Corporate Security 4.0 – Einflussfaktoren und Anforderungen an die Unternehmenssicherheit
Der im Jahr 2022 veröffentlichte Forschungsbericht einer Delphi-Studie beschreibt sicherheitsbezogene Herausforderungen für die Unternehmenspraxis und gibt umfangreiche Handlungsempfehlungen. Einige davon werden im folgenden Fachbeitrag dargestellt.
In der Zukunftsstudie zum Thema „Corporate Security 4.0“ sollten – anders als in vorangegangenen Arbeiten – keine alternativen Szenarien entwickelt werden. Vielmehr stand die Beschreibung eines interdisziplinären Zukunftsbildes zur Unternehmenssicherheit im Fokus, das für die nächsten ca. drei bis fünf Jahre Orientierung geben kann.
Das Vorgehen lehnte sich an die Delphi-Methode an und gliederte sich in sieben Phasen, bei denen die Mitglieder der RC Security u. a. im Rahmen von vier virtuellen Workshops eingebunden waren.
Der gewählte Mixed-Methods Ansatz sah zwei aufeinanderfolgende Wellen von mündlichen und schriftlichen Befragungen eines Experten-Panels vor.
Hierbei wurden aktuelle und künftige Einflussfaktoren auf die Sicherheit von international tätigen Unternehmen und die daraus resultierenden Anforderungen an betriebliche Sicherheitsfunktionen (im Schwerpunkt an die Corporate Security) gesammelt, prognostiziert und analysiert.
Das Experten-Panel bestand aus Vertretern verschiedener Disziplinen und war gezielt durchstrukturiert. Als Vertreter der „Innensicht“ engagierten sich 14 Personen, die u.a. als Chief Security Officers, als Sicherheitsforscher, als Sicherheitsberater oder als Sicherheitsexperten in Sicherheitsbehörden und Sicherheitsverbänden über ein tiefgehendes Verständnis der sich abzeichnenden Entwicklungen verfügen.
Für die „Außensicht“ waren 19 Personen eingebunden, die nicht im Sicherheitsbereich tätig sind, sondern u.a. als Strategiemanager, als Risikomanager, als Technologiemanager, als Business Continuity Manager, als Innovationsforscher, als Repräsentanten von Verbänden, Medien, Mitarbeitervertretung – oder als Arzt in der medizinischen Forschung. So ergab sich ein äußerst heterogener Mix aus verschiedensten Nicht-Security-Perspektiven, wodurch die Diskussionen und die sich daraus entwickelnden Forschungsergebnisse deutlich bereichert wurden.
Nach der Auswertung der Interviews gelang die Verdichtung der gefundenen Themencluster zu sechs Trendfeldern, die nach Einschätzung des Panels Einfluss auf die Sicherheit international tätiger Unternehmen haben bzw. haben werden. In einem weiteren Schritt konnten die identifizierten aktuellen und künftigen Anforderungen an die betrieblichen Sicherheitsverantwortlichen in fünf Handlungsfeldern zusammengefasst werden.
Mit den schriftlichen Bewertungen von 25 zukunftsbezogenen Thesen zur „Corporate Security 4.0“ durch die Panel-Teilnehmer war es möglich, die Erkenntnisse aus den Interviews zu bestätigen und zu ergänzen und auf dieser Grundlage ein Zukunftsbild mit sechs Facetten einer „Corporate Security 4.0“ zu entwickeln.
Die Ergebnisse – Zukunftsbild mit sechs Facetten
- Facette 1: Trendfeld „Digitale Transformation“
- Facette 2: Trendfeld „Wandel der globalen Wirtschaft“
- Facette 3: Trendfeld „Klimawandel“
- Facette 4: Trendfeld „Wertewandel“
- Facette 5:Trendfeld „Konvergenz der physischen und digitalen Welt“
- Facette 6:Trendfeld „Cyber Threats”
Drei dieser Facetten sind nachfolgend dargestellt:
Facette 2: Trendfeld „Wandel der globalen Wirtschaft“
Inhaltliche Schwerpunkte dieses Trendfelds sind zum einen geopolitische Konflikte, die sich stärker auf die globalisierte Wirtschaft auswirken – seien es militante Konflikte oder „globale Rivalitäten“. Zum anderen das aktuell diskutierte „Decoupling“ – die technologische Entkopplung, wenn z. B. technologische Standards anderer Länder nicht akzeptiert werden. Dies könnte bei innovativen, datengetriebenen Technologien die Entwicklung, den Verkauf und den Betrieb global einheitlicher Systeme verhindern. Technologiebrüche und die Abschottung von Systemen wären die Folge – die ursprünglich gerechneten Business Cases würden in Folge „in sich zusammenfallen“ und das globale Wirtschaften würde neben dem Wirtschaftsschutz vor neue Herausforderungen gestellt werden.
