think about: Business Resilience

think about

Business Resilience

Machen Sie Ihr Unternehmen zukunftssicher!

Cyber Security

Digitale Abwehr

New Work

Arbeit neu gedacht

Digitalisierung

Zukunft im Wandel

Supply Chain

Nahtlose Logistik

Krisenmanagement

Stärke im Chaos

Industrie

Innovation fördert

Schulterschluss von Unternehmen und Behörden

Cybersicherheit ist entscheidend für die digitale Souveränität und die Wettbewerbsfähigkeit Deutschlands. Zugleich hat sich Cyberkriminalität zu einer der größten Bedrohungen für unsere Wirtschaft und Gesellschaft entwickelt.

Text Susanne Dehmel.

Die Auswirkungen einer erfolgreichen Cyberattacke können verheerend sein, von der Lahmlegung der IT-Infrastruktur eines Unternehmens bis hin zur Beeinträchtigung von Krankenhäusern, Energienetzen und Verkehrssystemen. In einer aktuellen BitkomStudie hat fast jedes zweite Unternehmen angegeben, dass ein erfolgreicher Cyberangriff seine Existenz bedrohen könnte. Zugleich rechnen 63 Prozent der Unternehmen damit, in den kommenden zwölf Monaten Opfer von solchen Angriffen zu werden. Cyberkriminalität ist längst nicht mehr nur

das Werk einzelner Hacker, sondern Teil der weltweiten organisierten Kriminalität, oft mit Verbindungen zu staatlichen Akteuren.

Wie kann Cybersicherheit gelingen? In den Unternehmen darf IT-Sicherheit nicht alleine Aufgabe der IT-Abteilungen sein, sondern sie muss Priorität für das Top-Management werden. Jedes Unternehmen benötigt einen klaren Notfallplan für Cyberangriffe. IT-Sicherheit muss mit den notwendigen Ressourcen ausgestattet werden und neben technischer Sicherheit muss der Mensch in den Fokus gerückt werden: Alle Beschäftigten sollten regelmäßig geschult werden, da sie die erste Abwehrlinie gegen Cyberkriminelle darstellen.

Aber auch die Behörden müssen mehr tun. Wir brauchen eine höhere Präsenz von Polizei und Strafverfolgungsbehörden im Cyberraum. Die wiederum brauchen dazu Know-how, Personal und technische

Impressum

Redaktion (verantwortlich): Rüdiger Schmidt-Sodingen

Ausstattung. Und wir benötigen eine stärkere Konzentration von Zuständigkeiten und Know-how. Cyberkriminalität orientiert sich nicht an unseren föderalen Strukturen. Gegen die Cyberkriminalität von heute braucht es darüber hinaus den Schulterschluss von Wirtschaft und Staat. Es geht nicht nur um die Abwehr jedes einzelnen Angriffs, sondern auch um die Stärkung der Widerstandsfähigkeit unserer Unternehmen und Infrastrukturen.

Mitglied der Geschäftsleitung

Recht & Sicherheit

Bitkom e.V.

Genius Partner • Nutanix Germany GmbH

Resilienz: Lackmustest für die Cloud

Alle Eier in einen Korb zu legen, war noch nie klug. Das gilt auch für die Cloud. Die Zukunft gehört nicht »Cloud-only«-Strategien, sondern einem Mix aus firmeneigenen und Public-Cloud-Umgebungen. Erst dadurch wird die Unternehmens-IT resilient.

Dass so viele Unternehmen in den vergangenen Jahren allein auf die Public Cloud gesetzt haben, geht auf eine Hoffnung und ein Missverständnis zurück: auf die in vielen Fällen enttäuschte Hoffnung, die Silo-IT zu überwinden. Und damit zusammenhängend auf das Missverständnis, dass die Cloud ein Ort sei. Doch das ist sie nicht, sondern ein Betriebsmodell.

Als Betriebsmodell macht die Cloud die Infrastruktur zu einem auf Knopfdruck verfügbaren und nutzbaren Softwareservice. Genau so, wie die Unternehmen es von den Hyperscalern kennen, die ihre Infrastrukturen vollständig von der zugrundeliegenden Hardware entkoppelt haben.

Flexibel, wirtschaftlich, nachhaltig

Zu 100 Prozent softwarebasierte Infrastrukturen haben entscheidende Vorteile: Sie sind flexibel und skalierbar. Sie

vereinigen sämtliche zur Verfügung stehenden Hardwareressourcen zu einem einheitlichen Ressourcenpool, der sich flexibel den jeweiligen Anforderungen der Arbeitslasten zuweisen lässt. So wird Infrastruktur zum Service.

Infrastruktursoftware stellt die IT unter den Primat der Wirtschaftlichkeit. Sie erhöht den Auslastungsrad der Hardwareressourcen massiv und hilft dadurch, Kosteneffizienz und Nachhaltigkeitsziele – Stichwort ESG (Environmental, Social, Governance) – zu erreichen. Einer Studie von Atlantic Ventures zufolge ließen sich dadurch allein in Deutschland bis 2025 potenziell 11,9 TWh Energie und rund 3,69 Mio. Tonnen CO2Äquivalente einsparen. Darüber hinaus macht die Software Arbeitslasten und Daten frei portierbar; die Wahl der Umgebung fällt nicht mehr aus technischen, sondern unternehmerischen Gründen.

Unabhängig und resilient Eine resiliente IT ist unabhängig von den Umgebungen, in denen sie ihre Workloads betreibt. Dazu gehört auch eine zentrale und automatisierte Steuerung, die unabhängiger von Spezialkenntnissen und zusätzlichem Personalbedarf macht. So kann die IT flexibel auf Veränderungen – ob

Layout (verantwortlich): Andrea Caduff

Coverfoto: Chunyip Wong/iStockphoto

Distribution & Druck: Die Welt, Axel Springer SE

Die Inhalte mit dem Label »Genius Partner« in dieser Veröffentlichung wurden in enger Zusammenarbeit mit unseren Kunden entwickelt und sind Anzeigen.

Herausgegeben von: Genius Thinkers GmbH Egzona Gashi Grienbachstrasse 36 6300 Zug, Schweiz

Tel.: +41 58 510 99 39

E-Mail: info@genius-thinkers.com

Web: www.genius-thinkers.com

think about: Cyber Security

regulatorisch, technisch oder politisch – und Notfälle wie Strom- und Hardwareausfälle oder Cyberangriffe reagieren und für einen unterbrechungsfreien, zuverlässigen, ressourcensparenden und rechtssicheren IT-Betrieb mit voller Datensouveränität sorgen.

Voraussetzung dafür ist das Betriebsmodell der hybriden Multi-Cloud, eines Miteinanders von firmeneigenem, aber vollständig softwarebasiertem Rechenzentrum als privater Cloud und unterschiedlichen Public-Cloud-Angeboten sowie Edge-Umgebungen.

Kein Wunder, dass laut Nutanix-Studie Enterprise Cloud Index bis 2026 die Hälfte der deutschen Unternehmen dieses Modell einführen will. Die dafür nötige Software- und zentrale Managementlösung inkl. frei portierbarer Lizenzen – im Rechenzentrum, am Edge, auf AWS und Microsoft Azure etc. – gibt es auf www.nutanix.de

Neue Dimensionen der IT-Security

Es ist nicht weniger als das Ende der Insellösungen: Die IT Security neuer Generation nimmt das große Ganze in den Blick. Bei der optimalen Widerstandsfähigkeit gegen zunehmend globale Bedrohungen hilft vor allem geballte internationale Expertise. Und die Fähigkeit, gleich mehrere Umgebungen zu schützen, ob on-premises, hybrid oder in der privaten Cloud. Dabei immer wichtiger: die Transparenz der Sicherheit auch für Entscheider.

Text Pathlock Inc.

Dies spiegelt sich auch im diesjährigen Leadership Compass des führenden Analysten KuppingerCole wider, in dem eine umfassende Unterstützung sowohl für SAP-Umgebungen als auch für die Geschäftsanwendungen anderer Anbieter im Mittelpunkt steht: »Die Anforderungen der Kunden an Zugangskontrolllösungen für ihre Geschäftsanwendungen ändern sich rapide. Viele Unternehmen benötigen Lösungen, die eine Reihe ERPs verschiedener Anbieter abdecken und in unterschiedlichen Modellen betrieben werden.«

Für den Schutz geschäftskritischer Anwendungen unerlässlich Für viele Unternehmen bleiben SAP-Systeme wesentlicher Bestandteil ihrer IT-Infrastruktur, aber die andere Lösungen gewinnen zunehmend an Bedeutung, beispielsweise Oracle-ERP-Instanzen neben SAP als Ergebnis von Fusionen und Übernahmen. »Die Verwaltung von Zugriffsberechtigungen einschließlich Rollen, aber auch Regeln für die Trennung überschneidender Funktionen (Segregation of Duties) und andere Aspekte rund um Identität, Zugriff und Sicherheit sind für den Schutz dieser geschäftskritischen Anwendungen unerlässlich«, betont der Leadership Compass 2023.

Wirksame Lösungen für das Risikomanagement Hinzu kommt, so die Analysten, dass geschäftskritische Systeme dem Trend in die Cloud mit Lösungen wie SuccessFactors oder Ariba folgen und sich damit der Anwendungsbereich für zentralisierte Zugriffskontrollen über die traditionellen ABAP-Systeme und SAP hinaus erweitert. Während die Anforderungen derart steigen, sei entscheidend, »dass alle Systeme durch eine wirksame Lösung für das Risikomanagement abgedeckt sind, für die Verwaltung der Zugriffskontrolle und der SoD-Kontrollen sowie für eine angemessene Access Governance.«

Internationaler Zusammenschluss maßgeblich innovativ Hinsichtlich der ganzheitlichen Unterstützung für SAP und weitere Geschäftsanwendungen konstatiert Martin Kuppinger: »Bei Nicht-SAP-Lösungen fehlt den meisten Anbietern noch die langjährige Erfahrung mit Best-Practice-Rollenmodellen, kritischen Zugriffsregelsätzen und SoD-Rollensätzen«, und hebt als Ausnahme die tiefgreifende Unterstützung für Oracle-Systeme von Pathlock hervor.

Dabei ist Pathlock als Zusammenschluss sieben international führender Anbieter für Access Governance und Application Security nicht einmal zwei Jahre alt, heute aber bereits der weltweit führende Security & GRC Spezialist für SAP und hybride ERP-Systeme. Laut KuppingerCole hat der Sicherheitsspezialist in allen Ratings für den Schutz heterogener ERP-Landschaften die »Overall Leadership« eingenommen. Pathlock verfüge über ein extrem funktionsreiches »umfassendes Portfolio, das eine breite Palette von Anwendungen unterstützt«, und sei maßgeblich innovativ.

Ganzheitlicher Überblick durch Dashboards Für immer mehr Unternehmen ist der ganzheitliche Überblick über die aktuelle Risikosituation und die Informationsdarstellung eine zunehmende Herausforderung, insbesondere hinsichtlich SAP. Benötigt werden Management-Views auf die aktuelle Risikolage und deren Änderungen im zeitlichen Verlauf ebenso wie detaillierte Arbeitslisten und Hilfestellungen für anschließende Maßnahmen. Piyush Pandey, CEO von Pathlock, betont, dass ein CEO oder der Vorstand über die richtigen Informationen verfügen müssen: »Nur wenn diese die Bedrohungslage und die Folgen von

Sicherheitsverstößen verstehen, können die Geschäftsbereiche auch das erforderliche Budget erhalten. Einen entscheidenden Vorteil bietet hier ein Executive Dashboard.«

Maßgeschneidert und hochgradig anpassbar

Während der Arbeitskreis Vulnerability Management der DSAG alljährlich die Forderung an SAP nach einem Security Dashboard erneuert, schafft Pathlock nun mit gleich drei Dashboards Tatsachen: maßgeschneidert und hochgradig anpassbar für Security-Analysten, Administratoren und nun auch Executives. Der Fokus liegt dabei auf der ganzheitlichen Betrachtung regelmäßiger, punktueller Parameter-Prüfungen sowie auf der Bedrohungserkennung in Echtzeit, um den IT-Bereich zu monitoren.

Security Information Center und Threat Detection Dashboard

So stellt das Security Information Center das Vulnerability Management, also die zyklische Überwachung grafisch und visuell dar. Es bedient die Security-Administration im weitesten Sinne, also jeden, der sich mit Audits bzw. der Konfigurationsüberwachung befasst, aber auch den CISO, der überprüft, wie sich Probleme im Verlauf entwickeln und ob Audits erfüllt sind. Dem gegenüber steht das Threat Detection Dashboard, mit dem alle Erkenntnisse aus dem Bereich Echtzeit-Erkennung gesammelt und visualisiert werden. Hier sind es eher Security-Analysten, die etwa den Eventmonitor benutzen, mitunter auch Security-Entscheider, die detailliertere Informationen benötigen oder einen bestimmten Trend verfolgen.

Das Executive Security Dashboard

Mit dem neuen Software Release von Pathlock kommt nun ein Executive Dashboard hinzu, um die Daten aus der Threat Detection und dem Vulnerability Management zu aggregieren, damit Entscheider einen Überblick auf ManagementEbene über den gesamtheitlichen Sicherheitskontext erhalten. Die wichtigsten Informationen finden sich sofort beim Einstieg: Ist eine Landschaft gefährdet? Wie problematisch ist es? Wie sieht die Landschaft insgesamt aus und wurden Compliance-Kriterien eingehalten?

Trendinformationen und Monitoring

Daneben finden sich Trendinformationen: Wie entwickeln sich Schwachstellen in Bezug auf Bedrohungen und gibt es da eine Korrelation? Soll ein Aspekt tiefergehend betrachtet werden, sind immer auch Follow-up-Informationen mit Detailansichten gegeben, etwa zum Patch Level – die vielleicht nicht für den CEO, aber für den CIO interessant sind. Das Dashboard bietet zudem Visualisierungen zum

Monitoring-Netzwerk: Wie sind die Verbindungen vom zentralen System zu den Managed Systems? Gibt es welche, die momentan nicht funktionstüchtig sind? Diese sind dann durch eine rote Linie gekennzeichnet, wobei das konkrete Finding nicht genau spezifiziert wird.

High-Level-Informationen auf einen Blick

Der Grundgedanke: Ein Entscheider muss nicht bis ins kleinste Detail informiert sein. Er erhält stattdessen High-Level-Informationen. Gibt es ein Problem und wie gravierend ist es? Wer ist der Ansprechpartner für dieses System, wen muss ich kontaktieren, damit die Problemlösung in Gang gesetzt wird? So können Verantwortliche künftig mit geringstmöglichem Aufwand bestmöglich informierte und fundierte Entscheidungen treffen und deren Umsetzung sofort in die Wege leiten.

Ein Dimensionssprung ganzheitlicher Security

Für die IT-Widerstandsfähigkeit von Unternehmen gegen Bedrohungen von innen und außen bedeuten die Ausweitung auf ERPs verschiedener Anbieter, die übergreifende Abdeckung von On-premises-, Hybrid- und Cloud-Umgebungen sowie die maßgeschneiderte Transparenz durch Dashboards vom Administrator bis zum Executive einen Dimensionssprung ganzheitlicher Security. Ein Fortschritt, den nur die akkumulierten Fähigkeiten, Lösungen und Expertisen eines internationalen Best-of-Zusammenschlusses von Spezialisten wie Pathlock ermöglichen.

Pathlock Inc. ist Weltmarktführer für die Automatisierung von Access Orchestration und Cyber Security von Business-Applikationen und berät mit rund 500 Mitarbeitenden an 15 Standorten weltweit mehr als 1.200 Kunden. Pathlock vereinigt vollumfängliche Software, hohe Expertise, etablierte Best-Practice-Methoden und maßgeschneiderte Services.

www.pathlock.com/de

Sicherheit braucht Input, Input, Input

Erfolgreiche Cyber-Attacken sind vor allem eins: ausgenutzte Schwachstellen. Somit geht es bei Cyber Security nicht nur um Angriffe von außen, sondern primär um innere, möglichst intelligente Firmen-Architekturen.

Text Rüdiger Schmidt-Sodingen

Zugbrücke hoch – keiner kommt mehr rein. Was im Mittelalter funktioniert hat, zumindest temporär, bis die Händler oder Gesandten kamen und eben doch rein mussten, ist heute physisch und virtuell kaum noch machbar. Denn jedes Unternehmen lässt im Sekundentakt Zugbrücken hoch und runter, öffnet Türen, empfängt E-Mails, bekommt Dokumente, hat unzählige Ansprechpartner, Dienstleister und Kunden.

Der Alptraum jedes Unternehmens sieht dann beispielsweise so aus: Eine simple Phishing-Mail hat den Betrieb lahmgelegt. Plötzlich geht nichts mehr – und aus Rücksichtnahme auf mögliche Datenabflüsse und weitere Folgen werden alle Online-Services plus der gesamte Geschäftsbetrieb kurzfristig vom Netz genommen. »Wann wir hier wieder arbeiten können? Keine Ahnung.«

Dreh- und Angelpunkt IT

Moderne Cyber Security für Unternehmen muss, bevor sie noch irgendwelche Strukturen sichert oder Software aufspielt, mit mehreren grundsätzlichen Missverständnissen kämpfen. Einmal verstehen einige Unternehmen immer noch nicht, dass IT eben nicht nur den Verkauf ankurbeln soll, sondern ihn entscheidend absichert und ermöglicht. Das zweite Missverständnis wiegt noch mehr: Sicherheitsprogramme sind keine Türschlösser, von denen man nur einmal eins kaufen muss und dann für die nächsten Jahre Ruhe hat. Denn auch die Angriffe und deren Hintermänner werden immer heterogener.

Genius Partner • Kaspersky

Neben den üblichen Kriminellen, die beispielsweise mit einer plötzlichen Verschlüsselung von Daten Geld erpressen wollen, können Konkurrenten und neuerdings auch politisch feindlich gesinnte Organisationen, die zentrale, gut funktionierende Wirtschaftszweige temporär beschädigen wollen, zu den Tätern zählen. Auch Einzelpersonen, die aus den unterschiedlichsten, teilweise privaten Motiven etwas gegen eine Firma unternehmen wollen, können Hacker beauftragen.

Die Folgen von Cyber-Attacken werden mitunter völlig falsch eingeschätzt. So kann es sein, dass schadhafte Programme heimlich weiterarbeiten und gar nicht erkannt werden - oder vorbereitend für noch weitreichendere Attacken fungieren. Die oberste Priorität, möglichst schnell wieder »normal« arbeiten zu können, rückt dann in weite Ferne und verbreitet innerhalb des Unternehmens tatsächlich Angst und Schrecken.

Mangelnde Vorbereitung »besorgniserregend«

Für seinen Incident Response Report befragte Kaspersky über Arlington Research im vergangenen Juni 300 IT-Entscheidungsträger in Deutschland, Österreich und der Schweiz. Die Ergebnisse sind ernüchternd: Nur 64,5 Prozent haben eine kontinuierlich kontrollierte Passwort-Richtlinie. Lediglich 58 Prozent erstellen regelmäßig Backups, nur knapp 15 Prozent führen Angriffssimulationen durch.

Nur ein Fünftel der befragten Unternehmen, so der Report weiter, besitzt Incident-Response-Pläne. Besonders kritisch wird es bei der Einschätzung der Mitarbeitenden: 40 Prozent der Unternehmen denken, dass sie Angriffsrisiken mit dem eigenen Team gar nicht richtig bewerten können. Kai Schuricht, Lead Incident Response Specialist bei Kaspersky: »Die (Nicht-)Vorbereitung auf Angriffe vieler Unternehmen in Deutschland ist besorgniserregend. Seit Jahren zeigen immer wieder große Angriffe, wie wichtig es ist, umfassende Sicherheitsmaßnahmen implementiert zu haben und vorbereitet zu sein, um im Falle des Falles schnell reagieren zu können.«

Top-Cyberschutz durch Threat Intelligence und All-in-One-Ansatz

Cyberkriminelle werden immer professioneller; Malware-as-a-Service boomt. Vor diesem Hintergrund skizziert Waldemar Bergstreiser, General Manager DACH bei Kaspersky, wie ein nachhaltiges und effektives Cybersicherheitsniveau durch einen ganzheitlichen Ansatz basierend auf mehreren Schutzdimensionen, einschließlich Threat Intelligence (TI), erreicht werden kann.

Wie schätzen Sie die aktuelle Bedrohungslage ein?

Unsere Analysen zeigen, dass Cyberkriminalität zunehmend zu einem Geschäftsmodell wird. Durch Malware-as-a-Service (MaaS) wird es für weniger versierte Cyberkriminelle relativ einfach, Cyberangriffe zu starten: sie mieten geeignete Malware-Tools. Zugleich werden Angriffsmethoden immer komplexer.

Waldemar Bergstreiser, General Manager DACH

Deshalb reichen automatisierte Abwehrsysteme als alleiniges Mittel für eine umfassende Sicherheit nicht mehr aus. Unternehmen müssen die Anzeichen eines drohenden Cyberangriffs erkennen und vorbeugende Maßnahmen ergreifen – im Idealfall bevor Schaden entsteht. Dazu benötigen sie einen mehrdimensionalen Sicherheitsansatz, der technische Lösungen zur Erkennung und Abwehr von Cyberangriffen und Präventivmaßnahmen mit menschlicher Expertise kombiniert.

Wie sieht ein solcher multidimensionaler Sicherheitsansatz aus?

Idealerweise setzt sich eine effiziente Schutztechnologie aus maschinellem Lernen und künstlicher Intelligenz sowie umfassenden Automatisierungsfunktionen zusammen, damit sich die unternehmensinternen Cybersicherheitsabteilungen auf andere Kernaufgaben konzentrieren können. Eine solche Lösung sollte fortschrittliche Bedrohungserkennung, eine einfache Untersuchung und automatisierte Reaktion auf Cybervorfälle bieten – entweder vor Ort, in der Cloud oder hybrid. Außerdem muss sie an die jeweilige IT- oder OT-Infrastruktur angepasst werden. Als zusätzliche Schutzdimensionen bieten sich dann solide TI-Funktionen, Managed Security Services rund um die Uhr, Cybersicherheits-Awareness-Trainings und professionelle Services wie

Gefragt: Lust am Untergang

Eine Beraterin brachte es kürzlich auf den Punkt. »Im Grunde suchen Firmen ja immer Verkaufstalente, die Produkte gut verkaufen können – voller Freude und Zuversicht. Eigentlich brauchen Sie im Unternehmen aber auch Security Manager, die Lust darauf haben, dass die Firma sozusagen untergeht. Leute, die jeden Tag nach Schwachstellen suchen und lustvoll auf diese zeigen.« Der Meckerer, der sich am Ende eines Meetings immer meldet und das Ergebnis oder die gesamte Veranstaltung kritisiert, also als Vorreiter für eine bessere Sicherheitsinfrastruktur?

Eine gute Cyber Security bürstet den alten Spruch »Wenn du nichts Positives zu sagen hast, sei still« gehörig gegen den Strich. Im Cyber-Raum ist es genau andersrum. Jede krude Idee, jede noch nicht untersuchte Stelle, jeder noch so »unwichtige Mitarbeitende« ist wichtig, um eine Firma zur modernen Trutzburg auszubauen. Zugbrücke hoch? Ja, das funktioniert, wenn in den Fenstern tatsächlich viele Ausgucker, Gelehrte und Hofnarren sitzen, die mehr Ideen und Wissen haben. Mehr zumindest als der Angreifer.

Genius Facts

69 % aller Spam-Mails waren 2022 Cyber-Angriffe wie z.B. PhishingMails und Mail-Erpressung.

Die Anzahl der Schad-Programme hat 2022 um 116 Millionen zugenommen. (Quelle: Bundesamt für Sicherheit in der Informationstechnik)

think about: Cyber Security

Audits, Implementierung, Optimierung und Wartung an. Wir nennen das einen All-in-One-Cyberschutz.

Welche Rolle spielt Threat Intelligence in diesem Mix? Führungskräfte und Sicherheitsverantwortliche benötigen Hilfe, um die Bedrohungen zu verstehen, mit denen sie täglich konfrontiert sind – andernfalls besteht die Gefahr, dass sie sich unzureichend gegen Cyberkriminelle wappnen. Ein vielschichtiger Ansatz dafür umfasst Bedrohungsdaten, also TI, die öffentlich zugängliche Nachrichtenquellen und Informationen aus den sozialen Medien mit verwertbaren Informationen aus dem Dark Web kombiniert und die dann von Experten ausgewertet und interpretiert werden. TI liefert so ein umfassendes und aussagekräftiges Verständnis über den gesamten Zyklus des Incident Managements, da Experten einen detaillierten Einblick in Cyberbedrohungen erhalten, die speziell auf ihre Organisation abzielen.

Mehr über den All-in-One-Cyberschutz von Kaspersky erfahren Sie unter dem Shortlink: kas.pr/all-in-1

Der Dreiklang für Cybersecurity: Kluge Strategie, moderne

Technologie sowie das richtige Maß an externer Expertise

Die Art, wie Unternehmen heutzutage organsiert sind, unterscheidet sich deutlich von früheren Zeiten. Die Arbeitsrealitäten des 21. Jahrhunderts sind geprägt von dynamischen Prozessen, agilen Methoden, flexiblen Arbeitsorten und -zeiten sowie fortwährende Anbindung an Cloud-Dienste. So effizient und flexibel die neue Businesswelt ist, so attraktiv ist sie aber auch für Cyberkriminelle. Denn während modernisierte Prozesse Unternehmen im Kerngeschäft unterstützen, werden damit gleichzeitig traditionelle Sicherheitsstrategien und -Konzepte untergraben. Jedes Unternehmen, das noch nicht über eine IT-Infrastruktur verfügt, die gegen die Angriffe der hoch professionell organisierten Cyberkriminalität gewappnet ist, bietet daher ein potenzielles Ziel – egal, ob global agierender Player, Hidden Champion, Mittelständler oder Klein-Betrieb.

Text Michael Veit, Security-Experte bei Sophos

Eine Möglichkeit dieser Gefahr zu begegnen, besteht darin, Security noch mehr als Management-Aufgabe zu verstehen sowie den technischen Cyberschutz mit menschlicher Expertise in Form von Cyber Security as a Services (CSaaS) zu kombinieren.

Security ist auch Chefsache – theoretisch

Der Schutz der Unternehmens-IT ist eine Aufgabe, die nicht nur die IT-Abteilung betrifft und eigentlich entsprechend hoch in der Entscheidungshierarchie angesiedelt sein sollte – nicht zuletzt auf Grundlage der erweiterten Geschäftsführerhaftung. Tatsächlich beweist eine aktuelle Management-Studie von Sophos aber, dass sich Unternehmensführungen noch zu sehr in trügerischer Sicherheit wähnen. So gibt die große Mehrheit der befragten Manager (rund 81 Prozent) zwar an, ein hohes bis sehr hohes Bewusstsein für IT-Sicherheit zu haben; doch die Studie fördert eine andere Realität zutage: Geht es um die tatsächliche Verantwortung für die IT-Sicherheit, zeigt sich ein Gefälle: je größer die Unternehmen desto weniger stehen die Führungsebenen in der Verantwortung. Dies gilt vor allem für Unternehmen mit mehr als 200 Mitarbeitenden. Hier geben nur 1,9 Prozent der Befragten an, dass die IT-Sicherheit auf Geschäftsführungsbeziehungsweise Vorstandsebene angesiedelt ist. Bei kleineren Unternehmen mit bis zu 199 Mitarbeitenden liegt dieser Wert deutlich höher, hier ist der Chef zu rund 22 Prozent höchstpersönlich mit eingebunden.

Die Hauptverantwortung für Cybersicherheit trägt in größeren Unternehmen zu 49,1 Prozent die IT-Abteilung. Bei 36,5 Prozent der kleineren Unternehmen sind ebenfalls die eigenen ITTeams in der Pflicht. Mit 35,8 Prozent bei den größeren sowie 33,1 Prozent bei den kleineren Unternehmen überträgt jeweils ein gutes Drittel der Unternehmen die Verantwortung für ihre IT-Sicherheit auf externe Dienstleister. Letzteres ist für viele Betriebe mit Engpässen an Ressourcen und Expertise eine sehr gute taktische Lösung, um die Security zu verbessern.

Die Bedrohungen sind virulent und uninteressante Ziele gibt es nicht Nehmen wir das Beispiel der momentan bedeutsamsten Bedrohung: Ransomware, die Daten in erpresserische Geiselhaft nimmt und auch klaut. Ihre Beliebtheit steigt: Der aktuelle State of Ransomware Report von Sophos zeigt, dass in Deutschland 58 Prozent, in Österreich 50 Prozent und in

der Schweiz sogar 75 Prozent der Unternehmen mit Ransomware angegriffen wurden. Die Verschlüsselungsraten lagen bei 49 Prozent der Unternehmen in Deutschland, 70 Prozent in Österreich und 60 Prozent in der Schweiz.

Cyberkriminelle oder ganze Gruppen haben es dabei in der Regel weder mit Ransomware-Angriffen noch mit anderen Attacken auf einzelne, vielleicht besonders lohnenswerte Unternehmen abgesehen. Ihnen geht es fast immer darum, möglichst viel Geld zu erbeuten. Für den größtmöglichen Fang lassen sie sich daher ständig neue Strategien und Taktiken einfallen – und sie sind sehr gut in dem, was sie tun.

Im Grunde ist daher jede Organisation gefährdet, die sensible oder geheime Daten verarbeitet und damit entweder erpressbar oder »lukrativ« zu bestehlen ist. Erschwerend kommt hinzu, dass Security-Forensiker und Labs täglich neue potenzielle Gefahren und Sicherheitslücken finden, die von den Kriminellen ausgenutzt werden.

Beliebte Angriffstaktiken: KI-gestützt oder über die Lieferkette Gelegentlich wird von den gefährlichsten Angriffen gesprochen. Damit sind meist die großen und öffentlich diskutierten Fälle gemeint. Tatsächlich ist für einen Cyberkriminellen nicht zwingend der Bekanntheitsgrad einer Attacke ausschlaggebend, sondern die Effizienz und die Summen, die damit erbeutet werden.

Eine beliebte Angriffstaktik ist die Nutzung von GPTTechnologien, die eine menschliche Schwäche ausnutzt. Phishing-Angriffe, beispielsweise Fake-E-Mails, sind durch den Einsatz von Chat-GPT oder anderen KI-ChatTools derart täuschend echt, dass es den meisten Mitarbeitenden nicht mehr möglich ist, gute von schlechten Nachrichten zu unterscheiden.

Eine weitere, immer beliebtere Taktik beim Einbruch in ein Unternehmensnetzwerk ist der Weg über die Supply Chain, also die Lieferkette. Dabei geht es nicht nur um die Lieferkette, die man beispielsweise aus der Produktion kennt. Vielmehr werden auch Lieferketten in der IT ausgenutzt, beispielsweise Software-Lösungen, die über die Cloud bereitgestellt sind. Über die Infiltrierung dieser Anbieter kommen Cyberkriminelle durch die Hintertüre ins Unternehmen.

Managemententscheidung: was muss intern, was kann extern?

Unternehmen sollten Sorge tragen, dass ihre Security möglichst dicht und die Fähigkeit der Resilienz hoch ist. Dafür muss die Security in der DNA eines Unternehmens verankert sein, denn im Zweifelsfall geht es um dessen Existenz. Dieser Teil ist Management-Aufgabe. Eine aktive Top-Level-Strategie ist der beste Weg, die Security im Unternehmen bestmöglich umzusetzen. Zu dieser Strategie gehört auch die Entscheidung, welche Aspekte der Security intern bewältigt und welche an ausgewiesene Security-Experten ausgelagert werden.

Basis für einen wirkungsvollen Schutz ist eine SecurityPlattform, die künstliche Intelligenz für das Aufspüren von Attacken mit einem hohen Grad an Automation vereint. Dieser Teil kann in vielen Unternehmen intern oder in Zusammenarbeit mit einem externen Managed Service Provider (MSP) etabliert und betrieben werden.

