Unternehmenssicherheit: Das Need-to-Know und Need-to-Go-Prinzip
Die Infineon Technologies Dresden GmbH ist einer der größten Fertigungsstandorte der Infineon Technologies AG, die Halbleiter- und Systemlösungen anbietet, die drei zentrale Herau...
Die Infineon Technologies Dresden GmbH ist einer der größten Fertigungsstandorte der Infineon Technologies AG, die Halbleiter- und Systemlösungen anbietet, die drei zentrale Herausforderungen der modernen Gesellschaft adressieren: Energieeffizienz, Mobilität sowie Sicherheit. Mit weltweit rund 26.700 Mitarbeiterinnen und Mitarbeitern erzielte Infineon im Geschäftsjahr 2012 (Ende September) einen Umsatz von 3,9 Milliarden Euro.
In das Dresdner Werk wurden seit der Gründung im Jahr 1994 über 3 Milliarden Euro investiert. Hier werden hochwertige Chips mit komplexer Fertigungstechnologie auf Basis von 200- und 300-mm-Siliziumscheiben (Wafer) für innovative Automobilelektronik-, Sicherheits- und Chipkarten- sowie Power-Management- und Multimarket-Anwendungen hergestellt. Die Fabrik deckt auf Strukturen von 0,25 µm-90 nm ein ausgesprochen breites Technologiespektrum ab: mit über 30 verschiedenen Technologien und Derivaten in Kupfer und Aluminium fertigt Infineon Dresden über 200 verschiedene Produkte. Die Fertigung zeichnet sich durch einen hohen Automatisierungsgrad aus: Vollautomatisierter Wafer-Transport, integrierte Fertigungssteuerung und vollautomatisierte Anlagenbedienung sind dabei zentrale Elemente. Jede Woche durchlaufen Tausende von Silizumscheiben die hochkomplexe Fertigung in Reinraumklasse 1. Infineon Dresden produziert an sieben Tagen die Woche rund um die Uhr, das ganze Jahr, in einem modernen und flexiblen Schichtsystem. In der Entwicklung und Produktion sind rund 2.000 Mitarbeiter beschäftigt.
Unser wissenschaftlicher Schriftleiter Heiner Jerofsky interviewte Andreas Nenner, Security-Manager Infineon Technologies Dresden GmbH und Vorstandsmitglied der Arbeitsgemeinschaft für Sicherheit der Wirtschaft e. V. (ASW).
GIT-SICHERHEIT.de: Sie sind seit nunmehr sieben Jahren zuständig für die Sicherheit einer hochmodernen Industrie- und Forschungseinrichtung. Wie würden Sie Ihre Aufgabe beschreiben?
Andreas Nenner: Zunächst einmal als vielfältig, spannend und herausfordernd. In meiner Funktion als Security Manager verantworte ich nicht nur die klassischen Themen aus dem Bereich der Werkssicherheit, sondern darüber hinaus Aufgaben aus den Bereichen Informationssicherheit, Logistik- und Luftfrachtsicherheit, Compliance und sehr spezialisierte Sicherheitsthemen, die mit unseren Produkten zu tun haben. Grundsätzlich versuchen wir Sicherheitsrisiken - in allen ihren Facetten und sowohl von außen, als auch von innen wirkend - zu minimieren. Da Safety (Arbeitssicherheit, Umweltschutz, chemische Sicherheit, Gefahrgut u. a.) und Security (Werkschutz, Ermittlungsdienst, Personen- und Veranstaltungsschutz u. a.) viele Schnittstellen und sogar gemeinsame Tätigkeitsfelder wie z. B. Brandschutz oder Verkehrssicherheit haben, sind diese Themen bei uns in der Abteilung Business Continuity zusammengefasst. Darüber hinaus ist innerhalb dieser Organisation auch das Thema Krisenstab etabliert.
Können Sie unseren Lesern einige Erfahrungen aus den vergangenen Jahren bei der Bewältigung diese wichtige Aufgabe beschreiben? Gab es Störungen, Anlagenausfälle oder andere kritische Vorfälle?
