1. Herr Züche, alle reden über Resilienz. Was bedeutet der Begriff für Sie in der Unternehmenssicherheit?
Resilienz beginnt für mich mit einer sehr einfachen Frage: Was darf in einem Unternehmen nicht ausfallen? Das klingt banal, ist es aber nicht. Sobald man diese Frage ernsthaft stellt, landet man nicht mehr nur bei IT-Systemen, Personalplänen oder Maschinen. Man landet bei Menschen, Standorten, Lieferketten, Entscheidungswegen, Reputation und Vertrauen. Die Unternehmenssicherheit hat sich in den vergangenen Jahren stark verändert. Früher wurde sie oft mit reinem Werksschutz verbunden. Das ist weiterhin wichtig. Mittlerweile geht es aber um mehr. Es geht darum, ob ein Unternehmen unter Unsicherheit in einer unklaren Lage noch führen, produzieren, liefern und glaubwürdig kommunizieren kann. Resilienz ist deshalb kein Modewort. Sie ist die Fähigkeit, unter Druck nicht die Orientierung und Steuerung zu verlieren.
2. Warum muss das Thema auf die Vorstandsebene?
Auf Vorstandsebene werden die unternehmensentscheidenden Fragen geklärt und final entschieden. Wir erleben derzeit eine Welt, in der Unternehmen viel stärker von geopolitischen Entwicklungen betroffen sind als noch vor einigen Jahren. Der Krieg in der Ukraine und im Nahen Osten, Angriffe auf kritische Infrastruktur, Cyberkriminalität, Desinformation, politische Entscheidungen in den USA und China, wirtschaftlicher Druck, sozio-kultureller Wandel. All das bleibt nicht außerhalb der Werkstore. Wenn solche Themen nicht auf Vorstandsebene verstanden und gesteuert werden, reagiert das Unternehmen im Zweifel zu spät. Und in einer Krise ist Zeit immer die kritischste und teuerste Ressource. Die Unternehmenssicherheit, auch im Sinne eines integrierten Sicherheitsmanagement, kann diese Risiken analysieren, Szenarien vorbereiten, Lagen bewerten und Maßnahmen empfehlen. Aber nicht entscheiden, welches Risiko ein Unternehmen strategisch akzeptiert und schon gar nicht selbstständig entscheiden, beispielsweise welche Lieferketten Priorität oder neukonzipiert werden müssten. Aus diesem Grund muss die Unternehmenssicherheit diese Themen bei der Organisationsleitung adressieren.
3. Was verändert die aktuelle geopolitische Lage für Unternehmenssicherheit konkret?
Die aktuellen geopolitischen Situationen verändern vor allem den Blick auf Abhängigkeiten, politische als auch wirtschaftliche. Viele Unternehmen haben sehr lange nach reinen Effizienzkriterien geplant. Globale Lieferketten als just-in-time, schlanke Lagerhaltung, globale Diversifizierung der Standorte, hoch-spezialisierte Zulieferer. Das war wirtschaftlich sinnvoll. Aber jede Effizienz erzeugt auch Verwundbarkeit. Heute muss Unternehmenssicherheit fragen: Welche Route ist kritisch? Welcher Dienstleister ist nicht ersetzbar? Welcher Standort liegt in einem exponierten Umfeld? Welche Informationen wären für Wettbewerber, Kriminelle oder staatlich gelenkte Akteure interessant? Welche Führungskräfte oder Mitarbeitenden sind besonders vulnerabel? Aber auch, wie das Wetter ist. Das ist keine Dramatisierung. Es ist eine nüchterne Lagebeurteilung. Die neue Realität ist, dass Unternehmen von Krisen getroffen werden, obwohl sie selbst nichts falsch gemacht haben. Und wer nichts macht, macht nichts falsch ist dahingehend noch nie die beste Lösung gewesen. Wir erlebten, wie ein havariertes Schiff im Suez-Kanal Lieferengpässe zur Folge hatte. Wir sehen, wie die Schließung der Straße von Hormuz zu explodierenden Kosten führt. Deshalb braucht Unternehmenssicherheit heute einen viel breiteren Blick. Nicht ängstlich, nicht paraniod, aber hellwach mit dem richtigen Maß an situational awareness.
