Im Report-Talk zum grossen Themenkreis Business Resilienz: Thomas Masicek (re.), Leiter des Bereichs Cybersecurity bei T-Systems International, und Managing Director von T-Systems Österreich Peter Lenz (li.), der auch den nachhaltigen Umgang mit Ressourcen und Infrastrukturen verantwortet.
Was bedeutet Business Resilienz und aus welchen Gründen sollten sich Unternehmen damit beschäftigen?
Peter Lenz: Business Resilienz ist die Fähigkeit von Unternehmern, sich auf – zum Teil rasch – ändernde Umgebungen einzustellen. Das können Krisen sein, wie wir sie in den letzten Jahren erlebt haben: Corona, Störungen in den Lieferketten oder ein Angriffskrieg auf die Ukraine, der auch Teuerungen bei Energie und Kraftstoffen gebracht hat. Business Resilienz steht für Krisenfestigkeit, für das »Krisenfestmachen« eines Unternehmens oder einer Organisation, um auf Veränderungen im Geschäftsfeld entsprechend reagieren zu können.
Welche Bereiche umfassen Maßnahmen dazu?
Lenz: Das beginnt beim Risikomanagement, es umfasst die Flexibilität von Organisationen, aber auch eine gewisse Kontinuitätsplanung, und geht bis in die Innovationsfähigkeit und letztlich auch um Resilienz bei den Mitarbeiter*innen. Denn deren Fähigkeiten und auch ihre Verfügbarkeit spielen bei der Standhaftigkeit eines Unternehmens eine große Rolle. Business Resilienz umfasst alle Geschäftsprozesse eines Unternehmens. Das kann je nach Branche in dem einen oder anderen Bereich stärker gewichtet sein – zum Beispiel in der Papierindustrie, die stark von den Preisen des Rohstoffs Gas abhängig ist. Andere Themen betreffen Unternehmen über alle Sektoren auf ähnliche Weise, wie etwa Lockdown-Maßnahmen in einer Pandemie.
In welcher Weise hat sich das Thema Cybersicherheit in den vergangenen Jahren verändert? Auf welchen Bereich fokussieren Sie bei T-Systems?
Thomas Masicek: Ich verantworte im Konzern international den Bereich Cybersecurity – und damit unsere Plattformen, die gängigen Normen und Standards entsprechen müssen, ebenso wie unsere schlagkräftigen Cybersecurity-Lösungen für die Kunden. Diese Lösungen sind entweder in die Cloud und in alle unsere digitalen Lösungen integriert, sie werden aber auch als Service angeboten.
Für die Business Resilienz hat Cybersicherheit insbesondere durch die Ukraine-Krise mit allen ihren Folgen an Bedeutung gewonnen. Man hat gesehen, dass in der ersten Phase des Ukraine-Krieges auch ein digitaler Krieg geführt wurde. Es wurden gezielt kritische Infrastrukturen angegriffen. Man hat versucht, Zahlungssysteme zu beeinflussen und hat die Bereiche Bildung und Energieversorgung attackiert – zuerst virtuell und in der zweiten Phase auch physisch. IT ist maßgeblich von Stromversorgung abhängig. Hat ein Rechenzentrum keine Stromversorgung, sind Services des Alltags und des Wirtschaftslebens nicht verfügbar.
Diese Themen hängen stark zusammen und somit bedeutet Business Resilienz auch resilient gegen jegliche Art von Cyberbedrohungen zu sein. Diese können uns tagtäglich widerfahren, auch wenn es den Angreifern »nur« darum geht, mit Ransomware Geld zu verdienen.
Wie gut sind die Unternehmen in Österreich in der Praxis hinsichtlich ihre Resilienz aufgestellt? Was ist hier Ihre Erfahrung?
Lenz: Wie immer variiert es hier: Manche sind sehr gut aufgestellt und haben ein durch sämtliche Geschäftsbereiche durchgängiges Prozessverständnis und Know-how. Andere gehen es ein wenig hemdsärmeliger an.