Andreas Nenner: Natürlich versuchen wir zunächst einmal mittels präventiver Maßnahmen die Risiken zu minimieren. Um für den Ernstfall vorbereitet zu sein, gibt es regelmäßige Übungen - sowohl intern (z. B. Krisenstabsübungen als Stabsrahmenübung, Räumungsübungen) als auch gemeinsam mit den Behörden - insbesondere der Berufsfeuerwehr und den freiwilligen Feuerwehren als praktische Einsatzübung. Grundlage für alle Maßnahmen ist unser ‚Alarm- und Gefahrenabwehrplan‘ (AGAP). Hierin wird definiert, was in welcher Situation zu tun ist, wer zu informieren ist und welche Maßnahmen umzusetzen sind. Wir erreichen hier eine sehr hohe Flexibilität und können die Prozesse des AGAP an die verschiedensten Szenarien anpassen, egal ob wir z. B. einen Ausfall der IT-Umgebung haben, durch Unwetter die Stromversorgung beeinträchtigt ist oder aus technischen Gründen die Produktion temporär heruntergefahren werden muss. Technische Absicherung mit hoher Sensibilität zeigt uns darüber hinaus Störungen und Unregelmäßigkeiten zu einem sehr frühen Zeitpunkt an - daher können wir in der Regel reagieren, bevor signifikante Auswirkungen festzustellen sind.
Verfolgen Sie eine bestimmt Strategie beim Schutz ihrer Anlage gegen Störungen, Kriminalität und zur Risikominimierung?
Andreas Nenner: Unsere Sicherheitsmaßnahmen beruhen auf drei Säulen: baulich-technische Maßnahmen, personelle Sicherheitsmaßnahmen und organisatorische Maßnahmen. Darüber hinaus gibt es eine enge Vernetzung mit den entsprechenden Spezialisten innerhalb des Konzerns, aber auch mit Sicherheitsfachleuten anderer Unternehmen sowie Vertretern von Sicherheitsbehörden. Somit entstehen Strategien, die regelmäßig den aktuellen Bedürfnissen angepasst werden, genauso aber die aktuellen Trends z. B. aus dem Bereich der Sicherheitstechnik aufnehmen. Einer unserer Kernpunkte der Strategie ist es, alle Mitarbeiter einzubinden - dies geschieht durch regelmäßige Informationen innerhalb unseres Firmenintranets, genauso aber über persönliche Schulungen. Ich denke, ohne bei den Mitarbeitern die notwendige Sensibilisierung zu erreichen, würden die Sicherheitsmaßnahmen nicht greifen und so erfolgreich umsetzbar sein.
Im Dresdner Werk werden neben der Produktion von hochwertigen Halbleitern auch Forschungsprojekte auf zukunftsorientierten Technologiefeldern durchgeführt. Das macht das Werk und die Produktion interessant für Wirtschafts- und Betriebsspionage. Mit welchen organisatorischen, personellen und technischen Maßnahmen verhindern Sie möglichen Wissenstransfer?
Andreas Nenner: Gerade im Bereich Industrie- und Wirtschaftsspionage ist die Sensibilisierung der Mitarbeiter ein entscheidendes Thema. Durch interne Schulungen, in denen wir auch Beispiele aufzeigen, wie z. B. Informationsabfluss entstehen kann, mit welchen Methoden Social Engineering betrieben wird, oder aber auch welche Auswirkungen derartige Angriffe auf ein Unternehmen haben können, wecken wir bei unseren Mitarbeitern zum einen natürlich die Aufmerksamkeit, zum anderen aber auch Verständnis für die Maßnahmen; häufig werden Sicherheitsmaßnahmen ja als störend oder als eine Behinderung der Arbeit empfunden - wenn wir bei den Mitarbeitern jedoch eine Akzeptanz für Maßnahmen wie Passwortschutz, Klassifizierung von Dokumenten, Clean Desk oder Zutrittskontrolle erreichen, haben wir schon einen großen Schritt in Richtung ‚Sicheres Unternehmen‘ geschafft. Darüber hinaus verfolgen wir natürlich klare Strategien bei der Rechtevergabe - sei es im Bereich Zutritt, oder aber auch im Bereich der Informationstechnologie. Wir arbeiten hier mit dem ‚Need-to-Know‘-Prinzip: Jeder Mitarbeiter erhält Zugriff auf die Daten, die er für seine Arbeit benötigt; in Anlehnung daran nenne ich die Strategie unserer Zutrittskonzeption gerne das ‚Need-to-Go‘-Prinzip; Zugangsberechtigungen werden nur erteilt, wenn eine Notwendigkeit vorhanden ist und der entsprechende Prozess von den Verantwortlichen freigegeben wurde. Darüber hinaus sind weitere Regelungen getroffen, so z. B. Fotografierverbot, die Mitnahme privater Datenträger oder eine Clean-Desk-Policy.
