KRITIS: Sicherheitskonzept mit No-Trust-Strategie bei Merck
Das moderne Bild der Unternehmenssicherheit ist nicht mehr ausschließlich geprägt vom „Ritter mit dem erhobenen Schwert, der die Burg beschützt“, sagt Volker Buß, seit drei Jahren Chief Security Officer bei der Merck Group. Es gehe viel mehr darum, gemeinsam mit den Geschäftseinheiten des Unternehmens eine Security-Strategie zu entwickeln – und zwar im Dialog mit den Geschäftseinheiten. Matthias Erler von GIT SICHERHEIT im Interview mit Volker Buß.
GIT SICHERHEIT: Herr Buß, bevor wir zu Ihren Aufgaben als Chief Security Officer bei der Merck Group kommen: Gemeinsam mit weiteren Autoren stellen Sie gerade ein Buch fertig, das sich speziell mit der Sicherheit von Familienunternehmen befasst. Könnten Sie uns schon mal ein kleines Sneak-Preview gewähren...?
Volker Buß: Bei dem Buch handelt es sich um ein Kompendium, das ich gemeinsam mit Hans-Walter Borries, dem stellvertretenden Vorstandsvorsitzenden des Bundesverbands für den Schutz Kritischer Infrastruktur (BSKI) für die Stiftung Familienunternehmen und Politik verfasst habe. Wir schauen in dem Werk auf die sich veränderten Gefahrenlagen, die zukünftig die Unternehmen vor neue Herausforderung stellt und behandeln die Themen BCM und Notfall und Krisenmanagement. Ich will nicht zu viel verraten, nur so viel: ab Herbst soll das Kompendium verfügbar sein.
Das Thema liegt Ihnen ja nahe – Sie sind auch Mitglied und Beirat der gerade von Ihnen erwähnten Stiftung Familienunternehmen und Politik. Welche Rolle spielen Sie dort?
Volker Buß: Ich darf mich glücklich schätzen, dass ich von Beginn an Teil des Sicherheitsbeirats der Stiftung sein durfte und mich als Gründungsmitglied bezeichnen darf. Wir haben ein Gremium von Experten geschaffen, das sich in regelmäßigen Sitzungen zu den aktuellen Sicherheitsthemen und Herausforderungen austauscht und bieten den Mitgliedern der Stiftung eine Plattform, an die sie sich mit Fragen rund um das Thema Sicherheit wenden können.
Was waren die wichtigsten beruflichen Stationen, bevor Sie zu Merck kamen – und seit wann sind Sie inzwischen für Merck tätig?
Volker Buß: Sicherlich gehören die unterschiedlichen Verwendungen in meiner 20jährigen Tätigkeit als Polizeibeamter zu den prägendsten. Daran anschließend sicherlich mein Einstieg in die Privatwirtschaft bei der Würth Gruppe. Ich bin dem Unternehmen und den Verantwortlichen bis heute dankbar, dass sie mir damals die Chance geboten haben mich dort zu entwickeln. Ich hatte eine lehrreiche Zeit, die mir enorm hilfreich war. Im Anschluss bin ich zu Merck gewechselt, wo ich mittlerweile seit beinahe drei Jahren die Rolle des CSO inne habe.
Was ist Ihnen bezüglich Ihres Selbstverständnisses und Ihrer Philosophie bezüglich der Unternehmenssicherheit besonders wichtig – auch in Abgrenzung zu herkömmlichen Sichtweisen?
Volker Buß: Wir sind Business Enabler und Botschafter für sicherheitsrelevante Themen. Ich empfinde die Rolle, die die Unternehmenssicherheit in der Vergangenheit eingenommen hat, als überholt. Es ist nicht mein Anspruch, eine reine Governance-Funktion zu sein, die Vorgaben macht, der Ritter mit dem erhobenen Schwert, der die Burg beschützt.
Mein Selbstverständnis und meine Philosophie sind es, gemeinsam mit den Geschäftseinheiten, anhand derer Bedarfe und Bedürfnisse eine Security-Strategie zu entwickeln die nachhaltig den Geschäftsbetrieb schützt und aufrechterhält. Ich bin der Meinung, durch den Dialog mit den Geschäftseinheiten sind wir in der Lage, maßgeschneiderte effiziente und effektive Standards zu entwickeln, die durch die Geschäftseinheiten auch umsetzbar sind. Darüber hinaus lernen wir durch diesen Austausch das Business viel besser kennen und haben die Möglichkeit, Problemstellungen zu erkennen und aufzuzeigen, die den Kollegen aus dem Business und uns bis zu diesem Zeitpunkt gar nicht bewusst waren und können diese dann gemeinsam bewältigen.
