Nebenberuflich als Sicherheitsfachkraft den Master machen, geht das? Bernd Zimmermann (bz) befragte dazu den Direktor des Instituts für Compliance & Corporate Governance an der RFH, Prof. Stefan Vieweg (sv).
Über den engen Zusammenhang von Compliance und Security.
Herr Prof. Vieweg, Sie haben vor ein paar Wochen einen Gastbeitrag im Sicherheits-Berater, Heft 23/2023, beigesteuert, der am 1. Dezember erschien. Dabei ging es um das Thema Resilienz bzw. um Ihre Forschung zur Ermittlung des Resilienz-Reifegrades von Unternehmen. Unsere Autoren wie auch Gastautoren stellen wir gern in drei Zeilen biografischer Information vor. Bei Ihnen hatten wir die Qual der Wahl bei den ganzen Abschlüssen und Tätigkeitsfeldern, die man in Ihrer beruflichen Biografie vorfindet. Wie also dürfen wir Sie hier vorstellen?
Für die Zwecke dieses Interviews, es soll ja um unseren Studiengang gehen, können Sie mich gern als Studiengangsleiter und Institutsdirektor vorstellen. Mit „Institut“ ist hier das Institut für Compliance & Corporate Governance an der Rheinischen Fachhochschule Köln, University of Applied Sciences, gemeint.
Dort gibt es den weiterbildenden Masterstudiengang „Compliance & Corporate Security (LL.M.)“. Welche Zugangsvoraussetzung muss man dafür mitbringen?
Also Abitur reicht dazu nicht. Auch als TÜV-Datenschutzbeauftragter erfüllen Sie die Voraussetzungen leider noch nicht. „Weiterbildend“ bedeutet, dass sie bereits einen Bachelorabschluss oder eine vergleichbare Qualifikation mit 210 Credit Points mitbringen und sich dann aus dem Beruf heraus an unserer privaten Fachhochschule bewerben. Im Einzelfall können bis zu 30 Credit Points auch über Berufserfahrung angerechnet werden, in diesem Falle reicht also ein Bachelor mit 180 CPs aus.
Das heißt, Ihre Studentinnen und Studenten arbeiten nach wie vor weiter und studieren nebenberuflich. In welchen Berufen sind sie denn tätig?
Im Master-Studiengang Compliance & Corporate Security stehen alle Studierenden im Beruf und arbeiten zum Beispiel als Security Officer oder Sicherheitsverantwortliche. Wir haben auch einen Sicherheitschef mit der Verantwortung für 200 Leute. Oder sie sind bereits bei ihrem Arbeitgeber für Compliance zuständig, im Risikomanagement oder als Juristen tätig.
Unsere Lehrveranstaltungen finden freitags und samstags hybrid statt. Das heißt, teilweise kommen die Studenten nach Köln, teilweise nehmen sie online an unserem seminaristischen Unterricht in Arbeitsgruppen teil, nutzen unsere elektronisches Whiteboard, tauschen sich aus und werden von uns Dozenten betreut.
Können Sie ein paar Themen von Masterarbeiten Ihrer Studenten nennen?
Viele schreiben Masterarbeiten zum Thema IT-Security, zum Beispiel über den ISMS-Aufbau, also Managementsysteme für Informationssicherheit. Dann haben wir Masterarbeiten zum Hinweisgeberschutzgesetz oder zum Lieferkettensorgfaltsgesetz. Neulich reichte jemand das Thema DAO ein. Das steht für Decentralized Autonomous Organization, also praktisch eine Art organisatorisches Entnetzungsmodell nach dem Bitcoinprinzip. Da soll unter anderem die Frage diskutiert werden, wer denn haftet, wenn dieses Modell versagt. Der Vorschlag des Studenten lautete, einen Verein nach Schweizer Recht zu gründen. Andere widmen sich der Frage, wie sich ein Frühwarnsystem um geopolitische Risikofaktoren erweitern lässt, oder sie analysieren die datenschutzrechtliche Voraussetzung der Künstlichen Intelligenz. Eine unserer Studentinnen hat ein IT-Compliance-System vorgestellt. Ihre Arbeit wurde dann als beste Masterarbeit bundesweit bewertet und sie erhielt vergangene Wochen den Nachwuchsförderpreis 2023 vom BCM – dem Berufsverband der Compliance Manager.
Ich interviewe sehr gern Studentinnen oder Studenten zu deren Magisterarbeit mit Sicherheitsbezug …
Den Hinweis gebe ich gelegentlich gern weiter.
Das Thema Compliance habe ich bislang als Randthema des Sicherheitsthemas wahrgenommen. Auf der Webseite der RFH bzw. des Studiengangs stieß ich dann auf die Aussage „Compliance ist nicht von Security zu trennen“.
Compliance spielt in Deutschland ab spätestens 1998, seit Inkraftsetzen des KonTraG, also des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich, eine zunehmend wichtige Rolle. Der Deutsche Corporate Governance Kodex stellt wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften dar. Seitdem müssen Aktiengesellschaften jedes Jahr eine Entsprechungserklärung abgeben, inwieweit sie den Kodex befolgen. „Comply or explain“ lautete fortan die Devise.
