen vom Ex-Arbeitgeber. Immer massiver würden Unternehmen für Compliance-Verstöße zur Kasse gebeten. Die von den Managern geforderten Summen würden immer höher. Beim früheren MAN-Chef Hakan Samuelsen gehe es um 237 Millionen Euro und beim Ex-Chef der früheren Karstadt-Mutter Arcandor, Thomas Middelhoff, um 175 Millionen. Einen großen Schwung von Managerhaftungsfällen habe die Finanzkrise beschert. Die D&O-Anbieter HDI, VOV und Axa versicherten wegen des hohen Risikos keine Finanzdienstleister mehr. Auch immer mehr mittelständische Unternehmen verklagten ihre Führungskräfte. Von den 300 bis 400 Millionen Euro, die D&O-Versicherer in Deutschland pro Jahr derzeit auszahlten, fließe ein großer Teil an die am Verfahren beteiligten Dienstleister. Renommierte ComplianceExperten kassierten 600 Euro pro Stunde. Am Fall Siemens etwa verdiene die Wirtschaftsprüfung Deloitte rund 235 Millionen Euro. Die FAZ weist am 8. Mai auf eine Entscheidung des BGH (II ZR 90/11) hin, die offenbar ein Zeichen setzen solle hin zu einer strengeren Anwendung der Regeln zur Vorstandshaftung. Das Urteil ziehe eine klare Linie zwischen Fehlverhalten, das eine Haftung begründet, und den haftungsfreien Folgen unternehmerischer (Fehl-)Entscheidungen. Das Vorstandshandeln müsse von Gesetz und Unternehmensgegenstand klar gedeckt sein. Zweifelsfälle gingen immer zu Lasten des Vorstands. Komme es zum Schaden, müsse der Vorstand sich eindeutig und detailliert entlasten. Die Aktiengesellschaft dürfe aber kein „Cherry Picking“ betreiben: Aus einer pflichtwidrig getroffenen Vorstandsentscheidung resultierende Vor- und Nachteile für das Unternehmen seien gegeneinander aufzurechnen. Die Grundsätze der „AragGarmenbeck“-Entscheidung von 1993 würden aber nicht angerührt. Wer als Vorstand vernünftigerweise annehmen darf, auf der Grundlage angemessener Informationen zum Wohle der Gesellschaft zu handeln, bleibe von der Haftung frei. Maritime Sicherheit Joachim Peters, Fachberater bei Securitas, behandelt in Security insight (Ausgabe 6-2012, S. 52/53) den Beitrag privater Sicherheitsdienstleister zur maritimen Sicherheit. Sie berieten Hafenunternehmen hinsichtlich der spezifischen Sicherheitsanforderungen, erarbeiteten Risikoanalysen und Sicherheitskonzepte, erstellten für Hafenunternehmen die erforderlichen Gefahrenabwehrpläne und stellten bei Anforderung auch den PFSO (Port Facility Security Officer) für Unternehmen. Die Mitarbeiter der Sicherheitsunternehmen seien hierfür umfänglich ausgebildet und qualifiziert. Die Inspektionen der EU-Kommission führten ihre Kontrollen sehr schematisch und „kleinteilig“ durch. Die Tendenz zu einheitlichen technischen Standards zur Absicherung der Hafenanlagen im Rahmen der Gefahrenabwehr nach dem ISPS-Code werde von der Hafenwirtschaft sehr kritisch beurteilt. In der Ausgabe 1-2013 von Security insight (S. 54/55) befasst sich Peters mit der Pirateriebekämpfung (Teil 3 eines Serienbeitrags). Im Fokus des Beitrags stehen Maßnahmen aus den „Best Management Practices“, einem Empfehlungskatalog der IMO und der EU: notwendige Planungen vor dem Transit, während des Transits, Maßnahmen beim Piratenangriff und im Fall einer Enterung. Nach einer Meldung des NDR vom 26. März richtet die Reederei Aida Cruises in Rostock ein Kontrollzentrum ein. Damit solle die Sicherheit an Bord der weiter wachsenden Schiffsflotte erhöht werden. Wie bei großen Fluggesellschaften berieten Experten künftig rund um die Uhr die Kapitäne auf den zehn 165 166 Jahrbuch der Unternehmenssicherheit 2013 Aida-Kreuzfahrtschiffen. Via Satellit würden alle wichtigen Schiffsdaten live nach Rostock übertragen und ausgewertet. Mit dem Aufbau des Kontrollzentrums betrete Aida Cruises nach der Einschätzung von Schifffahrtsexperten nicht nur technisches, sondern auch juristisches Neuland. Denn nach internationalem Seerecht habe der Kapitän das letzte Wort. Die Fachzeitschrift GIT zeigt in ihrer Ausgabe 5-2013 (S. 30/31), wie auf einem Schiff, das für das Entladen und die Lagerung von Gas und Öl auf hoher See genutzt wird, eine spezielle Software (See Tec ProBox 15 – entsprechend der Zahl der eingesetzten Kamerakanäle) die Prozesse und die Einhaltung der Sicherheitsstandards überwacht. Sie sei plattformunabhängig und unterstütze eine Vielzahl verschiedener Kameramodelle führender Hersteller. Sie beschränke sich nicht nur auf Grundfunktionen, sondern bilde ein breites Funktionsspektrum ab. Nach einer Meldung von SPIEGEL ONLINE vom 30. Juli haben Forscher der Universität von Texas gefälschte GPS-Signale ausgesendet und so die GPS-Empfänger einer Yacht getäuscht. Als sich die Schiffsnavigation an den Fake-Signalen orientiert habe, hätten die Angreifer ein geringfügiges Abkommen vom geplanten Kurs suggeriert. Crewmitglieder hätten daraufhin mehrfach die Richtung korrigiert – womit sie das Schiff vom ursprünglich geplanten Kurs abgebracht hätten. Mit dem Experiment wolle das Forscherteam Aufmerksamkeit auf das Thema GPS-Manipulation lenken. Spoofing sei eine ernste Bedrohung für Schiffe und andere Transportformen. Maschinensicherheit Mit dem Personenschutz an Abfüll- und Verschließanlagen befasst sich GIT in seiner Ausgabe 5-2013 (S. 102–104). Die Anforderungen, die sowohl Maschinenhersteller als auch Maschinenanwender aus der Verpackungsbranche an ein innovatives Sicherheitssystem stellen, seien Flexibilität, einfache Umsetzbarkeit des Linien-Not-Halts, Abschaltung maschinenübergreifender Schutzkreise, Reduzierung der Projektierungszeit sowie die lückenlose Dokumentation des Sicherheitskonzepts. Für diese Anforderungen habe ABB den Sicherheitscontroller Pluto entwickelt. Dargestellt werden besondere Anforderungen an die Sicherheitssensoren, der berührungslose Sicherheitssensor, der Not-Halt-Taster sowie schlanke Sicherheitsund Erweiterungsrelais. Mehrere Beiträge in der Juni-Ausgabe der Fachzeitschrift GIT befassen sich mit Sicherheitseinrichtungen an Maschinen: Sicherheitszuhaltungen gehörten zu den gängigsten (Sicherheits-)Schaltgeräten an der Schutztür bzw. an Gefahrenbereichen. Ihre Aufgabe sei es, das Öffnen einer Schutztür so lange zu verhindern, wie das Bedienpersonal gefährliche Maschinenfunktionen erreichen könnte. Immer häufiger würden Zuhaltungen auch aus Prozessgründen verwendet. Seit neuestem gebe es die Sicherheitszuhaltung AZM 300, ein Zuhaltesystem in Form eines Malteserkreuzes, in das der Betätiger eingreift. Die symmetrische Kreuzform schaffe die Voraussetzung dafür, dass die Zuhaltung von drei Seiten angefahren werden könne. Das sorge für universelle Einsetzbarkeit. Eine weitere praxisgerechte Funktion des AZM 300 sei die Einstellbarkeit der Rastkraft; d.h. der nicht sicherheitsgerichteten Zuhaltefunktion bei entriegelter Schutztür. Ebenso innovativ sei die eingesetzte Elektronik. Für die Identifizierung und Codierung des Betätigers werde ein RFID-Sensor verwendet. Das schaffe die Voraussetzung dafür, dass der Anwender zwischen drei Arten der Codierung währen könne, ohne dass sich die mechanische Konstruktion verändere (S. 90/91). In einem weiteren Beitrag wird die Norm EN ISO 14119 vorgestellt, die die bisher gültige EN 1088 zur Beurteilung der Sicherheitstechnik an einer Tür mit Zuhaltung demnächst ablöst. Jahrbuch der Unternehmenssicherheit 2013 Der vollständige Weg durch die Norm wird am Beispiel einer Drehmaschine gezeigt, deren Hauptgefährdung die drehende Hauptspindel mit dem aufgespannten Werkstück ist (S. 92/93). Präsentiert wird ferner eine neue Sicherheitslichtvorhang-Baureihe von Leuze Electronic. Das modulare Konzept ermögliche es Anwendern, optimal passende Ausstattungsmerkmale auszuwählen und damit hochgradig flexible, wirtschaftliche Lösungen einzusetzen. Gleiches gelte für Komplettsysteme für Zugangssicherungen: Auf der Grundlage eines Baukastensystems biete Leuze Electronic passgenaue Sicherheitslichtschranken-Sets, die eine einfache und effiziente Errichtung der gängigsten Zugangssicherungen ermöglichten (S. 94–96). In der Ausgabe 9-2013 der Fachzeitschrift GIT (S. 100/101) wird der Weg zur sicheren Maschine in 6 Schritten strukturiert. Er beginne mit der Risikobeurteilung, d.h. der Definition der Maschinenfunktionen, der Identifizierung von Gefährdungen sowie der Einschätzung und Dokumentation von Risiken. Darauf aufbauend gelte es, die Maschine sicher zu gestalten. Im dritten Schritt würden technische Schutzmaßnahmen definiert und Sicherheitsfunktionen umgesetzt, verifiziert und validiert. Danach würden Benutzerinformationen über Restrisiken zusammengestellt und z. B. als Warnhinweise, Vorgaben von Schutzausrüstungen oder Arbeitsanweisungen formuliert. Es folge die Gesamtvalidierung des Sicherheitskonzepts einschließlich der Erstellung der Dokumentation, bevor im sechsten und letzten Schritt die EEGKonformitätserklärung erstellt werde und die Maschine in Verkehr gebracht werden könne. In derselben Ausgabe behandelt GIT die optische Absicherung der Arbeitsräume an Rohrbiegemaschinen (S. 108/109). Solche Anlagen erforderten aus diversen Gründen das manuelle Einlegen der Rohr-Rohlinge in die jeweiligen Spannvorrichtungen. Ein Mitarbeiter müsse in den Arbeitsraum eintreten, ggf. das fertig gebogene Rohr entnehmen, einen neuen Rohling einlegen, aus dem Arbeitsraum heraustreten und dann den Zyklus mittels Zweihandbedienung auslösen. Eine perfekte Lösung zur Absicherung aller automatischen Rohrbiegemaschinen böten Sicherheits-Laserscanner. Die Rotoscan RS4Geräte stellten eine besonders flexible Variante der optischen Gefahrbereichssicherung dar. Sie erfüllten zugleich die Aufgabe der so genannten Hintertrittsicherung. Erst durch beidhändiges Freischalten außerhalb des Schutzfeldes könne ein Biegezyklus gestartet werden. Als Flächenscanner seien die Laserscanner berührungslos wirkende Schutzeinrichtungen vom Typ 3, die zuverlässig Körper, Bein, Arm oder Hand in beliebig konfigurierbaren Schutzfeldkonturen erkennen. Je nach Anforderung ließen sich mit einem einzigen Scanner sowohl komplexe als auch wechselnde Sicherheitsbereiche flexibel und lückenlos überwachen. GIT stellt ferner ein konfigurierbares Sicherheitsmodul für Rollenschneidmaschinen vor (S. 112–114). Es lasse sich flexibel einrichten, um die Sicherheitsfunktionen für die meisten Schutzvorrichtungen an Maschinen zur Verfügung zu stellen. Dazu gehöre die Überwachung von Sicherheitsabdeckungen und -klappen, Sicherheitssperren, Lichtvorhängen mit und ohne Durchlassfunktion sowie Laserabtastern und Notaus-Schaltern. Im Gegensatz zu einem herkömmlichen Sicherheitsrelais mit nur einer festen Funktion handele es sich bei den Safety-Funktionen des Sicherheitsmoduls PSR-Trisafe um eine Kombination aus TÜV-geprüfter Hardware und Software-Funktionsblöcken. Letztere würden mit Hilfe von Anwender-Software konfiguriert und über ein USB-Kabel auf das Sicherheitsmodul übertragen. Mit der Einbeziehung der Maschinensicherheit in die frühe Konstruktionsphase befasst sich Martin Bauer, Omron, in der Fachzeitschrift GIT (Ausgabe 10-2013, S. 92/93). Eine solche Einbeziehung spare Entwicklungszeiten und vermeide Kosten für Anpassungen innerhalb eines Maschinenlebenszyklus. Durch die Integration von Safety in eine einheitliche Entwicklungsumgebung würden Systementwurf, Einrichtung und Wartung erheblich vereinfacht. Dadurch, 167 168 Jahrbuch der Unternehmenssicherheit 2013 dass die Safety-Variablen automatisch in das Ablaufprogramm des Standardcontrollers integriert sind, ließen sich Anwendungen noch schneller und einfacher erstellen. In der Architektur des „Black Channel-Konzepts“ führe der Standardcontroller die nicht sicheren Steuerungsaufgaben und die Masterfunktion für das EtherCat-Netzwerk aus, während der Safety-Controller die Sicherheitslogik übernimmt. Grundsätze der Maschinen- und Anlagensicherheit behandeln in derselben Ausgabe von GIT Joachim Albertz, Stefan Horvatic und Dr. Konrad Kern von Pepperl + Fuchs (S. 98– 100). Die sicherheitsgerichtete industrielle Automation sei von einer hohen technologischen Dynamik geprägt. Aktuelle Trends in der Sicherheitstechnik fokussierten sich zum einen auf ergonomie- und prozessgerechte Sensor- und Steuerungssysteme, die Menschen vor Unfallgefahren schützen und gleichzeitig die Sicherheit und die Wirtschaftlichkeit von Maschinen verbessern. Mit der sicherheitsgerichteten Geschwindigkeits- und Stillstands-Überwachung für Antriebssysteme erreiche die Safety-Thematik in zunehmendem Maß auch die Antriebstechnik. Das Portfolio von Sicherheitslösungen von Pepperl + Fuchs unterstütze effiziente Lösungen für eine gesetzes- und normenkonforme funktionale Sicherheit. Sensoren unterschiedlicher physikalischer Wirkprinzipien, modulare Schalt- und Auswertegeräte, ein innovatives Konzept für die sicherheitsgerichtete, unterlagerte Feldbus-Kommunikation: das alles ermögliche es, viele sicherheitsgerichtete Herausforderungen mit maßgeschneiderten Lösungen auf höchstem Schutzniveau technisch und wirtschaftlich effizient zu meistern. Jan Baldauf, Sick Vertriebs-GmbH, stellt in demselben Heft die modulare Sicherheitssteuerung Flexi Soft von Sick vor, die einen besonderen Schwerpunkt auf technisch wie auch wirtschaftlich effiziente Safetylösungen lege (S. 104–106). Das Steuerungsmerkmal Flexi Line diene der Verbesserung der sicherheitsgerichteten Umsetzung modularer Maschinenkonzepte. Damit wolle der Hersteller die Forderung nach einer kostensparenden Kaskadierung sicherer Schalter und Sensoren innerhalb eines Maschinenmoduls sowie umfangreicher Diagnosemöglichkeiten erfüllen. Flexibel kombinierbare Funktionsmodule, kompakte Baugröße in jeder möglichen Endkonfiguration, softwareunterstützte Logikfunktionen und bidirektionale Gateways für alle gängigen Feldbusanbindungen würden um zwei weitere Trends ergänzt: Zum einen gehe es darum, modulare Maschinenelemente, die jede mit einer eigenen Sicherheitssteuerung versehen sind, auf einfache Weise sicher zu vernetzen. Dies solle es beispielsweise ermöglichen, die sicheren Steuerungen getrennt gefertigter Maschinenmodule am späteren Aufstellungsort mit geringstmöglichem Zeit- und Arbeitsaufwand zusammenzuführen. Der zweite Trend thematisiere die wirtschaftlich effiziente Integration sicherer Schalter und Sensoren in ein Maschinenmodul. Kosten für Schalteingänge und Verkabelung sollten gespart werden. Eine komplette Sicherheitslösung für ein Laser-Testzentrum wird in Ausgabe 11 der Zeitschrift GIT (S. 88–90) vorgestellt. Kernstück der von der Pilz GmbH & Co. KG entwickelten Lösung sei das Automatisierungssystem PSS 4000 für Sicherheit und Standard. Als zentrale Instanz manage dieses vielseitige, in der Maschinenbaubranche erprobte System einfache wie komplexere Automatisierungsaufgaben und stehe für ein optimales Zusammenspiel von Hardwareund Software-Komponenten. Im Testlabor überwache die Steuerung PSS universal PLC sicherheitsrelevante Signale wie Betriebsart, Not-Halt und Schutztüren mit Verriegelung. Türen und Fenster seien mit Lasersensoren ausgestattet. Trifft der Laserstrahl auf eines dieser Elemente, registriere dies der Lasersensor. Die Auswertung bzw. die Abschaltung des Lasers erfolge innerhalb von Sekundenbuchteilen. In derselben Ausgabe der Zeitschrift wird eine höhere AnlagenVerfügbarkeit durch Überwachung der Differenzströme thematisiert (S. 100–102). Jahrbuch der Unternehmenssicherheit 2013 Um Fehlerströme in einer elektrischen Anlage zu erkennen, bevor es zu einer plötzlichen Abtrennung der Verbraucher kommt, könnten Differenzstrom-Überwachungsgeräte eingesetzt werden, die Fehlerströme detektieren und melden. Mit den Produktreihen RCM-A und RCM-B biete Phoenix Contact Differenzstrom-Überwachungsgeräte nach DIN EN 62020 an, die diese Anforderungen erfüllen. Um die Fehlerströme zu ermitteln, werde nicht mit einer tatsächlichen messtechnisch erfassten Messgröße gearbeitet, sondern mit einem Stromwert, der im DifferenzstromWandler erzeugt und im DifferenzstromÜberwachungsgerät ausgewertet wird. Die Ergebniswerte der Überwachung würden permanent signalisiert, und beim Erreichen festgelegter Grenzwerte werde alarmiert. Ausfallzeiten und damit verbundene Kosten würden deutlich reduziert. Metalldiebstahl Seit mehreren Jahren würden in Deutschland verstärkt Metalldiebstähle gemeldet, berichtet die FAZ am 29. Juli. Die Diebe hätten es besonders auf Buntmetall abgesehen. Außer Friedhöfen würden auch Schrottplätze, Baustellen, Bahnstrecken oder leerstehende Häuser heimgesucht. Metalldiebe in Deutschland ließen sich in zwei Gruppen einteilen. Zum einen gebe es organisierte Banden, die an schweren Gegenständen aus Buntmetall interessiert sind. Es gebe aber auch Einzeltäter, die ihr Diebesgut nicht beim Altmetallhändler verkaufen, sondern auf dem Schwarzmarkt oder auf Flohmärkten. Bei vielen Tätern handle es sich wahrscheinlich um Roma. Die Hintermänner seien mächtige Clanchefs aus Rumänien oder Bulgarien, „Bulibashas“ genannt. In ihren herrschaftlichen Villen sitzend, sendeten sie ihre Gefolgsleute nach Westeuropa. Von der Beute dürften die Täter kaum etwas behalten. Bei der Bahn habe der im Jahr 2012 entstandene Materialschaden 17 Millionen Euro betragen. Die Kosten für die Reparaturen seien wesentlich höher. Außerdem leide der Ruf der Bahn durch die anfallenden Verspätungen von insgesamt 4.000 Stunden (2012). Die Bahn reagiere deshalb mit mehreren Präventionsmaßnahmen, unter anderem mit der Anwendung der „künstlichen DNA“. Wohl dadurch seien die Schäden 2012 erstmals um 10 % gesunken. Am 8. Oktober ist dieser Zeitung zu entnehmen, dass vor allem in östlichen Regionen Metalldiebe Bahntrassen „plünderten“. Ursachen seien unter anderem Täter aus Osteuropa und viele Baustellen. Obwohl die Deutsche Bahn im ersten Halbjahr 2013 mit rund 820 Diebstählen etwa 40 % weniger Taten als im Vorjahreszeitraum gezählt habe, sei das Problem immer noch erheblich. Die Deutsche Bahn gehe mit verdeckten Einsätzen, künstlicher DNA und Informationsaktionen gegen Metalldiebe vor. Während andere Betroffene wie der Stromkonzern Vattenfall unter anderem mit Flugrobotern Langfingern das Handwerk legen wollten, setze die Bahn auf Polizeiarbeit und Vorbeugung. Mindestlohnüberprüfung Die Zoll-Sondereinheit „Finanzkontrolle Schwarzarbeit“ (FKS) habe 2012 insgesamt 34.372 Arbeitgeber in den Mindestlohnbranchen überprüft, berichtet die WirtschaftsWoche am 30. März. Das seien doppelt so viele wie vor drei Jahren. Dabei hätten die Kontrolleure vor allem die Bauwirtschaft (26.775 Unternehmen) unter die Lupe genommen. Ebenfalls unter besonderer Beobachtung: 3.443 Gebäudereinigungsbetriebe und die Abfallwirtschaft mit 1.060 Firmen. Immerhin sei die Quote der Verstöße bei den kontrollierten Unternehmen binnen drei Jahren deutlich gesunken – von 9,9 auf 6,4 %. Insgesamt habe die FKS 2.188 Fälle 169 170 Jahrbuch der Unternehmenssicherheit 2013 ermittelt, in denen nicht mal der Mindestlohn gezahlt wurde. Unter den 1.924 geprüften Betrieben der Sicherheitsdienstleister hätten die Kontrolleure 124 schwarze Schafe gefunden. In der Abfallwirtschaft seien es 55, bei den Pflegeberufen 50 Verstöße gewesen. Am schmuddeligsten: die Wäschereien – fast jede zehnte habe zu wenig gezahlt. Bei den Bauunterneh- men habe der Zoll 2012 1.690 Vergehen und damit 17 % mehr als 2009 registriert, während sich bei den Gebäudereinigern ein Zuwachs um 22 % auf 248 Verstöße ergeben habe. Kaum gestiegen seien jedoch die Geldbußen. Insgesamt hätten die Arbeitgeber 2012 rund 16 Millionen Euro Strafe gezahlt. Mitarbeiterkriminalität Christian Schaaf, Corporate Trust, sieht in einem Beitrag in der Zeitschrift <kes> (Ausgabe 1-2013) die wesentlichen Merkmale bei der Bekämpfung von Mitarbeiterkriminalität in einer vernünftigen Unternehmenskultur, in standardisierten Prüfregularien bei der Einstellung von neuen Mitarbeitern und in Awareness-Maßnahmen. Als typische Hinweiszeichen (Red Flags) für Mitarbeiterkriminalität benennt er zum Beispiel Überschuldung, Missverhältnis zwischen Lebensstil und Einkommen, starken Leistungsabfall mit Symptomen der inneren Kündigung, aber auch die Vermeidung von Urlaub, die Verweigerung der Einarbeitung von Vertretern und den Verzicht auf Beförderung, die einen Bereichswechsel bedeuten würde (S. 16–18). Der Anteil der Beschäftigten, die keine emotionale Bindung zu ihrem Arbeitgeber haben, hat sich nach einem Bericht in der FAZ am 18. März innerhalb eines Jahrzehnts um ein Drittel erhöht. Er sei von 18 auf 24 % gestiegen, wie aus einer Umfrage von Gallup hervorgehe, die für die Erwerbsbevölkerung repräsentativ sei. Hochgerechnet seien das 8,4 Millionen. Der Anteil der Mitarbeiter mit hoher Bindung habe sich aber ebenfalls erhöht, von 12 auf 15 %. Mitarbeiterscreening Udo Hohlfeld, Info + Daten GmbH & Co.KG, behandelt in Security insight (Ausgabe 4-2013, S. 10–15) Möglichkeiten und Grenzen des Screening von Mitarbeitern. Unternehmen sollten grundsätzlich die Angaben von Bewerbern überprüfen, wenn die Bewerber dazu schriftlich ihr Einverständnis erklärten. Für die Möglichkeit des Screening während der Beschäftigung sei wichtig, was zwischen Unternehmen und Mitarbeiter im Arbeitsvertrag vereinbart wurde, gerade in Bezug auf die Internetnutzung, private E-Mails und Telefonate. Die Nutzung von Kameras in Sozialräumen, Umkleideräumen oder Toiletten sei verboten. Die offene Videoüberwachung wiederum sei erlaubt, wenn die Mitarbeiter darüber vorab informiert wurden. Wenn das Beschäftigungsverhältnis beendet wird, müssten viele Mitarbeiterdaten vernichtet werden, es sei denn, sie werden für Unternehmensprüfungen genötigt und ihre Speicherung sei gesetzlich vorgeschrieben. Mobile Endgeräte In der Verlagsbeilage ITK 2013 der FAZ am 26. Februar befasst sich Thomas Kühlewein, VMware, mit dem Schutz von Unterneh- mensdaten auf Smartphone und Tablet. Aufgrund ihrer nahezu ständigen Verbindung mit dem Internet seien mobile Endgeräte ext- Jahrbuch der Unternehmenssicherheit 2013 rem angreifbar. Und die Betriebssysteme der mobilen Endgeräte seien für die Einbindung einer Smartcard nicht gerüstet. Das Manko der fehlenden Infrastruktur im Betriebssystem lasse sich recht einfach lösen: Der Browser, über den die Daten innerhalb der Online-Anwendung aus dem Web-Portal des Unternehmens dargestellt werden, könne fest in die Struktur einer App integriert werden. Werde darin eine Funktion aufgerufen, die schutzwürdige Daten bereitstellt, startet innerhalb der App dieser Browser und stößt die sichere Kommunikation über die Smartcard via Bluetooth an. In einer Beilage zur Juliausgabe der Fachzeitschrift <kes> werden mehrere Beiträge zum Themenbereich „Mobile Security“ veröffentlicht: Gerhard Eschelbeck, Sophos, behandelt das Risiko von BYOD-Geräten. Am wichtigsten seien: Durchsetzung strenger Kennwörter auf allen Geräten; Virenschutz und DLP; vollständige Verschlüsselung von Festplatten, Wechseldatenträgern und Cloud Storage Mobile Device Management (MDM) und Application Control. 7 Schritte zu einem BYOD-Sicherheitsplan benennt der Autor: 1. Finden Sie heraus, welche Risiken durch BYOD entstehen. 2. Stellen Sie für die Implementierung ein Experten-Gremium zusammen. 3. Entscheiden Sie, wie die Richtlinien für Geräte, die auf Ihr Netzwerk zugreifen, durchgesetzt werden. 4. Planen Sie ein Projekt mit den (im einzelnen bezeichneten) Sicherheitsmaßnahmen. 5. Vergleichen Sie die Lösungen, die der Markt für Ihr Projekt bietet. 6. Implementieren Sie die Lösungen. 7. Reevaluieren Sie die Lösungen regelmäßig (S. 5–8). Thomas Brinkschröder, Westcom Security, zeigt Alternativen beim MDM auf. Unter Compliance-Aspekten sei die „Container-Lösung“, bei der für die gesamte Business-Umgebung ein abgeschlossener und verschlüsselter Bereich auf dem mobilen Gerät angelegt wird, der „nativen Lösung“ vorzuziehen, bei der alle benötigten Management- und Security-Tools direkt auf dem Smartphone-OS installiert werden und das gesamte Gerät schützen. Bei der Wahl des Produkts empfehle es sich angesichts der Komplexität und des Umfang des Projekts auf jeden Fall, großen Playern mit langfristiger Zukunftssicherheit den Vorzug zu geben (S. 9–11). Hans-Peter Dietrich, Controlware GmbH, gibt Ratschläge für den MDM-Einstieg in der Praxis. Die Einführung eines systematischen Sicherheitsmanagements mobiler Geräte verlange am Anfang nach der Entscheidung für ein grundlegendes Konzept. Anwender sollten die Folgen eingehend prüfen, die eine Weichenstellung in Richtung eines bestimmten Ansatzes für die Unternehmenspraxis hat, und die Produkte evaluieren, die der Markt bietet. Auch Dietrich spricht sich für die „Container-Lösung“ aus, deren Vorteil auch in der hohen Standardisierung und den vergleichsweise geringe Unterhaltskosten liege. Fast alle Hersteller von Smartphones und Tablets versuchten derzeit, eine bessere Trennung von geschäftlichen und privaten Daten zu ermöglichen (S. 12–14). Uwe Wöhler, Computacenter, weist auf einen neuen Lösungsansatz für die Datensicherung auf mobilen Endgeräten hin, der das „Information Rights Management“-Verfahren (IRM) und Data Leakage Prevention (DLP) miteinander verbinde. Sobald sensitive Informationen auf die Geräte geschickt werden, würden sie durch eine zusätzliche Authentifizierung und weitere Maßnahmen in den Apps geschützt. Aus der Kombination von IRM und DLP ergebe sich für Unternehmen bereits heute ein gangbarer Weg, eine übergreifende Durchsetzung von Richtlinien für die mobile Datensicherheit zu erreichen (S. 16–18). Andreas Gabriel, Rimo Weithöner und Michael Leuker, Ethon GmbH, befassen sich mit softwaregestützter Gesprächsverschlüsselung auf VoiP-Basis. Eine speziell entwickelte App wie etwa „etaPhone“ von Ethon mache aus einem gängigen Smartphone ein abhörsicheres Telefon. Die App setze den ZRTP-Standard des anerkannten KryptoExperten Phil Zimmermann ein, der bisher besser bekannt sei für seine E-Mail-Verschlüsselung PGP. Der ZRTP-Standard nehme dem Endanwender und dem Betreiber jeden Aufwand für Schlüssel- oder 171 172 Jahrbuch der Unternehmenssicherheit 2013 Zertifikatsmanagement ab, wehre sogenannte Man in the Middle-Angriffe sicher ab und baue eine echte Ende zu Ende-Verschlüsselung auf. Es sei keine zentrale PKI notwendig, um Gespräche zu sichern (S. 20–22). Swenja Kremer, Secusmart GmbH, nimmt zum Einsatz und der Funktionsweise hardwaregestützter Sprachverschlüsselung Stellung. Zu einem ganzheitlichen Sicherheitskonzept für moderne Unternehmenskommunikation gehöre angesichts der aktuellen Bedrohungslage auch der Abhörschutz für Mobiltelefone. Erforderlich sei dabei ein Ansatz, der für den Anwender komfortabel ist, über Ländergrenzen hinweg wirkt und auf einem zentral verwalteten Sicherheitsmanagement aufsetzt. Wo hohe Sicherheitsanforderungen bestehen, garantiere Hardwareverschlüsselung die nötige Performance. Darauf habe sich Secusmart konzentriert. Die Secusmart Security Card sei nicht größer als ein Fingernagel, stelle aber ein Hochsicherheits-Device dar. Implementiert seien Verschlüsselungstechniken der neuesten Generation und zusätzlich bis zu 4 GByte ebenfalls verschlüsselter Speicherplatz für die geschützte Ablage von Informationen. Eine moderne Mobiltelefon-Sicherheitssoftware, die die Karte ergänzt, sichere die mobile Kommunikation zweifach: durch Ende zu Ende-Verschlüsselung und durch zertifikatsbasierte Authentifizierung der Gesprächsteilnehmer. Alle Schutzprozesse liefen ohne Einfluss auf das Telefonverhalten des Anwenders im Hintergrund ab. Die Bereitschaft zum Einsatz sicherer Verfahren steige enorm, wenn diese problemlos und unbemerkt funktionierten. Für Festnetzgespräche lasse sich das Smartcard-Verfahren ebenfalls verwenden, auch im Rahmen einer Telefonkonferenz (S. 24–26). Erika Friesen, Rohde & Schwarz, favorisiert die Verschlüsselung außerhalb des Telefons. Dies biete ein deutliches Mehr an Sicherheit gegenüber reinen App-Lösungen oder der Verschlüsselung mittels Micro-SD-Karten. Aufgrund der Auslagerung der Sprachverschlüsselung müsse das Smartphone nicht „gehärtet“ werden, bleibe somit voll funktionsfähig und könne jederzeit gegen ein neues ausgetauscht werden, ohne dass Änderungen beim Krypto-Headset nötig sind (S. 28–30). Benedikt Leder, Datev eG, weist darauf hin, dass die Betriebssysteme der mobilen Endgeräte für die Einbindung einer Smartcard nicht gerüstet seien. Außerdem besäßen etliche Smartphones und Tablets keine USB-Schnittstellen, um einen Kartenleser anzuschließen. Abhilfe verspreche ein neuer Smartcard-Leser („mIDentity air“), der via Bluetooth mit Mobilgeräten kommuniziert und so den sicheren und verschlüsselten Informationsaustausch mit Unternehmensressourcen erlaube. Das Manko der fehlenden Infrastruktur im Betriebssystem lasse sich ebenfalls recht einfach lösen: Ein Browser, der über ein Webportal bereitgestellte Unternehmensdaten anzeigen kann, werde fest in die Struktur einer App integriert. Ruft der Anwender darin eine Funktion auf, die ihm schutzwürdige Daten zugänglich macht, starte der erwähnte Browser innerhalb der App und stoße die sichere Kommunikation unter Zugriff auf die Smartcard an (S. 32–34). Robert Korherr, ProSoft, plädiert für eine mobile „Zwei Faktor-Authentifizierung“ (Notwendigkeit von zwei Elementen für die eindeutige Authentifizierung, von denen je eins aus den drei Bereichen „Haben“, „Wissen“ oder „Sein“ ausgewählt wird) per Smartphone. Für Unternehmen ergäben sich organisatorische Vorteile und Einsparpotenziale, wenn Mobiltelefone die Rolle von Hardware-Tokens übernehmen. Der Autor zeigt unterschiedliche Einsatzszenarien und beschreibt die jeweils passenden Varianten des Lösungsansatzes (S. 36/37). Elmar Török, NCP, befasst sich mit Herausforderungen beim Management mobiler VPNs (Virtuelle private Netze). Für mobile VPNs mit Clients wie Smartphone, Tablets und Notebooks, die sich über ein halbes Dutzend unterschiedlicher Medien mit dem Gateway verbinden wollen, benötigten Unternehmen ein effizientes und einfaches VPN-Management, das viele Administrationsaufgaben automatisiert. Ein guter VPN-Client suche sich selbständig das jeweils beste Netz Jahrbuch der Unternehmenssicherheit 2013 aus und wechsle selbständig zu anderen Netzverbindungen, sobald diese verfügbar werden. Die VPN-Managementsoftware müsse in der Lage sein, alle für den VPNZugang notwendigen Daten zu finden und abzugleichen (S. 39–41). Kai Haller, mediaTest digital, zeigt, dass Mobile Application Management (MAM) bei der Absicherung von Business-Daten gegen schädliche oder schlecht programmierte Anwendungen (Apps) eine wichtige Rolle spielt. Das MAM umfasse Softwarelösungen und Services, die die Beschaffung von und den Zugriff auf Apps für betrieblich genutzte Smartphones oder Tablets mit Unternehmens-Richtlinien in Einklang bringen. Es erlaube dem Unternehmen, ein hohes Sicherheitsniveau bei der Nutzung von mobilen Endgeräten zu erreichen, ohne dabei allzu große Nachteile in der Anwendung in Kauf nehmen zu müssen (S. 42). Viele Firmen begeben sich mangels BYODRichtlinien in Gefahr, berichtet TECCHANNEL IT im Mittelstand am 17. Juli. Eine Studie „Acronis 2013 Data Protection Research“ komme zu dem Schluss, dass Unternehmen durch nachlässigen Umgang mit einfachen Sicherheitsmaßnahmen und fehlende Trainingsangebote zu BYOD ihre sensiblen Daten einem hohen Risiko aussetzen. 44 % der deutschen Unternehmen hätten keine Richtlinie zur Nutzung privater Geräte. 81 % der deutschen Mitarbeiter würden von ihren Arbeitgebern über die Risiken von BYOD für die Datensicherheit nicht ausreichend informiert. 76 % der deutschen Unternehmen hinkten auch beim Training im Umgang mit Public Clouds hinterher. Nur gut jedes dritte Unternehmen in Deutschland fordere für beruflich genutzte private Geräte Kennwörter oder Tastensperren. Nur 30 % löschten Geräte, wenn Mitarbeiter das Unternehmen verlassen. Fast jede zweite deutsche Firma habe für die Nutzung öffentlicher CloudDienste keine Richtlinie. Auf Druck der südkoreanischen Regierung planten die Smartphone-Hersteller LG und Samsung, Antidiebstahl-Funktionen in ihre Smartphones einzubauen, meldet heise.de am 27. August. Sollten Smartphones gestohlen werden oder auf andere Weise abhanden kommen, könnten Besitzer oder auch Netzbetreiber die Geräte aus der Ferne sperren oder komplett löschen. Durch die Einbindung in das Betriebssystem solle es Smartphone-Dieben erschwert werden, die Funktionen nach einem Diebstahl außer Kraft zu setzen. Auch ein Wechsel der SIMKarte solle nicht helfen. Die meisten gestohlenen Smartphones werden den Angaben zufolge aus dem Land gebracht, weil sie in Südkorea von den dortigen Netzbetreibern nicht mehr ins Netz gelassen würden. In Deutschland gebe es kein Netzbetreiberübergreifendes Register mit den IMEI-Nummern gestohlener Smartphones. Aus dem Ausland importierte Handys – ob legal oder illegal – dürften sich hier problemlos in alle Netze einbuchen können. Kaspersky weist am 22. August auf eine weltweite Umfrage hin, nach der weltweit bislang nur 14 % aller Unternehmen über voll implementierte Sicherheitsrichtlinien verfügen. 32 % der deutschen Unternehmen hätten angegeben, noch keinerlei Richtlinien für den Umgang mit mobilen Geräten eingeführt zu haben. 53 % der deutschen Unternehmen hätten eingeräumt, zwar bereits Regeln entwickelt, aber noch nicht voll umgesetzt zu haben. 12 % glaubten, auch künftig ganz darauf verzichten zu können. Oft scheitere die Umsetzung an finanziellen Fragen. Bei der Umsetzung könne auch geeignete Sicherheitssoftware wie etwa Kaspersky Security for Mobile helfen. Damit würden zum Beispiel die Unternehmensdaten oder Anwendungen auf den Geräten der Mitarbeiter in eigene Container gepackt, die aus der Ferne verwaltet oder im Fall eines Geräteverlustes auch gelöscht werden könnten. Außerdem lasse sich so kontrollieren, welche Apps auf den mobilen Geräten gestartet werden, und der Benutzer sei vor einem Zugriff auf schadhafte Links oder Webseiten geschützt. 173 174 Jahrbuch der Unternehmenssicherheit 2013 Wissenschaftler der TU Berlin hätten demonstriert, wie sich das per Broadcast-Nachricht gesendete GSM-Pagingsignal durch manipulierte Mobiltelefone zum Umleiten von Telefonaten oder SMS-Nachrichten missbrauchen lässt. Dahinter stehe eine konzeptionelle Schwäche der GSM-Spezifikation. Bevor das Mobilfunknetz ein Telefonat oder eine SMS zustellt, sende es einen Rundruf, in dem es das Zielgerät auffordert, sich zu melden und das Gespräch oder die SMS anzunehmen. Das Paging-Signal werde in der Location Area von diversen Basisstationen in ihre jeweiligen Zellen abgestrahlt und es enthalte die Mobile Identity des Zielgeräts (TMSI/IMSI), meldet heise online am 30. August. Die Entwickler des Paging-Verfahrens seien seinerzeit davon ausgegangen, dass das Mobilnetz die Mobile Identity nur vertrauenswürdigen Gegenstellen übergibt (den Geräten der eigenen und der Roaming-Kunden), so dass ihr Protokoll nicht prüft, ob auch die tatsächlich gemeinte Gegenstelle antwortet. Die Wissenschaftler demonstrierten, dass sich diese Konzeptschwäche zu einem Angriff ausnutzen lässt. Dafür hätten die Forscher die OpenSourceBaseband-Firmware OsmocomBB so modifiziert, dass ein damit präpariertes Mobiltelefon Paging-Nachrichten mit beliebigen Mobile Identities beantworten kann. Die Technik lasse sich prinzipiell aber auch zu Angriffen auf einzelne Handys abwandeln. Datensparsamkeit bezeichnet der Behördenspiegel in seiner Septemberausgabe als das oberste Gebot, um das mobile Internet sicher nutzen zu können. Persönliche oder andere vertrauliche Daten, Passwörter und PIN-Codes gehörten nicht auf das Smartphone oder das Tablet. Für deren Nutzung würden grundsätzlich die gleichen Vorsichtsmaßnahmen gelten wie für das stationäre Internet auch. Damit niemand unbemerkt aus der Ferne auf das eigene mobile Gerät zugreift, empfehle es sich, alle zu deaktivieren, die man gerade nicht braucht. Hierzu gehörten etwa WLAN- oder Bluetoothfunktionen. Besondere Vorsicht sei bei frei zugänglichen WLAN-Verbindungen geboten. Die FAZ befasst sich am 24. September mit dem Scanner für Fingerabdrücke beim iPhone 5S. Man lege den Finger nur auf und ziehe ihn nicht, wie bei Notebooks, über eine Fläche. Vermessen würden untere Hautschichten. Auf diese Weise sei auch eine Lebenderkennung implementiert. Apple speichere die biometrischen Daten in einem separaten Bereich des Geräts, der von außen nicht lesbar sei, nicht in eine iTunes-Synchronisation übernommen werde und nicht auf Apple-Server übertragen werde. Das alles verspreche einzigartige Sicherheit, zumal auch kein Abbild des Fingerabdrucks gespeichert werde, sondern eine Art Kondensat („Hash“), aus dem sich das Original nicht wiederherstellen lasse. Damit verspreche Apple mehr Schutz der Privatsphäre, der Fingerscan sei einfacher als die Kennworteingabe. Wer diese lieber meide, werde jenen mögen. Zum anderen Diebstahlschutz: In Verbindung mit dem neuen Betriebssystem iOS 7 könne ein gestohlenes Gerät nicht mehr in den Auslieferungszustand versetzt werden. Das Diebesgut werde wertlos. Das werde sich herumsprechen. In der Zeitschrift <kes> (Ausgabe 3-2013, S. 12–15) sieht Rüdiger Trost, F-Secure, in der mobilen Malware eine Bedrohung mit Zukunftspotential. Wenn immer mehr professionelle Anwendungen über mobile Geräte laufen, würden sie auch interessanter für Entwickler mobiler Malware. Dabei sei das Betriebssystem mit dem größten Marktanteil auch das Angriffsziel Nummer 1: Malware werde vor allem für Android entwickelt. Ein weiterer wichtiger Trend sei die Zunahme von Malware, die eine Verbindung zu Command and Control-(C & C)-Servern erstellt: 123 der 149 von Januar bis März 2013 von F-Secure neu entdeckten Bedrohungen sendeten über eine solche Verbindung Kommandos an das mobile Gerät, ohne dass der rechtmäßige Besitzer etwas davon merke. Habe man erst einmal die Kontrolle über ein Handy übernommen, so lasse sich ohne weiteres damit Profit generieren – etwa durch die Veranlassung von Long Distance-Calls, während der Jahrbuch der Unternehmenssicherheit 2013 Handy-Besitzer schläft. Mit dem „OnlineBankraub“ sei auch schon eine noch lukrativere Disziplin der profitmotivierten Malware belegt. Malware werde zwar komplexer, lasse sich aber durch ein Angebot an Malware-Kits dennoch schnell entwickeln. Botnets würden mittlerweile auch zur Verbreitung mobiler Malware benutzt. Zugleich würden Aktivitäten immer zielgerichteter: Targeted Attacks seien im Windows-Bereich schon lange verbreitet, spielten aber nun auch im mobilen Malware-Markt eine große Rolle. Der Trend gehe zu immer leistungsfähigeren und kleineren mobilen Geräten, stellt Armin Leinfelder, baramundi software AG, im „special“ von <kes> im Oktober 2013 (S. 38/39) fest. Die Grenzen zwischen den Geräteklassen würden unscharf. An diese Entwicklung müsse sich die IT-Administration anpassen. Auch das Arbeitsverhalten ändere sich. So würden Dokumente unterwegs auf einem Mobilgerät begonnen und später auf dem PC fertiggestellt, E-Mails und Kalender sollten überall verfügbar sein. Die Folge für die IT-Administration: Es müssten alle Geräte mit den nötigen Programmen, Daten und Rechten versorgt werden – und es müssten alle Geräte zuverlässig abgesichert werden. Nach einem Bericht von git-sicherheit vom 3. Dezember haben Forscher der TU München einen neuen, informationstheoretischen Ansatz für eine abhörsichere mobile Kommunikation gefunden. Ihre Lauschabwehr setze an der sogenannten physikalischen Schicht des Kommunikationssystems an. Die Methode verhindere, dass ein potenzieller Mithörer die übertragene Nachricht überhaupt empfängt. Museumssicherheit Die Fachzeitschrift Security insight beschreibt in ihrer Ausgabe 2-2013 (S. 32/33), wie in der Kunstkammer des Kunsthistorischen Museums in Wien sichtbare und unsichtbare Sicherheitsmaßnahmen kombiniert sind. Bewusst nicht versteckt seien die Melder eines Lasermesssystems. Diese Systeme legten einen Sicherheitsvorhang über ganze Wände und würden in der Kunstkammer vor allem zur Sicherung der unzähligen Tapisserien eingesetzt. Wesentlich an dieser Sicherung sei, dass sie auch Sprühnebel anzeige, auf den eine herkömmliche Alarmanlage nicht reagiere. In der rund um die Uhr besetzten Alarmzentrale würden sämtliche Alarm- und Videodaten sowie die Brandschutzeinrichtungen mehrerer Museen überwacht. Nachhaltigkeit Die Bedeutung von Nachhaltigkeit in der Wirtschaft habe sich radikal gewandelt, ist das ASSURANCE MAGAZIN von KPMG in seiner Ausgabe 1-2013 (S. 24–27) überzeugt. Vor kurzem habe Nachhaltigkeit noch der Darstellung ethischer Motive und besonders vorbildlichen Verhaltens hinsichtlich sozialer und umweltrelevanter Aspekte gedient. Heute sei Nachhaltigkeit ein messbarer, kapitalmarktrelevanter Erfolgsfaktor. Er stehe für eine ganzheitliche und strategische Ausrichtung in den verschiedensten Branchen und Unter- nehmensbereichen. 62 % aller Unternehmen in Deutschland machten Nachhaltigkeit zum Thema in ihren Berichtswerken. Nachhaltigkeit sei über Vision und Strategie in den Managementprozessen verortet und ziele auf Aspekte wie Innovationskraft, Mitarbeitermotivation, Reputationssteigerung, Risikoreduzierung oder die Verbesserung von zu einem nachvollziehbaren wirtschaftlichen Orientierungssystem, das nach innen das Handeln des Unternehmens lenke und nach außen Orientierung für Kunden, Konsumenten und 175 176 Jahrbuch der Unternehmenssicherheit 2013 Stakeholder schaffe. Der G3-Leitfaden der Global Reporting Initiative (GRI) stelle derzeit den De-facto-Standard der Nachhaltigkeitsberichterstattung dar. Er weise eine Reihe von Indikatoren von der ökologischen Leistung bis hin zur Beachtung von Menschenrechten aus, mit der Unternehmen ihre Leistung messen und dokumentieren können. In der geplanten Veröffentlichung des G4-Leitfadens solle vor allem das Konzept der „Wesentlichkeit“ in der Berichterstattung gestärkt werden. Trends in der Nachhaltigkeitsberichterstattung seien ganzheitliche Betrachtung, Verständlichkeit, Wesentlichkeit und Inklusion (einheitlicher Berichtsrahmen für eine Vielzahl verschiedener Berichtseinzelthemen wie Finanzen, Nachhaltigkeit oder Governance). Nationale Sicherheitsstrategie Eine nationale Sicherheitsstrategie fordert Bernd Oliver Bühler als Lehre aus dem NSASkandal in der Ausgabe 6-2013 der Fachzeitschrift Security insight (S. 10–15) und stellt dazu fünf Grundsätze auf: Stärkung des Wirtschaftsstandorts durch Schutz der am Standort Deutschland aktiven Unternehmen vor Abfluss vorhandenen Know-hows, gesetzliche Ernennung von Beauftragten für Unternehmenssicherheit, stärkerer strafrechtlicher Schutz von Unternehmenswissen, neue Ausrichtung der Sicherheitsbehörden und Erarbeitung einer nationalen Sicherheitsstrategie, möglichst mit Abstimmung innerhalb der EU. Near Field Communication (NFC) Das Potenzial von NFC für die Personenidentifikation ist unbestritten, zeigt sich Oliver Burke, Legic Identsystems AG, in Security insight (Ausgabe 1-2013, S. 20/21) überzeugt. Mit NFC befasst sich auch der SicherheitsBerater in seiner Ausgabe 5-2013 (S. 76/77). Im Sinne der Informationssicherheit könne die notwendige Nähe von wenigen Zentimetern zum Kommunikationspartner als Vorteil gewertet werden, da ein möglicher Angreifer nah an sein Ziel gelangen muss. Notfallmanagement Dipl.-Math. Harro von Wardenburg, nullPC GmbH, befasst sich in der Ausgabe 3-2013 von <kes> (S. 78–80) mit dem Notfallmanagement. Es solle sicherstellen, dass wichtige Geschäftsprozesse selbst in kritischen Situationen nicht oder nur temporär unterbrochen werden. Dazu müssten ganzheitlich alle Aspekte des Geschäftsbetriebes betrachtet werden. Entscheidend sei eine abgestufte Vorgehensweise, die sich am BSI-Standard 100-4 orientieren könne. Würden der Standard und die korrespondierenden Bausteine in den IT-Grundschutzkatalogen vollständig umgesetzt, werde ein Notfallmanagement etabliert, das auch weniger technisch-orientierte Standards wie den British Standard BS 25999 Part 1 und 2 komplett erfülle. In der Ausgabe 2-2013 der Fachzeitschrift Sicherheitsforum beschreibt Dr. Annina Gaschen, Neosys AG, den Weg vom Notfallkonzept zum Notfallhandbuch in 5 Schritten: Analyse der möglichen Bedrohungsszenarien, Schnittstellen zu bestehenden Notfallplänen mit Klärung der Zuständigkeiten, Erfassen der bereits vorhandenen Dokumente und standardrelevanten Informationen, Erstellung von Merkblättern Jahrbuch der Unternehmenssicherheit 2013 und Integration des Notfallhandbuchs in das bestehende Managementsystem. Darüber hinaus werden Anforderungen an Sammelplätze aufgelistet (S. 31–35). Der Sicherheitsberater befasst sich in Nr. 16-2013 (S. 241/242) mit dem jüngst vom BSI herausgegebenen „Umsetzungsrahmenwerk zum Notfallmanagement nach BSI-Standard 100-4“ (UMRA). Es stelle Module bereit, die jeweils aus einer inhaltlichen Beschreibung des jeweiligen Themas, aus Checklisten, Ausfüllanleitung und Vorlagen für Präsentationen und Berichte bestehen. Solche Module gebe es für alle Phasen des Notfallmanagement-Prozesses des BSI-Standards 100-4 (Leitlinie, Konzeption, Umsetzung, Notfallbewältigung, Übungen und Tests, Aufrechterhaltung und kontinuierliche Verbesserung). Das BSI stelle damit eine erstklassige Hilfe zur Selbsthilfe bereit. In der Zeitschrift <kes> (Ausgabe 3-2013, S. 74–76) behandeln Manuela Reiss und Marco Sportelli, dokuit, die Notfallorganisation der IT. Aus den Ausführungen des BSI in dem 2008 veröffentlichten BSI-Standard 100-4 „Notfallmanagement“ lasse sich klar ableiten, dass die Erstellung eines Notfallhandbuchs keine alleinige Aufgabe der IT-Organisation sein könne, sondern sich in ein übergeordnetes Notfallmanagement einbinden müsse. Die Autoren behandeln das Zusammenspiel im Notfallmanagement und mit den Inhalten des Notfallhandbuchs: Organisation, Sofortmaßnahmen und Notfallbewältigung. Es sei ein zentrales Notfallhandbuch zu erstellen, das in der Verantwortung einer ebenso zentralen Notfallorganisation liege und das durch Geschäftsfortführungsund Wiederherstellungspläne ergänzt werde, welche die jeweiligen Fachbereiche erstellen. Nach der ASW-Mitteilung 054/13 hat das BSI eine Studie zum Thema „Notfallmanagement mit der Cloud für KMU“ veröffentlicht. Die Studie beleuchte Potenziale von Cloud-Techniken für die Absicherung eines Ausfalls IT-gestützter Geschäftsprozesse in KMU. Ziel der Studie sei es, praxisnahe Methoden zur Notfallprävention und -reaktion aufzuzeigen, die mithilfe moderner Virtualisierungs- und Cloud-Technologien umgesetzt werden können. Im Fokus stünde dabei eine Betrachtung der auf dem Markt verfügbaren Cloud-Angebote für das Notfallmanagement von KMU sowie deren Einsatz in drei typischen Szenarien. Die Studie zeige, dass der Einsatz von Cloud-Techniken das Notfallmanagement sowie verschiedene Kontinuitätsstrategien von Unternehmen verbessern können. Die Studie verdeutliche, dass in KMU durch den Einsatz von Virtualisierungstechniken sowie von Cloud-Diensten fast automatisch eine höhere Verfügbarkeit und Ausfallsicherheit der IT-gestützten Geschäftsprozesse erreicht wird. Mit der Notfallplanung für Versicherungsunternehmen entsprechend der aufsichtsrechtlichen Mindestanforderung für das Risikomanagement (MaRisk VA) befasst sich Tim Jordan, Controllit AG, in der Fachzeitschrift Security insight (Ausgabe 6-2013, S. 32/33). Entwicklungen wie die verbreitete Nutzung mobiler Technologien und Cloud-Computing machten es erforderlich, auch die Notfallplanung nebst Strategien für spezifische Ausfallszenarien anzupassen und regelmäßig zu testen. Ein ganzheitliches Test- und Übungskonzept bilde somit einen Hauptbestandteil für die effektive und qualitativ hochwertige Notfallplanung. Notruf- und Service-Leitstelle (NSL) Nach Zustimmung durch den Fachausschuss Technik des BDSW kann die neue VdSRichtlinie 3138 für NSL ab 2014 angewandt werden, meldet die Fachzeitschrift WiK in der Ausgabe 6-2013 (S. 56). Die VdS 3138 vereine erstmals die aktuelle IP-Welt der 177 178 Jahrbuch der Unternehmenssicherheit 2013 Übertragungseinrichtungen mit der Welt der NSL und biete wirksame ManagementWerkzeuge, die den zukünftigen Herausforderungen an Datensicherheit, Vernetzung, Kooperation und rasanter technologischer Entwicklung Rechnung trügen. Die VdS werde als offen und rein prozessorientiert beschrieben. Außerdem skizziere sie einen möglichst breiten Korridor zur technischen und organisatorischen Umsetzung. Änderungsvorschläge zur europäischen Norm DIN EN 50518 skizziert der Dipl.-Wirtschaftsjurist (FH) Sebastian Brose in der Ausgabe 2-2013 von s+s report (S. 41/41). Ein Vorschlag sehe vor, den Scope von „Alarmanlagen“ auf „Einbruch- und Überfallmeldeanlagen“ zu reduzieren. Weiterhin sei vorgesehen, einen Hinweis in die Norm aufzunehmen, der besagt, dass alle drei Normenteile zusammenhängend anzuwenden sind und keine Zertifizierung einer AES beruhend auf nur einem oder zwei Teilen der Norm möglich ist. Die erforderliche Widerstandsklasse gegen Einbruch nach den Normen DIN EN 1627 ff. solle von WK 4 auf WK 3 reduziert werden. Protector stellt in seiner Ausgabe 9/13 (S. 28) das Alarm Service Provider (ASP)-Modell als Dienstleistung für Leitstellenbetreiber vor, die den individuellen Bedürfnissen und Anforderungen entsprechend durch einen externen Dienstleister erbracht wird. Er ermögliche das sichere Alarmmanagement über alle Übertragungsnetze. Die IP- und softwareplattformorientierte Konzeption des Systems sei für das Zusammenwirken mit unterschiedlich funktionalen Systemen in einer Leitstelle ausgelegt. Zu den wesentlichsten Funktionen gehörten sichere und überwachte Alarmübertragungen, flexible Meldungsverteilung, Schutz vor Meldungsflut, Integration und Separation von Meldungen, zentrale Überwachung und Administration aller Übertragungsgeräte. Rechtsanwältin Petra Menge beleuchtet in s+s report (Ausgabe 4-2013, S. 26–30) Haftungsprobleme von Betreibern und Kunden. Sie behandelt Aufschaltverträge, Interventionsverträge und Service/Provider-Verträge und ihre Inhalte und gibt folgende Tipps zur Haftungsprävention für NSL-Betreiber: Achten Sie auf ein vernünftiges Vertragsumfeld und richtige Versicherungen. Benutzen Sie zuverlässige Dienstleister, Provider und achten Sie dabei auf gültige Zertifikate. Achten Sie auf sorgfältige Dokumentation der Dienstleistungen. Achten Sie auf solvente Subunternehmer, die gut versichert sind. Bedenken Sie bei ausländischen Partnern, dass dort eventuell anderes Recht gilt. Machen Sie ausdrückliche Datenschutzverpflichtungserklärungen mit ihren Subunternehmern. Beziehen Sie technische Normen und Richtlinien als Mittel zur Risikobegrenzung, Haftungsminimierung und besseren Versicherbarkeit. ÖPV-Sicherheit Die Fachzeitschrift GIT befasst sich in ihrer Ausgabe 5-2013 (S. 22–24) mit der Videoüberwachung im ÖPV. Es gebe im Bereich des öffentlichen Nahverkehrs spezielle Anforderungen an die Kameras. Das betreffe beispielsweise die Zertifizierbarkeit und die langfristige Lieferverfügbarkeit. Der Präsident der Bundespolizei, Dieter Romann, fordere mehr Videoüberwachung auf Deutschlands Bahnhöfen, berichtet das Magazin Focus am 13. Mai. Er verweise angesichts der mitunter hitzig geführten Debatte um Videoüberwachung auf die Faktensammlung seines Hauses. Demnach seien von den 5.700 Bahnhöfen und Haltepunkten der Deutschen Bahn lediglich 141 Bahnhöfe mit Kameras ausgestattet, die Videobilder aufzeichnen und abspeichern können. Im Jahr 2012 sei die Bundespolizei rund 900 Straftätern nur per Videoaufzeichnung auf die Spur gekommen. Mit Hilfe von Kameras seien immerhin 500 Gewalttaten aufgeklärt worden. Jahrbuch der Unternehmenssicherheit 2013 Die Zahl der Gewaltdelikte in den Berliner UBahnen, Straßenbahnen, Bussen und Bahnhöfen ist 2012 im Vergleich zu den Vorjahren deutlich gesunken, meldet der Tagesspiegel am 4. April. 