Am Katzen- oder am Vorstandstisch

27.10.2017 Bildung

Die Rolle des Sicherheitsverantwortlichen wird sich verändern – aber wie? Von Peter Niggl

Denn im deutlichen Kontrast zu allgemeinen Sicherheitsbekundungen erleben die CSO derzeit nicht gerade eine Aufwertung ihrer Position in den Unternehmen. Manche landen – wie es ein Fachmann despektierlich umschrieb – im Facility Management. Vielerorts bleibt die IT-Sicherheit im Betrieb eine eigene Community, obwohl das im Endeffekt heißt die Überwacher müssen sich selbst überwachen. Nicht immer die ideale Voraussetzung.

Nächster Prüfstein: Compliance. Noch immer wird Compliance nicht selbstverständlich bei der Corporate Security angesiedelt, obwohl die zahlreichen Schnittstellen unübersehbar sind. Die Rheinische Fachhochschule Köln bietet explizit einen Masterstudiengang „Compliance and Corporate Security (LL.M.)“ an und betont, „dass zum einen Compliance nicht von Security zu trennen ist.“ Beide Elemente seien, so die Fachhochschule in der Studienbeschreibung, „wesentliche Bestandteile effektiver Unternehmensführung.“ Schnell ist die Grenze zwischen netter Geste und einer Bestechung überschritten. Und spätestens dann wird die Compliance-Angelegenheit ein Fall für den CSO.

Es ist noch immer in hohem Maße der persönlichen Kompetenz desjeweiligen CSO geschuldet sein, welches Gewicht sein Wort in den Unternehmensentscheidungen erhält. Je mehr er (oder sie) Gefahren oder Schadensfälle aus eigener Kenntnis zu beurteilen vermag, umso größer zweifellos der eigene Stellenwert.

Hier aber liegt gerade die Krux. Bei zahlreichen Herausforderungen kann auch der versierteste CSO nicht auf Erfahrungswerte oder gesicherte Beurteilungen zurückgreifen. Allein der Rückblick auf die jüngste Vergangenheit offenbart ein Bündel an Überraschungen, das die Sicherheitsverantwortlichen in den letzten Jahren vor neue, nicht planbare Situationen gestellt hat.

Etwas euphemistisch wird in dem bereits zitierten Kompetenzatlas zum gegenwärtigen Stand der Qualifizierung der Sicherheitsverantwortlichen festgestellt: „Die Qualifikation und Ausbildung des Personals genügen noch nicht überall den Anforderungen einer modernen Corporate Security. Dies betrifft nicht nur die internen und externen Sicherheitsfachkräfte, sondern auch das strategische Personal in den Sicherheitsabteilungen. So müssen zum Beispiel unternehmensinternes Know-how im Bereich Management und Geschäftsprozesse ebenso erworben werden wie Wissen auf dem Gebiet der Cyber Security.“

Um die Anforderungen an den CSO von morgen in einem groben Rahmen abzustecken, müssen die Gefahren und Risiken, die auf ein Unternehmen zukommen, erkannt und definiert werden. Ein nicht ganz einfaches Unterfangen. Viele Spezialisten lassen, getrieben von der eigenen fachlichen Ausrichtung, vor allem da schwarze Wolken am Himmel aufziehen, wo es ihren Interessen besonders dienlich scheint – beispielsweise der IT-Sicherheit.

So wichtig dieses Thema auch ist, müssen doch die Gefährdungen für die Unternehmen in Zukunft komplexer gesehen werden. Vor allem – so betonen Fachleute immer häufiger – greifen die einzelnen Angriffsarten immer mehr ineinander.

Wer sich die Mühe macht und regelmäßig Jobangebote für CSO-Stellen im Internet studiert, wird verwundert feststellen, dass sich am Anforderungsprofil wenig geändert hat.

Rasant änderten sich hingegen in den letzten Jahren die Rahmenbedingungen für Unternehmen. Für die Global Player sind die Rutschflächen auf dem internationalen Parkett deutlich größer geworden. Vieles davon lag außerhalb der Berechenbarkeit.

