Der Mittelstand ist das Rückgrat der deutschen Wirtschaft – diese Feststellung gilt auch heute noch. Die mittelständische Wirtschaft trägt hierzulande 47 Prozent der Bruttowertschöpfung. Nach der EU-Empfehlung 2003/361 lassen sich diese sogenannten KMU (kleine und mittelgroße Unternehmen) klar beschreiben: Die Kleineren haben einen Jahresumsatz von höchstens 10 Millionen Euro und weniger als 50 Beschäftigte, und die mittleren Unternehmen zählen weniger als 250 Arbeitnehmer/innen sowie einen Jahresumsatz von bis zu 50 Millionen Euro oder eine Bilanzsumme von maximal 43 Millionen Euro. Insgesamt gehören demnach rund 2,5 Millionen Unternehmen zur mittelständischen Wirtschaft. Das sind gut 99 Prozent aller Unternehmen in Deutschland mit etwa 20 Millionen sozialversicherungspflichtigen Beschäftigten.

KMU im Fokus krimineller Angriffe
Viele KMU besitzen schützenswertes Knowhow, wichtige Forschungs- und Entwicklungsergebnisse, Betriebs- und Geschäftsgeheimnisse oder wertvolle Datenstrukturen, die für „Big Data“-Analysen oder „Data Mining“ genutzt werden könnten. Das ist ein wichtiger Grund, warum diese KMU besonders bedroht sind von Ausspähungs- und Sabotageangriffen krimineller Unternehmen oder sogar ausländischer Nachrichtendienste. Eine weitere Ursache für die erhöhte Bedrohungslage ist die Überzeugung vieler Täter, dass mittelständische Unternehmen, vor allem junge „Start-ups“, keine ausreichenden Sicherheitsvorkehrungen getroffen haben.

Befragungen und Analysen bestätigen die erhöhte Bedrohungslage. So kam eine Studie des Bundeswirtschaftsministeriums (BMWi) 2015 zu dem Ergebnis, dass Spionageangriffe vor allem das geistige Eigentum des deutschen Mittelstands im Visier haben. Bei einer im Jahr 2016 durchgeführten Befragung von 1.100 Unternehmen gaben etwa fünf Prozent von ihnen an, in den vergangenen fünf Jahren Opfer von Industriespionage geworden zu sein. Dreiviertel dieser Betroffenen waren KMU. Insbesondere bei Erpressungskampagnen mit Ransomware bevorzugen professionelle Angreifer oft KMU gegenüber Konzernen, um mit Zielen, die nicht im „Rampenlicht“ stehen und mit kleineren Lösegeldbeträgen „unter dem Radar“ der Medien und der Ermittler zu bleiben.

Mangel an Sicherheitsbewusstsein und Ressourcen
Insbesondere Geschäftsführern kleiner Unternehmen mangelt es, aus vielerlei Gründen, oft an Gefahren- und Sicherheitsbewusstsein. So mancher bewertet Unternehmenssicherheit nicht als Wertschöpfung. Insbesondere Gründer von „Start-ups“ sind ganz auf ihr Kerngeschäft fokussiert, oft mit Forschung und Entwicklung verbunden. Für sie ist der Gedanke an Sicherheit oft „lästige Ablenkung“: Schutzvorkehrungen als vermeintlich verzichtbarer Kostenfaktor. Gerade jungen Unternehmen mangelt es freilich oft auch an ausreichenden finanziellen Mitteln für Sicherheitsausgaben. Um es einmal ganz einfach auszudrücken: Viele Start-ups haben außer einem Schloss an Bürotür oder Rechner keine Sicherheitsvorkehrungen, etwa dagegen, dass des Nachts Computer mit wichtigen Daten auf der Festplatte abhandenkommen. Es fehlt insbesondere kleinen Unternehmen häufig eine organisatorisch ausgewiesene Funktion mit Fachkompetenz und Verantwortlichkeit für Gefahrenanalyse und Sicherheitskonzeption, deren Umsetzung und Compliance.

Kein Mangel an Unterstützungs­angeboten
Grundsätzlich besteht kein Mangel an Unterstützungsangeboten von Verbänden, Sicherheitsbehörden und „Allianzen“, die sich vor allem an KMU richten. So hat der VdS die Richtlinie 10000 „Informations-Managementsysteme KMU“ erarbeitet und mit der Richtlinie 10020 einen Leitfaden mit Mindestanforderungen an die Informationssysteme, insbesondere von KMU, herausgegeben. Es gibt auch bereits eine europäische Richtlinie für Cybersecurity, die CEPA Europe erarbeitet hat.

