IP-Mittelstand

Informationen rund um die Uhr

Lesen Sie auf den folgenden Seiten Wichtiges aus der Praxis für die Praxis.

Direktkontakt? Sehr gerne! 02 34/47 69 235 oder kontakt(at)ip-mittelstand.de.

Rundum geschützt - Sicherheitsmanagement als kontinuierlicher Prozess

Frankfurt am Main, 22. September 2016

Für Unternehmen und Logistikdienstleister, die mit wertvollen Gütern arbeiten, ist Sicherheit unverzichtbar. Doch je mehr Beteiligte mit den Waren arbeiten und je länger die Wertschöpfungskette ist, desto schwieriger wird es, ein Maximum an Sicherheit zu erreichen und dieses auch nachzuweisen. Ein systematisches Sicherheitsmanagement gemäß den Standards ISO 28001, ISO/IEC 27001 und TAPA bietet hier eine ideale Unterstützung.

Besonders für Logistikdienstleister als Partner der produzierenden Industrie kommt es darauf an, zweifelsfrei zuverlässige Prozesse nachweisen zu können. Schließlich hängt doch ihre Auftragslage maßgeblich davon ab, dass sie sichere, störungsfreie und durchgängige Lieferketten für ihre Kunden organisieren. Entscheidender Faktor dabei ist die Glaubwürdigkeit. Nur wer belegen kann, dass er seine Leistungen konstant in dieser Qualität erbringt, bewahrt den erfolgskritischen Ruf. In dem vertrauenssensitiven Logistik-Markt können sich Dienstleister über ein systematisches Sicherheitsmanagement den entscheidenden Vorsprung erarbeiten. Denn wer nicht mit verlorenen Smartphones, gegen Plagiate ausgetauschten Arzneimitteln oder gänzlich verschwundenen Lkw Schlagzeilen machen will, ergreift frühzeitig geeignete Abwehrmaßnahmen. „Abgestimmt auf die spezifischen Produkte eines Kunden lässt sich die Sicherheit der Lieferkette durch eine Vielzahl systematischer Maßnahmen verbessern“, erklärt Dr. Ulrich Franke, Leiter des Institute for Supply Chain Security (ISCS). Dabei können sämtliche erforderlichen Schritte in ein systematisches Gesamtkonzept integriert werden, das drei wesentliche Schutzstandards in sich vereint: die Normen ISO/IEC 27001 (Informationssicherheits-Managementsysteme) und ISO 28001 (Sicherheit der Lieferkette) sowie die Anforderungen der TAPA (Transported Asset Protection Association). „Wir raten zu einer Kombination dieser Regelwerke, weil moderne Sicherheitsrisiken komplex geworden sind und nur mit Maßnahmenbündeln angemessen bearbeitet werden können“, betont der Sicherheitsexperte.
 
Risikoanalyse als Ausgangspunkt
Um die Sicherheitslage der eigenen Arbeit zu verbessern, ist eine Risikoanalyse erforderlich. Dabei werden sowohl physische als auch informationstechnische Prozesse auf den Prüfstand gestellt – innerhalb der eigenen Organisation und bei externen Partnern. „Im Sicherheitskontext ist eine ganzheitliche Betrachtung unbedingt erforderlich“, rät Wolfgang Engel, Leiter des Competence Center Logistics (CCL) der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS GmbH). Das belegen auch Beispiele von Überfällen auf Lkw, die nur möglich wurden, weil Hacker in die Bordelektronik der Fahrzeuge eingedrungen waren. Dort konnten sie die Scheibenwischer stilllegen, aber die Waschdüsen gleichzeitig aktivieren – sodass der Fahrer wegen schlechter Sicht anhalten musste. „Ein umfassendes Informationssicherheits-Managementsystem ist heute auch für Logistikunternehmen unverzichtbar geworden“, fügt der erfahrene Auditor hinzu. „Oft geht Datenklau den Diebstählen voraus, weil unverschlüsselt übertragene Auftragsdaten kriminellen Banden als leicht verfügbare Informationsquellen dienen.“ Neben den IT-Systemen gehört die physische Sicherheit von Lagerstandorten samt Zutrittskontrolle, die Prüfung von Frachtführern, die sorgfältige Auswahl von Transportrouten und Umschlagpunkten sowie eine sorgfältige Schwachstellenbetrachtung zu den wichtigsten Analysepunkten. Entlang dieser Faktoren gilt es, die Einhaltung von Kundenanforderungen, eigenen Bestimmungen und gesetzlichen Vorschriften zu überprüfen.

