Unternehmenssicherheit: Resilienz für die Polykrise stärken

Jens Greiner: Die jüngsten Krisen haben gezeigt, dass eine robuste und flexible Unternehmenssicherheit von großer Bedeutung ist und das Feld so wieder in den Fokus gerückt ist. Unternehmen, die bereits systematisch Resilienzen ausgeprägt haben und dazu auch die Unternehmenssicherheit involvieren, konnten sich besser anpassen und ihren Betrieb aufrechterhalten. Das galt umso mehr, je etablierter und integrierter die verschiedenen Facetten der Unternehmenssicherheit sind – also beispielsweise Sicherheitslagemanagement, physische und personelle Sicherheit, die Lieferkettensicherheit oder das Notfall- und Krisenmanagement. Ebenso relevant ist, wie intensiv die Security-Experten in die aktive Resilienzarbeit eingebunden sind. Die Sicherheitsrisiken bleiben anhaltend vielfältig und anspruchsvoll. Aus unserer Sicht bewährt sich die Unternehmenssicherheit häufig bei Krisenlagen und risikoreichen Entwicklungen – dafür ist sie qualifiziert. Umso wichtiger ist, die Unternehmenssicherheit in der Polykrise fähigkeitsorientiert als Resilienzspieler einzusetzen.

Jens Greiner: Definitiv. Die jüngsten Krisen waren ein erneuter Weckruf für die Relevanz einer schlagkräftigen Unternehmenssicherheit samt Krisenmanagementfähigkeiten. Letztere sind von zentraler Bedeutung für Schutz und Resilienz von Unternehmen. Damit ist das Bewusstsein für den Stellenwert der Funktion aus unserer Sicht gestiegen – aber die Position der Corporate Security ist definitiv noch kein Konsensthema unter Führungskräften.

Gunar Korm: Corporate Security umfasst alle Funktionen, Fähigkeiten und Programme, welche für die umfassende und gesamtheitliche Absicherung von Unternehmen, ihrer Werte sowie des Geschäftsmodells erforderlich sind. Darin inbegriffen sind die Dienstleistungen externer Lieferanten, deren Unterstützung und Steuerung nötig ist, um Schutzziele zu erreichen. Um die verschiedenen Sicherheitsherausforderungen beantworten zu können, braucht es auch konkrete Schutzmaßnahmen, wie zum Beispiel physische Sicherheit von einzelnen Gebäuden und ganzen Industrieanlagen, Schutz gegen Cyberbedrohungen, Datenverlust oder gar Sabotage und Spionage. Auch Krisenmanagement und eine umfassende Identifizierung und Steuerung von Sicherheitsrisiken gehören zum Standardrepertoire einer Corporate Security, die das Unternehmen bestmöglich auf potenzielle Angriffe und Schäden vorbereiten kann. Ziel ist ein ganzheitliches und globales Sicherheitskonzept, das den Schutz von Mitarbeitenden, Kunden, Geschäftspartnern und Vermögenswerten sowie die Reputation des Unternehmens gewährleistet. Sie muss allen involvierten Stakeholdern gerecht werden.

Jens Greiner: Entscheider nehmen das Thema Sicherheit nicht länger als puren Kostentreiber oder Hemmschuh, sondern positiver als schützendes und stützendes Element für das Geschäft wahr. CSOs – also Chief Security Officers – und die restliche Führungsetage sind sich überwiegend einig, dass die Unternehmenssicherheit in der ganzen Organisation ein „Business Enabler“ ist. Besonders interessant: Zwar ist der wahrgenommene Reifegrad der Corporate Security ausbaufähig – nur 53% der CSOs und 44% der übrigen C-Suite halten sie für „etabliert" –, dennoch gehen die meisten der C-Suite und CSOs davon aus, dass ihr Corporate-Security-Betriebsmodell künftigen Herausforderungen gewachsen ist. Für die nächsten Jahre stehen Cyberkriminalität, Ressourcenknappheit und Lieferkettensicherheit ganz oben auf der Agenda. Damit wird insbesondere die interdisziplinäre Zusammenarbeit mit weiteren Managementfunktionen, wie etwa IT, Personal, Recht oder Logistik an Bedeutung gewinnen.