Der Bundesverband ASW mit seinen Landesverbänden und andere Verbände wie der BHE bieten gedruckte und elektronische Informationen, Schulungen und Tagungen zur Unterstützung dieser speziellen Klientel, der KMU, an. Auch der BDSW widmet sich dem Thema. Das Kompetenzzentrum für Internationale Sicherheit der Rheinischen Fachhochschule Köln hat schon 2015 eine ganzheitliche Sicherheitsberatung für KMU entwickelt. Das BSI präsentierte im Oktober 2017 mit dem neuen Standard 200-2 einen modernisierten IT-Grundschutz, der speziell an mittlere und kleinere Unternehmen adressiert ist. Einzelne Branchen haben spezifische Grundschutzprofile daraus entwickelt.

Die Bundessicherheitsbehörden haben zusammen mit dem BND und mit Spitzenverbänden der Wirtschaft die „Initiative Wirtschaftsschutz“ gegründet und bieten der mittelständischen Wirtschaft Broschüren und Tagungen an. Landeskriminalämter und andere Sicherheitsbehörden der Bundesländer bieten den KMU in Sicherheitsfragen ebenfalls an, zu helfen. So können KMU zum Beispiel im Freistaat Sachsen kostenfrei IT-sicherheitsbezogene Dienstleistungen der Landesverwaltung nutzen. Das gilt etwa für das Projekt „Honeysens“ mit einer innovativen Lösung zum Erkennen und Beobachten von Angreifern in Netzwerken. Aber alle diese Angebote reichen schon quantitativ nicht aus, um 2,5 Millionen KMU flächendeckend individuell zu unterstützen.

Sicherheitsdienstleister als starker Partner – KMU wichtigste Zielgruppe
Die Sicherheitsdienstleister (SDL) sind für den Mittelstand die wichtigsten Sicherheitspartner. Kompetente, ressourcenstarke SDL sind in der Lage, eine Vielzahl von KMU individuell, nachhaltig und dauerhaft zu unterstützen. Dies sollte möglichst im Rahmen einer ganzheitlichen Sicherheitsanalyse geschehen. Aus den Ergebnissen wird eine Sicherheitslösung für und mit dem Kunden erarbeitet, bei der der SDL, wenn der Kunde es wünscht, in die Sicherheitstechnik investiert und diese auch für einen überschaubaren Zeitraum wartet und betreibt.

Umgekehrt sind KMU für einen SDL wie beispielsweise Securitas eine wichtige Zielgruppe. Das ist betriebswirtschaftlich einfach zu begründen. Bei ihnen besteht ein objektiver Sicherheitsbedarf, den sie, wenn sie ihn überhaupt erkennen, zumeist nicht aus eigener Kraft befriedigen können. Dieser offensichtlich häufige Bedarf und die Erwartung langfristiger Kundenbindung machen KMU für einen auf diesen Sektor spezialisierten SDL zu einer signifikanten Zielgruppe. Daraus ergibt sich für beide Seiten eine eindeutige Win-Win-Chance, denn sie können von dieser Partnerschaft langfristig profitieren.

Sicherheitsberatung als primär­ wichtigste Leistung
Die primär wichtigste Sicherheitsdienstleistung für ein KMU ist eine ganzheitliche Sicherheitsberatung – vor und nach einer Schwachstellenanalyse. Diese muss sich ganz auf den individuell objektiven Sicherheitsbedarf und auf die wirtschaftliche Situation des Unternehmens einstellen. Den Abschluss bildet eine mit dem mittelständischen Unternehmen in allen Einzelheiten abgestimmte Sicherheitskonzeption. Dabei ist die Sicherheitsberatung eine dauerhafte Leistung. Zu ihr gehören auch Vorschläge auf der Basis von Erörterungen mit der Unternehmensführung zum wirksamen Schutz der Geschäftsgeheimnisse, deren normative Anerkennung nach § 2 Abs.1 b) des 2019 in Kraft getretenen GeschGehG von der Durchführung nach den Umständen angemessener Geheimhaltungsmaßnahmen abhängt. Das Spektrum angemessener Maßnahmen ist weit und von individuellen Faktoren abhängig. Eine Sensibilisierung der Mitarbeiter/innen muss ebenfalls Gegenstand der Beratung sein. Sie umfasst im Einzelfall auch Vorschläge zu notwendigen Sicherheitsvorkehrungen bei Reisen in Krisenregionen und bei der Entsendung von Beschäftigten ins Ausland.

