Das Portfolio-Modell der Corporate Security
Die RC Security, ein Arbeitskreis für Chief Security Officer, wurde von Dr. Jürgen Harrer im Jahr 2019 an der EBS Universität in Oestrich-Winkel gegründet. Zuletzt engagierten sich in der RC Security folgende acht Unternehmen: Covestro, Henkel, Merck, Mercedes-Benz Group, Siemens, Volkswagen, Würth und der Carl Zeiss AG.
Im Kern der gemeinsamen Arbeit standen der wechselseitige Erfahrungsaustausch, die zukünftigen Entwicklungen in der Unternehmenssicherheit sowie die interdisziplinäre Sicherheitsforschung mit starkem betriebswirtschaftlichem Fokus. Unter Anwendung wissenschaftlicher Methoden wurden neue Erkenntnisse für geschäftskritische Herausforderungen gewonnen – und zwar in den Bereichen Risikofrüherkennung, Resilienz und Business Enabling.
Im Jahr 2022 wechselte dieser Arbeitskreis an die Technische Hochschule Ingolstadt, wo in 2024 das letzte Projekt mit einer dreistufigen Validierungsphase abgeschlossen wurde. Die gemeinsame Idee hierbei war, die wertbeitragsrelevanten Leistungen einer Corporate Security herauszuarbeiten. Dazu war es erforderlich, die Leistungen einer modernen Corporate Security zu erfassen, zu strukturieren und in einem praxisgerechten Modell darzustellen. Führgröße war dabei besonders die Aktivitäten mit zu berücksichtigen, die über die tradierten Standardaktivitäten der „klassischen“ Sicherheitsabteilungen hinausgehen.
Das Ergebnis war das Portfoliomodell der Corporate Security mit vier Clustern:
- Regulatory Security
- Asset Protection
- Business Unit Support
- Enterprise Support
Konvergenz physischer und digitaler Sicherheit
Im Cluster „Asset Protection“ sind die Leistungen verortet, die üblicherweise als das „Kern-Portfolio“ der Corporate Security betrachtet werden. Sie sind explizit als Leistungen/Services der Security bekannt und beschränken sich in der Wahrnehmung vieler Unternehmen auf die physische Welt – auch wenn Leistungen u. a. im Bereich Informationssicherheit sowohl den Real-Raum, als auch den Cyber-Raum betreffen.
Das Portfoliomodell der Corporate Security bildet die Konvergenz physischer (Real-Raum) und digitaler Sicherheit (Cyber-Raum) ausdrücklich im Cluster Asset Protection ab. Dieses bedeutet, dass hier beispielsweise neben Personenschutz und Standortsicherheit u. a. auch die IT-Sicherheit zugeordnet ist. Das gilt auch, wenn der Leiter der IT-Sicherheit kein Mitarbeitender des Chief Security Officer ist. Hintergrund ist, dass es in diesem Portfoliomodell nur um die inhaltliche Logik geht und nicht um das Organigramm oder die Frage, wer derzeit welche Leistungen/Services erbringt. So greift das Portfolio den Gedanken der Konvergenz von Realraum-Sicherheit und Cyber-Sicherheit ebenso auf wie die Eckpunkte der nationalen Wirtschaftsschutzstrategie.
Zwei Perspektiven prägen Sicht auf das Portfoliomodell (Y-Achse)
Auf die vier Cluster lässt sich mit zwei Perspektiven schauen: die des Enterprise Risk Management und die des möglichen Wertbeitrags.
Aus Perspektive des Enterprise Risk Management adressiert jedes Portfolio-Cluster eine andere Risiko-Kategorie:
- Regulatory Security ist ausgerichtet auf Legal Risks,
- Asset Protection befasst sich mit den Operational Security Risks,
- Business Unit Support hat die Business Risks auf Ebene der Business Units im Blick,
- Enterprise Support betrachtet Business Risks auf Ebene des Gesamtunternehmens.
Daneben dargestellt ist die Perspektive des möglichen Wertbeitrags. Der lässt sich in diesem Modell natürlich nicht absolut in Euro ausdrücken, denn der Wertbeitrag ist u. a. davon abhängig, welche Geschäftsaktivitäten das Unternehmen in Anwesenheit welcher Risiken unternimmt, und wie viele Assets (Personen, materielle und immaterielle Güter) von welchem Wert und welcher Kritikalität das Unternehmen wie oft und wie lange für diese Geschäftsaktivitäten nutzt.
Weiterentwicklung der Corporate Security (X-Achse)
Im Fundament des Modells ist die „Evolution“ einer Corporate Security dargestellt. Evolution von einem eher operationellen Fokus hin zu einem eher strategischen Fokus.
Sicherheitsfunktionen haben ihre Maßnahmen bisher überwiegend an bereits getroffenen Geschäftsentscheidungen ausgerichtet. Dabei war der Leitgedanke der einer Risikominimierung. Eine moderne Corporate Security muss sich heute allerdings deutlich weiterentwickeln. Weiterentwickeln hin zu einer Corporate Security die bereits im Vorfeld von zu treffenden Geschäftsentscheidungen, sowohl auf Ebene einzelner Business Units als auch auf der Ebene des gesamten Unternehmens, beratend und mitgestaltend tätig werden kann.
Je früher im Verlauf des Treffens von Geschäftsentscheidungen die Corporate Security einbezogen wird, desto gestaltender kann sie proaktiv wirken. Das hat positive Effekte auf die zu definierenden Sicherheitsmaßnahmen. Durch den frühzeitigen und damit durchaus auch höheren Gestaltungsspielraum sind mehr Freiräume in der Definition von Maßnahmen zu erwarten. Das wirkt sich mitunter günstig auf die Kosten, aber auch auf die Akzeptanz der Maßnahmen bei den Mitarbeitenden aus. Beides sind heute nicht zu vernachlässigende Faktoren.
Corporate Security
Zur Strategie der Konzernsicherheit bei Volkswagen
Maximaler Wertbeitrag nur durch alle vier Cluster
Der maximal erreichbare Wertbeitrag einer Corporate Security entsteht aber nur dann, wenn eine leistungsfähige Sicherheitsfunktion vorhanden ist und die benötigten Services in allen vier Portfolioklassen erbringt. Als Voraussetzung hierfür sind ein Mandat und angemessene Ressourcen erforderlich.
Gerade bei den Leistungen der Cluster Business Unit Support und Enterprise Support gilt: Man muss solche Leistungen nicht nur erbringen können, sondern man muss es auch dürfen. Gemeint ist, dass die Geschäfts- und Unternehmensverantwortlichen hier den Security Experten auch die Chance geben sollten, zu zeigen, was sie können – und sie z. B. frühzeitig in verschiedenste anstehende Geschäftsentscheidungen mit einbinden.
(Erstellt auf Grundlage des Forschungsberichts der RC Security vom Januar 2024)
Autor:
Andreas Ebert,
Konzernbeauftragter für den Wirtschaftsschutz im Volkswagen-Konzern
Zu Teil 1 und Teil 3
- Wirtschaftsschutz und die Bedeutung von Security Portfolio und Security Strategy – Dr. Jürgen Harrer (CISS)
- Zur Strategie der Konzernsicherheit bei Volkswagen – Im Gespräch mit Andreas Maack, Leiter Konzern Sicherheit & Resilienz und CSO Volkswagen-Konzern
