„Der Erfolg von morgen beginnt heute“
Ein Bericht zur Delphi-Studie „Corporate Security 4.0 – Einflussfaktoren und Anforderungen“
Dr. Harrer/ Research Coordinator Corporate Security & Resilience
Transfer Center Strategy, Global Risk & Corporate Security Intelligence -
Technische Hochschule Ingolstadt
Von Heinz-Werner Aping
Die Überschrift enthält keine neue Weisheit. Die gute Geschäftsfrau und der gute Geschäftsmann, egal ob handelnd, produzierend oder dienstleistend, weiß das. Was ich morgen produzieren will, muss heute entwickelt werden. Was ich morgen verkaufen will, muss heute produziert, geliefert, organisiert oder vorbereitet werden: Material, Logistik, Personal, Technik-Einsatz, finanzielle, rechtliche und organisatorische Rahmenbedingungen und vieles mehr.
Das verlangt nach Ideen, nach Geld und Investment, nicht zuletzt auch nach Mut im Hinblick auf Risiken. Um das abzusichern, bedarf es einer sauberen Analyse der Lage, der Bedingungen, der Marktsituation. Ob es ein Lagebild oder eine Marktanalyse ist, immer wird das Ziel verfolgt Fehlinvestitionen zu vermeiden oder zu verhindern und Gewinn zu erzielen. Die erfolgreiche Geschäftsfrau und der erfolgreiche Geschäftsmann starten nicht als gedankenloser Glücksritter. Sind diese Überlegungen auf den Bereich „Sicherheit“ anwendbar? Kann ich Sicherheit und Anforderungen an Sicherheit, hier für Unternehmen, professionell in der aktuellen Situation und für die Zukunft beschreiben? Es gibt nicht wenige stammtischreife Beschreibungen, was unter Sicherheit zu verstehen ist. Daraus folgende Überlegungen, was alles zu „unternehmen“ ist, egal ob politisch, behördlich, privatwirtschaftlich, in der Organisation eines Betriebes oder als Dienstleister, sind dann von entsprechendem Wert. Leider oft genug wurde in der Vergangenheit in Sachen Sicherheit eine gegenwärtige „Sicherheitslage“ oder z.B. Kriminalitätslage inhaltlich eher schwach und je nach Interessenlage für die Zukunft nur als „schlimmer zu erwarten“ beschrieben. Von Qualität ist das weit entfernt und wird glücklicherweise zunehmend von niemandem (mehr) akzeptiert. Die besseren Überlegungen versuchen u.a. mit sozialwissenschaftlichen Methoden eine aktuelle Lage zu analysieren und ggf. eine mögliche zukünftige Lage zu beschreiben, um anschließend Entscheidungsnotwendigkeiten herauszuarbeiten. Ein Weg der Professionalisierung ist, mittels der Szenario-Methode eine fundierte Einschätzung und somit Grundlage für zukunftsgerichtete Entscheidungen zu bekommen. Es gab ernsthaftes und seriöses Bemühen sowie engagierte entsprechende Projekte. Die Erarbeitung von üblicherweise drei unterschiedlichen Szenarien und daraus abgeleiteten Prognosen ist ein Fortschritt, bleibt aber im Nutzwert für die Praxis oftmals begrenzt, u.a. da die Komplexität durch dieses Vorgehen eher erhöht wird. Dabei geht es nicht darum, die in der Wissenschaft oft genug genutzte Methodenkritik zu üben, um Ergebnisse, die einem nicht gefallen zu diskreditieren. Aber tatsächlich gibt es natürlich noch andere methodische Alternativen, eine belastbare und gute Grundlage für zukunftsgerichtete Entscheidungen zu schaffen.