Natürlich lassen wir die klassischen Anforderungen, die sich aus gesetzlichen Regularien oder der klassischen Asset Protektion ergeben dabei nicht außer Acht. Es freut mich jedes Mal aufs Neue, wenn wir von vornherein durch das Business in Themen involviert werden oder um Rat gefragt werden. Dies ist für mich der Beweis, dass Corporate Security bei Merck nicht nur toleriert, sondern akzeptiert wird und wir mit unserer Philosophie und Herangehensweise nicht ganz falsch liegen.
Zu Ihren jüngsten wichtigen Projekten zählt die Zusammenziehung aller Security-Maßnahmen unter ein Dach, also Ihre Abteilung. Es hieß „reboot cyber“, hat also wohl vor allem mit einer Aufhebung der Trennung von allgemeiner und IT- bzw. Cybersicherheit zu tun...?
Volker Buß: Über die Frage, in welchem Bereich die Cybersicherheit anzusiedeln ist, scheiden sich seit eh und je die Geister und es gibt eine Vielzahl von Meinungen. Wir haben uns dafür entschieden, die Informationssicherheit in einem Bereich zu zentralisieren. Wir haben die Bereiche Informationsschutz und Cybersicherheit innerhalb von Corporate Security in einer neuen CISO-Organisation gebündelt und betreuen diese nun dort aus einer Hand. Das Cyber Security Operations Center war ebenso Teil der Transformation, genauso wie die Kollegen der Security-Software-Applikationen. Dies bietet uns den Vorteil, die Themen ganzheitlich und aus einer Hand zu bedienen. Darüber hinaus nutzen wir die Synergieeffekte mit dem Non-Cyber-Bereich, zum Beispiel in den Bereichen Risk Management, Incident-/Emergency Management und Security Auditing, um nur einige zu nennen.
Meiner Ansicht nach macht eine separierte Betrachtung der Maßnahmen in digitaler und analoger Welt oder in Non-cyber und Cyber keinen Sinn, da sich diese aktuell noch immer überschneiden, voneinander abhängig sind oder sich ergänzen. Als Nebeneffekt half uns diese Entscheidung und Umsetzung auch dabei, die Anforderungen aus dem IT-Sicherheitsgesetz an Betreiber Kritischer Infrastrukturen zu erfüllen und ich denke mit vorausschauendem Blick auf das KRITIS-Dachgesetz haben wir zumindest den Grundstein gelegt, auch die daraus resultierenden Anforderungen zu bewältigen.
Wie schätzen Sie die Gefährdungslage für ein Unternehmen wie Merck mit seiner globalen Präsenz ein? Wie ist die Informationsbeschaffung bei Merck organisiert?
Volker Buß: Ich denke, wir sind nicht mehr oder weniger stets einer latenten Gefährdung ausgesetzt als andere Dax-Konzerne auch. Sicherlich agieren wir auf Grund unserer Geschäftsbereiche in einem zum Teil kritisch beäugten Umfeld als auch in einem, in dem unser Wissen aus Forschung und Entwicklung sicherlich für den ein oder anderen Akteur von Interesse ist. Dessen sind wir uns bewusst und haben entsprechende Maßnahmen aktiv, wie beispielsweise die Informationsbeschaffung, auf die Ihre Frage abzielt. Zum einen beschäftigen wir Analysten innerhalb Corporate Security, die uns stets ein aktuelles Lagebild entwerfen. Wir nutzen aber auch die bekannten Quellen der Wirtschaftsschutzstellen, der Behörden sowie den Vereinen und Verbänden und bedienen uns der Fachliteratur wie der GIT SICHERHEIT.
Die Produktsicherheit – das heißt vor allem die Fälschung von Medikamenten – ist für Merck ein ganz besonders zentrales Thema. Welcher Art sind diese Fälschungen, von welchen Größenordnungen sprechen wir hier – und woher kommen die Fälscher in der Regel?
