Focus on Security 1-2011 - Securitas

<strong>Focus</strong> on Security
Ausgabe 1, Februar 2011

2 <strong>Focus</strong> on Security 01-2011
Informationen zum Unternehmensschutz
Arbeitsschutz Seite 3
Bankensicherheit Seite 3
Betrug Seite 4
Brandschutz Seite 4
Compliance Seite 6
Datendiebstahl Seite 8
Diebstahl Seite 9
Evakuierung Seite 9
Extremismus Seite 9
Geldfälschung Seite 10
Geld- und Wertdienstleistung Seite 10
Hotelsicherheit Seite 11
IT-Sicherheit Seite 11
IuK-Kriminalität Seite 14
Korruption Seite 17
Kriminalität Seite 18
Krisenregionen Seite 19
Kritische Infrastrukturen Seite 19
Ladendiebstahl Seite 20
Leitstellensicherheit Seite 21
Logistiksicherheit Seite 22
Luftsicherheit Seite 22
Mexiko: Sicherheitslage Seite 23
Piraterie Seite 24
Produktpiraterie Seite 24
Safety Seite 25
Sicherheitsgewerbe Seite 25
Sicherheitstechnik Seite 26
Spionage Seite 28
Terrorismus Seite 29
Unternehmenssicherheit Seite 30
Zutrittskontrolle Seite 30

<strong>Focus</strong> on Security 01-2011
3
Arbeitsschutz
Die Zahl der Arbeitsunfälle in Deutschland
ist im Jahr 2009 auf einen historischen
Tiefstand gefallen, meldet die Frankfurter
Allgemeine Zeitung (FAZ) am 23. Februar.
975.000 Unfälle wurden gemeldet, was einer
Quote von 26 je 1.000 „Vollarbeiter“ entspreche.
Das sei der niedrigste Stand seit Gründung
der Bundesrepublik. 622 Menschen
seien 2009 bei Arbeitsunfällen gestorben.
An den Folgen einer Berufserkrankung seien
2.803 Menschen gestorben. In 49,1 % der
Todesfälle sei Asbest die Ursache gewesen.
Der Anteil der Fehltage wegen psychischer
Störungen und Verhaltensauffälligkeiten habe
sich auf 11,4 % erhöht.
In der Fachzeitschrift GIT (Ausgabe 3/2011)
wird das modulare Sicherheitssystem
Safeline vorgestellt, ein programmierbares
Sicherheitssystem zur Realisierung
von Sicherheitsfunktionen mit 6 Varianten
von Funktionsmodulen für Maschinen und
Anlagen (S. 78/79). Mehr Maschinendynamik
bei erhöhter Sicherheit sei kein Widerspruch
mehr, schreibt Dipl.-Ing. Alois Holzleiter in
derselben Zeitschriftenausgabe (S. 80/81).
Mit sicheren Servo-Antrieben der Acoposmulti-Produktfamilie,
die sich per open-Safety
nahtlos in Powerlink basierende Netzwerke
integrieren und zeitnah den Motor überwachen,
würden die Fehlerreaktionszeiten
gegenüber traditionellen Sicherheitsschaltungen
um den Faktor 10 reduziert. Die dabei
maximal entstehende Aufprallenergie werde
sogar um den Faktor 100 vermindert.
Ebenfalls in GIT (S. 82/83) werden die Funktionen
von Sicherheitskupplungen behandelt.
Sie hätten sich bei der Übertragung von
Drehmomenten als idealer Überlastschutz
durchgesetzt. Sie seien relativ preisgünstig
und sicher und könnten zudem absolut spielfrei
Wellenversatz ausgleichen.
Auf Seite 72 dieser Ausgabe werden Gefahrstoffarbeitsplätze
der Firma Asecos
vorgestellt. Sie böten optimale und sichere
Bedingungen, beispielsweise für das Ab- oder
Umfüllen oder andere Aufgaben im Zusammenhang
mit Dämpfen oder Gasen. In der
Prozessindustrie kämen häufig Gefahrstoffe
zum Einsatz, etwa Chemikalien bei Verfahren
zum Trennen, Synthetisieren, Analysieren
oder Filtrieren von Stoffen.
Bankensicherheit
Bei ihren Sicherheitskonzepten lassen sich
die Banken nicht in die Karten schauen, stellt
das Handelsblatt am 7. Dezember fest. Die
Mindestanforderungen definiere die Finanzaufsicht
BaFin. Die Standards würden fortlaufend
aktualisiert und seien zum Beispiel im
Handbuch des Bundesamtes für Sicherheit in
der Informationstechnik erläutert.
Philipp Bleuensteiner und Dr. Martin Kampel,
TU Wien, Christoph Musik, Uni Wien und
Stefan Vogtenhuber, Institut für Höhere
Studien in Wien, stellen in der Fachzeitschrift
WiK, 6/2010, S. 12–15, das Projekt „Identifikation
von Bedrohungsszenarien in Banken
durch Bildanalyse“ (TripleB ID) vor. Ziel des
Forschungsprojekts ist die Entwicklung eines
sozio-technischen Systems für die Videoüberwachung,
das in einer Bankfiliale zur Verbesserung
der Ermittlungen und zur Prävention
von Straftaten, beitragen soll. Im Mittelpunkt
stehen zwei Fragen: (1) Welches abweichende
oder auffällige Verhalten könnte auf eine
Straftat hinweisen? (2) Wie lässt sich dieses
verdächtige Verhalten (zielloses Umhergehen;
ungewöhnlich lange Bedienung eines Automaten;
Laufen im Foyer) in geeignete Video-
Algorithmen für eine möglichst weitgehend
automatisierte Alarmierung mit Schwellwerten
für eine möglichst hohe Detektionsrate (auch
auf Kosten von Fehlalarmen) und für direkte Information
der Mitarbeiter vor Ort übersetzen?

4 <strong>Focus</strong> on Security 01-2011
Betrug
Die Finanzmarktaufsicht Österreichs (FMA)
warnt vor Betrügern, die mit dem so geannten
„Scalping“ ihr Unwesen treiben, melde
das Handelsblatt am 15. Dezember. Anlegern
würden dabei die Aktien von kleinen,
börsennotierten Unternehmen angeboten,
meist von eher exotischen Handelsplätzen.
Die Anlagebetrüger kaufen zunächst selbst
solche Aktien zu einem niedrigen Preis. Wenn
sie dann ahnungslose Anleger zum Einstieg
überredet haben, steigen sie selbst aus und
streichen hohe Kursgewinne ein. Die Anleger
blieben auf den Kursverlusten sitzen.
Das Landesarbeitsgericht Berlin-Brandenburg
hat mit einem Urteil vom 16. September
2010 (II Sa 509/10) entschieden, dass selbst
eine Betrugshandlung gegenüber dem
Arbeitgeber mit einem Schadensbetrag von
rund 150 Euro nicht unbedingt eine außerordentliche
Kündigung rechtfertigt, sondern
deren Wirksamkeit im Rahmen einer auf den
Einzelfall bezogenen umfassenden Interessenabwägung
zu prüfen sei. Den Hinweisen
des Bundesarbeitsgerichts in der so genannten
Emmely-Entscheidung sei zu entnehmen,
dass einer sehr langjährigen beanstandungsfreien
Betriebszugehörigkeit und dem damit
angesammelten Vertrauenskapital ein sehr
hoher Wert zukomme.
Brandschutz
In der Fachzeitschrift s+s report, Ausgabe
6/2010, (S. 14–16) beschreibt Dipl.-Ing. Alwine
Hartwig die fachgerechte Wartung von
Rauch- und Wärmeabzugsanlagen (RWA):
wann gewartet werden soll, wie eine regelkonforme
Instandhaltung aussieht und wer
die Instandhaltung durchführen darf.
Klassifizierte Brandschutzprodukte für die
brandschutzgerechte Elektroinstallation stellt
Stafan Born, Kaiser GmbH & Co. KG, in derselben
Ausgabe vor (S. 18–23). Er skizziert die
Normenvielfalt für den vorbeugenden baulichen
Brandschutz und geht besonders auf den
Einbau von Hohlwanddosen in Brandschutzdecken
und -wänden, auf die Installation von
Leuchten und Lautsprechern in Brandschutzdecken
und auf die Abschottung von Elektroinstallationsleitungen
und -rohren ein.
Ebenfalls in dieser Zeitschrift behandeln
Dr. Michael Heisel und Ron Lee, Linde
Gas, das Löschen von Schwelbränden in
Silo-Anlagen. Sie beschreiben die Chemie
und Physik von Brandgasen bei einem
Schwelbrand, die dynamische Entwicklung
der Konzentration von Brandgasen und das
Löschen von Schwelbränden, und zwar mit
konventionellen Methoden (Wasser, Schaum
und Stickstoff), Anforderungen an ein Verfahren
zum Löschen von Schwelbränden
einschließlich Messungen zum Löschen und
das Löschen mit CO 2
. Die Autoren kommen
zu dem Ergebnis, dass das Löschen solcher
Schwelbrände mit CO 2
wesentlich sicherer ist
als mit Stickstoff und auch die Schäden am
Lagergut und an den Silos geringer ist. Das
habe auch zu niedrigeren Versicherungsprämien
geführt (S. 24–35).
Dr. Günther Roßmann, Gesamtverband der
Deutschen Versicherungswirtschaft e.V.
(GDV), erläutert in derselben Ausgabe die
Leitlinie des GDV für Planung und Einbau
von Löschwasser-Rückhalteeinrichtungen
(VdS 2557), die alle Gefahren und Risiken im
Zusammenhang mit der Entstehung kontaminierten
Löschwassers behandle. Er geht auf
die Entwicklung von Brandschutz- und Löschwasserkonzepten,
auf Betreiberpflichten und
gesetzliche Anforderungen, auf technische
Möglichkeiten der Löschwasserrückhaltung
sowie auf Anforderungen und Prüfmethoden
für Löschwasserbarrieren ein (S. 54–59).

<strong>Focus</strong> on Security 01-2011
5
Die Fachzeitschrift Security insight (6/2010)
beschäftigt sich mit dem Einsatz von und
Erfahrungen mit Mehrkriterienmeldern für
den Brandschutz. Der Einsatz von Hightech-
Bauteilen in Brandmeldern ermögliche
die technologischen Fortschritte auf dem
Gebiet der Mikroprozessortechnik in Leistungsfähigkeit
wie Preis. Die Integration von
unterschiedlichen Brandsensoren zu einem
Mehrkriterienmelder erlaube gleichzeitig den
Einzug intelligenter Messwertverarbeitung in
den Brandmeldern selbst (S. 34/35).
Radartechnik spürt versteckte Brandherde
auf, meldet das Handelsblatt am 4. Januar.
Brandherde ließen sich oft nur sehr schwer
lokalisieren. Das könnte sich bald dank der
Forscher des Fraunhofer-Instituts für Hochfrequenzphysik
und Radartechnik in Wachtberg
bei Bonn ändern. Sie haben zusammen
mit der Fernuniversität Hagen einen Sensor
entwickelt, der Brandherde auch bei schlechter
Sicht entdeckt. Der Radiometer arbeite
mit sehr niedrigen Frequenzen, bei denen
Partikel aus Staub und Rauch die Sicht nicht
beeinträchtigen. Das sei bei den bislang
meist eingesetzten Infrarot-Kameras anders.
Die Forscher planten, den Sensor an einem
Luftschiff zu befestigen. Aus einer Höhe
von rund 100 Metern könnte der Zeppelin
dann mit Antenne und Software über einem
Waldbrandgebiet stationiert werden und
Daten aufzeichnen. So wären sogar versteckte
Brandherde unter dichtem Blattwerk oder
unter der obersten Erdschicht zu erkennen.
Die Forscher erwarteten auch, mit dem neuen
Radiometer beispielsweise Schwelbrände in
Müllverbrennungsanlagen frühzeitig orten zu
können. Noch liege das Gerät zwar erst als
Prototyp vor. In den nächsten zwei Jahren
solle es aber zur Marktreife gebracht werden.
Dipl.-Ing. (FH) Jörg Richtermeier, Sachverständiger,
und Dipl.-Ing.(FH) Gerd Heetpas,
VdS Schadenverhütung GmbH, befassen sich
in der Fachzeitschrift WiK (Ausgabe 6/2010,
S. 63–66), mit typischen Mängeln bei der Abnahme
von Brandmeldeanlagen. Behandelt
werden bauliche, anlagentechnische und organisatorische
Mängel. Fehler seien oft schon
im Brandschutzkonzept angelegt.
Dipl.-Verw. Heiner Jerofsky erläutert in
der Fachzeitschrift GIT, Dezember 2010,
(S. 12–15) Gebäudesicherheit durch baulichen
Brand- und Einbruchschutz. Er geht
ein auf den vorbeugenden Brandschutz, die
konzeptionelle Planung von Brandschutzmaßnahmen,
auf gesicherte Rettungswege,
Brandwände und Feuerwiderstand, auf Fassadenschutz,
Einbruchschutz, Zutrittskontrolle
und Videoüberwachung.
In derselben Ausgabe (S. 50–52) wird der Zusammenhang
von elektrischen Leitungsanlagen
und Rettungswegen dargestellt. Elektrische
Leitungen dürfen offen verlegt werden,
wenn sie entweder nicht brennbar sind (nach
DIN EN 60702-1) oder ausschließlich der
Versorgung der nutzbaren Rettungswege
dienen.
Dipl.-Ing. Wolfgang Krüll und Prof. Dr.-Ing.
Ingolf Willms von der Universität Duisburg-
Essen, sowie Dr. André Freiling, Airbus
Operations GmbH, befassen sich in s+s
report, Nr.1/2011, mit der Entwicklung
einer Prüfapparatur zur Bestimmung der
Fehlalarm anfälligkeit von Rauchmeldern.
Ziel ist es, ein standardisiertes Prüfverfahren
zu entwickeln (S. 14–20).
In derselben Fachzeitschrift stellt Dipl.-Ing.
Jörg Wilms-Vahrenhorst, VdS Schadenverhütung,
Teilflächenlöschanlagen nach der DIN
Norm 18230-1 vor (S. 22–25). Es ergebe
sich die Möglichkeit des Verzichts auf flächendeckende
Ausrüstung mit Löschanlagen.
Die Anordnung von geschützten Teilflächen
im Industriebau nach DIN 18230-1 führe zu
Diskussionsfragen im Hinblick auf die Beibehaltung
des bisherigen notwendigen Schutzniveaus
von Industriebauten.
Dipl.-Ing. Jochen Krumb, VdS Schadenverhütung,
weist in der Ausgabe von s+s report
aufgrund von Prüferfahrungen auf Alterungsprozesse
in Sprinkleranlagen hin. In

