Objektbezogene Datensicherheit

Ausfälle in der Informations- und Kommunikationstechnik können in verschiedenen Unternehmensbranchen schwerwiegende oder sogar existenzbedrohende Schäden verursachen. Dies gilt insbesondere für die Sicherheit, wenn es um Störungen in ineinandergreifenden Lieferketten und Geschäftsprozessen geht. Es ist daher auch Aufgabe des Wach- und Servicepersonals, im Zusammenhang mit solchen Störungen tätig zu werden, sie rechtzeitig zu erkennen oder zu ihrer Vermeidung beizutragen. Neben technischen Ursachen wie Hardware- oder Softwarefehlern und Unterbrechungen der Stromversorgung geht es im Sicherheitsgewerbe vor allem um die Erkennung und Vermeidung von Sabotageakten. In Zusammenarbeit mit dem IT-Bereich werden auch Hackerangriffe und andere kriminelle Einwirkungen beachtet.

Aufgrund der Vielzahl möglicher Störungsursachen ist es erforderlich, diese Störungen konkret zu unterscheiden und diejenigen zu identifizieren, bei denen der Bereich Sicherheit vorrangig oder nachrangig mitwirkt. Es handelt sich also um eine Liste, die festhält, welche Störungen zu welchem Zeitpunkt und an wen gemeldet werden müssen.

Das Facility Management ist gemäß DIN EN 15221 ebenfalls für diese Angelegenheit zuständig und sollte daher gut informiert sein, wie die Handhabung von IT-Störungsmeldungen im Unternehmen geregelt ist. Seitens des Staates besteht grundsätzlich der Wunsch, dass auch Betroffene von IT-Störungen, die nicht zur Meldung verpflichtet sind, ihre Meldungen im Interesse der Allgemeinheit mithilfe des Meldeformulars des BSI machen. Solche freiwilligen Meldungen können anonym durchgeführt werden.

Datenschutzbeauftragte, Regelwerksverfolgung, Dokumentationsrichtlinien, Meldeordnungen und andere betriebliche Einrichtungen und Organisationsformen im Zusammenhang mit Störungen und ihrer Dokumentation sollten ganzheitlich für das Unternehmen wirken.

Bei Betrachtung der Verträge, die mit Sicherheitsunternehmen abgeschlossen werden, vermisst man häufig eine Einbindung in die oben genannten Unternehmensorganisationen an den entsprechenden Schnittstellen. Es ist also nicht ausreichend, einen separaten und völlig losgelösten Sicherheitsvertrag nebenher laufen zu haben. Die folgende Checkliste könnte helfen, eine solche Situation zu verbessern.

In vielen Unternehmen ist sichergestellt, dass technische Störungen im Rahmen der normalen Betriebsführung zuverlässig erkannt werden. Dies erfolgt oft durch eine Gebäudeleittechnik (GLT) in Verbindung mit regelmäßigen Rundgängen und Kontrollen des Bedienungspersonals sowie durch Meldungen aus der Belegschaft. Idealerweise werden solche Meldungen auf dem Helpdesk zentral zusammengeführt.

Auf dem Helpdesk werden auch Meldungen sichtbar, die möglicherweise auf Angriffe Dritter mit kriminellem Hintergrund hindeuten. Daher müssen die erforderlichen Anforderungen an das Helpdesk selbst (Software) vorhanden sein und das Helpdesk-Personal sollte in der Lage sein, sicherheitsrelevante Meldungen angemessen zu bearbeiten. Dies hat mitunter sogar Vorrang, da die Auswirkungen von Störungen in IT-Systemen oft erheblich sind.

In Bezug auf die Überschrift dieses Abschnitts ist festzustellen, dass deutsche Unternehmen nicht gesetzlich dazu verpflichtet sind, IT-Störungen zu melden. Lediglich KRITIS-Betreiber müssen gemäß dem IT-Sicherheitsgesetz außergewöhnliche Störungen und Ausfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Als Grundlage dient das elektronische Wachbuch. Im Berichtswesen sind aufzuführen, welche geschäftlichen Berichte vom AG erwartet werden:

• z.B. monatlicher Erfolgsbericht mit Erläuterungen

• evtl., warum es Maluspunkte gibt (Voraussetzung: Im Vertrag die Vergabe von Maluspunkten bei Fehlleistungen vereinbaren)

• Verbesserungsvorschläge

• Zusatzaufgaben.

