Das Jahr 2024 ging zu Ende, ohne dass es die erwarteten maßgeblichen gesetzgeberischen Entscheidungen zum Sicherheitsmanagement im Unternehmen gegeben hätte – obwohl entsprechende Entwürfe und Ideen zur Umsetzung von NIS 2- und CER-Richtlinie, für ein Gesetz für das Sicherheitsgewerbe, für einen Nachfolger des Entwurfs eines Verbandssanktionsgesetzes oder für eine Wirtschaftsschutzstrategie zum Teil seit Jahren diskutiert werden.
Aktuelle Diskussion um Sicherheit in Unternehmen
Dabei gibt es gute Gründe, den Umgang mit dem Thema Sicherheit in der deutschen Wirtschaft zu überdenken. Eine digitalisierte, in sich und international stark vernetzte Wirtschaft weist per se neue Vulnerabilitäten gegenüber Kriminalität und Beeinflussung auf, die es zu adressieren gilt.1 Eine aus sicherheitspolitischen Erwägungen heraus formulierte Zeitenwende betrifft zudem die gesamte Gesellschaft und damit auch die Unternehmen. Zahlreiche Verdachtsfälle von Sabotage im Rahmen hybrider Bedrohungen zeigen das hohe Bedrohungspotential.2 Weder ist vor diesem Hintergrund ein „Weiter-so“ ausreichend noch können die skizzierten Herausforderungen ausschließlich durch Sicherheitsbehörden bewältigt werden.
Im Fokus der öffentlichen Diskussion stehen dabei häufig die sogenannten Kritischen Infrastrukturen. Per Definition handelt es sich dabei um Organisationen, deren Bedeutung für Staat und Gesellschaft so umfassend ist, dass ihr Ausfall nicht oder nur schwer kompensiert werden könne. Problematisch an dieser Eingrenzung ist, dass Unternehmen, die sich aufgrund ihrer Branchenzugehörigkeit, insbesondere aber aufgrund der Schwellenwertsystematik nicht als KRITIS verstehen, aus der Sicherheitsdiskussion herausfallen. Dies ist aus verschiedenen Gründen heikel. Zum einen bildet die – bisherige – Schwellenwertsystematik allenfalls ein grobes Raster zur Einordnung der tatsächlichen regionalen und überregionalen Bedeutung einer Organisation. Zum anderen darf nicht übersehen werden, dass die Schwellenwertsystematik eben nicht bedeutet, dass ein Ausfall einer formal nicht als KRITIS eingestuften Organisation vollkommen problemlos wäre. Vielmehr wird davon ausgegangen, dass hier – möglicherweise mit großem Aufwand – eine Kompensation möglich wäre, die aber gleichwohl eine erhebliche Belastung für Lieferketten, Kunden usw. bedeuten könnte. Und schließlich stellt sich die Frage, ob die auf einzelne Eckpfeiler der Wirtschaft und des Staates abzielende KRITIS-Logik tatsächlich auch das ganzheitliche Funktionieren „kritischer Prozesse“ in der Gesellschaft sicherstellen kann. Es spricht daher einiges dafür, im KRITIS-Dachgesetz, aber auch in anderen, vorrangig an größere Unternehmen gerichteten Regulierungsentwürfen, lediglich einen ersten Schritt zu sehen, der durch einen Bewusstseinswandeln in der gesamten Wirtschaft ergänzt werden muss.3
Dabei würde sich dann allerdings sofort die Frage nach der Umsetzbarkeit stellen. Gerade Unternehmen müssen heute in Deutschland bereits eine Vielzahl von Auflagen erfüllen. Die Notwendigkeit weiterer Regulierungen sollte daher genau abgewogen werden. Insbesondere sollten neue Auflagen für Unternehmen auch das mit ihnen verbundene Ziel erreichen.