6 <strong>Focus</strong> on Security 01-2011
der Regel befänden sich die Rohrnetze der
Nassanlagen in einem besseren Zustand als
die der Trockenanlagen. Häufig seien in den
Rohrnetzen der Trockenanlagen Ablagerungen
schlammiger (loser) Art festgestellt
worden (S. 38–42).
Brandschutz in Rechenzentren wird in
der Fachzeitschrift GIT, Ausgabe 3/2011
(S. 60–62) thematisiert. In EDV- und Serverräumen
bedeute der ständige Betrieb einer
Vielzahl von elektrischen Anlagen eine extrem
hohe Brandlast. Bereits kleine Schwelbrände
könnten zu Schädigungen oder zum
Ausfall der Technik führen. Bei konventioneller
Gaslöschtechnik könne im Brandfall ein
sofortiges Stromlosschalten der gesamten
Anlage erforderlich sein. Damit sei jedoch
eine von Rechenzentrumsbetreibern geforderte
möglichst geringe Ausfallzeit gefährdet.
Mit neuen Lösungen und innovativer Technologie
könne dieses Risiko auf ein Minimum
reduziert werden.
GIT weist auf Seminare zum Blitzschutz an
Gefahrenmeldeanlagen hin, die die Akademie
für Sicherheitssysteme des Zentralverbandes
der Elektrotechnik- und Elektronikindustrie
e.V. (ZVEI) in Zusammenarbeit
mit den führenden Herstellern durchführt.
Schäden an Gefahrenmeldeanlagen durch
Blitzschlag stellten ein erhebliches Risiko dar,
schreibt Eckart Roeder, Geschäftsführer der
AG Errichter für Sicherheitssysteme im ZVEI
(S. 68/69).
In derselben Ausgabe wird gezeigt, wie mit
Hilfe von Explosionsschutzventilen und
Explosionsschutzschiebern industrielle Anlagen
vor der Ausbreitung von Explosionen
geschützt werden können. Wichtig sei das
vor allem in der Pharmaindustrie, Chemie/
Petroindustrie, in Forschungslabors, Silos,
Mühlen, Trocknern und Abscheidern sowie
Absauganlagen (S. 66).
Compliance
Im Mittelpunkt von Corporate Governance
und Compliance steht das Integritätsinteresse
eines Unternehmens, stellt die FAZ
am 13. Dezember fest. In der Praxis sei die
Aufgabe überwiegend dem Bereich des Vorstandsvorsitzenden
zugewiesen, der mit ihrer
Durchführung Stellen seines Stabes wie die
Rechtsabteilung oder die Revision betraut.
Zunehmend finde sich in Anlehnung an die
Vorgaben für den Finanzdienstleistungssektor
auch die Schaffung eines eigenen
Aufgabenbereichs im Vorstand mit eigenen
Stellen und Abteilungen, die die Aufgabe
selbständig bearbeiten. Es sei eine komplexe,
nicht delegierbare Führungsaufgabe, die – wie
bei großen Publikumsgesellschaften empfehlenswert
und weitgehend üblich, in einem eigenen
Personalressort angesiedelt sein sollte.
Folgerichtig wären diesem Ressort auch alle
Aufgaben im Zusammenhang mit Corporate
Governance und Compliance zuzuweisen, wo
sie unter einheitlicher Leitung von allen fachlich
beteiligten Stellen effektiv, effizient und
angemessen bearbeitet werden würden.
Rechtsanwalt Reinhard Müller rät in der
Fachzeitschrift Security insight (6/2010,
S. 10–15) zur Vorsicht beim Outsourcing
der forensischen Ermittlungen. Notwendig
sei eine differenzierte Projektsteuerung. Eine
differenzierte Strategie könne die Kompetenzen
externer Forensikspezialisten mit den
unternehmensinternen Ressourcen optimal
verbinden.
In derselben Ausgabe wird (S. 40–42) beklagt,
der Umgang mit den Regelungen zum
IT-Risikomanagement lasse zu wünschen
übrig. Es fehle an Risikobewusstsein, klaren
Verantwortlichkeiten, genügenden Kontrollund
Informationsmechanismen. Zwar sei bei
großen Unternehmen ein Trend zu einem
ganzheitlichen, integrierten und prozessgesteuerten
Ansatz bei Compliance und

<strong>Focus</strong> on Security 01-2011
7
Risikomanagement erkennbar. Bei kleinen
Firmen und Mittelständlern mangle es jedoch
an Transparenz der wesentlichen Risiken, die
aus Geschäftsprozessen resultieren, sowie
an der Möglichkeit, kontrolliert damit umzugehen.
Ulrike Theußen, DNV Business Assurance,
weist im W & S Magazin (Heft 1/2011)
darauf hin, dass nach einer Studie von Pricewaterhouse
Coopers (PwC) 56 % von 500
befragten Unternehmen keine Richtlinien
oder Methoden zur Abwehr von Wirtschaftskriminalität
und Durchsetzung ethischer
und rechtlicher Standards etabliert hätten.
Compliance sollte nicht bei Einhalten von
Gesetzen aufhören, sondern ein zusätzliche
definierter Verhaltenskodex als Handlungsorientierung
dienen (S. 20/21).
Die Deutsche Bahn wolle in der Bekämpfung
von Korruption und anderen Straftaten nie
wieder in die Datenschutzfalle geraten, berichtet
die FAZ am 10. Dezember. Sie setze
deshalb in der Bekämpfung von Korruption
und anderen Wirtschaftsstraftaten jetzt auf
ein streng formalisiertes Vorgehen. Die Abteilung
Compliance ermittele nun nicht mehr
selbst. Dies überlasse sie vollständig der
Konzernsicherheit – bis diese bei begründetem
Verdacht die Polizei für weitere Ermittlungen
ruft. Die Konzernsicherheit könne
zwar Mitarbeiter befragen, aber niemanden
vorladen und nichts durchsuchen. Sie dürfe
keine Ermittlungen aus eigenem Antrieb
durchführen. Sie brauche dazu den Anstoß
der Compliance. Alle Compliance-Prozeduren
seien in einer Konzernbetriebsvereinbarung
verankert. Die Compliance-Abteilung sei
Dreh- und Angelpunkt des Hinweis- und
Risiko managements – also der Prävention.
Die US-Börsenpolizei (Securities and Exchange
Commission – SEC) will Informanten
belohnen, meldet DIE WELT am 4. Januar.
Kritiker geben zu bedenken, dass dadurch
interne Bemühungen, gegen Fehlverhalten
vorzugehen, untergraben würden. Befürworter
hingegen verweisen darauf, dass
die internen Kontrollen bei Enron und Co.
völlig versagt hätten. Der Gesetzentwurf
werde Mitarbeiter, die ein Fehlverhalten im
eigenen Unternehmen melden wollen, dazu
verleiten, sich sofort an die Behörden zu
wenden. Tippgeber, die sich einen Anteil an
Strafzahlungen erhoffen können, die die SEC
verhängt, würden sich kaum auf die Unternehmensprogramme
einlassen. Dabei seien
derartige interne Vorkehrungen seit dem Jahr
2002 vorgeschrieben. Der im Juli 2010 vom
Kongress verabschiedete „Dodd-Frank Act“
ermächtigt die SEC, Tippgebern höhere Belohnungen
zu zahlen – eine Reaktion darauf,
dass die Behörde früher Warnungen zum
Milliardenbetrug von Bernard Madoff ignoriert
hatte. Der neue Vorschlag sehe nun vor,
dass Tippgeber bis zu 30 % der Strafsumme
erhalten können, wenn sie Informationen
liefern, die zu einer erfolgreichen Strafverfolgung
führen.
Dass das Thema Compliance zunehmend an
Bedeutung gewinnt, ist das Handelsblatt am
10. Januar überzeugt. Im unternehmerischen
Sinn verstehe man darunter heute meist
das Einhalten von Vorschriften in Form von
externen und internen Regeln. Hiermit seien
sowohl öffentliche Gesetze als auch firmeninterne
Vorschriften gemeint. Der Begriff Compliance
definiere also das korrekte Verhalten
eines Unternehmens und aller Mitarbeiter in
rechtlicher, aber auch ethischer Hinsicht. Vor
allem die großen und medienträchtig ausgeschlachteten
Korruptionsskandale großer
internationaler Unternehmen mit den einhergehenden
schwerwiegenden Strafzahlungen
und Reputationsverlusten im Jahr 2008
hätten der Diskussion in den letzten Jahren
neuen Aufwind gegeben. Das amerikanische
Antikorruptionsgesetz FCPA (Foreign Corrupt
Practices Act) habe aufgrund seiner weit reichenden
Anwendung besonderes Interesse
gefunden. In diesem Jahr folge das Vereinigte
Königreich mit einem neuen noch wesentlich
schärferen Anti-Korruptionsgesetz. Das zeige
ein besonderes Merkmal von Compliance: Es
sei eine internationale Angelegenheit. Compliance
müsse als internationale Fortsetzung

8 <strong>Focus</strong> on Security 01-2011
des Grundsatzes des redlichen Kaufmanns
verstanden werden. Compliance sei für ein
Unternehmen genau das richtige Mittel, wenn
es seine Philosophie, seine Außendarstellung
weltweit positionieren möchte. Die Notwendigkeit,
die internationalen Standards oder die
Unternehmensphilosophie lokal umzusetzen,
werfe oftmals interkulturelle Fragestellungen
auf. Manche Sachverhalte verstießen
in Deutschland gegen ein Gesetz, seien in
anderen Ländern aber gebräuchlich oder
akzeptiert. Dies gelte auch andersherum.
So würden etwa im arabischen Kulturkreis
manche Verhaltensweisen sanktioniert, die in
Europa üblich seien.
Datendiebstahl
Das Handelsblatt geht am 7. Dezember auf
verschiedene Formen und Ursachen des Datendiebstahls
ein. Jedes zehnte deutsche Unternehmen
habe akute Sicherheitsprobleme
mit seiner Computertechnik. Datendiebstahl
komme in der Regel von innen. Gefährlicher
als kriminelle Energie sei die Leichtfertigkeit
von Zugriffsberechtigten mit Passwörtern
oder ähnlichem. Doch auch die Attacken von
Fremden würden immer heftiger, wie die
Schadsoftware Stuxnet zeige.
Der Softwarekonzern SAP wird für den Diebstahl
von Daten des amerikanischen Rivalen
Oracle gleich mehrfach zur Kasse gebeten,
meldet die FAZ am 30. Dezember. Zu dem
bereits zugesprochenen Schadenersatz von
1,3 Millionen Dollar kämen nun noch Zinsen
hinzu, wie ein Gericht entschieden habe.
Oracle dürfte über die Entscheidung dennoch
wenig begeistert sein, denn die Richterin
verwarf gleichzeitig die Rechnung von Oracle,
nach der SAP knapp 212 Millionen Dollar
hätte zahlen sollen.
Noch will sich die Finanzbranche vom
Magnet streifen auf Kredit- und Girokarten
nicht trennen, berichtet DIE WELT am
4. Januar. Der bereits seit längerem zusätzlich
eingesetzte Chip sei zwar sicherer als der
Magnetstreifen. Doch bevor der schwarze
Balken auf der Rückseite der Plastikkarten
vollständig entfallen könne, seien noch
zahlreiche Anpassungen notwendig. So
arbeiteten alle Kontoauszugsdrucker mit dem
Magnetstreifen. Mit einer Umstellung dieser
Geräte sei frühestens im Laufe des Jahres
2012 zu rechnen. Das größte Hindernis
sei, dass die veraltete Technik weiterhin an
Geldautomaten außerhalb Europas genutzt
werde. Zuvor hatte das Bundeskriminalamt
im Kampf gegen die steigende Zahl an
Betrugsfällen mit gefälschten Kredit- und
Girokarten die Abschaffung des Magnetstreifens
gefordert. Nur dann sei es für Betrüger
nicht mehr möglich, wichtige Kundendaten
am Geldautomaten auszuspähen und mittels
Kartendubletten im Ausland hohe Summen
abzuheben. Im Jahr 2010 habe sich die Zahl
der so genannten Skimming-Angriffe, das
Abschöpfen von Daten, verdoppelt. In Europa
müssten seit 1. Januar alle Geldautomaten
und Bezahlterminals im Handel mit einer
modernen Chiptechnologie ausgestattet sein.
Die Daten auf der Karte würden verschlüsselt
und vor einer Transaktion auf Echtheit
überprüft.
Nach einer von Tufin Technologies durchgeführten
Studie glaubt die Mehrheit (76 %)
von IT Security-Fachkräften, dass fehlerhaft
konfigurierte Netzwerke eine der wichtigsten
Ursachen für Datendiebstahl sind. Würden
Sicherheitseinstellungen dann genauer
untersucht, dann stoßen die Administratoren
zu 73 % auf Fehler. Viele Probleme entstünden,
wenn Administratoren Änderungen an
den Konfigurationseinstellungen vornehmen,
bestehende Sicherheitsregeln außer Kraft
setzen und dadurch neue Sicherheitslücken
produzieren. In vielen Fällen wüssten die Administratoren
nicht genau, welche Einstellung
sie überhaupt vornehmen müssten (Fachzeitschrift
WiK, Ausgabe 6/2010, S. 8).

<strong>Focus</strong> on Security 01-2011
9
Wie die Frankfurter Allgemeine Sonntagszeitung
am 2. Januar meldete, hat sich das Bundeskriminalamt
abermals für eine Abschaffung
der Magnetstreifen auf Kredit- und
EC-Karten eingesetzt. Der seit Jahresbeginn
auf allen neuen Karten vorhandene Chip könne
nicht von Kriminellen kopiert werden. Nur
Kunden, die außerhalb der EU Geld abheben
wollen, sollten eine Karte mit Magnetstreifen
erhalten.
Einen Überblick über die raffiniertesten
Tricks des Ausspionierens privater Daten
von Netznutzern gibt Spiegel Online am
10. Januar und gibt Ratschläge, wie man sich
dagegen schützt. Ein wahrscheinlicher Einfallsweg,
auf dem ein Sabotage-Wurm vom
Kaliber eines Stuxnet in eine Industrieanlage
gelange, sei ein herrenloser USB-Stick, der
von den Hackern vor dem Firmengebäude
liegen gelassen wird. Jeder normale Mensch
werde den Stick aus Neugier an seinen
Rechner anschließen. Die richtige Gegenmaßnahme
sei gezügelte Neugier. Niemals
dürfe ein gefundener USB-Stick am eigenen
Rechner ausprobiert werden. Um die Web-
Adressen großer Firmen zu erbeuten, setzten
Internet-Gauner auf Social Engineering. Mit
massenhaften Mail-Anfragen, die scheinbar
vom Domain-Registrator stammten, werde
der Seiten-Verwalter überfordert und in die
ver sehentliche Annahme einer Domain-
Änderung getrieben. Deshalb sei Sorgfalt
im Umgang mit wichtigen E-Mails geboten,
auf die Bearbeitungs- oder Registrierungsnummer,
auf korrekte Rechtschreibung und
ungewöhnliche Absendezeiten zu achten.
Diebstahl
Fenster und Türen verursachten 2009 Kosten
von 460 Millionen Euro, 10 % mehr gegenüber
dem Vorjahr, meldet der Gesamtverband
der Deutschen Versicherungswirtschaft (WiK,
Ausgabe 6/2010, S. 62). Auch die durchschnittlichen
Kosten eines Einbruchs seien gestiegen
(von 1.103 € im Jahr 2008 auf 1.224
€ 2009). Ursächlich für diesen Anstieg sei die
immer wertvollere Wohnungsausstattung.
An einigen österreichischen Autobahnen
werden stationäre Kennzeichenerkennungssysteme
die bisher eingesetzten
mobilen Systeme ersetzen, meldet WiK
(6/2010, S. 11). Grund sei der Erfolg der
Maßnahme. Im ersten Halbjahr 2010 seien
die KFZ-Diebstähle um 37 % zurückgegangen.
Evakuierung
Dr. Jan Bauke und Rolf Zimmermann von der
Züricher Feuerwehr plädieren für realistische
Evakuierungsübungen, um im Ernstfall unvorhergesehene
Überraschungen „abzufedern“
und belegen das mit Erfahrungen aus der
Praxis (WiK, Ausgabe 12/2010, S. 18/19).
Extremismus
Das linksextremistische Aktionsfeld „Antimilitarismus“
bildet nach wie vor einen
Schwerpunkt extremistischer Angriffe auf
Einrichtungen und Fahrzeuge deutscher Unternehmen.
Vor allem sind Unternehmen, die
Unterstützungsleistungen für Auslandseinsätze
der Bundeswehr erbringen, Zielobjekte
verdeckter Aktionen. Seit Ende Oktober
2008 ist ein deutscher Post- und Logistikkonzern
als „militärischer Dienstleister“ Ziel der
antimilitaristischen Kampagne „Comprehensive
Resistance“ (umfassender Widerstand).