Organisatorische Sicherheits­empfehlungen
Ob und in welchem Umfang der notwendige Schutz des mittelständischen Unternehmens die Bestellung eines ausschließlich mit Sicherheitsfragen betrauten Sicherheitsexperten oder gar ein mit mehreren Fachleuten besetztes Sicherheitsreferats erfordert, hängt natürlich von der Größe, der Branche und individuellen Faktoren ab. In der Regel wird ein Outsourcing der einzelnen Funktionen an den SDL die effizientere Lösung sein. Unabdingbar ist aber, dass der Geschäftsführer sich der Verantwortung für ein die Sicherheitsbelange einschließendes Risikomanagement bewusst ist und „mit der Sorgfalt eines ordentlichen Geschäftsmannes“ (§ 43 Abs.1 GmbHG) umsetzt oder einen anderen Manager des Unternehmens damit beauftragt und ihn kontrolliert. Dazu gehört unter anderem auch die Vorsorge für ein Business Continuity Management im Falle einer Betriebsunterbrechung durch Schadenseinwirkung. Und dazu zählt die Gewährleistung der Compliance im Unternehmen. Nach einer am 7. Oktober 2019 verabschiedeten EU-Richtlinie hat jedes Unternehmen mit mehr als 50 Mitarbeitern ein Hinweisgebersystem einzurichten, das den Schutz von „Whistleblowern“ gewährleistet. Für KMU ist ein spezifisches Compliance-Managementsystem („Recht im Betrieb“) mit möglichst geringem Aufwand infolge von Standardisierung und Digitalisierung entwickelt worden.

Zutritt, Perimeter, Einbruch- oder Brandschutz: Personelle und ­technische Komponenten einer ­ganzheitlichen Lösung
Den Kern des Leistungsangebots ressourcenstarker SDL in der Sicherheitskonzeption für KMU bildet eine ganzheitliche Sicherheitslösung. Mit ihr sollte die optimale Effektivität und Kosteneinsparung durch die dem objektiven Sicherheitsbedarf entsprechende Kombination von personeller und technischer Sicherheitsleistung erreicht werden. Das gilt für alle neben der Informationstechnik zu berücksichtigende Belange von Security und Safety: für den Objektschutz, die Zutritts- und Zufahrtskontrolle mit Besucherverwaltung, den zur Perimeter- und Gebäudesicherheit notwendigen Einbruchschutz, die Sicherheitsüberwachung der Produktions- und Logistikbereiche, den Schutz und die Zutrittskontrolle von Forschungs- und Entwicklungsbereichen oder Rechenzentren, für den Brand- und Explosionsschutz.

In allen sicherheitstechnischen Bereichen gibt es Geräte und Anlagen, die im Hinblick auf Anwendungsbereich und Skalierbarkeit, Bedienung und Kosten für KMU besonders geeignet sind und deshalb von einem SDL, der wie Securitas über langjährige sicherheitstechnische und branchenspezifische Erfahrungen verfügt, bevorzugt angeboten werden. Dazu nur einige Hinweise und Beispiele: Modular und skalierbar aufgebaute Systeme können den besonderen Anforderungen kleiner schutzbedürftiger Einheiten Rechnung tragen. Eine elektronische Schließanlage (Mobile Key) von SimonsVoss zum Beispiel ist speziell für kleine Gewerbeeinheiten entwickelt worden. Interessant für KMU ist sicher auch die Installation eines Offline-Zutrittssystems, das jederzeit relativ einfach zu einer Funk-Programmierung ausgebaut werden kann. Die Mobile Access-Lösung von Siemens macht Schließsysteme flexibler, einfacher und sicherer. Das Handy oder das Tablet wird mit dieser Lösung zum digitalen Schlüssel. Für das zum Brandschutz notwendige Löschsystem können wartungsfreie Feuerlöschgeräte (etwa von Prymos) für KMU interessant sein. Sie werden aus einem hochverdichteten Kunststoff gefertigt, der leichter und wesentlich korrosionsresistenter ist als Stahl. Bei der Videoüberwachung haben sich auch für KMU IP-basierte Systeme durchgesetzt, die zuverlässig, nicht überdimensional, skalierbar und einfach zu bedienen sind. Sie verursachen wesentlich niedrigere Gesamtbetriebskosten als analoge Systeme. Für Einzelhandelsgeschäfte ist zur Abschreckung potenzieller Ladendiebe zum Beispiel die von Axis Communications angebotene Kombination aus Videokamera- und Audiosystem von Interesse. Da Audiosignale auch durch die kamerainterne Analyse bestimmter Geräusche ausgelöst werden können, verkürzt sich die Reaktionszeit auf Einbruchsversuche deutlich.

Als große Entlastung sehen Unternehmen die von Securitas angebotene integrierte Sicherheitslösung. Investitionen in technische Systeme werden mit personellen und organisatorischen Maßnahmen – wie dem Alarmmanagement – verknüpft und dem Kunden als feste Monatspauschale berechnet. Zudem wird der Betrieb der technischen Installation durch qualifizierte Fachkräfte übernommen. Der Kunde bekommt „alles aus einer Hand“. Securitas verfügt über eine Vielzahl von Referenzen von KMU, die eine solche ganzheitliche und dauerhafte Sicherheitslösung als einen großen Vorteil erkannt haben, um sich ganz auf ihr Kerngeschäft konzentrieren zu können.

