Internationale Standards zum Schutz der Lieferketten – Pragmatische Lösungen statt komplexer Regelwerke – ein Überblick

Alexander Skorna, Annika Gropp,

Deutschland nimmt mittlerweile bei Ladungsdiebstählen europaweit den Spitzenplatz ein. Der Schaden hierzulande beläuft sich einschlägigen Schätzungen zufolge auf etwa 1,5 Milliarden Euro jährlich. Privatwirtschaft und Internationale Organisationen propagierten in den letzten Jahren zahlreiche Standards und Normen, die teils strikte Maßnahmen zum Schutz von Lieferketten vorschreiben. Dabei lässt sich die Sicherheit in der Lieferkette bereits mit wenigen Grundsätzen deutlich erhöhen. Vor dem Hintergrund der zahlreichen bereits bestehenden Initiativen wurde untersucht, ob und wie diese einen Beitrag zur Supply Chain Security von Unternehmen leisten können. Ziel war es, Handlungsempfehlungen besonders für kleine und mittelständische Unternehmen ohne eigene Sicherheits-Routinen zu erstellen, die als Leitfaden und Hilfestellung zur Einrichtung eines pragmatischen Managementsystems für die Supply Chain Security dienen können.

Die Logistikwirtschaft ist mit vielerlei Phänomenen konfrontiert, unter anderem einer erhöhten Verwundbarkeit durch immer effizientere und stärker vernetzte Transportprozesse, dem internationalen Terrorismus oder einer steigenden Zahl an immer professioneller durchgeführten Ladungsdiebstählen [1, 2]. Der Schutz von Lieferketten gewinnt folglich zunehmend an Bedeutung: Denn die akute Bedrohungslage durch Terrorismus und die organisierte Kriminalität führen zu steigenden gesetzlichen Anforderungen. Zudem möchte die Transport- und Logistikbranche ihren Verladern den bestmöglichen Service bieten.

Überblick über bestehende Ansätze und Initiativen

Die Liste an möglichen Standards und Normen ist lang. Allerdings existiert immer noch keine einheitliche Grundlage zur Entwicklung, Zertifizierung und Kontrolle der sicheren Lieferkette. Es haben sich unterschiedliche Standards etabliert, die meist auf bestimmte Verkehrsträger, Kontinente oder einzelne Prozessschritte der Logistik fokussiert sind. Dies erschwert den Überblick und verursacht zusätzlichen Aufwand und Kosten für die Sicherheit der Lieferkette. Dennoch wird vom Staat gerade in Bezug auf Ladungsdiebstähle mehr Initiative erwartet – insbesondere in der internationalen Zusammenarbeit, der genauen Lagebilderstellung, der EU-weiten Erleichterung von Mitarbeiterprüfungen und in der Strafverfolgung. Nach den Autoren des bereits 2009 im Auftrag der Weltbank erschienenen Supply Chain Security Guide [3] lassen sich die nichtstaatlichen Initiativen und Programme zur Sicherheit der Lieferkette einteilen in Security- Standards mit Ursprung in internationalen Organisationen wie der ISO und in reine Sicherheitsprogramme aus dem privaten Sektor (Bild 1).


Bild 1: Vergleich freiwilliger nichtstaatlicher Initiativen zur Sicherung
der Lieferketten.

