Sicherheitsfragen in der Krise

Der Sicherheitsbeirat der Stiftung Familienunternehmen befasst sich seit Jahren mit möglichen Gefährdungslagen von Familienunternehmen. Diesem Expertenkreis gehören neben den Sicherheitschefs großer Familienunternehmen auch Vertreter staatlicher Sicherheitsbehörden an.

Diese Expertise steht Ihnen auch bei der Beantwortung von Sicherheitsfragen zur Verfügung, die im Zuge der Corona-Krise auftreten. Interessierte Familienunternehmen können sich mit ihren Fragen direkt an den Leiter des Sicherheitsbeirats, Herrn Klaus-Dieter Sohn (sohn@familienunternehmen.de), wenden. Fragen, die für die Allgemeinheit von Bedeutung sind, werden im FAQ in anonymisierter Form beantwortet.
 

Kontakt

Klaus-Dieter Sohn

Leiter Wirtschaftspolitik
sohn@familienunternehmen.de
Tel.: +49 (0) 30 / 22 60 52 91 1
 

Ausnahmslos alle Unternehmen müssen die Hygienevorschriften befolgen. Die Arbeitsschutzstandards finden Sie hier:

» SARS-CoV-2-Arbeitsschutzstandard des Bundesministeriums für Arbeit und Soziales.

 

Folgende Unternehmen produzieren Mund- und Nasenschutz, Teststreifen oder Desinfektionsmittel:

» Anbieter von Materialien für den Gesundheitsschutz

 

FAQ: Sicherheitsfragen im Zusammenhang mit dem Coronavirus

 

Was ist bei der Einrichtung eines Krisenstabs grundsätzlich zu beachten?
Wenn Sie sich für einen Krisenstab entscheiden, achten Sie darauf, dass die oberste Entscheidungsebene und die Gesellschafterfamilie dem Krisenstab nicht angehören, wenn die Bedrohung von einem ansteckenden Virus ausgeht. Wenn möglich, sollten die Positionen des Krisenstabs doppelt besetzt sein.

Soll der Betriebsrat in das Krisenmanagement eingebunden werden?
Ja, beziehen Sie den Betriebsrat beratend in das Krisenmanagement ein. Die Kommunikation mit den Mitarbeiter-Vertretern ist vertrauensbildend und somit enorm wichtig. Insbesondere in Zeiten von Kurzarbeit können Sie so ein mögliches Gefährdungspotential reduzieren, das von frustrierten Mitarbeitern ausgehen kann. Auch die zumindest temporäre Einbindung eines Fachanwalts für Arbeitsrecht und/oder Vertreters von HR in das Krisenmanagement ist empfehlenswert.

Ich habe von Unternehmen gehört, die auch in der Verwaltung auf Schichtbetrieb umgestellt haben. Macht das Sinn?
Ein Zwei-Schicht-Betrieb ist in der Verwaltung jedenfalls dann sinnvoll, wenn die Übergabe des Betriebs ohne persönlichen Kontakt geschieht. Neben der Vermeidung einer Infektion können Sie auch den wegen der Kinderbetreuung besorgten Eltern andere Arbeitszeiten anbieten, wenn die Arbeit im Homeoffice nicht möglich ist.

Besonders sensible Bereiche, insbesondere im Bereich der Forschung und Entwicklung, wollen oder können wir nicht in das Homeoffice verlegen. Was gilt es zu beachten?
Wie schon bisher sollte in diesen Bereichen eine separate Zugangsbeschränkung gelten. Nicht jeder Mitarbeiter muss diese Bereiche betreten dürfen. Prüfen Sie, ob der Zugang noch weiter beschränkt werden kann, um die Gefahr einer Infektion so gering wie möglich zu halten. Stellen Sie zudem Hygienespender vor diesen Bereichen auf. Bieten Sie den Mitarbeitern z.B. die Belieferung mit Einkäufen an den Arbeitsplatz an, um deren Bewegungsraum auf das Zuhause und den Arbeitsplatz zu begrenzen. Je dringender die Anwesenheit eines Arbeitnehmers im Betrieb in Epidemie- oder Pandemiezeiten erforderlich ist, desto umfangreicher müssen die Schutzmaßnahmen für diese Personen sein!

