Was empfinden Sie, wenn Sie in den Medien von Großschadensereignissen lesen und sich Ihnen anschließend mehr Fragen auftun, als Antworten gegeben werden(können)? Das betrifft zum Beispiel den sogenannten „Dieselskandal“ oder verheerende Brände in Unternehmen, welche ganze Betriebe vernichten. Die Vielzahl von erfolgreichen Cyberangriffen löst immer noch Verwunderung aus. Gleichermaßen Zahlungen für fiktive Rechnungen oder dreiste Diebstähle, die das Unternehmen unvorbereitet treffen, zumindest wird es so begründet.
Wenn Manager entscheiden, aus Kostengründen auf wirksame Maßnahmen zum Schutz der Unternehmensdaten zu verzichten, zeigt dieses Verhalten ein erschreckendes Maß an Ignoranz, Unverständnis und fehlender unternehmerischer Ver-Antwort-ung.
Wer losgelöst von diesen Ereignissen die Frage stellt, ob die vorhandene Unternehmenssicherheit den Anforderungen entspricht, löst damit häufig großes Erstaunen aus. „Was man denn überhaupt unter Sicherheit verstehe“, lautet die freundliche Gegenfrage. „Man verfüge über eine externe Security-Abteilung. Die kümmere sich um die Sicherheit des Unternehmen.“ Wirklich? Um alles? Auch um Datenschutz, Brandschutz, Arbeitsschutz und sogar den Unfallschutz?
Zum Autor
Heinz Lorse war Sicherheitschef bei der Gerolsteiner Brunnen GmbH & Co. KG und ist heute als Berater tätig.
In manchen Unternehmen fehlt einfach das Grundverständnis für die existentielle Bedeutung von Unternehmensschutz und –Sicherheit. Dass sichere und damit effektiv funktionierende Prozesse die Grundlage für Wertschöpfung sind, wird dabei eher nicht betrachtet. Großschadensereignisse werden immer noch als „Naturgewalten“ verstanden, gegen die kein Kraut gewachsen sei. Das kostet die deutsche Wirtschaft jährlich viele Milliarden an Wertschöpfung, den Verlust von Existenzen noch nicht einmal eingerechnet.
Die Aufgabe Unternehmenssicherheit wird (immer noch) nicht im strategisch ganzheitlichen Sinne verstanden. Das haben viele Manager weder im Studium noch in der Praxis gelernt. Aber auch in eigener Sache ist ihnen die Aufgabe Risikomanagement eher unbekannt. Das Grundverständnis von Prozesssicherheit, die Grundlage für jeden unternehmerischen Erfolg, fehlt. Zudem erscheint es verlockend, die Sicherheitsaufwendungen auf dem „Friedhof der Kosteneinsparungen“ zu beerdigen. Das funktioniert auch eine Weile, den Gratifikationen sei Dank! Wenn der große „Knall“ dann kommt, sind die Ver-Antwort-lichen längst bei einem anderen Unternehmen und beginnen das Spiel von vorne. Es winken satte Boni!
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
Dazu trägt sicherlich bei, dass Sicherheit überwiegend technisch verstanden wird, eine Aufgabe für Experten, verteilt auf einem Flickenteppich im ganzen Unternehmen. Strategisches Verständnis? Fehlanzeige!
Im Anschluss an Schadensereignisse werden die tatsächlichen (!) Ursachen häufig nicht analysiert und bleiben unerkannt. Die Risiken bestehen weiter fort. Darunter leidet die Wertschöpfung, zunächst im Verborgenen. Irgendwann – reiner Zufall – potenzieren sich ungünstige Bedingungen und die Lawine kommt ins Rollen.
Was sind die Gründe für dieses Verhalten? Warum wird der wirtschaftliche Wert von Unternehmenssicherheit meist nur unter Kostengesichtspunkten betrachtet, der mögliche Beitrag zur Wertschöpfung nicht genutzt? Mehr dazu im folgenden Abschnitt.
Falsches Verständnis von Unternehmenssicherheit ist Gift für den Erfolg
Wirtschaften in globalen Zeiten ist konsequent strategisch ausgerichtetes, planvolles Handeln. Strategie betrifft alle heutigen Entscheidungen für den Erfolg von Morgen. Strategie ist darum immer zukunftsgerichtet, ein Ausklammern ist nicht möglich! Nicht strategisch zu operieren ist auch eine Form von Strategie, wenn auch eine sehr gefährliche.
Wenn Sie dieser Definition zustimmen, werden Sie sicherlich auch die nächste Aussage unterstützen. Alle wirtschaftlichen Handlungen sind mit Risiken verbunden. Wohl dem Unternehmer, der die möglichen Risiken strategisch bewertet und flankierende Sicherheitsmaßnahmen bedenkt, damit das angestrebte Ergebnis uneingeschränkt erzielt werden kann. Das erfordert einen ganzheitlichen Ansatz von Unternehmenssicherheit, zudem ein Selbstverständnis für die Aufgabe, in dem nicht der Einsatz (Kosten) sondern die Notwendigkeiten in die Faktorkombination einfließen.