2012 seien insgesamt 3.183 Gewalttaten im ÖPV verübt worden. Das seien 714 weniger als 2011. Innensenator Henkel führe die sinkende Zahl der Gewaltdelikte einerseits auf den Ausbau der Videoüberwachung, andererseits auf die regelmäßige Polizeipräsenz im Nahverkehr zurück. Mittlerweise seien alle 1.238 U-Bahnen, gut die Hälfte der Straßenbahnen und mehr als 80 % der Busse mit Videokameras ausgestattet. Jens Wieseke vom Berliner Fahrgastverband IGEB wolle den Rückgang der Gewaltdelikte nicht überbewerten. Anstatt in weitere Kameras zu investieren, müsse das subjektive Sicherheitsgefühl der Fahrgäste gestärkt werden: etwa durch bessere Informationssysteme und mehr Personal auf den Bahnsteigen, besonders nach Einbruch der Dunkelheit. Eine flächendeckende Videoüberwachung im ÖPV in ganz Bayern fordert Innenminister Joachim Herrmann (Pressemitteilung des BayStMdI vom 3. April). Die Videoüberwachung trage dazu bei, die Bürger noch besser vor Kriminalität zu schützten und gleichzeitig ihr subjektives Sicherheitsgefühl zu stärken. Sie helfe, Sicherheitsstörungen und Straftaten zu verhüten, zu bekämpfen und aufzuklären. In München seien derzeit 18 S-Bahnhöfe mit 229 Kameras, 96 U-Bahnhöfe mit 1.265 Kameras, 238 S-Bahn-Zuggarnituren mit 3.808 Kameras, 108 U-Bahn-Zuggarnituren mit 432 Kameras, 58 Straßenbahnen mit 449 Kameras und 237 MVG-Busse mit 997 Kameras ausgestattet. Dennoch bleibe noch viel zu tun. Es sei nicht nachvollziehbar, warum etwa in Augsburg, Regensburg, Ingolstadt, Fürth und Erlangen keine Kameras an den Hauptbahnhöfen installiert seien. Und von den annähernd 1.200 Bussen, die in den bayerischen Großstädten im ÖPV unterwegs sind, werde nicht einmal ein Drittel videoüberwacht. Im Gegensatz dazu betrage die Überwachungsquote in den S-Bahnen von München nahezu 100 %. Uneinheitlich sei die Videoüberwachung von Straßenbahnund Bushaltestellen. Sie würden in den Ballungsräumen München und Nürnberg gar nicht überwacht. Eine ähnliche Bandbreite sei bei der Speicherung des Bildmaterials festzustellen. So erwarte Herrmann von der Bahn, dass eine Aufzeichnung in der Größenordnung von 72 Stunden stattfindet. In der Ausgabe 4-2013 der Zeitschrift DER NAHVERKEHR zeigt Wolfgang Peper, Securitas, welchen Einfluss gut ausgebildete Sicherheitsfachkräfte auf die Servicequalität von Verkehrsunternehmen ausüben (S. 60– 62). Kundenbefragungen hätten gezeigt, dass die Zufriedenheit mit der Sicherheit einen relevanten Einfluss auf die Zufriedenheit mit dem Angebot des Verkehrsunternehmens insgesamt hat. Dieselben Umfragen zeigten aber auch, dass eine zu massive Präsenz der Sicherheitskräfte von den meisten Fahrgästen als verstörend und eher Angst schürend bewertet wird. Um diese Ängste zu vermeiden, sei das serviceorientierte Auftreten des Personals elementar: sichtbar, ansprechbar, kompetent und dienstleistungsbereit. Für die steigende Anerkennung innerhalb der Verkehrsunternehmen sei eine umfassende betriebliche Ausbildung der Sicherheitsfachkräfte und die damit verbundene Entlastung des Betriebspersonals verantwortlich. Die Vernetzung von Betrieb und Security in einer gemeinsamen Einsatz- und Betriebszentrale gewährleiste im Störungsfall ein gemeinsames Lagebild und verkürze Kommunikationswege. Im Umgang mit Fahrgästen Handlungssicherheit herzustellen, sei eine zentrale Aufgabe der Aus- und Fortbildung. In München setze der Dienst in der U-Bahnwache auch eine betriebliche Ausbildung bei der Münchner Verkehrsgesellschaft voraus, an deren Ende die Prüfung zum Betriebsmeister bestanden werden muss. Für eine Kompetenz der Sicherheitsunternehmen in den Bereichen Beratung und Konzeption interessierten sich leider nur wenige Auftraggeber. Sie schrieben lediglich „Mannstunden“ aus. Die Vermutung, dass diese Auftraggeber der Qualität der Sicherheitsdienstleistung nur 179 180 Jahrbuch der Unternehmenssicherheit 2013 wenig Bedeutung beimessen, liege bedauerlicherweise nahe. Mindestlohn und Zertifizierung seien wichtige Meilensteine auf dem Weg zu mehr serviceorientierter Sicherheitsdienstleistung und einer höheren Kundenund Mitarbeiterzufriedenheit. Das Verkehrsbündnis Allianz pro Schiene, der Fahrgastverband Pro Bahn und der BDSW haben bei Forsa eine Studie zum Sicherheitsgefühl im öffentlichen Verkehr 2013 in Auftrag gegeben, deren Ergebnisse laut Mitteilung der Allianz vom 29. Mai jetzt vorgestellt wurden. Nach der Forsa-Umfrage hätten 91 % der befragten Nutzer angegeben, sich unabhängig vom Risiko eines Verkehrsunfalls in öffentlichen Verkehrsmitteln sicher zu führen. Während sich das Sicherheitsgefühl gegenüber 2012 in den Zügen auf hohem Niveau verbessert habe, zeichne die Forsa-Umfrage von der Lage an Bahnhöfen oder Haltestellen ein anderes Bild. Insgesamt 32 % der Reisenden fühlten sich dort 2013 unsicher (2012 waren es sogar 36 %). Das ängstliche Drittel unter den Reisenden sende mit dieser Umfrage einen Hilferuf an Politik und Unternehmen, sagte der Geschäftsführer der Allianz pro Schiene. Im Zweifelsfall gebe nämlich das Gefühl den Ausschlag, ob jemand den öffentlichen Verkehr nutzt oder eher meidet. Der Hauptgeschäftsführer des BDSW habe darauf hingewiesen, dass die zur Zeit öffentlich umstrittene Videotechnik von den Reisenden in den Zügen zwar sehr positiv bewertet werde, die Nutzer an den Bahnhöfen aber andere Prioritäten hätten. Laut Forsa votierten die Befragten am häufigsten für ansprechbares Sicherheitspersonal (91 %) oder uniformiertes Bahn- oder Buspersonal (84 %). Erst an dritter Stelle rangiere die Videoüberwachung (73 %). Im einzelnen gaben die Befragten als wichtig für das Sicherheitsgefühl in öffentlichen Verkehrsmitteln an: ansprechbares Personal in Dienstuniform (97 %), mitfahrendes Sicherheitspersonal (68 %), mitfahrende Polizeibeamte (27 %). Auf Bahnhöfen oder an Haltestellen: schnell erreichbares Sicherheitspersonal (91 %), ansprechbares Bahn- oder Buspersonal in Dienstuniform (84 %), Videoüberwachung (80 %), schnell erreichbare Polizeibeamte (76 %), geöffnete Geschäfte und Kioske (58 %). Das Sicherheitsgefühl in öffentlichen Verkehrsmitteln ist nach der Forsa-Umfrage auch in den einzelnen Bundesländern sehr unterschiedlich. So fühlten sich 2013 in öffentlichen Verkehrsmitteln weniger oder überhaupt nicht sicher: 16 % in Brandenburg, 15 % in Berlin und 13 % in Hamburg, andererseits nur 5 % in Niedersachsen und 4 % in Sachsen und Thüringen. Auf Bahnhöfen oder an Haltestellen ist das Unsicherheitsgefühl offensichtlich viel höher: Weniger oder überhaupt nicht sicher fühlten sich 2013 etwa in Sachsen 21 %, in Thüringen 22 %, aber zum Beispiel in NRW 38 %, im Saarland 42 % und in Brandenburg 44 % der Fahrgäste. Auf das Bündnis „Allianz pro Schiene“ geht auch der Sicherheitsdienst DSD in der Ausgabe 3-2013 (S. 28) ein. In einem ersten Schritt halte es das Bündnis für wünschenswert, einen einheitlichen „Bundesbericht Sicherheit im öffentlichen Verkehr“ durch die Sicherheitsbehörden erarbeiten zu lassen. Da es bislang bundesweit keine vollständige Zahlenbasis gebe. Reiner Bieck, EVG, habe die öffentliche Hand aufgefordert, in jedem Bundesland organisierte Dialoge mit allen Beteiligten aus dem Unterzeichner-Spektrum zu beginnen. Der gemeinsame Appell an die Politik werde getragen von allen drei bundesweit agierenden Fahrgastverbänden, den beiden Polizeigewerkschaften den Verkehrsverbünden Rhein-Main, Rhein-Ruhr und Stuttgart, von der Deutschen Bahn und ihren Wettbewerbern Veolia Verkehr GmbH und Keolis Deutschland GmbH & Co.KG sowie von der Allianz pro Schiene. Die EU versuche immer wieder, das Risiko von Busfahrten durch gesetzliche Vorgaben zu minimieren, berichtet SPIEGEL ONLINE am 30. Juli. Ab November 2013 müssten alle neu zugelassenen Busse zusätzlich mit einer Abstandskontrolle, einem Notbrems- und Spurhalteassistenten ausgerüstet sein, habe Johannes Hübner, Sicherheitsbeauftragter Jahrbuch der Unternehmenssicherheit 2013 des Internationalen Bustouristikverbandes, gesagt. Bei entsprechend ausgerüsteten Bussen überwachten Sensoren im Fahrzeug den vorausfahrenden Verkehr und anhand der Fahrbahnmarkierung die Position des Fahrzeugs auf der Straße. Registriert die Elektronik ein Verlassen der Spur oder die Gefahr einer Kollision, werde der Fahrer optisch und akustisch gewarnt. Der Notbremsassistent sei sogar in der Lage, das Fahrzeug selbständig abzubremsen. Hübner plädiere außerdem für den Einsatz von automatischen Feuerlöschsystemen. Doch bislang sei eine verpflichtende Einführung kein Thema. Online-Banking Nach einer Meldung von welt.de vom 21. August verzichtet fast ein Drittel der deutschen Verbraucher aus Sicherheitsgründen auf das Online-Banking, womöglich auch als Folge der NSA- Spähaffäre. 38 % der Verbraucher mit Internet-Zugang habe Angst vor Betrug beim Online-Banking. Der Bundesverband deutscher Banken habe auf die Veröffentlichung reagiert und erklärt, Online-Banking sei „sicher“. Verbrauchern empfehle der Verband, ihre Betriebssysteme und Virenprogramme immer auf dem aktuellen Stand zu halten. Zudem sollten Nutzer auf ihren Computern Firewalls installieren. Außerdem dürften sensible Daten wie Passwörter, PIN und TANs niemals auf der PC-Festplatte gespeichert werden. In der Februarausgabe des Behördenspiegel werden Ergebnisse der Studie „OnlineBanking – Mit Sicherheit!“ vorgestellt, die von der Initiative D21 und der Fiducia IT AG herausgegeben und von TNS Infratest durchgeführt wurde. Über 95 % der Internetnutzer Online-Banking legten großen Wert auf Sicherheit und Datenschutz. Dafür etwas tun oder bezahlen wollten aber immer weniger Menschen. Aktuell erwarteten 57 %, dass ihre Hausbank ihnen sichere Transaktionen kostenlos zur Verfügung stellt. Die Ängste, bei Bankgeschäften über das Internet betrogen zu werden, seien besonders stark bei Menschen ausgeprägt, die OnlineBanking nicht nutzen. Fast drei Viertel von ihnen misstrauten dem Weg in die „virtuelle Bankfiliale“. Dagegen fühlten sich 80 % der Online-Banker sicher. Gleichzeitig sicherten immer weniger Menschen ihren Computer. Nur noch 75 % der Online-Banker schützten ihren PC mit speziellen Programmen. 2008 seien es immerhin noch 84 % gewesen. 31 % der Nutzer verwendeten beim Online-Banking mobile TAN und 28 % Sm@rtTAN-plus. Wer ein Smartphone oder ein Tablet besitzt, nutze immer häufiger auch diese Geräte für seine Bankgeschäfte: 26 % der SmartphoneBesitzer und 37 % der Tablet-Besitzer. Die Studie steht unter www.initiatived21.de/ publikationen kostenlos zum Download zur Verfügung. Die Welt am Sonntag befasst sich am 3. November mit Angriffen auf das OnlineBanking. MobileTAN und chipTAN-Generator sollten es den Verbrechern unmöglich machen, an die Ziffernfolge zur Freischaltung einer Transaktion zu kommen. Die neuen Verfahren zeigten Wirkung: Zwischen 2011 und 2012 sei die Zahl der Phishing-Fälle von 6.422 auf 3.440 zurückgegangen. Aber die Kriminellen fänden immer wieder einen Weg. Verschiedene Methoden seien schon entdeckt worden. Die Täter infizierten beispielsweise zunächst via Internet den PC des Opfers. Loggt sich der Anwender das nächste Mal in sein Konto ein, werde ihm eine manipulierte Bankseite gezeigt. Der Kunde werde aufgefordert, eine bestimmte Software auf seinem Mobiltelefon zu installieren. Der entsprechende Link wird ihm dorthin geschickt – nachdem er auch noch seine Mobiltelefonnummer preisgegeben hat. Das BKA warne zudem vor einer Schadsoftware für AndroidSmartphones, durch die der Computer des Opfers nicht mehr infiziert werden müsse. Die Täter bieten sogenannte Apps im Internet 181 182 Jahrbuch der Unternehmenssicherheit 2013 an, mit denen sie die kompletten Onlinebanking-Zugangsdaten abgreifen können. Zur Installation der App, die im Gewand eines Banking-Programms daherkomme, werde nach Kontonummer und PIN gefragt. Ähnliche Tricks, die auch nur funktionieren, wenn die Kontoinhaber Daten preisgeben, kursieren für chipTAN-Generatoren. Mit neuen Verfahren wolle nun die Finanzindustrie den Abstand zu den Betrügern wieder vergrößern. Im Sparkassenbereich würden weitere Sicherungsverfahren pilotiert, die speziell für den Einsatz im mobilen Bereich vorgesehen sind. Welt am Sonntag benennt zwei weitere Verfahren: 1. photoTAN: Hierbei fotografiere der Kunde mit seinem Handy eine Grafik auf dem Computerbildschirm. Nach Entschlüsselung würden TAN und weitere Überweisungsdetails sichtbar. 2.HBCI/FinTS: Das Verfahren funktioniere mittels Kartenlesegerät und Chipkarte. Die persönlichen Daten würden mittels spezieller Software zusätzlich verschlüsselt. Der Kunde sei auf seinen heimischen Computer angewiesen, auf dem das entsprechende Programm installiert ist. Das Verfahren gelte als eines der sichersten, aber auch unkomfortabelsten. Das umstrittene Verschlüsselungsverfahren RC4 komme noch immer beim OnlineBanking namhafter deutscher Banken zum Einsatz, obwohl das BSI schon im Januar auf „bekannte kryptographische Schwächen“ hingewiesen habe, berichtet die FAZ am 21. November. RC4 sei allenfalls eine „Übergangslösung“ und solle „nach Möglichkeit nicht mehr verwendet“ werden, heiße es in einer Technischen Richtlinie des BSI. Vergangene Wochen habe auch Microsoft die klare Empfehlung an Systemadministratoren veröffentlicht, RC4 zu deaktivieren. Allerdings gebe es in der Sicherheitsgemeinde auch Stimmen, die den Einsatz derzeit noch verteidigen. Wer RC4 entschlüsseln kann, sei auch in der Lage, vollen Zugriff auf das Konto zu erlangen. Allerdings befänden sich die Banken in einer „Zwickmühle“, denn RC4 gelte derzeit noch als Schutz gegen sogenannte Beast-Attacken („Browser Exploit against SSL/TLS“), eine andere Sicherheitslücke. Alle aktuellen Browser seien gegen solche Angriffe geschützt, ältere Versionen und Betriebssysteme seien aber noch verwundbar. Den besten Schutz gegen Beast-Attacken böte allerdings ein Update des Verschlüsselungsprotokolls auf die neueste Version. Das Protokoll beschreibe den gesamten Vorgang einschließlich Schlüsselaustausch und Authentifikation der Daten. Organisierte Kriminalität Im Dezember 2013 veröffentlichte das Bundeskriminalamt (BKA) das Bundeslagebild 2012 zur Organisierten Kriminalität (OK) in Deutschland. Es wird hier auszugsweise und zusammengefasst wiedergegeben, soweit insbesondere die Erkenntnisse für die Unternehmenssicherheit von Bedeutung sind. Organisierte Kriminalität – Vorbemerkung OK ist besonders schwer zu bekämpfen, weil die einzelnen Gruppen zumeist über erhebliche finanzielle Mittel, ausgezeichnete Tarnungsmöglichkeiten und internationale Strukturen verfügen und arbeitsteilig vorgehen. Definiert wird OK als die von Gewinn- oder Machtstreben bestimmte planmäßige Begehung von Straftaten, die einzeln oder in ihrer Gesamtheit von erheblicher Bedeutung sind, wenn mehr als zwei Beteiligte auf längere oder unbestimmte Dauer arbeitsteilig zusammenwirken Jahrbuch der Unternehmenssicherheit 2013 -unter Verwendung gewerblicher oder geschäftsähnlicher Strukturen ( 2012: 518 Verfahren) - o der unter Einflussnahme auf Politik, Medien, öffentliche Verwaltung, Justiz oder Wirtschaft (2012: 148 Verfahren) . -unter Anwendung von Gewalt oder anderer zur Einschüchterung geeigneter Mittel (2012: 255 Verfahren) Organisierte Kriminalität – Allgemeiner Überblick 2012 waren 568 Verfahren der OK anhängig, davon 278 Erstmeldungen. Die 568 Verfahren richteten sich gegen 7.973 Tatverdächtige. 38,3 % waren deutsche Staatsangehörige, 12,8 % türkische, 6,2 % litauische Staatsangehörige. Der 2012 ermittelte Schaden belief sich auf 1,1 Milliarden Euro (ein Anstieg gegenüber 2011 um 24 %), der festgestellte kriminelle Gewinn auf 580 Millionen Euro (ein Anstieg gegenüber 2011 um 67 %). Davon wurden (nur) 52 Millionen Euro vorläufig gesichert. Hauptaktivitätsfelder der OK bildeten 2012 der Rauschgifthandel- und -schmuggel (37 %), Krimi-nalität im Zusammenhang mit dem Wirtschaftsleben (13,2 %) und Eigentumskriminalität (13,2 %). Stärker als im Vorjahr war vor allem die organisierte Steuerund Zollkriminalität ausgeprägt. 84 % der Verfahren waren geprägt von internationaler Tatbegehung. Bei 35,4 % der Verfahren konnten Geldwäscheaktivitäten festgestellt werden. Die Anzahl der Tatverdächtigen pro Gruppe lag im Durchschnitt bei 14 Personen. Nur in 3,3 % der Verfahren wurde eine OKGruppierung mit mehr als 50 Tatverdächtigen ermittelt. Der Organisations- und Professionalisierungsgrad der einzelnen OK-Gruppierungen wird mit dem so genannten OK-Potenzial ausgedrückt, das sich aus der Anzahl und Gewichtung der jeweils zutreffenden Indikatoren zur Erkennung OK-relevanter Sachverhalte (Bewertung im wesentlichen nach Tatplanung, Tatausführung und Beuteverwertung) ergibt. Bei der Feststellung der Indikatoren spielen die Ermittlungsdauer und der Ressourcenansatz eine entscheidende Rolle. Das durchschnittliche OK-Potenzial aller Gruppierungen lag 2012 mit 42,7 Punkten in etwa auf dem Niveau der Vorjahre. Nach wie vor stellen Gruppen mit mittlerem OK-Potenzial den mit Abstand größten Anteil. 31 % der Gruppierungen wiesen ein OK-Potenzial von über 60 Punkten, 4 % von über 80 Punkten auf. Organisierte Kriminalität – OK im Zusammenhang mit dem Wirtschaftsleben Die OK i. Z. m. dem Wirtschaftsleben nimmt den zweiten Rang mit 13,2 % ein. 35 Tätergruppen waren an ihr beteiligt. Das OK-Potenzial dieser Gruppen wurde mit 44,4 Punkten bewertet. Im Berichtsjahr wurden in diesem Kriminalitätsbereich Schä- den von ca. 427 Millionen Euro verursacht. Dies entsprach ca. 38 % der festgestellten Schadenssumme aller OK-Verfahren. Von den kriminellen Erträgen (ca. 239 Millionen Euro) konnten lediglich 7,2 Millionen Euro vorläufig gesichert werden. Der Anteil deutsch domi- 183 184 Jahrbuch der Unternehmenssicherheit 2013 nierter Gruppen lag bei 62,7 %, der türkisch dominierter Gruppen bei 8 %. Bei einer internationalen Sicherheitskonferenz am 7. und 8. Januar in Italien äußerte sich der Präsident des BKA, Jörg Ziercke zur Bekämpfung der Mafia in Deutschland: „Ein Mafia-Problem in Italien ist auch ein Problem in Deutschland. Dass hier ein Rückzugs-, Ruhe, Investitions- und auch Aktionsraum ist, haben uns zuletzt die sechs Morde in Duisburg im Jahr 2007 nachdrücklich vor Augen geführt.“ Seit Mitte der Neunzigerjahre seien in Deutschland rund 270 mutmaßliche Mafia-Mitglieder festgenommen worden. In den Jahren 2007 bis 2011 seien vierzehn Ermittlungsverfahren gegen Mitglieder der italienischen Organisierten Kriminalität geführt worden – davon zwölf gegen `Ndrangheta, zwei gegen Camorra), 44 weitere Ermittlungsverfahren hätten enge Bezüge zur italienischen Mafiakriminalität aufgewiesen. Allein 2011 sei durch diese Formen der Kriminalität ein Schaden in Höhe von etwa 2,9 Millionen Euro verursacht worden. Im Kampf gegen Organisierte Kriminalität komme der deutsch-italienischen Kooperation herausragende Bedeutung zu. Durch die Einrichtung der deutsch-italienischen Task Force (DITF) zur Bekämpfung der italienischen Mafia in Deutschland 2007 sei bereits viel erreicht worden. Zur Aufspürung illegaler Mafiavermögen in Italien und Deutschland bestehe innerhalb der DITF eine gemeinsame Arbeitsgruppe. Unangetastete Ruheräume der Mafia in Deutschland würden zu einer Sogwirkung des illegal erlangten Vermögens nach Deutschland führen. Erforderlich sei eine auf EU-Ebene harmonisierte Rechtsgrundlage, die eine einheitliche Bekämpfung der italienischen OK nach Art der Mafia in allen Mitgliedstaaten ermöglicht. Rumänische Tätergruppen treten nach den Erkenntnissen des BKA in verschiedenen Deliktsbereichen in Erscheinung, vor allem im Menschenhandel, der Eigentums- und Zahlungskartenkriminalität. Die Bundespolizei ermittle seit 2007 im Zusammenhang mit einer Aufbruchsserie von Güterwagen gegen eine rumänische Tätergruppe, die bereits in 25 Fällen Zigaretten im Gesamtwert von rund 3,6 Millionen Euro aus Güterzügen auf einer Strecke zwischen den Niederlanden und Italien entwendet habe. Nach der Festnahme eines Großteils der Tatverdächtigen sei am 26. November erneut ein Diebstahl und am 19. Dezember ein versuchter Diebstahl festgestellt worden. Einzelne Täter bestiegen den Zug bei günstiger Gelegenheit und bereiteten die auf Paletten verschweißten Zigaretten zum Abwurf vor. Zum Öffnen des Verschlussbolzens und eines Metallsiegelstiftes an der Waggontür benutzten die Täter einen Winkelschleifer. Bei betriebsbedingten Langsamfahrten würden die Zigaretten aus dem Zug geworfen, von weiteren Tätern in Kleintransportern verladen und in Italien an unbekannte Abnehmer verkauft. Laut FAZ vom 4. April haben die italienischen Mafiajäger aus Palermo bekanntgegeben, dass Mafiavermögen von 1,3 Milliarden Euro endgültig konfisziert worden sei. Dazu gehörten 43 Gesellschaften und Beteiligungen, 98 Immobilien und Grundstücke, sieben Fahrzeuge und Boote sowie 66 Bankkonten und Versicherungspolicen. Größter Vermögensbestandteil seien Windparks in der Provinz Trapani im Westen von Sizilien. Die Mafiajäger in Italien verfolgten seit Jahren die Strategie, das Organisierte Verbrechen durch Beschlagnahme und Einziehen ihres Vermögens zu treffen, weil damit die Organisation Macht, Prestige und die Mittel für den laufenden Betrieb, auch für Rechtsanwälte oder die Familien von einsitzenden Mafiosi, verlieren. Sobald in Italien eine Person unter dem Verdacht steht, zu einer mafiösen Vereinigung zu gehören, könne ihr Vermögen beschlagnahmt werden. Bei einer Verurteilung kehre sich grundsätzlich die Beweislast um, und der Beschuldigte müsse nachweisen, dass er das Vermögen rechtmäßig erworben hat. Das organisierte Verbrechen ist ein Megageschäft in Ostasien, titelt die FAZ am 19. April. Der illegale Handel, betrieben durch Jahrbuch der Unternehmenssicherheit 2013 organisierte Verbrecherbanden, erreiche in Asien-Pazifik enorme Summen: Auf ein jährliches Volumen von 90 Milliarden Dollar schätzten die UN das Geschäft mit dem Handel mit Menschen, gefälschten Medikamenten, illegal geschlagenem Tropenholz oder Drogen. Das Volumen, das die Verbrecher bewegen, sei so groß, dass es ganze Gesellschaftssysteme rund um die Erde destabilisieren könne. Mit einem Anteil von gut 24 Milliarden Dollar bilde der Handel gefälschter Produkte – von Handtaschen bis zu Ersatzteilen für Automobile – den Löwenanteil. Das schlimmste Täterland sei hier China. 75 % aller gefälschten Produkte stammten aus Ostasien, insbesondere aus der Volksrepublik. An zweiter Stelle folge der Handel mit illegal geschlagenem Holz (17 Milliarden Dollar), dann der mit Heroin (16 Milliarden Dollar). Die Schlüsselfiguren im Geschäft mit Fälschungen seien die Vermittler und die Logistiker, die Angebot und Nachfrage zusammenbringen. Wie der Behörden Spiegel in seiner Mai-Ausgabe berichtet, hat Europol die Bedrohungslage Europas durch Gruppierungen schwerer und organisierter Kriminalität (OK) dargelegt. Hierbei seien etwa 3.600 OK-Gruppierungen als aktiv in Europa tätig identifiziert worden. Die OK sei zunehmend nicht mehr durch die Nationalität oder durch Spezialisierungen auf bestimmte Deliktsbereiche zu definieren, sondern im Gegenteil über ihre Fähigkeit, auf internationaler Basis zu operieren. Der Fokus dieser Operationen läge grundsätzlich auf dem Prinzip von maximalem Profit bei minimalem Risiko. Die neuen Möglichkeiten des Netzes und die Wirtschaftskrise hätten zu einem Umdenken bei den Kriminellen geführt. So gebe es eine verstärkte Aktivität der OK-Gruppierungen in den Bereichen Warenfälschung, illegaler Handel mit Arzneimitteln, illegaler Handel mit Sicherheitsprodukten, Fälschung von alltäglichen Produkten und Fälschung von Nahrungsmitteln. Über die Hälfte aller OK-Gruppierungen in der EU seien in Drogenhandel und Geldfälschung verstrickt. Illegale Migration und Waffenhandel ständen oftmals mit der Drogenkriminalität in Verbindung. Über 40 % der in der EU aktiven Gruppierungen wiesen heute eine Netzwerk-Struktur auf. Die Veränderung der OK-Gruppen führe ebenso zu veränderten Modi Operandi. Die Gruppen verfügten über eine größere Mobilität und könnten parallele Operationen in den Mitgliedstaaten der EU durchführen. Zudem spezialisierten sie sich zunehmend auf multiple Formen der Kriminalität und würden in ihren eigenen Strukturen stärker international agieren. Nach einem Bericht von EUROPOL haben finnische Strafverfolgungsbehörden in enger Zusammenarbeit mit dem European Cybercrime Centre (EC3) bei Europol eine asiatische kriminelle Bande aufgedeckt, die für illegale Internet-Transaktionen und den Verkauf von Flugtickets verantwortlich sei. Als Ergebnis der erfolgreichen Operation seien zwei Mitglieder der Gang, die unter falschen Dokumenten reisten, am Flughafen Helsinki verhaftet worden. Auf den sichergestellten Computern seien 15.000 kompromittierte Kreditkarten-Nummern gefunden worden. Die kriminelle Bande habe Kreditkartendetails missbraucht, die sie von Karteninhabern weltweit gestohlen hatte. Allein in Europa sei Karteninhabern und Banken ein Schaden von mehr als 70.000 Euro entstanden. Es gebe Beweise für weitere kriminelle Aktivitäten, großangelegte internationale Betrügereien und illegale Immigration. Koordinierte Ermittlungsmaßnahmen auf EU-Ebene, internationale Einsatzbesprechungen, forensische Überprüfung sichergestellter elektronischer Nachweise und die wertvolle Unterstützung der Finanzwirtschaft seien der Schlüssel zu dem erfolgreichen Abschluss dieser Ermittlungen. 185 186 Jahrbuch der Unternehmenssicherheit 2013 Perimeterschutz Wie Stefan Brose, VdS, in der Ausgabe 6-2012 der Fachzeitschrift WiK (S. 70–72) berichtet, werden im neuen „Sicherungsleitfaden Perimeter (VdS 3143)“ unter anderem die speziellen Eigenschaften von über einem Dutzend elektronischer Überwachungsanlagen sowie verschiedene bauliche und mechanische Sicherungsmaßnahmen erklärt. Enthalten seien zudem Beispielkonzepte sowie Regelungen zu Anlagendokumentation, Planung Betrieb und Instandhaltung. Im Bereich des Perimeterschutzes gebe es eine unerschöpfliche Vielfalt an Produkten und Lösungen. Der korrekten Melderauswahl komme eine entscheidende Bedeutung zu. Anders als bei der Einbruchmeldetechnik gebe es bei den Sensoren zur Perimeterdetektion eine Vielzahl an Einstellmöglichkeiten. Die Kombination verschiedener Detektionssysteme generiere einen Mehrwert, der über die Summe der Einzelleistungen hinausgeht. Werde Perimeteralarm mit dem Bewegungsmelder im Gebäude kombiniert, so lasse die Erkenntnis, dass der Einbruchalarm dem Perimeteralarm in zeitlicher Nähe folgt, den Schluss zu, dass es sich mit hoher Wahrscheinlichkeit um einen „echten“ Alarm handelt (vgl. auch den Beitrag von Stefan Brose in s+s report). Wolfgang Wüst, BSG-Wüst GmbH, befasst sich in der Fachzeitschrift s+s report (Ausgabe 4-2012, S. 28–30) mit der Wirtschaftlichkeit des Perimeterschutzes. Der fordere eine Abwägung zwischen Detektionswahrscheinlichkeit und Falschalarmrate, technischem Aufwand und organisatorischen Einschränkungen. Selektive technische Detektion erkenne typische Bewegungsmuster. Als ganz hervorragend habe sich ein Netz aus Langstrecken-Infrarotbewegungsmeldern erwiesen, die, intelligent verknüpft, in Mehrmelder-Abhängigkeit Alarme generieren. Die Kunst bestehe darin, die Sensoren in solcher Weise zu verknüpfen, dass erst deren Auslösung in einer erwarteten Folge einen Alarm auslöst. Wichtig sei, alle Übertragungs- wege und die Sensorik auf Manipulationen hin permanent zu überwachen. Dies gelinge heute sogar bei verschlüsselter Funkübertragung im Freigelände mit großem Erfolg. Detektionswahrscheinlichkeiten von über 90 % seien wirtschaftlich erreichbar, und die Zahl von Falschalarmen, die der Polizei zur Intervention übergeben werden, sinke auf unter 5 %. Roger Zobel, Siemens AG, befasst sich in dieser Ausgabe von s+s report mit intelligenten Systemen für den Außenbereich. Ein Sektorenkonzept (Sektor 0: außerhalb der Perimetergrenze; Sektor 1: Perimetergrenze; Sektor 2: Innenfläche; Sektor 3: zu schützende Objekte im Innenbereich) erlaube eine flexible Anpassung. Mit diesem Konzept könne auch eine intelligente, sensorunabhängige Alarmsteuerung auf der Ebene des Alarmmanagementsystems erzielt werden (S. 37/38). Dipl.-Wirtschaftsjurist (FH) Sebastian Brose weist in s+s report (Ausgabe 2-2013) darauf hin, dass mit der Richtlinie VdS 3456 zum ersten Mal Richtlinien für Perimetermelder veröffentlicht werden (S. 44–46). Sie gelten in Verbindung mit den Richtlinien für EMA, Allgemeine Anforderungen Prüfmethoden, VdS 2227, und den Richtlinien für EMA, Anforderungen und Prüfmethoden, VdS 2110. Sie könnten ab sofort angewendet werden und würden zukünftig ergänzt durch die Richtlinien für Anlageteile zur videobasierten Perimeterüberwachung, VdS 3463, und Richtlinien für Perimeterüberwachungsanlagen, Planung und Einbau, VdS 3146. Peter Niggl, Security insight, stellt in Ausgabe 5-2013 (S. 52/53) ein „intelligentes“ Zaunsystem mit Sensorik vor, das Eindringlinge detektiert. Die Sicherheitstechnik sei unsichtbar. Eine gebe keine auffällige Infrastruktur. Bestandszäune ließen sich kostengünstig nachrüsten. Das modular aufgebaute Detektionssystem bestehe aus einem zurücksetzbaren Kippausleger sowie einem 3D-Beschleu- Jahrbuch der Unternehmenssicherheit 2013 nigungssensor der Firma Sysco. In den Zaunpfosten lägen die Nervenstränge des Systems. Die Sensoren registrierten nicht nur Körperschall, sondern auch Erschütterung, Neigung und andere Besonderheiten. Jeder Sensor habe eine Adresse, die im Managementsystem sofort die Alarmauslösung exakt lokalisiere. Auch in Ausgabe 6 dieser Zeitschrift (S. 48/49) wird intelligenter Perimeterschutz thematisiert. Entscheidend sei und bleibe der eine „Schritt voraus“ bei der Meldung eines Ereignisses. Die Meldung erfolge bereits, bevor Unbefugte die Chance haben, in ein Gebäude einzudringen. Kombiniert mit einer effizienten Gebäudesicherung entstehe so ein wertvolles Zeitfenster, um eine Tat zu verhindern, statt sie nur zu protokollieren. Einen entscheidenden Vorteil böten Schnelllauftore: Sie vereinten Eigenschaften von Schranken und Schiebetoren, seien ausreichend schnell, um nach jedem Fahrzeug zu schließen, und böten Schutz vor unberechtigtem Betreten. Generell gelte: Höchste Sicherheit schafft nur die Überwachung jeder Toröffnung. Personenschutz Daniel Schrader, Sicherheitsakademie Berlin, beschreibt in der Fachzeitschrift Security insight (Ausgabe 6-2012, S. 27/28) Kriterien für eine erfolgreiche Entwaffnung von Angreifern mit Kurzwaffen. Vorbereitet auf eine solche Situation sei man, wenn man sich bewusst gemacht hat, dass die Waffe auf verschiedene Distanzen mit schnellen Richtungswechseln erhebliche Verletzung anrichten kann, und dass es zur Abwehr einer „Arbeitsdistanz“ bedarf, die die Armlänge des Verteidigers als Maß hat. Vorbereitet sei man, wenn man die Gefährlichkeit einer Situation erkennt sowie sie „im Geiste“ durchspielt. Zwingende Kriterien für einen Handlungserfolg seien: GmbH, in der Fachzeitschrift Security insight (Ausgabe 1-2013, S. 42/43). Als sinnvolle Maßnahmebereiche benennt er: - Entwaffnung nur in Nahdistanz -Corporate Cyber-Sonar: getaktete Auswertungen und Alerts. Dabei kämen computerlinguistische und semantische Methoden zum Einsatz, um aus dem „großen Rauschen“ sicherheitsrelevante Beiträge zu filtern. Durch das Aufdecken von schwachen Signalen werde das Unternehmen frühzeitig gewarnt. - Ablenkung des Angreifers nutzen -im richtigen Moment überraschend, schnell und aggressiv handeln - S chussrichtung der Waffe einkalkulieren und kontrollieren - S ituation kontrollieren (Waffe und/oder Gegner). Personenschutz auch im digitalen Raum empfiehlt Prof. Dr. Martin Grothe, complexium -C-Level Cyber Checkup: Personenschützer müssen den aktuellen Status ihrer Schutzpersonen im Social Web kennen. Sie sollten wissen, welches Profil Dritte aus dem digitalen Raum aufbauen können. -C-Level Social Media Guideline: Mit einigen Verhaltensempfehlungen für die Schutzperson und ihre Familienangehörigen lassen sich Fehler im Umgang mit sozialen Netzwerken vermeiden. Personenschutz für „Vermögende“ ist das Thema von Wolfgang Kirner, Corporate Trust Business Risk & Crisis Management GmbH in der Ausgabe 6-2013 der Fachzeitschrift WiK (S. 22–24). Der moderne Personenschützer habe nichts mit den Klischees 187 188 Jahrbuch der Unternehmenssicherheit 2013 aus Hollywood-Filmen zu tun. Anstatt dem Auftraggeber auf Schritt und Tritt zu folgen, würden in der Regel abgesetzte Vorausklärungsmaßnahmen mit hohem Technikeinsatz durchgeführt. Damit die Bedrohung nicht zur Realität wird, sollten Schwachstellenanalysen über die Wohn- und Arbeitsobjekte vorliegen, Hausangestellte überprüft und sensibilisiert sowie ein präventives Krisenmanagement aufgebaut sein. Und für den Worst Case sollte eine Kidnapp & Ransom-Versicherung bestehen. Piraterie Nachfolgend werden Informationen aus dem Lagebild Seesicherheit des Bundeskriminalamtes (Stand: April 2012) wiedergege- ben, die von besonderem Interesse für die Sicherheit deutscher Unternehmen und ihrer Beschäftigten sein können. Piraterie – Gefährdungshinweise des BMI Das BMI hat die Gewässer vor dem NigerDelta im Golf von Guinea und im Golf von Aden/Seegebiet vor Somalia-Ostafrika/Indischer Ozean mit der Gefahrenstufe 2 belegt und Gefährdungshinweise für die Küstengewässer und Häfen von Somalia, Dschibuti und Kenia, für die Straße von Mosambik, für die Gewässer vor Brasilien, das Seegebiet vor der Küste Venezuelas und vor dem Libanon, für die Straße von Hormuz und das Seegebiet von Indonesien veröffentlicht. Über den Internetauftritt des Bundesamtes für Seeschifffahrt und Hydrographie (BSH) bzw. über die Veröffentlichung der Nachrichten für Seefahrer können diese Sicherheitshinweise im Einzelnen nachgelesen werden. Piraterie – Gefährdung des Seeverkehrs durch Piraterie Piraterie ist ein weltweites Phänomen. Im Fokus der internationalen Betrachtung dieser Kriminalitätsform steht seit geraumer Zeit die Bedrohung der internationalen Seeschifffahrt durch die von Somalia am Horn von Afrika ausgehenden Piratenattacken. Aufgrund des Einsatzes von Mutterschiffen hat sich das hiervon betroffene Seegebiet bereits seit 2010 über das Somalia-Becken und den Golf von Aden in das Arabische Meer und darüber hinaus weit in den Indischen Ozean bis an die indischen Hoheitsgewässer im Osten und bis in die Straße von Madagaskar sowie an die Seychellen-Inselgruppe im Süden ausgeweitet. Längst handelt es sich bei den Piratengruppierungen um hierarchisch organisierte kriminelle Vereinigungen. Eine Gefährdung ist nach wie vor im Golf von Guinea, an der Westküste des afrikani- schen Kontinents, zu konstatieren. Weitere von Piraterie betroffene Gebiete sind in den asiatischen Gewässern sowie in einigen Küstenregionen Lateinamerikas und der Karibik zu sehen. Wenngleich die Ursachen und Hintergründe jeweils differenziert zu betrachten sind, so ist das Ausmaß der Piratenattacken in vielen Fällen gleich. Mit Waffen ausgerüstete Piraten entern langsam fahrende oder auf Reede liegende Schiffe, plündern und rauben Ausrüstung und Wertgegenstände, um dann das Schiff wieder zu verlassen. Kurzzeitige Entführungen sind ebenfalls möglich. Angriffe auf Schiffe der internationalen Handelsflotte außerhalb der Seegebiete am Horn von Afrika sowie im Golf von Guinea sind im Berichtszeitraum nicht bekannt geworden. Jahrbuch der Unternehmenssicherheit 2013 Die Bundespolizei hat am 1. Februar 2010 ein Piraterie-Präventionszentrum (PPZ) eingerichtet und verfolgt in Abstimmung mit anderen nationalen Partnern das Ziel, Präventionsmaßnahmen verschiedener Behörden zu koordinieren und deutschen Reedereien sowie Freizeitschiffern einen zentralen Ansprechpartner für Pirateriefragen zur Verfügung zu stellen. Deutsche Reeder werden auf Wunsch bei der Planung von Reisen durch gefährdete Seegebiete durch das PPZ unterstützt, um sich z. B. auch durch technische Maßnahmen zu schützen. 2011 sind mit 505 festgestellten Piraterievorfällen die Fallzahlen im Vergleich zum Vorjahr (500) nochmals leicht angestiegen. Die Anzahl der registrierten Entführungen/ Kaperungen ist jedoch mit 90 gegenüber 95 im Jahr zuvor zurückgegangen. Am Horn von Afrika sind Piraterievorkommnisse, die ihren Ursprung in Somalia haben, 2011 mit 253 registrierten Vorfällen wieder angestiegen (um 9,5 %). Davon entwickelten sich 59 Fälle zu Schiffsentführungen, die sich in 26 Kaperungen von Schiffen der internationalen Seefahrt zum vorwiegenden Zweck der Lösegelderpressung sowie in 33 Entführungen von kleineren Fahrzeugen der überwiegend lokalen Schifffahrt aufteilen. Im Vergleich zum Vorjahr ist die Anzahl der Entführungen von Handelsschiffen erheblich zurückgegangen. Seit Juni 2011 ist insgesamt eine rückläufige Tendenz erkennbar. Insbesondere das verstärkte Vorgehen der internationalen Marineeinheiten gegen die Mutterschiffe, aber auch zusätzliche Sicherheitsmaßnahmen der betroffenen Reedereien, führten Mitte des Jahres zu einer signifikanten Wende. Wurden in den ersten 6 Monaten noch 175 Piratenattacken gezählt, so kam es in der zweiten Jahreshälfte lediglich zu 80 Vorfällen. Die bisherige Entwicklung 2012 zeigt, dass die Piratenaktivitäten sich weiterhin auf dem Ende 2011 konstatierten Niveau bewegen. Die internationale Seeschifffahrt ist zunehmend gegen die Übergriffe der Piraten gewappnet. Die Anwendung der Best Management Practices sowie die Einrichtung eines Schutzraumes stellen massive Hindernisse für kaperwillige somalische Piraten dar. In vielen dokumentierten Fällen konnten durch diese konkreten Gegenmaßnahmen Entführungen von Schiffen sowie die Geiselnahme von Besatzungsmitgliedern verhindert werden. Der Rückgang von erfolgreichen Kaperungen ist nicht zuletzt darauf zurückzuführen, dass die Eigner und Reeder vermehrt bewaffnete Sicherheitskräfte an Bord ihrer Schiffe einsetzen. Der Golf von Guinea ist nach wie vor ein Krisenherd. Der im Vergleich zu den Vorjahren festgestellte Wiederanstieg der Fallzahlen von 51 auf 75 ist alarmierend. Ausgangspunkt ist nach wie vor Nigeria. Zum einen gibt es eine armutsbedingte Piraterie, zum anderen verüben seit Jahren die NigerdeltaRebellen – im wesentlichen die Movement for the emancipation of the Niger Delta (MEND) – Überfälle auf Ölplattformen und deren Serviceschiffe. Insgesamt brachten Piraten 2011 13 Mal Schiffe in ihren Besitz. Eine steigende Tendenz ist erkennbar. Im Golf von Guinea besteht grundsätzlich für Schiffe aller Art und Nationalität die Gefahr, Opfer eines Piratenüberfalls zu werden. Das größte Risiko besteht allerdings für Öltanker. In den Seegebieten in Südostasien liegen die Fallzahlen (121 Vorfälle) ebenfalls auf relativ hohem Niveau. Betroffen ist in den meisten Fällen nur die lokale Schifffahrt. Frachtschiffe und Tanker sind am häufigsten von Piraterieüberfällen betroffen. 189 190 Jahrbuch der Unternehmenssicherheit 2013 Piraterie – Gefährdung der Seeschifffahrt durch islamistischen Terrorismus Aus Sicht islamistischer Täter dürfte der Seeverkehr ein lohnendes Anschlagsziel darstellen, da entsprechende Anschläge eine hohe Medienwirksamkeit erzeugen und darüber hinaus auch hohe Opferzahlen sowie Auswirkungen auf die Umwelt und auf die Wirtschaft mit sich bringen könnten. Insbesondere in den Gewässern um die Arabische Halbinsel ist in diesem Kontext von einer erhöhten abstrakten Gefährdung auszugehen. Mithin ist eine Gefährdung der in den weltweiten Gewässern fahrenden deutschen Handelsflotte sowie der Kritischen Infrastrukturen in deutschen Hafenanlagen gegeben. Berthold Stoppelkamp, BDSW, erläutert in DSD, Ausgabe 2-2013, S. 20/21, das Zulassungsverfahren für Sicherheitsunternehmen zum Einsatz auf deutschen Seeschiffen zur Abwehr von Piraterieangriffen. Antragstellende Sicherheitsunternehmen müssten im Rahmen des Zulassungsverfahrens dem BAFA darlegen, dass sie bestimmte Anforderungen an die betriebliche Organisation und Verfahrensabläufe erfüllen. Sie müssten zudem sicherstellen, dass nur geeignetes und zuverlässiges Personal eingesetzt wird. Durch den verstärkten Einsatz von privaten Sicherheitsdiensten auf Seeschiffen hätten sich im ersten Quartal 2013 die Piratenangriffe gegenüber dem Vorjahr weltweit erheblich reduziert (von 102 auf 60). Darunter sei kein Schiff unter deutscher Flagge gewesen. Der BDSW fordere die deutschen Reeder auf, beim Schutz ihrer Schiffe zukünftig verstärkt qualifizierte deutsche Sicherheitsunternehmen einzusetzen. Mit dem Zulassungsverfahren sei juristisches „Neuland“ betreten worden. Rechtsanwalt Michael Karschau befasst sich in der Ausgabe 2-2013 von W&S (S. 16/17) mit offenen Fragen im Verfahren der Zulassung von Sicherheitsunternehmen zur Pirateriebekämpfung. Nach einer Studie von Pricewaterhousecoopers 2012 setzen bis zu 80 % der deutschen Schiffseigner bewaffnete Sicherheitskräfte für den Transit ein. Ab Dezember 2013 müssten Sicherheitsunternehmen für den Einsatz zur Piraterieabwehr über eine vom BAFA erteilte Zulassung verfügen. Das Zulassungsverfahren werde jedes Unternehmen zwischen 8.000 und 16.000 Euro kosten. Die Zulassungsvoraussetzungen seien immer noch unklar: Müssen die Sicherheitskräfte beispielsweise deutsch sprechen können? Ungelöst sei vor allem der Einsatz von Subunternehmern. Offen seien auch Fragen des Waffenrechts. Der Behörden Spiegel weist am 8. Mai auf zwei vom Bundeskabinett beschlossene Verordnungen hin, die die Zulassung von bewaffneten privaten Sicherheitsdiensten zur Abwehr von Piraten auf deutschflaggigen Seeschiffen regeln. Sie machten den Weg frei für den Einsatz offiziell zugelassener privater Sicherheitsunternehmen auf deutschen Seeschiffen. Mit einem geordneten Zulassungsverfahren werde Rechtssicherheit für die Reeder garantiert. Die Verordnungen konkretisierten ein am 4. März in Kraft getretenes Gesetz, mit dem die gewerbe- und waffenrechtlichen Rahmenbedingungen für private bewaffnete Sicherheitsdienste auf hoher See geschaffen wurden. Der BDSW fordere nun die deutschen Reeder auf, beim Schutz ihrer Schiffe qualifizierte deutsche Sicherheitsunternehmen mit dieser schwierigen und verantwortungsvollen Aufgabe zu betrauen. Es müsse eine ausreichende Zahl von Unternehmen in Deutschland zugelassen werden. Im Golf von Guinea haben Piraten das deutsche Frachtschiff „Hansa Marburg“ überfallen und vier Seeleute als Geiseln genommen, meldet die FAZ am 27. April. Der Piratenangriff sei 130 Seemeilen süd- Jahrbuch der Unternehmenssicherheit 2013 westlich von Malabo, der Hauptstadt von Äquatorialguinea, erfolgt. Die Piraten hätten die vier Seeleute aus Russland, der Ukraine und Kiribati offenbar entführt, um von der Reederei Leonhardt & Blumberg Lösegeld zu erpressen. Die übrigen Besatzungsmitglieder hätten die Reise mit der „Hansa Marburg“, die unter liberianischer Flagge fährt, in Richtung Senegal fortgesetzt. Piratenüberfälle vor der westafrikanischen Küste nähmen zu. In der Vergangenheit seien dort aber zumeist keine Geiseln genommen worden. Die Zahl der Entführungen an der ostafrikanischen Küste habe stark abgenommen, weil inzwischen fast alle Frachter bewaffnete Sicherheitskräfte an Bord haben. Außerdem habe die internationale Marine ihre Präsenz stark erhöht. Vor der Küste Westafrikas gebe es hingegen kaum eine funktionierende Küstenwache. Im Jahre 2012 habe es im Golf von Guinea mehr als 50 Überfälle auf Schiffe gegeben. In der Fachzeitschrift WiK, Ausgabe 4-2013 (S. 32–34) wird das Piraterie-PräventionsZentrum (PPZ) in Neustadt/Holstein vorgestellt. Schwerpunkt sei die Piraterie-Prävention, und hier insbesondere die Beratung der Reedereien und die Beratung und Schulung der Crews. Zuständig sei die Bundespolizei für Schiffe, die unter deutscher Flagge fahren und über deutsche Besatzungen verfügen, Schiffe mit einer deutschen Crew, die ausgeflaggt wurden, und Schiffe deutscher Reeder. Basis der Piraterieprävention seien zwei Aspekte: möglichst frühzeitige Information über konkret absehbare Gefährdungen und Ertüchtigung des Schiffs, um den Widerstandszeitwert und die Schutzmöglichkeiten für die Besatzung möglichst so zu erhöhen, dass militärische Hilfe eingreifen kann, bevor das Schiff geentert wird. Zur Ganzheitlichkeit der Trainingsmaßnahmen trage bei, dass neben der Bundespolizei und der Bundesmarine auch Polizeipsychgologen, Nautiker, Kriminalisten und Analysten beteiligt würden, außerdem Ingenieure, die an technischen Sicherheitslösungen ausbilden. Ein weiterer wichtiger Teil der Dienststelle sei die Maritime Ermittlungs- und Fahndungseinheit. Im Golf von Guinea könnten private Sicherheitsdienste nicht eingesetzt werden, da Nigeria dies nicht zuließe. Als technische Abwehrmaßnahmen gegen Enterversuche empfehle das PPZ spezielle Wasserkanonen, NATO-Drahtrollen oder Abwehrgitter, die in den gefährdeten Gebieten ausgeklappt werden. In einem Kommentar zum Zulassungsverfahren für Sicherheitsunternehmen wird darauf hingewiesen, dass bei der Prüfung der Zulassung auch die fachliche Geeignetheit des Einsatzpersonals durch die betroffenen Unternehmen darzustellen sei. Dafür sei eine spezielle Zusatzausbildung erforderlich, die mit einer entsprechenden Sachkundeprüfung enden sollte. Es wäre hilfreich, wenn ein rechtlich verbindlicher Rahmenstoffplan durch den DIHK bzw. das BMI erstellt und dann diese Ausbildung durch eine anerkannte Schulungseinrichtung sichergestellt werde. Claus Schaffner, WiK (Ausgabe 5-2013, S. 12-15), erläutert die im Juni vorgestellte Studie „The Human Cost of Maritime Piracy 2012“ von „One Earth Future“. Es sei gelungen, die Gefahr der Überfälle durch somalische Piraten um etwa 78 % zu reduzieren, aber das Piraten-Risiko habe sich nun an die westafrikanische Küste verlagert. Der Golf von Guinea sei inzwischen gefährlicher einzuschätzen als Somalia. Die finanziellen Einsatzkosten allein für die Somalia-Region beziffere die Studie für 2012 mit rund 6 Milliarden $, im Golf von Guinea mit ca. 1 Milliarde $. Die Dauer von Geiselnahmen durch somalische Piraten habe im Durchschnitt 11 Monate betragen. Abgesehen von der psychischen Belastung bestünde die größte Gefahr für körperliche Gewalt und Folter vor allem für Besatzungen, die länger als Geiseln gehalten wurden. Insgesamt hätten seit 2009 vor den Küsten Somalias über 600 Menschen ihr Leben verloren. Für den Golf von Guinea liste das International Maritime Bureau (IMB) die Küsten von Nigeria, Benin, Togo und der Elfenbeinküste als besonders piratengefährdet auf. Geiselnahme und Entführung seien nicht das primäre Ziel der westafrikanischen Piraten. Ihnen gehe es eher um die Ladung. 191 192 Jahrbuch der Unternehmenssicherheit 2013 Das IMB habe 2012 insgesamt 43 Meldungen von Schiffen erhalten, die im Golf von Guinea attackiert wurden. 800 Seeleute seien dort von einer Enterung betroffen gewesen, 206 als Geiseln genommen worden. 83 % der Attacken im Golf von Guinea hätten mit der Enterung geendet. Schiffe würden meist vor Anker angegriffen oder während der Umladungen. Insgesamt verhielten sich laut Studie die Piraten vor Westafrika gewalttätiger als vor Somalia. Die Qualität der eingesetzten Waffen sei jener der Sicherheitskräfte überlegen. Immer weniger Piratenangriffe, titelt die FAZ am 18. Oktober. Ihre Zahl habe nach Angaben des Internationalen Schifffahrtsbüros (IMB) den niedrigsten Stand seit sieben Jahren erreicht. Gleichwohl sei die Gefahr solcher Überfälle nach wie vor sehr groß. Laut dem Bericht seien in den ersten 9 Monaten des Jahres 2013 insgesamt 188 Piratenangriffe registriert worden. Im gleichen Vorjahreszeitraum seien es noch 233 gewesen. 10 Schiffe seien in diesem Jahr bislang gekapert worden, 17 beschossen und 140 geentert. Dabei seien 266 Seeleute vorübergehend als Geisel genommen und 34 entführt worden. Drastisch gesunken sei die Zahl der Angriffe vor Somalia. Lediglich 10 der registrierten Fälle seien somalischen Piraten zugerechnet worden. Vor einem Jahr seien es noch 70 gewesen. Immer noch in der Hand von somalischen Piraten seien Ende September zwei Schiffe mit 15 Seeleuten an Bord. 49 entführte Besatzungsmitglieder würden an Land festgehalten, 37 von ihnen bereits länger als zwei Jahre. Heise online meldet am 16. Oktober, dass das Schiffsüberwachungssystem AIS von außen ohne Probleme manipuliert werden könne. Weder werde eine Authentifizierung eingefordert, noch würden AIS-Nachrichten verschlüsselt oder signiert. Praktisch ließen sich hierdurch Meldungen zu Schiffsposition, Route, Name, Landeszugehörigkeit und Ladung verändern. Hacker könnten etwa gefälschte Datenpakete an die zentralen AISServer senden, um so die Fernüberwachung zu stören. Vorstellbar sei, dass Piraten vor Somalia dafür sorgen, dass Schiffe aus der AIS-Überwachung verschwinden. Postkontrolle im Unternehmen Aspekte der Postkontrolle im Unternehmen behandelt Ekkehard Hahn, Mail Professional GmbH, in der Ausgabe 3-2013 der WiK (S. 16–18). Der größte Feind der Sicherheit in den Poststellen sei die gefährliche Routine. Die Mitarbeiter müssen jeden Tag neu ein gesundes Misstrauen entwickeln. Dazu gehöre auch das regelmäßige Üben mit „echten“ Testsendungen. Standards zur sicheren visuellen Erkennung von gefährlichen Sendungen gebe es nicht. Jede sehe anders aus und sei anders aufgebaut – angefangen vom verwendeten Kampfstoff bis hin zum Zündmechanismus. Falsch wäre es, nur mit explosiven Sendungen zu rechnen. Problematischer zu erkennen seien Sendungen, die chemische oder biologische Stoffe enthalten, da sich deren Äußeres nicht von einer normalen Sendung unterscheiden müsse. Manchmal gebe es allerdings Indizien: Ein Umschlag, der nur unzureichend und fehlerhaft beschriftet ist oder ein Paket, dessen Verpackung verschmutzt oder beschädigt ist. Abgesehen von Metalldetektoren und sogenannten „Sniffern“ seien derzeit leistungsfähige Röntgengeräte und Massenspektrometer die beste Hilfe. Brieföffnungsmaschinen sollten erst eingesetzt werden, nachdem Sendungen die Sicherheitsüberprüfungen durchlaufen haben. Um die Auswirkungen von chemischen oder biologischen Angriffen über Postsendungen zu begrenzen, sollte der Raum, in dem die Sicherheitskontrolle erfolgt, möglichst nicht an die allgemeine Klimaanlage angeschlossen sein. Sinnvoll sei ein Raum, der Jahrbuch der Unternehmenssicherheit 2013 eine Außenwand und ein Fenster hat, das geöffnet sein sollte, damit bei einer eventuell vorzeitigen Zündung der Explosionsdruck nach außen entweichen kann. Produktpiraterie – Lage und Abwehrkonzeptionen Den weltweiten Handel mit gefälschten Waren beziffert die EU-Kommission auf über 200 Milliarden Euro. Allein der deutsche Zoll habe 2012 Warenfälschungen im Wert von fast 130 Millionen Euro beschlagnahmt. Die Aufgriffe vermutlicher Produktfälschungen durch den deutschen Zoll im Jahr 2012 ließen folgende Herkunftsländer erkennen: China: 45 % Hongkong: 22 % Singapur: 7 % USA: 5 % Thailand: 4 % Türkei: 3 % Großbritannien: 3 % Australien: 3 % Schweiz: 2 % Indien: 1 % Sonstige: 5 % Inhaber von gewerblichen Schutzrechten können bei der Zentralstelle Gewerblicher Rechtsschutz (ZGR) in München das Tätigwerden der Zollbehörden beantragen. Dies erfolge schnell und sicher im Internet über ZGR-online. Nach Bewilligung des Antrags könnten sämtliche Zollstellen in Deutschland elektronisch auf diese Informationen zugreifen und Originalwaren von Mogelpackungen unterscheiden. Die Bundesfinanzdirektion Südost hat 2012 als Zentralstelle Gewerblicher Rechtsschutz insgesamt 1.137 Entscheidungen über Anträge auf Grenzbeschlagnahme getroffen. Das ist ein Zuwachs von 9 % gegenüber dem Vorjahr und von mehr als 300 % im 10-Jahresvergleich. 2012 arbeiteten 913 Inhaber gewerblicher Schutzrechte mit der ZGR zusammen. Bei den 2012 in fast 24.000 Fällen aufgegriffenen Waren wurden die Schutzrechte von 416 Rechtsinhabern verletzt. Unternehmen, die z. B. Inhaber eines Gemeinschaftsgeschmacksmusters oder einer Gemeinschaftsmarke sind, könnten in Deutschland die Gültigkeit des Antrags für alle EU-Antragsteller tätig. SPIEGEL ONLINE weist am 5. August auf den EU-Jahresbericht über den Schutz geistigen Eigentums hin, nach dem mit etwa 40 Millionen Waren 2012 Urheber- oder Markenrechte verletzt worden seien. 