Eine Möglichkeit um die Aufmerksamkeit der Entscheider auf ein konkretes Zukunftsbild zu fokussieren, ist die sogenannte Delphi-Methode. Auch dabei handelt es sich um ein Verfahren zur Einschätzung zukünftiger Ereignisse, Trends, technischer Entwicklungen und mehr. Grundlage ist ein systematisches und mehrstufiges Befragungsverfahren einschließlich Rückkopplungsschritten einer größeren Zahl von Experten in einem bestimmten Gebiet. Diesen Weg wählte Dr. Harrer in einem Forschungsprojekt, das er im zweiten Halbjahr 2021 im Auftrag der „Research Community Security“ (RC Security) noch unter dem Dach des Institute for Technology, Innovation and Customer Centricity (TICC) der EBS Universität Wiesbaden durchgeführt hatte.
Die RC Security ist eine von Dr. Harrer initiierte und koordinierte offene Arbeitsgruppe von Sicherheitsverantwortlichen international tätiger Unternehmen. Die Arbeitsgruppe befasst sich mit empirischer Forschung u.a. zu den Auswirkungen der digitalen Transformation auf die Sicherheit von Unternehmen und auf die Arbeit der Unternehmenssicherheit.
Zum Thema „Corporate Security 4.0 – Einflussfaktoren und Anforderungen“ erarbeitete Dr. Harrer mit Unterstützung der RC Security und einem bewusst heterogen zusammengestellten Panel von Expertinnen und Experten eine umfangreiche Studie, die bisher noch nicht veröffentlicht wurde, VEKO-online in der Kurzversion aber bereits vorliegt.
Die Studie ist seriös, folgerichtig aufgebaut und gegliedert, systematisch und methodisch ordentlich, mit Quellen genauso wie mit Literaturverzeichnis ausgestattet. Sie ist gut lesbar, verlangt aber etwas Zeit. Allein die Kurzversion der Studie umfasst 62 Seiten.
In sieben Arbeitsphasen einschließlich vier Workshops, zwei Befragungswellen mittels Interviews und Fragebogen und in einem Zeitraum von fünfeinhalb Monaten wurden Daten erhoben bzw. gewonnen und verschiedene Facetten eines Zukunftsbildes für die Corporate Security ausgearbeitet. Im Mittelpunkt standen mündliche und schriftliche Befragungen von Fachleuten aus verschiedenen Disziplinen und Bereichen. Dabei waren 14 Akteure, die im Bereich der Security-Community tätig sind, aber auch 19 Personen, die nicht im Sicherheitsbereich wirken. Die Akteure werden in der Studie zwar nicht namentlich, aber mit dem Hintergrund ihrer jeweiligen Firma oder Institution benannt. Die Auswahl zeigt bekannte und anerkannte Adressen und beweist den Stellenwert der Studie.
Im Ergebnis wurden sechs Trendfelder, die nach Einschätzung der Teilnehmer wesentliche Herausforderungen für die Unternehmenssicherheit beschreiben und auch fünf Handlungsfelder benannt, in denen Anforderungen an die Arbeit der Sicherheitsverantwortlichen aufgezeigt werden. In seinem Vorwort zur Studie führt Dr. Harrer aus, dass diese Handlungsfelder Aussagen darüber tätigen, welche Akteure welche Maßnahmen ergreifen sollten, um den identifizierten Herausforderungen der Zukunft wirkungsvoll begegnen zu können. Als Trendfelder, die nach Einschätzung des Panels Einfluss auf Sicherheit international tätiger Firmen haben, kristallisierten sich heraus:
- Digitale Transformation
- Wandel der globalen Wirtschaft
- Klimawandel
- Wertewandel
- Konvergenz der physischen und digitalen Welt
- Cyber Threats
Die schriftlichen Bewertungen von 25 zukunftsgerichteten Thesen durch das Experten-Panel bestätigten und ergänzten das gewonnene Zukunftsbild. Außerdem konnten Themencluster zu den künftigen Anforderungen an betriebliche Sicherheitsverantwortliche gefunden und zu fünf Handlungsfeldern mit insgesamt 32 konkreten Handlungserfordernissen verdichtet werden. Zehn dieser Handlungserfordernisse wurden von der RC Security als Schwerpunkt-Anforderungen ausgewählt und durch das Experten-Panel priorisiert. Um die Studie zu zitieren: „Hierbei erhielten die Handlungserfordernisse im Bereich der Konvergenz physischer und digitaler Sicherheit die höchste Priorisierung, knapp gefolgt von den Themen „Digitalisierungsstrategie für die Corporate Security“ und „Business Continuity Strategie für das Unternehmen und die Corporate Security“.