Wer kann von sich behaupten, zu Beginn der jetzt zu Ende gehenden Legislaturperiode einen US-Präsidenten Donald Trump, den Austritt der Briten aus der EU, der Ukraine-Konflikt und die Russland-Sanktionen, die schweren Verwerfungen mit der Türkei oder die innenpolitische Zerreißprobe durch die Flüchtlingsströme vorausgesehen zu haben? Jede einzelne dieser Entwicklungen markiert geradezu tektonische Verschiebungen in der Sicherheitsgeografie. Nur ein unverbesserlicher Optimist, mag sich einreden, dass damit das Schlimmste überwunden sei und in Zukunft in ruhigerem Fahrwasser zu navigieren möglich sei. „Spiegel-Online“ beschwor vor kurzem die Gefahr, dass jetzt auch „Polen aus der EU stolpern könnte.“ Damit wird deutlich, dass auch in scheinbar ruhigen Gefilden böse Überraschungen lauern können, die die Unternehmenssicherheit in höchstem Maße tangieren.

Mehr als die Konzerne können solche Entwicklungen die sogenannten Hidden Champions, international aufgestellte Mittelständler treffen. Sie verfügen meist nicht über ein Team von Sicherheitsexperten und müssen aber nicht nur ihre Kronjuwelen unter Verschluss halten, sondern auch ihre Mitarbeiter und die Betriebsabläufe in Ländern schützen, in denen sich teilweise dramatische Veränderungen vollziehen. Oder sie müssen sogar in „gescheiterten Staaten“ vor Ort sein, in denen die staatlichen Sicherheitsorgane diese Bezeichnung kaum noch verdienen.

Vor dem weltumspannenden politischen Klimawandel kann sich kaum ein Unternehmen wegducken. Wenn beispielsweise der US-Präsident in seinen kruden Polit-Thesen – die er bevorzugt via Twitter der Welt kundtut – allen Staaten, die Wirtschaftsbeziehungen zu Nordkorea unterhalten mit Boykott droht, dann mag dies für manche zum medialen Stirnrunzeln und zur Prognose des baldigen Endes der Ära Trump gereichen. Solche grobschlächtigen Androhungen könnten jedoch, in die Realität umgesetzt, deutsche Unternehmensstrukturen ins Mark treffen. Trump zielte auf die weltgrößte Volkswirtschaft im Reich der Mitte. China ist größter Handelspartner Nordkoreas und zugleich ein wichtiger für Deutschland. Mit einem Handelsvolumen von 169,9 Mrd. Euro wurde China 2016 der wichtigste Handelspartner Deutschlands. „Derzeit sind in Deutschland rund 900 chinesische Unternehmen tätig. Dem stehen über 5.000 deutsche Unternehmen in China gegenüber“, vermerkt das Außenministerium auf seiner Website.

Deshalb wird das Feld globaler unternehmerischer Aktivitäten schon in naher Zukunft mehr und mehr auch die Aufgaben des CSO (oder desjenigen, der diese Aufgabe ausfüllt) auch in den KMUs bestimmen. So kann, auch ohne die Glaskugel zu bemühen, vorausgesagt werden, dass der CSO von morgen in höchstem Maße ein politischer Mensch sein muss; ohne sich jedoch in den Schützengräben parteipolitischer Plänkeleien zu verlieren. Bei den großen strategischen Entscheidungen sollte er also nicht am Katzen- sondern am Vorstandstisch platznehmen.

Bestes Beispiel ist gegenwärtig die Türkei. Die Zahl deutscher Unternehmen bzw. türkischer Unternehmen mit deutscher Kapitalbeteiligung in der Türkei liegt nach offiziellen Angaben bei über 6.800.  Während auf der politischen Bühne Schaukämpfe über den Umgang mit dem autokratisch agierenden Präsidenten Erdoğan ausgetragen werden, mit kaum messbaren Ergebnissen, müssen zahlreiche Sicherheitsverantwortliche in Konzernen und international agierenden KMU schnell zu tragfähigen Einschätzungen kommen, wie es um ihre türkischen Unternehmensteile und vor allem die dortige Belegschaft bestellt ist.

