Zusammenfassung
Der allumfassende deutsche Begriff "Sicherheit" wird im englischen Sprachgebrauch differenzierter betrachtet. Während die Safety sich mit den inhärenten (innewohnenden) Gefährdungen beschäftigt, ist das Spektrum der Security auf intentionale (gezielte) Gefährdungen fokussiert. Anders formuliert: der "zufällige" Unfall (Safety) sowie der beabsichtigte "böse" Vorsatz (Security) und deren Folgen. Der Übergang zwischen den beiden Disziplinen ist jedoch fließend, wird aber manchmal dadurch erschwert, dass sich die Begriffsdefinitionen unterscheiden.
Schon immer gab es gemeinsame Schnittstellen. Beispiele sind Reisetätigkeiten, Überfall, Einbruch, Sabotage, Vandalismus, Datenschutz, IT-Sicherheit (einschließlich Maschinensicherheit) und Notfallorganisation (einschließlich Brandschutz). Diese nehmen aber gerade im Kontext der digitalen Transformation weiter zu. Insofern ist es wichtig, sich gemeinsam zu verständigen und mögliche Zielkonflikte auszuräumen.
Um effektive Maßnahmen abzuleiten, muss die Gefährdungsbeurteilung, obwohl Instrument der Safety, auch Security-Aspekte mit abdecken. Dazu ist Interdisziplinarität zwischen Security und Safety nötig.
1 Unterschiede und Gemeinsamkeiten von Safety und Security
Grundsätzlich kann man davon ausgehen, dass ein Mitarbeiter nicht mit dem Gedanken in den Betrieb fährt, am gleichen Tag vom Rettungswagen ins Krankenhaus gebracht zu werden. Ebenso hat der Betrieb kein Interesse daran, den Produktionsprozess durch einen Arbeitsunfall unterbrechen zu lassen. Die klassische Safety kümmert sich darum zu verhindern, dass doch etwas passiert. Das fängt bei der Maschinen- und Anlagensicherheit an und hört beim Verhalten (Stichwort Präventions- und Sicherheitskultur) auf. Die wesentlichen Gestaltungsfelder liegen im technischen, organisatorischen und personenbezogenen Bereich, wobei das oberste Ziel ist, eine Gefahrenquelle möglichst zu vermeiden, zu substituieren durch weniger gefährliche oder auch die Energie aus dem Gefährdungsfaktor herauszunehmen. Konflikte gibt es bei der Bewertung der Gefährdung (z. B. ist das Beamer-Kabel über den Fußboden im Vortragsraum nicht mehr tolerabel oder noch akzeptierbar) und bei den daraus resultierenden Maßnahmen in den jeweiligen Gestaltungsfeldern. Schnell wird jedoch meist bei der Formulierung der Schutzziele ein Konsens erreicht.
Die Grundprämisse in der Safety ist: Niemand will absichtlich einen Schaden herbeiführen. Es geht um die Vermeidung inhärenter Gefahren. Hier unterscheidet sich die Safety von der Security. Letztere geht davon aus, dass es entweder intern oder extern "böse Absichten" gibt, entweder um sich selbst oder Dritten einen Vorteil (Geld, Gegenstände, Frustabbau, …) zu verschaffen oder um gezielt Dritten einen Schaden zuzufügen (z. B. aus Rache für eine disziplinarrechtliche Maßnahme oder weil die Firma in der Nachbarschaft den schönen Blick auf die Natur verbaut hat). Ähnlich anzusiedeln sind gezielte politisch motivierte Straftaten und die damit verbundenen "Kollateralschäden" – ohne hier jetzt eine Wertung über deren Rechtfertigungsgründe (Fanatismus, Idealismus, religiöser Eifer, Systemkritik etc.) vornehmen zu wollen. Die Security beschäftigt sich also i. W. mit intentionalen Gefahren.
Auch in der Security gelten Gestaltungsfelder im technischen, organisatorischen oder personenbezogenen Bereich. Jeder, der schon einmal in einem Verkehrsflughafen die Check-in-Kontrollen erlebt hat, hatte mit allen 3 Gestaltungsfeldern zu tun. Mit der Verhinderung eines Attentats auf ein Flugzeug hat die Security aber auch eine Menge zur Safety beigetragen. Bewusst wird dies erst dann, wenn die Mechanismen (unerkannte) Lücken haben, wie z. B. bei Absturz der German-Wings-Maschine im Jahr 2015 mit 150 Opfern.
Große Gemeinsamkeiten zwischen Security und Safety gibt es im Risikomanagement und in der Krisenkommunikation. Hier sind die Verantwortlichen gefragt, geeignete Managementmechanismen zu finden. Für das Risikomanagement gibt es normative Empfehlungen. Zusätzlich werden in speziellen Bereichen weitere Eckpunkte erfasst, so z. B. im Finanzwesen durch das Ranking des Unternehmens oder im Umweltsektor durch Abschätzung von Gewässer- oder Bodengefährdung, Störfallszenarien sowie Umweltverträglichkeitsprüfungen.
Schwieriger ist die Krisenkommunikation. Der mögliche Schaden, z. B. am Aktienkurs oder im Image als attraktiver Arbeitgeber, verschlimmert oder verbessert sich durch eine entsprechende Aufklärung der Öffentlichkeit und der Medien nach einem entsprechenden Vorfall. Es ist egal, ob es sich dabei um einen tödlichen Arbeitsunfall, einen Cyber-Angriff auf Unternehmensdaten, einen großen Gebäudebrand oder eine erhebliche Umweltverschmutzung handelt. Es hilft nichts, die Medien zu belügen, es hilft auch nichts, mit Spekulationen weiteren Gerüchten Vorschub zu leisten, und es hilft nichts, eine komplette Nachrichtensperre zu verhängen.
Die nötigen Maßnahmen der Krisenkommunikation müssen natürlich an das Unternehmensprofil angepasst werden. Beachtet werden müssen dabei u. a. die Unte...