10 <strong>Focus</strong> on Security 01-2011
Im Zusammenhang mit der Kampagne
wurden seit Anfang 2009 zahlreiche Sachbeschädigungen
festgestellt, unter anderem
an Einrichtungen und Fahrzeugen: darunter
bisher 20 Brandanschläge auf KFZ (ASW-
Mitteilung vom 29. November).
Geldfälschung
Wie die FAZ am 18. Januar meldet, hat sich
die Zahl der Geldfälschungen in Deutschland
2010 deutlich erhöht. Die Deutsche Bundesbank
habe rund 60.000 gefälschte Banknoten
registriert, rund 14 % mehr als 2009.
Gleichwohl sei die Häufigkeit von Falschgeld
in Deutschland besonders gering. Je 10.000
Einwohner tauchten im vergangenen Jahr nur
acht falsche Geldscheine auf, im Durchschnitt
des Euro-Raumes seien es 23. In Deutschland
seien die Bedingungen für die Kriminellen
traditionell besonders schwierig. Die
Deutschen zahlten überdurchschnittlich oft
bar und seien deshalb mit den Geldscheinen
besser vertraut.
Besonders beliebt seien in der Fälschszene
die falschen Fünfziger, die mehr als die Hälfte
der Fälschungen ausmachten. Auf falsche
Zwanziger entfielen 20 %, auf falsche Hunderter
15 %. In ganz Europa werde das Gros
des Geschäfts von nur etwa zwei Dutzend
Banden betrieben. Aus ihren professionell
betriebenen Druckmaschinen stammten etwa
80 % der Fälschungen.
Geld- und Wertdienstleistung
Über aktuelle Entwicklungen im Bargeldbereich
referiert Carl-Ludwig Thiele, Deutsche
Bundesbank, im Sicherheitsdienst DSD
(Ausgabe 4/2010, Seite 5–10). Er geht auf
die Bargeldnachfrage und den Bargeldkreislauf,
auf Ziele, Strategie und Maßnahmen
der Bundesbank, auf den Stand des privaten
Banknotenrecyclings, Markthemmnisse und
Entwicklungen ein. Die Bundesbank sehe aufgrund
der positiven Entwicklung im Recycling
derzeit kein Erfordernis, weitere Anreize für
das Bargeldrecycling zu setzen. Sowohl der
Heros-Fall wie auch die Finanzkrise hätten
vor Augen geführt, wie wichtig im Geschäftsverkehr
ein gesundes Risikobewusstsein und
insbesondere bei Dientleistern auch eine
konsequente Überwachung der Vertragsabwicklung
ist.
Als eine „Branche am Scheideweg“ bezeichnete
in derselben DSD-Ausgabe (S. 11–14)
das Geld- und Wertdienstleistungsgewerbe.
Bei der 8. Fachkonferenz „Geld und Wert“
hätten sich drei grundlegende Erkenntnisse
durchgesetzt:
• die Erkenntnis der strukturellen Aufstellung
einer Branche, die unter einem selbstzerstörerischen
Wettbewerb leide und an
fehlender Kooperation erkrankt sei
• die Erkenntnis, dass man Entwicklungen
und Trends im Sicherheitsbereich in einen
gesamteuropäischen, ja globalen Kontext
einbetten müsse
• und die Erkenntnis, dass die Sicherheitsbranche
gerade eine Zeit der Veränderung
und der Krise erlebe. Diese habe ihren
Ursprung in den Insolvenzen der Unternehmen
Heros und Arnolds Security und
sei eine Krise des Vertrauens.
Im Interview der Fachzeitschrift WiK
(12/2010, S. 54–58) nehmen Peter Haller, All
Service Sicherheitsdienste GmbH, und Andrea
Schmitt, ZIEMANN SICHERHEIT, pro und
contra zum Prinzip der „Ein Mann-Logistik“
für den Geld- oder Werttransport Stellung.
Das Konzept baut vor allem auf den Einsatz
intelligenter Wertbehältnisse, unbewaffneter
Fahrer und auf den Einsatz ungepanzerter
Fahrzeuge. So solle die Dienstleistung

<strong>Focus</strong> on Security 01-2011
11
kostengünstiger angeboten werden können,
ohne dass dadurch zusätzliche Sicherheitsrisiken
entstehen. Im Fokus der Anbieter
stünden der Einzelhandel, Tankstellen und
Fast Food-Ketten.
Die Fachzeitschrift WiK (1/2011) weist darauf
hin, dass ab Juli 2013 Farbrauch-Systeme
im Sinne des § 25 der Unfallverhütungsvorschrift
„Wach- und Sicherungsdienste“ (BGV
C7) nicht mehr zulässig sind, weil krebserregende
Substanzen im Rauch entdeckt
worden seien. Bis 2013 könnten die Systeme
unter Beachtung im Einzelnen bezeichneter
Sicherheitsmaßnahmen noch eingesetzt
werden (S. 23–25).
Hotelsicherheit
Heft 6/2010 der Fachzeitschrift SECURITY
POINT ist auf Hotelsicherheit fokussiert. Mit
der Brandgefahr befasst sich das Redaktionsmitglied
Peter Niggl. Das spezifische
Problem im Hotelbrandfall liegt nach seiner
Überzeugung großenteils daran, dass die
Menschen an einem für sie ungewohnten
Ort von den Flammen überrascht werden.
Der Autor verweist auf das Merkblatt „Feuer
im Hotel“ der Verwaltungs-Berufsgenossenschaft
(S .4–8).
kommenden Neuregelungen des Arbeitnehmerdatenschutzes
einzustellen.
SECURITY POINT plädiert für eine elektronische
Schlüsselverwaltung im Hotel, bei der
alle Transaktionen inklusive des aktuellen
Zustandes der definierten Rückgabezeiten
automatisch erfasst und manipulationsfrei
sowohl im Schlüsselschrank als auch in einer
zentralen Datenbank abgespeichert werden
(S. 42/43).
Rechtliche Möglichkeiten und Grenzen der
Videoüberwachung in Hotels behandelt
Rechtsanwalt Dr. Ulrich Dieckert (S. 10–15).
Er befasst sich unter anderem mit Kennzeichnungs-
und Informationspflichten, der
Speicherung und Löschung von Daten. Der
Autor empfiehlt, sich rechtzeitig auf die
Die Wochenzeitung DAS PARLAMENT berichtet
am 28. Februar, dass der Vorsitzende
des Tourismusausschusses des Bundestages,
Klaus Brähmig, Sicherheit als einen „Standortfaktor
für touristische Destinationen“ bezeichnet
habe. Viele Gäste kämen nach Deutschland,
weil sie hier ein Gefühl der Sicherheit
haben könnten.
IT-Sicherheit
Nach Überzeugung der WELT AKTUELL vom
14.Dezember zeigt sich immer deutlicher,
dass das einfache TAN-Verfahren zur Sicherheit
von Online-Banking nicht ausreicht. 2009
habe das BKA rund 2.900 Fälle von „Phishing“
verzeichnet, bei denen Transaktionsnummern
ausgespäht wurden. 2010 soll sich die Zahl
fast verdoppelt haben. Einige Banken würden
daher erwägen, sich von ausgedruckten
TAN-Listen zu verabschieden und auf neue
Verfahren zu setzen. Schon heute bieten viele
Häuser ihren Kunden an, sich die TANs als
SMS auf das Handy schicken zu lassen. Weil
aber bereits Schadprogramme aufgetaucht
seien, empfehlen Experten den Einsatz der
mTAN nur auf geschützten Smartphones oder
einfachen Handys, die nicht mit dem Internet
verbunden sind. Die Volksbanken haben das
„sm@rtTAN“ eingeführt, von anderen Banken
als „Chip-TAN“ bezeichnet. Hierbei nutze der
Kunde zwei voneinander getrennte Geräte:
Die Eingabe der Überweisungsdaten erfolge
am Computer, die Anzeige der Daten hingegen
an einem TAN-Generator. Der Kunde
stecke seine EC-Karte in den Generator, der
eine gültige TAN errechnet. Das Chip-TAN-

12 <strong>Focus</strong> on Security 01-2011
Verfahren gilt unter Experten für einzelne
Online-Überweisungen als sehr sicher.
Es gebe Anhaltspunkte dafür, dass deutsche
Banken in Sachen IT-Sicherheit noch Nachholbedarf
haben, meint das Handelsblatt am
1. Dezember. Das Bundesamt für Informationssicherheit
vergibt ISO-Zertifikate. Bis
auf die Nürnberger Lebensversicherung
habe sich allerdings kein einziges deutsches
Finanz institut zertifizieren lassen.
Während 2009 insgesamt etwa 900 elektronische
Angriffe registriert worden seien, seien
es 2010 allein bis Ende September etwa
1.600 gewesen. Ein größerer Teil habe einen
chinesischen Ursprung.
Nach einem Bericht der Nachrichtenagentur
dapd fügt sich das deutsche Sicherheitskonzept
in Maßnahmen westlicher Staaten
insgesamt. Diese wollten in den nächsten
Jahren gegen einen möglichen „Cyber-Krieg“
aufrüsten. Die chinesische Armee sei für das
„virtuelle Schlachtfeld des 21. Jahrhunderts“
schon hochgerüstet. Die NATO habe auf
ihrem Gipfel von Lissabon im November zum
ersten Mal den „Cyber-War“ in ihr strategisches
Konzept aufgenommen (FAZ vom
28. Dezember).
Die Zeitschrift für Informationssicherheit
kes behandelt in ihrer Ausgabe 6/2010 eine
Reihe für die Unternehmenssicherheit wichtiger
IT-Themen.
Dr. Stephen Fedtke ist der Überzeugung,
„höchst-autorisierte und somit extrem privilegierte
IT-Mitarbeiter in systemischen Institutionen“
sollten sich einer Zuverlässigkeitsoder
Sicherheitsüberprüfung unterziehen
müssen. Die notwendige Validierung solle
sich weniger auf die fachliche Kompetenz als
vielmehr auf die persönliche Zuverlässigkeit
und Integrität beziehen (S. 6–13).
An der kes/Microsoft-Sicherheitsstudie
haben zwischen Dezember 2009 und Mai
2010 insgesamt 135 Unternehmensmitarbeiter
teilgenommen. Dargestellt werden die
Ergebnisse der selbstkritischen Bestandsaufnahme
zur Data-Leakage-/Loss-Prevention,
zur Netznutzung und Endgerätesicherheit,
zur Content- und E-Mail-Security, zum
Identity-Management und Public Key-
Infrastructures, zur Open Source-Software,
Notfallvorsorge und Forensik (S. 14–21).
Michael Kranawetter, Microsoft Deutschland,
beurteilt Soziale Netze im Licht der kes/
Microsoft-Sicherheitsstudie. Angesichts des
menschlichen Risikos und der Gefährdung
durch Malware rät der Autor zu Schulungen
und Policies (S. 22/23).
Prof. Dr. Günther Pernul, Universität Regensburg,
und Dr. Ludwig Fuchs, Nexis GmbH, befassen
sich mit dem Identitäts- und Access-
Management (IAM) in mittleren und großen
Unternehmen. Nur auf Basis hochwertiger
Benutzerdaten könnten Firmen bestehende
Compliance-Anforderungen abbilden und die
Kontrolle über ihre Berechtigungsstrukturen
sicherstellen. Um eine erfolgreiche Bereinigung
der Identitätsdaten durchführen zu
können, bedürfe es einer modularen Vorgehensweise
und Methodik (S. 24–28).
Angelika Jaschob, BSI, plädiert für eine Zertifizierung
von IT-Sicherheitsdienstleistern
für die Bundesverwaltung. Mit einem neuen
Zertifizierungsverfahren habe das BSI erstmals
bundesweit einheitliche Kriterien für
die Auswahl geeigneter Unternehmen für
sicherheitskritische Bereiche in der Verwaltung
geschaffen (S. 35–38).
Prof. Dr. Reinhard Voßbein, Universität Duisburg/Essen,
erläutert die Spezialnorm DIN EN
ISO 27799 für die medizinische Informatik
und das Sicherheitsmanagement im Gesundheitswesen.
Der Beitrag verdeutlicht Umgang
und Nutzen des Standards und liefert einen
Ausblick auf mögliche Zertifizierungen. Der
Vorteil einer Ausrichtung des IT-Sicherheitssystems
an der Norm liege vor allem in
der Rationalisierung der durchzuführenden
Aktivitäten (S. 50–53).

<strong>Focus</strong> on Security 01-2011
13
Dr. Andreas Rohr, RWE AG, plädiert für
ein übergreifendes, zentrales System zum
Schlüsselmanagement für eine sichere
RFID-basierte Zutrittskontrolle, auch beim
Einsatz unterschiedlicher Access Control-Systeme.
Er behandelt Sicherheitskriterien, die
Schlüsselmanagement-Infrastruktur, Krypto-
Algorithmen, die Schlüsselableitung, die
Authentifizierung und Schlüsselgenerationen.
Vereinbarungen mit Access Control Security-
Herstellern seien unumgänglich, um die notwendige
Transparenz zu erzielen, damit man
auch die Systemintegration auf durchgängige
Sicherheit hin beurteilen könne (S. 64–70).
Seit dem 23. Februar hat Deutschland eine
nationale Cybersicherheitsstrategie,
meldet Financial Times Deutschland am Tag
danach. Hauptprojekt sei ein neues Nationales
Cyber-Abwehrzentrum (NCAZ). Hier
sollten künftig zehn Beamte den Informationsfluss
zwischen den Behörden untereinander
sowie mit der Wirtschaft verbessern. Sie
würden beim Bundesamt für Sicherheit in der
Informationstechnik (BSI) angesiedelt. Ihre
Aufgabe sei es, Erkenntnisse zusammenzutragen.
Mitarbeiter des Bundesamts für Bevölkerungs-
und Katastrophenschutz und des
Verfassungsschutzes seien Teil des Teams.
Der BND, das BKA, die Bundeswehr und die
Bundespolizei entsende Verbindungsbeamte
(Berliner Zeitung vom 24. Februar).
Der Behörden Spiegel befasst sich in seiner
Februar-Ausgabe mit CERT. Die CERT-Teams
seien so etwas wie das Technische Hilfswerk
der Computersicherheit. Ein CERT untersuche
den Gesamtzustand des Systems.
Mittlerweile sei es allerdings Usus geworden,
dass die größeren CERTs auch Hilfe bei der
Bekämpfung von Schädlingen anbieten.
Im deutschen CERT-Verbund haben sich
folgende Teams zusammengeschlossen:
Bayern-CERT, CERT Baden-Württemberg,
CERT-Bund, CERTBw (Bundeswehr), CERT-
NRW, CERT-VW, ComCERT (Commerzbank),
RUS-CERT (Uni Stuttgart), S-CERT (SIZ,
Informatikzentrum der Sparkassen), Siemens-
CERT und Telekom-CERT.
Auf IT-Sicherheit ist die März-Ausgabe der
Fachzeitschrift kes (Nr.1/2011) fokussiert.
Im Eingangsartikel (S. 6–10) wird auf Warnungen
von Experten hingewiesen, dass
Würmer Viren und Trojaner 2011 verstärkt
auch Smartphones befallen könnten. Als die
drei wesentlichen Abwehrmaßnahmenbündel
werden genannt:
• ein umfassendes Gesamtsicherheitskonzept
und zugehörige Richtlinien
• ein Mobile-Devicemanagement inklusive
Backup, Update- und Fernlösch-Funktionen
• Sensibilisierung und Schulung der
Anwender.
Service Level-Agreements (SLA) bei
Cloud-Services empfiehlt kes auf S. 17/18.
Gerade in Zeiten, in den für die Auslagerung
wichtiger Geschäftsprozesse auf dem Gebiet
des Cloud-Computing zunehmend Standardlösungen
bereitgehalten werden, sollten sich
Kunden mit den Vertragsbedingungen der
Anbieter sehr sorgfältig befassen, bevor sie
den Zuschlag erteilen.
Jörg Lenz, Softpro GmbH, gibt einen Überblick
über aktive Anwendungen elektronischer
Signaturen (S. 26/27). Dr. Guido
von der Heidt, Siemens AG, stellt TeleTrusT
European Bridge CA vor, die Public Key-
Infrastrukturen (PKI) über Organisationsgrenzen
hinweg fördert (S. 28/29). Reiner
Witzgall, Center Tools Software, zeigt Best
Practices zur Medien- und Schnittstellenkontrolle
(S. 43–48). USB-Speichermedien und
vielfältige mobile Systeme sorgten an den
Schnittstellen von Endgeräten für mannigfaltige
Risiken.
Carsten Casper, Gartner, plädiert für pragmatischen
und ausgewogenen Datenschutz.
Er meint einen Datenschutz, der technische
Lösungen für technische Probleme findet
statt auf gesetzlichen Lösungen zu beharren.
Der Datenschutzbeauftragte dürfe nicht der
neue „Dr. No“ des Unternehmens werden, der