Dem weltweiten Diebstahlphänomen beispielsweise begegnen seit ihrer Gründung 1997 die Transported Asset Protection Association (TAPA) mit ihren Standards Facility Security Requirements (FSR) und Transportation Security Requirements (TSR) sowie die betroffenen Unternehmen selbst. Vor allem aber nach den Terroranschlägen am 11. September 2001 in den USA wurden diverse neue Sicherheitsregelungen von staatlicher Seite erlassen, die zum einen den sicheren globalen Warentransport ermöglichen und zum anderen die Nutzung von Lieferketten zu kriminellen Zwecken verhindern sollen. Darunter fällt beispielsweise das SAFE Framework of Standards der Weltzollorganisation (WCO) [4].
In Deutschland, Europa und weltweit sind mit bereits existierenden Werken eine Vielzahl an Ansatzpunkten verschiedener Stakeholder und gute Lösungen für Unternehmen vorhanden, wie den aktuellen Herausforderungen zur Sicherheit ihrer Lieferketten begegnet werden kann. Dazu zählen die ISO 28000 der International Standardisation Organisation (ISO), die „UP Kritis“ [5] des Bundesamts für Sicherheit in der Informationstechnik (BSI) und viele weitere, oft durch die Unternehmen selbst erstellte Lösungen, sogenannte Best Practices.
Die Politik, genauer das Bundesministerium für Verkehr und digitale Infrastruktur (BMVI), hat es sich nun ebenfalls mithilfe seiner neuen Strategie zur Aufgabe gemacht, die Logistik als kritische Infrastruktur zu schützen. Diese Sicherheitsstrategie ist Teil des „Aktionsplan Güterverkehr und Logistik – Logistikinitiative für Deutschland“ und legt dar, wie das BMVI zusammen mit seinem Geschäftsbereich die Aufgabe des Schutzes kritischer Infrastrukturen und der verkehrsträgerübergreifenden Gefahrenabwehr versteht und wahrnimmt [6]. Dabei geht es nicht um die Schaff ung neuer restriktiver Vorgaben und Gesetze, die meist als Reaktion auf sicherheitsrelevante Ereignisse entstehen und global sowie auf die öff entliche Sicherheit ausgerichtet sind. Das proaktive Vorgehen durch die Unternehmen selbst und der Schutz unternehmerischer Werte steht mit dem Ziel im Vordergrund, angepasst auf deren Bedürfnisse und Möglichkeiten, sich verändernde Rahmenbedingungen und beruhend auf freiwilliger Initiativen voranzukommen.

