Globale Konzernsicherheit bei der BMW Group
Rund 2,55 Millionen Autos verkaufte die BMW Group 2023 – und etwa 209.000 Motorräder. Mit rund 155.000 Beschäftigten weltweit erwirtschaftete der Premium-Hersteller von Automobilen und Motorrädern 155 Milliarden Euro Umsatz (2023). Neben dem Stammwerk in München gibt es zahlreiche Standorte weltweit. Für die globale Konzernsicherheit ist CSO Alexander Klotz zuständig. Zum Selbstverständnis zählt für ihn, dass Sicherheit eine Gemeinschaftsaufgabe ist und Mehrwert für das Unternehmen und alle Beteiligten schafft. Matthias Erler von GIT SICHERHEIT hat sich mit Alexander Klotz unterhalten.
GIT SICHERHEIT: Herr Klotz, Sie leiten die Konzernsicherheit bei der BMW Group – das ist allein bei den mehr als 30 Produktionsstandorten weltweit eine beachtliche Aufgabe. Lassen Sie uns zunächst einmal über Ihren eigenen beruflichen Background sprechen. Wie sind Sie zur Sicherheit gekommen, was waren entscheidende Stationen und seit wann sind Sie für die BMW Group tätig?
Alexander Klotz: Wie viele andere CSOs auch, war ich früher bei einer deutschen Behörde als Offizier bei der Bundeswehr. Dort habe ich auch studiert. Nach zehn Jahren hat es mich aber gereizt, die Sicherheit im privaten Sektor kennenzulernen. Es folgten spannende Aufgaben als Security Manager bei Infineon Technologies und in Leitungsfunktionen als CSO bei Schott in Mainz und der Uni Credit Group u. a. in Mailand, bevor ich 2017 zur BMW Group kam. Dort hatte ich zunächst die Verantwortung für die Themen Security Business Intelligence, Konzernermittlungen sowie Vorfalls- und Krisenmanagement. Seit drei Jahren leite ich jetzt die Konzernsicherheit der BMW Group. Für jemanden mit Benzin im Blut ist das die ideale Verbindung aus beruflicher Biografie und persönlicher Leidenschaft.
Geben Sie uns bitte einmal einen Überblick über Ihre Aufgabe und Ihre Verantwortlichkeiten. Wie viele Mitarbeiter sind in Ihrem Bereich tätig und wie ist das Ganze strukturiert – auch im Verhältnis zu den einzelnen Standorten?
Alexander Klotz: Mein Team und ich tragen die globale Verantwortung für die Sicherheit aller Mitarbeiterinnen und Mitarbeiter sowie der materiellen Assets, also unserer Standorte und Anlagen. Wir verantworten darüber hinaus auch die Sicherheit für unsere immateriellen Assets in Form von wertvollen Informationen, die uns auch weiterhin einen Wettbewerbsvorsprung sichern sollen. Organisiert sind wir über Zentralfunktionen hier in der Zentrale in München und regionale Sicherheitsfunktionen für Amerika, Europa und Asien. In der globalen Sicherheitsorganisation sind wir aktuell 140 Mitarbeiterinnen und Mitarbeiter auf zentraler und regionaler Ebene – hinzu kommt eine Vielzahl an operativen Kräften, die insbesondere an den weltweiten Produktionsstandorten für Sicherheit sorgen.
Bisher waren wir stark zentral organisiert. Die Herausforderungen der letzten Jahre haben aber sehr deutlich gezeigt, dass aktuelle und zukünftige Bedrohungen immer globalere und komplexere Auswirkungen haben und nicht mehr lokal begrenzt oder zentral gemanagt werden können. Deshalb befinden wir uns gerade auf einem Transformationspfad, auf dem wir die Regionen so stärken, dass sie zukünftig in der Lage sind, abgestimmt, aber autark zu handeln.
