„Unternehmenssicherheit“ – welche Gedanken kommen in den Sinn, wenn dieser Begriff fällt? Aus der „Froschperspektive“ betrachtet mag man an die (hinderlichen) Kontrolleinrichtungen und (unverständlichen) „Zutrittsbeschränkungen“ denken,
wohlmöglich auch an die (lästige) Pflicht zum Tragen von Hygiene- oder Schutzkleidungen. Wechselt man die Perspektive und betrachtet das Unternehmen aus der „Vogelperspektive“, kann schon die Notwendigkeit für die eine oder andere Maßnahme erwachsen. Überhaupt, vieles von dem, was im Unternehmen die „Sicherheit“ betrifft, spielt sich im „Verborgenem“ ab und erschließt sich selten dem interessierten Betrachter. Das mag sicherlich im Zusammenhang mit dem fehlenden „Marketing“ der Fachleute stehen, deren Aufgaben wie ein Flickenteppich in unterschiedlichen Abteilungen verteilt sind, meist getrennt voneinander und selten abgestimmt.
„Sicherheit“ und „Kosten“, das ist schon eher geläufig. Wer jedoch den Zusammenhang von „Prozesssicherheit“ und „Betriebswirtschaft“ herstellt, betritt in der Regel „Terra incognita“, ein (noch) unbekanntes Land. Aber genau auf diese Reise möchte ich Sie mitnehmen und den Blick auf hohe Potentiale lenken, die es in jedem Unternehmen gibt und die nur darauf warten, entdeckt und genutzt zu werden. Ich entwickle kein neues Management, spreche nicht von „System“, sondern beschreibe einen neuen Ansatz, die „Sicherheit“ zum Garanten für sicherere und belastbare Prozess- und damit effektivere Wertschöpfungsketten zu nutzen. Profitabel wachsen, das habe ich im Sinn, ein stringent betriebswirtschaftliches Ziel.
Über den Autor
Heinz Lorse war Sicherheitschef der Gerolsteiner Brunnen GmbH & Co. KG und ist heute als Berater tätig.
Habe ich Sie neugierig gemacht? Dann folgen Sie mir bitte auf eine „Reise“, die Sie am Ziel zu einem neuen Verständnis für die Aufgabe „Unternehmenssicherheit“ führen kann.
„Sicherheit ist, wenn das Unternehmen funktioniert“
Es ist praktisch, die Aufgaben „Schutz“ und „Sicherheit“ mit englischen Begriffen zu umschreiben. Im Ergebnis definiert ein jeder Sicherheitsverantwortliche dann selbst,
was er darunter zu verstehen glaubt. Meist überwiegt dann der Zwang, „etwas tun zu müssen“. Ein wirtschaftlicher Plan wird damit selten verfolgt. Die mitunter in Fachzeitschriften und auf Kongressen gepriesenen Angebote der „Hersteller und Errichter von Sicherheitseinrichtungen“ sind häufig reaktiv und beschäftigen sich selten mit der Zukunft, dafür umso mehr mit der Vergangenheit. Die „Verhaltenskontrolle“ der Beschäftigten steht im Vordergrund, sehr zum Argwohn der Arbeitnehmervertreter, welche die Sinnfrage stellen (zumindest diese tun es!).
Viele Sicherheitsverantwortliche – meist ehemalige Polizisten – tun das, was sie gelernt haben. Sie kümmern sich (weiterhin) um deliktischen Vorgänge (im Unternehmen) und weisen ihre Daseinsberechtigung in bunten Diagrammen und der Anschaffung von immer neuen „Kontrollanlagen“ und „Überwachungssystemen“ nach. Die dabei anfallende gewaltige Datenflut löst einen hohen Arbeitsaufwand aus und bedarf umfangreicher Regelungen. Man ist sehr beschäftigt! Die Systeme kosten zudem Geld und eine ständige Pflege, aber diese Kosten sind budgetiert und fallen nicht weiter auf. Ob Aufwand und Ergebnis angemessen sind, ob gar einen Beitrag zur Wertschöpfung entsteht, ob ein angemessener Return on Investment (ROI) erzielt werden kann, wird selten hinterfragt.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Das kommt erst in den Sinn, wenn im Rahmen von Kostenwertanalysen „alles auf den Prüfstand gestellt wird“, aber dann ist es häufig zu spät für gute Einsichten. Die Kontrollwut fördert das Misstrauen der Menschen, die sich notgedrungen „Hintertüren“ schaffen. Das Spiel „Katz und Maus“ beginnt – die Mäuse gewinnen! Die Unternehmenskultur und die Werte nehmen dabei schweren Schaden.
