Focus on Security 1-2011 - Securitas

securitas.com

Focus on Security 1-2011 - Securitas

ong>Focusong> on Security

Ausgabe 1, Februar 2011


2 ong>Focusong> on Security 01-2011

Informationen zum Unternehmensschutz

Arbeitsschutz Seite 3

Bankensicherheit Seite 3

Betrug Seite 4

Brandschutz Seite 4

Compliance Seite 6

Datendiebstahl Seite 8

Diebstahl Seite 9

Evakuierung Seite 9

Extremismus Seite 9

Geldfälschung Seite 10

Geld- und Wertdienstleistung Seite 10

Hotelsicherheit Seite 11

IT-Sicherheit Seite 11

IuK-Kriminalität Seite 14

Korruption Seite 17

Kriminalität Seite 18

Krisenregionen Seite 19

Kritische Infrastrukturen Seite 19

Ladendiebstahl Seite 20

Leitstellensicherheit Seite 21

Logistiksicherheit Seite 22

Luftsicherheit Seite 22

Mexiko: Sicherheitslage Seite 23

Piraterie Seite 24

Produktpiraterie Seite 24

Safety Seite 25

Sicherheitsgewerbe Seite 25

Sicherheitstechnik Seite 26

Spionage Seite 28

Terrorismus Seite 29

Unternehmenssicherheit Seite 30

Zutrittskontrolle Seite 30


ong>Focusong> on Security 01-2011

3

Arbeitsschutz

Die Zahl der Arbeitsunfälle in Deutschland

ist im Jahr 2009 auf einen historischen

Tiefstand gefallen, meldet die Frankfurter

Allgemeine Zeitung (FAZ) am 23. Februar.

975.000 Unfälle wurden gemeldet, was einer

Quote von 26 je 1.000 „Vollarbeiter“ entspreche.

Das sei der niedrigste Stand seit Gründung

der Bundesrepublik. 622 Menschen

seien 2009 bei Arbeitsunfällen gestorben.

An den Folgen einer Berufserkrankung seien

2.803 Menschen gestorben. In 49,1 % der

Todesfälle sei Asbest die Ursache gewesen.

Der Anteil der Fehltage wegen psychischer

Störungen und Verhaltensauffälligkeiten habe

sich auf 11,4 % erhöht.

In der Fachzeitschrift GIT (Ausgabe 3/2011)

wird das modulare Sicherheitssystem

Safeline vorgestellt, ein programmierbares

Sicherheitssystem zur Realisierung

von Sicherheitsfunktionen mit 6 Varianten

von Funktionsmodulen für Maschinen und

Anlagen (S. 78/79). Mehr Maschinendynamik

bei erhöhter Sicherheit sei kein Widerspruch

mehr, schreibt Dipl.-Ing. Alois Holzleiter in

derselben Zeitschriftenausgabe (S. 80/81).

Mit sicheren Servo-Antrieben der Acoposmulti-Produktfamilie,

die sich per open-Safety

nahtlos in Powerlink basierende Netzwerke

integrieren und zeitnah den Motor überwachen,

würden die Fehlerreaktionszeiten

gegenüber traditionellen Sicherheitsschaltungen

um den Faktor 10 reduziert. Die dabei

maximal entstehende Aufprallenergie werde

sogar um den Faktor 100 vermindert.

Ebenfalls in GIT (S. 82/83) werden die Funktionen

von Sicherheitskupplungen behandelt.

Sie hätten sich bei der Übertragung von

Drehmomenten als idealer Überlastschutz

durchgesetzt. Sie seien relativ preisgünstig

und sicher und könnten zudem absolut spielfrei

Wellenversatz ausgleichen.

Auf Seite 72 dieser Ausgabe werden Gefahrstoffarbeitsplätze

der Firma Asecos

vorgestellt. Sie böten optimale und sichere

Bedingungen, beispielsweise für das Ab- oder

Umfüllen oder andere Aufgaben im Zusammenhang

mit Dämpfen oder Gasen. In der

Prozessindustrie kämen häufig Gefahrstoffe

zum Einsatz, etwa Chemikalien bei Verfahren

zum Trennen, Synthetisieren, Analysieren

oder Filtrieren von Stoffen.

Bankensicherheit

Bei ihren Sicherheitskonzepten lassen sich

die Banken nicht in die Karten schauen, stellt

das Handelsblatt am 7. Dezember fest. Die

Mindestanforderungen definiere die Finanzaufsicht

BaFin. Die Standards würden fortlaufend

aktualisiert und seien zum Beispiel im

Handbuch des Bundesamtes für Sicherheit in

der Informationstechnik erläutert.

Philipp Bleuensteiner und Dr. Martin Kampel,

TU Wien, Christoph Musik, Uni Wien und

Stefan Vogtenhuber, Institut für Höhere

Studien in Wien, stellen in der Fachzeitschrift

WiK, 6/2010, S. 12–15, das Projekt „Identifikation

von Bedrohungsszenarien in Banken

durch Bildanalyse“ (TripleB ID) vor. Ziel des

Forschungsprojekts ist die Entwicklung eines

sozio-technischen Systems für die Videoüberwachung,

das in einer Bankfiliale zur Verbesserung

der Ermittlungen und zur Prävention

von Straftaten, beitragen soll. Im Mittelpunkt

stehen zwei Fragen: (1) Welches abweichende

oder auffällige Verhalten könnte auf eine

Straftat hinweisen? (2) Wie lässt sich dieses

verdächtige Verhalten (zielloses Umhergehen;

ungewöhnlich lange Bedienung eines Automaten;

Laufen im Foyer) in geeignete Video-

Algorithmen für eine möglichst weitgehend

automatisierte Alarmierung mit Schwellwerten

für eine möglichst hohe Detektionsrate (auch

auf Kosten von Fehlalarmen) und für direkte Information

der Mitarbeiter vor Ort übersetzen?


4 ong>Focusong> on Security 01-2011

Betrug

Die Finanzmarktaufsicht Österreichs (FMA)

warnt vor Betrügern, die mit dem so geannten

„Scalping“ ihr Unwesen treiben, melde

das Handelsblatt am 15. Dezember. Anlegern

würden dabei die Aktien von kleinen,

börsennotierten Unternehmen angeboten,

meist von eher exotischen Handelsplätzen.

Die Anlagebetrüger kaufen zunächst selbst

solche Aktien zu einem niedrigen Preis. Wenn

sie dann ahnungslose Anleger zum Einstieg

überredet haben, steigen sie selbst aus und

streichen hohe Kursgewinne ein. Die Anleger

blieben auf den Kursverlusten sitzen.

Das Landesarbeitsgericht Berlin-Brandenburg

hat mit einem Urteil vom 16. September

2010 (II Sa 509/10) entschieden, dass selbst

eine Betrugshandlung gegenüber dem

Arbeitgeber mit einem Schadensbetrag von

rund 150 Euro nicht unbedingt eine außerordentliche

Kündigung rechtfertigt, sondern

deren Wirksamkeit im Rahmen einer auf den

Einzelfall bezogenen umfassenden Interessenabwägung

zu prüfen sei. Den Hinweisen

des Bundesarbeitsgerichts in der so genannten

Emmely-Entscheidung sei zu entnehmen,

dass einer sehr langjährigen beanstandungsfreien

Betriebszugehörigkeit und dem damit

angesammelten Vertrauenskapital ein sehr

hoher Wert zukomme.

Brandschutz

In der Fachzeitschrift s+s report, Ausgabe

6/2010, (S. 14–16) beschreibt Dipl.-Ing. Alwine

Hartwig die fachgerechte Wartung von

Rauch- und Wärmeabzugsanlagen (RWA):

wann gewartet werden soll, wie eine regelkonforme

Instandhaltung aussieht und wer

die Instandhaltung durchführen darf.

Klassifizierte Brandschutzprodukte für die

brandschutzgerechte Elektroinstallation stellt

Stafan Born, Kaiser GmbH & Co. KG, in derselben

Ausgabe vor (S. 18–23). Er skizziert die

Normenvielfalt für den vorbeugenden baulichen

Brandschutz und geht besonders auf den

Einbau von Hohlwanddosen in Brandschutzdecken

und -wänden, auf die Installation von

Leuchten und Lautsprechern in Brandschutzdecken

und auf die Abschottung von Elektroinstallationsleitungen

und -rohren ein.

Ebenfalls in dieser Zeitschrift behandeln

Dr. Michael Heisel und Ron Lee, Linde

Gas, das Löschen von Schwelbränden in

Silo-Anlagen. Sie beschreiben die Chemie

und Physik von Brandgasen bei einem

Schwelbrand, die dynamische Entwicklung

der Konzentration von Brandgasen und das

Löschen von Schwelbränden, und zwar mit

konventionellen Methoden (Wasser, Schaum

und Stickstoff), Anforderungen an ein Verfahren

zum Löschen von Schwelbränden

einschließlich Messungen zum Löschen und

das Löschen mit CO 2

. Die Autoren kommen

zu dem Ergebnis, dass das Löschen solcher

Schwelbrände mit CO 2

wesentlich sicherer ist

als mit Stickstoff und auch die Schäden am

Lagergut und an den Silos geringer ist. Das

habe auch zu niedrigeren Versicherungsprämien

geführt (S. 24–35).

Dr. Günther Roßmann, Gesamtverband der

Deutschen Versicherungswirtschaft e.V.

(GDV), erläutert in derselben Ausgabe die

Leitlinie des GDV für Planung und Einbau

von Löschwasser-Rückhalteeinrichtungen

(VdS 2557), die alle Gefahren und Risiken im

Zusammenhang mit der Entstehung kontaminierten

Löschwassers behandle. Er geht auf

die Entwicklung von Brandschutz- und Löschwasserkonzepten,

auf Betreiberpflichten und

gesetzliche Anforderungen, auf technische

Möglichkeiten der Löschwasserrückhaltung

sowie auf Anforderungen und Prüfmethoden

für Löschwasserbarrieren ein (S. 54–59).


ong>Focusong> on Security 01-2011

5

Die Fachzeitschrift Security insight (6/2010)

beschäftigt sich mit dem Einsatz von und

Erfahrungen mit Mehrkriterienmeldern für

den Brandschutz. Der Einsatz von Hightech-

Bauteilen in Brandmeldern ermögliche

die technologischen Fortschritte auf dem

Gebiet der Mikroprozessortechnik in Leistungsfähigkeit

wie Preis. Die Integration von

unterschiedlichen Brandsensoren zu einem

Mehrkriterienmelder erlaube gleichzeitig den

Einzug intelligenter Messwertverarbeitung in

den Brandmeldern selbst (S. 34/35).

Radartechnik spürt versteckte Brandherde

auf, meldet das Handelsblatt am 4. Januar.

Brandherde ließen sich oft nur sehr schwer

lokalisieren. Das könnte sich bald dank der

Forscher des Fraunhofer-Instituts für Hochfrequenzphysik

und Radartechnik in Wachtberg

bei Bonn ändern. Sie haben zusammen

mit der Fernuniversität Hagen einen Sensor

entwickelt, der Brandherde auch bei schlechter

Sicht entdeckt. Der Radiometer arbeite

mit sehr niedrigen Frequenzen, bei denen

Partikel aus Staub und Rauch die Sicht nicht

beeinträchtigen. Das sei bei den bislang

meist eingesetzten Infrarot-Kameras anders.

Die Forscher planten, den Sensor an einem

Luftschiff zu befestigen. Aus einer Höhe

von rund 100 Metern könnte der Zeppelin

dann mit Antenne und Software über einem

Waldbrandgebiet stationiert werden und

Daten aufzeichnen. So wären sogar versteckte

Brandherde unter dichtem Blattwerk oder

unter der obersten Erdschicht zu erkennen.

Die Forscher erwarteten auch, mit dem neuen

Radiometer beispielsweise Schwelbrände in

Müllverbrennungsanlagen frühzeitig orten zu

können. Noch liege das Gerät zwar erst als

Prototyp vor. In den nächsten zwei Jahren

solle es aber zur Marktreife gebracht werden.

Dipl.-Ing. (FH) Jörg Richtermeier, Sachverständiger,

und Dipl.-Ing.(FH) Gerd Heetpas,

VdS Schadenverhütung GmbH, befassen sich

in der Fachzeitschrift WiK (Ausgabe 6/2010,

S. 63–66), mit typischen Mängeln bei der Abnahme

von Brandmeldeanlagen. Behandelt

werden bauliche, anlagentechnische und organisatorische

Mängel. Fehler seien oft schon

im Brandschutzkonzept angelegt.

Dipl.-Verw. Heiner Jerofsky erläutert in

der Fachzeitschrift GIT, Dezember 2010,

(S. 12–15) Gebäudesicherheit durch baulichen

Brand- und Einbruchschutz. Er geht

ein auf den vorbeugenden Brandschutz, die

konzeptionelle Planung von Brandschutzmaßnahmen,

auf gesicherte Rettungswege,

Brandwände und Feuerwiderstand, auf Fassadenschutz,

Einbruchschutz, Zutrittskontrolle

und Videoüberwachung.

In derselben Ausgabe (S. 50–52) wird der Zusammenhang

von elektrischen Leitungsanlagen

und Rettungswegen dargestellt. Elektrische

Leitungen dürfen offen verlegt werden,

wenn sie entweder nicht brennbar sind (nach

DIN EN 60702-1) oder ausschließlich der

Versorgung der nutzbaren Rettungswege

dienen.

Dipl.-Ing. Wolfgang Krüll und Prof. Dr.-Ing.

Ingolf Willms von der Universität Duisburg-

Essen, sowie Dr. André Freiling, Airbus

Operations GmbH, befassen sich in s+s

report, Nr.1/2011, mit der Entwicklung

einer Prüfapparatur zur Bestimmung der

Fehlalarm anfälligkeit von Rauchmeldern.

Ziel ist es, ein standardisiertes Prüfverfahren

zu entwickeln (S. 14–20).

In derselben Fachzeitschrift stellt Dipl.-Ing.

Jörg Wilms-Vahrenhorst, VdS Schadenverhütung,

Teilflächenlöschanlagen nach der DIN

Norm 18230-1 vor (S. 22–25). Es ergebe

sich die Möglichkeit des Verzichts auf flächendeckende

Ausrüstung mit Löschanlagen.

Die Anordnung von geschützten Teilflächen

im Industriebau nach DIN 18230-1 führe zu

Diskussionsfragen im Hinblick auf die Beibehaltung

des bisherigen notwendigen Schutzniveaus

von Industriebauten.

Dipl.-Ing. Jochen Krumb, VdS Schadenverhütung,

weist in der Ausgabe von s+s report

aufgrund von Prüferfahrungen auf Alterungsprozesse

in Sprinkleranlagen hin. In


6 ong>Focusong> on Security 01-2011

der Regel befänden sich die Rohrnetze der

Nassanlagen in einem besseren Zustand als

die der Trockenanlagen. Häufig seien in den

Rohrnetzen der Trockenanlagen Ablagerungen

schlammiger (loser) Art festgestellt

worden (S. 38–42).

Brandschutz in Rechenzentren wird in

der Fachzeitschrift GIT, Ausgabe 3/2011

(S. 60–62) thematisiert. In EDV- und Serverräumen

bedeute der ständige Betrieb einer

Vielzahl von elektrischen Anlagen eine extrem

hohe Brandlast. Bereits kleine Schwelbrände

könnten zu Schädigungen oder zum

Ausfall der Technik führen. Bei konventioneller

Gaslöschtechnik könne im Brandfall ein

sofortiges Stromlosschalten der gesamten

Anlage erforderlich sein. Damit sei jedoch

eine von Rechenzentrumsbetreibern geforderte

möglichst geringe Ausfallzeit gefährdet.

