Textprobe: Kapitel 3, Diebstahl: Allgemeines: Als Facility Manager sollte man sich Gedanken über Diebstahl und dem damit verbundenen Diebstahlschutz gemacht haben. Umso mehr weil etwa 80 Prozent der Diebstähle von innen, also durch Mitarbeiter bewusst oder durch nachlässigen Umgang mit Sicherheitsvorschriften erfolgen. Dabei ist die Größe des Unternehmens nicht von Bedeutung. Hier reicht manchmal schon die Verbesserung der internen Kontroll- und Steuerungssysteme durch den Facility Manager. Aufgrund der hohen Anzahl der verschiedenen Arten von Diebstählen, konzentriere ich mich in dieser Arbeit nur auf den gebäudeinternen Diebstahl. Prävention: In weiterer Folge führe ich verschiedene Diebstahlarten an. PC-Datendiebstahl durch Mitarbeiter: Hardwarediebstahl: Um den Diebstahl von Hardwarekomponenten vorzubeugen, können folgende Varianten der Prävention getroffen werden: Installierung von verschließbaren Einschüben in die Diskettenschächte (geht auch bei CD-ROM Laufwerken) bei PCs. Verankerung der PCs an den Arbeitsplätzen gegen unbefugtes Entfernen realisieren. Das Gehäuse gegen Diebstahl von Festplatten, Einschüben mit speziellen Funktionen, etc. sichern. Laptops mit Inventaretiketten versehen, sind dadurch eindeutig gekennzeichnet. Softwarediebstahl: Auch hier lassen sich einige Varianten der Vorbeugung leicht realisieren: Festlegung der Bereiche, in denen sich Datenträger befinden dürfen. Festlegung der Personen, die aus diesen Bereichen befugt Datenträger entfernen dürfen. Kontrolle der Entfernung von Datenträgern. Absicherung von Bereichen, in denen sich Datenträger befinden. Datenträgerverwaltung. regelmäßige Bestandskontrollen durchführen. Festlegung von Sanktionen bei Zuwiderhandeln. Einführung von Zugriffschutzsystemen bei PC-Netzwerken bestehend aus Passwortverwaltung (jeder User verwendet sein eigenes geheimes Passwort) Anwenderverwaltung (jeder User wird mit ID, Passwort & Nutzungsrechten im EDV-System angelegt). Zugriffsberechtigungen (Lese-, Schreib-, Löschrechte) vergeben. Speicherung von Daten in sensiblen Bereichen nur in verschlüsselter Form. Time-out Installation (nach einer vorbestimmten Zeit meldet sich das System automatisch ab, wenn keine Aktivitäten am PC durchgeführt werden, z.B. in Pausen) realisieren. Da das Internet auch eine Bedrohung für das Unternehmen darstellen kann, ist die Installierung von Sicherheitssystemen, wie Firewalls, etc. ratsam. Meist wird jedoch über ein derartiges System erst nach einem Anlassfall nachgedacht. Die Festlegung wer von den Mitarbeitern Zugriff ins Internet haben soll, kann helfen Schäden zu vermeiden. Auch die Internetseiten, auf die zugegriffen werden kann, sollten möglichst vor der Freischaltung feststehen. Aber auch andere Formen des Diebstahls sind nicht zu unterschätzen, da sie auf Dauer zu unnötigen Mehrkosten führen. Exemplarisch für die unterschiedlichsten Formen des Diebstahls möchte ich folgende Arten nennen: Diebstahl von Arbeitsmitteln (wie Material, Arbeitsschutzkleidung, Werkzeug, etc.): Stichprobenartige Überprüfungen der Tätigkeiten oder des Materiallagers seitens des Facility Managers (natürlich unter der Bedachtnahme der arbeitsrechtlichen Bedingungen), können hier schon helfen. Dies setzt jedoch ein bewusstes Freihalten von Zeitressourcen voraus, welches auf Grund des Tagesgeschäftes nicht immer möglich ist. Auch sollte ein Mitarbeiter für jedes ihm überlassene Arbeitsmittel eine Erklärung unterschreiben, in der auch das Thema Diebstahl abgehandelt wird. Erfahrungsgemäß ist die Einbeziehung des vorhandenen Betriebsrates in solchen Angelegenheiten von Vorteil. Diebstahl von unbeaufsichtigten Einrichtungsgegenständen in den Allgemeinbereichen des Gebäudes: Darunter fallen unter anderem: Diebstahl von Feuerlöschern, jeglicher Bauart. Diebstahl von Möbeln (z.B. bei einem Umzug). Diebstahl von Hinweisschildern, Wegweisern, Türnamensschilder, etc. Gegen derartigen Diebstahl ist man als Facility Manager