Ein Gedankenimpuls der Konzern Sicherheit & Resilienz der Volkswagen AG.

Die Welt hat sich in den letzten Jahren grundlegend verändert. Viele Themen, die heute Teil der täglichen Lage- und Berichterstattung sind, waren vor einigen Jahren noch nahezu undenkbar und kamen bestenfalls in vagen Prognosen vor. Der russische Angriffskrieg auf die Ukraine und die terroristischen Angriffe der Hamas auf Israel markieren eine neue Dimension der politischen Machtentfaltung. Wir erleben einen spürbaren geo- und sicherheitspolitischen Wandel und müssen weiteres Konfliktpotenzial erwarten.

Neben militärischen Auseinandersetzungen gewinnt die hybride Kriegsführung an Bedeutung. Was früher als Propaganda bezeichnet wurde, hat heute neue Dimensionen erreicht und ist Teil komplexer, oft insbesondere durch künstliche Intelligenz gesteuerte Desinformationskampagnen, die etablierte Strukturen und Demokratien destabilisieren sollen. Neue Formen der gezielten Falschinformation und Manipulation der öffentlichen Meinung spielen hierbei eine wesentliche Rolle.

Gleichzeitig entfernt sich die Gesellschaft zunehmend von einer gemäßigten politischen Mitte und driftet zu extremen politischen Rändern ab. Die Gewaltbereitschaft in Teilen der Bevölkerung hat messbar zugenommen, und die Zahl der Delikte steigt kontinuierlich. Besonders im Internet ist ein dramatischer Anstieg von Hass und Hetze zu verzeichnen. Den Worten folgen immer öfter auch Taten und auch legitimer Protest eskaliert heute nicht selten.

Womöglich steht gegenwärtig nicht weniger als die Demokratie und die globale Weltordnung auf dem Spiel.

Neue Bedeutung der Sicherheit
Über die Gründe all dessen wird auf sozialwissenschaftlicher Seite, in den Medien und der Politik sowie bei vielen weiteren Akteuren geforscht. Gleichzeitig kommt in der Konfrontation mit diesen Themen und der globalen Lage den Handlungsfeldern der Sicherheit neue Bedeutung zu. Deutschland hat 2023 erstmals in der Geschichte der Bundesrepublik eine Sicherheitsstrategie entwickelt, die das Thema Sicherheit ganzheitlich betrachtet und neben vielen anderen Aspekten auch das Zusammenspiel der verschiedenen staatlichen und nicht-staatlichen Akteure im Kontext der Sicherheit fokussiert. Öffentliche Sicherheit entsteht bisher und auch weiterhin im filigranen und geübten Zusammenspiel von Polizei, Justiz, Nachrichtendiensten, Verwaltung, Gesundheitswesen, Ersthelfern und nicht zuletzt durch politischen sowie gesellschaftlichen Rückhalt.

Wirtschaft + Sicherheit = Wirtschaftsschutz
Sicherheit in der Gesellschaft wird heute zunehmend durch privatwirtschaftliche Sicherheitsinteressen ergänzt. Den Behörden ist es heute alleine schon aus Kapazitätsgründen nicht möglich, sich über „den Bürger“ hinaus in angemessenem Umfang zusätzlich um die Sicherheitsinteressen von Unternehmen zu kümmern. Zu komplex, zu individuell und zu ressourcenhungrig sind die Bedarfe, die beispielsweise bei den sogenannten „Global Playern“ konkret vorliegen. Auch der Mittelstand taucht zunehmend tiefer in die speziellen Aufgabenfelder der Sicherheit ein.

Für die Konzern Sicherheit & Resilienz der Volkswagen AG und die zu unserem Konzernverbund gehörenden Marken, Gesellschaften und Regionen sind insbesondere folgende Einflussfaktoren maßgeblich:

• Geopolitische Risiken
  Zwischenstaatliche Konflikte, Kriege, handelspolitische Spannungen beeinflussen Standorte, firmenspezifische Lieferketten und Mitarbeitersicherheit weltweit.
• Gesellschaftlicher Wandel & Gewaltzunahme
  Polarisierung, sinkendes Vertrauen in Institutionen und mehr Gewalt im öffentlichen Raum erhöhen das Risiko für Mitarbeitende und Standorte.
• Kriminalität (physisch & digital)
  Erfordert flexible und dynamische Schutzkonzepte, die sich schnell an neue Bedrohungen anpassen lassen.
• Digitale Risiken im physischen Raum
  Die Grenze zwischen digitaler und physischer Welt verschwimmt – Sicherheitskonzepte müssen beide Dimensionen integrieren.
• Produktbezogene Sicherheit
  Schutz von Fahrzeugen, Software und Daten wird zur Kernaufgabe