14 <strong>Focus</strong> on Security 01-2011
Innovationen blockiert. Er müsse vielmehr
mit möglichst vielen verschiedenen Rollen
zusammenarbeiten (S. 54–59). Sean Glynn,
Credant Technologies, gibt Tipps für erfolgreiche
Datenklassifizierung. Es gebe keine
„magische Abkürzung“ auf dem Weg zur
Datenklassifizierung, sehr wohl aber starke
Argumente, warum man damit beginnen
sollte (S. 64/65).
Eine Verlagsbeilage zur Fachzeitschrift kes
(Nr.1/2011) zur CeBIT 2011 ist ausschließlich
dem sicheren Cloud-Computing gewidmet.
Jörg Asma, KPMG, gibt einen breiten
Überblick über potenzielle Risiken, die sich
aus der Entscheidung für den Einsatz von
Cloud-Computingservices ergeben können
(S. 6–8).
Isabel Münch, Alex Didier Essoh und
Dr. lemens Doubrava vom BSI definieren
Mindestsicherheitsanforderungen an Anbieter
von Cloud-Lösungen (S.10–12). TClouds
wird vorgestellt, ein von der EU-Kommission
gefördertes Projekt, in dem sichere und datenschutzkonforme
Cloud-Technik entwickelt
wird (S. 14/15). EuroCloud Deutschland
entwickelt ein SaaS (Software as a Service)-
Gütesiegel (S. 16/17).
Jochen Koehler, Cyber-Ark Ltd., stellt das
Konzept „Privileged Identity-Management“
vor, das Zugriffe von Administratoren des
Cloud-Anbieters auf Kundendaten verhindern
soll (S.20–22). Matthias Pankert, Sophos
GmbH, rät, geeignete Verschlüsselungsmethoden
einzusetzen, um den größtmöglichen
Schutz von Kundendaten zu gewährleisten,
die in die Cloud ausgelagert und dort verarbeitet
werden (S. 24–27).
Hartmut Kaiser, secunet Security Networks,
zeigt die Besonderheit der „Automotive
Cloud“ (S.28–30). Eric Bégoc, Astaro GmbH,
befasst sich mit sicherer E-Mail-Archivierung
(S. 34/35). Klaus Gheri, Barracuda
Networks, beschreibt anhand eines Beispiels
die Backup-Datensicherung bei steigendem
Speicherbedarf (S. 36–38). Prof. Eberhard
von Faber, T-Systems, ist überzeugt, dass
industrialisierte ICT-Produktion für mehr Sicherheit
im Hinblick auf Virenschutz, Firewall
und Zugangskontrolle sorgt (S. 40–42).
IuK-Kriminalität
Cyberkriminelle lauern auf Schwächen, titelt
das Handelsblatt am 6. Dezember. Laut
einer Studie des Beratungsunternehmens
Accenture haben rund 70 % der deutschen
Firmen und Behörden in den vergangenen
zwei Jahren personenbezogene Daten
von Kunden und Mitarbeitern verloren. An
Problembewusstsein mangele es nicht: Laut
den Marktforschern von Bloor Research sind
sich drei von vier Mittelständlern sicher, dass
ein Datenverlust ihre Firma ernsthaft gefährden
könnte. Dass deutsche Mittelständler
im Schnitt jährlich 11.400 Euro in sichere IT
investieren, sei im internationalen Vergleich
noch wenig. Symantec-Experte Mischkovsky
sei der Überzeugung, dass Firmennetze
weniger direkt durch Schadsoftware aus dem
Internet bedroht werden, als vielmehr durch
USB-Sticks, im Heimbüro genutzte Notebooks
oder Smartphones, durch die Malware
eingeschleppt wird.
Auch soziale Netzwerke, die Mitarbeiter
während der Arbeitszeit nutzen, seien ein
beliebtes Angriffsziel. „Sie sind ein offenes
Einfallstor für Spam, Viren und Trojaner“, sagt
Martin Hager, Geschäftsführer von Retarus. Er
rät, private E-Mails in Firmen zu verbieten und
Spam-Filter und Virenscanner einzusetzen.
Um sich selbst vor Angriffen zu schützen,
benutzt die Telekom unter anderem so
genannte Honeypot-Systeme, meldet das
Handelsblatt am 7. Dezember: So wie mit
einem Honigtopf Bären auf eine falsche
Fährte gelockt werden können, simulierten

<strong>Focus</strong> on Security 01-2011
15
die Programme ein verletzbares System, das
über das Internet zu erreichen ist. Hacker, die
nach Schwachstellen in der IT eines Konzerns
suchen, solle der Honigtopf anlocken und
vom echten System ablenken. Allein im Oktober
sei der Telekom-Honigtopf 6341 Mal von
Hackern angegriffen worden. Das seien zehn
Attacken pro Stunde.
Angesichts der Hacker-Angriffe von Wikileaks-Sympathisanten
wachse in Deutschland
die Furcht vor Attacken aus dem Netz,
berichtet Welt Online am 9. Dezember. Die
Politik dränge die Wirtschaft daher zu enger
Kooperation mit den Sicherheitsdiensten.
Staatssekretär Klaus-Dieter Fritsche vom BMI
kritisiere die aus seiner Sicht unzureichende
Kooperation der Wirtschaft mit staatlichen
Stellen. Ein stärkerer Rückfluss an Informationen
aus der Wirtschaft sei unbedingt notwendig.
Fritsche mahnte die Wirtschaft, endlich
einen verbindlichen Ansprechpartner zu
installieren. Zwar gebe es bereits die Arbeitsgemeinschaft
für Sicherheit der Wirtschaft,
angesiedelt beim Deutschen Industrie- und
Handelskammertag. Doch selbst aufseiten
von Unternehmen werde eingeräumt, dass
die Arbeitsgemeinschaft derzeit in einer zu
schwachen Position sei, weil sie zu geringe
Unterstützung vonseiten ihrer Mitglieder
erfahre. Die Meldebereitschaft deutscher
Unternehmen sei wenig ausgeprägt, heiße
es auch von Vertretern des BKA. Das liege
an verbreitetem Misstrauen in Kreisen der
Wirtschaft gegenüber der Kompetenz und
auch der Diskretion deutscher Strafermittlungsbehörden.
Aus Sicht etwa betroffener Unternehmen
ist laut Handelsblatt vom 21. Dezember
Wikileaks nicht etwa ein Medium, das seinen
journalistischen Pflichten zur Aufklärung
der Allgemeinheit nachkommt, wie Julian
Assange es gerne sehen möchte, sondern
die Site betreibt ganz einfach Industriespionage.
Immerhin ein Gutes habe das Geraune,
dass nach den politischen Enthüllungen die
Unternehmen dran sein würden: Wer nach
all den Meldungen über geklaute und wild
kursierende Kunden-, Bank- oder Steuerdaten
noch nicht hellhörig war, sei es spätestens
jetzt. Nun müsse auch der letzte Naivling
verstehen, dass das Internet die Regeln von
Mein und Dein ebenso über den Haufen wirft
wie zuvor schon die des Einkaufs, Marketings
oder Vertriebs. Den Unternehmen blieben
eigentlich nur drei Wege: Die Schutzmauern
um die Tresore noch höher bauen und die
IT-Sicherheit mit militärischen Standards aufrüsten;
völlig offen und transparent werden,
damit es erst gar nichts aufzudecken gibt
oder einfach mit Risiko leben und wissen:
Irgendwann trifft die um sich greifende Indiskretion
auch uns. Auf allen Vorstandsetagen
werde gerade eine Kombination aus allen drei
Optionen diskutiert.
Der Boom der Smartphones und Tablet-
Computer animiere auch Kriminelle, berichtet
das Handelsblatt am 16. Februar. Die Großen
der Sicherheitsbranche, F-Secure aus Finnland,
Symantec aus den USA und Kaspersky
Lab aus Russland, boten auf der weltgrößten
Messe der Mobilfunkmesse in Barcelona
Antivirenprogramme für die mobilen Geräte
an. Dass es überhaupt so lange gedauert
habe, bis die ersten Viren in Smartphones
aufgetaucht seien, liege an der Vielzahl von
Betriebssystemen. „Wegen des Erfolgs von
Android werden sich die Angriffe auf diese
Plattform vervielfachen“, sagt Vicente Diaz,
Schadprogrammexperte bei Kaspersky
Lab. Er sieht in Android das Einfallstor für
Smartphone-Viren. Um sich zu schützen,
empfiehlt der Experte das Deaktivieren der
Bluetoothverbindung.
Und die FAZ weist am 24. Februar darauf hin,
dass immer mehr Mitarbeiter mobile Geräte
und Apps nutzen und damit zahlreiche
neue Risiken für Unternehmen entstünden.
Die Geschäftsführung müsse entscheiden,
wer welche Mobilgeräte für welche Zwecke
benötigt und nutzen darf. Wie soll deren
Anbindung an das Netzwerk erfolgen, welche
Richtlinien sind einzuhalten, wer erhält welche
Zugriffsrechte, und wie wird das organisatorisch
umgesetzt? Dabei sei zu beachten,

16 <strong>Focus</strong> on Security 01-2011
dass die in Smartphones integrierten Chips
naturgemäß nicht so leistungsfähig seien wie
in Notebooks. Zudem verböten die begrenzten
Akku-Laufzeiten stromintensive Aktualisierungen,
wodurch viele Prozesse vom
Netzwerk aus gesteuert und durchgeführt
werden müssten. Entscheidung sei daher
eine ausführliche Schulung der Mitarbeiter zu
möglichen Gefahren wie dem Herunterladen
von Apps, dem Liegenlassen der Geräte oder
deren Anschließen am USB-Eingang ihres
PCs. Dies sollte durch technische Lösungen
ergänzt werden wie Verschlüsselungen, Sicherheitsprogramme,
Antibot-Netzfunktionen
oder das Blockieren bestimmter Aktivitäten.
Auch Finanzkonzerne, deutsche Börsen
und Banken müssten sich gegen Hacker
wappnen, unterstreicht das Handelsblatt am
8. Februar. Die Nachricht von Hackerangriffen
auf die Nasdaq schrecke die Finanzwelt
auf. Woher die Angriffe kamen, sei noch nicht
geklärt. Die Börsen und Finanzdienstleister
müssten Sicherheitsstandards überdenken.
Die Angriffsmethoden hätten sich verändert.
Zunehmend zielten die Angriffe auf die
Arbeitsplatzrechner ab, da diese am schwierigsten
abzusichern seien.
Chinesische Hacker seien nach einer Studie
der Computersicherheitsfirma McAfee in die
Computer von fünf internationalen Energieunternehmen
eingedrungen, meldet das
Handelsblatt am 12. Februar. Über einen
Zeitraum von mindestens zwei Jahren hätten
die Hacker Zugang zu den Netzwerken
gehabt und Dokumente über die Erforschung
von Öl- und Gasfeldern sowie Übernahmepläne
ausgespäht, sagte Dmitri Alperovitch
von McAfee. Die Hacker hätten sich entweder
über die Internetseiten oder mit Hilfe von
infizierten E-Mails an führende Manager der
Unternehmen Zugriff zu den Netzwerken
verschafft.
Auch bei der Münchner Sicherheitskonferenz
haben sich – wie die FAZ am 7. Februar
berichtet – europäische und amerikanische
Politiker auf die Gefahr der Kriegsführung und
das Wettrüstens im Internet hingewiesen. Die
Bedrohung sei, so Bundeskanzlerin Angela
Merkel, nicht weniger gefährlich als klassische
militärische Angriffe. Ähnlich wie der britische
Premierminister Cameron habe sie internationale
Abkommen zur Bekämpfung von Cyberangriffen
und Internetkriminalität gefordert.
DIE WELT berichtet am 6. Dezember, im
Zuge der Veröffentlichung von US Diplomaten-Depeschen
sei auch eine detaillierte Liste
mit Objekten in aller Welt ins Netz gestellt
worden, die als wichtig für die nationale
Sicherheit der USA erachtet werden. Genannt
würden neben hunderten Pipelines und wichtigen
Datenkabeln auf der ganzen Welt auch
Firmen, deren Produkte wichtig für die nationale
Sicherheit der USA seien, darunter auch
mehr als ein Dutzend deutsche Unternehmen.
Laut dem veröffentlichten Dokument
ist beispielsweise das BASF-Stammwerk in
Ludwigshafen als „weltgrößter zusammenhängender
Chemie-Komplex“ von Bedeutung
für die nationale Sicherheit der USA. Ferner
würden Firmen wie Siemens als wichtiger
Hersteller von Transformatoren und Turbinen
zur Stromgewinnung aus Wasserkraft, die
Lübecker Drägerwerk AG (Gastechnik), Junghans
Feinwerktechnik sowie diverse pharmazeutische
Unternehmen in Deutschland
genannt. Die US-Vertretungen in aller Welt
seien im Februar 2009 von Washington aufgefordert
worden, Objekte aufzulisten, deren
Verlust Einschränkungen für das Gesundheitswesen,
die Wirtschaft und die nationale
Sicherheit der USA zur Folge hätten. Auf der
Liste stünden auch das ostfriesische Norden
und die Nordseeinsel Sylt als Anlandepunkte
für die transatlantischen Unterseekabel
TAT-14 und AC-1 zur Datenübertragung
zwischen Europa und den USA.