Die größte Herausforderung besteht jedoch im Betreiben des Threat Hunting. Denn Security ist dann am besten gewährleistet, wenn Angriffe, die nicht maschinell identifizierbar sind, schnell eliminiert werden.

Dafür stehen Unternehmen zwei entscheidende ServiceKomponenten zur Verfügung: Managed Detection and Response (MDR) sowie die Rapid Response. MDR ist die aktive und kontinuierliche Suche nach cyberkriminellen Aktivitäten im Unternehmensnetz. Sollte eine bösartige Aktivität entdeckt werden, kommt das Rapid-Response-Team zum Einsatz - wahlweise mit automatischer umfassender Reaktion auf den Vorfall, unterstützend für das interne IT-Team oder lediglich mit detaillierten Alert-Benachrichtigungen, welche die internen Security Operations Teams selbst bearbeiten.

Ist die Security-Strategie im Unternehmensmanagement verankert und eine durchgängige Security mit internen Ressourcen und externen Spezialisten etabliert, hat ein Unternehmen die besten Chancen, Angriffe abzuwehren und gleichzeitig Compliance und Gesetzeskonformität zu gewährleisten.

»Auch Fahrzeuge werden regelmäßig Security-Updates bekommen«

Autos sind mittlerweile fahrende Computer mit eigenen Netzwerken. Was folgt daraus für die Sicherheitsanforderungen und deren konkrete Umsetzung? Wie müssen sich Hersteller und Zulieferer auf ein Secure Lifecycle Management und die Vorgaben der Vereinten Nationen (UNECE) und nationalen Regulierungsbehörden einstellen?

Fragen an Marcus Klische, Associated Partner bei MHP, der sich seit einem Jahrzehnt mit der Sicherheit im Bereich Automotive beschäftigt.

Interview Rüdiger Schmidt-Sodingen

Herr Klische, Sie sagen, Fahrzeuge seien inzwischen hochkomplexe Computernetzwerke. Was folgt daraus, wenn es um die Sicherheit geht?

Wenn heute neue Fahrzeugmodelle auf den Markt kommen, sind das fast immer sogenannte Software Defined Vehicles (SDV). Und diese Bezeichnung ist absolut berechtigt. Denn fast alle Funktionen in diesen Autos werden von Software unterstützt. Im Durchschnitt sind rund 120 Millionen Zeilen Code im Einsatz. Das ist eine enorme Menge. Zum Vergleich: Der Tarnkappen-KampfJet F-35 von Lockheed Martin kommt mit 25 Millionen Zeilen aus, die Boing 787 – auch Dreamliner genannt – mit zehn bis 15 Millionen Zeilen. Und für das Space Shuttle, das regelmäßig Menschen ins All und wieder zurückbrachte, reichten einst 400.000 Zeilen. Mit jeder Zeile Code steigt statistisch gesehen auch die Menge an Bugs – jeder Bug ist eine Einladung für Hackerinnen und Hacker. Hinzu kommt, dass Fahrzeuge über etliche Schnittstellen mit ihrer Umwelt kommunizieren. Nicht nur über das Internet, sondern beispielsweise auch über Bluetooth und das automatische Notrufsystem eCall, über Micro-SD-Karten und OBD-2-Diagnosebuchsen. Außerdem hängen in SDVs fast alle Komponenten irgendwie miteinander zusammen. All das eröffnet Cyberkriminellen eine Vielzahl an Angriffsvektoren, also Möglichkeiten, Autos zu attackieren. Wenn ein Angriff erfolgreich ist, kann das schwerwiegende Folgen haben: für die Fahrerin oder den Fahrer, die unmittelbare Umwelt und die Gesellschaft insgesamt.

Wo früher jeder für sich werkelte und produzierte und allenfalls ein paar Konstruktionspläne hin- und hergeschickt wurden, müssen heute praktisch alle Informationen und Daten geteilt werden. Das heißt, unterschiedliche Arbeits- und Produktionsweisen müssen eine gemeinsame Sicherheitsarchitektur haben?

In der Automobilindustrie arbeiten die OEMs und die Tier-1- bis Tier-n-Zulieferer schon seit Jahren sehr eng zusammen. Nicht nur entlang des Produktionsprozesses, sondern auch beim Entwicklungsprozess. Hier haben sich gemeinsame Sicherheitskonzepte etabliert. Mit Blick auf die SDVs muss neben einer hohen Prozesssicherheit eine noch höhere Produktsicherheit erreicht werden. Dafür hat die United Nations Economics Commission for Europe (UNECE) zwei Richtlinien formuliert. Die UNECE R 155 ver-

dazu, ein Cyber Security Management System (CSMS) in ihren Fahrzeugentwicklungsprozess zu integrieren. Die UNECE R 156 verlangt von den OEMs ein Software Update Management System (SUMS). In beiden Fällen werden zwar die OEMs adressiert. Um die rechtlichen Anforderungen zu erfüllen, müssen sie aber zwangsläufig ihre Zulieferer einbeziehen.

Wie sieht eine »Secure Supply Chain« in der Fahrzeugherstellung aus?

Um die Fahrzeugsicherheit vollständig abzuschätzen, müssen die Hersteller exakt wissen, welche Software und welche Hardware sich im Fahrzeug befindet. Wenn ein Zulieferer eine Komponente oder ein System an den OEM liefert, so hat auch dieser Tier-1-Lieferant einige Software- und Hardware-Komponenten von anderen Zulieferern bezogen, die wiederum eigene Zulieferer haben. Jeder Stakeholder entlang der Lieferkette muss für die Verantwortung für die Sicherheit seiner Komponenten übernehmen und Informationen darüber auch seinem Vertragspartner transparent machen und zur Verfügung stellen. Das heißt: Von kleinsten Mikrocontroller bis zum gesamten Fahrzeug muss Cyber Security implementiert, kontrolliert und verantwortlich begleitet werden.

Welche Bedeutung hat das Lifecycle-Management in diesem Zusammenhang?

Cyber-Sicherheit ist immer nur eine Momentaufnahme: Es lässt sich nur sagen, inwieweit Fahrzeuge heute gegen Attacken geschützt sind. Wie es morgen aussieht, ist nicht absehbar. Deshalb zielen die beiden Richtlinien der UNECE auch auf die Fähigkeit der Akteure ab, eine hohe Sicherheit über den Nutzungszeitraum herzustellen. Und nicht auf die Sicherheit zum heutigen Stand an sich. Damit ein Fahrzeug über seinen gesamten Lebenszyklus sicher bleibt, müssen die Hersteller – und damit auch die Zulieferer – schon mit der Entwicklung eines neuen Modells tragfähige Konzepte dafür erarbeiten, wer sich wie in fünf, zehn oder sogar 15 Jahren um die Software kümmert. Wie wir es von Smartphones und PCs gewohnt sind, werden auch Fahrzeuge regelmäßig mit SecurityUpdates belegt werden. Das kann natürlich nur funktionieren, wenn die Fahrzeugbesitzerinnen und -besitzer nicht gezwungen sind, immer montags in die Werkstatt zu

fahren, um das aktuelle Release einzuspielen. Das Ganze muss remote als Over-the-Air-Update umgesetzt werden. Was sind die besonderen Herausforderungen, um in der Automobilindustrie ein Cyber-Security-Management-System umzusetzen?

Der Blick in die Zukunft ist für die Hersteller und Zulieferer absolutes Neuland. Bislang war es so, dass die Notwendigkeit zu entwickeln mehr oder weniger mit der Typgenehmigung eines Fahrzeugmodells endete. Bei Software ist das ganz anders. Sie muss kontinuierlich weiterentwickelt und deployt werden, Fahrerinnen und Fahrer müssen sich bei Fragen an einen Support wenden können. Für diese Aufgabe müssen die Unternehmen erst einmal die erforderlichen Ressourcen einrichten. Und sie müssen sich überlegen, wie sie diesen zusätzlichen Aufwand finanziell kompensieren. Vor diesem Hintergrund wird verständlich, weshalb Abo-Modelle für zusätzliche Funktionen derzeit so intensiv diskutiert werden. Sie sind für die OEMs ein Weg, nach dem Verkauf der Hardware dauerhaft Umsatz zu generieren.

Schwierig ist auch, die richtig guten Cyber-Security-Leute zu bekommen. Wenn sie nicht selbst im kriminellen oder halb-kriminellen Umfeld unterwegs sind, dann entscheiden sie sich fast immer für echte Tech-Unternehmen. Hersteller und Zulieferer können immerhin mit attraktiven finanziellen Anreizen punkten.

Wie gut sind denn die Automobilhersteller auf die Fahrzeugvorschriften der UNECE, der Wirtschaftskommission für Europa der Vereinten Nationen, vorbereitet?

Die meisten OEMs, die heute aktiv sind, wurden bereits auditiert und konnten die Technischen Dienste und die Regulierungsbehörden davon überzeugen, die Anforderungen an ein Cyber-Security-Management-System zu erfüllen. Ein Management-System muss sich aber erst einmal im Laufe der Zeit beweisen. Die OEMs und die Zulieferer haben für die aktuelle Produktentwicklung von Fahrzeugen viele Maßnahmen ergriffen, um Cyber Security in den Modellen sicherzustellen. Es wird sich jedoch erst noch zeigen, wie sie künftig mit entdeckten Schwachstellen, Security-Updates und Angriffen umgehen. Und es wird sich ebenso erst noch zeigen, ob sich die in den Fahrzeugen verbaute Hardware über eine lange Nutzungsdauer als »gut genug« erweist.

Gibt es Entwicklungen, die Sie mit besonderer Sorge oder, umgekehrt, auch Zuversicht sehen? Cyber Security ist immer ein Katz-und-Maus-Spiel bei dem nie wirklich Zeit ist, sich auszuruhen. Ich bin zuversichtlich, dass Hersteller und Zulieferer das erkannt und verinnerlicht haben. Ein hohes Maß an Sicherheit ist schließlich vor allem in ihrem Interesse. Etwas Sorge macht mir, dass die Regulierungsbehörden bei der Formulierung der Vorgaben bislang etwas lax waren. Ich meine, es lassen sich auch konkretere Vorgaben machen, die direkt auf die Sicherheit des Produkts abzielen – und nicht nur auf die Fähigkeit der Unternehmen.

Marcus Klische, Associated Partner bei MHP

Cyber-Sicherheit ist immer nur eine Momentaufnahme: Es lässt sich nur sagen, inwieweit Fahrzeugeheute gegen Attacken geschützt sind.

müssen die Initiative ergreifen und proaktiv handeln«

Wer bei der eigenen Cyber Security nur darauf wartet, angegriffen zu werden, verschenkt wertvolle Zeit und Erfahrungen. Patrick Ungeheuer, Director of Offensive Security der Mantodea Security GmbH, plädiert deshalb für offensive, proaktive Maßnahmen, um Angreifer so früh und allwissend wie möglich abzuwehren: »Die Kombination von fortschrittlicher Technologie und menschlicher Expertise ermöglicht es uns, ein wirklich umfassendes Bild der Sicherheitslage eines Unternehmens zu erhalten und entsprechend zu handeln.«

Interview Rüdiger Schmidt-Sodingen

Herr Ungeheuer, weshalb sollten Unternehmen bei ihrer Cyber Security endlich in den »Offensive«Modus schalten?

Stellen Sie sich vor, Sie sind Kapitän eines modernen Schiffes in stürmischen Gewässern. Würden Sie warten, bis das Wasser in den Schiffsrumpf eindringt, bevor Sie überhaupt anfangen, nach Lecks zu suchen? Natürlich nicht. Ein proaktiver Kapitän plant voraus, steuert strategisch und hat stets ein Auge auf den Horizont, um mögliche Gefahren zu erkennen und ihnen zuvorzukommen. Genau das bedeutet »Offensive« in der Cyber Security: Es geht darum, den Kurs zu bestimmen, statt von den Wellen bestimmt zu werden. In der digitalen Ära ist es nicht mehr genug, einfach zu reagieren. Unternehmen müssen die Initiative ergreifen, den Horizont scannen und proaktiv handeln. Das sollte der Leitstern für jedes fortschrittliche Unternehmen sein.

Inwiefern ist ein simulierter Angriff, das sogenannte Red Teaming, einem Penetrationstest überlegen? Sicherheitsanalysen, oft dominiert von automatisierten Tests, liefern zweifellos einen grundlegenden Einblick, erreichen jedoch nicht die Tiefe und Breite, die manuelle Untersuchungen bieten. Penetrationstests fokussieren durch manuelle Überprüfungen spezifische Systembereiche und bringen gezielt Schwachstellen zum Vorschein. Red Teaming jedoch greift noch tiefer, indem es den gesamten Unternehmensbereich ins Visier nimmt und einen rigorosen Realitätscheck über alle Sicherheitsebenen liefert.

Die bittere Wahrheit, der sich viele Unternehmen stellen müssen, ist, dass ihre bisherigen Sicherheitsanalysen manchmal eklatante Sicherheitslücken übersehen. Bei Mantodea Security haben wir es oft erlebt: Unternehmen, die jahrelang in Sicherheitsmaßnahmen investiert haben, nur um durch unsere intensiven Penetrationstests und Red Team-Überprüfungen herauszufinden, dass ihre Systeme anfälliger waren, als sie es sich jemals hätten vorstellen können. Dies ist ein eindringlicher Weckruf zur Notwendigkeit, tiefgehende, manuelle Überprüfungen als integralen Bestandteil des Sicherheitsansatzes zu betrachten.

Nutzt »Offensive Security« Künstliche Intelligenz?

Und wie kann man sich das vorstellen?

Künstliche Intelligenz ist in der Offensive Security zweifelsohne ein wertvolles Hilfsmittel. Sie agiert wie ein ständig wachsamer Wächter, der in der Lage ist, eine überwältigende Menge an Daten in Rekordzeit zu analysieren. Dabei erkennt sie Muster und

bietet Prognosen, die für den menschlichen Analysten möglicherweise nicht sofort sichtbar sind. Aber es ist wichtig, sich klarzumachen: KI ist kein Allheilmittel. Der Begriff »KI« ist in letzter Zeit zu einem Buzzword geworden, aber in Wahrheit kann sie manuelle Überprüfungen durch erfahrene Analysten nicht vollständig ersetzen. Diese Experten bringen einen unschätzbaren Kontext, Intuition und Erfahrung mit, die eine Maschine nicht replizieren kann.

Gleichzeitig können simulierte Angriffe sehr gut auch »menschliche Schwächen« aufdecken?

Absolut, und hier sehen Sie das Zusammenspiel von Mensch und Technologie. Während KI bei der Identifizierung von Mustern in Daten hilft, sind es die menschlichen Experten, die solche simulierten Angriffe durchführen und interpretieren. Sie identifizieren Schwachstellen im menschlichen Verhalten und in unseren Prozessen. Die Kombination von fortschrittlicher Technologie und menschlicher Expertise ermöglicht es uns, ein wirklich umfassendes Bild der Sicherheitslage eines Unternehmens zu erhalten und entsprechend zu handeln.

Eignen sich offensive Methoden auch für defensive Maßnahmen oder Reaktionen?

Denken Sie an das Boxtraining. Ein Boxer, der das Blue Team repräsentiert, trainiert regelmäßig, indem er gegen einen Sandsack schlägt. Er festigt seine Schlagtechniken, verbessert seine Ausdauer und lernt, kontrolliert und präzise zuzuschlagen. Doch trotz dieser intensiven Trainingseinheiten fehlt ihm die Erfahrung eines unvorhersehbaren Gegners.

Hier kommt der Sparringspartner ins Spiel, der das Red Team repräsentiert. Anders als der Sandsack ist der Sparringspartner beweglich, reaktiv und kann selbst offensiv werden. Er bringt den Boxer in Situationen, die er mit dem Sandsack allein nie erleben würde und fördert so seine Reaktion und Anpassungsfähigkeit.

Die Zusammenarbeit von Boxer und Sparringspartner, die hier als »Purple Team« dargestellt wird, stellt sicher, dass der Boxer sich ständig weiterentwickelt. Er ist somit bestens vorbereitet, um im realen Kampf - oder in unserem Kontext, in der echten Cyber-Umgebung - bestehen zu können.

Woran liegt es, dass Firmen, die nach ISO 27001 zertifiziert sind, schon beim ersten richtigen »Offensive«-Test in kurzer Zeit zerlegt werden und nichts davon merken?

Die Zertifizierung nach ISO 27001 ist ein bedeutsamer Meilenstein für Unternehmen, jedoch darf man sie nicht als alleinigen Maßstab für durchgängige Sicherheit betrachten. Es beunruhigt, wie viele Unternehmen die Einhaltung dieses Standards als abgeschlossenes Projekt betrachten und dann in eine Art Selbstzufriedenheit verfallen, bis der nächste Audit ansteht. In einer Welt, in der sich Cyberbedrohungen ständig weiterentwickeln, können Unternehmen es sich nicht leisten, sich ausschließlich auf einen festgelegten Standard zu verlassen und darauf zu warten, dass wieder geprüft wird. Ein Zertifikat mag ein gewisses Maß an Sicherheit suggerieren, aber es ist nur der Anfang. Aktive und regelmäßige Anpassungen an die aktuellen Sicherheitsanforderungen sind unerlässlich. Welchen Stellenwert haben Angriffssimulationen mittlerweile in Deutschland, verglichen mit anderen europäischen Ländern?

Ungeheuer: Hier müssen wir ehrlich sein. Deutschland hinkt im Vergleich zu einigen europäischen Nachbarn hinterher, vor allem aufgrund des übermäßigen Bürokratismus und alter Firmenstrukturen. Die Cyber-Security-Kultur in Deutschland ist leider immer noch nicht dort, wo sie sein sollte. Aber wir sind hier, um das zu ändern, um Deutschland auf die Überholspur zu bringen und die Art und Weise, wie wir über Sicherheit denken, neu zu definieren.

Genius Tip

»KI ist in letzter Zeit zu einem Buzzword geworden, aber in Wahrheit kann sie manuelle Überprüfungen durch erfahrene Analysten nicht vollständig ersetzen. Diese Experten bringen einen unschätzbaren Kontext, Intuition und Erfahrung mit, die eine Maschine nicht replizieren kann.«

»Unternehmen

Den Digitalisierungsturbo für Deutschland zünden!

Die deutsche Wirtschaft und der gesamte europäische Wirtschaftsraum stehen inmitten einer Phase radikaler Transformation. In Multikrisenzeiten stellt sich insbesondere die Frage, wie sich Unternehmen resilient und zukunftsfähig aufstellen können. Durch ein hohes Digitalisierungsniveau kann die Widerstandsfähigkeit in Multikrisenzeiten signifikant erhöht werden.

Text Matthias Bianchi, Leiter Public Affairs beim Deutschen Mittelstands-Bund (DMB) e.V.

Warum Digitalisierung ein zentraler Faktor für Widerstandsfähigkeit im Mittelstand ist Aus den Erfahrungen der rund 25.000 Mitgliedsunternehmen des DMB lassen sich (mindestens) sechs wesentliche Argumente dafür finden, warum ein hohes Digitalisierungsniveau einen positiven Effekt auf die Widerstandsfähigkeit von Unternehmen und Geschäftsmodellen hat:

1. Anpassungsfähigkeit in unsicheren Zeiten: Die jüngeren, ineinander verschachtelten Krisen und damit verbundene Herausforderungen für Unternehmen haben sehr deutlich gezeigt, wie wichtig es ist, flexibel und anpassungsfähig zu sein. Unternehmen, die zum Beispiel vor den Corona-Lockdowns über ein hohes Digitalisierungsniveau verfügt haben, konnten wesentlich schneller ihre Geschäftsmodelle anpassen und auf Homeoffice bzw. Remote-Work umstellen, und so den Betrieb aufrechterhalten.

Matthias Bianchi, Leiter Public Affairs beim Deutschen Mittelstands-Bund (DMB) e.V.

Genius Partner • SEIA GmbH

Egal ob Großkonzern oder KMU - alle sind verpflichtet, Handelsvorschriften für den Im- und Export einzuhalten. Spätestens seit Beginn des Ukraine-Krieges und den zunehmenden Spannungen zwischen dem Westen und China ist klar: Die Lage wird schwieriger, die Gefahr von Sanktionen, Geldbußen und Reputationsschäden steigt. Tipps von Erika Trujillo, Mitbegründerin und Geschäftsführerin der Trade-Compliance-Beratung SEIA.

Interview Rüdiger Schmidt-Sodingen

Frau Trujillo, zahlreiche russische Waffen enthalten Teile westlicher Firmen. Sie haben dazu kürzlich in Newsweek deutlich mehr Unterstützung und Engagement für Exportkontrollen durch die Unternehmensleitung gefordert. Exportkontrollen sollten meiner Meinung nach das Lieblingsthema der Führungsebene sein, nicht nur, weil sie persönlich (strafrechtlich) haftet, sondern weil eine strenge und effektive Compliance dem Unternehmen strategische Wettbewerbsvorteile schaffen kann. Oft sind Compliance-Abteilungen Papiertiger. Aber in Zeiten globaler, geopolitischer Krisen, in denen nicht nur Menschenleben und nationale Interessen auf dem Spiel stehen, sondern auch die Widerstandsfähigkeit von Unternehmen in Frage gestellt ist, funktioniert diese

2. Effizienz- und Produktivitätsgewinne feiern: Durch den Einsatz von digitalen Tools können KMU ihre Prozesse, Produktion und auch lästige Routineaufgaben optimieren. Dies spart nicht nur Zeit, sondern auch Kosten. Automatisierte Systeme können Aufgaben übernehmen, die zuvor manuell erledigt wurden, wodurch Mitarbeiter sich auf wichtigere Aufgaben konzentrieren können.

3. Neue Märkte erschließen: Online-Shops, Social Media und digitale Marketingstrategien eröffnen neue Kundenkreise. Mit digitalen Geschäftsmodellen und -produkten können neue Märkte vergleichsweise unkompliziert erschlossen werden.

4. Datenanalyse und Entscheidungsfindung: Der deutsche Mittelstand ist für seine Kundenzentrierung und -nähe weltbekannt. KMU können durch digitale Tools wertvolle Einblicke in Kundenverhalten und Markttrends gewinnen.

5. Kundennähe und Servicequalität stärken: Durch digitale Kommunikationskanäle können KMU den guten Kontakt zu ihren Kunden noch weiter intensivieren. Durch Chatbots, E-Mail Marketing oder Kundenportale lassen sich Serviceprozesse und damit die Kundenbindung verbessern.

6. Nachhaltiges Wirtschaften: Digitalisierung kann einen wichtigen Beitrag zu einer effizienteren Ressourcennutzung leisten.

Digitalisierungshemmnisse im Mittelstand Es gibt also viele gute Gründe für die digitale Transformation. Warum fällt es dennoch vielen deutschen Unternehmen schwer? Im «Digital Economy and Society Index« (DESI) der Europäischen Union rangiert Deutschland hinsichtlich der Integration digitaler Technologien in der Wirtschaft auf einem ernüchternden 16. Platz. In der Regel nennen Mitgliedsunternehmen eine fehlende

Strategie, fehlendes Know-How und fehlende Ressource als Digitalisierungshemmnisse.

Digitalisierungsturbo für die deutsche Wirtschaft

Als großer Wirtschaftsverband mit mehr als 25.000 Mitgliedern aus allen Branchen und Größenklassen setzt sich der DMB für bessere Rahmenbedingungen für die digitale Transformation im Mittelstand ein. Wir müssen in Deutschland endlich den Digitalisierungsturbo zünden. Dafür braucht es auch eine klare Unterstützung seitens der Politik. Es braucht massive Investitionen in die digitale Infrastruktur und es braucht eine digitale Verwaltung, die sich als Dienstleister für Unternehmen versteht. Die Digitalisierung ist der Schlüssel, damit sich Unternehmen in Deutschland widerstands und zukunftsfähig aufzustellen können.

Genius Facts

Digitalisierungsausgaben des Mittelstands lagen 2022 bei 23 Mrd. EUR.

Deutschland liegt hinsichtlich der Integration digitaler Technologien in der Wirtschaft auf einem ernüchternden 16. Platz im europäischen Vergleich

55 % der mittelständischen Unternehmen halten KI-Anwendungen für relevant – Jedoch wird KI nur von 10 % eingesetzt. Häufigste Gründe dafür sind Zeitmangel und fehlendes Know-How

think about: Digitalisierung

Denkweise nicht mehr. Das heißt: Trade Compliance muss nicht nur da sein muss, sondern auch effektiv funktionieren und kontinuierlich gestärkt werden.

Inwiefern hilft die Digitalisierung?

Die Digitalisierung ermöglicht eine enorme Steigerung der Effektivität und eine noch nie dagewesene Transparenz in allen Bereichen des Unternehmens. Sie stellt die Unternehmen aber auch vor neue Herausforderungen, wenn es darum geht, den Überblick zu behalten und die Wirksamkeit ihrer Prozesse und IT-Systeme zu überprüfen. In unserer Branche erleben wir ein unerschütterliches Vertrauen darin, dass teure Tools immer perfekt funktionieren, aber das ist oft nicht der Fall. So haben beispielsweise die Ansprüche der Behörden enorm zugenommen, dass Unternehmen Compliance-Verstöße proaktiv erkennen. Doch ohne

leistungsfähige Datenanalyselösungen nutzen die Unternehmen nicht einmal die Informationen, die sie bereits haben, geschweige denn, dass sie externe Risiken effektiv verwalten. Wie bringen Sie Technologie und gesetzliche Vorschriften zusammen?

Ich bezeichne dies gerne als unseren »HI-AI«-Ansatz, wir nutzen also ein bedeutendes Fundament an »Human Intelligence«, basierend auf Erfahrungen von Experten in der Erkennung von Compliance-Risiken, um diese in fortschrittlichen Datenanalyselösungen zu nutzen. Durch Reverse Engineering von Risiken haben wir die relevantesten logischen Indikatoren identifiziert, die auf mögliche Compliance-Verstöße hindeuten. Wir helfen Unternehmen dabei, mithilfe ihrer bestehenden IT-Infrastruktur solche Datenanalyselösungen zu bauen, die das effektive Management von Risiken in Echtzeit ermöglichen und gleichzeitig eine viel effizientere Nutzung interner Ressourcen fördern.

»Exportkontrollen sollten das Lieblingsthema der Führungsebene sein«

think about: Digitalisierung

»Wahre Business Resilience braucht Twin Transformation und Datenverarbeitung mit KI«

Gehen Digitale Transformation und Nachhaltigkeit überhaupt zusammen? Was müssen Unternehmen tun, um regulatorische Anforderungen und gesellschaftliche Erwartungen für sich zu nutzen? Warum ist eine Migration von Datenmanagement und Datenzentrierung unerlässlich? Antworten von Christoph Hagmann, EY Technology Consulting Germany Leader und Technology Transformation EMEIA Leader.

Interview Rüdiger Schmidt-Sodingen

Herr Hagmann, wie schaffen es Unternehmen, sich krisensicher am Markt zu platzieren?

Unternehmen haben keine andere Wahl als die Fähigkeiten entwickeln zu müssen, Stress zu absorbieren, Krisen zu managen und sich schnell auf veränderte Bedingungen einstellen zu können. Sie müssen daher eine wahre Business Resilience entwickeln. Durch immer schwerwiegendere Krisen ist das Thema aktueller denn je. Business Resilience ist heute besonders wichtig, weil das Unternehmensumfeld immer komplexer und dynamischer wird. Dies ist das Ergebnis mehrerer anhaltender Trends, von der beschleunigten technologischen Entwicklung über die stärkere Vernetzung der Weltwirtschaft bis hin zu allgemeineren Herausforderungen.

Mit welchen Mitteln kann man Business Resilience erreichen?

Die Grundlage für Business Resilience ist eine ausgeprägte Kompetenz in digitalen Technologien, insbesondere in Bezug auf Nachhaltigkeit. Business Resilience kann daher mit einer zielgerichteten Digitalen Transformation erreicht werden.

Wie muss eine solche Digitale Transformation ablaufen? Haben Sie Tipps?

Um Business Resilience zu erreichen, müssen sich Unternehmen bei der Digitalen Transformation explizit auch dem Thema Nachhaltigkeit widmen. Dies nicht nur, um den regulatorischen Anforderungen, beispielsweise dem ESGReporting, gerecht zu werden, sondern auch, um auf den wachsenden gesellschaftlichen Druck zu reagieren, nachhaltig zu handeln. Dabei scheinen die Ziele, die Unternehmen mit der Digitalen Transformation sowie Nachhaltigkeit anstreben, an einigen Stellen divergent zu sein.

Wir haben in einer Studie festgestellt, dass eine gemeinschaftlich auf Augenhöhe gedachte und angegangene Digitale Transformation und Nachhaltigkeit ein synergetisches Potential für Unternehmen bieten. Dieses Zusammenspiel bezeichnen wir als Twin Transformation, in der die Digitale Transformation einen Hebel für Unternehmen darstellt, nachhaltige Initiativen umzusetzen. Der Nachhaltigkeitsaspekt kann daher für die Digitale Transformation einen Sinngeber und eine Chance darstellen, diese Transformation zielgerichtet und tatsächlich im Sinne der Nachhaltigkeit zu gestalten.

Sie sagen, dass Unternehmen zum Twin Transformer werden müssen. Wie können Unternehmen das schaffen?

Unternehmen müssen sich bewusst sein, dass es sich hierbei um eine unternehmensweite Transformation handelt, die alle Unternehmensaktivitäten, also auch IT, Personal, Betrieb etc., betrifft, und einen Wandel erforderlich macht. Insgesamt umfasst die Transformation mehr als 20 Handlungsfelder, beispielsweise Datentransparenz und -analyse sowie Entwicklung von nachhaltigen KI-Lösungen, verteilt auf alle relevanten Unternehmensfunktionen. Die Handlungsfelder selber dürfen dabei nicht isoliert voneinander gedacht werden. Vielmehr gibt es zwischen vielen Handlungsfeldern Synergien.

Eine wichtige Komponente bei der Digitalen Transformation sind Daten. Welche Herausforderungen kommen auf Unternehmen im Zusammenhang mit Daten zu?

Die Herausforderungen sind massiv! Aktuell identifizieren rund 53 Prozent der Führungskräfte »Data & Analytics« als wichtigstes Investitionsthema. Wir sehen hier aber fundamentalen Handlungsbedarf, denn von den Befragten sagen lediglich 16 Prozent, dass ihre Organisationen überhaupt in der Lage sind, Daten operationalisiert und in der erforderlichen Qualität für analytische Verfahren bereitstellen zu können. Um Organisationen in die Lage zu versetzen, datengeleitete oder sogar automatisierte Geschäftsentscheidungen, etwa auf Grundlage von Künstlicher Intelligenz, zu treffen, müssen Unternehmen ihre gesamte Datenhandhabung auf den Prüfstand stellen und maßgeblich umdenken.

Wie sieht ein solches Umdenken der Datenhandhabung aus?

Es muss zum Ziel der Organisation werden, gewisse Teile des Unternehmenserfolgs durch die weiterführende Nutzung von Daten zu erreichen. In einer Datenstrategie werden solche Ziele festgehalten und somit zum gemeinsamen Programm für Fachbereiche und IT – nur ganzheitlich kommt man hier zum Erfolg.

Eine weitere Strategie? Scheuen umsatzgetriebene Unternehmen davor nicht eher zurück?

Trotz der strategischen Ausrichtung ist es wichtig, die Umsetzung in kurze und geschäftswertsteigernde Initiativen zu verpacken – zeitgleich aber Sorge dafür zu tragen, dass die Organisation nach Umsetzung der Initiative ihre Datenhandhabung nachhaltig verbessert hat. Die Datenkompetenz steigt dann stetig an und man wandelt sich Schritt für Schritt in ein Unternehmen, welches sich bei seinen Entscheidungen vornehmlich auf Daten verlässt. Wahre Business Resilience kann nur erreicht werden, wenn sich das Unternehmen in die Lage versetzt, seinen gesamten Datenbestand operationalisiert durch Technologien wie Künstliche Intelligenz verarbeiten zu lassen. Die Indikatoren für notwendige Anpassungen der Unternehmensstrategie verstecken sich hier als Nuancen in riesigen Datenmengen, und nur wer hier auch Herr seiner Daten ist, wird in der Lage sein, diese frühen Zeichen zu deuten und angemessen darauf zu reagieren.