Ein Szenarium, das keinesfalls aus der Luft gegriffen, sondern längst Realität ist. Das Portal „WeltN24“ beschrieb Ende Juli einen exemplarischen Fall. Willi Bock, Sprecher der Messe München, „wollte wissen, ob die Türkei nun auch ihn und seine Firma für Terrorhelfer hält. Also rief er das Bundeskriminalamt an, das bayerische Landeskriminalamt, das bayerische Wirtschaftsministerium, einige Wirtschaftsverbände und schließlich auch die Münchner Polizei.“ Erdoğans schwarze Liste verunsichert deutsche Unternehmen und verdeutlicht gleichzeitig, wie Firmen Opfer politischer Geiselnahmen werden können. In einer solchen Situation wird der CSO weit über das bisherige Maß hinaus zu einer strategischen Instanz im Unternehmen.

Wie viele derartige Herausforderungen in den kommenden Jahren auf die Sicherheitsverantwortlichen zukommen, kann keiner voraussagen, wohl aber, dass sie nicht weniger werden.

Es kann kaum ein Zweifel darüber bestehen, dass auf dieser Ebene den Unternehmen größtes Ungemach droht.

Dass viele Sicherheitsbereiche dieser politischen Großwetterlage unmittelbar nachgeordnet sind, lässt auch an den Hackerangriffen von Erdoğan-treuen Cyberpiraten vom März dieses Jahres ablesen. Kriminelle IT-Attacken – wie die zur Erpressung gedachte Ransomware „WannaCry“, die am 12. Mai dieses Jahres 230.000 Computer in 150 Ländern okkupierte – können in ganz neuen strategischen Dimensionen eingesetzt werden. 

Für einen CSO kommt es in Zukunft nicht allein darauf an, die digitalen Einfallstore vor jeder Art von Schadsoftware dicht zu halten, es wird die große Kunst der Sicherheitszukunft sein, die Absichten der Angreifer frühzeitig zu erkennen und zu durchkreuzen. Rein kriminelle und staatlich initiierte Cyberattacken werden sich in Zukunft mehr und mehr vermischen. Den „Dienstleistern“ für das Verbreiten von Malware ist es im Grunde genommen gleichgültig, wer ihr Knowhow in Anspruch nimmt.

Der Sicherheitsverantwortliche wird über die speziellen Aufgaben der IT-Abteilung hinaus deshalb in Zukunft die Kombination von Hackerangriffen und personellen Schwachstellen im Blick haben. Ein schwieriges Unterfangen. Ein Sicherheitsverantwortlicher kann beispielsweise nicht alle türkischen oder türkischstämmigen Beschäftigten unter Generalverdacht stellen, sie könnten als Parteigänger Erdoğans bestrebt sein, ein von Ankara angefeindetes Unternehmen zu schädigen.

Auf diesem Wege führt das Ressort des Sicherheitsverantwortlichen direkt in die Personalabteilung. Die Internationalisierung des Arbeitsmarktes – besonders bei exponierten Tätigkeiten – birgt die Gefahr, auch auf der Seite des Personals mit unerwünschten Nebenwirkungen konfrontiert zu werden. Wem gehört die Loyalität der Beschäftigten, wenn Konflikte eskalieren? Um beim Beispiel Türkei zu bleiben: Bei der Neuwahl zum türkischen Parlament im November 2015 stimmten knapp 60 Prozent der in Deutschland lebenden Türken für Erdoğans Partei, die islamisch-konservative Partei AKP. Wie würden sich Teile derer verhalten, wenn ihre Ikone sie zu Aktionen aufruft? Dies müssen nicht unbedingt strafbewehrte Taten sein, allein Streiks reichten aus, um unliebsame Unternehmen empfindlich zu treffen. Merkur.de bezeichnete das Potenzial als „Erdoğans aufgeheizte Stellvertreter.“ Und Focus-online ergänzt: „Unter deutsch-türkischen Anhängern des Präsidenten Recep Tayyip Erdoğan kursieren Listen von Firmen, bei denen man nicht mehr einkaufen soll.“

Das alles rundet das Bild ab, wie schnell Kraftmeiereien der „großen“ Politik in Unternehmen spürbar werden kann.