Mit neuen Lösungen und innovativer Technologie

könne dieses Risiko auf ein Minimum

reduziert werden.

GIT weist auf Seminare zum Blitzschutz an

Gefahrenmeldeanlagen hin, die die Akademie

für Sicherheitssysteme des Zentralverbandes

der Elektrotechnik- und Elektronikindustrie

e.V. (ZVEI) in Zusammenarbeit

mit den führenden Herstellern durchführt.

Schäden an Gefahrenmeldeanlagen durch

Blitzschlag stellten ein erhebliches Risiko dar,

schreibt Eckart Roeder, Geschäftsführer der

AG Errichter für Sicherheitssysteme im ZVEI

(S. 68/69).

In derselben Ausgabe wird gezeigt, wie mit

Hilfe von Explosionsschutzventilen und

Explosionsschutzschiebern industrielle Anlagen

vor der Ausbreitung von Explosionen

geschützt werden können. Wichtig sei das

vor allem in der Pharmaindustrie, Chemie/

Petroindustrie, in Forschungslabors, Silos,

Mühlen, Trocknern und Abscheidern sowie

Absauganlagen (S. 66).

Compliance

Im Mittelpunkt von Corporate Governance

und Compliance steht das Integritätsinteresse

eines Unternehmens, stellt die FAZ

am 13. Dezember fest. In der Praxis sei die

Aufgabe überwiegend dem Bereich des Vorstandsvorsitzenden

zugewiesen, der mit ihrer

Durchführung Stellen seines Stabes wie die

Rechtsabteilung oder die Revision betraut.

Zunehmend finde sich in Anlehnung an die

Vorgaben für den Finanzdienstleistungssektor

auch die Schaffung eines eigenen

Aufgabenbereichs im Vorstand mit eigenen

Stellen und Abteilungen, die die Aufgabe

selbständig bearbeiten. Es sei eine komplexe,

nicht delegierbare Führungsaufgabe, die – wie

bei großen Publikumsgesellschaften empfehlenswert

und weitgehend üblich, in einem eigenen

Personalressort angesiedelt sein sollte.

Folgerichtig wären diesem Ressort auch alle

Aufgaben im Zusammenhang mit Corporate

Governance und Compliance zuzuweisen, wo

sie unter einheitlicher Leitung von allen fachlich

beteiligten Stellen effektiv, effizient und

angemessen bearbeitet werden würden.

Rechtsanwalt Reinhard Müller rät in der

Fachzeitschrift Security insight (6/2010,

S. 10–15) zur Vorsicht beim Outsourcing

der forensischen Ermittlungen. Notwendig

sei eine differenzierte Projektsteuerung. Eine

differenzierte Strategie könne die Kompetenzen

externer Forensikspezialisten mit den

unternehmensinternen Ressourcen optimal

verbinden.

In derselben Ausgabe wird (S. 40–42) beklagt,

der Umgang mit den Regelungen zum

IT-Risikomanagement lasse zu wünschen

übrig. Es fehle an Risikobewusstsein, klaren

Verantwortlichkeiten, genügenden Kontrollund

Informationsmechanismen. Zwar sei bei

großen Unternehmen ein Trend zu einem

ganzheitlichen, integrierten und prozessgesteuerten

Ansatz bei Compliance und


ong>Focusong> on Security 01-2011

7

Risikomanagement erkennbar. Bei kleinen

Firmen und Mittelständlern mangle es jedoch

an Transparenz der wesentlichen Risiken, die

aus Geschäftsprozessen resultieren, sowie

an der Möglichkeit, kontrolliert damit umzugehen.

Ulrike Theußen, DNV Business Assurance,

weist im W & S Magazin (Heft 1/2011)

darauf hin, dass nach einer Studie von Pricewaterhouse

Coopers (PwC) 56 % von 500

befragten Unternehmen keine Richtlinien

oder Methoden zur Abwehr von Wirtschaftskriminalität

und Durchsetzung ethischer

und rechtlicher Standards etabliert hätten.

Compliance sollte nicht bei Einhalten von

Gesetzen aufhören, sondern ein zusätzliche

definierter Verhaltenskodex als Handlungsorientierung

dienen (S. 20/21).

Die Deutsche Bahn wolle in der Bekämpfung

von Korruption und anderen Straftaten nie

wieder in die Datenschutzfalle geraten, berichtet

die FAZ am 10. Dezember. Sie setze

deshalb in der Bekämpfung von Korruption

und anderen Wirtschaftsstraftaten jetzt auf

ein streng formalisiertes Vorgehen. Die Abteilung

Compliance ermittele nun nicht mehr

selbst. Dies überlasse sie vollständig der

Konzernsicherheit – bis diese bei begründetem

Verdacht die Polizei für weitere Ermittlungen

ruft. Die Konzernsicherheit könne

zwar Mitarbeiter befragen, aber niemanden

vorladen und nichts durchsuchen. Sie dürfe

keine Ermittlungen aus eigenem Antrieb

durchführen. Sie brauche dazu den Anstoß

der Compliance. Alle Compliance-Prozeduren

seien in einer Konzernbetriebsvereinbarung

verankert. Die Compliance-Abteilung sei

Dreh- und Angelpunkt des Hinweis- und

Risiko managements – also der Prävention.

Die US-Börsenpolizei (Securities and Exchange

Commission – SEC) will Informanten

belohnen, meldet DIE WELT am 4. Januar.

Kritiker geben zu bedenken, dass dadurch

interne Bemühungen, gegen Fehlverhalten

vorzugehen, untergraben würden. Befürworter

hingegen verweisen darauf, dass

die internen Kontrollen bei Enron und Co.

völlig versagt hätten. Der Gesetzentwurf

werde Mitarbeiter, die ein Fehlverhalten im

eigenen Unternehmen melden wollen, dazu

verleiten, sich sofort an die Behörden zu

wenden. Tippgeber, die sich einen Anteil an

Strafzahlungen erhoffen können, die die SEC

verhängt, würden sich kaum auf die Unternehmensprogramme

einlassen. Dabei seien

derartige interne Vorkehrungen seit dem Jahr

2002 vorgeschrieben. Der im Juli 2010 vom

Kongress verabschiedete „Dodd-Frank Act“

ermächtigt die SEC, Tippgebern höhere Belohnungen

zu zahlen – eine Reaktion darauf,

dass die Behörde früher Warnungen zum

Milliardenbetrug von Bernard Madoff ignoriert

hatte. Der neue Vorschlag sehe nun vor,

dass Tippgeber bis zu 30 % der Strafsumme

erhalten können, wenn sie Informationen

liefern, die zu einer erfolgreichen Strafverfolgung

führen.

Dass das Thema Compliance zunehmend an

Bedeutung gewinnt, ist das Handelsblatt am

10. Januar überzeugt. Im unternehmerischen

Sinn verstehe man darunter heute meist

das Einhalten von Vorschriften in Form von

externen und internen Regeln. Hiermit seien

sowohl öffentliche Gesetze als auch firmeninterne

Vorschriften gemeint. Der Begriff Compliance

definiere also das korrekte Verhalten

eines Unternehmens und aller Mitarbeiter in

rechtlicher, aber auch ethischer Hinsicht. Vor

allem die großen und medienträchtig ausgeschlachteten

Korruptionsskandale großer

internationaler Unternehmen mit den einhergehenden

schwerwiegenden Strafzahlungen

und Reputationsverlusten im Jahr 2008

hätten der Diskussion in den letzten Jahren

neuen Aufwind gegeben. Das amerikanische

Antikorruptionsgesetz FCPA (Foreign Corrupt

Practices Act) habe aufgrund seiner weit reichenden

Anwendung besonderes Interesse

gefunden. In diesem Jahr folge das Vereinigte

Königreich mit einem neuen noch wesentlich

schärferen Anti-Korruptionsgesetz. Das zeige

ein besonderes Merkmal von Compliance: Es

sei eine internationale Angelegenheit. Compliance

müsse als internationale Fortsetzung


8 ong>Focusong> on Security 01-2011

des Grundsatzes des redlichen Kaufmanns

verstanden werden. Compliance sei für ein

Unternehmen genau das richtige Mittel, wenn

es seine Philosophie, seine Außendarstellung

weltweit positionieren möchte. Die Notwendigkeit,

die internationalen Standards oder die

Unternehmensphilosophie lokal umzusetzen,

werfe oftmals interkulturelle Fragestellungen

auf. Manche Sachverhalte verstießen

in Deutschland gegen ein Gesetz, seien in

anderen Ländern aber gebräuchlich oder

akzeptiert. Dies gelte auch andersherum.

So würden etwa im arabischen Kulturkreis

manche Verhaltensweisen sanktioniert, die in

Europa üblich seien.

Datendiebstahl

Das Handelsblatt geht am 7. Dezember auf

verschiedene Formen und Ursachen des Datendiebstahls

ein. Jedes zehnte deutsche Unternehmen

habe akute Sicherheitsprobleme

mit seiner Computertechnik. Datendiebstahl

komme in der Regel von innen. Gefährlicher

als kriminelle Energie sei die Leichtfertigkeit

von Zugriffsberechtigten mit Passwörtern

oder ähnlichem. Doch auch die Attacken von

Fremden würden immer heftiger, wie die

Schadsoftware Stuxnet zeige.

Der Softwarekonzern SAP wird für den Diebstahl

von Daten des amerikanischen Rivalen

Oracle gleich mehrfach zur Kasse gebeten,

meldet die FAZ am 30. Dezember. Zu dem

bereits zugesprochenen Schadenersatz von

1,3 Millionen Dollar kämen nun noch Zinsen

hinzu, wie ein Gericht entschieden habe.

Oracle dürfte über die Entscheidung dennoch

wenig begeistert sein, denn die Richterin

verwarf gleichzeitig die Rechnung von Oracle,

nach der SAP knapp 212 Millionen Dollar

hätte zahlen sollen.

Noch will sich die Finanzbranche vom

Magnet streifen auf Kredit- und Girokarten

nicht trennen, berichtet DIE WELT am

4. Januar. Der bereits seit längerem zusätzlich

eingesetzte Chip sei zwar sicherer als der

Magnetstreifen. Doch bevor der schwarze

Balken auf der Rückseite der Plastikkarten

vollständig entfallen könne, seien noch

zahlreiche Anpassungen notwendig. So

arbeiteten alle Kontoauszugsdrucker mit dem

Magnetstreifen. Mit einer Umstellung dieser

Geräte sei frühestens im Laufe des Jahres

2012 zu rechnen. Das größte Hindernis

sei, dass die veraltete Technik weiterhin an

Geldautomaten außerhalb Europas genutzt

werde. Zuvor hatte das Bundeskriminalamt

im Kampf gegen die steigende Zahl an

Betrugsfällen mit gefälschten Kredit- und

Girokarten die Abschaffung des Magnetstreifens

gefordert. Nur dann sei es für Betrüger

nicht mehr möglich, wichtige Kundendaten

am Geldautomaten auszuspähen und mittels

Kartendubletten im Ausland hohe Summen

abzuheben. Im Jahr 2010 habe sich die Zahl

der so genannten Skimming-Angriffe, das

Abschöpfen von Daten, verdoppelt. In Europa

müssten seit 1. Januar alle Geldautomaten

und Bezahlterminals im Handel mit einer

modernen Chiptechnologie ausgestattet sein.

Die Daten auf der Karte würden verschlüsselt

und vor einer Transaktion auf Echtheit

überprüft.

Nach einer von Tufin Technologies durchgeführten

Studie glaubt die Mehrheit (76 %)

von IT Security-Fachkräften, dass fehlerhaft

konfigurierte Netzwerke eine der wichtigsten

Ursachen für Datendiebstahl sind. Würden

Sicherheitseinstellungen dann genauer

untersucht, dann stoßen die Administratoren

zu 73 % auf Fehler. Viele Probleme entstünden,

wenn Administratoren Änderungen an

den Konfigurationseinstellungen vornehmen,

bestehende Sicherheitsregeln außer Kraft

setzen und dadurch neue Sicherheitslücken

produzieren. In vielen Fällen wüssten die Administratoren

nicht genau, welche Einstellung

sie überhaupt vornehmen müssten (Fachzeitschrift

WiK, Ausgabe 6/2010, S. 8).


ong>Focusong> on Security 01-2011

9

Wie die Frankfurter Allgemeine Sonntagszeitung

am 2. Januar meldete, hat sich das Bundeskriminalamt

abermals für eine Abschaffung

der Magnetstreifen auf Kredit- und

EC-Karten eingesetzt. Der seit Jahresbeginn

auf allen neuen Karten vorhandene Chip könne

nicht von Kriminellen kopiert werden. Nur

Kunden, die außerhalb der EU Geld abheben

wollen, sollten eine Karte mit Magnetstreifen

erhalten.

Einen Überblick über die raffiniertesten

Tricks des Ausspionierens privater Daten

von Netznutzern gibt Spiegel Online am

10. Januar und gibt Ratschläge, wie man sich

dagegen schützt. Ein wahrscheinlicher Einfallsweg,

auf dem ein Sabotage-Wurm vom

Kaliber eines Stuxnet in eine Industrieanlage

gelange, sei ein herrenloser USB-Stick, der

von den Hackern vor dem Firmengebäude

liegen gelassen wird. Jeder normale Mensch

werde den Stick aus Neugier an seinen

Rechner anschließen. Die richtige Gegenmaßnahme

sei gezügelte Neugier. Niemals

dürfe ein gefundener USB-Stick am eigenen

Rechner ausprobiert werden. Um die Web-

Adressen großer Firmen zu erbeuten, setzten

Internet-Gauner auf Social Engineering. Mit

massenhaften Mail-Anfragen, die scheinbar

vom Domain-Registrator stammten, werde

der Seiten-Verwalter überfordert und in die

ver sehentliche Annahme einer Domain-

Änderung getrieben. Deshalb sei Sorgfalt

im Umgang mit wichtigen E-Mails geboten,

auf die Bearbeitungs- oder Registrierungsnummer,

auf korrekte Rechtschreibung und

ungewöhnliche Absendezeiten zu achten.

Diebstahl

Fenster und Türen verursachten 2009 Kosten

von 460 Millionen Euro, 10 % mehr gegenüber

dem Vorjahr, meldet der Gesamtverband

der Deutschen Versicherungswirtschaft (WiK,

Ausgabe 6/2010, S. 62). Auch die durchschnittlichen

Kosten eines Einbruchs seien gestiegen

(von 1.103 € im Jahr 2008 auf 1.224

€ 2009). Ursächlich für diesen Anstieg sei die

immer wertvollere Wohnungsausstattung.

An einigen österreichischen Autobahnen

werden stationäre Kennzeichenerkennungssysteme

die bisher eingesetzten

mobilen Systeme ersetzen, meldet WiK

(6/2010, S. 11). Grund sei der Erfolg der

Maßnahme. Im ersten Halbjahr 2010 seien

die KFZ-Diebstähle um 37 % zurückgegangen.

Evakuierung

Dr. Jan Bauke und Rolf Zimmermann von der

Züricher Feuerwehr plädieren für realistische

Evakuierungsübungen, um im Ernstfall unvorhergesehene

Überraschungen „abzufedern“

und belegen das mit Erfahrungen aus der

Praxis (WiK, Ausgabe 12/2010, S. 18/19).