Deliktische Handlungen stellen eine schwere Störung des Betriebsfriedens dar. Unbestritten! In Unternehmen mit klaren Strukturen, einem „gelebten“ Wertesystem, einer spürbar positiven Unternehmenskultur, wertschätzendem Umgang und unternehmerischer Verantwortung auf allen Hierarchiestufen sind deliktische Handlungen so gut wie unbekannt. Es herrscht Frieden, man konzentriert sich auf die betrieblichen Ziele und arbeitet miteinander. Der „Head of Investigation“ wird einfach nicht benötigt, der „Head of Security“ auch nicht, zumindest wenn er sich nicht für die Zukunft interessiert! Eine Verhaltenskontrolle der Beschäftigten wird nicht benötigt.
Welche Aufgabe hat „Sicherheit“ dann zu erfüllen? Warum führen die bekannten Ansätze in die Irre und wie kann die Aufgabe neu und besser beschrieben werden? Ich möchte Ihnen einen Weg aus der Praxis aufzeigen, in dem die Sicherheit mittendrin statt außen vor in den Prozessketten wirkt und sich zum Motor für die Wertschöpfung entwickeln kann. Die Unternehmenssicherheit ist darin ein betriebswirtschaftlicher und wertschöpfender Baustein im Unternehmensmodell.
"Im Mittelpunkt steht der Mensch!"
„Wirksame Führungskräfte“ (Fredmund Malik) erkennen das großartige Vermögen der ihnen anvertrauten Menschen und delegieren. Delegation von Verantwortung als Führungsprinzip beinhaltet natürlich auch die Sicherheit der Prozesse und damit deren Gelingen. Sicherheit ist in diesem Sinne Prozesssicherheit. Nur dann, wenn dieser Schritt gewagt wird, die Steuerung der Prozesse als Teil der unternehmerischen Verantwortung auf allen Stufen funktioniert, sind effiziente und effektiv ablaufende Prozesse möglich. „Prozesssicherheit“– das ist der Kern der Aufgabe „Sicherheit“.
Die Wertekultur ist der Schmierstoff, Sicherheit schließt die Prozessketten und macht sie durch Kommunikation und Steuerung sicher, belastbar und effektiv.
Wenn Sie mir bisher gefolgt sind, dann darf ich Sie nun mit einem weiteren Gedanken vertraut machen. Vergleichen wir das Unternehmen mit einer mechanischen Uhr. Wir bewundern die Bewegung der vielen Rädchen und erfreuen uns am Takt des Uhrwerks. Jedes Rad hat seine Zweckbestimmung und wir verstehen sogleich, dass die Störung eines „Rädchens“ die Funktion der gesamten Uhr infrage stellt. Übertragen wir nun dieses Bild auf ein Unternehmen. Viele, sehr viele „Rädchen“ wirken auch hier zusammen, damit „der Betrieb funktioniert“. Die jährliche Betriebsergebnisrechnung legt Zeugnis über das Gelingen ab. Regelverletzungen, Störungen und Stillstände schädigen das Ergebnis unmittelbar. Davon schweigt des „Sängers Höflichkeit“ in den Geschäftsberichten, auch weil dieser Umstand selten erkannt und bewertet wird. Es werden meist nur die Erfolge verzeichnet und die Beeinträchtigungen umschrieben.
“Datenklau 2015” - Die Ergebnisse im Überblick
Für die Studie “Datenklau 2015” hat die Prüfungs- und Beratungsgesellschaft Ernst & Young Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt. Die Befragung wurde im Mai / Juni 2015 vom Marktforschungsinstitut Valid Research durchgeführt.
Quelle: Ernst & Young - Datenklau 2015
Jedes fünfte Unternehmen mit mehr als einer Milliarde Euro Umsatz hat in den vergangenen drei Jahren einen Angriff auf die eigenen Daten bemerkt, zeigt die EY-Studie. 18 Prozent der Betroffenen registrierten sogar mehrere Attacken. Mittlere (ab 50 Millionen Euro Umsatz) und kleinen Unternehmen (bis zu 50 Millionen Euro Umsatz) erlebten seltener Angriffe: 16 beziehungsweise zehn Prozent haben Hinweise auf Spionage oder Datenklau entdeckt.