Wandel analoger zu digitaler Infrastruktur und Sicherheitstechnik
Zur ganzheitlichen Sicherheitslösung gehört auch die Informations- und Kommunikationssicherheit. Soweit SDL nicht über ausreichend eigene Fachkräfte für IT-Sicherheit verfügen, können sie mit Unterstützung eines auf IT-Sicherheit spezialisierten strategischen Partners IT-Sicherheit in ihr Leistungsangebot für KMU integrieren. Der Transformationsprozess von der analogen in die digitale Technik, der längst auch in der Sicherheitswirtschaft angelaufen ist, wird von Securitas konsequent vorangetrieben und führt auch zu einer kontinuierlichen Erweiterung und Optimierung des Leistungsangebots gegenüber der mittelständischen Wirtschaft. Digitalisierungsprojekte im Securitas-Konzern, von denen Unternehmen als Kunden profitieren und ihr Sicherheitsniveau heben können, sind insbesondere:

• Elektronische, unternehmenseigene Software-Lösungen mit mobilen Endgeräten für die mobilen Guards und Einsatzkräfte im Kundenbereich; sie ermöglichen insbesondere die Digitalisierung des Reporting gegenüber dem Kunden, die digitale Erfassung von Objektdaten und Ereignismeldungen sowie Berichten, digitale Quittierung von Streifenrundgängen, Automatisierung der Alarmerfassung und Alarmübertragung an Einsatzkräfte, und beschleunigen so zeitkritische Interventionen
• Innovationen bei Video-Analysen (V 3.0), die künftig die Selektion ereignisrelevanter Bilder und den Echtzeitalarm ermöglichen. So kann ein bereits entwickelter Algorithmus Videoaufnahmen in Echtzeit auf verdächtige Bewegungsmuster hin auswerten und Alarm auslösen. Die Implementierung der „Deep Learning“-Technologie wird die Objektermittlung und die Gesichtserkennung weiter verbessern. Intelligente Videoanalysen ermöglichen heutzutage bereits die Zutrittskontrolle aus der Ferne („Remote Entry-/Exit Management“) und einen „Remote Patrol Service“
• Nutzung intelligenter Videobild-Analysen zur Optimierung von Geschäftsprozessen der Kunden, insbesondere im Einzelhandel (Kundenfrequenzmessungen, Verhaltensanalysen, Optimierung der Warenauslage-Struktur)
• Digitalisierung des Berichts- und Dokumentenaufkommens bei KMU-Kunden („Document Solution“) mit Archivierung der Securitas überlassenen Datenträger in zertifizierten Sicherungsräumen. Das System „Online Backup Pro“ sichert automatisch Kundendaten täglich oder zu individuell festgelegten Zeitpunkten in einem in Deutschland gelegenen Backup-Rechenzentrum durch verschlüsselte Übertragung der zu sichernden Daten
• Vernetzung sicherheitstechnischer Anlagen mit anderen Gewerken im Kundenunternehmen, zum Beispiel mit dem Beleuchtungs- oder dem Aufzugssystem
• Nutzung aller Daten eingesetzter sicherheitstechnischer Anlagen zur algorithmischen Berechnung des optimalen Wartungs- und Modernisierungszeitpunkts (predictive services), um Betriebsunterbrechungen zu vermeiden
• Aufbau eines konzernweiten „Data Warehouse“ mit globaler „Corporate Cloud“ auch für die Nutzung aller verfügbaren Daten aus Kundenobjekten und „Vorhersageportalen“ zur Berechnung kundenspezifischer Bedrohungswahrscheinlichkeiten. Das individuelle Risiko auf Basis des Kundenstandortes wird visualisiert, auf Relevanz bewertet und in das Sicherheitskonzept „proaktiv“ einbezogen. Je mehr Daten in die „lernende Datenbank“ eingegeben werden, umso fundierter wird die Risikobewertung.

Diese Projekte sind teilweise schon erfolgreich abgeschlossen. Soweit sie sich noch in der Entwicklungs- oder Implementierungsphase befinden, werden sie nach erfolgreichem Wirksamkeitstest in das Leistungsangebot für Unternehmen der mittelständischen Wirtschaft aufgenommen. Insgesamt betrachtet gibt es genügend effiziente Lösungen, um das Sicherheitsniveau mittelständischer Unternehmen zu heben. Diese, so der Ratschlag, sollten nicht erst reagieren, wenn ein Schadensfall eingetreten ist.