ziemlich machtlos, da die Chancen jemanden auf frischer Tat zu ertappen, gleich null sind. Da man nicht überall gleichzeitig präsent sein kann, wäre hier die Delegation an andere Personen, wie Wachpersonal, Techniker, etc. sinnvoll. Diese Personen sollten dann mit offenen Augen in unregelmäßigen Abständen, jedoch öfters in der Woche durch das Gebäude gehen, um so Diebstähle frühzeitig zu entdecken und weitermelden zu können. Um ein effektives Security-System (= Abwehr von rechtswidrigen Angriffen) in dem zu betreuenden Gebäude zu gewährleisten, müssen jene Personen, die mit Kontrollgängen beauftragt sind, wissen was zu tun ist - in der Regel sind dies Bewachungsdienste. Dazu muss der Facility Manager ein Konzept erstellen, in dem unter anderem folgendes enthalten sein soll: Festlegung von zielorientierten Innenkontrollen (Ablauf der Kontrollgänge, wie und was zu kontrollieren ist, etc.) Häufigkeit der Kontrollen. Sicherheitsprioritäten definieren. Sicherheitsmaßnahmen im Diebstahlfall festlegen. Sicherheitsdokumentation festlegen. Auch spielt die Qualifikation des dafür eingesetzten Personals eine entscheidende Rolle. Wenn nicht ausgebildetes Personal, in Bezug auf das zu betreuende Gebäude, genommen wird, können zusätzliche Probleme im Ernstfall durch Beschwerden für den Facility Manager auftreten. Diebstahl von Zutrittskarten: Existiert ein elektronisches Zutrittssystem in dem zu betreuenden Gebäude, wäre es ratsam, die dafür benötigten Zutrittskarten anonym zu gestalten. Viele Firmen haben auf den Zutrittskarten ihr Logo, eine Nummer, sowie den Namen samt Foto des Mitarbeiters aufgedruckt. Bei einem Diebstahl derartiger Karten wird dem Dieb dadurch ein Zutritt ins Gebäude sehr leicht gemacht. Wenn nun in so einem Fall des Diebstahls der betroffene Mitarbeiter nicht unverzüglich eine Meldung an das Team des Facility Managers durchführt, kann dieses auch nicht die Sperrung der gestohlenen Karte veranlassen und damit einen missbräuchlichen Zutritt verhindern. Deshalb muss auch den Mitarbeitern von Gebäudemietern diese Thematik bewusst gemacht werden, am besten in schriftlicher Form (z.B. bei der Ausgabe der Zutrittskarten unterschreibt der Mitarbeiter eine Erklärung und eine Kopie wird ihm mitgegeben). Tätigkeiten im Falle eines Diebstahles: Bei Entdeckung eines Diebstahls ist abhängig vom Diebesgut die Geschwindigkeit der Reaktion maßgeblich. So muss bei einem Verlust von Zutrittskarten anders reagiert werden, als wenn ein Einrichtungsgegenstand aus den Allgemeinbereichen des Gebäudes gestohlen wird. Bei Verlust von z.B. Zutrittskarten ist die Sperrung dieser Karte erforderlich, um unbefugten Personen den Zutritt verwehren zu können. Der Facility Manager muss für diesen Fall nur vorher festlegen, wer diese Sperrung durchführen darf. Dabei sollte auf keinen Fall auf Sonderfälle vergessen werden, wie man z.B. an Feiertagen, Wochenenden, etc. reagiert und wie diese Reaktion geschehen soll. Die Vorgehensweise bei Abklärung von versicherungsrechtlichen Maßnahmen in einem Falle des Diebstahles von versicherten Gegenständen muss klar in einer Struktur ablaufen, die vom Facility Manager vorgegeben wird. Der Umstand, dass mehrere Personen (wie der bestohlene Mitarbeiter eines Gebäudemieters, der Gebäudeeigentümer, sowie der Facility Manager) in einem derartigen Fall des Diebstahles involviert sind, sollte nach außen nicht ersichtlich sein. Man stelle sich vor, die Versicherung müsste zur finanziellen Abwicklung dieses Falles mit etlichen verschiedenen Personen zusammenarbeiten, lässt Rückschlüsse auf die Kompetenz des eingesetzten Facility Managers zu. Daher sind klare Vorgehensweisen ein nicht zu unterschätzender Faktor. Weiters ist die rechtliche Abwicklung eines Datendiebstahles im Vorhinein zu regeln, da viele Firmen aus Angst vor Imageschäden auf Anzeigen bei der Polizei verzichten. Diese Vorgehensweise kann bei Datenverlusten durch Computerviren bzw. Hackern, die mittels