Globales Sicherheits-Management bei Deutsche Post DHL
Das größte Logistik-Unternehmen der Welt sitzt in Bonn: Die Deutsche Post DHL Group ist in 220 Ländern tätig mit rund 500.000 Mitarbeitern weltweit ist das DAX-Unternehmen ein gew...
Das größte Logistik-Unternehmen der Welt sitzt in Bonn: Die Deutsche Post DHL Group ist in 220 Ländern tätig – mit rund 500.000 Mitarbeitern weltweit ist das DAX-Unternehmen ein gewaltiger Global Player. Entsprechende Dimensionen haben die Anforderungen an die Konzern-Sicherheit – sie muss den Perimeterschutz eines Logistikzentrums genauso im Blick haben wie die weltpolitische Lage und wirtschaftspolitische Entwicklungen wie z. B. TTIP. Matthias Erler von GIT SICHERHEIT ließ sich von Frank Ewald, Vice President Corporate Security Deutsche Post DHL, Einblick in seine Arbeit gewähren.
Herr Ewald, Sie sind Vice President Corporate Security bei Deutsche Post DHL. Wie sind, in groben Zügen gesprochen, die Aufgaben Ihrer Abteilung im Konzern definiert?
Frank Ewald: Grundsätzlich fallen alle Aufgaben in meinen Bereich, die das Thema Sicherheit in irgendeiner Weise tangieren – abgesehen von der klassischen IT-Sicherheit, wobei wir dort auch Teile des repressiven Teils übernehmen, also den Bereich Counter-Cyber-Crime. Die Konzernsicherheit versteht sich bei uns als Koordinator für alle weltweiten operativen Sicherheitsbereiche. Sie ist Informations-Drehscheibe und Wissens-Multiplikator. Wir vermeiden dadurch Ressourcenverschwendung, also etwa mehrfache Recherche. Wir geben unsere Erkenntnisse den jeweils maßgeblichen Bereichen weiter.
Lassen Sie uns zunächst einmal einen Überblick darüber gewinnen, mit welcher Art von Risiken Sie sich bei Deutsche Post DHL im Bereich Corporate Security befassen...
Frank Ewald: Allgemein gesprochen, geht es zunächst einmal um sämtliche Risiken, die ihre Wurzeln im Bereich Sicherheit haben. Sie hängen insbesondere mit unseren Geschäftsfeldern zusammen – also mit der Logistik, dem Schutz von Lieferketten, damit verbunden aber auch dem Schutz der Kundengüter. Außerdem geht es um die Sicherheit der Mitarbeiter sowie um die Bewältigung von Risiken aus dem Cyber-Raum. Last but not least befassen wir uns mit sicherheitsregulatorischen Risiken, also mit der Früherkennung gesetzgeberischen Handelns, das sich negativ auf die Sicherheitsstrukturen bzw. auf die Geschäftsaktivitäten des Unternehmens einwirken würden.
Was könnte das beispielsweise sein?
Frank Ewald: Ein Beispiel wäre etwa eine Gesetzesinitiative zur Luftsicherheit, die vielleicht vorschriebe, dass an jedem Einlieferungsort von Sendungen ein Röntgen-Screening stattfinden muss. Die Folgen eines solchen Risikos frühzeitig abzuschätzen, bezüglich des betriebswirtschaftlichen Aufwands im Vergleich mit dem möglichen Gewinn an Sicherheit, wäre sehr wichtig: – so wäre es betriebswirtschaftlich völlig unverhältnismäßig, jedes Paket mit einem millionenteuren Gerät scannen zu müssen, wenn – wie vielleicht in einem kleinen afrikanischen Land – gerade ein Paket in der Woche bearbeitet werden muss...
Sie arbeiten ja mit einem Sicherheitsmanagementsystem, das in das Gesamtmanagementsystem der Deutsche Post DHL eingebettet ist. Wie sieht das genau aus?
Frank Ewald: Als grundlegendes Konzept für jedes Sicherheitshandeln bei uns im Konzern dient unser selbstentwickeltes Deutsche Post DHL Group Sicherheitsmanagementsystem. Dieses ist sehr stark an die ISO 28000 für Sicherheitsmanagementsysteme für die Lieferketten angelehnt. Im Bereich Risikobewertung ergänzen wir dieses in Anlehnung an ISO 31000. Die Komplexität unserer globalen Sicherheitsaufgaben sind nur mit solchen Instrumenten möglich. Nur sie erlauben ein strukturiertes und zielgerichtetes Sicherheitshandeln auf Grundlage der immer gleichen Methoden.
Welcher Management-Methoden bedienen Sie sich bei der Erfüllung von Sicherheitsaufgaben?