2011 seien es 144 Millionen gewesen. 90.000 Fälle seien 2012 entdeckt worden. Gut 64 % der vom Zoll abgefangenen Waren seien aus China gekommen. 70 % der illegalen Einfuhren seien bei Postkontrollen entdeckt worden. Allein in 23 % dieser Fälle sei es um gefälschte Medikamente gegangen. Den insgesamt größten Anteil an den nachgemachten Produkten hätten mit 31 % Zigaretten gehabt. Außer China seien unverändert Hongkong, Bulgarien und die Türkei führend beim Export von gefälschten Produkten gewesen. Heise online meldet am 13. Januar, der EURat habe den lange erwarteten Entwurf für eine Verordnung zur besseren Durchsetzung der Rechte an immateriellen Gütern durch Zollbehörden veröffentlicht. Der Vorstoß lege fest, unter welchen Umständen unlizenzierte Waren beschlagnahmt, wie lange sie festgehalten und unter welchen Umständen sie zerstört werden dürfen. Unter den 193 194 Jahrbuch der Unternehmenssicherheit 2013 Begriff von Gegenständen, die im Verdacht stehen, Rechte an immateriellen Gütern zu verletzen, fassten die Autoren des Entwurfs auch Werkzeuge zum Kopierschutzknacken. Außen vor bleiben sollten Güter, die keinen gewerblichen Charakter haben und Reisende in ihrem persönlichen Gepäck mit sich führen. Ebenfalls müssten die Zöllner dem Plan nach kein Augenmerk richten auf sogenannte Parallelimporte, also auf Waren, die in Drittstaaten mit Zustimmung des Rechteinhabers produziert, aber nicht für den Verkauf in der EU freigegeben worden sind. Einzelne Rechteinhaber und Verwertungsgesellschaften sollten dem Vorhaben nach bei speziell ausgewiesenen nationalen Zollbehörden Anträge zur Beschlagnahme unlizensierter Waren oder verdächtiger Güter stellen. Dazu müssten sie bestätigen, dass sie selbst einschlägige Schutzrechte haben und einen Verstoß dagegen wittern. Anzugeben seien zudem spezifische Details und technische Daten wie Barcodes zu den authentischen Produkten. Nicht zuletzt müssten sie die Kosten für das Einbehalten von Waren sowie deren eventuelle Vernichtung tragen. Diese könnten sie später aber dem Rechtsverletzer in Rechnung stellen. Die kompetenten Zollämter sollten den Antragstellern spätestens nach 30 Tagen mitteilen, ob sie dem Begehr nachkommen oder nicht. Die Liste der betroffenen Schutzrechte könne nachträglich noch verändert werden. Sollte eines auslaufen, müsse darauf hingewiesen werden. Meldet sich der Antragsteller binnen zehn Tagen nicht, werde von einer stillschweigenden Zustimmung ausgegangen. Auch zur Freigabe von Gütern, gegen die sich ein Verdacht der Rechtsverletzung nicht erhärtet, gebe es ausführliche Regeln. Der Zoll habe 2012 den Kampf gegen die Produkt- und Markenpiraterie verstärkt, berichtet die FAZ am 23. März. Die Zollfahnder hätten gefälschte technische Geräte, Ersatzteile, Medikamente, Uhren, Schmuck und Textilien im Gesamtwert von 127,4 Mil- lionen Euro beschlagnahmt (2011: 82,6 Millionen). Knapp die Hälfte der gefälschten Waren sei aus China, Hongkong und Singapur gekommen. Außerdem habe der Zoll 29 Tonnen Rauschgift beschlagnahmt und Schäden durch Schwarzarbeit in Höhe von mehr als 750 Millionen Euro aufgedeckt. Der Zoll trage maßgeblich dazu bei, Verbraucher vor verbotenen Gütern zu schützen. Er fange gesundheitsgefährdende Feuerwerkskörper, Spielzeuge, Lebensmittel und Medikamente ab. Regelmäßig würden auch Waren entdeckt, die radioaktiv kontaminiert waren. Der Zoll habe zudem 321.000 gefälschte Arzneimittel im Wert von 4,8 Millionen Euro beschlagnahmt. Er habe verhindert, dass 146 Millionen Schmuggelzigaretten auf den deutschen Schwarzmarkt gelangten. Und er habe in 1.100 Fällen mehr als 71.000 geschützte Tier- und Pflanzenarten sichergestellt. ASW-Securicon weist am 15. Oktober auf eine Pressekonferenz im Zollkriminalamt hin, in der die europäische Kampagne gegen Produktpiraterie „Zu schön, um wahr zu sein?“ vorgestellt wurde, mit der die EU-Kommission auf die Bedeutung der Marken- und Produktpiraterie als weltweit ernstes Problem für Verbraucher und Wirtschaft aufmerksam mache. Der weltweite Handel mit gefälschten Waren mache über 200 Milliarden Euro aus. Allein der deutsche Zoll habe 2012 Warenfälschungen im Wert von fast 130 Millionen Euro beschlagnahmt. Dabei handele es sich längst nicht mehr nur um Fälschungen von Luxusgütern wie Markenuhren oder teure Designertextilien. Auch Güter des täglichen Bedarfs wie Arzneimittel, Elektrogeräte, Werkzeug und Maschinen würden gefälscht. In den vergangenen Jahren hätten sich dazu auch die Vertriebswege geändert. Fälscher nutzten heute moderne Internetplattformen, um ihre Waren möglichst anonym aus dem nichteuropäischen Ausland unmittelbar an den Endverbraucher zu vertreiben. Jahrbuch der Unternehmenssicherheit 2013 Produktpiraterie – Messen Das Hauptzollamt Darmstadt berichtet am 20. Februar, dass der Zoll auf der Konsumgütermesse Ambiente 272 mutmaßliche Fälschungen aus dem Verkehr gezogen hat. Er sei an 42 von 1.078 kontrollierten Ständen fündig geworden. Die Zahl der sichergestellten Fälschungen sei gegenüber dem Vorjahr um 20 % gestiegen. Die sichergestellten Waren, insbesondere Schüsseln, Pfannen, Glaswaren und andere Haushaltsgegenstände, stammten zum größten Teil aus China. 30 Beschäftigte des Zolls seien zwei Tage lang in den Messehallen unterwegs gewesen und von 21 Vertretern betroffener Originalhersteller und Mitarbeiter der Messe Frankfurt unterstützt worden. Wie die Frankfurter Rundschau berichtet, hat der Zoll auf der internationalen Sanitärmesse ISHG in Frankfurt an mehr als 40 Ständen insgesamt 52 Plagiate einkassiert. Hauptsächlich seien hochwertige Armaturen, Duschköpfe, Pumpen und WC-Brillen kopiert worden. Die ertappten Produktfälscher stammten allesamt aus Fernost: 38 aus China, 3 aus Taiwan und einer aus Südkorea. Die Kontrolleure hätten nicht nur nach billigen Kopien gesucht, die unter falschem Namen verkauft werden. Hauptsächlich hätten sie Produkte sichergestellt, die zwar offiziell von asiatischen Unternehmen stammen, aber verbotenerweise die Optik oder Funktion bekannter Markenprodukte nachahmen. Ernst & Young schätze die Verluste durch Fälschungen auf 50 Milliarden Euro pro Jahr allein in Deutschland – Tendenz steigend. Im Jahr 2015 könnte der weltweite Schaden einer Studie der internationalen Handelskammer zufolge bis zu 1,77 Billionen Dollar betragen. Produktpiraterie – Einzelfälle Wie das Handelsblatt am 24. Januar berichtet, habe sich der Reinigungsspezialist Kärcher in China erfolgreich gegen Plagiate eines Konkurrenten gewehrt. Wenzhou Haibao dürfe ein bestimmtes, von Kärcher abgekupfertes Gerät nicht weiter herstellen. Außerdem müsse der Wettbewerber eine Kompensationszahlung in unbekannter Höhe leisten. Kärcher-Chef Hartmut Jenner habe gesagt: „Unser Vertrauen in die chinesischen Gerichte und Behörden hat sich ausnahmslos bestätigt.“ Sie hätten das geistige Eigentum in vollem Umfang geschützt. Wie die FAZ am 25. Mai meldet, hat der Sanitärarmaturenhersteller Grohe in einem Lagerhaus in den Arabischen Emiraten bei einer Razzia 9.000 gefälschte Grohe-Produkte sicherstellen lassen. Neben den Armaturen und Brausen seien auch gefälschte Autoersatzteile, Sonnenbrillen und Kühlschrank-Teile anderer bekannter Hersteller entdeckt worden. Schlecht kopierte Wasserhähne könnten Verbraucher gefährden, weil minderwertige Teile verwendet und Sicherheitsstandards nicht eingehalten würden. Das Wochenmagazin FOCUS (Ausgabe 45/2013) weist auf das Geschäft mit nachgemachten Luxusuhren hin. Die kopierten Zeitmesser stammten zu 95 % aus China und Hongkong. Der Präsident des Zollkriminalamts spreche von organisierten Banken. Die Kartelle hätten längst ihre Vertriebswege geändert. Statt Seehäfen oder Transitstrecken per LKW nutzten die Syndikate verstärkt das Internet als Verkaufsplattform. Über diesen Vertriebsweg gelangten die Taubkopien per Paketdienst risikolos an den Käufer. Der Focus gibt Ratschläge zum Schutz vor „Fakes“: Gravierte Linien bei Fälschungen seien oft ungenau gearbeitet. Originalmarken lieferten Echtheitszertifikate mit. Fälschungen solcher Zertifikate könne man oft an Schreibfehlern erkennen. Seriöse Produzenten verwendeten meist extrem hartes Saphirglas auf der Oberseite. Das Glas lasse sich durch einen Kratztest prüfen. Und unscharfe Konturen ließen auf eine Billigkopie schließen. 195 196 Jahrbuch der Unternehmenssicherheit 2013 Proliferation Die ASW-Mitteilung 046/13 weist auf das Proliferationsrisiko für Unternehmen hin. Nach den Erfahrungen des Verfassungsschutzes könnten folgende Anhaltspunkte auf ein proliferationsrelevantes Geschäft hindeuten: Der Käufer verfügt nicht über das erforderliche Fachwissen und/oder kann nicht erklären, wofür das Produkt gebraucht wird. Es werden ohne erkennbaren Grund Zwischenhändler eingeschaltet. Die angebotenen Zahlungs- bedingungen sind besonders günstig. Der Kunde wünscht eine außergewöhnliche Etikettierung, um die Güter zu neutralisieren. Firmenangehörige werden zu Ausbildungszwecken zur Herstellerfirma nach Deutschland geschickt, obwohl eine Einweisung vor Ort praktischer wäre. Der Käufer verzichtet auf das Einweisen in die Handhabung, auf Service-Leistungen oder auf Garantie. Raffineriesicherheit Mit der Detektion von Gasundichtigkeiten in Raffinerien befassen sich Steve Beynon, GF Cameras & Gas Imaging Applications, und Frank Liebelt, Fachjournalist, in der JanuarAusgabe der Fachzeitschrift GIT (S. 72–74). Es gebe derzeit kein spezifisches europäisches Leak Detection and Repair-Programm, das festlegt, wie oft und vollständig Unternehmen Lecks flüchtiger organischer Verbindungen aufspüren, reparieren und melden müssen. Die herkömmliche Technologie habe auf der Toxic Vapor Analyzer (TVA)-Technologie basiert. Während ein Inspektor mit einem solchen TVA-Gerät durchschnittlich 500 Tags pro Tag kontrollieren könne, schaffe ein Kontrollprogramm mit der neuen FLIR-GFKamera bereits mehr als einhundert solcher Objekte pro Stunde. Die Kamera sorge in diesem Bereich für einen enormen Zeit- und Kostenvorteil. Mit einer Gasdetektionskamera könne sich der Anwender nicht nur schnell einen Überblick verschaffen, sondern auch sofort größere Bereiche von einer genaueren Untersuchung ausschließen. Dank ihrer Technologie visualisierten die Kameras der GF-Serie von FLIR Systems Gaslecks unmittelbar. Die Bilder könnten als Filmsequenzen gespeichert und archiviert werden. Raubüberfälle Der Sicherheitsberater befasst sich in Nr. 14/15 – 2013 (S. 213–215) mit dem Risiko von Raubüberfällen auf Kreditinstitute und Geschäfte. Das Risiko, Opfer eines Überfalls zu werden, sei an Tankstellen 8-mal höher als in einem Kreditinstitut, in Spielhallen rund 20-mal höher. Rechenzentrumssicherheit – Konzeption, Planung „Zwölf goldene Regeln“ für die Planung sicherer und kosteneffizienter Rechenzentren stellt Ulrich , dc-ce RZ-Beratung, in der Ausgabe 3-2013 der Fachzeitschrift GIT (S. 64/65) auf: Ein sicheres Verständnis für das Konzept entwickeln; integral denken bei der Planung; definierter Sicherheitsanspruch von Anfang an; den laufenden Betrieb schon im Konzept berücksichtigen; die erforderliche Stromleistung richtig einschätzen; den Fortschritt der IT einkalkulieren; Energie-Effizienz von Anfang an mitdenken; modular denken; Änderungen im Laufe des Projekts vermeiden; Testen auf Herz und Nieren; auf umfas- Jahrbuch der Unternehmenssicherheit 2013 sende Dokumentation achten; ausreichendes und qualifiziertes Personal einstellen. Outdoor-Rechenzentren stünden in Sachen Sicherheit IT-Räumen innerhalb der Unternehmensgebäude in nichts nach, betont die RZ-Products GmbH in der Ausgabe 3/13 von Protector (S. 52/53). Zukunftsfähige Outdoor-Rechenzentren verfügten über eine ECB-S-Zertifizierung, die einen Hochverfügbarkeitsschutz biete. Diese beinhalte auch eine Klassifizierung in die Güteklasse R60D, auf Basis der Brandschutzprüfung als Typprüfung nach EN 1047-2. Ferner werde eine Güteüberwachung in Produktion und Errichtung gewährleistet. Marcel Schmid, Chefredakteur der Fachzeitschrift IT-Security, stellt in der Ausgabe 1-2013, S. 32–34, die Frage nach den Anforderungen an Rechenzentren als Folge von Cloud-Computing, Virtualisierung, Big Data und dem „Internet der Dinge“. Die modernsten Server-Generationen seien deutlich kompakter und effizienter als ihre Vorgänger. Der Trend gehe klar in Richtung „Blade- und Rackmount-Server“. Durch die immer kompaktere Bauform, höhere Skalierungsdichte und Rechenleistung steige naturgemäß auch die Wärmelast an. Als mögliche Kühlvarianten führt er an: Verdunstungskühlung, natürliche Luftströmungen und ein Vertikaldesign für die optimierte Kühlung, thermisches Rad, Submersionskühlung, „Liquidblade und Liquid Cooling Package Direct Expansion“. In der Fachzeitschrift IT-Security (Ausgabe 2-2013) behandeln Ernesto Hartmann, InfoGuard AG, und Albert Brauchli, Juniper Networks Switzerland GmbH, die Sicherheit der nächsten Generation für Rechenzentren (S. 20/21). Es sei heutzutage für businesskritische Internet-Services unerlässlich, einen DDoS-Schutz vorzusehen. Im zweiten Schritt identifiziere eine Intrusion-Detection-Lösung den Hacker in Echtzeit und ermögliche flexible Reaktionsszenarien sowohl auf der Anwendungsebene als auch an der NetzwerkFirewall. Die Autoren empfehlen die globale Junos-Spotlight Secure Hacker-Datenbank. Angreifer würden durch die Junos WebApp Secure-Plattform eindeutig identifiziert. Dies geschehe anhand eines Fingerabdrucks des Hackers mit über 200 einzigartigen Merkmalen. Jedes neue Profil werde sogleich global verfügbar gemacht. Rechenzentrumssicherheit – Brandschutz Die Rauchdetektion in Rechenzentren wird in der Ausgabe 1-2013 der Fachzeitschrift WiK (S. 54–56) thematisiert. Die Erhöhung der Leistungsdichte von Rechenzentren bedinge Modifizierungen bei der Energieversorgung und der Klimatisierung – mit Auswirkungen auf das Brandschutzkonzept. Der neue Ansatz mit Warm- und Kaltgangeinhausung und „Raum im Raum“Konzepten habe Konsequenzen für die Brandfrüherkennung, auf die Auslegung von Feuerlöschanlagen und auf die Gestaltung von Fluchtwegen. Das Merkblatt VdS 3152 „Kalt- und Warmgangeinhausung. Brandschutztechnische Anforderungen“ sei nur von Fachleuten anwendbar. Aufgaben für die Zukunft seien eine komplexe Potenzi- alsteuerung der Versorgungsnetze und die Sicherstellung der Branderkennung trotz hoher Luftwechselraten und der „Raum im Raum“-Geometrie. Brunnenkühlung im Rechenzentrum thematisiert der Sicherheits-Berater in seiner Ausgabe 9-2013 (S. 137/138). Ihr sinnvoller Einsatz unterliege lokalen Faktoren: Standortfaktoren wie Bodenbeschaffenheit, Tiefe des Grundwassers oder Sandanteile im Boden seien bestimmend für einen Erfolg. Bei einer positiven Wirtschaftlichkeitsbetrachtung müsse eine Probebohrung durchgeführt werden. In die Kälteerzeugung eingebunden werde das Grundwasser mittels Systemtrennung durch einen Wärmetauscher. 197 198 Jahrbuch der Unternehmenssicherheit 2013 Erwin Frick, MINIMAX AG, befasst sich in der Zeitschrift Sicherheitsforum (Ausgabe 2-2013, S. 23–26) mit dem optimalen Brandschutz in Data Centern und anderen IT-Bereichen: mit Sprinkleranlagen; mit Feinsprühlöschanlagen, die die physikalischen Eigenschaften des Wassers effizienter nutzen als klassische Wasserlöschanlagen; mit Schaumlöschanlagen für den Fall von Bränden brennbarer Flüssigkeiten oder Kunststoffen; mit Inertgas-Löschanlagen; mit Sauerstoffreduzierungsanlagen und mit chemischen Löschanlagen, deren Löschmittel weder korrosiv noch elektrisch leitend und daher insbesondere für den Schutz von Räumen mit elektronischen und elektrischen Einrichtungen geeignet sei. Anders als Inertgas-Löschsysteme arbeiteten bedarfsgesteuerte Systeme mit einer von der gemessenen Sauerstoffkonzentration abhängigen Inertgas-Nachführung. Das verschaffe im Ernstfall den gewünschten Handlungsspielraum, um das Thermolyseereignis zu lokalisieren und dessen Ursache zu beheben. Der Sicherheitsberater begründet in seiner Ausgabe 10-2013 (S. 149–151), warum Sprühnebel-Löschanlagen keine empfehlenswerte Lösung für Rechenzentren seien. Das Schutzziel sei die Verfügbarkeit der Rechner und damit Inhaltsschutz. Da die VdS-Zulassung ausdrücklich auf Raum- und Gebäudeschutz abhebt, sei das Löschmittel für diesen Zweck ungeeignet. Den physischen Schutz von Daten in Rechenzentren behandelt auch Dipl.-Ing. Thomas Hübler, MPA Dresden GmbH, in der Zeitschrift WiK (Ausgabe 5-2013, S. 60/61). Eine Brandfrüherkennung mit aufgeschalteter automatischer Löschung des Entstehungsbrandes sei immens wichtig. Um die Brandbeständigkeit der Datencenter gegenüber einem von außen einwirkenden Brand nachzuweisen, könnten sich Betreiber an den Vorgaben der europäischen „ITBrandnorm“ EN 1047 für Wertbehältnisse, Teil 1 (Datensicherungsschränke) und Teil 2 (Datensicherungsräume und –container) orientieren. Mit dem „Multi-Sensor“ zum Erkennen potenzieller Gefahren für den Serverraum wie Wassereinbruch, Überhitzung und Sabotage befasst sich Jörn Wehle, Kentix GmbH, in derselben Zeitschrift (S. 62-64). Eine Umfrage bei ca. 200 Behörden und KMU belege, dass solche Risiken vernachlässigt werden. 80 % aller Serverräume und Racks seien physikalisch nicht adäquat abgesichert. Dabei könnten moderne Sensoren heute in einem Gerät kombiniert werden. Die Sensoren seien softwarebasiert. Die Schwellwerte der verschiedenen Sensoren für die Alarmauslösung seien in der Regel voreingestellt, könnten bei Bedarf aber auch individuell bestimmt werden. Entsprechende Algorithmen würden Risiken wie Brand, Überhitzung Betauung, Sabotage oder den Verlust der Spannungsversorgung erkennen und berechnen. Der ideale Einbauort dieser Multisensoren sei von den räumlichen Gegebenheiten abhängig. In typischen Serverräumen würden diese rauchmeldergroßen Sensoren an der Decke des Raumes angebracht. Bei größeren Räumen würden mehrere Multisensoren eingesetzt. Die Fachzeitschrift GIT thematisiert in der Ausgabe 11-2013 (S. 74/75) das optimale Brandschutzkonzept für Rechenzentren. Die Basis für einen effektiven Brandschutz stelle die Brandfrühesterkennung dar. Über ein Rohrsystem mit definierten Ansaugöffnungen im zu überwachenden Raum würden permanent Luftproben genommen und in eine Messkammer geleitet. Unter Zuhilfenahme spezieller Lasertechnologien würden an dieser Stelle selbst kleinste Rauchmengen unmittelbar detektiert, woraufhin ein Infoalarm ausgelöst werde. Vor allem in Serverumgebungen, in denen häufig eine hohe Luftumwälzung stattfindet, seien Rauchansaugsysteme sehr empfehlenswert. Erkennt der erste Rauchmelder einen Brand, erfolge zunächst ein Voralarm, in der Regel mittels eines optischen Signals. Die Nutzung von Novec 1230 stelle eine der bewährtesten Lösungen hinsichtlich des Brandschutzes im IT-Bereich dar. Es bestehe aus diversen Kohlenstoffen, Fluor und Sauerstoff, werde in Jahrbuch der Unternehmenssicherheit 2013 den Löschmittelbehältern flüssig gelagert und könne dadurch äußerst platzsparend bevorratet werden. Die Flutungszeit betrage maximal zehn Sekunden, und das Löschmittel verfüge über ein hohes Durchdringungsvermögen. Für Serverräume bis zu einem Schutzvolumen von 100 Kubikmetern lohne sich als Alternative zu einer stationären Anlage eine Kompaktlöschanlage. Schranklöschsyste- me könnten ebenfalls eine hervorragende Möglichkeit sein, um den hohen Schutzlevel in einzelnen Serverschränken aufrechtzuerhalten. Die Branddetektion erfolge über zwei Rauchmelder, die nach dem Streulichtprinzip arbeiten. Wichtig sei, dass die sensiblen Technikkomponenten im Fall einer Auslösung nicht durch das Löschmittel beschädigt werden. Rechenzentrumssicherheit – Lüftungs-/Kühlungssysteme Der Sicherheits-Berater behandelt in Nr.162013 (S. 242–244) die DIN EN 13779-2007 „Lüftung von Nichtwohngebäuden – Allgemeine Grundlagen und Anforderungen für Lüftungs- und Klimaanlagen und Raumkühlsysteme“. Zunächst sei eine Klassifizierung der Luftarten (hohe, mittlere, mäßige oder niedrige Raumluftqualität vorzunehmen, die von der Art der zu berücksichtigenden Verunreinigungsquellen abhingen. Es sollten möglichst nur Baustoffe verwendet werden, die allenfalls eine geringfügige Verunreinigung verursachten. Für die Auslegung des Außenluftvolumenstroms habe sich die Festlegung auf IDA 2 „mittlere Raumluftqualität“ bewährt. Der notwendige Außenluftvolumenstrom könne nach der Personenzahl oder der Bodenfläche berechnet werden. In der Frischluftzufuhr müsse eine Rauchgasdetektion existieren, damit bei eindringenden Rauchgasen sofort die Frischluftversorgung abgeschiebert werden könne. Jörg Poschen, Daxten, befasst sich im SicherheitsForum (Ausgabe 5-2013, S. 129–131) mit der Optimierung der Kühlung und Kaltluftzuführung in Rechenzentren (RZ). The Green Grid, ein internationales Konsortium zur Förderung der ganzheitlichen Ressourceneffizienz in der IT, beziffere den durchschnittlichen Anteil der Kühlung am gesamten Stromverbrauch eines RZ auf 42 %. Eine erhebliche Steigerung der Kühlungs- und damit Energieeffizienz im RZ mit einfachen Mitteln sei machbar und lasse sich nachweislich mit geringem finanziellen Aufwand und Amortisationszeiten zwischen drei und zwölf Monaten realisieren. Optimierungswillige würden am besten damit fahren, zu allererst den Effizienzgrad ihrer bestehenden Kühlungsinfrastruktur durch eine „Vor Ort Analyse“ bestimmen zu lassen, um auf einer soliden Basis das tatsächliche Optimierungs- und Einsparpotenzial ermitteln zu können. Dann gelte es, die wirkungsvollsten Maßnahmen miteinander zu kombinieren, zur Anwendung zu bringen und deren Wirkungsgrad innerhalb eines Jahres zu evaluieren. Rechenzentrumssicherheit – Stromversorgung Der Sicherheits-Berater befasst sich in seiner Ausgabe 7-2013 mit der optimalen Einbindung von USV-Anlagen (unterbrechungsfreie Stromversorgung). Er unterscheidet bei USV-Anlagen drei verschiedene Bypassarten: automatischer, interner Bypass; manueller, interner Bypass (Servicebypass) und externe Handumgehung und gibt praktische Hinweise zur Nutzung von Bypässen: -Sind mehrere USV-Anlagen n+1 redundant zu einem Netz parallelgeschaltet, kann auf die separate Absicherung von Gleichrichter- und Bypasseingang verzichtet werden. 199 200 Jahrbuch der Unternehmenssicherheit 2013 -Die externe Handumgehung muss immer räumlich, brand- und rauchschutztechnisch separiert werden. -Die externe Handumgehung muss gegen Fehlbetätigung wirksam geschützt werden. (S. 100–103) „Wie modular dürfen USV-Anlagen für Serverräume sein?“ fragt Oliver Woll, von zur Mühlen‘sche GmbH, in der Fachzeitschrift IT-Security (Ausgabe 2-2013, S. 16/17). Die Wahl für das richtige USV-System im Serverraum werde im unteren Teillastbereich (20–30 %) und unter schwierigsten Lastbedingungen entschieden. Der Betrieb einer einzigen – wenn auch in sich N+1-redundanten – modularen USV sei nur für Verbraucher mit geringeren Verfügbarkeitsansprüchen zu empfehlen. Würden zwei unabhängige Einzelblock-USV-Anlagen installiert, so könnten diese auch parallel geschaltet und somit erweitert werden. Rechenzentrumssicherheit – Zutrittskontrolle Die Möglichkeit des Einsatzes der Handvenenerkennung beleuchtet Stephan Speth, PCS Systemtechnik GmbH, in der Ausgabe 3/13 der Fachzeitschrift Protector (S. 24/25). Für den Hochsicherheitsbereich in einem Rechenzentrum wäre eine reine RFID-Lösung nicht zulässig. Die Zutrittskontrollanlage sollte gemäß VdS der Klasse C entsprechen, wofür zwingend ein weiteres Identifikationsmedium vorgeschrieben sei. Mit der Handvenenerkennung könne eine Person sicher und eindeutig identifiziert werden. Die Konvergenz von physischer Zutrittskontrolle mit der Zugangskontrolle zum Rechner sei ein weiterer Schritt für ein umfassendes Sicherheitskonzept. Noch sicherer als RFID-Zutrittskarten seien biometrische Sensoren. Am Markt seien Computermäuse verfügbar, in die ein Handvenensensor integriert wird. Der Mitarbeiter halte einfach seine Handfläche über die Maus und könne sich so am Rechner anmelden. RFID Sabine Mull und Harald Kelter, beide BSI, und Cord Bartels, CBcon, behandeln in der Fachzeitschrift <kes> (Ausgabe 2-2013) Prüfkriterien für RFID-Anwendungen. Gemeinsam mit der Industrie habe das BSI Sicherheitsempfehlungen für typische RFIDEinsatzgebiete erarbeitet, die in der technischen Richtlinie zum sicheren RFID-Einsatz (TR 03126/TR RFDI) zusammengefasst sind. Mit einer jetzt erstellten Prüfspezifikation könnten Unternehmen die Konformität ihres Mitarbeiterausweissystems zur TR 03126-5 erklären oder durch unabhängige Prüfstellen zertifizieren lassen. Der Vorteil dieser Zertifizierung liege darin, dass einerseits RFID-Anwendungen nach einheitlichen, transparenten und von der Wirtschaft mitgetragenen Kriterien eingesetzt werden können, andererseits mit der Zertifizierung nach technischen Richtlinien des BSI eine bewährte Vorgehensweise für die Realisierung bestimmter Sicherheitseigenschaften und die Erfüllung funktionaler Anforderungen für den Betrieb eines IT-Produktes oder Systems genutzt werden kann (S. 56–59). Andreas Löw, Feig Electronic GmbH, bezeichnet in der Fachzeitschrift Security insight (Ausgabe 4-2013, S. 43–45) ePayment und sichere Identitäten als neue Treiber der RFID-Technologie. Projekte wie „girogo“, die neue kontaktlose Bezahllösung der deutschen Kreditwirtschaft, und der neue Personalausweis (nPA) eröffneten zahlreiche praktische Anwendungsfelder. Ein entscheidender Erfolgsfaktor sei die Jahrbuch der Unternehmenssicherheit 2013 Datensicherheit. Der in den nPA integrierte RFID-Chip ermögliche, sich mit dem Dokument eindeutig zu identifizieren. Durch ein Berechtigungszertifikat sei das unbemerkte kontaktlose Auslesen des RFID-Chips nicht möglich. Auch erfolge die Datenübermittlung erst nach Eingabe einer sechs stelligen PIN. Risikomanagement In der Fachzeitschrift <kes> (Ausgabe 3-2013, S. 88–92) gibt Roland Erben, Risk Management Association e.V., einen Überblick über Gesetze, Standards und Methoden zum Risikomanagement. Gesetze, Standards und Begrifflichkeiten erschwerten die Auswahl einer geeigneten Methodik, aber diese Herausforderung sei zu meistern. Entscheider müssten das Risikomanagement heute als einen integralen Bestandteil von Organisationsprozessen verstehen und Methoden in diesem Sinne systematisch, strukturiert und zeitgemäß auswählen. In diesem Kontext zählten Frühwarnsysteme als zusätzliche und probate Mittel der Unternehmenssteuerung. Wichtig sei eine von der Firmenleitung vorgelebte Unternehmenskultur in puncto Prozesse, Risikowahrnehmung und Awareness. In derselben Ausgabe fordern Dipl.-Ing. Dirk Kalinowski, AXA Versicherung AG, Dr. Keye Moser, SIZ GmbH, und Götz Schartner, 8com GmbH, die Integration von IT-Risiken in das ganzheitliche Risikomanagement. Für die Definition des Risikomanagementprozesses bevorzugen die Autoren eine Orientierung an der sehr generischen ISO 31000, da sie übergreifend anwendbar sei und internationale Akzeptanz erfahren habe. Sie lasse sich auch auf IT- und Informationsrisiken übertragen. Behandelt werden der Risikomanagementprozess, die Bedrohungsanalyse, die Risikoanalyse, die Aggregation von Risiken und Bewältigungsmaßnahmen. Die Integration von IT-Risiken in ein unternehmerisches, wertorientiertes Risikomanagementsystem fördere das Verständnis zwischen IT- und kaufmännischen Fachkräften und erlaube es, angemessene Maßnahmen zu bestimmen und entsprechend zu budgetieren. Uwe Müller-Gauss, Dipl. Entrepreneur FH MBA, Müller-Gauss Consulting, und Madeleine Renner, Hochschule Luzern, behandeln in der Zeitschrift Sicherheitsforum (Ausgabe 4-2013, S. 48–51) das integrale Risikomanagement für KMU. Weitverbreitet sei die Risikobewertung nach Eintrittswahrscheinlichkeit, multipliziert mit dem Schadensausmaß. Die Eintrittswahrscheinlichkeit sei jedoch meist schwer zu berechnen. Deshalb bewerteten nachhaltige Risikomanager die Risiken mit folgenden Metriken: Schadensausmaß qualitativ; Schadensausmaß quantitativ; Entwicklungszeit bis zum Erkennen des Ereignisses; Umgang.im Ereignisfall; Kontrolle bei Risikoexposition; Sensibilisierung für die Risikoexposition. Diese Einteilung in 6 Metriken erlaube eine feine und gezielte Steuerung des Risikos. Die Methode zum Aufbau und der Implementierung eines BCM bestehe grundsätzlich aus einer wiederkehrenden Abfolge von 5 Phasen, die von der Analyse des eigenen Geschäfts bis hin zur regelmäßigen Pflege des aufgebauten BCM reiche: Business Impact Analyse; BCM-Strategien; Business Continuity Plan; BCM-Kultur; Übung, Pflege und Audit. Und in Ausgabe 5-2013 dieser Fachzeitschrift bezeichnen Bettina Hübscher und Patrik Senn, Hochschule Luzern, ein integrales Risikomanagement.(IRM) als Erfolgsfaktor für KMU. Leitprinzipien des IRM seien: Vermeiden von Doppelspurigkeiten und Lücken, Definieren von Aufgaben, Kompetenzen und Verantwortlichkeiten, Dokumentieren von Prozessabläufen und Schaffen von Synergiepotential.Das IRM helfe einem Unternehmer, bewusst Risiken einzugehen, um Chancen nicht ungenutzt vorbeiziehen zu lassen. Es ermögliche die Entwicklung eines 201 202 Jahrbuch der Unternehmenssicherheit 2013 Instrumentariums zur ganzheitlichen Sicherung der Geschäftstätigkeit und die Erzielung von Risikoprophylaxe. (S. 47–49) Die ASW hat in ihrem Newsletter vom 8. März über eine KPMG-Analyse zum Thema „Externe Risikoberichterstattung“ im Maschinen- und Anlagenbau berichtet. KPMG hat eine umfangreiche Analyse von 15 Geschäftsberichten dieser Branche aus dem Geschäftsjahr 2011 durchgeführt. Untersucht wurden das berichtete Risikobewusstsein der Vertreter dieser Branchengruppe und die beschriebenen Maßnahmen zur Risikobegrenzung und -minimierung. Rund 170 relevante Risikoaspekte und Fragestellungen wurden in 18 Kategorien gebündelt und zu vier Risiko-Clustern zusammengefasst. Diese Risk Map diente als Bewertungsleitfaden. Für die Vergleichbarkeit wurde aus den Werten ein Benchmark-Koeffizient gebildet. Die Ergebnisse der Analyse zeichneten ein ausgesprochen heterogenes Bild der Risikoberichterstattung. Obwohl viele Risikoaspekte angesprochen werden, werde eine hohe Anzahl an Risiken nur unzureichend behandelt. Signifikante Risiken würden zum Teil gar nicht oder nur rudimentär angesprochen. Eine detaillierte und aussagekräftige Risikoberichterstattung erfolge häufig nur im Zuge einer regulativen Kopplung durch gesetzliche Vorgaben. Generell gebe es eine nur lückenhafte Berichterstattung über die Maßnahmen zur Risikobekämpfung und nahezu kein Reporting in Bezug auf die Effektivität der Kontrollmaßnahmen. Schlussfolgernd sei zusammenzufassen, dass Unternehmen die Chance, mit einer soliden Risikoberichterstattung die Stärke und das Potenzial ihrer Organisation zu vermitteln, zu selten nutzen und den damit verbundenen Mehrwert nicht ausschöpfen. Risikoregionen Auf die HealthMap 2013 wies Focus-Online am 8. April 2013 hin. Sie zeige auf einen Blick, welches Reiseziel ein Risikogebiet ist, sagt Jadwiga Dutsch, Medizinische Leiterin für Zentraleuropa bei International SOS. Das Unternehmen sei weltweit führender Anbieter von Prävention und Krisenmanagement in Gesundheits- und Sicherheitsfragen. Die HealthMap sei ein wichtiges Instrument für Individualreisende, Langzeiturlauber und Geschäftsreisende. Denn gerade wer dauerhaft in einem Land mit höherem medizinischem Risiko umherreist oder arbeitet, läuft sechsmal häufiger Gefahr ins Krankenhaus eingewiesen zu werden als in wenig riskanten Staaten. Trotz stationärer Behandlung vor Ort müsse fast die Hälfte aller Mitarbeiter in diesen Risikoländern letztlich evakuiert werden. In extremen Risikoländern erhöhe sich die Wahrscheinlichkeit, evakuiert zu werden, auf 79 %. Dabei seien es vor allem landestypische Krankheiten wie Malaria und Dengue-Fieber sowie gefährliche Rahmenbedingungen und Schwächen im lokalen Gesundheitswesen, die das Risiko zum Teil stark erhöhen. Robotersicherheit Dr. Gernot Bachler, B&R, befasst sich in der Ausgabe 5-2013 der Fachzeitschrift GIT (S. 105/106) mit spezifischen Sicherheitskonzepten für die Robotik. Damit Industrieroboter mit Menschen zusammenarbeiten könnten, brauche die Geschwindigkeit am Werkzeugarbeitspunkt eine sichere Überwa- chung. Wichtig sei die Realisierung spezifischer Sicherheitskonzepte für die Robotik, in denen sich die sichere Überwachung der Verfahrgeschwindigkeit nicht nur auf einzelne Achsen bezieht, sondern auf den gesamten Roboter und damit auch auf den Toll Center Point (TCP). Abgeleitet aus den Anforderun- Jahrbuch der Unternehmenssicherheit 2013 gen der Normen EN ISO 10218-1 und -2 habe B&R als ersten Baustein einer erweiterten Roboter-Sicherheit die Funktion SLS (Safely Limited Speed) am TCP geschaffen. Der Autor skizziert die überwachte kinematische Kette und die TÜV-zertifizierten Funktionsbausteine. Sabotage Ein Schwelbrand in Berlin hat am 22. Februar das Datennetz des Mobilfunknetzbetreibers Vodafone in Teilen Ostdeutschlands lahmgelegt, meldete Heise online am gleichen Tag. Vodafone habe von Sabotage an einem Kabelschaft gesprochen. Schätzungen zufolge dürften bis zu 20.000 Kunden betroffen gewesen sein. Schließsysteme Mit der Unterscheidung zwischen mechatronischem und elektronischem Schließsystem befasst sich der Sicherheits-Berater in seiner Ausgabe 8-2013 (S. 120–122). Die Unterscheidung könne nicht am Verriegelungsverfahren festgemacht werden. Zur Unterscheidung von mechanischem, mechatronischem oder elektronischem Schließsystem könne aber der Schlüssel, also der Identifizierungsmerkmalträger, herangezogen werden. Allerdings sei inzwischen auch der Übergang von elektronischem zu mechatronischem Schließsystem fließend. Die Hersteller gingen immer mehr dazu über, ihre einzelnen Komponenten miteinander zu kombinieren. So könne dem Kunden ein möglichst variantenreiches und im Idealfall alle Anwendungsszenarien abdeckendes Systemkonzept angeboten werden. Die Angreifbarkeit mechatronischer Schließsysteme thematisieren Dr. Ing. Timo Kasper und Dr.-Ing. David Oswald, Kasper & Oswald GmbH, in der Fachzeitschrift WiK (Ausgabe 6-2013, S. 52–54). Sie schildern den sogenannten Relay-Angriff, bei dem ein Angreifer die Funkdaten des elektronischen Schlosses der zu öffnenden Tür abgreift und der andere aus einer Entfernung von mehreren hundert Metern eine Verbindung zum Token des Opfers aufbaut. Deshalb sei solchen Token der Vorzug zu geben, bei denen zum Türöffnen eine definierte Benutzerinteraktion nötig ist. Vorsicht sei geboten auch bei (NFC-)Smartphones, die eine besonders große Angriffsfläche bieten, weil sie mit vielfältigen Schnittstellen und einem komplexen Betriebssystem ausgestattet sind. Elektronische Zugangssysteme, die einzelne mechatronische Schließzylinder über eine Funkschnittstelle programmieren können, seien hoch riskant. Daher sei besonders Augenmerk auf die sichere Konzeption und Umsetzung eines kryptografisch abgesicherten Firmware-Updates zu legen. Sonst eröffne man neue Manipulationsmöglichkeiten, zum Beispiel die unbefugte Vergabe von Schließberechtigungen. Zum Schutz vor Angriffen benötigten Token und Schließzylinder zwingend zuverlässige Verschlüsselungsverfahren. Leider würden oft veraltete oder proprietäre Verfahren zur Verschlüsselung eingesetzt, die auf einfachem Wege ausgehebelt werden können. Ein klassisches, verbreitetes Beispiel seien „Mifare Classic basierte Systeme“, die nicht einmal die proprietäre, in den Karten verbaute Verschlüsselung verwendeten, sondern lediglich eine vom Hersteller aufgebrachte, eindeutige und unveränderliche Zahl – die sogenannte UID – auswerteten. Ein Angreifer könne durch Mitlesen der Kommunikation mit einem Türzylinder aus mehreren Metern die UID der belauschten Karte erhalten oder direkt mit einem Lesegerät aus bis zu 30 cm die UID auslesen. Alle sogenannten 203 204 Jahrbuch der Unternehmenssicherheit 2013 Festcode-Systeme, deren Funkschnittstelle ohne Kryptografie auskommt, seien einem klassischen mechanischen Schließsystem in punkto Sicherheit unterlegen. In der Fachzeitschrift s+s report (Ausgabe 4-2012, S. 40/41) stellt Dipl.-Ing. Paulus Vorderwülbecke, VdS Schadenverhütung, die überarbeiteten Richtlinien für Schließanlagen (VdS 2386) vor. Das 2012 zusammen mit den betroffenen Kreisen entwickelte und eingeführte Sterne-Klassifizierungssystem für Sicherungstechnik könne nun auch auf Schließanlagenzylinder angewendet werden. Die Umsetzung der Neuerungen (unter anderem Verschärfung der Anforderungen an die Dauerbelastung von Schließzylindern und Einführung einer VdS-Endverbraucherkennzeichnung) werde, langen Übergangsfristen geschuldet, ab Mitte 2020 vollumfänglich greifen. mit einer nach SOAA definierten Chipkarte bidirektional kommunizieren. Das OfflineSegment könne auch bei reinen Online-Zutrittssystemen Verwendung finden. Für die drahtgebundene Kommunikation auf einer Zweidraht-Leitung (RS485) zwischen Controller und Leser hätten andere Hersteller das offene, von der Security Industry Association (SIA) standardisierte Open Supervised Device Protocol (OSDP) entwickelt. Somit bildeten SOAA und OSDP fast den Lückenschluss zu einem offenen standardisierten Datenaustausch über alle Kommunikationsebenen in der Zutrittskontrolltechnik. SecuPedia befasst sich in dem Newsletter 9/13 mit elektronischen Schließanlagen, die entweder als elektronisch-elektromechanische Systeme aufgebaut oder in Verbindung mit mechanischen Schließzylindern als Schließanlage aufgebaut seien. Aufgelistet werden Merkmale und Bestandteile elektronischer Schließanlagen und elektronische Identifikationsmerkmalsträger. Jürgen Lienau, CES Gruppe, behandelte in Ausgabe 3-2013 der WiK (S. 55–57) die im Januar veröffentlichte DIN EN 15684, die die Anforderungen für mechatronische Schließzylinder festlegt. In der Norm, die elektromechanische Schließzylinder in drei Hauptausführungen aufteile, würden nach Klassen gestaffelt Anforderungen festgelegt. Der 8-stellige Klassifizierungsschlüssel (Gebrauchskategorie/Dauerhaftigkeit/Feuerund Rauchwiderstand/Umweltbeständigkeit/ mechanische Verschlusssicherheit/elektronische Verschlusssicherheit/Systemmanagement/Angriffswiderstand) gebe Auskunft über die Eigenschaften des jeweiligen Schließzylinders. Der Sicherheits-Berater berichtete in der Ausgabe 17/13 (S. 260/261) über einen neuen Standard Offline Access Application (SOAA) für elektronische Offline-Schlösser. Er ermögliche es, OfflineSchlösser verschiedener Hersteller in ein und demselben Zutrittskontrollsystem zu verwenden. Das sei bisher nicht möglich. SOAA definiere eine Codierungsvorschrift für den Identifikationsmerkmalträger, die alle Hersteller nutzen könnten. Dadurch solle die proprietäre (herstellergebundene) Codierung der Chipkarten bald der Vergangenheit angehören und durch einheitliche und somit untereinander kompatible Datenstrukturen ersetzt werden. Somit könnten elektronische Offline-Schlösser eines jeden Herstellers Trotz steigender Nachfrage an elektronischen Sicherheitslösungen bieten mechanische Systeme nach Überzeugung der Fachzeitschrift GIT (Ausgabe Juni 2013, S. 56/57) immer noch das höchste Maß an Sicherheit und Zuverlässigkeit. Die steigende Nachfrage an elektronischen Schließsystemen würden die Ansprüche an die Mechanik steigern. Generell sei die Verwendung neuer, widerstandsfähiger Materialien Trend in der Entwicklung mechanischer Schließsysteme. Standards in der Mechanik, wie etwa der Aufbohrschutz, seien in den letzten Jahren aufgegriffen und verfeinert worden. Zudem machten neue Technologien wie die Verwendung von Magneten oder federnfreie Mechanismen mechanische Schließsyste- Jahrbuch der Unternehmenssicherheit 2013 me noch resistenter gegen Angriffe. Neue Entwicklungsansätze in der Mechanik lägen in der Verwendung von Materialien und Oberflächenbehandlungen, bei denen keine giftigen oder umweltschädlichen Materialien anfallen. Die Fachzeitschrift Security insight zeigt in ihrer Ausgabe 3-2013 (S. 48), wie sich elektronische Knäufe im hektischen Alltag von Kliniken und Pflegeeinrichtungen vor Zerstörung schützen lassen. Drumm Sicherheitstechnik habe den Geminy DigiSafe entwickelt, der als eine Art Panzer über den vorhandenen Zylinderknauf gestülpt und massiv von der Innenseite befestigt werde. Der bisherige Knauf werde vollständig verdeckt und mit dem DigiSafe fixiert. Bedient werde der Zylinder dann über den drehbar gelagerten Knauf der Sicherung. So konstruiert verhindere die Vorrichtung, dass der Knauf abgeschlagen, abgefahren oder abgetreten wird. Die Innovation schütze den digitalen Schließzylinder gegen Beschädigung und Vandalismus. Der Einsatz von Schlüsseldepots in Verbindung mit einer Alarmaufschaltung auf Leitstellen verkürze Zugriffszeiten, erleichtere das Schlüsselmanagement und sorge für mehr Flexibilität auch für den Betriebsalltag des Auftraggebers, argumentiert Wolfgang Herber, Kötter Sicherheitssysteme GmbH & Co.KG, in der Ausgabe 3-2013 der WiK (S. 50–52). Neben der Vereinfachung von Prozessabläufen werde durch den Einsatz von Schlüsseldepots auch ein erhöhter Sicherheitsstandard gegeben. Von einigen Herstellern elektronischer Depots werde ein interner Speicher mitgeliefert, der alle Schlüsselentnahmen im Schloss selbst registriert. Darüber hinaus würden alle Aktivitäten in der beauftragten NSL dokumentiert. Die Konvergenz von IP und IT in Sicherheitsanwendungen setzt sich fort, heißt es in Security insight (Ausgabe 3-2013, S. 52/53). Deshalb fordere der Markt eine Standardisierung. Ein Beispiel seien nicht vernetzte elektronische Schlösser als der einzige proprietäre Teil eines Zutrittskontrollsystems. Die Hardware bestehe inzwischen aus nativen IP-Geräten, deren Funktionen die Software vorgibt. Mit dem Trend der Zusammenführung von Sicherheitslösungen und Kartentechnologien habe die Nachfrage nach einer Standardlösung für das Schreiben von Zutrittsrechten auf einer Karte zugenommen. Deshalb hätten Nedap, Assa Abloy und Zugang GmbH gemeinsam einen neuen Standard entwickelt: Standard Offline Access Application (SOAA). Anwender würden durch die Standardisierung in die Lage versetzt, nicht vernetzte elektronische Schlösser von verschiedenen Lieferanten zu verwenden und sie in ihrem Sicherheitssystem auf ein und dieselbe Weise zu behandeln. Das mache das Leben derjenigen leichter, die die Berechtigungen verwalten, und sei auch für die Kartennutzer bequem. Außerdem werde die Integration nicht vernetzter Schlösser einfacher. Security insight weist in der Ausgabe 3-2013 (S. 58/59) auf den 2010 in Kraft getretenen „Cruise Vessel Security & Safety Act“ (CVSSA) – auch bekannt als „Kerry Bill“ – hin, das für jedes Kreuzfahrtschiff gelte, das in einen amerikanischen Hafen einläuft. Unter den zahlreichen Vorgaben des Gesetzes fänden sich auch signifikante Anforderungen an die Zugangs- und Kontrollverfahren für Besatzungsmitglieder. Gefordert werde ein System, das den Zugriff auf jeden einzelnen Schlüssel sowohl personen- als auch zeitbezogen kontrolliert, dokumentiert sowie definierte Zeitfenster überwacht. Der Anbieter Traka erfülle dieses Ziel mit Hilfe seiner netzwerkgesteuerten elektronischen Schlüsselschränke. Aufgrund der intuitiv bedienbaren, mit einer interaktiven realgrafischen Oberfläche ausgestatteten Software sei der zuständige Sicherheitsoffizier in kürzester Zeit in der Lage, das Gesamtsystem zu verwalten. Über die Datenbank-Kommunikation würden ihm Status und Alarme unmittelbar gemeldet. 205 206 Jahrbuch der Unternehmenssicherheit 2013 Schwarzarbeit Der Umfang der Schattenwirtschaft in Deutschland hat 2012 um 2,7 Milliarden Euro abgenommen, meldet die FAZ am 7. Februar. Er mache rund 340 Milliarden Euro aus, wie aus einer Untersuchung des Instituts für angewandte Wirtschaftsforschung und des Ökonomen Friedrich Schneider hervorgehe. Das Ausmaß der Schwarzarbeit habe sich auf 13,2 % reduziert. Als Gründe für den Rückgang hätten die Autoren die Wirtschaftslage, den geminderten Beitragssatz in der Rentenversicherung und die höhere Verdienstgrenze für Minijobber genannt. Nahezu alle Bereiche der Wirtschaft, besonders aber lohnintensive Branchen, sind von Schwarzarbeit betroffen, berichtete die Wochenzeitung DAS PARLAMENT am 28. Oktober 2013. Umfang und Entwicklung der Schwarzarbeit und illegaler Beschäftigung zu beziffern sei allerdings nicht möglich, heißt es im Zwölften Bericht der Bundesregierung über die Auswirkungen des Gesetzes zur Bekämpfung der illegalen Beschäftigung (17/14800). Verwiesen wird unter anderem auf Angaben des Instituts für angewandte Wirtschaftsforschung Tübingen (IAW) und die Arbeiten von Prof. Dr. Friedrich Schneider, die in ihren Analysen von einem Umfang der Schattenwirtschaft von 343 bis 352 Milliarden Euro ausgehen würden. Das würde einem Verhältnis der Schattenwirtschaft zum offiziellen Bruttoinlandsprodukt von rund 13,4 bis 14,6 % entsprechen. Die Forscher würden aber tendenziell von einem Rückgang der Schattenwirtschaft ausgehen. Die Einführung eines bundesweiten Mindestlohnes von 8,50 Euro dürfte zu mehr Schwarzarbeit führen, hieß es in der Wirtschaftswoche am 28. Oktober. Nach Berechnungen des IAW würde die Schattenwirtschaft in Deutschland um rund 900 Millionen Euro pro Jahr wachsen. Schwarzarbeitbranchen, die bisher keinen Branchenmindestlohn haben, wie das Gaststätten-, Taxi- und Logistikgewerbe, wären stark betroffen. Der Deutsche Gewerkschaftsbund habe die Bundesregierung zu einer effektiveren Bekämpfung der Schwarzarbeit aufgefordert, meldete boersennews.de am 6. April. Man gehe davon aus, dass bei Umwandlung der Schwarzarbeit in Beschäftigung mindestens 500.000 Arbeitsplätze entstehen könnten. Annelie Buntenbach, Mitglied des DGB-Bundesvorstands, habe eine neue Ordnung am Arbeitsmarkt gefordert, die die Beschäftigten vor Lohndumping und Ausbeutung schützt. Sie wolle eine klare Abgrenzung von selbstständiger und abhängiger Beschäftigung, damit Arbeitgeber nicht länger ungestraft Arbeitnehmer in angeblich Selbstständige umdefinieren könnten, denen sie dann die gesamten Risiken und Kosten zum Beispiel für die Sozialversicherung zuschieben könnten. Nach einem Bericht des BMF sei der durch Schwarzarbeit entstandene bundesweite Schaden in den Jahren 2011 und 2012 von 660 auf 750 Millionen Euro gestiegen. Deutschland und die Niederlande wollen bei der Bekämpfung der grenzüberschreitenden Schwarzarbeit besser kooperieren, meldete die Wochenzeitung DAS PARLAMENT am 4. Februar. Daher habe die Bundesregierung den Entwurf eines Gesetzes zum deutsch-niederländischen Vertrag zur Bekämpfung grenzüberschreitender Schwarzarbeit (17/2015) eingebracht, der inzwischen vom Bundestag an die Ausschüsse überwiesen worden sei. Der Vertrag regele besonders den Informationsaustausch zwischen den beiden Ländern. In deutschen Schlachthöfen sollen Leiharbeiter-Kolonnen systematisch schwarz beschäftigt worden sein, meldete WELT kompakt am 25. Juni. Es werde gegen 22 Beschuldigte und ein Firmengeflecht von rund zwei Dutzend Unternehmen ermittelt. Die Ermittler gingen dem Verdacht nach, dass mit dem Einsatz der Leiharbeiter aus Rumänien und Polen von den Leiharbeitsfirmen Steuern und Sozialabgaben in Millionenhöhe Jahrbuch der Unternehmenssicherheit 2013 hinterzogen wurden. Mehr als ein Dutzend Schlachthöfe soll von Hintermännern der Szene mit billigen Arbeitskräften versorgt worden sein. Die Leiharbeiter-Kolonnen hätten die Stammbelegschaften der Schlachthöfe vielerorts dezimiert. Rechtsanwalt Dr. Wolfgang Frisch erläutert in WiK (Ausgabe 5-2013, S. 54–56) ein neues BGH-Urteil (vom 1.8.2013) zur rechtlichen Beurteilung von Schwarzarbeitsverträgen. Das Gericht geht in dieser Entscheidung von der Nichtigkeit des Gesamtvertrages aus. Bei einseitigem Verstoß gegen das Schwarz- arbeitsgesetz habe der Besteller einen Anspruch auf ordnungsgemäße Erfüllung durch den Errichter und dieser dann auch Anspruch auf Leistung der vereinbarten Vergütung. Bei beiderseitigem Verstoß habe der Errichter dagegen keinen Anspruch auf den vertraglichen Werklohn und könne nur Wertersatz für seine Leistung verlangen. Bei der Bemessung des Wertersatzes seien erhebliche Abschläge als Ausgleich für die nicht bestehenden Gewährleistungsansprüche vorzunehmen. Hierbei seien Abschläge von 15 bis 50 % anzusetzen. Sicherheitsbeleuchtung René Tepaß, Novar GmbH, befasst sich in der Fachzeitschrift WiK (Ausgabe 3-2013, S. 61/62) mit der Sicherheitsbeleuchtung zur Unterstützung von Evakuierungsmaßnahmen. Angesichts immer komplexerer Gebäudestrukturen forderten die Feuerwehren verstärkt die passive Evakuierung, also alle Maßnahmen, zu denen die Feuerwehr nicht beitragen muss und die der Idealvorstellung gerecht werden, dass das Gebäude beim Eintreffen der Feuerwehr bereits geräumt ist. Nach Baurecht bildeten die Bauordnungen, Verordnungen und Richtlinien der Bundesländer die rechtliche Basis für eine Sicherheitsbeleuchtung. Nach Arbeitsschutzrecht seien es die Arbeitsstätten-Verordnungen und die Arbeitsstätten-Regeln. Für Notfallleuchten mussten bei einer Nachinstallation mühsam Wände aufgeschlagen und Kabel verlegt werden. Diese Zeiten seien vorbei, hieß es in der Juliausgabe des Behördenspiegels. Mit dem WirelessControl-System von SCHORISCH Systems lasse sich Sicherheitsbeleuchtung über Funk sogar in großer Stückzahl vernetzen. Der Computer erkenne automatisch alle Rettungszeichen und Sicherheitsleuchten. Fällt eine Leuchte aus oder liegt womöglich eine Funkstörung vor, erhalte der Haustechniker per E-Mail einen Warnhinweis. Die Notlichtfunktion sei immer gewährleistet. Sicherheitsforschung Rund 1,5 Milliarden Euro sollen im Rahmen eines mehrjährigen Forschungsprogramms namens „Horizon 2020“ unter anderem zur Weiterentwicklung der Technik bei der Kriminalitäts- und Terrorbekämpfung zur Verfügung stehen, hieß es nach einer Meldung des Tagesspiegel vom 31. Juli in der EU-Kommission. Die Kritik von Netzpolitikern richte sich indes auf Projekte wie das Programm „Clean IT“, das bis zum Beginn dieses Jahres mit EU-Mitteln gefördert wurde. Das Programm, das den Missbrauch des Internets durch Terrorgruppen einschränken soll, werfe nach den Worten des Grünen-Innenexperten Konstantin von Notz zahlreiche Fragen auf. So sei ungeklärt, ob solche Suchprogramme auf die E-Mails unbescholtener Bürger zugreifen. 