Volker Buß: Als Arzneimittelhersteller haben wir gegenüber unserem Kunden, den Patienten, eine besondere Verantwortung. Auf Grund dessen ist das Thema Patient Safety eines unserer zentralen Themen auch innerhalb von Corporate Security. Was die Art der Fälschungen angeht, bietet sich uns ein breites Spektrum, mit dem wir uns beschäftigen, angefangen von gefälschten Umverpackungen bis hin zu Totalfälschungen von Medikamenten. Gerade dabei ist es teilweise schockierend zu sehen, mit welcher Skrupellosigkeit die Täter vorgehen, um Profit zu erzielen. Ich bitte um Verständnis, dass ich hier nichts ins Detail gehen kann – aber die Schadenshöhen liegen weltweit im Millionenbereich, ganz zu schweigen von der Gefährdung und den Risiken, die sich daraus für die Patienten ergeben. Die Fälschung von Medikamenten ist ein weltweites Kriminalitätsphänomen. Für uns haben wir festgestellt, dass sich die Schwerpunkte im asiatischen als auch südamerikanischen Raum gebildet haben.
Welche Rolle spielt Ihre Abteilung dabei, welche Strategien verfolgen Sie hier und welche effektiven Maßnahmen können Sie hier ergreifen?
Volker Buß: In meiner Abteilung verantworten wir die Ermittlungen im Bereich Product Crime. Dies beinhaltet, Ansprechpartner für ermittelnde Behörden zu sein, aber auch die Recherche zu und Ermittlung von Tätern durch uns selbst. Zudem sind wir in Projekte der Geschäftseinheiten involviert, in denen beispielsweise neue Sicherheitskennzeichnungen an Umverpackungen entworfen werden. Ein anderes Beispiel sind Systeme die eine nahtlose Rückverfolgung des Lebenszyklus eines Medikamentes von der Produktion bis hin zum Endverbraucher ermöglichen.
Wie weit ist Prävention gegen diese Form von Kriminalität überhaupt möglich?
Volker Buß: Die präventive Arbeit in diesem Umfeld gestaltet sich schwierig. Wir schulen Sicherheitsbehörden zu unseren Produkten und dem Erkennen von Fälschungen. Des Weiteren screenen und monitoren wir den Markt nach potenziell gefälschten Produkten oder Tätergruppierungen, um dadurch frühzeitig eingreifen zu können. Außerdem sind wir in einem weltweiten Netzwerk der Arzneimittelhersteller organisiert, in dem ein ständiger Austausch zu aktuellen Ermittlungen und neuen Phänomenen stattfindet.
Merck ist ja ein Unternehmen mit einem starken Fokus auf Forschung. Können Sie uns einmal die Sicherheitsstrategie in diesem Bereich skizzieren?
Volker Buß: Ziel ist hier natürlich, den Abfluss von Informationen zu aktuellen Forschungsprojekten zu verhindern. Dazu haben wir Systeme im Einsatz, die dies monitoren und verhindern. Des Weiteren haben wir ein umfassendes Schulungsprogramm zum Umgang mit Daten und Informationen im Unternehmen, welches die Mitarbeiter zum richtigen Umgang mit solchen Informationen sensibilisiert und auf die Gefahren hinweist, denen wir ausgesetzt sind. Grundsätzlich verfolgen wir auch in diesem Bereich eine No-trust-Strategie.
Sie fallen auch unter den Begriff der Kritischen Infrastruktur. Das heißt, Sie sind auch von dem vorhin schon kurz erwähnten neuen KRITIS-Dachgesetz berührt. Was heißt das für Merck?
Volker Buß: Zum jetzigen Zeitpunkt fallen Teile der Produktion unter die Regularien und wir werden als KRITIS-Betreiber regelmäßig durch das BSI in diesen Bereichen auditiert. Durch die Einführung des KRITIS-Dachgesetzes wird sich der Scope auf einen Großteil des gesamten Unternehmens erweitern, was für uns zur Folge haben wird darauf zu reagieren und die geforderten und notwendigen Maßnahmen zu implementieren, Wir erwarten mit Spannung, in welchen Ausmaß wir uns neu ausrichten müssen, aber eins ist sicher: es wird eine Menge Arbeit bedeuten und uns vor neue Herausforderungen stellen – warten wir es ab.
Sie sind ja auch in einem Bitcom-Arbeitskreis zu diesem Thema aktiv...?
Volker Buß: Die Bitcom ist für uns ein wichtiger Partner in diesem Bereich und wir beteiligen uns und partizipieren an dem Informationsaustausch innerhalb der entsprechenden Gremien die sich aktuell zu dem Thema austauschen.
Herr Buß, Sie befassen sich derzeit intensiv mit dem Business Continuity Management. Was bedeutet das für Ihre Arbeit und Ihre Abteilung?
