Die Ergebnisse der 9. Sicherheits-Enquête* zeigen, dass die Budgets für den Sicherheitsbereich trotz Wirtschaftskrise vergleichsweise stabil geblieben sind. So steht bei den Empfängern der WIK auch in diesem und den nächsten Jahren wieder mehr Geld für Sicherheitsinvestitionen zur Verfügung.

Der Einsatz der zusätzlichen Mittel erfolgt vor allem dort, wo die Sicherheitsverantwortlichen die wichtigsten Schwachstellen in ihren Sicherheitskonzepten sehen, etwa in der IT-Sicherheit. Aber auch für die klassische Security, also in der Überwachungstechnik und bei Verhinderung von Diebstählen und unerwünschten Zugriffen, steht trotz schwieriger Rahmenbedingungen insgesamt mehr Geld zur Verfügung.


Gefahren aus dem Internet
Die höchste Bedrohung für ihre Unternehmen sehen die Sicherheitsverantwortlichen in den Gefahren aus dem Internet. Internetkriminalität, wie zum Beispiel Hacking, gehört zu den am häufigsten festgestellten Delikten (auf Platz 2 hinter Diebstahl). 81% der Sicherheitsverantwortlichen mussten sich mit solchen Angriffen in den letzten zwei Jahren befassen, 27% häufiger als fünfmal. Entsprechend stufte mehr als ein Drittel (36%) aller befragten Sicherheitsverantwortlichen die Angriffe mittels Schadsoftware über das Internet für das eigene Unternehmen in den beiden höchsten Risikoklassen 5 und 6 ein. Alle anderen Delikte wurden von den Befragten weitaus seltener einer der beiden höchste Risikoklassen zugeordnet. Die nächstfolgenden waren: Ausfall der Sicherheitstechnik (18%), Abhörversuche (14%).
Risiken der Klasse 1 und 2 sind eher als abstrakte Risiken zu sehen, denen in den betrieblichen Risikoszenarien nur eine geringere Bedeutung zugemessen wird. Risiken ab Klasse 3 aufwärts stehen dagegen wohl mehr oder weniger regelmäßig auf Agenda der Sicherheitsverantwortlichen. Auffallend ist, dass unter den sechs von den Sicherheitsverantwortlichen am häufigsten genannten »relevanten Risiken«, vier in enger Beziehung zur IT-Sicherheit stehen. (s. Tabelle »Relevante Security-Risiken«)
Trotz aller Vorkommnisse werden Angriffe auf die IT-Sicherheit nur vergleichsweise selten angezeigt. Nur jedes neunte angegriffene Unternehmen ging danach zur Polizei - deutlich weniger als bei anderen Delikten.
Bei der Abwehr von IT-Delikten sehen sich die Unternehmen vor allem selbst in der Pflicht. Sie vertrauen dabei sowohl technischen Lösungen wie organisatorischen Maßnahmen. Auffallend ist der geringe Stellenwert der Überwachung von Mitarbeitern.
Dafür wird dann auch mehr Geld ausgegeben: 81% der befragten Sicherheitsverantwortlichen gehen davon aus, dass die Aufwendungen für die IT-Sicherheit im nächsten Jahr real steigen werden. Entsprechend wird auch investiert. 35% der Unternehmen wollen bis 2011 in die IT-Sicherheit investieren.
Der besondere Stellenwert der IT-Sicherheit im Aufgabenspektrum der Sicherheitsmanager wird auch daran deutlich, dass die Stelleninhaber unter 18 abgefragten Skills »Kenntnisse in der IT-Sicherheit« (nach der »Branchenerfahrung«) als zweitwichtigste Voraussetzung für eine leitende Tätigkeit in der Unternehmenssicherheit ansehen. In der aktuellen Anforderung räumen die Stelleninhaber im Bereich IT-Sicherheit durchaus Informationslücken ein: 42,5% verfügen hier bei der Erfüllung ihrer Aufgaben »gelegentlich oder meistens nicht« über ausreichende Informationen.
96% der befragten Sicherheitsverantwortlichen beschäftigen sich mit Fragen der IT-Sicherheit, 59% tragen hier Verantwortung.