Extremismus

Das linksextremistische Aktionsfeld „Antimilitarismus“

bildet nach wie vor einen

Schwerpunkt extremistischer Angriffe auf

Einrichtungen und Fahrzeuge deutscher Unternehmen.

Vor allem sind Unternehmen, die

Unterstützungsleistungen für Auslandseinsätze

der Bundeswehr erbringen, Zielobjekte

verdeckter Aktionen. Seit Ende Oktober

2008 ist ein deutscher Post- und Logistikkonzern

als „militärischer Dienstleister“ Ziel der

antimilitaristischen Kampagne „Comprehensive

Resistance“ (umfassender Widerstand).


10 ong>Focusong> on Security 01-2011

Im Zusammenhang mit der Kampagne

wurden seit Anfang 2009 zahlreiche Sachbeschädigungen

festgestellt, unter anderem

an Einrichtungen und Fahrzeugen: darunter

bisher 20 Brandanschläge auf KFZ (ASW-

Mitteilung vom 29. November).

Geldfälschung

Wie die FAZ am 18. Januar meldet, hat sich

die Zahl der Geldfälschungen in Deutschland

2010 deutlich erhöht. Die Deutsche Bundesbank

habe rund 60.000 gefälschte Banknoten

registriert, rund 14 % mehr als 2009.

Gleichwohl sei die Häufigkeit von Falschgeld

in Deutschland besonders gering. Je 10.000

Einwohner tauchten im vergangenen Jahr nur

acht falsche Geldscheine auf, im Durchschnitt

des Euro-Raumes seien es 23. In Deutschland

seien die Bedingungen für die Kriminellen

traditionell besonders schwierig. Die

Deutschen zahlten überdurchschnittlich oft

bar und seien deshalb mit den Geldscheinen

besser vertraut.

Besonders beliebt seien in der Fälschszene

die falschen Fünfziger, die mehr als die Hälfte

der Fälschungen ausmachten. Auf falsche

Zwanziger entfielen 20 %, auf falsche Hunderter

15 %. In ganz Europa werde das Gros

des Geschäfts von nur etwa zwei Dutzend

Banden betrieben. Aus ihren professionell

betriebenen Druckmaschinen stammten etwa

80 % der Fälschungen.

Geld- und Wertdienstleistung

Über aktuelle Entwicklungen im Bargeldbereich

referiert Carl-Ludwig Thiele, Deutsche

Bundesbank, im Sicherheitsdienst DSD

(Ausgabe 4/2010, Seite 5–10). Er geht auf

die Bargeldnachfrage und den Bargeldkreislauf,

auf Ziele, Strategie und Maßnahmen

der Bundesbank, auf den Stand des privaten

Banknotenrecyclings, Markthemmnisse und

Entwicklungen ein. Die Bundesbank sehe aufgrund

der positiven Entwicklung im Recycling

derzeit kein Erfordernis, weitere Anreize für

das Bargeldrecycling zu setzen. Sowohl der

Heros-Fall wie auch die Finanzkrise hätten

vor Augen geführt, wie wichtig im Geschäftsverkehr

ein gesundes Risikobewusstsein und

insbesondere bei Dientleistern auch eine

konsequente Überwachung der Vertragsabwicklung

ist.

Als eine „Branche am Scheideweg“ bezeichnete

in derselben DSD-Ausgabe (S. 11–14)

das Geld- und Wertdienstleistungsgewerbe.

Bei der 8. Fachkonferenz „Geld und Wert“

hätten sich drei grundlegende Erkenntnisse

durchgesetzt:

• die Erkenntnis der strukturellen Aufstellung

einer Branche, die unter einem selbstzerstörerischen

Wettbewerb leide und an

fehlender Kooperation erkrankt sei

• die Erkenntnis, dass man Entwicklungen

und Trends im Sicherheitsbereich in einen

gesamteuropäischen, ja globalen Kontext

einbetten müsse

• und die Erkenntnis, dass die Sicherheitsbranche

gerade eine Zeit der Veränderung

und der Krise erlebe. Diese habe ihren

Ursprung in den Insolvenzen der Unternehmen

Heros und Arnolds Security und

sei eine Krise des Vertrauens.

Im Interview der Fachzeitschrift WiK

(12/2010, S. 54–58) nehmen Peter Haller, All

Service Sicherheitsdienste GmbH, und Andrea

Schmitt, ZIEMANN SICHERHEIT, pro und

contra zum Prinzip der „Ein Mann-Logistik“

für den Geld- oder Werttransport Stellung.

Das Konzept baut vor allem auf den Einsatz

intelligenter Wertbehältnisse, unbewaffneter

Fahrer und auf den Einsatz ungepanzerter

Fahrzeuge. So solle die Dienstleistung


ong>Focusong> on Security 01-2011

11

kostengünstiger angeboten werden können,

ohne dass dadurch zusätzliche Sicherheitsrisiken

entstehen. Im Fokus der Anbieter

stünden der Einzelhandel, Tankstellen und

Fast Food-Ketten.

Die Fachzeitschrift WiK (1/2011) weist darauf

hin, dass ab Juli 2013 Farbrauch-Systeme

im Sinne des § 25 der Unfallverhütungsvorschrift

„Wach- und Sicherungsdienste“ (BGV

C7) nicht mehr zulässig sind, weil krebserregende

Substanzen im Rauch entdeckt

worden seien. Bis 2013 könnten die Systeme

unter Beachtung im Einzelnen bezeichneter

Sicherheitsmaßnahmen noch eingesetzt

werden (S. 23–25).

Hotelsicherheit

Heft 6/2010 der Fachzeitschrift SECURITY

POINT ist auf Hotelsicherheit fokussiert. Mit

der Brandgefahr befasst sich das Redaktionsmitglied

Peter Niggl. Das spezifische

Problem im Hotelbrandfall liegt nach seiner

Überzeugung großenteils daran, dass die

Menschen an einem für sie ungewohnten

Ort von den Flammen überrascht werden.

Der Autor verweist auf das Merkblatt „Feuer

im Hotel“ der Verwaltungs-Berufsgenossenschaft

(S .4–8).

kommenden Neuregelungen des Arbeitnehmerdatenschutzes

einzustellen.

SECURITY POINT plädiert für eine elektronische

Schlüsselverwaltung im Hotel, bei der

alle Transaktionen inklusive des aktuellen

Zustandes der definierten Rückgabezeiten

automatisch erfasst und manipulationsfrei

sowohl im Schlüsselschrank als auch in einer

zentralen Datenbank abgespeichert werden

(S. 42/43).

Rechtliche Möglichkeiten und Grenzen der

Videoüberwachung in Hotels behandelt

Rechtsanwalt Dr. Ulrich Dieckert (S. 10–15).

Er befasst sich unter anderem mit Kennzeichnungs-

und Informationspflichten, der

Speicherung und Löschung von Daten. Der

Autor empfiehlt, sich rechtzeitig auf die

Die Wochenzeitung DAS PARLAMENT berichtet

am 28. Februar, dass der Vorsitzende

des Tourismusausschusses des Bundestages,

Klaus Brähmig, Sicherheit als einen „Standortfaktor

für touristische Destinationen“ bezeichnet

habe. Viele Gäste kämen nach Deutschland,

weil sie hier ein Gefühl der Sicherheit

haben könnten.

IT-Sicherheit

Nach Überzeugung der WELT AKTUELL vom

14.Dezember zeigt sich immer deutlicher,

dass das einfache TAN-Verfahren zur Sicherheit

von Online-Banking nicht ausreicht. 2009

habe das BKA rund 2.900 Fälle von „Phishing“

verzeichnet, bei denen Transaktionsnummern

ausgespäht wurden. 2010 soll sich die Zahl

fast verdoppelt haben. Einige Banken würden

daher erwägen, sich von ausgedruckten

TAN-Listen zu verabschieden und auf neue

Verfahren zu setzen. Schon heute bieten viele

Häuser ihren Kunden an, sich die TANs als

SMS auf das Handy schicken zu lassen. Weil

aber bereits Schadprogramme aufgetaucht

seien, empfehlen Experten den Einsatz der

mTAN nur auf geschützten Smartphones oder

einfachen Handys, die nicht mit dem Internet

verbunden sind. Die Volksbanken haben das

„sm@rtTAN“ eingeführt, von anderen Banken

als „Chip-TAN“ bezeichnet. Hierbei nutze der

Kunde zwei voneinander getrennte Geräte:

Die Eingabe der Überweisungsdaten erfolge

am Computer, die Anzeige der Daten hingegen

an einem TAN-Generator. Der Kunde

stecke seine EC-Karte in den Generator, der

eine gültige TAN errechnet. Das Chip-TAN-


12 ong>Focusong> on Security 01-2011

Verfahren gilt unter Experten für einzelne

Online-Überweisungen als sehr sicher.

Es gebe Anhaltspunkte dafür, dass deutsche

Banken in Sachen IT-Sicherheit noch Nachholbedarf

haben, meint das Handelsblatt am

1. Dezember. Das Bundesamt für Informationssicherheit

vergibt ISO-Zertifikate. Bis

auf die Nürnberger Lebensversicherung

habe sich allerdings kein einziges deutsches

Finanz institut zertifizieren lassen.

Während 2009 insgesamt etwa 900 elektronische

Angriffe registriert worden seien, seien

es 2010 allein bis Ende September etwa

1.600 gewesen. Ein größerer Teil habe einen

chinesischen Ursprung.

Nach einem Bericht der Nachrichtenagentur

dapd fügt sich das deutsche Sicherheitskonzept

in Maßnahmen westlicher Staaten

insgesamt. Diese wollten in den nächsten

Jahren gegen einen möglichen „Cyber-Krieg“

aufrüsten. Die chinesische Armee sei für das

„virtuelle Schlachtfeld des 21. Jahrhunderts“

schon hochgerüstet. Die NATO habe auf

ihrem Gipfel von Lissabon im November zum

ersten Mal den „Cyber-War“ in ihr strategisches

Konzept aufgenommen (FAZ vom

28. Dezember).

Die Zeitschrift für Informationssicherheit

kes behandelt in ihrer Ausgabe 6/2010 eine

Reihe für die Unternehmenssicherheit wichtiger

IT-Themen.

Dr. Stephen Fedtke ist der Überzeugung,

„höchst-autorisierte und somit extrem privilegierte

IT-Mitarbeiter in systemischen Institutionen“

sollten sich einer Zuverlässigkeitsoder

Sicherheitsüberprüfung unterziehen

müssen. Die notwendige Validierung solle

sich weniger auf die fachliche Kompetenz als

vielmehr auf die persönliche Zuverlässigkeit

und Integrität beziehen (S. 6–13).

An der kes/Microsoft-Sicherheitsstudie

haben zwischen Dezember 2009 und Mai

2010 insgesamt 135 Unternehmensmitarbeiter

teilgenommen. Dargestellt werden die

Ergebnisse der selbstkritischen Bestandsaufnahme

zur Data-Leakage-/Loss-Prevention,

zur Netznutzung und Endgerätesicherheit,

zur Content- und E-Mail-Security, zum

Identity-Management und Public Key-

Infrastructures, zur Open Source-Software,

Notfallvorsorge und Forensik (S. 14–21).

Michael Kranawetter, Microsoft Deutschland,

beurteilt Soziale Netze im Licht der kes/

Microsoft-Sicherheitsstudie. Angesichts des

menschlichen Risikos und der Gefährdung

durch Malware rät der Autor zu Schulungen

und Policies (S. 22/23).

Prof. Dr. Günther Pernul, Universität Regensburg,

und Dr. Ludwig Fuchs, Nexis GmbH, befassen

sich mit dem Identitäts- und Access-

Management (IAM) in mittleren und großen

Unternehmen. Nur auf Basis hochwertiger

Benutzerdaten könnten Firmen bestehende

Compliance-Anforderungen abbilden und die

Kontrolle über ihre Berechtigungsstrukturen

sicherstellen. Um eine erfolgreiche Bereinigung

der Identitätsdaten durchführen zu

können, bedürfe es einer modularen Vorgehensweise

und Methodik (S. 24–28).

Angelika Jaschob, BSI, plädiert für eine Zertifizierung

von IT-Sicherheitsdienstleistern

für die Bundesverwaltung. Mit einem neuen

Zertifizierungsverfahren habe das BSI erstmals

bundesweit einheitliche Kriterien für

die Auswahl geeigneter Unternehmen für

sicherheitskritische Bereiche in der Verwaltung

geschaffen (S. 35–38).

Prof. Dr. Reinhard Voßbein, Universität Duisburg/Essen,

erläutert die Spezialnorm DIN EN

ISO 27799 für die medizinische Informatik

und das Sicherheitsmanagement im Gesundheitswesen.

Der Beitrag verdeutlicht Umgang

und Nutzen des Standards und liefert einen

Ausblick auf mögliche Zertifizierungen. Der

Vorteil einer Ausrichtung des IT-Sicherheitssystems

an der Norm liege vor allem in

der Rationalisierung der durchzuführenden

Aktivitäten (S. 50–53).


ong>Focusong> on Security 01-2011

13

Dr. Andreas Rohr, RWE AG, plädiert für

ein übergreifendes, zentrales System zum

Schlüsselmanagement für eine sichere

RFID-basierte Zutrittskontrolle, auch beim

Einsatz unterschiedlicher Access Control-Systeme.

Er behandelt Sicherheitskriterien, die

Schlüsselmanagement-Infrastruktur, Krypto-

Algorithmen, die Schlüsselableitung, die

Authentifizierung und Schlüsselgenerationen.

Vereinbarungen mit Access Control Security-

Herstellern seien unumgänglich, um die notwendige

Transparenz zu erzielen, damit man

auch die Systemintegration auf durchgängige

Sicherheit hin beurteilen könne (S. 64–70).

Seit dem 23. Februar hat Deutschland eine

nationale Cybersicherheitsstrategie,

meldet Financial Times Deutschland am Tag

danach. Hauptprojekt sei ein neues Nationales

Cyber-Abwehrzentrum (NCAZ). Hier

sollten künftig zehn Beamte den Informationsfluss

zwischen den Behörden untereinander

sowie mit der Wirtschaft verbessern. Sie

würden beim Bundesamt für Sicherheit in der

Informationstechnik (BSI) angesiedelt. Ihre

Aufgabe sei es, Erkenntnisse zusammenzutragen.

Mitarbeiter des Bundesamts für Bevölkerungs-

und Katastrophenschutz und des

Verfassungsschutzes seien Teil des Teams.

Der BND, das BKA, die Bundeswehr und die

Bundespolizei entsende Verbindungsbeamte

(Berliner Zeitung vom 24. Februar).

Der Behörden Spiegel befasst sich in seiner

Februar-Ausgabe mit CERT. Die CERT-Teams

seien so etwas wie das Technische Hilfswerk

der Computersicherheit. Ein CERT untersuche

den Gesamtzustand des Systems.

Mittlerweile sei es allerdings Usus geworden,

dass die größeren CERTs auch Hilfe bei der

Bekämpfung von Schädlingen anbieten.

Im deutschen CERT-Verbund haben sich

folgende Teams zusammengeschlossen:

Bayern-CERT, CERT Baden-Württemberg,

CERT-Bund, CERTBw (Bundeswehr), CERT-

NRW, CERT-VW, ComCERT (Commerzbank),

RUS-CERT (Uni Stuttgart), S-CERT (SIZ,

Informatikzentrum der Sparkassen), Siemens-

CERT und Telekom-CERT.