Homeoffice ist derzeit scheinbar die einzige Möglichkeit, den staatlichen Auflagen bei gleichzeitiger Aufrechterhaltung des Betriebs und der Angst der Mitarbeiter vor einer Infektion gerecht zu werden. Gibt es ein paar grundsätzliche Aspekte, die zu berücksichtigen sind?
Der Bereich Homeoffice ist ein sehr sensibler Bereich. Einerseits reden wir über den privaten Wohnraum der Mitarbeiter, andererseits reden wir über berechtigte Interessen des Arbeitgebers. Deshalb gilt zunächst: Binden Sie den Betriebsrat in Homeoffice-Konzepte unbedingt ein. Weiter gilt es, einige wichtige Regeln zu beachten:
 
  1. Verstärken Sie die Bemühungen, die Resilienz der Mitarbeiter aufrechtzuerhalten. Insbesondere sollen keine Corona-Newsletter oder ähnliches abonniert werden. Es gibt bereits die ersten IT-Attacken, bei denen die Schadsoftware im Link zu einer Nachricht mit den neuesten Corona-News versteckt ist.
  2. Stellen Sie sämtliche Arbeitsmittel zur Verfügung. Es gibt kaum ein größeres Risiko als den privaten Rechner, der für dienstliche Zwecke genutzt wird.
  3. Stellen Sie nur denjenigen Mitarbeitern einen externen Zugriff auf die Firmenserver (VPN-Zugang) zur Verfügung, für deren Arbeit ein solcher Zugang zwingend erforderlich ist.
  4. Ermutigen Sie die Mitarbeiter im Homeoffice dazu, gelegentlich Videokonferenzen zwischen denjenigen Kollegen zu führen, die auch vorher schon eine soziale Gruppe gewesen sind. Dabei muss es nicht zwingend um dienstliche Inhalte gehen.
  5. Binden Sie die Mitarbeiter im Homeoffice in den betrieblichen Alltag ein. Nutzen sie die Möglichkeit der Videobotschaft.
  6. Weisen sie ihre Mitarbeiter explizit auf die Vertraulichkeit ihrer Heim-Tätigkeiten hin
  7. Weisen Sie Ihre Mitarbeiter auf die Wichtigkeit von täglichen Sicherheitsupdates hin, um Sicherheitslücken zu schließen. Dies gilt sowohl für private Geräte wie Router als auch für die zur Verfügung gestellten Arbeitsgeräte wie Laptops.

In Krisenzeiten sind Kurzarbeit und Entlassungen aus Sicht der Unternehmen nicht ungewöhnlich, wenngleich sie nur das letzte Mittel sind. Gilt es, auch Sicherheitsaspekte zu beachten?
Kurzarbeit und Entlassungen sind mit erheblichem Einkommensverlust verbunden. Betroffene können schnell an den Rand der wirtschaftlichen Leistungsfähigkeit gelangen. Dementsprechend groß sind die Ängste der Betroffenen, die auch in Schuldzuweisungen oder Rachegelüsten münden können. Es sollte deshalb zumindest bei erheblichen Einschnitten eine Gefährdungsanalyse für das verantwortliche Personal vorgenommen und bei Bedarf das Schutzniveau erhöht werden.

Was gibt es zu beachten, wenn Geschäftsreisen im Inland (ins Ausland gelten überwiegend aktuelle Einreisebeschränkungen) trotz der Pandemie dringend erforderlich sind?
Mehr denn je gilt hier das Trennungsgebot für die Entscheidungsträgern der Firma. Gemeinsame Dienstreisen sollten unterbleiben, da sonst im Falle einer Ansteckung wichtige Entscheidungsprozesse blockiert werden können. Achten Sie auch darauf, bei unaufschiebbarer Reisetätigkeit einen Nachweis über vorhandene Vorerkrankungen mitzuführen. Generell gilt: Wo immer möglich, besser in der aktuellen Krise über die modernen Medien kommunizieren.