Ist dies auch eine Frage der Unternehmensgröße?
Lenz: Nicht unbedingt, wobei natürlich große Unternehmen aufgrund ihrer Unternehmensstruktur, ihrer Eigentümer oder aufgrund gesetzlicher Vorgaben anders aufgestellt sind. Da werden schon vom Aufsichtsrat ganz andere Fragen gestellt. Letztlich hängt es auch von der »Exposure« und Betroffenheit ab, welchem Risiko man über die letzten Jahre ausgesetzt war. Ausschlaggebend ist auf jeden Fall, ob in einem Unternehmen und in einer Organisation bereits eine Awareness dazu geweckt worden ist – und man damit weiß, an welchen Hebeln noch zu drehen ist.
Masicek: Wenn ein Cybersicherheitsvorfall zu einer Bedrohung des Fortbestands eines Unternehmens ausartet – das kann bis zur Insolvenz gehen –, sind die Awareness und auch Mittel für Maßnahmen schnell da. Durch Ransomware-Attacken auf die Industrie ist das Thema Verfügbarkeit von Unternehmensprozessen in den Führungsebenen angekommen. Jeder kennt inzwischen ein Unternehmen, das bereits einmal betroffen war und auch die Schadensausmaße sind bekannt. Doch ist die Verfügbarkeit von Unternehmensprozessen nicht nur von der IT, sondern auch von Energie und von Rohstoffen abhängig. Eine Veränderung eines Marktes und auch die Verteuerung von Betriebsmitteln kann ebenso den Fortbestand eines Unternehmens gefährden.
Von energieerzeugenden Unternehmen und ihren kritischen Infrastrukturen ist de facto das öffentliche Leben abhängig. Genauso gilt dies für Krankenhäuser, die wir zu unseren Kunden zählen. Eine Ausfallsicherheit in der IT hat hier mehrere Aspekte. Man muss den digitalen Bedrohungsaspekt ebenso betrachten wie alle Abhängigkeiten von Rohstoffen, Vordienstleistern – eben alles, was ich benötige, um meine IT tatsächlich am Leben zu erhalten.
Thomas Masicek: »Jeder kennt ein Unternehmen, das von einer Cyberattacke betroffen war – auch die Schadensausmaße sind bekannt.«
Im Bereich der Cybersicherheit sind die Großen generell merklich besser vorbereitet. Bei kleineren Betrieben hängt es meist davon ab, ob dieses Thema jemand im Unternehmen antreibt. Es gibt hier viele Bestrebungen und auch Hilfestellungen, etwa von der Wirtschaftskammer oder der Interessenvertretung Internetoffensive Österreich. Am Ende des Tages sollten Entscheider*innen mit dem nötigen Wissen in der Lage sein, eine Risikobewertung treffen zu können.
Idealerweise haben Unternehmen ab einer gewissen Größe auch einen Sicherheitsbeauftragten – so wie es bereits Datenschutzbeauftragte gibt. Sie oder er treibt dann Sicherheits- und Resilienz-Maßnahmen im Interesse des Unternehmens voran und verantwortet diese. Dann ist auch gewährleistet, dass tatsächlich etwas unternommen wird.
Können Resilienz und Sicherheit an einen IT-Dienstleister ausgelagert werden?
Masicek: Die Tätigkeit kann ausgelagert werden, die Verantwortlichkeit dazu nicht. Es gibt aus meiner Sicht ein großes Problem: Viele glauben, dass das Thema mit einem Stück Technik oder einem Stück Software, das man kauft, erledigt wird. Das reicht aber bei weitem nicht. De facto brauche ich immer ein Gesamtkonzept, wie in einem Haus. Wenn ich die Eingangstür mit fünf Schlössern absichere, aber auf der Rückseite bleibt eine Tür offen oder die Fenster können einfach geöffnet werden, dann funktioniert es nicht.