Aber nicht nur die Sicherheitsorganisation muss sich verändern. Derzeit befindet sich die gesamte Automobilbranche in einem signifikanten Paradigmenwechsel hin zur Elektrifizierung und Konnektivität. Das spiegelt sich auch in unserer Zukunftsvision „digital, elektrisch, zirkulär“ wider. Ein aktuelles Beispiel dazu: Unser Stammwerk in München wird momentan im laufenden Betrieb so umgebaut, dass wir ab 2025 mit der Neuen Klasse unseren Ansprüchen der Zirkularität und der Nachhaltigkeit ein großes Stück näherkommen.
Wie verstehen Sie Ihre Rolle als Konzernsicherheit in einem Großkonzern wie der BMW Group? Was sind Ihre Ansätze der Organisationsentwicklung insbesondere auch vor dem Hintergrund der weltweiten Präsenz des Unternehmens?
Alexander Klotz: Zunächst einmal sind wir als Sicherheitsorganisation sogenannte Enabler, die dem Management, aber auch den Fachbereichen, die an den eigentlichen Kernprozessen des Unternehmens beteiligt sind, ein sicheres Umfeld gewährleisten möchten. Hierfür sichern wir die Infrastruktur im physischen als auch digitalen Umfeld so ab, dass die Produktion unserer Fahrzeuge, Motoren und künftig auch Hochvoltbatterien sicher laufen kann. Dies gelingt jedoch nicht alleine, sondern nur gemeinsam mit allen relevanten Stakeholdern des Unternehmens. Für uns ist es deswegen elementar, das Business zu verstehen und die gleiche Sprache zu sprechen. Nur so ist es möglich, dass die verschiedenen Sicherheitsprodukte, die wir anbieten, auch effektiv zum Tragen kommen und damit die Resilienz des Unternehmens stärken.
Organisatorisch gesehen heißt das für uns, in wichtigen Netzwerken auf allen Ebenen im Unternehmen verankert zu sein. Das können auf Managementebene bestimmte Gremien sein, in denen wir sicherheitsrelevante Informationen bereitstellen oder strategisch bedeutende Standortentscheidungen mit beeinflussen. Wir sind aber auch in flächendeckenden Sicherheitsnetzwerken vertreten, wie etwa in der Informationssicherheit. Dort sorgen wir mit einer starken Governance und Vernetzung dafür, dass in kritischen Bereichen, z. B. Automotive Security, Kundendaten etc., Sicherheit eine maßgebliche Rolle spielt und Security-by-Design in allen Prozessen mitgedacht wird – und zwar von Anfang an. Ein gutes Beispiel hierfür ist der Prototypenschutz, etwa bei unserem neuen BMW X3. Hier sind wir im Projektteam ab der frühen Phase dabei und nehmen u. a. die Tarnung gemeinsam mit anderen Stakeholdern ab. Genauso verhält es sich auch bei der Planung eines neuen Werkes oder einer sonstigen Liegenschaft – Sicherheitsaspekte planen wir von Beginn an mit ein und setzen sie gemeinsam mit den operativen Kräften vor Ort in der Planungs- und Bauphase und im laufenden Betrieb um.
Welchen Stellenwert hat der Beitrag der Sicherheit innerhalb des Konzernmanagements?
Alexander Klotz: Der Beitrag, den wir als Sicherheitsorganisation für das Unternehmen leisten, besteht darin, relevante Sicherheitsrisiken vorausschauend zu erkennen und diese möglichst zu minimieren. Die Bedeutung dieser Aufgabe wird auf allen Ebenen der BMW Group verstanden und mitgetragen. Durch unsere zielgruppenorientierten Produkte wie strategische Lagebilder, Szenarioanalysen, gezielte Sensibilisierungskampagnen, aber auch Ad-hoc-Vorfalls- und Krisenmanagement finden wir auch im oberen Management Gehör und Unterstützung. Zum Vorstand haben wir einen sehr engen Draht und berichten regelmäßig. Nicht zuletzt kommt die enge Verbindung auch dadurch zustande, dass wir aus der Konzernsicherheit heraus vorstandsnahe Tätigkeiten erbringen, wie z. B. Personenschutz oder Fahr- und Empfangsdienste. Das schafft natürlich eine breitere Vertrauensbasis.
