RWE zählt zu den fünf führenden Strom- und Gasversorgern in Europa. Der Konzern ist in der Stromerzeugung, dem Energiehandel sowie dem Transport und dem Vertrieb von Strom und Gas tätig. Über 70.000 Mitarbeiter versorgen mehr als 16 Millionen Kunden mit Strom und rund 8 Millionen Kunden mit Gas. Im Geschäftsjahr 2010 erwirtschaf­tete RWE Umsatzerlöse von rund 53 Mrd. €. Heiner Jerofsky von GIT-SICHERHEIT.de sprach mit dem Leiter Konzernsicherheit ­Michael Schmidt über die Bedeutung seines Aufgabenbereichs sowie über Sicherheitsziele, -stra­tegien und ­seine persönliche Lage­einschätzung.

GIT-SICHERHEIT.de: Können Sie unseren Lesern den Bereich Konzernsicherheit, deren Kern­aufgaben und Bedeutung innerhalb des weltweiten Konzerns erklären?

Michael Schmidt: Das Spektrum der Konzernsicherheit ist vielfältig. Ausgehend von der Gefährdungsanalyse werden strategische Themen wie Objekt-, Veranstaltungs-, Personen- und Informationsschutz verantwortet; aber auch Reisesicherheit, Cyberforensik und Forensik, Krisenmanagement, Business Continuity Management und Security Regulatory Affairs gehören zu den wesentlichen Aufgaben der Konzernsicherheit. Die Strategie schafft die Rahmenbedingungen bzw. Vorgaben und gestaltet die dazugehörigen Prozesse.

Security Compliance Audits schließen dann den Regelkreis ab. Die Konzernsicherheit ist innerhalb von RWE etabliert, und ihre Bedeutung wurde in den vergangenen Jahren mehrfach bestätigt. Gemeinsam mit den verschiedenen Konzerngesellschaften wurden die eingangs erwähnten Zuständigkeiten erörtert, Schnittstellen und Meldewege im Bereich Security vereinbart. Auch operativ für z. B. Forensik, Krisenübungen und Einzel­themen (wie z. B. die Evakuierungen der Dea-Mitarbeiter in Nordafrika) ist die Konzernsicherheit immer dann dabei, wenn mehrere Konzerngesellschaften betroffen sind oder es sich um besondere Lagen handelt. Durch die Schnelligkeit des heutigen Informationsflusses (Internet, Twitter etc.) haben wir auch festgestellt, dass die großen Probleme oder Fragen immer auch in den Konzernzentralen landen.

Der Bereich Konzernsicherheit ist im Group Center der RWE AG angesiedelt, und dort berichte ich an den Personalvorstand. Die Corporate Governance von RWE regelt, dass ich in einem gesetzten Rahmen auch fachlich zuständig für das Thema in den Konzerngesellschaften bin. Die Konzernsicherheit als übergeordnete, steuernde Organisationseinheit besteht aus Experten für die verschiedenen Fachgebiete. In den Konzerngesellschaften gibt es jeweils als „single point of contact" Security Manager, die die operative Umsetzung verantworten. Daneben gibt es in der RWE Service GmbH eine Sparte „Sicherheits-Services", in der die operativen Dienstleistungen gebündelt sind. Um eine einheitliche Steuerung sicherzustellen, bin ich in Personalunion auch Bereichsleiter dieser Sparte. Das heißt: „Was ich strategisch plane, muss ich auch operativ umsetzen." Damit kommen wir dem Realisierungsgrad als sogenannter Business En­abler sehr nah.

Wie komplex stellen sich eigentlich die ­Security-Anforderungen an ­einen Energie­versorger dar?

Michael Schmidt: Wenn man den Strom als etwas Selbstverständliches betrachtet, das aus der Steckdose kommt, erscheint die Energieversorgung sehr einfach. Schaut man aber hinter die Kulissen, sieht man sehr komplexe, teilweise ineinander vernetzte Strukturen. Aus Security-Sicht gibt es zentrale Verwaltungsgebäude mit vielen Mitarbeitern und Entscheidungsträgern. Für die Steuerung gibt es technische Leitzentralen und „Trading Floors". In der Erzeugung gibt es ein Portfolio aus fossilen Großkraftwerken, die permanent besetzt sind, und kleineren Anlagen, wie z. B. die erneuerbaren Energien, wo in der Regel keine Mitarbeiter vor Ort sind. Den fossilen Großkraftwerken vorgeschaltet sind die Beschaffungsketten der Energieträger bzw. im Fall von RWE die eigene Braunkohlenförderung. RWE betreibt mit der Mittelplatte die einzige Bohr- und Förderinsel für Erdöl in Deutschland. In der Verteilung des Stroms handelt es sich es dagegen um eine komplett dezentrale Struktur. Es gibt nur wenige ständig besetzte Stellen, eine Vielzahl von Knoten unterschiedlicher Spannungsebenen (Umspannwerke, Ortsnetzstationen) etc. und dazwischen viele Leitungen (und Masten). Ich könnte diese Aufzählung beliebig fortsetzen und bin dabei noch nicht einmal auf unsere Auslandsaktivitäten eingegangen. Die Botschaft hier ist: Sie müssen die physische und kaufmännische Seite des Geschäftes verstehen und auf Basis eines Integrierten Security-Gesamtkonzeptes Prioritäten setzen, ansonsten ist die Gefahr groß, sich zu verzetteln.

Welche besonderen Ziele und Strategien ­verfolgen Sie und Ihre Mitarbeiter dabei vorrangig und wie hoch sind die Schäden für Ihren Konzern, die durch kriminelles Handeln entstehen?