Wie können Organisationen denn Herr ihrer Daten werden und Resilienz erreichen?

Viele Organisationen stehen bei ihrer Reise hin zu einem datengelei teten Unternehmen und somit

Christoph Hagmann, EY Technology Consulting Germany Leader; Technology Transformation EMEIA Leader Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft

zur wahren Resilienz, noch ganz am Anfang. Kein Unternehmen schafft es, sich von heute auf morgen zu transformieren. Deswegen sind folgende 2 Schritte wichtig: Das Reiseziel stets im Auge behalten – und lieber kleine Reiseetappen anstatt alles an einem Stück absolvieren.

Je weiter am Anfang ein Unternehmen steht, desto einfacher ist es, Maßnahmen zu identifizieren, die sich einfach und schnell umsetzen lassen, die eine Geschäftswertsteigerung nach sich ziehen und die das Unternehmen einen kleinen Schritt näher an die angestrebte Datenhoheit bringen. Bei allen Visionen und Zielsetzungen ist es immens wichtig, einen messbaren Mehrwert schnell zu erzielen. Sie sagen es ja selbst: Unternehmen sind umsatzgetrieben. Die Mehraufwände für die Maßnahmen müssen im Handumdrehen zu Gewinnen führen – und das alles muss sozusagen bei voller Fahrt stattfinden, denn der laufende Betrieb darf nicht unterbrochen werden.

All das kann nur in kleinen Schritten erfolgen. Wichtig ist es, damit schnell anzufangen und nie das Ziel aus den Augen zu verlieren. So wird ein Unternehmen sicher nicht von heute auf morgen resilient, aber es wird von Tag zu Tag resilienter.

Genius Tip

»Unternehmen müssen neuen und immer schneller auftretenden Geschäftsrisiken und Disruptoren wirkungsvoll begegnen. Den meisten Risiken kann nur durch einen nachhaltigen Wandel begegnet werden, daher ist es bereits während der Digitalen Transformation nötig, einen Transformationsmuskel aufzubauen und diesen stetig weiterzuentwickeln. Der unternehmensweite Einsatz von Technologien wie Künstlicher Intelligenz wird helfen, die Indikatoren für einen bevorstehenden Wandel früh zu erkennen und somit wahre Business Resilienz zu realisieren.«

Digitale Identitäten sind ein wichtiger

Grundpfeiler für die Digitalisierung

»Gültig nur in Verbindung mit einem amtlichen Lichtbildausweis (z.B. Reisepass, Personalausweis)«: diese Formulierung begegnet uns in der »echten«, also analogen, Welt an jeder Ecke. Wie selbstverständlich können wir uns dann bei Bedarf ausweisen und haben das gute Gefühl, dass niemand anderes sich einfach für uns ausgeben kann. Was uns so selbstverständlich erscheint, ist ein Privileg, um das wir in anderen Teilen der Welt beneidet werden.

Text Hartje Bruns, verantwortlicher Director Products, Governikus Doch im Zeitalter der Digitalisierung wird dieses Privileg zu einer Herausforderung. Und nicht nur irgendeine Herausforderung: Im Jahr 2020 gaben 86 % (!) der Verbraucher:innen an, Opfer von Identitätsdiebstahl und damit einhergehend Kredit-/Debitkartenbetrug oder einer Datenschutzverletzung geworden zu sein (Studienreport »OpSec-Barometer Navigating the New Normal Online«). Je nach Bedarf und Anforderung an verlässlichem und vertrauenswürdigem Handeln unterscheidet sich das »digitale Ich«, das zudem meist mit unterschiedlichen persönlichen Daten gekoppelt ist, vom »analogen Ich«. Vor diesem Hintergrund ist es unerlässlich, die Entwicklung und Festigung von Vertrauen in digitale Identitäten langfristig zu ermöglichen.

Die Dienstleistung »Identitätsmanagement« lässt sich die Gesellschaft als Aufgabe des Staates auch etwas kosten, denn ein sicheres Identitätsmanagement hat eben seinen Preis. Je höherwertiger der resultierende Identitätsnachweis desto teurer ist in der Regel auch das Identitätsmanagement.

Die staatliche herausgegebene Identität in Form eines Personalausweises oder Reisepasses steht in der Alltagserfahrung Pate bei der Erstellung von Bankkonten, Fahr- und Büchereisausweisen oder bei der Übergabe von Hotelschlüsseln. In der digitalen Welt würden man diese neuen kontextbezogenen Ausweise »abgeleitete Identitäten« nennen.

Der Online-Ausweis

Ein staatliches eID-Schema ins Internet zu bringen, war die Idee hinter der Einführung der Online-Ausweisfunktion (oft auch eID-Funktion genannt), die seit dem 1.11.2010 auf dem Personalausweis, seit 2011 auf dem elektronischen Aufenthaltstitel sowie seit 2021 auf der neuen eID-Karte für Unionsbürger:innen ausgegeben wird. Mit dem Online-Ausweis einher ging die Einführung einer gesamten Infrastruktur, damit sichergestellt werden kann, dass a) nur vom Staat ausdrücklich genehmigte Organisationen und Unternehmen die auf dem Chip des Ausweises enthaltenen Daten auslesen können und b) die Daten mittels sicherer Software sowohl auf Seiten der Nutzer:innen als auch auf Seiten der auslesenden Organisationen bzw. Unternehmen für eine sichere Übertragung sorgen.

Einiges an dem »neuen« Ausweis war auf den ersten Blick auch als neu zu erkennen, so zum Beispiel das Scheckkartenformat. Manches wiederum konnte man dem Ausweis nicht ansehen. Nur wenige Eingeweihte wussten beispielsweise, dass das aufgedruckte grünblaue Kreissymbol für die neue Online-Ausweisfunktion steht. Auch darüber, dass die Ausweise nun Chips mit auslesbaren Daten enthalten, war vielen Bürger:innen nicht bewusst. Eine breit angelegte Medienkampagne blieb leider aus, so dass sehr viele Menschen entweder nicht um diesen Mehrwert in ihrem Portemonnaie wussten oder im Zweifelsfall keine Verwendungsmöglichkeit sahen und damit auch kein Vertrauen aufgebaut werden konnte.

Zugegeben: Anfangs hatte die Anwendung des OnlineAusweises noch einige Hürden im Gepäck, wie beispielsweise die Notwendigkeit, ein externes Kartenlesegerät verwenden zu müssen. Diese Hürden wurden zwischenzeitlich ausgeräumt. Wer schon einmal eine Kreditkarte auf seinem Smartphone erfolgreich eingerichtet hat, sollte mit dem zwischenzeitlich deutlich einfacheren Handling des Online-Ausweises keine Probleme haben.

Der Online-Ausweis: Wissen, wer sich in Ihren Systemen einloggt Dass Benutzername und Passwort keine sichere Methode sind, um Kunden Zugang zu hausinternen Systemen zu gewähren, ist nicht neu. Zu einfach ist die Möglichkeit, in Zeiten von Cybercrime – das bereits als Service (Cybercrime as a Service) neue Geschäftsmodelle für Kriminelle ermöglicht – mit gestohlenen Zugangsdaten System zu infiltrieren und maximalen Schaden anzurichten. Der Online-Ausweis, der sowohl auf dem Personalausweis, dem elektronischen Aufenthaltstitel als auch der sog. Unionsbürgerkarte verfügbar ist, steht eine Infrastruktur zur Verfügung, die den sicheren Zugang zu Portalen ermöglicht und dabei verlässliche Daten liefert. Zum einen handelt es sich hier um eine 2-Faktor-Authentisierung (Besitz des Ausweises und Wissen der PIN), die Datenübertragung erfolgt über stark verschlüsselte Protokollstandards. Zum anderen sind die Daten (Name, Adresse, Geburtsdatum und -ort) vom Staat bestätigt, sprich diese beruhen auf den jeweils aktuellen Meldedaten.

Die eIDAS-Verordnung und das EU Digital Identity Wallet Ein wesentlicher Kritikpunkt an der aktuellen eIDAS-VO ist, dass das volle Potenzial aufgrund der eingrenzenden Nutzung auf den Public Sector nicht ausgeschöpft wird. Zwar schließt die aktuelle Version der eIDAS-VO die Nutzung im Private Sector nicht aus, stellt es den EU-Mitgliedstaaten allerdings frei, die Nutzung auf den Public

Sector zu beschränken. Eine Nutzung im Private Sector erfordert heute diverse Einzelabsprachen und verhindert damit, dass trotz einheitlicher technischer Voraussetzungen, die Nutzungsverbreitung zunimmt.

Über die Rahmenbedingungen rund um das EU Digital Identity Wallet werden die Nutzenden in den Mittelpunkt gestellt. Diese sollen entscheiden können, bei welchem Anbieter ihre Identitäten und weitere Attribute verwendet werden können. Um eine solche Entscheidung treffen zu können, sind weitreichende Maßnahmen erforderlich, wie sie z.B. im eID-System mit Online-Ausweisfunktion bereits umgesetzt wurden. Als eine Schlüsselfunktion sehen wir hier z.B. die gegenseitige Authentisierung. Nur wenn sich Nutzende sicher sein können, wem sie ihre Daten übermitteln, können sie die entsprechende Entscheidung treffen. Nutzende und Services profitieren von einer starken staatlichen Identität. Eine staatlich herausgegebene eID ist in der Interaktion zwischen Diensten des Private Sectors und deren Nutzenden genauso von Vorteil wie zwischen Bürger:innen und Behörden; sie ermöglicht den Zugang zu digitalen Dienstleistungen auf einem hohen Sicherheitslevel. Eines der wichtigsten Argumente für eine staatliche Identität ist aus unserer Sicht, dass seitens des Staates keine Gewinnabsichten verfolgt werden. Aus diesem Grund kann das Design einer solchen ohne Kompromisse hinsichtlich Datenschutz und Sicherheit ausgelegt werden. Wir sind der Meinung, dass die Bereitstellung einer sicheren hoheitlichen Identität genauso zu den Infrastrukturleistungen zählt wie Bildungssysteme, Gesundheitswesen, Straßennetze etc.

Aufbauend auf einer sicheren hoheitlichen digitalen Identität können Mehrwertdienste durch den Private Sector entstehen. Genau hier eröffnet das Wallet die Möglichkeit, mit weiteren Attributen Mehrwertdienste zu schaffen, die eine alltagsrelevante Nutzung nicht nur ermöglichen, sondern sehr wahrscheinlich machen.

Öffentlicher Diskurs zur EU Digital Identity Wallet

Das Bundesministerium des Innern und für Heimat hat im Rahmen eines Diskussionspapiers »Beyond EU Digital Identity Wallet« zu einem offenen und vor allem öffentlichen Diskurs über ein Wallet-Konzept eingeladen. Damit sollen Bedarfe von Bürger:innen, staatlichen und privatwirtschaftlichen Organisationen beim Ausbau einer Infrastruktur für Digitale Identitäten in Deutschland berücksichtigt werden. Aktuell finden auf Basis der bis Ende Juni eingereichten und ausgewerteten Positionspapiere Workshops rund um das Thema digitale ID-Brieftasche statt. Ende November 2023 sollen die Ergebnisse präsentiert werden.

Ransomware-Angriffe liegen auf hohem Niveau und sind eine ernst zu nehmende Herausforderung für Unternehmen: 136.865 Fälle hat das Bundeskriminalamt 2022 registriert, der Branchenverband Bitkom beziffert die Schäden durch Cyber-Angriffe im Bundeslagebild Cybercrime 2022 auf 202,7 Milliarden Euro. Die gute Nachricht: Unternehmen können sich vor den Attacken weitgehend schützen, indem sie ihre Cyber-Resilienz mit Hilfe KI-gestützter, automatisierter Prävention stärken.

Laut Bitkom sind Kosten mit bis zu 250.000 Euro für Ausfallzeiten manchmal über Wochen hinweg ein bedeutender Faktor für angegriffene Unternehmen. Doch sie sind der Bedrohung durch Ransomware nicht wehrlos ausgesetzt: Indem sie Szenarien für IT-Bedrohungen entwickeln, können sie vorausschauend ihre Business Resilience stärken. Zwar gibt es keinen hundertprozentigen Schutz vor

Cyber-Angriffen – aber mit Data Protection, Backup und Recovery sowie KI-gestützten Gegenmaßnahmen haben IT-Verantwortliche die Sicherheit in der eigenen Hand.

Die Säulen der Cyber-Resilienz: Prävention, Detektion und Backup Der Datenschutz in einer datengetriebenen IT-Infrastruktur umfasst die Komponenten Prävention, Aufspürung und Wiederherstellung. Die Prävention beginnt beim Nutzer: So sind etwa infizierte E-Mails ein häufiger Angriffsvektor für Viren und Ransomware. Regelmäßige Schulungen im Umgang mit verdächtigen Elementen im E-Postfach können die Cyber-Resilienz entscheidend voranbringen.

Und wenn die Sicherheitsvorkehrungen doch einmal überwunden werden? Dann muss der Eindringling schnell gefunden werden. Dazu sollten Unternehmen ihre Infrastruktur auf allen Speicherstandorten in der Cloud, On-Premises

oder in hybriden Umgebungen kontinuierlich überwachen. Vor allem KI unterstützt hier, denn sie scannt automatisiert die Systeme und schreitet bei Bedarf selbstständig ein. Der letzte Baustein der Cyber-Resilienz ist das regelmäßige Backup, mit dessen Hilfe im Ernstfall die Geschäftsfähigkeit rasch wiederhergestellt werden kann. Als Grundlage dafür erstellt das System kontinuierlich und automatisiert Snapshots. Böswillige oder irreguläre Handlungen erkennt es proaktiv unter Einsatz von KI und maschinellem Lernen. Mit seiner Ransomware-Recovery-Garantie stellt zum Beispiel NetApp sicher, dass die verlorenen Daten im Falle eines Ransomware-Angriffes lückenlos wiederhergestellt werden und der Betrieb schnell wieder anläuft.

Automatisierte Prävention zur Ransomware-Abwehr Moderne Systeme automatisieren diese Bausteine weitgehend: Das verringert den Aufwand für die IT-Abteilung und senkt die Kosten bei gleichzeitig höherem Schutz. In aktuellen Storage-Lösungen sind Sicherheits- und Ransomware-Schutzfunktionen, wie sie NetApp anbietet, standardmäßig integriert.

Fazit: Mit KI und Automatisierung zu mehr Cyber-Resilienz

Mehr Ransomware-Angriffe erfordern eine höhere CyberResilienz, zu der auch eine ganzheitliche IT-Sicherheitsstrategie gehört: Auf Basis von Prävention, Abwehr und Wiederherstellung – automatisiert und KI-gestützt.

Vom Brennen und Löschen

Krisen lassen sich nur gemeinsam bewältigen –mit Empathie,

Struktur und Technik

Zwei Bilder, die auf den ersten Blick ganz unterschiedlich sind – und doch zusammengehören: Ende Juli steht TUI-Chef Sebastian Ebel auf Rhodos, um sich vor Ort über die schweren Waldbrände im Osten der griechischen Insel zu informieren und mit den lokalen Behörden zu beraten. Ebel lässt Touristen aus den betroffenen Hotels ausfliegen oder umquartieren – und bekundet in einem zweiten Schritt seine Solidarität mit den Einheimischen. Er rät dazu, weiter Urlaub auf Rhodos zu machen. »Wenn nicht jetzt, wann dann?«, sagt er der Deutschen Presse-Agentur. »Wir würden den Menschen auf Rhodos noch mehr Schaden zufügen, wenn jetzt nach den Waldbränden keine Touristen mehr kämen.«

Text Rüdiger Schmidt-Sodingen

Ebenfalls Ende Juli steht das Goldschmiede-Paar Brimmers inmitten verwüsteter Verkaufsräume. Während die Inhaber im ersten Stock schliefen, sprengten Einbrecher den Eingangsbereich ihrer Goldschmiede in Straelen bei Geldern auf. Die Spurensicherung ist kaum fertig, da sperren Ümmühan und Gerd Brimmers schon wieder auf und bitten die Kunden durch die Hintertür. Pause machen? Kommt nicht in Frage! »Ich bin jung, dynamisch, Rentner! Obwohl innerhalb einer Sekunde alles zerstört wurde, was ich aufgebaut habe«, sagt Brimmers der Rheinischen Post. In den Tagen darauf erlebt das Geschäft eine Welle der Solidarität.

Krise ist Chefsache

Diese zwei Schnappschüsse modernen Krisenmanagements machen deutlich, um was es eigentlich geht, wenn Unternehmen, ob groß oder klein, mit schwerwiegenden Krisen konfrontiert werden. Früher, das erzählen ältere Mitarbeitende nur zu gerne, wurden bei Problemen irgendwelche Damen und Herren »der unteren Chargen rundgemacht«, um

Genius Partner • Q_PERIOR

Die Business- und IT-Beratung Q_PERIOR hilft Unternehmen mit ganzheitlichen, innovativen Ansätzen bei der Digitalen Transformation. Jonathan Schlaeger, Associate Partner, und Thomas Heincke, Managing Consultant und Experte für Business Resilience, über die Eindämmung von Krisen durch vorausschauende Planung.

Interview Rüdiger Schmidt-Sodingen

Herr Schlaeger, was sind aktuell die wichtigsten Themen, die Sie und ihre Kunden umtreiben?

Ein absolutes Fokusthema sind Cyber-Attacken und wie Unternehmen ihre IT möglichst resilient aufstellen können. Dabei geht es oft um die Zusammenarbeit mit IT-Dienstleistern der Kunden und immer öfter auch um resiliente Cloud-Strategien. Ein weiteres Fokusthema sind bestehende regulatorische Anforderungen und wie sie im Unternehmen umgesetzt werden können. Für uns stehen in diesem Zusammenhang natürlich auch Neuerungen wie DORA (Digital Operational Resilience Act), die EU-Richtlinien NIS-2 (Directive on Security of Network and Information Systems) und RCE (Critical Entities Resilience) sowie das für Deutschland geplante KRITIS-Dachgesetz im Fokus.

das Versagen oder Probleme möglichst schnell abwälzen zu können. Mittlerweile aber sind Krisen Chefsache.

Das hat auch mit einer völlig veränderten Gesellschaftsund Informationslage zu tun. Einmal sind die Erwartungen an Unternehmen, die mit einer Krise umgehen müssen, egal ob die Krise selbstverschuldet ist oder nicht, deutlich höher geworden. Wegducken? Aussitzen? Wird schon wieder? Das war einmal. Dank einer umfassenden Vernetzung mit anderen Firmen und der Kundschaft ist aber auch die Datenlage und die Möglichkeit, Probleme objektiv einzuschätzen und von subjektiven Kundenmeinungen oder -beschimpfungen zu trennen, besser geworden.

Vernetzung treibt Verständnis und Lösungen

Die Klimakrise ist das Beispiel einer Über-Krise, die sich nicht mit frommen Sprüchen oder einseitigen Aktionen bewältigen lässt. Dass sie sich in den zunehmend heißen Sommermonaten zuspitzt, stellt nicht nur Reiseveranstalter vor große Herausforderungen. Natürlich sind unzählige Menschen in Urlaubsländern wie Griechenland auf den Tourismus angewiesen. Bedeutet: Die Klimakrise hat eben auch eine soziale Komponente, die nur zusammen mit den Menschen vor Ort, in den Urlaubsregionen, gelöst werden kann.

In ihrer Thesen-Sammlung »Krisenmanagement« warb die Bertelsmann-Stiftung bereits 2016 für mehr Mut, globale Herausforderungen interdisziplinär, analytisch und menschlich anzugehen – und sich dabei auf offensichtliche Gegensätze und scheinbar entgegenstehende Interessen einzulassen. Thieß Petersen sah in der »Wechselwirkung globaler Megatrends« wie wachsende Weltbevölkerung, Klimakrise, Lebensmittelknappheit und Migrationsbewegungen einen Schlüssel zum Krisenverständnis, denn alle diese Megatrends beträfen vor allem Europa und könnten nur zusammen von Wirtschaft und Gesellschaft beantwortet werden.

Krisenpolitik zwischen Struktur und Technik

Hinsichtlich einer präventiven Krisenpolitik nennt Petersen am Beispiel der Herausforderung der Migration und Erderwärmung »funktionierende Infrastrukturen«, eine »bessere Integration« und »technologische Lösungsansätze« als obligatorisch. Bricht man diese drei Punkte auf das »kleinere« Krisenmanagement von Unternehmen herunter, wird deutlich, wie umsichtig, vorausschauend und kooperativ Krisenmanager:innen tätig werden müssen. Die Beispiele von Sebastian Ebel und dem Ehepaar Brimmers machen Mut, weil sie weit über ihre eigentlichen Wirkungskreise hinausweisen. In Krisen zusammenzuhalten und alte Probleme oder Missverständnisse zu lösen, kann die Welt verändern. Schaut man sich den plötzlichen Frieden zwischen der Türkei und Griechenland an, der maßgeblich eine Folge der umfassenden griechischen Solidaritätsbekundung nach dem schweren Erdbeben in der Türkei und Syrien Anfang Februar war, wird klar: Lösungen können mindestens so stark sein wie Krisen.

Genius Facts

42% der deutschen CEOs haben eine Strategie für globale Krisen.

81% beklagen, dass Krisen zum Normalzustand geworden sind.

(Quelle: Fifth Annual Workforce Attitudes Toward Mental Health Report)

think about: Krisenmanagement

Herr Heincke, Sie helfen Unternehmen mit einem Business- und IT-Continuity Management. Grundsätzlich müssen verschiedene Disziplinen ineinandergreifen: Das Krisenmanagement konzentriert sich auf den Reaktiven Prozess der Krisenbewältigung über eine spezielle Krisenorganisation. Das Business Continuity Management kümmert sich um die proaktive Absicherung der Geschäftsprozesse durch Notfallpläne, die eine schnelle und koordinierte Bewältigung einer Notfallsituation sicherstellen. Das IT Service Continuity Management schließlich sorgt im Ernstfall für die unterbrechungsfreie Verfügbarkeit der benötigten IT oder den schnellstmöglichen Wiederanlauf gemäß den Anforderungen der Geschäftsprozesse. Dabei gilt es, die Anforderungen des Information Security Management auch für den Krisenfall zu berücksichtigen, und sicherzustellen, dass die Resilience-Maßnahmen nicht unbeabsichtigt Security-Maßnahmen aushebeln.

Inwiefern spielt der »Faktor Mensch« bei Notfallplänen eine Rolle?

Prozesse und Pläne sind wichtige Instrumente, aber sie werden zumeist von Menschen durchgeführt oder genutzt. Wenn diese aber an den Menschen und der gelebten Wirklichkeit vorbei gehen, werden sie weniger effektiv oder effizient sein. Das gilt auch in der Notfallplanung. Wir

empfehlen daher dringend, Notfallpläne auch in der Praxis zu testen. Außerdem sollte die psychische Notfallversorgung der Angestellten sowohl im akuten Fall als auch nach der Bewältigung einer Krisensituation bedacht werden.

Was ist ein guter Ansatzpunkt in der Krisenvorsorge für Unternehmen?

Zunächst sollte ein Unternehmen verstehen, welche internen und externen Anforderungen bestehen, und diese dann mit der Ist-Situation im Unternehmen abgleichen. So können Defizite und dringende Handlungsbedarfe schnell erkannt und entsprechende Maßnahmen abgeleitet werden. Auch ein Vergleich innerhalb der eigenen Branche (oder wahlweise branchenübergreifend) ist ein hilfreiches Instrument zur Orientierung. Da setzen wir bei unseren Kunden, gemeinsam mit unserem strategischen Partner Wavestone, in Form des Cyber- oder Resilience Benchmarks erfolgreich an.

»Unternehmen sind auf existenzbedrohende Krisen oft nicht gut vorbereitet«

think about: Krisenmanagement

ist längst zu einer Teamaufgabe geworden«

Unternehmen müssen ihre Strategien und Geschäftsmodelle schneller denn je anpassen können. Ein umfassendes Risikomanagement mit einem »Panoramic View of Risks« ist der Schlüssel, um die Resilienz zu steigern. Bei PwC Deutschland beschäftigen sich Marc Billeb und Dr. Robert Paffen, die gemeinsam den Bereich Risk & Regulatory leiten, mit den aktuellen Herausforderungen.

Interview Rüdiger Schmidt-Sodingen

Herr Billeb, wo haben Unternehmen angesichts der gegenwärtigen Krisen den größten Nachhol- und damit auch Beratungsbedarf? Worauf kommt es an?

Die Bereiche, die betrachtet werden müssen, werden immer vielfältiger. Zunächst hat uns die Pandemie die Zerbrechlichkeit von Lieferketten vor Augen geführt. Aufgrund der volatilen geopolitischen Lage haben sich auch in Europa Versorgungsengpässe verschärft. Dazu kommt: Cyberattacken ereignen sich häufiger, werden raffinierter durchgeführt und bleiben nach Einschätzungen unserer

Experten über die nächsten Jahre eine der größten Bedrohungen für Unternehmen. Gleichzeitig kommen neue Aufgaben für Unternehmen hinzu: Nachhaltigkeit, Klimaschutz und soziale Verantwortung stehen im Fokus der Öffentlichkeit und werden von Kunden und Stakeholdern sehr aufmerksam und durchaus kritisch verfolgt. Parallel dazu schreitet die Digitale Transformation in hohem Tempo voran: Laut dem letzten Global Risk Survey von PwC sehen 79 Prozent der Führungskräfte darin eine bedeutende Herausforderung für das eigene Risikomanagement. Wirklich neu und herausfordernd ist, dass alle diese Risiken miteinander eng verbunden sind und gleichzeitig auftreten.

Inwiefern greift die Regulatorik in die Digitalisierungsvorgänge von Unternehmen ein?

Neben der Komplexität der Risikolandschaft nimmt auch die Regulatorik für Kernthemen der IT im weitesten Sinne zu. Sie erhöht damit die Compliance-Anforderungen, die für jedes Unternehmen zu berücksichtigen sind. Hervorzuheben sind beispielsweise der EU Cyber Resilience Act (CRA), der Digital Operational Resilience Act (DORA) oder auch der EU AI Act, der Rahmenbedingungen für den Umgang mit Künstlicher Intelligenz (KI) definiert. Auch die EU Product Liability Directive, die ENISA Guidelines on Securing the IoT Supply Chain und das Lieferkettensorgfaltspflichtengesetz (LkSG) spielen eine große Rolle und zeigen die Vielfalt der Regularien. Technologie ist hierbei Chance und Risiko zugleich. Einerseits kann sie die Effizienz in den Bereichen Risikoüberwachung, Modellierung und Berichterstattung erhöhen. Andererseits muss die IT selbst auch verlässlich und resilient sein.

Wie können Daten und miteinander kommunizierende Systeme zur Resilienz beitragen?

Das Risikomanagement von Unternehmen sollte sämtliche Maßnahmen zur systematischen Erkennung, Analyse, Bewertung, Überwachung sowie Kontrolle von Risiken umfassen. Sinnvoll ist es, Key Risk Indicators - also zentrale Indikatoren für sich ab zeichnende Gefahren - in Frühwarnsystemen zu verwenden und sukzes sive die Erkennungsbilder durch lernende Algorith men zu schärfen. Auch die Art und Weise, wie Risiken übergreifend

gemanagt werden, müssen Verantwortliche anpassen. Ziel sollte es dabei nicht nur sein, Risikoerkenntnisse und -analysen schnell, also in Echtzeit, zu erhalten, sondern auch den Gesamtblick auf alle relevanten Risiken zu bekommen. Ein wichtiger Aspekt ist hierbei auch die Risikomodellierung, die wir mit unserem PwC Risk Strategy and Analytics Tool (RSA) unterstützen. Das Tool hilft dabei, die konkreten Auswirkungen von Risiken zu erfassen und zu visualisieren, aber auch spezifische Szenarien zu simulieren.

Ein wichtiges Ziel ist zudem der smarte Umgang mit Regulatorik: Die Anforderungen des Marktes und der Regulatoren sollten nicht nur im Mindestmaß umgesetzt werden, sondern aktiv als Chance zur Verbesserung und zur Differenzierung von Mitbewerbern verstanden werden. Ein Beispiel hierfür ist die Entwicklungsmethode Open Source. Mit den Vorteilen von Transparenz, Kollaboration und Shared Economy ist sie eine wichtige Basis und bietet die Grundkomponenten einer jeden modernen Technologie. Regulatoren haben die zentrale Bedeutung von Open Source in der Digitalen Transformation erkannt und fördern deren sichere, rechtskonforme Verwendung im Bereich Security und Compliance. Der strategische Einsatz von Open Source ergibt dabei nicht nur wesentliche operative Vorteile in der Produkt- und Softwareentwicklung, sondern fördert auch die eigene Resilienz und Souveränität.

Herr Dr. Paffen, Sie beschreiben Risikomanagement als Teamaufgabe, bei der ein »Panoramic View of Risks« entstehen müsse. Was ist dabei der entscheidende Ansatz? Risikomanagement dient gleichermaßen dazu, Gefahren frühzeitig zu erkennen, um Schaden von Unternehmen abzuwenden, sowie informierte relevante Entscheidungen zu treffen, um wettbewerbsfähiger zu sein. Ein starkes Risikound Resilienz-Management kann den Unterschied machen zwischen den Unternehmen, die erfolgreich am Markt sind, und denen, die um ihr Überleben kämpfen. Um auch blinde Flecken in der eigenen Risikolandschaft zu entdecken und umgekehrt mutig die richtigen Investitionen zu tätigen, empfiehlt es sich, eine vielfältige »Community of Solvers« einzubinden und eine Risikokultur zu etablieren. Dadurch ist Risikomanagement längst zu einer Teamaufgabe geworden. Denn durch

verschiedene Perspektiven entsteht der entscheidende »Panoramic View of Risks«. Das bedeutet, dass Entscheider:innen alle Einflüsse, die zu strategischen, betrieblichen, regulatorischen und technologischen Risiken führen, im Blick haben müssen. Eine entscheidende Rolle im Risikomanagement kommt dem Top-Management zu, das die strategische Richtung des Risikomanagements vorgibt und somit den Risikoappetit definiert.

Wie lassen sich Risikoprozesse und -systeme auch in international tätigen Unternehmen effizient spiegeln oder etablieren?

Mit drei Maßnahmen können Führungskräfte in globalen Organisationen ihr Risikomanagement in Zeiten der Dauerkrisen vorantreiben. Erstens sollten sie das Risikomanagement früh in die strategische Entscheidungsfindung einbeziehen. Eine Geschäftsführung profitiert davon, wenn Ergebnisse von Risikoanalysen von Beginn an in die strategischen Planungsprozesse einfließen. Zweitens sollte eine datengestützte Risikoanalyse genutzt werden. Neben der Identifizierung und Überwachung von Key Risk Indicators ist eine effiziente Software-Lösung ein entscheidendes Werkzeug, mit dem sich sämtliche Daten schnell zusammenführen und auswerten lassen. Schließlich sollten Risikoprozesse und -systeme zusammengebracht werden. Hier empfiehlt es sich, eine Technologieplattform einzuführen, die den Risikoansatz für die Bereiche Governance, Risk und Compliance unternehmensweit vereinheitlicht.

Gibt es geopolitische Entwicklungen, die noch zu wenig Beachtung finden?

Infolge des Ukraine-Krieges haben sich neue politische Blöcke gebildet, die Wirtschaft und Technologie als Instrumente der Politik begreifen und einsetzen. Das gefährdet das Erfolgsmodell der deutschen Wirtschaft, die immer an Wertschöpfungsketten und freie Märkte geglaubt hat. Vor allem mittelständische Unternehmen, die in mehreren Ländern aktiv sind, müssen sich folglich mit Sanktions- und Ausfallrisiken, mit diversifizierten Lieferketten und lokalen, landesspezifischen Zusatzrisiken auseinandersetzen. Risiken lassen sich nicht mehr isoliert betrachten, denn alles hängt mit allem zusammen. Auch hinsichtlich der China-Strategie der Bundesregierung, die auf ein De-Risking hinarbeitet, sollten Unternehmen Abhängigkeiten und Lieferketten genau untersuchen.