Auf IT-Sicherheit ist die März-Ausgabe der

Fachzeitschrift kes (Nr.1/2011) fokussiert.

Im Eingangsartikel (S. 6–10) wird auf Warnungen

von Experten hingewiesen, dass

Würmer Viren und Trojaner 2011 verstärkt

auch Smartphones befallen könnten. Als die

drei wesentlichen Abwehrmaßnahmenbündel

werden genannt:

• ein umfassendes Gesamtsicherheitskonzept

und zugehörige Richtlinien

• ein Mobile-Devicemanagement inklusive

Backup, Update- und Fernlösch-Funktionen

• Sensibilisierung und Schulung der

Anwender.

Service Level-Agreements (SLA) bei

Cloud-Services empfiehlt kes auf S. 17/18.

Gerade in Zeiten, in den für die Auslagerung

wichtiger Geschäftsprozesse auf dem Gebiet

des Cloud-Computing zunehmend Standardlösungen

bereitgehalten werden, sollten sich

Kunden mit den Vertragsbedingungen der

Anbieter sehr sorgfältig befassen, bevor sie

den Zuschlag erteilen.

Jörg Lenz, Softpro GmbH, gibt einen Überblick

über aktive Anwendungen elektronischer

Signaturen (S. 26/27). Dr. Guido

von der Heidt, Siemens AG, stellt TeleTrusT

European Bridge CA vor, die Public Key-

Infrastrukturen (PKI) über Organisationsgrenzen

hinweg fördert (S. 28/29). Reiner

Witzgall, Center Tools Software, zeigt Best

Practices zur Medien- und Schnittstellenkontrolle

(S. 43–48). USB-Speichermedien und

vielfältige mobile Systeme sorgten an den

Schnittstellen von Endgeräten für mannigfaltige

Risiken.

Carsten Casper, Gartner, plädiert für pragmatischen

und ausgewogenen Datenschutz.

Er meint einen Datenschutz, der technische

Lösungen für technische Probleme findet

statt auf gesetzlichen Lösungen zu beharren.

Der Datenschutzbeauftragte dürfe nicht der

neue „Dr. No“ des Unternehmens werden, der


14 ong>Focusong> on Security 01-2011

Innovationen blockiert. Er müsse vielmehr

mit möglichst vielen verschiedenen Rollen

zusammenarbeiten (S. 54–59). Sean Glynn,

Credant Technologies, gibt Tipps für erfolgreiche

Datenklassifizierung. Es gebe keine

„magische Abkürzung“ auf dem Weg zur

Datenklassifizierung, sehr wohl aber starke

Argumente, warum man damit beginnen

sollte (S. 64/65).

Eine Verlagsbeilage zur Fachzeitschrift kes

(Nr.1/2011) zur CeBIT 2011 ist ausschließlich

dem sicheren Cloud-Computing gewidmet.

Jörg Asma, KPMG, gibt einen breiten

Überblick über potenzielle Risiken, die sich

aus der Entscheidung für den Einsatz von

Cloud-Computingservices ergeben können

(S. 6–8).

Isabel Münch, Alex Didier Essoh und

Dr. lemens Doubrava vom BSI definieren

Mindestsicherheitsanforderungen an Anbieter

von Cloud-Lösungen (S.10–12). TClouds

wird vorgestellt, ein von der EU-Kommission

gefördertes Projekt, in dem sichere und datenschutzkonforme

Cloud-Technik entwickelt

wird (S. 14/15). EuroCloud Deutschland

entwickelt ein SaaS (Software as a Service)-

Gütesiegel (S. 16/17).

Jochen Koehler, Cyber-Ark Ltd., stellt das

Konzept „Privileged Identity-Management“

vor, das Zugriffe von Administratoren des

Cloud-Anbieters auf Kundendaten verhindern

soll (S.20–22). Matthias Pankert, Sophos

GmbH, rät, geeignete Verschlüsselungsmethoden

einzusetzen, um den größtmöglichen

Schutz von Kundendaten zu gewährleisten,

die in die Cloud ausgelagert und dort verarbeitet

werden (S. 24–27).

Hartmut Kaiser, secunet Security Networks,

zeigt die Besonderheit der „Automotive

Cloud“ (S.28–30). Eric Bégoc, Astaro GmbH,

befasst sich mit sicherer E-Mail-Archivierung

(S. 34/35). Klaus Gheri, Barracuda

Networks, beschreibt anhand eines Beispiels

die Backup-Datensicherung bei steigendem

Speicherbedarf (S. 36–38). Prof. Eberhard

von Faber, T-Systems, ist überzeugt, dass

industrialisierte ICT-Produktion für mehr Sicherheit

im Hinblick auf Virenschutz, Firewall

und Zugangskontrolle sorgt (S. 40–42).

IuK-Kriminalität

Cyberkriminelle lauern auf Schwächen, titelt

das Handelsblatt am 6. Dezember. Laut

einer Studie des Beratungsunternehmens

Accenture haben rund 70 % der deutschen

Firmen und Behörden in den vergangenen

zwei Jahren personenbezogene Daten

von Kunden und Mitarbeitern verloren. An

Problembewusstsein mangele es nicht: Laut

den Marktforschern von Bloor Research sind

sich drei von vier Mittelständlern sicher, dass

ein Datenverlust ihre Firma ernsthaft gefährden

könnte. Dass deutsche Mittelständler

im Schnitt jährlich 11.400 Euro in sichere IT

investieren, sei im internationalen Vergleich

noch wenig. Symantec-Experte Mischkovsky

sei der Überzeugung, dass Firmennetze

weniger direkt durch Schadsoftware aus dem

Internet bedroht werden, als vielmehr durch

USB-Sticks, im Heimbüro genutzte Notebooks

oder Smartphones, durch die Malware

eingeschleppt wird.

Auch soziale Netzwerke, die Mitarbeiter

während der Arbeitszeit nutzen, seien ein

beliebtes Angriffsziel. „Sie sind ein offenes

Einfallstor für Spam, Viren und Trojaner“, sagt

Martin Hager, Geschäftsführer von Retarus. Er

rät, private E-Mails in Firmen zu verbieten und

Spam-Filter und Virenscanner einzusetzen.

Um sich selbst vor Angriffen zu schützen,

benutzt die Telekom unter anderem so

genannte Honeypot-Systeme, meldet das

Handelsblatt am 7. Dezember: So wie mit

einem Honigtopf Bären auf eine falsche

Fährte gelockt werden können, simulierten


ong>Focusong> on Security 01-2011

15

die Programme ein verletzbares System, das

über das Internet zu erreichen ist. Hacker, die

nach Schwachstellen in der IT eines Konzerns

suchen, solle der Honigtopf anlocken und

vom echten System ablenken. Allein im Oktober

sei der Telekom-Honigtopf 6341 Mal von

Hackern angegriffen worden. Das seien zehn

Attacken pro Stunde.

Angesichts der Hacker-Angriffe von Wikileaks-Sympathisanten

wachse in Deutschland

die Furcht vor Attacken aus dem Netz,

berichtet Welt Online am 9. Dezember. Die

Politik dränge die Wirtschaft daher zu enger

Kooperation mit den Sicherheitsdiensten.

Staatssekretär Klaus-Dieter Fritsche vom BMI

kritisiere die aus seiner Sicht unzureichende

Kooperation der Wirtschaft mit staatlichen

Stellen. Ein stärkerer Rückfluss an Informationen

aus der Wirtschaft sei unbedingt notwendig.

Fritsche mahnte die Wirtschaft, endlich

einen verbindlichen Ansprechpartner zu

installieren. Zwar gebe es bereits die Arbeitsgemeinschaft

für Sicherheit der Wirtschaft,

angesiedelt beim Deutschen Industrie- und

Handelskammertag. Doch selbst aufseiten

von Unternehmen werde eingeräumt, dass

die Arbeitsgemeinschaft derzeit in einer zu

schwachen Position sei, weil sie zu geringe

Unterstützung vonseiten ihrer Mitglieder

erfahre. Die Meldebereitschaft deutscher

Unternehmen sei wenig ausgeprägt, heiße

es auch von Vertretern des BKA. Das liege

an verbreitetem Misstrauen in Kreisen der

Wirtschaft gegenüber der Kompetenz und

auch der Diskretion deutscher Strafermittlungsbehörden.

Aus Sicht etwa betroffener Unternehmen

ist laut Handelsblatt vom 21. Dezember

Wikileaks nicht etwa ein Medium, das seinen

journalistischen Pflichten zur Aufklärung

der Allgemeinheit nachkommt, wie Julian

Assange es gerne sehen möchte, sondern

die Site betreibt ganz einfach Industriespionage.

Immerhin ein Gutes habe das Geraune,

dass nach den politischen Enthüllungen die

Unternehmen dran sein würden: Wer nach

all den Meldungen über geklaute und wild

kursierende Kunden-, Bank- oder Steuerdaten

noch nicht hellhörig war, sei es spätestens

jetzt. Nun müsse auch der letzte Naivling

verstehen, dass das Internet die Regeln von

Mein und Dein ebenso über den Haufen wirft

wie zuvor schon die des Einkaufs, Marketings

oder Vertriebs. Den Unternehmen blieben

eigentlich nur drei Wege: Die Schutzmauern

um die Tresore noch höher bauen und die

IT-Sicherheit mit militärischen Standards aufrüsten;

völlig offen und transparent werden,

damit es erst gar nichts aufzudecken gibt

oder einfach mit Risiko leben und wissen:

Irgendwann trifft die um sich greifende Indiskretion

auch uns. Auf allen Vorstandsetagen

werde gerade eine Kombination aus allen drei

Optionen diskutiert.

Der Boom der Smartphones und Tablet-

Computer animiere auch Kriminelle, berichtet

das Handelsblatt am 16. Februar. Die Großen

der Sicherheitsbranche, F-Secure aus Finnland,

Symantec aus den USA und Kaspersky

Lab aus Russland, boten auf der weltgrößten

Messe der Mobilfunkmesse in Barcelona

Antivirenprogramme für die mobilen Geräte

an. Dass es überhaupt so lange gedauert

habe, bis die ersten Viren in Smartphones

aufgetaucht seien, liege an der Vielzahl von

Betriebssystemen. „Wegen des Erfolgs von

Android werden sich die Angriffe auf diese

Plattform vervielfachen“, sagt Vicente Diaz,

Schadprogrammexperte bei Kaspersky

Lab. Er sieht in Android das Einfallstor für

Smartphone-Viren. Um sich zu schützen,

empfiehlt der Experte das Deaktivieren der

Bluetoothverbindung.

Und die FAZ weist am 24. Februar darauf hin,

dass immer mehr Mitarbeiter mobile Geräte

und Apps nutzen und damit zahlreiche

neue Risiken für Unternehmen entstünden.

Die Geschäftsführung müsse entscheiden,

wer welche Mobilgeräte für welche Zwecke

benötigt und nutzen darf. Wie soll deren

Anbindung an das Netzwerk erfolgen, welche

Richtlinien sind einzuhalten, wer erhält welche

Zugriffsrechte, und wie wird das organisatorisch

umgesetzt? Dabei sei zu beachten,


16 ong>Focusong> on Security 01-2011

dass die in Smartphones integrierten Chips

naturgemäß nicht so leistungsfähig seien wie

in Notebooks. Zudem verböten die begrenzten

Akku-Laufzeiten stromintensive Aktualisierungen,

wodurch viele Prozesse vom

Netzwerk aus gesteuert und durchgeführt

werden müssten. Entscheidung sei daher

eine ausführliche Schulung der Mitarbeiter zu

möglichen Gefahren wie dem Herunterladen

von Apps, dem Liegenlassen der Geräte oder

deren Anschließen am USB-Eingang ihres

PCs. Dies sollte durch technische Lösungen

ergänzt werden wie Verschlüsselungen, Sicherheitsprogramme,

Antibot-Netzfunktionen

oder das Blockieren bestimmter Aktivitäten.

Auch Finanzkonzerne, deutsche Börsen

und Banken müssten sich gegen Hacker

wappnen, unterstreicht das Handelsblatt am

8. Februar. Die Nachricht von Hackerangriffen

auf die Nasdaq schrecke die Finanzwelt

auf. Woher die Angriffe kamen, sei noch nicht

geklärt. Die Börsen und Finanzdienstleister

müssten Sicherheitsstandards überdenken.

Die Angriffsmethoden hätten sich verändert.

Zunehmend zielten die Angriffe auf die

Arbeitsplatzrechner ab, da diese am schwierigsten

abzusichern seien.

Chinesische Hacker seien nach einer Studie

der Computersicherheitsfirma McAfee in die

Computer von fünf internationalen Energieunternehmen

eingedrungen, meldet das

Handelsblatt am 12. Februar. Über einen

Zeitraum von mindestens zwei Jahren hätten

die Hacker Zugang zu den Netzwerken

gehabt und Dokumente über die Erforschung

von Öl- und Gasfeldern sowie Übernahmepläne

ausgespäht, sagte Dmitri Alperovitch

von McAfee. Die Hacker hätten sich entweder

über die Internetseiten oder mit Hilfe von

infizierten E-Mails an führende Manager der

Unternehmen Zugriff zu den Netzwerken

verschafft.

Auch bei der Münchner Sicherheitskonferenz

haben sich – wie die FAZ am 7. Februar

berichtet – europäische und amerikanische

Politiker auf die Gefahr der Kriegsführung und

das Wettrüstens im Internet hingewiesen. Die

Bedrohung sei, so Bundeskanzlerin Angela

Merkel, nicht weniger gefährlich als klassische

militärische Angriffe. Ähnlich wie der britische

Premierminister Cameron habe sie internationale

Abkommen zur Bekämpfung von Cyberangriffen

und Internetkriminalität gefordert.

DIE WELT berichtet am 6. Dezember, im

Zuge der Veröffentlichung von US Diplomaten-Depeschen

sei auch eine detaillierte Liste

mit Objekten in aller Welt ins Netz gestellt

worden, die als wichtig für die nationale

Sicherheit der USA erachtet werden. Genannt

würden neben hunderten Pipelines und wichtigen

Datenkabeln auf der ganzen Welt auch

Firmen, deren Produkte wichtig für die nationale

Sicherheit der USA seien, darunter auch

mehr als ein Dutzend deutsche Unternehmen.

Laut dem veröffentlichten Dokument

ist beispielsweise das BASF-Stammwerk in

Ludwigshafen als „weltgrößter zusammenhängender

Chemie-Komplex“ von Bedeutung

für die nationale Sicherheit der USA. Ferner

würden Firmen wie Siemens als wichtiger

Hersteller von Transformatoren und Turbinen

zur Stromgewinnung aus Wasserkraft, die

Lübecker Drägerwerk AG (Gastechnik), Junghans

Feinwerktechnik sowie diverse pharmazeutische

Unternehmen in Deutschland

genannt. Die US-Vertretungen in aller Welt

seien im Februar 2009 von Washington aufgefordert

worden, Objekte aufzulisten, deren

Verlust Einschränkungen für das Gesundheitswesen,

die Wirtschaft und die nationale

Sicherheit der USA zur Folge hätten. Auf der

Liste stünden auch das ostfriesische Norden

und die Nordseeinsel Sylt als Anlandepunkte

für die transatlantischen Unterseekabel

TAT-14 und AC-1 zur Datenübertragung

zwischen Europa und den USA.


ong>Focusong> on Security 01-2011

17

Korruption

Alles deute darauf hin, dass die internationalen

Regeln und Kontrollmechanismen

gegen die Korruption in der EU sehr unausgewogen

umgesetzt werden, zitiert Welt

Online am 9. Dezember die EU-Kommissarin

Cecilia Malmström. Das Center for the Study

of Democracy bezeichne Bulgarien, Rumänien

und Polen als die Länder, in denen

Korruption und organisierte Kriminalität am

stärksten ausgeprägt sind. Eine gemeinsame

Studie von PWC und der Universität Halle

gingen davon aus, dass es in der deutschen

Verwaltung jedes Jahr mindestens 20.000

Bestechungsfälle gibt.