Gunar Korm: Diese Zahl erzählt nur die halbe Geschichte. Denn rund jedes fünfte Unternehmen hält den Reifegrad seiner Sicherheits-Funktion für „fortgeschritten“ – und schätzt ihn damit besser als nur „etabliert“ ein. Die strategische Ausrichtung der Sicherheitsleistungen macht den Unterschied. Die Herausforderung ist, das eigene Unternehmen vollständig zu erreichen – global, regional, lokal – und gleichzeitig Flexibilität auf einem hohen Reifegrad zu bieten. Im Grunde wollen beide Seiten dasselbe: einen sicheren Betrieb für ihr Unternehmen. Die Wege dahin sind jedoch oft heterogen und hindernisreich: Häufig stellen sich der Corporate Security in der Ausgangslage Hürden wie begrenzte Finanzressourcen und Ausrüstung, ein stetiger Weiterbildungsbedarf des Sicherheitspersonals und die Notwendigkeit, unmittelbar auf Vorfälle reagieren zu müssen. Also eher ungünstige Rahmenbedingungen. Hier wird dann oft unterschiedlich priorisiert. Corporate Security ist ein Life Cycle, denn fortwährend müssen Schutzmaßnahmen auf Effektivität und Effizienz evaluiert werden, um Wirksamkeit kosteneffizient entfalten zu können.

Gunar Korm: Priorisierung und Flughöhe in der Betrachtung sind hier die entscheidenden Stichworte. Während CSOs sich hauptsächlich auf die operative Umsetzung und das tägliche Management von Sicherheitsrisiken und potenziell relevanten Bedrohungsszenarien konzentrieren, hat die C-Suite unserer Erfahrung nach eher Geschäft und Wachstumschancen im Blick als die reine Absicherung der Geschäftsmodelle. Die Auswirkungen von Sicherheitsrisiken auf die Geschäftsergebnisse verortet die C-Suite beim CSO. Dies kann dazu führen, dass sie unterschiedliche Ansichten über die Dringlichkeit bestimmter Sicherheitsrisiken, notwendige Investitionen, aber auch konkrete Maßnahmen haben.

Jens Greiner: Erstens ist sicher wichtig, dass die CSOs immer wieder „Air Time” beim Top-Management erhalten – für einen kontinuierlichen Austausch mit der C-Suite über Herausforderungen, Risiken und Maßnahmen der Security. Zudem könnten CSOs auch mehr über die speziellen Fähigkeiten und Qualitäten der Sicherheitsteams sprechen und berichten – also vermitteln, wie die Unternehmenssicherheit „tickt“ und funktioniert. Zweitens bieten sich auch Schulungen und Übungen in puncto Security, aber auch Krisenmanagement an, um die Zielgruppe „Top-Management” für Sicherheits- und Krisenvorsorge zu sensibilisieren. Drittens ist aber auch klar: Das Top-Management hat nur begrenzt Zeit und genau deshalb müssen CSOs wohl dosiert, präzise und effizient informieren und kommunizieren. Ein über den C-Level-Dialog hinausgehendes Stakeholdermanagement hilft oft, das Zielverständnis zu schärfen und das gemeinsame Commitment „pro Security” zu stärken.

Gunar Korm: Das Sicherheitsrisikomanagement basiert auf einem umfassenden Verständnis der Assets und kritischer Unternehmensbereiche. Denn wer Geschäftsmodell und Assets verändert, beeinflusst auch das Sicherheitsrisiko. Daher kommt es vor allem auf einen systematischen Prozess an, um Sicherheitsrisiken zu überprüfen und zu bewerten. Dieser Prozess beginnt mit der Identifizierung und Einstufung der Assets und führt weiter zu Bedrohungen, die Schwachstellen in den Asset-bezogenen Sicherheitskontrollen ausnutzen.

