Brauchen Unternehmen einen CSO?
Ivo Pestel ist Leiter der operativen Sicherheit in der Konzernsicherheit der R+V Versicherung in Wiesbaden. Er ist seit fast 20 Jahren mit dem Thema Sicherheit beruflich verbunden. Gemeinsam mit seinem Team verantwortet er derzeit u. a. die Themen Standortsicherheit, Reisesicherheit, Ermittlungen, Bedrohungsmanagement, Vorstandsschutz, Veranstaltungsschutz und vieles mehr. Im Rahmen einer wissenschaftlichen Abschlussarbeit untersuchte Ivo Pestel den Bedarf einer gesetzlichen Regelung für den Aufgabenbereich eines Chief Security Officers aus Sicht von Großunternehmen in Deutschland. Für GIT SICHERHEIT hat der Autor das Thema aufbereitet. In diesem ersten von zwei Teilen geht es unter anderem um die Grundlagen des Wirtschaftsschutzes.
In einer immer volatileren globalisierten Welt, mit hochkomplexen Rahmenbedingungen, Bedrohungen und Krisen für Konzerne und Unternehmen, ist der Wirtschaftsstandort Deutschland auf Attraktivität, Stabilität und Sicherheit angewiesen. Der Wohlstand Deutschlands hängt unter anderem auch davon ab, ob sich Unternehmen und Konzerne in Deutschland in einem politisch und gesellschaftlich stabilen Umfeld entfalten können und ihrem Geschäftszweck und ihren Zielen nachgehen können. Sind die Herausforderungen zur Aufrechterhaltung des Betriebs zu hoch oder auf lange Sicht deutlich unattraktiv, werden unweigerlich Alternativen gesucht und möglicherweise andere Optionen außerhalb Deutschlands gewählt.
Der Schutz der Wirtschaft ist ein lohnendes Ziel für Staaten und Unternehmen zugleich. Der Staat profitiert von einem gesunden Kreislauf der Wertschöpfung und den einhergehenden Steuereinnahmen. Unternehmen ziehen aus einem intakten Wirtschaftskreislauf Gewinne und können Einfluss, Marktstellung, Marktmacht und -Anteile sowie Absatz weiter ausbauen. Dem entgegen stehen zahlreiche Probleme, wenn die sensiblen und komplexen Systeme durch verschiedene Einflüsse wie beispielsweise Spionage, Kriminalität, Sabotage, Know-how Abfluss, Cyberangriffe, Naturereignisse, Katastrophen oder Krisen gestört werden. Die innere und äußere Sicherheit ist ein bedeutsamer Faktor für einen stabilen Staat.
Fragilität oder Stabilität
Um diesen Zusammenhang zu verdeutlichen, soll die Definition von fragilen Staaten betrachtet werden. „Generell gelten jene Staaten als fragil (zerbrechlich), in denen die Regierung nicht willens oder in der Lage ist, staatliche Grundfunktionen im Bereich Sicherheit, Rechtsstaatlichkeit und soziale Grundversorgung zu erfüllen. Staatliche Institutionen in fragilen Staaten sind sehr schwach oder vom Zerfall bedroht; die Bevölkerung leidet unter großer Armut, Gewalt, Korruption und politischer Willkür.“
Darüber hinaus bilden fragile und von Konflikten betroffene Staaten auch ein regionales und internationales Sicherheitsrisiko. Wenn staatliche Strukturen nicht mehr funktionieren, entstehen rechtsfreie Räume, die von Banden der organisierten Kriminalität und terroristischen Netzwerken genutzt werden. In fragilen Staaten ist es fast unmöglich, einen stabilen Wirtschaftskreislauf, der auf Vertrauen basiert, zu etablieren. Ist das System Staat und Wirtschaft erst einmal zerbrochen, lässt sich dieses System aus eigener Kraft kaum wieder aufbauen.