Spionage
Die zweitwichtigste Bedrohung - mehr noch als die allgemeine Kriminalität - sehen die Unternehmen in der Industrie- und Wettbewerbsspionage, wobei die Wettbewerber als bedrohlicher wahrgenommen werden als die fremden Nachrichtendienste. Konkret betroffen von Spionageangriffen waren in den letzten 24 Monaten 47% der Sicherheitsverantwortlichen. In der Regel mussten sie sich mit Wettbewerbsspionage (87%) befassen. Bei 19% war auch oder ausschließlich nachrichtendienstliche Spionage der Hintergrund.
Offensichtlich gehen aber viele Unternehmensvertreter davon aus, dass diese Gefährdung künftig vor allem andere und nicht (mehr) das eigene Unternehmen trifft. So müsste das Ergebnis eigentlich bei 100% liegen, doch nur 75,9% der Sicherheitsverantwortlichen gehen davon aus, dass im eigenen Unternehmen schützenswertes Know-how vorhanden ist. Entsprechend lückenhaft schützt die Wirtschaft ihre Informationen. Nur 31,9% der befragten Sicherheitsverantwortlichen berichten von einem entsprechenden Schutzkonzept, weitere 17,2% planen die Einführung.
Auffällig ist der Verzicht auf ein Schutzkonzept insbesondere dann, wenn sich ein Unternehmen in den letzten 24 Monaten mit einem oder mehreren Spionagefällen zu befassen hatte. Zum Zeitpunkt der Befragung hatten 54% dieser konkret betroffenen Unternehmen noch kein Schutzkonzept zur Verfügung. 28% planten dies nicht einmal.
Am Geld für den Informationsschutz scheint es nicht zu mangeln. 46% der Befragten gehen davon aus, dass die Aufwendungen im nächsten Jahr dafür steigen werden. Auch nicht an mangelnden Fähigkeiten, denn nachrichtendienstliche Erfahrung wird bei den Stelleninhabern als wünschenswerter Skill erst auf dem vorletzten Platz genannt, nur die Arbeitsmedizin ist noch unwichtiger. Und auch die Behörden sind nicht schuld: Nur 18,4% der Sicherheitsverantwortlichen (23% aller Befragten) wünschen sich eine bessere Zusammenarbeit mit den Verfassungsschutzbehörden.

Globalisierungsfolgen
Gefragt wurde auch nach den Auswirkungen der Globalisierung. Starke Zustimmung (Note 1 oder 2 auf einer Skala von 1 bis 6) von einer Mehrheit der Teilnehmer gab es von den Sicherheitsverantwortlichen für die folgenden Thesen:

• In vielen anderen, auch befreundeten, Staaten wird - anders als in Deutschland - aktiv Wirtschaftsspionage betrieben, die auch der heimischen Wirtschaft zugute kommt. Deutsche Unternehmen haben daher einen Wettbewerbsnachteil. (60% starke Zustimmung - 11% starke Ablehnung)
• Eine wachsende Bedrohung geht für Unternehmen auch vom Kapitalmarkt aus. Firmenaufkäufer, vorhandene Anteilseigner, anlagewillige Kapitalgeber nutzen zunehmend kriminelle Mittel zur Beeinflussung des Unternehmenswertes. (52% starke Zustimmung - 6% starke Ablehnung)
• Die Zahl der Länder wächst, in denen die persönlichen und materiellen Risiken für Unternehmen, deren Repräsentanten und Mitarbeiter so groß werden, dass Engagements bereits wegen der Sicherheitskosten zurückgefahren werden sollten. (48% starke Zustimmung - 12% starke Ablehnung)

Zur erste These gab es auch einen Lösungsvorschlag: 40% der Sicherheitsverantwortlichen (37% von allen Befragten) sprechen sich dafür aus, dass die deutschen Nachrichtendienste die Interessen der Wirtschaft - anders als bisher - fördern dürfen.
Passend zur Zustimmung bei der dritten These ist auch die Selbsteinschätzung der Sicherheitsmanager hinsichtlich ihres Informationsgrads über die Risiken im Ausland: 67,5% gaben an, dass sie »gelegentlich oder meistens nicht« auf eigentlich benötigte Informationen zur aktuellen Gefährdungslage im Ausland zugreifen können, »meistens nicht« antworteten 30% der Sicherheitsmanager mit Auslandspflichten.