Zielkonflikte der Sicherheit
Betriebswirtschaftlich geprägt ist das Handeln auf vielen Ebenen von der Frage nach „Aufwand-Nutzen“ – mit dem Ziel, Aufwand zu minimieren und aus diesem Handeln den größtmöglichen Nutzen zu ziehen. Das klassische Aufwand-Nutzen-Verhältnis hat sich in der Sicherheit allerdings über die Jahre um eine vom Kunden gewünschten Dimension erweitert: die Frage nach dem Komfort einer Lösung. Dies umfasst dabei auch zusammenhängende Aspekte wie Nutzerakzeptanz und Simplizität einer Lösung. Gleichzeitig wurde der Begriff des „Nutzens“ überführt in den präziseren Begriff „Sicherheit“, soll heißen den Grad an Sicherheit, den man erreichen will. Damit ist ein Zielkonflikt in nunmehr drei Dimensionen entstanden: Kosten – Komfort – Sicherheit, da hohe Sicherheit mit Komfort teuer ist, während günstige Lösungen oft an Sicherheit und Akzeptanz verlieren.

Da Kosten messbar, Sicherheit aber schwer definierbar ist, kann „notwendige Sicherheit“ von Minimalanforderung bis hin zu „was ist faktisch notwendig“ reichen. Zusätzliche Attribute wie „lageangepasste Sicherheit“ oder „erforderliche Sicherheit“ bringen hier ebenfalls keinen argumentativen Mehrwert. Alle potentiellen Sicherheitslösungen sind daher immer ein Kompromiss. Sicherheitslösungen umfassen aber zwei Komponenten: objektive Sicherheit und subjektive Sicherheit. Im sprachlichen Alltag wird fast ausnahmslos auf den Aspekt des Subjektiven abgezielt. Damit liegt der Begriff der Sicherheit in seiner Varianz mit dem rein von subjektiven Elementen getragenen Begriff des Komforts im Wesentlichen auf Augenhöhe.

Es gilt also zuvorderst den Mehrwert von Sicherheitsmaßnahmen auszudrücken, was nur dann gelingen kann, wenn deutlich wird, wie Sicherheit einen (potenziellen) Schaden bspw. verhindert, abwendet, minimiert, aufdeckt, verzögert oder in irgendeiner Form akzeptabel macht.

Man kann nur schützen, was auch geschützt werden will
Der Grad des Schutzes eines Unternehmens (und damit die effektive Wirkung der Sicherheit) wird von dessen Willen und Fähigkeit zur Resilienz bestimmt. Allzu oft gilt allerdings: „Sicherheit ist stets zu viel bis zu dem Augenblick, wo sie fehlt.“

Der Sicherheitsfunktion eines Unternehmens kommt hier eine wesentliche Rolle zu, in dem sie Risiken und Bedrohungen determiniert und im Dialog mit Geschäftsverantwortlichen festlegt. Auch wenn Sicherheitsverantwortliche in aller Regel die Governance-Verantwortung tragen, so sind die Sicherheitsfunktionen auch heute noch leider viel zu selten in die alltäglichen Abläufe der unternehmerischen Prozesse integriert. Hier tun sich für die Zukunft noch viele Chancen im Sinne eines Wertbeitrags auf, die Sicherheitsverantwortliche und Sicherheitsfunktionen leisten können, ja sogar müssen. Hierzu bedarf es weniger einer Governance- sondern vielmehr einer Steuerungshoheit, die verständlich, nachvollziehbar und praxistauglich ist, anstellt antiquierter „Du darfst“ und „Das darfst Du nicht“ Regelwerke.

Erweiterung des Sicherheitsdreiecks
Das bisher beschriebene klassische Sicherheitsdreieck ist heute aber längst durch ein Vieleck abgelöst, das die Komplexität des Handelns und der Verantwortung weiter erhöht. Neben Kosten, Komfort und Sicherheit spielen heute u.a. gesetzliche Vorschriften und Regularien, (geo-)politische und kulturelle Einflüsse, Digitalisierung, Risikobewusstsein und Versicherbarkeit, Medienwirkung, Reputation sowie gesellschaftliche Faktoren und letztlich Kaskadeneffekte eine Rolle.