Aus dem Beispiel des fragilen Staates kann geschlussfolgert werden, dass das Vorhandensein eines stabilen Staates enorm wichtig für die Wirtschaft ist. Eine funktionierende Wirtschaft wiederum ist enorm wichtig für einen stabilen Staat. Es besteht eine gegenseitige Abhängigkeit.
Wenn man jedoch auch die Ausgangslage für die Innere Sicherheit in Deutschland betrachtet, so haben sich die Anforderungen in den vergangenen dreißig Jahren am Beispiel Polizei deutlich verändert: neue Kriminalitätsformen, offene Landesgrenzen, Globalisierung, geeignete Kandidaten aus stetig sinkenden Bewerberzahlen finden, Finanzprobleme der öffentlichen Haushalte und vieles mehr.
Die Anforderungen an deutsche Unternehmen mit Blick auf die Sicherheit wachsen stetig. Von Bedrohungen durch allgemeine Kriminalität, über Reputationsrisiken bis hin zu Cyberangriffen, die den gesamten Geschäftsbetrieb stilllegen, ist das Feld der Herausforderungen groß. In den letzten Jahren gab es zahlreiche Ereignisse, die zum Teil große Auswirkungen auf ganze Branchen hatten oder Kettenreaktionen ausgelöst haben. Beispiele hierfür sind Sabotageakte bei der Deutschen Bahn, Angriffe auf Energieversorger oder Banken. Auch haben die Corona-Pandemie oder der aktuelle Konflikt in der Ukraine eine enorme Auswirkung auf Lieferketten, Absatzmärkte und die Verfügbarkeit von Fachkräften und Mitarbeitern.
Der Branchenverband Bitkom kommt 2021 in einer Untersuchung zu dem Ergebnis, dass die deutsche Wirtschaft von steigenden Angriffen betroffen sei. Demnach entsteht jährlich ein Schaden von 223 Milliarden Euro für die deutsche Wirtschaft. Der Bitkom fokussiert sich dabei auf das Thema Cyber- und Informationssicherheit.
Diese Herausforderungen machen eine funktionierende Sicherheitsarchitektur und einen ganzheitlichen Ansatz zum Schutz der Unternehmen und deren Infrastruktur notwendig. Ein solcher Ansatz schließt unter anderem die Aufgabengebiete und Disziplinen des Notfall- und Krisenmanagements, des Business Continuity Managements (BCM), physische- oder operative Sicherheit, aber auch die Informationssicherheit mit ein. An der Spitze dieser Architektur wird dann eine Funktion benötigt, die dem Senior- oder sogar Top-Management angehört, um die Werte des Unternehmens entlang der Wertschöpfungskette effektiv, nachhaltig, proaktiv und reaktiv schützen zu können.
In einem Eckpunktepapier für das KRITIS-Dachgesetz wird beispielsweise auch ausgeführt, dass ein institutioneller Rahmen geschaffen werden muss. Insbesondere „[...] durch klare Verantwortlichkeiten, Ansprechpartner und Rangfolgen [...]“ soll die Resilienz Kritischer Infrastruktur geschaffen werden.
Die Sicherheitsarchitektur im Unternehmen
Der Aufbau einer Sicherheitsarchitektur, respektive der Aufbauorganisation, ist sehr unterschiedlich von Unternehmen zu Unternehmen. Ganz wesentlich für den entsprechenden Aufbau, die jeweiligen Aufgaben und Befugnisse ist die Unternehmenssicherheitsstrategie und der Umgang mit Risiken.
Manche Unternehmen richten das Thema Unternehmenssicherheit größten Teils nach den Vorgaben des Deutschen Instituts für Normung mit der Norm Informationstechnik Sicherheitsverfahren Informationssicherheitsmanagementsysteme DIN EN ISO/IEC 27001 aus bzw. lehnen es an die Norm an. Die Norm 27001 ist beispielsweise ein Standard für das Informationssicherheitsmanagementsystem (ISMS). Aufgaben, Verantwortungen und Rollen, die bei der Informationssicherheit definiert und dokumentiert werden müssen.