Volker Buß: Das ist richtig. In meiner Abteilung sind wir aktuell damit beschäftigt, das bestehende BCM auf seine Vollständigkeit und Wirkung zu überprüfen und bei Bedarf, gemeinsam mit dem Business, entsprechende Prozesse zu standardisieren und zu implementieren. Für meine Abteilung bedeutet dies zum einen, noch viel näher an die Geschäftseinheiten heranzurücken, dies bringt für uns den Vorteil, das Business und deren Notwendigkeiten viel besser zu verstehen, um als Berater und Partner unterstützen zu können. Zum anderen erweitern wir dadurch unseren eigenen Impact, den wir auf Geschäftsentscheidungen haben und erzeugen eine Sensibilität im Business für alle weiteren Security-Themen. Dies versetzt uns in die Lage, einen ganzheitlichen Service zu bieten, der die Resilienz des Unternehmens steigert und das Unternehmen in die Lage versetzt, bei Störungen der Betriebsabläufe schnell und effektiv den Normalzustand zu erreichen.
Dieser Bereich ist sicherlich ein entscheidender Baustein für die Bedeutung der Sicherheit im Management des Unternehmens insgesamt?
Volker Buß: Bei Merck sind wir glücklicherweise in der Situation, dass wir als Corporate Security vollumfänglich akzeptiert sind und die geleistete Arbeit sowie die Notwendigkeit einer solchen Organisation auch Wertschätzung erfährt, deshalb möchte ich mich an dieser Stelle auch für das entgegengebrachte Vertrauen seitens der Geschäftsleitung und allen unseren Stakeholdern im Unternehmen bedanken. Nichtsdestotrotz steigert dies nochmal mehr unsere Sichtbarkeit und unterstreicht den Mehrwert, den wir dem Unternehmen bieten können.
Haben Sie den Eindruck, dass das Sicherheitsmanagement an Standing gewonnen hat – auch bedingt durch die aktuellen Krisen?
Volker Buß: Definitiv. Sicherlich haben die aktuellen Krisen ihren Teil dazu beigetragen, dass das Sicherheitsmanagement ein anderes Standing erlangt hat. Aber wie wir alle wissen, ist dies normalerweise meist nicht von langer Dauer. Sobald die Krise bewältigt oder abgeflaut ist, verändert sich der Fokus wieder auf andere Bereiche. Dies hat sich aus meiner Wahrnehmung heraus verändert. Ich stelle fest, dass es einen Wandel in der Denkweise über oder zu dem Thema Sicherheit gibt. Weg von dem „Security ist ein Kostenfaktor und Verhinderer, den ich mir als Unternehmen leisten und ans Bein binden muss“ – hin zu „Sicherheitsmanagement ist ein vollständiger Partner im Unternehmen der zum Erreichen der Geschäftsziele seinen Beitrag liefert und somit Teil der Wertschöpfungskette ist.“
Herr Buß, herzlichen Dank für das Gespräch.
Business Partner
Merck KGaAFrankfurter Str. 250
64293 Darmstadt
Deutschland
Meist gelesen
Coded Processing: Funktionale Sicherheit ohne spezielle Hardware ermöglichen
Im Interview mit GIT SICHERHEIT erläutern Claudio Gregorio (Innotec) und Martin Süßkraut (Silistra Systems) wie die Technologie funktioniert.
Wie Unternehmen und Polizei zusammenarbeiten
GIT SICHERHEIT im Interview mit Julia Vincke, Leiterin Unternehmenssicherheit BASF, und Bettina Rommelfanger, Polizeivollzugsbeamtin am Landeskriminalamt Baden-Württemberg (LKA BW).
Phoenix: der erste Barfuß-Sicherheitsschuh auf dem Markt
Baak bringt mit "Phoenix" nach fünf Jahren Entwicklungsarbeit den ersten Barfuß-Sicherheitsschuh auf den Markt.
Konzernsicherheit und Krisenmanagement bei Carl Zeiss
Risikobasierter Sicherheitsansatz: "Wer alles schützen will, schützt nichts." GIT SICHERHEIT im Interview mit Sven Franke, Head of Security, Crisis Management & BCM bei Carl Zeiss.
Vieles ist noch ungeklärt: Justizvollzug als Bestandteil der kritischen Infrastruktur
Ein Beitrag von Wilfried Joswig, Geschäftsführer beim Verband für Sicherheitstechnik VfS.