Politische Rahmenbedingungen

Von Seiten der Behörden und Verwaltungen existieren ebenfalls zahlreiche freiwillige Ansätze, eine einheitliche Grundlage für integren und zugleich sicheren Transport von Waren zu schaff en. Hierzu sind vor allem die Zollbehörden im Zuge erhöhter Sicherheitsanforderungen durch die terroristischen Aktivitäten seit 2001 an der Befolgung gesetzlicher Vorgaben zur Sicherung der gesamten Lieferkette und einer Vereinfachung zollrelevanter Gesichtspunkte interessiert [7]. Hieraus entstand das Europäische AEO-Programm. Dies ähnelt in vielerlei Hinsicht dem US-amerikanischen C-TPAT und inzwischen bestehen wechselseitig anerkannte Abkommen auch in China, Norwegen, der Schweiz, Japan und Andorra [8]. Unter dem Aspekt der sicheren Lieferkette und des Diebstahlschutzes für die versendenden Unternehmen besonders interessant ist der Status AEO-S. Unternehmen, welche dieses Zertifi kat erhalten haben, zeigen, dass sie geeignete Maßnahmen zur Sicherung der internationalen Lieferkette umsetzen. Dies schließt die Bereiche physische Integrität und Zugangskontrollen, Logistikprozesse und Umgang mit speziellen Gütern, Personal und Legitimation von Geschäftspartnern ein. Aus diesen, für Unternehmen freiwilligen Ansätzen sind in der grenzüberschreitenden Luftund Seefracht auch staatliche Vorschriften abgeleitet worden. Insbesondere punktuell an Flughäfen und Seehäfen als Knotenpunkte des weltweiten Warenverkehrs gelten sicherheitsverbessernde Gesetze zur Zutrittskontrolle und Überwachung des Warenverkehrs. Diese bezwecken, zweifelhafte Ladungen frühzeitig identifi zieren und überprüfen zu können. Beispiele in der Seefracht sind die US-getriebene Vorschrift „Container Security Initiative“ (CSI) sowie der von der Internationalen Seeschiff - fahrtsorganisation (IMO) getroff ene „International Ship and Port Facility Security Code“ (ISPS). Durch die Verordnungen VO (EG) 300/2008 (Luftsicherheit) und VO (EG) 725/2004 (ISPS) gelten diese Vorschriften auch für alle See- und Luftfahrtverkehre innerhalb der Europäischen Union. Dennoch wird das Dilemma zwischen der Reichweite nationaler Verordnungen und der Internationalität der Lieferketten deutlich. Gesetze haben bisweilen einen reaktiven und regionalen Charakter und sollen gewisse Minimalanforderungen sicherstellen. Für proaktive Maßnahmen von besonders sicherheitssensibilisierten Unternehmen greifen diese Verordnungen zu kurz.
Im bisweilen eher national geprägten Landtransport übernimmt die Politik etablierte Standards und Best Practices, da es hier keine internationale Körperschaft zur Schaff ung von Sicherheitsstandards für die Transportwirtschaft gibt. Für pharmazeutische Produkte existiert beispielsweise eine Hilfestellung zum sicheren Transport, die „Guidelines on Good Distribution Practice of Medicinal Products for Human Use“ (kurz: GDP Pharma) [9], die im November 2013 durch die Europäische Kommission im Rahmen eines Informationspapiers als Reaktion auf die Vorgaben der Richtlinie 2011/62/EU veröff entlicht wurde und auch durchaus auf andere Produktgruppen bzw. Branchen Anwendung fi nden könnte. Darin werden detailliert Maßnahmen beschrieben, wie die Integrität der Arzneimittellieferkette, besonders zur Vermeidung des Einbringens gefälschter Arzneimittel, gewährleistet werden kann.
Insbesondere zur Reduktion der Kriminalitätsrate auch im Bereich des Ladungsdiebstahls durch europaweit vereinheitlichte Sicherheitsstandards und eine stärkere Repräsentation der Interessen auf internationaler Ebene wurde die Land Transport Security Expert Group (LANDSEC) gegründet [10]. Den aktuellen und zukünftigen Herausforderungen kann mit gegenseitigem Austausch zwischen Gesetzgebung und Wirtschaft erfolgreich begegnet werden. LANDSEC ist darüber hinaus an der Einrichtung einer europaweiten Datenbank zur Erfassung der Fallzahlen und jeweiligen „modi operandi“ für Ladungsdiebstähle als Grundlage für eine Ableitung geeigneter, vielleicht auch gesetzgeberischer Maßnahmen beteiligt.


Bild 2: Überblick staatlicher Initiativen zur Sicherheit von Lieferketten.

Als Startpunkt für weitere Schritte und Maßnahmen auf EU-Ebene fungiert außerdem das im Februar 2016 abgeschlossene Projekt Creating an Agenda for Research on Transportation Security (CARONTE) [7]. Mithilfe umfassender Analysen zu bestehenden und erwartbaren Risiken und in einer Rückschau auf bereits existierende Forschungsprogramme und Lösungsansätze sind akute Handlungspotenziale zur Sicherheit im europäischen Landtransport identifi ziert worden. Diese stützen sich auf das besondere Anliegen beider Seiten, die Interessen der Wirtschaft zur Verminderung von Ausfallrisiken mit politischen Interessen in Einklang zu bringen und alle bisherigen dahingehenden Bemühungen zu unterstützen. Rechtlich bindende Vorgaben werden hier nicht betrachtet. In Bild 2 sind die wesentlichen Themen kompakt zusammengestellt.
Neben Europäischen Programmen sind auch auf Bundesebene diverse Initiativen in Deutschland entstanden, die die Sicherheit von Lieferketten sukzessive erhöhen sollen (Bild 2, rechte Hälfte). Im Jahr 2010 wurde durch das BMVI im Zuge der Logistikinitiative für Deutschland die Schaff ung einer Sicherheitsstrategie für die Güterverkehrs- und Logistikwirtschaft zur Stärkung des Logistikstandorts Deutschland beschlossen [2, 6]. Nach ihrer Vorstellung im Januar 2015 wurde sie bereits am Ende desselben Jahrs im Rahmen des neu erschienenen Aktionsplans Güterverkehr und Logistik bestätigt und ihre Umsetzung gefordert. Dennoch stellt auch in der neuen Ausgabe diese Sicherheitsstrategie für das eigentliche Kernthema Notfall- und Krisenmanagement der Logistiker keine konkret entwickelten, zukunftsorientierten Handlungsanweisungen bereit.
Einen praktisch umsetzbaren Leitfaden zur Sicherung der Transportketten gegen kriminelle Handlungen in Form eines beispielhaft für die Containerlieferkette geltenden Handbuchs bietet hingegen das im Rahmen des Sicherheitsforschungsprogramms „Sicherung von Warenketten“ durch das Bundesministerium für Bildung und Forschung (BMBF) geförderte und Ende 2013 abgeschlossene Projekt „Sichere und effi ziente Logistikprozesse – Prävention, Identifi kation und Bewältigungsstrategien (SefLOG)“ der Studiengesellschaft für den kombinierten Verkehr (SGKV) [11, 12].