<strong>Focus</strong> on Security 01-2011
17
Korruption
Alles deute darauf hin, dass die internationalen
Regeln und Kontrollmechanismen
gegen die Korruption in der EU sehr unausgewogen
umgesetzt werden, zitiert Welt
Online am 9. Dezember die EU-Kommissarin
Cecilia Malmström. Das Center for the Study
of Democracy bezeichne Bulgarien, Rumänien
und Polen als die Länder, in denen
Korruption und organisierte Kriminalität am
stärksten ausgeprägt sind. Eine gemeinsame
Studie von PWC und der Universität Halle
gingen davon aus, dass es in der deutschen
Verwaltung jedes Jahr mindestens 20.000
Bestechungsfälle gibt.
Die Ausmaße der Korruptionsaffäre bei
Siemens seien immens, heißt es in Süddeutsche
Online am 14. Januar: 330 dubiose
Projekte, 4300 illegale Zahlungen und
Kosten von insgesamt 2,5 Milliarden Euro.
Sie habe aber auch die ganze Wirtschaft
zum Umdenken gebracht. Zerbeulte Egos,
zerstörte Karrieren, eine Milliarden-Strafe: der
Siemens-Skandal habe sich als gigantischer
Regelverstoß erwiesen. Die Aufarbeitung der
Korruptionsaffäre durch Münchner Ermittler
und durch den Konzern selbst habe weltweit
Maßstäbe gesetzt. Möglicherweise würden
eines Tages Korruptionsforscher von der Zeit
vor und der Zeit nach dem Siemens-Fall sprechen.
Der Rohrleitungsspezialist Eginhard
Vietz, ein Mittelständler, habe die Zahlung
von Schmiergeldern in Ländern wie Algerien,
Ägypten, Nigeria oder Russland verteidigt.
Peter Y. Solmssen, seit 2007 Anti-Korruptionsvorstand
bei Siemens, halte die Aussagen
des Mittelständlers „für rundweg falsch“.
Keine Firma müsse „sich dem Druck beugen“.
Es komme bei solchen Forderungen nur
darauf an, nicht nachzugeben. Eine Aufarbeitung
der Schmiergeldfälle von Siemens habe
gezeigt, dass viele der unlauter akquirierten
Aufträge häufig Verlustgeschäfte gewesen
seien. In den USA sei vor Jahren eine Studie
erschienen, die Unternehmen, die nicht durch
illegale Praktiken aufgefallen waren, mit
Unternehmen verglich, die unsauber agiert
hatten. Ergebnis: Die gesetzestreu arbeitenden
Unternehmen erwirtschafteten viel
bessere Erträge – die anderen seien weniger
innovativ und steckten in starken Abhängigkeiten
fest.
Ford ist wegen des Verdachts der Korruption
ins Visier der Staatsanwaltschaft geraten,
berichtet das Handelsblatt am 14. Dezember.
Mitarbeiter einer Ford-Abteilung, die europaweit
mit Umbauten von Gebäuden und
Produktionseinheiten betraut seien, würden
verdächtigt, bestimmte Unternehmen bei
der Auftragsvergabe bevorzugt und dafür
„systematisch materielle Vorteile“ erhalten zu
haben. Insgesamt soll Ford ein Schaden in
Millionenhöhe entstanden sein.
Indien sei im Aufruhr, meint die FAZ am
10. Dezember. Seit der Ausrichtung der
Commonwealth-Spiele im Frühherbst
2010 trete ein Bestechungsskandal nach
dem anderen zu Tage. Verwickelt sei die
Elite: Bundesminister, Ministerpräsidenten,
Spitzenfunktionäre, Bankiers, Generäle. Opfer
sei die gesamte Gesellschaft. Ratan Tata,
Symbolfigur des rechtschaffenen Indiens,
berichte, er habe nur deshalb keine private
Fluglinie gegründet, weil für die Genehmigung
astronomische Bestechungsgelder
verlangt worden sind. Allein bei der Vergabe
von Telefonlizenzen sollen dem Staat nun 40
Milliarden. Dollar entgangen sein. Die amerikanische
Denkfabrik Global Financial Integrity
erklärt, dass Indien seit seiner Unabhängigkeit
1948 mehr als 462 Milliarden Dollar durch
den Transfer von Schwarzgeld verloren habe
– ein sehr großer Teil erworben durch Korruption.
Inder schätzen, dass sie im täglichen
Leben rund ein Viertel ihres Einkommens
für Bestechung aufwenden. Wie könnten
Ausländer unter diesen Bedingungen saubere
Geschäfte machen? Kaum, um ehrlich zu
sein. Natürlich betone jeder deutsche Manager,
sein Unternehmen verweigere jegliche
Bestechung. Wahr sei wohl, dass man sich
arrangiert hat. Deshalb rede man schon

18 <strong>Focus</strong> on Security 01-2011
vom „outsourcing of corruption“. Dahinter
verberge sich ein perfektes System, sich die
Hände nicht schmutzig zu machen. Container
oder Luxuskarossen holten ortsansässige
Agenten gegen eine ordentlich ausgewiesene
Gebühr aus dem Hafen. Die Auftragsvergabe
laufe über einheimische Vermittler. Sie
machen die Drecksarbeit, nicht das ausländische
Unternehmen, das davon nicht wissen
wolle. Immer mehr deutsche Unternehmen
verzichten darauf, neue Standorte aufzubauen,
weil sie wissen, dass sie sich damit in
Gefahr brächten. Der ausländische „Landesfürst“
sitze in der Regel in der Klemme: Beim
Vorstand daheim hat er unterschrieben,
sauber zu arbeiten. Zugleich muss er Umsatz
und gewinn steigern, Aufträge hereinholen,
Marktanteile erobern. In Ländern wie China,
Indien, Bangladesh, Vietnam oder Indonesien
sei dieser Widerspruch nur über Umwege zu
lösen. Damit sei jeder Auslandschef weitgehend
erpressbar, was China neuerdings ab
und an vorführe. Die Krake Bestechung habe
sehr lange Arme. Ihr zu entkommen, das sei
in Asien kaum möglich. Das werde noch auf
Jahre so sein. Ein erster Schritt wäre, dies
immer wieder öffentlich zu machen, statt sich
darin zu ergehen, die eigene Unschuld zu
betonen.
Kriminalität
Im Februar sind die ersten Landeskriminalstatistiken
für 2010 veröffentlicht worden.
In Baden-Württemberg ist die Zahl der
Straftaten 2010 um 1,2 % und damit auf den
niedrigsten Stand seit 10 Jahren gesunken.
Die Häufigkeitszahl (registrierte Verdachtsfälle
je 100.000 Einwohner – HZ) betrug
5.324. Dabei ist die Aufklärungsquote (AQ)
um einen halben Prozentpunkt auf 59,9 %
gestiegen. Die Zahl der angezeigten Diebstahlsdelikte
hat gegenüber 2009 in Baden-
Württemberg um 2,8 % abgenommen. Dass
es bei 39,2 % der (quantitativ leicht angestiegenen)
Wohnungseinbrüche bei einem
Versuch geblieben ist, zeige, dass sich technische
Sicherungen von Haus und Wohnung
auszahlten. Die Wirtschaftskriminalität ist in
diesem Bundesland um 7,5 % gesunken. Bei
den bekannt gewordenen Korruptionsdelikten
ist ein Rückgang um 35,8 % festzustellen.
Dagegen sei die Internetkriminalität auf
einen neuen Höchststand angewachsen. Mit
22.494 angezeigten Straftaten (+ 4,6 %)
habe sich der Trend zur Verlagerung krimineller
Aktivitäten aus der realen in die virtuelle
weiter fortgesetzt (www.polizei-bw.de).
In Hamburg ging die registrierte Kriminalität
seit 2001 bis 2010 um fast 30 % zurück, ge-
genüber 2009 um 5,1 %. Im Fokus standen
vorsätzliche Brandstiftungen an Fahrzeugen.
Insgesamt waren es 157, 10 davon politisch
motiviert. Die Anzahl der Wohnungseinbrüche
ist um 7,6 % gegenüber dem Vorjahr angestiegen.
Ein Viertel aller Diebstahlsdelikte
standen im Zusammenhang mit KFZ, aber sie
gingen um 1,2 % zurück (www.hamburg.de).
Die Bundesregierung wolle die nationalen
Vorschriften gegen Geldwäsche deutlich
verschärfen, meldet das Handelsblatt am
28. Januar. Konkret plane das Finanzministerium
eine „Vervollständigung der Sorgfaltspflichten
und internen Sicherungsmaßnahmen“,
die insbesondere im Nichtfinanzsektor,
beispielsweise bei Immobilienmaklern,
Spielbanken, Steuerberatern und Rechtsanwälten,
Anwendung fänden. Zudem solle
die Zentralstelle für Verdachtsanzeigen an
die Standards der Financial Action Task Force
(FATF) angepasst werden.
Die neuesten Betrugsmasche an Geldautomaten
ist nach einem Bericht der Berliner
Zeitung vom 24. Februar das „Cash-Trapping“,
die so genannte Geldfalle. Sie funktioniere
nur an Automaten, die anstatt eines
Schubfaches für die Scheine einen Ausgabeschlitz
haben, der von einer schmalen Klappe

<strong>Focus</strong> on Security 01-2011
19
abgedeckt ist. Der Täter kaufe im Baumarkt
eine Teppichleiste aus grauem Aluminium,
die er auf die Länge der Schlitzklappe des
Automaten zuschneidet. Auf einer Fläche
der Teppichliste werde Doppelklebeband
befestigt oder Fliegenfänger aufgetragen.
Dann montiere der Täter die Leiste über den
Ausgabeschlitz. Die Attrappe falle einem
ahnungslosen Kunden nicht auf. Versuche
der Bankkunde Geld abzuheben, pralle das
Geld durch den geöffneten Schlitz von innen
gegen die Attrappe und bleibe in den meisten
Fällen am Klebeband oder dem Fliegenfänger
haften. Der Automat könne das Geld nicht
wieder einziehen und melde auf dem Display
einen Fehler. Die meisten Kunden verließen
dann frustriert den Automaten. Die Masche
sei simpel und verlange nicht so viel technischen
Verstand wie beim Skimming. Nach
einem Bericht der Europäischen Agentur
für Sicherheit und Gesundheitsschutz am
Arbeitsplatz (EU-OSHA), nehmen Gewalt,
Mobbing und sexuelle Belästigungen am
Arbeitsplatz in Europa zu, wie die Fachzeitschrift
WiK in ihrer Ausgabe 1/2011, S. 6,
meldet. Abhängig von Land, Wirtschaftszweig
und Untersuchungsmethode sähen
sich zwischen 5 und 20 % der Arbeitnehmer
betroffen. 40 % der befragten Führungskräfte
(Deutschland: 33 %) seien bereits konkret
mit dem Thema „Gewalt am Arbeitsplatz“
konfrontiert worden. Konzepte, wie mit den
Bedrohungen umgegangen werden kann,
hätten allerdings nur ca. 25%.
Krisenregionen
Deutsche Mittelständler expandierten in
Schwellenländer, machten sich aber kaum
Gedanken über ihre Sicherheit, berichtet die
FAZ am 5. Februar. Die Aufstände in Ägypten
und Tunesien hätten sie wie aus heiterem
Himmel getroffen. Während in Konzernen
die Krisenstäbe tagten und die Notfallmechanismen
in Kraft traten, hätten kleine und
mittelgroße Unternehmen improvisieren
müssen. Das sei eine Schwierigkeit, die in den
kommenden Jahren häufiger auftreten werde.
Wie die Beratungsfirma Corporate Trust herausgefunden
habe, sei schon heute ein Drittel
des deutschen Mittelstandes in „sicherheitskritischen
Ländern und Krisenregionen“
präsent. Doch nur wenige hätten Notfallpläne
für Mitarbeiter vorbereitet. Für Sicherheitsfirmen,
die Betriebe in der Ausarbeitung solcher
Pläne unterstützten, entwickele sich so ein
profitables Geschäft. Sicherheitsfachleute der
Result Group, einer Beratungsgesellschaft für
Krisenmanagement, seien mit Bussen durch
Ägypten gefahren, packten die Mitarbeiter
ihrer Kunden ein und flogen sie mit Chartermaschinen
nach Deutschland. Zwischen
15.000 und 40.000 Euro koste die Beratung,
für das Ausfliegen kämen noch mal 3.000 bis
8.000 Euro hinzu – pro Kopf.
Kritische Infrastrukturen
Die FAZ befasst sich am 4. Dezember mit
dem Computerwurm Stuxnet. Nach umfangreichen
Analysen sei klar geworden, dass
Stuxnet das Resultat eines Millionen-Dollarprojekts
sei. Die Experten gingen davon aus,
dass der Wurm dazu programmiert wurde,
die Zentrifugen in einer iranischen Urananreicherungsanlage
zu zerstören. Wegen der
unzuverlässigen Angaben aus dem Iran lasse
sich der tatsächlich durch den Wurm hervorgerufene
Schaden nicht bemessen. Schon
2007 habe ein versehentlich im Internet bekannt
gewordenes Video die Resultate einer
Untersuchung gezeigt, die das amerikanische
Department of Homeland Security in Auftrag
gegeben habe. Zu sehen war ein riesiger
Dieselgenerator, analoge Schwerindustrie. Die
Maschine habe im Video anfangs ohne Störung
gearbeitet. Plötzlich sei eine Erschütterung
durch das Gerät gegangen, deutlich sei-

20 <strong>Focus</strong> on Security 01-2011
en Teile aus dem Maschineninneren zu sehen
gewesen, die durch die Lüftungs schächte
herausgeschleudert werden. Schließlich sei
schwarzer Qualm aufgestiegen. Das Video
sei unter den Namen „Aurora Experiment“
bekannt geworden.
Im Cyber-Krieg sei kaum zu erkennen, woher
ein Angriff kommt, ist die FAZ in einem
Beitrag am 18. Januar überzeugt. Die Grenze
zwischen Attacke und Abwehr verschwimme.
Das zeige der Computerwurm Stuxnet, der
aus Amerika und Israel stammen soll. In der
israelischen Atomanlage in Dimona soll es
eine Replik der iranischen Urananreicherungsanlagen
geben, um Angriffe gegen das Original
zu testen. Berichten von Insidern zufolge
gebe es seit Jahrzehnten informelle Gremien,
in denen die marktführenden Hersteller von
Computerhard- und -software und Telekommunikationsnetzen
mit den Geheimdiensten
ihres Heimatlandes darüber feilschen, ob eine
spezifische Lücke schnell oder erst später
geschlossen wird. Insbesondere Hersteller
aus Ländern wie Israel oder China stünden
in dem Ruf, ihren Ländern bei der digitalen
Informationsgewinnung direkt zu helfen – mit
Hintertüren in ihren Produkten. Damit das
Ansehen im Markt nicht aufs Spiel gesetzt
wird, was bei der Entdeckung offensichtlicher
Hintertüren schnell der Fall sei, würden traditionell
Sicherheitslücken offiziell unentdeckt
gelassen und erst geschlossen, sobald sie
bekannt werden. In der Zwischenzeit könnten
die Schwachstellen von den Geheimdiensten
ausgenutzt werden.
Die Industrienationen dieser Welt seien vollständig
digitalisiert. Es gebe keinen volkswirtschaftlich
oder politisch relevanten Prozess
mehr, in dem nicht ständig Computer involviert
sind. Digital gesteuert seien mittlerweile
auch sämtliche moderne Industrieanlagen.
Um die sei es im Aurora-Experiment gegangen,
und Stuxnet habe gezeigt, dass solche
Szenarien mit den richtigen Mitteln sehr wohl
möglich sind. Industriekomplexe könnten sich
nicht mehr allein durch Zäune und Wachleute
schützen. Im digitalen Zeitalter könne
kein Chemiekonzern, kein Kraftwerk, keine
Raffinerie, kein Staudamm mehr als sicher
gelten. Mit Schutzlosigkeit sei das aber nicht
gleich zu setzen. Das Atomkraftwerk in Biblis
zum Beispiel sei für einen digitalen Angreifer
auch mit den besten Informationen ein
unrealistisches Ziel. Die Steuerungselemente
befänden sich in einem insularen System.
Sie seien mit der Außenwelt nicht vernetzt.
Um Gewalt über diese Rechner zu gewinnen,
müsse man davor sitzen. Allerdings seien
nicht alle deutschen Anlagen so gesichert wie
ein Atomkraftwerk.
Stuxnet habe im Übrigen nach einem spezifischen
Anlagenaufbau gesucht. Die Angreifer
hätten wissen müssen, wie ihr Ziel geschaltet
war, um es angreifen zu können. Für Industrienationen
wie Deutschland bedeute das,
dass mit Anlagenplänen sensibel umgegangen
werden muss.
Deutschland sei in seiner totalen Abhängigkeit
ein attraktives Ziel für digitale Angreifer.
Die Bundesrepublik habe derzeit aber wohl
keine Feinde, von denen sie einen solchen
Angriff befürchten müsse. Nichtsdestotrotz
baue auch die Bundeswehr derzeit eine
Cybereinheit auf, „Computer- and Networkoperations“,
kurz CNO. Ab Mitte 2011 solle
CNO nicht nur defensives, sondern auch
aktives Potential haben. Dann werde die
Bundeswehr militärische Einsätze digital
unterstützen können.
Ladendiebstahl
Das Sicherheitsmagazin W & S fokussiert
sich in der Ausgabe 1/2011 auf den Ladendiebstahl.
Nach dem diesjährigen Diebstahlbarometer
des Centre for Retail Research
zahlte der deutsche Einzelhandel von Juli
2009 bis Juni 2010 für Warenschwund

