Von der deutschen Fachöffentlichkeit weitgehend unbeachtet, haben unsere österreichischen Nachbarn vier Normen zum Themenkomplex »Corporate Security Management« auf den Weg gebracht. Leider tragen sie weitgehend die Handschrift der Safety-Ingenieure. Ob sie tatsächlich eine praktische Wirkung entfalten, etwa vergleichbar mit den Normen zum Qualitätsmanagement, wird sicher auch von Grad ihrer Akzeptanz als Voraussetzung für eine breite Anwendung abhängen.

Von Dieter K. Sack M.A., Neustadt (Weinstr.)

Mit Datum vom 1.5.2009 veröffentlichte das Österreichische Normeninstitut vier Normen unter dem etwas sperrigen Gesamttitel »Business Continuity und Corporate Security Management*«:

• ÖNORM S 2400: Benennungen und Definitionen (8 Seiten)
• ÖNORM S 2401: Systemaufbau und Business Continuity und Corporate Security Policy (15 Seiten)
• ÖNORM S 2402: Business Continuity Management (18 Seiten)
• ÖNORM S 2403: Corporate Security Management (15 Seiten)

Damit wird - soweit dem Autor bekannt - erstmalig im deutschsprachigen Raum der Versuch unternommen, das Arbeitsgebiet »Corporate Security Management« in eine Norm zu fassen. Normen legen Anforderungen an Produkte, Dienstleistungen, Systeme und Qualifikationen fest und vor allem, sie definieren, wie die Einhaltung dieser Anforderungen überprüft werden kann. Das Österreichische Normungsinstitut weist in einem Informationsblatt zu Recht darauf hin, dass Normen zunächst einmal »nur« Empfehlungen sind, ihre Anwendung somit freiwillig ist. Gleichzeitig wird aber auch betont, dass Normen den »aktuellen Stand der Technik« dokumentieren, also das, was in einem bestimmten Fachgebiet »state-of-the art« ist.
Hierdurch erhalten Normen ihre tatsächliche Bedeutung. Immer dann, wenn es beispielsweise vor Gericht um die Frage geht, ob eine Aufbau- oder Ablauforganisation, deren Handlungen und Entscheidung oder die Vorbereitung auf Krisensituationen dem aktuellen Standard in diesem Fachgebiet entsprachen, werden letztlich auch bestehende Normen als Kriterien herangezogen. Auch die veröffentlichte Meinung in den Medien wird sich unter Umständen einer bestehenden Norm als Gradmesser für die Beurteilung des Falles bedienen.
Dadurch entsteht so etwas wie eine »normative Kraft der Normen«. Sie erlangen quasi Gesetzes-Charakter und werden zum Maßstab für die Beurteilung längst nicht nur technischer Sachverhalte, sondern auch für das Verhalten von Organisationen und Einzelpersonen, besonders in kritischen Situationen. Letztlich lassen sich so auch Organisationsverschulden und Managementhaftung belegen. Das gilt in besonderem Maße für die Security, fehlt es hier doch ganz weitgehend an rechtlichen Rahmenbedingungen. So ist es zukünftig gut vorstellbar, dass ein Gericht, das über Schadensersatzansprüche eines bei einem Auslandsaufenthalt verletzten Mitarbeiters eines Unternehmens zu urteilen hat, sich zur Bewertung der Sicherheitsorganisation des Unternehmens auch der jetzt vorliegenden Normen bedient.

