Sicherheitskultur in der Kritischen Infrastruktur

Das KIRAS-Projekt SiKu KRITIS wurde unter der Leitung der FH Campus Wien in der geplanten Projektlaufzeit von November 2022 bis November 2024 umgesetzt. SiKu KRITIS beschäftigte sich mit der Konzeptualisierung und Erhebung der „Security Culture“ in drei ausgewählten Organisationen der KRITIS in Österreich.

Als Hauptbedarfsträger fungierte dabei die Wirtschaftskammer Österreich (WKÖ) – Stabstelle Krisenmanagement und Sicherheitsvorsorge. Darüber hinaus waren die Johannes Kepler Universität Linz (JKU), die Austrian Power Grid AG (APG), die Österreichischen Bundesbahnen (ÖBB) und der Wiener Gesundheitsverbund (WIGEV) Kooperationspartner. Zudem waren folgende Organisationen Teil des erweiterten Projektkonsortiums: Bundesministerium für Inneres (BMI), Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz (BMSGPK), Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie (BMK), Österreichischer Rundfunk (ORF) und A1 Telekom Austria AG.

Sicherheitskultur in Organisationen wurde bisher hauptsächlich in Zusammenhang mit Unfällen erforscht. Wie aber die aktuellen Krisen zeigen, sind unter anderem intentionale Gefahren (wie Wirtschafts- und Industriespionage, Cyberangriffe, Diebstähle, Vandalismus und Übergriffe auf Beschäftigte) zunehmende Bedrohungen für Organisationen der KRITIS.

In den vergangenen zehn Jahren wurden einige wenige Ansätze zur Messung des Begriffs Security Culture (in Unterscheidung zu Safety Culture) entwickelt. Bisher existierte aber kein Ansatz, der eine wissenschaftliche Konzeptualisierung von Security Culture bietet, die als Basis für empirische Forschung geeignet wäre und relevante kriminologische Perspektiven inkludiert. Security Culture konnte dadurch bis dato nicht wissenschaftlich erfasst und gestaltet werden.

Der theoretische Fokus des Projekts lag daher auf einer umfassenden empirisch relevanten Konzeptualisierung von Security Culture. Diese wurde durch Sicherheitsverantwortliche im Hinblick auf ihre praktische Relevanz validiert. Im empirischen Teil wurde die Security Culture in Organisationen der KRITIS mit dem Fokus auf intentionale Gefahren erstmalig erhoben und analysiert. Davon umfasst war die Erforschung der Compliance der Mitarbeiterinnen und Mitarbeiter bezogen auf innerbetriebliche Sicherheitsnormen und die Erklärung von etwaigen Verstößen.

Jeweils ein Unternehmen aus den KRITIS-Sektoren Energie (APG), Mobilität (ÖBB) und Gesundheit (WIGEV) sollte mittels einem im Projekt entwickelten Mixed-Method-Ansatz aus qualitativen Befragungen und Analysen von sicherheitsrelevanter Infrastruktur und Dokumenten sowie quantitativem Fragebogen für Beschäftigte untersucht werden. Dies gelang bei den drei teilnehmenden Organisationen aus internen Gründen in unterschiedlichem Ausmaß – umfassend bei der APG, in etwas geringerem Ausmaß bei den ÖBB und beim WIGEV. Letzterer wurde mittels qualitativer Interviews und einer Dokumentenanalyse erforscht. Jede Organisation erhielt als Ergebnis einen vertraulichen Unternehmensbericht.

Im Rahmen eines Workshops mit Sicherheitsverantwortlichen aus verschiedenen Sektoren der KRITIS wurden die aus den Erhebungen gewonnenen Erkenntnisse diskutiert und allgemeine Empfehlungen zur Verbesserung der Security Culture entwickelt.

Der Abschlussbericht des Projekts enthält somit zusammenfassende Erkenntnisse aus den quantitativen und qualitativen Erhebungen der drei Partnerorganisationen sowie generelle Empfehlungen zur Verbesserung der Security Culture in der KRITIS.