207 208 Jahrbuch der Unternehmenssicherheit 2013 Sicherheitsgewerbe – Allgemeine Themen Auf einen Antrag der Bundestagsfraktion Die Linke, die „Privatisierung der öffentlichen Sicherheit“ rückgängig zu machen (17/10810), verwies die Wochenzeitung DAS PARLAMENT am 18. März. Zunehmend finde eine „Übertragung hoheitlicher Befugnisse auf private Wach- und Sicherheitsdienste“ statt. „Öffentliche Ordnungs- und Sicherheitsaufgaben werden privatisiert, das staatliche Gewaltmonopol wird vom Gesetzgeber selbst zugunsten kommerzieller Interessen aufgeweicht“. Die Bundesregierung werde in dem Antrag aufgefordert, „eine Politik zu verfolgen, die die Staatsquote in den Bereichen der öffentlichen Sicherheit erhöht“. Vordringlich solle dies im Bereich der Bahn und Flughäfen sichergestellt werden. Die Linksfraktion fordere unter anderem erhöhte Standards für die Aus- und Fortbildung des Personals von Sicherheitsfirmen sowie eine Bezahlung nach den Tarifen des öffentlichen Dienstes. Dagegen betont der CDUAbgeordnete Armin Schuster, die öffentliche Sicherheit und Ordnung sei „Sache des Staates, und das bleibt auch so“. Niemand stelle das Gewaltmonopol des Staates ernsthaft in Frage. Nach Meinung der FDP-Fraktionsvize Gisela Piltz müssten nicht überall, wo etwa Bewachungsaufgaben wahrgenommen werden, dafür Polizisten eingesetzt werden. Nach Ansicht des SPD-Parlamentariers Wolfgang Gunkel müssen für die Aus- und Weiterbildung des Personals höhere Standards als bisher gelten, wenn private Dienstleister Sicherungsaufgaben wie beispielsweise beim Werkschutz übernehmen. Auch müssten annehmbare Arbeitsbedingungen herrschen und angemessene Löhne gezahlt werden. Manfred Buhl, Securitas Holding GmbH, bezeichnete im Special Sicherheitsdienstleistung der Fachzeitschrift WiK vom Juni 2013 die Lage des Sicherheitsgewerbes als stabil. Der 2011 eingeführte Mindestlohn für einfache Tätigkeiten habe sich insgesamt bewährt und werde in der Regel beachtet. Eine Verdächtigenquote von 6,4 % bei Kontrollen durch den Zoll entspreche dem Durchschnitt aller Kontrollen in der Bauwirtschaft, dem Gebäudereinigungsgewerbe und der Abfallwirtschaft. Der latenten Gefahr, dass ein allgemeiner gesetzlicher Mindestlohn zum generellen Maßstab auch bei der Vergabe von anspruchsvollen Leistungen werde, müsse durch die von der IMK geforderte Zertifizierung als Voraussetzung für die Wahrnehmung für die öffentliche Sicherheit wichtiger Funktionen begegnet werden. Ohne eine gesetzliche Verankerung (in einem neuen § 32 GewO oder in einem eigenen Gesetz der privaten Sicherheit) könne im Vergabeverfahren das Erfordernis der Zertifizierung (als Berufsausübungs-, nicht Berufswahlbeschränkung) nicht durchgesetzt werden (S. 9/10). Die FAZ berichtete am 22. November über eine Untersuchung des Marktforschungsunternehmens Lünendonk. Der deutsche Markt für Sicherheitsdienstleistungen sei 2012 auf rund 5 Milliarden Euro gewachsen, der Umsatz aller Sicherheitsdienstleister um 200 Millionen Euro gegenüber 2011 gestiegen. Gleichzeitig hätten die Renditen auf dem hart umkämpften Markt abgenommen. Einen allgemeinen Mindestlohn sähen die 40 befragten Sicherheitsunternehmen positiv und hielten einen Stundensatz von 8,50 Euro sogar für zu niedrig. Sie plädierten für 9,40 Euro im Westen und 8,90 Euro im Osten. Der Markt sei stark fragmentiert. Auf ihm tummelten sich viele Kleinstunternehmen. Es gebe jedoch erste Konsolidierungsanzeichen: Die 15 größten Firmen seien mit durchschnittlich 4,3 % schneller gewachsen als der Gesamtmarkt. Da die Eintrittshürden niedrig seien, drängten jedes Jahr etwa 100 neue Unternehmen auf den Markt und machten den Etablierten das Leben schwer. Auch die Auftraggeber wollten immer weniger für Sicherheitsdienstleistungen bezahlen. Bis 2020 erwarte Lünendonk ein Marktwachstum von unter 5 % je Jahr. Möglicher Wachstumstreiber sei die Verhinderung von Wirtschaftsspionage und Cyberkriminalität. Jahrbuch der Unternehmenssicherheit 2013 Sicherheitsgewerbe – Situation der Beschäftigten Der Sicherheits-Berater ist in seiner Ausgabe vom 15. Februar im „Stressreport Deutschland 2012“ den Aussagen zur Situation von Beschäftigten im Sicherheitsgewerbe nachgegangen. 19 % müssten sich mit befristeten Arbeitsverhältnissen zufrieden geben und 42 % seien in den Jahren von einer Umstrukturierung betroffen gewesen. 72 % hätten angegeben, „einen gewissen Handlungsspielraum“ zu besitzen, ihre eigene Arbeit also selbst planen und einteilen zu können. 78 % fühlten sich am Arbeitsplatz als Teil einer Ge- meinschaft. 42 % beobachteten eine Stresszunahme in den letzten zwei Jahren. 86 % klagten über gesundheitliche Beschwerden. Der Sicherheitsberater weist in Nr. 16-2013 (S. 234–236) darauf hin, dass tarifliche Zuschläge für Nacht-, Sonntags- und Feiertagsarbeit nur auf die Lohn- und Lohnnebenkosten, nicht aber auf den Verrechnungssatz (VRS), aufgeschlagen werden dürfen. Sicherheitsgewerbe – Aus- und Weiterbildung Andreas Brink, Vollmergruppe Dienstleistung, sieht Verbesserungsbedarf in der Ausbildung (Special Sicherheitsdienstleistung der Fachzeitschrift WiK vom Juni 2013). 2011 habe die Durchfallquote bei den Fachkräften bei 23 % und bei den Servicekräften bei 30 % gelegen. Die Abbruchquote habe 42,9 % betragen. Als Hauptgrund für den Abbruch würden betriebliche Hintergründe genannt (70 %). Dazu zählten unter anderem ungünstige Arbeitsbedingungen, mangelnde Vermittlung von Ausbildungsinhalten und Konflikte mit Vorgesetzten. Leider sei es in vielen Sicherheitsunternehmen zur gängigen Praxis geworden, die Auszubildenden eigenverantwortlich als feste Mitarbeiter im operativen Bereich einzusetzen. Vielfach seien sie allein an den Schutzobjekten tätig und leisteten bis zu 200 Arbeitsstunden monatlich. Verständlich, dass bei einer Vergütung von 560 € im ersten Ausbildungsjahr Konflikte mit Vorgesetzten vorprogrammiert seien und die eigentlichen Ausbildungsinhalte nicht vermittelt werden könnte (S. 11/12). Markus Benkwitz, OSD Schäfer GmbH, zeigt sich überzeugt, dass kombinierte und das Management unterstützende Dienstleistungen zur effizienten Unternehmensführung beitragen. Klassische Tätigkeiten in der Standortsicherheit ließen sich effizient mit Schutzaufgaben wie Arbeits- und Gesundheitsschutz, Brandschutz und Umweltschutz verknüpfen. Fachbereiche im Unternehmen könnten operativ entlastet werden. Das Spektrum reiche bis zur Übernahme von Beauftragtenfunktionen sowie der Hilfestellung bei internen Audits und der Vorbereitung auf Zertifizierungen (S. 13). Gabriele Biesing, Securitas Holding GmbH, befasst sich in Ausgabe 3-2013 der Zeitschrift WiK (S. 42–44) mit der wachsenden Professionalisierung und Verbesserungsmöglichkeiten bei der Aus- und Weiterbildung. Die beiden Ausbildungsberufe – Fachkraft und Servicekraft für Schutz und Sicherheit – seien sowohl hinsichtlich ihrer Anforderungen, Inhalte und Kompetenzen als auch der danach möglichen Karrierewege und ihrer Chancen noch immer nicht allgemein bekannt, oder sie würden unterschätzt. Angesichts der derzeit noch unerfreulich hohen Abbruchquoten werde deutlich, dass noch einiges in Angriff zu nehmen ist. Oft werde im Vorfeld bei der Auswahl die Auszubildenden nicht genügend über die Ausbildungs- und Einsatzzeiten (Schichtdienst) informiert oder ein falsches Bild geweckt (Stichworte: Bodyguard, Observation, Event-Schutz).Leider gebe es auch eine Vielzahl von „trügerischen Bildungstiteln“ verschiedener Bildungsträger. Hinter klangvollen Abschlüssen und Titeln wie „Facility Security Worker“ oder „Sicher 209 210 Jahrbuch der Unternehmenssicherheit 2013 heitsdienstleistungsfachkraft(IHK)“ würden sich oft lediglich die gewerberechtlichen Zugangsvoraussetzungen gemäß § 34a GewO verbergen. Potenziale habe der Handel erkannt: Gemeinsam mit dem BDSW habe eine Arbeitsgruppe verschiedener Handelsunternehmen und des EHI einen Entwurf für eine Zusatzqualifikation „Sicherheitskraft im Handel“ erarbeitet. Zur Ausbildung im Sicherheitsgewerbe äußert sich auch Martin Hildebrandt, BDSW, in DSD (Ausgabe 2-2013, S. 3–5). Kurz nach Einführung des zweijährigen Ausbildungsberufs habe sich der BDSW am Projekt „Optimierung der Qualifizierungsangebote für gering qualifizierte Arbeitslose“ der Bundesagentur für Arbeit (BA) beteiligt. Entwickelt werden sollte ein neues Weiterbildungskonzept, mit dem Geringqualifizierte zu den anerkannten Abschlüssen Service- und Fachkraft für Schutz und Sicherheit geführt werden können. Es handele sich um ein modulares Bildungsangebot, das das Erreichen der Berufsabschlüsse auf überschaubare Qualifikationseinheiten herunter bricht. Jede einzelne Teilqualifikation sei nicht nur ein Schritt in Richtung Berufsabschluss, sondern gleichzeitig auch einzeln am Arbeitsmarkt verwertbar, weil sie alle notwendigen Kompetenzen für identifizierte betriebliche Einzelfelder umfasse. Die Erfahrungen der beteiligten Unternehmen seien, sowohl was die Ergebnisse der Qualifizierung als auch was die Integration der Mitarbeiter angeht, sehr positiv. Derzeit laufe eine Verlängerung der Erprobungsphase. Danach werde die BA entscheiden, welchen Platz Teilqualifikationen künftig im Förderportfolio der BA einnehmen werden. Sicherheitsgewerbe – Ausrüstung Ausstattungstipps für den mobilen Sicherheitsdienst gibt in der Ausgabe 1-2013 der WiK Redaktionsmitglied Ulrich Sobers (S. 20– 22) und beschränkt sich dabei auf Lösungen auf Android-Basis. Netze und Endgeräte werden leistungsfähiger, doch wer originelle Lösungen für Smartphones oder Tablet-Rechner sucht, die für den mobilen Sicherheitseinsatz geeignet sind, werde nicht allzu schnell fündig. Zwar gebe es Apps für Fernabfragen der Videoüberwachung, Fernsteuerlösungen für intelligente Gebäudetechniksysteme oder auch bei Wächterkontrollsystemen, doch ausgeschöpft würden die Möglichkeiten in diesem Einsatzbereich längst nicht. Als Basisfunktionen für Sicherheitszwecke stünden zur Verfügung: weltweite Verfügbarkeit über Mobilfunk und Internet, Anzeige visueller und akustischer Informationen, Ermittlung von Geokoordinaten, Zugriffsfunktionen mit mobiler Berechtigungsvergabe und Verknüpfung von Informationen und Daten mit Ereignissen und Reaktionen. Wichtige Grundvoraussetzung für eine Nutzung von Smartphones bei Sicherheitsaufgaben sei die Berücksichtigung der systembedingten Schwächen von mobilfunkbasierten Lösungen. Die App-Ausstattung eines „Wachdienst-Smartphones“ müsse daher über Apps aus unterschiedlichen Topics zusammengestellt werden. Objektschlüssel und Stechuhr könnten durch NFC ersetzt werden. Denkbar sei auch die Verwendung als Scharf-/Unscharf-Schalter für Gefahrenmeldeanlagen. Ein „must have“ aus der Security-Rubrik sei allerdings eine App zum Schutz bei Verlust. Je tiefer Smartphone-Anwendungen in den Dienstalltag eindringen sollen, umso komplexer würden die Bedienvorgänge. Automatisierte „Reaktionen“ im Objektschutz könnten das Versenden von Standortinformationen zum Arbeitsnachweis, die Freigabe von Zugriffscodes bei bestimmter Geoposition oder Alarme bei Verlassen eines Aufenthaltsbereichs sein. Jahrbuch der Unternehmenssicherheit 2013 Sicherheitsgewerbe – Einsatzbereiche Mehrere Beiträge im Special Sicherheitsdienstleistung der Fachzeitschrift WiK (Juni 2013) befassen sich mit Themen der Sicherheitsdienstleistung für die Unternehmenssicherheit: 92,4 % der im Rahmen der WiK-Sicherheitsenquete 2012/2013 Befragten aus der Unternehmenssicherheit hatten 2012 mindestens eine Sicherheitsaufgabe an externe Anbieter vergeben. Im Durchschnitt wurden 5 aus 18 abgefragten Sicherheitsdienstleistungen fremd vergeben. Am häufigsten genannt wurden Wartung von Sicherheitstechnik, Objektschutz, Empfangsdienste und Alarmaufschaltung. Auch künftig sei ein weiter wachsendes Outsourcing wahrscheinlich. Etwa die Hälfte der Unternehmen kündigte an, dass sie bis Ende 2013 zusätzliche, bisher selbst erbrachte, Sicherheitsservices nach außen vergeben wollten. Insourcing spiele so gut wie keine Rolle mehr. Besondere Trends der Fremdvergabe seien aktuell nicht festzustellen. Die relativ größten Potenziale für Neuvergaben gebe es im Bereich Arbeitssicherheit und bei der Ausschreibung für Sicherheitstechnik. Bei 35,5 % der befragten Anbieter von Sicherheitsdiensten sollen 2013 neue Servicebereiche hinzukommen. Am häufigsten wurden als neue Dienstleistungsangebote Arbeitssicherheit, IT-Sicherheit, Telefonzentrale, Wartung von Sicherheitstechnik und Transportbegleitung genannt. 11 Unternehmen erwägen, Geldund Wertdienste ab 2013 wieder oder neu ins Portfolio zu nehmen. Die überwiegende Zahl der Kunden sei mit den von ihnen beauftragten Sicherheitsdienstleistern recht zufrieden. Wenig beliebt bei Auftraggebern sei es, wenn der Dienstleister Subunternehmen einsetzt. Eine ordentliche, tariftreue Entlohnung der Mitarbeiter des Dienstleisters sei den Auftraggebern wichtig. 48 % der befragten Sicherheitsbeauftragten von Unternehmen nannten den Sachkundenachweis als Mindestqualifikation eingesetzter Mitarbeiter von Sicherheitsdienstleistern, 35 % die geprüfte Schutz- und Sicherheitskraft, 29 % die Fachkraft für Schutz und Sicherheit (S. 5–8). Stefan Berlin, Simacek Security GmbH, stellt in der Ausgabe 3-2013 der Zeitschrift Security insight (S. 31) das Konzept „StadtService“ vor, das auf integrierte Prävention ziele, um die Innenstädte sicher zu machen und für den Einzelhandel attraktiv zu halten. Der Sicherheitsarbeiter des StadtService komme dabei die Rolle des Dienstleisters im öffentlichen Alltag der Stadt zu als Ansprechpartner für die im täglichen Bewegungsfluss entstehenden Bedürfnisse und Probleme. Er müsse sympathische Präsenz zeigen, ansprechbar sein, passiv steuern oder aktiv dort eingreifen, wo Hilfe, ein „nachdrücklicher Hinweis“ oder eine „ordnende Hand“ nötig sind. Und der WSO Sicherheitsdienst bezeichnet im Special Sicherheitsdienstleistung (Juni 2013, S. 16/17) der Fachzeitschrift WiK die CityStreife in Osnabrück als eine nicht mehr wegzudenkende Institution. Stets werde eine deeskalierende Taktik verfolgt. In der Ausgabe 4-2012 der Zeitschrift DSD weist Cornelia Okpara, BDSW, auf ein Urteil des Bundesfinanzhofs v. 19. 06. 2012 (VII R 43/11) hin, nach dem das Hauptzollamt die Erteilung des AEO-Zertifikats „Zollrechtliche Vereinfachungen/Sicherheit“ von der Bedingung abhängig machen darf, dass der Antragsteller seine in sicherheitsrelevanten Bereichen tätigen Bediensteten einer Sicherheitsüberprüfung anhand der sogenannten Terrorismuslisten unterzieht. Es bestünden keine datenschutzrechtlichen Bedenken. Der Abgleich der personenbezogenen Daten der Bediensteten mit den Namen in den Listen der VO Nr.2580/2001 und der VO Nr. 881/2002 sei nach § 32 Abs.1 Satz 1 BDSG zulässig. (S. 40/41) 211 212 Jahrbuch der Unternehmenssicherheit 2013 Sicherheitsgewerbe – Politische Forderungen SecuMedia berichtet am 22. August 2013 über eine Pressekonferenz des BDSW-Präsidenten, der einen Forderungskatalog an die zukünftige Bundesregierung präsentiert habe. Mit Ausnahme von Deutschland und Österreich unterliege die Zuständigkeit für die privaten Sicherheitsdienste in allen anderen 25 EU-Staaten den Innen- bzw. Justizministerien. Die Zeit sei reif, dass auch in Deutschland die privaten Sicherheitsdienste in den Zuständigkeitsbereich der Innenbehörden übernommen werden. Die 2009 von der IMK geforderte Zertifizierung von Sicherheitsunternehmen als Voraussetzung der Übernah- me besonders anspruchsvoller Tätigkeiten sei noch immer nicht umgesetzt. Außerdem müsse der Gewerbezugang zum Sicherheitsgewerbe deutlich verschärft werden. Auch die derzeitige Praxis der Zuverlässigkeitsüberprüfung der Sicherheitsmitarbeiterinnen und -mitarbeiter müsse auf den Prüfstand. Der BDSW fordere eine bessere Zusammenarbeit zwischen Staat und Wirtschaft in Fragen des Wirtschaftsschutzes. Dazu gehöre auch eine Schulung der Geschäftsführer und Führungskräfte von Sicherheitsunternehmen durch kompetente Vertreter der Sicherheitsbehörden. Sicherheitsgewerbe – Rechtsextremismus Unter Bezugnahme auf die Vorwürfe gegenüber dem Sicherheitsdienstleister H.E.S.S., dessen Mitarbeiter Kleidung der Marke Thor Steinar getragen haben sollen, die in der rechtsextremen Szene als Erkennungszeichen gilt, beklagte die FAZ am 8. März 2013, mit welcher Lethargie manche Behörden die Überprüfung von rechtsextremen Sicherheitskräften praktizieren würden. Dies werde hinter vorgehaltener Hand auch von Verfassungsschützern kritisiert. Auch der Brandenburger Landesgruppenleiter des Bundesverbandes der Sicherheitswirtschaft, Matthias Schulze, sage, das Problem der Beschäftigung von Rechtsextremisten bei Sicherheitsfirmen sei zunehmend zu beobachten. Allein in Brandenburg ist nach Angaben der Leiterin des Verfassungsschutzes von mehreren Hundert Rechtsextremisten auszugehen, die in ihrer Tätigkeit unter Umständen auch hoheitliche Aufgaben wahrnehmen würden. Eine Projektgruppe der IMK habe 2011 eine strengere Zertifizierung von Sicherheitsfirmen erarbeitet. Die Fachleute hätten eine stärkere Überprüfung von Wachleuten empfohlen, die momentan nur einmalig bei ihrer Einstellung ein polizeiliches Führungszeugnis vorlegen müssten. Solche Prüfungen sollten mindestens alle drei Jahre erfolgen, forderten die Fachleute. Umgesetzt seien die Vorschläge bisher nicht. Sicherheitsleitsystem El. Ing. HTL/Wirtschaftsing. STV André Corpataux, Securiton AG, behandelt im SicherheitsForum (Ausgabe 5-2013, S. 41–43) Anforderungen an moderne Sicherheitsleitsysteme. Die dienten der zentralen Überwachung aller Subsysteme, stellten Meldungen sowie die Fernbedienung aller Subsysteme standardisiert dar und protokollierten alle Ereignisse und Benutzereingriffe. Moderne Sicher- heitsleitsysteme seien in der Lage, mit allen Gewerken zu kommunizieren. Sie müssten universell und offen für neue Funktionen und Datenbanken sowie möglichst betriebssystemunabhängig sein. Pro Meldung müssten alle sinnvollen Befehle des auslösenden Datenpunktes sowie mögliche Reaktionen auf andere Datenpunkte dem Benutzer zur Verfügung gestellt werden. Zur optimalen Jahrbuch der Unternehmenssicherheit 2013 Unterstützung des täglichen Ablaufs bedürfe es einer Datenpunktliste, die alle Zustände der angeschlossenen Sensoren zu jeder Zeit online nachführe und visualisiere. Sicherheitsmanagement Unternehmenssicherheit als Managementaufgabe thematisiert PROTECTOR in der Ausgabe 12-2013 (S. 42/43). Die stärkste Sicherheit sei die, die den Mitarbeitern in Fleisch und Blut übergegangen ist. Ein Kardinalfehler sei es, Sicherheit quasi von oben anzuordnen. Sie sei trügerisch, denn sie könne hinsichtlich ihrer Effizienz nicht kontrolliert werden. Nicht viel besser sei ein dickleibiges Sicherheitskompendium, eine „Policy“. Drei Faktoren seien es, die aus einer angeordneten Sicherheit ein brüchiges Gebilde machen, auf das im Ernstfall kein Verlass ist: die Unkenntnis. Die Einbettung der Information über Sicherheitsthemen in eine Betriebsversammlung müsse als denkbar ungeeignet angesehen werden. Sicherheitsthemen seien keine Angelegenheit, die nebenher verhandelt werden könnten. Sicherheitsmarkt Rainer A. H. von zur Mühlen, von zur Mühlen’sche GmbH, prognostizierte in der Ausgabe 1-2013 des SicherheitsForums (S. 13–17) Trends für das Jahr 2013. Für Brandmeldeanlagen geht er im Hinblick auf zu erwartende Erweiterungsinvestitionen und Modernisierungen von einem Wachstum von 6–8 % aus. Den Zuwachs bei Einbruchmeldeanlagen schätzt er im Privatbereich auf 5 % (infolge zunehmender Einbruchskriminalität in höherwertige Wohnobjekte durch international tätige Banden), im Geschäftsbereich auf 4–6 %. Er prognostiziert für Videoüberwachungsanlagen infolge der Kriminalitätslage im Eigenheimbereich einen Zuwachs von ca. 4 %. An der Front der Zutrittskontrollsysteme dürfe man wieder ein Wachstum von 3–4 % erwarten. Der Umsatz des Sicherheitsgewerbes würde um ca. 2–3 % wachsen. Sichtbar werde der Trend, Qualität der angebotenen Leistungen schwerer zu gewichten als noch in den Jahren zuvor. Ferner zeige sich ein Trend zur SLA-basierten Auftragsvergabe. Das Sicherheitsunternehmen bekomme eine zu bepreisende Aufgabe und ein definiertes Anspruchsniveau. Wie diese Aufgabe zu erfüllen und das Niveau zu erreichen ist, die Anzahl der Einsatzkräfte, ihre Qualifizierung und Qualität, sei seine Sache. Ferner rechnet der Autor mit einer Zunahme von Zertifizierungen von Rechenzentren mit einem Anstieg von etwa 15 % im Vergleich zum Vorjahr. 2013 werde auch ein Jahr der Revision der E-Versorgung von Rechenzentren und der Verbesserung der Not-Autarkie. Die Hersteller der Anlagen könnten sich über ein Plus von ca. 8–10 % freuen. Nach einem Bericht der Forschungsfirma The Freedonia Group wird erwartet, dass der weltweite Bedarf nach Sicherheitsausrüstung jährlich um 7 % auf 117 Billionen $ anwachsen wird, berichtet SecurityinfoWatch. Die höchsten Zuwächse werden in Asien, Osteuropa, Afrika und dem Mittleren Osten erwartet, wo der Sicherheitsmarkt noch relativ unterentwickelt sei. Die wichtigsten Einflussfaktoren seien: größeres wirtschaftliches Wachstum, neue Geschäftsmodelle und ausländische Investitionen, Urbanisierung und Zunahme des Mittelstandes und der Oberschicht. Es werde erwartet, dass die schnellsten Zuwächse am sicherheitstechnischen Bedarf in China und Indien entstehen. 2016 soll China mehr als ein Viertel des weltweiten Wachstums des Umsatzes von Sicherheitstechnik erreichen. In Nordamerika wird ein jährliches Wachstum 213 214 Jahrbuch der Unternehmenssicherheit 2013 von 6,5 % bis 2016 erwartet. 2011 habe elektronische Sicherheitstechnik 65 % der weltweiten Nachfrage erreicht, die kommerzielle und industrielle Sicherheitsausrüstung habe etwa 65 % der Umsätze ausgemacht. In einer Mitteilung des BHE beurteilt die Mehrzahl der Fachfirmen für Sicherheitstechnik ihre derzeitige Geschäftslage als gut, berichtet SecuPedia in einem Newsletter. Dabei zeige sich, dass diese positive Bewertung überwiegend von den Gewerbekunden gespeist werde, die Lage bei behördlichen und privaten Nachfragern sicherheitstechnischer Leistungen werde tendenziell eher als befriedigend eingeschätzt. Das Gewerk Brandmeldeanlagen sei erneut am besten und die Lage bei der Einbruchmeldetechnik noch mit „gut“ bewertet worden. Die künftige Geschäftslage werde etwas schlechter eingeschätzt als im Herbst 2012. Protector berichtet in seiner Ausgabe 7-8/2013 (S. 15) über den Markt für elektronische Sicherheitssysteme in Deutschland. Der werde 2012 mit 2,95 Milliarden Euro beziffert (+ 6,3 % gegenüber 2011). Für 2013 gingen Experten des ZVEI von + 3 % aus. Struktur des Marktes: 44 % BMA, 22 % ÜEMA, 14 % Videoüberwachung. 2012 hätte der Umsatz von BMA um 8,6 % auf 1,3 Milliarden €, von Zutrittskontrollsystemen um 5,3 % auf 260 Millionen €, von Videotechnik um 4,6 % auf 413 Millionen €, von RWA um 8,6 % auf 239 Millionen €, von Sprachalarmanlagen um 8,6 % auf 76 Millionen € und von ÜEMA um 2 % auf 654 Millionen € zugenommen. Wie SecuPedia im Newsletter 8/2013 berichtet, kommt eine im Auftrag des Brandenburgischen Instituts für Gesellschaft und Sicherheit (BIGS) vom GfK in Nürnberg 2012/2013 durchgeführte Marktstrukturerhebung über die Sicherheitswirtschaft in Deutschland zu deutlich höheren Ergebnissen, als dies von Branchenverbänden angegeben wird. In der Studie werde der zivile Gesamtmarkt für Sicherheitsprodukte und -dienstleistungen in der klassischen und der IT-Sicherheit auf zusammen rund 35 Milliar- den Euro geschätzt. Dagegen schätzten die Verbände BDSW, BHE und ZVEI anlässlich der Security 2012 den Markt auf zusammen etwa 12 Milliarden Euro, BITKOM den aktuellen IT-Sicherheitsmarkt auf 3,3 Milliarden Euro ein. Die Unterschiede ergäben sich aus einer breiteren und verbandsübergreifenden Marktabgrenzung durch BIGS, das unter Sicherheitswirtschaft alle Umsätze erfasse, die in der zivilen Sicherheit entstehen, also etwa im Bereich Sicherheitsgewerbe auch Unternehmen einbeziehe, die nur einen Teil ihrer Umsätze in der zivilen Sicherheit erzielen. Für 2013 erwarteten die Befragten ein durchschnittliches Umsatzwachstum von 3,9 %. Dabei würden die Unternehmen das Wachstum des gesamten deutschen Sicherheitsmarktes für 2013 mit 5,5 % höher einschätzen als das Wachstum ihres eigenen Unternehmens. Die Fachzeitschrift WiK weist in der Ausgabe 4-2013 (S. 7) auf eine neue Studie des US-Sicherheitsberaters Homeland Security Research hin. Danach sollen die weltweiten Videoinvestitionen bis 2020 auf 21 Milliarden $ steigen. Für 2012 schätzen die Marktforscher den Weltumsatz auf ca. 7,5 Milliarden $. Treiber der künftigen Entwicklung seien vor allem der wachsende Bedarf an Überwachungstechnik, die ständige Verbesserung der Technik und auch die fallenden Kosten für die Systeme. WiK weist in der Ausgabe 5-2013 (S. 50) darauf hin, dass der US-Sicherheitsmarkt 2012 rund 350 Milliarden $ schwer gewesen sei. 202 Milliarden $ seien auf die „klassische“ Sicherheit, 80 auf die IT-Sicherheit entfallen, mit erwarteten Zuwächsen 2013 bei der klassischen Sicherheit von 5 %, bei der ITSicherheit von 9 %. Eine Studie von RNCOS erwartet für den weltweiten Videoüberwachungsmarkt zwischen 2013 und 2017 ein durchschnittliches Wachstum von jährlich 14 %. Dabei würden IP-basierte Systeme und die Datenspeicherung in IP Storage Are-Netzwerken die wichtigsten Umsatzträger sein. Jahrbuch der Unternehmenssicherheit 2013 Sicherheitsplanung „10 Grundsätze der Sicherheitsplanung“ nennt der Sicherheits-Berater in der Ausgabe 7/2013: Frühzeitigkeit der Sicherheitsplanung in allen Phasen/Schutz- und Verfügbarkeitsziele bestimmen/Vorrang der Prävention gegenüber Detektion und Schadensbekämpfung /Ganzheitlichkeit/Gleichwertigkeit/Wirtschaftlichkeit/Reduktion physischer Außenbeziehungen/Konsistenz/Praktikabilität und Akzeptanz/Antizipation von Entwicklungen. Sicherheitsstudium Prof. Sachar Paulus, Fachhochschule Brandenburg, erläutert in Security insight (Ausgabe 4-2013, S. 18/19), warum an der Akademisierung der Unternehmenssicherheit kein Weg vorbei führe. Die Anforderungen, die sich aus einer immer komplexeren Integration von Geschäftsprozessen und Realisierung von Mehrwert durch innovative, technisch unterstützte Geschäftsmodelle ergäben, ließen sich nur durch eine entsprechende Qualifizierung nachhaltig sicherstellen. Statt „Lage und Einsatzplanung“ sei „Mehrwert und Geschäftsprozess-Integration“ angesagt – eine völlig neue Perspektive sei erforderlich. Entsprechend dieser Logik seien gerade Studiengänge interessant, die auch den aktuellen Sicherheitsmitarbeitern die Möglichkeit bieten, auf ihre Erfahrungen die fehlenden Kompetenzen aufzusatteln – mit etwas Technik und viel Prozessgedanken. Eine Übersicht des Ausbildungs- und Studienangebots zu Sicherheitsthemen sei unter www.security-qualification.de zu finden. Sicherheitssysteme Die Fachzeitschrift GIT stellt in ihrer Ausgabe 5-2013 (S. 10/11) eine standortübergreifende Sicherheitslösung für Airbus vor. Kern der Lösung sei die Sicherheitsmanagementsoftware „Siveillance Fusion“. Sie verwalte sämtliche Systeme für Zutrittskontrolle, Videoüberwachung und Einbruchsicherung. Zudem würden Daten aus weiteren Systemen in die zentrale Sicherheitsmanagementplattform einfließen. Für Airbus bedeute das Transparenz und Kontrolle über die Sicher- heitssysteme in allen Niederlassungen und Werken weltweit. Siveillance Fusion gewährleiste nicht nur die physische Sicherheit der Standorte, sondern auch der Fertigungsund Logistikprozesse. Sie Software gebe an zentralen Stellen und in Echtzeit einen Überblick über alle sicherheitsrelevanten Parameter. Zudem könne das System Daten von anderen Gewerken und Fremdherstellern abgreifen und sie für die Gesamtbeurteilung der Sicherheitslage berücksichtigen. Sicherheitstechnik Michael Schaller, WIOSAG Sicherheitstechnik GmbH & Co.KG, weist in der Ausgabe 3-2013 der Fachzeitschrift Security insight darauf hin, dass Sicherheitstechnik ihre ganze Leistungsfähigkeit erst durch das Zusammenspiel mit Mensch und Organisation entfaltet (S. 22–24). Die Kombination aus Basisberatung, Standardlösungen und Leitstellen-Aufschaltung liefere für Apotheken, Bäckereien und anderes Kleingewerbe kostenattraktive und professionelle Lösungen, ohne dass sich jemand aus dem Unternehmen selbst intensiv mit der Thematik auseinandersetzen müsste. 215 216 Jahrbuch der Unternehmenssicherheit 2013 SecuPedia befasst sich in einem Newsletter mit Anwendungen der Terahertz-Strahlung. Die THz-Messtechnik teile man in zerstörungsfreie Materialprüfung, in medizinischbiologische Anwendungen sowie in Anwendungen in der Sicherheitstechnik ein. Aufgrund ihrer Eigenschaft, Verdecktes sichtbar zu machen, ließen sich mit der THzMesstechnik Gegenstände wie z.B. Sprengstoffe oder Drogen unter Kleidung bzw. in nicht metallischen Behältern nachweisen. Für die Personenkontrolle würden dabei parallel zwei unterschiedliche Ansätze verfolgt: passive und aktive THz-Systeme, die sich darin unterscheiden, ob die natürliche THz-Strahlung verwendet wird oder eine künstliche THzQuelle zum Einsatz kommt. Bei passiven Verfahren werde die von Körpern ausgesendete oder reflektierte natürliche Strahlung mit Hilfe sehr empfindlicher Detektoren, meist auf Basis von Mikrobolometern, nachgewiesen. Dem Vorteil der Vermeidung von künstlicher Beleuchtung und der damit verbundenen Strahlenschutzproblematik stehe der Nachteil der sehr geringen Signalstärke gegenüber. Bei den aktiven Verfahren werde die zu untersuchende Person mit künstlich erzeugten THz-Wellen beleuchtet und das reflektierte Licht detektiert. Neben Personen könnten auch andere Objekte wie Pakete und Briefe untersucht werden. Hier habe das Fraunhofer IPM zusammen mit Partnern den Postscanner T-Cognition 2.0 zur Drogen- und Sprengstoffdetektion in Briefen und kleinen Päckchen entwickelt. Dieser detektiere simultan spektrale THz-Fingerabdrücke der Probe in Transmission sowie Reflexion und wertet diese anhand einer chemometrischen Analysesoftware auf Basis einer umfangreichen Datenbank online aus. Satellitentechnik spürt kriminelle Fischer auf, titelte SPIEGEL ONLINE am 22. April 2013. Experten schätzten, dass mit illegalen und nicht offiziell gemeldeten Fängen pro Jahr zwischen 10 und 23,5 Milliarden USDollar umgesetzt würden. Das Treiben auf See zu überwachen, sei eine logistische Herausforderung. Behörden und NGO versuch- ten dies vermehrt per Satellit. Zusätzlich ermögliche das Antikollisions-System (AIS), das viele größere Schiffe besitzen, theoretisch eine Überwachung. Das AIS sende Namen und Position eines Schiffs, seine Größe und Geschwindigkeit. Aber das AIS könne manipuliert oder einfach ausgeschaltet werden. Die Überwachung der Fischerei per Satelliten stecke zwar noch in den Kinderschuhen, aber sie sei dabei, sich rasant zu entwickeln. Entwicklungstrends bei Brandschutz, Sicherheit und Gebäudeautomatisierung im Jahr 2013 skizziert in der Ausgabe 5-2013 der Zeitschrift GIT (S. 14–17) René Jungbluth, Siemens Schweiz AG. Er beschreibt solche Trends beispielsweise in der Systemintegration, der Konvergenz, der kabellosen Kommunikationstechnologie, der mehrfachen Datennutzung, in der Systemintelligenz, in der Energieeffizienzüberwachung und dem Reporting und in vertikalen Lösungen. Werner Kühn, Tyco Fire & Security Holding Germany GmbH, skizziert sieben Trends: Die Notwendigkeit von dialogfähigen, integrierten Systemen; den Übergang von analogen zu digitalen Technologien; den zunehmenden Einsatz von Videoanalysen und ihre Nutzung, um Geschäftsinformationen zu erhalten und die Geschäftseffizienz zu verbessern; die Annäherung von physischen und IP-basierten Sicherheitslösungen; die Bedeutung von betrieblichen Effizienzgewinnen und Gesamtbetriebskosten für Kunden; den Einsatz in IT-Umgebungen eingebetteter Sicherheitslösungen zum Schutz sensibler Daten; und die organisierte Kriminalität in der gesamten Lieferkette (S. 18–20). Bernd Nonnenmacher, Euromicron Solutions GmbH, äußert sich in der Ausgabe 5-2013 von Protector (S. 34/35) zu den Vorteilen von Ethernet und IP als Übertragungsmedium für sicherheitstechnische Anlagen. Die Nutzung bestehender LAN-Infrastrukturen und die daraus entstehenden Kostenvorteile seien dafür der offensichtliche Treiber. Zudem führe die Nutzung standardisierter und weit verbreiteter Technologien wie Ethernet-Swit- Jahrbuch der Unternehmenssicherheit 2013 ches zu einer signifikanten Optimierung der Betriebskosten und reduziere die Wartungskosten durch die gemeinsame Nutzung der Infrastrukturen. Intelligenter als die Installierung paralleler Netzinfrastrukturen sei eine zusammen mit dem IT-Bereich geplante Integration von Bürokommunikation und Sicherheitstechnik in die vorhandene Netzinfrastruktur, gegebenenfalls mit Erweiterung oder Erneuerung bestehender Netzwerkkomponenten. Die einfachste Form des Schutzes vertraulicher Daten aus einer Brandmeldeanlage oder einer Videoüberwachung sei die Verlagerung der Anschlüsse für die Sicherheitstechnik in ein eigenes virtuelles LAN. Bei erhöhtem Schutzbedarf sei es aber ratsam, die Kopplung der virtuellen LANs nicht auf den zentralen Layer 3-Switches, sondern auf einer Firewall zu realisieren. Der Sicherheitsberater weist in seiner Ausgabe 10-2013 (S. 155/156) auf die Möglichkeit der Umrüstung von IP-Sprechstellen zum Alarmsensor hin. Scanvest habe mit der Zusatzfunktion „AudioAnalytics“ eine solche Lösung entwickelt. Die Möglichkeit, die Entstehung von Konflikten aktiv zu melden, sei eine ideale Ergänzung für die Videoanalyse. Das Signal des Mikrofons werde ständig an einen Server übertragen. AudioAnalytics durchsuche dabei die Geräusche, die das Mikrofon der Sprechstelle aufnimmt, auf spezifische Muster. Finde der Algorithmus eine ausreichende Ähnlichkeit mit entsprechenden sicherheitskritischen Mustern, werde ein Alarm generiert und übertragen. Als detektierbare Muster nenne Scanvest Aggression in Stimmen, Glasbruch, Autoalarm oder Schüsse. Durch die Analyse der Daten im Server ergebe sich auch bei lauten Nebengeräuschen eine gute Detektion. In der Ausgabe 6-2013 von Security insight zeigt Albert Dercksen, Nedap Security Management, wie die Welt der IT und die der Sicherheitstechnik sich einander immer weiter annähern, da sie oftmals auf den gleichen Betriebssystemen aufsetzen und zunehmend miteinander vernetzt sind (S. 46/47). Die folgenden Forderungen der IT-Sicherheit könnten je nach Art des Systems für die Auswahl und Implementierung der physischen Sicherheitslösungen gelten: Treffen Sie in der Tiefe gestaffelte Sicherheitsmaßnahmen! Wenden Sie ein positives Sicherheitsmodell an! Implementieren Sie eine Politik, die die Vermeidung von Fehlern gewährleistet! Vermeiden Sie unklare Sicherheitsmaßnahmen! Erkennen Sie Einbrüche! Vertrauen Sie Infrastrukturen und Dienstleistungen nicht blind! Legen Sie sichere Standardeinstellungen fest! Machen Sie die Sicherheitsmaßnahmen so einfach wie möglich! Die Fachzeitschrift GIT stellt in der Ausgabe 12-2013 (S. 10–13) die Gewinner des „GIT SICHERHEIT AWARD 2014“ vor: -in der Kategorie „sichere Automatisierung“ : 1. Sicherheitsschaltgeräte Sirius 3SK1 von Siemens; 2. Blitzstrom-Ableiter zum Schutz von DC-Anwendungen von Dehn+Söhne; 3. berührungsloser und codierter Sicherheitssensor auf RFID-Basis von Bernstein -in der Kategorie Brandschutz, Ex- und Arbeitsschutz: 1. OxyRecuct VPSA von Wagner; 2. kabelloses Brandmeldesystem SWING von Siemens; 3. portable Wärmebildkameras für die Brandbekämpfung von FLIR -in der Kategorie CCTV: 1. IP-Kamera M15 von Mobotix; 2. Full-HD Dome Kamera mit 30fach optischem Zoom von Panasonic; 3. robuste PTZ-Domekamera von Samsung Techwin -in der Kategorie „Zutritt, Einbruch- und Perimeterschutz“: 1. Clay Cloud-Zutrittsystem von Salto Systems; 2. Amax Einbruchmeldeanlage von Bosch Security Systems; 3. Ultivest Funkalarmsystem von Abus Security-Center 217 218 Jahrbuch der Unternehmenssicherheit 2013 -in der Kategorie Sicherheitsmanagement: 1.Bosch Secure Truck Parking von Bosch Communication Center; 2. erweiterte Schutzfunktion für Zutrittskontrollsyste- me von SimonsVoss; 3. Winguard Softwareplattform zur Integration unverbundener Sicherheitssysteme von Advancis. Sicherheitswirtschaft Dr. Bernd Stoppelkamp, BDSW, befasst sich in der Ausgabe 4-2013 des Fachorgans DSD (S. 38–40) mit der Definition der Sicherheitswirtschaft und mit einem „Masterplan Zivile Sicherheit“. Aus Sicht des BDSW spreche viel dafür, der Definition des Brandenburgischen Instituts für Gesellschaft und Sicherheit (BIGS) zu folgen, nach der die Sicherheitswirtschaft alle Unternehmen umfasst, die Produkte und Dienstleistungen zum Schutz von kritischen Infrastrukturen sowie zum Schutz vor Kriminalität, Wirtschaftsspionage und Terrorismus und zur Bewältigung von Krisenund Naturkatastrophen anbieten. Durch die BIGS-Studie sei es zwar nicht gelungen, die genaue Aufteilung der einzelnen Marktsegmente der Sicherheitswirtschaft zu ermitteln, aber die Studie habe das Gesamtumsatzvolumen für die deutsche Sicherheitswirtschaft im Jahre 2011 mit 35 Milliarden Euro ermittelt. Das BMWi habe im September 2013 die Auftragsstudie „Masterplan Zivile Sicherheit“ vorgestellt, in der neun Schwerpunktfelder herausgearbeitet worden seien, in denen es aktuell Probleme und Optimierungsbedarf gebe: Mangel der Branchendefinition Sicherheitswirtschaft, fragmentierte Märkte, zu hohe Marktzutrittsbarrieren, mangelnder Referenzmarkt Deutschlands zur Erschließung von Fremdmärkten, Defizite in der Systemfähigkeit, Notwendigkeit effizienterer Marketing- und Kommunikationsinstrumente, um den Bekanntheitsgrad deutscher Lösungen zu erhöhen, Transferproblematik zwischen Forschungsergebnissen und Umsetzung in marktfähige Lösungen, Verbesserung der Kooperationsmodelle zwischen Industrie und Sicherheitsbehörden sowie Ausbau der Kooperationsfähigkeit auf internationalen Märkten. In der Studie fänden sich vielfältige Handlungsempfehlungen hinsichtlich der Übersicht der relevanten Marktentwicklungen, der Stimulierung des nationalen Marktes, der konsequenten Fortführung der „Exportinitiative Sicherheitstechnologien“ und einer begleitenden Informations- und Kommunikationsstrategie. Manfred Buhl, Vizepräsident BDSW, plädiert in der Fachzeitschrift WiK (Ausgabe 6-2012, S. 67–69) dafür, dass die Sicherheitswirtschaft alle Möglichkeiten technischer Intelligenz und intelligenter Sicherheitslösungen ausschöpft. Beispiele intelligenter Sicherheitslösungen fänden sich in der aktiven Sicherheitsdienstleistung, der Kundenberatung, in der Nutzung von Synergien, der Ressourceneinsparung und in der Integration von Sicherheitstechnik und Dienstleistung. Als Beispiele intelligenter Sicherheitstechnik skizziert Buhl die modernen Mehrkriterienmelder, die intelligente Videobildanalyse, die Anwendung von Lasermesssystemen zum Schutz von Ausstellungsexponaten, die Alarmübertragung über das Internet Protocol IP-basiert und das Zusammenwachsen von Gebäudeautomatisierung und Sicherheitstechnik mittels IT-Konvergenz. Derselbe Autor beschreibt in der Zeitschrift Homeland Security (Ausgabe 1-2013, S. 4–7) den Beitrag der Sicherheitswirtschaft zur Homeland Security, also dem Schutz der Inneren Sicherheit vor grenzüberschreitender Kriminalität. Als besonders gefährliche Bedrohungsphänomene sieht er den Internationalen Terrorismus, die Organisierte Kriminalität, die Wirtschaftsspionage, die Produkt- und Markenpiraterie und die IuK-Kriminalität. Er benennt moderne Sicherheitstechnologien, die den Einsatz der Organe der öffentlichen Sicherheit optimieren und den Beitrag des Jahrbuch der Unternehmenssicherheit 2013 Sicherheitsgewerbes, sowohl zur Entlastung der Polizei als auch zum Schutz kritischer Infrastrukturen vor grenzüberschreitender Kriminalität. Nach einem Bericht von Public ICT vom 14. Oktober 2013 kommt eine Studie des Wirtschaftsforschungsinstituts WifOR der TU Darmstadt zu dem Ergebnis, dass die IT-Sicherheitswirtschaft eine der leistungsfähigsten deutschen Zukunftsbranchen ist. Die besonderen Stärken der IT-Sicherheitsan- bieter lägen in den Bereichen Kryptographie, Smartcards, PKI-Lösungen, digitalen Signaturen sowie Hochsicherheitslösungen. 2012 seien von der deutschen IT-Sicherheitswirtschaft Güter im Wert von 6,254 Milliarden Euro in rund 9.200 Unternehmen produziert worden. Der Wert der exportierten Güter habe bei 1,228 Milliarden Euro, der Import bei 1,575 Milliarden Euro gelegen. Das gesamte Aufkommen an IT-Sicherheitsgütern in Deutschland habe 7,829 Milliarden Euro betragen. Soziale Netzwerke It-sa Benefiz weist am 22. August 2013 auf ein vom Fraunhofer-Institut für Sichere Informationstechnologie erarbeitetes Dossier „Soziale Netzwerke bewusst nutzen“ hin. Dort sei der aktuelle Wissensstand zu Risiken und Handlungsmöglichkeiten für Privatnutzer und Unternehmen zusammengestellt. Das Dossier beschreibe die Methoden von Datensammlern und Wirtschaftsspionen und gebe konkrete Hilfestellungen, wie Unternehmen die Risiken minimieren können. Die Studie ist kostenfrei im Internet unter www.sit.fraunhofer.de/soziale-netzwerke-2013 erhältlich. Spionage – Schadensausmaß Um mehr als vier Milliarden Euro jährlich schädigen nach einem Bericht vom Focus am 18. März 2013 Netzwerk-Späher die deutsche Wirtschaft. Ihre Beute: Know-how. Für gestohlene Konstruktionspläne beziehungsweise Patente zahlten Marktkonkurrenten oder interessierte Staaten oftmals hohe Summen. Jedes vierte Unternehmen habe in einer Befragung von KPMG eingeräumt, 2012 schon einmal ausgespäht worden zu sein. Auf eine im Juni 2012 entdeckte Attacke auf VW habe das Unternehmen offenbar nur noch reagieren können. In einer geheimen Mail der „Priorität 1“, welche die zentralen Sicherheitskoordinatoren des Konzerns (CERT) versandten, seien alle Standorte weltweit angewiesen worden, ihre Rechner umgehend nach „newvw.exe“ zu durchsuchen. Die Angst der Ingenieure: Gelänge es einem Angreifer, in den abgeschotteten Fertigungsbereich einzudringen, drohe nicht nur der Verlust wertvoller Daten, sondern im schlimmsten Fall auch der Produktionsstillstand. Konzerne verschwiegen oder verharmlosten zumindest die Attacken, denen sie regelmäßig ausgesetzt sind. Zu groß sei die Angst, dass Kunden und Aktionäre das Vertrauen in das Unternehmen verlieren oder Mitbewerber von einem solchen Eingeständnis der Schwäche profitieren könnten. Polizei und Verfassungsschutz würden absichtlich nicht informiert. Mit Behörden zu sprechen sei ein Tabu. Internet-Spionage entwickele sich zu einem regelrechten Wirtschaftszweig. „Wir haben es mit organisierter Kriminalität zu tun“, stelle Paul Gillen, Leiter der europäischen Task Force gegen CyberKriminalität, klar. Der Ire koordiniere länderübergreifende Ermittlungen bei Cyber-Verbrechen. Er befehlige die vor wenigen Wochen gestartete Spezialtruppe, mit der Europol die wachsende Bedrohung bekämpfen wolle. Die Web-Spitzel stellten sich meist so geschickt an, dass die Unternehmen nicht einmal merken, wenn ein Angreifer in ihrem Netz wütete. 219 220 Jahrbuch der Unternehmenssicherheit 2013 Oft bereiteten die Täter ihre Einbrüche sehr langfristig vor, betone Michael George vom Bayerischen Landesamt für Verfassungsschutz. So auch im Fall eines deutschen Großkonzerns aus dem Technologiebereich. Dort hätte der Dieb mit einer chinesischen Rechneradresse bereits ein Jahr vor der Attacke die Unternehmensnetze genauestens untersucht und Schwachstellen ausgekundschaftet. Der Einbrecher habe einen schlecht gesicherten Hintereingang (eine nicht mehr verwendete Web-Anwendung) in einem der US-Netze des Unternehmens gefunden. Wenige Wochen später sei er über diese Tür in den Konzern eingestiegen. Er habe sich durch den internen Schutzwall gefräst, den Techniker „entmilitarisierte Zone“ (DMZ) nennen. Dann habe er sich in die zentrale Kontrollstation gehackt und sich im zentralen Verzeichnisdienst eingenistet. In monatelanger Arbeit sei es der Firma gelungen, den Kriminellen schrittweise aus dem System zu werfen. Ob das wirklich geklappt hat, wüssten die Opfer nie. Inzwischen konstruierten Kriminelle ihre Einbruchs-Software auch so, dass Sicherheitsprogramme sie nicht erkennen. Über die Hälfte aller deutschen Unternehmen sei bereits Opfer von Industriespionage geworden. Das sei das Ergebnis der Studie „Industriespionage 2012“ der Sicherheitsberatung Corporate Trust, berichtet der Security Explorer. Davon gehörten 23,5 % der Unternehmen zum Mittelstand, 18,5 % seien große Konzerne. Der deutschen Wirtschaft entstünde durch Industriespionage jährlich ein Gesamtschaden von ca. 4,2 Milliarden Euro. Auftraggeber seien zu 39 % Konkurrenten, zu 19 % Kunden, zu 9 % Zulieferer und zu 7 % Geheimdienste. Das IHK-Magazin für München und Obernbayern befasst sich in seiner Ausgabe 02/2013 mit der gegen mittelständische Firmen gerichteten Industriespionage anhand eines Falles, in dem die clearaudio electronics GmbH in Erlangen, die auf HightechPlattenspieler spezialisiert ist, von einer chinesischen Firma ausspioniert worden sei. Es habe sich sicher nachweisen lassen, dass aus China auf seine Firmen-IT zugegriffen worden war. Weil der Unternehmer befürchtete, dass sein chinesischer Wettbewerber das Plagiat weiter herstellen und verkaufen würde, habe er über seine Tochterfirma in Hongkong einen V-Mann bei der Konkurrenz eingeschleust. Dieser habe herausgefunden, wann die plagiierten Bauteile das nächste Mal nach Deutschland geliefert würden. Auf einen Hinweis hin seien die Zollbehörden eingeschritten, die Plagiate verschrottet worden, und der chinesische Konkurrent habe aufgegeben. Wie die aktuelle Studie „Industriespionage 2012“ der Corporate Trust Business Risk & Crises Management GmbH bestätige, seien 2012 mindestens 21,4 % der befragten Unternehmen von Industriespionage betroffen gewesen. Rechne man die Verdachtsfälle hinzu, seien es mehr als 50 %. Dabei gebe es ein doppeltes Dunkelfeld: Unternehmen merkten nicht, dass sie ausspioniert werden, oder sie machten aus Angst vor Imageschäden keine Angaben. Bernhard Kux, IT-Experte der IHK München, appelliert deshalb auch besonders an die kleinen und mittleren Unternehmen. Weil sie sich als nicht gefährdet einstuften, schützen sie sich nicht genug, seien also ein leichtes Angriffsziel. Es seien drei verschiedene Tätergruppen zu unterscheiden: ausländische Nachrichtendienste, Konkurrenzunternehmen und Kriminelle, die die Ergebnisse ihrer Tätigkeit oft in geheimen Internetforen verkauften oder die ausspionierten Unternehmen erpressten. Um in die Firmen-IT einzudringen, gebe es vor allem vier Einfallstore: Remote Access-Zugänge, schlecht programmierte Webanwendungen, eine fehlende klare Zugriffsverwaltung und zu einfache Passwörter. Nicht zuletzt stellten mobile Endgeräte ein immenses Sicherheitsproblem dar, auch als Tatwaffe gegen das Unternehmensnetz. Ein noch neues potentielles Einfallstor für Spione bilde das Cloud-Computing. Doch das Ausspionieren von Unternehmen sei nicht nur ein technisches Thema. An rund 70 % aller Informationsabflüsse seien unzufriedene Mitarbeiter beteiligt. Um herauszufinden, wo die größten Gefahren lauern, Jahrbuch der Unternehmenssicherheit 2013 ließen manche Firmenchefs zunächst sogenannte Penetration Tests durchführen. Dann gelte es, die nötigen Sicherheitsmaßnahmen zu erarbeiten. Zunächst sollten Unternehmen die entscheidenden fünf Prozent ihrer Daten bestimmen, hinter denen sich ihre „Kronjuwelen“ verbergen. Diese Daten würden am besten über individuelle Kryptoverfahren verschlüsselt. Die Berichte über elektronische Massenüberwachung, angezapfte Internet-Knotenpunkte und transatlantische Datenleitungen haben Deutschlands Wirtschaft aufgeschreckt, berichtete SPIEGEL ONLINE am 27. Juni 2013. Viele Firmen fürchteten nun, dass die Geheimdienste nicht nur Terroristen ausspionieren wollen, sondern vor allem ihre Betriebsgeheimnisse. Sie bangten um ihren Know-how-Vorsprung gegenüber amerikanischen, britischen und französischen Konkurrenten. Die Berichte über die Aktivitäten der Geheimdienste seien ein Weckruf für viele Unternehmen, sagt Rainer Glatz, Geschäftsführer der AG Produkt- und Know-howSchutz beim VDMA. Die Sensibilität steige. Es tue auch dringend not. Höchstens jeder vierte Mittelständler habe bislang überhaupt eine IT-Sicherheitsstrategie, sagt Christian Schaaf, Corporate Trust. Viele beschränkten sich auf eine einfache Firewall und ein paar Anti-Virenprogramme. Das aber reiche nicht gegen professionelle Hacker. Der Verfassungsschutz schätze den Schaden durch Industriespionage auf 30 bis 60 Milliarden Euro pro Jahr. So gut wie nie hätten sich ausspionierte Firmen an die Öffentlichkeit gewagt, weil sie Angst hätten vor Nachahmern. Weil sie keinen potentiellen Angreifer wissen lassen wollten, wo ihre Schwachstellen sind und wie sie sich gegen Attacken wappnen. Oder weil sie befürchteten, ihnen könnten Kunden abspringen. Der vergleichsweise strenge Datenschutz könnte zum Standortvorteil für deutsche Anbieter von IT-Sicherheit werden. So seien hiesige Rechenzentren neuerdings stark gefragt. Private Cloud-Anbieter wie Demando, eine Tochter der Stadtwerke Kaiserslautern, böten den Kunden eigene Serverschränke oder sogar exklusive Glasfaserleitungen von Unternehmen zu ihrer Serverfarm, damit sensible Daten erst gar nicht durchs Internet geschickt werden müssten. Überwachung habe das Vertrauen in Technik zerstört, schrieben nach einer Meldung von ZEIT ONLINE vom 9. Dezember Apple, Google, Facebook und andere in einem offenen Brief. Es brauche eine Reform der Geheimdienstkontrolle. Die USA sollten mit gutem Beispiel für andere Regierungen vorangehen. Trotz der NSA-Affäre unterschätzten viele deutsche Mittelständler noch immer die Gefahren durch Wirtschaftsspionage, zeigt sich nach einer Meldung der FAZ am 31.12.2013 Friedrich Kötter, Vizepräsident des BDSDW, überzeugt. Dagegen stehe bei den Großkonzernen das Thema Unternehmenssicherheit ganz oben auf der Agenda. Die Diskussion dürfe auch nicht auf den Schutz der IT-Systeme verengt werden. Spionage – Angriffsziele Wie heise online am 5. Juni 2013 meldet, hat Kaspersky Lab eine Cyberspionage-Kampagne analysiert, die seit 2004 hochrangige Opfer ins Visier nimmt. Insgesamt sollen bis zu 1.000 Personen aus mindestens 40 Ländern systematisch ausgehorcht worden sein – darunter auch Opfer aus Deutschland. 