DAS GROSSE KRÄFTEMESSEN

08.08.2016 Allgemeines

Die Corporate Security muss sich nicht nur dem betriebsinternen Wettbewerb um Sicherheitsfunktionen stellen, sondern ihren Nutzen gegenüber dem Vorstand in Zahlen ausdrücken.

Altgediente Routiniers erinnern sich nicht ungern sich an jene Zeiten, als die klassische Unternehmenssicherheit mit ihren typischen Aufgabenfeldern noch allein auf weiter Flur war. Eine IT-Security und internetbasierte Risiken spielten praktisch keine Rolle, eine interne Revision im heutigen Sinne gab es allenfalls vereinzelt. Und von Compliance redeten allenfalls international orientierte Mediziner, die damit die Bereitschaft von Patienten umschrieben, sich an ärztliche Empfehlungen zu halten. Terrorismus trat vorwiegend als nationales Phänomen in Erscheinung und nicht als Kampfform gegen die westlichen Werte und Gesellschaften. Diese Zeiten sind ein für alle Mal vorbei. Neue Risikobilder, die früher noch nicht einmal ansatzweise eine Rolle spielten, greifen Raum.

IT-Security, interne Revision und Complianceabteilungen sind heute gewichtige Instrumente im Orchestarium der betrieblichen Sicherheit geworden. Das zwingt die Sicherheitsabteilungen, in weitaus stärkerem Maße zu kooperieren. Völlig autark arbeitende Konzernsicherheitsabteilungen, die quasi völlig losgelöst und reaktiv arbeiten, sind zur großen Ausnahme geworden. Eine stärkere Vernetzung kann durchaus ein sinnvoller Schritt sein, denn häufig haben Konzernsicherheit, Revision und Compliance zumindest in Teilbereichen ähnliche, sich überlappende Aufgabenfelder und Prüfungs- beziehungsweise Ermittlungsoptionen.

Konkurrenzsituation

Es darf aber dabei nicht übersehen werden, dass IT-Security, interne Revision und Compliance im Laufe der zurückliegenden Jahre allesamt entscheidende Schritte nach vorn gemacht und ihren innerbetrieblichen Stellenwert ausgebaut haben. Sinnbildlich sind aus früheren Mauerblümchen Popstars geworden. Dagegen stagniert die Business oder Corporate Security und wird mancherorts sogar zurückgefahren. Ein sinnfälliges Beispiel dafür ist, dass bei der Eingabe des Suchbegriffs „Sicherheit“ bei Google ganz überwiegend IT-Security-Inhalte erscheinen. Viele Unternehmensleiter sehen die Unternehmenssicherheit als notwendiges Übel und Kostenfaktor an. Nüchtern betrachtet, stellen IT-Security, interne Revision und Compliance, wenn auch oftmals unbeabsichtigt, somit eine Konkurrenz dar.

Das hat bereits zu ernsthaften Folgen geführt, die getrost als zumindest teilweise Marginalisierung der Unternehmenssicherheit bezeichnet werden können. Gerade im Zeichen der jüngsten NSASkandale wird der IT-Security oberste Priorität zugemessen, wobei vernachlässigt wird, dass auch hochgerüstete Spionageapparate nicht alles übers Internet richten können, sondern auch physische Zugänge und bewusste oder unbewusste Komplizen benötigen. Die Sensibilisierung für „Social Engineering“ etwa ist nicht unbedingt die Domäne von IT-Experten. Nehmen wir die Deutsche Telekom, die die zuvor voneinander unabhängigen Abteilungen IT-Sicherheit und Konzernsicherheit zusammengelegt hat, wobei der IT eine federführende Rolle zukommt.

In diesem Fall war offenbar die vordergründige Ähnlichkeit der Aufgabenfelder, zumindest auf der Metaebene, entscheidend. Dabei sind für IT-Security und Konzernsicherheit vielfach andere Herangehensweisen prägend, sodass es schon als Spagat anzusehen ist, beide Interessen, Anforderungen und Bedarfe zielführend unter einen Hut bekommen. Das dürfte bei der Deutschen Telekom dennoch gut funktionieren, denn der neue Sicherheitschef Thomas Tschersich vereint die Kompetenz und Erfahrung auf beiden Sicherheitsfeldern in sich.