Ist Ihre Erfahrung, dass die jüngste Abfolge von Krisen die Wahrnehmung der Konzernsicherheit und deren Bedeutung verändert hat? Wie stellt sich das dar?
Alexander Klotz: Über die Jahre hat sich die BMW Group Konzernsicherheit einen sehr guten Stellenwert erarbeitet – das hilft mir und meinen Mitarbeitenden natürlich. Es ist aber schon so, dass die Problemstellungen, Vorfälle und Krisen der letzten Jahre die Wahrnehmung der Sicherheit im Konzern nochmals geschärft hat – etwa durch erfolgreiche Lösungen, z. B. im Krisenmanagement während Corona oder unsere Unterstützung bei der Aufrechterhaltung der Lieferketten in verschiedenen weltweiten Krisengebieten. Die Wertschätzung und die Akzeptanz unserer Deutungshoheit in Sachen Sicherheit ist auf jeden Fall spürbar. Dadurch haben wir einerseits eine höhere Sichtbarkeit, andererseits sind aber auch der Anspruch und die Anforderungen an uns gestiegen. Das zeigt sich u. a. daran, dass unsere Schnittstellen im Unternehmen noch schneller und umfassender zu potenziellen Entwicklungen informiert werden wollen. Für uns heißt das, dass wir noch schneller und noch digitaler werden müssen.
Sie verfolgen einen ganzheitlichen Ansatz aller Prozesse in der Konzernsicherheit und insgesamt bei der BMW Group. Könnten Sie das etwas näher erläutern?
Alexander Klotz: Grundsätzlich integrieren wir uns in die Prozesslandschaft des Unternehmens. All unsere Prozesse sind an den strategischen Zielen der Konzernsicherheit ausgerichtet und adressieren unsere Schutzgüter. Das bedeutet konkret: Wir verfolgen einen ganzheitlichen „prevent, detect, respond“-Ansatz, der zukünftig auch unsere globale Organisationsstruktur stark bestimmen wird.
Im präventiven Anteil dieses Ansatzes findet sich der Ordnungsrahmen, also die Governance einschließlich der Risikobewertung wieder. In den Bereichen „detect“ und „respond“ geht es schwerpunktmäßig um Security Business Intelligence und Analyse sowie das effektive Handling von Vorfällen. Über diese prozessorientierte Organisationsstruktur sind wir zukünftig in der Lage, unser globales tägliches Geschäft noch besser zu meistern. So leisten wir einen wesentlichen Beitrag zur organisatorischen Resilienz der BMW Group – immer mit dem Anspruch, uns kontinuierlich zu verbessern.
Herr Klotz, Sicherheit ist ja eine essentielle und mitunter lebenswichtige Managementaufgabe. Dazu gehört es, global Bedrohungen zu erkennen – und diese dann zu kommunizieren, um Gefahren abzuwenden. Lassen Sie uns erst einmal über potentielle Bedrohungen sprechen. Wie stellt sich das insbesondere für die BMW Group dar – und welche Mittel stehen Ihnen zur Verfügung, diese Bedrohungen zu erkennen?
Alexander Klotz: Sicherheit ist in der Tat ein elementares Grundbedürfnis. Erst wenn dieses Bedürfnis adressiert ist, können sich weitere Aktivitäten frei entfalten. Das gilt für jedes Unternehmen. Damit es uns in unserem Umfeld gelingt, Bedrohungen früh zu erkennen, müssen wir in der Lage sein, aus dem riesigen Pool an Informationen diejenigen herauszufiltern, die valide und relevant sind – Stichwort „separating the signals from the noise“.