Das führt zu einer weiteren Erkenntnis. Sicherheit ist ein integraler, unverzichtbarer Baustein in der Faktorkombination. Im Grunde ist das eine banale Erkenntnis. Umso mehr wundert es, dass in der Automobilbranche eine offensichtliche Geringschätzung von Strategie und Unternehmenssicherheit bestanden hat (und wohl immer noch besteht). Das kann nur mit der Überbewertung der Macht des Managements in Verbindung mit einem falschen (fehlenden?) strategischen Verständnis erklärt werden. Die Gründe für den Untergang des für unbesiegbar geltenden römischen Reichs kommen in den Sinn.
Viele Unternehmen werden heute immer noch von „Cäsaren“ regiert, deren Entscheidungen von der ständigen Sorge um Machtverlust geprägt sind. Zudem werden sie von Shareholder Value getrieben, die nächste Bilanzpressekonferenz, die aktuellen Aktienkurse im Blick. Angst ist bekanntlich ein schlechter Ratgeber und zeigt sich häufig in einem autoritären Führungsstil. Das dokumentiert sich in den Unternehmensmodellen und Organigrammen, in denen die werktätigen Menschen meist nicht mehr vorkommen. So lange diese Modelle funktionieren, die Ergebnisse stimmen, glänzen die Führer im hellen Licht der Scheinwerfer. Gute Zahlen verkünden Erfolg und Wertsteigerung!
Falsch! Die Zahlen von gestern sind Historie und sagen nichts über die Zukunft aus. Die möglichen Risiken sind meist nicht bewertet. Kapitalinvestoren sind darum gut beraten, hinter die Kulissen zu schauen und nach „Unternehmenssicherheit“ und den Aufwendungen zu fragen. Diese Positionen, so sie denn überhaupt offen ausgewiesen sind, helfen dann mitunter ein wenig weiter. Auch die verbalen Auskünfte in den Geschäftsberichten taugen wenig. Die Wirtschaftsprüfer bewerten die vorhandenen Fakten. Wenn diese Angaben unvollständig sind, weil bestehende Risiken nicht erkannt oder verschwiegen werden, können auch keine Vorsorgepositionen gebildet werden.
Die unvollständigen Zahlen gaukeln den Gesellschaftern ein Ergebnis vor, dass tatsächlich in der ausgewiesenen Höhe keinen Bestand hat. Tatsächlich „lügt man sich in die Tasche“, wenn auf ein wirksames Risikomanagement verzichtet wird. Werden im Geschäftsbericht die Risiken bewertet und die diesbezüglichen Entscheidungen gespiegelt, legt der Vorstand glaubhaft Rechenschaft ab. Der Leser erkennt, dass Vorsorge getroffen wird und das Ergebnis den tatsächlichen Verhältnissen entspricht. Für Kapitalinvestoren sind diese Informationen von unschätzbarem Wert. Denn auch sie betreiben Risikomanagement.
Der Unternehmenserfolg ist immer auf die Zukunft ausgerichtet. Das erfordert sichere (damit belastbare) und effektiv geführte Geschäftsprozesse, deren Grundlage ein wirksames Risikomanagement ist, eine ständige selbstlernende Aufgabe. Schadensereignisse können damit nicht vollständig verhindert werden, jedoch wird die Wahrscheinlichkeit eines Eintretens signifikant vermindert (Learning by Doing). Auf keinen Fall sind sie Naturereignisse, gegen die „kein Kraut gewachsen ist“.
Das führt zu der entscheidenden Frage, was unter „Unternehmenssicherheit“ verstanden werden kann.
Sicherheit ist, wenn das Unternehmen funktioniert
Unter Sicherheit werden alle Strategien und Aktivitäten mit dem Ziel einer Risikominimierung und Sicherung der unternehmerischen Prozesse und damit der angestrebten Ergebnisse verstanden. Im Fokus: Die optimale Unternehmensfunktion, die langfristige Sicherung des Vermögens. Das Unternehmen wird in diesem Sinne als ein einziger Prozess verstanden, vergleichbar einer mechanischen Uhr, die nur dann funktionieren kann, wenn alle Rädchen im Gleichschritt funktionieren.
Wer wollte sich diesem Ziel verweigern? Klingt doch irgendwie alles logisch. Ist es auch. Leider ist dieser Ansatz noch kein Gemeingut. Das hat vielfältige Gründe.
In vielen Unternehmen fehlt ein ganzheitliches Sicherheitsverständnis. Die (zum Teil gesetzlich vorgeschriebenen) Sicherungsaufgaben werden in unterschiedlichen Bereichen angesiedelt, eine Systematik ist selten erkennbar. Von einer strategischen Bündelung aller Aufgaben in einem Fachbereich ganz zu schweigen. Damit werden Synergien und Wertschöpfung links liegen gelassen. Vor dem Hintergrund der globalen Ausrichtung vieler Unternehmen und den sich zusätzlich durch die Digitalisierung verändernden Bedingungen ergeben sich Gefahren und Risiken, die es gestern noch nicht gab. Die bestehenden Lücken laden ein, davon Gebrauch zu machen.