Nicht nur die Größe entscheidet, wer ins Visier der Hacker gerät. Unternehmen der Energie- (17 Prozent ) und der Finanzbranche (16 Prozent) werden am häufigsten Opfer von Spionage und Datenklau. In der Industrie wurden 15 Prozent der Unternehmen bereits zum Opfer.
In den meisten Fällen (48 Prozent) ließ sich der Täter nicht zuordnen. In 18 Prozent der Fälle konnten laut EY Hackergruppen als Täter identifiziert werden. In 15 Prozent war es ein konkurrierendes ausländisches Unternehmen.
Die größte Gefahr geht aus Sicht der Manager von China aus: “46 Prozent nennen das Land als Region mit dem höchsten Risikopotenzial, dahinter folgen Russland (33 Prozent) und die USA (31 Prozent)”, wertet Ernst & Young aus.
Hinter den Angriffen vermuten die Manager in erster Linie den Versuch an Wettbewerbsvorteile oder finanzielle Vorteile (je 29 Prozent) zu gelangen. Reputationsschädigung (8 Prozent), Racheaktion (6 Prozent) und die Störung des Geschäftsbetriebs (3 Prozent) werden deutlich seltener hinter den Attacken vermutet.
In drei von vier Fällen (74 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, in 21 Prozent wurden IT-Systeme vorsätzlich lahmgelegt. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen (elf Prozent), Mitarbeiter abgeworben oder Datenklau durch eigene Mitarbeiter begangen (jeweils zehn Prozent).
Das steht auch im Zusammenhang mit dem Verzicht auf eine strategische Sicherheitsplanung (Defense Plan), in welchem die Risiken unternehmensweit erfasst, beschrieben und bewertet werden. Keine Sicherheitsplanung – keine Kenntnis der Risiken. Folglich können diese auch keinen Einfluss in den Geschäftsbericht finden. Der für das Jahr 2015 angefallene Rückstellungsbedarf im VW-Konzern, von außen angestoßen (!), beschreibt die Folgen. Ich behaupte nun, dass auch die glänzenden Betriebsergebnisse vieler deutscher Unternehmen, besonders im Mittelstand, unter dem zuvor beschriebenen Makel leiden.
Das führt uns auf neue Erkenntnisse und Einsichten.
Sichere Prozesse für mehr Wertschöpfung – den Wandel wagen
Der Erfolg blendet! Getrieben von den Absatz- und Umsatzsteigerungen wachsen Anspruch und Selbstüberschätzung so mancher Führungskräfte, zugleich aber auch die ständig steigenden Bonuszahlungen, deren Höhe sich meist am (kurzfristigen)
Bilanzergebnis ableitet. Ob darin die der Periode tatsächlich zuzurechnenden Risiken und Aufwendungen, zum Beispiel für unterlassene Sicherheitsaufwendungen, enthalten sind, bleibt häufig ungeprüft. Zum einen fehlt den im Bilanzrecht sicherlich hochqualifizierten Wirtschaftsprüfern der Einblick in die tatsächlichen Risiken des Unternehmens. Zum anderen sind die Instrumente einer strategischen Sicherheitsplanung noch zu selten im Einsatz. Wenn eine ganzheitliche Risikogefährdungsanalyse nicht erfolgt, die Risiken folglich unbekannt sind, werden auch keine Maßnahmen zu deren Abwehr eingestellt beziehungsweise durchgeführt. Die erforderlichen Aufwandsposten fehlen in der Betriebsergebnisrechnung.
Die Risiken werden im Jahresabschluss folglich häufig unzureichend berücksichtigt. In diesen Zustand hinein werden (immer noch) Jahresabschlüsse erstellt und testiert. Das „Vorsichtsprinzip“ der Bilanzierung wird dadurch verletzt.
Verbrechen 4.0 - das ist möglich
Rund 75 Prozent aller Computer können heute innerhalb von Minuten gehackt werden.
Jeden Tag werden 600.000 Nutzerkonten attackiert, wie das Unternehmen 2011 selbst einräumte. Eine Zahl, die seitdem eher gestiegen ist.