Koordination, aber keine gemeinsame Leitung

In anderen Unternehmen ist die Unternehmenssicherheit in unterschiedliche Sparten aufgeteilt, was indirekt eine organisatorische Schwächung beinhaltet. So war die Unternehmenssicherheit eines namhaften Flugzeugherstellers jahrelang so organisiert, dass der personell nicht eben starken Corporate Security weder die physische Sicherheit noch die Außenstandorte unterstanden. Dies wurde erst im vergangenen Jahr geändert. In einem deutschen Technologiekonzern aus dem Hessischen arbeiteten bis heute Teilbereiche der Unternehmenssicherheit nebeneinander her. Es gibt zwar gewisse Koordinierungsfunktionen, aber keine gemeinsame Leitung.

Diese missliche Situation hängt unter anderem damit zusammen, dass es vielen Sicherheitsabteilungen und ihren Interessenvertretungen nur unzureichend gelungen ist, ein nachhaltiges Image aufzubauen. Dabei gibt es nach Aussagen von Klaus Stüllenberg, geschäftsführender Vorstandsvorsitzender des Instituts für Präventionsforschung und Sicherheitsmanagement (Münster), viele Aspekte, die die Unternehmenssicherheit in einem anderen Licht erscheinen lassen könnte.

So sei die gängige Auffassung, Corporate Security sei unproduktiv und lediglich ein Kostenfaktor, objektiv nicht haltbar. In den USA würden mit beeindruckenden Ergebnissen sogar Verkehrsunfälle und Straßenüberfälle darauf überprüft, was der Staat spare, wenn man sie verhindere. Mit ähnlichen Rechenbeispielen ließe sich auch im betrieblichen Kontext belegen, welche Kostenersparnis bereits durch Prävention und zielgerichtete Maßnahmen verhinderte Straftaten wie Diebstahl, Betrug, Unterschlagung oder passive Bestechung für das Unternehmen bedeute. Deshalb sind modern orientierte Sicherheitschefs sehr aktiv auf der Suche nach Möglichkeiten, Unternehmenssicherheit in Zahlen auszudrücken – denn das ist die Sprache, die Vorstände sprechen. Niemand könne davon ausgehen, dass die Unternehmensführung schon von sich aus wisse, was sie an der Corporate Security habe, macht Stüllenberg, maßgeblicher Autor und Herausgeber der Studie „Sicherheit zukunftsfähig managen“, deutlich. Die Zeit der Kuschelzonen sei vorbei. Vielmehr müsse die Unternehmensleitung vom Nutzen der Unternehmenssicherheit überzeugt werden. An die Stelle eines gefühlten „nice to have“ müsse ein überzeugtes „must have“ treten.

Querschnittsgarant

Wie der ehemalige Kriminalrat Stüllenberg erläutert, gibt es viele gute Argumente. So wandeln sich die Konzern- und Unternehmenssicherheitsabteilungen zunehmend vom erweiterten Werkschutz „zum Querschnittsgaranten für früh erkennende und eskaliert absichernde, nicht die Prozesse störende Sicherheitsstrategien und -maßnahmen, die mit den jeweiligen Fachressortverantwortlichen entwickelt und implementiert werden“, wie er in der Zukunftsstudie sperrig ausführt. „Die Erarbeitung, Sicherstellung und fortlaufende Anpassung solcher Standards, Unternehmens- wie Landeskultur berücksichtigend in den unterschiedlichen Standorten eines Unternehmens, ist eine ebenso große Herausforderung wie deren Implementierung und Gewährleistung bei Zulieferern und Logistikpartnern“. Den Wert eines solchen Frühwarn- und Früherkennungssystems kann auch ein ausschließlich auf den wirtschaftlichen Erfolg fokussierter Firmenchef nicht ignorieren. Allerdings gehört auch eine gewisse Kreativität auf Seiten der Sicherheitsabteilungen dazu.

Wenn, wie bei einem süddeutschen Automobilkonzern geschehen, ein Sicherheitschef die Forderung nach einer Einsparung von acht Prozent mit der Aussage pariert, dann könne die Sicherheit nicht gewährleistet werden, ist das Wasser auf die Mühlen der Skeptiker. Sinnvoller wäre es sicherlich gewesen, innerhalb einiger Tage aufzulisten, welche Kernbereiche vor dem Hintergrund der Einsparung nach wie vor gesichert werden können und welche nicht oder nur eingeschränkt.

Zurück