Internet Daten aus Computernetzwerken stehlen bzw. Daten zerstören, zu noch größeren Schäden führen. Beim Hard- bzw. Softwarediebstahl durch Mitarbeiter ist eine Reaktion meist äußerst schwierig. Da es sich um Personen handelt, die vielleicht aus persönlichen Gründen sich zu derartigen Diebstählen hinreißen haben lassen oder von unternehmensfremden Personen dazu animiert wurden, ist hier besonders die soziale Kompetenz des Facility Managers gefragt. Nur durch eine eingehende Behandlung von derartigen Fällen des Diebstahles, vielleicht sogar gemeinsam mit dem Mitarbeiter, der den Diebstahl begangen hat, lassen sich lückenhafte Strukturen am ehesten erkennen und Maßnahmen zur Beseitigung durch den Facility Manager erarbeiten. Die Gefahr bei einer zu raschen Reaktion durch Entlassung des betreffenden Mitarbeiters besteht darin, die Lücken der vorhandenen Struktur nicht finden zu können und damit für die Zukunft angreifbar zu bleiben. Nicht zu unterschätzen sind auch die 1x pro Jahr durchzuführenden Mitarbeitergespräche. Durch eine intensive Auseinandersetzung mit den Problemen der Mitarbeiter lassen sich mögliche Gefahren dadurch besser erkennen und verhindern damit bereits im Ansatz die Anfälligkeit von einzelnen Personen innerhalb des Unternehmens. Außerdem kann man mit diesem Instrument Potentiale von Mitarbeitern besser erkennen und für die Verbesserung von Strukturen heranziehen. Nach einem Diebstahl: Sollte es trotz präventiver Maßnahmen zu Diebstählen kommen, ist eine genaue Analyse jedes einzelnen Diebstahls unumgänglich. Einem verantwortungsvollen Facility Manager darf die Häufigkeit von Diebstählen, egal welcher Art, nicht egal sein. Nur eine genaue Beobachtung von Häufigkeiten und den damit verbundenen Maßnahmen zur Vereitlung können zur internen Strukturverbesserungen dienen. Doch die Erfahrung zeigt, dass erst im Anlassfall reagiert wird und die Weitsichtigkeit meist auf der Strecke bleibt. Aus diesem Verdacht heraus und um Daten über das Sicherheitsbewusstsein von Firmen die Facility Management anbieten erhalten zu können, wurde von mir ein Fragebogen erarbeitet, den ich an 30 Firmen aus der FM-Branche versandt habe. Die Rücklaufquote von 10 Fragebögen und den darin enthaltenen Antworten lassen einen Rückschluss auf ein noch nicht ausgereiftes Sicherheitsbewusstsein innerhalb der FM-Branche zu (näheres dazu am Ende meines Buches). Da Datendiebstähle einen nicht zu unterschätzenden volkswirtschaftlichen Schaden anrichten können, wurde seitens des B.M.I. eine eigene Abteilung (Abteilung II/16-ITB) ins Leben gerufen, die sich seit 1999 mit Computerkriminalität verschiedenster Arten auseinandersetzt (wie Virusattacken durch E-Mails, Hackerangriffen durch das Internet, Datendiebstahl, etc.) und von Firmen in Anspruch genommen werden kann und auch zunehmend in Anspruch genommen wird. Eine weitere Vorgehensweise stellt die Verschlüsselung von Daten dar. Diese Art der Datensicherung macht es Internetusern schwieriger Firmendaten auszukundschaften. Auch das Verändern von Firmenwebseiten sollte verhindert werden, wird jedoch erst nach einem Anlassfall behandelt. Häufig sind die Kosten für ein Datensicherungssystem nach einem Anlassfall bedeutend größer, da Schäden behoben werden müssen und erst danach mit der Installation von Sicherungssystemen begonnen werden kann. Diese Tätigkeiten sind meist mit hohen Fachpersonalkosten verbunden, die extern zugekauft werden müssen, da das Eigenpersonal nicht über entsprechende Qualifikationen verfügt und somit ein Vielfaches an Zeit, Geld und Ressourcen in Anspruch nehmen. Daher ist ein geschulter EDV-Mitarbeiter zwar kostenintensiv, dafür aber ist die Wahrscheinlichkeit von Hackern und Virusattacken verschont zu werden, um vieles höher. Die gängige Praxis aus Kostengründen einen EDV Studenten stundenweise zu engagieren, kann aus oben genannten Grund fatale Folgen haben und sich so auswirken, als ob man keinen EDV-Techniker hätte.