Ableitung von Grundsätzen als Handlungsempfehlungen

Aus diesen Ansätzen einen Maßnahmenkatalog zu erstellen, der den Unternehmen als Handbuch zur Sicherung ihrer Lieferketten gegen verschiedene Gefahren dient, ist im Hinblick auf die Heterogenität der Stakeholder und die unterschiedlichen Kenntnisstände in den Unternehmen schwer zu realisieren [13]. Eine abgearbeitete Checkliste hat zudem eher geringen Einfl uss auf die dauerhafte Absicherung einer Lieferkette. Stattdessen sollten die Unternehmensverantwortlichen in erster Linie sensibilisiert werden, sodass sie selbst die Initiative ergreifen, geeignete Maßnahmen auszuwählen. Auf der Grundlage der bestehenden theoretischen und praktischen Ansätze der Wirtschaft und Politik wird ein pragmatischer Sensibilisierungsansatz zur Stärkung des Risikomanagements im Transport und zum Schutz von Lieferketten vorgestellt. Die Zusammenstellung zeigt eine Hilfestellung zur Bekämpfung von Ladungsdiebstählen für Logistikunternehmen ohne eigene Sicherheits-Routine.


Bild 3: System und integrativer Ansatz der ISO 28000 als
Umsetzungsvorschlag.

1. Grundsatz: Verantwortung zeigen. 

Die Verantwortung für die Sicherheit der Mitarbeiter und aller anderen Unternehmenswerte liegt immer beim Unternehmer. Seien Sie sich dessen bewusst, verlassen Sie sich nicht auf andere und riskieren Sie keine Schäden, für die Sie unter Umständen selbst haften müssen.

2. Grundsatz: Einen umfassenden Ansatz wählen. 

Konzentrieren Sie sich nicht nur auf einzelne Maßnahmen oder Checklisten zur Lieferkettensicherheit. Die Einführung von Standards für einen umfassenden und dauerhaften Ansatz bietet eine bessere Grundlage für einen effektiven Schutz und kann, richtig angewandt, eine vergleichsweise einfach umsetzbare und nachweisbare Methode zur Lieferkettensicherheit darstellen.

3. Grundsatz: Partner suchen.

Suchen Sie sich geeignete Partner aus möglichst vielen Bereichen, die Ihnen mit ihrer Expertise zur Seite stehen. Ein Netzwerk von erfahrenen Beratern und der Blick über den eigenen Tellerrand lohnen sich und helfen, Schwierigkeiten zu bewältigen.

4. Grundsatz: Aus Fehlern lernen.

Vermeiden Sie typische Fehler und nutzen Sie vorhandenes Wissen und „Best Practices“ für das eigene Unternehmen.

5. Grundsatz: Technik und Innovationen nutzen.

Nutzen Sie technische Innovationen und Angebote und setzen Sie diese bedarfsgerecht ein, um mit möglichen Tätergruppen zumindest auf Augenhöhe zu agieren und Gefahrenpotenziale früh erkennen zu können.