»Risikomanagement

erkennen und managen führt zu

resilienteren Organisation«

Plötzlich, in der Krise, wächst die Angst vor Risiken. Was aber, wenn Risiken zum Alltag gehören und damit einen Plan erfordern? Benjamin Lüders, Partner, Leiter Enterprise Risk Services der Ernst & Young Wirtschaftsprüfergesellschaft, über die Möglichkeiten, Risiken frühzeitig zu erkennen, richtig einzuschätzen und danach von ihnen zu profitieren.

Herr Lüders, früher sagte man: Der beste Geschäftsführer ist der, der Risiken nicht sehen will und sein Ding durchzieht. Das gilt so nicht mehr?

Der Umgang mit Unsicherheiten, um ein Ziel zu erreichen, gehört zum Geschäftsleben dazu. Es stellt sich vielmehr die Frage, wieviel Risiko gehe ich ein und um welchen Preis. Transparenz über die Risikosituation des Unternehmens und die Nutzung der Informationen für bessere Entscheidungen führen dabei zu einer resilienteren Organisation. Die letzten Jahre mit einer globalen Pandemie, einem Krieg in Europa, der ständig wachsenden Zahl an Cyberattacken und der daraus gefolgten Ökonomischen Krise haben dazu geführt, dass sich Unternehmen und vor allem die Vorstandsebene viel mehr damit beschäftigen. Klassische Instrumente des Risikomanagements wie etwa Szenarioanalysen werden vermehrt genutzt. Ein Beispiel: Wie wirkt sich ein möglicher Einmarsch von China in Taiwan für mein Unternehmen aus? Die Risikomanagementansätze werden quantitativer, um die gewonnenen Informationen in die operative und strategische Planung zu integrieren. Darüber hinaus führen regulatorische Verschärfungen (FISG oder DCGK Update) dazu, dass börsennotierte Unternehmen eine Aussage zur Angemessenheit und Wirksamkeit ihrer Governance-Systeme und speziell dem Risikomanagementsystem im Lagebericht treffen müssen.

Sie beraten Unternehmen beim Risikomanagement. Was sehen Sie sich speziell an, um Unternehmen helfen zu können?

Das Geschäftsmodell! Klingt abgedroschen, aber es ist immer der Ausgangspunkt für ein angemessenes Risikomanagement- oder auch internes Kontrollsystem. Ohne Verständnis über das Geschäftsmodel sowie mögliche Änderungen wird das Risikomanagement nur ein Feigenblatt zur Erfüllung gesetzlicher Anforderungen sein, aber nicht zu besseren Managemententscheidungen beitragen und damit die Resilienz des Unternehmens langfristig stärken. Gemeinsam mit dem Unternehmen stellen wir uns daher die Fragen: Was sind die wesentlichen Assets (»Golden Nuggets«) des Unternehmens? Welche Prozesse im Unternehmen beinhalten die wesentlichen Risiken - und das sind schon lange nicht mehr die rechnungslegungsbezogenen Prozesse. Schaut man sich die großen eingetretenen Risiken der näheren Vergangenheit an, sind diese in Bereichen

der Supply Chain, Produktion, F&E und natürlich der IT, die in allen Prozessen ein wesentlicher Bestandteil ist.

Sind interne Kontrollen und Revisionen heute schwieriger durchzuführen als früher, wo plötzlich in Geschäften oder Produktionshallen zwei oder drei Herren in schwarzen Anzügen auftauchten?

Die Digitalisierung erweist uns hier einen Bärendienst. Datenbasierte und hoch automatisierte Kontrollsysteme und Revisionsfunktionen können das Assurance Level für das Unternehmen erhöhen und dabei die »Kontroll«-Kosten reduzieren. Lassen Sie mich darauf etwas eingehen. Viele Unternehmen sind aktuell in der Transformation ihrer ERP-Systeme, Stichwort: S/4HANA-Einführung. Hierbei die Automatisierung des Internen Kontrollsystems außen vor zu lassen, wäre fahrlässig. Gemeinsam mit der SAP haben wir ein Whitepaper entwickelt, das aufzeigt, wie viele Kontrollen im System selbst möglich sind, um möglichst wenig manuelle Kontrollen im Prozess zu haben. Hierzu haben wir bei einem Projekt einen Business Case gerechnet, der zu einem bis zu 40 % schnelleren Prozess bei ca. 25 % weniger Kontrollkosten geführt hat. Auf der anderen Seite haben wir die Interne Revision, die sich heutzutage viel mehr Datenanalysen zunutze macht und damit viel gezielter auf Anomalien oder andere Auffälligkeiten fokussiert ist. Wir bei EY haben eine Plattform entwickelt - den EY Virtual Internal Auditor (EY VIA) -, über die wir die gesamte Revisionsfunktion sowie den jährlichen Revisionszyklus digitalisieren. Damit schließt sich der Kreis zum höheren Assurance Level, da die Interne Revision ein hochautomatisiertes Internes Kontrollsystem viel umfassender überwachen kann.

Was müssen moderne Risikomanagementsysteme heute leisten? Gibt es Vorgänge oder Daten, die priorisiert werden müssen – oder macht der Mix erst klug? Smarte Risikomanagement- und vor allem Interne Kontrollsysteme sind in die Prozesse im Unternehmen integriert und die Risikodenke in die DNA der Mitarbeiter übergegangen. Die Zeit von siloartigen Governance-Systemen wie RMS, IKS oder CMS ist vorbei. Der Mehrwert der Systeme für das Unternehmen steht im Vordergrund. Und bis jetzt haben wir noch gar nicht über die Anforderungen an das RMS oder IKS aufgrund der Nachhaltigkeit gesprochen. Da ich hierzu bereits eigene Artikel veröffentlicht habe, nur so viel: Auch hier gilt das Gebot der Integration von beispielsweise CSRD-Anforderungen in vorhandene RMS- oder IKS-Systeme.

Gibt es Tools, die bei der Produktion, etwa im Automobilbereich oder im Maschinenbau, unbedingt installiert werden sollten, um Risiken richtig abzuschätzen?

Ich möchte hier gar nicht ein spezielles Tool hervorheben, sondern den Fokus auf die Daten legen. Die Unternehmen

haben Unmengen von Daten, sowohl interne als auch externe. Sich den vorhandenen Datenschatz zu Nutze machen und damit Risiken besser analysieren und vor allem bewerten zu können, das sollte ein Ziel der Unternehmen sein.

Ist Process Mining, das sämtliche Geschäftsprozesse abbildet, mittlerweile bei größeren Unternehmen selbstverständlich geworden?

Digitale Enabler wie etwa Process Mining sind aus der heutigen Unternehmenswelt nicht mehr wegzudenken und bei vielen Unternehmen bereits etabliert. Konkret bei der Nutzung im Bereich Risikomanagement und vor allem im Internen Kontrollsystem sehe ich bei Unternehmen noch viel Potential. Nehmen wir ein Projektbeispiel von mir, bei dem wir Process Mining in einem Shared Service Center eingeführt haben, um bestimmte Überwachungskontrollen im Prozess zu automatisieren. Zeigt man mit Process Mining, dass von der vorgegebenen Prozessvariante möglichst gar nicht abgewichen wird, kann das schon eine hinreichende Sicherheit geben, dass die Kontrollen im Prozess wirksam sind. Und das ist nur ein einfaches Beispiel. Den Möglichkeiten nicht nur mit Process Mining, sondern auch über RPA sind dabei keine Grenzen gesetzt. Obwohl ich persönlich gerade RPA in vielen Teilen nur als eine Zwischenlösung ansehe, die durch eine hochautomatisierte Systemlandschaft – Stichwort S/4HANA Transformation – abgelöst wird.

Gerade wird vor zu viel Künstlicher Intelligenz gewarnt. Sehen Sie mehr Risiken oder Chancen beim Einsatz von KI? KI »is here to stay«, wie beispielweise die jüngste Ankündigung von Bosch zeigt, ein eigenes BoschGPT zu entwickeln. Es stellt sich vielmehr die Frage, wie sichere ich die Nutzung von KI ab. Wir haben dazu das »EY Trusted AI Framework« entwickelt. Grundsätzlich geht es dabei um die allseits bekannten IT General Controls für die Nutzung von Technologie und darüber hinaus die Validierung der genutzten Datenquellen und resultierenden Ergebnisse. Daraus ergeben sich zwei konkrete Anknüpfungspunkte für das Risikomanagement: Zum einen kann die IKS-Funktion sicherstellen, dass ein Kontrollumfeld zur KI etabliert ist, zum anderen kann die KI selbst genutzt werden, um Risiken besser zu analysieren.

»Risiken

einer

»Gerade in Krisen müssen Absprachen eingehalten werden«

Krisen brauchen gute Mitarbeiterinnen und Mitarbeiter. Letztere legen Wert auf Sicherheit – physisch wie psychisch. Wie können Unternehmen das Vertrauen in den Arbeitsplatz und die Arbeitssicherheit nachhaltig stärken? Antworten von Marc Oliver Stecher, Fachkraft für Arbeitssicherheit und Geschäftsführer der Armos Arbeitssicherheit GmbH.

Interview Rüdiger Schmidt-Sodingen

Herr Stecher, Sie sagen: Eine menschengerechte Arbeitswelt sollte selbstverständlich sein. Wie steht es um die Arbeitswelt denn jetzt in den diversen Krisen? Die Arbeitswelt ist sowohl auf der Seite der Arbeitgeber wie auch unter den Beschäftigten eher unruhig. Die Gründe sind vielfältig. Aktuell stellen wir fest, dass zwar auf Grund der wirtschaftlichen Lage Unsicherheiten vorhanden sind, jedoch auf beiden Seiten Verständnis herrscht. Sie haben während der Corona-Pandemie bereits den Krisen-Modus geprobt und spezielle Schulungen durchgeführt. Trotz täglicher Neuerungen wollten Sie die Arbeitsfreude und -sicherheit der Mitarbeitenden stabil halten. Was war Ihr Ansatz?

think about: Krisenmanagement

Viele Arbeitgeber konnten in den vergangenen Jahren unter Beweis stellen, dass sie sich um Ihre Beschäftigten sorgen und ein stabiles Arbeitsumfeld gewährleisten. Unser Ansatz war, auch unter den widrigsten Bedingungen ein sicheres Arbeitsumfeld zu schaffen. Dies funktionierte nur durch Einbeziehung aller Beteiligten und mit Konzepten, die zu dem Spirit der Betriebe passten. Nur so konnten wir mit unseren Kunden und deren Beschäftigten Lösungen entwickeln, die durch alle Beteiligten unterstützt wurden.

Ist es ein Problem, wenn Absprachen zur Arbeitssicherheit, die ja Körper und Geist schützen und Vertrauen herstellen, von Vorgesetzten nur unzureichend überprüft werden? Was lässt sich dagegen tun? Der Erfolg hat viele Väter, der Misserfolg ist ein Waisenknabe! So lange nichts passiert, ist alles fein, oder?! Aus unserer Erfahrung wissen wir, dass wenn dann ein Schadensfall eintritt, die Vorgesetzten schon genau wissen, wo ihr persönliches Fehlverhalten liegt. Dann wird versucht, Schadensbegrenzung zu betreiben. In diesen Fällen sind alle Beteiligten mit Ihren Gedanken, Problemen und Sorgen allein. Je nach Schwere des Ereignisses sind auch die Sorgen größer. Dagegen schützen kann man sich nur, wenn man sich regelmäßig überzeugt, dass die Absprachen und Maßnahmen entsprechend eingehalten werden. Und wenn nicht, auch Konsequenzen auf den entsprechenden Ebenen durchführt. Arbeitgeber versäumen es regelmäßig, ihre Führungskräfte dahingehend auszubilden. Das Thema Weisungsbefugnis und Haftung wird in den Ausbildungen und Studiengängen nur unzureichend behandelt. Hier sollten Inhaber und Geschäftsführer so mutig sein und ihre Vertreter in entsprechenden Seminaren, die am besten realistisch und praxisnah sind, aufklären. Und vielleicht auch selbst mal wieder teilnehmen, um auf dem Laufenden zu sein.

Was sollten Führungskräfte anders machen?

Führungskräfte sollten Arbeitsprozesse, Organisationsstrukturen und ihre Vorgaben und Entscheidungen sowie sich selbst hinterfragen – und sich dann die zentrale Frage stellen, ob sie persönlich das Ergebnis aushalten können. Das beginnt beim Onboarding von neuen Beschäftigten und endet vernünftigerweise mit dem Beenden des Arbeitsverhältnisses.

Weitere Informationen: www.armos.de

Genius Tip

»Unternehmen und Führungskräfte sollten sich öfter hinterfragen und ihre Arbeitsprozesse und -strukturen anpassen. Eine wichtige Frage: Ist das, was wir tun und wie wir es tun, überhaupt noch zeitgemäß?«

Controllit AG • Genius Partner

»Krisenteams müssen regelmäßig üben«

Krisenmanagement kann nur dann Management genannt werden, wenn es analytisch, effizient und verantwortungsvoll vorgeht und wirkt. Matthias Rosenberg, Vorstand der Controllit AG, über resiliente Organisationsstrukturen – und Menschen, die Risiken und Herausforderungen richtig abwägen können.

Interview Rüdiger Schmidt-Sodingen

Herr Rosenberg, bei Ihrer Krisenmanagementberatung haben Sie ein Vorgehensmodell entwickelt, das sich mit den richtigen Strukturen und handelnden Person beschäftigt. Wie funktioniert es?

Wichtig ist, die Grundlagen zu schaffen, dass das Unternehmen mit einer Krise gut umgehen kann. Dazu haben wir fünf Phasen definiert. In der ersten Phase geht es darum: Wo steht das Unternehmen – und was für Strukturen und Personal gibt es? In der zweiten Phase schauen wir uns die Stakeholder-Gruppen an. Mit wem muss auf welchem Kanal kommuniziert werden?

Bei Phase 3 geht es um das Design des Krisenmanagements: Welche Felder werden abgedeckt? Wie sehen die Prioritäten und Schutzziele des Unternehmens aus? In Phase 4, der Implementierungsphase, werden die geplanten

Strukturen aufgebaut. Die fünfte Phase ist für mich persönlich die wichtigste: die praktische Übungsphase. Was passiert konkret, wenn die Krise losbricht? Wo will das Unternehmen in der Krise hin? Regelmäßiges Üben ist wichtig, denn dann werden alle Instrumente, auch die IT, richtig eingesetzt. Wenn Sie das nur einmal im Jahr oder noch seltener machen, nützt die teuerste IT-Struktur nichts, weil keiner mehr weiß, wie sie richtig bedient wird.

Sie geben im Grundstein »Policy und ProzessManagement« zu bedenken, dass nicht jeder Mitarbeitende für eine Rolle in der Krisenorganisation geeignet ist. Wo liegt das Problem, wenn die Rollen falsch verteilt sind?

Es herrscht leider eine große Unkenntnis darüber, was Krisen mit Menschen machen. Gleichzeitig denken Unternehmen, dass sie im Krisenstab ihre gesamte Unternehmensstruktur spiegeln müssen. Der Krisenstab wird unnötig aufgebläht. Eigentlich reichen im Krisenstab vier bis fünf Leute. Die sollten vor allem ruhig sein und ruhig bleiben. Am besten sind für den Krisenstab Leute geeignet, die einen entsprechenden Background oder Führungserfahrung haben. Alternativ müssen sie dahingehend ausgebildet werden.

Sie bewerten in der Analyse auch die Reaktionsfähigkeit eines Unternehmens.

Welche Bereiche untersuchen Sie?

Wir schauen uns die dokumentierten Prozesse an. Gibt es ein Incident Management? Gibt es Dokumentationen für den Krisenstab? Wie sehen die aktuellen Bereitschaftslösungen aus? Wer hat welche Funktion – wobei es wichtig ist, dass Mitarbeitende nicht doppelt genannt

werden und in mehreren Funktionen auftauchen. Anhand dieser Analyse können wir dann Ansatzpunkte zur Verbesserung erarbeiten.

Wie funktioniert der Emergency Response Audit, aus dem Sie anschließend das individuelle Krisenmanagement konzipieren und validieren?

Ein wichtiger Punkt des Audits ist die Krisenkommunikation. Wie wird überhaupt mit Stakeholdern kommuniziert? Die Ansprache in Krisenzeiten ist überaus wichtig, aber auch sehr diffizil. Man muss zur richtigen Zeit auf dem richtigen Kanal das Richtige kommunizieren. Gleichzeitig können aber auch rechtliche Aspekte wichtig sein. Der unvoreingenommene Blick von außen hilft Unternehmen sehr.

Genius Tip

»Üben. Üben. Üben. Das Vorgehen bei einer Krise sollte mindestens zweimal im Jahr mit dem eingesetzten Krisenstab geübt werden.«

Geoökonomische Resilienz als neue unternehmerische Herausforderung und Chance

Unternehmen stehen einem völlig neuen geopolitischen Umfeld gegenüber. Die Globalisierung ändert sich fundamental, die politischen Risiken nehmen zu. Dadurch wird geoökonomische Resilienz entscheidend für die Erreichung unternehmerischer Ziele. Die datenbasierte Analyse geopolitischer Risiken sollte systematisch in die Risikobewertung und Strategie integriert werden.

Das neue geoökonomische Umfeld 2022 hat gute Chancen, als das Jahr in die Geschichte einzugehen, in dem die Geopolitik zurückkehrte. Der Angriffskrieg Russlands gegen die Ukraine ist der offensichtliche Auslöser. Der Krieg ist allerdings nicht der einzige Faktor. Durch die Handelsstreitigkeiten und die Systemkonkurrenz zwischen China und den USA sowie durch die Ungewissheit über die chinesischen Pläne bezüglich Taiwans wird das internationale Umfeld insgesamt zunehmend konfliktreicher. Noch dazu scheint sich die Globalisierung im Rückwärtsgang zu befinden. Der globale Güterhandel bewegt sich seit Jahren eher seitwärts als aufwärts; der Protektionismus vor allem im Technologiebereich und bei digitalen Dienstleistungen hat stetig zugenommen; ebenso feiern Investitionskontrollen ein Comeback. Deglobalisierung, Decoupling und Derisking sind die wirtschaftspolitischen Schlagwörter der Stunde.

Die Rückkehr der Geopolitik bedeutet vor allem eine Verschiebung von Prioritäten. Sicherheits- und außenpolitische Überlegungen haben zunehmend Vorrang vor wirtschaftlichen Zielen und offenen Märkten. Im Bereich der Wirtschaft übersetzt sich damit die Rückkehr der Geopolitik in eine Geoökonomie, die sehr viel stärker durch politische Ziele, Interventionen und Sanktionen geprägt ist als wir es von den Jahrzehnten seit dem Fall des Eisernen Vorhangs gewohnt sind. Der internationale Währungsfonds (IWF) befürchtet in diesem Kontext die geoökonomische Fragmentierung der Weltwirtschaft. Damit ändern sich die Rahmenbedingungen für internationalen Handel, Investitionen und Lieferketten, ebenso wie die makroökonomischen Wachstumspole.

Bausteine geoökonomischer Resilienz

Neue Risiken für Unternehmen

Intelligence

●

Impact-Analysen

Investment-Strategie

In dieser neuen Umgebung wundert es nicht, dass sich die Risikowahrnehmung der Unternehmen fundamental ändert. Nach Daten des Deloitte CFO Survey sind geopolitische Risiken die wichtigste Risikoart für deutsche Großunternehmen. Ganz konkret befürchten die meisten Unternehmen eine Ausweitung des Russland-Ukraine Krieges. Knapp dahinter rangieren Cyber-Attacken sowie an dritter Stelle der ChinaTaiwan Konflikt, dessen Eskalation für fast die Hälfte der Unternehmen ein hohes Risiko darstellt.

Der Deloitte CFO Survey zeigt auch, dass Unternehmen bereits auf die gestiegenen Risiken reagieren. Die Diversifizierung der Lieferketten ist die bevorzugte Strategie, in der Industrie für zwei Drittel der befragten Unternehmen. Eine Rückverlagerung von Produktion an den Heimatstandort oder der völlige Rückzug aus geopolitisch schwierigen Märkten ist dagegen nur für wenige Unternehmen eine Option. Damit zeichnet sich ab, dass die Unternehmen nicht de-globalisieren, sondern dass die Globalisierung eine andere Form annimmt. Neue Länder und das Friendshoring von Lieferketten werden in den Fokus rücken.

Generell dürfte kaum ein Unternehmen, das international aufgestellt ist, von den Auswirkungen dieser Umbrüche unberührt bleiben. Dies kann in der Lieferkette, bei Investitionen generell sowie bei der Absatzstrategie der Fall sein, aber genauso auch in der Forschung- und Entwicklung; dem Zugang zu Rohstoffen, staatlichen Fördermitteln, Kapital und Märkten; dem Austausch digitaler Daten oder auch der Gewinnung von Mitarbeitenden.

Geopolitik verstehen, geoökonomische Resilienz erhöhen

Die neuen Risiken bedeuten, dass Unternehmen ihren Fokus auf die Erhöhung der geoökonomischen Resilienz richten müssen. Allerdings haben sich seit dem Fall des Eisernen Vorhangs nur wenige Unternehmen systematisch mit geopolitischen Trends, Risiken und den Implikationen für ihr Unternehmen und ihre Industrie befasst.

Die Herausforderung besteht darin, die oft schwer zu fassenden geopolitischen Risiken und Szenarien in der Strategie und im Risikomanagement zu verankern. Ein tiefes Verständnis der Auswirkungen auf die eigene Unternehmensstrategie und Operations wird

Besseres Verständnisdes geoökonomischen Umfelds. Monitoring und Analyse geopolitischer Risiken und langfristigermakroökonomischer Trends.

Entwicklungvon Szenarien fürdie wichtigsten Trends und Risiken. Analyse derAuswirkungen aufdie Makroökonomie und Branchen. Analyse der Risiken und Chancen im eigenen Unternehmen.

Stresstests von Investitionen und M&Adurch geoökonomische Szenarien. Anpassung von Standortstrategien, Lieferketten und Globalisierungsstrategien. Entwicklung von Decoupling/ DeriskingStrategien.

●

zum essenziellen Teil des Risikomanagements und zum Wettbewerbsvorteil.

In diesem Kontext liefern die folgenden Fragen einen ersten Ansatzpunkt, um die eigene geoökonomische Resilienz zu evaluieren:

Wie kann geoökonomische Expertise im Unternehmen auf- und ausgebaut werden?

• Wo liegen die Abhängigkeiten und Verletzlichkeiten des eigenen Unternehmens?

• Welchen Einfluss haben geoökonomische Trends und Risiken auf Märkte, Lieferketten und Investments des Unternehmens?

Ein vertiefender systematischer Ansatz sollte sich auf die Bereiche geoökonomische Intelligence, Impact-Analysen und Investitionsstrategie konzentrieren (siehe Grafik).

Neue Tools und Ansätze nötig

Dabei kommt es für Unternehmen darauf an, die richtigen Prozesse und Frameworks zu etablieren, um das entstehende Umfeld und die Auswirkungen zu verstehen und das Unternehmen entsprechend zu positionieren. Dies erfordert eine Kombination verschiedener Methoden. Länderrisikoanalysen und politische Risikoanalysen sind ein erster Schritt. Diese sollten komplettiert werden durch systematische Szenarioanalysen der wichtigsten geopolitischen Zukunftstrends.

Ein entscheidender Hebel ist die Quantifizierung der wirtschaftlichen Auswirkungen dieser Szenarien. Quantitative makroökonomische Modellierungen können hier ein detailliertes Bild über Veränderungen auf der Makro- und Industrie-Ebene liefern. Zur Evaluierung von Investitionen und Standortentscheidungen hat Deloitte eigene Länder-Indices entwickelt, die ökonomische Standortbedingungen mit geopolitischer Positionierung kombinieren, um Risiken zu identifizieren und Wachstumschancen zu quantifizieren.

Die Entwicklung geoökonomischer Resilienz ist entscheidend, um neue Risiken zu managen, aber auch, um neue Chancen zu erkennen. Beispielsweise hat trotz des zunehmenden Protektionismus die absolute Zahl von Freihandelsabkommen einen Höchststand erreicht und vor allem in Asien neue Handelsstrukturen geschaffen. Dies bedeutet für Unternehmen neue Absatzmärkte und neue Optionen, die Lieferketten umzustrukturieren. Somit ist geoökonomische Resilienz nicht nur ein Risikothema, sondern auch ein Strategiethema. Dieses muss Risikomanager, Strategen, CFOs und Aufsichtsräte konsequent beschäftigen, um das Unternehmen erfolgreich durch die neuen geopolitischen und makroökonomischen Rahmenbedingungen zu navigieren.

Sicherheitsund außenpolitische Überlegungen haben zunehmend Vorrang vor wirtschaftlichen Zielen und offenen Märkten.

»Digitale Tools sind wichtige Elemente einer ganzheitlichen Resilienzstrategie«

Der Resilience Radar des führenden Software-asa-Service (SaaS)-Anbieters F24 dokumentiert, dass Führungskräfte deutscher Unternehmen ihre Krisenkompetenz als »gut« einschätzen. Doch die Komplexität der Krisen nimmt zu. Und ohne digitale Tools ist eine umfassende Resilienz kaum mehr möglich.

Text Rüdiger Schmidt-Sodingen

Die Folgen der Corona-Pandemie, der Krieg in der Ukraine, plötzlich wegbrechende Lieferketten, zu viel Cyberangriffe, zu wenig Fachkräfte... Die globalen Bedrohungen und vermeintlich plötzlich auftretenden Krisen setzen auch deutschen Unternehmen immer mehr zu. Was also tun, um sich gegen die großen und kleinen Krisen zu wappnen und ständig neuen Gesetzen und gesellschaftlichen Erwartungen, die längst nicht mehr am Firmentor enden, gerecht zu werden?

Im repräsentativen Resilience Radar 2023, den Civey im Auftrag des führenden europäischen SaaS-Anbieters F24 durchführte, gaben mehr als 1.000 Führungskräfte deutscher Unternehmen ihre Einschätzung zur aktuellen Bedrohungslage und zum Krisenmanagement in ihrem Unternehmen ab. Die Ergebnisse legen offen, wie sehr sich die meisten Unternehmen über die Gefahren im Klaren sind und an Lösungen arbeiten. Zugleich offenbaren die Zahlen allerdings, wie sehr es an umfassenden Strategien mangelt, um Krisen besser einschätzen und bewältigen zu können.

Gefahr erkannt – und nicht gebannt

Selbstbewusst bewerten 55 Prozent der deutschen Führungskräfte die Krisenfähigkeit des eigenen Unternehmens als »überwiegend gut« oder sogar »sehr gut«, wobei sie als größte Bedrohungen die explodierenden Kosten für Energie und Rohstoffe (57 Prozent), den Fachkräftemangel (50 Prozent) und einen möglichen Ausfall der Strom- und Gasversorgung (42 Prozent) nennen. Drohende Lieferkettenausfälle machen gut einem Drittel zu schaffen (34 Prozent), eine Gefahr durch Cyberangriffe und den Klimawandel sehen jedoch nur 23 beziehungsweise 8 Prozent der Befragten. Diese letzten Zahlen zeigen, wo das Problem liegt – offenbar werden kurz- und langfristige Attacken oder Veränderungen zu unkritisch gesehen.

Im Zusammenhang mit einer längst überfälligen Systematisierung des Krisenmanagements unter Einbeziehung moderner Digital-Tools fasst Markus Epner, Krisenexperte und Head of Academy bei F24, die Ergebnisse zusammen und macht dabei auf die Komplexität der Krisenlandschaft aufmerksam: »Nach drei Jahren Dauerkrise hat ein Großteil der Unternehmen in Deutschland die Bedeutung von Krisenfähigkeit und Resilienz klar erkannt und konkrete Maßnahmen ergriffen. Jetzt ist es allerdings an der Zeit, darauf aufzubauen, denn die Krisen der Zukunft werden aller Voraussicht nach mit noch größerer Komplexität einhergehen.«

Zur Grundausstattung gehörten neben der strategischen Entwicklung von Kompetenzen zur geopolitischen Analyse auch die konsequente Schulung des Personals und eine zeitgemäße technologische Ausstattung. »Wer hier die richtigen Weichen stellt«, so Epner, »steht nachweislich besser da als seine weniger gut vorbereiteten Konkurrenten.«

»Nachholbedarf bei der Systematisierung und Nutzung digitaler Technologien«

Nur jedes dritte Unternehmen, so der Resilience Radar weiter, hat bei einer systematischen,

frühzeitigen Krisenerkennung und -bewältigung mittels digitaler Technologien bereits angesetzt und Maßnahmen ergriffen. Lediglich 12 Prozent verfügen über speziell für Krisenmanagement geschultes Personal. Knapp die Hälfte der Befragten, 45 Prozent, sieht den Einsatz moderner Technologien als wichtiges Instrument zur Krisenbekämpfung an. Allerdings setzen nur magere 12 Prozent bereits digitale Krisenmanagement-Tools ein, lediglich 7 Prozent haben Abläufe in Krisensituationen bereits automatisiert.

Die im Jahr 2000 gegründete F24 AG hat ihren Hauptsitz in München und unterstützt mit ihren Tochtergesellschaften Unternehmen und Organisationen in mehr als 100 Ländern. Weltweit vertrauen 5.500 Kunden den digitalen Kommunikations- und Krisenmanagement-Lösungen von F24. Benjamin Jansen, Senior Vice President Sales ENS/CM bei F24, betont: »Digitale Tools sind wichtige Elemente einer ganzheitlichen Resilienzstrategie. Sie sind Katalysatoren für das Krisenmanagement – sie verbinden menschliches Fachwissen mit technologischer Effizienz und ermöglichen schnelles und zielgerichtetes Handeln auch in schwierigen Situationen. Positiv zu vermerken ist, dass nicht wenige Unternehmen bereit sind, ihr Krisenmanagement systematisch zu verbessern. Diese Investitionen werden sich in kritischen Situationen auszahlen, indem sie das Geschäft stabilisieren, Verluste mindern und Vermögenswerte schützen.«

Krise und Compliance - Investitionen, die sich lohnen Dass digitale Tools Unternehmen auch dabei helfen, die erforderlichen Compliance-Maßnahmen entsprechend den EU-Richtlinien wie beispielsweise NIS2 oder DORA umzusetzen und einzuhalten, ist ein weiterer wichtiger Aspekt, den F24 als führendes europäisches SaaS-Haus für Ereignis- und Krisenmanagement betont und täglich bei seinen Kunden ins Spiel und zur Umsetzung bringt. Nur mithilfe digitaler Tools, die zahlreiche Funktionen in den Bereichen Risikomanagement, Business Continuity und Krisenmanagement abdecken, können sich Unternehmen umfassend auf kritische Ereignisse vorbereiten – auch dann, wenn mehrere Krisen gleichzeitig auftreten und Ruhe und Weiterbetrieb nur dadurch gewährleistet sind,

dass kluge digitale Systeme unterstützen – und so helfen die Compliance sicherzustellen.

Eine wesentlicher Faktor, der die Bestrebungen für mehr Resilienz in vielen Unternehmen hemmt, liegt in einer alten, zu spezialisierten Datenverarbeitung: Weil zur Verwaltung von Prozessen, Kontrollen, Risiken, Systemen und rechtlichen Anforderungen oftmals verschiedene Tools eingesetzt werden, werden wichtige Zusammenhänge und Abhängigkeiten nicht gesehen. Benjamin Jansen erläutert dazu: »Wer die Resilienz seines Unternehmens nachhaltig stärken will, muss das gesamte Unternehmen im Blick haben. Unser Ziel ist es, Unternehmen mit digitalen Lösungen zu erleichtern, ihre Resilienz umfassend zu steigern. Deshalb entwickeln wir unsere Lösungen in enger Zusammenarbeit mit unseren Kunden. Das Feedback und die Erfahrungen unserer Kunden fließen, wo immer möglich, in die Produktentwicklung ein.« Das Ergebnis sind maßgeschneiderte Lösungen und Systeme, die tatsächlich einen 360-Grad-Blick ermöglichen.