<strong>Focus</strong> on Security 01-2011
21
knapp 5 Milliarden Euro. Rund 1,25 Milliarden
Euro (0,28 % des Umsatzes) wurden nach
dieser Studie in Antidiebstahl-Maßnahmen
investiert. Investiert worden sei in Bereiche,
die eine hohe Kapitalrendite versprechen wie
die Sicherung von besonders diebstahlgefährdeten
Artikeln, Schulungen für Mitarbeiter
und Store-Audits. Mehr als 27 % der deutschen
Händler habe angegeben, dass der
Ladendiebstahl zugenommen habe. 52,7 %
der Warenschwundkosten wurden dem Kundendiebstahl
zugerechnet, 26,1 % unehrlichen
Mitarbeitern, 15,8 % internen Fehlern
und 5,4 % Lieferanten. „Klaurenner“ seien vor
allem Markenartikel, die klein und teuer sind.
Häufigste Abwehrmethode sei die elektronische
Artikelsicherung (EAS). Etwa 38 % der
Einzelhändler nutzten diese Möglichkeit. Aber
noch 28,3 % der „Top 50-Klaurenner“ würden
bislang keinen besonderen Schutz erfahren
(S. 10/11).
Frank Horst vom EHI Retail Institut erläutert,
welche Lösungen es für die Warensicherung
gibt, warum Abschreckung ein Teil des
Sicherheitskonzepts sein sollte und wieso
wachsame Mitarbeiter mindestens genauso
wichtig seien wie Sicherheitstechnik
(S. 12/13).
In einem weiteren Beitrag (S. 26/27) wird
erläutert, dass die Warensicherung mit
Etiketten nur eine Option zum Schutz der
Produkte darstelle. Gerade bei kleinteiligen
Artikeln müsse verstärkt Videoüberwachung
zum Einsatz kommen. Da 95 % der Fehlalarme
bei Sicherungsetiketten auf vergessene
oder nicht korrekt entwertete Etiketten
zurückgingen, sollten alle Mitarbeiter sensibel
für Alarme sein und wissen, wie der Alarm
auslösende Kunde anzusprechen ist.
Datenschützer bringen Einzelhandel gegen
sich auf, titelt das Handelsblatt am 1. März.
Wie das Blatt mitteilt, habe die Hamburger
Landesdatenschutzbehörde dem Kaufhausbetreiber
ECE Projektmanagement von Amts
wegen aufgegeben, in seinem Alstertal-
Einkaufszentrum – einer großen Ladenpassage
– gleich zwei Dutzend Kameras
abzubauen. Begründung: Wo Kameras nur
der „allgemeinen Verhinderung von Straftaten“
dienten und wo sie nicht gezielt Eigentum
des Betreibers schützten, müsse das
Datenschutzinteresse der Kunden Vorrang
haben. Und dort, wo der Betreiber wirklich ein
solches „berechtigtes Interesse“ an Überwachung
vorbringen könne, seien Kameras nur
erlaubt, wenn deren Bilder auch laufend von
Kontrollpersonal beobachtet würden. Das
reine Aufzeichnen erfülle keinen präventiven
Zweck. Der Handelsverband HDE schlage
deswegen jetzt Alarm. Im Einzelhandel
würden jährlich etwa 1.000 Mitarbeiter bei
Gewalttaten erheblich verletzt. Das reine
Aufzeichnen mit automatischer Löschung
nach 48 Stunden sei auch ein Gebot der
„Datensparsamkeit“. Die Aufzeichnung von
Überwachungsbildern schrecke mindestens
graduell von Straftaten ab. Zudem sei die
Überwachung im Sinne der meisten Verbraucher,
die vom subjektiven Sicherheitsgefühl
profitierten.
Leitstellensicherheit
Wolfgang Wüst, BSG Wüst GmbH, befasst
sich in der Fachzeitschrift WiK (Ausgabe
6/2010, S. 59/60) mit dem Anwendungsbereich
der neuen dreiteiligen EN-Norm
50518 für Alarmempfangstellen und kommt
aufgrund von Erläuterungen durch das
Europäische Normungsinstitut CENELEC zu
dem Ergebnis, dass in Deutschland nahezu
jede Notruf- und Service-Leitstelle (NSL)
mindestens teilweise betroffen sein wird. Die
Landschaft der NSL in Deutschland werde
sich dramatisch ändern, weil sich für mehrere
Tausend Leitstellen der finanzielle, technische
und organisatorische Aufwand für die
Einhaltung der EN 50518 signifikant erhöhen
werde. Dasselbe Thema behandelt Markus

22 <strong>Focus</strong> on Security 01-2011
Schäll vom TÜV Süd Industrie Service GmbH
in der Fachzeitschrift GIT (3/2011). Wie die
Vorgaben der EN 50518 wirtschaftlich erfüllt
werden könnten, hänge vom Einzelfall ab.
Nicht immer seien alle Anforderungen eins zu
eins umzusetzen. Basiernd auf einer individuellen
Risikoanalyse ließen sich zu vielen
Punkten gleichwertige, alternative Maßnahmen
finden, die das geforderte Sicherheitsniveau
halten und zugleich die Kosten
minimieren (S. 17/18).
Logistiksicherheit
Die Kombination aus IR-Barrieren (Zäune,
Vorhänge) mit Videoüberwachung und
GPS-Ortung biete für Logistikunternehmen
und Speditionen ganz neue und sehr effektive
Möglichkeiten der Sicherung ihrer
mobilen und immobilen Objekte, betont
Michael Braasch in Security insight (6/2010,
S. 46/47). Das Zusammenspiel dieser Technologien
und ihrer Steuerung durch eine Leitstelle
müssten optimal koordiniert werden.
In derselben Ausgabe der Fachzeitschrift
zeigt Paul F. Ledergerber, wie sich Importcontainer
zum Schutz der Logistikmitarbeiter
gegen unterschiedliche Gefahren wappnen
lassen. Gefahr durch gefährliche Kontaminierung
drohe von Containern, in denen Waren
ausgasen. Ein US-Gesetz von 2007 sehe vor,
dass alle Schiffscontainer, die in die USA verfrachtet
werden sollen. Noch am Ausgangsort
vollständig auf mögliche Gefahren geprüft
werden müssen. Wirtschaftlich lasse sich das
nur durchführen, wenn die Frachtbehälter einfach
mit Sensorikvorrichtungen ausgerüstet
würden, die Zugriffe aller Art, beispielsweise
eine unerlaubte Türöffnung, an eine Zentrale
meldet und bei Bedarf ein Interventionsteam
vor Ort zum Handeln auffordert. Diese Technik
sei bei einzelnen Logistikunternehmen
schon im Einsatz. Durch den Einsatz weiterer
Technologien, etwa Radiofrequenz-Identifikation
(RFID) werde gleichzeitig die optimale
Warenlogistik mit Informationen in nahezu
Echtzeit sichergestellt (S. 48/49).
Luftsicherheit
Wie das Bundeskriminalamt unter Bezugnahme
auf einen Real-Test in Namibia am
17. November, der zur Verzögerung eines
Fluges von Windhuk nach München führte,
am 19. November mitteilt, ist eine erhöhte
Sensibilität der für die Luftsicherheit zuständigen
Stellen zu beobachten. In Deutschland
sei im Lichte aktueller Vorfälle ein ressortübergreifender
Arbeitsstab Luftfracht gebildet
worden, in dem unter anderem eine Modifizierung
der Kontrollmaßnahmen in Bezug auf
den Luftverkehr geprüft und vorangetrieben
werde. Allerdings lägen den Bundessicherheitsbehörden
weiterhin keine konkreten
Erkenntnisse vor, die eine spezifische Gefährdung
von Einrichtungen der deutschen
Wirtschaft durch terroristische Anschläge
erkennen lassen.
In Italien ist der Test von Körperscannern
an Flughäfen nach einem halbjährigen Test
wieder eingestellt worden. Als Grund habe
der Chef der italienischen Flugbehörde genannt,
dass die Untersuchung der Passagiere
im Vergleich zu den herkömmlichen Sicherheitsmaßnahmen
zu lange dauere und die
Scan-Ergebnisse unbefriedigend seien (WiK,
Ausgabe 6/2010, S. 8).
Der Behörden Spiegel berichtet in seiner
Januarausgabe über einen EU-Aktionsplan
zur Erhöhung der Luftfrachtsicherheit. Die
Vorschläge würden mehr Vorabinformationen
über Frachtsendungen vorsehen. Es würden
Kriterien zur Ermittlung von besonders
risikobehafteter Fracht und ein Mechanismus
für die Beurteilung der Sicherheitsstandards

<strong>Focus</strong> on Security 01-2011
23
auf Flughäfen außerhalb der EU festgelegt.
Von EU-Luftfahrtunternehmen, die Fracht
von außerhalb des europäischen Raums
befördern, würden bestimmte Zusagen in
Bezug auf die Sicherheit der Frachtsendungen
verlangt. Es würden Überlegungen zur
Entwicklung genormter Ausbildungsmodule
angestellt, um ein einheitliches Verständnis
der EU-Vorschriften zu erreichen. Und es
würden Forschungsarbeiten durchgeführt,
um die bestehenden Frachtkontrollmethoden
und -techniken zu verbessern. Das EU-
Inspek tionssystem werde ausgeweitet.
Wie der Behörden Spiegel weiter mitteilt,
hat die EU zwischenzeitlich entschieden, die
VO über die Mitnahmebeschränkung für
Flüssigkeiten, Aerosole und Gele (LAGs) ab
29. April 2011 stufenweise zu lockern. Voraussetzung
sei der Einsatz von Sicherheitssystemen,
die den geforderten technischen
Standards entsprechen. Hintergrund sei die
EU-VO zur Prüfung von Flüssigkeiten, Aerosolen
und Gelen, die mittels EU-zertifizierter
Sicherheitssysteme untersucht werden. Diese
Liquid-Explosives-Detection-Systeme (LEDS)
seien in zwei unterschiedliche Leistungsklassen
bzw. Detektionsstandards klassifiziert.
Smiths Detection sei bislang der einzige Hersteller,
der EU Standards 2 Typ C-zertifizierte
LEDS anbietet. Die entsprechend durch die
EU zugelassenen aTIX-Röntgenprüfsysteme
HI-SDAN 6040aTIX und HI-SCAN 7555aTIX
ermöglichten einen schnelle und effiziente
Prüfung von Flüssigkeiten und die Detektion
von Sprengstoffen im Handgepäck.
Der Bundesvorsitzende der Gewerkschaft
der Polizei (GdP), Bernhard Witthaut, beklagt
laut WELT Online vom 9. Januar „eklatante
Sicherheitslücken“ in Deutschland. Obwohl
Ende Oktober beim Transport einer Bombe
vom Jemen über Köln nach London offensichtlich
geworden sei, dass der Luftfrachtverkehr
Risiken berge, bestehe das Problem
bis heute. Auch auf See sei die Sicherheit
nicht gewährleistet. Es sei bekannt, dass
Passagierschiffe ein Terrorziel sein könnten.
Würde sich ein Terrorkommando mit einem
Sprengstoff beladenen Kutter in einem Hafen
an ein solches Schiff hängen, stünden wir vor
einem riesigen Problem. Die Bundeswehr
dürfe nicht eingreifen. Und die Wasserschutzpolizei
sei dafür gar nicht ausgestattet.
Mexiko: Sicherheitslage
Johannes Hauser, Geschäftsführer der
deutsch-mexikanischen Handelskammer,
beteuert laut Bericht der WELT vom 4. Januar,
ihm sei kein deutsches Unternehmen
bekannt, das sich wegen Sicherheitsbedenken
aus Mexiko zurückgezogen habe. Zwar
seien die Kosten für Sicherheit gestiegen,
aber dies sei kein rein mexikanisches Phänomen.
„In Brasilien und anderen Schwellenländern
ist die Sicherheitslage auch nicht
besser.“ Bei der Frage nach den getroffenen
Sicherheitsmaßnahmen hielten sich die
meisten Firmen bedeckt. Nach Angaben von
John Kewell, Vizepräsident für Sicherheit in
Mexiko der Firma Control Risks, würden vor
allem die Schutzmaßnahmen für ausländische
Geschäftsführer – also Bodyguards
und gepanzerte Autos – verstärkt. Und
Fracht-Lastwagen würden mit satellitengesteuerten
Ortungssystemen ausgestattet, um
Diebstähle zu verhindern, aber auch sicher zu
stellen, dass der Fracht keine Drogen untergejubelt
werden. Hauser zufolge verzichten
derzeit einige Unternehmen darauf, ihre
Vertriebsmitarbeiter zur Kundenpflege in
bestimmte Regionen des Landes zu schicken.
Besonders an der Grenze ansässige Firmen
seien dazu übergegangen, ihre leitenden
Angestellten und deren Familien auf der
US-Seite wohnen zu lassen. Ausländische
Angestellte sind nach Beobachtung von
Kewell allerdings kein bevorzugtes Opfer der
Kriminellen. „Gut 90 % der Entführungen betreffen
mexikanische Staatsangehörige“ sagt
Kewell. Deutsche Unternehmen beurteilten
Mexiko weiterhin positiv.