6. Grundsatz: Mitarbeiter einbeziehen.

Vergessen Sie niemals, die eigenen Mitarbeiter einzubeziehen, und zwar auf allen Ebenen vom Disponenten bis zum LKW-Fahrer. Sie sind ein bedeutender Teil des Sicherheitssystems Ihres Unternehmens und ersetzen manche technische Maßnahme.

7. Grundsatz: Eigeninitiative zeigen.

Zeigen Sie Eigeninitiative und warten Sie nicht auf die Vorgabe von Maßnahmen oder Programmen aus Politik und Verbänden. Das Fehlen solcher Vorgaben bedeutet nicht automatisch, dass es keinen Handlungsbedarf gibt.

8. Grundsatz: In Sicherheit investieren. 

Seien Sie sich bewusst, dass ein grundlegendes Maß an Sicherheit regelmäßige Investitionen erfordert und die Übertragung finanzieller Risiken, zum Beispiel auf eine Versicherung, nicht auf Dauer funktioniert.
Es ist sinnvoll, auf Grundlage der ISO 28000 zunächst ein funktionierendes Sicherheitsmanagementsystem aufzubauen, in dem bereits ein Qualitätsmanagement nach ISO 9001 enthalten ist. Ziel ist es, die Sicherheit der Lieferkette auf stabile Säulen zu stellen. Vermieden werden sollte dagegen das sture Abarbeiten einer Maßnahmen-Liste, ohne eine genaue Analyse der Risiken, ohne einen geeigneten Personalund Finanzansatz, ohne festgelegte Prozesse und ohne ein Verbesserungsmanagement ein Sicherheitssystem aufzubauen – auch wenn die Maßnahmen zunächst brauchbar erscheinen [14]. Ein Zusammenspiel mit ergänzenden Standards, beispielsweise mit der ISO 27000 (Informationssicherheit), erfasst und bewertet zusätzliche Risiken auf der digitalen Ebene. Erst wenn ein solches System aufgebaut ist, können sinnvolle Einzelmaßnahmen umgesetzt werden, die sich dann zum Beispiel an den TAPA Standards oder denen des AEO-Programms orientieren können. Bild 3 veranschaulicht diesen Prozess, der im Kleinen startet und durch Erweiterung des Scopes Schritt für Schritt die Sicherheit in der Lieferkette mehrdimensional erhöht.
Operative Checklisten und reine Maßnahmenkataloge sind ergänzend zum Beispiel von Versicherungen, Versicherungsmaklern, staatlichen Institutionen oder Polizeibehörden verfügbar und bieten Anregungen zur stetigen Verbesserung des Schutzniveaus [12]. Der Vorteil an dieser schrittweisen Vorgehensweise liegt darin, dass bestehende oder nachfolgende Managementsysteme, wie ein Umweltmanagement nach ISO 14001 oder Arbeitssicherheitsmanagement nach ISO 18001, relativ leicht zu integrieren sind [4] und eine schnelle Reaktion auf sich verändernde Gefahrenlagen trotzdem möglich bleibt.