Alltagskriminalität
Das Alltags-Geschäft vieler Sicherheitsverantwortlicher in den Unternehmen ist die Befassung mit unerwünschten, teilweise kriminellen Handlungen von Mitarbeitern und Externen. Der Fokus richtet sich dabei meist nach Innen, wobei es insbesondere darum geht, Diebstähle und Betrug durch Mitarbeiter zu verhindern oder aufzudecken. 84% der Sicherheitsverantwortlichen hatten sich in den letzten 24 Monaten mit Diebstählen, 70% mit Mitarbeiterdelikten zu befassen, ebenso viele mit den unterschiedlichen Varianten des »Arbeitszeitbetrugs«. (s. Tabelle »Relevante Security-Risiken«).
Angesichts der zahlreichen Risiken, die aus der Belegschaft kommen, wollten wir wissen, ob die Diskussion um überzogene, teilweise unzulässige Überwachungsmaßnahmen, wie sie 2008 bei Lidl und Telekom bekannt wurden, Auswirkungen auf die Betriebe hatte. Ein Drittel der Sicherheitsverantwortlichen registrierte danach ein kurzfristiges Misstrauen gegenüber der Sicherheitsfunktion, aber nur in jedem fünften Betrieb kam es nach Erkenntnissen der Sicherheitsverantwortlichen zu einem nachhaltigen Imageverlust. In vielen Unternehmen waren die Vorkommnisse und die Berichterstattung darüber hinaus Anlass, die eigenen Überwachungsmaßnahmen zu überprüfen. Nach Angaben der befragten Sicherheitsverantwortlichen haben 31% der Unternehmen die Handlungsanleitungen überarbeitet.