24 <strong>Focus</strong> on Security 01-2011
Piraterie
175 Seemeilen nordöstlich der omanischen
Hafenstadt Salalah überfielen, wie die FAZ
am 30. Dezember meldete, somalische
Piraten die mit Erdölkoks beladene „EMS
River“, das der Papenburger Reederei Grona
Shipping hört. Nach Angaben des europäischen
Militärbündnisses EUZ Navfor
(European Union Naval Force Somalia), die
im Rahmen der Antipiraten-Mission Atalanta
vor der Küste Somalias unterwegs ist, seien
derzeit 25 Handelsschiffe mit insgesamt 587
Besatzungsmitgliedern in der Hand somalischer
Piraten. Bei diesem Überfall hätten die
Piraten offenbar von einem – zuvor ebenfalls
gekaperten – Mutterschiff aus agiert. Die Strategie,
kleine Schnellboote (Skiffs) von hochseetauglichen
Schiffen für Angriffe zu Wasser
zu lassen, scheine sich immer mehr durchzusetzen.
So könnten die Piraten auch fernab
der eigenen Küste ihr Unwesen treiben, was
die Schutzmöglichkeiten der Militärschiffe
sehr erschwere. Der deutsche Chemie tanker
„Marida Marguerite“ der Reederei OMCI
Shipmanagement, der Anfang Mai vor der
Küste Omans entführt worden war, ist jetzt
gegen die Zahlung eines Lösegeldes von
5,5 Millionen Dollar freigegeben worden. Der
Verband Deutscher Reeder (VDR) habe seine
Forderung nach einem besseren Schutz der
Seeleute erneuert.
Nach einem Bericht in der FAZ am 11. Februar
sind 2010 vor der Küste Somalias
49 Schiffe mit insgesamt 1.000 Seeleuten
entführt worden. Noch immer seien mehr
als 30 Schiffe in der Hand der Piraten, die
entweder um Lösegeld feilschten oder – wie
im Fall des Tankers „York“ – das gekaperte
Schiff als Mutterschiff einsetzten, um auch
fernab der Küste ihr Unwesen zu treiben.
Reeder wüssten sich nicht mehr anders zu
helfen, als privates Sicherheitspersonal an
Bord ihrer Schiffe zu nehmen. Das gehe ins
Geld: 60.000 bis 100.000 Dollar veranschlage
der Reeder Stolberg für drei bis vier
Sicherheitskräfte, die bis zu 9 Tage an Bord
bleiben. Ralf Nagel, Hauptgeschäftsführer des
Verbands Deutscher Reeder (VDR) sieht darin
„ein Staatsversagen“ und „einen Rückfall ins
Mittelalter“. Aber nicht zuletzt aus verfassungsrechtlichen
Gründen tue man sich hierzulande
noch sehr schwer damit, hoheitliche
Kräfte auf Handelsschiffen einzusetzen. Das
Gefahrengebiet vor Somalia zu meiden und
statt des Suezkanals die Route um das Kap
der Guten Hoffnung und die westafrikanische
Küste zu nehmen, sei auch keine Lösung,
zumal die Piratenattacken längst bis weit in
den Indischen Ozean hinein reichten.
Erstmals wolle ein deutscher Versicherungsvermittler
im großen Stil Policen gegen
Piratenüberfälle anbieten, meldet das
Handelsblatt am 24. Februar. Der Bremer
Versicherungsvertreter Lampe & Schwartze
wolle so Reedereien gegen Lösegeldforderungen
absichern. Branchenkreisen zufolge
wolle wahrscheinlich auch die Allianz demnächst
ein entsprechendes Angebot einführen.
Bisher hätten nur ausländische Konzerne
wie Aspen, Hiscox, Ascot oder Chubb solche
Versicherungen angeboten. Für die Reeder
werde auch zunehmend zum Problem, dass
die Piraten immer höhere Lösegeldforderungen
stellen. Genaue Zahlen gebe es
nicht, aber einige Experten schätzten, dass
inzwischen im Schnitt über 5 Millionen Euro
gezahlt werden. Je nach Route und Schiffstyp
verlangten die Assekuranzen für eine einzige
Fahrt 10.000 bis 45.000 Euro Prämie. Für
besonders gefährliche Routen habe sich die
Prämie in den letzten Jahren verzehnfacht.
Produktpiraterie
Der Zoll in Deutschland habe in den ersten
neun Monaten 2010 mehr gefälschte
Marken produkte beschlagnahmt als im
gesamten Jahr 2009, meldet die FAZ am

<strong>Focus</strong> on Security 01-2011
25
7. Dezember. Bis Ende September griffen
die Beamten rund 15.280 Lieferungen auf
(2009: 9.622). Bemerkenswert sei, dass
die Mehrzahl der entdeckten Fälschungen
nicht mehr aus China stamme, sondern
aus Thailand, sagte der Parlamentarische
Staatssekretär im BMF, Hartmut Koschyk, bei
einem Besuch der Zentralstelle Gewerblicher
Rechtsschutz des Zolls in München. „China
entwickelt sich zu einem Land, in dem eigene
Marken und Patente entwickelt werden“,
sagte Koschyk.
Maschinenbaufirmen haben, wie die FAZ
am 18. Februar berichtet, allen Grund sich intensiv
Gedanken darüber zu machen, wie der
Nachbau kompletter Maschinen, der Einsatz
gefälschter Teile oder der Klau von Computer-Steuerungssystemen
verhindert werden
kann. Nach Untersuchungen des Branchenverbandes
VDMA sind die Plagiatskosten im
Verhältnis zum Branchenumsatz immer weiter
gestiegen. Zuletzt sei ein Anteil von 4 %
ermittelt worden. Das habe einem Schaden
von rund 6,4 Milliarden Euro entsprochen.
Daher habe der Verband vor gut einem Jahr
die AG Protecting.de ins Leben gerufen, die
Maschinenbauer mit Anbietern von Sicherheitstechnologien
zusammenbringen soll.
Typisch sei, dass ein Mittelständler erst dann
aktiv werde, wenn es in seinem Haus einen
konkreten Fall gegeben habe – etwa ein gefälschtes
Ersatzteil im Ausland, das nicht nur
eine Maschine lahm legt, sondern auch noch
einen teuren Gewährleistungsanspruch mit
sich bringt. Der VDMA lade seine Mitglieder
zu Fachtagungen ein. Hologramme mit integrierten
Nanotexten, verdeckt aufgedruckte
Leuchtpigmente, Sicherheitssoftware, Micro-
Farbcodes zur Rückverfolgung gefälschter
Teile – die Liste der Hightech-Lösungen im
Kampf gegen Fälscher sei ellenlang. Es gehe
aber nicht nur um den Kauf der Technologien,
dafür müssten im Betrieb auch die gesamten
Prozessketten verändert und Mitarbeiter
eingestellt werden.
Safety
Dipl.-Ing.(FH) Carsten Gregorius, Sick AG, beschreibt
in der Fachzeitschrift GIT (12/2010,
S. 54–56) ein workflow-orientiertes Sicherheits-Engineering
für eine risikogerechte
und lückenlose Maschinen- und Bedienersicherheit
mittels des Softwaretools Safexpert.
Die Sicherheitssoftware führt in 8 Schritten
durch den gesamten Konformitätsprozess bis
zum CE-Zeichen. Die professionell durchgeführte
Risikobeurteilung sei die beste Basis,
um alle sicherheitsrelevanten Funktionen an
den Maschinen oder Anlagen zu definieren.
In derselben Ausgabe wird eine weitere
Softwarelösung (Docufy machine safety)
vorgestellt, die den Prozess der Risikobeurteilung
und deren Dokumentation als Anforderung
an die CE-Kennzeichnung aufgrund
der neuen Maschinenrichtlinie 2006/42/EG
wesentlich erleichtern soll (S. 58/59).
Sicherheitsgewerbe
Deutschlands führende Sicherheitsdienstleister
erwarten für 2010 und in den
kommen den zehn Jahren deutliche Umsatzsteigerungen.
In einer Analyse des Marktforschungsunternehmens
Lünendonk wird
aufgrund einer Befragung von 35 großen
Sicherheitsunternehmen für 2010 ein Plus
von 4,2 %, für die Jahre bis 2015 im Durchschnitt
+ 6,3 % und anschließend + 6,8 %
erwartet. Vermutet werde, dass insbesondere
die Logistiksicherheit an Flug- und Seehäfen,
aber auch Sicherheitsaufgaben in Bahnhöfen
und Sportstadien, im Waren- und Personenverkehr
sowie bei Events an Bedeutung
gewinnen.

26 <strong>Focus</strong> on Security 01-2011
Wie die FAZ am 17. Januar mitteilt, habe
der Bundesverband Deutscher Wach- und
Sicher heitsunternehmen (BDWS) die SPD-
Verhandlungsführerin im Vermittlungsausschuss
über die Hartz IV-Reform gebeten,
einer Paketlösung nur zuzustimmen, wenn
auch der Mindestlohn für Sicherheitsdienstleistungen
beschlossen wird. Das
Wachgewerbe wolle sich mit einer gesetzlichen
Lohnuntergrenze gegen den Zuzug
osteuropäischer Billig-Arbeitnehmer nach
der völligen Freigabe der Arbeitnehmerfreizügigkeit
in der EU von Mai an wappnen. Der
BDWS und die Gewerkschaft ver.di hatten im
April 2010 einen Mindestlohn-Tarifvertrag
für Sicherheitsdienste vereinbart. Er sehe
(gestaffelt nach Regionen) einen Mindestlohn
von 6,53 € von Mai 2011 an vor. Die
Untergrenze solle im März 2012 auf 7 € und
im März 2013 auf 7,50 € steigen. Nur wenn
die Bundesarbeitsministerin diesen Mindestlohn
für allgemeinverbindlich erkläre, sei es
möglich, die vereinbarten tariflichen Mindestlöhne
auch auf Unternehmen aus anderen
EU-Ländern zu erstrecken.
Am 2. Februar meldete die FAZ, die Regierungsparteien
hätten sich mit der SPD auf
Mindestlöhne auch für das Wach- und Sicherheitsgewerbe
geeinigt. Da das Sicherheitsgewerbe
ins Entsendegesetz aufgenommen sei,
könnten die Mindestlöhne (in Westdeutschland
6,5 –8,46 Euro, in Ostdeutschland
6,53 Euro) durch Verordnungen der Arbeitsministerin
erlassen werden.
Mit dem Einsatz von Sprengstoffspürhunden
in Industrie und Dienstleistungsgewerbe
befasst sich ein Beitrag von Bodo Hause und
Henri Ulitzsch in der Ausgabe 3/2011 der
Fachzeitschrift GIT. Das Sicherheitsgewerbe
sei mit steigender Nachfrage nach entsprechenden
Dienstleistungen konfrontiert. So
liege es nahe, einen einheitlichen Qualitätsstandard
für Hunde und Hundeführer zu
fordern (S. 20/21).
Sicherheitstechnik
Die intelligente Vernetzung von IT-Security
und Sicherheitstechnik beschreibt Erban
Kilic, Siemens AG, Building Technologies Division/Security
Systems, in der Fachzeitschrift
s+s report, (Ausgabe 6/2010, S. 43–45). Die
herkömmliche Trennung von IT-Security und
Gebäudesicherheit werde den komplexen
Sicherheitsanforderungen moderner Unternehmen
nicht länger gerecht. Voraussetzung
für die Implementierung eines ganzheitlichen
Sicherheitskonzepts sei die genaue Analyse
des Unternehmens und aller Faktoren, die
Einfluss auf seine Sicherheit nehmen.
Perimeterüberwachung durch intelligente
Kombination von mechanischem Widerstand
mit elektronischer Detektion (Lichtwellenleiter,
Schallmelder-Systeme, elektromagnetische
Sensoren, Bodendetektion, elektromechanische
Kontakte, Streckenmelder
und Videoüberwachung) wird in der Ausgabe
1/2011 der Fachzeitschrift WiK
thematisiert. In einer Matrix wird dargestellt,
welche Detektionssysteme sich wo eignen
(S. 45–49). Dasselbe Thema wird in der Ausgabe
3/2011 der Fachzeitschrift GIT behandelt.
Wer Industriegelände wirksam absichern
wolle, sollte die Anforderungen an die Zaunanlage
möglichst genau definieren (S. 48/49).
In derselben Ausgabe befasst sich Joachim
Reif, Reif GmbH, mit der kombinierten Alarmund
Videoüberwachung für Solarparks.
Vorgestellt wird eine Absicherungsmethode
speziell für Solarparks (S. 50–52).
Ulrich Schwieger, HeiTel Digtal Video GmbH,
zeigt in Security insight (Ausgabe 6/2010),
dass die elektronische Sicherheitstechnik
mehrere Gewerke, vor allem Einbruch- und
Gefahrenmelde- sowie Zutrittskontroll- und
Videoüberwachungsanlagen umfasst. Die
Einbruchmeldeanlage könne die Aufzeichnung
von Videosequenzen und die selektive
Videoalarmierung steuern. Sie könne auf-

<strong>Focus</strong> on Security 01-2011
27
grund bestimmter Systemzustände, zum
Beispiel dem Öffnen oder Schließen einer Tür
oder dem Ansprechen eines Bewegungsmelder,
das Videosystem veranlassen, eine
bestimmte PTZ-Kamera entsprechend zu
positionieren. Darüber hinaus könne das
Videosystem veranlasst werden, ereignisselektive
Alarmierungsfunktionen durchzuführen
(S. 24–26).
Rainer Henß, Deutsche Post DHL, beschreibt
in derselben Fachzeitschrift die Vernetzung
der Sicherheitstechnik bei der Deutschen
Post DHL per IP unter Anbindung an einen
zentralen Server, der über eine Schnittstelle
die Personenstammdaten permanent abgleicht
(S.43–45).
Rechtsanwältin Petra Menge behandelt in
der Fachzeitschrift s+s report (6/2010) die
haftungsrechtliche Bedeutung nationaler und
internationaler Normen der Sicherungstechnik
(S. 46–53). An Beispielsfällen erläutert sie
die Haftungsrisiken von DIN-Normen nach
der Rechtsprechung. Grundsätzlich haben
DIN-Normen zwar keine Rechtsnormqualität.
Dennoch entfalten solche privatrechtlich
gesetzte Normen „indirekte gesetzliche
Wirkung“, denn sie spiegeln den Stand der für
die betroffenen Kreise geltenden anerkannten
Regeln der Technik wider und sind somit zur
Bestimmung des nach der Verkehrsauffassung
zur Sicherheit Gebotenen in besonderer
Weise geeignet.
In der Fachzeitschrift Security insight
(Aus gabe 6/2010) weist Peter Knapp, ZVEI,
auf zwei neue Broschüren des Fachverbandes
Sicherheit im Zentralverband Elektrotechnik
und Elektroindustrie e.V. /ZVEI) hin,
die über die Sicherheit an Schulen und die
Evakuierung von Gebäuden informieren. Im
Zentrum steht die Gefahrenmeldetechnik,
sukzessive kommen Fluchtweglenkung,
Videoüber wachung und Zutrittskontrolle
hinzu (S. 30–33).
In derselben Ausgabe werden die juristischen
Grenzen der Videoüberwachung skizziert
(S. 53–57). Schon die Möglichkeit, vom Empfangsmonitor
in einer Wohnung per Taster
nachzusehen, ob jemand vor der Tür steht,
führe dazu, dass sich vor der Eingangstüre
aufhaltende Personen unbemerkt beobachtet
werden können.
Dr. Matthias G. Döring, Geutebrück GmbH,
plädiert in der Fachzeitschrift WiK (6/2010)
für spezielle Kompressionslösungen, um
das eigentliche Ziel von CCTV, die qualitativ
hochwertige Erfassung sicherheitsrelevanter
Information, zu erreichen. Die aus
dem Multimedia-Umfeld übernommenen
Kompressionsprodukte (etwa H.264- oder
MPEG 4-Encoder) schränkten die Leistungsfähigkeit
der Systeme unnötig ein (S. 67–69).
David Hammond, Sanyo GmbH, befasst sich
in der Ausgabe 3/2011 der Fachzeitschrift
GIT mit HD (High Definition)-Kameras. Ein
Schlüsselbestandteil dieses Standards sei,
dass die Kamera ein Bildschirmformat von
16:9 aufweist. Dieses Format eröffne ein viel
größeres Blickfeld als dies beim herkömmlichen
4:3-Bild der Fall sei. Und weil eben alle
HD-Kameras auch Megapixel-Kameras seien,
könne der Nutzer in einen kleinen Bildausschnitt
hineinzoomen (S. 42–44).
In der Januarausgabe des Behörden Spiegel
wird der Erfolg der Videoüberwachung
öffentlicher Straßen und Plätze bewertet.
Die Erfahrungen sei dem Jahr 2000 zeigten
laut Innenminister Rhein, dass potenzielle
Täter abgeschreckt würden, dass beim
Erkennen von Gefährdungen und Straftaten
unmittelbar polizeiliche Maßnahmen getroffen
werden könnten und bei begangenen
Straftaten Beweissicherungs- und Identifizierungsmaßnahmen
möglich seien. Die
Landesregierung unterstütze Kommunen,
die Videoüberwachung im öffentlichen Raum
planen. Bis zum Frühjahr 2011 würden
hessenweit voraussichtlich in 13 Städten
16 Bildaufzeichnungsanlagen mit insgesamt
83 Kameras in Betrieb sein.