Fast 90 Prozent aller Kleinunternehmen, deren Kundenkartei gestohlen wurde, müssen innerhalb von drei Jahren ihr Geschäft aufgeben.
Mittels manipuliertem GPS-Signal locken Gangster Lastzüge mit Waren oder Luxusyachten in Hinterhalte.
An dieser Stelle darf ich mit aller Eindringlichkeit auf dieses Prinzip hinweisen. Vergleiche Wikipedia: „Unter Vorsichtsprinzip wird im deutschen Rechnungswesen der Grundsatz verstanden, wonach bei der Bilanzierung alle Risiken und Verluste angemessen zu berücksichtigen sind. Diese Bewertungsregel ist anzuwenden, wenn aufgrund unvollständiger Informationen oder der Ungewissheit künftiger Ereignisse automatisch Beurteilungsspielräume entstehen. Damit dient das Vorsichtsprinzip der Kapitalerhaltung und dem Gläubigerschutz.“ Die Bilanz für das Geschäftsjahr 2015 des VW-Konzerns dokumentiert diesen Umstand anschaulich. Die Entscheidung, Abgaswerte durch eine „Schummelsoftware“ zu manipulieren, wäre im Zusammenhang mit einer anspruchsvollen Risikogefährdungsanalyse sicherlich erkannt und abgewehrt worden (eine entsprechende Kommunikationskultur vorausgesetzt). Unter strategischen Überlegungen ist die Entscheidung „Schummeln“ eine Katastrophe für das Unternehmen und die Kapitaleigner.
In diesem Zusammenhang ist auch der tatsächliche Anspruch von “Compliance“ zu hinterfragen. Mitunter mit E-Learning-Programmen eingeführt, verkommt es im wirtschaftlichen Alltag zur Farce. Compliance kann eine glaubhafte Führungs- und Wertekultur nicht ersetzen. Ersetzten wir den Begriff „Compliance“ durch das einfache Wort „Regeltreue“. Darin kommt eine Haltung zum Ausdruck, alle unternehmerischen Prozesse gewissenhaft und rechtskonform durchzuführen. Das bedarf der Steuerung und kann keinesfalls durch ein „System“ substituiert werden. Da nützt auch das beste Testat einer „angesehenen Wirtschaftsprüfungsgesellschaft“ nichts. Papier ist geduldig.
Nun mögen Sie an dieser Stelle mit Bezug auf „VW“ darauf hinweisen, dass sie selbst nicht betroffen und die Dimensionen nicht zu vergleichbar sind. Dem stimme ich zu, wenn in dem Ihnen anvertrauten Unternehmen die Prozesse nachweisbar vorzüglich und reibungslos ablaufen. Dann verfügen Sie mindestens über eine wirksame strategische Sicherheitsplanung (Defense Plan). Herzlichen Glückwunsch! Sie besstätigen damit meine Forderung.
Verständnis von "Sicherheit"
Viele Gespräche mit Fachkollegen, das Studium von Fachzeitschriften und Publikationen von Fachverbänden und Herstellern von Sicherheitslösungen vermitteln jedoch einen gegensätzlichen Eindruck. Die skizzierten Bedrohungslagen fokussieren sich leider immer noch auf den „Angriff von außen“ und damit auf deliktische Handlungen. Solche Vorgänge sind meist spektakulär und „machen im Betrieb die Runde“. Dabei wird jedoch freundlich übersehen, dass mit dem Aufgreifen des „Täters“ die Sache nicht erledigt ist. Die Handlungen dokumentieren dem Wissenden anschaulich, wie schlecht es um die Führungs- und Unternehmenskultur bestellt sein muss. Eine Bestrafung (Abmahnung, Entlassung) schreckt dann nicht ab, wenn die Stellschraube „Führung“ nicht zugleich verbessert wird.
Das Aufdecken strafbarer Vorgänge besagt noch nichts über deren tatsächliche Zahl und die dadurch ausgelösten Beeinträchtigungen der Geschäftsprozesse, die auch erheblich sein können, zumeist auch über Jahre andauern und das Betriebsergebnis schädigen. Der „Head von Investigation“ ändert daran nichts! Die zu betrachtenden Umstände sind wesentlich komplexer und bedürfen einer ganzheitlichen Analyse, die zumeist in Änderungen des Führungsverhaltens mündet. Die Anschaffung von System steht ganz am Schluss, und nicht, wie immer wieder von den Verkäufern von Sicherheitseinrichtungen vorgegaukelt wird, am Beginn! Der Weg zum Erfolg führt einzig und allein über diesen Weg.
