Corporate Security 4.0 - Einflussfaktoren und Anforderungen

Das Forschungsdesign der Sicherheitsstudie mit dem Titel „Corporate Security 4.0 - Einflussfaktoren und Anforderungen“ orientierte sich an der Delphi-Methode und gliederte sich in sieben Phasen, die von den Mitgliedern der RC Security (siehe Textbox), insbesondere im Rahmen von vier virtuellen Workshops, unterstützt wurden.

Im Mittelpunkt des gewählten Mixed-Methods Ansatzes standen mündliche und schriftliche Befragungen eines Experten-Panels aus Vertretern verschiedener Disziplinen; in zwei Befragungswellen wurden künftige Einflussfaktoren auf die Sicherheit von international tätigen Unternehmen und die resultierenden Anforderungen an die betrieblichen Sicherheitsfunktionen (Schwerpunkt: Corporate Security) ermittelt, diskutiert und bewertet. Das Experten-Panel war bewusst strukturiert und bestand aus zwei Hälften, deren unterschiedliche Sichtweisen und Einschätzungen in der Zukunftsstudie zusammengeführt wurden. Die „Außensicht – Non Security-Community“ steuerten 19 Personen bei, während die „Innensicht – Security-Community“ von 14 Personen eingebracht wurde. Die Auswertung der Interviews ermöglichte die Verdichtung gefundener Themencluster zu sechs Trendfeldern, die nach Einschätzung des Panels Einfluss auf die Sicherheit international tätiger Unternehmen haben beziehungsweise haben werden. Weiterhin gelang es, auch Themencluster zu den (künftigen) Anforderungen an betriebliche Sicherheitsverantwortliche zu finden und in fünf Handlungsfeldern zu verdichten.

Nach der Zusammenführung der Erkenntnisse aus mündlicher und schriftlicher Befragung erfolgte die Beschreibung von sechs Facetten eines Zukunftsbildes der „Corporate Security 4.0“: Digitale Transformation, Wandel der globalen Wirtschaft, Klimawandel, Wertewandel, Konvergenz der physischen und digitalen Welt und Cyber Threats. Drei dieser Facetten sind im Folgenden kurz dargestellt.

Inhaltlicher Schwerpunkt dieses Trendfelds ist die Digitale Transformation, die zu einer deutlichen Erhöhung der Komplexität der vernetzten Systeme führt. Sowohl deren Handling durch das Business als auch ihr Schutz durch die Sicherheitsverantwortlichen werden immer herausfordernder. Im Kontext der Weiterentwicklung und Nutzung der Künstlichen Intelligenz stehen Diskussionen und Entscheidungen an in Bezug auf „ethische KI“, die Technologie-Roadmap im Bereich Künstlicher Intelligenz und die Frage, wie man eine starke KI kontrollieren kann, die nicht nur analytisch, sondern auch generativ arbeitet. Die hohe Dynamik der technologischen Entwicklung wird vermehrt zu Kompetenzlücken im Unternehmen führen. Schon heute übersteigt beispielsweise in den Bereichen Big Data und Advanced Analytics die Nachfrage nach Data Engineers und Data Scientists das Angebot am Arbeitsmarkt.

Benötigt wird eine durchgängige Digitalisierungsstrategie für die Corporate Security - die im Einklang mit der Digitalisierungsstrategie des Unternehmens zu formulieren ist; in ihrem Kern ist auch die Konvergenz physischer und digitaler Sicherheit abzubilden. In dieser Strategie sollte auch die Nutzung moderner Technologien wie Data Analytics, Künstlicher Intelligenz und Drohnen für den Schutz des Unternehmens und seiner Geschäftsaktivitäten festgelegt werden. Für die Umsetzung dieser Strategie wird es unter anderem erforderlich sein, das Kompetenzportfolio der Corporate Security weiterzuentwickeln, neue Kompetenzprofile für Sicherheitsmitarbeiter zu erarbeiten und kontinuierlich bedarfsgerecht weiterzubilden.