28 <strong>Focus</strong> on Security 01-2011
Spionage
Deutschlands Hochtechnologieunternehmen
– gerade im innovativen Mittelstand – seien
vermehrt Ziel von Spionageangriffen ausländischer
Nachrichtendienste sowie Konkurrenten
aus dem Ausland, berichtet die Hochrhein-Zeitung
am 7. Januar unter Berufung
von ASW-Geschäftsführer Berthold Stoppelkamp.
Nach seiner Auffassung gehen trotz
dieser Bedrohungslage viele Unternehmen
zu sorglos mit dem Schutz von Betriebsgeheimnissen,
gerade im Forschungsbereich,
um. Für eine effektivere Spionageabwehr
in der Wirtschaft sei erstens erforderlich,
dass sich die betroffenen Unternehmen bei
Verdachtsfällen frühzeitiger mit den Verfassungsschutzbehörden
in Bund und Ländern
in Verbindung setzen. Zweitens sollte es der
Bundesgesetzgeber vermeiden, Gesetzlichkeiten
zu beschließen, die den Unternehmen
die Unterstützung der staatlichen Stellen
bei der Bekämpfung und Verfolgung von
Spionageangriffen erschweren. Es gehe beim
Wirtschaftsschutz um die Sicherung des
Wirtschaftsstandortes Deutschland und den
Erwerb bzw. den Erhalt von Technologieführerschaft
in Schlüsseltechnologien.
Wegen zunehmender Spionagegefahr habe
der Verfassungsschutz Manager eindringlich
zur Vorsicht bei Reisen nach China und
Russland geraten. Der Vizepräsident des
Bundesamtes für Verfassungsschutz (BfV),
Eisvogel, habe der „Wirtschaftswoche“ gesagt,
auf Auslandsreisen sollten nur noch „ein
nackter Reiselaptop und ein nacktes Reisehandy“
ohne gespeicherte Dateien mitgenommen
werden. Vor Reiseantritt sollten alle
sensiblen Daten von Laptop und internetfähigen
Handys gelöscht werden. Die Empfehlung
gelte insbesondere für Risikoländer wie
China und Russland. Weil die Geheimdienste
dort E-Mails mitlesen und Telefonate mithören,
sollten solche Formen der Kommunikation
möglichst vermieden werden.
Nach einem Bericht des Handelsblatts vom
10. Januar hat Renault drei Top-Manager
wegen des Verdachts der Industriespionage
von der Arbeit suspendiert. Sie sollen versucht
haben, die Geheimnisse von Renaults
E-Autoprogramm zu stehlen. Vorangegangen
seien vier Monate dauernde interne Ermittlungen.
Geld soll das Hauptmotiv für die
Attacke gewesen sein. Die drei Verdächtigen
hätten Geld über ein komplexes System
ausländischer Briefkastengesellschaften bezogen.
Ein französischer Autozulieferer habe
dabei als Mittler zwischen den Renault-Managern
und chinesischen Kontaktleuten gedient.
Allerdings seien keine strategisch wichtigen
Informationen nach außen gedrungen. Es
seien auch keine Details der 200 Patente
betroffen, die der französische Autohersteller
derzeit anmelden wolle.
Die Verdächtigen hätten dagegen Informationen
über die Architektur der Elektroautos,
ihre Kosten und ihr Geschäftsmodell an
Dritte weitergereicht. Hinter der Affäre stehe
ein „ organisiertes System zur Sammlung
wirtschaftlicher, technischer und strategischer
Informationen, das Interessen im Ausland dienen
soll“. Nach Angaben von Oliver Buquen,
dem französischen Regierungsbeauftragten
für strategische Wirtschaftsinformationen,
haben die Fälle der Industriespionage in den
vergangenen fünf Jahren dramatisch zugenommen.
Es gebe mehrere Tausend Fälle.
Mittlerweile würden auch kleine Unternehmen
aus spioniert.
Da es derzeit aber nur wenig juristische
Handhabe gebe, würden die meisten
Unternehmen auf eine Anzeige verzichten.
Industriespionage sei derzeit kein eigener
Straftatbestand im französischen Rechtssystem.
Das solle sich bald ändern.

<strong>Focus</strong> on Security 01-2011
29
Terrorismus
Mitte Dezember 2010 hat das BKA folgende
aktuelle Gefährdungslage zum islamistischen
Terrorismus veröffentlicht:
„Deutsche Interessen im In- und Ausland
unterliegen weiterhin verstärkt hohen
Gefährdungen durch den internationalen
islamistischen Terrorismus. Diese können
sich jederzeit in Form von Anschlägen
unter schiedlicher Dimension und Intensität
realisieren. Wesentliche Aspekte für diese
Bewertung sind aktuelle Analysen über
strategische Zielsetzungen und Aktivitäten
von Al Qaida und affinen terroristischen
Personen und Gruppierungen, die Existenz
eines gewaltbereiten islamistischen Spektrums
in Deutschland, stetige Reisebewegungen
dieser Personen in das afghanisch-pakistanische
Grenzgebiet sowie die anhaltende
Verbreitung von Verlautbarungen mit direktem
Deutschlandbezug. Von den Personen,
die sich zum Zweck einer islamistischenterroristischen
Ausbildung in das afghanischpakistanische
Grenzgebiet begeben haben
und wieder nach Deutschland zurückgekehrt
sind, geht in diesem Zusammenhang eine
besondere Bedrohung aus. Unverändert
sind emotionalisierte und fanatisierte Einzeltäter,
die keine Ausbildungslager durchlaufen
haben, ebenfalls zu berücksichtigen. Seit
Mitte des Jahres 2010 verzeichnet das
BKA verstärkt Hinweise, wonach die Terrororganisation
Al-Qaida längerfristig plane,
Anschläge in den USA, in Europa und auch in
Deutschland zu begehen.
Die deutschen Sicherheitsbehörden gehen
dabei von drei verschiedenen Bedrohungsszenarien
durch den internationalen Terrorismus
aus:
1. Die Ende Oktober versuchten Anschläge
auf den internationalen Frachtflugverkehr, zu
denen sich der regionale Al Qaida-Ableger
namens „AlQaida auf der arabischen Halbinsel“
authentisch bekannt hat, waren Beleg für
die Anpassungsfähigkeit und Beharrlichkeit
terroristischer Täter bei der Verfolgung ihrer
Ziele. Sie waren zugleich eine Bestätigung für
die Zuverlässigkeit mancher Hinweise.
2. Nach Hinweis eines ausländischen Partners,
der die Sicherheitsbehörden nach dem
Jemen-Vorgang erreichte, sollte Ende November
2010 ein mutmaßliches Anschlagsvorhaben
umgesetzt werden.
3. Jüngste eigene Ermittlungsergebnisse
des BKA im Zusammenhang mit Personen
aus dem islamistischen Spektrum bestätigen
erneut und unabhängig davon die nachhaltigen
Bestrebungen islamistischer Gruppen zu
Anschlagsplanungen in Deutschland.
Innerhalb kürzester Zeit sind für die Sicherheitslage
in Deutschland relevante Sachverhalte
bekannt geworden. Das hohe Maß an
nunmehr zeit- und inhaltlichen Übereinstimmungen
mit den bisherigen Hinweisen hat
die Lage verändert. Die Sicherheitsbehörden
des Bundes und der Länder sind auf diese
Situation vorbereitet. Bereits im Zusammenhang
mit der erhöhten Bedrohungslage zur
Bundestagswahl 2009 sind umfangreiche
Maßnahmenkonzeptionen erarbeitet worden,
die jetzt erneut zur Anwendung kommen. Die
Polizeien des Bundes und der Länder werden
daher bis auf weiteres der aktuellen Gefährdungslage
mit abgestimmten und lageangepassten
Sicherheitsmaßnahmen Rechnung
tragen.“
Das Handelsblatt meldet am 12. Januar,
Bundesinnenminister de Maizière wolle noch
keine Entwarnung geben, obwohl die Gefahr
islamistischer Terroranschläge im öffentlichen
Leben Deutschlands längst in den Hintergrund
geraten sei. Die im November 2010
angeordneten Sicherheitsmaßnahmen würden
in absehbarer Zeit nicht zurückgefahren.
Die FAZ befasst sich am 13. Dezember mit
einer Reihe von Bedrohungen und Attentatsversuchen
radikaler Islamisten gegen Ziele

30 <strong>Focus</strong> on Security 01-2011
in Europa. Als vorgebliches Motiv nennen
Terrorgruppen in Selbstbezichtigungen
immer wieder das Engagement der Europäer
beim Aufbau Afghanistans sowie die Veröffentlichung
von so genannten Mohammed-
Karikaturen. Ende 2009 hatte der dänische
Geheimdienst gemeinsam mit dem FBI nach
eigenen Angaben einen Anschlag auf die
dänische Zeitung „Jyllands-Posten“ vereitelt,
in der 2005 die Mohammed-Karikaturen erschienen.
Im Juli 2010 nahmen norwegische
Sicherheitsbehörden mit deutscher Unterstützung
drei Terrorverdächtige fest, denen
die Vorbereitung eines Anschlags vorgeworfen
wird. Im November wurden in Belgien,
den Niederlanden und Deutschland zehn
Terrorverdächtige festgenommen. Sie sollen
einen Anschlag in Belgien geplant haben.
In den Wochen davor waren in Frankreich,
Großbritannien und dann auch in Deutschland
akute Terrorwarnungen ausgegeben worden.
Während Frankreich im Fokus von Al-Qaida
im Maghreb stehe, sehen sich Deutschland
und Großbritannien Bedrohungen von Al
Qaida-Gruppen aus Pakistan und dem Jemen
ausgesetzt.
Unternehmenssicherheit
Die Fachzeitschrift WiK befasst sich in ihrer
Ausgabe 6/2010 (S. 49/50) mit der im
Februar 2010 veröffentlichten ISO/IEC-Norm
27003 (Information security management
system implementation guidance). Der
Standard beschreibe, wie ein Informationssicherheits-Managementsystem
(ISMS)
geplant und entworfen wird. Das beschriebene
Vorgehensmodell sei eine Empfehlung.
Vorgestellt werden die fünf Projektphasen:
1. Projektinitiierung und -genehmigung
2. Anwendungsbereich und ISMS-Policy
3. Analyse der Sicherheitsanforderungen und
des aktuellen Status
4. Risikoabschätzung und Planung der
Risikobehandlung
5. Entwurf ISMS
Am Ende von Phase 5 sollte ein umfassender,
vom Management genehmigter Projektplan
zur Umsetzung des geplanten ISMS
vorliegen.
In der Ausgabe 1/2011 dieser Zeitschrift
werde Ergebnisse der „WiK-Sicherheitsenquete
2010/2011“ wiedergegeben. Danach
gehen Sicherheitsexperten in der deutschen
Wirtschaft davon aus, dass künftig mit einer
höheren Gefährdung durch Angriffe auf die
IT und Telekommunikation sowie durch Ausspähung
zu rechnen ist (S.12/13).
Zutrittskontrolle
Der Anspruch an die Funktionalität von
Vereinzelungsanlagen zur Zutrittskontrolle
sei bei den Applikationen im Freizeitbereich
ungleich höher als bei Gewerbe- und Industrieobjekten,
ist die Fachzeitschrift GIT
(Ausgabe 12/2010, S. 32-34) überzeugt. Es
sei wichtig zu unterscheiden, ob die Benutzer
Menschen seien, die die Anlage täglich
passieren müssen, weil dies ihr Weg zum Arbeitsplatz
ist – oder ob es um Gäste geht, die
nur hin und wieder kommen. Die Wahl des
passenden Sperrentyps für den jeweiligen
Zutrittszweck sei ein wesentlicher Erfolgsfaktor.
Leicht nachvollziehbar sei die Einteilung
in übermannshohe Portaldrehkreuze für die
Umzäunung, mannshohe oder schulterhohe
Drehkreuze für nicht personell bewachte
Zugänge sowie schließlich hüfthohe Einheiten
für Bereiche, die von Ordnungskräften
beaufsichtigt werden.

Impressum
<strong>Focus</strong> on Security enthält Informationen zum Unternehmensschutz und wird sechs Mal
jährlich herausgegeben. Der <strong>Focus</strong> on Security erscheint sowohl in gedruckter Form in
einer Auflage von 2.000 Exemplaren als auch per elektronischem Newsletter, der an
1.800 Abonnenten verteilt wird.
Hinweis der Redaktion:
Sämtliche Personenbezeichnungen im Plural gelten auch ohne ausdrückliche Nennung
gleichermaßen für männliche und weibliche Personen.
Herausgeber:
Manfred Buhl, Vorsitzender der Geschäftsführung, Düsseldorf
Verantwortlicher Redakteur:
Sven Wieboldt, Pressesprecher, Berlin
Beratende Redakteure:
• Reinhard Rupprecht, Bonn
• Axel Leyendecker, Geschäftsführer Key Account, Berlin
• Birgit Dräger, Leiterin Unternehmenskommunikation, Berlin
focus.securitas.de
Kontakt
SECURITAS Deutschland Holding GmbH & Co. KG
Zweigniederlassung Berlin
Redaktion <strong>Focus</strong> on Security
Hallesches Ufer 74–76
D-10963 Berlin
Sitz der Hauptniederlassung: Düsseldorf,
Amtsgericht Düsseldorf HRA 14554
Persönlich haftende Gesellschafterin: SECURITAS
Deutschland Holding Beteiligungs GmbH
Sitz Düsseldorf, Amtsgericht Düsseldorf HRB 40257
Geschäftsführer: Manfred Buhl (Vors.), Waldemar
Marks, Roswitha Seemann, Alfred Dunkel
Vorsitzender des Aufsichtsrates: Dr. Carl A. Schade
E-Mail: info@securitas.de