IT security and other aweful matters

Of computer mice and men – for availability, integrity and privacy

Sicherheit und Verantwortung – nach der Verurteilung des Bürgermeisters von La Faute-sur-mer

Am Freitag, den 12. Dezember 2014, wurde der damalige Bürgermeister René Marratier der kleinen Gemeinde La Faute-sur-mer zu vier Jahren Haft verurteilt, wegen nicht beabsichtigter Tötung (homicide involontaire) in neun Fällen. Herr Marratier war als langjähriger Bürgermeister verantwortlich für die Erteilung von Baugenehmigungen in einem Gebiet, in dem es in früheren Zeiten zu Überschwemmungen gekommen war. Er war es nicht allein. Françoise Babin, in der Zeit, als die Baugenehmigungen erteilt wurden zuständig für Bauplanung der Gemeinde und damit fachlich-politisch verantwortlich, wurde zu zwei Jahren Haft verurteilt.

Die Urteile sind noch nicht rechtskräftig, es kann noch Berufung eingelegt werden, womit zu rechnen ist. Dieser Beitrag soll auch keine juristische Bewertung liefern, sondern fachliche Konsequenzen im Notfallmanagement aufzeigen.

Dem damaligen Bürgermeister war darüber hinaus vorgeworfen worden, dass er nach Eingang der Sturmwarnung vor Xynthia die Bewohner der tiefliegenden Küstensiedlung nicht gewarnt bzw. die Evakuierung veranlasst hat.

Denn am 27. Februar 2010 kam schweres Wetter auf, das Tief Xynthia zog über dem Atlantik auf. In der Nacht vom 27. auf den 28. Februar traf der Sturm auf die französische Atlantikküste, eine wunderschöne Landschaft. In der Bucht hinter der Ile de Ré, nördlich von La Rochelle, wurden Deiche überflutet und dahinterliegende Niederungen versanken in den Wassermassen. In La Faute-sur-mer starben 29 Menschen.

Damit hatte niemand gerechnet. ? oh doch. Naturschützer hatten davor gewarnt, diese Niederung als Baugebiet auszuweisen. Es hatte in der Vergangenheit auch schon Überschwemmungen gegeben. Das Risikoniveau wurde aber von der Gemeinde als niedrig bewertet, und die Gemeinde hat dazu die vorgesetzte Präfektur (vergleichbar dem Regierungsbezirk) intensiv bearbeitet, dies auch in der offiziellen Bewertung festzuschreiben. Dies geschah dann auch in den 80er Jahren. Fachlich begründet wurde dies mit dem geringen Schaden, der in der Vergangenheit eingetreten war. Dies war richtig, weil da standen dort noch keine Häuser und wohnten dort keine Leute, so dass kein großer Schaden eintreten konnte.

Die Gemeinde hat die neuen Baugebiete auch jahrelang gefeiert, Herr Marratier wurde mehrfach wiedergewählt, und – vielleicht gibt es ja auch eine persönliche Verantwortung derer, die dort gebaut haben und hingezogen sind – von den Bauherren intensiv bedrängt, die Baugenehmigungen zu erteilen. Bei schönem Wetter ist das ja auch angenehm, so nah am Wasser gebaut zu haben. La Faute-sur-mer galt als prosperierende Gemeinde, die zeigt, wie man’s macht.

Das Urteil vom 12. Dezember 2014 stellt nun eine eindeutige Verantwortung des Bürgermeisters fest. Angesichts der Berichte im Le Monde zum Prozess erscheint dies eindeutig nachvollziehbar, denn offenbar haben die Gemeindevertreter und zuallererst der gewählte Bürgermeister alles getan, um die Bedenken der zuständigen Behörden und einer Minderheit engagierter Bürger abzutun und die Freigabe der Niederung für die Bebauung zu erreichen. Als der Sturm und das Wasser kamen, war der Bürgermeister überfordert.

Es gibt sehr viel daraus zu lernen oder zumindest zu beachten in der Position eines Sicherheitsverantwortlichen oder Notfallmanagers:

  • Die eigenständige Verantwortung eines Sicherheitsbeauftragten, ISO, BCM, Notfallmanager ist notwendig um eine sachlich angemessene Risikobewertung zu erhalten. In sehr kleinen Gemeinden, pardon, Unternehmen kann dies an der Personalausstattung scheitern. Das Beispiel zeigt aber, dass nicht jeder dem Interessenkonflikt gewachsen ist zwischen kurzfristigen wirtschaftlichen oder Imagegewinnen und der Wahrung der Sicherheit.
  • Der Impact oder die Schadenshöhe, die aus bisher bekannten Ereignissen abgeleitet werden, müssen unter aktuellen Bedingungen und mit Rücksicht auf aktuelle Planungen revidiert werden. Es reicht nicht, um der Norm zu genügen, regelmäßig einmal im Jahr die Risikobewertungen und Notfallpläne förmlich anzuschauen und das Review-Häkchen zu setzen. Wer sich dabei seiner Verantwortung im K-Fall bewusst ist, wird sich die Notwendigkeit auch nicht mit knappen Budgets weg reden lassen.
  • Ein klares Signal an alle Manager on Duty (MoD), Krisen- und Notfallmanager im K-Fall:
    Menschen schützen hat oberste Priorität. Bis jetzt habe ich auch nur Richtlinien gelesen, die dieses Prinzip ganz nach vorne stellen. Aber im K-Fall wird auch schon mal versucht, noch ein Asset zu retten. So wird es gerne gesehen, wenn Mitarbeiter bei Übungen wie im Ernstfall noch schnell ihr Notebook einpacken und es mitnehmen. In einem zweistöckigen Bürogebäude mag dies meistens gut gehen, aber ich vertrete immer wieder die Regel, dass jede Person nur das mitnehmen soll, was sie für die eigene Sicherheit braucht. Dazu gehört im Winter durchaus Mantel, Schal, Mütze … aber nicht das Notebook.
  • Dazu gehört auch: Man kann alles delegieren, nur nicht die Verantwortung. Manchmal, offenbar dann, wenn wirklich eine Katastrophe eingetreten ist, kann es passieren, dass man dann sogar zur Verantwortung gezogen wird. Dies sollten Sicherheitsbeauftragte wissen, genauso wie Vorstände und Geschäftsführer. Selbst eine Versicherung kann nicht vor Strafe schützen.

Es ist gewiss nicht die Aufgabe eines ISO oder Notfallbeauftragten, Arbeitssicherheitbeauftragten oder eines Revisors, (aus Angst) alles zu unterbinden, was irgendwie riskant erscheint. Aber wenn ein gravierendes Risiko erkannt wurde, dann gehört zu der Aufgabe auch das nötige Rückgrat, dies fachlich und kommunikativ kund zu tun und eine angemessene Behandlung (treatment) durchzusetzen.

Quellen

Le Monde 28.09.2014 (Artikel in der Online-Ausgabe sind außer für Abonnenten leider nur zeitlich begrenzt erreichbar.)
13.12.2014

ARD

taz 23.12.2010

openstreetmap

Advertisements

Author: TTeichmann

IT is my business since 1985, focused on IT security since 1999. I built up several IT networks as security based architectures. In 2007 business continuity management came into my portfolio. I feel open minded, keeping an eye on things evolving, trying to find solutions that meet business needs while security requirements are kept high. ITsec, ITSCM and BCM are necessarily part of cost efficient IT delivery today.

Comments are closed.