Welche Bedeutung haben lückenloser Perimeterschutz, Videoüberwachung und hochwertige Zutrittskontrollsysteme für Ihren Betrieb?
Andreas Nenner: Die von Ihnen genannten Maßnahmen bilden die Basis des Objektschutzes und weiter gehender Sicherheitsmaßnahmen. Ohne diese technischen Systeme ist ein gesicherter Werksbereich nicht möglich, auch viele andere Maßnahmen würden ohne diese Grundlagen ins Leere laufen. Gerade das Thema Zutrittskontrolle ist für mich ein elementares Element in einer zeitgemäßen und umfassenden Sicherheitskonzeption. Mit diesem Mittel kann ich sehr gezielt steuern, Personenflüsse lenken, Risikobereiche definieren, aber auch - viel weitgehender - Know-how schützen.
Der Rund-um-die-Uhr-Betrieb muss gegen mögliche Störungen von außen gewappnet sein. Haben Sie im Rahmen des Krisenmanagements besondere Vorkehrungen gegen Brände, Stromausfälle und Sabotage getroffen?
Andreas Nenner: Ja, natürlich. Zunächst einmal bauen wir auf Prävention - d. h., schon bei der Konzeption und Planung versuchen wir, Risikofaktoren so klein wie möglich zu halten. Darüber hinaus haben wir umfassende technische Lösungen, die ständig die verschiedensten Messwerte überprüfen und an eine zentrale Leitstelle übertragen. Dazu gehört natürlich auch ein umfassendes Brandmelde- und Brandfrüherkennungssystem. Zur tatsächlichen Bekämpfung (also als reaktive Maßnahme im Brand- oder Havariefall) gibt es zum einen unsere hoch leistungsfähige Betriebsfeuerwehr sowie unterschiedliche Löschsysteme - je nach Anforderung. Die Abwehr von außen einwirkender Störungen, z. B. Naturereignisse, ist ungleich schwerer. Natürlich versuchen wir - soweit möglich - mit unterbrechungsfreier Stromversorgung (USV), redundanten Versorgungen bei Strom, Gas, Wasser und anderen Medien zu arbeiten, aber man stößt hier irgendwann an Grenzen. Bei einem Energie- und Wasserverbrauch unseres Werkes, der in der Größenordnung dem Verbrauch einer Kleinstadt entspricht, ist eine vollständige Redundanz nicht realisierbar. Daher benötigt man an dieser Stelle gute Konzepte und sinnvolle Prozesse, die z. B. ein kontrolliertes Herunterfahren einer Fabrik ermöglichen - selbstverständlich unter dem Ausschluss von Personenschäden und mit möglichst geringen finanziellen Auswirkungen.
Arbeiten Sie mit eigenen Sicherheitsmitarbeitern oder beschäftigen Sie auch Sicherheitsdienstleister und welche Qualifikationen setzen Sie voraus?