Die Ergebnisse der Studie im Detail und ihrer Fülle wiederzugeben ist nicht Ziel dieses Artikels. Für VEKO-online ist es wichtig darüber zu berichten, wenn über das Thema Sicherheit nicht in Dramaturgien oder Schwarz-Weiß-Szenarien fabuliert wird, sondern über theoretische wie praktische „Qualitäten“ zu informieren und ggf. dem geneigten Leser oder der Leserin einen Hinweis darauf geben. Inhaltlicher Schwerpunkt im Handlungsfeld „Staat/Politik/Wirtschaft“ ist der institutionelle und organisatorische Unterstützungsbedarf für den Wirtschaftsschutz der deutschen Unternehmen. „Auf viele Trends und Herausforderungen für die aktuelle und künftige Sicherheit können die betrieblichen Sicherheitsverantwortlichen keinen direkten Einfluss nehmen“, so die Bewertung in der Studie.
Daraus ergäben sich Anforderungen an die Vertreter von Staat und Politik, entsprechende Rahmenbedingungen zu schaffen, die Vernetzung zwischen staatlichen und privatwirtschaftlichen Akteuren zu verbessern. Dazu gehört der Aufbau eines nationalen Wirtschaftsschutzzentrums genauso wie Etablierung eines nationalen Wirtschaftsschutzbeauftragten aus der Politik. Im Handlungsfeld „CSO/CIO/CSIO – TOP - übergreifend“ wird die Notwendigkeit einer Strategie für das Zusammenwachsen von physischer und digitaler Sicherheit erörtert. Unstrittig greifen die physische und die digitale Welt als Folge der Digitalen Transformation immer stärker ineinander. Das haben allerdings auch Angreifer längst erkannt und suchen gerade an den Nahtstellen nach Schwachstellen. Kurz gesagt: Sicherheit kann nur im Zusammenspiel physischer wie digitaler Maßnahmen erreicht werden. Also bedarf es einer entsprechenden Strategie für die Konvergenz beider Bereiche. Inhaltlicher Schwerpunkt im Handlungsfeld „CSO/CIO/CISO - Technische Maßnahmen“ ist die Notwendigkeit, moderne Technologien wie Data Analytics, Künstliche Intelligenz und Drohnen für den Schutz des Unternehmens und seiner Geschäftsaktivitäten zu nutzen. Auch im Quantum Computing ergeben sich Innovationen, die man monitoren und rechtzeitig für den Schutz des Unternehmens einsetzen sollte - idealerweise bevor sie von Kriminellen für Angriffe missbraucht werden.