Dass sich die Investition in ein digitales Krisenmanagement auszahlt, steht für Markus Epner außer Frage: »Die höchste Kostenersparnis entsteht natürlich, wenn eine Krise gar nicht erst eintritt. Aber zu hoffen, dass das eigene Unternehmen nicht von einer Krise betroffen sein wird, ist eine äußerst schlechte Strategie. Zumal in vielen Bereichen, wie etwa den extremen Wetterereignissen oder den zunehmenden Cyberangriffen, die Wahrscheinlichkeit für eine Krise mit jedem Jahr steigt.«

Genius Tip

Wer sich jetzt fragt: Wie kann ich herausfinden, wie gut mein Unternehmen vorbereitet ist, kann das in einem dreiminütigen Online-Test herausfinden und direkt nützliche

Tipps erhalten:

Per QR-Code zum

F24 Preparedness Test

Unternehmen nicht rechtzeitig, führen starke Veränderungen der Kostenseite schnell zu einer Liquiditätskrise«

Wenn Unternehmen in eine wirtschaftliche Schieflage geraten, zielen Sanierungen auf die Erreichung des Turnarounds und Fortführung des Unternehmens ab. Sven Degenhardt, Partner der Aderhold Rechtsanwaltsgesellschaft mbH und Leiter deren Kölner Niederlassung, über die Möglichkeiten und Vorgehensweisen bei nachhaltiger Unternehmensrettung.

Interview Rüdiger Schmidt-Sodingen

Herr Degenhardt, inwiefern sind Sanierungen in diesen Krisentagen besonders dringend?

Aktuell stehen die Unternehmen vor besonderen Herausforderungen, die auch mit wirtschaftlichen Krisenzeiten der vergangenen Jahre nicht vergleichbar sind. Die aktuellen Krisen, etwa die Corona-Pandemie, die Energiekrise, die Steigerungen der Inflationsrate und der dramatische technologische Wandel, zwingen Unternehmen dazu, kurzfristig ihre Unternehmensstruktur oder -strategie anzupassen. Sind regelmäßig beispielsweise Personalkosten oder Energiekosten jährlich um wenige Prozentpunkte gestiegen, sind derartige Veränderungen in den zurückliegenden Jahren weitaus dramatischer erfolgt. Eine Vielzahl von Branchen kämpft zudem mit nie dagewesenen Veränderungen in der Lieferanten- und Kundenstruktur – auch infolge der Corona-Pandemie.

Wenn dramatische Auswirkungen auf die Unternehmensentwicklung durch marktbedingte Effekte entstehen, ist es für jedes Unternehmen überlebenswichtig, sehr zeitnah zu reagieren, selbst wenn aus der Vergangenheit keine Erfahrungen bestehen, in vergleichbarer Weise auf die Angelegenheiten einzugehen. Reagieren Unternehmen nicht rechtzeitig, führen die starken Anpassungen sehr schnell zu einer Liquiditätskrise. Die Kostenbelastungen müssen dann oft an die Kunden weitergegeben werden. Dies war zuletzt insbesondere für den Gesundheitssektor und den Pflegebereich problematisch, da Abrechnungssätze nicht schnell genug angepasst werden konnten. Wir haben in verschiedenen Sanierungssituationen Unternehmen darin unterstützt, im Rahmen von Restrukturierungsanstrengungen die Anpassungen an diese veränderten Marktbedingungen umzusetzen.

Sie haben bei Restrukturierungen einen VierPhasen-Ansatz, bei dem Sie die Finanzen, den Markt und die Strukturen eines Unternehmens analysieren. Wie gehen Sie dort vor?

Unser erster Blick geht zunächst auf die Liquiditätssituation. Die Liquidität definiert immer Ausrichtung und Zeitrahmen einer Restrukturierung. Ist die Liquidität für einen Analysezeitraum ausreichend vorhanden, überprüfen wir zunächst den genauen wirtschaftlichen Status des Unternehmens. Dies kann beispielsweise in Form eines »Independent-Business-Review« (IBR) oder eines Sanierungsgutachtens unter Berücksichtigung der

Aderhold Rechtsanwalts-

uns dabei u.a. mit dem Markt- und Wettbewerbsumfeld des Unternehmens. In einem nächsten Schritt werden zu den Krisenursachen die passenden Restrukturierungsmaßnahmen mit dem Unternehmen abgestimmt. Klassische Sanierungsmaßnahmen können einhergehen mit einer Portfoliobereinigung von defizitären Produkten oder Kundenstrukturen, einer Konsolidierung der einzelnen Standorte, Anpassungen der Finanzierungsstruktur oder der Unterstützung bei der Bereitstellung von neuen Finanzierungsmöglichkeiten.

Wie schwierig ist es, sich bei größeren mittelständischen Unternehmensgruppen einen umfassenden Überblick über die noch funktionierenden Strukturen und Geschäftsfelder zu verschaffen?

Entscheidend sind die Leistungsfähigkeit des Finanz- und Rechnungswesens sowie die Controlling-Strukturen eines Unternehmens. Ist das Unternehmen sehr schnell gewachsen, sind diese Bereiche oft nicht ausreichend entwickelt. Hier setzen wir im ersten Schritt an, um eine Datenqualität zu erhalten, die eine saubere Analyse der Schwachstellen ermöglicht. Unter dem zeitlichen Druck einer Sanierungssituation und einer sich zuspitzenden Liquiditätsentwicklung sind allerdings oft bereits erste pragmatische Entscheidungen zu treffen, die auch auf einer rudimentären Zahlenbasis erfolgen müssen. In einer Krisensituation unter erheblichem Zeitdruck gilt es, aus den Erfahrungen und den Branchen- bzw. Marktkenntnissen bereits in wenigen Tagen sich einen ersten Überblick zu verschaffen, um die Geschäftsführung bei der Ausrichtung der Restrukturierungsanstrengungen zu unterstützen.

Wie wichtig sind die Vereinbarungen mit Kunden, Lieferanten und Gläubigern?

Immer wieder kommt es vor, dass die Krisensituation insbesondere auch durch eine Auseinandersetzung mit einem wesentlichen Kunden oder Lieferanten hervorgerufen wird. Dies ist selbstverständlich besonders dann der Fall, wenn eine Diversifizierung des Unternehmens nicht im ausreichenden Umfang erreicht wurde. Durch unsere betriebswirtschaftliche und rechtliche Kompetenz können wir in den Verhandlungen beide Sichtweisen zusammenführen und durch Darstellung der Auswirkungen eines andernfalls drohenden Insolvenzverfahrens einen Verhandlungsdruck erzeugen, der in den meisten Fällen eine langwierige gerichtliche Auseinandersetzung verhindert. Gerade in den zurückliegenden Jahren galt es dabei, trotz bestehender Verträge Miet- und Preiskonditionen vor dem Hintergrund der wirtschaftlichen Auswirkungen so zu verhandeln, dass eine Fortführung der Geschäftsbeziehung überhaupt möglich war. Wechselseitige Abhängigkeiten in den Geschäftsbeziehungen sind dabei selbstverständlich von Vorteil.

Heute kommen sehr viel mehr Informationen über Unternehmen an die Öffentlichkeit. Ist das bei Verhandlungen ein Problem? Ist der Druck dadurch größer geworden?

Der Spagat zwischen einer offenen Kommunikation intern wie extern und den Belastungen aufgrund von Veröffentlichungen ist in der Tat herausfordernder geworden. Aus unserer Sicht gilt hier aber genauso der Grundsatz, dass eine offene und ehrliche Kommunikation eher verhindert, dass Gerüchte gestreut oder Information lanciert werden. Die Steuerung des Informationsflusses bleibt in diesen Fällen gewahrt. Aus unserem Netzwerk verfügen wir zudem über professionelle Kommunikationsexperten, die in Einzelfällen mit hinzugezogen werden.

Sie beraten Ihre Mandanten auch strategisch mit einem »Performance Improvement«. Was raten Sie Unternehmen, bei denen einzelne Teile oder Sparten nicht mehr richtig funktionieren?

Im ersten Schritt erfolgt eine genaue Ursachenanalyse. Ziel ist es zunächst immer, die Krisenursachen zu beseitigen, beispielsweise Prozesse zu optimieren, Preisverhandlungen vorzunehmen, veraltete Technologien auszutauschen oder das Management zu verstärken bzw. neu zu besetzen. Sind Optimierungsmaßnahmen nicht umsetzbar, sind Sparten zu schließen oder im Rahmen eines Veräußerungsprozesses zu verkaufen. Wichtig ist, eine stringente Umsetzung inklusive eines Maßnahmen-Controllings. Auch hierzu ist eine fundierte Analyse im Vorfeld notwendig und eine wesentliche Unterstützung. Sind innerhalb einer Unternehmensgruppe Tochtergesellschaften defizitär und aufgrund der wirtschaftlichen Entwicklung nicht veräußerbar, prüfen wir selbstverständlich auch die Möglichkeit eines isolierten Insolvenzverfahrens. Oft sind diese Tochtergesellschaften allerdings Teil einer Gruppenfinanzierungsstruktur und gemeinsamen operativen Ausrichtung. Sie besitzen beispielsweise gemeinsame Lieferanten oder Kunden mit anderen Gesellschaften der Unternehmensgruppe. Die Auswirkungen einer Insolvenz sind daher rechtlich zu prüfen. Die isolierte rechtliche Prüfung reicht in den meisten Fällen allerdings nicht aus. Eine Bewertung von Reputationsschäden und sonstigen Belastungen für andere Tochtergesellschaften sind in einer betriebswirtschaftlichen Gesamtabwägung mit zu integrieren.

»Reagieren

Resilienz durch Energieunabhängigkeit

Der Weg in die Energieunabhängigkeit ist eine strategische Investition in die Wettbewerbsfähigkeit und Resilienz. Energieunabhängigkeit bedeutet Sicherheit vor Schwankungen an den Energiemärkten, vor Änderungen der nationalen oder europäischen Gesetzgebung sowie vor geopolitischen Stresssituationen – zugleich leistet dieser Weg einen Beitrag zur CO2-Reduzierung und Nachhaltigkeit von Unternehmen.

Schritt für Schritt in die Energieunabhängigkeit

Auf dem Weg zur Energieunabhängigkeit sollten Unternehmen und Institutionen die Energieerzeugung, Energiespeicherung, Energieeffizienz sowie ein aussagekräftiges und handlungsorientiertes Energiemanagement im Blick haben. Denn sämtliche Bereiche von der Erzeugung bis zur Nutzung sind eng miteinander verknüpft. Um die Komplexität gut zu managen, ist es sinnvoll, eine Roadmap mit auf die Liegenschaft und das Portfolio zugeschnittenen Maßnahmen zu erstellen. Eine gute Roadmap basiert auf einer systematischen Erhebung aller relevanten Daten und der Einrichtung eines professionellen EnergiemanagementSystems, das eine Komplettanalyse der Energieverbräuche ermöglicht. Obwohl es in den letzten Jahren Fortschritte in der Digitalisierung gegeben hat, sind die Daten zu Energieverbräuchen in Gebäuden und Anlagen bei vielen Unternehmen nicht ausreichend bis ungenügend. Für eine umfassende Analyse nutzt SPIE daher digitale Tools wie den SPIE Energy Manager und die DatenanalysePlattform FM Analytics. Diese wurden von SPIE für die

Energieoptimierung von Gebäuden, Anlagen und Infrastrukturen entwickelt.

Unabhängige Stromerzeugung

Der bedeutendste Schritt in Richtung Energieunabhängigkeit für die meisten Unternehmen und Institutionen besteht darin, die eigene Stromerzeugung zu optimieren und als zentrale Energiequelle zu nutzen, beispielsweise durch Photovoltaik. Basierend auf Simulationen, die von SPIE durchgeführt wurden, kann die Auslastung von Dachflächen mit Photovoltaik optimiert und entsprechend geplant sowie umgesetzt werden. Dabei wird die korrekte Ausrichtung der Anlage unter Berücksichtigung einer vollständigen KostenNutzen-Analyse und Simulation der Erträge gewährleistet, um eine hohe Investitionssicherheit zu bieten.

Erneuerbare Energien speichern

Die Stromerzeugung durch erneuerbare Energien deckt sich nicht immer zeitlich mit den Bedürfnissen des standortspezifischen Verbrauchs. Um eine möglichst hohe Verwendungsrate der erneuerbaren Energie auch außerhalb der schwankenden Produktionszeiten zu gewährleisten, sind Energiespeicher relevant. Dafür bieten sich insbesondere Batterien oder auch Wasserstoff an.

Nachhaltige Wärme- und Kälteversorgung

Erneuerbare Energien können durch den Einsatz von Wärmepumpen effizient in grüne Wärme umgewandelt werden, um den Energieverbrauch bei der Wärme- und Kälteversorgung von Gebäuden zu reduzieren. Durch Strom aus

erneuerbaren Energien kann die Wärmepumpe betrieben werden, um den Wärme- und Kältebedarf direkt am Gebäude zu decken. Dabei ist man unabhängig von fossilen Brennstoffen wie Erdgas. Über einen Wärmetauscher, wie zum Beispiel einen Bodenabsorber im Fundament eines Gebäudes, kann Energie aus der Umgebung gewonnen werden. Diese Energie kann dann mithilfe einer Wärmepumpe genutzt werden, um das Gebäude zu kühlen oder zu erwärmen. Durch eine intelligente Nutzung von Sprinklertanks als Pufferspeicher können Schwankungen in der erneuerbaren Energieerzeugung ausgeglichen werden.

Sichere Investitionen und Wertsteigerung Investitionen in Anlagentechnik außerhalb der Kernprozesse sind für viele Unternehmen und Eigentümer eine Herausforderung. SPIE bietet verschiedene Contracting- und Finanzierungsmodelle, die es ermöglichen, erforderliche Investitionen in den Transformationsprozess über mehrere Jahre zu strecken und diese über Effizienzgewinne zu refinanzieren. Diese Investitionen bringen neben der zunehmenden Unabhängigkeit von externen Kostenfaktoren zudem meist erhebliche CO2-Einsparungen. Die Roadmap zur Energieunabhängigkeit unterstützt das Erreichen der ESG-Ziele und steigert dadurch den Wert des Immobilienportfolios.

Smarte Lösungen für eine klimaneutrale Zukunft

SPIE ist Ihr ESG-Lösungspartner für nachhaltige Gebäude, Produktionsanlagen und Infrastrukturen.

Go! Green: Wir betrachten den Umgang mit Energie ganzheitlich. Auf Basis fundierter Analysen erarbeiten wir für unsere Kunden pass genaue Energie effizienzlösungen, um klimaschädliche Emissionen zu verringern und Energieverbräuche zu reduzieren. Dabei begleiten wir Sie von der Beratung bis zur Umsetzung aus einer Hand. www.spie.de/gogreen

Der bedeutendste Schritt in Richtung Energieunabhängigkeit besteht darin, die eigene Stromerzeugung zu optimieren und als zentrale Energiequelle zu nutzen.

Es liegt an dir, New Work

»New Work« braucht neue Regeln und eine neue Kommunikation. Zwei Bücher spannen große Bögen für die Arbeitslandschaft und den Job-Alltag von morgen. Beide machen Mut, Selbstverwirklichung und Unternehmenssinn endlich zusammenzudenken.

Text Rüdiger Schmidt-Sodingen

Offensichtlich kann man den Begriff »New Work« nur dann umfassend erklären, wenn man abseits einer Analyse der Unternehmensstrukturen und Arbeitsplätze auch die persönlichen Wünsche des Individuums behandelt und in die Arbeit einfließen lässt. Jedenfalls gehen sowohl »New Work Needs

Inner Work: Ein Handbuch für Unternehmen auf dem Weg zur Selbstorganisation« (München 2019) von Joana Breidenbach und Bettina Rollow als auch »On the Way to New Work – Wenn Arbeit zu etwas wird, was Menschen stärkt« (München 2022) von Swantje Allmers, Michael Trautmann und Christoph Magnussen weite Wege, um die Zukunft des Arbeitens zu beschreiben und endlich auch den Zweiflern schmackhaft zu machen.

Breidenbach und Rollow werben zunächst für einen Kernpunkt: die Dezentralität. »Je komplexer die Welt wird, desto ungeeigneter erscheinen die herkömmlichen Hierarchien, da Wissen und Kreativität oft nicht zentral an der Spitze, sondern im Unternehmen verteilt liegen. Gefragt sind daher dezentrale Organisationsformen.«

Gründer und Mitarbeiter spürten, dass das Ende einer Ära gekommen sei und »wir vor der Aufgabe stehen, nachhaltigere, gerechtere und gesündere gesamtgesellschaftliche Strukturen aufzubauen.«

Mehr Gefühl, mehr Glück Statt kühler Rechnerei, die nur das Tagesgeschäft betreffe, sei nun auch endlich mehr Gefühl gefragt. »Wir müssen die subjektiven Empfindungen und Wahrnehmungen der New

Genius Partner • CAS AG

Worker ins Zentrum der Veränderung stellen.« Die beiden Autorinnen plädieren für ein »Gleichgewichts-Prinzip«, das äußere Rollenbeschreibungen oder Regeln mit den individuellen, inneren Potenzialen und Gefühlen der Mitarbeitenden kreuzt oder gar versöhnt.

Breidenbach und Rollow plädieren für eine gemeinsame Sprache und Standortbestimmung und sprechen eine der wichtigsten Voraussetzungen für Veränderungen in der Arbeit an: psychologische Sicherheit. Ohne eine Förderung von Multiperspektivität und Sensorik zur Schaffung »sicherer Räume« könnten weder Mitarbeitende noch Unternehmen resilienter zu werden.

Swantje Allmers, Michael Trautmann und Christoph Magnussen sehen in »On the Way to New Work« ebenfalls signifikante Veränderungen in der Arbeit, die zu einem guten Teil daher rühren, dass wir nicht mehr nur für uns arbeiten wollen – weil viele eingesehen haben, dass jedes »Für-sich-arbeiten« ein »Gegen-andere-arbeiten« sein kann oder in der Vergangenheit war.

Wo der Sinn ist, muss Arbeit sein »Neues Arbeiten und neues Wirtschaften« müsse daher jede und jeden erreichen – »von den Mitarbeitenden im Supermarkt, in der Pflege oder der Fabrik bis hin zu den Vorstandsvorsitzenden der DAX-Konzerne«. Der Sinn werde deshalb zum wichtigen und vor allem bleibenden Thema nachfolgender Generationen. Das Autoren-Trio arbeitet sich in seinem Buch über die drei großen Themen »Selbstreflexion«, »Wir-Gefühl« und »Starke Gesellschaft« ins Zentrum der dezentralen, sinnvollen Arbeit vor, die auf einer persönlichen und beruflichen Resilienz fußt. Resilienz sei der Ausgangspunkt für gemeinsames Wachstum, das sich am besten über ein agiles Arbeiten und ein lebenslanges Lernen erzielen lasse. Dabei gehe es keineswegs darum, das »Tool Büro« zu entsorgen, sondern vielmehr zum vor Glück und Ideen funkelnden Reise-Ort umzubauen. Wichtig sei überdies ein

kollektives Verantwortungsbewusstsein: »Unternehmen nicht nur in privater oder staatlicher Hand zu sehen, sondern in Form des Verantwortungseigentums, ist ein zeitgemäßer Weg mit utopischer Kraft, der Unternehmen überdies nachhaltiger macht und dafür sorgt, dass sie länger existieren.«

Breidenbach und Rollow weisen auch auf die arbeitsrechtlichen Herausforderungen hin: Neue Strukturen könnten nicht im luftleeren Raum entwickelt werden, sondern müssten die »wirtschaftlich-rechtlichen Rahmenbedingungen miteinbeziehen«. Das Vorurteil, dass Arbeitsrecht und Tarifverträge viele New-Work-Ansätze nicht zuließen, konnten Dr. Josephine Hofmann und Alexander und Christian Piele in ihrem Abschlussbericht »New Work« des Fraunhofer-Instituts für Arbeitswirtschaft und Organisation von 2019 bereits widerlegen: »Diese These bestätigte sich nicht.« In den »arbeitsgesetzlichen und tarifvertraglichen Rahmengebungen« sei im Gegenteil sehr viel möglich, »wenn alle entscheidenden Beteiligten dies ernsthaft wollen«.

Genius Facts

»New Work ist kein Zielzustand, sondern ein fortwährender Prozess der Umgestaltung und Reflexion.

New Work in der Digitalen Transformation fördert und fordert ein großes Maß an Veränderungsfähigkeit, die gleichsam zur wichtigsten Metakompetenz wird – individuell wie organisationsbezogen.«

(Quelle: Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO: New Work – Best Practices und Zukunftsmodelle)

think about: New Work

»Unsere Software schützt Hinweisgeber und Unternehmen gleichzeitig«

Das Hinweisgeberschutzgesetz soll Whistleblower, die auf Missstände oder Fehlverhalten im Unternehmen hinweisen, seit 2. Juli schützen. Mit dem digitalen Hinweisgebersystem CLUE#ZO unterstützt die CAS AG aber auch die betroffenen Unternehmer selbst, ihre Organisation vor rechtlichen, finanziellen oder auch Imageschäden zu bewahren. Olaf Pagel, Mitglied des Vorstands der CAS AG, erläutert, wie die Software funktioniert und zur Business Resilience beiträgt.

Herr Pagel, in Unternehmen wird eigentlich immer mehr kommuniziert. Trotzdem werden Missstände oftmals viel zu spät aufgedeckt, und die Unternehmensleitung sagt dann: »Davon wussten wir nichts!«

Genau hier setzt das Hinweisgeberschutzgesetz, kurz HinSchG, an?

Richtig. Ehrlicherweise geht aber ein »mehr« an Kommunikation nicht immer auch mit einem »mehr« an vertraulicher Kommunikation einher. In

Olaf Pagel, Mitglied des Vorstands der CAS AG

einer Gesellschaft, in der Hinweise auf Fehlverhalten bis hin zu Straftaten noch immer von Ängsten vor Vergeltungsmaßnahmen und Schuldzuweisungen begleitet werden, sehen wir mit CLUE#ZO die Chance, dass sich engagierte und mutige Mitarbeitende über einen vertraulichen oder anonymen Kanal an verantwortliche Stellen im eigenen Unternehmen wenden können. Auf der anderen Seite profitiert das Management direkt von dieser Art Frühwarnsystem, um schneller und besser über Risikopotentiale informiert zu werden.

Größere Unternehmen und Organisationen sind nun verpflichtet, ein internes Meldesystem einzurichten. Hier kommt Ihre Software CLUE#ZO ins Spiel?

Die Pflicht zur Einrichtung eines internen Hinweisgebersystems für Unternehmen ab 50 Mitarbeitenden kommt zum Ende dieses Jahres. Für Unternehmen ab 249 Mitarbeitenden gilt diese Pflicht bereits mit Inkrafttreten des HinSchG. Vor diesem engen Zeithorizont können wir durch die verwendete Software-as-a-Service-Architektur Unternehmen sehr zügig entlasten. Weil wir CLUE#ZO mit Praktikern entwickelt haben, ist eine schnelle Einführungszeit garantiert.

Wie können konkret Verstöße oder Missstände gemeldet werden?

Hinweisgeber können jederzeit ihre Meldungen auf einer geschützten Internetseite abgeben. Unternehmen und Hinweisgeber können anschließend via elektronischem Postfach vertraulich miteinander kommunizieren und Unterlagen austauschen. Ist ein Hinweis eingegangen, wird das Unternehmen sofort über diesen Umstand informiert, ohne dass wir selbst einen Einblick in den Hinweis an sich haben. Die manuelle Erfassung eines Hinweises, der über Telefon, Briefkasten oder persönlichem Dialog platziert wurde, ist eine weitere Standardfunktionalität.

Welche Auswirkungen wird das Gesetz und dessen Umsetzung Ihrer Meinung nach für Unternehmen in den nächsten Jahren haben?

Der jetzt aufgebaute, externe Druck auf Unternehmen allein wird keine Veränderung der Kommunikationskultur bewirken. Wird die Einführung eines Hinweisgebersystems von einem Unternehmen aber intern und extern wirksam und kontinuierlich kommuniziert, fühlen sich Mitarbeitende mit ihren Sorgen um das Unternehmen nicht mehr alleine gelassen und wertgeschätzt. Dieses ist der Hebel zum langfristigen, nachhaltigen Unternehmenserfolg.

Weitere Informationen: www.c-a-s.de/cluezo

Das Homeoffice war nur der Anfang. Immer mehr Arbeitnehmerinnen und Arbeitnehmer fordern Arbeitsmodelle, bei denen sie wählen können, wie viel und von wo sie arbeiten. Warum Unternehmen gut beraten sind, New Work zu unterstützen und flexible Arbeits- und Auszeitenmodelle zum Bestandteil einer nachhaltigen, an ESG-Werten orientierten Benefit-Strategie zu machen, erläutert Dr. Tobias Preising, Partner bei KPMG und Leiter des dortigen Work-from-Anywhere-Teams. Mit seinem Team berät Preising Unternehmen zu Fragen rund um New Work, International Remote Work und ESG.

Interview Rüdiger Schmidt-Sodingen

Herr Dr. Preising, Sie sind seit fast zwei Jahrzehnten im Bereich Global Mobility tätig. Wie haben Sie die CoronaPandemie und deren Auswirkungen auf den täglichen »Arbeitsplatz« erlebt?

In der Pandemie war plötzlich Flexibilität möglich, wo sie früher unmöglich war. Gleichzeitig hat die Frage, wie wir arbeiten wollen, neue Komponenten bekommen. Von einer Notlösung zu einem strategischen Gestaltungsinstrument. Corona ist sicher nur einer der Faktoren, die zu einem Paradigmenwechsel unserer Arbeitswirklichkeit geführt haben. Daneben sehen wir eine andere Einstellung der Generation Z zu Arbeit. Purpose und Nachhaltigkeit der Arbeit sind wichtiger geworden, genauso wie die Werte, die der Arbeitgeber vertritt.

Inwiefern haben sich seitdem die Fragestellungen auch international verändert?

Corona war ein Inkubator. Unternehmen haben die riesigen Chancen erkannt, die hinter International Remote Work stehen. Dem Fachkräftemangel kann nur mit einem internationalen Talent-Pool begegnet werden. Für viele junge Arbeitnehmerinnen und Arbeitnehmer ist Flexibilität selbstverständlich. Für diese Generation ist das alles viel weniger revolutionär als für uns. Aber die Entwicklung steht noch am Anfang. Insbesondere die Rechtslage wirft noch große Hürden auf. Hier ist Mut gefragt. Unternehmen können viel bewegen, aber die Politik muss den Weg ebnen. Deshalb ist Business Resilience eine gesamtgesellschaftliche Aufgabe und Herausforderung. Hier passiert einiges, aber wir brauchen Tempo und interdisziplinäres Zusammenarbeiten. Keine Scheuklappen.

Sie plädieren dafür, die Diskussion um flexible Arbeitsmodelle als Bestandteil einer neuen, nachhaltigen Benefit-Strategie zu nutzen. Wie soll das aussehen?

Eine Flexibilisierung der Arbeit ist zumindest im Moment nicht für jeden gleichermaßen möglich. Wir müssen aufpassen, dass wir hier nicht in einer Luxusdebatte für Wissensarbeiter stecken bleiben. Was ist mit Fabrikarbeitern, Pflegekräften, Kindergärtner:innen? Unternehmen müssen sich gezielt Gedanken darüber machen, was sie diesen Mitarbeitenden anbieten. Besonders hinsichtlich der Benefits. Klassiker wie Dienstwagen, Essensmarken oder das neuste i-Phone verlieren an Bedeutung. Benefits in den Bereichen Wellbeing und Kinderbetreuung, aber auch Zeitkontingente für soziales Engagement, werden zunehmend wichtig.

Hinsichtlich der ESG-Compliance und der Nachhaltigkeit wird eine Mitarbeiterbeteiligung am Unternehmen wichtig. Junge Mitarbeitende der Generation Z legen auf der einen Seite viel Wert auf einen Arbeitgeber, der die gleichen Werte vertritt wie sie und sich dafür auch aktiv einsetzt. Auf der anderen Seite sind diese Mitarbeitenden aber bereit, Verantwortung zu übernehmen und sich in einem hohen Maße

mit dem Arbeitgeber zu identifizieren. Junge Unternehmen setzen deshalb auf Mitarbeiterbeteiligungen, beispielsweise in Form von All-Employee-Plänen, deren Wertsteigerung unmittelbar mit dem Erreichen von ESG-Zielen verbunden ist.

Sie erörtern mit Unternehmen ganz konkrete Workfrom-Anywhere-Strategien. Wie gehen Sie dabei vor? Zunächst klären wir den Bedarf. Was wollen Unternehmen eigentlich erreichen? Geht es nur um das Ermöglichen von kurzfristigem, mobilem Arbeiten aus dem Ausland, etwa als Verlängerung eines Familienurlaubs? Oder will das Unternehmen beispielsweise Mitarbeiter im Ausland einstellen, die dann dauerhaft aus dem Ausland für den deutschen Arbeitgeber arbeiten?

Es ist dabei wichtig, langfristig zu denken. Welche Rolle spielt die Flexibilisierung in der Business- und People Strategie des Unternehmens? Wo will das Unternehmen hin und welche Konsequenzen hat das für das Geschäftsmodell? Wieviel Aufwand ist das Unternehmen bereit, in Kauf zu nehmen, und wieviel Rechtssicherheit will es erreichen? Eines ist klar: Grenzenlose Flexibilität ohne administrativen Aufwand und Kosten bei völliger Rechtssicherheit ist zumindest heute nicht möglich. Deshalb sollte man alle Stakeholder an einen Tisch holen und loslegen. Start small, grow later.

Grenzüberschreitendes Arbeiten sollte »nachhaltig, rechtssicher und verantwortungsvoll« sein. Gibt es da in den Unternehmen, speziell in den Geschäftsführungen, noch Überzeugungsbedarf?

Ja, hier gibt es ganz erhebliche Unterschiede, die auch abhängig sind von der Branche und Größe des Unternehmens. Teilweise hängt es aber auch an der generellen Akzeptanz und strategischen Bedeutung, die das Unternehmen dem Thema zuschreibt. Gerade junge Unternehmen, Start-ups oder Tech-Firmen legen den Hauptfokus auf die Flexibilität. Für ein junges Tech-Unternehmen, beispielsweise im Bayerischen Wald, ist klar, dass die Top-Talente nicht zu ihnen kommen werden. Hier spielt Rechtssicherheit eine untergeordnete Rolle. Auf der anderen Seite gibt es nach wie vor viele Unternehmen, die Flexibilität sehr kritisch sehen und nur ein absolutes Minimum zulassen wollen. Beides vielleicht verständlich, aus meiner Sicht aber nicht der richtige Weg. Auf der einen Seite nicht rechtssicher, auf der anderen Seite nicht nachhaltig. Wie ein Unternehmen hierzu steht, zeigt sich auch daran, wie es seine Remote-Work-Strategie kommuniziert. Progressive Unternehmen begleiten ihre Programme oft durch Marketingkampagnen und nutzen sie für ihr Employer Branding. Diese Unternehmen erreichen die höchsten Zufriedenheitswerte. Auf der anderen Seite gibt es Unternehmen, die ihre Programme gar nicht kommunizieren. Hier verpufft der positive Effekt.