350 der ausspionierten Personen seien identifiziert worden. Sie bekleideten wichtige Positionen in privaten und öffentlichen Einrichtungen. Die als NetTraveler benannte Kampagne habe sich so vor allem Informationen aus den Bereichen der Weltraumforschung, Nanotechnologie, Energieproduktion, Nuklearenergie, Lasertechnologie, Medizin und Kommunikation verschafft. Die Opfer hätten sich mit der 221 222 Jahrbuch der Unternehmenssicherheit 2013 Spionagesoftware über gezieltes Phishing infiziert. Geködert worden seien die Empfänger über auf sie zugeschnittene Mailanhänge. Die Hackergruppe soll aus circa 50 Personen bestehen, von denen die meisten chinesische Muttersprachler mit Englischkenntnissen sein müssten. Der Ende März verhaftete mutmaßliche pakistanische Agent Umar R. habe offenbar das international renommierte Deutsche Zentrum für Luft- und Raumfahrt (DLR) ausspioniert, meldete der Focus am 8. April. Der 28-jährige Diplom-Ingenieur werde verdächtigt, in der DLR-Forschungsabteilung militärisch nutzbare Hochtechnologie beschafft zu haben. Sein besonderes Interesse habe der Steuerungstechnik von Überwachungsdrohnen gegolten, wie sie von der Bundeswehr in Afghanistan eingesetzt werden. Auftraggeber sei nach Erkenntnissen der Ermittler der pakistanische Geheimdienst ISI. Im Skandal um den im Dezember aufgeflogenen „Apotheker-Spion“ im Bundesgesundheitsministerium seien nun bei der Spitzenorganisation der deutschen Apothekerverbände (Abda) schwerwiegende Organisationsmängel und fehlende Kontrollen offenbart worden, meldete die FAZ am 22. April. Auch seien Aufgaben und Kompetenzen unklar definiert. Gegen den früheren Leiter der Abteilung Öffentlichkeitsarbeit, Thomas Bellartz, ermittele seit Monaten die Berliner Staatsanwaltschaft. Er soll einen im Gesundheitsministerium eingesetzten Beschäftigten eines IT-Dienstleisters dafür bezahlt haben, ihm geheime Dokumente wie Gesetzentwürfe und Mails aus dem Ministerium zu beschaffen. „Ausspähen von Daten“ und die Anstiftung dazu, lauten die Beschuldigungen. Offenbar seien einzelne Apothekenvertreter mit dem ausgespähten Material versorgt worden. Die deutsche Bergbaumaschinenindustrie werde ausspioniert, meldete die FAZ am 22. November. Nicht nur für Geheimdienste, sondern auch für die Mafia sei der Datendiebstahl lukrativ geworden. Nach Informationen des VDMA verdienten manche Clans mit gestohlenem Firmenwissen und Produktpiraterie mehr als mit Prostitution und Drogenhandel. Die Unternehmen hätten kaum Abwehrchancen, weil die Möglichkeiten, sich der technisch hochgerüsteten Methoden von Geheimdiensten zu erwehren, sehr begrenzt seien. Um sich vor Nachahmung zu schützen, meldeten die Firmen keine Patente an. Spionage – Spionageprogramme Wie die Wirtschaftswoche am 1. August berichtet, stellte die britische Tageszeitung „The Guardian“ eine NSA-Präsentation ins Netz, nach der Mitarbeiter über ein Programm namens „XKeyscore“ Zugriff auf gewaltige Datenmengen haben. Geheimdienstler könnten in den enormen Datenbanken der NSA nach Namen E-Mail-Adressen, Telefonnummern und Schlagworten suchen. Für die einzelnen Anfragen bräuchten sie keine gesonderte Zustimmung eines Richters. Auch die Bobachtung der Internetaktivität einzelner Menschen in Echtzeit sei mit „XKeyscore“ möglich. Unter anderem könne man die IPAdresse jedes Besuchers einer bestimmten Website erfassen, Inhalte der Kommunikation würden drei bis fünf Tage lang gespeichert, Verbindungsdaten 30 Tage. Spionage – Lauschmittel In der Ausgabe 11-2013 des Protector (S. 60/61) befasst sich Klaus-Henning Glitza mit der technologischen Entwicklung von Lauschmitteln. Die operative Technik könne durchaus in einem Stück Pappe stecken, das unter einen Tisch geschoben wird, damit Jahrbuch der Unternehmenssicherheit 2013 dieser nicht wackelt. Längst seien „Wanzen“ von miniaturisierten Systemen abgelöst worden, die ihre gespeicherten Aufzeichnungen nur einmal am Tag aussenden. Technisch ausgereifte Sendeeinheiten nutzten das im Mikrowellenbereich liegende Satellitenübertragungsverfahren. Die Werkstoffe moderner Miniatursender ließen sich messtechnisch kaum noch nachweisen. Der Autor erwähnt aber auch „unmoderne“ Verfahren der Ausspähung, die noch immer eingesetzt würden. Dazu gehörten: „aus Versehen“ liegen gelassene Mobiltelefone, digitale Recorder und Diktiergeräte, Mitschnittgeräte, Fax-Monitoring-Systeme, das Abhören über das Stromnetz, Richtmikrofone und mobile Hochleistungsmikrofone. Europäische Unternehmen beliefern die Welt mit Spionagegeräten, berichtet das Handelsblatt am 8. Juli 2013. Trovicor, ein 100-Mann-Betrieb aus München, vertreibe, installiere und warte ganze IT-Systeme für die Datenüberwachung. Area aus Italien entwickle Technologien, mit denen Kunden Daten aus Internet, Mobilfunk und Festnetztelefonie abfangen, analysieren und speichern können. Auch Atis Uher aus Bad Homburg, Utimatico aus Aachen und die Saarländer Firma Syborg seien in dem Geschäft für Überwachungssoftware und -technologie dabei. Der Markt für Überwachungsequipment weltweit sei 4,8 Milliarden Euro schwer. Spionage – Social Engineering Dr. Carsten Hesse, Riskworkers GmbH, analysiert in der WiK (Ausgabe 5-2013, S. 22–26) Tricks der Angreifer beim Social Engineering. Manipuliert werde, seit es Geheimnisse gibt, die andere erfahren wollen. Neu seien Effizienz und Zielgenauigkeit der Manipulationen, das Social Engineering. Psychologisch betrachtet gebe es drei motivationale Faktoren, die eine Manipulation begünstigen: Angst, Gier und Defizite im Sicherheitskonzept. Eine Manipulationsmöglichkeit bestehe im Vortäuschen des Anrufs eines Headhunters, der eine attraktive Position offeriert. Der Autor schildert verschiedene Gesprächstechniken. Bei der ersten Kontaktsituation täusche der Agent oft vor, die Zielperson zufällig zu treffen. Sie werde oft im vertrauten Umfeld angesprochen, in der sie sich sicher fühlt und eine zufällige Unterhaltung zwischen Fremden normal ist. Günstig sei es, wenn der Agent über eine gewisse Ähnlichkeit zur Zielperson hinsichtlich Auftreten, Physiognomie, Dialekt, Sprachstil und Herkunft verfügt. Beim Erstkontakt werde so Akzeptanz erzeugt. Als manipulative Gesprächstechnik werde oft das Konzept der Reziprozität angewandt: Im Verlauf eines Gesprächskontakts erwähne der Agent beiläufig, dass er aktuell bestimmte Schwierigkeiten habe. Gemäß der Reziprozität fühle sich der Gesprächspartner verpflichtet, auf die Preisgabe einer persönlichen Information mit einer vergleichbaren Offenbarung seinerseits zu reagieren. Eine andere Gesprächstechnik sei das „Cold-Reading“: Unter Verwendung von allgemeingültigen Halbwahrheiten, denen praktisch jeder zustimmen kann, werde ein tiefer gehendes Verständnis des Gesprächspartners suggeriert. Dieser werde dann auf Basis einer angenommenen Vertrautheit dazu verleitet, dem Manipulator weitere persönliche Informationen mitzuteilen. Hilfreich sei auch die Gesprächstechnik des sogenannten „Synchronisierens“: Mitteilungen des Gesprächspartners würden dabei in verschiedenen Variationen wiederholt. Man höre nur die eigenen Worte in immer anderer Abwandlung. Der Gesprächspartner empfinde ein hohes Maß an Verständnis und Akzeptanz. 223 224 Jahrbuch der Unternehmenssicherheit 2013 Spionage – China Ein deutsches Unternehmen wurde offenbar Opfer von Konkurrenzspionage durch einen chinesischen Joint Venture-Partner, wurde in den von der ASW am 13. Mai 2013 herausgegebenen Informationen zum Wirtschaftsschutz berichtet. 2012 habe sich ein Mitarbeiter eines chinesischen Joint VentureUnternehmens für eine mehrwöchige Hospitation zur Einführung in ein gemeinsames Projektteam am Hauptsitz des deutschen Unternehmens aufgehalten. Die Personalauswahl sei nicht auf dem sonst üblichen Weg durch das deutsche Unternehmen, sondern aufgrund einer Delegierung der chinesischen Seite erfolgt. Bei der Ausführung von Arbeitsaufträgen seien bei dem chinesischen Hospitanten unzureichendes Fachwissen sowie nicht vorhandene Erfahrungen so offenkundig geworden, dass weitere Aufgaben ihm nur noch bedingt zugeleitet werden konnten. Während seines Aufenthalts hätten mehrere Auffälligkeiten zu dem Verdacht einer gezielten Ausspähung der deutschen Firma geführt. Der frühere CIA-Chef Michael Hayden habe den chinesischen Telekommunikationskonzern Huawei der Spionage bezichtigt, meldete die FAZ am 20. Juli 2013. Er sei sich sicher, dass der Konzern Peking mit geheimen Informationen versorge. China habe er eine unbeschränkte Ausspähung des Westens vorgeworfen. Huawei stelle eine eindeutige Gefahr für die nationale Sicherheit der USA und Australiens dar. Großbritannien, die USA und Australien würden Huawei vorwerfen, enge Verbindungen zum chinesischen Staat zu unterhalten und ihm Ausrüstung für Spionage und Cyber-Attacken zu liefern. Die ASW behandelt in ihrer Mitteilung 040/13 v. 14. August 2013 die Ausforschungsgefahr durch chinesische Besuchsdelegationen. Es gebe keine einheitliche Vorgehensweise, mit der externe Besucher Betriebe ausspähen. Die Wahrscheinlichkeit eines Schadens könne durch einige elementare Vorsichtsmaßnahmen gesenkt werden: durch eine auf die Bedürfnisse der Firma abgestimmte Besucherregelung; durch generelle Sensibilisierung aller Mitarbeiter; durch Benennung von Verantwortlichen, die Besucher begleiten, intern als Ansprechpartner zur Verfügung stehen und bei Auffälligkeiten reagieren müssen; durch Instruktion der vom Besuch betroffenen Personen; durch Einsatz von fachkundigem Empfangspersonal, das auf Verbote hinweist, Sicherheitsvorschriften von Besuchern unterschreiben lässt und mitgebrachte elektronische Geräte verwahrt; durch Abklärung von Besuchern bereits im Vorfeld; durch Registrierung aller Besucher und ihrer Fahrzeuge; durch Anordnung, Besucherausweise offen sichtbar zu tragen. Spionage – Abwehr Basis für Sicherheitsmaßnahmen zur Abwehr von Industriespionage sei in jedem Fall Grundschutz nach BSI und die Normenfamilie ISO 27000, ist die softScheck GmbH nach einer Meldung am 8. Juli 2013 unter pr-inside. com überzeugt. Als die 9 wichtigsten zusätzlichen Sicherheitsmaßnahmen werden bezeichnet: Datensparsamkeit; Anschluss an das Internet auf hoch abgesicherte Computer und Netze beschränken ; Prüfung, ob die Nutzung sozialer Netze für den Geschäftser- folg notwendig ist; möglichst anonymisierte Suchmaschinen nutzen; Verschlüsselung mit langen Schlüsseln, die nach jeder Nachricht gewechselt werden; strikte Zugriffskontrolle auf hohem Sicherheitsniveau; Überprüfen der wichtigsten Programme auf Hintertüren und Sicherheitslücken, Untersuchung des Security Designs schon in der Phase der Softwareentwicklung und Überprüfung der Implementierung mit Static Source Code Analysis und Penetrationstests. Jahrbuch der Unternehmenssicherheit 2013 Wie die FAZ am 29. August 2013 berichtete, haben Bundesinnenminister Friedrich und die Präsidenten von BDI und DIHK am 28. August eine gemeinsame Erklärung unterzeichnet, auf deren Grundlage bis 2015 eine Strategie gegen Wirtschafts- und Industriespionage erarbeitet werden solle. Eingerichtet werde dafür zunächst eine gemeinsame Steuerungsgruppe von Staat und Wirtschaft. Zudem solle eine Koordinierungsstelle für die Sicherheitsbehörden zu Fragen des Wirtschaftsschutzes im Innenministerium geschaffen werden. Friedrich schätze den jährlichen Schaden durch die illegale Abschöpfung von Wissen auf 50 Milliarden Euro. Der BDIPräsident habe bedauert, dass acht von zehn Unternehmen nicht die Behörden verständigten, wenn sie Opfer von Ausspähversuchen würden. Dahinter stecke unter anderem die Angst vor einem Reputationsverlust, falls die Attacken bekannt würden. Der DIHK-Präsident warnte vor einer „aufgebauschten Skandalisierung“ in Bezug auf westliche Geheimdienste. Hans-Georg Maaßen, Präsident des Bundesamtes für Verfassungsschutz, habe unterstrichen, dass es keine Erkenntnisse für eine „digitale Ausspähung“ durch Nachrichtendienste gebe. Ein bedrohliches Bild habe Maaßen hingegen von einer systematischen Wirtschaftsspionage vor allem aus China, aber auch aus Russland gemalt. Ein besonderes Gefahrenpotential stecke in „angeworbenen Innentätern“. In der Fachzeitschrift Security Insight (Ausgabe 4-2013, S. 20/21) bezeichnet Maaßen den illegalen Knowhow-Transfer als aktuelles Risiko insbesondere für innovationsstarke Unternehmen im Mittelstand. Das entscheidende Bindeglied in einer aufeinander abgestimmten Kette von Sicherheitsmaßnahmen seien die Mitarbeiter des Unternehmens. Das BfV sehe sich auf dem Gebiet des Wirtschaftsschutzes als Partner der Unternehmen und biete im Rahmen der präventiven Spionageabwehr vielfältige „Security Awareness“-Aktivitäten an. Dazu gehörten bilaterale Sicherheitsgespräche. Die FAZ meldete am 14. Oktober 2013, die Deutsche Telekom wolle den deutschen Internetverkehr innerhalb der Landesgrenzen belassen, um die Kunden vor Spionage zu schützen. Zu diesem Zweck solle die Telekom mit allen wichtigen Geschäftspartnern in Deutschland vereinbaren, dass E-Mails und anderer Informationsaustausch nur noch über deutsche Knotenpunkte geleitet werden. Beim Transport zwischen Sendern und Empfängern in Deutschland solle garantiert werden, dass kein Byte Deutschland verlässt. Für den Schutz der IT-Infrastruktur vor Spionageangriffen empfiehlt Thorsten Urbanski, G Data Software AG, in der Fachzeitschrift <kes> (Ausgabe 5-2013, S. 40/41), IT Security-Hersteller auszuwählen, die das Teletrust T-Qualitätssiegel „IT-Security made in Germany“ tragen und sich zur Erfüllung folgender 5 Kriterien verpflichtet haben: 1. Der Unternehmenshauptsitz muss in Deutschland liegen. 2. Das Unternehmen muss vertrauenswürdige IZT-Sicherheitslösungen anbieten. 3. Die angebotenen Produkte dürfen keine versteckten Zugänge enthalten. 4. Die IT-Sicherheitsforschung und -entwicklung des Unternehmens muss in Deutschland stattfinden. 5. Das Unternehmen muss sich verpflichten, den Anforderungen des deutschen Datenschutzrechts zu genügen. Der Autor behandelt folgende Probleme und Handlungsempfehlungen: a) Cloud-Nutzung vorab regeln b) Cyberspionage von innen vermeiden c) Software-Sicherheitslücken als Einfallstor d) Patch-Management in den Grundschutz-Katalogen. Jan Roßmann, n.runs professionals, behandelt in der WiK (Ausgabe 5-2013, S. 30–32) die Sicherheit von Videokonferenzen. Eine abgesicherte Implementierung erfordere die detaillierte Betrachtung sowohl der Infrastruktur als auch der einzelnen Komponenten der Lösung. Es empfehle sich, möglichst frühzeitig Spezialisten einzubinden, die den Blickwinkel eines Angreifers einbringen und so potentielle Schwachstellen frühzeitig erkennen. Anhand der Komponenten des Marktführers Polycom würden für einen sicheren Aufbau der Videokonferenzlösung mindestens vier 225 226 Jahrbuch der Unternehmenssicherheit 2013 Sicherheitszonen benötigt: externe, direkt mit dem Internet verbundene Systeme; Systeme, die aus dem Internet direkt angesprochen werden; interne Serversysteme, deren Funktionalitäten auch für externe Benutzer zur Verfügung stehen und rein interne Systeme. Nur mit einem derart segmentierten „Defense in Depth“-Ansatz ließen sich die Verbindungen zwischen den Systemen mit unterschiedlicher Sicherheitseinstufung entsprechend kontrollieren. Unternehmen in der EU sollen sich künftig besser gegen den Diebstahl von Geschäftsgeheimnissen wehren können, berichtete die FAZ am 29. November 2013. Einen Gesetzentwurf mit diesem Ziel habe die EU-Kommission vorgelegt. Die neue Richtlinie solle die derzeit in den Mitgliedstaaten bestehenden Rechtsvorschriften zum Schutz vor rechtswidriger Aneignung solcher Geschäftsgeheimnisse angleichen. Bisher seien diese Regelungen sehr unterschiedlich. In Deutschland existiere beispielsweise bislang keine Definition, was ein (schützenswertes) Geschäftsgeheimnis darstellt. Der Vorstoß der Kommission ziele auf eine einheitliche zivilrechtliche Durchsetzbarkeit von Schadenersatzansprüchen bei einem „Diebstahl“ von Geschäftsgeheimnissen. Die mögliche strafrechtliche Verfolgung eines Diebstahls sei nicht Gegenstand des Vorschlags. Sie falle ausschließlich in die Kompetenz der Mitgliedstaaten. Die Berliner Umschau meldete am 12. Januar, dass US-Präsident Obama ein Gesetz unterzeichnet habe, das die Strafen für Industrie- und Wirtschaftsspionage drastisch erhöht. Bislang mussten Einzelpersonen für Industriespionage vor US-Gerichten maximal eine Strafe von 500.000 Dollar befürchten. In dem seit Monaten im Parlament behandelten Gesetz steige der Höchstsatz nun auf 5 Millionen Dollar. Sofern Organisationen (also etwa andere Konzerne bzw. Nachrichtendienste) spionieren, würden sogar bis zu 10 Millionen oder das Dreifache des durch die Spionagetätigkeit angerichteten Schadens fällig. An wen die Vorlage adressiert ist, gehe aus der Novelle zwar nicht direkt hervor; wie jeder Gesetzestext sei sie allgemein formuliert. Doch belangt werden sollen Straftaten „im Zusammenhang mit der Übertragung oder versuchten Übertragung eines gestohlenen Geschäftsgeheimnisses außerhalb der Vereinigten Staaten“ bzw. „zu Gunsten einer ausländischen Regierung, ausländischen Instrumentalitäten oder ausländischen Agenten.“ Überprüft werden solle die Umsetzung von der United States Sentencing Commission, die sich dabei u.a. mit dem Außenministerium und der US-Heimatschutzbehörde berate. Sprengstoffspürhunde Henri Ulitzsch, Wacker Chemie AG, weist in Security insight (Ausgabe 1-2013, S. 44/45) darauf hin, dass das Einsatzspektrum und die Zahl der Einsätze privater Teams mit Sprengstoffspürhunden (SSTs) in den letzten zehn Jahren stark gewachsen sei. Das liege zum einen an der terroristischen Bedrohung, zum anderen an den begrenzten Ressourcen der diensthundehaltenden Sicherheitsbehörden. Sie könne als hochqualitativer Standard angesehen werden. Zu den vom Autor gegebenen Tipps gehört die Erkenntnis, dass ein SSH nur eine begrenzte Zeit konzentriert suchen könne und die Einsatzzeit abhängig sei von Witterungsbedingungen und der Kondition des Tieres. Deshalb sollten mindestens zwei Hunde zum Einsatz kommen. Eine weitere Erfahrung: Ein SSH könne nur mit „echtem“ Sprengstoff konditioniert und trainiert werden. Jahrbuch der Unternehmenssicherheit 2013 Stadionsicherheit Martin Hildebrandt, BDSW, plädiert im Sicherheitsdienst DSD (Ausgabe 3-2013, S. 23) für Änderungen der rechtlichen Rahmenbedingungen bei Sicherheits- und Ordnungsdiensten in Fußballstadien. Die Inhalte von Unterrichtung und Sachkundeprüfung deckten die für diese sehr spezielle Tätigkeit notwendigen Schulungsinhalte in keiner Weise ab. Vielmehr könnte eine spezielle Schulung mit Qualifizierungsnachweis eingeführt werden. Diese sollte sich nicht nur auf die Mitarbeiter beziehen, die derzeit unter den Geltungsbereich von § 34a GewO fallen, sondern auch vereinseigene Ordner und Mitarbeiter, die reine Ordnungs- oder Servicetätigkeiten durchführen, sollten erfasst werden. Die Durchführung der Schulung und des Qualitätsnachweises müsse von unabhängigen, zertifizierten Institutionen vorgenommen werden. In jedem Fall sei eine Zertifizierung analog der Anerkennung der vom BDSW zertifizierten Sicherheitsfachschulen notwendig. Für die Normierung des Qualifizierungsnachweises biete sich § 5 Abs. 1 BewachV an. Darüber hinaus müsse natürlich auch eine Verpflichtung von vereinseigenen Mitarbeitern, die nur Ordnungs- und Servicetätigkeiten erbringen, zur Ablegung des Qualifizierungsnachweises festgeschrieben werden. Dies könne im Rahmen der Lizenzierung der Vereine durch den DFB geschehen. Ein Jahr nach der Verabschiedung des umstrittenen Sicherheitskonzepts zur Stadionsicherheit habe die Deutsche Fußball Liga (DFL) eine zurückhaltende Bilanz gezogen, berichtet die FAZ am 4. Dezember 2013. Gegen organisierte Gewalttäter sehe die DFL weiterhin wenig Handhabe. DFL-Geschäftsführer Andreas Rettig habe auf eine Marktforschungsstudie verwiesen, wonach sich 96 % der Stadionbesucher sicher fühlen. Bei den Vereinen habe es viele strukturelle Verbesserungen in der Fanarbeit gegeben. Michael Gabriel, Leiter der bundesweiten Koordinationsstelle für Fanprojekte (KOS) habe den Profifußball gelobt, aber auch die Politik in die Pflicht genommen. In Rheinland-Pfalz, Sachsen-Anhalt und Brandenburg sei dringend mehr Geld nötig. Dass in den Stadien nach wie vor an jedem Wochenende die verbotene Pyrotechnik brennt, habe für den KOS-Chef den Charakter „von Trotz und etwas Widerstand“. Er plädiere dafür, dass die Fans nicht nur auf der Tribüne sitzen, sondern dabei unterstützt werden, dass sie sich einmischen. Der größte Konflikt bestehe zwischen den Fans und den Polizeigewerkschaften. Stalking Laut eines Berichts der FAZ vom 27. Mai 2013 sollen Stalking-Opfer besser geschützt werden. Seit 2007 gibt es den Paragraphen 258 StGB. Mit 1,9 % sei die Verurteilungsquote extrem niedrig. Nach Angaben der Fachleute wird in 40 % der Stalking-Fälle keine Anzeige erstattet. Die große Mehrheit der Fälle, in denen Anzeige wegen Nachstellung erstattet werde, sei nach der Rechtslage evident kein Stalking. Deshalb solle es für die Strafbarkeit von Stalking nach den Reformplänen der Länderjustizminister künftig ausreichen, dass der Täter seinem Opfer in einer Weise nachstellt, die „geeignet ist“, eine schwerwiegende Beeinträchti- gung der Lebensgestaltung herbeizuführen. Bislang müsse bewiesen werden, dass die Tat nach außen erkennbar eine „schwerwiegende Beeinträchtigung der Lebensgestaltung“ des Opfers verursacht. Dieser Nachweis gelinge oft nicht. Der wirksamste Schutz bestehe darin, Stärke zu zeigen und sich dem Täter zu widersetzen. Aber nur etwa 10 % der Täter hätten nach einer Internetbefragung mutmaßlicher Stalking-Opfer danach aufgehört. In knapp 50 % der Fälle habe sich das Verhalten der Täter etwas gebessert. In mehr als 30 % der Fälle sei es dagegen noch viel schlimmer geworden. 227 228 Jahrbuch der Unternehmenssicherheit 2013 Steuerkriminalität Ein Steuerfahnder bringt 1,85 Millionen Euro ein, titelte die FAZ am 1. Juni 2013. Dabei machten natürliche Personen nur etwa ein Fünftel der Arbeit aus. Fast die Hälfte der Arbeit entfalle auf verheimlichte Einnahmen durch Unternehmen und illegale Praktiken von Konzernen. Knapp ein Drittel der Ermittlungen entfalle auf Betrügereien mit der Umsatzsteuer. Die sogenannten Karussellgeschäfte sollten allein für Steuerausfälle von bis zu 15 Milliarden Euro verantwortlich sein. Dabei werden Waren über die Grenze steuerfrei eingekauft, aber gegenüber dem Fiskus gleichwohl so getan, als wenn Umsatzsteuer gezahlt wurde. So kassiert man nie gezahlte Vorsteuer. Damit das nicht auffliegt, versuchen die Täter, ihre Spuren zu verwischen, indem die Ware immer weiter von einem Unternehmen zum nächsten verkauft wird. Mitarbeiter der Deutschen Bank sollen sich an betrügerischen Umsatzsteuerkarussellen beteiligt haben, die spätestens seit 2008 die Ermittlungsbehörden in ganz Europa in Atem halten, berichtet die FAZ am 14. Dezember. Schäden von insgesamt 5 Milliarden Euro sollen Betrüger mit dem Handel von Kohlendioxidemissionszertifikaten verursacht haben, stellte die europäische Polizeibehörde Europol schon im Dezember 2009 fest – und ergänzt in diesen Tagen, diese Zahl sei wohl eher konservativ geschätzt. Noch beeindruckender sei jedoch diese Nachricht, ebenfalls spätestens bekannt seit dem Weckruf von Europol 2009: Es scheine zumindest zwischen 2008 und 2010 kaum ein Geschäft mit den Verschmutzungsrechten gegeben zu haben, das nicht auf betrügerischen Machenschaften basierte. 90 % des Handelsvolumens in diesem Bereich sollen auf Umsatzsteuerkarusselle zurückzuführen sein, die schon im Handel mit Handys oder Computerchips seit Jahren gängig gewesen seien. Die Masche solcher Betrüger sei komplex, meist kämen mehrere Scheinfirmen zum Einsatz, die die Verschmutzungsrechte ins Ausland verschieben und wieder zurück. Das könne mehrmals so gehen, wie im Karussell würden die Zertifikate dann immer weiter im Kreis verkauft. Der Clou dieser Konstruktionen: Das Finanzamt erstatte bei diesen grenzüberschreitenden Transaktionen eine Mehrwertsteuer in Höhe von 19 % zurück, die von keinem Glied der Kette jemals gezahlt worden sei. Im Juli 2010 wurde in Deutschland das Umsatzsteuergesetz so geändert, dass Betrügereien in diesem Bereich nicht mehr möglich sind, doch da sei der Schaden in geschätzter Höhe von 850 Millionen Euro zu Lasten des Steuerzahlers schon entstanden. „Durch Umsatzsteuerbetrug entgehen dem deutschen Fiskus nach Schätzungen des Ifo-Instituts 14 bis 15 Milliarden Euro im Jahr“, ist auf den Internetseiten des Bundeszentralamts für Steuern zu lesen, berichtet die Süddeutsche Zeitung am 25. Juli 2013. Ein großer Teil dieser Summe gehe auf die Aktivitäten krimineller Organisationen zurück, die staatenübergreifend sogenannte Karussellgeschäfte praktizierten. In der EU belaufe sich der Schaden auf 100 Milliarden Euro im Jahr. Doch die Politik reagiere kaum. Dabei wäre der Betrug leicht abstellbar, indem die Umsatzsteuer stark vereinfacht oder gar beim Handel zwischen den Firmen abgeschafft und nur noch vom Endkunden erhoben wird. Der deutsche Zoll warne vor der „DieselMafia“, berichtete das Magazin Focus am 28. Oktober 2013. Durch bandenmäßig organisierten Kraftstoffschmuggel entgingen dem Staat immer mehr Steuereinnahmen. 2012 habe der Zoll von Sprit-Betrügern 25,4 Millionen Euro zurückgefordert, fast sechsmal mehr als 2011. Zunehmend habe man es mit internationalen Tätergruppen zu tun. In Brandenburg hätten Polizei und Zoll vor wenigen Wochen eine deutsch-polnische Bande gestoppt. 29 Beschuldigte sollten mit gepanschtem Diesel gehandelt haben, in der Szene „Mafia-Diesel“ genannt. Um den Zoll zu täuschen, hätten die mutmaßlichen Täter Jahrbuch der Unternehmenssicherheit 2013 das Gemisch als abgabenfreies Schmieröl deklariert. Steuerschaden: mehr als 3 Millionen Euro. Knapp sechs Jahre ins Gefängnis müsse ein kürzlich verurteilter Sprit-Betrüger aus Bayern. Seine Bande habe 268 Tanklaster mit jeweils 30.000 Liter Dieselgemisch als abgabefreien „Rostreiniger“ deklariert. Steuerschaden: 7,3 Millionen Euro. Stromausfall In der Fachzeitschrift WiK (Ausgabe 6-2012, S.43/44) wird über die ASW-Fachtagung „Lang anhaltender Stromausfall“ Ende Oktober 2012 berichtet. Das Büro für Technikfolgenabschätzung des Deutschen Bundestages habe ein Projekt zur „Gefährdung und Verletzbarkeit moderner Gesellschaften am Beispiel eines großräumigen und lang andauernden Ausfalls der Stromversorgung“ durchgeführt. Zu den Ergebnissen des Projekts zähle, dass die Telekommunikation, das Internet, die Zahlungssysteme, der Verkehr und die Gesundheitsversorgung zu den anfälligsten Infrastrukturen im Fall eines Blackouts gehörten. Zu unterstützenden Maßnahmen (von der temporären Stromversorgung und der Versorgung der Bevölkerung mit Lebensmitteln bis zum Bau und Betrieb von Kommunikationsnetzen und einem Tankstellen-Notbetrieb) könnten 80.000 freiwillige Helfer des THW aktiviert werden. In der Arbeitsgruppe KRITIS der Hamburger Behörde für Inneres und Sport seien Handlungsempfehlungen für einen großflächigen und länger andauernden Stromausfall in Hamburg erarbeitet worden. Der Berliner Tagesspiegel berichtete am 22. Januar 2013 über eine Fachkonferenz des Vereins Kompetenzzentrum Kritische Infrastruktur (KKI) in Berlin, die sich mit den Risiken von Stromausfällen befasste. Deutschland und vor allem der Großraum Berlin seien unzureichend auf große Stromausfälle vorbereitet, die mit dem Fortgang der Energiewende aber immer wahrscheinlicher werden dürften. Zwar gebe es bei Behörden und Unternehmen viele Schutzkonzepte und Leitfäden für Stromausfälle, diese seien allerdings selten abgestimmt. Hans-Liudger Dienel vom Zentrum für Technik und Gesellschaft an der TU Berlin erklärte die gestiege- ne Stromausfallwahrscheinlichkeit mit den Erneuerbaren Energien, die vor allem in die Stromverteilernetze einspeisen, wofür diese ursprünglich nicht ausgelegt seien. Früher hätten nur wenige Großkraftwerke Strom eingespeist, heute kämen hunderttausende Windräder und Solaranlagen dazu. Steigende Komplexität erhöhe die Fehleranfälligkeit. Für die Öffentlichkeit wichtige Einrichtungen müssten dazu verpflichtet werden, wenigstens Notstromaggregate bereit zu halten. Mathias Köppe, HiSolutions AG, befasst sich in der Ausgabe 1-2013 der Fachzeitschrift Security insight (S. 12–16) mit dem Krisenmanagement bei lang anhaltendem Stromausfall. Er sei ein Schlüsselszenario der Geschäftsfortführung. Durch die absehbaren Auswirkungen auf alle Sektoren der so genannten Kritischen Infrastrukturen entstehe eine kaskadierende Schadenswirkung für Wirtschaft und Bevölkerung. Leider gebe es derzeit kein aufeinander abgestimmtes Risiko- und Krisenmanagement von Staat und Wirtschaft. Eine Studie von HiSolutions habe zu dem Ergebnis geführt, dass 23 % der 150 befragten Unternehmen in den letzten zehn Jahren von einer Krise durch lang anhaltenden Stromausfall betroffen waren. Die wenigsten Unternehmen seien in der Lage, das Ereignis aus eigener Kraft zu bewältigen. Standardkonformes BCM (zum Beispiel nach BSI 100-4 oder ISO 22301) würden keine lang anhaltenden Stromausfälle vorsehen. Die Notstromversorgung sei eng an die Batteriekapazität oder den jeweiligen Kraftstoffvorrat geknüpft. Dieser reiche in der Regel nur für drei bis 24 Stunden. Die kontinuierliche Beschaffung von Kraftstoff sei daher für die Funktionsfähigkeit essentiell. Auch Frequenzschwankungen seien eine 229 230 Jahrbuch der Unternehmenssicherheit 2013 Anfälligkeit des Energienetzes. Und mit der zunehmenden Digitalisierung des Energienetzes nähmen die sensiblen Schnittstellen durch die stärkere Vernetzung von Stromerzeuger, Netzbetreiber und Verbraucher zu. Nur eine integrierte Organisation für Unternehmenssicherheit sei in der Lage, die Vielzahl von Aspekten des Szenarios zu erheben und zu bewerten. Präventive Maßnahmen gegen Stromausfall könnten nur durch Übungen wirkungsvoll bekämpft werden. Der geeignete Übungstyp, die Simulation, stelle höchste Anforderungen an die Organisation. In derselben Ausgabe (S. 46/47) erklärt Simon Feger, Eaton Electric GmbH, warum Fertigungsumgebungen verstärkt auf den Einsatz von unterbrechungsfreier Technik (USV-Technik) setzen. Expertenschätzungen zufolge soll die Zahl der kurzzeitigen Stromausfälle unter drei Minuten bei rund 400.000 Unterbrechungen im Jahr liegen. Doch gerade diese machten der oftmals empfindlichen Automatisierungstechnik zu schaffen. Sacke die Netzversorgung etwa inmitten eines mechanischen Bearbeitungsschritts ab, könnten durch den abrupten Stillstand der elektromechanischen Antriebe teure Werkstücke beschädigt werden. Damit die komplexen Ebenen eines Produktionssystems miteinander verbunden werden können, biete moderne USV-Software die Möglichkeit, Statusmeldungen zwischen USV-System, Industrie-PCs und Steuerung auszutauschen. USV-Anlagen sollten einmal im Jahr professionell gewartet werden. Wichtig sei vor allem die Überprüfung der Batteriemodule auf Korrosion, Verformung und Undichtigkeiten. Der Tagesspiegel befasste sich am 8. April mit dem Risiko großer Stromausfälle. Die seien in Deutschland extrem selten. Und doch steige die abstrakte Gefahr, dass sich derartige Ereignisse wiederholen. So prognostizierten Meteorologen eine Häufung von Wetterextremen, Schneestürmen und Hitzewellen. Darunter würden Kraftwerke leiden, die Wasser zur Kühlung brauchen. Windräder schalteten bei Orkanen in Leerlauf und gingen vom Netz, Solarparks produzierten unter Schnee kaum Strom. Im Jahresschnitt werde heute schon rund ein Viertel des benötigten Storms regenerativ erzeugt. Doch die Stromproduktion schwanke extrem stark, teils innerhalb einer Viertelstunde, was die Betreiber von Stromübertragungsnetzen zunehmend in die Bredouille bringe, die Netzfrequenz stabil um die 50 Hertz zu halten. Bei Vattenfall, dem Betreiber des knapp 36.000 km langen Stromverteilnetzes in Berlin, sei man besorgt wegen der Entwicklung. Thomas Schäfer, technischer Leiter des Stromnetzes, sagt, er halte einen Ausfall der Versorgung in ganz Berlin für „unwahrscheinlich“. Das Kompetenzzentrum Kritische Infrastrukturen (KKI), eine Ausgründung der NBB Netzgesellschaft Berlin Brandenburg, biete Beratungen, Dienstleistungen und Havarie-Trainings an und betreibe eine Telefonzentrale für die Annahme von Störungsfällen bei Energieversorgern. Gegen eine Gebühr analysiere die Firma auch Betriebe im Hinblick auf Notfallversorgung. Je nach Aufwand und Betriebsgröße koste so eine Beratung ab 5.000 Euro. Noch gebe es bundesweit nur wenige Spezialfirmen wie KKI. Sobald es wieder zu einem Ausfall kommt, dürften viele – auch schwarze Schafe – hier ihr Geschäft wittern. Mit dem Fortgang der Energiewende steige auch das Risiko von Blackouts, ist der Behörden Spiegel in seiner Aprilausgabe überzeugt. Das Problem liege dabei nicht nur in der digitalen Vernetzung der Infrastrukturen, sondern vor allem auch in der steigenden Komplexität der Energieversorgung. 80 % der deutschen Netze sind in privater Hand. Die entsprechenden Schutzkonzepte und Leitfäden sollen oftmals nicht abgestimmt sein. Hier sei ein Dialog zwischen den Betreibern von KRITIS, der Politik und der Wirtschaft notwendig. Die Einsatzplanung für einen großflächigen Stromausfall erläutert Branddirektor Dipl.-Ing. Peter Hartl, Kölner Berufsfeuerwehr, in s+s report (Ausgabe 4-2013, S. 54–60). Er geht insbesondere auf Grundlagen der elektrischen Energieversorgung, Risiken und Jahrbuch der Unternehmenssicherheit 2013 Folgen eines Stromausfalls (Ursachen, lokale und regionale Stromausfälle, Zusammenbruch des europäischen Verbundnetzes) und die Einsatzplanungen der Kölner Berufsfeuerwehr ein. Die negativen Einflüsse auf die Rahmenbedingungen für eine stabile und zuverlässige Netzbetriebsführung würden in naher Zukunft stärker. Um für den höchst anspruchsvollen Entscheidungsprozess bei der Konzentration auf kritische Schwerpunkte im lokalen und regionalen Bereich möglichst fundierte Grundlagen zur Verfügung zu stellen, müssten Entscheidungshilfen in Form von Checklisten, Maßnahmenkatalogen und Lösungsskizzen für die derzeit bereits erkennbaren Problemgruppen erarbeitet werden: Konzepte zur Sicherung der Trinkwasserversorgung, Erfassung möglichst aller Objekte mit leistungsfähiger Notstromversorgung, Erarbeitung von Informationsmaterial für besonders gefährdete Menschen und Institutionen und Beschreibung von Eskalationspotenzialen. Strommastensicherheit Die Wirtschaftswoche befasst sich am 29. April 2013 mit der Messung der Standfestigkeit von Strommasten (S. 147). Das Unternehmen Mastap habe einen Sensor entwickelt, den ein Prüfer am Mast mit einem Band fixiert und der die Schwingungen des Mastes misst. Anschließend berechne eine Software aus den Schwingungsdaten, ob es Schäden am Mast gibt und wie es um seine Standfestigkeit bestellt ist. Grundlage dafür seien seine Größe, das Material, sein Alter und eventuelle Anbauteile oder auf den Trägern aufgelagerte Stromleitungen. Wo früher nur eine subjektive Einschätzung der Geräusche und des Aussehens des Mastes darüber entschied, ob er ausgetauscht wird, seien es heute harte Fakten. Statt wie früher 10 %, würde nun wegen der genaueren Messungen nur noch 1 % der Pfähle ausgetauscht. Bei 50.000 überprüften Masten spare die Technik mehr als 10 Millionen Euro. Systemrisiken Herbert Saurugg, Berater, erläutert in der Ausgabe 3-2013 der Fachzeitschrift Security insight, wie sich Unternehmen durch die Erhöhung von „Resilienz“ – der Fähigkeit eines Systems, mit Störungen sinnvoll umzugehen – in der vernetzten Welt stärken lassen. Bei komplexen, nicht linearen Systemen komme es zu Rückkoppelungen, die den weiteren Verlauf der Prozesse beeinflussen. Sie seien nicht mit unseren bewährten Management- und Steuerungsmethoden kontrollier- und steuerbar. In Zeiten von Turbulenzen seien nicht die Turbulenzen die größte Gefahr, sondern die Handlungen mit der Logik von gestern. Daher seien ganz klar jene im Vorteil, die sich bereits im Vorfeld mit möglichen Entwicklungen, Konsequenzen und Optionen auseinandergesetzt haben. Wichtig sei auch: Die Ausbildung müsse noch stärker vernetztes und systemübergreifendes Denken fördern und fordern. Transparenz, Partizipation und Kollaboration seien ganz wesentliche Fähigkeiten in der Netzwerkgesellschaft. Effizienzsteigerungsmaßnahmen dürften nicht zur Reduktion der Robustheit von Systemen führen. Redundanzen seien überlebenswichtig. Ein systemisches Risikound Krisenmanagement bedeute nicht den Ersatz bisheriger Methoden, sondern den komplementären Einsatz (S. 10–16). 231 232 Jahrbuch der Unternehmenssicherheit 2013 Terrorismus – Bedrohungslage Das BKA hat Ende November 2013 die Gefährdungslage islamistischer Terrorismus fortgeschrieben. Folgende Auszüge sind für die Unternehmenssicherheit besonders aussagekräftig: 1.Kernaussagen Deutsche Interessen im In- und Ausland sind erklärtes und tatsächliches Ziel jihadistisch motivierter Gewalt. Für diese besteht damit auch weiterhin eine hohe abstrakte Gefährdung, die sich jederzeit in Form von sicherheitsrelevanten Ereignissen bis hin zu Anschlägen konkretisieren kann. Aktuelle Anschläge und Anschlagsversuche gegen Ziele in westlichen Staaten, auch in der Bundesrepublik, durch propagandistisch beeinflusste, organisationsungebundene Einzeltäter zeigen, dass die Strategie des „individuellen Jihads“ an Bedeutung stetig zunimmt. Dabei ist mit allen bereits bekannten und auch neuartigen Tatbegehungsweisen zu rechnen. Im Bundesgebiet konnten die Sicherheitsbehörden in den vergangenen Monaten konkrete Anschlagsversuche und -vorbereitungen feststellen bzw. die Tatausführung durch Festnahmen vereiteln. Einzeltäter oder autonom agierende Gruppen können nahezu beliebige, subjektiv als islamfeindlich empfundene Ereignisse, Äußerungen oder Handlungen im In- und Ausland zum Anlass nehmen, selbst jihadistisch motivierte Straftaten zu planen oder spontan zu begehen. 2. Ideologische und programmatische Aspekte AL-QAIDA und ihre Regionalorganisationen halten an der Durchsetzung ihrer globalen und regionalen Agenda mit terroristischen Mitteln fest. Kern-ALQAIDA unter AL-ZAWAHARI kommt weiterhin eine ideologische und strategische Führungsrolle zu. Die Regionalorganisationen schließen sich deren Leitlinien zumeist an; sie stellen jedoch aufgrund ihrer operativen Autonomie sowie ihrer Propagandaarbeit ein erhebliches eigenständiges Bedrohungspotenzial, insbesondere in ihren unmittelbaren Aktionsräumen, dar. Neben der allgegenwärtigen, ablehnenden Haltung gegen den Westen im Ganzen ergeben sich für Staaten mit überwiegend muslimischem Bevölkerungsanteil und „pro-westlicher“ Ausrichtung der jeweiligen Regierungen gefährdungsbegründende Umstände aus der täterseitig als ketzerisch angesehenen Politik. 3. Gefährdungslage Inland Der versuchte Anschlag am Bonner Hauptbahnhof im Dezember 2012 sowie die vereitelten Mordpläne gegen islamkritische Politiker in Nordrhein-Westfalen im März 2013 zeigen, dass die anhaltenden Aufrufe zu „individuellem Jihad“ auch im Inland bei Personen des islamistischen Spektrums ankommen und konkrete Wirkung entfalten; sie belegen, dass die Bundesrepublik nach wie vor jederzeit Ziel jihadistischer Gewalt werden kann. Die seit dem Jahr 2000 mittlerweile acht organisationsgesteuerten Anschlagsversuche im Inland belegen, dass den vielfachen Ankündigungen der internationalen jihadistischen Organisationen, gegen deutsche Interessen vorgehen zu wollen, auch Taten folgen. Personen, die sich in einem terroristischen Ausbildungslager aufgehalten haben, stellen – wenn bei diesen auch die Motivation besteht, Anschläge zu begehen – hierbei aufgrund der bereits erfolgten ideologischen Indoktrinierung und der dort erhaltenen Ausbildung im Umgang mit Waffen und Sprengstoffen ein besonderes Sicherheitsrisiko dar. Grundsätzlich ist bei jihadistisch motivierten Taten neben Sprengstoffanschlägen auch die Gefahr von Angriffen auf Freiheit bzw. Leben von Einzelpersonen, einschließlich monetärer oder politischer Forderungen bis hin zu medial inszenierten Tötungen, in Betracht zu ziehen. 4. Gefährdungslage Europäische Union Nahezu alle Staaten der Europäischen Union Jahrbuch der Unternehmenssicherheit 2013 stehen im erklärten Zielspektrum international agierender jihadistischer Organisationen. Neben dem politischen und militärischen Engagement in Krisen- und Kriegsgebieten ist nach wie vor die Veröffentlichung, Förderung oder Duldung islamkritischen Verhaltens ein für die Gefährdung einzelner europäischer Staaten wesentlicher Aspekt. Täterseitig als blasphemisch oder islamophob gewertete staatliche Maßnahmen werden ebenso wie bekannt werdendes Verhalten von Einzelpersonen als Propagandaargument und als Rechtfertigung für terroristische Aktivitäten verschiedener Dimension herangezogen. 5. Gefährdungslage für deutsche Interessen im außereuropäischen Ausland In Kriegs- und Krisengebieten der islamischen Welt, vor allem in Afghanistan und im Irak, aber auch in Pakistan, Syrien, Jemen sowie in Nord-, Ost- und Westafrika, ist jederzeit mit terroristischen Anschlägen gegen Interessen und Einrichtungen der Bundesrepublik und verbündeter Staaten sowie mit Entführungen westlicher und somit auch deutscher Staatsbürger zu rechnen. Die überwiegend von muslimischer Bevölkerung geprägten Staaten Süd-, Südost- und Zentralasiens, der Arabischen Halbinsel, Nord- und Westafrikas sowie des Horns von Afrika sind unverändert als Räume mit besonderer Anschlags- und Entführungsgefahr anzusehen. Für deutsche Interessen im außereuropäischen Ausland besteht besonders in den USA, in der Republik Irak, in Israel, in der Republik Jemen, in der Libanesischen Republik, der Arabischen Republik Syrien, im Königreich Saudi-Arabien, in Afghanistan und Pakistan, in Ägypten, der Republik Mali, in Libyen, Nigeria und in Ostafrika eine Gefährdung durch den islamistischen Terrorismus. Terrorismus – Krisenregionen Zur Situation in Mali und Nordafrika hat das BKA am 21. Januar die Gefährdung deutscher Interessen im In- und Ausland wie folgt bewertet: „Auch wenn die Unterstützung Deutschlands logistischer Natur ist und es sich demnach nicht um einen „klassischen“ militärischen (Kampf-)Einsatz handelt, bleibt festzuhalten, dass ein derartiges Engagement die grundsätzliche Gefahr birgt, als Begründung für gegen deutsche Interessen und Einrichtungen gerichtete Aktionen sowohl im Inland als auch im Ausland herangezogen zu werden.“ Dies ist dem Umstand geschuldet, dass aus Sicht islamistisch terroristischer Gruppierungen jegliche Form einer militärischen Beteiligung als unmittelbare und wiederholte Einmischung und Teilnahme Deutschlands am „Kampf gegen Muslime“ missbräuchlich gewertet werden kann. Auch das Engagement der Bundeswehr in Afghanistan wird seit Jahren entsprechend propagandistisch genutzt. Das Existieren von Unterstützerstrukturen der AQM (AL-QAIDA IM ISLAMISCHEN MAGHREB) in Europa muss in Betracht gezogen werden. Möglicherweise könnten derartige Gruppierungen sich angesichts der aktuellen Entwicklungen veranlasst sehen, Anschlagsplanungen in Europa voranzutreiben. In Deutschland selbst wurden bislang keine AQM-Strukturen festgestellt. Unabhängig von der Möglichkeit eines organisationsgesteuerten Anschlags besteht weiterhin die grundsätzliche Gefahr, dass sowohl die militärische Intervention selbst als auch die in diesem Zusammenhang zu erwartende Propaganda bei Einzelpersonen oder Kleinstgruppen zu einer Emotionalisierung führen wird. Hierbei könnte das Spektrum der möglicherweise zu erwartenden Reaktionen von Sachbeschädigung bis hin zu einem terroristischen Anschlag oder Entführungen/ Geiselnahmen reichen. Diese Einschätzung wird aktuell durch die Geiselnahme auf einem Gasfeld der Firma BP durch Mitglieder der AQM sowie durch einen weiteren Angriff auf eine von einem deutschen Unternehmen 233 234 Jahrbuch der Unternehmenssicherheit 2013 betriebene Bohranlage in Algerien untermauert. In Presseveröffentlichungen wurden als Grund für die Angriffe Vergeltung für die Gewährung von Überflugrechten durch die algerische Regierung für die französische Luftwaffe im Zusammenhang mit deren Einsatz in Mali genannt. Ferner ist zu berücksichtigen, dass gerade die AQM und MUJAO mittlerweile über eine größere Anzahl von Mitgliedern aus vielen Staaten Westafrikas, der Sahelzone und der Maghrebregion verfügen, die in Nordmali terroristische Ausbildungsmaßnahmen durchlaufen und an Kampfhandlungen teilgenommen haben. Dieser Personenkreis könnte in seine Heimatländer zurückgesandt werden, um dort Anschläge durchzuführen. Hierbei könnten auch deutsche Einrichtungen in den Fokus von AQM und MHJAO geraten. In der Gesamtschau ist aufgrund der aktuellen politischen Entwicklung in Mali sowie des Unterstützungsangebots der Bundesregierung gegenüber Frankreich von einer hohen Gefährdung für deutsche Interessen und Einrichtungen insbesondere in Mali, aber aufgrund der ethnischen Vielfalt der Mitglieder der AQM auch in anderen Staaten Westafrikas, der Sahelzone und der Maghrebregion auszugehen. Der Informationsservice Stratfor befasst sich am 21. Februar mit dem Aufstieg einer neuen militanten Gruppe in Nigeria. In den vergangenen Wochen seien 14 Ausländer im nördlichen Nigeria und Kamerun bei zwei Überfällen entführt worden. Ansaru, eine Absplitterung von Boko Haram, habe die Verantwortung für die erste Entführung übernommen und könnte auch für die zweite verantwortlich sein. Ansaru sei im letzten Jahr aufgetaucht und scheine Boko Haram in der Taktik und den Zielen überholt zu haben. Alle Terroraktionen der Gruppe seit Dezember 2012 seien auf Personen aus Frankreich oder aus Ländern gezielt gewesen, die Frankreich in Mali unterstützt hätten. Eine Fortdauer der Gewaltwelle könnte ausländische Interessen in Nigeria und den umliegenden Staaten betreffen und den militanten Jihadismus in der Region stärken. Die EU setzt den militärischen Arm der libanesischen Hisbollah auf ihre Terrorliste, meldete die FAZ am 22. Juli 2013. Darauf hätten sich die EU-Außenminister geeinigt. Personen und Unternehmen mit Verbindungen zu der radikalislamischen Schiitenorganisation drohten nun Sanktionen wie Kontosperren und Reisebeschränkungen. Auch die finanzielle Unterstützung werde verboten. Die Zeitschrift WiK (Ausgabe 5-2013, S. 8) weist auf den jährlichen US-Bericht zum Terrorismus hin. Danach habe es im Jahr 2012 insgesamt 6.771 Terroranschläge gegeben. Die Hälfte habe sich in Pakistan, im Irak und in Afghanistan ereignet. Von den weltweit ca. 11.000 Toten und 21.600 Verletzten entfielen auf diese drei Länder 62 %. Als aktuell gefährlichste Länder würden Syrien und Nigeria genannt. Von rund 160 bekannten Terror-Organisationen seien die Taliban am aktivsten, gefolgt von Boko Haram und Al-Quaida. 62 % der Anschläge seien mit Sprengstoff verübt worden, 25 % mit Waffengewalt. Terrorismus – Terrorismusbekämpfung Heise.de meldet am 27. Januar 2013, dass am 4. Februar die im Sommer 2011 vom Bundeskabinett beschlossen Regierungskommission ihre Arbeit aufnimmt, die die Gesetzgebung zur Terrorismusbekämpfung insbesondere seit dem 11. September 2001 aus rechtspolitischer Sicht bewerten solle. Das Gremium werde die einschlägigen AntiTerror-Befugnisse „losgelöst vom politischen Tagesgeschäft beleuchten“, habe Bundesinnenminister Hans-Peter Friedrich betont. Bundesjustizministerin Leutheusser-Schnarrenberger sehe den Fokus der Untersuchung dagegen in einer kritischen Gesamtschau der Jahrbuch der Unternehmenssicherheit 2013 verschiedenen Behörden und ihres Zusammenwirkens sowie der Entwicklung ihrer Aufgaben und Befugnisse. Die Eckpunkte für die Arbeit des Gremiums habe die Regierung parallel mit der vierjährigen Verlängerung und Ausweitung umstrittener Befugnisse aus dem Terrorismusbekämpfungsergänzungsgesetz verabschiedet. Dabei gehe es vor allem um Auskünfte, die Sicherheitsbehörden bei Banken, Fluggesellschaften, Reisebüros, Postdienstleistern oder Telekommunikationsanbietern über Terrorverdächtige einholen könnten. Ein Gutachten des Bundestages habe 26 Gesetze und internationale Abkommen zur Terrorismusbekämpfung gezählt, die allein zwischen 2001 und 2008 verabschiedet worden seien. Marcus Hellmann, AOB Außenwirtschaftsund Organisationsberatung GmbH, erläutert Auswirkungen der sogenannten Sanktionslisten (Namenslisten von natürlichen und juristischen Personen, zu denen geschäftliche Kontakte untersagt sind, um Terroristen keine wirtschaftlichen Ressourcen zur Verfügung zu stellen) in der Ausgabe 3-2013 der Fachzeitschrift WiK (S. 31–33). Die Verbote seien umfassend und allgemein zu sehen. Sie erfassten somit nicht nur Gelder und finanzielle Werte, sondern auch Vorteile und Güter, die zur Erzielung von Geldeinnahmen genutzt werden können. Grundsätzlich begründeten diese Verordnungen keine generelle Pflicht zur Prüfung von Adressen, auch wenn das immer wieder so dargestellt werde. Es sei lediglich sicherzustellen, dass den gelisteten Adressen keine wirtschaftlichen Ressourcen zur Verfügung gestellt werden. Sie entsprä- chen inhaltlich einem „Personenembargo“ und würden unabhängig von den Arten des Geschäfts und der Region gelten, in der die Geschäfte durchgeführt werden. Der Autor warnt vor einer Bewertung von Verstößen gegen die Verordnungen als Kavaliersdelikt. Sie könnten aufgrund von Geld- und Gefängnisstrafen durchaus das „Aus“ eines Unternehmens bedeuten. Der Zugriff auf die EU-Sanktionslisten sei derzeit kostenlos möglich über: http://eeas.europa.eu/cfsp/sanctions/consol-listen.htm. Der Autor beschreibt, welche Punkte im Hinblick auf die Erstellung und Umsetzung eines Organisationskonzeptes und bei der Auswahl einer Software zur Überprüfung der Adressaten Berücksichtigung finden sollten. Und er listet Kriterien für die Auslagerung der Prüfung an einen vertrauenswürdigen Dritten auf. Britische Grenzbeamte dürfen offenbar Einreisenden bei der Kontrolle am Grenzübertritt das Handy abnehmen und darauf befindliche Daten speichern, berichtete heise online am 15. Juli 2013. Laut einem Bericht des Telegraph könnten dabei Metadaten der Anrufe, SMS und E-Mails ebenso wie Fotos und persönliche Kontakte gespeichert werden – und das so lange, wie es britische Behörden für nötig halten. Die Inhalte der erfassten Kommunikation seien dabei allerdings außen vor. Eine richterliche Verfügung sei dafür nicht nötig. Die Beamten müssten nicht einmal einen begründeten Verdacht formulieren. Selbst wenn die Person ohne Beanstandung einreisen darf, sei die Abnahme der Daten möglich. Rechtliche Grundlage sei die Gesetzgebung des Terrorism Act aus dem Jahr 2000. Tunnelsicherheit Nach der verheerenden Brandkatastrophe im Gotthard-Tunnel 2001 stellt jetzt ein von einer Ampel am Tunneleingang gesteuertes sogenanntes Tropfenzählersystem einen Mindestabstand von 150 m zwischen zwei Lastwagen sicher, berichtete die FAZ am 9. April 2013. Zusätzlich sorge ein aufwendi- ges Thermoportal dafür, dass – aus welchen Gründen auch immer – überhitzte Lastwagen gar nicht erst in den Tunnel einfahren. Durchfährt ein Lastwagen das Portal, erfasse zunächst ein Lasergerät dreidimensional die Außenabmessungen des Fahrzeugs. Darauf ließen sich die wichtigsten Kennwerte wie 235 236 Jahrbuch der Unternehmenssicherheit 2013 Fahrzeugklasse, Länge, Breite, Höhe und gefahrene Geschwindigkeit ableiten. Zwei Infrarotkameras messen die Temperaturen der erwähnten Fahrzeugkomponenten, während eine Videokamera die Seitenansicht des vorbeifahrenden Fahrzeugs aufzeichne. Auf der Grundlage der in der Testphase ermittelten Messprofile werde eine Datenbank mit den Solltemperaturwerten der jeweiligen Fahrzeugteile angelegt. Registriert das System eine Überschreitung dieser Grenzwerte, löse es ein Alarmsignal aus und schalte die Ampel des Tropenzählersystems auf Rot, so dass kein weiteres Fahrzeug in den Tunnel einfahren kann. Das Alarmsignal lande auf dem Tablet-PC des diensthabenden Sicherheitsbeauftragten, der innerhalb von höchstens 90 Sekunden am betroffenen Fahrzeug eintreffe, den Fahrer zum Parken auffordere und die Tropfenzählerampel wieder auf Grün schalte, um unnötige Staus zu vermeiden. Am angehaltenen Fahrzeug messen dann Fachleute der gleichzeitig alarmierten Feuerwehr nochmals die einzelnen Temperaturen. Überflutungsvorsorge Dr.-Ing. Mingyi Wang, VdS, stellt den von einer Arbeitsgruppe der Deutschen Vereinigung für Wasserwirtschaft, Abwasser und Abfall e.V. (DWA) und vom Bund der Ingenieure für Wasserwirtschaft, Abfallwirtschaft und Kulturbau (BWK) erarbeiteten Praxisleitfaden zur Überflutungsvorsorge in der Fachzeitschrift s+s report (Ausgabe 4-2013, S. 48–53) vor. Er geht auf Gefährdungen und Risikomerkmale, Gefährdungsbeurteilung und Risikobewertung, Schutzziele und Schutzkonzept, Vorsorgemaßnahmen in der Fläche und am Objekt, Risikokommunikation und Öffentlichkeitsarbeit ein. Es handele sich um umfassende und systematische Empfehlungen. Überspannungsschutz Worauf es beim Einsatz von Blitz- und Überspannungsschutz in Applikationen der Mess-, Steuer- und Regelungstechnik (MSR-Technik) ankommt, zeigt Jens Willmann, Phoenix Contact GmbH &Co. KG, in der Ausgabe 5-2013 der Zeitschrift GIT (S. 94/95). Aufgrund der zahlreichen Signalleitungen in der MSR-Technik und der damit häufig zu installierenden Schutzgeräte müssten die Produkte komfortabel, sicher und schnell installiert werden können. Zudem müsse sich der Anlagenbetreiber auf die ordnungsgemäße Funktion des Überspannungsschutzes verlassen können. Die elektronische Überwachung der Schutzkomponenten dürfe zu keinem Zeitpunkt das zu schützende System beeinflussen. Unternehmenssicherheit – Sicherheitsenquete 2012/2013 Die WiK veröffentlicht in ihrer Ausgabe 2-2013 (S. 10–14) die Ergebnisse der Sicherheits-Enquete 2012/2013, an der 279 Sicherheitsexperten teilgenommen haben. Für sie blieben Angriffe auf die Informationstechnik und die Unternehmensdaten das drängendste Problem. Zwei Drittel der Befragten gehen davon aus, dass die Belastungen durch IT-Kriminalität künftig weiter steigen werden. Dementsprechend rechnen 76 % mit mehr Aufwendungen für IT-Sicherheit und 68 % für einen verbesserten Datenschutz. Die höchsten Risiken für das eigene Unternehmen seien Schadsoftware aus dem Internet, Hackerangriffe auf betriebliche Daten, Zeit-Diebstahl und Diebstahl durch Mitarbeiter sowie Konkurrenzausspähung. 70 % der Befragten gehen von schützens- Jahrbuch der Unternehmenssicherheit 2013 wertem Know-how in ihrem Unternehmen aus, aber nur 39 % haben in ihrem Unternehmen ein Know-how-Schutzkonzept. Nur 61 % der Befragten bewerten Sicherheitsbehörden als vertrauensvolle und kompetente Partner der Wirtschaft. 