Handlungsbedarfe
Die Ergebnisse der Studie besagen, dass ein institutioneller und organisatorischer Unterstützungsbedarf für den Wirtschaftsschutz der deutschen Unternehmen besteht, die sich u. a. ein nationales Wirtschaftsschutzzentrum, einen nationalen Wirtschaftsschutzbeauftragten und noch mehr Unterstützung für den Mittelstand wünschen – gerade auch bei Geschäften mit USA, Russland und China. Erwartungen an den Staat und die Politik sind hierbei die Schaffung entsprechender Rahmenbedingungen, die Vernetzung zwischen staatlichen und privatwirtschaftlichen Akteuren verbessern und ihr Angebot an Informations- und Schutzleistungen für die Wirtschaft bedarfsgerecht weiterentwickeln.
Facette 3: Trendfeld „Klimawandel“
Inhaltlicher Schwerpunkt dieses Trendfelds sind die Auswirkungen des Klimawandels bzw. der zunehmenden globalen Erwärmung, wodurch Naturkatastrophen (Hitzeperioden, Stürme, Brände, Hochwasser etc.) auch Europa vermehrt heimsuchen und weltweit die Business Continuity belasten werden. Naturkatastrophen als Auswirkung des Klimawandels werden auch einer der Gründe für eine Zunahme der globalen Migration sein.
Medizin und Kriminologie sehen schon seit längerer Zeit tatsächlich aber auch einen direkten Kausalzusammenhang zwischen hohen Temperaturen und abweichendem Verhalten. Folgt auf hohe Tagestemperaturen keine nächtliche Abkühlung („Tropennächte“), so führt das bei der Mehrzahl der Menschen zu psychischem Stress, der u. a. eine geringere Frustrationstoleranz und eine erhöhte Bereitschaft zu aggressivem Verhalten fördert. Diese gesteigerte Aggressivität kann sich in verbalschriftlichem Verhalten (z. B. in Sozialen Medien) ebenso äußern, wie in physischer Gewalt. Vor diesem Hintergrund wird bei einer Zunahme der globalen Erwärmung auch ein Anstieg aggressiven Verhaltens in der Bevölkerung zu erwarten sein.
Handlungsbedarfe
Der dokumentierte Kausalzusammenhang zwischen hohen Temperaturen und der Neigung zu abweichendem Verhalten (Delinquenz) ist relevant, denn offensichtlich wird die Klimaerwärmung auch zu einem Treiber für einen vorhersehbaren Anstieg von Gefährdungen insbesondere in der „physischen“ Welt.
Dies lässt sich in der Corporate Security etwa berücksichtigen, wenn meteorologische Prognosen in das Lagebild (Operational Security Picture/Situational Awareness) einfließen und für Risikobewertungen und Schichtplanungen genutzt werden. Wie die Flutkatastrophe infolge der Starkregenereignisse vom Juli 2021 gezeigt hat, sind auch Wirtschaft und Gesellschaft in Deutschland nicht vor monatelangen dramatischen Beeinträchtigungen der Business Continuity gefeit. Insofern dürften alle Unternehmen gut daran tun, für alle ihre Standorte weltweit die Risikobewertung nach dem Allgefahrenansatz zu aktualisieren und die etablierten Schutzmaßnahmen gegebenenfalls anzupassen.
Facette 6: Trendfeld „Cyber Threats“
Inhaltlicher Schwerpunkt dieses Trendfelds sind die aktuellen Cyber Threats, die in unterschiedlichsten Facetten, in wachsendem Umfang, mit modernsten Technologien und deutlich ansteigender Professionalität von verschiedensten Akteuren verantwortet werden und so die Sicherheitsarchitekturen und BCM-Konzeptionen der Unternehmen und Behörden zunehmend „herausfordern“.
Technisch und personell hochgerüstete Akteure mit staatlichem Auftrag greifen vor allem Unternehmen fortlaufend mit modernsten digitalen Waffen an. Ergänzend hierzu macht es der neue Trend des „Cyber-Crime-as-a-Service“ auch für Neueinsteiger vergleichsweise einfach, sich im Dark Web erfahrene und gut bewaffnete Profis für einen digitalen Angriff zu mieten. Daneben versuchen verschiedenste Akteure immer häufiger, die öffentliche Meinung zu manipulieren. Auch die Reputation vieler Unternehmen wird vermehrt durch Falschinformationen angegriffen. In steigendem Umfang kommen dabei gefälschte oder mit modernster technischer Unterstützung „kunstvoll“ veränderte Ton-, Bild- und Videodateien (Deep Fakes) zum Einsatz.