Grenzenlose Flexibilität

administrativen Auf-

und Kosten

Es werden in den kommenden Jahren sicher noch einige Rechtsvorschriften dazu kommen, speziell im Bereich des Umweltschutzes und der Chancengleichheit. Wie können Unternehmen da vorausschauend planen? Die ESG-Funktion wird für Unternehmen immer wichtiger. Strategisch planen heißt: langfristig denken. Gesetze kommen selten so plötzlich, dass keine Zeit zum Handeln bleibt. Darum sollte man ESG als Chance begreifen. Die Grundsätze, auf denen ESG-Gesetzgebung beruht, sind Werte, die wir bestimmt alle unterschreiben können: Soziale Verantwortung, ökologische Nachhaltigkeit, Fair Play – Do the Right Thing. Unternehmen müssen diese Grundsätze in ihrer Strategie verankern und in ihrem unternehmerischen Handeln umsetzen. Hier geht es nicht nur um aktuelle oder kommende Rechtsvorschriften – junge Talente und zukünftige Mitarbeitende haben die klare Erwartung, dass Unternehmen auch tatsächlich zu diesen Werten stehen. Ich bin überzeugt davon, dass Unternehmen, die ihre ESG-Werte jetzt konsequent umsetzen, in der Zukunft einen klaren Wettbewerbsvorteil haben werden.

Genius Tip

»Resiliente Unternehmen müssen sich anpassen. Das erfordert Mut – und gute Planung. Ob aufgrund von gesetzlichen Vorschriften oder den Anforderungen von Talenten und Stakeholdern, ein klares Bekenntnis zu ESG und Flexibilität ist unverzichtbar und sollte zentraler Bestandteil der Unternehmensstrategie sein.«

»Unternehmen, die ihre ESG-Werte konsequent umsetzen, haben einen klaren Wettbewerbsvorteil«

ohne

wand

bei völliger Rechtssicherheit ist zumindest heute nicht möglich.

Viele Unternehmen ächzen unter einem zunehmendem Bürokratieaufwand und der staatlichen Regulierungswut – denn die gesetzlichen Anforderungen ändern sich in immer kürzeren Intervallen und werden ständig komplexer. Das gilt auch für die arbeitsrechtlichen Rahmenbedingungen. Einen Überblick zu den wichtigsten Themen gibt Heiko Langer, Partner und Leiter der Praxisgruppe Arbeitsrecht der Wirtschaftskanzlei Hoffmann Liebs.

Interview Rüdiger Schmidt-Sodingen

Herr Langer, die Resilienz eines Unternehmens zeigt sich auch darin, ob bei der Beschäftigung von Mitarbeitenden die rechtlichen Spielregeln eingehalten werden. Welche arbeitsrechtlichen Regelungen werden dabei am häufigsten übersehen?

Insbesondere die Einhaltung des Datenschutzrechts stellt viele Unternehmen vor große Herausforderungen. Aktuell beraten wir ein Unternehmen, das eine HR-Software eines amerikanischen Anbieters einsetzen will. Das ist aus unternehmerischer Perspektive sinnvoll, bedeutet aber auch: Die

Daten werden in den USA gehostet, es kommt also zu einem Datentransfer in einen sog. Drittstaat. Hier bestehen hinsichtlich der Verarbeitung personenbezogener Daten besondere Voraussetzungen, deren Nichterfüllung ernsthafte Konsequenzen nach sich ziehen kann. Neben dem Datenschutzrecht stehen aber auch andere arbeitsrechtliche Fragestellungen im Raum, wie etwa Mitbestimmungsrechte des Betriebsrats.

Wo lauern die Schwierigkeiten im durchaus umstrittenen Arbeitszeitgesetz?

Neu ist, dass die Arbeitszeiten nun lückenlos von Anfang bis Ende einschließlich der Pausen erfasst werden müssen. Eine wesentliche Schwierigkeit ist, dass zwischen Arbeitsende an einem Tag und Arbeitsbeginn am nächsten Tag 11 Stunden Pause liegen müssen. Bloß: Was bedeutet das für Mitarbeitende in Teilzeit, die sich abends hinsetzen wollen, um noch kleinere Aufgaben zu erledigen, die über den Tag liegen geblieben sind? Wie ist mit Vertriebsmitarbeitenden umzugehen, die erst am späten Abend ihren letzten Termin hatten? Das stellt Unternehmen vor das Problem, die Anforderungen des Arbeitszeitgesetzes mit den betrieblichen Belangen, aber auch den Flexibilisierungswünschen der Mitarbeitenden zu vereinbaren.

Seit der »Home-Office-Revolution« durch Corona wird vielerorts angenommen, dass das Arbeiten in Deutschland nun einfacheren Regeln unterliegt. Positiv für die Mitarbeitenden ist die mit dem Home Office verbundene Flexibilität und der Wegfall von Wegezeiten.Zudem sparen Unternehmen Kosten für Büroräume. Allerdings werden Abstimmungsprozesse trotz Remote-Lösungen zeitaufwändiger. Diese Nachteile, aber

auch die schwächere Mitarbeiterbindung veranlassen zahlreiche Arbeitgeber bereits dazu, Home-Office-Tätigkeiten wieder zu reduzieren. Als sinnvoll erweisen sich hier Betriebsvereinbarungen, da diese gekündigt und neu verhandelt werden können.

Wie können Unternehmen mit diesen Problemstellungen umgehen?

Insbesondere bei komplexen Themen wie dem Datenschutzrecht oder bei Hinweisgebersystemen sind Unternehmen in einem gewissen Umfang auf externe Unterstützung angewiesen. Gerade für kleine und mittlere Unternehmen ist es schwierig, solche Spezialthemen allein zu stemmen – etwa, wenn wir an die bereits 2022 vom Gesetzgeber veranlasste Anpassung von Arbeitsverträgen denken, die in vielen Unternehmen aus Kapazitätsgründen noch nicht umgesetzt wurde. Die Resilienz von Unternehmen misst sich aber eben daran, wie versiert sie mit solchen Gesetzesänderungen umgehen. Dazu gehört, bevorstehende rechtliche Veränderungen rechtzeitig zu erkennen und - bei Bedarf mit Unterstützung spezialisierter Berater – maßgeschneiderte Lösungen zu entwickeln und diese in der Praxis umzusetzen.

Genius Partner • BUSE think about: New Work

Die arbeitsrechtlichen und strukturellen Herausforderungen bei der Umsetzung des Lieferkettensorgfaltspflichtengesetzes und des Hinweisgeberschutzgesetzes sind nicht zu unterschätzen, so Tobias Grambow, Partner der Wirtschaftskanzlei BUSE und Fachanwalt für Arbeitsrecht. Grambow wurde vom Handelsblatt neun Jahre in Folge in der Kategorie »Deutschlands Beste Anwälte« im Fachgebiet Arbeitsrecht ausgezeichnet.

Interview Rüdiger Schmidt-Sodingen

Herr Grambow, warum sollten sich auch kleinere Unternehmen dringend mit dem Lieferkettensorgfaltspflichtengesetz (LkSG) beschäftigen?

Das LkSG betrifft zwar zunächst nur Unternehmen mit mindestens 3.000 Beschäftigten, wobei dieser Schwellenwert ab dem kommenden Jahr auf nur noch 1.000 Beschäftigte herabgesetzt wird. Entscheidend ist aber zum einen, dass kleinere und mittlere Unternehmen oftmals Teil einer Lieferkette sein werden und dass an deren Ende stehende Unternehmen bereits jetzt von ihren Vertragspartnern verlangen, dass sich auch diese den Pflichten nach dem LkSG unterwerfen. Zum anderen werfen Vorgaben auf der EU-Ebene ihre Schatten voraus. So soll die CSDD-Richtlinie (»Corporate

Tobias Grambow, Partner der Wirtschaftskanzlei

BUSE und Fachanwalt für Arbeitsrecht

Sustainability Due Diligence«) grundsätzlich für Unternehmen bereits ab 250 Mitarbeitern gelten. Um das Thema kommt auch der kleinere Mittelstand also nicht herum.

Was hat es mit der »Einrichtung eines Beschwerdeverfahrens als Teil der Verpflichtungen« auf sich?

Das LkSG sieht die Einrichtung eines Beschwerdeverfahrens vor, um es bestimmten Personengruppen zu ermöglichen, auf menschenrechtliche und umweltbezogene Risiken oder Verletzungen hinzuweisen zu können. Es ist also ein Hinweisgeber- oder auch »Whistleblowing«-Verfahren. Mit der Einführung des Hinweisgeberschutzgesetzes entstehen Schnittmengen zum Beschwerdeverfahren nach dem LkSG.

Inwieweit wird das Hinweisgeberschutzgesetz zur zusätzlichen Herausforderung?

Das Hinweisgeberschutzgesetz soll - der Name verrät esin erster Linie hinweisgebende Personen vor Repressalien schützen. Darauf beschränkt sich das Gesetz aber nicht. Den Schwerpunkt bildet - soweit es Unternehmen betrifft - die obligatorische Einrichtung einer internen Meldestelle, an die sich Personen wenden können (und primär wenden sollen), um einen Verstoß gegen konkret im Gesetz genannte Vorschriften zu melden und die Ausgestaltung dieses Meldeverfahrens. Das beinhaltet die Einrichtung von Meldekanälen zu der internen Meldestelle. Eine grundlegende Fragestellung des Unternehmens ist, ob anonyme Meldungen zugelassen werden sollen.

Wie sollen sich Unternehmen personell und arbeitsrechtlich aufstellen, um insbesondere dem LkSG Rechnung zu tragen?

Um die ordnungsgemäße Durchführung des Beschwerdeverfahrens nach dem LkSG zu überwachen und eingegangene Hinweise zu dokumentieren sieht das Gesetz

die Bestellung eines Beschwerdebeauftragten vor, der die Durchführung eines wirksamen und unparteiischen Beschwerdeverfahrens sicherstellt. Die Funktion des (angestellten) Beschwerdebeauftragten kann sowohl hauptberuflich als auch nebenberuflich ausgeübt werden. Der Beschwerdebeauftragte muss unabhängig agieren können und ist in seiner Funktion nicht weisungsunterworfen. Einen Sonderkündigungsschutz, beispielsweise vergleichbar mit Datenschutzbeauftragten, genießt der Beschwerdebeauftragte aber nicht. Die Mitbestimmungsrechte des Betriebsrats sollten dabei nicht vergessen werden.

Genius Tip

Der Mittelstand sollte zeitnah die Vorgaben von LkSG und HinweisG umsetzen, auch wenn das eigene Unternehmen (noch) nicht unter den Anwendungsbereich fällt. Dabei können und sollten die gestalterischen Spielräume effizient genutzt werden.

»Lieferkettensorgfalt und Hinweisgeberschutz sind HR-Themen«

»Sich ständig verändernde gesetzliche Rahmenbedingungen im Arbeitsrecht fordern Unternehmen mehr denn je«

Heiko

»In Zeiten der Unsicherheit und Veränderung sind Mitarbeitende

»Die Anforderung an Führung hat sich grundlegend geändert«, sagt Diplom-Business-Coach und Agile-Change-Managerin Jacqueline Savli. Im Interview erläutert sie, warum New Work auch »New Managers« braucht – und was Wirksamkeit und Werte miteinander zu tun haben.

Interview Rüdiger Schmidt-Sodingen

Frau Savli, können Unternehmen neue Arbeitswege gehen, ohne dass Führungskräfte New Work aktiv unterstützen oder vorleben?

Meine beruflichen Erfahrungen, sowohl als Mitarbeiterin, Führungskraft und als Geschäftsführerin, zeigen mir, dass die Beteiligung und Unterstützung der Führungsebene sehr entscheidend sind, um eine reibungslose Umsetzung und erfolgreiche Integration neuer Arbeitsweisen zu gewährleisten. New Work in Verbindung mit dem gewohnten »alten patriarchischen Arbeiten« funktionieren nicht, denn das Verhältnis zwischen Führungskräften und Arbeitnehmenden verändert sich. Wir müssen uns in Unternehmen mit neuen Ansätzen von Leadership auseinandersetzen und die Führungsprinzipien und -praktiken anpassen.

Auch die Gefühle der Arbeitenden müssen mehr Raum bekommen, fordern Expert:innen. Inwiefern sollten Führungskräfte in der Ära von New Work mehr Empathie lernen?

Die Empathie ist ein wichtiger Unternehmenswert und sollte in jedem Unternehmen gelebt werden. Durch Empathie können Führungskräfte mit ihren Mitarbeitenden eine vertrauensvolle Beziehung aufbauen und die Motivation und Bindung zum Unternehmen fördern. Empathische Führungskräfte sind in der Lage, auf die emotionalen Aspekte ihrer Mitarbeitenden viel besser einzugehen. Letztlich trägt Empathie dazu bei, eine positive Arbeitskultur zu schaffen, das Wohlbefinden der Mitarbeiter zu steigern und die intrinsische Motivation zu erhöhen. Empathie ist lernbar!

können wir mit dem Coaching und Training starten. Wir starten idealerweise dort, wo die Bedürfnisse im Unternehmen am größten sind. Aufbauend wirkt hier ein »Leadership- Coaching-Programm«. Ziel ist es, auf Basis der Workshopergebnisse die eigene Leadership-Rolle zu erweitern. Die begleitenden Trainings helfen bei der Vertiefung und der eigenen Reflexion. Dazu etablieren wir Feedbackschleifen mit der Unternehmensleitung und fördern so Transparenz und Unternehmenssteuerung. Ein bewusstes Engagement der Führungskräfte und die Förderung einer lernenden Kultur sind entscheidend für den Erfolg.

Wie kann ein Coaching von Führungskräften die Mitarbeiterführung und -entwicklung verbessern?

Ein professionelles Coaching für Führungskräfte verbessert die Zusammenarbeit mit Mitarbeitenden auf verschiedene Weisen. Ein wesentlicher Aspekt hierbei ist, das Coaching mit Trainings zu verbinden, um langfristig und nachhaltige Veränderungen in den Arbeitsweisen herbeizuführen. Wir erfahren dadurch, dass die Führungskräfte ihre Fähigkeiten zur Kommunikation, Konfliktlösung, Delegation und Motivation stärken, was zu einer effektiveren Mitarbeiterführung führt. Sie erkennen dadurch die individuellen Stärken und Entwicklungsbereiche ihrer Mitarbeiter viel besser. Durch die offene und konstruktive Feedback-Kultur beim Coaching fühlen sich Mitarbeitende gehört und unterstützt, was ihre Motivation und Leistung steigert.

Kann eine bessere Kommunikation und Feedback-Kultur auch schneller Schwierigkeiten oder gar Krisen bekämpfen?

Eine empathische Kommunikation und die zuvor genannte Feedback-Kultur können definitiv in Unternehmen dazu beitragen, mögliche Schwierigkeiten frühzeitig zu erkennen, sie gemeinsam anzugehen und so die Entstehung von Krisen zu verhindern oder zumindest abzumildern. Ich höre oft, dass eine offene Kommunikation in Unternehmen stattfindet. Wir stellen dann aber oft Missverständnisse fest und Mitarbeitende kommunizieren nicht angstfrei. Besteht eine echte offene Kommunikationskultur, bedeutet das, dass Informationen viel schneller ausgetauscht werden können. Unternehmen können dadurch auf verändernde Umstände oder Marktbedingungen viel schneller reagieren. Offene Kommunikation und eine gelebte Feedback-Kultur führen zu Vertrauensbildung zwischen Mitarbeitenden und Führungskräften. In diesen Zeiten der Unsicherheit und Veränderung sind Mitarbeitende eher bereit, sich ihren Vorgesetzten anzuvertrauen. Dies gilt auch für Führungskräfte selbst.

Wenn wir auf Krisen und Veränderungen kommen: Was sind Strategien zur Überwindung von Widerstand gegen plötzliche Veränderungen oder neue

Das Überwinden von Widerstand bei Veränderungen oder neuen Herausforderungen erfordert eine sorgfältige Herangehensweise. Die Veränderungen sollten in machbare Schritte aufgeteilt und durch ein Coaching- und Trainingsprogramm unterstützt werden. Dies erleichtert die Anpassung und verringert das Gefühl von Überwältigung.

Die Mitarbeitenden werden auf die neuen Anforderungen vorbereitet. Für die Unternehmensorganisation und -struktur ist es notwendig, die Effizienz der Arbeitsprozesse und des Digitalisierungsgrades in verschiedenen Unternehmensbereichen mit zu evaluieren und zu verbessern. Die Einrichtung eines Boards mit interessierten Mitarbeitenden zur Umsetzung des New Work-Vorhabens ist von Vorteil. Ich empfehle, übergeordnete Info-Veranstaltungen zur Vermittlung und Stärkung der Unternehmenskultur umzusetzen. Außerdem empfehle ich sogenannte morgendliche Check-ins, um über die anstehenden Aufgaben, die Tagesform der Mitarbeitenden, mögliche Belastungen und Hindernisse informiert zu sein. Oder regelmäßige Retrospektiven, um positive und negative Aspekte im Team zu identifizieren und zu besprechen. Die Implementierung von qualitativen Zielen z.B. OKR ist eine hilfreiche Methode, die alle effizient unterstützen. Die Kommunikation über den gesamten Prozess hinweg sollte immer transparent und aufrecht geführt werden, um sicherzustellen, dass Mitarbeiter informiert bleiben und sich unterstützt fühlen.

Sehen Sie eine Möglichkeit, einen längeren Krisen-Modus als Führungskraft einfacher und erfolgreicher durchzuhalten oder gar in positive Energie zu verwandeln? Ja, die sehe ich durchaus. Im Coaching bieten wir u.a. Empowerment-Programme an. Hier greifen wir unterschiedliche Themen auf, die von der Selbstfürsorge über den Perspektivenwechsel bis hin zur Akzeptanzfrage gehen können. Ein Aspekt, der hierbei ebenfalls entscheidend ist: Sich klare Ziele definieren, die trotz der Krise erreicht werden sollen. Jede Krise ist eine Chance und Krisen brauchen Zeit, um überwunden zu werden. Geduld und die Fähigkeit, in schwierigen Zeiten standzuhalten, also Risiken zu managen, sind notwendig. Die Etablierung einer echten Lernkultur ist dabei sehr wichtig. Das erfordert ein Umdenken, Engagement, Zeit und Kontinuität in Unternehmen. Ich begleite Führungskräfte, indem ich sie unterstütze, selbst aktive Lernende zu sein. Dieses Engagement sendet ein starkes Signal an das Team.

Genius Tip

»Entwickeln Sie Strukturen, in denen eine offene Kommunikation und Feedback, gute Ideen und unterschiedliche Blickwinkel sich selbst tragen. Etablieren Sie Systeme, in denen sich Mitarbeitende gegenseitig unterstützen können, und überlassen Sie das nicht dem Zufall. Arbeiten Sie mit Coaches zusammen, die über exzellente Fachexpertise und selber über eine langjährige Berufserfahrung verfügen.«

eher bereit, sich ihren Vorgesetzten anzuvertrauen«

Krisen an die Lieferkette legen

Die postpandemische und politische Großwetterlage sorgt bei fast bei allen größeren Unternehmen für Störungen und Umschichtungen. Der berühmte »Plan B« wird zum obligatorischen Planungstool –denn weitere »perfekte Stürme« können nicht ausgeschlossen werden.

Text Rüdiger Schmidt-Sodingen

In der Sonderausgabe »Resilienz in der nachhaltigen Lieferkette nach COVID-19: Zukünftige Wege« spiegelte das International Journey of Logistics Management vom 22.6.2023 die Herausforderungen für die Lieferketten der Zukunft. Es sei absolut notwendig, so der Tenor der 13 Artikel, Nachhaltigkeit und Resilienz zu vereinen und eine langfristige Überlebensfähigkeit gegenüber pandemiebedingten Störungen sicherzustellen. Darüber hinaus bestehe Bedarf an »künftiger Forschung zu den Rollen von Industrie 4.0-Technologien, Zusammenarbeit, sozialer Nachhaltigkeit und kontinuierlicher Verbesserung beim Aufbau von Resilienz in Lieferketten«. Kurzum: Eine dauerhafte Überwachung und Bewertung der gesamten Supply Chain sei nicht mehr aus dem Arbeitsalltag von Unternehmen wegzudenken.

Stark, aber fair

Wie wichtig der Nachhaltigkeitsgedanke ist, lässt sich anhand immer neuer Krisen, aber auch anhand vieler neuer Diskussionen um Klima und New Work und der entsprechenden EU-Regularien ablesen. Die gesetzlichen Vorschriften samt geforderten Dokumentationen für klimaneutrale, umwelt- und sozialverträgliche Supply Chains dürften noch zunehmen. Dahingehend kann der Nachhaltigkeitsgedanke fraglos als neues, weiteres Unternehmensziel definiert werden. Viele Unternehmen, die derzeit händeringend nach Fachkräften suchen, wissen zudem,

Genius Partner • BE-terna

Produktionsprozesse und ganze Infrastrukturen können mit der richtigen Software optimiert und krisenfest gemacht werden. Christian Rothner, Business Development Manager des europäischen Business-Software-Anbieters BE-terna, erläutert die Möglichkeiten.

Herr Rothner, welche Herausforderungen kommen auf Unternehmen zu, wenn sie ihre Supply Chain digitalisieren möchten?

Digitalisierung ist eine Chance für Unternehmen, die Wettbewerbsfähigkeit zu steigern. Die Umstellung auf digitale Prozesse erfordert oft einen kulturellen Wandel im Unternehmen. Mitarbeitende können neue Kompetenzen erwerben und sich so an veränderte Arbeitsabläufe anpassen. Daher ist es entscheidend, sie aktiv in den Digitalisierungsprozess einzubeziehen und entsprechend zu schulen.

Digitalisierung führt langfristig zu Kosteneinsparungen, anfangs sind jedoch Investitionen erforderlich. Wichtig sind

dass sie Bewerberinnen und Bewerber künftig nur mit einer nachweislich »grünen Produktion und Partnerstruktur« überzeugen werden.

Dass die Pandemie nur der Anfang des Lieferkettenwirbels war, dämmert spätestens seit dem Beginn des UkraineKrieges auch kleineren Unternehmen, die seit Jahrzehnten feste Handels- und Lieferpartner haben – und sich nun die Augen reiben, was ihre Filialen oder Zulieferer in Fernost angeht. Die bange Frage: Inwieweit wird sich die ständige Alarm- und Achtung-Stimmung der Politik und Presse in reale Politik verwandeln, die von heute auf morgen mit Sanktionen, Lieferengpässen, fehlenden Materialien und Absatzrückgängen rechnen muss? Starke Statements politischer Führer, die ihre wirklichen Handlungen oder Absichten bewusst übertünchen oder aus strategischen Gründen verschweigen, machen die Planungen für die nächsten Jahre nicht einfacher.

»Risiko-Minimierung« wird wichtiger »Deutsche Wirtschaft stärkt Resilienz in Lieferketten«, die Sonderauswertung des AHK World Business Outlook Herbst 2022 der Deutschen Auslandshandelskammern mit 3.100 befragten Unternehmen, macht die Verschiebung der Gründe für zusätzliche oder neue Lieferanten erstmals klar sichtbar. Die »Diversifizierung bzw. Risiko-Minimierung bei Ausfällen« liegt als Grund nun fast gleichauf mit der alten und neuen (Noch-)Nummer Eins »Kostenoptimierung«. Jedes zehnte Unternehmen, so die Studie, habe bereits Teile der Produktion oder Niederlassungen an neue Standorte verlagert oder neu aufgebaut. »Weitere 16 Prozent planen einen solchen Schritt noch.« Vor allem Unternehmen in Greater China wollen Teile ihrer Produktion oder Niederlassungen verlagern: »13 Prozent haben dies bereits umgesetzt, weitere 28 Prozent befinden sich noch in der

Planung.« Insgesamt beschäftigen sich 26 Prozent aller befragten Unternehmen mit einer Verlagerung der Produktion oder gänzlich neuen Standorten. Doch die Krisen ziehen noch weitere Kreise und Entscheidungen nach sich. Jedes fünfte Unternehmen habe laut der AHK-Befragung bereits seine Lagerhaltung erhöht, »um bei künftigen Lieferverzögerungen von Rohstoffen, Vorprodukten und Waren eine Reserve zu haben«. 17 Prozent planen dies noch.

Ob die schiere Größe von Unternehmen bei der Diversifizierung der Supply Chain eine Rolle spielt, bleibt offen. »Große Unternehmen mit mehr als 1.000 Mitarbeitern weltweit haben bereits häufiger neue Lieferanten gefunden (41 Prozent), als kleine und mittelständische Unternehmen mit weniger als 100 Mitarbeitern (28 Prozent)«, so die Studie. Allerdings planten gerade KMU nun umso eifriger einen Lieferantenwechsel.

Genius Facts

»Um 16 % brach der globale Handel während der ersten COVID-Welle zwischen Dezember 2019 und April 2020 ein, die deutsche Industrieproduktion sank um 22 %. 30 % der Unternehmen mit mehr als 10 Beschäftigten mussten Störungen in der Lieferkette mit Auswirkungen auf die Produktion hinnehmen.«

(Quelle: Bundesministerium für Wirtschaft und Klimaschutz)

think about: Supply Chain

daher eine langfristige Denkweise und die Verankerung einer klaren Strategie im Management.

Lässt sich die Rolle der IT und IT-Strukturen noch klar definieren?

Früher bestand die Hauptaufgabe der IT darin, Informationstechnologie bereitzustellen, zu verwalten und zu warten. Mit dem Fortschreiten der Digitalisierung hat sich ihre Aufgabe erweitert und umfasst nun auch strategische Aspekte. Die traditionelle IT-Abteilung muss sich zu einem Partner entwickeln, der eng mit der Geschäftsführung zusammenarbeitet. Denn die Verbindung von Technologie und Unternehmenszielen ist entscheidend, um die Potenziale der Digitalisierung optimal zu nutzen. Die IT-Strukturen der Zukunft sind agil und cloudbasiert, um sich schnell an veränderte Anforderungen anpassen zu können.

Wie werden in Zukunft die Arbeitsplätze oder -orte in der Produktion oder Logistik aussehen?

Arbeitsplätze in der Produktion und Logistik werden vernetzter und agiler sein. Technologien wie Virtual und Augmented Reality werden künftig eine große Rolle spielen. Sie werden das Verständnis von Prozessen verbessern, was wiederum den Bedarf an traditionellen Schulungen reduziert. Die Zusammenarbeit zwischen Mensch und Maschine wird sich weiter

vertiefen. Arbeitnehmerinnen und Arbeitnehmer werden sich verstärkt auf komplexe Problemlösung, Kreativität und Entscheidungsfindung konzentrieren, während Maschinen physische oder repetitive Aufgaben übernehmen. Echtzeitdaten, die von Sensoren und IoT-Geräten geliefert werden, ermöglichen eine präzisere und stabilere Steuerung von Produktions- und Logistikprozessen. In dieser Arbeitswelt der Zukunft werden digitale Fähigkeiten und das zugehörige Verständnis zum Game Changer.

Genius Tip

»Die richtige Digitalisierungsstrategie führt zu Krisenfestigkeit in Produktion und Logistik, während agile ITStrukturen die Anpassungsfähigkeit an die digitale Welt ermöglichen. Digitale Fähigkeiten sind der entscheidende Game Changer für wettbewerbsfähige Arbeitsplätze der Zukunft.«

»Entscheidend ist eine enge Verknüpfung zwischen Technologie und Unternehmenszielen«

think about: Supply Chain

»Die Supply Chain verdient die ganze Aufmerksamkeit«

Lieferkettengesetz, volatile Märkte, Planungs- und Organisationsprobleme – viele Unternehmen stehen bei ihrer Supply Chain vor großen Herausforderungen. Michael Bick, Leader Supply Chain & Operations Germany bei EY, über die Kunst, Liefer- und Wertschöpfungsketten richtig zu planen und zu steuern – und darüber zu berichten.

Herr Bick, einige Unternehmen stellen erst jetzt – in der Krise - fest, wie wichtig die gesamte Supply Chain ist. Spät, aber nicht zu spät?

In der Tat verzeichnet die Supply Chain eine Art Renaissance in ihrer Wichtigkeit. In Krisenzeiten wie diesen wird deutlich, dass die Stabilität und Effizienz der Supply Chain entscheidend für den Erfolg eines Unternehmens sind. Dabei spielen sicherlich nicht nur kommerzielle Aspekte eine Rolle, sondern oft auch sicherheitsrelevante, ethische und umweltorientierte Themen. Um wichtige KPIs wie eine optimierte Lagerhaltung, eine verbesserte Lieferantenkommunikation, schnellere Reaktionszeiten und letztendlich eine höhere Kundenzufriedenheit zu bedienen, sollte man ein ganzheitliches Bild, bestehend aus Organisation und Mensch, Prozess und Technologie im Fokus haben. Dazu gehört ebenso die Entwicklung eines umfassenden Risikomanagementsystems wie auch ein funktionierendes Incentive-System für die Motivation der Mitarbeiter.

Mit dem Lieferkettengesetz müssen Unternehmen plötzlich Ecken ausleuchten, die sie vorher gar nicht so genau kannten oder sehen wollten. Eine Chance? Definitiv. Das Lieferkettengesetz zwingt Unternehmen dazu, bestimmte Aspekte ihrer Lieferkette genauer zu betrachten, insbesondere in Bezug auf Menschenrechtsverletzungen, Umweltauswirkungen und soziale Verantwortung. Obwohl es anfangs als zusätzliche Herausforderung empfunden werden kann, kann diese neue Transparenzanforderung tatsächlich eine Chance für Unternehmen darstellen. Indem Unternehmen ihre Lieferkette genauer analysieren und mögliche Risiken und Schwachstellen identifizieren, können sie Maßnahmen ergreifen, um ihre Geschäftspraktiken zu verbessern und nachhaltiger zu werden. Dies schafft nicht nur einen positiven Einfluss auf die Umwelt und das soziale Umfeld, sondern kann auch das Ansehen und den Ruf des Unternehmens bei Kunden, Investoren und anderen Interessengruppen deutlich verbessern. Darüber hinaus kann die Ausleuchtung bisher vernachlässigter Bereiche der Lieferkette zu Effizienzgewinnen und Kosteneinsparungen führen.

Es geht nun einerseits darum, Berichte zu verfassen, was an welcher Stelle der Supply Chain los ist, andererseits müssen bestimmte Vorgaben hinsichtlich der Lieferanten vorformuliert und automatisiert und in den gesamten Produktionsprozess eingepasst werden. Wie geht das zusammen?

Das ist durchaus eine komplexe Herausforderung. Es erfordert eine Kombination aus Datenerfassung, Berichterstattung, Kommunikation und Automatisierung. Vier wichtige

Herangehensweisen: Eine transparente Datenerfassung, in den Produktionsprozess integrierte Lieferantenmanagement-Systeme, mehr Kommunikation

und Zusammenarbeit mit Schulungen und einem geeigneten Monitoring, und der Einsatz von ERP- (Enterprise Resource Planning) in Verbindung mit modernen SCM-Systemen.

Um profitabel zu wirtschaften, müssen Unternehmen mehr Daten haben und diese analysieren. Wo hakt es am meisten?

Eine der größten Herausforderungen, mit denen Unternehmen diesbezüglich konfrontiert sind, liegt in der Datenqualität und Datenverfügbarkeit. Oftmals sind die gesammelten Daten unvollständig oder fehlerhaft, was zu Inkonsistenzen, Ungenauigkeiten und somit auch Akzeptanzproblemen führen kann. Ein weiteres Problem ist die Datenintegration. Viele Unternehmen verfügen über verschiedene Systeme und Datenquellen, die nicht nahtlos miteinander verbunden sind. Es erfordert in der Regel spezielle technologische Lösungen und eine gute Datenarchitektur, um sicherzustellen, dass die Daten aus allen Unternehmensbereichen konsistent und vollständig integriert sind. Datenschutz und Datensicherheit sind ebenfalls entscheidende Aspekte.

Was genau können Supply Chain Planning Transformations und Operating Models tun oder bewirken?