Inhaltliche Schwerpunkte dieses Trendfelds sind zum einen die Zunahme von Polarisierung und Aggressivität in der Gesellschaft, eine wachsende Enthemmtheit und Eskalationsbereitschaft und ein schon seit Jahren andauernder Anstieg von Übergriffen an Arbeitsplätzen mit Kundenkontakt. Zum anderen zeigt es sich, dass die rasche Verbreitung „neuer Arbeitsformen“ wie zum Beispiel Homeoffice nicht nur im digitalen Raum, sondern auch in der physischen Welt neue Herausforderungen mit sich bringt. Hier treffen bekannte Bedrohungen unter anderem für die Informationssicherheit auf vorhersehbare Schwachstellen in zum Teil hierauf nicht vorbereiteten Schutzkonzeptionen und führen zu neuen Gefährdungen für Personen, Güter und immaterielle Werte. Interessante Diskussionen gab es zum Thema Risikokompetenz beziehungsweise der geringen Sensibilisierung für Sicherheitsrisiken bei Entscheidungsträgern und in der Bevölkerung allgemein sowie zur sinkenden Bereitschaft vieler Menschen, sich an (Sicherheits-)Richtlinien zu halten. Auch hier wurden unter anderem Parallelen zur Umsetzung von „Coronaschutzmaßnahmen“ identifiziert.

Beschäftigte an Arbeitsplätzen mit Kundenkontakt müssen wirkungsvoll vor Übergriffen geschützt werden. Hierfür gibt es unter anderem aus dem Kontext des „Aachener Modells“ viele praxisbewährte Handlungsempfehlungen für bauliche, technische, organisatorische und personelle Sicherheitsmaßnahmen. Die Covid-19-Pandemie und die zeitweilige Homeoffice-Pflicht brachten für viele Unternehmen den Anspruch, in ihren Konzepten zur Informationssicherheit und zur physischen Sicherheit auch das „massenhafte“ mobile Arbeiten von unterwegs und im Homeoffice zu berücksichtigen. In jedem Fall macht es der „Wertewandel“ erforderlich, die Sicherheitskultur im Unternehmen zu monitoren und durch regelmäßige, geeignete Maßnahmen gezielt weiterzuentwickeln. Gerade das mobile Arbeiten erfordert nicht nur eine vermehrte Selbststeuerung, sondern auch eine erhöhte Risikokompetenz der Beschäftigten.

Inhaltlicher Schwerpunkt dieses Trendfelds ist die Konvergenz von physischer und digitaler Welt, die noch nicht durch eine entsprechende Konvergenz von physischer und digitaler Sicherheit begleitet wird. Die Digitalisierung – unabhängig davon, ob sie sich nun inkrementell oder disruptiv entwickelt – wird als der wesentliche Treiber für das Zusammenwachsen von physischer und digitaler Welt gewertet. Wird nun die physische Sicherheit in Zukunft weniger wichtig? Gibt es eine „Verlagerung“ von Sicherheitsrisiken? Geht die Anzahl der Angriffe in der physischen Welt „wegen“ der vermehrten Bedrohungen in der digitalen Welt zurück? Hierzu gab es interessante Diskussionen in beiden Panel-Hälften. Zwar gibt es erste Annahmen dazu, in welchem Umfang sich welche Tätergruppen aus der physischen Welt zurückziehen um - nach einer entsprechenden „Ertüchtigung“ - künftig in der digitalen Welt zu zuschlagen. Allerdings legen der dramatische Anstieg der Fallzahlen, die zunehmende Professionalität der Angriffe, die niedrigen „Einstiegshürden“, die hohen Erfolgsaussichten und das niedrige eigene Risiko eher nahe, dass hier überwiegend andere, neue Akteure am Werk sind.