Die Ausmaße der Korruptionsaffäre bei

Siemens seien immens, heißt es in Süddeutsche

Online am 14. Januar: 330 dubiose

Projekte, 4300 illegale Zahlungen und

Kosten von insgesamt 2,5 Milliarden Euro.

Sie habe aber auch die ganze Wirtschaft

zum Umdenken gebracht. Zerbeulte Egos,

zerstörte Karrieren, eine Milliarden-Strafe: der

Siemens-Skandal habe sich als gigantischer

Regelverstoß erwiesen. Die Aufarbeitung der

Korruptionsaffäre durch Münchner Ermittler

und durch den Konzern selbst habe weltweit

Maßstäbe gesetzt. Möglicherweise würden

eines Tages Korruptionsforscher von der Zeit

vor und der Zeit nach dem Siemens-Fall sprechen.

Der Rohrleitungsspezialist Eginhard

Vietz, ein Mittelständler, habe die Zahlung

von Schmiergeldern in Ländern wie Algerien,

Ägypten, Nigeria oder Russland verteidigt.

Peter Y. Solmssen, seit 2007 Anti-Korruptionsvorstand

bei Siemens, halte die Aussagen

des Mittelständlers „für rundweg falsch“.

Keine Firma müsse „sich dem Druck beugen“.

Es komme bei solchen Forderungen nur

darauf an, nicht nachzugeben. Eine Aufarbeitung

der Schmiergeldfälle von Siemens habe

gezeigt, dass viele der unlauter akquirierten

Aufträge häufig Verlustgeschäfte gewesen

seien. In den USA sei vor Jahren eine Studie

erschienen, die Unternehmen, die nicht durch

illegale Praktiken aufgefallen waren, mit

Unternehmen verglich, die unsauber agiert

hatten. Ergebnis: Die gesetzestreu arbeitenden

Unternehmen erwirtschafteten viel

bessere Erträge – die anderen seien weniger

innovativ und steckten in starken Abhängigkeiten

fest.

Ford ist wegen des Verdachts der Korruption

ins Visier der Staatsanwaltschaft geraten,

berichtet das Handelsblatt am 14. Dezember.

Mitarbeiter einer Ford-Abteilung, die europaweit

mit Umbauten von Gebäuden und

Produktionseinheiten betraut seien, würden

verdächtigt, bestimmte Unternehmen bei

der Auftragsvergabe bevorzugt und dafür

„systematisch materielle Vorteile“ erhalten zu

haben. Insgesamt soll Ford ein Schaden in

Millionenhöhe entstanden sein.

Indien sei im Aufruhr, meint die FAZ am

10. Dezember. Seit der Ausrichtung der

Commonwealth-Spiele im Frühherbst

2010 trete ein Bestechungsskandal nach

dem anderen zu Tage. Verwickelt sei die

Elite: Bundesminister, Ministerpräsidenten,

Spitzenfunktionäre, Bankiers, Generäle. Opfer

sei die gesamte Gesellschaft. Ratan Tata,

Symbolfigur des rechtschaffenen Indiens,

berichte, er habe nur deshalb keine private

Fluglinie gegründet, weil für die Genehmigung

astronomische Bestechungsgelder

verlangt worden sind. Allein bei der Vergabe

von Telefonlizenzen sollen dem Staat nun 40

Milliarden. Dollar entgangen sein. Die amerikanische

Denkfabrik Global Financial Integrity

erklärt, dass Indien seit seiner Unabhängigkeit

1948 mehr als 462 Milliarden Dollar durch

den Transfer von Schwarzgeld verloren habe

– ein sehr großer Teil erworben durch Korruption.

Inder schätzen, dass sie im täglichen

Leben rund ein Viertel ihres Einkommens

für Bestechung aufwenden. Wie könnten

Ausländer unter diesen Bedingungen saubere

Geschäfte machen? Kaum, um ehrlich zu

sein. Natürlich betone jeder deutsche Manager,

sein Unternehmen verweigere jegliche

Bestechung. Wahr sei wohl, dass man sich

arrangiert hat. Deshalb rede man schon


18 ong>Focusong> on Security 01-2011

vom „outsourcing of corruption“. Dahinter

verberge sich ein perfektes System, sich die

Hände nicht schmutzig zu machen. Container

oder Luxuskarossen holten ortsansässige

Agenten gegen eine ordentlich ausgewiesene

Gebühr aus dem Hafen. Die Auftragsvergabe

laufe über einheimische Vermittler. Sie

machen die Drecksarbeit, nicht das ausländische

Unternehmen, das davon nicht wissen

wolle. Immer mehr deutsche Unternehmen

verzichten darauf, neue Standorte aufzubauen,

weil sie wissen, dass sie sich damit in

Gefahr brächten. Der ausländische „Landesfürst“

sitze in der Regel in der Klemme: Beim

Vorstand daheim hat er unterschrieben,

sauber zu arbeiten. Zugleich muss er Umsatz

und gewinn steigern, Aufträge hereinholen,

Marktanteile erobern. In Ländern wie China,

Indien, Bangladesh, Vietnam oder Indonesien

sei dieser Widerspruch nur über Umwege zu

lösen. Damit sei jeder Auslandschef weitgehend

erpressbar, was China neuerdings ab

und an vorführe. Die Krake Bestechung habe

sehr lange Arme. Ihr zu entkommen, das sei

in Asien kaum möglich. Das werde noch auf

Jahre so sein. Ein erster Schritt wäre, dies

immer wieder öffentlich zu machen, statt sich

darin zu ergehen, die eigene Unschuld zu

betonen.

Kriminalität

Im Februar sind die ersten Landeskriminalstatistiken

für 2010 veröffentlicht worden.

In Baden-Württemberg ist die Zahl der

Straftaten 2010 um 1,2 % und damit auf den

niedrigsten Stand seit 10 Jahren gesunken.

Die Häufigkeitszahl (registrierte Verdachtsfälle

je 100.000 Einwohner – HZ) betrug

5.324. Dabei ist die Aufklärungsquote (AQ)

um einen halben Prozentpunkt auf 59,9 %

gestiegen. Die Zahl der angezeigten Diebstahlsdelikte

hat gegenüber 2009 in Baden-

Württemberg um 2,8 % abgenommen. Dass

es bei 39,2 % der (quantitativ leicht angestiegenen)

Wohnungseinbrüche bei einem

Versuch geblieben ist, zeige, dass sich technische

Sicherungen von Haus und Wohnung

auszahlten. Die Wirtschaftskriminalität ist in

diesem Bundesland um 7,5 % gesunken. Bei

den bekannt gewordenen Korruptionsdelikten

ist ein Rückgang um 35,8 % festzustellen.

Dagegen sei die Internetkriminalität auf

einen neuen Höchststand angewachsen. Mit

22.494 angezeigten Straftaten (+ 4,6 %)

habe sich der Trend zur Verlagerung krimineller

Aktivitäten aus der realen in die virtuelle

weiter fortgesetzt (www.polizei-bw.de).

In Hamburg ging die registrierte Kriminalität

seit 2001 bis 2010 um fast 30 % zurück, ge-

genüber 2009 um 5,1 %. Im Fokus standen

vorsätzliche Brandstiftungen an Fahrzeugen.

Insgesamt waren es 157, 10 davon politisch

motiviert. Die Anzahl der Wohnungseinbrüche

ist um 7,6 % gegenüber dem Vorjahr angestiegen.

Ein Viertel aller Diebstahlsdelikte

standen im Zusammenhang mit KFZ, aber sie

gingen um 1,2 % zurück (www.hamburg.de).

Die Bundesregierung wolle die nationalen

Vorschriften gegen Geldwäsche deutlich

verschärfen, meldet das Handelsblatt am

28. Januar. Konkret plane das Finanzministerium

eine „Vervollständigung der Sorgfaltspflichten

und internen Sicherungsmaßnahmen“,

die insbesondere im Nichtfinanzsektor,

beispielsweise bei Immobilienmaklern,

Spielbanken, Steuerberatern und Rechtsanwälten,

Anwendung fänden. Zudem solle

die Zentralstelle für Verdachtsanzeigen an

die Standards der Financial Action Task Force

(FATF) angepasst werden.

Die neuesten Betrugsmasche an Geldautomaten

ist nach einem Bericht der Berliner

Zeitung vom 24. Februar das „Cash-Trapping“,

die so genannte Geldfalle. Sie funktioniere

nur an Automaten, die anstatt eines

Schubfaches für die Scheine einen Ausgabeschlitz

haben, der von einer schmalen Klappe


ong>Focusong> on Security 01-2011

19

abgedeckt ist. Der Täter kaufe im Baumarkt

eine Teppichleiste aus grauem Aluminium,

die er auf die Länge der Schlitzklappe des

Automaten zuschneidet. Auf einer Fläche

der Teppichliste werde Doppelklebeband

befestigt oder Fliegenfänger aufgetragen.

Dann montiere der Täter die Leiste über den

Ausgabeschlitz. Die Attrappe falle einem

ahnungslosen Kunden nicht auf. Versuche

der Bankkunde Geld abzuheben, pralle das

Geld durch den geöffneten Schlitz von innen

gegen die Attrappe und bleibe in den meisten

Fällen am Klebeband oder dem Fliegenfänger

haften. Der Automat könne das Geld nicht

wieder einziehen und melde auf dem Display

einen Fehler. Die meisten Kunden verließen

dann frustriert den Automaten. Die Masche

sei simpel und verlange nicht so viel technischen

Verstand wie beim Skimming. Nach

einem Bericht der Europäischen Agentur

für Sicherheit und Gesundheitsschutz am

Arbeitsplatz (EU-OSHA), nehmen Gewalt,

Mobbing und sexuelle Belästigungen am

Arbeitsplatz in Europa zu, wie die Fachzeitschrift

WiK in ihrer Ausgabe 1/2011, S. 6,

meldet. Abhängig von Land, Wirtschaftszweig

und Untersuchungsmethode sähen

sich zwischen 5 und 20 % der Arbeitnehmer

betroffen. 40 % der befragten Führungskräfte

(Deutschland: 33 %) seien bereits konkret

mit dem Thema „Gewalt am Arbeitsplatz“

konfrontiert worden. Konzepte, wie mit den

Bedrohungen umgegangen werden kann,

hätten allerdings nur ca. 25%.

Krisenregionen

Deutsche Mittelständler expandierten in

Schwellenländer, machten sich aber kaum

Gedanken über ihre Sicherheit, berichtet die

FAZ am 5. Februar. Die Aufstände in Ägypten

und Tunesien hätten sie wie aus heiterem

Himmel getroffen. Während in Konzernen

die Krisenstäbe tagten und die Notfallmechanismen

in Kraft traten, hätten kleine und

mittelgroße Unternehmen improvisieren

müssen. Das sei eine Schwierigkeit, die in den

kommenden Jahren häufiger auftreten werde.

Wie die Beratungsfirma Corporate Trust herausgefunden

habe, sei schon heute ein Drittel

des deutschen Mittelstandes in „sicherheitskritischen

Ländern und Krisenregionen“

präsent. Doch nur wenige hätten Notfallpläne

für Mitarbeiter vorbereitet. Für Sicherheitsfirmen,

die Betriebe in der Ausarbeitung solcher

Pläne unterstützten, entwickele sich so ein

profitables Geschäft. Sicherheitsfachleute der

Result Group, einer Beratungsgesellschaft für

Krisenmanagement, seien mit Bussen durch

Ägypten gefahren, packten die Mitarbeiter

ihrer Kunden ein und flogen sie mit Chartermaschinen

nach Deutschland. Zwischen

15.000 und 40.000 Euro koste die Beratung,

für das Ausfliegen kämen noch mal 3.000 bis

8.000 Euro hinzu – pro Kopf.

Kritische Infrastrukturen

Die FAZ befasst sich am 4. Dezember mit

dem Computerwurm Stuxnet. Nach umfangreichen

Analysen sei klar geworden, dass

Stuxnet das Resultat eines Millionen-Dollarprojekts

sei. Die Experten gingen davon aus,

dass der Wurm dazu programmiert wurde,

die Zentrifugen in einer iranischen Urananreicherungsanlage

zu zerstören. Wegen der

unzuverlässigen Angaben aus dem Iran lasse

sich der tatsächlich durch den Wurm hervorgerufene

Schaden nicht bemessen. Schon

2007 habe ein versehentlich im Internet bekannt

gewordenes Video die Resultate einer

Untersuchung gezeigt, die das amerikanische

Department of Homeland Security in Auftrag

gegeben habe. Zu sehen war ein riesiger

Dieselgenerator, analoge Schwerindustrie. Die

Maschine habe im Video anfangs ohne Störung

gearbeitet. Plötzlich sei eine Erschütterung

durch das Gerät gegangen, deutlich sei-


20 ong>Focusong> on Security 01-2011

en Teile aus dem Maschineninneren zu sehen

gewesen, die durch die Lüftungs schächte

herausgeschleudert werden. Schließlich sei

schwarzer Qualm aufgestiegen. Das Video

sei unter den Namen „Aurora Experiment“

bekannt geworden.

Im Cyber-Krieg sei kaum zu erkennen, woher

ein Angriff kommt, ist die FAZ in einem

Beitrag am 18. Januar überzeugt. Die Grenze

zwischen Attacke und Abwehr verschwimme.

Das zeige der Computerwurm Stuxnet, der

aus Amerika und Israel stammen soll. In der

israelischen Atomanlage in Dimona soll es

eine Replik der iranischen Urananreicherungsanlagen

geben, um Angriffe gegen das Original

zu testen. Berichten von Insidern zufolge

gebe es seit Jahrzehnten informelle Gremien,

in denen die marktführenden Hersteller von

Computerhard- und -software und Telekommunikationsnetzen

mit den Geheimdiensten

ihres Heimatlandes darüber feilschen, ob eine

spezifische Lücke schnell oder erst später

geschlossen wird. Insbesondere Hersteller

aus Ländern wie Israel oder China stünden

in dem Ruf, ihren Ländern bei der digitalen

Informationsgewinnung direkt zu helfen – mit

Hintertüren in ihren Produkten. Damit das

Ansehen im Markt nicht aufs Spiel gesetzt

wird, was bei der Entdeckung offensichtlicher

Hintertüren schnell der Fall sei, würden traditionell

Sicherheitslücken offiziell unentdeckt

gelassen und erst geschlossen, sobald sie

bekannt werden. In der Zwischenzeit könnten

die Schwachstellen von den Geheimdiensten

ausgenutzt werden.

Die Industrienationen dieser Welt seien vollständig

digitalisiert. Es gebe keinen volkswirtschaftlich

oder politisch relevanten Prozess

mehr, in dem nicht ständig Computer involviert

sind. Digital gesteuert seien mittlerweile

auch sämtliche moderne Industrieanlagen.