Damit stehen wir nun „mittendrin“ im Verständnis von „Sicherheit“ und der Steuerung der Geschäftsprozesse. Die durch Störungen, Eingriffe und Beeinträchtigungen ausgelösten Betriebsunterbrechungen, die aus Gewohnheit hingenommen werden, führen zu andauernden Leerkosten. „Da kann man nichts machen!“ Es ist dieser Schlendrian durch fehlende Regelungen und Steuerung ausgelöste Schlendrian, der im ganzen Unternehmen (Betrieb und Verwaltung) zu hohen und wirtschaftlich nicht zu rechtfertigenden Aufwendungen führt. Es fehlt häufig am unternehmerischen Führungs- und Risikoverständnis. Die Sicherheit wird unter Kostengesichtspunkten verstanden, wohl auch deshalb, weil man ihren Beitrag zur Wertschöpfung nicht erkennt und das Thema gerne verdrängen möchte. Wundert es, dass die Sicherheit unter diesen Voraussetzungen nicht funktionieren kann? Es fehlt am betriebswirtschaftlichen Verständnis, mehr noch an der Integration der Aufgabe „Sicherheit“ in den Prozessen. Das weist auf ein unzureichendes betriebswirtschaftliches Gesamtverständnis hin.
Sicherheit ist eine ursprüngliche betriebswirtschaftliche Aufgabe, auch wenn das von der Lehre so noch nicht verstanden und beschrieben wird. Die Theorie ist „grau“, in der Praxis zählen nur sichere, effektive und damit effiziente Prozesse und Ergebnisse.
Betrachten wir nun den Anspruch der „Regelkonformität“. Ein hohes Ziel, und die Praxis? In der Praxis „parkt der Chef / die Führungskraft“ mit dem (privat zu nutzenden) Dienstfahrzeug verbotswidrig und für alle Beschäftigten sichtbar in (ausgewiesenen) Verbotszonen, der Meister nutzt die (vorgeschriebene) Persönliche Schutzausrüstung (PSA) nicht und die Passwörter der PC-Nutzer sind Allgemeingut. Die sogenannte „Zutrittskontrollanlage“ wird durch offene Seitentüren unwirksam „geschaltet“, eine Zugangsordnung für fremde Personen existiert ebenso wenig wie ein aktuelles Berechtigungsmanagementsystem, von einem umfassenden Zugangssystem ganz zu schweigen. Wenn dann zusätzlich im Brandschutz „gespart“ wird, die Regeln der Lagerung von leichtbrennbaren Stoffen missachtet werden, nutzt auch die beste Feuerwehr nichts. Stichwort „Feuerwehr“. Für den Schutz der betrieblichen Daten verlassen sich alle „User“ auf die „Firewall“. Das hält sie jedoch nicht ab, in öffentlichen Räumen zu telefonieren und diese als „Büro“ zu nutzen. Die Erkenntnis, sich nicht gegen die „NSA“ erfolgreich schützen zu können, hat diesen Trend offenbar noch verstärkt. Der IT-Schutz ist in der Folge anfälliger geworden. Nutzen Sie in diesem Sinne die Wartezeiten am Gate oder in der Bahn – Kurzweile wird garantiert, sofern Sie das ständige Telefonieren und das Geflimmer der Bildschirme nicht stören.
Sprechen wir in diesem Zusammenhang nun von „Schlendrian“ oder beschreiben die geschilderten Zustände nicht eher die vorsätzliche Missachtung von Prozessen im Zusammenhang mit Regeltreue? Gleich wie Sie diese Frage auch beantworten, die Wertschöpfung nimmt Schaden, das Risiko ist gewaltig.
Sicherlich habe ich einen schaurigen Zustand beschrieben, doch er beschreibt die Praxis. Das bleibt auch Fachkollegen nicht verborgen, die darüber berichten, auch von der Aussichtslosigkeit, daran etwas ändern zu können. Darum schwingt in Fachgesprächen die Frustration hörbar mit, auch ein gewisser Unterhaltungswert.