Inhaltlicher Schwerpunkt im Handlungsfeld „CSO/CIO/CSIO – Organisatorische Maßnahmen - ist die Notwendigkeit einer noch intensiveren Vernetzung innerhalb und außerhalb der Security Community. Die Integration oder Vernetzung verschiedener Akteure selbst innerhalb der Firmen ist nicht überall entwickelt oder geübte Praxis. Nicht überall sind taugliche und aktuelle Strategien und Notfallpläne für den Umgang mit hybriden Angriffen erarbeitet worden. Hierbei könnten z.B. konvergente Security Operations Center (SOC) etabliert und interne/externe Kompetenzteams für Security Investigations aufgebaut werden. Inhaltlicher Schwerpunkt des Handlungsfeldes „CSO/CIO/CSIO – Personelle Maßnahmen“ ist die Notwendigkeit, das Kompetenzportfolio der Security weiterzuentwickeln und neue Kompetenzprofile für Sicherheitsbeschäftigten zu erarbeiten. Der Grund hierfür ist, dass die Digitalisierung im Unternehmen auch zu einer Digitalisierung der betrieblichen Sicherheitsfunktionen führen wird und hierfür einerseits zu wenige „IT-affine“ Beschäftigte in der Corporate Security zu finden sind - und andererseits der Arbeitsmarkt quasi leer ist. Daher müssen sich die Sicherheitsorganisationen u.a. darauf fokussieren, sich ihre eigenen „Digitalisierungsexperten“ heranzuziehen bzw. auszubilden. Sinnvoll ist auch, das Business-Verständnis der Security-Experten ausbauen, um ihre Akzeptanz als „Business Partner“ zu erhöhen. Außerdem geht es bei den personellen Maßnahmen auch um die Entwicklung und Pflege einer Sicherheitskultur im Unternehmen.
Das Lesen der Studie „Corporate Security 4.0 – Einflussfaktoren und Anforderungen“ ist das Eine, sich mit Dr. Harrer und Mitwirkenden der Studie auseinander zu setzen das Andere. So haben Unterzeichner und Dr. Harrer sowie Volker Buss, Chief Security Officer der Firma Merck als Mitglied der RC Security, ein gut zweistündiges ausführliches Video-Gespräch geführt, das mehr ein sehr angeregter und professioneller Austausch als ein klassisches Interview war. Deshalb wird an dieser Stelle auch darauf verzichtet, über dieses Gespräch in klassischer Form der Wiedergabe von Frage und Antwort zu berichten. Über die Chance, alle der genannten Handlungserfordernisse erfüllt zu sehen, geben sich Dr. Harrer und Volker Buss natürlich keinen Illusionen hin. Das ist aber auch nicht erforderlich, denn erfreulicherweise zeigt die Studie auch verschiedene interessante Ansatzpunkte mit größerer Hebelwirkung. Beispielhaft sei hier das Thema „Nationales Wirtschaftsschutzzentrum“ genannt. Natürlich gibt es bereits Aktivitäten, Kontakte, ggf. Netzwerke verschiedenster Art, beispielsweise die Initiativen der Verfassungsschutzämter im Kontakt mit Verbänden und einzelnen anfragenden Firmen, oder die „Global Player-Runde“ des BKA. Der Wissens- und Informationsaustausch von Behörden und Wirtschaft ist im Ansatz die richtige Idee. Alle Behörden haben mittlerweile Beauftragte für entsprechende Kontakte installiert und sind hier auch aktiv. Diese Initiativen erreichen jedoch nicht jeden Verantwortlichen und jedes Unternehmen. Andere Kontakte werden z.T. nur über die Verbände wie ASW oder BDSW gepflegt und sind daher nicht für jedes Unternehmen nutzbar. Daher halten Dr. Harrer und Volker Buss mit Blick auf interessante Diskussionen im Rahmen der Datenerhebung zur Studie weitergehende Schritte für sinnvoll. Denkbar wäre z.B. der Aufbau einer ggf. privatwirtschaftlichen Institution, in der sich Vertreter aus den relevanten Behörden und Experten aus der Wirtschaft zusammenfinden, Informationen und Erkenntnisse teilen und mit Unterstützung moderner Technologien qualifizierte und belastbare Lagebilder erstellen. Natürlich wären es der Staat und die großen Unternehmen, die hier vorrangig Input