29.04.2020Interview

„Sicherheit muss generell als ein Teil der Unternehmenskultur gedacht werden.“

Interview mit Carolin Stellmacher | 3-core GmbH  

Die Internationalisierung im Mittelstand stellt Unternehmen vor neue Herausforderungen. Spätestens wenn Mitarbeiter in neue Zielmärkte außerhalb der EU entsendet werden, ist eine gute Vorbereitung elementar. Neben der betriebswirtschaftlichen Potenzialanalyse erhält das Thema Sicherheit dabei eine zentrale Bedeutung.

Viele Risiken können mit der richtigen Strategie vermieden werden, erklärt Carolin Stellmacher von der 3-core GmbH im Interview mit dem DMB. Das DMB-Mitgliedsunternehmen berät Unternehmen und Konzerne mit dem Ziel, Strukturen des Sicherheitsmanagements aufzubauen.
 

DMB: Frau Stellmacher, wofür steht denn 3-core und was bietet 3-core an?

Carolin Stellmacher (3-core): Wir sind eine Managementberatung im Nischenmarkt der Unternehmenssicherheit. Das „core“ im Namen steht genau dafür: Corporate Resilience. Wir haben uns spezialisiert auf 3 Themengebiete: Sicherheits-, Notfall-, und Krisenmanagement. Was wir anbieten ist zum Beispiel die Security Governance. Dabei geht es um  die Organisation des Sicherheits-, Notfall-, und Krisenmanagements im Unternehmen. Andere Beispiele aus unserem Portfolio sind die Bewertung und Absicherung von kritischen Infrastrukturen, die Begleitung von Markteintritten in Hochrisikogebiete und Übungen bzw. Simulationen zu betrieblichen Notfällen und Krisen. Wichtig ist noch dazu zu sagen, dass es bei unserer Beratung weder um den Arbeitsschutz noch um Cyber Security geht, sondern um Angriffe von Dritten und Bedrohungen im Unternehmenskontext.
 

Was sind kritische Infrastrukturen?

Kritische Infrastrukturen sind Organisationen mit wichtiger Bedeutung für das Gemeinwesen. Ausfälle würden Versorgungsengpässe bedeuten. Wenn es zu einem Ausfall von diesen Organisationen käme, hieße das beispielsweise für Sie, dass Sie zuhause kein Strom, Wasser oder Gas haben. Das BBK (Behörde für Katastrophenschutz und Bevölkerungshilfe) bewertet die Kritikalität.
 

Könnten Sie, trotz aller Verschwiegenheit, ein aktuelles Projektbeispiel schildern?

Ich gebe Ihnen gerne einen Projekteinblick in das Notfallmanagement. Ziel ist es hier,  an einem Standort mit ca. 1500 Mitarbeitern die Notfallorganisation zu etablieren. Im Projekt werden gezielt Prozesse zu Meldewegen und Notfallszenarien erstellt. Dabei handelt es sich um Fragestellungen wie: Wer muss wen alarmieren? Welche Kommunikationsstrategie wird in welchem Szenario gefahren? Welche Szenarien sind überhaupt realistisch? Was könnte sich ereignen? Extremwetterereignisse, Einbruch, Vandalismus, Überflutung, Bombenfund, Proteste etc. All diese Themen werden in den Unternehmenskontext gebracht und münden in standortspezifische Reaktionspläne und Notfallpläne.
 

Gibt es Risiken, auf die man sich als Unternehmen überhaupt nicht vorbereiten kann?

Man sollte stets schauen, was gerade in der Welt passiert. Was passiert in meinem Land? Was passiert in meiner Region? Was passiert um mich herum? Risiken können verschiedenster Art sein: technologisch, ökologisch, gesellschaftlich, geopolitisch.

All die Erkenntnisse und „Findings“ sollten in den Unternehmenskontext gebracht werden. Wie könnten diese Faktoren mein Business negativ beeinflussen? Da sprechen wir dann vom Risikomanagement.  Aber Sie fragen nach Risiken, auf die man sich nicht vorbereiten kann. Das Risiko, Opfer eines Terroranschlags zu werden, dessen Eintrittswahrscheinlichkeit sehr gering ist und dessen Schadensausmaß relativ hoch ist, halte ich für schwierig bzw. unverhältnismäßig kostenaufwendig, sich da entsprechend vorzubereiten.
 