Um die sei es im Aurora-Experiment gegangen,

und Stuxnet habe gezeigt, dass solche

Szenarien mit den richtigen Mitteln sehr wohl

möglich sind. Industriekomplexe könnten sich

nicht mehr allein durch Zäune und Wachleute

schützen. Im digitalen Zeitalter könne

kein Chemiekonzern, kein Kraftwerk, keine

Raffinerie, kein Staudamm mehr als sicher

gelten. Mit Schutzlosigkeit sei das aber nicht

gleich zu setzen. Das Atomkraftwerk in Biblis

zum Beispiel sei für einen digitalen Angreifer

auch mit den besten Informationen ein

unrealistisches Ziel. Die Steuerungselemente

befänden sich in einem insularen System.

Sie seien mit der Außenwelt nicht vernetzt.

Um Gewalt über diese Rechner zu gewinnen,

müsse man davor sitzen. Allerdings seien

nicht alle deutschen Anlagen so gesichert wie

ein Atomkraftwerk.

Stuxnet habe im Übrigen nach einem spezifischen

Anlagenaufbau gesucht. Die Angreifer

hätten wissen müssen, wie ihr Ziel geschaltet

war, um es angreifen zu können. Für Industrienationen

wie Deutschland bedeute das,

dass mit Anlagenplänen sensibel umgegangen

werden muss.

Deutschland sei in seiner totalen Abhängigkeit

ein attraktives Ziel für digitale Angreifer.

Die Bundesrepublik habe derzeit aber wohl

keine Feinde, von denen sie einen solchen

Angriff befürchten müsse. Nichtsdestotrotz

baue auch die Bundeswehr derzeit eine

Cybereinheit auf, „Computer- and Networkoperations“,

kurz CNO. Ab Mitte 2011 solle

CNO nicht nur defensives, sondern auch

aktives Potential haben. Dann werde die

Bundeswehr militärische Einsätze digital

unterstützen können.

Ladendiebstahl

Das Sicherheitsmagazin W & S fokussiert

sich in der Ausgabe 1/2011 auf den Ladendiebstahl.

Nach dem diesjährigen Diebstahlbarometer

des Centre for Retail Research

zahlte der deutsche Einzelhandel von Juli

2009 bis Juni 2010 für Warenschwund


ong>Focusong> on Security 01-2011

21

knapp 5 Milliarden Euro. Rund 1,25 Milliarden

Euro (0,28 % des Umsatzes) wurden nach

dieser Studie in Antidiebstahl-Maßnahmen

investiert. Investiert worden sei in Bereiche,

die eine hohe Kapitalrendite versprechen wie

die Sicherung von besonders diebstahlgefährdeten

Artikeln, Schulungen für Mitarbeiter

und Store-Audits. Mehr als 27 % der deutschen

Händler habe angegeben, dass der

Ladendiebstahl zugenommen habe. 52,7 %

der Warenschwundkosten wurden dem Kundendiebstahl

zugerechnet, 26,1 % unehrlichen

Mitarbeitern, 15,8 % internen Fehlern

und 5,4 % Lieferanten. „Klaurenner“ seien vor

allem Markenartikel, die klein und teuer sind.

Häufigste Abwehrmethode sei die elektronische

Artikelsicherung (EAS). Etwa 38 % der

Einzelhändler nutzten diese Möglichkeit. Aber

noch 28,3 % der „Top 50-Klaurenner“ würden

bislang keinen besonderen Schutz erfahren

(S. 10/11).

Frank Horst vom EHI Retail Institut erläutert,

welche Lösungen es für die Warensicherung

gibt, warum Abschreckung ein Teil des

Sicherheitskonzepts sein sollte und wieso

wachsame Mitarbeiter mindestens genauso

wichtig seien wie Sicherheitstechnik

(S. 12/13).

In einem weiteren Beitrag (S. 26/27) wird

erläutert, dass die Warensicherung mit

Etiketten nur eine Option zum Schutz der

Produkte darstelle. Gerade bei kleinteiligen

Artikeln müsse verstärkt Videoüberwachung

zum Einsatz kommen. Da 95 % der Fehlalarme

bei Sicherungsetiketten auf vergessene

oder nicht korrekt entwertete Etiketten

zurückgingen, sollten alle Mitarbeiter sensibel

für Alarme sein und wissen, wie der Alarm

auslösende Kunde anzusprechen ist.

Datenschützer bringen Einzelhandel gegen

sich auf, titelt das Handelsblatt am 1. März.

Wie das Blatt mitteilt, habe die Hamburger

Landesdatenschutzbehörde dem Kaufhausbetreiber

ECE Projektmanagement von Amts

wegen aufgegeben, in seinem Alstertal-

Einkaufszentrum – einer großen Ladenpassage

– gleich zwei Dutzend Kameras

abzubauen. Begründung: Wo Kameras nur

der „allgemeinen Verhinderung von Straftaten“

dienten und wo sie nicht gezielt Eigentum

des Betreibers schützten, müsse das

Datenschutzinteresse der Kunden Vorrang

haben. Und dort, wo der Betreiber wirklich ein

solches „berechtigtes Interesse“ an Überwachung

vorbringen könne, seien Kameras nur

erlaubt, wenn deren Bilder auch laufend von

Kontrollpersonal beobachtet würden. Das

reine Aufzeichnen erfülle keinen präventiven

Zweck. Der Handelsverband HDE schlage

deswegen jetzt Alarm. Im Einzelhandel

würden jährlich etwa 1.000 Mitarbeiter bei

Gewalttaten erheblich verletzt. Das reine

Aufzeichnen mit automatischer Löschung

nach 48 Stunden sei auch ein Gebot der

„Datensparsamkeit“. Die Aufzeichnung von

Überwachungsbildern schrecke mindestens

graduell von Straftaten ab. Zudem sei die

Überwachung im Sinne der meisten Verbraucher,

die vom subjektiven Sicherheitsgefühl

profitierten.

Leitstellensicherheit

Wolfgang Wüst, BSG Wüst GmbH, befasst

sich in der Fachzeitschrift WiK (Ausgabe

6/2010, S. 59/60) mit dem Anwendungsbereich

der neuen dreiteiligen EN-Norm

50518 für Alarmempfangstellen und kommt

aufgrund von Erläuterungen durch das

Europäische Normungsinstitut CENELEC zu

dem Ergebnis, dass in Deutschland nahezu

jede Notruf- und Service-Leitstelle (NSL)

mindestens teilweise betroffen sein wird. Die

Landschaft der NSL in Deutschland werde

sich dramatisch ändern, weil sich für mehrere

Tausend Leitstellen der finanzielle, technische

und organisatorische Aufwand für die

Einhaltung der EN 50518 signifikant erhöhen

werde. Dasselbe Thema behandelt Markus


22 ong>Focusong> on Security 01-2011

Schäll vom TÜV Süd Industrie Service GmbH

in der Fachzeitschrift GIT (3/2011). Wie die

Vorgaben der EN 50518 wirtschaftlich erfüllt

werden könnten, hänge vom Einzelfall ab.

Nicht immer seien alle Anforderungen eins zu

eins umzusetzen. Basiernd auf einer individuellen

Risikoanalyse ließen sich zu vielen

Punkten gleichwertige, alternative Maßnahmen

finden, die das geforderte Sicherheitsniveau

halten und zugleich die Kosten

minimieren (S. 17/18).

Logistiksicherheit

Die Kombination aus IR-Barrieren (Zäune,

Vorhänge) mit Videoüberwachung und

GPS-Ortung biete für Logistikunternehmen

und Speditionen ganz neue und sehr effektive

Möglichkeiten der Sicherung ihrer

mobilen und immobilen Objekte, betont

Michael Braasch in Security insight (6/2010,

S. 46/47). Das Zusammenspiel dieser Technologien

und ihrer Steuerung durch eine Leitstelle

müssten optimal koordiniert werden.

In derselben Ausgabe der Fachzeitschrift

zeigt Paul F. Ledergerber, wie sich Importcontainer

zum Schutz der Logistikmitarbeiter

gegen unterschiedliche Gefahren wappnen

lassen. Gefahr durch gefährliche Kontaminierung

drohe von Containern, in denen Waren

ausgasen. Ein US-Gesetz von 2007 sehe vor,

dass alle Schiffscontainer, die in die USA verfrachtet

werden sollen. Noch am Ausgangsort

vollständig auf mögliche Gefahren geprüft

werden müssen. Wirtschaftlich lasse sich das

nur durchführen, wenn die Frachtbehälter einfach

mit Sensorikvorrichtungen ausgerüstet

würden, die Zugriffe aller Art, beispielsweise

eine unerlaubte Türöffnung, an eine Zentrale

meldet und bei Bedarf ein Interventionsteam

vor Ort zum Handeln auffordert. Diese Technik

sei bei einzelnen Logistikunternehmen

schon im Einsatz. Durch den Einsatz weiterer

Technologien, etwa Radiofrequenz-Identifikation

(RFID) werde gleichzeitig die optimale

Warenlogistik mit Informationen in nahezu

Echtzeit sichergestellt (S. 48/49).

Luftsicherheit

Wie das Bundeskriminalamt unter Bezugnahme

auf einen Real-Test in Namibia am

17. November, der zur Verzögerung eines

Fluges von Windhuk nach München führte,

am 19. November mitteilt, ist eine erhöhte

Sensibilität der für die Luftsicherheit zuständigen

Stellen zu beobachten. In Deutschland

sei im Lichte aktueller Vorfälle ein ressortübergreifender

Arbeitsstab Luftfracht gebildet

worden, in dem unter anderem eine Modifizierung

der Kontrollmaßnahmen in Bezug auf

den Luftverkehr geprüft und vorangetrieben

werde. Allerdings lägen den Bundessicherheitsbehörden

weiterhin keine konkreten

Erkenntnisse vor, die eine spezifische Gefährdung

von Einrichtungen der deutschen

Wirtschaft durch terroristische Anschläge

erkennen lassen.

In Italien ist der Test von Körperscannern

an Flughäfen nach einem halbjährigen Test

wieder eingestellt worden. Als Grund habe

der Chef der italienischen Flugbehörde genannt,

dass die Untersuchung der Passagiere

im Vergleich zu den herkömmlichen Sicherheitsmaßnahmen

zu lange dauere und die

Scan-Ergebnisse unbefriedigend seien (WiK,

Ausgabe 6/2010, S. 8).

Der Behörden Spiegel berichtet in seiner

Januarausgabe über einen EU-Aktionsplan

zur Erhöhung der Luftfrachtsicherheit. Die

Vorschläge würden mehr Vorabinformationen

über Frachtsendungen vorsehen. Es würden

Kriterien zur Ermittlung von besonders

risikobehafteter Fracht und ein Mechanismus

für die Beurteilung der Sicherheitsstandards


ong>Focusong> on Security 01-2011

23

auf Flughäfen außerhalb der EU festgelegt.

Von EU-Luftfahrtunternehmen, die Fracht

von außerhalb des europäischen Raums

befördern, würden bestimmte Zusagen in

Bezug auf die Sicherheit der Frachtsendungen

verlangt. Es würden Überlegungen zur

Entwicklung genormter Ausbildungsmodule

angestellt, um ein einheitliches Verständnis

der EU-Vorschriften zu erreichen. Und es

würden Forschungsarbeiten durchgeführt,

um die bestehenden Frachtkontrollmethoden

und -techniken zu verbessern. Das EU-

Inspek tionssystem werde ausgeweitet.

Wie der Behörden Spiegel weiter mitteilt,

hat die EU zwischenzeitlich entschieden, die

VO über die Mitnahmebeschränkung für

Flüssigkeiten, Aerosole und Gele (LAGs) ab

29. April 2011 stufenweise zu lockern. Voraussetzung

sei der Einsatz von Sicherheitssystemen,

die den geforderten technischen

Standards entsprechen. Hintergrund sei die

EU-VO zur Prüfung von Flüssigkeiten, Aerosolen

und Gelen, die mittels EU-zertifizierter

Sicherheitssysteme untersucht werden. Diese

Liquid-Explosives-Detection-Systeme (LEDS)

seien in zwei unterschiedliche Leistungsklassen

bzw. Detektionsstandards klassifiziert.

Smiths Detection sei bislang der einzige Hersteller,

der EU Standards 2 Typ C-zertifizierte

LEDS anbietet. Die entsprechend durch die

EU zugelassenen aTIX-Röntgenprüfsysteme

HI-SDAN 6040aTIX und HI-SCAN 7555aTIX

ermöglichten einen schnelle und effiziente

Prüfung von Flüssigkeiten und die Detektion

von Sprengstoffen im Handgepäck.

Der Bundesvorsitzende der Gewerkschaft

der Polizei (GdP), Bernhard Witthaut, beklagt

laut WELT Online vom 9. Januar „eklatante

Sicherheitslücken“ in Deutschland. Obwohl

Ende Oktober beim Transport einer Bombe

vom Jemen über Köln nach London offensichtlich

geworden sei, dass der Luftfrachtverkehr

Risiken berge, bestehe das Problem

bis heute. Auch auf See sei die Sicherheit

nicht gewährleistet. Es sei bekannt, dass

Passagierschiffe ein Terrorziel sein könnten.

Würde sich ein Terrorkommando mit einem

Sprengstoff beladenen Kutter in einem Hafen

an ein solches Schiff hängen, stünden wir vor

einem riesigen Problem. Die Bundeswehr

dürfe nicht eingreifen. Und die Wasserschutzpolizei

sei dafür gar nicht ausgestattet.

Mexiko: Sicherheitslage

Johannes Hauser, Geschäftsführer der

deutsch-mexikanischen Handelskammer,

beteuert laut Bericht der WELT vom 4. Januar,

ihm sei kein deutsches Unternehmen

bekannt, das sich wegen Sicherheitsbedenken

aus Mexiko zurückgezogen habe. Zwar

seien die Kosten für Sicherheit gestiegen,

aber dies sei kein rein mexikanisches Phänomen.

„In Brasilien und anderen Schwellenländern

ist die Sicherheitslage auch nicht

besser.“ Bei der Frage nach den getroffenen

Sicherheitsmaßnahmen hielten sich die

meisten Firmen bedeckt. Nach Angaben von

John Kewell, Vizepräsident für Sicherheit in

Mexiko der Firma Control Risks, würden vor

allem die Schutzmaßnahmen für ausländische

Geschäftsführer – also Bodyguards

und gepanzerte Autos – verstärkt. Und

Fracht-Lastwagen würden mit satellitengesteuerten

Ortungssystemen ausgestattet, um

Diebstähle zu verhindern, aber auch sicher zu

stellen, dass der Fracht keine Drogen untergejubelt

werden. Hauser zufolge verzichten

derzeit einige Unternehmen darauf, ihre

Vertriebsmitarbeiter zur Kundenpflege in

bestimmte Regionen des Landes zu schicken.

Besonders an der Grenze ansässige Firmen

seien dazu übergegangen, ihre leitenden

Angestellten und deren Familien auf der

US-Seite wohnen zu lassen. Ausländische

Angestellte sind nach Beobachtung von

Kewell allerdings kein bevorzugtes Opfer der

Kriminellen. „Gut 90 % der Entführungen betreffen

mexikanische Staatsangehörige“ sagt

Kewell. Deutsche Unternehmen beurteilten

Mexiko weiterhin positiv.


