RWE zählt zu den fünf führenden Strom- und Gasversorgern in Europa. Der Konzern ist in der Stromerzeugung, dem Energiehandel sowie dem Transport und dem Vertrieb von Strom und Gas tätig. Über 70.000 Mitarbeiter versorgen mehr als 16 Millionen Kunden mit Strom und rund 8 Millionen Kunden mit Gas. Im Geschäftsjahr 2010 erwirtschaf­tete RWE Umsatzerlöse von rund 53 Mrd. €. Heiner Jerofsky von GIT-SICHERHEIT.de sprach mit dem Leiter Konzernsicherheit ­Michael Schmidt über die Bedeutung seines Aufgabenbereichs sowie über Sicherheitsziele, -stra­tegien und ­seine persönliche Lage­einschätzung.

GIT-SICHERHEIT.de: Können Sie unseren Lesern den Bereich Konzernsicherheit, deren Kern­aufgaben und Bedeutung innerhalb des weltweiten Konzerns erklären?

Michael Schmidt: Das Spektrum der Konzernsicherheit ist vielfältig. Ausgehend von der Gefährdungsanalyse werden strategische Themen wie Objekt-, Veranstaltungs-, Personen- und Informationsschutz verantwortet; aber auch Reisesicherheit, Cyberforensik und Forensik, Krisenmanagement, Business Continuity Management und Security Regulatory Affairs gehören zu den wesentlichen Aufgaben der Konzernsicherheit. Die Strategie schafft die Rahmenbedingungen bzw. Vorgaben und gestaltet die dazugehörigen Prozesse.

Security Compliance Audits schließen dann den Regelkreis ab. Die Konzernsicherheit ist innerhalb von RWE etabliert, und ihre Bedeutung wurde in den vergangenen Jahren mehrfach bestätigt. Gemeinsam mit den verschiedenen Konzerngesellschaften wurden die eingangs erwähnten Zuständigkeiten erörtert, Schnittstellen und Meldewege im Bereich Security vereinbart. Auch operativ für z. B. Forensik, Krisenübungen und Einzel­themen (wie z. B. die Evakuierungen der Dea-Mitarbeiter in Nordafrika) ist die Konzernsicherheit immer dann dabei, wenn mehrere Konzerngesellschaften betroffen sind oder es sich um besondere Lagen handelt. Durch die Schnelligkeit des heutigen Informationsflusses (Internet, Twitter etc.) haben wir auch festgestellt, dass die großen Probleme oder Fragen immer auch in den Konzernzentralen landen. Der Bereich Konzernsicherheit ist im Group Center der RWE AG angesiedelt, und dort berichte ich an den Personalvorstand. Die Corporate Governance von RWE regelt, dass ich in einem gesetzten Rahmen auch fachlich zuständig für das Thema in den Konzerngesellschaften bin. Die Konzernsicherheit als übergeordnete, steuernde Organisationseinheit besteht aus Experten für die verschiedenen Fachgebiete. In den Konzerngesellschaften gibt es jeweils als „single point of contact" Security Manager, die die operative Umsetzung verantworten. Daneben gibt es in der RWE Service GmbH eine Sparte „Sicherheits-Services", in der die operativen Dienstleistungen gebündelt sind. Um eine einheitliche Steuerung sicherzustellen, bin ich in Personalunion auch Bereichsleiter dieser Sparte. Das heißt: „Was ich strategisch plane, muss ich auch operativ umsetzen." Damit kommen wir dem Realisierungsgrad als sogenannter Business En­abler sehr nah.

Wie komplex stellen sich eigentlich die ­Security-Anforderungen an ­einen Energie­versorger dar?

