Brauchen Unternehmen einen CSO? Teil 2
Ivo Pestel ist Leiter der operativen Sicherheit in der Konzernsicherheit der R+V Versicherung in Wiesbaden. Er ist seit fast 20 Jahren mit dem Thema Sicherheit beruflich verbunden. Gemeinsam mit seinem Team verantwortet er derzeit u. a. die Themen Standortsicherheit, Reisesicherheit, Ermittlungen, Bedrohungsmanagement, Vorstandsschutz, Veranstaltungsschutz und vieles mehr. Im Rahmen einer wissenschaftlichen Abschlussarbeit untersuchte Ivo Pestel den Bedarf einer gesetzlichen Regelung für den Aufgabenbereich eines Chief Security Officers aus Sicht von Großunternehmen in Deutschland. Für GIT SICHERHEIT hat der Autor das Thema aufbereitet.
Ging der erste Teil von den Grundlagen des Wirtschaftsschutzes aus, stellt der folgende abschließende zweite Teil unter anderem die Ergebnisse einer repräsentativen Umfrage zum Thema vor.
In deutschen Unternehmen gibt es eine Vielzahl von sogenannten Beauftragten-Funktionen. Diese sind zum Teil gesetzlich vorgeschrieben, vom Unternehmen bestellt und je nach Vorgabe einer Behörde zu melden. Der Gesetzgeber hat ein hohes Interesse am Schutz der Mitarbeiter und Verbraucher. Allgemeine Gefahren, wie Brand, Explosion, Umweltverschmutzung oder Gefahren für Leib und Leben, haben ein hohes Aufmerksamkeits- und Schadenspotential.
Der Bundesverband ASW ist schon seit einigen Jahren daran interessiert, eine gesetzliche Regelung für einen sogenannten Wirtschaftsschutzbeauftragten zu etablieren. Christian Vogt, Vorstandsvorsitzender der ASW West, sagte im Jahr 2018 zum Thema Wirtschaftsschutz, gegenüber GIT SICHERHEIT: „Die Ziele der ASW bestehen zum Beispiel darin, die Kriminalprävention in der Wirtschaft zu fördern, den Wirtschaftsschutz voranzutreiben und auch beispielsweise durch die Berufung von Wirtschaftsschutzbeauftragten zu etablieren und tief im Bewusstsein der Unternehmen zu verankern.“ Christian Endreß sagt in dem Experteninterview zur Erstellung dieser Arbeit: „Seitens der Politik wurden eher Bedenken geäußert, natürlich auch weil die Unternehmen die Problematik eines ‚Beauftragtenwesens‘ oder Überflusses sehen.“
Vom Beauftragten zum CSO
Als These formuliert, hat möglicherweise die Begrifflichkeit des Wirtschaftsschutz-„Beauftragten“ eine Abneigung und Angst hervorgerufen, dass hier erneut detaillierte Forderungen für ein bestimmtes Sachgebiet erhoben werden sollen. Vielmehr geht es jedoch um einen ganzheitlichen Ansatz zum Schutz der deutschen Wirtschaft und des jeweiligen Unternehmens. Endreß sagt: „[...] Letztendlich muss der Wirtschaftsschutz in den Unternehmen Pflicht sein und nicht die Kür. [...] Wir haben das erlebt beispielsweise in der Corona Pandemie, dass Unternehmen hier überhaupt nicht vorbereitet waren und ein nicht funktionierendes Krisenmanagement hatten und dadurch natürlich auch erheblicher Schaden entstand. [...]“
Die Funktion des Wirtschaftsschutzbeauftragten, oder wie in dieser Arbeit benannt, des CSO, hat also einen ganz anderen Stellenwert als ein Fachbeauftragter in seinem jeweiligen Spezialgebiet.
Die Dokumentenreihe Wirtschaftsgrundschutz 2000-1 bis -3 und die verschiedenen Fachbausteine wurden durch das Bundesamt für Verfassungsschutz (BfV), das Bundesamt für Sicherheit in der Informationstechnik (BSI) und den ASW Bundesverband – Allianz für Sicherheit in der Wirtschaft ab dem Jahr 2016 zur Verfügung gestellt. Die Broschüren sind ein Teil der Öffentlichkeitsarbeit der Bundesregierung. Diese sind kostenlos und frei zugänglich für jedermann verfügbar.
Die Bundesregierung, die mitwirkenden Behörden und der Bundesverband haben eine hohe Motivation, den Wirtschaftsstandort Deutschland zu schützen, derartige Standards zu entwickeln und zur Verfügung zu stellen. So steht beispielsweise in der Einleitung: „Technisches Wissen, Forschung und Entwicklung sind die Garanten dafür, dass deutsche Institutionen weltweit an der Spitze ihres jeweiligen Sektors mitspielen. Der ganzheitliche Schutz der Werte ist deshalb für diese Institutionen von kritischer Bedeutung. Nur ein integriertes bzw. ganzheitliches Sicherheitsmanagementsystem kann die Leitung der Institutionen angemessen in der Wahrnehmung ihrer Verantwortung für einen sicheren Geschäftsbetrieb und in ihrer Fürsorgepflicht unterstützen. [...]“ Auch hier scheint der Staat seine Verantwortung geltend zu machen, schafft jedoch nicht die Grundlage, dass diese sinnvollen Ansätze und Maßnahmen auch umgesetzt werden.