Erfahrungen aus der Umsetzung des Arbeitsschutzes
Die bisherige Erfolgsquote bei der Umsetzung sicherheitsspezifischer Auflagen ist auf den ersten Blick allerdings nur als durchwachsen zu bezeichnen. Beispielhaft kann hier das Arbeitsschutzgesetz herangezogen werden, welches klare Verantwortlichkeiten in Unternehmen formuliert und unternehmensspezifische Maßnahmen auf Grundlage einer Risikobewertung als Teil eines Prozesses zur Gefährdungsbeurteilung einfordert. Befragungen von Unternehmensvertretern zeichnen hier ein Bild, wonach nur etwa 50% aller Unternehmen die Vorgaben zur Gefährdungsbeurteilung auch tatsächlich umsetzen. Als Gründe dafür werden eine fehlende Notwendigkeit oder fehlende fachliche oder methodische Kenntnisse angegeben.4 Welche Schlussfolgerungen lassen sich daraus für das Thema Unternehmenssicherheit und Wirtschaftsschutz an sich ableiten?
Zunächst einmal ist die 50%-Quote genauer zu betrachten. Eine Gefährdungsbeurteilung verfolgt zwei Ziele: das inhaltliche Ziel der systematischen Ableitung von Maßnahmen zum Schutz der Belegschaft und das formale Ziel der Einhalt der gesetzlichen Vorgaben zur Enthaftung der verantwortlichen Führungskräfte. Daraus ließe sich die These ableiten, dass es um die inhaltliche Umsetzung der Arbeitsschutzregeln besser stehen könnte und es bei vielen Unternehmen eher an der formalen Ausgestaltung fehlt. Gespräche des Autors mit Führungskräften zeigen außerdem, dass ein Grundverständnis des Arbeitsschutzes durch die Vermittlung entsprechender Sachverhalte in der Ausbildung häufig schon implizit mitgedacht wird und in die konkreten Verhaltensweisen am Arbeitsplatz – auch aus Eigeninteresse der Arbeitnehmer – einfließt. Was dagegen oft fehlt, ist die Eindeutigkeit der Verantwortung für die übergreifende konzeptionelle Tätigkeit, wodurch eine formgerechte Dokumentation erschwert wird. Anders formuliert: die (unbewusste) materielle Umsetzung des Arbeitsschutzes ist möglicherweise besser als die formale Umsetzung.
Interessanterweise ist es bei Gefährdungsbeurteilungen außerdem häufig der eigene Entscheidungsspielraum, der in Unternehmen zu Schwierigkeiten führt. Die Annahme, es müsse konkrete verbindliche staatliche Vorgaben zur Umsetzung von Sicherheitsanforderungen geben steht dabei im Widerspruch im Konzept des Risikomanagements, wonach unternehmensspezifische Risiken anhand der individuell vorhandenen Einflussfaktoren und Rahmenbedingungen bewertet werden sollen. Entscheidend ist dabei eben nicht, dass ein Risiko zum Beispiel im Hinblick auf Eintrittswahrscheinlichkeit und Schadensausmaß „korrekt berechnet“ wird. Dies ist letztlich nicht möglich und es kommt vielmehr darauf an, sich überhaupt mit den möglichen Schadensverläufen zu beschäftigen, diese zu priorisieren und sinnvolle Maßnahmen abzuleiten. Zudem ist es auch eine Anforderung des Arbeitsschutzes das Scheitern der Maßnahmen mitzudenken und Vorkehrungen zur Erste Hilfe, Evakuierung etc. zu treffen.
Unternehmen, bei denen es wenig Arbeitsunfälle gibt, obwohl die mit dem Business Case verbundenen Tätigkeiten mit Gefahren verbunden sind, werden als High Reliability Organisations bezeichnet. Bei ihnen entsteht Sicherheit vor allem durch eine Unternehmenskultur, die darauf ausgerichtet ist, Schwächen in bisherigen Abläufen zu erkennen und zu beheben.5 Dabei wird der Erkenntnis Rechnung getragen, dass mit der stetigen Verbesserung der technischen Rahmenbedingungen die Bedeutung der Vermeidung menschlicher Fehler für die Unfallvermeidung zunimmt.6
Betrachtet man die Gesamtheit der Unternehmen lässt sich ein weiterer Trend im Arbeitsschutz beobachten: die hohe Anzahl an Stellenangeboten. Diese rührt nicht zuletzt aus einer zunehmenden Bedeutung von Managementsystemen, die in der klassischen Arbeitsschutzwelt nicht gefordert waren.7 Diese stellen zwar zunächst einen Mehraufwand dar, ermöglichen aber durch die Einbindung in ein übergreifendes Managementsystem im Unternehmen die Hebung von Synergieeffekten und die Beendigung der Unsicherheit im Umgang mit der eigenverantwortlichen Feststellung von Risiken.