Ein auf das Erreichen der Unternehmensziele ausgerichtetes, effizientes Operating Model ist aus meiner Sicht oft der entscheidende Wettbewerbsvorteil. Um ein neues Operating Model ins Leben zu rufen, ist oft eine gesamte Transformation notwendig, die dabei alle Aspekte rund um Organisation, Prozess und Technologie beinhaltet. Dabei rücken Aspekte wie Effizienzsteigerung, verbesserte Planungsqualitäten sowie Flexibilität und Reaktionsfähigkeit in den Vordergrund. Gleichzeitig lassen sich die Kundenzufriedenheit und die Servicequalität steigern, sowie Innovationen und Abstimmungen unter den relevanten Entscheidern erleichtern.

Agilere Märkte brauchen auch schnellere Entscheidungen. Die sind ohne belastbare Daten und entsprechende Technik gar nicht möglich. Was raten Sie?

Dieser Trend ist tatsächlich sehr klar erkennbar und mittlerweile gibt es schon sehr gute Ansätze – verbunden mit moderner Technologie, um eine zumindest teilautomatisierte und schnelle Entscheidungsfindung zu erzielen. Wir nennen das »Decision Intelligence«. Mein Ratschlag: Unternehmen sollten eine klare Datenstrategie entwickeln, die auf ihre spezifischen Geschäftsziele und Anforderungen ausgerichtet ist. Außerdem sollten sie eine hohe Datenqualität sicherstellen. Um schnelle Entscheidungen treffen zu können, ist es außerdem wichtig, dass relevante Daten aus verschiedenen Quellen integriert und leicht zugänglich sind. Unternehmen sollten sicherstellen, dass ihre Datenquellen gut miteinander verbunden sind und dass die Daten nahtlos in Analysesysteme oder -plattformen übertragen werden können. Dazu sollte in moderne Datenanalysetechnologien investiert werden. Auch eine Kultur der datenbasierten Entscheidungsfindung muss gefördert werden.

Sie waren einer der Pioniere im Bereich Integrated Business Planning (IBP). Inwieweit kann man Instrumente daraus auf die Supply Chain und deren mitunter komplizierte Verästelungen und Abhängigkeiten übertragen? Die Grundprinzipien von IBP sind, grob gesagt, vom S&OP abgeleitet worden. Hier steht das stark vereinfachte Statement »One Plan – One Set of Numbers« im Fokus. Im IBP treffen jedoch noch mehr Stakeholder aus den Unternehmensabteilungen aufeinander, die aus betriebswirtschaftlicher Sicht eine Notwendigkeit haben, sich abzustimmen, um das bestmögliche Unternehmensergebnis zu erreichen. Interessant für die meisten Unternehmen ist, dass in das individuelle IBP-Konstrukt auch neue Teilnehmer einfach integriert werden können. In der Vergangenheit hat sich zum Beispiel herausgestellt, dass für R&D ein Abstimmungsforum auf Augenhöhe mit allen planenden Unternehmensbereichen hilfreich ist. Auch für das zurzeit und hoffentlich auch in Zukunft allgegenwärtige Streben nach Nachhaltigkeit ist es sehr interessant, sich in das IBP-Framework zu integrieren um etwa neu aufkommende Kennzahlen zu diskutieren und abzustimmen. Die im Bereich Sustainability definierten Ambitionen stehen nicht selten im Konflikt mit bisher etablierten Kennzahlenzielen und sollten daher unter Berücksichtigung der allgemeinen Unternehmensziele und Akzeptanz aller Stakeholder gut durchdacht werden.

Genius Tip

»Integrated Business Planning (IBP) stellt den noch verbleibenden großen Hebel auf das Unternehmensergebnis dar. Dabei ist nicht nur die Supply Chain gefragt, sondern auch Finance, Markting, Produktion, R&D und Sales. Ein gut funktionierendes Business Framework mit effizienten Abstimmungsprozessen bedeutet jedoch oft ein signifikanter Change für ein Unternehmen und seine Kultur.«

Das Prüfungs- und Beratungsunternehmen Grant Thornton Germany betreut mit rund 1.600 Mitarbeiterinnen und Mitarbeitern Mandanten aus dem gehobenen Mittelstand sowie börsennotierte Unternehmen. Alexander Griesmeier, Advisory Partner am Standort München, erklärt, warum Unternehmen das »Aufräumen« ihrer Supply Chain angehen sollten.

Interview Rüdiger Schmidt-Sodingen

Herr Griesmeier, Sie begleiten seit vielen Jahren Transaktionen und Transformationen in Unternehmen. Wie beeinflussen die aktuellen Ereignisse die Supply Chain?

Unternehmen müssen sich konstant verändern, um im Markt erfolgreich zu bleiben. Dies erfolgt immer stärker durch pro-aktives M&A, um auf Krisen, die immer heftiger und in kürzeren Abständen kommen, besser reagieren zu können. Unsere Empfehlung an den deutschen Mittelstand ist daher: Resilienz aufzubauen, um die derzeitigen, kurzfristigen Krisen besser ausgleichen zu können und gleichzeitig die Attraktivität für Investoren zu steigern. In den letzten Jahren haben wir die Supply Chain vieler Unternehmen auf maximale Effizienz hin optimiert. Das beinhaltet natürlich auch viele Verlagerungsprozesse, um den Effekt der Lohnarbitrage zu

Alexander Griesmeier, Advisory Partner am Standort München, Grant Thornton Germany

Genius Partner • CONSILIO GmbH

Was bedeutet Business Resilience im Kontext der Supply Chain? Markus Diederichs, Partner bei der CONSILIO GmbH, über eine wirksame Risikoanalyse und ein kontinuierliches Risikomanagement für eine stabile Produktions- und Lieferfähigkeit.

Interview Rüdiger Schmidt-Sodingen

Herr Diederichs, welche Präventionsmaßnahmen gibt es, um Risiken bei Produktion durch die Materialversorgung zu minimieren?

Wichtig ist das Identifizieren von Alternativen für das Supply Chain Netzwerk. Das lässt sich beispielsweise durch eine Qualifizierung von alternativen Lieferanten für zentrale Komponenten realisieren. Der Trend geht weg vom kostenoptimierten Single Sourcing hin zu einer Verteilung

Genius Tip

»Die Verteilung von Komponentenbedarfen auf mehrere Lieferanten kann über die Nutzung von Quotierungen systemunterstützt erfolgen und z. B. mengenbezogen nach vorgegebenen Anteilsfaktoren direkt in Beschaffungsvorschläge übernommen werden. Exemplarisch kann z. B. eine Aufteilung nach fest gelegten Faktoren (z. B. 60 %, 30 %, 10 %) hinterlegt werden.«

nutzen. Mittlerweile steigen die Lohnkosten in vielen Ländern aber viel stärker als in Deutschland, und die Automatisierung erlaubt es uns, wieder in Deutschland kostengünstig zu fertigen. Daher sollten wir die Uhr kurz anhalten und die Faktoren für eine effiziente Supply Chain neu bewerten.

Wie sollten Unternehmen vorgehen?

One-Size-Fits-All hat in den Zeiten des ruhigen unternehmerischen Fahrwassers vielleicht noch zum Überleben gereicht, da man günstig Bestand vorhalten konnte. Heute ist Bestand wieder teuer und die Optimierung der Bestände lohnt sich!

Habe ich zwei Kundensegmente mit unterschiedlichen Ansprüchen, sollte ich als Supply-Chain-Verantwortlicher überlegen, ob es nicht sinnvoll ist, zwei Supply Chains zu betreiben, um beiden Kunden voll umfänglich gerecht werden zu können.

Inwieweit macht eine neu ausgerichtete Supply Chain krisenfester?

Eine resiliente Supply Chain, also eine Supply Chain, die in der Lage ist, einfacher mit Herausforderungen umzugehen, hilft dabei, Umsätze stabil zu halten und den Platz im Wertschöpfungsnetzwerk nicht zu verlieren. Das schafft Vertrauen bei Kunden, bei Lieferanten, bei Mitarbeitern und potenzielle Investoren. Lieber etwas auf den kurzfristigen Erfolg verzichten und die langfristige Chance suchen, war und ist doch eine der Kernkompetenzen des deutschen Mittelstandes.

Sie haben vor 10 Jahren das Buch »Serviceinnovation: Potenziale industrieller Dienstleistungen erkennen und erfolgreich implementieren« geschrieben. Wie weit sind

think about: Supply Chain

die Unternehmen denn mit dem Implementieren von Dienstleistungen für mehr Resilienz?

Wir haben das Buch als Antwort auf die Lehman-Krise geschrieben. Über Nacht brachen auch hier Märkte komplett zusammen und der deutsche Mittelstand hatte keine Antwort darauf. Während sich große Investitionen weltweit verschleppt haben, wuchs die Nachfrage nach Service, um die Lebensdauer und Laufleistung von Maschinen zu verlängern. Der große Vorteil war damals, dass die Investments in Services immer sofort bei Kunden freigegeben wurden und die Margen der Serviceprodukte deutlich höher waren. Leider wurden die gelernten Servicetugenden wieder zur Seite gelegt, als der Nachfragemotor wieder angesprungen ist. Es gilt also, alte Fähigkeiten wieder zum Leben zu erwecken.

Genius Tip

»Gehen sie vom Kunden und dessen Bedürfnissen aus. Will der Kunde ein besonders preiswertes Produkt, sieht die Supply Chain ganz anders aus, als wenn der Kunde eine hohe Liefertreue benötigt.«

think about: Supply Chain

der Beschaffungsmengen auf mehrere Lieferanten – auch wenn das in der Konsequenz kurzfristig zu höheren Beschaffungskosten führen kann. Sicherheit bedeutet an dieser Stelle ein strategisches Investment mit dem Ziel, die Produktionsfähigkeit aufrecht zu erhalten und die Lieferfähigkeit in Richtung Kunde sicherzustellen.

Wie bekomme ich eine systematische Diversifizierung hin? Operativ erfolgt eine Diversifizierung in drei Schritten und ist weniger als Ad-hoc-Maßnahme, sondern als kontinuierlicher Prozess zu verstehen. Schritt 1 besteht aus dem Erkennen von Schwachstellen in der gesamten Supply Chain. Im Schritt 2 folgt die Bewertung und Priorisierung der Schwachstellen. Bei Schritt 3 leiten Sie geeignete Maßnahmen ein. Die Bewertung der Schwachstellen kann von Fall zu Fall sehr unterschiedlich erfolgen. Eine Simulation mit Supply Chain Tools wie z. B. SAP IBP hilft dabei, die Kosten-Nutzen-Aspekte übergreifend zu optimieren und eine systemgestützte Priorisierung vorzunehmen. Für die Bewertung im Sinn einer Szenarienplanung eignen sich vor allem extreme Situationen, etwa Komplettausfälle aufgrund von Lieferstopps. Neben datenorientierten Analysen ist bei der Bewertung aber nicht zuletzt auch ein Business-Faktor zu berücksichtigen – am Ende hat immer der Prozessmanager und/oder ein Cross-funktionales Team die Entscheidung zu treffen und zu vertreten.

Wie wichtig ist Flexibilität in der Produktion? Schnell auf geänderte Rahmenbedingungen zu reagieren und die Produktionsreihenfolgen regelmäßig anzupassen, ist essenziell. Bei einem Ausfall von bestimmten Komponenten unterstützen Supply-Chain-Planungssysteme wie SAP S/4 mit PP/DS-Funktionen (Production Planning/Detailed Scheduling) dabei, den temporären Mangel durch Vorziehen von Aufträgen mit ausreichender

Material- Verfügbarkeit zu überbrücken. Doch auch wenn aufgrund von Marktbewegungen Bedarfe in bestimmten Märkten einbrechen oder sich die Mengen einzelner Artikelgruppen signifikant verändern, liegt eine reale Störung vor. Rückläufige Kundenbedarfe dürfen unter Berücksichtigung der Stabilität jedoch nicht dazu führen, dass ein Bestandsaufbau ohne die Möglichkeit eines zeitnahen Absatzes erfolgt. Im Extremfall bedeutet ein rückläufiger Auftragseingang, dass Produktionskapazitäten ungenutzt bleiben. Hier ist trotz aller Aktualität der Business Resilience ein klassischer Lean-Production-Ansatz maßgeblich: Vermeidung von Verschwendung.

Markus Diederichs, Partner und Senior Solution Architect SCM, CONSILIO GmbH

Weitere Informationen:

CONSILIO GmbH

www.consilio-gmbh.de

info@consilio-gmbh.de

»Die Diversifizierung der Supply Chain funktioniert in 3 Schritten«

»Eine resiliente Supply Chain schafft Vertrauen bei Kunden, Lieferanten, Mitarbeitern und Investoren«

Um die Resilienz zu steigern, reicht es nicht, einfach Supplychain-Software einzukaufen. Unternehmen müssen auch die Mitarbeitenden sowie die Prozesse der Nutzung betrachten. Stefan Witwicki, Senior Vice President Inventory & Supply Chain der INFORM GmbH, rät deshalb dazu, auch die Organisation in Unternehmen auf den Prüfstand zu stellen.

Interview Rüdiger Schmidt-Sodingen

Herr Witwicki, eigentlich ist die Digitalisierung eine gute Sache. Trotzdem weisen Sie darauf hin, dass die Resilienz nur gesteigert werden kann, wenn die Prozesse vor Ort detailliert analysiert und geändert werden. Warum?

Aus über 55 Jahren Erfahrung als Lösungsanbieter wissen wir, dass jedes Unternehmen individuelle Strukturen und Anforderungen hat, die erkannt werden müssen. Viele Prozesse lassen sich automatisieren – dadurch lässt sich der Arbeitsalltag der Mitarbeitenden erheblich erleichtern. Allerdings müssen die Mitarbeiterinnen und Mitarbeiter in Transformationsprozesse miteinbezogen werden, um deren Akzeptanz von Anfang an zu gewährleisten. Eine Software ist nur so gut, wie derjenige der sie bedient, daher müssen Schulungsangebote in Digitalisierungsprojekten mitberücksichtigt werden.

Inwiefern spielen denn die Mitarbeiterinnen und Mitarbeiter eine Rolle, wenn es um die Optimierung der Lieferketten geht?

Mitarbeiterinnen und Mitarbeiter sind das wertvollste Kapital eines Unternehmens. Sie bringen Wissen und Erfahrung mit, die Unternehmen zwingend nutzen müssen, um ihre Lieferketten resilienter aufzustellen. Software hilft dabei, dieses Wissen zu analysieren und zu verwerten. Mitarbeiterinnen und Mitarbeiter müssen in die Lage versetzt werden, bereichsübergreifend zusammenzuarbeiten. Software ist hier ein Enabler für mehr Kollaboration. Deswegen mein Rat: Überzeugen Sie Ihre Mitarbeitenden davon, eine neue Softwarelösung mit Begeisterung einzusetzen. Setzen Sie sie daher frühzeitig über den Entscheidungsprozess in Kenntnis und beteiligen Sie sie aktiv an dem Auswahlprozess.

Sie bieten einerseits Softwarelösungen an, unterstützen aber auch die fachlichen Prozesse vor Ort. Das heißt, ohne eine maßgeschneiderte, vor Ort erprobte Lösung geht es nicht?

»We empower you« ist für unseren Geschäftsbereich nicht nur ein Slogan, sondern unsere Mission, Unternehmen und ihre Mitarbeitenden in ihrer täglichen Arbeit zu beflügeln. Jedes Unternehmen hat unterschiedliche Herausforderungen, die es zu verstehen und zu bewältigen gilt. Eine Standardlösung ist hier zu kurz gedacht. So geben wir Unternehmen von Anfang an die richtigen Werkzeuge und Strategien an die Hand, um ihre individuellen Herausforderungen im Supply Chain Management erfolgreich zu meistern. Dieser enge Austausch erfolgt im täglichen Projektgeschäft, startet aber schon bei den initialen Workshops mit den Kunden in der eigentlichen Kennenlernphase. Diese Investition unsererseits, jedes Unternehmen möglichst spezifisch und umfassend zu verstehen, halten wir für den Grundpfeiler unseres Erfolges.

Sie geben in Ihrem aktuellen Info-Paper zur Krisenresilienz 5 konkrete Tipps, die Unternehmen mehr Sicherheit in ihrer Supply Chain verschaffen. Welche sind das?

Erstens: Arbeiten Sie stärker strategisch und konzeptionell! Zweitens: Denken Sie abteilungs- und standortübergreifend! Drittens: Transformieren Sie die Zusammenarbeit mit Ihren Lieferanten! Viertens: Begeistern Sie Fachkräfte mit innovativen IT-Lösungen! Und schließlich fünftens: Nutzen Sie Prognosen, um vorausschauend zu planen!

Die ersten beiden Tipps werden vielleicht einige verblüffen.

In den meisten Unternehmen lässt sich beobachten, dass wertvolle Fachkräfte durch eine Vielzahl lästiger Pflichten von wichtigen strategischen Aufgaben abgehalten werden. Das ist teilweise für die Mitarbeitenden sehr frustrierend und für ein Unternehmen äußerst ineffizient. Eine Menge dieser kleinen Routinearbeiten lassen sich heutzutage mithilfe intelligenter Planungssysteme automatisiert abwickeln. Die Systeme unterstützen die Mitarbeitenden, indem sie Algorithmen aus dem Operations Research und Methoden der Künstlichen Intelligenz (KI) nutzen, um Entscheidungen selbstständig zu treffen. Die Mitarbeitenden erhalten so wieder Freiraum für das schnelle Bearbeiten von Ausnahmefällen und das Entwickeln wichtiger Business-Strategien. So können Unternehmen Herausforderungen nicht nur besser bewältigen, sondern auch die Zufriedenheit ihrer Mitarbeitenden nachhaltig steigern und sich im Ergebnis strategisch besser für die Zukunft aufstellen.

Ein zuverlässiges Supply Chain Management ist für Resilienz das A und O. Es stellt sicher, dass ein Unternehmen die Produkte produziert, die sein Vertrieb auch tatsächlich gewinnbringend verkaufen kann, dass Produktionspläne so angelegt sind, dass Einkäufer die benötigten Rohmaterialien auch rechtzeitig beschaffen können und dass Mitarbeitende

sich darauf verlassen können, über einen optimalen Datenstand zu verfügen. Denn dies ist die entscheidende Voraussetzung dafür, auch unter Druck belastbare Entscheidungen treffen zu können.

Kann eine innovative, vorausschauende Planung künftig alle »Black Swans«, also unvorhersehbaren Krisen, verscheuchen?

Eine vorausschauende Planung kann zwar keine Black Swans verhindern, doch sie ermächtigt Unternehmen, ihre Aufmerksamkeit uneingeschränkt auf die Krisenbewältigung zu richten. Ein Beispiel: Selbst die sorgfältigste Planung kann nicht vorhersehen, wann ein Containerschiff eine wichtige Schifffahrtsroute blockiert. Es gab auch keine Trainingsdatensätze für global einsetzende Pandemien, mit denen KI-Algorithmen hätten trainiert werden könnten. Im Gegensatz dazu kann eine intelligente Software Marktänderungen schnell erkennen oder auch Lieferanten identifizieren, die wiederholt Schwierigkeiten haben, Liefertermine einzuhalten, und diese möglichen Verzögerungen direkt in die Planung integrieren. Obwohl dies Krisen nicht verhindern kann, ermöglicht es jedoch, alle Ablenkungen zu beseitigen, die die Mitarbeitende daran hindern würden, sich auf die Bewältigung der Krise zu konzentrieren.

Es geht nicht nur um die Verbesserung warenwirtschaftlicher Prozesse, sondern auch um ein besseres Management des notwendigen Personals?

Unternehmerisch gedacht, kann es nicht völlig befriedigend sein, ausschließlich die warenwirtschaftlichen Prozesse an sich optimiert zu haben. Einerseits hat man durch entsprechende Softwarelösungen vielleicht mehr Datentransparenz, mehr automatisierte Entscheidungen, Reduktion von Working Capital, Erhöhung von Lieferfähigkeiten etc. erreicht. Andererseits kann man die optimalen Lösungen nicht umsetzen, weil das notwendige Personal nicht mitgeplant worden war. Wenn zum Beispiel die LKW-Fahrer fehlen, um die Waren pünktlich zu transportieren, dann ist all der Zauber an Optimierung Makulatur. Wenn sich kurzfristig etliche Eltern kinderkrank melden mussten, dann funktioniert auch nicht mehr der simultan geplante Produktionsablauf in den Werken. Hier braucht es ganzheitliche Ansätze, die Unternehmen nicht alleine lassen.

Aber auch hier gibt es Lösungen: Einarbeitungszeiten können durch intelligente (Software-)Lösungen verkürzt werden, das Wissen ausscheidender Mitarbeiterinnen und Mitarbeiter sollte gesichert werden, Mitarbeiterinnen und Mitarbeiter müssen in einer volatilen Zeit wieder ein Gefühl der Sicherheit und Kontrolle erfahren, Stichwort: Entscheidungsintelligenz. Zudem muss Transparenz geschaffen werden und die Strukturen, um Mitarbeiterinnen und Mitarbeiter bestmöglich mit denen für sie relevanten Informationen zu versorgen.

Weitere Informationen via QR-Code:

Genius Tip

»Software ist keine technologische Frage. Software ist eine Anwenderbezogene Entscheidung, die auf maximalen Nutzen in den Unternehmensprozessen ausgerichtet ist.«

»Unternehmen und ihre Mitarbeitende bei der täglichen Arbeit beflügeln«

Roboter in der Fertigung: Zukunft der Produktion

Nur noch Dienstleistungen? Nur noch Downsizing, Jammern und Krisenstimmung? Larry Sweet, Technischer Direktor am ARM Institute, ist sich sicher: Dem Verarbeitenden Gewerbe steht ein neuer Aufschwung bevor. Dank dem Einsatz von Robotik.

Text Rüdiger Schmidt-Sodingen

Bei den vielen Krisen und »schwarzen Schwänen« und den aus ihnen resultierenden, mannigfaltigen Lösungsansätzen geraten größere Entwicklungen innerhalb der Industrie leicht aus dem Blick. Gibt es überhaupt einen neuen Trend für die Industrie 4.0, der nichts mit Krise zu tun hat? Wohin steuern denn die Automobilfabriken, die Holz- und Papierindustrie, die Nahrungsmittel- und Chemiebranche oder der Maschinenbau?

Larry Sweet, neuer Technischer Direktor am ARM Institute (Advanced Robotics for Manufacturing) in Pittsburgh, Pennsylvania, das sich seit 2017 auf Innovationen in der Robotik und Personalentwicklung spezialisiert hat, schreibt auf engineering.com: »Dem Verarbeitenden

Gewerbe in den USA steht ein Wiederaufschwung bevor, und die Robotik ist der Schlüssel dazu.« Dieser Wiederaufschwung, so Sweet, sei überfällig. Und es sei die Robotik, die – wenn sie denn endlich aus der Forschung in die Umsetzung gelange – diesen Aufschwung auslösen werde.

Sweet leitete in diversen Firmen, von ABB über United Technologies bis Amazon Robotics, die Entwicklung fortschrittlicher Robotik- und Automatisierungstechnologien. Als CTO des Lagerautomatisierungsspezialisten Symbotic verantwortete er die Konzeption, das Design und die Implementierung transformativer Lagerautomatisierungstechnologie unter Verwendung von Flotten autonomer, mobiler Hochgeschwindigkeitsroboter.

Maschine braucht Mensch

Scotts Analyse der derzeitigen Lage fällt zunächst wenig schmeichelhaft aus. »Hersteller jeder Größe, insbesondere aber KMU« seien größtenteils schlecht auf die Risiken der Automatisierung vorbereitet. Es fehle an Investitionen und Zeit – und vor allem an guten, geschulten Fachkräften, die »für den Betrieb, die Wartung und die Reparatur von Robotern erforderlich sind«. Eine Stärkung der Fertigung, die Sweet in den USA mit dem von der Regierung mitfinanzierten ARM Institute angehen will, müsse deshalb, neben der »Förderung von Roboterlösungen« und der gezielten Förderung von KMU, eine zukunftsorientierte Qualifizierung, Weiterbildung und Talentsuche für »Robotik-Rollen« beinhalten.

»Das ARM Institute weist mit seinen fast 400 Mitgliedsorganisationen den Weg in eine Zukunft, in der Menschen und Roboter zusammenarbeiten, um auf die größten Herausforderungen zu reagieren und die begehrtesten Produkte der Welt zu entwickeln und zu produzieren.« Mittlerweile habe das ARM Institute »weit über 150 Robotik- und Arbeitskräfteentwicklungsprojekte ins Leben gerufen, die identifizierte Bedarfsbereiche in der Fertigung lösen.« Scott betont in dem Zusammenhang die Notwendigkeit einer öffentlichen Förderung: »Wir katalysieren Innovationen, die andernfalls der Innovationslücke zum Opfer gefallen wären, erstellen Technologie-Roadmaps und gehen auf den Bedarf der Arbeitskräfte ein.«

Neue Fertigungsverfahren und die Nachbarschaft Inwiefern neue Ansätze einerseits Personallücken schließen und andererseits das Portfolio von Firmen mithilfe neuer Fertigungsverfahren öffnen können, ist dabei die spannende Frage. Es gehe, so Scott, um »Inspektion, Oberflächenveredelung, Roboternähen, Fertigung, Endbearbeitung, Montage, Inspektion, Materialhandhabung und anderes.« Spezifische Zykluszeit-, Produktivitäts- und Qualitätsmetriken sollen helfen, die Fortschritte bei der Machbarkeit neuer Roboterfertigungsprozesse zu validieren und zu messen.

Vielleicht der wichtigste Ansatz des Instituts ist der Blick nach nebenan. So unterstützt das Robotics Manufacturing Hub besonders auch KMU in der unmittelbaren Nachbarschaft in Pennsylvania, die zum ersten Mal Roboterfertigung in ihrem Betrieb einführen oder mit neuer Technologie bestehende Verfahren verbessern möchten. Als Beispiele nennt Scott »eine Reihe kollaborativer Roboter mit intuitiven, benutzerfreundlichen Programmierschnittstellen, die für den sicheren Betrieb Seite an Seite mit menschlichen Bedienern konzipiert sind. Dadurch können die Roboter langweilige, sich wiederholende Bewegungsaufgaben ausführen, wobei Operationen, die überlegene Manipulations-, Wahrnehmungs- und Problemlösungsfähigkeiten erfordern, den Menschen vorbehalten sind«. Unmissverständlich macht der Robotics-Experte klar: Alle Technologien benötigen geschulte Fachkräfte und Arbeitskräfte, die auf die Fertigungsjobs von heute und morgen vorbereitet werden. Das Institut-eigene Portal RoboticsCareer.org soll sich zum umfassenden Job- und Schulungsportal mausern.

Genius Facts

»Die fünf wichtigsten Märkte für Industrieroboter sind China, Japan, die USA, Südkorea und Deutschland. Auf diese Länder entfielen im Jahr 2022 78 % der weltweiten Roboter-Installationen.«

(Quelle: World Robotics 2022 – Industrial Robots, IFR Statistical Department, VDMA Services GmbH)

Genius Partner • Hahn Automation Group think about: Industrie

Fabrikautomation – Zukunftschance oder Jobkiller?

Industrielle Automatisierung gefährdet die Arbeitsplätze tausender Arbeitnehmer:innen in Deutschland. Gerade für Geringqualifizierte sind die Aussichten auf dem Arbeitsmarkt der Zukunft düster. Ist Automation tatsächlich ein Jobkiller oder sollten Gesellschaft und Politik sie als Chance begreifen?

Es fehlen nicht nur Fachkräfte

Ein Blick auf die demographische Entwicklung verrät: Dem deutschen Arbeitsmarkt gehen bis 2035 sieben Millionen Arbeitskräfte verloren. Dass die sogenannten Babyboomer der geburtenstarken 1960er Jahre ihre Rente antreten, wird zum Hemmnis für die gesamtwirtschaftliche Prognose.

Dieser Wandel kommt jedoch nicht überraschend, sondern ist seit Jahren absehbar. Und eins ist klar: Automatisierung allein wird nur einen Teil des Verlustes von Arbeitskräften kompensieren können. Ist Automation also doch kein Jobkiller?

Dull, dirty, dangerous & difficult Fakt ist, Anbieter für Fabrikautomation wie die Hahn Automation Group gibt es nicht erst seit gestern. Seit den 1990er Jahren übernehmen ihre technischen Lösungen immer mehr Aufgaben, die vorher von Hand erledigt werden mussten oder für die physische und mentale Gesundheit der Arbeitskräfte

schädlich waren. Heute sichern sie weltweit Prozessstabilität und gleichbleibende Produktqualität, ermöglichen skalierbare Produktionsmengen sowie die Rückverfolgbarkeit innerhalb der Wertschöpfungskette. Die Nachfrage hat kontinuierlich zugenommen. Unternehmen aller Größenordnung geht es aber nicht darum, Lohnkosten einzusparen. Sie stehen vor der Herausforderung des anhaltenden Arbeitskräftemangels und müssen stärker automatisieren. So können sie ihre Wettbewerbsfähigkeit aufrechterhalten und häufig sogar steigern.

Fachkräfte entwickeln

Automation heißt nicht, den Menschen außen vor zu lassen, sondern ihm auch Möglichkeiten zu eröffnen, sich weiterzuentwickeln. Mit der Einführung von Automatisierungslösungen werden regelmäßig neue Arbeitsplätze geschaffen. Die

notwendigen Qualifikationen werden anspruchsvoller. Das Stichwort lautet daher «lebenslanges Lernen» und fordert die Bereitschaft, sich kontinuierlich weiterzubilden. Die notwendigen Rahmenbedingungen dafür zu schaffen, darin sehen Unternehmen wie die Hahn Automation Group ihre Verantwortung gegenüber Mitarbeitenden, um ihnen echte berufliche Perspektiven bieten zu können.

Weitere Informationen:

www.hahnautomation.group

Genius Tip

»Wenn wir unseren Lebensstandard halten oder ausbauen wollen, müssen Unternehmen weiterhin wettbewerbsfähig produzieren können und gleichzeitig die allgemeine Kaufkraft gestärkt werden. Wo Automatisierung mit unternehmerischer Verantwortung einhergeht, können alle Beteiligten profitieren.«

Digitale Vernetzung: Ganzheitlich planen

und Durchgängigkeit sicherstellen

Als Pionier für Industrial Connectivity versteht sich die Management- und Technologieberatung Detecon. Die konzerneigene Unternehmensberatung der Deutschen Telekom begleitet ihre Kunden von der Strategie bis zur Umsetzung bei der digitalen Transformation. Raik Wehser, Partner und verantwortlich für den Bereich Manufacturing, erläutert, wie Produzenten mit Digital Twins, 5GNetzen und neuen »Ökosystemen aus Partnern« aktuelle Herausforderungen meistern können.

Interview Rüdiger Schmidt-Sodingen

Herr Wehser, welche Rolle spielt Industrial Connectivity beim Aufbau von Digitalstrategien?

Sie spielt eine zentrale Rolle. Es geht um die Schaffung einer geeigneten Infrastruktur, um Entwicklung, Produktion und Betrieb bestmöglich zu unterstützen. Dabei können viele Technologien zum Einsatz kommen. Neben Wifi und Ultra-Breitband können gerade 5G-Technologien die Skalierbarkeit und Innovationsfähigkeit gewährleisten.

Wichtig ist: Industrial Connectivity bedeutet, den optimalen Mix aus Technologien entlang der spezifischen Wertschöpfung des Unternehmens auszuwählen bzw. bereitzustellen. Die digitale Transformation zielt auf Produktivität und Effizienz ab. Ein höherer Automatisierungsgrad wie auch bessere Transparenz und Steuerbarkeit von Abläufen in Produktion und Entwicklung brauchen die Vernetzung aller für die Wertschöpfung relevanten Komponenten.

In Ihrem »FiveGDock« in der Kölner Bayenwerft lassen sich 5G-Campusnetze für Büros, Logistik oder Produktionsanlagen testen. Was können Unternehmen hier genau erleben?