Michael Schmidt: Wenn man den Strom als etwas Selbstverständliches betrachtet, das aus der Steckdose kommt, erscheint die Energieversorgung sehr einfach. Schaut man aber hinter die Kulissen, sieht man sehr komplexe, teilweise ineinander vernetzte Strukturen. Aus Security-Sicht gibt es zentrale Verwaltungsgebäude mit vielen Mitarbeitern und Entscheidungsträgern. Für die Steuerung gibt es technische Leitzentralen und „Trading Floors". In der Erzeugung gibt es ein Portfolio aus fossilen Großkraftwerken, die permanent besetzt sind, und kleineren Anlagen, wie z. B. die erneuerbaren Energien, wo in der Regel keine Mitarbeiter vor Ort sind. Den fossilen Großkraftwerken vorgeschaltet sind die Beschaffungsketten der Energieträger bzw. im Fall von RWE die eigene Braunkohlenförderung. RWE betreibt mit der Mittelplatte die einzige Bohr- und Förderinsel für Erdöl in Deutschland. In der Verteilung des Stroms handelt es sich es dagegen um eine komplett dezentrale Struktur. Es gibt nur wenige ständig besetzte Stellen, eine Vielzahl von Knoten unterschiedlicher Spannungsebenen (Umspannwerke, Ortsnetzstationen) etc. und dazwischen viele Leitungen (und Masten). Ich könnte diese Aufzählung beliebig fortsetzen und bin dabei noch nicht einmal auf unsere Auslandsaktivitäten eingegangen. Die Botschaft hier ist: Sie müssen die physische und kaufmännische Seite des Geschäftes verstehen und auf Basis eines Integrierten Security-Gesamtkonzeptes Prioritäten setzen, ansonsten ist die Gefahr groß, sich zu verzetteln.

Welche besonderen Ziele und Strategien ­verfolgen Sie und Ihre Mitarbeiter dabei vorrangig und wie hoch sind die Schäden für Ihren Konzern, die durch kriminelles Handeln entstehen?

Michael Schmidt: Strategisch haben wir sechs wesentliche Ansätze definiert:

• Security-Rahmen: Finalisierung von Regelwerken, Strukturen und Prozessen.
• Objektschutz: Clusterung von Objekten gemäß Mindeststandards, Aufnahme der Ist-Situation, Durchführen von Soll-Ist-Abweichungen, Um-/Aufrüsten von Objekten gemäß Prioritäten, Setzen von technischen Standards und Einbringen der Standards in die Einkaufsprozesse.
  Informationsschutz: Etablierung eines medien- und technikübergreifenden In­formationsschutzes. Die Konzernsicherheit hat vor über zwei Jahren vom
•  IT-Bereich die strategische IT-Security über­nommen, und die Zusammenführung hat sich bewährt.
• Krisenmanagement: Verbesserung von Organisation, Equipment, Schnittstellen und Übungssituation. Wie wichtig ein funktionsfähiges Krisenmanagement werden kann, haben die ­Evakuierungen von Mitarbeitern in Nordafrika Anfang des Jahres gezeigt.
• Reise-Sicherheit: Hier ist die Konzernsicherheit als Ansprechpartner gefragt. Die Prozesse sind mittlerweile derart automatisiert, dass wir sofort von geplanten Reisen in von uns als kritische bewertete Regionen oder Länder Kenntnis erhalten und etwaige notwendige Maßnahmen initiieren können.
• Schaffen von Security Awareness: Wir sind dabei, die Security-Themen nach der Eta­blierung auf der Managementseite jetzt stärker bei den Mitarbeitern zu verankern. Die gerade erfolgte Überarbeitung unseres Intranet-Aufrittes zu einem Security-Portal ist dabei ein erster Schritt.

Zum zweiten Teil Ihrer Frage. Unser konzernweites Meldesystem für zweifelhafte Handlungen läuft jetzt im dritten Jahr und wird immer besser angenommen. Hier arbeitet der Forensik-Bereich Hand in Hand mit den Behörden. Derzeitige Schwerpunkte sind Diebstähle von Materialien - Kupferdiebstähle vor allem, befördert durch die Preisentwicklung in den vergangenen Jahren.

Die öffentliche Stimmungsmache gegen die „Atomkonzerne" hat auch zu einem Anstieg von Straftaten wie z. B. Sachbeschädigungen gegen unser Eigentum, aber vereinzelt auch gegen Mitarbeiter geführt. Energieversorger sind nach wie vor ein Diskussionsschwerpunkt und Angriffsziel des linksextremistischen Spektrums.

Energieversorger müssen nach Einschätzung von Sicherheitsexperten besonders hohe Anforderungen zum Schutz ihrer Mitarbeiter und Anlagen erfüllen. Angriffe und Störungen in der Gas- oder Stromversorgung haben große Auswirkungen auf die gesamte Bevölkerung, Wirtschaft und unseren Wohlstand. Können Sie unseren Lesern einen groben Einblick in Ihr Sicherheitskonzept geben?