Schlussfolgerungen für die Security-Aufgaben
Für Unternehmenssicherheit und Wirtschaftsschutz lassen sich daraus folgende Aspekte ableiten:
- Die Formulierung von Anforderungen im Sicherheitsmanagement für alle Unternehmen unabhängig von ihrer Größe und Branche ist grundsätzlich möglich, wobei ein unterstützendes Netzwerk (vgl. Berufsgenossenschaften) hilfreich ist.
- Eine erfolgreiche Umsetzung könnte damit beginnen, dass entsprechende Themen in einschlägigen Fach- und Managementausbildungen stärker berücksichtigt und damit Allgemeingut in Unternehmen werden. Aufgrund methodischer Gemeinsamkeiten ist eine Verknüpfung mit Arbeitsschutzaus- und -weiterbildungen denkbar.
- Klare Verantwortlichkeiten unterstützen die Umsetzung und Weiterentwicklung von Maßnahmen. Etablierte Managementsysteme können bei der Umsetzung unterstützen.
- Ziel ist nicht die Schaffung eines zu einem bestimmten Zeitpunkt perfekten Systems, sondern die Sicherstellung eines stetigen Weiterentwicklungsprozesses.
- Grundlage des Umgangs mit Risiken ist das Antizipieren von Fehlern durch eine ausgeprägte Fehlerkultur, die ein frühzeitiges Erkennen fördert, und durch eine organisationelle Krisenresilienz, die die Bewältigung von Schadensereignissen ermöglicht.
Es braucht keine umfassenden gesetzlichen Grundlagen für Unternehmen, damit diese ihrer Verantwortung gegenüber ihren Mitarbeitern, Kunden, sonstigen Stakeholdern und ihrem Ökosystem gerecht werden können. Warum nicht also auch ohne Regulierungen anfangen und das eigene Unternehmen und damit die Wirtschaft und Gesellschaft insgesamt ein bisschen sicherer machen?
Quellenangaben
Titelbild von TensorSpark – stock.adobe.com (redaktionelle Nutzung/generiert mit KI)
Literatur
1 Vgl.BMI (2024): Gemeinsam den Wirtschaftsstandort Deutschland schützen, https://www.bmi.bund.de/DE/themen/sicherheit/spionageabwehr-wirtschafts-und-geheimschutz/wirtschaftsschutz/wirtschaftsschutz-node.html.
2 Vgl. tagesschau.de (2024): „Erleben unheimlich viele Nadelstiche“- Russische Sabotage in Europa, Interview mit Sönke Marahrens, 19.10.2014, https://www.tagesschau.de/ausland/europa/russland-sabotage-102.html.
3 Vgl. Röhl, André (2024): KRITIS-Dachgesetz – ein Beitrag zu gesellschaftlicher Resilienz?, in: Eisenmenger (Hg.): FORSI-Jahresband 2023, Boorberg, S.81f.; Röhl, André: Sieben Thesen zu kommunaler Resilienz, in: Behördenspiegel Newsletter Netzwerk Sicherheit 1052, August 2023, S.7.
4 Vgl. Sommer, Sabine; Kerschek, Raban; Lenhardt, Uwe (2018): Gefährdungsbeurteilung in der betrieblichen Praxis – Ergebnisse der GDA-Betriebsbefragungen 2011 und 2015. in: Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (Hg.): BAuA Fokus, https://www.baua.de/DE/Angebote/Publikationen/Fokus/Gefaehrdungsbeurteilung-Praxis.html., S.4ff.
5 gl. Reason, James (2000): Human error: models and management, in: British Medical Journal, 320, S.768ff.
6 Vgl. Bördlein, Christoph (2022): Verhaltensorientierte Arbeitssicherheit – Behavior Based safety (BBS), ESV, S.19.
7 Vgl. Röhl, André (2022): Stellenforecast Sicherheitsmanagement 2021 – Standortbestimmung und Ausblick zwischen Pandemie und Digitalisierung, in: BDSW (Hg.): Facetten der deutschen Sicherheitswirtschaft: Festschrift für Dr. Harald Olschok, Cuvillier Verlag, S.248ff.