Andreas Nenner: Der Werkschutz wird bei uns durch einen externen Dienstleister erbracht. Wir haben hier eine sehr effiziente Struktur und Hierarchie geschaffen - die Zusammenarbeit ist außerordentlich professionell, und ich denke, dass sich die Sicherheitsmitarbeiter bei Infineon auch wohlfühlen - der größte Teil ist schon über einen sehr langen Zeitraum am Standort, die Fluktuation ist sehr gering, und das trotz Dienstleisterwechsel, den wir zwischenzeitlich einmal vollzogen haben. Bzgl. der Qualifikation sind unsere Anforderungen aufgabenspezifisch differenziert - es gibt Mitarbeiter, die als Befähigungsnachweis nur die Schulung nach § 34 GewO - auch mit Sachkundeprüfung - vorweisen können, in anderen Funktionen haben wir auch Werkschutzfachkräfte, oder aber Fachkräfte für Schutz und Sicherheit im Einsatz. Wichtig ist mir eine ständige Weiterqualifikation - daher haben wir mit dem Dienstleister eine Vereinbarung über Schulungen - extern und intern - getroffen. So haben die Werkschutz-Mitarbeiter intern die Möglichkeit, durch eine Kollegin im englischen Sprachgebrauch trainiert zu werden - dies wird in kleinen Gruppen umgesetzt. Externe Schulungen zu relevanten Themen und Aufgabenstellungen werden durch den Sächsischen Verband für Sicherheit in der Wirtschaft e. V. (SVSW) und andere Organisationen erbracht. Tatsächlich haben spezifische Schulungen für mich einen hohen Stellenwert, auch Auszubildende zur Fachkraft für Schutz und Sicherheit haben wir regelmäßig am Standort - ich denke, in der Praxis zu lernen ist für das Wissen, aber auch für die Motivation und das Selbstverständnis ein wichtiger Faktor.
Für aktuelle Sicherheitsanalysen ist u. U. auch die polizeiliche Lage von Bedeutung. Wie beurteilen Sie den Kontakt und die Zusammenarbeit mit den zuständigen Sicherheitsbehörden?
Andreas Nenner: Die Zusammenarbeit - sowohl mit den Sicherheitsbehörden, als auch in die politischen Ebenen hinein - ist als außerordentlich gut zu bezeichnen. Nicht nur um gemeinsame Konzepte in der Gefahrenabwehr zu entwickeln, sondern auch um ein besseres Verständnis füreinander zu haben und voneinander zu lernen, halte ich diese Netzwerke für zwingend notwendig. Es ist immer schwierig, wenn man erst in einer Krisensituation anfängt, miteinander zu reden. Um in einem solchen Moment effizient zu sein, muss eine gemeinsame Basis vorhanden sein - diese gestalten wir in unserem regelmäßigen Austausch. Diese Netzwerke zu pflegen wird mir natürlich durch meine Tätigkeiten als Vorstandsvorsitzender des Sächsischen Verbandes für Sicherheit in der Wirtschaft e. V. (SVSW) und meine Tätigkeit als stellvertretender Vorsitzender der Arbeitsgemeinschaft für Sicherheit der Wirtschaft e. V. (ASW) erleichtert. In diesen Organisationen haben wir das gleiche Ziel: die Wirtschaftsunternehmen, die Behörden und die Politik an einen Tisch zu bekommen. Wir adressieren dabei sicherheitsrelevante Themen an die Politik und versuchen dann gemeinsam, Lösungen zu finden. Aus einer solchen Situation heraus ist seinerzeit auch das Projekt ‚Sicheres Unternehmen‘ des SVSW gemeinsam mit dem Landeskriminalamt in Sachsen entstanden - hier geht es darum, KMU in Fragen der Sicherheit zu beraten und den aktuellen Sicherheitsstatus zu prüfen. Dies geschieht in gemeinsamen Prüfungen und Begehungen des SVSW und der sächsischen Polizei - insbesondere dem LKA Sachsen.
Was tun Sie bzw. die Werksleitung, um Ihr Sicherheitskonzept verständlich zu machen, das Sicherheitsbewusstsein der Mitarbeiter zu stärken und sie immer wieder für Gefahren zu sensibilisieren?
Andreas Nenner: Wie schon erwähnt nehmen die organisatorischen Maßnahmen im Themenfeld Sicherheit einen großen Stellenwert ein. Einer der wichtigsten Punkte sind sicherlich die regelmäßigen Schulungen; aber auch e-Learning-Portale zum Thema Informationssicherheit oder Compliance sind wichtige Bausteine der Awareness-Maßnahmen. Darüber hinaus gibt es Sicherheitsthemen auch immer wieder als Beiträge in unseren Intranet-News oder dem firmeninternen Newsletter. Ansonsten ist es wichtig, klare Regelungen und Prozesse zu etablieren, durch die Sicherheitsmaßnahmen nicht umgangen werden können - dies spiegelt sich bei uns durch ein dediziertes Antrags- und Formularwesen wider; das hört sich sehr bürokratisch an - aber es schafft klare Strukturen und führt gezwungenermaßen zur Einhaltung von Sicherheitsanforderungen.