Fazit

Die Zusammenfassung aller Ansätze zeigt, dass diese zwar zahlreich und jeder für sich genommen berechtigt und gut sind, aber der Austausch von staatlichen Vorhaben und den realen Sicherheitsproblemen aus der Wirtschaft noch deutlich verstärkt werden kann. Die durch manche Stakeholder vorgenommene Trennung von Verantwortlichkeiten und den Zielen zu treffender Maßnahmen ist vermutlich ein Grund dafür, dass eine Bündelung noch nicht in dem Maße stattfindet, wie die meisten Betroffenen es sich wünschen würden. Für die Unternehmen bedeutet dies allerdings, sich aktiv mit einbringen zu müssen, sowohl zur Sicherung ihrer eigenen Lieferketten als auch in der Sensibilisierung ihrer politischen Partner. Die ISO 28000 ist hier insofern ein praktikabler Ansatz, als dass die in den meisten Organisationen bereits existierenden Managementsysteme (z. B. ISO 9001) weiterhin bestehen bleiben und als Grundlage zur Implementierung dienen können. Dennoch handelt es sich um einen Standard zur kontinuierlichen Verbesserung des Supply Chain-Sicherheitsmanagements der verschiedensten Unternehmensgrößen. Er erhebt den Anspruch, auf alle Unternehmensgrößen anwendbar zu sein und kann deswegen weder auf die jeweiligen rechtlichen Rahmenbedingungen noch auf die existierenden Unternehmensrichtlinien zugeschnittene Sofortlösungen anbieten. Wer diese sucht, sollte dennoch im Sinne der o. g. Grundsätze sensibilisiert für die Gegebenheiten des eigenen Unternehmens gründlich vorgehen, um den Entwicklungen proaktiv begegnen zu können.

Hier können Sie den Beitrag kostenlos downloaden.

Schlüsselwörter:

Lieferketten, Sicherheit, Normen und Standards, Risikomanagement, Supply Chain Security

Literatur:

[1] British Standards Institution (Hrsg): SCREEN Global Intelligence Report – Supply Chain Threats, Risks, and Trends. Milton Keynes 2016.
[2] BMVI (Hrsg): Sicherheitsstrategie für die Güterverkehrs- und Logistikwirtschaft – Schutz kritischer Infrastrukturen und verkehrsträgerübergreifende Gefahrenabwehr. Berlin 2014.
[3] Donner, M.; Kruk, C.: Supply Chain Security Guide. Washington 2009.
[4] Hellmann, M.: Sicherheit in der Lieferkette – Ein Thema der Zukunft für die Logistik und Unternehmen. In: Homeland Security (2013) 1, S. 39ff.
[5] BSI (Hrsg): UP Kritis Öffentlich- private Partnerschaft zum Schutz kritischer Infrastrukturen – Grundlagen und Ziele. Bonn 2014.
[6] BMVI (Hrsg): Aktionsplan Güterverkehr und Logistik – nachhaltig und effizient in die Zukunft. Berlin 2015.
[7] CARONTE: Report on possible approaches and solutions, and their ethical, fundamental right and societal impact. URL:http://www.caronteproject. eu/wp-content/ uploads/2016/03/CARONTE_ D5.1.pdf, Abrufdatum 25.11.2016.
[8] EC (Hrsg): AEO Authorised Economic Operators – Guidelines, TAXUD/B2/047/2011 – Rev.6, 2016. URL: http://ec.europa.eu/taxation_ customs/resources/ documents/customs/policp_ issues/customs_security/ aeo_guidelines_en.pdf, Abrufdatum 25.11.2016.
[9] EC (Hrsg): Information from European Union Institutions, Bodies, Offices and Agencies – Guidelines of 5 November 2013 on Good Distribution Practice of medicinal products for human use. In: Official Journal of the European Union (2013) C343.
[10] EC (Hrsg): European Commission Staff Working Document on Transport Security SWD. URL: http://ec.europa.eu/ transport/themes/security/ doc/2012-05-31-swd-transport- security.pdf, Abrufdatum 25.11.2016.
[11] SGKV: Verbundprojekt sichere und effiziente Logistikprozesse: Prävention, Identifikation und Bewältigungsstrategien (SefLog). Berlin 2013.
[12] SGKV: Sicherheit produzieren – Handlungsempfehlungen zur Sicherung der Transportkette, Erkenntnisse aus dem Forschungsprojekt für die Praxis. Berlin 2013.
[13] Bernecker, T.; Grandjot, H.-H.: Sicherheit im Transport – Lieferprozesse zertifizieren, managen und lückenlos überwachen. München 2014.
[14] Huth, M.; Romeike, F.: Die Sicherheitsstrategie des BMVI – Schutz kritischer Infrastrukturen und verkehrsträgerübergreifende Gefahrenabwehr. In: Risiko Manager (2015) 4, S. 10ff.