Dazu haben wir in den letzten Jahren entsprechende Kompetenzen im Bereich Data Science & Analytics aufgebaut. Unser Ziel ist es, aus der Vielzahl an Informationen bedeutsame Muster ableiten zu können, die unter Umständen Auswirkungen auf das Unternehmen haben könnten. Das können z. B. geopolitische Daten sein, die zunächst keine unmittelbare Relevanz haben, dann aber durch starke Interdependenzen doch für uns Bedeutung erhalten. Unsere Produkte müssen natürlich über die Wiederholung von Nachrichten hinausgehen – wissen, was noch keiner weiß, falsche von richtigen Informationen unterscheiden. Das macht unseren Job extrem spannend. Dafür braucht es ein Team, das dazu in der Lage ist. Die Kolleginnen und Kollegen müssen die Produkte auf den jeweiligen Business-Kontext zuschneiden und für andere verständlich machen. Zielgruppe kann das Management oder aber auch der einzelne Mitarbeiter sein.
Können Sie einmal ein paar wichtige Beispiele für Bedrohungsszenarien nennen, auf die Sie sich vorbereiten müssen? Welche Formen der Bedrohung, welche Gefahren beschäftigen Sie derzeit am stärksten?
Alexander Klotz: Es sind im Wesentlichen drei Dinge: Erstens ist es – wie für alle Unternehmen – das Thema Cyberkriminalität bzw. Cyberbedrohungen allgemein, z. B. auch durch staatliche Akteure. Zweitens stehen wir als Automobilhersteller besonders im Fokus von Aktivismus und Extremismus. Und drittens sind es geopolitische Lagen, kriegerische Auseinandersetzungen und Konflikte, die sich auch unmittelbar auf die Sicherheit von Mitarbeitern oder BMW Group Assets auswirken. Kritisch in diesem Zusammenhang sind aber auch die potentiellen Auswirkungen auf unsere Lieferanten und Lieferketten.
Wie beschaffen Sie sich relevante Informationen?
Alexander Klotz: Wir setzen bei der Informationsbeschaffung auf eine Kombination aus unterschiedlichen Quellen: spezielle Dienstleister, Open Source Informationen, Think-Tanks oder auch den Austausch mit anderen Unternehmen. Zusätzlich legen wir Wert auf eine exzellente Zusammenarbeit mit nationalen und internationalen Behörden. Die dadurch erhaltenen Rohdaten werden anhand spezifischer Kriterien gefiltert (pre-processing). Diese Kriterien definieren wir inhouse. Wir kategorisieren hier und betrachten mehrere Faktoren, die für die Einordnung von Relevanz sind – wie die Distanz zwischen einem Sicherheitsereignis und einem unserer Werke oder Standorte. Natürlich analysieren wir auch vergangene Großveranstaltungen, inhouse oder extern, etwa die IAA, die Münchner Sicherheitskonferenz oder die Auto Shanghai.
Aus all diesen Infos generieren wir unsere „Produkte“. Produkte, die auf die Zielgruppe zugeschnitten sind, mit denen ein Security-Experte oder Entscheidungsträger etwas anfangen kann. In Krisenfällen oder in Situationen, in denen wir parallel auftretenden Bedrohungen rasch begegnen müssen, passen wir unsere Arbeitsweise an und bilden flexible Teams mit relevanten Netzwerken innerhalb und außerhalb des Unternehmens. Auf diese Situationen bzw. auf potentielle Krisen-Szenarien bereiten wir uns auch regelmäßig mit den Entscheidungsträgern im Unternehmen vor. Auch an allen anderen Standorten der BMW Group gibt es lokale Krisenmanagementstrukturen, die im Rahmen von Trainings und natürlich im Ernstfall schnell zusammentreten.
Was sind Ihre nächsten wichtigen Projekte?