Michael Schmidt: Sie sprechen auf die Thematik der kritischen Infrastruktur an. Hierzu gibt es diverse Aktivitäten auf der politischen Ebene, und zusammen mit den anderen großen Versorgern stehen wir im Dialog mit der Politik. Wir arbeiten in diversen Gremien zusammen und orientieren uns intern an Empfehlungen, wie z. B. dem „Basisschutzkonzept". Was ich jedoch kritisch sehe, ist die Entwicklung von „Horrorszenarien", insbesondere mit unterstellten terroristischen Handlungen mit den Forderungen an die Energieversorger, jetzt bitte schön das gesamte System präventiv „absolut sicher gegen alle äußeren Einflüsse" zu gestalten. Eine derartig ausgeprägte vernetzte Flächenstruktur ist nicht vollständig zu sichern; wesentlich zielgerichteter ist die Sicherung von wichtigen Knoten und die Bereitstellung von Wiederherstellungskapazitäten. Die sichere Energieversorgung war immer ein gesetzlich festgeschriebener Auftrag unserer Branche. Auf der technischen Seite wurde dieser erfüllt mit Reservekapazitäten bei Kraftwerken sowie Redundanzen und intelligenter Planung bei den Netzen. Dar­über hinaus wurden und werden entsprechende Wiederherstellungskapazitäten mit Material und Mitarbeitern vorgehalten. Ob die Komponente nun aufgrund eines Anschlages oder aufgrund technischen Versagens ausfällt, ist eigentlich für die nachgelagerten Prozesse der technischen Wiederherstellung sekundär. Als Security leisten wir einen Beitrag durch die verstärkte Absicherung der Knoten und Anlagen sowie die Absicherung der Materialien. Hinzu kommen unsere Beiträge zu Krisenmanagement und Business Continuity Management. Derzeit schauen wir verstärkt auf mögliche Bedrohungen durch die Vernetzung von ITK-Systemen. Bei der Diskussion um die kritische Infrastruktur wird auch der Konflikt zwischen den Anforderungen des Wettbewerbs und denen der Security offenkundig. Wenn etwa staatlicherseits z. B. durch die Vorgabe von Szenarien ein höheres Schutzniveau gewollt ist, als es die Analysen seitens der Versorger ergeben, so ist auch die Frage zu klären, wer die Mehrkosten trägt. Dieses gilt insbesondere im Bereich der Netze, wo die Anreizregulierung die Netzbetreiber verpflichtet, Effizienzziele und -verbesserungen zu erreichen. Das wirtschaftspolitische Ziel ist die Senkung der Durchleitungsgebühren.

Sicherheit ist ein dehnbarer Begriff und ist immer dann erreicht, wenn nichts passiert. Aufwendungen für Präventivmaßnahmen sind daher schwer zu begründen, solange keine großen Schäden eintreten. Können Sie unseren Lesern Ihre Sicherheitsphilosophie erklären und wie schaffen Sie den Spagat zwischen ­effektiven Schutzmaßnahmen und verträglichen Kosten?

Michael Schmidt: Diese Zuspitzung kann ich weder für RWE noch für meine Zeit bei der Deutschen Post World Net bestätigen. Es gibt hier wie dort ein ganz klares Bekenntnis des Gesamtvorstandes zu einer funktionsfähigen Security, um Mitarbeiter und materielle sowie immaterielle Vermögenswerte zu schützen. Natürlich gibt es Konflikte über die Verteilung von innerbetrieblichen Ressourcen, mit denen man umgehen muss. Um hier zu bestehen, ist es erforderlich, sich umgehend ein Bild über die Art und den Umfang etwa von dolosen Handlungen zu verschaffen. Sie brauchen also quasi „Echtzeit-Informationen" und können sich nicht auf globale Bedrohungsszenarien zurückziehen, um wahrgenommen zu werden. Die gleiche Transparenz brauchen Sie auch bezüglich der Ressourcen und Aufwendungen für Security. Es gilt Notwendigkeit, Synergiepotentiale, Bündelungseffekte, Technik- oder Personaleinsatz sowie Make-or-Buy-Entscheidungen permanent zu hinterfragen. Benchmarking und Marktvergleiche dürfen auch einem Security-Bereich nicht fremd sein. RWE ist derzeit in der Situation, dass in der ausgeprägten, historisch gewachsenen Flächenstruktur insbesondere im Objektschutz die verschiedensten Lösungen im Einsatz sind. Über die zentrale Konzernsicherheit, die erst seit wenigen Jahren in der jetzigen Form besteht, können wir zusammen mit den Konzerngesellschaften aber heute die Standardisierungen vorantreiben. Damit ist es möglich, sowohl Schutzniveaus als auch Kostenlage zu verbessern. Natürlich sind diese Trade-off-Möglichkeiten aber auch irgendwann einmal an ihrem Ende angelangt.

