Warum „Sicherheit“ nicht gleich „Sicherheit“ ist
Liebe Leserinnen und Leser,
wir haben in der deutschen Unternehmenssprache ein fundamentales Problem, das uns in der strategischen Führung teuer zu stehen kommen kann – finanziell und rechtlich. Wir benutzen ein einziges, monolithisches Wort für zwei völlig unterschiedliche, teils sogar gegensätzliche Konzepte: Sicherheit.
Stellen Sie sich folgende Situation vor: Ein Geschäftsführer gibt die Anweisung: „Sorgen Sie dafür, dass die neue Produktionsanlage sicher ist.“
Was genau meint er damit?
Meint er, dass die Mitarbeiter an der Maschine vor Quetschungen geschützt sind und keine giftigen Dämpfe austreten?
Oder meint er, dass die Steuerung der Maschine nicht von einem Ransomware-Angriff lahmgelegt und das Rezept gestohlen werden kann?
In der Praxis erlebe ich erschreckend oft, dass diese Begriffe vermischt, Budgets falsch zugewiesen und Verantwortlichkeiten verwässert werden. Man investiert Millionen in hochmoderne Firewalls (Security), vernachlässigt aber die physische Betriebssicherheit (Safety) oder den Brandschutz. Oder – und das ist das Phänomen der heutigen Zeit – man verlässt sich blind auf digitale Dashboards, die „alles grün“ anzeigen, während in der Produktionshalle bereits die Vibrationen einer defekten Lagerung spürbar sind.
In dieser Ausgabe möchte ich mit Ihnen einen genauen, tiefgehenden Blick auf diese gefährliche Verwechslung werfen und warum sie ein Risiko für Ihre Geschäftskontinuität darstellt.
Die Begriffsverwirrung: Safety vs. Security – Ein Kampf gegen unterschiedliche Gegner
Lassen Sie uns die Begriffe einmal so scharf trennen, wie es im anglo-amerikanischen Raum üblich ist – und wie es für ein belastbares Sicherheitsgutachten absolut notwendig ist. Es geht nicht nur um Semantik, es geht um die Art der Bedrohung.
Safety
(Betriebssicherheit & Arbeitsschutz)Hier geht es um den Schutz des Menschen und der Umwelt vor den Gefahren, die vom System ausgehen.
Das Szenario: Ein Ventil bricht, eine Bremse versagt, ein Geländer fehlt.
Der Gegner: Der Zufall, die Physik und der Verschleiß. Wir kämpfen gegen Entropie, menschliches Versagen aus Müdigkeit oder Unwissenheit und Naturgewalten. Es gibt keinen bösen Willen, nur Fehleranfälligkeit.
Das Ziel: Unversehrtheit von Leib und Leben, Umweltschutz, technischer störungsfreier Betrieb.
Security
(Angriffsschutz & Datensicherheit)Hier geht es um den Schutz des Systems vor Gefahren, die von Menschen ausgehen.
Das Szenario: Ein Hacker schleust Schadsoftware ein, ein frustrierter Mitarbeiter sabotiert eine Anlage, ein Spion stiehlt Konstruktionspläne.
Der Gegner: Intention und Intelligenz. Wir haben es hier mit einem Gegner zu tun, der aktiv nach Lücken sucht, der kreativ ist und der Schaden anrichten will.
Das Ziel: Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Werten.
Warum ist diese Unterscheidung überlebenswichtig?
Weil die Maßnahmen für das eine das andere manchmal massiv behindern können. Wir nennen das Zielkonflikte.
Beispiel Fluchttür:
Unter Safety-Aspekten muss eine Tür im Brandfall jederzeit von innen zu öffnen sein (Panikschloss).
Unter Security-Aspekten muss diese Tür verriegelt sein, um unbefugten Zutritt zu verhindern. Ohne ein integriertes Konzept haben Sie entweder eine Todesfalle oder ein offenes Scheunentor.
Ein weiteres Beispiel ist der Not-Aus: Safety verlangt, dass ein System bei einem Fehler sofort in einen „sicheren Zustand“ fährt (meistens: aus). Security (im Sinne von Verfügbarkeit/IT) will oft verhindern, dass ein System einfach abstürzt, um Datenverlust zu vermeiden.
Die Illusion des „Grünen Lichts“: Die Dashboard-Falle
Wir leben in einer Ära der totalen Sensorik. Wir überwachen Temperaturen, Zugriffe, Durchflussmengen und Serverlasten digital. Das verführt das Management dazu, Sicherheit nur noch vom Schreibtisch aus zu managen. Es ist bequem, es wirkt kontrolliert.
Das Problem dabei: Die Karte ist nicht das Gebiet.