Sie sind im Vorstand der Arbeitsgemeinschaft für Sicherheit der Wirtschaft e. V. (ASW). Können Sie in wenigen Worten Ihre Vorstandsarbeit beschreiben und welchen Nutzen können Sie für Ihre Tätigkeit daraus gewinnen?
Andreas Nenner: Ich möchte an dieser Stelle nicht als Erstes darüber reden, welchen Nutzen ich daraus ziehe; vielmehr sehe ich es als eine wichtige Aufgabe, dass sich die großen Konzerne auch über die Firmengrenzen hinaus engagieren - Sicherheit ist eine gesamtgesellschaftliche Aufgabe, der wir uns stellen müssen. Daher sollte es innerhalb unserer Wirtschaftsstrukturen selbstverständlich sein, dass gerade auch hoch innovative Klein- und mittelständische Unternehmen in Sicherheitsfragen unterstützt werden - erst dadurch kann Deutschland seine führende Position innerhalb der Weltwirtschaft aufrechterhalten. Wenn bei den KMU das Know-how abfließt, entstehen Lücken in der Lieferkette, die am Ende der gesamten deutschen Wirtschaft schaden. Darüber hinaus betrachte ich die Weitergabe von Wissen auch als einen elementaren Bestandteil einer kooperativen Führungskultur - an dieser Stelle besteht sicherlich insgesamt noch Handlungsbedarf. Um noch konkret auf Ihre Frage zu antworten: Natürlich ermöglicht mir die ehrenamtliche Tätigkeit auch neue Kontakte - insbesondere zu Sicherheitsverantwortlichen in anderen Konzernen, in den Behörden und der Politik. Dadurch erhält man auch andere Einblicke, weiter gehende Informationen oder auch einmal andere Blickwinkel auf Probleme - dadurch entwickelt man sich selbst natürlich auch weiter.
Die Security 2012 in Essen war erneut ein besonderer Anlass zur Kontaktpflege mit Verbänden, Fachleuten und der Sicherheitsindustrie. Welche Sicherheitstechnik war nach Ihrer persönlichen Meinung besonders innovativ und könnte bei Ihnen zur Anwendung kommen?
Andreas Nenner: Ich hatte dieses Jahr die besondere Ehre, Mitglied in der Jury zur Vergabe des Security-Awards sein zu dürfen - das hat mir tatsächlich auch einen anderen Blickwinkel verschafft. Es sind gar nicht die großen und spektakulären Neuigkeiten, die einen beeindrucken (die allerdings auch eher selten sind), sondern die kleinen ‚Erfindungen‘, Weiterentwicklungen oder Ideen, die im Alltag für eine Verbesserung der Sicherheit sorgen. Beeindruckt hat mich hier besonders ein Halter für Feuerlöscher, der im Brandfall automatisch optisch und akustisch anzeigt, wo sich der nächste funktionsfähige Feuerlöscher befindet. Integriert ist eine Füllstandsüberwachung; in Anbetracht der letzten Brandkatastrophen ist das eine Lösung, durch die gerade auch in öffentlichen Gebäuden, in denen sich viele Personen aufhalten, die mit den örtlichen Gegebenheiten nicht vertraut sind, man sich schnell orientieren und als Ersthelfer agieren kann. Wenn man in ein solches System noch eine aktuelle Flucht- und Rettungswege-Beschilderung integriert, sollte dies im Ernstfall die Risiken weiter reduzieren können.
Wie erholen Sie sich vom Arbeitsalltag? Haben Sie genug Zeit für Ausgleich und Entspannung? Ist der Standort Dresden für Sie wichtig? Was wünschen Sie sich persönlich für das Jahr 2013?