Das Wachbuch wird vom AN gestellt und vom Werkschutz in Form einer DV-gestützten Datenbank geführt. Es soll

• über die Personalbesetzung der Schicht,

• die durchgeführten Maßnahmen,

• Vorkommnisse

• und sonstige Dienstleistungen

Das Wachbuch muss präzise Auskunft geben und die aufgeführten Zeiten (Echtzeiten) und Daten müssen genau sein. Vorkommnisse müssen vollständig, korrekt und sachlich richtig geschildert werden, ohne persönliche Bewertung oder Stellungnahme. Das Wachbuch ist so einzurichten, dass berechtigte Vertreter des AG jederzeit Zugriff haben.

Es ist wichtig zu beachten, dass das Wachbuch als ein Dokument gilt, das beispielsweise im Rahmen polizeilicher Ermittlungen den Rang eines Beweismittels hat.

Die Grundlage für eine Vereinbarung des Meldesystems sind die Eskalationskette und Interventionsmaßnahmen des AG. Nach Vertragsabschluss erhält der AN unter anderem die Notfallkarten und Telefonlisten. Das Personal muss über die Standorte und Funktion der Feuermelder informiert sein.

Beispiel: Dokumentation der Übergabe des Wachdienstes

Dieses Beispiel zeigt, wie etwa die Dokumentation bei Übergabe des Wachdienstes aussehen könnte.

• Montag - Freitag: Um 07:00 Uhr erfolgt eine Übergabe zwischen dem Leiter der Nachtschicht, dem Leiter der Tagesschicht und dem Ansprechpartner des AG.
  

• An Samstagen, Sonntagen und gesetzlichen Feiertagen erfolgt die Übergabe nur zwischen den 2 Leitern des AN.

• Die Übergabe ist immer in einem Übergabeprotokoll zu dokumentieren. Das Übergabeprotokoll ist von allen Teilnehmern zu unterschreiben, das Original erhält der Auftraggeber. Eine Kopie erhält der Objektleiter.
  - Die Übergabe von der Tag- an die Nachtschicht erfolgt täglich von 19:00 – 19:30 Uhr zwischen den beiden Leitern. Auch diese Übergabe wird in einem Übergabeprotokoll dokumentiert.
  - Das Protokoll wird unterschrieben.

• Der Ansprechpartner des AG erhält von den internen Übergaben beim AN bei der nächsten Übergabe, an der er teilnimmt, das Übergabeprotokoll.

• Die folgenden Informationen sollen im Rahmen der Übergabe besprochen werden. Eine entsprechende Dokumentation erfolgt im Rahmen des Übergabeprotokolls wie folgt:
  - Namen, Dienstnummern und Dienstzeiten aller Sicherheitskräfte der jeweiligen Schicht.
  - Überblick über die allgemeine Situation im Wachbereich und allgemeiner Informationsaustausch.
  - Alle besonderen Vorkommnisse der jeweiligen Schicht.
  - Schäden und Mängel, die festgestellt und protokolliert wurden.
  - Verstöße gegen die Haus- und Benutzungsordnung.
  - Konflikte, die im Wachbereich stattgefunden haben.
  
  Rückmeldung über die Zutrittskontrolle:
  - Personen/Bewohner ohne Hausausweis
  - Fremdfirmen
  - Wachpersonal.
  
  Rückmeldung der Aufsichten:
  - Situation Speisesaal/Essenausgabe,
  - Kleiderkammer
  - Labor etc.
  
  Rückmeldung der Doppelstreife:
  - Beschreibung/Benennung des Streifenweges und der Zeit des Streifenganges
  - Situation auf den Streifenwegen, falls von Normal abweichend.
  
  Rückmeldung vom Dienstraum des AG (gemietet):
  - Ausgabe von Schutzmitteln und Ausrüstungsteilen
  - Ausgabe von Hygieneartikeln
  - Konfiszierte Gegenstände gegen Quittung (z.B. illegale Kochplatten, Alkohol, Waffen u. ä.)

• Weiteres
  - Fragen/Kommunikation zwischen AG und AN und umgekehrt
  - Vorschläge zur Verbesserung, Anregungen
  - Informationsweitergabe über Entwicklungen im Wachbereich.

• Behandlung von Fundsachen
  - Fundsachen sind in der Zentrale abzugeben. D.h., der Empfangsdienst empfängt und verwahrt die Fundsachen zunächst und übergibt sie dem AG.

• Gefahrenmeldeanlagen und Handlungen in Notfällen
  - Die Handlungen des wach- und Dienstpersonal richten sich nach den Vorgaben des Krisenmanagements bzw. der Notfallkarte.

Soweit ein praktisches Beispiel, welches je nach Auftragslage entsprechend angepasst aussehen würde.