Gelebte Sicherheitsverantwortung = Resilienz
Die Grenzen zwischen Business Continuity Management und strategischer Krisenvorsorge verschwimmen, da keine dieser beiden Komponenten für sich alleine eine sinnvolle Wirkung entfalten kann. Zudem geht es in der Sicherheitsverantwortung nicht nur um Vorsorge, sondern etwaig auch um Maßnahmen im Schadensfall. Umso mehr wird deutlich, dass ein Sicherheitsdreieck mittelfristig ausgedient hat, da es die gegenwärtige Komplexität der Entscheidungsparameter nicht hinreichend abbildet.

Daher ist festzuhalten, dass Sicherheitsfunktionen nach einem Dauerkrisenmodus in den Jahren 2020 bis 2023 erneut vor neuen und ungleich komplexeren Herausforderungen stehen. Es bedarf neuer Konzepte, mit denen Sicherheitsfunktionen ihren Wertbeitrag zum Unternehmenserfolg vermitteln und diesen letztlich auch messbar machen; was im präventiven Bereich oft nur bedingt gelingt. Repressives Handeln hingegen wird in der Regel über Häufigkeitszahlen in einzelnen Deliktfeldern und Phänomenbereichen abgebildet. Diese greifen im betrieblichen Kontext allerdings nicht selten zu kurz, da sie nur Teilaspekte abbilden und durch externe Faktoren wie auch Dunkelfelder verzerrt werden.

Fazit
Der Begriff der betrieblichen Sicherheit muss daher mittelfristig konsequent weitergedacht werden. Einerseits bleibt Sicherheit ein unverhandelbares menschliches Grundbedürfnis, andererseits muss Sicherheit als Funktion operativ flexibel und angemessen reagieren können. Dazu gehört auch eine valide Sensorik und das Antizipieren von Kaskadeneffekten und künftiger Sicherheitsrisiken. Gleichzeitig scheint es nötig, dass Sicherheit in sich auch digitaler und vernetzter werden muss. Risiken im digitalen Raum haben immer einen Bezug zur realen Welt und vor allem auch digitale Kriminalität hat immer einen Bezug zur realen Welt. Damit verschieben sich in einem Sicherheitsvieleck die Perimeter der Sicherheitsverantwortung.

Gleichzeitig ist die Prognose erlaubt, dass es auch absehbar und auf ansteigendem Niveau alle Formen von (schwerer) Kriminalität geben wird. Krisenhafte Ereignisse und ihre Kaskadeneffekte beeinflussen zudem die sozialgesellschaftlichen Abläufe in nicht unerheblichem Maße. Daher heißt es: in der Sicherheit weiterhin vernetzt denken und handeln, um der Gefahrengemeinschaft proaktiv zu begegnen. Kurzum: Sicherheit neu denken. Um genau diesem Anspruch gerecht zu werden, setzt die Volkswagen AG auf Elemente wie modernisierte Security Intelligence, messbare Wertschöpfung, proaktive Kritikalitätsbemessung oder andere präventiv wirkende Maßnahmen in der physischen oder digitalen Supply Chain des Konzerns.

Als „Konzern Sicherheit & Resilienz“ der Volkswagen AG vereinen wir mit unseren Marken, Regionen und Gesellschaften ein zukunftsorientiertes, sich von Innen heraus modernisierendes und global vernetztes Team, das im Sinne der obigen Erläuterungen und auf Basis unserer Sicherheitsstrategie als „ONE.security“ handelt. Wir haben aktuell eine detaillierte Analyse unseres kompletten Leistungsportfolios durchgeführt, die sich über sieben Handlungsfelder der Sicherheit, ca. 30 Kernprozesse und weit über 100 wesentliche Aufgaben / Tätigkeiten erstreckt. Diese Portfolio-Analyse wird unter Berücksichtigung der Elemente des „Security-Vielecks“ sowie der externen Einflussfaktoren im weiteren das Target Operating Modell sowie die Datenverarbeitungserfordernisse der Konzern Sicherheit & Resilienz beeinflussen.