liefern. Vom Austausch würden dann aber auch mittelständische Unternehmen, Kleinbetriebe und Start-ups profitieren. Eine Unterstützung für den Wirtschaftsschutz von Unternehmen aller Branchen und Größen wäre so möglich. Eine weitere von vielen Panel-Teilnehmern favorisierte Option ist die „Etablierung eines nationalen Wirtschaftsschutzbeauftragten“. Das könnte z.B. eine honorige politische oder privatwirtschaftliche Person sein, z.B. ein Ex-Minister oder ein Ex-Vorstand aus einem DAX-Unternehmen. Auf jeden Fall jemand, der respektierten Zugang im parlamentarischen wie ministeriellen Bereich hat und in der Lage ist, unabhängig von Partikular-Interessen die Sicherheitsbelange der Wirtschaft zu formulieren und zu vertreten. So könnte die Umsetzung von genannten Erfordernissen aus dem Handlungsfeld „Staat/Politik/Wirtschaft“ ein regelrechter „Game Changer“ werden - insbesondere für die mittleren und kleinen Firmen, die aus verschiedenen Gründen keine eigene Sicherheitsabteilung haben. Ein weiterer Ansatzpunkt ist das Thema „Business-Verständnis der Sicherheitsbeschäftigten“. Aus Sicht von Volker Buss ist das betriebliche Sicherheitsmanagement eine „Enabling Function“ im Unternehmen. Als eine solche muss die Corporate Security das Business verstehen und die Bedarfe des Business an Sicherheitsmaßnahmen erkennen - und daraus ihre Governance ableiten. Hier besteht die Notwendigkeit bei Business und Security eine gemeinsame Sicht auf die Welt und ein gemeinsames Verständnis für erforderliche und angemessene Maßnahmen zu entwickeln. Schließlich geht es für die Security darum, erfolgreiche Geschäftsaktivitäten auch unter schwierigen Rahmenbedingungen bzw. in Anwesenheit von Sicherheitsrisiken zu ermöglichen. Bemerkenswert ist, dass die Studie im Sommer und Herbst 2021 erarbeitet wurde, also zu einem Zeitpunkt, als der aktuelle Ukrainekrieg noch weit weg war. In der derzeitigen Situation im Sommer 2022 ergeben sich viele Lageentwicklungen, Debatten und Handlungserfordernisse, die schon in der Studie aus der damals zugänglichen Perspektive identifiziert und diskutiert wurden.
Der Ukrainekrieg ist für den Verfasser nicht die Ursache, dass vieles „neu“ gedacht werden muss. Es ist „nur“ der durch ein furchtbares Brennglas von Leid und Tod verdichtete Anlass aufzuzeigen, wo schon seit vielen Jahren Defizite bestehen, die jetzt unter erheblichem finanziellem und zeitlichem Druck behoben werden müssen. Die Politik in ihren etablierten Strukturen, die Unternehmensführung, die ihre Firma zukunftssicher gestalten muss oder die breite teilnehmende Öffentlichkeit, alle spüren und wissen, dass wir vor erheblichen Änderungen von gewohnten Zuständen, Abläufen, Organisation usw. stehen, um zukunftsfähig oder bestenfalls zukunftssicher zu sein. Das gilt nicht zuletzt oder sogar insbesondere für die Sicherheitsbelange der deutschen Wirtschaft und Gesellschaft. Voraussetzung für sichere Geschäftsaktivitäten trotz der sich z.T. wandelnden Sicherheitsrisiken sind professionelle Analysen, Bewertungen, Strategien und Handlungskonzepte. Die hier vorgestellte Delphi-Studie“ brachte aus Sicht der RC Security eine Vielzahl wichtiger Erkenntnisse. Einige davon sind bereits in die Sicherheitsplanungen der Mitgliedsunternehmen eingeflossen.
Es ist zu hoffen, dass in Zukunft noch mehr derartige Studien durchgeführt werden, um die Arbeit der Sicherheitsverantwortlichen mit interessanten Erkenntnissen, neuen Perspektiven und sinnvollen Handlungsempfehlungen zu unterstützen.
Alle Sicherheitsforscher, die an einem fachlichen Austausch oder einer möglichen Zusammenarbeit mit der RC Security interessiert sind, sind eingeladen mit Herrn Dr. Harrer Kontakt aufzunehmen (
Der Erfolg von morgen beginnt heute .......