Aufschlussreiche Diskussionen gab es in beiden Panel-Hälften zur Zunahme der Cyber Angriffe durch verschiedenste Akteure und zur Frage, ob es eine „Verlagerung“ gibt und die Anzahl der Angriffe in der physischen Welt „wegen“ der vermehrten Cyberangriffe zurückgeht. Dabei zeichnete sich das Meinungsbild ab, dass eine entsprechende Kausalität nicht zu erkennen ist, insbesondere da hier ganz verschiedene Tätergruppen mit unterschiedlichem Hintergrund aktiv sind. Zwar gibt es erste Annahmen dazu, in welchem Umfang sich welche Tätergruppen aus der physischen Welt zurückziehen, um – nach einer entsprechenden „Ertüchtigung“ – künftig in der digitalen Welt zuzuschlagen. Allerdings legen der dramatische Anstieg der Fallzahlen, die zunehmende Professionalität der Angriffe, die niedrigen „Einstiegshürden“, die hohen Erfolgsaussichten und das niedrige eigene Risiko eher nahe, dass hier überwiegend andere, neue Akteure am Werk sind.
Handlungsbedarfe
Die Mehrzahl der Themencluster, die im Bereich der „Handlungsfelder“ identifiziert wurden, zielen auf die Abwehr von und den Umgang mit den wachsenden „Cyber Threats“. Zugleich besteht eine inhaltliche Nähe zum Trendfeld „Digitale Transformation“ mit Ergänzungen zu den dort bereits genannten Handlungsschwerpunkten: die fortschreitende Entwicklung im Bereich Quantum Computing sollte im Blick behalten werden, damit auch die sich hier abzeichnenden Lösungen frühzeitig zu Verteidigungszwecken bereitstehen – bevor sie von kriminellen oder staatlichen Akteuren für Angriffe missbraucht werden; auch die Systemsicherheit für physische Sicherheitsmaßnahmen und -technologien sollte stets gewährleistet bleiben – damit nicht ein (digitaler) Angriff z. B. auf die Zutrittskontrollsysteme verhindert, dass an den Unternehmensstandorten die Tore und Türen geöffnet werden können.
Sofern noch nicht geschehen, sollte eine BCM-Strategie für den Ausbau von Resilienz im Unternehmen und der Corporate Security entwickelt, implementiert und bedarfsgerecht aktualisiert werden. In diesem Rahmen gilt es auch, Strategien und Notfallpläne für den Umgang mit hybriden Angriffen erarbeiten. Hierbei könnten u. a. auch konvergente Security Operations Center (SOC) etabliert und interne/externe Kompetenz-Teams für Security Investigations aufgebaut werden.
Es ist außerdem erforderlich, das Kompetenzportfolio der Security weiterzuentwickeln und neue Kompetenzprofile für Sicherheitsmitarbeiter zu erarbeiten. Dies ist eine Konsequenz aus dem zunehmenden Einsatz moderner (digitaler) Technologien für den Schutz des Unternehmens und eine Voraussetzung für die erfolgreiche Implementierung einer zeitgemäßen Digitalisierungsstrategie für die Corporate Security.
Ausgewählte Themen-Schwerpunkte
Nach eingehender Diskussion der mehr als zwei Dutzend identifizierten Handlungserfordernisse zur Gewährleistung von Sicherheit erstellten die Mitglieder der RC Security eine „Short-List“ mit zehn Schwerpunkt-Anforderungen. Deren Bewertung bzw. Priorisierung durch das Panel erfolgte im Rahmen der zweiten Befragungswelle (siehe Abbildung: „Themen-Schwerpunkte“).
Die Handlungserfordernisse im Bereich der Konvergenz physischer und digitaler bzw. ganzheitlicher Sicherheit wurden am höchsten priorisiert – knapp gefolgt von den Themen „Digitalisierungsstrategie für die Corporate Security“ und „Business Continuity Strategie für das Unternehmen und die Corporate Security“.