Am Anfang stand ONK 246
Angefangen hat alles mit ONK 246. Die Abkürzung steht für »Österreichisches Normen Komitee« die Zahl 246 bezeichnet das Komitee, das sich seit einer Reihe von Jahren mit »Risiko-, Sicherheits- und Krisenmanagement« befasst, im staatlichen wie im privatwirtschaftlichen Bereich. Schnell merkte man aber, dass sich Staat und Wirtschaft in ihren Anforderungen und Rahmenbedingungen grundlegend unterscheiden. So kam es im Mai 2007 zur »Abspaltung« des ONK 252, das sich fortan mit dem gleichen Thema, aber aus Sicht der Wirtschaft befasste. Folgerichtig waren in dem neuen Komitee neben staatlichen Stellen (Bundeskanzleramt und Verteidigungsministerium) mehrheitlich Wirtschaftsunternehmen vertreten. Die Leitung des ONK 252 lag in den Händen von Martin Langer, Studiengangsleiter Sicherheitsmanagement an der Fachhochschule Campus Wien. Ein erster Entwurf wurde der Öffentlichkeit zu Jahresbeginn 2009 im Rahmen eines förmlichen Stellungnahmeverfahrens vorgelegt, die eingegangenen Änderungsvorschläge wurden dann in die am 1. Mai 2009 erschienene endgültige Version eingearbeitet. Das Österreichische Normeninstitut will die vier Normen jetzt zwei Jahre praktisch erproben und sie dann mit den gewonnen Erfahrungen einer ersten Revision unterziehen.


Business Continuity und Corporate Security Management werden als Teil eines integrierten Managementsystems verstanden. Quelle: Österr. Normeninstitut

















Business Continuity = Corporate Security?
Vergleicht man die Entwürfe vom Jahresbeginn mit der Endfassung aus dem Mai, so muss man feststellen, dass der schon erwähnte Prozess der öffentlichen Stellungnahme den Normen nicht in allen Fällen gut bekommen ist. Waren die Entwürfe noch mit »Corporate Security Management« überschrieben, so wurde in der Endfassung daraus der Doppeltitel »Business Continuity und Corporate Security Management«. Folgerichtig beschäftigt sich die Norm S 2402 auch ganz mit dem Thema »Business Continuity Management«. Was die Hauptüberschrift schon befürchten lässt, wird hier zur Gewissheit: Die Autoren sind offensichtlich der Auffassung, Aufgabe von Corporate Security sei der »Aufbau eines leistungsfähigen Managementsystems, um auf Störungen, Notfälle und Krisen angemessen reagieren zu können. Dabei ist sicherzustellen, dass selbst in kritischen Situationen die wichtigsten Geschäftsprozesse nicht oder nur kurzfristig unterbrochen werden und die wirtschaftliche Existenz des Unternehmens trotz des Schadensereignisses gesichert bleibt«. So allgemein definiert, wäre Corporate Security mit seinem Business Continuity Management auch für die Bewältigung der aktuellen Finanzkrise zuständig. Aber selbst wenn man unterstellt, die Verfasser hätten nur Safety-Fälle (»Störungen, Notfälle«) und Security-Krisen gemeint: Soll Corporate Security tatsächlich die Geschäftstätigkeit eines Großkonzerns während einer Pandemie sicherstellen? Oder die weltweite Reputation (einschließlich Rating an den Börsen) eines durch militante Tierversuchsgegner attackierten Konzerns? Dass Security seinen Beitrag leisten muss, das in der Krise schwankende Unternehmensschiff wieder auf Kurs zu bringen, steht außer Frage, aber dies gilt für alle Servicefunktionen im Unternehmen (Recht, Personal, Umwelt ...). Wirtschaftliche Grundentscheidungen aber werden sich die Unternehmensleitung und die verantwortlichen Geschäftseinheiten sicher nicht von einer auch noch so gut aufgestellten Corporate Security aus der Hand nehmen lassen! Corporate Security ist (hoffentlich) ein business enabler aber es ist kein business driver!