Die Kernkraftwerke bis zu ihrem endgültigen Rückbau, alle anderen Kraftwerke und Anlagen, aber auch die Strom- und Gasnetze müssen vor terroristischen und kriminellen ­Angriffen gut geschützt werden. Wie operieren die Sicherheitskräfte und welche besonderen Qualifikationen verlangen Sie von Ihrem Sicherheits­personal an solchen wichtigen Positionen?

Michael Schmidt: Bei den Kernkraftwerken greift das Atomrecht, und die staatlichen Aufsichtsbehörden geben hier sehr explizite Vorgaben. Eine im Übrigen sehr kompetente und gute Sicherheitspartnerschaft, in der wir uns nicht erst seit den Ereignissen des 11. September mit dem Thema auseinandersetzen. Bei den Strom- und Gasnetzen gibt es im übertragenen Sinn Autobahnen, Bundes-, Land- und Kreisstraßen. Gas-„Autobahnen" hat RWE in Deutschland nicht betrieben, und mit unserer Ex-Tochter Thyssengas wurden auch die „Bundesstraßen" verkauft. Die „Stromautobahnen" sind bei Amprion gebündelt, an der RWE 25,1 Prozent hält. Das Thema Sicherheit verlieren wir aber auch hier nicht aus den Augen. Für den Einsatz bei RWE im Objektschutz gilt übergreifend, dass das eingesetzte Security-Personal nach § 34 a Gewerbeordnung in Verbindung mit §§ 1 ff. qualifiziert wird oder eine adäquate Ausbildung erhalten hat. Dies wird kontinuierlich fortgesetzt.

Zum Schutz aller Anlagen ist ein sehr hoher technischer Aufwand nötig. Welche Techniken aus den Bereichen Leistellentechnik, Perimeterschutz, Zutrittskontrolle und Videoüberwachung haben sich Ihrer Ansicht nach für einen Konzern Ihrer Größe in der Praxis bewährt?

Michael Schmidt: Ich möchte an dieser Stelle ungern über einzelne Techniken reden, das würde in diesem Zusammenhang zu weit führen. Generell geben wir seitens der Konzernsicherheit die Spezifikationen für u. a. Alarmsysteme, Video-/Zutrittskontrollsysteme vor, indem wir die Produkte in den elektronischen Einkaufskatalog übernehmen. Die Konzerngesellschaften bedienen sich hieraus, und wir gewährleisten so etwa die Kompatibilität von eingesetzten Sicherheitssystemen. Ein Schwerpunkt der jüngsten Zeit war die Weiterentwicklung der Service-Card, des RWE-Mitarbeiterausweises. Der vorher verwandte Chiptyp hatte Schwachstellen und wurde gehackt, sodass sofort ein Konzept für eine Weiterentwicklung auf Basis von Best-Practices her musste. Das hieraus entwickelte und in der Fachpresse sowie auf diversen Tagungen veröffentlichte White Paper löste bei den Herstellern Neuentwicklungen in Richtung des skizzierten Anforderungsprofils aus. Gemeinsam mit einem anderen DAX-Konzern hat RWE die notwendige Software entwickelt. In der Folge haben wir vor, den Ansatz als Standard der „International Organisation for Standardization" (ISO) zu etablieren. Ein Novum, dass ein Kunde den Weg für Lieferanten aufzeigt! Selbstverständlich sind wir immer offen für technische Verbesserungen wie Wärmebildkameras, biometrische Systeme oder Drohnen, die wir punktuell einsetzen bzw. einsetzen wollen. Aber bei aller Affinität für Sicherheitstechnologien darf der gesamte Prozess nicht aus dem Blick geraten. Die Videokamera allein verbessert noch nicht das Schutzniveau - wenn man von der reinen Prävention einmal absieht. Hinter der Kamera steht eine ganze Wirkungskette, angefangen von der Aufschaltung auf eine ständig besetzte Stelle, dem richtigen Erkennen und Einschätzen von Ereignissen bis hin zur sachgerechten Intervention und Wiederherstellung des ursprüngliches Zustandes. Das müssen wir gesamtheitlich im Auge behalten, und dafür brauchen wir ausgebildetes Sicherheitspersonal.