Der „Crash“ im VW-Konzern und die wiederholten vernichtenden Großbrände in einem Konzern der Nahrungsmittelindustrie weisen exemplarisch auf große Defizite hin, bestehende Risiken zu erkennen (zu wollen) und (auch) „anzugehen“. Der Pressesprecher begründet wortreich, warum „es geschehen musste“, „ es nicht zu verhindern war“, das „eigentlich niemand dafür verantwortlich sei“ und so weiter. Viele Worte, wenig Inhalt. Business as usually. Und das erklärt, warum es weiterhin „brennen“ wird. Viele Prozesse leiden unter diesem Missverständnis, einer mangelhaften Steuerung und den immer wieder auftretenden Regelverletzungen, die nicht unbedingt spektakulär sein müssen. „Kleinvieh macht auch Mist“! Es kumulieren sich Risiken, die irgendwann eine Störung / einen Schaden auslösen. Das Bild vom „Schneeball und der Lawine“ kommt in den Sinn. Wirtschaftliches Verhalten sieht anders aus.
Wie kann dieser Zustand im wirtschaftlichen Verständnis verbessert werden?
Definition eines neuen Sicherheitsanspruchs obliegt der Wirtschaft
Von der Betriebswirtschaft noch nicht erkannt obliegt es der Wirtschaft selbst, einen neuen Sicherheitsanspruch zu definieren. Das betrifft zum einen die strategische und globale Sicht. Das Unternehmen auf Dauer zu erhalten, es dazu leistungsstark und belastbar im globalen Wettbewerb aufzustellen, das ist das Gebot der Stunde, soll der Anspruch „Industrie 4.0“ Wirklichkeit werden. Sicherheit ist eine durch und durch strategische Aufgabe. Sie durchringt alle Funktionen, Aufgaben, Prozesse und Projekte des Unternehmens. Mitten drin, statt außen vor! Ich empfehle allen, auch den mittelständischen Unternehmen, eine Strategieabteilung zu gründen, in der (mindestens!) die Unternehmensplanung, Recht, Controlling, Unternehmenssicherheit (alle Sicherheits- und Schutzaufgaben!) und Service (Kommunikation, Telefonie, Dienstleistungen) vereint tätig sind.
Wirtschaftliche Unternehmen haben das Ziel, dauerhaft Profit zu erzielen. Sprechen wir es klar und deutlich aus! In dieser Verantwortung stehen der Vorstand beziehungsweise die Geschäftsführung. Das ist die gebotene Führungsaufgabe mit hohem Rang. Ein Unternehmen „sichern“ ist zugleich auch eine strategische Aufgabe und ein integraler Bestandteil der Unternehmensplanung. Sicherheit muss von „Oben“ nach „Unten“ glaubhaft und sichtbar verkündet und praktiziert werden. Das betrifft alle Prozesse und zugleich die Regeltreue, die beiden Seiten einer Medaille. Der Führungsanspruch „Sicherheit“ muss zu einer selbstverständlichen Grundhaltung auf allen Stufen entwickelt werden. Das erfordert die Aufnahme in alle Stellenbeschreibungen und Prozessanweisungen.
Das Unternehmen – ein einziger Prozess, und darin die Sicherheit als wesentlicher Garant für das Gelingen. Werte – Führung – Kommunikation – Delegation von Verantwortung als Führungsprinzip – ständige Prozesssteuerung. Das sind die Zutaten deiner guten „Rezeptur“. Wer diesen Weg ernsthaft zu gehen bereit ist, bewegt sich hin auf ein vollkommen anderes Unternehmensmodell.
Die „Sicherheitsabteilung“ – so man Sie überhaupt zukünftig noch so nennen kann, ist zukünftig ein Dienstleister, dessen Aufgabenstellung das gesamte Unternehmen erfasst. Nur dann kann der Anspruch integralen Wirkens erfüllt werden. Das macht die enge Zusammenarbeit aller Sicherheits- und Schutzexperten, verstärkt durch „Recht“ und „Betriebswirtschaft“ (in einem einzigen Bereich) erforderlich. Überhaupt arbeiten darin Kaufleute, Juristen und Techniker „Hand in Hand“ in interdisziplinären Projektgruppen eng verflochten zusammen. Dieser Ansatz ist sicherlich ungewohnt.
