Herr Mollov, wie wichtig ist eine ausgereifte Strategie zur (Cyber-)Sicherheit?

Dass Unternehmen eine Strategie zur Abwehr von Sicherheitsrisiken inklusive Cyberattacken brauchen, steht außer Frage. Wir unterscheiden zwei Arten von Sicherheitsrisiken, auf denen unsere Sicherheitsstrategie aufbaut: zum ersten die operativen Risiken, also zum Beispiel, dass die Produktion oder die IT durch Verschlüsselung, Manipulation oder Sabotage stillgelegt wird oder Informationen abfließen. Und zum zweiten gibt es die Compliance-Sicherheitsrisiken. GEA ist in 62 Ländern aktiv und überall gibt es unterschiedliche Regeln und Gesetze sowie zahlreiche Anforderungen der unterschiedlichen Kunden. Dazu gehören auch mögliche Haftungsschäden, die man ausschließen muss.

Welches sind die größten technischen Gefahren?

Das ist schwer zu sagen, denn das größte Bedrohungspotenzial eines Unternehmens hängt von seiner Betätigung ab und davon, auf welchen Geschäftsfeldern es sich bewegt, und natürlich auch von seinen eigenen Schwachstellen. Das ist also von Fall zu Fall unterschiedlich. Ransomware ist eine sehr große Gefahr, denn wenn ein Unternehmen komplett verschlüsselt ist und möglicherweise nicht über Backups verfügt, dauert es lange, bis der Betrieb wiederhergestellt ist. Es ist nicht in erster Linie die Zahlung des geforderten Lösegeldes, sondern vielmehr die Betriebsunterbrechung, die zu einem sehr großen Problem wird. Die GEA Group zum Beispiel produziert hauptsächlich Anlagen für die Nahrungs- und Getränkeindustrie sowie Pharmaindustrie – da wäre ein längerer Ausfall der eigenen oder der Kundenproduktion sehr schlimm.

Wie können sich Unternehmen gegen Cyberangriffe schützen?

Als ich Anfang 2020 bei der GEA Group anfing, habe ich mir als Erstes einen Überblick über die Ist-Situation verschafft. Das muss immer der erste Schritt sein. Auf dieser Analyse entwickelten wir dann eine Strategie, wie wir die Aufgaben, die sich daraus ergaben, im Unternehmen verteilen wollten. Wir erarbeiteten ein Dreijahres-Programm und acht strategische Workstreams, also Aufgabenfelder. Nach etwa zwei Jahren haben wir mehr als die Hälfte davon.

Wie organisieren Sie die Arbeit?

Um diese Frage zu beantworten, muss man zwei Dinge unterscheiden: unsere Programmorganisation, also die ebenerwähnten acht Aufgabenfelder, und unsere Linienorganisation. Zum ersten Punkt: Für jeden Workstream habe ich einen oder mehrere Workstreamleads bestimmt, bei denen es sich in der Regel um die jeweiligen Leiter der Fachbereiche handelt. Sie arbeiten bei der Entwicklung der Sicherheitsstrategie mit und implementieren sie auch in ihre Bereiche. Diese Kollegen gehören zwar nicht zu meiner Abteilung, aber sie berichten mir fachlich in Sicherheitshinsicht. Für die Linienorganisation habe ich eine zentrale Abteilung mit etwa 25 Mitarbeitern. Hier arbeiten Experten mit Fachwissen in den unterschiedlichen Sicherheitsbereichen. Diese Mitarbeiter betreuen ihre Fachgebiete zentral. Zusätzlich gibt es Sicherheitsexperten in den Regionen und an den Standorten.

Muss das Thema Cybersicherheit in der Führung angesiedelt sein?

Informationssicherheit ist unbedingt ein sehr wichtiges Thema für jede Unternehmensführung. So ist auch bei der GEA Group, wo es ganz oben angesiedelt ist. Ich berichte quartalsweise dem Prüfungsausschuss des Aufsichtsrats und regelmäßig dem Vorstand.

Wie wichtig ist der Faktor Mensch mit Blick auf die Informationssicherheit?

Die Mitarbeiter sind immer noch eine der größten Schwachstellen, zum Beispiel, weil viele Angriffe über E-Mails starten. Daher sind regelmäßige Schulungen und Sensibilisierungsmaßnahmen notwendig. Bei uns ist jeder Mitarbeiter verpflichtet, immer an die Sicherheit zu denken. Wir haben zusätzlich eine ganze Reihe von Maßnahmen wie regelmäßige Awareness-Kampagnen. Am besten ist es aber, mit technischen Maßnahmen möglichst weitgehend zu vermeiden, dass es überhaupt zu menschlichen Fehlern kommt.

Stellt es ein Problem dar, dass Sie auf die Lieferketten und Zulieferer nicht so einen großen Einfluss haben wie auf das eigene Unternehmen?

Wir setzen gegenüber unseren Lieferanten unsere Policy durch und überprüfen sie, bevor wir mit ihnen anfangen zu arbeiten. Aber natürlich können wir nicht überprüfen, ob alle den Sicherheitsanforderungen auch wirklich nachkommen. Wir müssen ihren Nachweisen und Angaben zum großen Teil vertrauen, da wir nicht alle auditieren können. Ein Restrisiko besteht aber natürlich immer.

Iskro Mollovs Freizeit gehört zu einem guten Teil seinen beiden kleinen Kindern im Alter von fünf und sieben Jahren. „Ich versuche so viel Zeit wie möglich mit ihnen zu verbringen“, erzählt der 39-Jährige. Für das Sportstudio, das er früher mehrmals die Woche besuchte, bleibt neben Familie und Job dagegen nur noch selten Zeit.