Die Unternehmen benötigen eine nachhaltige Strategie für das Zusammenwachsen von physischer und digitaler Sicherheit. Nachdem die physische und die digitale Welt immer stärker ineinandergreifen, haben die Angreifer die daraus resultierenden Chancen längst erkannt und suchen gerade an der Nahtstelle von physischer und digitaler Sicherheit nach Schwachstellen. Wichtiges Element einer ausgewogenen „Konvergenz-Strategie“ könnte der Aufbau interdisziplinärer Teams im Unternehmen sein, die sich ganzheitlich beziehungsweise integrativ um die Sicherheit des Unternehmens kümmern.

Die von den Mitgliedern der RC Security vorgenommene Auswahl von zehn Schwerpunkt-Anforderungen („Short-List“) wurde durch das Panel im Rahmen der zweiten Befragungswelle bewertet beziehungsweise priorisiert. Dabei erhielten die Handlungserfordernisse im Bereich der Konvergenz physischer und digitaler Sicherheit die höchste Priorisierung – knapp gefolgt vom Thema „Digitalisierungsstrategie für die Corporate Security“. Einige der im Verlauf der Interviews gewonnen Erkenntnisse waren „counterintuitive“ beziehungsweise unerwartet. Hier könnte unter anderem die weitere Forschung ansetzen:

Dr. Jürgen W.O. Harrer,  Research Coordinator Corporate Security & Resilience, Technische Hochschule Ingolstadt

Die Research Community Security (RC Security) ist ein von Dr. Jürgen Harrer initiierter und moderierter offener Arbeitskreis mit den Chief Security Officer internationaler Unternehmen, in welchem es um ausgewählte Fachthemen, künftige Entwicklungen und um den wechselseitigen Erfahrungsaustausch geht. Im Mittelpunkt steht die interdisziplinäre, zukunftsgerichtet Sicherheitsforschung mit betriebswirtschaftlichem Fokus; unter Anwendung wissenschaftlicher Methoden arbeitet man an neuen Erkenntnissen zu geschäftskritischen Herausforderungen, insbesondere in den Bereichen Risikofrüherkennung, digitale Transformation, Resilienz und Business Enabling. Aktuell engagieren sich folgende Unternehmen in der RC Security: Würth, Zeiss, Covestro, Henkel, Mercedes-Benz Group, Merck, Siemens und Volkswagen.

Im Vergleich zu anderen betrieblichen Funktionen stellt sich Corporate Security heute noch als eine eher theoriearme Praxis-Domäne dar. Nicht nur klassische Disziplinen wie Personal oder Controlling, sondern auch benachbarte Disziplinen wie Risk Management, Health und Safety oder Compliance erhielten in den vergangenen Jahrzehnten deutlich mehr Aufmerksamkeit in Forschung und Hochschulausbildung. Umso wichtiger erscheint es uns, die Erarbeitung wissenschaftlicher Grundlagen für die Corporate Security zu unterstützen und uns im Bereich der empirischen Sicherheitsforschung zu engagieren. Daher fördert Zeiss seit 2016 die Szenario-Forschung des Corporate Security Foresight Lab und bringt sich seit 2019 aktiv in die Arbeit der RC Security ein. 2021erarbeitete die Gruppe ein Zukunftsbild, das sich auf die sicherheitsrelevanten Herausforderungen und Handlungsbedarfe für die Corporate Security der nächsten drei bis fünf Jahre fokussiert.

Die Interviews mit dem interdisziplinären Panel brachten spannende Diskussionen und wertvolle Einsichten und der intellektuell anspruchsvolle Fragebogen zu 25 zukunftsgerichteten Thesen zeigte nicht nur Übereinstimmungen der befragten Experten, sondern zum Teil auch Polarisierungen – wie zum Beispiel zur Verfügbarkeit von Energie. Insbesondere die Erkenntnisse zu Cyber Threats und digitaler Transformation bestätigen uns, dass wir bei Zeiss auf dem richtigen Weg sind. Zugleich nehmen wir in der Ausrichtung der Corporate Security gerne neue Impulse auf, insbesondere in den Bereichen Wandel der globalen Wirtschaft, Klimawandel und Konvergenz der physischen und digitalen Welt. Ausgewählte Erkenntnisse dieser Studie fließen bereits heute in die strategische Planung der Corporate Security bei Zeiss ein.