Andreas Nenner: Erholung kommt sicherlich etwas zu kurz - das Thema Sicherheit ist für mich nicht nur Beruf, sondern ‚Berufung‘ und nimmt somit auch einen erheblichen Teil meiner Freizeit ein. Zum Glück habe ich eine sehr tolerante Familie, die sich nur selten darüber beschwert, dass sie zu kurz kommt. Dresden ist eine spannende Stadt mit einem hohen Freizeitwert - Infineon in Dresden ist ein toller, innovativer und hochmoderner Standort mit außerordentlich engagierten Mitarbeitern und einer tollen Führungsmannschaft. Von daher sind das schon sehr angenehme Rahmenbedingungen, zumal meine Aktivitäten sowohl von der Geschäftsführung als auch vom Konzern sehr unterstützt werden.
Meine Wünsche: Sowohl auf der Seite der Unternehmen, insbesondere aber in den Reihen der Politik würde ich mir ein noch ernsthafteres Engagement für Sicherheitsthemen wünschen. Natürlich verstehe ich, dass es auch viele andere wichtige Themen gibt, doch die Maßnahmen, die angeschoben werden, müssten konkreter sein. Es sollte allen Beteiligten klar sein, dass ein hohes Sicherheitsniveau auch dazu beiträgt, dass unsere Wirtschaft weiterhin funktioniert und Deutschland als Exportnation durch hohe Zuverlässigkeit und exzellente Qualität seine Position im Weltmarkt halten kann. Um Aufklärung im Schadensfall betreiben zu können, wäre eine vertrauensvollere Zusammenarbeit zwischen Unternehmen und Ermittlungsbehörden wünschenswert, ebenso muss die Politik hier endlich den Weg bereiten, dass erfolgreiche Ermittlungen auch besser ermöglicht werden, siehe zum Beispiel das Thema Vorratsdatenspeicherung.
In meiner Funktion als Vorstandsvorsitzender des Sächsischen Verbandes für Sicherheit in der Wirtschaft (SVSW) hoffe ich, dass das gemeinsam mit dem Landeskriminalamt Sachsen initiierte Projekt ‚Sicheres Unternehmen‘ weitere Fortschritte macht und wir die Sicherheit für Unternehmen weiter verbessern können - wenn wir es schaffen, hier in Sachsen ein verbessertes Sicherheitsniveau für die KMU zu realisieren, ist das vielleicht auch ein Signal über die Landesgrenzen hinaus.
Für die ASW wünsche ich mir eine weiterhin positive Entwicklung, so wie sie sich in den letzten Monaten unter der Führung von Volker Wagner entwickelt hat. Ich denke, dass es wichtig ist, dass Politik und Behörden einen starken Partner zu Fragen der Sicherheit in der Wirtschaft haben.
Wir wünschen Ihnen ein erfolgreiches Jahr 2013 und bedanken uns für das gute Gespräch und die Zeit, die Sie sich für uns und unsere Leser genommen haben.
Meist gelesen
Gesundheit von Pferden mit KI überwachen
Mit einer Kombination von Videotechnologie und KI geht der Hersteller Novostable neue Wege bei der Gesundheitsüberwachung von Pferden.
Wie Unternehmen und Polizei zusammenarbeiten
GIT SICHERHEIT im Interview mit Julia Vincke, Leiterin Unternehmenssicherheit BASF, und Bettina Rommelfanger, Polizeivollzugsbeamtin am Landeskriminalamt Baden-Württemberg (LKA BW).
Coded Processing: Funktionale Sicherheit ohne spezielle Hardware ermöglichen
Im Interview mit GIT SICHERHEIT erläutern Claudio Gregorio (Innotec) und Martin Süßkraut (Silistra Systems) wie die Technologie funktioniert.
Phoenix: der erste Barfuß-Sicherheitsschuh auf dem Markt
Baak bringt mit "Phoenix" nach fünf Jahren Entwicklungsarbeit den ersten Barfuß-Sicherheitsschuh auf den Markt.
General Product Safety Regulation (GPSR): Was regelt sie und welche Akteure müssen sich damit befassen?
Neue EU-Produktsicherheitsverordnung (GPSR) ab 13.12.2024: Wichtige Änderungen und Anforderungen für Verbraucherprodukte