Unerwartete Ergebnisse
Die Heterogenität des interdisziplinär gestalteten Panels ermöglichte nicht nur sehr interessante Beiträge und Diskussionen, sondern auch einige Erkenntnisse, die von der Mehrzahl der Panel-Teilnehmer als „counterintuitive“ bzw. als unerwartet bewertet wurden:
- Der Zusammenhang zwischen Klimaerwärmung und dem Anstieg von aggressivem Verhalten in der Bevölkerung
- Der Anstieg von gewalttätigen Übergriffen an Arbeitsplätzen mit Kundenkontakt
- Der Rückgang der Bereitschaft von Beschäftigten, sich an (Sicherheits-)Richtlinien zu halten
- Der Anstieg von Cyber Threats – bei annähernd gleichbleibenden Bedrohungen in der physischen Welt – also eben keine Verlagerung
Die Mitglieder der RC Security sind überzeugt: Auch an diesen Themen könnten weitere Forschungsarbeiten ansetzen.
Die Research Community for Corporate Security (RC Security)
Auftraggeber und zugleich Forschungspartner der hier vorgestellten Studie ist die Research Community Security (RC Security). Dieser von Dr. Jürgen Harrer initiierte und moderierte offene Arbeitskreis von Chief Security Officers internationaler Unternehmen befasst sich mit ausgewählten Fachthemen, künftigen Entwicklungen und wechselseitigem Erfahrungsaustausch.
Seit der Gründung in 2019 steht hierbei die interdisziplinäre, zukunftsgerichtet Sicherheitsforschung mit betriebswirtschaftlichem Schwerpunkt im Vordergrund.
Unter Anwendung wissenschaftlicher Methoden strebt man nach neuen Erkenntnissen zu geschäftskritischen Herausforderungen, insbesondere in den Bereichen Risikofrüherkennung, digitale Transformation, Resilienz und Business Enabling. Im Jahr 2023 engagieren sich folgende Unternehmen in der RC Security: Würth, ZEISS, Covestro, Henkel, Mercedes-Benz Group, Merck, Siemens und Volkswagen.
Mercedes-Benz: „In die Sicherheitsstrategie eingebracht“
„Die Konzernsicherheit von Mercedes-Benz bringt sich seit über zehn Jahren aktiv in die Sicherheitsforschung ein – geleitet von einem unserer Prinzipien „Der innere Antrieb, die Zukunft zu gestalten“. Indem wir die Sicherheitstrends verfolgen und frühzeitig in unserem eigenen Ansatz berücksichtigen, bleiben wir als Konzern widerstandsfähig und können auch künftig auf Vorfälle und Krisen flexibel reagieren.
Bisher wird zum Thema in Deutschland nur sehr wenig empirisch geforscht. Es mangelt noch an wissenschaftlich fundierten Grundlagen, obwohl die Themenvielfalt unter dem Oberbegriff „Sicherheit“ sehr viele interessante Ansätze für die Forschung bietet. Genau in diese Lücke stößt die Research Community Security (RC Security), indem sie Sicherheitsthemen wissenschaftlich untermauert. Die Erkenntnisse der ‚Delphi-Studie 2021‘ der RC Security sind deshalb, neben anderen Studien und Strategien, auch in die Entwicklung unserer aktuellen Mercedes-Benz Sicherheitsstrategie eingeflossen.
Die Studienergebnisse haben wir zudem in unser unternehmensinternes Format ‚Wissenschaft trifft Praxis – Corporate Security 4.0‘ eingebracht und dort mit den Führungskräften der Konzernsicherheit im Hinblick auf mögliche Auswirkungen für unseren Konzern diskutiert. In anschließenden Workshops wurden die sechs Facetten des Zukunftsbildes analysiert und daraus Ableitungen für die Konzernsicherheit von Mercedes-Benz erarbeitet. Auch diese münden nun in konkrete und messbare Initiativen zur Realisierung unserer Strategie mit ein.
Die Studien-These ‚Der Rückgang der Bereitschaft von Beschäftigten, sich an (Sicherheits-)Richtlinien zu halten‘ war beispielsweise Anstoß, uns intensiver mit diesem Phänomen auseinander zu setzen. So haben wir uns gefragt, inwieweit auch die Komplexität von Richtlinien eine Rolle spielen könnte. Bei der aktuellen Überarbeitung unserer wichtigsten globalen Sicherheitsrichtlinien haben wir daher verstärkt auf kurze und verständliche Formulierungen gesetzt. Wir investieren zudem vermehrt in die Befähigung und Sensibilisierung unserer Beschäftigten.
Die weitere These ‚Der Anstieg von Cyber Threats‘ – bei annähernd gleichbleibenden Bedrohungen in der physischen Welt (d.h. keine Verlagerung)‘ revitalisiert ein stärkeres Bewusstsein für klassischen Sicherheitsaufgaben und bestätigt unseren Ansatz. Richtig ist, dass Cyber-Security seit Jahren rasant wächst, ein Herzstück der Digitalisierung ist und auch hohe Aufmerksamkeit erfährt. In gleichem Maße müssen klassische Sicherheitsthemen wie das Krisenmanagement und die physische Absicherung von Einrichtungen und Vermögenswerten, beibehalten werden, da sie zur Grundlage einer wirksamen Gesamtsicherheit beitragen.