Ein Sensor meldet nur exakt das, wofür er programmiert wurde. Er hat keinen Kontext. Er hat keine Intuition. Ein Security-System (SIEM) meldet Ihnen vielleicht jeden fehlgeschlagenen Login-Versuch aus China. Das ist gut. Aber es meldet Ihnen nicht, dass ein Mitarbeiter in der Spätschicht aus Bequemlichkeit eine Wartungsklappe mit Klebeband manipuliert hat, weil der Sensor dort immer Fehlalarme gab.
Auf Ihrem Dashboard leuchtet alles grün. Die IT-Security ist zufrieden, die Compliance-Häkchen sind gesetzt. Aber die physische Integrität der Anlage ist längst kompromittiert. Ich nenne das die „Dashboard-Falle“. Wir verlernen, auf die analogen Signale zu achten, weil der Computer keinen Alarm schlägt. Wir wiegen uns in einer Scheinsicherheit, die gefährlicher ist als offensichtliche Unsicherheit – denn wer sich sicher fühlt, wird nachlässig.
Der Faktor Mensch: Die letzte Firewall und der erste Sensor
Technologie ist großartig darin, definierte Parameter zu überwachen (Monitoring). Aber sie ist schlecht darin, Kontext zu verstehen und Abweichungen zu interpretieren, die nicht im Code stehen.
Hier kommt der Mensch ins Spiel – nicht als „Risikofaktor“ (wie oft in der Security behauptet), sondern als sensibelster Sensor des Unternehmens.
Eine KI kann erkennen, dass ein Druckventil abweichende Werte liefert. Das ist eine reaktive Feststellung. Aber oft ist es der langjährige Schichtleiter, der schon beim Betreten der Halle „riecht“, dass ein Kabel schmort, oder der „hört“, dass die Turbine anders klingt als gestern – lange bevor der digitale Grenzwert für den Alarm erreicht ist. Dieses implizite Wissen, diese Erfahrung, lässt sich nicht digitalisieren.
In meinen Sicherheitsgutachten für den Objektschutz sehe ich immer wieder ein klares Muster: Die sichersten Unternehmen sind nicht zwingend die mit der teuersten Überwachungstechnik. Es sind die Unternehmen, in denen Safety und Security integriert gedacht werden.
Das bedeutet in der Praxis:
- Silo-Aufbruch: Der CISO (IT-Security) spricht regelmäßig mit der Fachkraft für Arbeitssicherheit (Safety). Sie tauschen sich über Risiken aus: „Wenn wir dieses Update fahren, steht dann die Sicherheitssteuerung der Presse still?“
- Analoge Verifizierung: Digitale Alarme und „Grüne Lichter“ werden durch regelmäßige physische Kontrollen (Begehungen) verifiziert. Vertrauen ist gut, Kontrolle vor Ort ist besser.
- Meldekultur: Mitarbeiter werden ermutigt, Unregelmäßigkeiten zu melden – auch wenn das System „kein Problem“ anzeigt. Ein Mitarbeiter, der sagt „Hier stimmt was nicht“, ist wertvoller als zehn Sensoren.
Fazit: Integrierte Sicherheit als Führungsaufgabe
Hören Sie auf, „Sicherheit“ als einen monolithischen Block zu sehen, den man an eine Abteilung delegieren kann. Als Führungskraft müssen Sie in der Risikoanalyse sauber zwischen Safety (Kampf gegen den Unfall) und Security (Kampf gegen den Angreifer) trennen.
Doch in der Strategie müssen Sie diese beiden Stränge wieder zusammenführen. Ein integriertes Sicherheitskonzept betrachtet das Unternehmen als Organismus: Physischer Schutz, digitale Resilienz und menschliches Verhalten greifen ineinander.
Verlassen Sie sich nicht allein auf das beruhigende grüne Licht am Bildschirm. Gehen Sie in die Halle. Sprechen Sie mit den Menschen vor Ort. Wahre Sicherheit entsteht dort, wo Technologie als Werkzeug dient und menschliche Intuition als letzte Instanz respektiert wird.
Bleiben Sie sicher – in jeder Bedeutung des Wortes.
Ihr
Jörg WeidemannMöchten Sie den Status Ihrer Objektsicherheit überprüfen lassen?
Als Gutachter helfe ich Ihnen, die blinden Flecken zwischen Safety und Security zu identifizieren und Ihre Konzepte rechtssicher und praxisnah zu gestalten.
Dieser Artikel wurde durch den Einsatz von KI-gestützten Tools optimiert, um Ihnen die bestmögliche Qualität zu bieten. Alle Inhalte werden sorgfältig geprüft und finalisiert. Mehr über meinen verantwortungsvollen Umgang mit KI und Datenschutz erfahren Sie auf meiner Seite zur Arbeitsweise.