35 % wünschen sich mehr Informationen und Aktivitäten im Wirtschaftsschutz. 50 % erwarten, dass im laufenden Jahr die Wirtschaft mehr Geld für die Sicherheit ausgeben wird als im Vorjahr. Für 2014 sind 47 % dieser Annahme. An der Spitze der Investitionen in die Sicherheitstechnik stehen für den Zeitraum 2013–2015 Videoüberwachung, baulicher Brandschutz, Biometrie, Perimeterschutz und elektronische Schließtechnik. Über 30 % der befragten Manager werden hier nachrüsten. Gespart worden sei im Sicherheitsbereich seit 2011 vor allem durch die Belastung des vorhandenen Personals mit zusätzlichen Aufgaben (43 %), durch Ersatz personeller Leistungen durch Technik (32,7 %), Fremdvergabe von Aufgaben (30,6 %), Verzicht auf geplante Neueinstellungen (25,5 %), Stellenstreichungen (24,5 %) und Streckung von Investitionen (22,4 %). der Befragung von Sicherheitsbeauftragten im Unternehmen und externen Sicherheitsexperten bei einer Reihe von Kompetenzen, insbesondere hinsichtlich von Kenntnissen der IT-Sicherheit (Platz 2 bei unternehmensinternen Sicherheitsbeauftragten, aber nur Platz 7 bei externen) und hinsichtlich technisch-naturwissenschaftlicher Ausbildung (Platz 8 bei unternehmensinternen, Platz 12 bei externen Sicherheitsexperten). Studienangebote im Bereich Sicherheitsmanagement werden grundsätzlich positiv bewertet. Aber nur jeder fünfte Betrieb hat bereits Absolventen von Sicherheitsmanagementstudiengängen eingestellt. Das Anforderungsniveau für die Wahrnehmung von operativen Aufgaben in der Unternehmenssicherheit sei niedriger geworden. Der Sachkundenachweis wurde zwar häufiger als 2010 genannt, die geprüfte Schutz- und Sicherheitskraft und die Fachkraft dagegen seltener genannt. 77,4 % der befragten Unternehmen würden ihr Sicherheitspersonal regelmäßig schulen, im Schnitt jährlich 63 Stunden je Mitarbeiter. 40 %. Weiterbildungsstunden entfielen dabei auf externe Maßnahmen. In der Ausgabe 3-2013 der Fachzeitschrift WiK werden die Ergebnisse der SicherheitsEnquete 2012/2013 zur Organisation der Unternehmenssicherheit wiedergegeben (S. 39–41). Auf die Frage nach zusätzlichen Aufgaben der Securitymanager haben die Befragten den Brandschutz (48,4 %), den Arbeitsschutz (46,2 %) und die IT-Sicherheit (40,9 %) an die Spitze gestellt. Ein unterschiedliches Ranking der günstigsten Voraussetzungen für eine Leitungsfunktion in der Unternehmenssicherheit ergibt sich bei Der BDSW hat den Arbeitskreis „Wirtschaftsschutz/Unternehmenssicherheit“ gegründet, meldet das Fachorgan DSD in der Ausgabe 4-2013 (S. 29). Er soll alle Mitgliedsunternehmen für alle Belange des Wirtschaftsschutzes sensibilisieren und sie über aktuelle Herausforderungen informieren. Damit sollen sie in die Lage versetzt werden, ihre Dienstleistungskompetenz auszuweiten, um dadurch ihre Kunden speziell im KMU-Bereich noch besser in allen Aufgabenfeldern der Unternehmenssicherheit zu unterstützen. Unternehmenssicherheit – Unternehmensrisiken Über eine weltweite Umfrage unter mehr als 500 Allianz-Experten in 28 Ländern nach den Top-Unternehmensrisiken 2013 berichtet das SicherheitsForum in seiner Ausgabe 1-2013 und listet die 10 gewichtigsten Risiken für Unternehmen in der Schweiz auf (S. 31). „Was sind die typischen Sicherheitslecks bei Unternehmen?“ fragt die FAZ am 26. September 2013 in einem Verlagsspezial für den Mittelstand. 1. Unternehmen nähmen allzu häufig Risiken in Kauf. 2. Selbst langjährige Mitarbeiter, die als 237 238 Jahrbuch der Unternehmenssicherheit 2013 sehr vertrauenswürdig gelten, gehörten zum Kreis derer, die geheime Informationen für sich nutzen und bewusst an die Konkurrenz weitergeben würden. 3. Wenn die Produktionsanlagen mit dem Internet verbunden sind, seien sie den gleichen Gefahren ausgesetzt wie der PC im Büro. 4. Vertriebsmitarbeiter, Sekretäre und Ingenieure würden als die besten Quellen für Konkurrenzbeobachter gelten, um an geheime Infos zu kommen. 5. Websites, soziale Netzwerke und Datenbanken seien wahre Goldgruben für findige Analysten. Bei der Vorstellung von Produkten sollte man nur die nötigsten Informationen zu Bau- und Funktionsweise preisgeben. 6. Wenn das Unternehmen den Mitarbeitern erlaubt, private Laptops auch bei der betrieblichen Arbeit zu benutzen, könne es passieren, dass aus Versehen bei der privaten Nutzung Viren eingeschleust werden und so geheime Daten auf dem Gerät in Gefahr kommen könnten. 7. Weil es immer wieder passiere, dass Mitarbeiter Unterlagen aus dem Unternehmen versehentlich irgendwo liegen lassen, sollten sie darin geschult werden, keine geheimen Unterlagen ausgedruckt mitzunehmen. Unternehmenssicherheit – Standards In der Ausgabe 1-2013 der Zeitschrift WiK stellte Sebastian Brose, VdS, neue VDS-Richtlinien im Jahr 2013 vor. Er geht insbesondere auf den Leitfaden Perimetersicherung (VdS 3143), auf die VdS 3456 (Entwicklung von Anforderungen und Prüfmethoden) und auf die Richtlinie VdS 3169 (Fernzugriff auf Einbruchmeldeanlagen mittels Smart Devices) ein. Aufgelistet wurden alle 2013 geplanten, neuen und überarbeiteten VdS-Richtlinien (S. 52/53). Als „nettes Werkzeug der Informationssicherheit“ lobt der Sicherheits-Berater in der Ausgabe 17/13 (S. 258/259) „verinice“, das eine Reihe von wichtigen Standards abdecke: die Implementierung von BSI IT-Grundschutz, den Betrieb eines ISMS nach ISO 27001, das Durchführen eines IS-Assessments nach VDA-Vorgaben, den Nachweis von Compliance mit Standards wie ISO 27002 und IDW PS 330 und das Durchführen einer Risikoanalyse nach ISO 27005. Es könnten auch eigene Gefährdungskataloge zusammengestellt und verwendet werden. Dokumente könnten direkt in der verinice-Datenbank gespeichert werden oder auch über URLs in externen Quellen wie Dokumenten-Managementsystemen, Wikis oder Sharepoint-Strukturen referenziert werden. So könne eine zentral organisierte, revisionssichere Dokumentenpyramide aufgebaut werden. Verinice werde in seiner Standardversion unter der Lizenz GPLv3 zum freien Download als Open Source-Software kostenfrei bereitgestellt und unterstütze Windows, Linux und MacOS. Unternehmenssicherheit – Awareness Nach Überzeugung von Michael Helisch, HECOM Security-Awareness Consulting, zielt Security-Awareness auf Verhaltensänderung ab. Und umfassende Security-Awareness-Aktivitäten enthielten zudem wesentliche Elemente von Organisationsentwicklungsprojekten. Indem sich der Einzelne verändere, verändere sich auch das System. (Ausgabe 3-2013 der Zeitschrift <kes>, S. 86/87) Neue Wege zur Security-Awareness empfiehlt Sven Leidel, ASI Europe, in der Ausgabe 5-2013 der Zeitschrift WiK (S. 46/47). Bei der Methodenwahl helfe es, zwei grundlegende Voraussetzungen für ein langfristiges Sicherheitsbewusstsein näher zu betrachten: die nachhaltige Wissensvermittlung und den standardisierten Trainingserfolg. Beide Faktoren sollten berücksichtigt werden. Die Jahrbuch der Unternehmenssicherheit 2013 Form des Präsenztrainings „Face to face“ gelange schnell an ihre Grenzen. Bei größerer Mitarbeiterzahl seien hohe Kosten zu erwarten, und der persönliche Charakter des Präsenzunterrichts gehe verloren. Als methodische Alternativen empfiehlt der Autor das multimediale E-Learning und das integrierte Lernen. Das sogenannte „blended Learning“ vereine sowohl die klassische Methode des Präsenz-Unterrichts als auch das moderne E-Learning. Unternehmensstrafrecht und Ordnungswidrigkeiten Die FAZ berichtet am 19. September 2013, dass die Regierung von NRW den Entwurf für ein Unternehmensstrafrecht beschlossen hat. Es gehe darum, Wirtschaftskriminalität effektiver zu bekämpfen. Wenn Banken Beihilfe zur Steuerhinterziehung zum Geschäftsmodell machten, wenn Bespitzelung und Produktpiraterie den Unternehmen und dem Standort Deutschland schadeten, müsse sich die Politik überlegen, wie der Staat darauf reagiere. Wenn sich beispielsweise nicht mehr feststellen lasse, wer Bestechungsgelder gezahlt hat, erfolge keinerlei strafrechtliche Ahndung. Auch lasse sich Wirtschaftskriminalität nicht wie bisher mit Bußgeldbescheiden ahnden. Als Sanktionen sehe der Entwurf Geldstrafen bis zu 10 % des Jahresumsatzes eines Unternehmens, den Ausschluss von öffentlichen Aufträgen und – als schärfste Waffe – die Auflösung eines Unternehmens vor. Allerdings soll auch von einer Strafe abgesehen werden können, „wenn ein Unternehmen Aufklärungshilfe leistet und ausreichende organisatorische oder personelle Maßnahmen eine Wiederholung ausschließen“. Justizminister Kutschaty habe darauf hingewiesen, dass alle neun an Deutschland angrenzenden EU-Staaten ein Unternehmensstrafrecht haben. Wie die FAZ am 20. November 2013 meldete, haben sich die Justizminister auf ihrer Herbstkonferenz mit dem Vorstoß aus Nordrhein-Westfalen angefreundet, ein eigenes Strafrecht für Unternehmen einzuführen. Insbesondere solle nun bei den weiteren Beratungen geprüft werden, ob eine solche Reform die internen Kontrollsysteme in den Unternehmen stärken und damit zur Vermei- dung von Straftaten beitragen würde. Ziel der Gesetzesinitiative sei es, dass Staatsanwälte nicht mehr nur Manager vor Gericht anklagen können, sondern auch die Unternehmen selbst. Als Sanktionen seien spürbare Geldstrafen vorgesehen. Eingeführt werden sollten zudem ein Ausschluss von öffentlichen Ausschreibungen oder Subventionen sowie die Bekanntmachung von Verurteilungen. Im Extremfall sollten Firmen aufgelöst werden. Rechtsanwalt Bernd Groß befasst sich in der FAZ am 27. November 2013 mit Sanktionen nach dem OWiG gegen Unternehmen. Spätestens seit der Verhängung von Sanktionen in dreistelliger Millionenhöhe gegen Siemens gingen Strafverfahren regelmäßig mit Geldbußen gegen Unternehmen nach § 30 OWiG einher. Für sie bedeuteten derartige Verfahren zudem erhebliche Imageschäden, immense Anwaltskosten sowie aufsichtsund vergaberechtliche Konsequenzen. Von besonderer Bedeutung als Anknüpfungstat sei § 130 OWiG, dessen Zusammenspiel mit § 30 OWiG oft nicht verstanden werde. Hiernach handelt ordnungswidrig, wer Aufsichtsmaßnahmen unterlässt, die Straftaten oder Ordnungswidrigkeiten aus dem Unternehmen heraus verhindert oder wesentlich erschwert hätten. Die Vorschrift sei somit eine Art strafrechtliches Sammelbecken für die Fälle, bei denen Leitungspersonen keine Beteiligung an den Taten nachgewiesen werden kann. Das Recht biete bereits ein Instrumentarium mit dem gegen rechtswidriges Handeln massiv vorgegangen werden könne. Das Drohpotenzial liege vor allem im Abschöpfungsteil (§ 17 Abs.4 OWiG). Die Ermittlungsbehörden stellten die Unternehmen oft vor die Wahl: 239 240 Jahrbuch der Unternehmenssicherheit 2013 Entweder sie akzeptieren die Schätzung von Vorteilen aus den Taten oder sie müssten weitere kostspielige und imageschädigende Ermittlungen hinnehmen. Angesichts der immer kritischer gewordenen Öffentlichkeit seien viele Unternehmen dann bereit, Sanktionen zu akzeptieren, die über das hinausgehen, was gerichtlich durchsetzbar wäre. Das geltende Recht berge existenzielle Risiken für Unternehmen und deren Führungspersonal. Untreue Die FAZ berichtet am 11. September 2013 über ein Urteil des BGH (Az: 5 StR 551/11), das hohe Hürden für die Annahme des Straftatbestandes Untreue setze. Die Entscheidung betreffe zwar konkret nur frühere Geschäftsführer, Prokuristen und Aufsichtsratsmitglieder von GmbHs, die Grundsätze dürften aber auch für Vorstände und Aufsichtsräte von AGs gelten. Die Pflichtverletzung müsse „klar und evident“ sein, eine „schwere Pflichtverletzung“ darstellen. Sie müsse den „Grad der Existenzgefährdung“ erreichen. Auf der subjektiven Seite müssten die Merkmale von Pflichtwidrigkeit und Vermögensnachteil selbständig geprüft werden. Auch bei bedingtem Vorsatz müsse der Täter die Verwirklichung des Straftatbestan- des für möglich halten und den Erfolg billigend in Kauf nehmen. Bei Risikogeschäften seien an die Feststellung der subjektiven Tatseite erhöhte Anforderungen zu stellen. Die bewusste Eingehung des immanenten Risikos könne für sich genommen nicht ausreichen. Es komme darauf an, ob der Angeklagte die Risikofaktoren und den Risikograd tatsächlich erkannt hat. Noch bedeutsamer sei, ob er mit dem Erfolg der Tat einverstanden war. Anders als bei Kapitaldelikten lasse sich das nicht bereits weitgehend aus dem Gefährdungspotenzial der Handlung ableiten. Es komme auf die Umstände des Einzelfalles an. Entlastend bewertet der BGH, wenn ein Risikocontrolling eingeführt worden ist, das deutlich mehr Transparenz geschaffen hat. Urheberrecht Mit unangemessen hohen Abmahnkosten schon bei der ersten Urheberrechtsverletzung durch illegale Downloads soll Schluss sein, berichtet die Wochenzeitung DAS PARLAMENT am 22. April 2013. Das sei das Ziel eines von der Bundesregierung vorgelegten Gesetzentwurfes (17/13057). In dem Entwurf sei unter anderen ein Verbot von Werbeanrufen vorgesehen, die von einer automatischen Anrufmaschine getätigt werden. Zudem sollten telefonisch abgeschlossene Verträge mit Gewinnspieldiensten nur noch wirksam werden, wenn sie schriftlich bestätigt werden. Schließlich solle gegen ungerechtfertigt hohe Abmahnungssummen vorgegangen werden, indem ein Regelstreitwert von 1.000 Euro für die erste Abmahnung bei privat handelnden Nutzern festgelegt wird. Vandalismus Vandalismus bleibe weiterhin ein großes Problem in Berlin, berichtet der Berliner Tagesspiegel am 8. Februar 2013. 2012 hätten bei BVG und S-Bahn Schäden in Höhe von 12 Millionen Euro behoben werden müssen. Über 300 Mal habe die Polizei 2012 nach Vandalismusvorfällen Aufnahmen von Kameras der BVG ausgewertet. Auch in allen Bussen und U-Bahnen sowie in einem großen Teil der Straßenbahnen gebe es Aufzeichnungsgeräte. Mehrfach sei es dadurch gelungen, Täter ausfindig zu Jahrbuch der Unternehmenssicherheit 2013 machen, vor allem nach Gewaltvorfällen. Neben den „Mischbahnhöfen“ seien bei der S-Bahn 35 der insgesamt 166 Bahnhöfe mit Kameras ausgestattet. Zudem seien 550 Sicherheitskräfte beschäftigt. Veranstaltungssicherheit Zu einigen Problemen des Veranstaltungsordnungsdienstes äußert sich der Vorsitzende des für diesen Funktionsbereich neu gegründeten Arbeitskreises des BDSW, Martin Houbé, in DSD (Ausgabe 2-2013, S. 44). Als eine seiner wichtigsten Aufgaben bezeichnet er eine klare Definition von Ordnungsdiens- ten. Wichtig sei es auch, angepasste Qualifikationsmodule für die unterschiedlichen Tätigkeiten bei Schutz und Ordnung von Veranstaltungen vorzunehmen. Houbé fordert Veranstalter aller Art auf, rechtzeitig qualifizierte und kompetente Ordnungsdienstleister in die Planung einzubeziehen. Versicherungsbetrug IT-Fachjournalist Hartmut Giesen zeigt in der Ausgabe 2-2013 der Fachzeitschrift WiK (S. 22/23), wie mit Fuzzy Logic betrugsverdächtige Schadensmeldungen von dem System „RiskShield“ identifiziert werden. Die von INFORM entwickelte Software addiere für jedes gefundene Betrugsindiz eine Punktzahl zwischen 1 und 100 zur Prüfsumme. Für entlastende Merkmale ziehe sie umgekehrt Punkte ab. Übersteige die Punktsumme am Ende der Prüfung eine von der Versicherung definierte Summe, steuere die Software die Schadensmeldung als „auffällig“ aus. Sie werde dann an einen Betrugsexperten weitergeleitet. Im KFZ-Bereich erwiesen sich ca. 10 % aller von RiskShield als auffällig ausgesteuerten Schadensmeldungen tatsächlich als Betrugsversuch. Videoüberwachung Die Videoüberwachung nimmt in den Beiträgen der Medien 2013 einen breiten Raum ein. Das ist zum einen in der hohen Bedeutung dieser Technologie für die Unternehmenssicherheit und der Effizienz dieses Instrumentariums begründet, zum anderen im raschen technischen Fortschritt, der diese Sicherheitstechnik in ihrem Einsatzwert permanent erhöht. Da in diesen Beiträgen mehrere Aspekte der Videoüberwachungstechnik behandelt werden, ist eine streng systematische und zugleich überschneidungsfreie Zusammenstellung nicht möglich. Videoüberwachung – Entwicklungsperspektiven Umfassende Betrachtung Die Fachzeitschrift Protector hat im September das Special Videoüberwachung mit vielen interessanten Beiträgen herausgegeben. Den Schwerpunkt bildet das „9. PRO- TECTOR Forum Videoüberwachung 2013“. Nachfolgend werden Äußerungen einzelner Diskussionsteilnehmer zusammengefasst wiedergegeben. 241 242 Jahrbuch der Unternehmenssicherheit 2013 Zunächst sei es darum gegangen, wie sich die Überwachungskameras in den letzten Jahren durch immer höhere Auflösungen und zunehmend smarten Komponenten weiterentwickelt haben und welchen Nutzen dies heute in der Praxis bringe (S. 10–16). „720p“ habe sich quasi als Standard für Überwachungskameras etabliert. Auch „1080p“ spiele eine wachsende Rolle. Aber in den höheren Megapixel-Bereich dringe man nur vor, wenn es die Anforderungen ausdrücklich voraussetzen – etwa wenn es auf extreme Detailgenauigkeit ankomme oder es in die Flächenüberwachung hineingehe. Die digitale VGA-Kamera sei abseits der Low BudgetLösung kaum noch lebensfähig, da seien sich die Experten einig. Was aber trotz jahrelanger Grabesreden noch recht lebendig sei, sei die Analogtechnik. Hinsichtlich der „1080p-Kameras“ dürfe man auch nicht vergessen, dass es hierbei hauptsächlich um den sogenannten Upgrade-Markt gehe. Der habe noch andere Technologien hervorgebracht, die eine Brücke schlagen zwischen analogen Altsystemen und der hochauflösenden digitalen Welt von heute. HD-SDI benötige hochwertige Koaxialnetze. Natürlich könne es vereinzelt Probleme mit der vorhandenen Koaxialverkabelung geben, aber trotzdem sei die Umrüstung von analogen Anlagen auf Full HD eine interessante und kostensparende Alternative zu IP. Was bei HD-SDI öfter bemängelt werde, sei die Deckelung der Auflösung – bei 1080p sei Schluss. Oberhalb davon beginne die Liga der ausschließlich IP-basierten Megapixelkameras. Sie hätten vor allem in speziellen Anwendungen ihren Markt. Überall dort, wo es um die Überwachung von großen Arealen geht, könnten solche Systeme ihre Stärken besonders gut ausspielen, wie zum Beispiel bei großen Werkshallen, Schwimmbädern, Logistikunternehmen, Bahnhöfen und dergleichen . Als vermeintliche Nischentechnik und als Trendprodukte würden die heute in vielfältiger Form erhältlichen Panorama- und Fisheye-Modelle gelten. Fisheyes seien nur bedingt für die Identifikation einsetzbar. Die 3D-Videotechnik scheine momentan noch wenig Relevanz zu besitzen. Neue Verfahren und Standards stünden schon in den Startlöchern. Man beobachte bereits die Potenziale der neuen 4K-Auflösung, die aus der Digitalkino-Technik komme. Im Anschluss diskutierten die Experten über die Auswirkungen von HD und Megapixel auf Peripherie und Netzwerk. Dabei habe das reibungslose Zusammenspiel verschiedener Komponenten im Fokus gestanden (S. 18–23). Wenn man in den hochauflösenden Bereich gehe, dann bitteschön nicht nur in der Kamera, sondern bei allen Komponenten. Das sei aber längst nicht allen Anwendern bewusst. Das Objektiv sei ein wesentlicher Faktor, der die Bildqualität enorm beeinflusse. Und daher nütze es natürlich nichts, wenn die Kamera fünf Megapixel liefern könnten, man davon aber ein minderwertiges Kunststoffobjektiv, zum Beispiel ohne asphärische Linsenelemente habe, das diese Auflösung gar nicht abbilden könne. Es sei auch eine Erkenntnis der letzten Jahre, dass sogenannte Megapixel-Objektive durchaus megapixeltauglich seien, aber oft nur in der Bildmitte, nicht an den Rändern. Auch an der Monitorfront halte sich mancher gerne mit Investitionen zurück. Dem Consumer-Monitor fehlten meistens die wesentlichen Eigenschaften, die einen Security-Monitor auszeichnen. Das betreffe neben der allgemeinen Bildqualität zum Beispiel den Einbrennschutz und natürlich vorrangig den „24/7-Betrieb“. Ein sehr starker Trend seien heute integrierte IR-Strahler in Kameras. Die Netzwerkinfrastruktur sei ein nicht zu vernachlässigender Faktor bei der Implementierung von Videolösungen. Mit steigenden Sensorauflösungen stiegen auch die benötigten Bandbreiten im Netzwerk. Es mache aber keinen großen Unterschied mehr, ob man an ein Netzwerkkabel eine VGA-Kamera oder eine Megapixelkamera anschließt. Selbst die höhere Bandbreite habe in heutigen Zeiten kaum eine Auswirkung, weil häufig bereits Gigabit-Switche installiert seien. Bei bestehenden Netzwerken, die man für Video mit benutzen möchte, sollte man vorher immer eine Netzwerkanalyse machen. Ebenfalls Jahrbuch der Unternehmenssicherheit 2013 nicht zu vernachlässigen seien die Kompressionsmethoden für HD-Formate. Eine weitere wesentliche Frage sei, wie viel einer Megapixelauflösung durch starke Kompression verloren gehe. Mit dem Stichwort Speicherung sei der letzte Aspekt angesprochen, der mit zunehmender Auflösung kritisch werden könne. Ein Engpass liege auch bei den Festplatten selbst. Im dritten Teil des Forums ging es um die grundsätzlichen Philosophien von zentralen und dezentralen Systemen sowie um ihre konkreten Vor- und Nachteile (S. 24–35). Viele Videoanalysefunktionen, von der Bewegungsdetektion bis hin zur Kennzeichenerkennung, seien auf der Kamera heute sehr gut und auch günstiger zu betreiben als auf einem Server. Dennoch müsse man dabei auch die Qualität bedenken. Unter Umständen reiche es auch, auf den Kameras eine Voranalyse zu machen. Die nötige Rechenleistung sei dort ohnehin vorhanden. Ganz davon abgesehen würden als Videoanalyse zum Beispiel auch Verdrehschutz, Blendungserkennung oder auch Rauscherkennung definiert. Videoanalyse werde in der Kamera heute nicht nur zur Alarmierung genutzt, sondern auch zur Verbesserung des Bildes. Wenn beispielsweise ein Objekt erkannt wird, werde es mittels dynamischer Kompression besser dargestellt, während der Hintergrund weniger detailliert wiedergegeben werde. Egal, welche Systemarchitektur man wähle, ihr müsse immer eine sorgfältige Planung zugrunde liegen. Dezentrale und zentrale Systeme seien nicht messerscharf zu trennen. Im Grunde gebe es in jedem System Teilbereiche, die man besser zentral organisiert, und es gebe Funktionen, die man dezentralisiert. Ein dezentrales System lasse sich relativ leicht erweitern. Bei einem zentralen System komme man je nach Größenordnung der Erweiterung um die Hinzunahme weiterer kostenintensiver Server nicht herum. Die Verfügbarkeit könne durch eine dezentrale Intelligenz deutlich erhöht werden. Dagegen sei eine zentrale Lösung meist einfacher zu sichern als eine dezentrale – vor allem, was die Aufzeichnung betrifft. Falle der Server aus, seien die Aufzeichnungen aller Kameras weg. Hier liege der Ausweg in einer angemessenen Redundanz. Wenn man Videoanalyse auf Servern betreibe, brauche man entsprechend hohe Rechenleistung. Plane man seriös, liefen die Server mit maximal 70 % Auslastung. Kaum ein Aspekt von dezentralen Lösungen werde so leidenschaftlich debattiert wie die lokale Speicherung von Videobildern auf der Kamera. Für die einen sei dies ein absolutes No-Go, für andere ein Gimmick, und für andere wiederum eine nützliche Funktion für bestimmte Anwendungen. Bei wachsenden Videoanlagen sei der clevere und investitionsschonende Umgang mit bestehenden Komponenten wichtig. Encoder seien nur dazu da, vorübergehend die existierenden Kameras in das neue System zu integrieren. Ein Konzept, das die Investitionen des Kunden wirklich schützt, sei der Ansatz einer Softwareoberfläche, die vorhandene analoge Technik aufnimmt und vollumfänglich unterstützt. Analog contra digitale Videoüberwachung Hardo Naumann, Accellence Technologies GmbH, zeigt in der Ausgabe 2-2013 der Zeitschrift WiK, wie eine gute Darstellung analoger Videobilder auf modernen Bildschirmen gelingt (S. 57–59). Um den sogenannten „Lattenzauneffekt“ (bewegte Bilder scheinen an den Rändern „auszufransen“) zu vermeiden, gebe es drei Verfahren des sogenannten „Deinterlacing“. Das erste Verfahren bestehe darin, jedes zweite Halbbild zu verwerfen. Das zweite Verfahren sei das Hochrechnen aller Halbbilder zu Vollbildern, das dritte der Einsatz von Algorithmen, mit denen die Bilder vor der Anzeige gefiltert und korrigiert werden. 243 244 Jahrbuch der Unternehmenssicherheit 2013 In der Ausgabe 5-2013 der Fachzeitschrift Protector (S. 26/27) äußert sich Martin Gren, Axis Communications, zu Trends in der IPVideoüberwachung. Während vor einiger Zeit noch der Pixelwert das A und O war, sei inzwischen die Bildnutzbarkeit ein weiterer wichtiger Punkt geworden. Dank neuer Technologien könnten Netzwerkkameras auch unter erschwerten Bedingungen detailliertere Bilder liefern, beispielsweise bei geringer Beleuchtung oder schwieriger Umgebung. Dabei sollten die Basisfunktionen der Netzwerkkameras nicht aus dem Blick geraten. Sie sendeten automatisch Alarmmeldungen an das Wachpersonal, sobald die Geräte manipuliert werden oder andere Fehler auftreten. Auch die Videobewegungserkennung (VMD) habe gegenüber früheren Möglichkeiten deutlich aufgeholt. Weil Netzwerkkameras in zwei Richtungen kommunizieren könnten, ließen sie sich besonders gut mit anderen Geräten wie Zugangskontrollen oder Verkaufsterminals integrieren. Ein weiterer Faktor für die Weiterentwicklung von Netzwerkkameras seien die kontinuierlich wachsenden Speicherkapazitäten. Im Protector-Special Videoüberwachung vom September 2013 beschreibt Ludwig Bergschneider, ASP AG, die verbesserte analoge Videoqualität durch den neuen 960H-Standard (S. 44/45). Die analoge Videotechnik werde noch über viele Jahre auf steigendem Niveau weiter verwendet werden. Die wichtigsten Gründe hierfür seien einerseits die bereits verlegten Koaxialkabel und andererseits die relativ günstigen Komponenten der Systeme. Um aber dennoch mit den steigenden Anforderungen an Qualität und Auflösung Schritt halten zu können, bedürfe es neuer technischer Ansätze. Mit dem Standard 960H (oder auch HD-Analog) gelinge dies ohne massive Neuinvestitionen. Aus technologischer Sicht liege der Hauptvorteil des Standards in der höheren Auflösung. Aber auch der weite Dynamikbereich und eine konstante Leistung bei schlechten Lichtverhältnissen zählten zu den Vorteilen. Aus Sicht von Anwendern und Errichtern sei 960H ebenfalls unkompliziert zu nutzen, denn es sei voll abwärtskompatibel zum herkömmlichen PAL-Standard. Videoüberwachung in der Cloud Videoüberwachung in der Cloud ist das Thema, das Karsten F. Kirchhof, Accellence Technologies GmbH, in der Fachzeitschrift WiK (Ausgabe 4-2013) behandelt (S. 54/55). Die verteilte Installation in der Cloud biete neben klaren Kostenvorteilen vor allem höchstmögliche Flexibilität und Redundanz. Für die Speicherung und Weiterleitung in einem Rechenzentrum müsse die Aufzeichnung verschlüsselt werden. Dies gelte speziell beim Einsatz in der Filialstruktur von Banken, wo Bereiche überwacht werden, in denen sehr hohe Geldbeträge bewegt werden, oder in der Industrie, wo jede Form von Bildinformation etwa aus der Forschungs- und Entwicklungsabteilung einem hohen Sicherheitslevel unterliegen. Durch die Integration eines PKI-Systems in das Videomanagement seien kostengünstige, hochredundante und komfortable Videoüberwachungslösungen in der Cloud unter aktuellen Datenschutzauflagen und höchsten Sicherheitsstandards realisierbar. Dr. Michael Gürtner, Bosch Sicherheitssysteme GmbH, weist in der Zeitschrift Protector (Ausgabe 7-2013) darauf hin, dass „cloud basierte“ Videoüberwachungs-Lösungen kleinen und mittelständischen Unternehmen ermöglichen, von zentraler Sicherheitsinfrastruktur und Kompetenz zu profitieren, ohne selbst in eine komplizierte Lösung mit Hardware und Personal investieren zu müssen (S. 30/31). Jahrbuch der Unternehmenssicherheit 2013 Marktübersicht Das Protector-Special Videoüberwachung vom September 2013 enthält Marktübersichten zu CCTV-Kameras (S. 60/61), zu Video-Encodern (S. 62/63), zu Netzwerk- kameras (S. 64/65), zu digitalen Speichersystemen (S. 66/67), zu VideomanagementSoftware (S. 68/69) und zu Monitoren (S. 70/71). Prognosen Trends für 2013 bei der IP-Videoüberwachung skizziert in der Fachzeitschrift GIT (Ausgabe 3-2013, S. 40/41) Axis Communications: Trend 1: Videoüberwachung in Städten nimmt an Bedeutung zu; Trend 2: proaktive Überwachung in öffentlichen Verkehrsmitteln – generell ermögliche IP-Videoüberwachung, dass von überall Echtzeit-Videobilder zugänglich sind; Trend 3: Die IP-Videotechnologie biete dem traditionsgemäß auf umfangreiche Sicherheitsmaßnahmen bedachten Bankbereich viele Vorteile. Für 2013 werde IP-Überwachung auch im hochsensiblen ATM-Bereich rund um den Geldautomaten vermehrt in den Fokus rücken; Trend 4: Im Einzelhandel werden in Zukunft IP-Kameras auch vermehrt über den Sicherheitsbereich hinaus genutzt (Analyse von Kundenverhalten oder Effektivität von Ausstellungsbereichen und Regalflächen). Magnus Ekerot, Mobotix AG, wirft in der Fachzeitschrift GIT (Ausgabe 6-2013, S. 40/41) einen Blick auf die weitere Entwicklung der Videoüberwachung bis zum Jahr 2020. Der Trend zu digitalen Lösungen sei ungebrochen. Für die Bildqualität sei mit 5 bis 20 Megapixeln als zukünftigem Stan- dard zu rechnen. Der Trend zur Mobilität werde weiter zunehmen. Und es werde eine Entwicklung weg vom Einzelprodukt hin zur Plattform geben. Die Videoanalyse werde immer populärer werden. Immer mehr Daten würden künftig kameraintern gespeichert. Hosted Video werde ein Wachstumsmarkt sein. Europa und die USA blieben Kernmärkte für Videosysteme. Indien und China würden zu den Treibern im asiatischen Markt gehören. Auch in Regionen mit starkem Breitband-Infrastrukturzuwachs sei mit einer starken Nachfrage nach digitalen Videosystemen zu rechnen. Die Prognose eines Wachstums von jährlich 14 % bis 2017 sei absolut realistisch. In der Ausgabe 9-2013 setzt Dr. Magnus Ekerot seinen Blick auf den Markt der Videosicherheit im Jahr 2020 fort (S. 70/71). Die Zahl der Megapixel der Sensoren werde sich erhöhen. Eine höhere Megapixelzahl bringe aber nicht immer eine gute Bildqualität mit sich. Sie brächte nichts, solange der Sensor nicht ausreichend groß und die Qualität der einzelnen Pixel entsprechend gut sei. Die Auflösung werde sich bis 2020 bei 5 bis 10 Megapixel bei den Standardanwendungen einpendeln, obwohl technisch mehr möglich sei. Videoüberwachung – Videokamera Objektiv-Design Die Kunst des Objektiv-Designs behandelt ein Beitrag in der Ausgabe 7/8-2013 der Zeitschrift Protector (S. 36/37). Die höheren Auflösungen der Kameras stellten auch die Objektivhersteller vor immer größere Herausforderungen. Die Kunst bestehe darin, alle optischen Fehler auf ein Minimum zu reduzieren. Asphärische Linsen 245 246 Jahrbuch der Unternehmenssicherheit 2013 zeichneten sich durch einen veränderten Radius in den Randbereichen aus. Das Licht werde in einem anderen Winkel abgelenkt und somit korrigiert. Zusätzlich bestehe die Möglichkeit, unterschiedliche Materialien zu verwenden. Sogenannte Hybrid-asphärische Elemente bestünden aus zwei unterschiedlichen Materialien, die jeweils einen anderen Brechungsindex besitzen. Eine Kombination solcher Linsen korrigiere dann nicht nur die Randstrahlen, sondern sei auch in der Lage, längere Wellenlängen, wie sie im IR-Licht vorhanden sind, auf einen Punkt zu bringen. Ein weiterer Schlüssel für eine hochwertige Optik sei das Gehäuse. Megapixelkamera Dank hochauflösender Megapixelkameras lassen sich heute auch große Areale mit einer relativ geringen Kameraanzahl überwachen. Dabei würden feinste Details erfasst, was die allgemeine Sicherheit erhöhe. Gleichzeitig ließen sich auf diese Weise Infrastrukturkosten senken und ein Return on Investment früher erreichen, zeigt sich Scott Schafe, Arecont Vision, in der Zeitschrift Protector (Ausgabe 5-2013, S. 24/25) überzeugt. Ursprünglich seien Megapixel-Panoramamodelle eher für Spezialanwendungen gedacht gewesen. Mittlerweise seien sie wegen ihrer Vorteile in Sachen Leistungsfähigkeit und Kosteneffizienz aber im Mainstream angekommen und würden in einer großen Bandbreite an Branchen und Szenarien eingesetzt. Lichtfeldkameras In der Fachzeitschrift WiK (Ausgabe 4-2013) untersucht Ulrich Sober die Möglichkeit der Nutzung von Lichtfeldkameras für die Videoüberwachung (S. 45/46). Professionelle Lichtfeldkameras erreichten eine sechsfach höhere Schärfentiefe als die gleiche Kamera ohne die spezielle Optik. In den heutigen Lichtfeldkameras befänden sich statt nur einer Linse eine Vielzahl von Mikrolinsen in einer Gitteranordnung unmittelbar vor dem Aufnahmechip. Durch das Mikrolinsengitter werde ein einfallender Lichtstrahl kegelförmig geweitet und belege je nach Chip mehr oder weniger Pixel auf dem Aufnahmechip. Per Software sei es möglich, aus dem aufgefangenen Datensatz für jede beliebige Entfernung ein scharfes Bild zu generieren. Zusätzliche Bildinformationen seien aber auch ein Handicap für die Lichtfeldtechnik. Je mehr Linsen eine Lichtfeldkamera hat, desto geringer werde die Auflösung. Dem könne zwar mit höher aufgelösten Chips entgegen gesteuert werden, allerdings erhöhe dies auch das Datenvolumen je Bild. Für Auftrieb im Markt sorge möglicherweise eine von der Firma Lytro vertriebene Kamera mit 8-fach optischem Zoom, die es effektiv auf eine Auflösung von 540 x 540 Pixel bringe. Realisiert werde dies mit einem kostengünstigen Sensor, bei dem pro Linse jeweils 6 x 6 Bildpunkte belichtet werden. Fischaugenkameras Steve Ma, Vivotek Inc., befasst sich im Protector-Special Videoüberwachung vom September 2013 mit Fischaugenkameras zur Überwachung (S. 46/47). Der Vorteil eines Fischaugen-Objektivs im Vergleich zu anderen 360-Grad-Kameras seien die geringeren Kosten und die niedrigere Anfälligkeit für Fehler aufgrund der angeschlossenen Jahrbuch der Unternehmenssicherheit 2013 Hardware. Auch gebe es keine Datenverluste und tote Winkel, die durch ein ungenaues Zusammenfügen von Bildern entstehen. Eine für einen 180-Grad-Panoramablick ausgestattete Fischaugenkamera oder eine 360-GradFischaugenkamera ohne tote Winkel hätte ein achtmal breiteres Blickfeld als herkömmliche VGA-Kameras, so dass weniger Kameras installiert werden müssten. Sie böten für unterschiedliche Einsatzformen verschiedene Darstellungsmöglichkeiten wie die ursprüng- liche Rundumsicht, den Panoramablick und Bereichsansichten. Hochauflösende Fischaugenkameras hätten eine breite Bereichsabdeckung und eine hohe Auflösung, eine hervorragende Bildqualität, ein robustes Design, benutzerfreundliche Anwendungen für die Steuerung über Handheld-Geräte und eine dem Branchenstandard entsprechende Verschlüsselung. Zudem seien sie kostengünstig und unauffällig. Schutz vor Vandalismus Der Sicherheitsberater weist in seiner Ausgabe 2-2013 auf ein vom „The Guardian“ ins Netz gestelltes Video hin, in dem Mitglieder der Gruppe CAMOVER bei der Demolierung von Videokameras in Berlin zeige: Eine Domekamera in einer U-Bahn werde kaputtgeschlagen. Eine andere, meterhoch an einem Gebäude angebrachte Kamera werde mit einem Lasso zu Fall gebracht. Eine dritte am Fuhrparktor einer Feuerwehr werde mit einem langen Stangengreifer malträtiert. Wer sich über den aktuellen Stand in der Szene und damit über den Gefährdungsgrad seiner Überwachungskameras informieren möchte, sollte nach dem Stichwort „Camover“ oder „Camoverblog“ googeln. Angesichts der Bilder seien die Zweifel groß, dass „vandalensichere Außendomekameras“ (Produktbezeichnung von ABUS) roher Gewalt lange standhalten können. Der Schutz von Überwachungskameras könne nicht nur bei der Materialhärtung einsetzen. Den Folgen von Vandalismus müsse man definitiv schon bei der Planung und der Platzierung vorbeugen. In der Ausgabe 7-2013 befasst sich der Sicherheits-Berater erneut mit dem Vandalismusschutz für Videokameras. Eine einigermaßen wirksame Strategie gegen Vandalismus sei Diskretion, also das Verstecken der Kamera. Gegen die Möglichkeit, die Kamera oder das Sichtfenster zuzusprühen, helfe nur die Montage möglichst weit oben außerhalb des Handbereichs. Aber gegen einen präzise gezielten Farbbeutel sei man auch damit kaum gerüstet. Letztlich bleibe nur die Möglichkeit, die Auswirkungen eines vandalistischen Angriffs gering zu halten, indem man ihn unmittelbar erkennt. Das bedeute, dass die Videoanlage Bildausfälle durch Totalverlust, Verdecken, Verdrehen oder Unscharfschalten der Kamera erkennt und meldet (S. 106–108). Videoüberwachung – Licht Lichtempfindlichkeit Fedja Vehabovic, VJC Professional Europe Ltd., befasst sich in der Ausgabe 5-2013 der Zeitschrift GIT (S. 68/69) mit modernen Sensoren und intelligenten Prozessoren, die die Lichtempfindlichkeit von Full HD Ka- meras erhöhen. Er empfiehlt, zunächst die Beleuchtungssituation zu verbessern, die Lichtempfindlichkeit zu erhöhen und einen neuen lichtempfindlichen CMOS-Sensor zu nutzen. JVC sei es gelungen, bei der Sockel- 247 248 Jahrbuch der Unternehmenssicherheit 2013 struktur seines neuen Sensors das Beste aus zwei Welten zu kombinieren: die Vorteile des Wiring-Layouts eines klassischen CCD-Sensors mit der Sockelstruktur eines modernen CMOS-Sensors. Ein Beitrag in dem Protector-Special Videoüberwachung vom September 2013 behandelt die Lichtempfindlichkeit aktueller IPÜberwachungskameras. Moderne, höchst lichtempfindliche IP-Kameras böten sich als leistungsfähigere und finanzierbare Alternative zu bisheriger analoger Kamera- und Aufzeichnungstechnik an. Hochauflösende Tag-/ Nacht-Netzwerkkameras vereinten neben der Gewinnung eines scharfen Bildes für eine verwertbare Analyse die Funktionen Bildverarbeitung, Bildanalyse, Kompression, Speicherung und sichere Übertragung der Bilddaten. Die Bilderfassung in HD(720p) und Full HD(1080p) übernähmen CMOS-Sensoren mit äußerst hoher Lichtempfindlichkeit. Nachtaufnahmen, bei denen das Bildsignal mit nur geringer Lichtmenge auf die einzelnen Bildpunkte des CMOS-Sensors trifft, seien geprägt von einem starken Rauschen. Die nötige Verstärkung des Bildsignals produziere eine große Datenmenge mit nur geringem Anteil an nutzbarem Inhalt. Hier setzten die jeweiligen Rauschunterdrückungs- und Rauschfilteralgorithmen an, um neben der Erhöhung des Nutz- signals die Kostenfaktoren Rechenkapazität, Übertragungsbandbreite und Speicherbedarf zu reduzieren. Die technologisch führenden Anbieter hoch lichtempfindlicher IP-Kameras nutzten ihre jeweiligen Stärken und Erfahrungen bei der Neu- und Weiterentwicklung der Komponenten zu ihren aktuellen Gesamtlösungen. Vorgestellt werden in dem Beitrag das System Ipela Engine von Sony, die LightfinderTechnologie von Axis Communications, die Starlight-Technologie der Bosch-Entwickler und Super Lolux HD von JVC. Selbst wenn verschieden gewichtete Lösungsansätze zur Verbesserung der Lichtempfindlichkeit verfolgt würden, das Zusammenspiel der Komponenten im Gesamtsystem sichere letztlich das Qualitätsniveau (S. 40–43). Die Beurteilung der Lichtempfindlichkeit einer Video-Kamera gilt laut Experten des BHE (Bundesverband Sicherheitstechnik e. V.) als eines der schwierigsten Themen in der professionellen Videoüberwachungstechnik, betont WiK in der Ausgabe 4-2013 (S. 51). In einem neuen Papier erläutert der BHE die wichtigsten Parameter und gibt eine Übersicht über die erforderliche Mindestbeleuchtungsstärke in Abhängigkeit zur Lichtstärke des Objektivs. Das Papier stehe unter www. bhe.de zum Download bereit. Nächtliche Ausleuchtung In der Zeitschrift Protector (Ausgabe 112013) wird die Ausleuchtung bei nächtlicher Videoüberwachung thematisiert (S. 32/33). Mit guter Szenenausleuchtung seien folgende Effekte zu erreichen: kleine Blendenöffnung, dadurch größerer Schärfentiefenbereich; Minimierung des Bildrauschens; Sicherstellung der Lesbarkeit von KFZKennzeichen trotz direkten Bestrahlens; das Arbeiten mit Reflexion über Gebäudewände und damit das Verringern von Schlagschatten und Überblendungen durch Erzielen homogenerer Ausleuchtung der Gesamtszene. Infrarot-Technik In einem Beitrag in der Zeitschrift Protector (Ausgabe 7/8-2013, S. 34/35) wird erläutert, wie adaptive Infrarot-Technik für gleichmä- ßige Ausleuchtung sorge. Sie reagiere dynamisch und passe die Ausleuchtung der Szene und den Objekten an. Ein von Avigilon an- Jahrbuch der Unternehmenssicherheit 2013 gebotenes System verbinde gleich mehrere veränderliche Kriterien, um je nach Bildinhalt stets die bestmögliche Qualität zu erzielen. Die Funktion „Zoom Adaptive“ fokussiere den IR-Strahl so, dass er genau zum Sichtfeld der Kamera passt. So werde eine bestmögliche Ausleuchtung aller Bereiche bei jeder ZoomEinstellung erreicht. Die „Content Adaptive“Funktion richte sich nach dem Bildinhalt. Für eine größtmögliche Detailauflösung würden zwei Methoden angewandt: „Oversaturation Detection“ und „Ignoring Background Oversaturation“. Erstere erkenne, sobald ein Objekt oder Bildbereich überstrahlt, und regele entsprechend nach. Die zweite Methode erkenne überstrahlte Bereiche im weniger wichtigen Hintergrund und ignoriere diese, falls weiter vorne wichtige Objekte erkannt werden. Es gebe zwei herkömmliche Arten, um Überstrahlen auszugleichen. Der erste Weg sei die Verminderung der IR-Strahlerleistung. Dies sei ein recht effektiver Weg. Der zweite Weg führe über die Anpassung der Kameraeinstellung. Am Sensor werde ein generell schwächer belichtetes Bild abgegriffen, was das Überstrahlen eliminiere. Videoüberwachung – Detektion und Analyse Multifocal-Sensortechnologie Im Newsletter 8/2013 von SecuPedia befasst sich Roland Meier, Dallmeier electronic GmbH & Co. KG, mit der sogenannten Multifocal-Sensortechnologie. Sie eröffne neue Überwachungs- und Auswertemöglichkeiten. Anders als HD- und MegapixelKameras arbeiteten mit dieser Technologie ausgestattete Kameras mit mehreren Objektiven mit jeweils unterschiedlichen Brennweiten. Die Kamera könne so dem zu überwachenden Bereich angepasst werden, so dass auch auf große Entfernungen Details und Personen noch gut erkennbar seien. Sie passten das Pixelverhältnis der entsprechenden Situation an. Das Bild werde effizient aufgeteilt, ohne dabei an bestimmte Seitenverhältnisse gebunden zu sein. Durch Nutzung verschiedener Objektive werde eine gleichbleibende Auflösung über den gesamten zu überwachenden Bereich ermöglicht. Beispielsweise ließen sich Personen auch auf 160 Meter noch erkennen. Das Gesamtbild werde permanent und auch stets mit höchster Auflösung aufgezeichnet, so dass kein Bereich und keine Details verloren gingen, selbst wenn sich der Betrachter live gerade auf einen kleineren Ausschnitt konzentriert. Autarke und intelligente Videoüberwachung In der Ausgabe 4-2013 der Zeitschrift Security Insight behandelt Martin Scherrer, Siemens-Division Building Technologies, intelligente Videoanalysesysteme. Sie seien wahre Multitalente: Sie könnten mithilfe hoch entwickelter Sensorik Kamerasignale eigenständig und unterbrechungsfrei auswerten, definierte Ereignisse identifizieren sowie entsprechende Aktivitäten auslösen. Zunehmend fänden sie auch Anwendung in belebten Szenen. Hier seien besonde- re Analysefunktionen gefordert. GraffitiSprayer, Personen mit auffälligem Verhalten oder Akte von Vandalismus sollten ebenso sicher erkannt werden wie zurückgelassene Gegenstände. Die modernen Systeme könnten noch mehr, zum Beispiel Personenzählung und Besucherstromanalyse. Je nach Anforderung könne die Bildanalyse an unterschiedlichen Stellen im Netzwerk stattfinden. Statt der Auswertung des unkomprimierten Bildstroms direkt in der Kamera 249 250 Jahrbuch der Unternehmenssicherheit 2013 eigne sich für komplexere, merkmalbasierte Auswertungen die „Back End-Analyse“. Die Bilddaten könnten so parallel für unterschiedliche Anforderungen ausgewertet werden. Eine Aufzeichnung könne auch ereignisgesteuert ausgelöst werden. Wichtiger als die Analyse des Videostroms nach dem Ereignis sei die Analyse der Vorlaufzeit. Sie könne Aufschluss über Abläufe und Tathergänge geben (S. 40/41). Ulrich Sobers, WiK-Redaktion, zeigt in der Ausgabe 4-2013 Entwicklungsperspektiven in der Videoanalyse auf. Richtig effizient werde sie erst, wenn Software dafür sorgt, dass alle Sequenzen, die für die Überwachung relevant sein könnten – und möglichst auch nur die – entdeckt und angezeigt oder gespeichert werden. Videoanalyse-Software reiche deshalb je nach Aufgabe von ganz einfach (Bewegungsdetektion durch Pixelveränderung) bis hochkomplex (Erwartung von Verhalten). Die technischen Voraussetzungen für hochkomplexe Analysemethoden seien längst vorhanden. Technologisch betrachtet könne Videoanalyse als eine höhere Art der Mustererkennung aufgefasst werden, bei der über die zeitliche Reihenfolge im Ergebnis auf eine Art von Verhalten geschlossen werden könne. Hierbei müsse ein Muster von einem Hintergrund unterscheidbar sein. Die Videoüberwachung stehe und falle dabei mit der Definition der Muster. Ein grundlegendes Problem bei der Entwicklung von Algorithmen in der Bildanalyse sei, unter welchen Rahmenbedingungen ein zu erkennender Vorgang abläuft und ob man diesen als Mensch der Maschine gegenüber in deren Programmiersprache vermitteln könne. Je nachdem, wie viele Fehler tolerabel sind, ließen sich passende Algorithmen für spezifische Aufgabenstellungen entwickeln (S. 42/43). Eine besondere Herausforderung der Videoanalyse – so Sobers – sei nach wie vor das Object Tracking, also das Verfolgen einer Person oder von Gegenständen über verschiedene Kamera-Stationen hinweg. Automatisch funktioniere das bisher nicht, „sicheres“ Tracking benötige die personelle Unterstützung durch einen Bediener. Ein denkbarer Ausweg könne die Bereitstellung von 3D-Bildern sein. Mit Tiefeninformationen würden einzelne (auch in ihrer Position verharrende) Objekte und „Agenten“ im Bild räumlich erfasst und sowohl voneinander als auch vom Hintergrund separiert, um dann in einer kamerainternen Vorauswerteeinheit verarbeitet und danach der eigentlichen, rechnergestützten Videoanalyse zur Verfügung gestellt zu werden (S. 44). In Ausgabe 6-2013 behandelt Ulrich Sobers, Redaktion WiK, die autarke Videoüberwachung (S. 67/68). Nicht immer stehe ein Kabelanschluss zur Verfügung. Die autarke Lösung bestehe neben der Kamera aus einem Funkmodul zur Bildübermittlung, einer Stromerzeugungseinheit, einer Lade- und Spannungsregler-Einheit und einem Energiespeicher. Der Autor geht auf den Strombedarf, die Stromerzeugung, auf Speicherlösungen und den Anschluss an die Kamera ein. Perspektiven für die autarke Videoüberwachung biete die zu erwartende Miniaturisierung der Kameras, der nur wegen der zu verarbeitenden Lichtmenge qualitative Grenzen gesetzt seien. Martin Scherrer, Siemens, zeigt auch in s+s report (Ausgabe 4-2013, S. 21–23) die Vorteile automatischer Bildanalyse bei der Videoüberwachung. Graffiti-Sprayer, Personen mit auffälligem Verhalten oder Vandalismusaktionen sollten ebenso sicher erkannt werden wie zurückgelassene Gegenstände. Doch die modernen Systeme könnten noch mehr. Es sei möglich, sie auch für Personenzählungen und Besucherstromanalysen einzusetzen. Bei der Aufzeichnung im Ringmodus würden die Aufnahmen über eine definierte Zeitspanne in einem Network Video Recorder gespeichert und dann wieder überschrieben. Jahrbuch der Unternehmenssicherheit 2013 Managementsystem In Ausgabe 5-2013 der Zeitschrift Security Insight behandelt Katharina Geutebrück die Funktionsmöglichkeiten eines Video-Managementsystems (S. 24/25). Es analysiere Bilder auf ihre Gefährdungswahrscheinlichkeit, auf ihre Legitimität und darauf, ob weitere Informationen enthalten sind, etwa ein Nummernschild. Verknüpft werde das Ganze dann mit anderen Gewerken wie Zutrittskontrolle, Brandmeldetechnik oder der Rollladen-Steuerung, woraus sich wiederum weitere Prozesse in Gang setzen und neue Informationen generieren ließen. Die Autorin bezeichnet als wesentlichen Vorteil des GSIM von Geutebrück, dass es einem kleinen Team von Bedienern ermögliche, weitläufige und komplexe Videosysteme effizient und komfortabel zu handhaben. G- SIM berichte automatisch, was wo passiert und was man sehen muss, um die Vorfälle effektiv beurteilen zu können. Schlage eine Kamera Alarm, dann ziehe der Bediener per Maus die Meldung auf den hinterlegten LageplanViewer. Der Plan der auslösenden Kamera werde sofort aufgerufen und das Bild auf die Vergrößerungsstufe eingestellt. Auch Markus Strübel, Securiton, befasst sich mit intelligenter Videoüberwachung (S. 28–30). Intelligente Videobildanalysen seien softwarebasierte Algorithmen zur automatischen Auswertung digitaler Bilder. Mithilfe der unterschiedlichen Verfahren ermöglichten sie die Erkennung definierter Objekte und Ereignisse. Die Objektklassifizierung erlaube die Unterscheidung definierter Objektarten, spezifischer Objekteigenschaften und spezifischer Objektzustände. Der anwendungsorientierte Ansatz führe zu einer sehr hohen Detektionswahrscheinlichkeit und äußerst geringer Fehlalarmrate auch bei schwierigen Umgebungsbedingungen. Videoüberwachung – Audio-visuelle Fernüberwachung Markus Müller, Fraunhofer Institut für Optronik, Systemtechnik und Bildauswertung, behandelt in der Fachzeitschrift WiK (Ausgabe 4-2013, S. 39–41) die Möglichkeiten der Fernaufklärung per Bild-Sensorik und gibt einen Überblick über verschiedene Sensorsysteme: visuell-optische Sensorik, mit der Digitalkameras arbeiten; InfrarotSensoren, die die Wärmestrahlung der Objekte erfassen; SAR-Sensor, der die zu erfassende Erdoberfläche aktiv mit Mikrowellenstrahlung beleuchtet; Lidar-Sensoren, die sich zum Beispiel zur Gewinnung von Höhenmodellen von Gelände und der darauf befindlichen Infrastruktur eignen, und Gated Viewing: ein pulsierender Laser als Sendevorrichtung und eine Empfängereinheit, die die Blende nur in bestimmten Zeitfenstern öffnet. Zur Informationsgewinnung sei der Einsatz heterogener, vernetzter Sensorik vorteilhaft. Die Auswertekette beginne beim zu erfassenden Objekt und seinen physi- kalischen Eigenschaften, wie Abstrahl- und Reflektionscharakteristika. Weiterhin wichtig seien die atmosphärischen, tageszeitlichen oder witterungsbedingten Einflüsse sowie die technischen und optischen Eigenschaften der jeweils eingesetzten Sensoren sowie die Eigenschaften der jeweiligen Sensorträger. Uwe Breker, Protection One GmbH, zeigt sich in derselben Ausgabe überzeugt, dass die audio-visuelle Fernüberwachung in Sicherheitskonzeption noch zu wenig genutzt wird (S. 58/59). Die Live-Ansprache von potenziellen Tätern verspreche eine hohe Erfolgsquote. Nach Alarmauslösung im Innenbereich erfolge die akustische Alarmvorprüfung. Werde eine verdächtige Situation erkannt, werde die Person im Objekt über Lautsprecher lautstark mit 90 Dezibel, im Außenbereich mit bis zu 120 dB, direkt angesprochen. Die Live-Ansprache verjage 251 252 Jahrbuch der Unternehmenssicherheit 2013 in 95 % der Fälle die überraschten Einbrecher sofort. Bei bestimmten Objekten seien zusätzlich Kameras zur Verifikation der Alarme unverzichtbar. Dazu gehörten etwa Unternehmen mit hohem Risikopotenzial oder Bargeldbestand oder Gewerbebetriebe, bei denen durch Maschinen eine enorme Geräuschkulisse herrsche. Dies gelte auch für die Perimeterabsicherung, wo aufgrund von zahlreichen geräuschintensiven Umwelteinflüssen eine akustische Vorprüfung nicht möglich ist. Videoüberwachung – Einsatzbereiche Prozessoptimierung Norbert Herzer, Geutebrück GmbH, befasst sich in der Ausgabe 1-2013 der Fachzeitschrift W&S mit der Nutzung der Videoüberwachung zur Prozessoptimierung (S. 34/35). Videodaten seien gut. Verknüpft mit Prozessdaten sei ihr Nutzen aber erheblich größer. Solche Informationspakete dienten als Beleg in der Kundenkommunikation, helfen bei der Klärung von Unregelmäßigkeiten und unterstützten die Verbesserung von Abläufen. So könnten die Arbeitsplätze im Verpackungsprozess mit Tischkameras ausgestattet werden, die den Verpackungsvorgang „von oben“ aufzeichnen. Die Videobilder würden auf Videorecordern aufgezeichnet. Jede Datenübergabe könne als Suchkriterium für eine Recherche in der kundenspezifisch einstellbaren Benutzeroberfläche genutzt werden. Meist geschehe dies beim Wareneingang, der Kommissionierung, der Verpackung und beim Warenausgang. Das Bildmaterial dokumentiere z. B. Anzahl, Zustand und Verpackung der Ware und könne bei Bedarf als Einzelbild oder auch Bildsequenz exportiert werden. Es sei manipulationssicher und könne als Nachweis zur Klärung von Unregelmäßigkeiten eingesetzt werden. Ferner würden Lagerbereiche mit hochwertiger Ware häufig durch Video gesichert, auch die Außenhaut des Gebäudes und das Betriebsgelände. Bei Betreten des Geländes würden Fahrzeugbewegungen durch Nummernschilderkennung automatisch erfasst. Und auch im Rahmen der Zertifizierung als „bekannter Versender“ in der „sicheren Lieferkette“ spiele Video eine große Rolle. Einzelhandel Die Fachzeitschrift GIT (Ausgabe 9-2013, S. 12–15) berichtet über eine Studie des EHI Retail Instituts, nach der immer mehr Einzelhandelsunternehmen auf digitale Videoüberwachung setzen. Zu den drei wichtigsten Gründen für den Umstieg auf die neue Technologie gehörten neben dem einfachen Fernzugriff per IP-Verbindung auch die bessere Bildqualität sowie eine höhere Flexibilität bei der Montage. So ließen sich mithilfe von HDTV- oder Megapixel-Kameras Details in einem Videobild besser darstellen als mit einer traditionellen analogen Kame- ra. Per Ferngriff seien Netzwerkkameras und Video-Encoder zudem für mehrere autorisierte Benutzer jederzeit und von jedem vernetzten Ort weltweit zugänglich und konfigurierbar. Die Bildqualität hänge eng damit zusammen, wie genau man die Blende der Kamera steuern könne – denn umso besser lasse sich der Lichteinfall auf den Sensor regeln. Moderne Netzwerkkameras mit integrierter Intelligenz oder Analysefunktionalität reduzierten die Menge an irrelevanten Aufzeichnungen und initiierten vorprogrammierte Reaktionen. Netzwerkka- Jahrbuch der Unternehmenssicherheit 2013 meras bieten diverse integrierte Funktionen, z. B. Videobewegungserkennung, Audioerkennung, aktiven Manipulationsalarm sowie Alarm- und Ereignisverwaltungsfunktionen. Mithilfe dieser Funktionen seien die Netzwerkkameras in der Lage, kontinuierlich den Dateneingang zu analysieren, um Ereignisse zu erkennen und automatisch darauf zu reagieren. Ralph Siegfried, Axis Communications, befasst sich in der Fachzeitschrift PROTECTOR (Ausgabe 1-2/2013, S. 28/29) ebenfalls mit Netzwerkkameras mit Zusatzfunktionen für Händler. Viele Netzwerkkameras seien inzwischen auf die speziellen Bedürfnisse des Einzelhandels zugeschnitten. Neben den reinen Sicherheitsaspekten biete die digitale Videoüberwachung dem Handel einen deutlichen Mehrwert und sei zu einem wichtigen Werkzeug für Marketing und Shop-Management geworden. Die Verbindung der Netzwerkkamera mit Point of Sale (POS)-Systemen biete eine interessante Einsatzmöglichkeit: Die Auswertung der Aufnahmen zusammen mit Daten zu Umsatzraten und -mengen, die aus den Kassendaten stammen, könne die Sicherheit im Kassenbereich deutlich erhöhen. Eine solche Lösung helfe schnell und effizient, häufig vorkommende Fehler aufzudecken, Missstände aufzuklären und innovative Manipulationen des POS-Systems nachzuweisen. Neue Herausforderungen für Systemintegratoren, die ein Projekt auf IP-Basis für Einzelhandelsketten realisieren sollen, sieht Protector (Ausgabe 9-2013, S. 44). Der jeweilige Filialleiter möchte unverzüglich über ein eingetretenes Ereignis informiert werden oder direkt die Transaktionsdaten inklusive Point of Sale (PoS)-Daten mit dem entsprechenden Video sehen. Ebenso sollte es möglich sein, aus der Ferne über ein Smartphone oder einen PC zuzugreifen und eventuell auf diesem Wege auch Recordereinstellungen für mehrere Filialen von der Zentrale aus vornehmen zu können. Der Netzwerkrecorder erkenne alle angeschlossenen IP-Kameras automatisch und zeige sie auf dem Monitor an. Er könne an ein POSGerät angeschlossen werden, um dessen Transaktionsdaten zu übernehmen. Die Daten könnten lokal oder über Web-Clients in anderen Filialen oder unterwegs betrachtet werden. Videoüberwachung im Einkaufszentrum thematisiert auch die WiK (Ausgabe 6-2013, S. 65). Supermärkte und Einkaufszentren seien in der Regel gut ausgeleuchtet, so dass 2- oder 5-Megapixel-Kameras eingesetzt werden könnten, die auch eine Gesichtserkennung erlauben. Die Einbindung vorhandener Analogkameras werde über Video-Server oder Capture-Karten realisiert. Sinnvoll sei es, zur Unterstützung der fest installierten Kameras zusätzlich Pan-TiltZoom-Kameras einzusetzen, so dass tagsüber verdächtige Personen manuell gezielt verfolgt oder außerhalb der Öffnungszeiten nach Bewegungserkennung durch Kameras oder andere Melder gezielt Positionen angefahren werden könnten. Weitere Einsatzbereiche für fest installierte Kameras seien neben der Erfassung der Kundenanzahl die Ermittlung von Hotspots und die Kassenüberwachung im Rahmen eines PoSSystems. Hierzu werde über der Kasse eine Kamera installiert, das PoS-System werde zwischen Kasse und Drucker installiert und alle über die Kasse gebuchten Vorgänge würden live in das Videobild geschrieben. Spielkasino Wie die Süddeutsche Zeitung am 15. März 2013 berichtete, hat ein Betrüger das Kasino von Melbourne um 25 Millionen Euro gebracht, indem er gemeinsam mit einem Komplizen das Video-System geknackt habe. Jeder Würfelwurf, jedes Blatt, je- 253 254 Jahrbuch der Unternehmenssicherheit 2013 der einarmige Bandit werde in modernen Kasinos videoüberwacht. Der Komplize des Betrügers habe sich in das Video-Überwachungssystem gehackt und dem Spieler am Kartentisch Signale gegeben. 