Sicherheitsbudgets
Insgesamt sehen sich die Sicherheitsverantwortlichen in ihren Aufgabenbereichen überwiegend gut gerüstet für die aktuellen und künftigen Herausforderungen. Das belegt sowohl die fachlichen Selbsteinschätzung als auch an der finanziellen Ausstattung der Sicherheitsfunktion.
Dass die Sicherheitsverantwortlichen überwiegend davon ausgehen, ihren »Laden im Griff zu haben« zeigt sich unter anderem daran, dass zumindest zwei Drittel von ihnen, bei ihren wichtigsten Aufgaben, der Bewertung »der aktuellen Gefährdungslage im Inland« und bei der »Organisation von Sicherungsaufgaben« »immer oder meistens über alle benötigten Informationen verfügen. Ein weiteres Merkmal ist, dass sie die Gefährdung der Wirtschaft insgesamt immer - und bei vielen Risiken auch deutlich - höher bewerten, als die Gefährdung für das eigene Unternehmen (s. Tabelle Risikowahrnehmung). Die größten Unterschiede zeigen sich bei der Produktpiraterie (drittwichtigste Gefährdung, s. Tabelle WIK 1/2009, S. 12), Diebstählen (zweitwichtigste Gefährdung) und der Belastung durch Terroranschläge.
Die finanzielle Ausstattung der Unternehmenssicherheit wird vergleichsweise wenig von Konjunkturausschlägen beeinflusst, weder nach oben noch nach unten. Dies zeigt sich in der 9. WIK-Sicherheits-Enquête unter anderem an der Budget-Entwicklung im Sicherheitsbereich: Insgesamt rechnen die Sicherheitsverantwortlichen trotz Krise 2009 real mit etwas mehr Geld für Sicherheitstechnik und externe Dienstleister als 2008. Ein weiterer realer Anstieg ist für 2010 zu erwarten. Allerdings sehen die Sicherheitsmanager vor allem die Budgets bei den Kollegen in anderen Unternehmen wachsen. Die Prognosen für das eigene Unternehmen fallen vorsichtiger aus, jedoch auch hier gehen in beiden Jahren mehr Sicherheitsverantwortliche von einem realen Wachstum als von Kürzungen aus. (2009: 23% erwarten ein reales Plus, 22% ein Minus, 2010: 32% ein reales Plus, 16% ein Minus).
Kostensparen ist eigentlich eine permanente Aufgabe in allen Unternehmensbereichen. Sonderopfer wurden vom Sicherheitsbereich in den beiden vergangenen Jahren nur selten verlangt (11% mussten stärkere Einsparungen als andere Unternehmensbereiche vornehmen), genauso selten waren allerdings Bevorzugungen (10% mussten geringere Einsparquote erfüllen oder bekamen anders als andere Bereiche sogar Budgeterhöhungen).
Wenn gespart werden musste, dann führte das meist zu einer Arbeitsverdichtung oder zu mehr Technikeinsatz. Dieser Prozess ist nicht abgeschlossen, so dass auch weiterhin in nicht geringem Umfang in die Sicherheitstechnik investiert wird. Im Durchschnitt wollen die Sicherheitsverantwortlichen bis 2011 jährlich 289.306 EUR dafür ausgeben (14% mehr als zwischen 2006 und 2008).
An der Spitze stehen Investitionen zur Einbindung der Sicherheitstechnik in IP-Netze, zur Videoüberwachung/ Bildaufzeichnung, zur IT- und Kommunikationssicherheit sowie zur Einführung biometrischer Berechtigungslösungen. Eine Kernaussage dabei: Jeder zweite Sicherheitsmanager in der Wirtschaft befasst sich derzeit damit, wie er Videoüberwachung oder Zutrittskontrolle und andere Sicherheitstechniken IP-fähig gestaltet. Dass dies nicht erst 2010 oder 2011 zu Anschaffungen führt, zeigt die Auswertung der Investitionspläne für 2009: Jeweils mehr als ein Drittel der Sicherheitsmanager investiert bereits 2009 in IP-Technologie, in Videoüberwachung und IT-Sicherheit.
Auch das Outsourcing wird zunehmen: Obwohl bereits 95% der befragten Wirtschaftsunternehmen (ohne Sicherheitsdienstleister) Sicherheitsaufgaben nach außen vergeben, wollen ca. 40% von ihnen weitere Aufgaben outsourcen. Profitieren davon sollen insbesondere unabhängige Planer, die die Unternehmen bei Ausschreibungen unterstützen, externe IT-Sicherheits-Experten, aber auch Unternehmen, die das komplette Facility-Management übernehmen.
Mit den bisher eingesetzten Sicherheitsdienstleistern sind die Auftraggeber weitgehend zufrieden. Auf der Skala von 1 bis 6 bekommen sie im Schnitt die Note 2,5 - nur 7,3% gaben ihnen Noten schlechter als »4«. Wenn eine oder mehrere der im Durchschnitt 5,4 outgesourcten Sicherheitsdienstleistungen gekündigt oder nicht verlängert wurde, dann nannten 36% der Unternehmen Leistungsmängel als Gründe. Häufiger waren aber Kostengründe (52%: der Dienstleister war zu teuer) maßgeblich oder die Manpower sollte durch (Sicherheits-)Technik ersetzt werden (42%).
Der Preis der Dienstleistung ist für die Kunden ein heikles Thema. Zum einen hätten sie gerne natürlich einen möglichst niedrigen Preis - er ist das fünftwichtigste Kriterium unter 19 - andererseits wollen sie natürlich auch Leistung und sprechen sich deshalb zu 93% für Mindestlöhne aus. Eventuelle daraus resultierende Mehrkosten wollen immerhin noch 90% tragen. Die konkret verabschiedeten Mindestlöhne halten sie jedoch offensichtlich für zu niedrig, angemessen erschien ihnen im Durchschnitt von 9,44 EUR/Stunde. Und auch die an der Befragung beteiligten Sicherheitsdienstleister würden ihren Mitarbeitern offensichtlich gerne höhere Mindestlöhne zubilligen. Sie hielten einen Stundensatz von 8,76 EUR für angemessen.

* Die WIK-Sicherheits-Enquête ist keine repräsentative Studie. Mit 244 Teilnehmern, insbesondere aus der Unternehmenssicherheit und der Sicherheitsdienstleistung, vom spezialisierten Berater bis zum Sicherheitschef im Großunternehmen mit 30.000 Mitarbeitern, lässt sie dennoch aussagekräftige Schlüsse zu. Im Durchschnitt werden von den Befragten 1.130 Mitarbeiter in Sicherheitsfragen betreut.