Safety oder Security?
Die gemeinsame Verwendung der drei Begriffe »Störung«, »Notfall« und »Krise« lässt schon vermuten, dass die Normen keine klare Trennung der Aufgaben von Safety und Security vornehmen. Im Gegenteil wird in den Normen 2401(Punkt 1) und 2402 (Punkt 6.2) ausdrücklich als das »Ziel von »Business Continuity und Corporate Security Management« definiert »die materiellen und immateriellen Werte einer Organisation gegen die Gefahren durch Naturgefahren, technische Gefahren und intentionale Gefahren zu schützen«. »Intentionale Gefahr« wird definiert als »Gefahr, Opfer einer kriminellen oder bösartigen Attacke zu werden« (2400, Punkt 2.24), also der »klassische« Gegenstand von Security.
So ganz wohl scheint den Verfassern der Normen aber beim Vermischen von Safety- und Security-Aufgaben auch nicht zu sein. Denn mitten in der 2402 heißt es unter Punkt 6.1 plötzlich: »Relevante Risiken aus den Bereichen Naturgefahren und technische Gefahren werden einer Business Impact Analyse unterzogen ... Relevante Risiken aus den Bereichen intentionale Gefahren werden einer Security Analyse unterzogen«. Und in der 2403 heißt es unter Punkt 5.3 schließlich, dass das »Business Continuity und Corporate Security Management« doch nur noch dafür verantwortlich ist, »die für die Organisation relevanten Risiken im Bereich der intentionalen Gefahren zu identifizieren, ... zu analysieren und zu bewerten«.
Der gesamte Normentext trägt eindeutig die Handschrift von Ingenieuren. Auch das eingangs erwähnte ON-Komitee 252 war mehrheitlich mit Safety-Verantwortlichen aus den Unternehmen besetzt. Allerdings wurden bei der Endfassung im Mai die gröbsten Ingenieurs-Auswüchse beseitigt, allen voran die unglaubliche Formel zur Berechnung eines Risikos [Risiko = (I/B + M + K) x (A + W) geteilt durch G + S]*.
Die Vermischung von Safety und Security-Aufgaben sollte in einer Norm, die sich mit »Corporate Security Management« überschreibt, nicht erfolgen. Sie ist auch sonst immer dort abzulehnen, wo ein Unternehmen eine Größe überschreitet, die eine ausdifferenzierte Security und Safety mit entsprechenden Fachleuten an der Spitze notwendig macht. Spätestens hier geht eine Vermischung von Safety und Security in aller Regel zu Lasten der Security: Safety kann faktisch die Aufgaben der Security übernehmen, umgekehrt ist das schon rechtlich nicht zulässig. Safety-Aufgaben (Anlagensicherheit, Brandschutz, Arbeitssicherheit) verlangen immer eine ingenieur-technische Ausbildung (bei der »Fachkraft für Arbeitssicherheit« ist dies sogar gesetzlich vorgeschrieben), die ein Security-Mann in der Regel nicht hat. Während sich Safety wesentlich mit Gefahren mit technisch-physikalischem Hintergrund (von der Anlagensicherheit bis zur Naturkatastrophe) befasst und mit menschlichen Verhalten nur im Sinne von (fahrlässigem) Fehlverhalten (Fehlbedienung, Nichteinhalten von Arbeitssicherheitsvorschriften), ist der Gegenstand von Security ausschließlich vorsätzlich abweichendes menschliches Verhalten (von regelwidrig bis kriminell). Das Bekämpfen eines Brandes ist ausschließlich Aufgabe der Safety, liegt Brandstiftung vor, wird sofort ein Security-Fall daraus.
Ausbildung und beruflicher Werdegang von Führungskräften der Safety und der Security sind völlig unterschiedlich und insbesondere in größeren Unternehmen kann niemand beide Aufgaben gleich professionell wahrnehmen. Diese Trennung klar aufzuzeigen, die Abgrenzung fundiert zu beschreiben und sich dann auf Corporate Security-Aufgaben zu konzentrieren, wäre für die vorliegende Norm wünschenswert gewesen.
Wegen der bisherigen kritischen Anmerkungen soll aber nicht der Eindruck entstehen, als seien die vier Normen ein Fehlgriff. Allein der Versuch, ein bisher so gut wie nicht durch Gesetze, Verordnungen oder eben Normen geregeltes Arbeitsgebiet wie Security in Normen zu fassen, ist begrüßenswert. Damit soll nicht gesagt sein, dass eine Regelungsdichte wie in benachbarten Arbeitsgebieten (Safety, Umweltschutz, Arbeitsmedizin oder IT-Sicherheit) auch für Security erstrebenswert ist. Aber jedes Arbeits- und Berufsfeld bedarf eines Minimums an Konventionen, gemeinsamen Grundannahmen, die sich - hoffentlich in naher Zukunft - einmal zu einer Wissenschaft von der Security entwickeln. Damit würde die Security gleichziehen mit alle den anderen Arbeitsgebieten, mit denen sie jeden Tag zu tun hat: den Juristen, den Betriebswirtschaftlern, den Ärzten, den Ingenieuren.