32 Millionen australische Dollar soll der Mann, der aus dem Ausland nach Australien gekommen sein soll, so in nur acht Runden erschummelt haben. Verkehrswesen Ulrich Sobers, Redaktion der WiK, befasst sich in der Ausgabe 2-2013 mit der Nummernschilderkennung (S. 60–62). Bisher seien es vor allem Polizei, Ordnungsbehörden und die Maut-Organisationen, die Nummernschilderkennung von Kraftfahrzeugen einsetzen. Private Nutzer seien eher zurückhaltend, obwohl die Technik ausgereift sei. Bei den zum Einsatz kommenden Kameras handele es sich in der Regel um Spezialanfertigungen, die zwar aus handelsüblichen Baugruppen bestehen können, für ihren speziellen Zweck aber über besonders angepasste Komponenten verfügen müssten. Denkbar seien auch Anwendungen in der Logistik. So könne man bei Hafenanlagen eine Kennzeichenerkennung nutzen, um erfolgte Ein- und Ausgänge von Containern zu dokumentieren und Steuerungsprozesse bei der Lagerung zu optimieren. Eine wichtige Rolle spiele Videoüberwachungstechnik zum Beispiel bei der Abholung von Kalkerzeugnissen in Selbstbedienung im Werk Flandersbach der Rheinkalk GmbH. Das Prozesssteuerungssystem VAS steuere ohne Bediener Schranken, Zutrittskontrollen, Waagen, Silos und Terminals, und binde auch die kaufmännischen Komponenten wie Auftragssteuerung, Fakturierung und Controlling ein. Die im Außenbereich installierte Kamera reagiere automatisch auf alle Fahrzeuge auf der Waage, nehme Bilder auf, registriere das Kennzeichen, Datum und Uhrzeit und speise die Daten über eine Visualisierungs-Applikation in die Versandsystem-Software ein, wo sie mit den auf der ID-Karte gespeicherten Informationen, dem Lieferschein sowie dem Eichprotokoll kombiniert würden (S. 62). Die FAZ meldet am 31. August 2013, der Bundesinnenminister und Bahnchef Grube hätten vereinbart, 36 Millionen Euro in den Ausbau der Videoanlagen zu investieren. Weitere 24 Millionen Euro wolle die Bahn für das Projekt „Sicherheit, Sauberkeit und Service“ an ihren Bahnhöfen zur Verfügung stellen. Die auszurüstenden Bahnhöfe sollen gemeinsam anhand polizeilicher und bahnbetrieblicher Kriterien ausgewählt und anschließend priorisiert und projektiert werden. Die Bahn habe insgesamt 5.700 Bahnhöfe. Zur Zeit würden 640 Bahnhöfe mit etwa 4.800 Kameras überwacht. Der Minister habe gesagt, es gehe nicht um flächendeckende Überwachung, sondern um einen selektiven Ausbau der sicherheitspolitischen Maßnahmen. Mit mobiler Videoüberwachung im Verkehrswesen befasst sich ein Beitrag in Security insight (Ausgabe 4-2013, S. 38/39). Nur IPNetzwerkkameras, deren Stromversorgung via Power over Ethernet gewährleistet sei, eigneten sich für die Anwendung in öffentlichen Verkehrsmitteln. Diese könnten an jeder kompatiblen Schnittstelle mit dem Netzwerk verbunden werden und müssten nicht an einen PC angeschlossen sein. Videosysteme, bei denen rechenintensive Funktionen wie die Entzerrung des Bildmaterials und die Speicherung der Aufnahmen direkt in der Kamera erfolgen, benötigten deutlich weniger Netzwerkbandbreite. Damit Vorfälle rekonstruiert und Täter identifiziert werden können, müssten die Bilder hochaufgelöst vorliegen. Kameras mit 3,1 Megapixel lieferten dabei Aufnahmen in höherer Auflösung als HDTV und ermöglichten auch bei hoher Vergrößerung noch eine Gesichtsoder Kennzeichenerkennung. Jahrbuch der Unternehmenssicherheit 2013 Jan Engelschalt, BDM Transportation, beschreibt in der Fachzeitschrift GIT (Ausgabe 12-2013, S. 32–34) ebenfalls den Nutzen digitaler, intelligenter und vernetzter Videokameras für öffentliche Verkehrsmittel. Wichtig sei dabei, dass Investitionen in analoge Systeme nicht verloren seien – mittels Encoder schafften Unternehmen den Sprung von analoger zu digitaler Technologie. Gegenüber der Überwachung mit digitalen Kameras sei die forensische Nutzung im Vergleich zu analogen Systemen wesentlich erleichtert. Die Ermittler könnten die relevanten Stellen deutlich schneller finden. Und die Bildqualität moderner HDTV-Kameras sei um ein Vielfaches höher. Kameras mit intelligenten Funktionen seien heute schon in der Lage, eigenständig Echtzeitanalysen des Videomaterials vorzunehmen. Habe die Kamera eine ungewöhnliche Aktivität bemerkt, könne sie nach einer sekundenschnellen algorithmischen Analyse entscheiden, wie auf den Vorfall reagiert werden soll. Die vernetzten Kameras könnten anrückende Einsatzkräfte bis zu ihrem Eintreffen mit Live-Bildern versorgen, die auf mobile Endgeräte übertragen werden. Für detailgetreue Aufnahmen auch in Dunkelheit eigneten sich Thermalkameras. Im Transportbereich überwachten solche Kameras beispielsweise Tunnels und schützten bei Nacht abgestellte Busse und Waggons von Graffiti-Sprayern und Metalldieben. Zusätzlich zu der Technologie, die direkt in den Kameras steckt, gebe es die Möglichkeit, intelligente Applikationen von Drittanbietern zu verwenden. Beispiele seien hier die KFZ-Kennzeichenerkennung oder spezielle Software für Kameras, die Menschenmassen überwachen: Eine Applikation könne die Zahl der beobachteten Personen bestimmen, eine andere Verhalten erkennen, Objekte verfolgen und identifizieren. Als sehr nützlich habe sich eine Software für Manipulationsalarm erwiesen. Nach Überzeugung des rheinland-pfälzischen Landesbeauftragten für den Datenschutz (LfDI) findet an Tankstellen eine intensive und nahezu flächendeckende Videoüberwachung statt (WiK, Ausgabe 2-2013). Nicht nur der Tankvorgang werde überwacht, sondern auch die Shops. Damit sei auch die Identifizierung der Kunden möglich, so dass für jede Tankstelle der Einsatz eines Datenschutzbeauftragten notwendig sei. Abgedruckt wird eine Checkliste über Anforderungen des Datenschutzes und für den Zugriff auf Daten (S. 51/52). Öffentliche Plätze Überwachungskameras an öffentlichen Plätzen überführen Straftäter, und zwar mit Regelmäßigkeit, schreibt der Focus am 22. April 2013. Das hätten die Ermittlungen nach dem Bombenanschlag in Boston beeindruckend vorgeführt. Trotzdem stoße die Videoüberwachung hierzulande auf erhebliche Kritik. Gewiss, die Gewaltausbrüche, die von Überwachungskameras mitgeschnitten werden, seien geschehen. Aber die elektronischen Zeugen hielten die Vorfälle unbestechlich fest. Bei einem Bandenüberfall lasse sich identifizieren, wer welchen Schlag oder Tritt führte. Außerdem wirkten die Kameras für den Schutz der res publica präventiv: Je mehr sich nämlich herumspreche, dass immer wieder Kriminelle anhand von Videobeweisen überführt worden sind – und je mehr stille Beobachter etwa auf Bahnhöfen und in Verkehrsmitteln installiert werden, desto wahrscheinlicher dürften es sich Gewalttäter in spe genau überlegen, ob sie ihre Aggressionen nicht besser auf andere Weise ausleben. Auch der Behördenspiegel befasst sich in seiner Januarausgabe mit Videoüberwachung auf Plätzen zum Schutz der Bürger. Wie wirkungsvoll der Betrieb der Videoüberwachungsanlagen auf Plätzen sei, belegten die Zahlen aus Hessen. 2006 habe die Zahl mit 3.976 registrierten Straftaten 255 256 Jahrbuch der Unternehmenssicherheit 2013 noch deutlich höher gelegen. Insbesondere in den Bereichen der klassischen Beschaffungskriminalität und der Rauschgiftkriminalität habe die Polizei mithilfe der Videoüberwachung sehr erfolgreich gearbeitet. Zum Beispiel seien zum Zeitpunkt der Inbetriebnahme der Videoüberwachungsanlage 2002 an der Konstablerwache in Frankfurt noch 475 Straftaten registriert worden, 2011 aber nur noch 196, ein Minus von 58,7 %. Die hessische Landesregierung unterstütze Kommunen, die Videoüberwachung im öffentlichen Raum planen. Eine Arbeitsgruppe der Polizei habe dazu eine „Handlungsempfehlung für die Errichtung und den Betrieb von Videoüberwachungsanlagen im öffentlichen Raum“ erarbeitet. Die Landesregierung stelle jährlich 300.000 Euro für die Förderung durch die Kommunen bereit. In Zusammenarbeit mit der örtlich zuständigen Polizeidirektion bzw. Polizeipräsidium und dem hessischen LKA werde eine Kriminalitätsanalyse für die zu überwachenden Örtlichkeiten erstellt sowie im Rahmen einer Begehung vor Ort ein Beratungsbericht erarbeitet und gegebenenfalls ein Landeszuschuss von bis zu einem Drittel der Errichtungskosten gewährt. Einbruchschutz „Intelligente Software und smarte Sensoren verwandeln schnurlose Videokameras in billige Alarmanlagen“, titelt die Wirtschaftswoche am 11. November 2013. Die Produktidee „Canary“ sei die „All-in-oneAlarmanlage“ für den Hausgebrauch. Das System könne das normale Geschehen in der Wohnung analysieren und dann erkennen, „ob später der Dackel durch den Flur schleicht, während sein Herrchen arbeiten ist, oder die Putzfrau wie stets Montagfrüh die Wohnung aufräumt.“ Rührt sich aber ein Dieb, schicke Canary einen Alarm auf Smartphone des Besitzers und auf dem Display heimischen PC, per App vom Smartphone oder quasi autonom. Und wer Haus oder Wohnung verlässt, schalte die Technik entweder an der Kamera scharf oder per Befehl übers Internet. Im Falle der Canary könne der Nutzer sogar über eine Handy-App ei- nen virtuellen Datenzaun errichten. Mithilfe des sogenannten „Geofencing“ aktiviere sich die Anlage dann automatisch, sobald der Besitzer mit seinem Smartphone einen vordefinierten Radius um sein Zuhause verlässt. Die Kameras liefern Bilder in fernsehreifer Full-HD-Qualität mit 2 Megapixeln. Die besseren Bilder benötigen aber auch immer schnellere Datenverbindungen, wenn die Aufnahmen im Netz gespeichert werden sollen. Die Hersteller setzten auf andere Aufnahme- und Speicherstrategien. Statt permanent live ins Netz zu senden, aktivieren sich die meisten Kameras erst, wenn der Bewegungssensor anspringt. „Dezentrale Intelligenz“ heiße das in der Branche. Selbst für den Störfall sei vorgesorgt: Bricht die Internet-Verbindung ab, legten viele Kameras die Bilder auf einem internen Speicher ab oder auf einer SD-Karte. Videoüberwachung – Datenschutz In der Fachzeitschrift Security insight (Ausgabe 5-2013, S. 22/23) erläutert Winfried Holzapfel, AVT Alarm- und Video Technik GmbH, wie mit innovativer Technik datenschutzrechtliche Anforderungen erfüllt werden können. Eine wirklich sichere Lösung beginne bei der Aufzeichnung, indem ein intelligentes Video-Managementsystem (VMS) zum Einsatz kommt, das in Echtzeitz unterscheiden kann, ob es sich bei der Aufnahme um statische Räume handelt oder um Personen. Idealerweise verfüge dieses VMS über zusätzliche Algorithmen, die in Echtzeit alle Personenbilder verschlüsselt Jahrbuch der Unternehmenssicherheit 2013 und die so geschützten Daten im öffentlich zugänglichen Speicher ablegt. Bestehe ein berechtigtes Interesse daran, einen aufgezeichneten Vorgang in einem klaren Video-Stream anzuzeigen, so könne über ein mehrschichtiges Authentifizierungsverfahren der Rückverrechnungsvorgang gestartet werden. Dabei sei darauf zu achten, dass der Zugriff immer nur für eine klar begrenzte Periode gilt und daher nur der betreffende Zeitraum geöffnet und protokolliert wird. Dem Verfahren der personenbezogenen Verpixelung sei auf jeden Fall gegenüber der Maskierung von Teilbereichen des Bildes der Vorzug zu geben. Videoüberwachung – Einzelthemen In der Fachzeitschrift s+s report (Ausgabe 3-2013, S. 55–59) behandelt Rechtsanwältin Petra Menge Haftungsrisiken des Errichters einer Videoüberwachungsanlage anhand von Beispielfällen. In dem Protector-Special Videoüberwachung vom September 2013 erläutert Rudolf Rohr, Barox Kommunikation GmbH, das interaktive Strommanagement (S. 48/49). Es sei ein generelles Anliegen der PoE (Power over Ethernet)-Industrie, die vielen kleinen Netzteile zu reduzieren mit dem Ziel, ein intelligentes, interaktives Strommanagement einzuführen, bei dem die Quelle mit der Senke in einem ständigen Austausch stehe. Praktisch alle neuen Kamerasysteme seien mit PoE ausgestattet. PoE erlaube es, Kameras direkt über bestehende Koaxialkabel oder neue UTP-Kabel mit PoE von bis zu einem Kilometer zu speisen. Dies biete einen ganz neuen Ansatz: Kameras könnten mit über das Datenkabel autark versorgt werden. Wenn in der Zentrale eine USV-Anlage mit montiert werde, könnten Kameras auch bei Stromausfall im Gebäude weiterlaufen. Justin Schorn, Aimetis Corp., befasst sich in der Zeitschrift WiK, Ausgabe 4-2013, mit der Auswahl des Speichers für das Videomanagementsystem. Wichtige Faktoren seien die Größe des Projekts, der Umfang und die Skalierung der bestehenden Infrastruktur und das verfügbare IT-Budget. Die Wahl bestehe zwischen einem StorageArea-Network (SAN) und einem Network Attached Storage (NAS). Sowohl Block- speicher als auch Dateispeicher ließen sich in einer Video-Speicherlösung verwenden. Die komfortableren NAS-Lösungen würden dabei aber insbesondere durch ihr gewachsenes Leistungsvermögen zu einer attraktiveren Variante (S. 52/53). Die Gesamtbetriebskosten für Videoprojekte thematisiert Protector in der Ausgabe 11-2013 (S. 30/31). Folgende Fragen sollten für eine fundierte Einschätzung der wahrscheinlichen Gesamtbetriebskosten berücksichtigt werden: Bietet der Hersteller eine kostenfreie Systemplanung an? Wie lange dauert die Installation der spezifizierten Kameras oder anderer Geräte? Hat der Hersteller einen Schätzungswert für die Lebensdauer der Produkte gegeben? Wie viel kostet die Wartung des Produkts? Kann das Produkt aufgerüstet werden? Ist das Produkt zukunftssicher ausgelegt? Stellt der Hersteller lizenzfreie Videoverwaltungssoftware bereit? Hat der Hersteller Software von unabhängigen Entwicklungsunternehmen integriert? Was sind die geschätzten Energiekosten? Können die Kameras wechselnde Beleuchtungsbedingungen handhaben? In der Ausgabe 4-2013 der Fachzeitschrift WiK geht Buchzik, eurosec GmbH, der Frage nach, worauf sich der Vorsprung der USA in der Technik der Videoüberwachung gründe. Er behandelt verschiedene Bildverbesserungsschritte: die Möglichkeit, verwackelte Aufnahmen so zu stabilisieren, dass ein normaler Bildablauf gewährleistet ist; durch Algorithmen Bilder, die durch Regen, 257 258 Jahrbuch der Unternehmenssicherheit 2013 Schneefall oder Dunst beeinträchtigt sind, „klar zu rechnen“; über eine Spotlight-Funktion einzelne Objekte in der Masse anderer Bildinhalte in ihrem Bewegungsablauf zu verfolgen; durch automatische Bildvergleiche „vorher-nachher“-Situationen darzustellen. Wenn – wie in Boston (Anschlag auf die Marathon-Veranstaltung) – die Kameradichte ausreichend ist und die Videoanalyse professionell betrieben wird, sei dies ein hervorragendes Mittel zur anlassbezogenen nachträglichen Aufklärung von Straftaten (S. 12/13). Vorratsdatenspeicherung Die Koalition wolle die EU-Richtlinie zur Vorratsdatenspeicherung umsetzen, meldete heise online am 26. November 2013. Ein Zeitpunkt für dieses Vorhaben werde aber nicht genannt. Genauso offen sei die vage Formulierung, was mit Standortdaten aus dem Mobilfunk erfolgen soll. Ein Zugriff auf die gespeicherten Informationen solle nur bei schweren Straftaten und nach Genehmigung durch einen Richter sowie zur Abwehr akuter Gefahren für Leib und Leben erfolgen können. Die Koalition wolle auf EU-Ebene auf eine Verkürzung der Speicherfrist auf drei Monate hinwirken. Wertbehältnisse Dipl.-Ing. Paulus Vorderwülbecke weist in der Ausgabe 1-2013 der Fachzeitschrift s+s report darauf hin, dass die VdS Richtlinien 2450 für Wertbehältnisse in der 7. aktualisierten Ausgabe erschienen sind (S. 44–47). In der neuen Version vom 1. November 2012 werde eine aktuelle Überarbeitung hinsichtlich verschiedener, zwischenzeitlich normierter Anforderungen an die Wertbehältnisprüfung durchgeführt. Änderungen ergäben sich bei der Zertifizierung der Sicherungseigenschaften gegen Gassprengungen. Interessant seien Modifikationen einiger ausgewählter Produkteigenschaften zum Schutz gegen spezielle Vorgehensweisen, wie Angriffe mit Kernbohrwerkzeug. Ebenfalls neu beschrieben werden „kombinierte“ Angriffe, etwa die manuelle Nacharbeit nach einem vorhergehenden Sprengangriff. Die neuen Richtlinien können über den VdSWebshop (www.vds-shop.de) bezogen werden. Die EMA-Überwachung von Wertbehältnissen behandelt Dipl.-Wirtschaftsjurist(FH) Sebastian Brose in der Ausgabe 2-2013 von s+s report (S. 36–38). Ihre Einbeziehung in die Überwachungsmaßnahmen der EMA sei sinnvoll, werfe mitunter jedoch Fragen auf. Das neue Merkblatt VdS 3171 biete einen Überblick über die Zusammenhänge. Es schaffe die notwendige Klarheit bei der Lösung praktischer Fragestellungen und könne unter www.vds.de/infothek-security heruntergeladen werden. Whistleblowing Nach einer Meldung von heise online vom 6. November 2013 bleiben beim Schutz von Whistelblowern die meisten EU-Länder hinter den internationalen Standards zurück. Das ergebe ein Bericht, den Transparency International in Berlin vorgestellt habe. So gebe es in Deutschland und weiteren 15 Ländern nur einen eingeschränkten Schutz, in sieben Ländern keinen oder nur sehr geringen Schutz. Als Grund für diesen Rück- Jahrbuch der Unternehmenssicherheit 2013 stand führe der Bericht einen „komplexen Mix aus politischen, sozialen, historischen und anderen Faktoren“ auf. So seien Whistleblower mit negativen Stereotypen belastet und würden als „Informanten“ oder „Verräter“ denunziert. Ein guter gesetzlicher Whistleblowerschutz müsse zwei Prinzipien er- füllen: So müsse ein Mitarbeiter gegenüber dem Arbeitgeber auf Missstände hinweisen können, ohne vor arbeitsrechtlichen oder anderen Folgen Angst haben zu müssen. Falls dem Hinweis nicht nachgegangen wird, müsse er auch zuständige Stellen außerhalb des Unternehmens ansprechen können. Wirtschaftskriminalität Im Oktober 2013 hat das Bundeskriminalamt das Bundeslagebild Wirtschaftskriminalität (WiK) für das Jahr 2012 veröffentlicht. Es existiert keine Legaldefinition zur Beschreibung der WiK. Die Polizei rechnet dazu alle Straftaten, für die nach den Vorschriften des Gerichtsverfassungsgesetzes die Wirtschaftsstrafkammer zuständig ist. Berücksichtigt werden nur von der Polizei ermittelte Straftaten. 2012 wurden in der Polizeilichen Kriminalstatistik (PKS) insgesamt 81.793 Fälle der WiK registriert, knapp 3 % mehr als im Vorjahr. Die Zahl liegt unter dem Mittelwert der letzten fünf Jahre. Der Anteil der WiK an den insgesamt polizeilich bekannt gewordenen Straftaten betrug im Berichtsjahr 1,4 %, aber die durch WK verursachten Schäden erreichten etwa die Hälfte des durch die Gesamtkriminalität verursachten erfassbaren Schadens. Gegenüber 2011 ist die WiK bei Betrugsfällen und speziell dem Abrechnungsbetrug im Gesundheitswesen angestiegen, dagegen bei Insolvenzdelikten, bei Anlage- und Finanzierungsdelikten, bei Betrug und Untreue im Zusammenhang mit Kapitalanlagen und bei Wettbewerbsdelikten gesunken. Insgesamt wurden fast 35.000 Tatverdächtige registriert, rund 3 % weniger als 2011. Der Anteil der nichtdeutschen Tatverdächtigen betrug 20 %, weniger als an der Gesamtkriminalität (24 %). Der registrierte materielle Gesamtschaden, der bei 80 % der Wirtschaftsdelikte erfasst werden konnte, betrug 2012 ca. 3,75 Milliarden Euro. Er lag damit knapp 9 % unter der Vorjahressumme. Dabei ist unstrittig, dass gerade die nicht erfassbaren und quantifizierbaren immateriellen Schäden wesentliche Faktoren für die Bewertung des Schadenspotenzials sind, etwa • W ettbewerbsverzerrungen durch Wettbewerbsvorsprünge des Straftäters • B etroffenheit von Geschäftspartnern, die an den Straftaten nicht beteiligt sind • g esundheitliche Schäden infolge von Verstößen gegen Lebens- und Arzneimittelrecht, gegen Arbeitsschutzrecht, Umweltstrafrecht und gegen Markenrechte • Reputationsverluste • V erlust des Vertrauens in die Funktionsfähigkeit der Wirtschaftsordnung Die Aufklärungsquote 2012 betrug 91 % (Gesamtkriminalität: 54 %). In 12 % der Fälle von WiK wurde 2012 das Internet genutzt. Die Nutzung dieses Tatmittels ist damit gegenüber dem Vorjahr um 13 % gesunken. Dennoch sieht das Bundeskriminalamt im Hinblick auf die sich ständig weiter entwickelnden technischen Tatgelegenheiten keinen Indikator für eine Trendwende. 259 260 Jahrbuch der Unternehmenssicherheit 2013 Wirtschaftskriminalität – Einzelne Deliktsbereiche Anlage- und Finanzierungsdelikte sind gegenüber dem Vorjahr erneut zurückgegangen (um 18 %) und erreichten den niedrigsten Wert der letzten fünf Jahre. Der registrierte Schaden sank um 38 %. Zurückgegangen ist gegenüber 2011 auch die Zahl der Fälle des Kapitalanlagebetrugs (um 28 %). Damit sank der registrierte Schaden um 54 % auf 272 Millionen Euro. Die Zahl der Arbeitsdelikte – fast ausschließlich Fälle des Vorenthaltens und Veruntreuens von Arbeitsentgelt – ist mit 10.701 nahezu gleich geblieben. Der erfasste Schaden betrug 49 Millionen Euro (Anstieg um 7 % gegenüber 2011). zwei Jahren entdeckten kriminellen Handlungen seien auf Vermögensdelikte, Unterschlagung und Diebstahl entfallen, 10 % auf Verstöße gegen Markenrechte und jeweils 6 % auf Korruptions- und Kartellfälle. Im Durchschnitt seien den befragten Unternehmen unmittelbare finanzielle Schäden von knapp 3,2 Millionen Euro entstanden. Mit Abstand die höchsten Schäden hätten Wettbewerbsdelikte verursacht, mit durchschnittlich rund 20 Millionen Euro je betroffenem Unternehmen. Die finanzielle Belastung durch Korruptionsfälle sei mit rund 530.000 Euro je Schadensfall deutlich geringer gewesen. Der in der WiK erfasste Abrechnungsbetrug im Gesundheitswesen ist 2012 gegenüber dem Vorjahr um 52 % angestiegen (4.379 Fälle). Der registrierte Schaden stieg auf rund 64 Millionen Euro. Das ist gegenüber 2011 ein Anstieg um 102 %. Ein SPD-Antrag zur Bekämpfung der Wirtschaftskriminalität (17/13087) stoße bei der Koalition auf Kritik, meldet die Wochenzeitung DAS PARLAMENT am 22. April 2013. In der Bevölkerung mache sich der Eindruck breit, „die Kleinen hängt man und die Großen lässt man laufen“, sagte Christine Lambrecht (SPD). Neben dem wirtschaftlichen Schaden entstehe durch die Wirtschaftskriminalität auch ein Vertrauensschaden. Um dagegen vorzugehen, schlage ihre Fraktion ein Maßnahmenbündel vor. Dazu gehöre unter anderem der Schutz von Hinweisgebern sowie ein bundesweites Korruptionsregister. Unbedingt geschlossen werden müsse auch die Strafbarkeitslücke für niedergelassene Ärzte, die Prämien der Pharmaindustrie für die Verschreibung bestimmter Medikamenten empfangen könnten, ohne sanktioniert zu werden. Demgegenüber habe Ansgar Heveling (CDU) gesagt, in dem Papier finde sich nichts, was nicht schon ausdiskutiert sei oder derzeit angepackt werde. Über eine Studie von PriceWaterhousCoopers (PwC) zur Wirtschaftskriminalität und Unternehmenskultur 2013 (www.pwc. de/wirtschaftskriminalitaet) berichtet die Fachzeitschrift WiK in der Ausgabe 6-2013 (S. 11). Befragt worden seien deutschlandweit 603 Unternehmen mit mindestens 500 Beschäftigten. 34 % der in den vergangenen Um Delikte wie Korruption und Wirtschaftskriminalität wirksamer zu bekämpfen, sei am 14. Juni 2013 das „Netzwerk Standortsicherheit Hamburg“ gegründet worden, meldet der Sicherheitsdienst DSD in der Ausgabe 3-2013 (S. 26/27). Es solle die Unternehmen der Hansestadt besser schützen. In der neuen Struktur würden künftig Seit dem Jahr 2008 ist die Zahl der Wettbewerbsdelikte stetig zurückgegangen. 2012 wurden 2.409 Wettbewerbsdelikte registriert (8 % weniger als 2011). Der erfassbare Schaden ging um 62 % auf 15 Millionen Euro zurück. Obwohl auch die Insolvenzdelikte (entsprechend dem Rückgang der Unternehmensinsolvenzen um 6 %) gegenüber dem Vorjahr rückläufig waren (um 7 % auf 11.518 Fälle), lag der registrierte Schaden mit ca. 1,87 Milliarden Euro um rund 22 % höher als 2011. Jahrbuch der Unternehmenssicherheit 2013 sämtliche Aktivitäten zur Verbesserung der Standortsicherheit für die Hamburger Wirtschaft gebündelt. Folgende neun Themenfelder sollen in Form von Expertenkreisen, Informationsveranstaltungen und gemeinsamen Projekten besonders herausgestellt werden: Wirtschaftskriminalität und Korruption, Wirtschaftsspionage, IT-Sicherheit und Cybercrime, Sicherheitswirtschaft, Kritische Infrastrukturen, Sport und Veranstaltungen, Qualifizierung und Bildung, Prävention sowie lokale Kooperationen. Die Geschäftsstelle des Netzwerkes fungiere für die Hamburger Wirtschaft als „Single Point of Contact“ für alle Fragen rund um die Unternehmenssicherheit und bei der Kontaktaufnahme zu den Sicherheitsbehörden. Es werde künftig auch einen „Perspektivwechsel“ geben, der Führungs- kräften aus der Wirtschaft Gelegenheit gibt, hinter die Kulissen der Arbeit der Sicherheitsbehörden zu blicken. Andersherum würden Führungskräfte der Polizei bei Hamburger Unternehmen hospitieren. Der bundesweit einmalige Studiengang „Sicherheitsmanagement“ habe mit der NBS Northern Business School eine neue Trägerhochschule für den privaten Studiengang gefunden. Er werde im Oktober 2013 neu starten, mit ausdrücklicher Unterstützung der Hamburger Polizei. Schließlich werde im künftigen Netzwerk auch der Gedanke der Verbrechensprävention eine stärkere Rolle spielen. Für einzelne Branchen wie den Einzelhandel und den Wohnungsbau sollen in Zusammenarbeit von Verbänden mit dem LKA spezielle Präventionsangebote entwickelt werden. Wissenschaftssicherheit In der Ausgabe 2-2013 der Fachzeitschrift Security insight (S. 28–30) befasst sich Prof. Dr. Alexander Huber mit dem Informationsschutz im deutschen Wissenschaftsbetrieb. Dieser sei hinsichtlich der Informationsschutz-Rahmenbedingungen strukturell komplexer als der Unternehmensbetrieb. Das Dilemma beruhe auf der Interdependenz von Forschungsfreiheit, notwendiger und auch gewollter Offenheit sowie dem Schutz ausgewählter Erkenntnisse. Ziel müsse es sein, eine gesunde Balance zwischen diesen Einzelinteressen zu schaffen. Die Heterogenität der Systeme und Endgeräte des Hochschulnetzes führe dazu, dass eine Security-Policy nicht durchsetzbar ist. Der Wissenschaftsbetrieb sei praktisch lückenlos über das „Deutsche Forschungsnetz“ (DFN) miteinander verbunden. Schulungen oder Awareness-Kampagnen seien für die im Wissenschaftsbetrieb Beschäftigten die Ausnahme. Durch die stark fragmentierte Forschung sei die systematische Identifikation schützenswerten Know-hows schwierig. Zahlungskartenkriminalität Das vom BKA veröffentlichte Bundeslagebild Zahlungskartenkriminalität erstreckt sich ausschließlich auf Debit- und Kreditkarten. Das BKA schätzt, dass in Deutschland über 130 Millionen Zahlungskarten ausgegeben wurden, davon rund drei Viertel Debitkarten. Ein Großteil der Straftaten wird nicht angezeigt, da der Schaden des Betroffenen in der Regel durch die Geldinstitute und Kreditkartenorganisationen erstattet wird. Die Informationspolitik dieser Organi- sationen hinsichtlich der erlittenen Verluste und Missbrauchsumsätze wird vom BKA als sehr restriktiv bezeichnet. Mit gefälschten Karten bieten sich den Tätern bessere Einsatzmöglichkeiten als mit gestohlenen, da Letztere gesperrt werden, sobald der Diebstahl bemerkt wird. Der Einsatz gefälschter Debitkarten deutscher Emittenten kann allerdings aufgrund besonderer technischer Sicherheitsvorkehrungen 261 262 Jahrbuch der Unternehmenssicherheit 2013 nicht an inländischen Geldautomaten (GA) erfolgen. Seit 2011 ist es zudem den Tätern nicht mehr möglich, gefälschte Debitkarten im europäischen „SEPA-Raum“ einzusetzen, da innereuropäisch – mit Ausnahme Russlands – die Abrechnung ausschließlich über den Chip und nicht mehr über den Magnetstreifen erfolgt. Zahlungskartenkriminalität – Skimming 2012 wurde in Deutschland mit insgesamt 856 Angriffen auf GA erneut ein Rückgang der Skimming-Straftaten um rund 34 % registriert. Die Zahl liegt um 56 % unter dem Mittelwert der letzten fünf Jahre. Bedingt durch Mehrfachangriffe waren 2012 bundesweit 505 GA betroffen (2011: 784). Insbesondere GA in stark frequentierten Bereichen werden oft mehrfach manipuliert. Die Modi Operandi zur Erlangung der PIN/Geheimzahl sind im Wesentlichen unverändert: Verwendung von Vorbaugeräten zur Auslesen der Kartendaten, versteckte Mini-Kameras oder alternativ Tastaturattrappen unmittelbar auf der Originaltastatur. In mindestens 77 Fällen wurden 2012 Kassenterminals (PoS-Terminals) manipuliert. Hiervon haben die Täter in 50 Fällen erfolgreich die Kartendaten und PIN ausgespäht. Das ist gegenüber 2011 ein Anstieg um 257 %. 2012 stand die Sperrung von rund 20.000 Zahlungskarten durch deutsche Banken und Sparkassen im Zusammenhang mit der Manipulation von PoS-Terminals. Bei der Manipulation wurden unterschiedliche Vorgehensweisen festgestellt: Die Täter erlangen Zugriff auf die PoS-Terminals durch Einbruch oder Verbleiben im Objekt nach Geschäftsschluss. Die Geräte werden außerhalb des Geschäfts manipuliert und noch in der gleichen Nacht wieder im Kassenbereich deponiert. Oder die Täter ersetzen die PoS-Terminals nach Ablenkung des Personals gegen einen Dummy. Nach der Manipulation werden die Geräte wieder im Kassenbereich platziert. Die elektronischen Bauteile zum Auslesen und Abspeichern von Magnetstreifendaten und PIN werden entweder im PoS-Terminal selbst installiert oder befinden sich in einer „Haube“, die auf das Originalgerät aufgesetzt wird. Die Veränderungen am oder im Gerät sind bei beiden Varianten äußerlich nur schwer erkennbar. Der Datenabgriff erfolgt zum Teil über mehrere Wochen mit mehreren Hundert oder Tausend betroffenen Kunden. Die Schadenssumme allein aus PoS-Terminalmanipulationen belief sich 2012 auf etwa 10 Millionen Euro. Durch die Übermittlung von Warnhinweisen und Präventionsempfehlungen sowie durch die Umsetzung spezifischer Maßnahmen sollen die potenziell betroffenen Unternehmen in die Lage versetzt werden, PoS-Terminalmanipulationen zu erschweren bzw. leichter erkennen zu können. Im Ausland wurden 2012 bei Manipulationen von insgesamt 830 GA und PoSTerminals deutsche Kartendaten abgegriffen. Am häufigsten ausgespäht wurden deutsche Kartendaten in der Türkei (152), in Frankreich (137) und in Italien (102). Seit 2011 werden Transaktionen mit Debitkarten im „SEPARaum“ nur noch über den Chip autorisiert. Der Einsatz auf Magnetstreifenbasis funktionierender „White Plastics“ wird daher in „Nichtchip-Länder“ verlagert (USA, Mexiko, Dominikanische Republik, Kolumbien, Peru, Brasilien, Argentinien, Thailand, Japan). Zahlungskartenkriminalität – Tatverdächtige Die Tatverdächtigen bei der Manipulation von inländischen GA stammen fast aus- schließlich aus Südosteuropa. Es dominieren rumänische vor bulgarischen Staatsangehö- Jahrbuch der Unternehmenssicherheit 2013 rigen. Sie agieren in kleinen Gruppen und halten sich zum Abgriff auf Kartendaten meist nur relativ kurze Zeit an unterschiedlichen Orten in Deutschland auf. Nach bis- herigen Erfahrungswerten liegen zwischen dem Datenabgriff und dem betrügerischen Einsatz im Ausland meist nur ein oder zwei Tage. Zigarettenschmuggel Nach einer im Auftrag des Tabakkonzerns Philip Morris von der Beratungsgesellschaft KPMG durchgeführten Studie soll der Zigarettenschmuggel von 8,4 auf 11,1 % gestiegen sein, berichtet die FAZ am 17. Juni – ein Anstieg um rund 30 %. EU-Betrugsbekämpfungskommissar Algirdas Semeta beziffere die den EU-Staaten durch Schmuggel und Fälschung von Tabakwaren jährlich entgangenen Steuereinnahmen auf 10 Milliarden Euro. Sorgen bereite ihm die zunehmende gesetzwidrige Herstellung von Zigaretten. So seien 2011 in der EU neun Fabriken mit einer täglichen Fertigungskapazität von mehr als neun Millionen Zigaretten entdeckt worden. Positiv bewerte die Kommission dagegen die zwischen 2004 und 2010 mit vier führenden Tabakkonzernen geschlossenen Kooperationsabkommen. Die Vereinbarungen zur Rückverfolgung der Zigaretten zu mehr Sorgfalt im Umgang mit Kunden sowie zur Verhütung von Geldwäsche hätten einen erheblichen Rückgang des Schmuggels bewirkt. Vermehrt wolle die Kommission potentielle Käufer für die Probleme des Zigarettenschmuggels sensibilisieren. Das Betrugsbekämpfungsamt Olaf verwalte ein mit fast 19 Millionen Euro im Zeitraum 2007 bis 2013 dotiertes EU-Programm (Hercule II), das nicht zuletzt der Bekämpfung des Schmuggels und des illegalen Handels mit Zigaretten diene. Zoll Die Generaldirektion des französischen Zolls habe eingeräumt, dass alle elektronischen Geräte bei einer Kontrolle an der Grenze durchsucht werden können, meldet heise online am 6. Mai 2013. Das sei nach Artikel 60 des Zollgesetzes möglich. Zollbeamte dürften demnach „Güter, Transportmittel und Personentransporter“ inspizieren. Handys und Laptops fielen darunter. Dabei müssten keine Verdachtsmomente für eine Straftat vorliegen. Durchsuchungen von Laptops an der Grenze seien bislang vor allem aus den USA bekannt. Die Erlaubnis dazu habe aber ein Bundesgericht im März eingeschränkt auf das Vorliegen „ausreichender Verdachtsgründe“. Zutrittskontrolle – Zutrittssystem und -management Mit dem bedarfsgerechten Zutrittsmanagement befasst sich Klaus Wössner, Isgus GmbH in der Ausgabe 2-2013 von W&S (S. 38/39). Eine Zutrittskontrolle mit modernen Lesern für sichere Ausweis- und Transponderverfahren und biometrische Identifikation stelle die Grundausstattung dar. Sie werde durch digitale Schließzylinder und Beschlagsleser ergänzt, die es inner- halb eines Systems erlauben, neben den klassisch verkabelten Zutrittslesern, Zutritte auch offline exakt zu steuern und zentral zu verwalten. Über die Flexibilität und Anwendungsfreundlichkeit, die vor allem bei häufig wechselnden Zutrittsrechten und hohen Personenzahlen eine gewichtige Rolle spielen, entscheide die eingesetzte Software und deren Integrationsfähigkeit in bestehende 263 264 Jahrbuch der Unternehmenssicherheit 2013 Systemumgebungen. Rollenbasierte Nutzungsrechte, das Vererbungsprinzip bei der Rechtevergabe und ein durchgängiges und klares Bedienkonzept sorgten dafür, dass die Bedienung einfach und übersichtlich bliebe und eine Besucherverwaltung auch von wechselnden Wachdiensten bedient werden könne. Wenn das Zutrittsmanagement auch mit einer leistungsfähigen Zeiterfassung, einer Personaleinsatzplanung oder Betriebs-/Maschinendatenerfassung kombiniert werden könne, entstehe eine leistungsfähige unternehmensweite Lösung mit einer zentralen Datenhaltung und einem durchgängigen Bedienkonzept. Dipl. EL.-Ing. ETH Marco Hauri, Bixi Systems AG, fokussiert seinen Beitrag im K-Special Sicherheitsforum vom Juni 2013 auf Kundenerwartungen zur Ausgestaltung der Zutrittskontrollsoftware. Die Erwartung richte sich auf eine Systemarchitektur, die von den kontinuierlichen Verbesserungen bezüglich Datenverarbeitungskapazität profitierten kann, sich einfüge in moderne ITSicherheitsarchitekturen und skalierbar sei. Ein Kernthema sei die visuelle Unterstützung durch spezifisch angereicherte Gebäudepläne. Weiter werde von der Software erwartet, dass sie mandantenfähig ist und Einschränkungen auf Daten konfiguriert werden können (S. 31–33). Marcel Imhof, batishield ag, behandelt Aspekte der Sicherheit des Zutrittskontrollsystems. Es komme heute noch zu oft vor, dass zwischen dem Zutrittskontrollsystem und der mechanischen oder mechatronischen Schließanlage ein Graubereich bzw. eine zum Teil erhebliche Sicherheitslücke bestehe. Der Autor geht auf die Risikoanalyse, das Sicherheitskonzept, die Evaluation des Zutrittskontrollsystems und die Regelung der Schnittstellen, auf Service und Unterhalt, das Audit, die Inkonsistenz in der Medienverwaltung sowie auf die Schnittstellenproblematik zwischen Human Ressources und Schlüsselverwaltung ein. Mögliche Lösungen seien: periodische Prüfung, ob alle Schlüssel mit hohen Berechtigungen vorhanden sind, kontrollierte Rückführung, Vernichtung unnötiger Pässe, Prüfung, ob bei Personalmutationen die Zutrittsrechte angepasst werden müssen, Prüfung der Inkonsistenz, Einsatz von Schlüsseldepots und Outsourcing der Medienverwaltung an ein spezialisiertes und zertifiziertes Unternehmen (S.34–37). Auch die Fachzeitschrift PROTECTOR hat im Juni ein Special Zutrittskontrolle veröffentlicht: Knut Conrads, Integid GmbH, und Volker Kraiss, Kraiss & Wilke Security Consult GmbH, behandeln Anforderungen an ein zeitgemäßes Ausweis- und Berechtigungsmanagement (S. 32–35). Ein modernes, zukunftsorientiertes und hochskalierbares Ausweis- und Berechtigungsmanagement müsse sich hocheffektiv in die unternehmensspezifischen Prozesse einfügen und hinsichtlich zukünftiger Anforderungen flexibel wirksam sein. Es müsse den gesamten Lebenszyklus eines Ausweises abbilden und mit einem hohen Grad an Wertschöpfung als systemübergreifende, neutrale, revisionsund rechtssichere Managementebene wirken. Bei Lösungen nach dem Adaptable Branch Solutions (ABS)-Prinzip bilde eine breit angelegte und modulare Standardsoftware alle wesentlichen Leistungsmerkmale ab. Darauf aufbauend würden spezielle branchenspezifische Module entwickelt, die wiederum kundenspezifisch angepasst werden können. Durch diese dreistufige Architektur könnten sehr leistungsfähige und hochindividuelle branchenspezifische Lösungen schnell und effizient realisiert werden. Als hilfreiche Indikatoren für die Einführung eines übergeordneten Ausweis- und Berechtigungsmanagementsystems werden genannt: Migration eines oder mehrerer Zutrittskontrollsysteme, Einführung eines neuen Ausweises oder einer neuen Chiptechnologie, systemübergreifendes Management unterschiedlicher Zutrittskontrollsysteme, standortübergreifende Organisation der Ausweisverwaltung, Auflösung einer Fabrikats-/Systemeinbindung, Berücksichtigung komplexer unternehmensspezifischer Prozesse, Kostenreduzierung für bestehende Verfahren. Jahrbuch der Unternehmenssicherheit 2013 Matthias Fuchs, FSB Franz Schneider Brakel GmbH+Co KG, erläutert in der Ausgabe 112013 der Fachzeitschrift GIT (S. 60/61) die Philosophie seines Zutrittskonzepts: -Flexibilität, gepaart mit gleichzeitigen Kontrollmöglichkeiten; - Fehlervermeidungsstrategien: Der annähernd 100%ige und softwareseitig gestützte Ausschluss von menschlich bedingten Fehlern oder Unzulänglichkeiten bei der Absicherung von Gebäuden oder Prozessen innerhalb eines Gebäudes -Investitionssicherheit unter dem Aspekt „Schlüsselverlust“, aber auch unter dem Aspekt Erweiterbarkeit oder gar Skalierbarkeit eines Systems und als zukunftssi- chere Basis in Form einer auf lange Sicht tragfähigen Chiptechnologie. Der Sicherheits-Berater befasst sich in der Ausgabe 14/15-2013 (S. 221/222) mit dem Secure Open Supervised Device Protocol (OSDP) für die Zutrittskontrolle. Es sei für die Kommunikation zwischen Leser und Controller entwickelt worden. Die Zwei-Wege-Kommunikation zwischen Leser und Controller geschehe mithilfe von OSDP erstmals verschlüsselt. Als Verschlüsselungsalgorithmus werde hierbei der bekannte Advanced Encryption Standard AES-128 genutzt. Der Sicherheits-Berater empfiehlt, OSDP als Anforderung in die Ausschreibung von Zutrittskontrollsystemen aufzunehmen. Zutrittskontrolle – Cloud-Anwendung Ulrich Sobers, Redaktion WiK (Ausgabe 5-2013, S. 65/66) empfiehlt die Zutrittskontrolle via Cloud als kostengünstig und komfortabel. Für Unternehmen, die das Ausspähungsrisiko als gering einstufen, bedeute eine externe Lösung für Zeit oder Zutritt keine Erhöhung der Sicherheitsgefährdung. Zudem könne durch vergleichsweise einfache Maßnahmen ein Mehr an Sicherheit für die Zutrittskontrolle erreicht werden, etwa durch ein Splitting bei der Datenhaltung. Kostengünstig sei vor allem die Nutzung einer public Cloud. Für Störfälle wie ein Stromausfall im Objekt oder eine Kabelstörung im Netzwerk müssten die Komponenten vor Ort stand alone-fähig sein. Für die Zutrittskontrolle müssten an den Türen oder zumindest bei den nachgelagerten Steuereinheiten auch hardwareseitig Voraussetzungen für den Zugang zum Web bereitgestellt werden. Und auch in der Fachzeitschrift SICHERHEITSFORUM (Ausgabe 5-2013, S. 133– 135) wirft Ulrich Sobers einen Blick auf die aktuelle Situation der Cloud-Anwendung auf die Zutrittskontrolle. Während im Zeiterfassungsmarkt die Cloud-Lösung längst etabliert sei, stehe das Thema für die Zutrittskontrolle noch am Anfang. Hier müssten an den Türen oder zumindest bei den nachgelagerten Steuereinheiten auch hardwareseitig Voraussetzungen für den Zugang zum Web bereitgestellt werden. Das sei technologisch sicherlich nicht besonders schwierig, doch für den Markterfolg sei mindestens ebenso wichtig, dass das dahinter liegende Konzept nicht nur komfortabel und preisgünstig ist, sondern auch die Sicherheitsaspekte berücksichtigt werden. Zutrittskontrolle – Ausweistechnologie Ulrich Sobers von der Redaktion der WiK (Ausgabe 1-2013, S. 38–40) untersucht Ausweistechnologien nach den Kriterien Sicherheit gegen Fälschung, Kryptographiemöglichkeit, aufbringbare Datenmenge, frei programmierbare Speicher, Wider- 265 266 Jahrbuch der Unternehmenssicherheit 2013 standsfähigkeit gegen Umwelteinflüsse, Verschleißfestigkeit der Medien und Kosten bei folgenden Ausweistypen: induktiv arbeitende Ausweise, „Wiegand codierte“ Ausweise, per Infrarotlicht lesbare Ausweise, kontaktbehaftete Chipkarten, Karten mit Barcodes, Magnetstreifenkarten und Karten mit RFID-Element. Letztere schneiden nach den genannten Kriterien insgesamt am besten ab, Karten mit Barcodes am schlechtesten. Systeme sollten, so wie sie beschafft werden, in das konkrete betriebliche Umfeld eingebaut werden können. Eine Auftragsvergabe sollte erst erfolgen, wenn das Konzept steht. Der Autor befasst sich in derselben Ausgabe mit der digitalen Eingangszonentechnik (S. 57–59). Zur Gegensprechanlage kämen immer häufiger auch Videotechnik und Zutrittskontrolle. Dadurch würden zwei betriebliche Prozesse besonders positiv beeinflusst: Videosprechstellen ermöglichten durch Bildübertragung zusätzlich zur Stimme eine optische Identifikation des Einlasssuchenden und die Einbindung eines Zutrittskontrolllesers in eine Klingelanlage ermögliche ohne Interaktion mit anderen Mitarbeitern, dass dauernd oder zeitweise Zutrittsberechtigte das Gebäude betreten können. Für die Ausstattung der Türstationen stehe eine breite Palette zur Verfügung: hochauflösende 360 Grad-Kameras, Proximity Module für die Zugangskontrolle, PIN-Code-Tastaturen für die Personenauthentifizierung und biometrisch arbeitende Module wie Fingerprint oder Iris-Scanner. Der Wandel bei Identitätsausweisen weg vom Magnetstreifen hin zu Smartcards sei unumstritten, schreibt Protector in der Ausgabe (10-2013, S. 30/31). Die Vorteile der smarten Lösung sprächen vielfach für sich, weil personalisierte Daten wie PIN und PUK eingebracht werden können. Außerdem sei sie multifunktional einsetzbar durch die Integration von Bezahl-, Signier-, Verschlüsselungs- und Ausweisfunktion für die Zutrittskontrolle sowie PC-Anmeldung auf nur einer Karte. Die Vorteile beschreibt Protector näher an dem Zutrittskontrollsystem der Norwegischen Post mit der iClassSE Zutrittskontrollplattform von HID Global, die auf einer offenen Umgebung mit Secure Identity Objects basiere – einer neuen portablen Ausweismethodik. Die Lesegeräte seien im Innen- wie im Außenbereich vandalismusresistent. Zutrittskontrolle – Smartphone/Near Field Communication Werner Störmer, PCS, zeigt in der Fachzeitschrift GIT (Ausgabe 12-2012, S. 56–58) Möglichkeiten und Randbedingungen des Smartphone-Einsatzes zur Zutrittskontrolle auf NFC-Basis auf. Die NFC-Technik werde für viele betriebliche, kartengesteuerte Anwendungen wie die Personenidentifikation, Zutrittskontrolle und Zeiterfassung genutzt. Wichtigster Unterschied zur RFID-Technik sei, dass NFC-Chips sowohl senden als auch empfangen können, während RFID-Chips nur passiver Gegenpart des aktiven Lesegeräts sind. Für betriebliche Anwendungen seien jedoch viele Einflussfaktoren zu beachten: Nicht alle Mitarbeiter verfügen über NFC-fähige Firmenhandys, der Austausch personenbezogener Daten sei mitbestim- mungspflichtig und zusätzlich seien mögliche Kompatibilitätsprobleme zwischen den Systemkomponenten zu berücksichtigen. Zutrittskontrolle mittels Smartphone ist ein Thema im Sicherheits-Berater (Ausgabe 5-2013, S. 77/78). Zutrittsberechtigungen, die bisher auf der Chipkarte mehr oder weniger fest hinterlegt waren, könnten nun jederzeit auf das Smartphone mit integrierter NFC-Hardware (Chip) übertragen werden. Über die Berechtigungsverwaltung sei es möglich, Zutrittsrechte zeitlich zu begrenzen, neu zu erteilen oder erteilte Berechtigungen zu widerrufen. Zusätzlich sei die Weitergabe einer Zutrittsberechtigung an einen anderen Nutzer per QR-Code über Jahrbuch der Unternehmenssicherheit 2013 eine App möglich. Die Ablage der digitalen Token erfolge entweder auf einem besonders gesicherten Krypto-Chip (Smartcard) oder in einer softwarebasierten, mehrschichtigen Sicherheitsarchitektur im Smartphone. NFC in der Zutrittskontrolle thematisiert auch die WiK in ihrer Ausgabe 1-2013 (S. 49/50). Es werde davon ausgegangen, dass der Marktanteil NFC-fähiger Mobiltelefone weltweit von 6 % im Jahr 2012 auf ca. 30 % bis 2015 steige. Lösungsvarianten für die NFC-Komponenten seien im Gerät integrierte Chips (embedded NFC), eine SIM-Card-basierte NFC-Komponente oder eine zusätzliche microSD im Speicher-Slot. Sicherheit bei der Zutrittskontrolle könne von einem NFC-Chip allein nicht realisiert werden. Sichere Lösungen innerhalb von NFC-Anwendungen griffen deshalb auf das im NFC-System vorgesehene Secure Element zurück. Dasselbe Thema wird in der Ausgabe 3-2013 der Fachzeitschrift GIT erneut von Werner Störmer, PCS Systemtechnik GmbH, behandelt (S. 70–72). Das NFC-fähige Smartphone nur als mobiles Administrations-/Parametrier-Gerät zu nutzen, sei eine sehr kostengünstige und insbesondere für Filialbetriebe geeignete Zutrittskontrolllösung. Insgesamt aber seien viele Fragen noch nicht beantwortet, z.B. bei der Sicherheit, dem Datenschutz, der Akzeptanz von betrieblichen NFC-ZK-Lösungen und ob dazu private oder Firmenhandys genutzt werden können. Aus heutiger Sicht dürfte nach Ansicht des Autors der Einsatzbereich von NFC-Smartphones zur Zutrittskontrolle nur für Nischenlösungen geeignet sein, als Ergänzung zu der Vielfalt der aktuellen ZKMöglichkeiten. Mit NFC in der Zutrittskontrolle befasst sich auch Manfred Klostermeier, Interflex Datensysteme GmbH & Co. KG, in SecuPedia am 6. November 2013. Das Einsatzgebiet der Near Field