Folgt man dem Dokument „Wirtschaftsgrundschutz“, ist der höchste Sicherheitsverantwortliche (CSO) direkt unter der Leitung der Institution oder der Geschäftsleitung angesiedelt. IT-Sicherheit oder Datenschutz berichten beispielsweise in einer Stabsfunktion direkt an den CSO. Die gesamten Aufgaben zur Sicherung des Unternehmens und der Unternehmenswerte sind vereint unter einem Dach und können gemeinsam einer Strategie folgen und bei Bedrohungen gemeinsam, ohne großen Aufwand agieren und reagieren.
Abbildung 1 zeigt unter Berücksichtigung der idealen Aufstellung der Sicherheitsorganisation im Unternehmen/der Institution gemäß dem Wirtschaftsgrundschutz beispielhaft die Aufgabenverteilung. Die Darstellung ist nicht abschließend. Es ist sehr deutlich zu erkennen, wie komplex und voneinander abhängig die Aufgaben und Themen sind.
Im Gegensatz dazu die in Abbildung 2 beispielhaft dargestellte Realität, die häufig vorzufinden ist.
Repräsentative Umfrage zum CSO
Zur Ermittlung des in der Forschungsfrage formulierten Bedarfs wurde eine anonyme Stichprobe vom 6. Februar 2023 bis 15. März 2023 bei Sicherheitsverantwortlichen in deutschen Großunternehmen durchgeführt.
Die Gesamtmenge der deutschen Großunternehmen beträgt im Jahr 2020 laut dem Statistischen Bundesamt 15.507 Unternehmen. Christian Endreß erklärte in dem Experteninterview zu dieser Arbeit, dass zirka 10 % der insgesamt 2.000 Unternehmen, die durch die ASW vertreten werden, deutsche Großunternehmen sind. Somit werden durch den ASW Bundesverband 1,3 % aller deutschen Großunternehmen vertreten. Die vertretenen Unternehmen haben sich sehr wahrscheinlich bewusst für eine Mitgliedschaft in einem der Regionalverbände der Sicherheit entschieden, weil sie eine vorhandene positive Grundeinstellung bzw. Bedarf zum Thema Sicherheit haben.
Für ein repräsentatives Ergebnis wurde mit einer Teilnahme/Rückmeldung von zirka 40 % der angenommenen Gesamtmenge von 200 Unternehmen gerechnet. Insgesamt gab es 14 Fragen mit zum Teil subjektiver Bewertungsoption, Fragen zur eigenen Position und Aufgabe sowie zur Sicherheitsarchitektur und Nutzung von Angeboten zum Wirtschaftsschutz.
Ergebnis zur Forschungsfrage
Es wurden insgesamt 64 Stimmen =^ 74,4 % für Ja und 22 Stimmen =^ 25,63 % für Nein abgegeben. Somit gibt es einen Zuspruch von knapp dreiviertel für die Einführung einer gesetzlichen Vorgabe für den Geschäftsbereich des CSO.
Zur zweiten Forschungsfrage (Wenn es eine gesetzliche Regelung zum CSO geben soll, was wären die Parameter/Schwellenwerte?) wurde vorzugsweise genannt:
- Bestimmte Risikogruppen (beispielsweise Gefahrstoffe, Geheimschutz, Rüstung, Forschung)
- Zuordnung gem. BSI KRITIS-Verordnung
- Geschäftstätigkeit in bestimmten Gebieten (beispielsweise Krisengebiete, extraterritoriale Gelände, Offshore, ...)
Gemeinsamkeit zwischen Ja- und Nein-Stimmen:
- Die repräsentierten Sektoren sind annähernd gleichverteilt wie in der Gesamtmenge. Nur bei Energie/Kernkraft und Telekommunikation gibt es einen Überhang in Richtung Nein-Stimmen.
- Bei der subjektiven Betrachtung der qualitativen und quantitativen Zunahme von Bedrohungen für das Unternehmen gibt es bei beiden Gruppen keine Auswahl der Antwort „Nein – auf keinen Fall“.
- Alle aufgeführten staatlichen Angebote zum Wirtschaftsschutz werden durchgängig von beiden Gruppen genutzt.
- Unterschiede zwischen
Ja- und Nein-Stimmen:
Die hier dargestellten Ergebnisse betreffen die Gruppe der Nein-Stimmen.