Heiko Winkler, Head of Corporate Security, Carl Zeiss AG

Die erkannten Herausforderungen im Bereich Sicherheit wurden nach Abschluss der Delphi-Studie der RC Security um spezifische Themen aus dem Volkswagen Konzern und damit beispielsweise um Aspekte der konzernweiten Transformation und der Implementierung der Konzern Strategie „New Auto“, erweitert. Mit den Sicherheitsleitern der Marken und Gesellschaften im VW Konzern und darüber hinaus wurden die Treiber und das Selbstverständnis unserer Sicherheitsorganisation aus den Ergebnissen der RC Security Forschungsarbeit abgeleitet und für uns relevante Zukunftsthemen identifiziert, diskutiert und priorisiert. Dabei wurden die Forschungsergebnisse mittels einer Darstellung auf Basis zweier Bezugsdimensionen bewertet: Zum einen ein Bezugs- beziehungsweise Relevanzfaktor für den Konzern (Relevanz von innen nach außen), zum anderen die (potentielle) Dimension der Einflussnahme auf das Thema (durch eigenes Handeln)– aus Sicht des Konzerns beziehungsweise aus Sicht der Sicherheitsorganisation. Unbestritten steht die Automobilindustrie, neben anderen, im Fokus von Umwelt- und Klimaschützern, die lieber heute als morgen Emissionen auf null reduziert sehen wollen. Hier kommt Volkswagen, als einem der größten Autohersteller der Welt, eine besondere Verantwortung zu. Die Transformation „weg vom Verbrenner, hin zum E-Auto“ kostet den Konzern Kraft, Aufwand und Zeit. Ein dokumentierter Kausalzusammenhang zwischen „hohen Temperaturen und der Neigung zu Delinquenz“ macht den Klimawandel dabei auch zu einem Treiber in der physischen (Sicherheits-)sphäre. Hierdurch wie auch vor allem in Bezug auf den Faktor Zeit entstehen derzeit immense gesellschaftliche und politische Handlungserfordernisse für den Konzern, die voraussichtlich auch durch eine deutlich gesteigerter Aggressivität gegenüber Konzernorganen, Mitarbeitenden und anderen Gruppen begleitet werden. Daher haben wir beispielsweise frühzeitig damit begonnen, das Bedrohungsmanagement neuzugestalten und die Fähigkeiten zur ad-hoc Reaktion auf relevante Ereignisse anforderungsgerecht auszubauen. Erweitert betrachtet hat der Klimawandel für den Konzern und vor allem für die Sicherheitsorganisation noch zusätzliche „sekundäre“ Auswirkungen, wie beispielsweise einer Zunahme von Extremwettersituationen, denen mit Resilienz und Krisenfähigkeit angemessen begegnet werden muss. Die Verknüpfung der zielgerichtet analysierten Trendthemen, mit den daraus individuell abgeleiteten Handlungsoptionen für eine Sicherheitsorganisation, machen eine der Stärken der RC Security aus.