24 ong>Focusong> on Security 01-2011

Piraterie

175 Seemeilen nordöstlich der omanischen

Hafenstadt Salalah überfielen, wie die FAZ

am 30. Dezember meldete, somalische

Piraten die mit Erdölkoks beladene „EMS

River“, das der Papenburger Reederei Grona

Shipping hört. Nach Angaben des europäischen

Militärbündnisses EUZ Navfor

(European Union Naval Force Somalia), die

im Rahmen der Antipiraten-Mission Atalanta

vor der Küste Somalias unterwegs ist, seien

derzeit 25 Handelsschiffe mit insgesamt 587

Besatzungsmitgliedern in der Hand somalischer

Piraten. Bei diesem Überfall hätten die

Piraten offenbar von einem – zuvor ebenfalls

gekaperten – Mutterschiff aus agiert. Die Strategie,

kleine Schnellboote (Skiffs) von hochseetauglichen

Schiffen für Angriffe zu Wasser

zu lassen, scheine sich immer mehr durchzusetzen.

So könnten die Piraten auch fernab

der eigenen Küste ihr Unwesen treiben, was

die Schutzmöglichkeiten der Militärschiffe

sehr erschwere. Der deutsche Chemie tanker

„Marida Marguerite“ der Reederei OMCI

Shipmanagement, der Anfang Mai vor der

Küste Omans entführt worden war, ist jetzt

gegen die Zahlung eines Lösegeldes von

5,5 Millionen Dollar freigegeben worden. Der

Verband Deutscher Reeder (VDR) habe seine

Forderung nach einem besseren Schutz der

Seeleute erneuert.

Nach einem Bericht in der FAZ am 11. Februar

sind 2010 vor der Küste Somalias

49 Schiffe mit insgesamt 1.000 Seeleuten

entführt worden. Noch immer seien mehr

als 30 Schiffe in der Hand der Piraten, die

entweder um Lösegeld feilschten oder – wie

im Fall des Tankers „York“ – das gekaperte

Schiff als Mutterschiff einsetzten, um auch

fernab der Küste ihr Unwesen zu treiben.

Reeder wüssten sich nicht mehr anders zu

helfen, als privates Sicherheitspersonal an

Bord ihrer Schiffe zu nehmen. Das gehe ins

Geld: 60.000 bis 100.000 Dollar veranschlage

der Reeder Stolberg für drei bis vier

Sicherheitskräfte, die bis zu 9 Tage an Bord

bleiben. Ralf Nagel, Hauptgeschäftsführer des

Verbands Deutscher Reeder (VDR) sieht darin

„ein Staatsversagen“ und „einen Rückfall ins

Mittelalter“. Aber nicht zuletzt aus verfassungsrechtlichen

Gründen tue man sich hierzulande

noch sehr schwer damit, hoheitliche

Kräfte auf Handelsschiffen einzusetzen. Das

Gefahrengebiet vor Somalia zu meiden und

statt des Suezkanals die Route um das Kap

der Guten Hoffnung und die westafrikanische

Küste zu nehmen, sei auch keine Lösung,

zumal die Piratenattacken längst bis weit in

den Indischen Ozean hinein reichten.

Erstmals wolle ein deutscher Versicherungsvermittler

im großen Stil Policen gegen

Piratenüberfälle anbieten, meldet das

Handelsblatt am 24. Februar. Der Bremer

Versicherungsvertreter Lampe & Schwartze

wolle so Reedereien gegen Lösegeldforderungen

absichern. Branchenkreisen zufolge

wolle wahrscheinlich auch die Allianz demnächst

ein entsprechendes Angebot einführen.

Bisher hätten nur ausländische Konzerne

wie Aspen, Hiscox, Ascot oder Chubb solche

Versicherungen angeboten. Für die Reeder

werde auch zunehmend zum Problem, dass

die Piraten immer höhere Lösegeldforderungen

stellen. Genaue Zahlen gebe es

nicht, aber einige Experten schätzten, dass

inzwischen im Schnitt über 5 Millionen Euro

gezahlt werden. Je nach Route und Schiffstyp

verlangten die Assekuranzen für eine einzige

Fahrt 10.000 bis 45.000 Euro Prämie. Für

besonders gefährliche Routen habe sich die

Prämie in den letzten Jahren verzehnfacht.

Produktpiraterie

Der Zoll in Deutschland habe in den ersten

neun Monaten 2010 mehr gefälschte

Marken produkte beschlagnahmt als im

gesamten Jahr 2009, meldet die FAZ am


ong>Focusong> on Security 01-2011

25

7. Dezember. Bis Ende September griffen

die Beamten rund 15.280 Lieferungen auf

(2009: 9.622). Bemerkenswert sei, dass

die Mehrzahl der entdeckten Fälschungen

nicht mehr aus China stamme, sondern

aus Thailand, sagte der Parlamentarische

Staatssekretär im BMF, Hartmut Koschyk, bei

einem Besuch der Zentralstelle Gewerblicher

Rechtsschutz des Zolls in München. „China

entwickelt sich zu einem Land, in dem eigene

Marken und Patente entwickelt werden“,

sagte Koschyk.

Maschinenbaufirmen haben, wie die FAZ

am 18. Februar berichtet, allen Grund sich intensiv

Gedanken darüber zu machen, wie der

Nachbau kompletter Maschinen, der Einsatz

gefälschter Teile oder der Klau von Computer-Steuerungssystemen

verhindert werden

kann. Nach Untersuchungen des Branchenverbandes

VDMA sind die Plagiatskosten im

Verhältnis zum Branchenumsatz immer weiter

gestiegen. Zuletzt sei ein Anteil von 4 %

ermittelt worden. Das habe einem Schaden

von rund 6,4 Milliarden Euro entsprochen.

Daher habe der Verband vor gut einem Jahr

die AG Protecting.de ins Leben gerufen, die

Maschinenbauer mit Anbietern von Sicherheitstechnologien

zusammenbringen soll.

Typisch sei, dass ein Mittelständler erst dann

aktiv werde, wenn es in seinem Haus einen

konkreten Fall gegeben habe – etwa ein gefälschtes

Ersatzteil im Ausland, das nicht nur

eine Maschine lahm legt, sondern auch noch

einen teuren Gewährleistungsanspruch mit

sich bringt. Der VDMA lade seine Mitglieder

zu Fachtagungen ein. Hologramme mit integrierten

Nanotexten, verdeckt aufgedruckte

Leuchtpigmente, Sicherheitssoftware, Micro-

Farbcodes zur Rückverfolgung gefälschter

Teile – die Liste der Hightech-Lösungen im

Kampf gegen Fälscher sei ellenlang. Es gehe

aber nicht nur um den Kauf der Technologien,

dafür müssten im Betrieb auch die gesamten

Prozessketten verändert und Mitarbeiter

eingestellt werden.

Safety

Dipl.-Ing.(FH) Carsten Gregorius, Sick AG, beschreibt

in der Fachzeitschrift GIT (12/2010,

S. 54–56) ein workflow-orientiertes Sicherheits-Engineering

für eine risikogerechte

und lückenlose Maschinen- und Bedienersicherheit

mittels des Softwaretools Safexpert.

Die Sicherheitssoftware führt in 8 Schritten

durch den gesamten Konformitätsprozess bis

zum CE-Zeichen. Die professionell durchgeführte

Risikobeurteilung sei die beste Basis,

um alle sicherheitsrelevanten Funktionen an

den Maschinen oder Anlagen zu definieren.

In derselben Ausgabe wird eine weitere

Softwarelösung (Docufy machine safety)

vorgestellt, die den Prozess der Risikobeurteilung

und deren Dokumentation als Anforderung

an die CE-Kennzeichnung aufgrund

der neuen Maschinenrichtlinie 2006/42/EG

wesentlich erleichtern soll (S. 58/59).

Sicherheitsgewerbe

Deutschlands führende Sicherheitsdienstleister

erwarten für 2010 und in den

kommen den zehn Jahren deutliche Umsatzsteigerungen.

In einer Analyse des Marktforschungsunternehmens

Lünendonk wird

aufgrund einer Befragung von 35 großen

Sicherheitsunternehmen für 2010 ein Plus

von 4,2 %, für die Jahre bis 2015 im Durchschnitt

+ 6,3 % und anschließend + 6,8 %

erwartet. Vermutet werde, dass insbesondere

die Logistiksicherheit an Flug- und Seehäfen,

aber auch Sicherheitsaufgaben in Bahnhöfen

und Sportstadien, im Waren- und Personenverkehr

sowie bei Events an Bedeutung

gewinnen.


26 ong>Focusong> on Security 01-2011

Wie die FAZ am 17. Januar mitteilt, habe

der Bundesverband Deutscher Wach- und

Sicher heitsunternehmen (BDWS) die SPD-

Verhandlungsführerin im Vermittlungsausschuss

über die Hartz IV-Reform gebeten,

einer Paketlösung nur zuzustimmen, wenn

auch der Mindestlohn für Sicherheitsdienstleistungen

beschlossen wird. Das

Wachgewerbe wolle sich mit einer gesetzlichen

Lohnuntergrenze gegen den Zuzug

osteuropäischer Billig-Arbeitnehmer nach

der völligen Freigabe der Arbeitnehmerfreizügigkeit

in der EU von Mai an wappnen. Der

BDWS und die Gewerkschaft ver.di hatten im

April 2010 einen Mindestlohn-Tarifvertrag

für Sicherheitsdienste vereinbart. Er sehe

(gestaffelt nach Regionen) einen Mindestlohn

von 6,53 € von Mai 2011 an vor. Die

Untergrenze solle im März 2012 auf 7 € und

im März 2013 auf 7,50 € steigen. Nur wenn

die Bundesarbeitsministerin diesen Mindestlohn

für allgemeinverbindlich erkläre, sei es

möglich, die vereinbarten tariflichen Mindestlöhne

auch auf Unternehmen aus anderen

EU-Ländern zu erstrecken.

Am 2. Februar meldete die FAZ, die Regierungsparteien

hätten sich mit der SPD auf

Mindestlöhne auch für das Wach- und Sicherheitsgewerbe

geeinigt. Da das Sicherheitsgewerbe

ins Entsendegesetz aufgenommen sei,

könnten die Mindestlöhne (in Westdeutschland

6,5 –8,46 Euro, in Ostdeutschland

6,53 Euro) durch Verordnungen der Arbeitsministerin

erlassen werden.

Mit dem Einsatz von Sprengstoffspürhunden

in Industrie und Dienstleistungsgewerbe

befasst sich ein Beitrag von Bodo Hause und

Henri Ulitzsch in der Ausgabe 3/2011 der

Fachzeitschrift GIT. Das Sicherheitsgewerbe

sei mit steigender Nachfrage nach entsprechenden

Dienstleistungen konfrontiert. So

liege es nahe, einen einheitlichen Qualitätsstandard

für Hunde und Hundeführer zu

fordern (S. 20/21).

Sicherheitstechnik

Die intelligente Vernetzung von IT-Security

und Sicherheitstechnik beschreibt Erban

Kilic, Siemens AG, Building Technologies Division/Security

Systems, in der Fachzeitschrift

s+s report, (Ausgabe 6/2010, S. 43–45). Die

herkömmliche Trennung von IT-Security und

Gebäudesicherheit werde den komplexen

Sicherheitsanforderungen moderner Unternehmen

nicht länger gerecht. Voraussetzung

für die Implementierung eines ganzheitlichen

Sicherheitskonzepts sei die genaue Analyse

des Unternehmens und aller Faktoren, die

Einfluss auf seine Sicherheit nehmen.

Perimeterüberwachung durch intelligente

Kombination von mechanischem Widerstand

mit elektronischer Detektion (Lichtwellenleiter,

Schallmelder-Systeme, elektromagnetische

Sensoren, Bodendetektion, elektromechanische

Kontakte, Streckenmelder

und Videoüberwachung) wird in der Ausgabe

1/2011 der Fachzeitschrift WiK

thematisiert. In einer Matrix wird dargestellt,

welche Detektionssysteme sich wo eignen

(S. 45–49). Dasselbe Thema wird in der Ausgabe

3/2011 der Fachzeitschrift GIT behandelt.

Wer Industriegelände wirksam absichern

wolle, sollte die Anforderungen an die Zaunanlage

möglichst genau definieren (S. 48/49).

In derselben Ausgabe befasst sich Joachim

Reif, Reif GmbH, mit der kombinierten Alarmund

Videoüberwachung für Solarparks.

Vorgestellt wird eine Absicherungsmethode

speziell für Solarparks (S. 50–52).

Ulrich Schwieger, HeiTel Digtal Video GmbH,

zeigt in Security insight (Ausgabe 6/2010),

dass die elektronische Sicherheitstechnik

mehrere Gewerke, vor allem Einbruch- und

Gefahrenmelde- sowie Zutrittskontroll- und

Videoüberwachungsanlagen umfasst. Die

Einbruchmeldeanlage könne die Aufzeichnung

von Videosequenzen und die selektive

Videoalarmierung steuern. Sie könne auf-


ong>Focusong> on Security 01-2011

27

grund bestimmter Systemzustände, zum

Beispiel dem Öffnen oder Schließen einer Tür

oder dem Ansprechen eines Bewegungsmelder,

das Videosystem veranlassen, eine

bestimmte PTZ-Kamera entsprechend zu

positionieren. Darüber hinaus könne das

Videosystem veranlasst werden, ereignisselektive

Alarmierungsfunktionen durchzuführen

(S. 24–26).

Rainer Henß, Deutsche Post DHL, beschreibt

in derselben Fachzeitschrift die Vernetzung

der Sicherheitstechnik bei der Deutschen

Post DHL per IP unter Anbindung an einen

zentralen Server, der über eine Schnittstelle

die Personenstammdaten permanent abgleicht

(S.43–45).

Rechtsanwältin Petra Menge behandelt in

der Fachzeitschrift s+s report (6/2010) die

haftungsrechtliche Bedeutung nationaler und

internationaler Normen der Sicherungstechnik

(S. 46–53). An Beispielsfällen erläutert sie

die Haftungsrisiken von DIN-Normen nach

der Rechtsprechung. Grundsätzlich haben

DIN-Normen zwar keine Rechtsnormqualität.

Dennoch entfalten solche privatrechtlich

gesetzte Normen „indirekte gesetzliche

Wirkung“, denn sie spiegeln den Stand der für

die betroffenen Kreise geltenden anerkannten

Regeln der Technik wider und sind somit zur

Bestimmung des nach der Verkehrsauffassung

zur Sicherheit Gebotenen in besonderer

Weise geeignet.

In der Fachzeitschrift Security insight

(Aus gabe 6/2010) weist Peter Knapp, ZVEI,

auf zwei neue Broschüren des Fachverbandes

Sicherheit im Zentralverband Elektrotechnik

und Elektroindustrie e.V. /ZVEI) hin,

die über die Sicherheit an Schulen und die

Evakuierung von Gebäuden informieren. Im

Zentrum steht die Gefahrenmeldetechnik,

sukzessive kommen Fluchtweglenkung,

Videoüber wachung und Zutrittskontrolle

hinzu (S. 30–33).

In derselben Ausgabe werden die juristischen

Grenzen der Videoüberwachung skizziert

(S. 53–57). Schon die Möglichkeit, vom Empfangsmonitor

in einer Wohnung per Taster

nachzusehen, ob jemand vor der Tür steht,

führe dazu, dass sich vor der Eingangstüre

aufhaltende Personen unbemerkt beobachtet

werden können.