Von außen betrachtet lösen viele Schadensberichte Erstaunen aus. Gibt es in den Unternehmen denn keine Risiko- und Sicherheitsplanung mit strategischem Anspruch? Die Frage muss mit „Nein!“ beantwortet werden. Wer in diesem Zusammenhang mehr noch an „Verteidigung“ (Defense) denkt, verkennt das Verständnis von Sicherheit in vielen Unternehmen. Mehr noch wird die Aufgabe „Sicherheit“ nicht mit „Wertschöpfung“ sondern fälschlicherweise immer noch mit „Kosten“ in Verbindung gebracht. Das nehmen auch die Kunden zur Kenntnis, welche an einen verlässlichen Partner andere Erwartungen stellen. Sie erwarten die konsequente Erfüllung von Standards, zum Beispiel IFS Food und unbedingte Liefertreue.
Besonders auf globalen Märkten ist die Sicherheit längst zum integralen Bestandteil von Produkten geworden. Das erfordert ein strategisches Sicherheitsmanagement. Wer darauf verzichtet und sich dann plötzlich mit Sicherheitsforderungen konfrontiert sieht, steht vor einem Problem, das in der dafür geforderten Zeit nicht zu lösen ist. Hektik bricht aus, aber diese hilft selten weiter. Sicherheit ist kein Zustand, den man von jetzt auf gleich herstellen kann. Vielmehr muss eine Sicherheitskultur geschaffen werden. Das hat umfangreiche Konsequenzen für die Strukturen und die Führung von Unternehmen. Das muss organisch wachsen und ständig weiterentwickelt werden. Nur so kann Unternehmenssicherheit wirksam gelingen.
Sicherheit – richtig verstanden – kann sich zum zentralen Dienstleister für das gesamte Unternehmen entwickeln, tief eingebunden in den gesamten Leistungserbringungsprozess. Mitten drin, statt außen vor! Der Ruf vieler Sicherheitsverantwortlichen und Anbieter von Sicherheitsleistungen, dass „Sicherheit Geld koste und endlich verstanden werden müsse“ ist in diesem Sinne nur die halbe Wahrheit. Der Nutzen von Sicherheit ist ausschließlich am nachgewiesenen Beitrag zur Wertschöpfung zu messen. Die Aufgabe „Sicherheit“ auf „Kontrolle und Überwachung“ zu reduzieren, geht an der betriebswirtschaftlichen Aufgabenstellung vollkommen vorbei.
Die Wahrscheinlichkeit ist groß, dass so ausgerichtete Abteilungen dem Spardiktat der nächsten Kostenwertanalyse zum Opfer fallen. Die Orientierung am gesetzlichen Mindestlohn wird zum Maßstab für die externe Vergabe von Sicherheitsaufgaben. Dieses falsche Verständnis ist in der Praxis für den gnadenlosen Preiskampf verantwortlich, unter dem eine ganze Branche leidet. Im Ergebnis ist damit jedoch niemanden geholfen.
Der Wandel beginnt im Kopf
Die Frage der Sicherheit rückt schlagartig in den Fokus, wenn Schadensereignisse das Ergebnis (und damit auch die Gratifikationen) in den „Keller“ treiben. Erst dann werden die wirklichen Fragen gestellt.
Ganz langsam setzt ein Umdenken, ein Wandel ein.
Der Wandel wird jedoch nur in dem Maße gelingen, wie das Management die Aufgabe Sicherheit als werterhaltenden Faktor verstehen lernt und praktiziert. Daraus muss ein natürlicher Anspruch, eine Haltung erwachsen, welche alle Entscheidungen und Handlungen durchdringt.
Das richtige Verständnis von Ver-Antwort-ung im Sinne von Antwort geben / Rechenschaft ablegen muss sich auf allen Stufen entwickeln. Damit verbunden ist ein ständiger Lernprozess, der in die Geschäftsprozessoptimierung einfließt. Learning by doing! Im Ergebnis werden die im Unternehmen tätigen Menschen befähigt, unternehmerische Ver-Antwort-ung zu übernehmen und selbständig zu entscheiden. Auf diesem Weg werden wert-volle Erfahrungen gesammelt, die sich kumulieren und im Ergebnis Stärke erzeugen. Das kommt den Prozesse zu gute, die dadurch sicherer, belastbarer und effektiver werden. Das Unternehmen kann sich dadurch zu einem selbstlernenden Organismus entwickeln, welches sich den ständig ändernden Anforderungen flexibel anpasst.
Zudem erwächst ein neues Verständnis von und für Führung.
Unternehmen, die sich in diesem Sinne konsequent strategisch ausrichten, generieren Wettbewerbsvorteile von unschätzbarem Wert. Darüber freut sich die Wertschöpfung, auch in der Zukunft.
In diesem Sinne bieten Strategie und Unternehmenssicherheit enorme Entwicklungschancen, die weit über die heute noch gängigen Vorstellungen hinausgehen. Und das unabhängig von der Betriebsgröße. Der Wandel beginnt im Kopf!