- Geringerer Anteil an der Zuordnung der Kritischen Infrastruktur gem. BSI-KRITIS Verordnung
- Die eigene Funktion im Unternehmen ist etwas mehr im Bereich CISO oder sonstiger Leitungsfunktion zuzuordnen
- Etwas mehr Führungskräfte als Mitarbeiter
- Sind eher der Meinung, dass es einen geringeren Anstieg an quantitativer und qualitativer Bedrohungen gegen das Unternehmen in den letzten 10 Jahren gegeben hat und glauben eher, dass der Staat die Bedrohungen im Jahr 2023 bewältigen kann
- Es werden im Gesamtbild etwas weniger staatliche Angebote zum Wirtschaftsschutz genutzt. Eine Ausnahme bildet die „Initiative Wirtschaftsschutz“
- Etwas weniger organisierte Sicherheitsabteilungen im eigenen Unternehmen
- Die höchste Sicherheitsfunktion im Unternehmen ist eher CISO, Sicherheitsbeauftragter und Sonstige – dagegen sind die Funktionen CSO oder Leiter Konzern-/ Unternehmenssicherheit etwas weniger repräsentiert
Es scheint eine Korrelation zwischen weniger subjektiver Bedrohungseinschätzung, geringen Sicherheitsvorkehrungen und einer fachlich aufgestellten Sicherheitsarchitektur zu der Aussage „Nein“ zur gesetzlichen Vorgabe zu geben.
Wie kann es weitergehen?
Die gewonnen Daten zeigen ein gutes Potential, weitergehende Untersuchungen durchzuführen. Das Thema Wirtschaftsschutz hat eine enorme Bedeutung für den Wirtschaftsstandort Deutschland und auch Europa. Bezogen auf die Forschungsfrage könnte die Umsetzung in Form einer gesetzlichen Vorgabe ausgearbeitet werden. Es muss risikoorientiert ermittelt werden, welche Bedingungen für die Einführung eines CSO ausschlaggebend sein sollten. Eine Vorgabe sollte jedoch konkret sein. Wenn diese auf einer freiwilligen Umsetzung beruht, wird diese dann kaum umgesetzt werden.
Die Schaffung einer zentralen Managementfunktion könnte einen großen Beitrag zum Wirtschaftsschutz bringen, da hier ein in verschiedene Richtungen und Möglichkeiten entwickeltes Netzwerk mit definierten Ansprechpartnern und Zuständigkeiten entstehen würde. Die Motivation dazu sollte hier bei Staat und Wirtschaft gleichermaßen hoch sein.
Die Begrifflichkeit CSO oder wie der ASW Bundesverband vorschlägt „Wirtschaftsschutzbeauftragter“ sollte ausgiebig geprüft werden. CSO ist zwar international verständlich, hat aber grundsätzlich mehrere Bedeutungen. Wirtschaftsschutzbeauftragter wird grundsätzlich kritisch gesehen, da es den Anschein erweckt, das „Beauftragtenwesen“ auszuweiten.
Wenn es eine Vorgabe zum Aufgabenbereich des CSO geben sollte, müsste es gleichzeitig einen Mechanismus zum Austausch von (auch eingestuften) Informationen zwischen Unternehmen und Staat/Behörden geben. Hier kann unter Umständen auch mit Hilfe von Sicherheitsüberprüfungen eine gemeinsame vertrauensvolle Basis geschaffen werden. Außerdem werden Abgrenzungen im Sinne der Wettbewerbsgleichheit notwendig und wichtig sein. Die Position benötigt Vorgaben zu Ausbildung, Zertifizierungen und Erfahrung.
Um einen Prozess zu solch einer Vorgabe auf den Weg zu bringen, sollte eine Interessensvertretung, wie beispielsweise der ASW Bundesverband, die Steuerung übernehmen. Weitere Verbände oder Vertreter der Wirtschaft könnten die Politik von dem Nutzen und den Vorteilen überzeugen und an einer gesetzlichen Grundlage zum Wirtschaftsschutz mitarbeiten.
Die im Jahr 2019 wahrgenommene ablehnende Haltung gegenüber dem Thema scheint nun im Jahr 2023 abgenommen zu haben. Zukünftig sollte der Wirtschaftsschutz in Deutschland deutlich gestärkt werden. Eine langfristige Strategie, eine zentrale verantwortliche Position und/oder Ansprechpartner in Form einer Funktion oder Behörde sollten, wie vom ASW gefordert, etabliert werden. Auch der Branchenverband Bitkom hat zahlreiche Forderungen und Vorschläge zu einem besseren Wirtschaftsschutz. Die Belange zum Schutz der Wirtschaft müssen eine Anlaufstelle haben, um gehört zu werden. Die Wirtschaft hat hier aus ihrer Sicht die vermutlich besten Ansätze, da sie selbst betroffen und involviert ist. Deutschland braucht einen echten strategischen Ansatz zum Schutz der Wirtschaft.
Die diesem Beitrag zugrundeliegende Thesis einschließlich der Literaturhinweise kann nach persönlicher Kontaktaufnahme geteilt werden. Wenden Sie sich bitte per Mail an ip.thesis.CSO@gmail.com.