Nicht nur Länder, die sich in mehr oder minder offener Distanz zu Deutschland oder der EU befinden, bergen Risiken, die für einen Sicherheitsverantwortlichen zur Herausforderung werden können. Beispiel Brasilien. „Brasilien ist das einzige Land in Lateinamerika, mit dem Deutschland seit 2008 durch eine strategische Partnerschaft verbunden ist“, betont man im Auswärtigen Amt in Berlin. Muss aber gleichzeitig darauf hinweisen, dass wegen „der aktuellen politischen Lage“ in dem größten lateinamerikanischen Land „weiterhin - auch unangekündigt - Demonstrationen erwartet (werden), bei denen teilweise gewalttätige Ausschreitungen nicht ausgeschlossen werden können. Dies gilt insbesondere für die Hauptstadt Brasilia, São Paulo, Rio de Janeiro sowie daneben für andere Großstädte des Landes.“ Auch hier ist ein CSO gefragt, der über mehr als nur allgemein zugängliche Informationen zur Entwicklung im Land am Amazonas verfügt.

Internationales Denken ist jedoch nicht nur bei „Auslandseinsätzen“ gefragt. Der CSO von morgen wird es mit einer nie vorher dagewesenen interkulturellen Belegschaft zu tun haben. Ob Arbeitsmigranten, Flüchtlinge oder gezielt angeworbene Spezialisten, der Erfolg von Unternehmen wird in hohem Maße auch davon abhängen, inwieweit es in der Lage ist, Menschen unterschiedlichster Ethnien und kultureller Wurzeln zu einem Team zusammenzufügen. Nicht jeder Konflikt der dabei entsteht ist sofort ein Fall für den CSO, Missverständnisse und daraus entstehende Differenzen sind unausbleiblich. Die Kunst des CSO wird darin bestehen, mit feinem Gespür zu erkennen, wann Animositäten im Unternehmen die politische Großwetterlage wiederspiegeln und aus dem Ruder zu laufen drohen.

Der Quintessenz aus dem Kompetenzatlas ist sicherlich zuzustimmen, wenn dort festgestellt wird: „Der moderne CSO wird vom einstigen Wächter über physische Unternehmenswerte zum global denkenden Business Advisor, der Teams mit Mitarbeitern unterschiedlicher Kulturen, Mentalitäten und Qualifikationen führt.“

Eine Hochschulqualifikation ist dafür sicher Voraussetzung. Ausreichend ist sie auf keinen Fall. Führungsstärke lernt man nicht allein im Hörsaal. Das Gespür im Umgang mit anderen Mentalitäten erlernt man am besten vor Ort. Auslandserfahrung dürfte in der Vita des kommenden CSO eine wichtige Rolle spielen, dabei dürfte die militärische nicht mehr die wichtigste sein. Der Manager und Mediator ist gefragt. Führungsstärke macht sich nicht an Befehlsebenen fest. Wie in der Wirtschaft insgesamt, gewinnt die Mehrsprachigkeit eine immer größere Bedeutung.

Last but not least: Der CSO muss die Unternehmensphilosophie und -strategie aus dem Effeff kennen und verinnerlicht haben, um seine Maßnahmen und Entscheidungen darauf abzustimmen.

Für solche ebenso schwierigen wie verantwortungsvollen Aufgaben gewinnt man sicher leichter Spezialisten, wenn sie nicht am Katzentisch sitzen müssen, sondern am Vorstandstisch einen Stuhl haben.

Zurück