Sicherheitsstruktur bilden
Anhand der Ergebnisse entwickeln Berater wie das ISCS eine Sicherheitsstruktur, die Gefährdungspotenziale in die folgenden vier Stufen einordnet:

  1. Risiken, die sich vollständig vermeiden lassen
  2. Risiken, die minimiert werden können
  3. Risiken, die auf Dritte übertragen werden können
  4. Restrisiken, die bewertet und nachgewiesen werden müssen

Im nächsten Schritt erfolgt für die Risiken der Stufen zwei bis vier eine Folgebetrachtung mit Blick auf die Haftung des Unternehmens, seiner Eigentümer, Vorstände oder Geschäftsführer. Dabei wird auch ihre jeweilige Verantwortung abgegrenzt. Für Risiken, die auf Dritte übertragen werden können, liegt das zentrale Ziel eines Sicherheitsmanagements bei der Senkung der für sie anfallenden Versicherungsprämien.
Für alle Risiken, die nicht vollständig vermieden werden können, sind systematische Lösungen zu finden. Je nach Güterart differenziert, werden sie priorisiert und implementiert. So können beispielsweise Lkw mit besonders wertvoller Fracht ausschließlich auf bewachten Parkplätzen abgestellt werden. Aber nicht alle Risiken, die auf kriminellem Vorsatz anderer beruhen, lassen sich umstandslos minimieren. Ungleich größer ist die Gefahr für Dienstleister von Pharmaunternehmen, dass ihre hochwertigen Arzneimittel bereits während der Lagerung durch gleich aussehende, wirkungslose Plagiate ersetzt werden. In der Folge entstehen für die Hersteller ungeahnte Produkthaftungsrisiken. Mit der entsprechenden kriminellen Energie finden Verbrecherorganisationen bei unzureichend gesicherten Fahrzeugen auch Optionen, diese für terroristische Zwecke einzusetzen, beispielsweise wenn sie bei Gefahrguttransporten die Bremsen manipulieren. Und im Bereich der IT-Risiken nimmt Wirtschaftsspionage eine immer größere Bedeutung ein. Sei es, weil Unternehmen die Kunden- und Absatzdaten ihrer Konkurrenten ausspähen. Oder weil im Zusammenhang mit Auftragsfertigung auch patentgeschützte Designmuster von den Logistikdienstleistern verwahrt werden.
 
Notfallpläne vorbereiten
Grundsätzlich sind Unterbrechungen entlang der Lager- und Transportkette unbedingt zu verhindern. Für Dienstleister, die in kritischen und hochpreisigen Segmenten aktiv sind, kann das bedeuten, dass ihre Notfallpläne bis zum Einsatz von Hubschraubern reichen, um die Versorgung sicherzustellen. Zu den Situationen, für die sie gewappnet sein müssen, gehören darüber hinaus auch natürliche Risiken wie Unwetter und Stau oder Streik und Vandalismus. Kein Dienstleister kann diese Konstellationen verhindern. Treten sie ein, muss er jedoch durch alternative Prozesse seine Versorgerfunktion weiter aufrechterhalten. „Was die physische Sicherheit der Güter betrifft, enthält der TAPA-Standard einen umfassenden Maßnahmenkatalog, anhand dessen Unternehmen gute Schutzkonzepte entwickeln können“, berichtet Wolfgang Engel. „Für das gesamte Sicherheits- und Informationssicherheits-Management kommt es gemäß der Normen ISO 28001 und ISO/IEC 27001 besonders darauf an, die Steuerungsprozesse nach ihrer Implementierung regelmäßig zu überprüfen und bei Bedarf durch einen besseren Schutz zu ergänzen“, resümiert der Leiter des CCL.