Communication-Technik werde immer vielfältiger. Aktuell biete der Markt rund 60 Mobiltelefone mit NFC-Unterstützung und weitere sollen in nächster Zeit hinzukommen. Der Unterschied zwischen bekannter Funktechnologie und NFC sei, dass NFC einen viel kleineren Wirkungsbereich hat, während Funk in einer Entfernung von einigen Metern verwendet werden kann. Die physische Nähe erhöhe die Sicherheit der Datenübertragung: Ein Smartphone mit entsprechender App und einem SecureElement, das auf einen passenden Ausweisleser trifft. Die Rechte würden dann über einen Workflow erteilt oder entzogen und dann über den Mobilfunkbetreiber vorab in das Handy geladen. Beim anschließenden Präsentieren des Handys würden die Daten vom Ausweisleser auf Korrektheit geprüft. Vor allem für die Besucherverwaltung berge die NFC-Technologie Potenziale, werfe aber auch Fragen auf. Sollten Zugangsdaten für den Zutritt auf Smartphones übertragen werden , bevor der Besucher sich im Gebäude registriert hat? Denkbar sei beispielsweise eine Zusendung der Zutrittsdaten bereits über das Internet, nachdem der Termin über einen Kalendereintrag vereinbart wurde. Zutrittskontrolle – Integrierte Systeme In der Fachzeitschrift Sicherheitsforum (Ausgabe Dezember 2012, S. 28–30) untersuchen Giovanni Scinta und Roland Hunkeler, Siemens Schweiz AG, Möglichkeiten und Vorteile der Integration von Zutrittskontrolle und Einbruchmeldesystem. Zu den Vorteilen eines kombinierten Systems zählten einfachere Bedienung und höherer Benutzerkomfort. Die Integration könne auch operative Vorteile mit sich bringen. Einem Benutzer, der bei deaktiviertem Einbruchmeldesystem Zugang zum Gebäude hat, könne bei aktiviertem System leicht der Zutritt verweigert werden. Auch von der Administration her böten kombinierte Systeme Vorteile. Die Einrichtung kombinierter Systeme könne aber komplizierter sein als bei getrennten Systemen. Das Integrationsni- 267 268 Jahrbuch der Unternehmenssicherheit 2013 veau variiere oft, und es bedürfe sorgfältiger Planung, um die gewünschte Funktionalität zu erzielen. Jeremy Kimber, Honeywell Security Group, beschreibt im ZK-Special Sicherheitsforum vom Juni 2013 Vorteile integrierter Systeme (S. 38/39). Bei Sicherheitssystemen bedeute Integration weitaus mehr als nur eine reine „Verbindung“ mehrerer Produkte. Integrierte Lösungen vereinten Zugangskontrolle, Besucherverwaltung sowie Einbruchmelde- und Videosysteme und stellten als ein einheitliches Sicherheitsmanagementsystem einen reibungslosen Betrieb sicher. Aufgrund der Kombination von verschiedenen Datenströmen könne das Sicherheitspersonal mit einem breiter angelegten Bild hinsichtlich Unternehmenssicherheit und Schutzebenen versorgt werden. Dank der Förderung von Kompatibilitätsrechten über den gesamten Industriezweig hinweg könnten kleinere Kunden die Vorteile von integrierten und interoperablen Systemen in Anspruch nehmen. Hersteller böten auch Zugangskontrollen mit einer erweiterten Videofunktionalität an. Eine der großen Vorteile des integrierten Ansatzes liege in den kontrollierbar auszuführenden Schritten (modularer Ansatz). Auch Protector stellt in seiner Ausgabe 9/13 (S. 22/23) ein System vor, in das die Funktionen der Einbruchmeldung und der Zutrittskontrolle integriert sind. Die neue IP-gestützte, digitale Audio- und VideoAlarmverifikation bedeute eine erhebliche Effizienzsteigerung in der NSL, da Falschalarme aufgrund falscher Benutzeraktivierungen praktisch auf null reduziert würden. Mit der App „SPCanywhere“ lasse sich das Einbruchmeldesystem SPC von Siemens von jedem Ort aus kontrollieren und steuern. Eingebunden in den Remote-MaintenanceServer könne das Einbruchmeldesystem vollautomatisiert alle Anlagen und deren Zustand analysieren. Die Software SPC Manager eigne sich für Firmen mit einem oder mehreren Standorten wie für kleinere Büros, Geschäfte, Einzelhandelsketten oder Banken. Der SPC Manager verwalte bis zu eintausend SPC-Zentralen, die sich an beliebigen Orten weltweit befinden können. In derselben Ausgabe wird an einem Beispiel gezeigt, dass Zutrittskontrollanlagen so gestaltet werden können, dass sie mit der Architektur harmonieren. Drehsperren, berührungsfreie Sensorschleusen oder Open Gate-Sperren ließen sich mit unterschiedlichen Materialien und Oberflächengestaltungen in die Architektur einfügen. Seit Erfindung der asymmetrischen ZweiarmDrehsperre könne ohne optische Beeinträchtigung jede einzelne Sperre fluchttauglich ausgeführt sein und eigne sich in Kombination mit kurzen, motorisch angetriebenen oder bei Alarm öffnenden Dreh- oder Drehfalttüren als zertifizierter Durchgang im Gefahrenfall (S. 34/35). Zutrittskontrolle – Durchgangssperren Michael Luckey, Perimeter Protection‚ Germany GmbH, gibt im ZK-Special der Zeitschrift Sicherheitsforum vom Juni 2013 einen Überblick über Durchgangskontrollen (S. 40–43). Mit einem Durchlauf von bis zu 35 Personen pro Minute je Anlage könnten heutzutage auch große Besucherströme effizient gesteuert werden. Neben der Regulierung, Steuerung oder Vereinzelung sollten die Anlagen als unterstützender Flucht- und Rettungsweg eingesetzt werden können. Im Bereich des Warenversands müsse gewährleistet sein, Gegenstände schnell und bequem in gesicherte Bereiche hinein oder hinaus zu befördern. In puncto Luftfrachtsicherheit könnten Durchgangskontrollen effizient bei den Anforderungen als „Zugelassener Bekannter Verwender“ unterstützen. Grundsätzlich unterscheide man drei verschiedene Arten und Sicher- Jahrbuch der Unternehmenssicherheit 2013 heitsklassifizierungen der mechanischen Durchgangskontrolle: regulierende Funktion innerhalb von Bereichen mit niedriger bis mittlerer Sicherheitsstufe, mannshohe Drehkreuze oder Sicherheitsdrehtüren in Bereichen mit einer höheren Sicherheitsstufe und Sicherheitsschleusen für sensible Hochsicherheitsbereiche, in denen eine strikte Vereinzelung erforderlich ist. Andreas Wotke, Karl Gotschlich GesmbH, behandelt in derselben Ausgabe die Zugangssteuerung durch Drehkreuze (S. 44/45). Längst seien es nicht mehr bloße mechanische Ausführungsorgane, sondern eigenständige mechatronische Geräte. Wichtig sei, dass Kompatibilität nicht nur zu einem bestimmten Fabrikat, sondern mit Bezahlautomaten, Karten- oder Biometrielesern aller Arten gegeben ist. Auch die Bereitstellung von Rückmeldesignalen über die Durchgänge und über Störungen sollte selbstverständlich sein. Die Vereinzelungsgeräte sollten über eine gewisse Autonomie verfügen (Ansteuerung ein- und ausgangsseitiger Ampeln zur Benutzerführung, Weiterschaltung manipulationssicherer Zähler). Vereinzelungsgeräte müssten mit eigenen Signaleingängen ausgestattet sein, über die Sicherheitseinrichtungen wie Brandmeldeanlagen oder Not-Taster unabhängig von der Zutrittskont- rollanlage den Wechsel in die Fluchtstellung auslösen könnten. Als Grundanforderung sollte gelten, dass sie sich zum Betrieb in beiden Richtungen eignen und jederzeit per Software als Eingangs-, Ausgangsoder Zweirichtungssperren konfigurieren lassen. In der Ausgabe 3/13 von Protector (S. 30/31) weist Wotke darauf hin, dass in den letzten Jahren Personenvereinzelungseinrichtungen mit flächigen, transparenten Sperrelementen den klassischen Drehsperren Marktanteile abgenommen haben. So vielfältig wie ihre Einsatzgebiete, so zahlreich seien auch die Kriterien, die bei der Auswahl der Technik beachtet werden sollten, um das beste Verhältnis zwischen Schutz und Ergonomie zu erzielen. Vor allem die Art des Sperrantriebes solle mit Bedacht gewählt werden. Die Höhe der Sperrelemente habe eine psychologische Wirkung. Der tatsächlich erzielbare Effekt in der Verhinderung unbefugter Zutritte sei jedoch bei der Drehmechanik höher. Das habe seine Ursache in unterschiedlichen juristischen Vorschriften. Ein Vorteil der Drehflügel-Sensorschleusen liege in der Möglichkeit, ihre Sperrelemente aus leichtem, aber bruchfestem Acryl herzustellen. Ihre 90-Grad-Drehung könne wegen der geringeren Masse sehr schnell erfolgen. Zutrittskontrolle – Marktübersichten Das Special von PROTECTOR vom Juni 2013 enthält Marktübersichten zu Zutrittskontrollsoftware, Zutrittskontrollzentralen, Lesegeräte für Zutrittssysteme, Stand aloneTerminals, Biometrielösungen und Ausweispersonalisierung (S. 52–62). Im ZK-Special der Zeitschrift Sicherheitsforum vom Juni 2013 werden 44 Unter- nehmen der Zutrittskontrollsystembranche vorgestellt, mit Angaben zu dem jeweiligen System, zur Serviceorganisation, der Instandhaltung und der vorbeugenden Wartung, der Instandsetzung, Störungsbehebung und Reparatur, Software-Updates und -Upgrades, Benutzerschulung und Migration (S. 41–85). Zutrittskontrolle – Trends In der Ausgabe 3-2013 der Fachzeitschrift WiK befasst sich Dipl. El.-Ing. Marco Hauri, Bixi Systems AG, mit Trends in der Zutrittskontroll-Software in Bezug auf 269 270 Jahrbuch der Unternehmenssicherheit 2013 Erwartungen der Kunden, konkurrierende Anforderungen und Funktionalitäten (einschließlich visueller Unterstützung durch spezifisch angereicherte Gebäudepläne und zunehmende Vernetzung). Neben dem Trend hin zur „ZuKo-Commodity“ würden Cloud-Dienste, die Touch-Bedienung sowie die zunehmende Mobilität die ZuKo-Software der Zukunft prägen. (S. 58–60). Auch Roland Hunkeler ( Siemens Schweiz AG) behandelt in dem ZK-Special der Zeitschrift Sicherheitsforum im Juni 2013 Trends bei Zutrittskontrollsystemen (S. 11–14). Dank der zunehmenden Integration von Sicherheits-, Brandschutz- und Gebäudemanagementsystemen bestehe das Potenzial, beträchtliche Energie- und damit Kosteneinsparungen zu erzielen. Beim The- ma Konnektivität habe sich der Markt stark weiterentwickelt, besonders offene Architekturen würden populär. Das BACnet-Protokoll diene als Impulsgeber für die Entwicklung offener Architekturen. Dieser Trend werde durch Standardprotokolle von Branchenverbänden wie ONVIF (Open Network Video Interface Forum) und PSIA (Physical Security Interoperability.Alliance) bestärkt. Ein wegweisender Trend sei die Forderung nach erweiterter Funktionalität. Die Entwicklung gehe ganz klar in Richtung Smartcards. Die Karten würden heute für zahlreiche weitere Applikationen verwendet. Je mehr Anwendungen gesteuert werden können, desto stärker wachse das Potenzial von Smartcards und desto wichtiger werde es, dass ihre Sicherheit durch starke Verschlüsselung gewährleistet sei. Zutrittskontrolle – Spezifische Liegenschaften Zutrittskontrollen im Stadion-Umfeld sind das Thema von Nico Hruby, BTD Group, in der Ausgabe 1-2013 der Fachzeitschrift WiK (S. 44–46). Mit den neuen Sicherheitsanforderungen in Stadien und Weiterentwicklungen im Ticketing müssten sich Clubs und Stadionbetreiber auch mit neuen Anforderungen an die Zutrittskontrolle auseinandersetzen. Elementare Unterschiede im Vergleich zu den Anforderungen an die Zutrittskontrolle im Unternehmen seien unterschiedlichste Wetterbedingungen und eine notwendigerweise hohe Betriebsgeschwindigkeit. Während der Konzeptionsphase komme vor allem den notwendigen Systemschnittstellen besondere Bedeutung zu. Unterschiedliche Ticketing- und Adressierungssysteme müssten flexibel und performant angebunden werden. Ein wesentlicher Bestandteil der Konzeptionsphase für Zutrittskontrollsysteme im Stadionumfeld sei das sogenannte People Flow-Konzept. Es beinhalte schon in der Planung von Spielstätten die Steuerung von Menschenströmen auf den Zuwegen und Zufahrten und determiniere somit maßgeb- lich die Positionierung der Zugänge, Vereinzelungsanlagen, Personenvorkontrollen und Drehkreuz-Einheiten. In der Fachzeitschrift Security insight (Ausgabe 6-2013, S. 30/31) wird beschrieben, wie die elektronische Zutrittsorganisation in einer Vielzahl von Geschäftsstellen einer Bank hohe Flexibilität schafft. Das elektronische Schließsystem arbeite mit einem virtuellen Netzwerk. Das funktioniere offline und drahtlos zwischen den installierten elektronischen Komponenten, die miteinander kommunizieren, Informationen verarbeiten und diese weitergeben. Im Gegensatz zu konventionellen Netzen entfalle die aufwändige Verkabelung, eine Vielzahl von Umsetzern oder störanfällige Funkstrecken. Durch die Übertragung von Informationen im virtuellen Netzwerk entfalle das manuelle Programmieren von Offline-Türkomponenten nahezu komplett. In der Fachzeitschrift PROTECTOR (Ausgabe 12-2013, S. 28) befasst sich Gareth O’Hara, Paxton GmbH, mit der Zutrittskon- Jahrbuch der Unternehmenssicherheit 2013 trolle zur Absicherung kleinerer Objekte. Bei solchen Zutrittskontrollanlagen sollten vor allem folgende Merkmale beachtet werden: -Einzeltürsteuerungen seien für den Errichter deutlich flexibler als die teureren und komplexeren Steuerungen für vier oder acht Türen -Eingebaute IP-Fähigkeit sorge für eine schnellere und kostengünstigere Installation, weil der Errichter die Türsteuerungen an das vorhandene LAN anschließen kann -Verfügbarkeit drahtgebundener und drahtloser Steuereinheiten in derselben Anlage trage ebenfalls dazu bei, die Zutrittskontrolle in kleineren Objekten preisgünstiger zu machen -Einfache Steuersoftware mit intuitiven Funktionen, die innerhalb weniger Minuten verstanden werden können -Zutrittskontrollsysteme für kleinere Objekte sollten die Möglichkeit bieten, EMA, BMA und Videoüberwachungsanlagen zu integrieren -Die neuesten Anlagen erlaubten sogar eine abgesetzte Verwaltung des Systems über ein Smartphone oder einen Web browser 271 272 Jahrbuch der Unternehmenssicherheit 2013 Stichwortverzeichnis Abfall- und Verschließanlagen Arbeitsschutz Seite166 Automatisierung Seite106 Adobe Netzwerkeinbruch Seite118 Advanced Persistent Threats (APT) Abwehr von Angriffen Seite 118 Bedrohungscharakter Seite3 Seite Critical Controls for effective Cyber Defense 3 AEO-Zertifikat Sicherheitsgewerbe Seite3 Aida Cruises Kontrollzentrum Seite3 Alarmtechnik Brandschutz Seite 3 Seite 3 Seite 3 Seite 3 Seite 3 Allianz für Cybersicherheit BSI + Bitkom Amok-Kriminalität LKW-Sniper Ansaru Terroristische Gruppe Anonymisierung IT-Sicherheit TOR Seite3 Apotheker-Spion BMG Seite3 Apps Datendiebstahl Seite3 Seite Datenschutz 3 Sicherheitsüberprüfung Seite3 Seite Spionage-App 3 Apple iOS Überblickspapier des BSI Seite 3 Arbeitnehmer Datenschutz Seite3 Jahrbuch der Unternehmenssicherheit 2013 Arbeitsschutz s. a. Maschinensicherheit Fußschutz Seite3 Gase Seite3 Industriehelm Seite 3 pneumatische Hebebühne Seite 3 Schutzhandschuh Seite3 Sensorfarbstoff Seite 3 Software EcoWebDesk Seite 3 Vorschriftenänderungen Seite3 Seite Arbeitsergonomie Leitstellen 3 Arbeitsstätten Brandschutz Seite3 Seite Flucht- und Rettungswegeplan Archivsicherheit 3 Seite3 Arzneimittelfälschung Interpol-Initiative Seite 3 Lieferkette Seite3 Seite Verpackungssystem Securpharm 3 Atomunfall Haftung Seite3 Authentifikation 2 Faktor-Authentifizierung Seite 3 Single Sign on Seite 3 Autohaus Brandanschläge Seite3 Awareness Neue Wege Seite x Training Seite x Verhaltensveränderung Seite x Banken Geldwäsche Seite3 Hacking US-Notenbank Seite 3 Santander Bank Seite 3 SMS Banking-Malware Seite 3 USA Seite 3 Webseiten-Zusammenbruch Seite 3 273 274 Jahrbuch der Unternehmenssicherheit 2013 Bankraub Kriminalstatistik 2012 Seite 3 Bargeld Automatisiertes Management Seite 3 Bargeldlogistik der Zukunft Seite 3 Seite 3 Bargeldlogistik Projekt CashEDI Bargeldmanagement Automatisierung Seite3 Beast-Attacken RC4 als Schutz Seite 3 Behinderte Brandschutz Seite3 Bekannter Versender Luftsicherheit Seite 3 Benfordsches Gesetz Betrugsaufklärung Seite3 Bergbaumaschinenindustrie Spionageopfer Seite3 Besuchermanagement Elektronische Personenregistrierung Seite 3 Betriebsgeheimnis Scoring Seite3 Betrug (s. a. Kartenbetrug) Bilanzbetrug Seite3 Bitcoin-Betrüger Seite3 Entwicklung Seite3 Gesundheitswesen Seite3 Internet Seite Jobdirect24 Seite3 Kreditkartenbetrug Seite3 Seite Kriminalstatistik 2012 3 3 Sepa-Umstellung Seite3 Sozialversicherungsbetrug Seite3 Seite Tankbetrug Telefonbetrug Bewegungsmelder 3 Seite3 Jahrbuch der Unternehmenssicherheit 2013 Nichtauslösung Seite3 BHE Sicherheitsmarkt Seite3 Big Data Datenberg im Internet Seite 3 IT-Sicherheit Seite 3 Seite 3 Bilanzbetrug Benfordsches Gesetz Biometrie Fingerabdrücke Seite3 Geldautomat Seite3 Gesichtserkennung Seite3 Handvenenerkennung Seite3 iPhone 5S Seite 3 Next Generation Identification Seite 3 Tabula Rasa Seite 3 3D-Verfahren Seite 3 Bitcoin Betrug Seite3 Seite 3 Hackerangriff BKA Cyberlab Seite x Digitale Spurensuche Seite x Entgrenzte Cyberkriminalität Seite x Seite 3 Seite x Boko Haram Terroristische Gruppe Bots Tipps zur Abwehr Boxcryptor Verschlüsselungssoftware Seite3 Brandanschläge Autohäuser Seite3 Seite Deutsche Telekom x DHL Seite3 Seite Europäischer Polizeikongress 3 Siemens Seite3 Vodafone Seitex 275 276 Jahrbuch der Unternehmenssicherheit 2013 Wohnungsbaugesellschaft Seite3 Brandmeldeanlage Änderungen Seite3 Fernzugriff Seite x Integrierte Sprachausgabe Seite 3 Seite 3 Brandschutz (s. a. Löschtechnik, Evakuierung) Abschnittsflächen Alarmtechnik Seitex Anlagentechnik Seite3 Arbeitsstätten Seitex Seite Baulich-technischer 3 Behinderte Seitex Brandfrühesterkennung Seite3 Brandschutzbeauftragter Seite3 Elevatoren Seitex Empfangsbereich Seite3 Ganzglastür Seitex Glutnester Seite3 Haftungsfragen Seite3 Hochhäuser Seite3 Hochregallage Seite3 IT-Infrastruktur Seitex IT-Räume Seite 3 Kabel in Gebäuden Seite x Lithium-Akkus Seite 3 Löschtechnik Seitex Marktübersichten Seitex Metallständerwand Seite3 Modernisierung Seite3 Seite Offshore-Windparks 3 Organisatorischer Seite3 OSID-Technologie Seite 3 Rauchschutztür Seite 3 Rauch- und Wärmeabzugsgeräte Seite 3 Rechenzentrum Seite3 Sprühtrockungsanlagen Seite3 Unternehmensdaten Seitex Jahrbuch der Unternehmenssicherheit 2013 Videoüberwachung Wärmedämmverbundsystem Seite 3 Seite3 Bring Your Own Device (BYOD) Risiken Seitex Brunnenkühlung Rechenzentrum Seite3 BSI Allianz für Cybersicherheit Seite 3 Apple iOS Seite 3 Cloud-Computing Seitex Content Management-Systeme Seite 3 Hochverfügbarkeits-Kompendium Seite 3 ICS Security-Kompendium Seite x IT-Grundschutz Seite 3 IT-Sicherheitslage 2013 Seite x Richtlinie für Scannen von Dokumenten Seite x Secure Software Development Lifecycle Seite x Standard 100-4 Seite x Zertifizierung für IT-Sicherheitslösungen Seite x Seite x Bürosicherheit Schutz vor Gewalt Buntmetall (s. a. Metalldiebstahl) Diebstahl Seitex Business Continuity Management Mittelstandsunternehmen Seitex Neue ISO-Norm 22301 Seite 3 Supply Chain Seite x Change Management Unternehmenssicherheit Seite3 CashEDI Bargeldlogistik Seitex China Ausspähung der New York Times Seite x Einreisekontrollen Seite3 Geschäftsreisen Seitex Hacking Seite3 Spionage Seitex 277 278 Jahrbuch der Unternehmenssicherheit 2013 Technische Kontrolle des Datenverkehrs Seite 3 Seite 3 CIA Datenbank Geldübertragungen Citystreife Stadtservice Seite3 Cloud-Computing Active Directory-Anbindung Seite 3 Außerhalb EU Seite 3 BSI-Empfehlungen Seitex Datensicherung Seite3 Seite Einstellung der Wirtschaft x Exportrecht Seite3 IT-Grundschutz Seite 3 Private oder Public Cloud Seite 3 Unternehmensinterne Zuständigkeit Seite 3 USA Seite x Zutrittskontrolle Seite3 Code of Conduct Akzeptanz Seite3 Compliance China Seitex Exportkontrolle Seite3 Finanzsektor Seite3 Computerkriminalität Kriminalstatistik 2012 Seite 3 KMU Seite3 Kommunale Unternehmen Seite 3 Öffentliche Unternehmen Seite 3 Praktische Umsetzung Seite 3 Wirtschaftskriminalität Seite3 Computerkriminalität s. IuK-Kriminalität Content-Management BSI-Studie Seitex Cyber-Versicherungen Umfang des Schutzes Data Center Seite x Jahrbuch der Unternehmenssicherheit 2013 Brandschutz Seite3 Data Leakage Prevention Bausteine Seite3 Datenbank Sicherheit Seite 3 Datendiebstahl Haftung Seitex Datenhehlerei Neuer Tatbestand vorgeschlagen Seite x Datenschutz Apps Seite x Arbeitnehmer Seite x Datensparsamkeit Seitex Datenvernichtung Seitex Seite Einstellung der Wirtschaft x EU-Recht Seitex Facebook Seitex Fluggastdaten Seitex Geheimdienste Seitex Google Seite3 KMU Seitex Satellitendatensicherheitsgesetz Seitex Seite Versendung mehrerer Emails 3 Videoüberwachung Seite3 Wirtschaftsauskunfteien Seitex Datensicherung Cloud-Computing Seite x Datenvernichtung Zuverlässigkeit Seitex De Mail-Standard E-Government-Gesetz Seite x Dementenschutzsystem Komponenten Seitex Detektion Brandschutz Seitex Glutnest Seite3 Deutsche Bahn 279 280 Jahrbuch der Unternehmenssicherheit 2013 Korruption Seite3 Videoüberwachung Seite3 Deutsche Bank Brandanschläge Seite3 Deutsche Telekom Nationales Internet Seite 3 Seite 3 Devisenmanipulation Libor Diebstahl (s. a. Einbruch, Ladendiebstahl) Einzelhandel Seite x Kriminalstatistik 2012 Seite 3 Künstliche DNA Seite x Ladendiebstahl Seite3 Seite LKW in Fahrt x Metalldiebstahl Seitex Seite PCs und Notebooks 3 Solarmodule Seite3 Seite Technischer Schutz Transporter x Seite3 Differenzstrom Überwachung Seite3 Digitale Signatur Schadsoftware Seite3 Digitale Spurensuche BKA Seitex Dreidimensionaler Drucker Unternehmenssicherheit Seitex Drehkreuz Zutrittskontrolle Seitex DSL-Router Easybox Sicherheitslücke Seitex Durchgangssperre Zutrittskontrolle Seitex EcoWebDesk Arbeitsschutz Seitex Einbruch Wohnungseinbruch Seitex Jahrbuch der Unternehmenssicherheit 2013 Technischer Schutz Videoüberwachung Seite x Seitex Einbruchmeldetechnik (s. a. Gefahrenmeldetechnik) Attestierung Seitex Funktechnik Seite x Installationsfehler Seite x Integriert mit Zutrittskontrolle Seite x Mobile Applikationen Seite x Modularität Seitex Nichtauslösung Seitex Planung Seitex Wertbehältnisse Seitex Einkaufszentrum Videoüberwachung Seite3 Einzelhandel (s. a. Ladendiebstahl) Diebstahl Seitex Netzwerk-Infrastruktur Seite 3 Sicherheitskraft im Handel Seite 3 Videoüberwachung Seitex Elektronische Offline-Schlösser OAA-Standard Seite x Elektronische Sicherheitstechnik Sicherheitsmarkt Seitex Elektronische Signatur Trusted Computing Group Seite x Verordnungsentwurf der EU Seite x Seite x Seite 3 Elektronisches Schließsystem s. Schließsystem Elektronisches Zugangssystem Mechatronisches Schließsystem Elevatoren Brandschutz Seite3 Elster Sicherheitsanfällige Java Seite x Spamwelle Seite 3 Email Datenschutz Seite3 281 282 Jahrbuch der Unternehmenssicherheit 2013 De Mail-Standard Seite x Rechtsverbindlichkeit Seite3 Verschlüsselung Seitex Embargoverstöße Kontrollen Seite3 Embedded systems EMV-Technik Geldautomaten Seitex Endgeräte (s. a. mobile Endgeräte) Secure Web Gateway Seite 3 Energieversorgung Stromausfall Seitex ENISA Jahresbericht 2012 Seite x Erpressung Einzelfälle Seitex Ethernet Übertragungsmedium Seite3 Euroalarm Gefahrenmeldetechnik Seitex Evakuierung Barrierefreiheit Seitex Sicherheitsbeleuchtung Seitex Simulation Seitex EU-Kommission Cybersicherheitsplan Seitex Seite x Seite x Hacking-Bekämpfung EUROPOL Zentrum zur Bekämpfung der Cyberkriminalität Explosionsschutz Alarmsignale Seitex Sicherheitsfolien Seitex Überwachungskamera Seitex Wärmebildkamera Seitex Extremismus Mitarbeiter Seite x Neue Tendenzen Seite x Jahrbuch der Unternehmenssicherheit 2013 Facebook Datenschutz Seitex Fälschungsdelikte Seitex Seite x Seite x Seite 3 Seite x Kriminalstatistik 2012 Fahndung Schengener Informationssystem Fahrausweisautomatensicherung Wirksamer Schutz Fahrzeugverriegelung Vanloxx-System Falschgeld Bundeslagebild 2012 Seite 3 Entwicklung 2013 Seite x Seite x Seite x Seite x Feuerwehr Großflächiger Stromausfall Feuerwehrausrüstung 3D- und Wärmebilder Finanzwirtschaft Cyberangriff in USA Gebäudesicherheit Seitex Firewall Web Application Seite x Seite 3 Flexi Soft Modulare Sicherheitssteuerung Fluchttür Absicherung Seite3 Nachrüsten Seitex Fluchtweg Absicherung von Fluchttüren Arbeitsstätten Seite 3 Seitex Fluggastdaten Datenschutz Seitex Flughafensicherheit (s. a. Luftverkehrssicherheit) Interne Flughafensicherheit Seite x Perimeterschutz Seitex Sicherheitskonzepte Seite3 Frachtdiebstahl 283 284 Jahrbuch der Unternehmenssicherheit 2013 Fahrerverschulden Seitex Gefahrendimension Seitex Schutzmaßnahmenspektrum Seitex Speditionsverschulden Seite3 Freigeländeüberwachung (s. a. Perimeterschutz) Videowache Seitex Zaunüberwachung Seitex Funkenlöschanlage VdS-Richtlinie Seite x Seite x Funkübertragung EMA Gefahrenmeldetechnik Seitex Fußschutz Arbeitsschutz Seite3 Ganzglastür Feuerhemmend Seite x Gas Arbeitsschutz Seitex Gaslöschanlage Planung Seitex Gasplattform Betreiberhaftung Seitex GCHQ Kabelzugriff Seite x Gebäudesicherheit Architektur Seitex Finanzwirtschaft Seitex Planbroschüren Seitex Seite x Seite x Risiken und Methoden Gefahrenmanagement (s. a. Risikomanagement) Datenflug Gefahrenmeldetechnik AudioAnalytics Seitex Betriebliche Alarmsysteme Seite x Europäische Industrie Seite x Funkübertragung Seitex Seite Notrufsystem für Autos x Jahrbuch der Unternehmenssicherheit 2013 Optische Alarmierung Seite x VdS-Richtlinie 2311 Seite x Zwangsläufigkeit Seite x Seite 3 Gefängnissicherheit Integrierte Sicherheitstechnik Sicherungsverwahrung Seitex Geheimdienste Datenschutz Seite3 FSB Seitex GCHQ Seitex Nachschlüssel Seitex NSA Seite3 Geiselnahme Werk in China Seite x Seite x Geldautomatensicherheit Angriffe Biometrie Seitex EMV-Technik Seite x Intelligente Automaten Seite 3 Manipulation von Prepaid-Karten Seite x Neue Richtlinien Seite 3 Technische Sicherung Seite x Geld- und Wertdienste Bargeldlogistik der Zukunft Seite x Neue Sicherheitskonzepte Seite x Raubüberfälle Seitex Seite x Seite x Seite 3 Ungepanzerte Transporte Geldwäsche Bankenmitwirkung bei Bekämpfung Digitale Kryptowährungen Kriminalstatistik 2012 Immobiliengeschäfte Seitex Ndrangheta Seitex USA Seitex Windstromprojekt Seite3 Geschäftsdiebstahl Kriminalstatistik 2012 Seite x 285 286 Jahrbuch der Unternehmenssicherheit 2013 Geschäftsraub Kriminalstatistik 2012 Seite x Gesundheitswesen Korruption Seitex Glutnest Detektion Seitex Google Datenschutz Seitex Hacking Abwehraktivitäten Seite3 Seite Bekämpfung durch EU-Kommission x Bitcoin Seitex China Seitex Cyberspionage Seitex Haftung Seitex Hidden Lynx Seite x Online-Betrüger Seite x Telefonanlagen Seitex US-Notenbank Seitex Wegfahrsperre Seitex Grohe Produktpiraterie Seitex GSM-Pagingsignal Mißbrauch Seite x Haftung (s. a. Compliance) Errichterhaftung Seitex NSL Seitex Hamburg Netzwerk Standortsicherheit Seite x Handvenenerkennung s. a.Kommunikationssicherheit Verschlüsselung Seitex Hebebühne Arbeitsschutz Seitex Hochhaus Brandschutz Hochregallager Seite3 Jahrbuch der Unternehmenssicherheit 2013 Brandschutz Seitex Logistiksicherheit Seite3 Homejacking Entwicklung Seitex Homeland Security Sicherheitswirtschaft Seite3 Hotelsicherheit Ästhetik Seitex Seite Safes mit Codeschlössern Undercover-Sprinkler x Seitex Honeypots Deutsche Telekom Seite 3 Simuliertes Wasserwerk Seite x Huawei Spionage Seitex IBM Notes/Domino-System Seitex Identitätsausweis USA Seitex Identity- and Access-Management (IAM) Access Control Seite x Hybrides IAM Seite x Priviliged Identity Management Seite 3 Prozessmodell Seite3 Immobiliengeschäfte Geldwäsche Seitex Imtech Korruption Seitex Industrie 4.0 Aufgaben und Probleme Seite x Rolle der IT Seite 3 Seite x Industrieanlagen ICS-Security Kompendium IT-Sicherheit Seitex Referenz-Architektur ESARIS Seite x Sicherheitslücken in Kontrollsystemen Seite x Smarte Versorgungsnetze Seite x 287 288 Jahrbuch der Unternehmenssicherheit 2013 Industriehelm Arbeitsschutz Seitex Industriespionage s. Spionage Information Maturity Index Datenschutz Seitex Infrarot Videoüberwachung Seitex Insolvenzkriminalität Kriminalstatistik 2012 Seite x Internet-Kriminalität Kriminalstatistik 2012 Seite x Seite x Internet-Risiken Gravierend eingestuft Inventurdifferenz Ladendiebstahl Seitex IP Übertragung Seite x Umrüstung von Sprechstellen Seite x IP-Videoüberwachung Trends Seitex iPhone 5 S Scanner für Fingerabdrücke Seite x ISIS ISMS Islamistischer Terrorismus Gefährdungslage November 2013 Seite x ISO-Normen 27001/27002 Seitex IT-Grundschutz Baustein Webanwendungen Seite 3 BSI-Standard 100 Seite x Cloud-Computing Seite3 GSTool Seitex SIEM Seitex IT-Infrastrukturen BitBox Seitex Jahrbuch der Unternehmenssicherheit 2013 Brandschutz Seite3 Finanzwesen Seite3 Proaktives IT-Monitoring Seite x Schutz vor Spionage Seite x SIEM Seitex Verfügbarkeit Seitex IT-Organisation IT-Sicherheitsbeauftragter Seite3 Schatten-IT Seite3 IT-Sicherheit Absturzsicherheit Seitex Seite Allianz für Cybersicherheit x Anonymisierung Seitex App-Sicherung Seitex Seite Authentifikation x Awareness Seitex Seite Big Data 3 BSI Seite3 BYOD Seitex Seite Cyber Security Report 2012 x Datenbank Seitex Einzelhandel Seitex Seite Elektronische Signatur x Elster Seitex Email-Sicherheit Seite3 Seite Embedded systems x Endgeräte Seitex EU-Cybersicherheitsplan Seitex EU-Kommission Seitex Firewall Seitex Hackingabwehr Seitex Honeypots Seitex IAM Seitex IBM Seitex Industrieanlagen Seitex Industrie 4.0 Seite x Intelligentes Sicherheitsradar Seite x 289 290 Jahrbuch der Unternehmenssicherheit 2013 ISO-Normen Seitex IT-Grundschutz Seitex IT-Infrastruktur Seite x IT-Organisation Seite x IT-Sicherheitsbeauftragter Seite x IT-Sicherheitsgesetz Seitex Seite Key Performance Indicators (KPI) x KMU Seitex Seite Krankenhaus-IT x Microsoft Seitex Patchmanagement Seite x Payment Card Industry Seite x Personalausweis Seite x SAP-Systeme Seitex Schatten-IT Seitex Security by design Seite x Security Engineering Seite x Sicherheitslücken Sicherheitsrichtlinien fehlen Social Media Seitex Seite x Software-Lizenzierung Seitex Seite Umdenken nach NSA-Skandal x Verschlüsselung Seitex Versicherungen Seitex Virtual Private Network Seite 3 Virtuelle Rechenzentren Seite x Web 2.0 Seite 3 Windows 8 Seite x 10 Regeln Seite x Seite x Seite x Seite x IT-Sicherheitsgesetz Nachbesserungswünsche Bitkom IT-Sicherheitslage 2013 IT-Sicherheitslücken Globaler Markt Routermodell Seitex IuK-Kriminalität Adobe Seitex Jahrbuch der Unternehmenssicherheit 2013 Advanced Persistant Threats (APT) Seite x Anstieg Seite x Banken Seite3 Seite Bedrohungslage x Bitcoin Seitex Seite BKA-Hacker x Botabwehr Seitex China Seitex Elster Seitex Finanzinfrastruktur Seitex Geheimdienste Seite3 Hacking Seite3 Haftung Seitex Java Seitex Seite Leichtsinn bei Grundeinstellungen x NSA Seitex Phishing Seitex Ransomware Seitex Schadsoftware Seite3 Seite Social Engineering x Spam Seitex Stuxnet Seite x Threat Horizon 2015 Seite x Trojaner Seitex Vodafone Seitex Java Wurm befällt Tomcat Seite x Juweliersicherheit Entwicklung 2011 Seite x Osteuropäische Bande Seite x Kabel Brandschutz Seitex Kärcher Produktpiraterie Seite x Kartellrechtsverstöße Hersteller von Mikroprozessoren Seite x Leitlinie des Bundeskartellamtes Seite x 291 292 Jahrbuch der Unternehmenssicherheit 2013 Rechtsmäßigkeitsirrtum Seite x Reinigungsmittelwirtschaft Seitex Rote Linie Seite x Veröffentlichung Seite x Zementkartell Seite x Seite x Kartenbetrug Entwicklung 2011 Europa Seitex Kartenzahlsysteme Biometrie Seitex Katastrophenschutz Naturgefahrenreport 2012 Ölplattform Seite x Seitex KFZ Notrufsystem Seitex KFZ-Diebstahl Bundeslagebild 2012 Seite x GDV-Statistik 2012 Seite x Internationale Verschiebungen Seite 3 Wegfahrsperre Seitex KFZ-Kennzeichen Videoüberwachung Seitex Klinik- und Heimsicherheit Alarmsystem Seitex Dementenschutzsystem Seitex IT-Sicherheit Seitex Zutrittsorganisation Seitex KMU BCM Seitex Compliance Seitex Datenschutz Seitex IT-Sicherheit Seite x Risikomanagement Seite x Ransomware Seite3 Seite Spionageopfer x Know how Schutz (s. a. Spionage) Kommunikationsstrategien Seitex Jahrbuch der Unternehmenssicherheit 2013 Kommunikationssicherheit (s. a. Mobile Endgeräte, Verschlüsselung) Hacking Seitex Seite Handy Simko3 x NSA Seitex Smartphone Seite3 Software Secusuite Seite 3 TopSec Mobile Seite x Konsumgütermesse Produktpiraterie Seitex Korruption Abgeordnete Seitex Seite Bundeslagebild 2012 x China Seite3 Debeka Seitex Seite Deutsche Bahn x Imtech Seitex Italien Seitex Korruptionsindex Seitex Korruptions-Registergesetz Seitex Österreich Seitex Prävention Seitex Rüstungswirtschaft Seitex Sanktionen Seitex Schadensdimension Seitex Siemens Seitex UN-Konvention Seitex Kriminalstatistik 2012 Bank- und Geschäftsraub Seite x Betrug im Geschäftsleben Seite x Computer- und Internetkriminalität Seite x Fälschungsdelikte Seitex Geschäftsdiebstahl Geldwäsche Seitex Insolvenzkriminalität Seite x Konsequenzen für die Sicherheitswirtschaft Seite x Kritische Infrastrukturen Seite x Umweltkriminalität Seite x 293 294 Jahrbuch der Unternehmenssicherheit 2013 Untreue im Geschäftsleben Seite x Wettbewerbs- und Korruptionskriminalität Seite x Wirtschaftskriminalität Seitex Krisenmanagement Krisennavigator Seite Krisenursachen Seitex Seite Lükex 2013 x Sofortmaßnahmen Seitex Stromausfall Seitex Krisenregionen (s. a. Terrorismus) Expatriates Seitex Seite x Seite x Political Risk Map 2013 Krisenstabsarbeit Typische Fehler KRITIS Umsetzungsplan Seitex Kritische Infrastrukturen Koordination aller Systeme Seite x Kriminalstatistik 2012 Seite x Innovative Lösungen Seite x Umsetzungsplan KRITIS Seite x Kühlungssystem Rechenzentrum Seitex Künstliche DNA Diebstahlsschutz Seitex Ladendiebstahl Bekämpfungsbudgets Seite x Entwicklung Seite3 Organisierter Seite x Schadensdimension Seite x Seite x Lagerung Gefahrstoffe Leitstelle Arbeitsergonomie Seitex Libanon Hisbollah Libor Seite3 Jahrbuch der Unternehmenssicherheit 2013 Manipulationen 295 Seitex Lichtfeld-Kamera Videoüberwachung Seitex Lieferkette (s. a. Logistiksicherheit) BCM Seitex Bruchstellen Seitex Prozessdokumentation Seite3 Lithium-Akkus Brandschutz Seitex LKW Diebstahl Seitex LKW-Sniper Autotransporter als Ziel Seite x Seite x Logistiksicherheit Aufgabe für die Sicherheitswirtschaft Frachtdiebstahl Seitex Hochregallager Seitex Kosten Seitex Parkplatzsicherheit Seitex Seite Physische Sicherheit x Resilience Seitex Standards Seite x Unterbrechungsfreie Lieferkette Seite x Löschspraydose Normen Seitex Löschtechnik Ansteuerung von Löschanlagen Seite x Druckluftschaum Seite x Funkenlöschanlage Seitex Gaslöschanlage Seite x Löschpulverarten Seite x Sprinkler Seite x Wandhydranten Seitex Lüftungssysteme Rechenzentrum Seitex Lükex 2013 Krisenmanagement Seitex 296 Jahrbuch der Unternehmenssicherheit 2013 Luftsicherheit (s. a. Flughafensicherheit) „bekannter Versender“ Laserpointer Seite x Seitex Mali Terrorismus Seitex Malware Mobile Seitex Managerhaftung Verfahrenshäufigkeit Vorstandshaftung Seite x Seitex Maritime Sicherheit (s. a. Piraterie) Aida Cruises Seite x GPS-Signale gefälscht Seite x Lagebild Seitex Pirateriebekämpfung Seitex Sicherheitsstandards Seitex Maschinensicherheit Abfall- und Verschließanlagen Seite x Differenzstromüberwachung Seite x EN ISO 14119 Seite x Flexi Soft Seite x Industrielle Automation Seite 3 Laser-Testzentrum Seite x Rohrbiegemaschinen Seite x Rollenschneidemaschinen Seite x Security by design Seite x Sicherheitslichtvorhang Seite x Sicherheitszuhaltungen Seitex Maschinen- und Anlagenbau Risk Map Seite 3 Masterplan Zivile Sicherheit Schwerpunktfelder Seitex Mechatronisches Schließsystem s. a. Schließsysteme Seite x elektronisches Zugangssystem Seite x Messen Produktpiraterie Seitex Jahrbuch der Unternehmenssicherheit 2013 Metalldiebstahl Bahntrassen Seite3 Buntmetall Seitex Röhren Seitex Microsoft Datenschutz Seitex IT-Sicherheit Seitex Mindestlohn Überwachung Seitex Mitarbeiterkriminalität Bekämpfung Seitex Ursachen Seitex Mitarbeiterscreening Möglichkeiten und Grenzen Seite x Seite x Mittelstandsunternehmen s. KMU Mobile Endgeräte (s. a. Endgeräte) Absicherung von Business-Daten Seite x Antidiebstahlfunktionen Seite x BYOD Seitex Containerlösung Seitex Datensparsamkeit Seite x GSM-Pagingsignal Seite x Information Rights Management (IRM) Seite x Kombination von IRM und DLP Seite x Lauschabwehr Seite x MAM Seite x Mobile Application Management Seite x Mobile Malware Seite x Mobile Zweifaktor-Authentifizierung Seite x Scanner für Fingerabdrücke Seite x Smartcard-Leser Seitex Unternehmensdaten Seitex VPN-Management Seitex Mobile Malware Zukunftspotential Seitex Museumssicherheit 297 298 Jahrbuch der Unternehmenssicherheit 2013 Kunsthistorisches Museum Wien Lesermesssystem Seite x Seitex Nachhaltigkeit Bedeutung in der Wirtschaft Seite x Nachrüstung Einbruchschutz Seitex Nationale Sicherheitsstrategie Fünf Grundsätze Seite x Near Field Communication (NFC) Potential Seitex Zutrittskontrolle Seitex Netzwerklösungen Für Unternehmen Seite x Neverquest Trojaner Seite x New York Times Ausspähung Seite3 Nigeria Terrorismus Seite x Nordafrika Terrorismus Seitex Notebook Diebstahl Seitex Notfallmanagement BSI-Standard 100-4 Seite 3 Cloud für KMU Seite x Notfallhandbuch Seitex Organisation Seitex Versicherungsunternehmen Seitex Notruf- und Service-Leitstelle (NSL) Alarm Service Provider-Modell Seite x DIN EN 50518 Seite 3 Haftungsprobleme Seite3 Seite VdS-Richtlinie 3138 x Öffentliche Plätze Videoüberwachung Öffentliche Sicherheit Seitex Jahrbuch der Unternehmenssicherheit 2013 Privatisierung Seitex Öffentliche Unternehmen Compliance Seitex Ölplattform Betreiberhaftung Seitex ÖPV-Sicherheit Allianz pro Schiene Seite x Bayern Seitex Berlin Seitex Bus Seitex Sicherheitsfachkräfte Seitex Sicherheitsgefühl Seite x Videoüberwachung Seite x Österreich Korruption Seitex Offshore-Windpark Brandschutz Seite x Online-Banking Angriffe Seite x Angst vor Betrug Seite x Verschlüsselung Seite x VPN Seite x Seite x Online-Betrüger Modus Operandi Optische Alarmierung Gefahrenmeldetechnik Seitex Organisierte Kriminalität Bedrohungslage Europa Seite x Bundeslagebild 2012 Seite x Ladendiebstahl Seitex Seite Mafia x Ostasien Seitex Seite Rumänische Tätergruppen x OSID-Technologie Branddetektion Seitex OWiG Sanktionen gegen Unternehmen Seite x 299 300 Jahrbuch der Unternehmenssicherheit 2013 Parkplatzsicherheit Frachtdiebstahl Seitex Geschäftsmodell Seitex Passwort Mindestabsicherung Seitex Patch-Management Schließt Angriffslücken Seite x Sichere Geschäftsprozesse Seite x Payment Card Industry Richtlinienkatalog Seite x PC Diebstahl Seite3 Perimeterschutz (s. a. Freigeländesichereung) Intelligentes Zaunsystem Seite x Perimetermelder Seitex Schnelllauftor Seitex Seite Sektorenkonzept x Sicherungsleitfaden Seitex Wirtschaftlichkeit Seitex Personalausweis Sicherheit Seitex Personenschutz Digitaler Raum Seite x Entwaffnung von Angreifern Seite x Personenvereinzelung Zutrittskontrolle Seitex PGP Asymmetrische Verschlüsselung Seite 3 Seite x Phishing VdS-Richtlinie 3138 Piraterie (s. a. Maritime Sicherheit) Human Cost Seite x Islamistische Terroristen Seite x Lagebild Seesicherheit Seite x Piraterie-Präventionszentrum Seitex Verordnungen der Bundesregierung Seite x Zulassung von Sicherheitsunternehmen Seite x Jahrbuch der Unternehmenssicherheit 2013 301 Polizeiliche Kriminalstatistik s. Kriminalstatistik Seite x Prepaid-Karten Manipulation Seitex Prism NSA-Spähprogramm Seitex Produktpiraterie Bekämpfung Seite x Einzelfälle Seite x Entwicklung Seitex EU-Jahresbericht Seite x EU-Verordnung Seite x EU-Verordnung Seite x Europäische Kampagne Seite x Luxusuhren Seite x Messen Seite x Zentralstelle gewerblicher Rechtsschutz Seite x Seite x Proliferation Risiko für Unternehmen Raffineriesicherheit Gasundichtigkeiten Seitex Ransomware Digitale Erpressungswelle Seite x Erscheinungsformen Seitex KMU Seitex Raubüberfälle (s. a. Banken) Geld- und Wertdienste Geschäfte Seite x Seitex Rauchschutztür Neue Produktnormen Veränderungen Seite x Seitex Rauch- und Wärmeabzugsgeräte Normen Seitex Wartung Seitex Rechenzentrumssicherheit Anforderungen Seitex Brandfrühesterkennung Seitex 302 Jahrbuch der Unternehmenssicherheit 2013 Brandschutz Seitex Brunnenkühlung Seitex Handvenenerkennung Seitex IT-Brandnorm EN 1047 Seite x Lüftungs-/Kühlungssystem Seite x Multisensor Seite x Nächste Generation Seite 3 Outdoor-Rechenzentrum Seite x Planung Seite x Rauchdetektion Seite x Sprühnebel-Löschanlage Seitex Stromversorgung Seitex Zutrittskontrolle Seitex Rechtsextremismus Sicherheitsgewerbe Seitex Reinigungsmittelbranche Kartell Seitex Resilience Definition Seite x Logistiksicherheit Seitex Systemrisiken Seitex RFID Bargeldlogistik Seite3 ePayment Seite3 Seite Prüfkriterien für Anwendungen Treiber x Seitex Risikomanagement (s. a. Gefahrenmanagement) Berichterstattung Seitex Seite Gesetze, Standards, Methoden x Integrales Seitex Seite Integration von IT-Risiken KMU x Seitex Risk Map Maschinen- und Anlagebau Seite x Robotersicherheit Sicherheitskonzepte Rohrbiegemaschinen Seitex Jahrbuch der Unternehmenssicherheit 2013 Maschinensicherheit 303 Seitex Rollschneidemaschinen Maschinensicherheit Seite x Routermodell Schwachstellen Seitex Rüstungswirtschaft Korruption Seite x Seite x Sabotage Vodafone SAP-Systeme Risiken und Gegenmaßnahmen Seite x Security Notes Seite x Sanitärmesse ISHG Produktpiraterie Seitex Satellitentechnik Einsatz auf See Seite x Scannen von Dokumenten Technische Richtlinie Seite x Schadsoftware Darkleech Seitex Seite Digitale Signatur x Schatten-IT Praxisorientierter Umgang Risiken Seite x Seitex Schattenwirtschaft s. Schwarzarbeit Seite x Schengener Informationssystem Fahndung Seitex Schiffsüberwachungssystem Pirateriebekämpfung Seitex Schließsysteme DIN EN 15684 Seite x Elektronisches Seitex GeminiDigiSafe Seitex Mechanisches Seitex Mechatronisches Seitex Seite Offline Access Application x 304 Jahrbuch der Unternehmenssicherheit 2013 Richtlinien Seite x Schlüsseldepot Alarmaufschaltung auf Leitstellen Seite x Netzwerksteuerung Seite x Schutzhandschuh Arbeitsschutz Seitex Schnelllauftor Perimeterschutz Seitex Schwarzarbeit BGH-Urteil Seitex DGB Seitex Entwicklung Seitex Kooperation mit Niederlanden Seite x Nichtigkeit des Vertrags Seite x Scoring Betriebsgeheimnisse Seitex Security by Design Sicherheitstests Seite3 Security Engineering Umgang mit Sicherheitsvorfällen Seite x Seite x Securpharm Fälschungssichere Verpackung Secusuite Kommunikationssicherheit Seitex Selbstregulierung Datenschutz Seitex Sensorfarbstoff Arbeitsschutz Seitex Sensortechnologie Videoüberwachung Seitex SEPA-Umstellung Betrug Seitex Sicherheitsbeleuchtung Evakuierung Seite x Sicherheitsenquete 2012/2013 Ergebnisse Sicherheitsfachkraft Seitex Jahrbuch der Unternehmenssicherheit 2013 ÖPV Seite x Seite x Seite x Seite x Seite x Sicherheitsfolie Explosionsschutz Sicherheitsforschung EU-Mittel Sicherheitsgefühl ÖPV Sicherheitsgewerbe AEO-Zertifikat Ausrüstung Seitex Seite Aus- und Weiterbildung x Citystreife Seitex Einsatzbereiche Seitex Markt Seitex Politische Forderungen Seite x Privatisierung öffentlicher Sicherheit Seite x Rechtsextremismus Seitex Stadtservice Seitex Seite Stressreport Deutschland 2012 Unternehmenssicherheit x Seitex Sicherheitskraft im Handel Entwurf einer Zusatzqualifikation Seite x Sicherheitsleitsystem Anforderungen Seitex Sicherheitslichtvorhang Maschinensicherheit Seitex Sicherheitsmanagement Unternehmenssicherheit Seitex Sicherheitsmarkt Elektronische Sicherheitssysteme Seite x Marktstrukturerhebung Seitex Sicherheitsausrüstung Seitex Trends 2013 Seite x USA Seite x Videoinvestitionen Seite x Seite x Sicherheitsplanung 10 Grundsätze 305 306 Jahrbuch der Unternehmenssicherheit 2013 Sicherheitsschrank Gefahrstoffe Seite x Sicherheitsstudium Akademisierung Seitex Sicherheitssysteme Siveillance Fusion Seite x Sicherheitstechnik Entwicklungstrends Seitex Ethernet Seitex Seite GIT Sicherheitsaward 2014 x Satellitentechnik Seitex Terahertz-Strahlung Seitex Trends für Sicherheitsmarkt 2013 Seite 3 Weltweiter Bedarf Seite x Sicherheitswirtschaft Definition Seite x Homeland Security Seite x Intelligente Sicherheitslösungen Seite x Masterplan Zivile Sicherheit Seite x Zukunftsbranche Seitex Sicherheitszuhaltung Maschinensicherheit Seitex SIEM Protokolldaten aus IT-Systemen Seite x Siemens Brandschutz Seitex Korruption Seitex Simko Kommunikationssicherheit Seite x Skimming Rückgang Seitex Smartcard Zutrittskontrolle Seite x Smartphone (s. a. Kommunikationssicherheit, mobile Endgeräte) Antidiebstahlfunktionen Seite x Zutrittskontrolle Seite x Social Engineering Jahrbuch der Unternehmenssicherheit 2013 Gesprächstechniken Seite 307 x Software Abwehr Seitex Seite Angriffsziele x Apotheker-Spion Seitex Bergbaumaschinenindustrie Seitex China Seitex Seite Deutsches Zentrum für Luft- und Raumfahrt x Huawei Seitex Industriespionage Seitex IT-Infrastruktur Seitex Löschmittel Seitex Seite Mittelständische Wirtschaft als Opfer x NSA Seitex Schadensdimension Seitex Social Engineering Seite x Straferhöhung USA Seite x Videokonferenzen Seitex Sozialversicherung Betrug Seitex Sprachausgabe Brandmelder Seitex Sprengstoffspürhunde Einsatzspektrum Seitex Sprinkler Hotel Seitex Seite Wohnraumsprinkler Sprühnebel-Löschanlage x Seitex Sprühtrocknungsanlagen Brandschutz Seite x Stadionsicherheit Entwicklung Seite x Rechtliche Rahmenbedingungen Seite x Stalking Opferschutz Seitex Standards Lieferkette Seitex 308 Jahrbuch der Unternehmenssicherheit 2013 Maritime Sicherheit Seite x Offline Access Application Seite x Unternehmenssicherheit Seitex Steuerbetrug Stromhandel Seitex Stromausfall Automatisierungstechnik Seitex Seite Einsatzplanung der Feuerwehr 3 Energieversorgung Seitex Krisenmanagement Seitex Vorbereitung Seitex Seite Wirkungsvolle Prävention x Stromhandel Betrug Seitex Strommastensicherheit Messung der Standfestigkeit Seite x Seite x Supply Chain s. a. Lieferkette Logistiksicherheit Seitex Surveillance Industry Index Überwachungstechnik Seitex Systemrisiken Erhöhung von Resilience Seite x Seite x Tabula Rasa Biometrie Tankbetrug Entwicklung Seitex Tankstelle Videoüberwachung Seite x Seite x Seite x Target Bankkartendaten gehackt Telefonbetrug Entwicklung Terahertz-Strahlung Anwendungen Seitex Terrorismus Bedrohungslage November 2013 Seite x Jahrbuch der Unternehmenssicherheit 2013 Bekämpfung Seitex Seite Gefährdungslage Europa 309 x Krisenregionen Seitex Libanon Seitex Mali Seitex Nigeria Seitex Nordafrika Seitex Sanktionslisten Seitex US-Bericht Seitex Tor Anonymisierungsnetz Seitex Toxisches Gas Arbeitsschutz Seitex Transportverschlüsselung Zugang von Geheimdiensten Seite x Trojaner Chat-Protokoll Seitex Erpressung Seitex Neverquest Seitex Tunnelsicherheit Tropfenzählsystem Seitex Überflutungsvorsorge Praxisleitfaden Seite x Seite x Überspannungsschutz MSR-Technik Umsatzsteuerkriminalität Diesel-Mafia Seite x Umsatzsteuerkarussell Seite x Umweltkriminalität Kriminalstatistik 2012 Seite x UN-Konvention Korruption Seitex Unternehmenssicherheit Awareness Seitex Expertenbefragung Seitex Organisation Seitex Seite Sicherheitsenquete 2012/2013 x 310 Jahrbuch der Unternehmenssicherheit 2013 Sicherheitsgewerbe Seitex Standards Seite3 Seite x Seite x Typische Sicherheitslecks Unternehmensstrafrecht Gesetzentwurf NRW OWiG-Sanktionen Seitex Untreue im Geschäftsleben Enger Tatbestand Seite x Kriminalstatistik 2012 Seite x Urheberrecht Abmahnkosten Seitex USA Hacking von Banken Seite x Strafen für Spionage Seite x Vandalismus Berlin Seitex Videoüberwachung Seitex Veranstaltungssicherheit Ordnungsdienst Seite x Seite x Verschlüsselung Außerhalb des Telefons Boxcryptor Seitex Einstellung der Wirtschaft Seite x Emails Seite x Handy Seite x Hardwaregestützt Seite x Kryptosoftware Seite x Mobile Endgeräte Seite x NSA-Skandal Seite x RC4 mit Schwächen Seite x Strategie Seitex Trusted Platform Module Seite x Verschlüsselungsstandard A5/3 Seite x VoiP-Basis Seitex Versicherung Notfallplanung Versicherungsbetrug Seitex Jahrbuch der Unternehmenssicherheit 2013 System „RiskShield“ Seite x Verinice Sicherheitsstandard Seitex Videoüberwachung Adaptive Infrarottechnik Seite x Algorithmen Seitex Analoge Videoüberwachung Seite x Audio-visuelle Fernüberwachung Seite x Auflösung Seite x Autarke Analyse Seite x Bahn Seitex Seite Berliner ÖPV x Cloud Seitex Datenschutz Seitex Deinterlacing Seitex Detektion Seitex Dezentrale Systeme Seite x Digitale Videoüberwachung Seite x Einbruchschutz Seite x Einkaufszentrum Seite x Einsatzbereiche Seite x Einzelhandel Seite x Entwicklungsperspektiven Seite x Errichterhaftung Seitex Explosionsschutz Seitex Fischaugen-Kamera Seitex Freigeländesicherung Seitex HD-Auswirkungen Seitex Hessen Seitex Infrarot-Technik Seitex Intelligente Analyse Seite x IP-Überwachung: Trends Seite x Kamera Seite3 Seite Lichtempfindlichkeit x Lichtfeld-Kamera Seitex Managementsystem Seitex Marktübersicht Seitex 311 312 Jahrbuch der Unternehmenssicherheit 2013 Megapixel Seitex Multifocal Sensortechnologie Seite x Nächtliche Ausleuchtung Seite x Nummernschilderkennung Seitex Öffentliche Plätze Seite x Öffentliche Verkehrsmittel Seite x ÖPV Seitex Prognosen Seitex Prozessoptimierung Seitex Sensorsysteme Seitex Spielkasino Seitex Strommanagement Seitex Seite Systemintegration x Tankstellen Seitex Tracking Seitex Überstrahlung Seitex USA Seitex Vandalismus Seite x Verkehrswesen Seite x Zentrale Systeme Seite x Seite x Virtual Private Network (NVP) Effizientes Management Mastercard Seitex Online-Banking Seitex Visa Seitex Virtuelles Rechenzentrum Sicherung Seitex Vodafone Brandschutz Seitex Sabotage Seitex Vorratsdatenspeicherung EU-Richtlinie Seitex Wärmebildkamera Explosionsschutz Seitex Wärmedämmverbundsystem Leistungsmerkmale Wandhydranten Seitex Jahrbuch der Unternehmenssicherheit 2013 Planung Seitex Web 2.0 Absicherung Seitex Wegfahrsperre Hacking Seitex Werbebanner (Internet) Manipulation Seitex Wertbehältnisse Brandschutz Seitex EMA Seitex Seite x Seite x Seite x VdS-Richtlinie 2450 Wettbewerbskriminalität Kriminalstatistik 2012 Whistleblowing Internationale Standards Windows EMET Seite x Windows 8 Seite x Wirtschaftsauskunftei Datenschutz Seitex Wirtschaftskriminalität Kriminalstatistik 2012 Seite x Lagebild 2012 Seite x Netzwerk Standortsicherung Hamburg Seite x Unternehmenskultur Seitex Wissenschaftssicherheit Informationsschutz Seite3 Zahlungskartenkriminalität Ausland Seitex Seite Bundeslagebild 2012 x Skimming Seitex Tatverdächtige Seitex Zaunüberwachung (s. a. Perimeterschutz) Neue Technologien Seite x Zementwirtschaft Kartell Zigarettenschmuggel Seitex 313 314 Jahrbuch der Unternehmenssicherheit 2013 Ausweis- und Berechtigungsmanagement Seite x Ausweistechnologie Seitex Seite Bank-Geschäftsstellen x Besuchermanagement Seitex Cloud-Anwendung Seitex Drehkreuz Seitex Durchgangssperren Seitex Einbruchmelder integriert Seite x Handvenenerkennung Seite x Integrierte Systeme Seite x Kleinere Objekte Seite x Klinik- und Heimsicherheit Seite x Marktübersichten Seitex Seite Near Field Communication x Personenvereinzelung Seitex Seite Secure Open Supervised Device Protocol x Smartcard Seitex Software Seitex Stadion-Umfeld Seitex Trends Seitex Zutrittskonzept Seitex Zutrittsmanagement Seitex Zwangsläufigkeit Gefahrenmeldetechnik Seitex Zylinderknauf Elektronisch Seitex Jahrbuch der Unternehmenssicherheit 2013 315 Impressum Focus on Security enthält Informationen zum Unternehmensschutz und wird m onatlich herausgegeben. Der Focus on Security erscheint per elektronischem Newsletter, der an 1.800 Abonnenten verteilt wird. Hinweis der Redaktion: Sämtliche Personenbezeichnungen im Plural gelten auch ohne ausdrückliche Nennung gleichermaßen für männliche und weibliche Personen. Herausgeber: Manfred Buhl, Vorsitzender der Geschäftsführung, Düsseldorf Verantwortliche Redakteurin: Birgit Dräger, Unternehmenskommunikation Beratender Redakteur: Reinhard Rupprecht, Bonn focus.securitas.de Kontakt Securitas Holding GmbH Redaktion Focus on Security Hallesches Ufer 74–76 D-10963 Berlin Sitz: Düsseldorf, Amtsgericht Düsseldorf HRB 33348 Geschäftsführer: Manfred Buhl (Vors.), Jens Müller, René Helbig, Elke Hollenberg, Gabriele Biesing Vorsitzender des Aufsichtsrates: Dr. Carl A. Schade E-Mail: [email protected]