Andreas Maack, Chief Security Officer Volkswagen AG, Leitung Konzern Sicherheit

Die Sicherheitsabteilung der Siemens AG hat sich bereits vor der hier diskutierten Studie auf eine transformative Reise begeben. Teil dieser Reise ist auch die akademische Auseinandersetzung und Aufarbeitung der zukünftigen Herausforderungen und Anforderungen an die Sicherheit. Zurecht! Die Studienergebnisse liefern wertvolle Erkenntnisse auf vielen Ebenen. Hierbei waren unter anderem sowohl die in den Handlungsfeldern der Studie diskutierten externen als auch interne Veränderungstreiber und Trends Auslöser für diesen transformativen Aufbruch. Aus interner Sicht, bezeichnend hierfür sind zum Beispiel die doch fundamentale Neupositionierung der Siemens AG, der Carve Out von Siemens Energy und die damit verbundenen, über das gesamte Unternehmen hinweg stattfindenden Veränderungen in den Geschäftsfeldern, die sich zum Beispiel in der vor Kurzem stattgefundenen Präsentation des sogenannten Industrial Metaverse – zusammen mit Nvida – eindrücklich widerspiegelt. Alles Faktoren, die die Leistungserbringung einer Sicherheitsabteilung vor neue Herausforderungen stellen und somit Auswirkungen darauf haben, wie wir Sicherheit gewährleisten können, sollen und müssen. Die Sicherheitsabteilung lehnt sich hierbei radikal an der Unternehmensstrategie an, jedoch nicht einfach nur Top-Down, sondern entwickelt ihre Business Modelle um die einzelnen Sicherheitsthemen herum, die alle ihren wesentlichen Beitrag liefern. Im Zentrum steht dabei das Bekenntnis zu Mehrwert und Impact auf Seiten unserer Kunden. Das heißt, dass Themen wie die vielbesagte Konvergenz, die Notwendigkeit einer Digitalisierungsstrategie und kontinuierliche Innovation „Hot Items“ auf unserer Agenda sind. Themenschwerpunkte, die durch die Delphi-Studie zusätzlich untermauert wurden. Dabei verlieren die „klassischen Domänen“ (zum Beispiel Reisesicherheit, Krisenmanagement) nicht an Relevanz. Ganz im Gegenteil, sie sind die solide Grundlage und weiterhin ein maßgeblicher Teil unseres Kerngeschäfts, auf dem wir unsere transformativen Schritte ausführen. Kundenfokus bedeutet aber nicht, dass wir von nun an alle Wünsche unserer Kunden erfüllen beziehungsweise zu erfüllen haben, sondern, dass wir gemeinsam Lösungen für bestehende, sicherheitsrelevante Herausforderungen erarbeiten, dies im Rahmen einer ausgewogenen Governance, flexibel und fähig, den größtmöglichen Mehrwert und die bestmögliche Sicherheit für unser Unternehmen zu gewährleisten. Sprich, wir schützen nicht nur das Unternehmen und unsere Mitarbeiter/-innen, sondern unterstützen es auch dabei, neue Möglichkeiten am Markt zu eröffnen und zu wachsen. All dies wird zusätzlich technologisch unterstützt und getrieben, orientiert an einer klaren Innovations- und Digitalisierungsstrategie, konsequent über die gesamte Wertschöpfungskette hinweg, kontinuierlich, optimiert, innoviert oder gar disruptiv auf neue Ebenen gehoben. Digitaler Personenschutz oder Automatisierung durch Nutzung von Robotic Process Automation sind nur zwei von vielen Beispielen. Eine derartige Herangehensweise bedarf aber auch der kontinuierlichen kritischen Reflektion, Benchmarking, offener Auseinandersetzung und gemeinschaftlicher Entwicklung. Denn, wie Eingangs bereits erwähnt, all dies ist nicht eine einmalige Angelegenheit, sondern ein kontinuierliches Weiterentwickeln und ein für die Zukunft Vorbauen. Nicht zuletzt und jedenfalls nicht neu, aber doch oft vergessen in solchen Diskussionen, zentral für den Erfolg ist das dahinterstehende Team, jede(r) einzelne Mitarbeiter/-in, deren Beitrag, die eingebrachte Expertise, Mindset und die zugrundeliegenden Motivationen.

Gerald Ulmer, Head of Strategy & Digital Transformation (Security), Siemens AG