Sodann war überall mehr Transparenz gefragt. Natürlich hat der Gesetzgeber auch auf die Finanzkrise reagiert – als die Banken reihum umgekippt sind. Ich möchte nur noch kurz Stichworte wie KYC, also „Know your Customer“, MaRisk, Basel III und so weiter nennen. Zeitweise entstanden bis zu 200 neue Regeln pro Tag. Und das Ganze setzt sich bis heute weiter fort mit Themen wie Nachhaltigkeit, Green Deal, Lieferkettensorgfaltspflichtengesetz etc. Der Druck auf die Unternehmen wird also immer stärker. Das wiederum bedeutet, dass ich Strukturen in den Unternehmen verankern muss, die die neuen Herausforderungen bewältigen können. Durch die Digitalisierung kommt es zunehmend zu wirtschaftskriminellen Aktivitäten. 13 Prozent der Unternehmen sind bereits Opfer von Wirtschaftskriminalität geworden. Heute stellt sich nicht mehr die Frage, ob ich von einem Cyberangriff erwischt werden, sondern wann. Die Cybersecurity, aber auch die physische Sicherheit, verzeichnen nie gekannte Umsatzzahlen. Kurzum, Compliance und Unternehmenssicherheit gehören sehr eng zusammen.
Sie vermitteln Ihren Studenten somit ein umfassendes Verständnis für Regelwerke rund um Compliance und Security?
Ja, einerseits. Aber andererseits geht es in unserem Studiengang um einen umfassenden und ganzheitlichen Kompetenzerwerb, theoretisch fundiert, aber mit Praxisbezug. Compliance ist auch das Einhalten interner Regeln, sogenannter „Policies“. Dazu braucht es fachübergreifende Kompetenz. Wir brauchen zudem Strukturen im Unternehmen, die auch funktionieren. Regeln alleine reichen nicht aus.
Ein Beispiel:
Cum-Ex, Wirecard, der RBB-Skandal, solche Vorkommnisse zeigen, dass Regeln alleine nicht genügen. Die Verantwortlichen müssen wissen, wie man Internal Investigations anstellt, welche Dokumente angeguckt werden dürfen, ob Mitarbeiter überhaupt interviewt werden dürfen. Ich bin überzeugt davon, dass neben dem Verfassen von Regeln auch der Mensch die Lösung eines Sicherheitsproblems sein kann.
Betrug, Veruntreuung, Wirtschaftsstrafrecht, aber auch das Thema Resilienz sind hier im Studiengang stark verankert. Business Desaster Management oder Crisis Management sind bereits sehr gut mit Regelwerken beschrieben. Aber wenn man sich die konkreten Desaster anschaut, stellt man immer wieder fest, hier hat zum Beispiel ein Mensch einen kontaminierten Webbrowser heruntergeladen. Das beschäftigt uns dann auch von der Forschungsseite. Wie kann es gelingen, das Einhalten der Regeln, die Compliance, zu gewährleisten?
In Ihrem eben genannten Beitrag für den Sicherheits-Berater analysieren Sie die Voraussetzung zur Erlangung eines Resilienz-Reifegrades von Unternehmen.
Die Erkenntnisse stammen aus einer unserer Forschungsarbeiten. Dabei haben wir zum Beispiel herausgefunden, dass zwischen dem Reifegrad der Resilienz und deren Finanzierung eine klare Nichtlinearität besteht. Einfach erklärt: Werfe ich das doppelte Geld hinein, bekomme ich nicht zwingend das doppelte Maß an Resilienz heraus. Viel hilft eben nicht viel. Nur blindlings in Unternehmensresilienz zu investieren, gibt ein Gefühl der falschen Sicherheit. Aber es braucht natürlich eine Mindestinvestition. Ich ziehe gern die Apollomission der Endsechziger Jahre als Beispiel heran: Hier hat man es mit sehr wenig Rechenkapazität bis auf den Mond gebracht. Man hat sich halt Gedanken gemacht, wie so etwas funktionieren kann. Und wieder sind wir beim Thema Mensch. Wenn ich Krisenpläne habe, um wieder in den Betriebsmodus zu kommen, stellt sich die Frage: Wie gut sind die Maßnahmen laut Krisenplan tatsächlich eintrainiert?
Ich selbst habe ja bereits einen Magister Artium im Fach Politologie und arbeite im Bereich Sicherheitspublizistik. Könnte ich bei Ihnen auch promovieren?
Ja, das würde schon passen. Ich selbst bin als assoziiertes Mitglied im Promotionskolleg NRW mit Promotionen befasst. Wir bieten berufsbegleitenden Promovenden sogar ein Alleinstellungsmerkmal durch unsere interessante Variante der kumulativen Promotion, in der zielgerichtet eine absehbare Anzahl wissenschaftlicher Publikationen („Paper“) die wesentliche Voraussetzung zur Promotionszulassung sind – und gleichzeitig das Verfahren auf kompromisslos hohem akademischen Niveau gesichert ist.
Ich denke darüber nach, Herr Prof. Vieweg. Vielen Dank für dieses Gespräch.
Kontakt zum Interviewpartner:
Stefan.Vieweg@rfh-koeln.de (Prof. Stefan Vieweg)