Begriffsklarheit
Grundvoraussetzung für ein so strukturiertes Arbeitsfeld ist zunächst einmal eine gemeinsame Terminologie. Multiple Sklerose ist für den Arzt ein klar definiertes Krankheitsbild und jeder Betriebswirt kann den Unterschied von Preis und Kosten definieren. Aber »Krise«? Deshalb ist es besonders zu begrüßen, dass die erste Norm der Reihe, die S 2400 auf acht Seiten ausschließlich den Versuch unternimmt, die Terminologie der Corporate Security (aber einschließlich Safety) zu definieren. Leider sind gerade die Stellen, wo es spannend wird (Definition von Safety, Security und Security Management) in der Endversion gestrichen worden. Auch bleibt unverständlich, warum in Fällen, in denen es (ausnahmsweise) eine klare Definition gibt (zum Beispiel: Risiko = Eintrittswahrscheinlichkeit x Schadenshöhe) etwas Neues entwickelt wurde (»Risiko = Auswirkung von Unsicherheit auf Ziele der Organisation« Punkt 2.36).

Corporate Security: Risikomanagement und Policy
Als durchgängig gelungen kann die Beschreibung des Risikomanagements in den drei anderen Normen (2401 - 2403) bezeichnet werden. Zwar werden - wie oben schon dargestellt - technische und intentionale Gefahren zusammengemischt, aber Corporate Security wird richtigerweise als Teil des Gesamt-Risikomanagements des Unternehmens dargestellt (2401, Punkt 5.3) und die Notwendigkeit der »engen Kooperation« zwischen allen beteiligten Unternehmenseinheiten hervorgehoben - ein Ansatz, der noch nicht einmal in allen Großunternehmen realisiert ist.
Ebenso erfreulich ist das Kapitel zur Corporate Security Policy (2401, Punkt 7). Dass die »Verantwortung für die Corporate Security Policy und deren Umsetzung« der »obersten Leitung« übertragen wird, mag für mittelständische Unternehmen noch angehen; in Großunternehmen ist dies eine Aufgabe des Leiters Corporate Security, der in der Regel ja auch dem Kreis der »oberen Führungskräfte« angehört.

Fazit
Mit den vier Normen ist zwar nicht der große Wurf zur Strukturierung des Corporate Security Managements gelungen, aber ein erster interessanter Ansatz, das spröde Thema in den Griff zu bekommen. Schade, dass es nicht zu einer Konzentration auf Security-Themen ohne die Vermischung mit Safety-Elementen gekommen ist.
Die vier Normen sind auf jeden Fall lesenswert für alle Security-Manager, die sich einmal einen Spiegel ihres eigenen Arbeitsgebietes vorhalten wollen und Pflichtlektüre für alle, die in irgendeiner Form mit Aus- und Weiterbildung in der Security zu tun haben. Interessanterweise wird in Österreich bereits im Herbst ein Lehrgang »Experte für Unternehmenssicherheit« angeboten, der sich ausdrücklich »zertifiziert gemäß ÖNORM S 2400« nennt!


* Die Normen können beim Österreichischen Normeninstitut unter www.as-plus.at bestellt werden.

** A= Attraktivität, B = Bereitschaft, G = Gegenmaßnahmen, I = Intention, K=Kapazität, M = Möglichkeit, R = Risiko, S = Schwierigkeit der Attacke, W=Wert

------------------------------------------------------

Über unseren Autor:
Dieter K. Sack M.A. ist seit Anfang 2009 freiberuflicher Consultant im Bereich Security Management und Dozent für dieses Thema an der Steinbeis Business Academy und der HWR Berlin. Zuvor war er 20 Jahre Leiter Corporate Security der BASF Gruppe. Kontakt: sasema@kabelmail.de