Alexander Klotz: Das Hauptziel bleibt immer gleich: die BMW Group effektiv zu schützen. Die Art und Weise wie wir das tun, orientiert sich dabei stark an der jeweiligen Sicherheitslage und deren Auswirkung auf die BMW Group. Aktuell lassen sich aber drei Punkte festhalten:
- Erstens: Wie eingangs erwähnt, befinden wir uns inmitten einer Transformation, mit dem Ziel, die Regionen noch mehr zu stärken, um globalen Herausforderungen gewachsen zu sein.
- Zweitens: die weitere Verbesserung unserer Frühwarn- und Prognosefähigkeit.
- Und drittens: Personalgewinnung und Personalentwicklung.
Auch wenn wir bei der BMW Group regelmäßig als attraktiver Arbeitgeber honoriert werden, müssen wir mehr als früher dafür tun, geeignete, kompetente Mitarbeiter und Führungskräfte zu finden und zu entwickeln. Mit dem kontinuierlichen Anstieg an Bedrohungen und Krisen weltweit erleben wir gerade in der Sicherheit eher einen Arbeitnehmermarkt. Deshalb ist es auch meine und unsere Aufgabe hier nachzuschärfen, damit sich potenzielle Kandidatinnen und Kandidaten auch in Zukunft für uns entscheiden und wir mit voller Kraft vorausgehen können.
Ich setze voll auf mein Team. Mein klares Ziel und gleichzeitig wohl größte Aufgabe: Menschen gewinnen und bewegen, die nicht unmittelbar mit mir zusammenarbeiten. Es kommt darauf an, eine Mannschaft zusammenzubringen, die über den kompletten Globus verteilt ist und in verschiedenen Zeitzonen sitzt. Wir sind eine Community und haben alle dasselbe Ziel: Sicherheit als wesentlicher Erfolgsfaktor. Und das geht nur gemeinsam in einem funktionierenden Netzwerk.
Herr Klotz, vielen Dank für dieses interessante Gespräch. Zum Abschluss kann aber eine Frage nicht fehlen: Was fahren Sie eigentlich für ein Auto und warum?
Alexander Klotz: Ich habe ja das Privileg, sehr häufig die Fahrzeuge wechseln und alles probieren zu können. So viel kann ich aber verraten: In der Modellbezeichnung sollte immer „der stärkste Buchstabe der Welt“ – das „M“ vorkommen.
Meist gelesen
VIP-Interview: Ante Gaspar, Corporate Security bei Coca-Cola
GIT SICHERHEIT im Interview mit Ante Gaspar, Vice President Corporate Security & Integrity bei Coca-Cola Europacific Partners (CCEP).
Wie Unternehmen und Polizei zusammenarbeiten
GIT SICHERHEIT im Interview mit Julia Vincke, Leiterin Unternehmenssicherheit BASF, und Bettina Rommelfanger, Polizeivollzugsbeamtin am Landeskriminalamt Baden-Württemberg (LKA BW).
General Product Safety Regulation (GPSR): Was regelt sie und welche Akteure müssen sich damit befassen?
Neue EU-Produktsicherheitsverordnung (GPSR) ab 13.12.2024: Wichtige Änderungen und Anforderungen für Verbraucherprodukte
Kommunale Sicherheit: Gespräch mit der Düsseldorfer Ordnungsdezernentin Britta Zur
Öffentliche Sicherheit der Stadt Düsseldorf im Zusammenspiel von Ordnungsamt und Polizei: Ordnungsdezernentin Britta Zur im Interview über die Kriminalitätsentwicklung, Gefahrenabwehr und Fußball-EM 2024.
Konzernsicherheit und Krisenmanagement bei Carl Zeiss
Risikobasierter Sicherheitsansatz: "Wer alles schützen will, schützt nichts." GIT SICHERHEIT im Interview mit Sven Franke, Head of Security, Crisis Management & BCM bei Carl Zeiss.