Was sind üblicherweise die größten Kostentreiber für Unternehmen im Bereich Sicherheits-, Notfall- und Krisenmanagement?

Sicherheit wird nicht per se als Teil der Wertschöpfungskette im Unternehmen gesehen. Das ist auch völlig verständlich, weil damit kein Produkt produziert oder eine Dienstleistung angeboten wird. Letztlich ist es eine Kosten-Nutzen-Rechnung, zwischen den Investitionen und dem potentiellen Schaden. In den meisten Fällen ist es jedoch so, dass die Investitionen in das Sicherheits-, Notfall- und Krisenmanagement niedriger sind, als die erwartbaren Personen- und Materialschäden oder der Abfluss von Know How. Grundsätzlich ist Augenmaß gefragt. Auch kleine, aber gezielte Investitionen können einen Mehrwert bringen. Grundsätzlich ist es eine Frage der Abwägung und Risikoakzeptanz, die jedes Unternehmen für sich selbst anstellen muss.
 

Haben Sie ein prägnantes Beispiel, an dem sich zeigt, wie nicht vorhandenes oder schlecht aufgestelltes Sicherheits-, Notfall- oder Krisenmanagement erhebliche Folgekosten nach sich gezogen hat?

Ein leitender Mitarbeiter wurde beispielsweise zusammen mit seiner Familie im Ausland – zu dem Zeitpunkt ein Risikogebiet – stationiert. Die Familie wurde eines Nachts Opfer eines Überfalls. Das hatte zur Folge, dass der besagte Mitarbeiter und seine Familie das Land so schnell wie möglich wieder verlassen wollten. Damit konnte das Projekt erst mal nicht realisiert werden. Neben den finanziellen Kosten entstand durch die Verzögerung des Projekts ein enormer Reputationsschaden für die Firma. Das Unternehmen hat seine Fürsorgepflicht gegenüber dem Mitarbeiter verletzt, indem sich nicht um die nötige Sicherheit der Wohnung gekümmert wurde. Ich denke, das ist ein passendes Beispiel für entstehende Folgekosten aufgrund eines mangelhaften Sicherheitsmanagements.
 

Was sollten Unternehmen tun, damit eine solche Situation nicht eintritt?

Gerade bei der Entsendung von Mitarbeitern in gefährlichere Regionen der Welt ist die allgemeine politische sowie die spezifische Sicherheitslage nicht zu unterschätzen. Ich empfehle daher, die Mitarbeiter vorab auf die Lage intensiv vorzubereiten – auch kulturell – und die Unterkunft entsprechend zu schützen.
 

Gibt es aus Ihrer Perspektive so etwas wie Minimalanforderungen an ein Sicherheits-, Notfall- und Krisenmanagement für Unternehmen im Ausland?

Grundsätzlich gilt: Das Unternehmen hat eine Fürsorgepflicht gegenüber dem Mitarbeiter. Diese Fürsorgepflicht gilt natürlich auch für Auslandsaufenthalte und für Geschäftsreisen. Die Gewährleistung der Sicherheit des Mitarbeiters sollte dabei nicht an letzter Stelle stehen. Eine Sensibilisierung hinsichtlich der kulturellen Gepflogenheiten, wie auch der spezifischen Business-Etikette des Gastlandes gehören dazu.  Zudem ist der Umgang mit Korruption in diesem Zusammenhang ein weiteres wichtiges Thema.

Zu den Basics einer Geschäftsreise zählt ein Reise-Sicherheitstraining. Bei solchen Trainings wird unter anderem die folgende Frage behandelt: Wie komme ich vor Ort ganz konkret von A nach B? Denn gerade wenn es in Risikogebiete geht, gilt es, auf regionale Besonderheiten zu achten. Unternehmen profitieren dabei von unseren Netzwerken und deren Erfahrung vor Ort. Auf der Basis von stetig aktualisierten Lagebildern können wir, entsprechend der Bedürfnisse der Unternehmen, Empfehlungen aussprechen. So viel zur Geschäftsreise.