Der Austritt von Chemikalien kann nur in entsprechenden Unternehmen auftreten. Im betreffenden Fall werden unverzüglich die vorgegebenen Handlungen gemäß der "Notfallkarte Brand" bzw. "Notfallkarte Chemikalienaustritt" durchgeführt. Um sicherzustellen, dass das Zusammenwirken mit anderen Bereichen oder Organen reibungslos funktioniert, sollten regelmäßig entsprechende Übungen durchgeführt werden. Die Federführung für solche Übungen sollte zwischen Auftragnehmer und Auftraggeber abgestimmt werden. Am besten werden diese Festlegungen bereits im Bewachungsvertrag getroffen. Das Zusammenspiel muss auch aus den Notfallkarten eindeutig hervorgehen.

Beim Entdecken eines Einbruchs oder anderer Gewalttaten muss umgehend die Polizei verständigt werden. Innerbetrieblich ist entsprechend der Alarmketten für Not- und Ausnahmesituationen zu handeln, gemäß der Meldekette in Notfällen. Die Meldungen sind wie in der jeweiligen Notfallkarte vorgegeben, durchzuführen.

In diesem Zusammenhang muss beantwortet werden, wie das Personal geschult wird. Welche Arten des praktischen Trainings werden durchgeführt? Von wem und wann? Welche Ziele haben die Übungen, zum Beispiel Evakuierungsübungen unter Einbindung des Sicherheitspersonals?

Bezüglich des Brandschutzes bzw. bei einem Brand gelten üblicherweise folgende Grundregeln: Bei Auslösung der Brandmeldeanlage verbleibt der Mitarbeiter weiterhin in der Zentrale zum Telefondienst und verlässt diese lediglich zum Selbstschutz. Was Selbstschutz bedeutet, sollte in das Training einbezogen werden, damit hier keine Gefährdungen durch "Heldentaten", aber auch kein ungerechtfertigtes vorzeitiges Verlassen des Postens erfolgt. Auf jeden Fall muss die jeweilige Einsatzleitung (Stabsstelle) präzise wissen, wer sich auf solchen Posten befindet. Die funktionierende Kommunikation in solchen Fällen muss auf jeden Fall insbesondere bei der Instandhaltung der Ausrüstung und Anlagen und deren laufenden Überprüfung eine erstrangige Rolle spielen.

Die Brandschutz-Ordnung des Auftraggeber-Unternehmens wird dem AN zur Verfügung gestellt. Er hat seine Mitarbeiter hierzu entsprechend regelmäßig und nachweislich zu unterweisen.

Das Gleiche trifft für die Umweltschutz-Ordnung des AG zu.

Die folgenden Ausführungen sind „allgemein-typisch“. Sie sollen vom AN bedarfsweise ergänzt bzw. an das Objekt angepasst werden, weil unterstellt wird, dass der AN hierfür besondere Regelungen bereithält und seine Mitarbeiter entsprechend trainiert sind.

Verhalten bei Straftaten und betrieblichen Ordnungsverstößen sowie Schadensfällen mit Personen- und Sachschäden sind neben der Meldung folgende Maßnahmen durchzuführen:

• Falls erforderlich, Erste Hilfe

• nichts berühren und verändern

• Absperren des Tatortes/Tatortsicherung

• Keine Gegenstände entfernen oder hinzufügen

• Keine unbemerkten eigenen Spuren legen

• Zeugen anweisen, den Tatort bis zum Eintreffen der Polizei nicht zu verlassen.

Von verdächtigen Personen ist eine zuverlässige Personenbeschreibung notwendig. Verwenden Sie für die Personenbeschreibung das Formblatt „Verdächtige Personen-Merkmale zur Personenbeschreibung“. Bei verdächtigen Fahrzeugen sind mindestens folgende Merkmale zu notieren:

• Fahrzeugmarke

• Fahrzeugtyp

• Fahrzeugfarbe

• Kennzeichen

• Anzahl der Insassen.

Drohanrufe sind mit dem Formblatt „Verhalten bei Bombendrohung“ zu erfassen. Insbesondere ist zu beachten:

• Aufmerksam zuhören

• Den Anrufer nicht unterbrechen

• Möglichst viele Informationen gewinnen

• Auf Hintergrundgeräusche achten

• Nicht rauchen

• Feuerlöscher bereithalten

• Gegenstand nicht anfassen

• Gegenstand nicht schütteln oder werfen

• Gegenstand nicht anheben oder bewegen

• Gegenstand nicht biegen oder brechen

• Gegenstand nicht öffnen und keine Schnüre abschneiden

• Gegenstand nicht ins Wasser legen

• Nichts auf den Gegenstand legen

• Erschütterungen vermeiden

• Laute Geräusche vermeiden

• Lichtverhältnisse nicht ändern

• Sofort Raum sichern (absperren) und verlassen

• Unbefugte fernhalten

• Funkverkehr einstellen.