4. Was läuft in Krisen häufig schief und wie relevant ist Krisenmanagement heute?
Heutzutage ist es eine Kernfähigkeit moderner Unternehmen, auch bedingt durch regulatorische Anforderungen wie, zum Beispiel, die NIS2 oder das KRITS-Dachgesetz. Organisationen stehen gleichzeitig unter regulatorischem Druck und realen Bedrohungen durch Cyberangriffe, geopolitische Spannungen oder operativen Ausfällen. Oft wird zu lange in Zuständigkeiten gedacht. Ein Cyberangriff wird zunächst als IT-Thema behandelt. Ein Reputationsproblem als Kommunikationsthema. Ein Lieferantenengpass oder sogar Ausfall als Procurement-Thema. Ein Sicherheitsvorfall als Standortthema. Aber echte Krisen überschreiten diese Grenzen sehr schnell. Dann zeigt sich, ob ein Unternehmen wirklich vorbereitet ist. Moderne Krisen entwickeln eine enorme Eigendynamik. Wenn Unternehmen nur noch reagieren, verlieren sie schnell die Kontrolle über Kommunikation, Entscheidungen und Prioritäten. In der Krise rächt sich Unklarheit. Nicht immer laut, aber sehr konsequent. Entscheidungen dauern zu lange. Informationen kommen zu spät. Die erste Lagemeldung ist immer falsch. Teams arbeiten parallel statt gemeinsam. Nach innen entsteht Unsicherheit, nach außen der schöne Schein. Gute Krisenführung bedeutet nicht, immer sofort die perfekte Antwort zu haben. Gute Krisenführung bedeutet, auch unter Unsicherheit entscheidungsfähig zu bleiben und den Mut zur zweitbesten Entscheidung zu haben.
5. Wie gelingt eine Sicherheitskultur, ohne Angst zu erzeugen?
Menschen folgen selten gern Prozessen. Sie folgen Relevanz und Vertrauen. Ein Punkt, der in Unternehmen häufig unterschätzt wird, ist die sogenannte psychologische Reaktanz. Sobald Menschen das Gefühl haben, Kontrolle zu verlieren oder zu etwas gezwungen zu werden, entsteht innerer Widerstand selbst dann, wenn Maßnahmen als objektiv sinnvoll erachtet werden. Genau deshalb scheitern Sicherheits- oder Krisenprogramme nicht an der Technik, sondern an Kommunikation und Führung. Mitarbeiter müssen verstehen, warum Maßnahmen notwendig sind und welchen Beitrag sie selbst leisten können. Gute Resilienz entsteht nicht durch Angst oder Druck, sondern durch Beteiligung, Vertrauen und Orientierung. Und ehrlicherweise ist gute Stimmung und Vertrauen in Teams oft ein massiver Produktivitäts- und Stabilitätsfaktor. Gerade unter Druck entscheiden Motivation und Zusammenhalt häufig darüber, wie resilient eine Organisation wirklich ist. Eine andere Herausforderung ist, Sicherheit nicht nur als Sicherheitsproblem zu erklären. Vorstände denken nicht in Firewalls oder Notfallplänen. Sie denken in Geschäftsstabilität, Umsatz, Gewinn, Rentabilität, Lieferfähigkeit und Reputation, auch ihre eigene. Genau dort muss modernes Resilienz-Management ansetzen. Für mich ist Resilienz deshalb im Kern die Fähigkeit, die Lücke zwischen dem aktuellen Zustand eines Unternehmens und seiner gewünschten Stabilität zu schließen. Es sollten Lösungen adressiert werden und nicht nur Probleme, denn Vorbereitung ersetzt Angst durch Handlungsfähigkeit. Sicherheitskultur entsteht auch nicht durch 8 Minuten E-Learnings im Jahr. Sie entsteht, wenn Führungskräfte Sicherheit ernst nehmen, wenn Hinweise nicht wegmoderiert werden und wenn nach Vorfällen nicht zuerst Schuldige gesucht werden, sondern Ursachen. Klarheit ohne Angst ist der Kern.
6. Was wäre Ihre wichtigste Botschaft an Vorstände?
Warten Sie nicht auf die Krise, um zu lernen, woran Ihr Unternehmen wirklich hängt. Das ist vielleicht der freundlichste Weckruf, den man geben kann: Resilienz entsteht nicht, wenn der Krisenstab zusammenkommt. Sie entsteht viel früher dort, wo Vorstände entscheiden, welche Standorte, Menschen, Systeme und Lieferketten für das Überleben des Unternehmens unverzichtbar sind. Unternehmenssicherheit ist kein Randthema für schlechte Tage. Sie ist Teil guter Führung an jedem Tag. Denn in der Krise zeigt sich nicht, wie gut ein Unternehmen organisiert ist. Es zeigt sich, wie ernst seine Führung vorher hingesehen hat.