Versorgungsunternehmen bewegen sich in einem sich schnell wandelnden Markt. Neben den Wachstumschancen müssen auch zunehmend Risiken betrachtet werden, denn die Sicherheitslage ändert sich täglich und kann in kürzester Zeit schnell zur gefährlichen Unternehmenskrise werden. Welche grundsätzlichen Vorkehrungen im Bereich Krisenma­nagement treffen Sie, um bei solchen kritischen Entwicklungen zu reagieren, und haben sich durch den Atomunfall in Japan Ihre Planungen und Einstellungen verändert?

Michael Schmidt: Unser Konzept ist auf Stabilität und Verlässlichkeit aufgebaut. Mit unserem Motto - „Agieren statt Reagieren" - gehört jegliche Form von Aktionismus der Vergangenheit an. Der Atomunfall in Japan hat wie kein anderes Ereignis zu einer ganzen Facette von Maßnahmen geführt. Wie Sie wissen, gab es „Stresstests", die auch Sicherheitsüberprüfungen beinhalteten. Ansonsten ruhen wir uns nie auf unseren Lorbeeren aus und verbessern sukzessive unser Krisenmanagement. So arbeiten wir eng mit staatlichen Stellen zusammen, in Sicherheitspartnerschaften, beim Austausch in Sicherheits-Verbänden, mit Übungen wie Lükex. Wertvolle Erkenntnisse haben wir durch die Evakuierungen unserer Mitarbeiter in Ägypen und Libyen gewonnen. Eine der nächsten Herausforderungen wird das Re-Entry in Libyen sein, wenn dort die Situation stabiler ist.

Unsere Leser sind Fachleute, Anwender und Hersteller aus allen Bereichen und an unterschiedlichen Standorten, die mit Organisation, Technik und Personal Sicherheitsprobleme zu lösen versuchen. Wie können Sie ständig die objektspezifische Lage und Gefährdung einzelner Anlagen beurteilen und was sind derzeit vorrangige Sicherungsschwerpunkte?

Michael Schmidt: Aufgrund der Vielzahl der Objekte sind Cluster und die dazu gehörigen Security-Anforderungen beschrieben. Der wichtigste Baustein dabei war es, das Budget für die Sicherheitsthemen in den laufenden Prozessen zu verankern. Es werden immer alle Verständnis für Vorschläge zur Verbesserung der Security haben, aber was nützt das, wenn kein Geld da ist. Daneben haben wir eine Fachabteilung, die sich mit dem Thema Sicherheitstechnik ausführlich und kompetent beschäftigt. Die Kollegen beobachten den Markt genau und sind deshalb auf dem Laufenden. Zusammen mit der Auswerteeinheit in meinem Bereich haben wir unsere Nasen bei Lage- und Gefährdungsanalysen ständig im Wind und können zeitnah Sicherheitsschwerpunkte erkennen und lösen.

Die Zusammenarbeit mit unterschiedlichen Sicherheitsbehörden ist bei vielen Objekten und Aufgaben notwendig und wichtig. Wie wichtig sind Informationen, Einschätzungen und Lagebeurteilungen aus diesen Quellen und welche Informationen und Fachleute binden Sie noch in Ihr jeweiliges regionales Lagebild ein?

Michael Schmidt: Sehr wichtig! Wir führen generell regelmäßig eigene Open-Source-Analysen durch; dabei nutzen wir insbesondere das Know-how der Security Manager aller RWE-Konzerngesellschaften und das der Behörden und Verbände (ASW, VSW, ACFE, ASIS, BDI AFS, BKA GP Initiative etc). Im Bereich der Reise-Sicherheit bedienen wir uns eines Anbieters für Länderanalysen.

Wie beurteilen Sie die allgemeine Sicherheitslage für derartige Großkonzerne in Europa und weltweit?

Michael Schmidt: Die allgemeine Sicherheitslage wird international tendenziell schwieriger. Die Energieversorgung hat neben den Anforderungen aus dem Markt auch immer eine nationale und soziale Komponente. Die Bereitstellung von preiswerter Energie ist für die Stabilität vieler Länder eine hochkritische Frage. Um diese Kritikalität wissen natürlich auch diejenigen, die diese staatlichen Ordnungen untergraben wollen. Und damit geraten zwangsläufig die internatio­nal agierenden Energieversorger in den Fokus. Dazu kommt die Problematik einer Kriminalität, die international agiert, während die staatlichen Sicherheitsstrukturen sich nicht globalisieren. Mein persönlicher Wunsch ist daher der energische Aufbau europäischer und internationaler auch operativer Sicherheitsbehörden. Allerdings für Deutschland kann ich das Zugehen der Sicherheitsbehörden auf die Wirtschaft nur begrüßen. Hier gehen wir den richtigen Weg.