Die Research Community Security hat mit ihrem Report 2021 die Sicherheitswelt nicht neu definiert. Das war auch nie der Anspruch. Viele der Thesen sind den Experten bekannt und bestätigen das aktuelle Vorgehen der Sicherheitsbereiche in Unternehmen. Der Mehrwert der Studie liegt in der ganzheitlichen Betrachtung der Sicherheitsthemen – über unterschiedliche Disziplinen hinaus – und der wissenschaftlich fundierten Aufarbeitung. Die Studie bietet zahlreiche Impulse, die die Weiterentwicklung der Sicherheitsstrategie im Rahmen der Transformation fördert und damit neue Denkanstöße bietet, die zukunftsweisend sind.“
Würth Group: „Besser vor die Lage kommen“
„Vor der Lage zu sein ist das angestrebte Ziel der Unternehmenssicherheit. Oftmals wird jedoch nur reagiert und nach dem Eintritt sicherheitsrelevanter Ereignisse festgelegt, welche Schwerpunkte zukünftig bearbeitet werden sollen.
Aus Erfahrungswerten und im Austausch mit anderen Sicherheitsverantwortlichen kann man gewisse Schlussfolgerungen und Wahrscheinlichkeiten für sich und sein Unternehmen ableiten, steht dann aber vor der Herausforderung, die richtigen Schwerpunkte zu setzen. Welches sind die Themen, die es zukünftig zu meistern gilt? In welcher Ausprägung wird man mit ihnen konfrontiert? Haben wir diese aus allen relevanten Blickwinkeln betrachtet, oder ergibt sich irgendwo ein Blind Spot?
Deshalb sehen wir die Erarbeitung von wissenschaftlichen Grundlagen im Bereich der Unternehmenssicherheit – beispielsweise durch die Delphi-Studie 2021 – als eine Möglichkeit, um besser vor die Lage zu kommen. Durch die Beteiligung an der RC Security können wir viele Themen gemeinsam beleuchten und bewerten. Rein unternehmensintern wäre dies mit einem deutlichen Mehraufwand verbunden und der Blick über den Tellerrand vermutlich schwieriger.
Beispielsweise beim Thema Klimawandel erkennt man über die Zunahme von Naturkatastrophen noch relativ schnell mögliche Auswirkungen auf die Security und die Business Continuity. Wie sich jedoch steigende Temperaturen auf den Gemütszustand von Personen auswirken und dadurch evtl. Themen für die Unternehmenssicherheit entstehen, das haben sicherlich die wenigsten Sicherheitsexperten auf dem Schirm. Und wenn, dann liegen ihnen häufig kaum fundierte Erkenntnisse hierzu vor. Ein weiteres Beispiel, wie man mit einer solchen Delphi-Studie besser vor die Lage kommen kann, sehen wir beim Blick auf den Krieg in der Ukraine. Hier wurden bereits Mitte 2021 einige damit in Zusammenhang stehende Themen betrachtet und bewertet, wie z. B. die Instabilität der Lieferketten, der Zugriff auf Unternehmens-Know-How durch „Gastgeberländer“, die Auswirkungen geopolitischer Konflikte in einer globalisierten Wirtschaft, die Verfügbarkeit von Energie, der Einfluss von (Des-)Information, der Einsatz von Drohnen etc.
Natürlich gibt es auch Themen, zu denen man sich Gedanken macht und die letztendlich nicht eintreten. Aber hier sind wir der Meinung: Lieber haben wir uns schon einmal damit beschäftigt und zumindest im Ansatz eine Vorstellung, wie wir damit umgehen, als dass wir aus dem Blauen heraus kalt erwischt würden.
Letztendlich begleitet mich auch im beruflichen Alltag ein Satz aus der Pilotenausbildung: ‚A plan without a plan for failure is a planned failure‘!“
Dr. Jürgen Harrer und Benedikt Vetter sind Referenten auf den Wiley Industry Days 2023 mit einem Vortrag zum Thema "Corporate Security 4.0: Welche sicherheitsbezogenen Herausforderungen sind zu erwarten – und was ist zu tun?"
Wann? Dienstag, 14. März, 14:00-14:50 Uhr
Vortrag vormerken: https://events.bizzabo.com/WINDAYS2023/agenda/session/1040774