Als eine der ersten Unternehmensberatungen mit einem eigenen 5G-Campus bieten wir Unternehmen die Möglichkeit, eigene Use Cases und Konzepte auszuprobieren, bevor sie sich etwas im eigenen Haus implementieren. Die Plattform bietet flexibel erweiterbare Showcases wie etwa AGV Robotics, Wifi/5G-Vergleiche, IoT-Sensorik sowie Demos für Augmented/Virtual Reality. So können beispielsweise Echtzeit- und Remote-Zugriffe zur Lösung und Vermeidung von Servicefällen erlebt werden. Fällt plötzlich die Reparatur einer Maschine an, deren Fehler sich nicht lokal beheben lässt, kann remote und in Echtzeit ein Experte in die Maschine schauen und Anweisungen zum Beheben des Problems geben. Das spart Zeit, Geld und CO2 Neben dem FiveGDock im Kölner Office interessieren sich unsere Kunden zunehmend auch für unsere flexible, portierbare Lösung – Showcases inklusive -, um Anwendungen vor Ort in unternehmenseigenen Räumlichkeiten zu erleben. So validiert und prüft Detecon einzelne, weltweite Anwendungsfälle für Campusnetze auch beim Hochtechnologiekonzern ZEISS.

Der digitale Wandel kann nur gelingen, wenn die IT- und Informationssicherheit entsprechend berücksichtigt wird. Hier geht es Ihnen darum, Security als ganzheitlichen und als strategischen Ansatz zu betrachten und zu implementieren. Was gehört dazu?

Um Intellectual Property besser zu schützen und Risiken zu minimieren, müssen alle Bereiche in den Fokus: Eine Strategie sollte folgende, wesentliche Themen umfassen: Physical Security (u.a. Zutrittsschutz des Perimeters), Cyber Security (u.a. Schutz vor unberechtigtem Zugriff der IT-Systeme) und insbesondere die Schärfung des Sicherheitsbewusstseins von Mitarbeitern. Wir testen dann zum Beispiel mit Phishing-E-Mails, wo es im Unternehmen noch Schwachstellen gibt. Wie viele Mitarbeiter öffnen die Mail und warum? Auswertungen zeigen so, an welcher Stelle gezielt Maßnahmen anzusetzen sind.

Die Supply-Chain-Security wiederum prüft zudem ganzheitlich, dass angemessene Sicherheitsstandards in der Lieferantenkette eingehalten werden. Wo laufen welche Information-Security-Management-Systeme und sind

externe Mitarbeiter entsprechend geschult? Auch das Incident und Business Continuity Management betrachten wir: Wie ist das Unternehmen im Ernstfall aufgestellt? Sind Risiken im Incident-Fall durch Recovery- und Wiederanlaufprozesse abgesichert? Eine IT braucht keine Bauzäune – trotzdem oder gerade deswegen kann eine umfassende Sicherheit nur gemeinsam mit allen Bereichen gelingen.

Warum sind Digital Twins für die Digitalisierungsstrategien der Industrie so wichtig? Welche Hausaufgaben sind hier noch zu tun?

Genau genommen ist das reine, virtuelle Abbild etwa eines Maschinenparks lediglich ein sogenannter »Digital Shadow«. Von einem richtigen Digital Twin sprechen wir erst dann, wenn dieser bidirektional in die Realität eingreift. Beispiel: Ein Lager läuft voll. Der Digital Twin erkennt dies und sorgt automatisiert für das Anfahren eines Alternativlagers. Anhand der Simulation von Abläufen, etwa von Fertigungsrobotern, lässt sich durch Parameter frühzeitig erkennen, ob Kollisionen an einer Anlage drohen. Entscheidend für den Nutzen eines Digital Twin ist dessen maßgeschneiderte Entwicklungstiefe. Denn hundertprozentige Realitätsnähe ist zu aufwändig. Für den Return of Investment muss die Granularität der Realitätsabbildung eng mit den erhofften Effekten, etwa eingesparten Kollisionen, korrelieren. Besonders spannend ist die von Ihnen vorgenommene Digitalisierung des Lifecycle Managements. Dafür fertigen Sie von Gebäuden einen digitalen Zwilling an – und dann?

Gebäude verfügen über eine Vielfalt von Funktionen. Fenster gehen auf und zu, Türen schließen, Heizung und Wasserversorgung laufen. Der Digital Twin kann nun viele Gebäudefunktionen automatisieren. Sicherheitstüren müssen etwa Prüfzyklen unterliegen. Auch Fenster müssen nachts geschlossen sein. Digitalisierte Prüfungen durch Sensoren an Fenstern und Türen verrin gern den Aufwand für den Sicherheitsdienst erheblich. Neben einfachen Funk tionsprüfungen kann das

gesamte Facility Management digital gesteuert werden. Wo läuft was leer und ist nachzufüllen? Wie leite ich Ortsunkundige zu einer versteckten Maschine? Auch die Auslastung von Räumen lässt sich mit Anwesenheitssensoren messen und steuern. Generell gilt auch hier: Die Tiefe der Abbildungen ist relevant für den Nutzen von Use Cases.

IoT-Plattformen sollen den Wert von Daten noch stärker nutzen. Sie plädieren zuvorderst aber für den Aufbau geeigneter Informationsarchitekturen?

Ob Digital Twin oder IoT-Plattform: Wichtig ist, dass die Daten- und Informationsmodelle zunächst wirklich funktionieren. Wie ist die Semantik? Maschinen müssen Daten interpretieren können. Ein sinnvolles Informationsmodell muss alle Bereiche, von der Entwicklung bis zur Fertigung und Qualitätssicherung, zusammenbringen.

Überhaupt raten Sie dazu, mehr »Ökosysteme aus Partnern« zu schaffen. Zählt der Kooperationsgedanke noch zu wenig in deutschen Unternehmen?

Die Komplexität nimmt überall zu und überfordert bisherige Strukturen in Entwicklung oder Produktion. Produkte bestehen mittlerweile aus einer Vielzahl von Einzelkomponenten. OEMs, Fertiger und Dienstleister geben auch bewusst große (Teil-)Projekte ab, die über Generalunternehmer gesteuert werden. Intelligent konzipiert ist 1 und 1 dann mehr als 2. Wir brauchen für komplexe Ökosysteme einfach Schulterschlüsse unter Partnern, da sich Aspekte oft gut ergänzen. Richtig vernetzt, haben Unternehmen so die Chance, an diesen komplexen Herausforderungen zu wachsen.

Weitere Informationen: www.detecon.com

Genius Tip

»Great things in business are never done by one person; they’re done by a team of people.« - Steve Jobs.

Dies zählt in unserer zunehmend komplexeren und vernetzten Welt mehr denn je.

Mit Smart Manufacturing zum Wettbewerbsvorteil

Bei vielen produzierenden Unternehmen steht es auf der Prioritätenliste weit oben: das Thema Smart Manufacturing. Um wettbewerbsfähig zu bleiben, führt kein Weg an datenbasierter Intelligenz in der Fertigung vorbei. Ob Mittelständler oder Global Player, Smart Manufacturing kann jedem Unternehmen viele Vorteile bieten.

Text Pierre Teszner, Regional Vice President Central & Eastern Europe, Rockwell Automation

Firmen haben unterschiedliche Gründe für die Einführung intelligenter Fertigungslösungen: Während vielmals die Marktpositionierung verbessert werden soll, zielen andere Unternehmen primär darauf ab, flexibler und schneller auf sich ändernde Marktbedingungen reagieren zu können. Auch der Bedarf nach Aufdeckung und Verwertung nicht genutzter Potenziale ist ein häufiger Grund für den Einsatz intelligenter Lösungen. Von Bedeutung ist auch das Ziel einer verbesserten Nachhaltigkeit in Bezug auf die Fertigung sowie den Umgang mit Ressourcen.

Das Umfeld von Unternehmen wandelt sich fortlaufend, die Herausforderungen wachsen stetig. Mit Smart Manufacturing, der Nutzung von IoT-Lösungen und intelligenten MES-Ansätzen lassen sich die operative Technologie (OT) und die Informationstechnologie (IT) zusammenführen. Unternehmen können auf vielfältige Weise davon profitieren, etwa in Form von höherer Flexibilität, Kostensenkungen, Ertragssteigerungen und neuen Geschäftsmöglichkeiten. Im Fabrikalltag bedeutet dies, dass sich etwa Abfall und Ausschuss reduzieren lassen und Unternehmen bessere Einsicht in die Gesamtanlageneffektivität – möglich ist dies in Echtzeit – erhalten. Und durch neu gewonnene Flexibilität in der Produktion werden verborgene Potenziale aufgedeckt, die anderweitig genutzt werden können.

Der Dreh- und Angelpunkt der Produktion: Das MES Von besonderer Relevanz in der Produktion ist ein performantes Produktionsleitsystem, also ein Manufacturing Execution System (MES) wie beispielsweise die Lösung Plex von Rockwell Automation. Plex ist Cloud-basiert und verfolgt einen offenen, ganzheitlichen Ansatz. Der große Vorteil bei der Nutzung der Cloud ist, dass alle wichtigen Daten an einem zentralen Ort gespeichert sind und dort abrufbar sind. Im Bereich der Cloud arbeitet Rockwell Automation im Rahmen einer hervorragenden Partnerschaft mit Microsoft zusammen, und die Plex-Lösung arbeitet auf dessen Cloud-Plattform Azure.

Plex ist jedoch mehr als nur eine Cloud-basierte MESLösung. Es zeichnet sich dadurch aus, dass es über das »klassische« MES hinaus auch Enterprise Ressource Planning, Lieferkettenmanagement, die Überwachung der Anlagenleistung, das Qualitätsmanagement und viele weitere Aspekte für Kunden individuell zusammen führt. Mit MES-Lösungen erhalten Firmen mehr Infor mationen und damit tiefere Einblicke in die Performance ihrer Anlagen. Das ist besonders wichtig hinsichtlich einer Skalierung, wenn ein Unternehmen etwa mehrere Fertigungsanlagen in verschiedenen Ländern betreibt.

Bei der Einführung einer MES-Lösung ist es häufig angebracht, zunächst mit einer einzelnen Anlage be ziehungsweise mit einer einzigen Fertigungslinie zu beginnen. Die Vorteile der MES-Implementierung wirken sich im Laufe der Zeit auf das gesamte Werk oder auch gleich mehrere Werke aus. An dieser Stelle ist es wich tig, Analysen und weitere Planungen vorzunehmen. Es gilt zu definieren, welche Veränderungen erzielt wur den und welche Schlussfolgerungen daraus gezogen werden. Weiterhin ist in Betracht zu ziehen, welche Technologien und Lösungen künftig eingeführt werden sollten. Zudem ist fortlaufend zu prüfen, wie Mitarbeiter erfolgreich in diese Transformation eingebunden werden können – etwa durch die Befähigung zur Nutzung von Augmented Reality-Lösungen, was wiederum weitere Vorteile bietet.

Prioritäten: Cybersecurity und Datensicherheit

Bei der Zusammenlegung von IT und OT sollten die Themen Cybersecurity und Sicherheit von Daten höchste Priorität haben. Dies bedeutet, dass industrielle Systeme abgesichert werden müssen, von der Werksumgebung bis hin zur Cloud. Eine Strategie für die gesamte digitale Transformation kann nur erfolgreich sein, wenn die Fragen rund um die Sicherheit von Beginn an berücksichtigt werden. Ob die speicherprogrammierbare Steuerung, mobile Geräte, IoT-Sensoren – mit jeder zusätzlichen Einheit, die an ein Netzwerk angeschlossen wird, steigt das Risiko von Sicherheitsverletzungen. Wichtig ist deshalb zu wissen, was alles an ein Netzwerk angeschlossen ist. Die meisten industriellen Automatisierungsumgebungen verfügen nur über unzureichende Möglichkeiten für eine Bestandsaufnahme. Moderne Tools hingegen können die Inventarisierung automatisieren. Damit können Berichte täglich oder stündlich erstellt werden.

Gegen Cyberbedrohungen gibt es bewährte und wirksame Gegenmaßnahmen. Zunächst einmal gilt es, einige grundlegende Fragen zu klären: Gibt es im Unternehmen konkurrierende Sicherheitsprioritäten zwischen den Teams, Lücken in den Sicherheitsstrategien oder undefinierte Rollen im Sicherheitsbereich? Für ein sicheres vernetztes Unternehmen sollten dann mehrere konzeptionelle Strategien genutzt werden. Dazu gehören Zero-Trust- und Protect-Surface-Ansätze, die Einrichtung industrieller Demilitarized Zones (IDMZ), Netzwerksegmentierung und Firewalls sowie ein starkes Identitäts- und Zugriffsmanagement, zum Beispiel durch Multi-Faktor-Authentifizierung (MFA).

Wichtig beim Thema Cybersicherheit ist schließlich auch, auf Anbieter zu setzen, die bewährte Produkte einset-

Mit dem richtigen Partner zur intelligenten Fertigung Die individuellen Vorteile der intelligenten Fertigung können je nach Rahmenbedingungen eines Unternehmens unterschiedlicher Art und Ausprägung sein. So gibt es zum Beispiel Firmen, die ihre Stärken zwar im Bereich der OT haben. Oftmals führen viele solcher Unternehmen jedoch nach wie vor Arbeitsschritte analog aus. Mit der Einführung eines MES bieten sich dort zunächst andere Vorteile als bei Firmen, die ihre digitale Transformation bereits stärker vorangetrieben haben.

Eines ist jedoch sicher: Ganz gleich, ob mittelständisches Unternehmen oder Global Player – Unternehmen jeder Größe und Branche können auf vielfältige Weise von Smart Manufacturing und Lösungen wie einem MES profitieren. Als global aufgestellter Konzern mit modernstem Produkt- und Serviceportfolio, jahrelanger Erfahrung und etablierten Partnerschaften unterstützt Rockwell Automation Unternehmen dabei, durch eine intelligentere, zeitgemäße Fertigung Wettbewerbsvorteile zu schaffen und Wachstum zu generieren –schnell, flexibel und mit viel industriellem Knowhow. Die Ergebnisse unserer Kunden sind der beste Beweis dafür, dass wir Daten miteinander verknüpfen können, um Entscheidungen in Echtzeit zu treffen und bessere Ergebnisse zu erzielen.

Bei Rockwell Automation wissen wir: Erfolg misst man nicht an Versprechungen, sondern an Resultaten Produktivität ist der Schlüssel zu allem. Wir entwickeln End-to-End-Automatisierungs- und Informationslösungen, um mehr Unternehmen in mehr Branchen zu helfen, mehr zu produzieren und Wettbewerber zu übertreffen.

Bei Rockwell Automation verknüpfen wir Ihre Daten miteinander, um Entscheidungen in Echtzeit zu treffen und bessere Ergebnisse zu erzielen.

»Cyber-Resilience im IoT und OT«

Sichere Infrastrukturen werden immer wichtiger – auch, um dem Cyber Resilience Act gerecht zu werden. Wie aber lassen sich PCs, Server, Produktionsanlagen, IoT-Geräte aber auch Prozesse absichern und gleichzeitig mit einer eindeutigen Identität versehen, die nicht manipuliert werden kann? Gerald Richter, Geschäftsführer und CTO der Oppenheimer ECOS TECHNOLOGY GmbH, über den sicheren Schutz vor Sabotage und Spionage.

Interview Rüdiger Schmidt-Sodingen

Herr Richter, inwieweit stellt der Cyber Resilience Act Unternehmen, die Produkte mit digitalen Elementen herstellen oder handeln, vor neue Herausforderungen?

Der Cyber Resilience Act stellt zwei grundlegende Forderungen, die in Zukunft gesetzlich festgeschrieben sind: Erstens soll Sicherheit im gesamten Produkt-Life-Cycle vom Design über die Herstellung und Nutzung beim Kunden bis an das Lebensende des Produkts eine zentrale Rolle spielen. Zweitens soll diese Sicherheit transparent für den Kunden werden, so dass Sicherheitserwägungen bei der Wahl eines Produktes mit einbezogen werden können. Sicherheit wurde gerade bei vielen Produkten oft als unbedeutend und zu kostspielig angesehen. Dieses Verständnis muss einer neuen Grundhaltung weichen, die Sicherheit von Anfang an mitdenkt und auch umsetzt.

Was bedeutet das in der Praxis?

Wenn Sicherheit von Anfang mitgedacht wird, schließt das nicht nur

Gerald Richter, Geschäftsführer und CTO der Oppenheimer ECOS TECHNOLOGY GmbH

think about: Industrie

den Designprozess ein, sondern auch die Absicherung der Produktion. Neben dem Schutz vor physischer Manipulation, kommt dem Schutz der Netzwerkkommunikation in beiden Bereichen eine entscheiden Rolle zu. Durch die voranschreitende Vernetzung von allem mit allem lauert hier das größere Gefahrenpotential. Grundlage der Absicherung jeglicher digitaler Kommunikation sind digitale Schlüssel und Zertifikate. Während sich rumgesprochen hat, dass zum Beispiel verschlüsselte Kommunikation zwingend notwendig ist, wird den eigentlichen Schlüsseln und deren sicherer Generierung noch viel zu wenig Aufmerksamkeit geschenkt. Wir bauen also allzu oft sichere Häuser mit unsicheren Schlüsseln. Das ist der Punkt, wo ECOS ansetzt.

Mit ECOS stellen Sie Maschinen eine eindeutige digitale Identitätsbescheinigung aus. Wie funktioniert das?

Ein Großteil der Produkte ist heute »smart«, sie enthalten also »Intelligenz«, die in vielen Fällen mit der Cloud kommuniziert, um ihre Dienste zur Verfügung stellen zu können. Ein wesentlicher Baustein für Sicherheit ist, dass Kommunikationspartner

sich sicher identifizieren können. Dieses wird mittels Maschinenidentitäten, beispielsweise auf Basis von Zertifikaten, umgesetzt. Zertifikate dienen aber nicht nur der Identifikation, sondern auch der Integritätssicherung (Daten sollen nicht manipuliert werden können) und der Verschlüsselung (Daten dürfen nicht von Unbefugten mitgelesen werden). ECOS stellt mit seiner TrustManagementAppliance (TMA) ein System zur Verfügung, dass ein umfassendes Management von Zertifikaten, digitalen Schlüsseln jeglicher Art und Maschinenidentitäten ermöglicht. Wir bieten auf unserer Website herstellerunabhängige Information zu all diesen Themen, genauso wie Lösungen für die sichere digitale Zukunft.

Weitere Informationen via QR-Code:

Genius Tip

»Cyber-Security ist keine Nebensache, sondern Chefsache: Die Verantwortung für Cyber-Security-Maßnahmen liegt bei der Geschäftsführung, während für die Umsetzung die IT und im Falle IoT der Product Owner zuständig ist. Bei der Konzeption neuer vernetzter Produkte ist Security by Design ab sofort zwingend erforderlich.«

SEW-Eurodrive • Genius Partner

Ein Blick zurück: Wachstum der Elektromotoren in den letzten 15 Jahren

Die europäische Ökodesignrichtlinie greift in viele Bereiche der Energieumwandlung ein. Einen großen Einfluss hatte und hat sie in der Industrie –insbesondere bei der Antriebstechnik.

Text Gregor Dietz, Marktmanager, SEW-Eurodrive, Bruchsal

Seit dem Bau der ersten Elektromotoren um das Jahr 1880 lag das Entwicklungsziel bei einer Neukonstruktion aus Preisgründen stets beim effizienten Einsatz des Materials. Hilfreich waren stets auch die Weiterentwicklung der verfügbaren Bauteile, fortschrittliche Berechnungs- und Simulationsmethoden und veränderte Herstellungsprozesse.

Effizienz wird Kriterium

Um die Jahrtausendwende fand ein prägender Sinneswandel statt. Neben dem monetären Einfluss der Materialmenge rückte mehr und mehr die Energieeffizienz ins Zentrum. Um einen fairen Wettbewerb mit vergleichbaren Produkten zu gewährleisten, verfasste und verabschiedete die Industrie Normen mit den Wirkungsgradkassen IE1 bis IE4 für den Betrieb von Elektromotoren am Netz. Diese wurden vom europäischen Gesetzgeber respektiert und im Jahr 2009 verabschiedete Europa das erste Gesetz, das den Mindestwirkungsgrad von Elektromotoren vorgab. Der Gesetzgeber nahm die Fortsetzung der Weiterentwicklung der Materialen und Prozesse für sich in Anspruch und forderte 2011 die Industrie auf, Produkte schon mit dem Mindestwirkungsgrad IE2 anzubieten. Nach

Gregor Dietz, Marktmanager, SEW-Eurodrive, Bruchsal

dem Inkrafttreten gab es für die Industrie ein Zeitfenster von sechs Jahren, um den konstruktiven Wechsel zu IE3 zu vollziehen. 2019 wurde das Gesetz ergänzt und ausgeweitet. Zum 1. Juli 2023 ist die letzte Stufe mit dem IE4-Level für 75 – 200 kW des aktuellen Gesetzes in Kraft getreten.

Gesetzliche Wirkungsgradvorgaben

Stellt man die Entwicklung der letzten zehn bis 15 Jahre nebeneinander, so wird deutlich, dass der Effizienzgedanke den Konstruktionsprozess dominiert und der Menge des eingesetzten Materials nachrangig geworden ist. Das heißt, bei gleicher Leistung ist der Motor gewachsen und stellt damit eine Herausforderung beim Einbau in Maschinen und Anlagen dar. Der Gesetzgeber gibt den Mindestwirkungsgrad vor und überlässt die Realisierung den produzierenden Firmen und den Marktkräften. Vereinzelte nationale Fördermaßnahmen zum Wohle der Wirtschaft sind nur der berühmte Tropfen auf dem heißen Stein.

Nachhaltigkeit und Recycling Neben der Energieeffizienz kommen jetzt die Themen Nachhaltigkeit und Kreislaufeffizienz ins Spiel. Hier setzt der europäische Gesetzgeber unmittelbar auf eine regulatorische Variante und wird bis Mitte der 2020er Jahre Vorgaben und Grenzwerte bestimmen. Schwierig wird es dann, gegenläufige Tendenzen in Einklang zu bringen: Materialeffizienz könnte der Energieeffizienz im Weg stehen, kreislaufkonforme Bauteile den Anspruch an technisch sicheren und

hochqualitativen Produkten konterkarieren. Aber auch hier werden die Industrie und die dort beschäftigten, fähigen Köpfe eine Lösung finden.

Bereits 2008 führte SEW-Eurodrive seinen Motorbaukasten mit der Baureihenbezeichnung DR.. ein. Im Frühsommer 2023 übergab SEW-Eurodrive den zweimillionsten Motor der IE3-Baureihe DRN.. an einen deutschen Kunden. Weltweit wurden schon zehn Millionen IE3-Motoren erfolgreich eingesetzt.

Genius Tip

»Moderne IE3-Motoren sorgen für eine erhebliche Reduzierung der benötigten elektrischen Primärenergie. Noch viel höhere Einsparungen sind möglich, wenn anstelle eines IE3-Motors im Netzbetrieb die IE3-Motoren mit einer Drehzahlregelung eingesetzt werden, und mit einem zeitlichen Anlagenmanagement eine hochwertige energieeffiziente Verwendung entsteht. So ergibt sich auch eine höhere Resilienz zu den demnächst kommenden gesetzlichen Anforderungen.«

Ein wesentlicher Baustein für Sicherheit ist, dass Kommunikationspartner sich sicher identifizieren können.

Digitalisierung sichert den Wirtschaftsstandort

Dass Deutschland über Jahre hinweg den Titel Exportweltmeister trug, lag nicht zuletzt an seinem starken Mittelstand. Besonders die Produktionsund Engineering-Unternehmen der Losgröße 1+, darunter Maschinen- und Anlagenbauer, hatten erheblichen Anteil an diesem Erfolg. Infolge einer sich abschwächenden Konjunktur geht es für sie nun darum, ihre technologische Vorreiterrolle nicht nur zu halten, sondern auszuweiten. Dies gelingt, wenn sie die Möglichkeiten einer durchgängigen Digitalisierung nutzen, um ihre Geschäftsprozesse umfassend zu automatisieren.

Text Martin Hinrichs, Prokurist/Produktmanager, ams.Group

Bereits seit längerem erkennen immer mehr Verantwortliche in mittelständischen Unternehmen der Unikatfertigung die positiven Effekte, die ein hoher Automatisierungs- und Digitalisierungsgrad im Rahmen der Abwicklung ihrer oftmals komplexen Projekte entfaltet. Dabei gewinnen die Unternehmen nicht nur an Effizienz, sondern erhöhen zugleich ihre Widerstandsfähigkeit in unvorhergesehenen Situationen. Als Beispiel für eine solche Situation sei die Corona-Pandemie genannt. Infolge der Kontakt- und Reiseeinschränkungen etablierte sich nicht nur das mobile Arbeiten in ungeahnter Geschwindigkeit, sondern es waren auch jene Unternehmen im Vorteil, die bereits eine Vielzahl digitalisierter Informationen zu ihren ausgelieferten Maschinen besaßen. Aufgrund der Verfügbarkeit von Online-Echtzeitdaten konnten sie vorausschauend statt reaktiv handeln. Die zusätzliche Erkenntnis, dass Service-Techniker nicht mehr zwingend vor Ort sein mussten, führte dazu, dass das Thema Predictive Maintenance Fahrt aufnahm. Dieser Trend hin zu praxistauglichen Industrie-4.0-Konzepten setzt sich ungebrochen fort.

Die Hauptrolle beim Aufbau durchgängig digitaler Szenarien fällt den Systemen für das Enterprise Resource Planning (ERP) zu, deren Wichtigkeit künftig noch massiv zunehmen wird. Ausgestattet mit den notwendigen Funktionalitäten, bilden diese Systeme weiterhin sowohl die gesamten kaufmännischen als auch alle produkttechnischen Aspekte des Wertschöpfungsprozesses ab. Als Antwort auf die fortschreitenden Digitalisierungsanforderungen müssen sie künftig zusätzlich in der Lage sein, eine wachsende Zahl externer Datenquellen, Drittsysteme und peripherer Anwendungen zu integrieren – und dies nahtlos. Im Rahmen einer intelligenten und digitalen Vernetzung fungieren diese Systeme damit als zentrale und offene Datendrehscheiben, auf denen sämtliche relevanten Informationen zusammenlaufen und in der Folge für automatisierte Prozessschritte sowie aussagekräftige Auswertungen bereitstehen. Die über ein modernes ERP-System jederzeit verfügbare 360-Grad-Sicht erhöht die Flexibilität und Reaktionsfähigkeit der Unternehmen.

Integration und Offenheit als Schlüsselfaktoren

Die ams.Group (www.ams-erp.com/ams-erp) geht den Weg größtmöglicher Integration mit ihrem Multiprojektmanagement-ERP-System ams.erp konsequent. Auf dem Gebiet der Maschinendatenerfassung bzw. von Industrie 4.0 kooperiert das Beratungs- und Softwarehaus mit einem Cloud-Anbieter und einem seiner Kunden aus dem Maschinenbau, der ein selbstentwickeltes Sensorinstrument auf den Markt brachte, welches auch die Produktionsdaten älterer

Maschinen erfassen kann. Partnerschaften mit technologieführenden Spezialisten bestehen im Sinne eines Best-ofBreed-Ansatzes darüber hinaus seit langem u.a. im Bereich Finanzwesen oder im Product Data Management. Zudem lassen sich dank eines generischen Schnittstellen-Tools selbst Eigenentwicklungen der Kunden anbinden.

ams baut seine Geschäftsfelder über strategische Partnerschaften weiterhin gezielt aus. In diesem Zusammenhang spielt der Faktor Mobilität eine immer entscheidendere Rolle. Integriert wurde daher u.a. eine moderne Personaleinsatzplanung für die effiziente Disposition und Koordination von Außendienst-, Service- und Montageeinsätzen. Um den Kunden über alle Bereiche einen flexiblen und standortunabhängigen Zugriff auf die volle ERP-Funktionalität zu ermöglichen, bietet ams zudem eine innovative webbasierte Konfigurationsplattform an, über die sich unkompliziert betriebssystemunabhängige, standardisierte Business-Apps zur Abbildung individueller Geschäftsprozesse erstellen lassen.

Natürlich treibt das Unternehmen auch die Erweiterung des Business-Standards von ams.erp konsequent voran. So kam u.a. eine hochmoderne Multiprojektplanung hinzu, die im Zusammenspiel mit dem ERP-System eine bislang ungekannte Mehrstufigkeit der Planung von einer groben bis hinunter auf eine sehr feine Ebene bietet. Zudem ermöglicht ein frei konfigurierbares Collaboration-Tool die lückenlose Statusverfolgung bei der Durchführung von Aufgaben – von der Eingangsmeldung bis zur Erledigung.

Mit Predictive Maintenance ist der Einstieg in die Welt der Künstlichen Intelligenz (KI) gelungen. Derzeit geht es für ams darum, abseits der Maschinendatenerfassung weitere Einsatzfelder für KI zu definieren, um deren vielfältige Möglichkeiten zum Beispiel mit Blick auf die Usability der ERP-Software oder für die detaillierte Prognose vertrieblicher Wahrscheinlichkeiten zu nutzen. Etwa dann, wenn den Usern auf Basis ihrer bisherigen Anwendungsmuster über eine dynamische Benutzeroberfläche automatisch die nächsten Prozessschritte vorgeschlagen werden. Oder wenn sich bei einer Angebotsanfrage das Verhalten von Interessenten oder Kunden aufgrund der Kontakthistorie besser vorhersagen lässt.

Verbesserungen auf allen Ebenen Insgesamt wirkt sich die zunehmende Prozessdigitalisierung sowohl direkt sichtbar als auch auf indirektem Wege positiv aus. Natürlich sorgt die Ablösung ehemals papierbasierter Abläufe zunächst einmal für eine Steigerung der Effizienz, wenn Fehlerquellen eliminiert und der manuelle Aufwand bei der Erledigung von Arbeitsschritten reduziert werden. Aber es steht mehr dahinter: Wenn etwa infolge höherer Effektivität die Kosten sinken, werden mittelständische Produktionsunternehmen auch künftig in einem vermeintlichen Hochlohnland wie Deutschland konstruieren und fertigen

können. Ohne unnötige Verwaltungs- und Routinearbeiten bleibt den Teams mehr Zeit für die Steigerung der Produktqualität und sie tragen mehr zur eigentlichen Wertschöpfung bei. Auch lässt sich wegen des geringeren Personalbedarfs dem allgegenwärtigen Fachkräftemangel entgegenwirken. Es ist sogar denkbar, dass vor diesem Hintergrund gerade Mittelständler bereits ausgelagerte Produktionskapazitäten zurück nach Deutschland holen oder den Schritt ins Ausland vermeiden, was die hiesige Volkswirtschaft stärken würde. Die meisten Unternehmen sind heute davon überzeugt, dass eine durchgängige Digitalisierung direkt zur Produktivität, Transparenz sowie zur Gewinnung von hochqualifiziertem Personal und zur Steigerung der Mitarbeiterzufriedenheit beiträgt. Denn die Generation der Young Professionals lebt Digitalisierung seit langem privat und erwartet demzufolge modernste Arbeitsmethoden.

Neben der Mitarbeiterzufriedenheit verbessert Digitalisierung auch die Kundenbindung zwischen Anlagenproduzenten und -betreibern, wenn sich anbahnende Fehler dank Maschinendatenerfassung im Vorfeld remote beheben lassen. Mithilfe dieser Art von digitalem Frühwarnsystem lassen sich neuartige, individuell angepasste Service- und Wartungsmodelle aufbauen, die sich beispielsweise an der tatsächlichen Maschinenleistung anstatt an Zeitintervallen orientieren oder verschleißanfällige Bauteile besonders berücksichtigen.

Genius Tip

»Digitalisierung trägt entscheidend dazu bei, systemrelevante Güter mit großer Innovationsdynamik weiterhin in Deutschland fertigen zu können. Mit ERP-unterstützten Prozessen steigt der Automatisierungsgrad dynamisch, während der Lohnkostenanteil erheblich sinkt. Die Wettbewerbsfähigkeit am Standort Deutschland wird somit auch im globalen Vergleich nachhaltig gestärkt.«