Gerade für solche Fälle muss das Personal gut geschult sein, um unter drohender Lebensgefahr besonnen handeln zu können.

In der Regel liegt die Zuständigkeit für technische Störungen bei der technischen Leitung. Diese Stelle bestimmt einen Bereitschaftsdienst, der im Falle von Störungen zu benachrichtigen ist. Die folgenden Formulierungen dienen als allgemein-typische Vorgaben und sollen vom Auftragnehmer bei Bedarf ergänzt oder an das jeweilige Objekt angepasst werden, sofern keine entsprechenden Unterlagen des Auftraggebers wie Notfallkarten usw. bereits vorliegen.

• Geschäftsführung

• Niederlassungsleitung (falls vorh.)

• Objektleitung

• dessen Vertretung

Nicht nur das Vorhandensein von Notfallrufnummern allein ist ausreichend als vorbeugende Maßnahme. Es ist ebenfalls entscheidend, sicherzustellen, dass der Angerufene auch tatsächlich kompetent ist und umgehend zur Problemlösung beiträgt. Dies ist jedoch leichter gesagt als getan. Nehmen wir zum Beispiel an, dass wesentliche technische Betriebsführungs- und Instandhaltungsleistungen eines Unternehmens an einen Dienstleister ausgelagert sind. Die Aufgaben des Wach- und Sicherheitsdienstes wurden an ein anderes Unternehmen vergeben. Das Unternehmen arbeitet hauptsächlich in einer Schicht. Das Sicherheitsunternehmen ist auch damit beauftragt, das Objekt in der arbeitsfreien Zeit zu überwachen und somit in einer Wachzentrale präsent zu sein. In solchen Fällen ist es oft üblich, die technischen Einrichtungen mit dem Wachdienst zu verbinden oder dem Wachdienst die Bedienung des Helpdesks zu übertragen.

Dies führt natürlich zu entsprechenden Entscheidungen, die über die Schnittstelle der beteiligten drei Unternehmen (Auftraggeber und zwei Auftragnehmer) hinaus getroffen werden müssen.

• Meldung hin zum Entscheidungsträger für die entsprechende technische Anlage, die gestört ist

• Meldung zurück an die Sicherheitszentrale

• Kommunikation der Sicherheitszentrale mit demjenigen, der die Störung meldet (sofern es eine Person ist)

• Erkennen und festlegen, wie die Störung zu beseitigen ist

• Ist Personaleinsatz zur Störungsbeseitigung nötig?

• Falls ja, sind entsprechende Kommunikation und Handlungen durch das Sicherheitspersonal notwendig. Zum Beispiel könnte die Begleitung zum Ort des Geschehens erforderlich sein. Bei Besetzung der Sicherheitszentrale mit nur einer Person muss dann aber geklärt sein, was das Verlassen des Postens zur Folge haben kann….

Bereits durch die Darstellung wird klar, dass die Leitung des FM hier eine wichtige koordinierende Funktion im Rahmen ihrer strategisch/taktischen Aufgaben wahrnehmen muss, damit in Notfällen wirkungsvoll und zielsicher gehandelt wird und sich Störungs- bzw. Notrufmeldungen nicht in der „Tiefe der Nacht" verlieren.

Objektbezogene Dienstanweisungen stellen auch eine Beschreibung von dynamischen Prozessen dar, die einer ständigen Überprüfung unterliegen müssen. Sie müssen sich verändern, wenn die Prozesse des Auftraggebers sich verändern. Der Sicherheitsunternehmer muss diesen Aspekt berücksichtigen und durch ein regelmäßiges Überprüfungsverfahren für Aktualisierungen sorgen. Zusätzliche Leistungen, die hinzukommen, müssen ebenfalls aufgenommen werden.

Die objektbezogene Dienstanweisung sollte ein Bestandteil des Bewachungsvertrages sein und von beiden Vertragsparteien unterzeichnet werden, als grundlegender Rahmen für die Zusammenarbeit. Falls sich durch bestimmte Umstände Änderungen der Arbeitsabläufe ergeben, ist der Sicherheitsmitarbeiter verpflichtet, seinen Arbeitgeber umgehend darüber zu informieren.