Zu den Minimalanforderungen von Auslandsprojekten gehört in erster Linie eine Makroanalyse der politischen Gegebenheiten sowie der Sicherheitslage vor Ort. Dazu zählen Themen wie Korruption, Kriminalität, aber auch die potentielle Gefahr von Naturkatastrophen.
 

Wie gehen Sie bei Ihren Empfehlungen vor? Bereisen Sie die Länder selbst und schauen Sie sich die Strukturen vor Ort an? Wie kann man sich das konkret vorstellen?

Ein Kunde von uns wollte neue Märkte in Mexiko erschließen. Wichtig ist dabei nicht nur das Land als solches, sondern die Analyse der Lage in den einzelnen Regionen. Das gilt gerade für große Flächenstaaten. In diesem spezifischen Fall wurden die Regionen, die das Unternehmen favorisierte, vorab von uns bereist. In Zusammenarbeit mit den mexikanischen Behörden in den Regionen, deutschen Sicherheitsorganen vor Ort und unserem Netzwerk tragen wir die für das Unternehmen relevanten Informationen zusammen. Dabei fließen auch Erfahrungswerte von bereits ansässigen Unternehmen in die Analyse mit ein. Daraufhin arbeiten wir Empfehlungen aus, die auf Basis mehrerer Indizes erstellt werden. Wichtig ist immer, dass man ganz konkret die Regionen in den Blick nimmt und sich mit den Akteuren vor Ort austauscht.
 

Wie gut oder schlecht ist Ihrer Meinung nach der deutsche Mittelstand hinsichtlich Sicherheits-, Notfall- und Krisenmanagement aufgestellt?

Mittelständische Unternehmen können das anhand einiger konkreter Fragestellungen selbst abschätzen: Kennen Sie Ihre internen Geschäftsrisiken? Kennen Sie die Risiken im In- und Ausland im Bezug auf politische, sozioökonomische und sicherheitsrelevante Aspekte? Haben Sie Guidelines und Informationsdokumente für das Sicherheits-, Notfall- und Krisenmanagement? Wissen Sie, was Sie tun, wenn Teilprozesse der Produktion ausfallen? Ist das Thema Sicherheit in der Unternehmenskultur verankert? Erfüllen Sie die gesetzlichen Anforderungen aus dem BGB, HGB und dem IT-Sicherheitsgesetz? Diese Fragen sollten einen ersten Anhaltspunkt liefern.
 

Haben Sie eventuell ein paar Best Practice Beispiele oder Konkrete Tipps für KMU?

Das Konzept von Kunde A funktioniert nicht zwangsläufig auch bei Kunde B. Die Bedürfnisse variieren je nach Branche und der Unternehmenskultur. Wir bieten individuelle, auf den Bedarf des jeweiligen Unternehmens abgestimmte Lösungen. Wie hoch die Risikoakzeptanz im eigenen Unternehmen ist, können Unternehmerinnen und Unternehmer am besten selbst einschätzen. Fahrlässig wäre es allerdings, seine Risiken nicht zu kennen. Das Bewusstsein für die Risiken bildet den Ausgangspunkt der Analyse. Wie wahrscheinlich ist es, dass ein bestimmter Fall eintritt, auch im Kontext der Historie des Unternehmens. Was ist denn in der Vergangenheit schon passiert? Davon ausgehend muss abgewogen werden, ob sich bestimmte Vorfälle wiederholen könnten und ob gegebenenfalls Schutzmaßnahmen implementiert werden sollten.

Ganz wichtig ist es meiner Meinung nach, dass Sicherheit generell als ein Teil der Unternehmenskultur gedacht wird, sodass Unternehmen nicht fahrlässig handeln.
 

Vielen Dank für das Gespräch!

PDF laden

Mehr zu diesen Themen