Der Gesetzgeber hat uns die Möglichkeit eingeräumt, die Hauptversammlung virtuell durchzuführen. Gibt es aus Sicht der Sicherheitsexperten Besonderheiten zu beachten?
Zumindest zwei Aspekte sollten berücksichtigt werden. Erstens müssen Sie die Möglichkeit bedenken, dass bei einem erfolgreichen Hackerangriff die Abstimmungsergebnisse und somit ganze Firmen beeinflusst und manipuliert werden können Zweitens muss geklärt werden, wie die virtuelle Hauptversammlung DSGVO-konform durchgeführt werden kann. Darf zum Beispiel der Server des durchführenden IT-Dienstleisters auch außerhalb der EU stehen? Auf die gesellschaftsrechtlichen Vorgaben gehen wir an dieser Stelle nicht ein.

Was ist in Zeiten der Corona Krise im Bereich der "Allgemeinen Kriminalität" für Unternehmen zu erwarten?
Die aktuelle Krise bietet kriminellen Organisationen und intelligenten Einzeltätern durchaus neue Spielräume im Bereich der Cyber-, Betrugs- und Wirtschaftskriminalität. Täter werden wohl auch vermehrt auf die derzeitige "Ablenkung" durch den "Shutdown" der Wirtschaft und alle damit zusammenhängenden Folgeerscheinungen setzen. Sie werden aber in gewohnter Weise versuchen, auch altbewährte kriminelle Verfahrensweisen fortzuführen. Gerade jetzt gilt es, besonders kritisch auf alle "ungewöhnlichen Kontaktaufnahmen" mittels Online-Medien und Telefon zu achten. Ein Tipp: Der regelmäßige Kontakt ihrer Sicherheitsverantwortlichen mit den örtlichen Dienststellen der Kriminalpolizei lässt sie neue Kriminalitätsschwerpunkte rechtzeitig erkennen, insbesondere auch bezogen auf ihre jeweiligen Standorte.

Fake News und Spam: Wie nutzen Cyberkriminelles die Corona Krise für ihre Geschäft?
Betrüger wittern aufgrund der aktuellen Lage ihre Chance. Notlagen bieten eine gute Gelegenheit, betrügerische Kampagnen durchzuführen und die Situation für sich auszunutzen. Betrüger scheuen nicht davor zurück, Profit aus einer Viruserkrankung zu schlagen. Eine ängstliche Bevölkerung, schutzbedürftige Menschen mit erhöhtem Corona-Risiko, Hamsterkäufe und massenhaft Fake News, die in sozialen Medien herumgeistern - all das spielt den Cyberkriminellen in die Hände.

Beispiel Fake News:
Als eine der wichtigsten Informationsquellen über die Corona-Pandemie gelten die Weltgesundheitsorganisation (WHO) und das Robert-Koch-Institut (RKI). In den laufenden Betrugskampagnen erscheint das RKI immer wieder. Cyberkriminelle missbrauchen dessen Reputation, um Opfer zu verleiten, auf den schädlichen Link in einer Betrugs-E-Mail zu klicken. Üblicherweise führen solche URLs zu Malware oder Phishing-Webseiten.

Eine weitere Masche von Cyberkriminellen ist das Spiel mit der Barmherzigkeit hilfsbereiter Menschen. Mittels sogenannter Scam-Mails, einer besonderen Variante von Spam, versuchen Gauner ihre Opfer dazu zu bewegen, die Entwicklung eines angeblichen Impfstoffs mitzufinanzieren oder diesen - als einer der Ersten - selbst zu kaufen. Zum Zeitpunkt der Erstellung dieses Beitrags gibt es jedoch keinen Impfstoff und ein solcher wird nicht vor Anbruch des nächsten Jahres erwartet.

Demaskiert – Eine besonders dreiste Phishing-Art
Eine andere Betrugsart zielt auf den aktuellen Mangel an Schutzmasken und Desinfektionsmittel. Opfer von Scam-Mails sollen glauben, sie können ausreichend Gesichtsmasken ganz einfach online bestellen – man muss nur dem Link in der E-Mail folgen. Anstatt sich hier jedoch mit Hilfsmitteln zu versorgen, gelangen so nur sensible persönliche und finanzielle Daten an die Kriminellen.

So können Sie vermeidlich Fake News und Spams erkennen:
  1. Kennen Sie den Absender einer E-Mail wirklich?
    Schon bevor Sie eine E-Mail überhaupt öffnen, können Sie, die meisten Arten von Spams erkennen.
    Im Posteingang Ihres Postfachs werden Ihnen der Absender und der Betreff einer E-Mail angezeigt. Fahren Sie mit der Maus über eine E-Mail, ohne diese anzuklicken, wird Ihnen sogar die exakte E-Mail-Adresse des Absenders angezeigt. Ist Ihnen der Absender unbekannt, könnte es sich möglicherweise um Spam handeln.