Frank Ewald: Grundsätzlich arbeiten wir ganz klassisch im Sinne des Management-Cycles „Plan, Do, Check, Act“. In wiederkehrenden Zyklen planen, implementieren, überprüfen und verbessern wir unsere Sicherheitsprozesse. Genauer gesagt, geht es also immer darum Risiken zu Bewerten, Gegenmaßnahmen zu planen, diese dann umzusetzen und sie schließlich auf ihre Wirksamkeit hin zu überprüfen und diesen Erkenntnissen entsprechend zu verbessern: Geht es, um ein fiktives Beispiel herauszugreifen, um die Sicherheit von Mitarbeitern in Nordafrika, dann müssen wir etwa das Risiko einschätzen, in gewissen Gebieten entführt zu werden, entsprechende Maßnahmen planen – also die Frage beantworten, ob gegebenenfalls Bewaffnung erforderlich oder überhaupt kein Aufenthalt mehr möglich ist. Die Implementierung besteht etwa in einer Reisewarnung durch unsere Dienstleister. Das Ganze wird ständig bewertet und auf Lücken untersucht – dann wird die Maßnahme verbessert oder weitergeführt.
Es geht dabei um Sicherheit im Security-Sinne – aber auch um Mitigation, sprich Schadensminderung, und betriebswirtschaftliche Effizienz. Sie hatten das vorhin bereits einmal angedeutet. Könnten Sie das etwas näher erläutern?
Frank Ewald: Bei der angesprochenen Bewertung im Management-Cycle geht es in der Tat nicht nur um Effektivität jeder Maßnahme, sondern auch darum, ob sie effizient ist: Kann man das gleiche Ergebnis günstiger erreichen? Kann man vielleicht mit Dritten zusammenarbeiten? Es geht hier um die Verhältnismäßigkeit der Mittel. Das lässt sich am Beispiel der Perimetersicherheit zeigen. Hier gibt es bestimmte Standards – es muss eine Einfriedung geben, etwa ein Zaun oder eine Mauer. Jetzt kann ich mich fragen: Bringt das wirklich mehr Sicherheit? Oder kann ich diese Sicherheit auch durch andere Technik, zum Beispiel Laserüberwachungseinrichtungen, Kameras mit Zonenfeldern, erreichen und dabei Kosten einsparen?
...muss bei dieser Abwägung zwischen Sicherheit und mikroökonomischer Effizienz nicht auch der Gedanke der Grundversorgung mit postalischen Diensten eine Rolle spielen?
Frank Ewald: Das ist kein Widerspruch. Anders als noch vor dreißig Jahren müssen wir Grundversorgung und Effizienz bei allen Sicherheitsmaßnahmen zusammendenken. Es geht uns im Übrigen auch darum, mit Hilfe von Sicherheitsmaßnahmen Mehrwert zu erzeugen
Wie das?
Frank Ewald: Etwa mittelbar durch die Sicherung bestimmter Betriebsabläufe – aber auch unmittelbar, insofern, als gewisse Logistikprozesse ohne die Prozessschritte der Sicherheit nicht funktionieren würden bzw. überhaupt nicht zulässig wären. Beispielsweise darf kein Paket in ein Flugzeug, das nicht geröntgt wurde. Ein anderes Beispiel: Auf dem Flughafen darf kein Mitarbeiter beschäftigt sein, der keine Luftsicherheitsüberprüfung hat. Wir unterstützen also diese Prozesse und machen sie durch die Luftsicherheit überhaupt erst möglich. Das geht auch von unseren Kunden aus: Sie vergeben einen Auftrag an uns, weil wir bestimmte Sicherheitsstandards garantieren. Wir machen auch beim Kunden Logistiksicherheits-Analysen. Durch Visualisierung der Lieferketten können wir häufig Engpässe, die durch bestimmte Ereignisse hervorgerufen werden, frühzeitig erkennen und vermeiden. Das bieten wir nicht nur globalen Playern an, auch Mittelständler sind daran interessiert, weil auch er mit verschiedenen Lieferketten arbeitet, etwa wenn er aus dem Ausland Waren bezieht.
Zur Prognose von Sicherheitsrisiken beobachten Sie die allgemeine Sicherheitsentwicklung und die geopolitische Lage. Geben Sie uns einmal ein paar Beispiele, welche Art von Informationen vor allem relevant sind und warum?
Frank Ewald: Für uns ist eine ganze Vielfalt von Entwicklungen und Sicherheitsrisiken maßgeblich. Deutsche Post DHL hat dafür eine eigene Plattform namens Resilience360 entwickelt. Dort fließen viele Daten unserer eigenen Stellen sowie von verschiedenen Dienstleistern ein – beispielsweise über Naturkatastrophen und andere Schadensereignisse. Hier kaufen wir beispielsweise Informationen von Versicherungsgesellschaften und Intelligence Providern ein, die diese Daten erheben. Wir haben aber auch eigene Datenbanken – wir sind ja in jedem Land selbst präsent. Zudem beziehen wir auch Informationen aus Sozialen Medien. Relevant sind zum einen Daten über Ereignisse – aber auch solche über Veränderungen die sich langfristig auf die Sicherheitslage auswirken können. Das können Wahlen, Bündnisse, Koalitionen, etc. sein oder auch regulatorische Initiativen wie TTIP.