Meint man es jedoch Ernst mit dem Gedanken, das Unternehmen oder den Betrieb als einen einzigen Prozess zu verstehen, so führt kein Weg an dieser Lösung vorbei.
Dabei kommt es weder auf den Umfang noch auf den akademischen Grad der Fachleute an. Das beschriebene Modell kann einfach an jede Betriebsgröße angepasst werden. Die gelingende Funktion, nicht die Verpackung ist das Ziel der neuen Arbeitsweise. Der „Flickenteppich Sicherheit“ wird damit aufgelöst. Zugleich werden risikobehaftete Funktionen hier gezielt zusammengefasst. Diese betreffen die Unternehmenskommunikation, das Beziehungsmanagement (löst das Reklamationsmanagement ab), das Geschäftsprozessmanagement / -Optimierung, Notfall- und Krisenmanagement, die IT-, Daten- und Anwendersicherheit, das Berechtigungs- und Zugangsmanagement sowie alle Serviceaufgaben, zum Beispiel Fahrservice, Reinigung. Die Mitarbeiter der „Sicherheit“ wirken zudem als geborene Mitglieder in allen Projekten mit, insbesondere in Konzepten, Planungen und während der Realisierung von Investitionen. Durch ganzheitliche Lösungsansätze können erheblichen Kosteneinsparungen erzielt werden.Mehr noch hat der „Blick auf die Prozesse, den Arbeits- und Unfallschutz, Brandschutz …“ zudem den Charme, proaktiven Einfluss auf die Effektivität zu nehmen.
Die Betriebsdatenerfassung (BDE) verzeichnet die Erfolge. Dadurch kann es gelingen, die Funktion „Sicherheit“ zum selbstverständlichen Partner in allen Prozessen zu etablieren und eine Grundhaltung zu begründen, die im Ergebnis die Geschäftsprozesse sicher, belastbar, effektiv und effizient machen.
An dieser Stelle ist mit einem Grundirrtum „aufzuräumen“, häufig verbreitet und ebenso falsch. Ständige Verhaltenskontrollen, diese verbunden mit einer Datensammelwut, fördern nicht die Sicherheit, sondern eine schädliche Misstrauenskultur. Benötigt wird stattdessen ein umfassendes und integriertes Berechtigungsmanagement- und Zugangssystem (nicht „Zutritt“, wie von falschen „Propheten“ verkündet wird). Die Teilhabe an Prozessen erfordert entsprechende Rechte und damit verbunden Zugang. Die Verantwortung dafür liegt auf der Fachebene, das heißt diese organisiert sich selbst und verantwortet ihr Handeln. Die Praxis lehrt, dass es nur so funktionieren kann.
Anpassung an die Bedürfnisse
Nun mag man einwerfen, dass damit die Prozessverantwortung für die Sicherheit aus der Sicherheitsabteilung herausgenommen wird. Im Grunde ist das korrekt, denn „Sicherheit“ kann nicht „Sicherheit“ gewährleisten. Es wäre ein Zirkelbezug, und dieser funktioniert bekanntlich nicht. Sicherheit analysiert die Prozesse und Erfordernisse und bietet dazu die Lösungen im Standard an. Diese werden inhaltlich mit den Betroffenen abgestimmt und umgesetzt. Zugleich wird die Prozessverantwortung übertragen. Diese wird in Berechtigungsmanagement- und Zugangssystemen abgebildet und damit ein lebendiges Instrument geschaffen, welches ständig an die Bedürfnisse entsprechend angepasst wird.
Die Systeme zur Ressourcenplanung liefern dazu die entsprechenden Schnittstellen für nachfolgende Verarbeitungen, zum Beispiel wenn Beschäftigte die Bereiche wechseln und die Rechte „umgezogen“ werden. Das gelingt stichtagsfein. Die Erfahrung lehrt, dass es möglich ist und dadurch erhebliche manuelle Tätigkeiten eingespart werden können, meist von Führungskräften durchgeführt, die sich zukünftig stärker auf ihre eigentliche Aufgabe konzentrieren können. Auch davon profitiert die Wertschöpfung.