    Spam-Mails sind aber nicht ausschließlich am Absender erkennbar:
    • Cyberkriminelle können den Absender einer E-Mail fälschen und sich so auch als „Weltgesundheitsorganisation“ oder eine andere namhafte Organisation ausgeben.
    • Zum Spamming werden manchmal auch gehackte E-Mail-Accounts von Personen verwendet.

  2. Ist der Betreff der E-Mail typisch für den Absender?
    Ist Spam nicht anhand des Absenders erkennbar, kann auch der Betreff preisgeben, dass es sich hier um einen Täuschungsversuch handelt. Verräterisch sind diese Themen:
    • Erkannte und sofort zu lösende Probleme mit Ihrem Account bei bekannten Online-Shops oder Zahlungsdiensten (z.B. werden Sie aufgefordert, Ihre Bankdetails zu bestätigten, etc.)
    • Gesundheitliche Versprechungen wie Heilmittel gegen das Coronavirus.
    • Informationstechnische Themen wie ironischerweise die Bewerbung von Möglichkeiten, Spam loszuwerden.
    • Versprechungen zur finanziellen Unterstützung in der Krise oder ähnlichen finanziellen Themen.
    Moderner Spam verwendet aus diesem Grund auch Betreffzeilen, die nicht so leicht zu erkennen sind. Auch persönliche Anreden sind mittlerweile gängig.

  3. Enthält die E-Mail drängende Handlungsaufforderungen?
    Die Absicht dieser E-Mails ist es immer, dass Sie einen Link anklicken, einen Anhang herunterladen (und öffnen) oder persönliche Informationen preisgeben. Daher werden Ihnen meist Produkte empfohlen, die Sie unbedingt kaufen müssen oder Sie werden dazu genötigt eine verlinkte Eingabemaske auszufüllen.

    Als Faustregel gilt: Ist eine Spam-E-Mail äußerlich nicht von einem Original zu unterscheiden, erkennen Sie diese an Aufforderungen, einen Anhang oder einen Link anzuklicken oder Ihre persönlichen Informationen einzugeben.

    Folgen Sie solchen oder ähnlichen Anweisungen auf gar keinen Fall, sondern wenden Sie sich im Zweifelsfall immer direkt an die jeweilige Unternehmung! Geben Sie dazu selbst die Internetseite der Organisation in den Browser ein und folgen Sie keinen Links aus der vermutlichen Spam-Mail. Im Zweifel kontaktieren Sie ihre IT-Sicherheit.

Wie bewerten die Sicherheits-Behörden die Entwicklungen im Bereich der Kriminalität nach schrittweiser Beendigung der "Shutdown"-Maßnahmen?
Auch im Kriminalitätsbereich gab es eine parallel beobachtete Entwicklung zur allgemeinen Wirtschaftslage und einen teilweise starken Rückgang in verschiedenen Kriminalitätsfeldern sowie eine Verlagerung in den Bereich der Internetkriminalität. Gründe liegen in den Beschränkungen bei der Reisetätigkeit, Verboten für Zusammenkünfte sowie den verstärkten Allgemein- und Grenzkontrollen.

Alle Sicherheitsexperten rechnen im Zuge der Beendigung der Maßnahmen wieder mit einer verstärkten Tätigkeit Krimineller. Besonders in der ersten Zeit nach den Corona-Maßnahmen sollte deshalb ungewöhnlichen Kontaktaufnahmen verstärkte Aufmerksamkeit gelten. Das erneute Hochfahren gewohnter wirtschaftlicher Prozesse wird alle Konzentration brauchen und es somit Kriminellen leichter als sonst machen, tätig zu werden.

Generell gilt, dass durch keine betriebliche Entscheidung ein erhöhtes Gesundheitsrisiko für Beschäftigte in Kauf genommen werden sollte.


An dieser Stelle beantworten die Stiftung Familienunternehmen und Sicherheitsexperten allgemeine Fragen, die sich im Zuge der Corona-Krise stellen. Eine Rechtsberatung stellt unser Angebot nicht dar.
 

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Ok
Datenschutzerklärung