Über das Freihandelsabkommen TTIP wird gerade kontrovers diskutiert – wie ist Ihre Haltung zu diesem Thema?
Frank Ewald: Auch wenn man das Thema nicht blauäugig betrachten sollte, wäre so ein Abkommen über den Freihandel extrem wertvoll: Ausfuhren brauchen heute wegen der Überprüfung durch verschiedene Behörden noch sehr viel Zeit – hier würde sich vieles vereinfachen und beschleunigen. Sendungen könnten schneller und unkomplizierter befördert werden. Anderseits müsste man Sicherheitsvorkehrungen an die Außengrenzen des neuen Freihandelsbereichs verlagern – ganz ähnlich wie beim Schengenraum.
Daten müssen analysiert werden, um sie für die Praxis fruchtbar zu machen. Mit welchen Methoden arbeiten Sie hier im Einzelnen?
Frank Ewald: Wir arbeiten derzeit daran, gerade die Massendatenanalyse stärker zu nutzen. Ziel ist es, dadurch Trends zu erkennen und potentielle Szenarien zu entwickeln, die valide Prognosen für die Zukunft ermöglichen. Wir arbeiten auch hier mit Dienstleistern zusammen – und wir haben ein eigenes Team im Unternehmen, das unsere Logistikprozesse darauf hin untersucht, wie man die diesbezüglichen Daten besser nutzen kann, etwa im Sinne eines Forecastings, sprich der Prognose künftiger Entwicklungen. Dies geschieht durch den Einsatz von Algorithmen – statt der bisherigen händischen Bearbeitung. Anders geht es kaum noch, wie etwa die Auswertung von Twitter-Meldungen zeigt: Was macht man z. B. mit 25.000 Tweets aus einer Krisenregion – wie validiert man das? Computer filtern diese Daten mit Hilfe von Algorithmen innerhalb von Millisekunden. Im Ergebnis kommt man zu bestimmten Sätzen, wobei man sagen muss, dass das was der Computer als relevant auswirft, muss noch einmal von Analysten gegengeprüft werden. Wir können uns nicht völlig dem Computer aussetzen...
Aus den Ergebnissen der Analyse entwickeln Sie Sätze, wie Sie sagen, – und letztlich bestimmte Szenarien. Wie kann so etwas aussehen?
Frank Ewald: Zunächst ist es wichtig, besonders valide Trends von den relativ bis weniger zuverlässigen Daten zu unterscheiden. Besonders valide Trends ermöglichen verhältnismäßig zuverlässige Aussagen. Ein hypothetisches Beispiel: Man hat vielleicht beobachtet, dass bei neun von zehn Fällen von Regierungsstürzen in afrikanischen Staaten der Flughafen jeweils zwei Tage geschlossen wurde: Wenn sich so ein Sturz also wieder abzeichnet, könnte man relativ valide sagen, dass die darin liegende Gefährdung der Lieferkette sich auch diesmal realisiert. Das wiederum bedeutet, dass man sich Anflüge dieses Landes sparen kann. Der Kunde, der mit Resilience 360 arbeitet, kann jetzt beispielsweise Güter umleiten.
...und wenn die Lage nicht so klar ist?
Frank Ewald: Dann entwerfen wir Szenarien mit verschiedenen Eintrittswahrscheinlichkeiten und Auswirkungsmöglichkeiten: Einen „worst case“, einen „most probable case“ und einen „best case“. Im Beispiel eben: Schlechtestenfalls bleibt der Flughafen ein Jahr geschlossen, der wahrscheinlichste Fall wäre vielleicht, dass er zwischen zwei bis 14 Tagen wieder offen ist – und im besten Fall bleibt er überhaupt offen. Diese Szenarien legen wir dem betreffenden Business-Manager vor – diese können entscheiden, welches geschäftliche Risiko auf dieser Grundlage eingehen können und wollen.
Sie haben ja auch Standardprozesse entwickelt, mit denen jeder Einzelstandort arbeiten kann?
Frank Ewald: Wir arbeiten mit einem internen QM-System. Dabei haben wir eine eigene Policy-Struktur entwickelt, die wiederum von einem halbautomatisierten Dokumenten-Managementsystem verwaltet wird. Werden beispielsweise bestimmte Prozesse geändert, werden die betreffenden Vorschriften im Rahmen eines Genehmigungsmanagements geändert und an die relevanten Stake Holder verteilt. Diese finden die Veränderungen in der Datenbank vor und müssen sich nicht jeweils selbst darum kümmern. Hier geht es aber nicht nur um Vorschriften, sondern um alle Prozesse der Konzernsicherheit, auch z. B. um Prävention im Counter-Crime-Bereich – oder das Training von Entsandten im Ausland, sogenannte Expats: Sie bekommen Informationen über das Land, die Sicherheitsstufe – und gegebenenfalls z. B. Onlinetraining, Einweisungen in Liegenschaften, etc. All diese Informationen sind in der Datenbank hinterlegt. Im Übrigen arbeiten wir in der Logistik stark nach den TAPA-Standards.