Die Folge sind unterschiedliche Konsequenzen und mögliche Schäden, die in Sicherheitsrisiken beschrieben werden können. Spezifische Schutzmaßnahmen helfen, die Sicherheitsrisiken zu regulieren und in ein für die Verantwortlichen akzeptables Niveau einzugrenzen. Im Ernstfall lassen sich Folgeereignisse so minimieren, um Geschäftsprozesse, Kunden- und Mitarbeitendendaten sowie den Ruf des Unternehmens zu schützen. Ein engagiertes Top-Management und eine offene Kommunikation über Sicherheitsrisiken und -maßnahmen innerhalb des Unternehmens helfen, das Bewusstsein für die Relevanz des Themas ganzheitlich zu steigern. Die zielgruppengerechte Kommunikation der Sicherheitsrisiken, auf taktischer, operativer und strategischer Ebene, schafft Transparenz und eine Sicherheitskultur im Unternehmen. Dies bietet aber auch Chancen für Investitionen, welche die Geschäftsführung möglicherweise ohne Wissen um die tatsächlichen Sicherheitsrisiken gemieden hätte. Somit kommt der Unternehmenssicherheit eine Schlüsselfunktion zu, die über das Sicherheitsrisikomanagement erfüllt wird.

Gunar Korm: Durch den Einsatz von Technologien wie Künstlicher Intelligenz und maschinellem Lernen können Unternehmen Bedrohungen automatisiert überprüfen und überwachen; die Reaktionszeit sinkt, die Vorbereitungszeit steigt. Die digitale Transformation ermöglicht der Corporate Security neue Fähigkeiten, um das Unternehmen abzusichern und über Daten besser zu verstehen.

Die Grundlage ist aber immer eine Strategie zur digitalen Transformation, in der die Corporate Security das Zielbild an neue Fähigkeiten, die neue Servicearchitektur und den zeitlichen Weg formuliert. Alle Schutzmaßnahmen, Aktivitäten und Prozesse müssen Daten liefern, die durch die Corporate Security dann ausgewertet werden. Das Dienstleistungsmodell muss einen „Data First”-Ansatz beinhalten, in dem zuerst eine Datensammlung und -analyse vor physischen Maßnahmen stattfindet. So lassen sich Schwachstellen und komplexe Sicherheitsrisiken in einer neuen Informationstiefe wahrnehmen. Daraus entstehen oft Überraschungseffekte, die eine disruptive Veränderung und Erneuerung für das Sicherheitskonzept mit sich bringen. Sicherheit wird so neu erfasst und zur Absicherung des Unternehmens gesteuert.

Digitale Transformation ist allerdings kein Kurzzeitprojekt, das sich durch eine Handvoll Software-Lösungen realisieren lässt. Sie ist ein langfristiger Lernprozess, der auch ein vielseitiges Corporate-Security-Team benötigt. Es ist die Kombination einer Vielzahl von Erfahrungen, Wissen und Fähigkeiten, die eine Transformation zum Erfolg führt und von CSOs gesteuert werden muss.

Jens Greiner: Mit Blick auf das aktuelle Zeitgeschehen beziehungsweise die mittlerweile häufiger zitierte „Zeitenwende” erhält die klassische physische Sicherheit definitiv einen neuen Schub – ein echtes Comeback. Das heißt aber nicht, dass die digitale Sicherheit dadurch an Bedeutung verliert – im Gegenteil. Die Cyberkriminalität nimmt weiter zu – genau wie die regulatorischen Anforderungen und auch die sich weiterhin rasant entwickelnde Digitalisierung von Geschäftsmodellen. Die hybride Bedrohungslandschaft bleibt volatil, hinzu kommen immer komplexere Angriffstechniken. Konstant ist nur der Wandel. Um ihrer Wahrnehmung als „Business Enabler“ weiterhin gerecht zu werden, muss das Ziel eine agile Unternehmenssicherheit sein, die nicht nur auf sich ständig ändernde Bedürfnisse und Herausforderungen reagiert, sondern sie flexibel vorausdenkt. Resilienzstütze sein, Digitalisierung vorantreiben und kontinuierliche Verbesserung forcieren – darauf wird es ankommen.