Darüber hinaus muss im Top-Management eine Rolle die Verantwortung demonstrieren. Besonders Unternehmen mit einem hohen Anteil an IT-Prozessen lassen sich entsprechend dieser Norm zertifizieren und bauen dementsprechend nach dieser Richtlinie die Unternehmenssicherheit auf. Mit einer strategischen Ausrichtung auf die Informationssicherheit wird jedoch lediglich ein Teil der Aufgaben zum Schutz eines Unternehmens abgebildet.
Im nächsten Schritt der Aufbauorganisation ist entscheidend, wo die Sicherheitsabteilung organisatorisch angesiedelt ist. Je weiter oben in der Hierarchie, desto mehr Aufmerksamkeit und Bedeutung, aber auch Einfluss wird dem jeweiligen Bereich zugemessen.
In der Sicherheitsarchitektur eines Unternehmens gibt es viele verschiedene Faktoren, wie beispielsweise der Unternehmensaufbau, die Unternehmensgröße, die Verflechtung von Gesellschaften, die Aufbau- und Ablauforganisation oder die sicherheitsstrategische Ausrichtung und Strategie des Unternehmens. Die historische Entwicklung des jeweiligen Unternehmens beeinflusst maßgeblich den jeweiligen Aufbau der Sicherheitsarchitektur. In den Unternehmen haben sich verschiedene Bereiche schrittweise unterschiedlich entwickelt und sich den Bedürfnissen oder durch den Einfluss unterschiedlicher Bedrohungsphänomene entsprechend angepasst.
Je nach Unternehmen gibt es verschiedene Sicherheitsaufgaben und Schwerpunkte. Einige sind hochregulierte Bereiche, die in jedem Unternehmen abgebildet werden müssen, wie beispielsweise der Themenkomplex Arbeitssicherheit und Brandschutz, andere wiederum sind individuell.
Komplexität der Themenfelder
Die Themenfelder in den Bereichen sind oft sehr komplex und stellen jeweils eigene Managementdisziplinen dar. Themengebiete überschneiden sich, werden durch andere beeinflusst oder sogar behindert. Als Beispiel sei hier der Themenkomplex Lagebild, Aufklärung im Personenschutz oder das Bedrohungsmanagement zu nennen. In der Vorhersage von Ereignissen und der Risikobewertung ist es notwendig, so viel wie möglich verfügbare Informationen über Sachverhalte, Personen, Personengruppen oder Orte zu gewinnen und zu kombinieren. Dies steht im Widerspruch zum Beispiel mit dem Datenschutz, dessen Ziele unter anderem die Datensparsamkeit und Datenvermeidung sind.
Insbesondere das Thema IT-Security wird eher weniger einer Sicherheitsabteilung zugeordnet, obgleich auch hier rechtswidrige Angriffe auf das Unternehmen erfolgen und eine Krise für das Unternehmen entstehen kann – somit ein deutlicher Bezug zum Thema Sicherheit besteht. Es stellt sich die Frage, warum eine Sicherheitsabteilung für rechtswidrige Angriffe auf den Vorstand zuständig ist, jedoch nicht oder selten für Angriffe im Cyberraum. Selbstverständlich benötigt jedes Fachgebiet die jeweiligen Spezialisten und Fachkräfte, es macht jedoch einen bedeutenden Unterschied, ob die jeweiligen Einheiten durch eine gemeinsame Strategie und organisatorische Leitung gemeinsam geführt werden und gemeinsam agieren oder ob verschiedene Abstimmungs-, Zuordnungs- oder Berichtswege die Arbeit erschweren, verzögern oder sogar behindern.
Die hier zugrundeliegende Thesis einschließlich der Literaturhinweise kann nach persönlicher Kontaktaufnahme geteilt werden. Wenden Sie sich bitte per Mail an ip.thesis.CSO@gmail.com.
Den zweiten und abschließenden Teil hier lesen: Brauchen Unternehmen einen CSO? Teil 2