Ein weiterer Aspekt verdient einer Würdigung. Wenn die Menschen die Prozesse vor Ort aktiv steuern (können), nutzen sie diese Möglichkeiten konsequent. Sie vermeiden Störungen, schon aus eigenem Interesse, aber in der Folge dann auch immer stärker zum Wohl des Unternehmens. Sie handeln unternehmerisch. Dazu sprechen sie miteinander und stimmen sich ab. Sie hören zu und teilen mit. Es entstehen in der Folge Kommunikationsketten mit hohem Wert. Sehr schnell sind sie bereit, Konflikte zeitnah und zugleich friedlich auszutragen. Die sichere Durchführung der Prozesse als Baustein zum Ganzen wird erkannt und erhält eine Chance auf Erfolg, nicht weil ein „Vor-Gesetzter“ es seinen „Mit-Arbeitern“ anweist, sondern weil die Beschäftigten das Konzept des Handelns als Teil ihrer Aufgabe (siehe Stellenbeschreibung) verstanden haben.
Dieses „andere“ Verständnis von „Sicherheit“ erfüllt den Führungsanspruch auf allen Stufen. Es ist nicht so sehr entscheidend, welchen Begriff wir dafür verwenden, sondern dass die unternehmerische Grundhaltung von allen Beschäftigten getragen und verstanden wird. Es ist die Aufgabe „wirksamer Führungskräfte“ (Fredmund Malik), diesen Prozess zu fördern.
Was ist an alledem neu? Die Sicherheit in Unternehmen kann nur durch einen stringenten strategischen Ansatz gelöst werden. In der Zentralisierung und Aufwertung der Aufgabe „Sicherheit“ (auf Vorstandsebene) kann es unter diesen Vorzeichen gelingen, die Prozesse unternehmensweit sicher zu gestalten. Das Bild der „Uhr“ weist den Weg. Ich räume auf mit dem Irrtum, dass Sicherheitsabteilungen („Security“) ein Unternehmen sichern und schützen können. Allenfalls erscheint das temporär so, in der Praxis hat sich das Gegenteil bestätigt. Sicherheitsbereiche stellen die rechtlichen, fachlichen, führungsmäßigen (!) und systemtechnischen Voraussetzungen bereit, damit die Menschen im Unternehmen die Prozesse sicher steuern können, und damit ist die Gesamtheit aller Prozesse gemeint, die zudem die Chance auf eine einheitliche und verbindliche Lösung erhalten. Es ist zu dem wirtschaftlich, ein gleiches Rad zu kopieren anstatt es ständig neu zu erfinden.
Wenn dieses Sicherheitsverständnis dann weiterhin auf die langfristigen strategischen Ziele des Unternehmens ausgerichtet ist, dann gelingt Wertschöpfung immer besser. Das dazu erforderliche Instrument ist die „Strategische Risiko- und Sicherheitsplanung“ (Defense Plan), die übrigens immer stärker von Handelspartnern eingefordert wird. Diese fordern die Sicherheit gelingender, zuverlässiger und belastbarer Prozesse. Für Ausreden und Entschuldigungen haben sie kein Verständnis.
„Profitabel wachsen“ – das ist die stringente Herausforderungen in dieser globalen Zeit. Das erfordert strategisches Handeln, und darin mittendrin eine anspruchsvolle strategische Sicherheitsplanung, die alle Aktivitäten und Geschäftsprozesse umfasst.
In diesem Sinne werbe ich für ein Innehalten und die Öffnung für ein neues Verständnis von „Sicherheit und Unternehmensschutz“. Auf die Sicherheitsabteilungen kommt ein gewaltiger Wandel zu. Es gilt nun, aktiv zu werden und diesen Wandel zu proaktiv zu gestalten.
Im globalen Wettbewerb ist erfolgreich, wer heute Strategien für morgen entwickelt und diese ständig an die sich ändernden Bedingungen anpasst. Heute nicht zu handeln ist auch eine Strategie, aber mit hohen Risiken behaftet.
Dieser Artikel will Ihnen dazu Anregungen für ein neues, ein strategisches Verständnis von Sicherheit geben. Ein wenig Mut gehört dazu, einen anderen, neuen „Weg“ einzuschlagen, in dem die Aufgabe „Sicherheit“ von den Menschen getragen wird. Wenn diese das Prinzip der Uhr verstanden haben, wird sich die Sicherheit zum wertschöpfenden Baustein in allen Prozessketten entwickeln.
Das ist Sicherheit, wie ich sie verstehe. Profitabel wachsen – der Anspruch kann gelingen, ganz sicher!