Dr. Matthias G. Döring, Geutebrück GmbH,

plädiert in der Fachzeitschrift WiK (6/2010)

für spezielle Kompressionslösungen, um

das eigentliche Ziel von CCTV, die qualitativ

hochwertige Erfassung sicherheitsrelevanter

Information, zu erreichen. Die aus

dem Multimedia-Umfeld übernommenen

Kompressionsprodukte (etwa H.264- oder

MPEG 4-Encoder) schränkten die Leistungsfähigkeit

der Systeme unnötig ein (S. 67–69).

David Hammond, Sanyo GmbH, befasst sich

in der Ausgabe 3/2011 der Fachzeitschrift

GIT mit HD (High Definition)-Kameras. Ein

Schlüsselbestandteil dieses Standards sei,

dass die Kamera ein Bildschirmformat von

16:9 aufweist. Dieses Format eröffne ein viel

größeres Blickfeld als dies beim herkömmlichen

4:3-Bild der Fall sei. Und weil eben alle

HD-Kameras auch Megapixel-Kameras seien,

könne der Nutzer in einen kleinen Bildausschnitt

hineinzoomen (S. 42–44).

In der Januarausgabe des Behörden Spiegel

wird der Erfolg der Videoüberwachung

öffentlicher Straßen und Plätze bewertet.

Die Erfahrungen sei dem Jahr 2000 zeigten

laut Innenminister Rhein, dass potenzielle

Täter abgeschreckt würden, dass beim

Erkennen von Gefährdungen und Straftaten

unmittelbar polizeiliche Maßnahmen getroffen

werden könnten und bei begangenen

Straftaten Beweissicherungs- und Identifizierungsmaßnahmen

möglich seien. Die

Landesregierung unterstütze Kommunen,

die Videoüberwachung im öffentlichen Raum

planen. Bis zum Frühjahr 2011 würden

hessenweit voraussichtlich in 13 Städten

16 Bildaufzeichnungsanlagen mit insgesamt

83 Kameras in Betrieb sein.


28 ong>Focusong> on Security 01-2011

Spionage

Deutschlands Hochtechnologieunternehmen

– gerade im innovativen Mittelstand – seien

vermehrt Ziel von Spionageangriffen ausländischer

Nachrichtendienste sowie Konkurrenten

aus dem Ausland, berichtet die Hochrhein-Zeitung

am 7. Januar unter Berufung

von ASW-Geschäftsführer Berthold Stoppelkamp.

Nach seiner Auffassung gehen trotz

dieser Bedrohungslage viele Unternehmen

zu sorglos mit dem Schutz von Betriebsgeheimnissen,

gerade im Forschungsbereich,

um. Für eine effektivere Spionageabwehr

in der Wirtschaft sei erstens erforderlich,

dass sich die betroffenen Unternehmen bei

Verdachtsfällen frühzeitiger mit den Verfassungsschutzbehörden

in Bund und Ländern

in Verbindung setzen. Zweitens sollte es der

Bundesgesetzgeber vermeiden, Gesetzlichkeiten

zu beschließen, die den Unternehmen

die Unterstützung der staatlichen Stellen

bei der Bekämpfung und Verfolgung von

Spionageangriffen erschweren. Es gehe beim

Wirtschaftsschutz um die Sicherung des

Wirtschaftsstandortes Deutschland und den

Erwerb bzw. den Erhalt von Technologieführerschaft

in Schlüsseltechnologien.

Wegen zunehmender Spionagegefahr habe

der Verfassungsschutz Manager eindringlich

zur Vorsicht bei Reisen nach China und

Russland geraten. Der Vizepräsident des

Bundesamtes für Verfassungsschutz (BfV),

Eisvogel, habe der „Wirtschaftswoche“ gesagt,

auf Auslandsreisen sollten nur noch „ein

nackter Reiselaptop und ein nacktes Reisehandy“

ohne gespeicherte Dateien mitgenommen

werden. Vor Reiseantritt sollten alle

sensiblen Daten von Laptop und internetfähigen

Handys gelöscht werden. Die Empfehlung

gelte insbesondere für Risikoländer wie

China und Russland. Weil die Geheimdienste

dort E-Mails mitlesen und Telefonate mithören,

sollten solche Formen der Kommunikation

möglichst vermieden werden.

Nach einem Bericht des Handelsblatts vom

10. Januar hat Renault drei Top-Manager

wegen des Verdachts der Industriespionage

von der Arbeit suspendiert. Sie sollen versucht

haben, die Geheimnisse von Renaults

E-Autoprogramm zu stehlen. Vorangegangen

seien vier Monate dauernde interne Ermittlungen.

Geld soll das Hauptmotiv für die

Attacke gewesen sein. Die drei Verdächtigen

hätten Geld über ein komplexes System

ausländischer Briefkastengesellschaften bezogen.

Ein französischer Autozulieferer habe

dabei als Mittler zwischen den Renault-Managern

und chinesischen Kontaktleuten gedient.

Allerdings seien keine strategisch wichtigen

Informationen nach außen gedrungen. Es

seien auch keine Details der 200 Patente

betroffen, die der französische Autohersteller

derzeit anmelden wolle.

Die Verdächtigen hätten dagegen Informationen

über die Architektur der Elektroautos,

ihre Kosten und ihr Geschäftsmodell an

Dritte weitergereicht. Hinter der Affäre stehe

ein „ organisiertes System zur Sammlung

wirtschaftlicher, technischer und strategischer

Informationen, das Interessen im Ausland dienen

soll“. Nach Angaben von Oliver Buquen,

dem französischen Regierungsbeauftragten

für strategische Wirtschaftsinformationen,

haben die Fälle der Industriespionage in den

vergangenen fünf Jahren dramatisch zugenommen.

Es gebe mehrere Tausend Fälle.

Mittlerweile würden auch kleine Unternehmen

aus spioniert.

Da es derzeit aber nur wenig juristische

Handhabe gebe, würden die meisten

Unternehmen auf eine Anzeige verzichten.

Industriespionage sei derzeit kein eigener

Straftatbestand im französischen Rechtssystem.

Das solle sich bald ändern.


ong>Focusong> on Security 01-2011

29

Terrorismus

Mitte Dezember 2010 hat das BKA folgende

aktuelle Gefährdungslage zum islamistischen

Terrorismus veröffentlicht:

„Deutsche Interessen im In- und Ausland

unterliegen weiterhin verstärkt hohen

Gefährdungen durch den internationalen

islamistischen Terrorismus. Diese können

sich jederzeit in Form von Anschlägen

unter schiedlicher Dimension und Intensität

realisieren. Wesentliche Aspekte für diese

Bewertung sind aktuelle Analysen über

strategische Zielsetzungen und Aktivitäten

von Al Qaida und affinen terroristischen

Personen und Gruppierungen, die Existenz

eines gewaltbereiten islamistischen Spektrums

in Deutschland, stetige Reisebewegungen

dieser Personen in das afghanisch-pakistanische

Grenzgebiet sowie die anhaltende

Verbreitung von Verlautbarungen mit direktem

Deutschlandbezug. Von den Personen,

die sich zum Zweck einer islamistischenterroristischen

Ausbildung in das afghanischpakistanische

Grenzgebiet begeben haben

und wieder nach Deutschland zurückgekehrt

sind, geht in diesem Zusammenhang eine

besondere Bedrohung aus. Unverändert

sind emotionalisierte und fanatisierte Einzeltäter,

die keine Ausbildungslager durchlaufen

haben, ebenfalls zu berücksichtigen. Seit

Mitte des Jahres 2010 verzeichnet das

BKA verstärkt Hinweise, wonach die Terrororganisation

Al-Qaida längerfristig plane,

Anschläge in den USA, in Europa und auch in

Deutschland zu begehen.

Die deutschen Sicherheitsbehörden gehen

dabei von drei verschiedenen Bedrohungsszenarien

durch den internationalen Terrorismus

aus:

1. Die Ende Oktober versuchten Anschläge

auf den internationalen Frachtflugverkehr, zu

denen sich der regionale Al Qaida-Ableger

namens „AlQaida auf der arabischen Halbinsel“

authentisch bekannt hat, waren Beleg für

die Anpassungsfähigkeit und Beharrlichkeit

terroristischer Täter bei der Verfolgung ihrer

Ziele. Sie waren zugleich eine Bestätigung für

die Zuverlässigkeit mancher Hinweise.

2. Nach Hinweis eines ausländischen Partners,

der die Sicherheitsbehörden nach dem

Jemen-Vorgang erreichte, sollte Ende November

2010 ein mutmaßliches Anschlagsvorhaben

umgesetzt werden.

3. Jüngste eigene Ermittlungsergebnisse

des BKA im Zusammenhang mit Personen

aus dem islamistischen Spektrum bestätigen

erneut und unabhängig davon die nachhaltigen

Bestrebungen islamistischer Gruppen zu

Anschlagsplanungen in Deutschland.

Innerhalb kürzester Zeit sind für die Sicherheitslage

in Deutschland relevante Sachverhalte

bekannt geworden. Das hohe Maß an

nunmehr zeit- und inhaltlichen Übereinstimmungen

mit den bisherigen Hinweisen hat

die Lage verändert. Die Sicherheitsbehörden

des Bundes und der Länder sind auf diese

Situation vorbereitet. Bereits im Zusammenhang

mit der erhöhten Bedrohungslage zur

Bundestagswahl 2009 sind umfangreiche

Maßnahmenkonzeptionen erarbeitet worden,

die jetzt erneut zur Anwendung kommen. Die

Polizeien des Bundes und der Länder werden

daher bis auf weiteres der aktuellen Gefährdungslage

mit abgestimmten und lageangepassten

Sicherheitsmaßnahmen Rechnung

tragen.“

Das Handelsblatt meldet am 12. Januar,

Bundesinnenminister de Maizière wolle noch

keine Entwarnung geben, obwohl die Gefahr

islamistischer Terroranschläge im öffentlichen

Leben Deutschlands längst in den Hintergrund

geraten sei. Die im November 2010

angeordneten Sicherheitsmaßnahmen würden

in absehbarer Zeit nicht zurückgefahren.

Die FAZ befasst sich am 13. Dezember mit

einer Reihe von Bedrohungen und Attentatsversuchen

radikaler Islamisten gegen Ziele


30 ong>Focusong> on Security 01-2011

in Europa. Als vorgebliches Motiv nennen

Terrorgruppen in Selbstbezichtigungen

immer wieder das Engagement der Europäer

beim Aufbau Afghanistans sowie die Veröffentlichung

von so genannten Mohammed-

Karikaturen. Ende 2009 hatte der dänische

Geheimdienst gemeinsam mit dem FBI nach

eigenen Angaben einen Anschlag auf die

dänische Zeitung „Jyllands-Posten“ vereitelt,

in der 2005 die Mohammed-Karikaturen erschienen.

Im Juli 2010 nahmen norwegische

Sicherheitsbehörden mit deutscher Unterstützung

drei Terrorverdächtige fest, denen

die Vorbereitung eines Anschlags vorgeworfen

wird. Im November wurden in Belgien,

den Niederlanden und Deutschland zehn

Terrorverdächtige festgenommen. Sie sollen

einen Anschlag in Belgien geplant haben.

In den Wochen davor waren in Frankreich,

Großbritannien und dann auch in Deutschland

akute Terrorwarnungen ausgegeben worden.

Während Frankreich im Fokus von Al-Qaida

im Maghreb stehe, sehen sich Deutschland

und Großbritannien Bedrohungen von Al

Qaida-Gruppen aus Pakistan und dem Jemen

ausgesetzt.

Unternehmenssicherheit

Die Fachzeitschrift WiK befasst sich in ihrer

Ausgabe 6/2010 (S. 49/50) mit der im

Februar 2010 veröffentlichten ISO/IEC-Norm

27003 (Information security management

system implementation guidance). Der

Standard beschreibe, wie ein Informationssicherheits-Managementsystem

(ISMS)

geplant und entworfen wird. Das beschriebene

Vorgehensmodell sei eine Empfehlung.

Vorgestellt werden die fünf Projektphasen:

1. Projektinitiierung und -genehmigung

2. Anwendungsbereich und ISMS-Policy

3. Analyse der Sicherheitsanforderungen und

des aktuellen Status

4. Risikoabschätzung und Planung der

Risikobehandlung

5. Entwurf ISMS

Am Ende von Phase 5 sollte ein umfassender,

vom Management genehmigter Projektplan

zur Umsetzung des geplanten ISMS

vorliegen.

In der Ausgabe 1/2011 dieser Zeitschrift

werde Ergebnisse der „WiK-Sicherheitsenquete

2010/2011“ wiedergegeben. Danach

gehen Sicherheitsexperten in der deutschen

Wirtschaft davon aus, dass künftig mit einer

höheren Gefährdung durch Angriffe auf die

IT und Telekommunikation sowie durch Ausspähung

zu rechnen ist (S.12/13).

Zutrittskontrolle

Der Anspruch an die Funktionalität von

Vereinzelungsanlagen zur Zutrittskontrolle

sei bei den Applikationen im Freizeitbereich

ungleich höher als bei Gewerbe- und Industrieobjekten,

ist die Fachzeitschrift GIT

(Ausgabe 12/2010, S. 32-34) überzeugt. Es

sei wichtig zu unterscheiden, ob die Benutzer

Menschen seien, die die Anlage täglich

passieren müssen, weil dies ihr Weg zum Arbeitsplatz

ist – oder ob es um Gäste geht, die

nur hin und wieder kommen. Die Wahl des

passenden Sperrentyps für den jeweiligen

Zutrittszweck sei ein wesentlicher Erfolgsfaktor.

Leicht nachvollziehbar sei die Einteilung

in übermannshohe Portaldrehkreuze für die

Umzäunung, mannshohe oder schulterhohe

Drehkreuze für nicht personell bewachte

Zugänge sowie schließlich hüfthohe Einheiten

für Bereiche, die von Ordnungskräften

beaufsichtigt werden.


Impressum

ong>Focusong> on Security enthält Informationen zum Unternehmensschutz und wird sechs Mal

jährlich herausgegeben. Der ong>Focusong> on Security erscheint sowohl in gedruckter Form in

einer Auflage von 2.000 Exemplaren als auch per elektronischem Newsletter, der an

1.800 Abonnenten verteilt wird.

Hinweis der Redaktion:

Sämtliche Personenbezeichnungen im Plural gelten auch ohne ausdrückliche Nennung

gleichermaßen für männliche und weibliche Personen.

Herausgeber:

Manfred Buhl, Vorsitzender der Geschäftsführung, Düsseldorf

Verantwortlicher Redakteur:

Sven Wieboldt, Pressesprecher, Berlin

Beratende Redakteure:

• Reinhard Rupprecht, Bonn

• Axel Leyendecker, Geschäftsführer Key Account, Berlin

• Birgit Dräger, Leiterin Unternehmenskommunikation, Berlin

focus.securitas.de

Kontakt

SECURITAS Deutschland Holding GmbH & Co. KG

Zweigniederlassung Berlin

Redaktion ong>Focusong> on Security

Hallesches Ufer 74–76

D-10963 Berlin

Sitz der Hauptniederlassung: Düsseldorf,

Amtsgericht Düsseldorf HRA 14554

Persönlich haftende Gesellschafterin: SECURITAS

Deutschland Holding Beteiligungs GmbH

Sitz Düsseldorf, Amtsgericht Düsseldorf HRB 40257

Geschäftsführer: Manfred Buhl (Vors.), Waldemar

Marks, Roswitha Seemann, Alfred Dunkel

Vorsitzender des Aufsichtsrates: Dr. Carl A. Schade

E-Mail: info@securitas.de

Weitere Magazine dieses Users
Ähnliche Magazine