Wenn es viele Möglichkeiten der Verwundbarkeit gibt, ist das Gesamtsystem nicht effizient. Zudem geht das Thema Resilienz über Informationstechnologie hinaus. So haben Krankenhäuser im Rahmen der Blackout-Vorsorge Notfall-Prozeduren in einer analogen Form etabliert – mit Laufzetteln, wie es sie früher gab, um im Fall eines Ausfalls der IT den Krankenhausbetrieb aufrechterhalten zu können.
Wo helfen Nachhaltigkeitsthemen, resilienter bei Veränderungen und Krisen aufgestellt zu sein?
Lenz: Nehmen wir ein österreichisches Paradeunternehmen wie die OMV. Sie vollzieht mit ihrer »Strategie 2030« einen Wandel vom traditionellen Energieunternehmen zu einem nachhaltigen Akteur in einer Kreislaufwirtschaft. Die Umstellung auf CO2-armes Geschäft bis hin zum völligen Stopp der Produktion von Öl und Gas für die energetische Nutzung bis 2050 ist für mich ein hervorragendes Beispiel für Veränderung, um auch in einer künftig klimaneutralen Wirtschaft gut aufgestellt zu sein. Das betrifft auch die Tochter Borealis, bei der man intensiv an den Möglichkeiten des Recyclings von Kunststoffen bis hin zu geschlossenen Stoffkreisläufen arbeitet.
Nachhaltigkeit im Sinne für den Fortbestand eines Unternehmens erfordert auch eine Diversifizierungsstrategie. So sponsert Red Bull mittlerweile nicht nur traditionelle Sportarten, sondern auch E-Sports, um neue Kundenschichten anzusprechen. Bei meinen eigenen Kindern sehe ich, dass auch solche Events Interesse schüren – in diesem Ausmaß gab es das vor einigen Jahren noch nicht. Die Firma Engel wiederum hat in der Pandemie ihr Produktportfolio umgestellt. Man hat schnell reagiert und mit seinen Spritzguss-Maschinen Kunststoffmasken produziert.
Peter Lenz: »Nachhaltigkeit ist die Antwort auf die Frage, wofür ein Unternehmen stehen will.«
Auch Banken und Versicherungen mussten ihr Geschäft entsprechend gesetzlicher Vorgaben neu ausrichten. Auf die produzierende und energieintensive Industrie in der EU kommt künftig eine neue Bewertung von Produkten und eben auch ganzer Unternehmen aufgrund ihres CO2-Fußabdrucks zu. Nachhaltigkeit ist für eine Organisation die Antwort auf die Frage, wo man in zwanzig, dreißig Jahren stehen wird und wofür man eigentlich stehen will.
Welche Vorgaben und Regelwerke kommen hier generell auf Unternehmen zu?
Lenz: Die ISO 22301 regelt das Business Continuity Management, die KRITIS-Verantwortung zielt auf die Betreiber kritischer Infrastrukturen, der »Sustainable Finance Disclosure Regulation Act« der EU forciert die angesprochenen ESG-Themen (Anm. Environmental, Social, Governance) in Unternehmen...
Masicek: ... im Cybersicherheitsbereich wird mit der neuen NIS-2-Regelung die Cybersicherheitsrichtlinie der EU ab Oktober 2024 auf eine weitaus größere Zahl an Unternehmen ausgedehnt. Das ist eine Riesenherausforderung, denn bisher waren relativ wenige Unternehmen gesetzlich zu Sicherheitsmaßnahmen und Meldungen bei Sicherheitsvorfällen verpflichtet. Der Gesetzgeber ist hier auch noch in einer Findungsphase, etwa zur Frage, wie diese Menge an Unternehmen überhaupt geprüft werden kann.
Auch sind von NIS 2 betroffene Unternehmen nicht mehr so klar von den Behörden definiert. Sie müssen selbstständig anhand eines Kriterienkatalogs bewerten, ob sie unter die Richtlinie fallen. Der Gesetzgeber muss erst lernen, mit diesen Anforderungen an kleinere Unternehmen umzugehen. Umso schwerer ist es für die Unternehmen selbst, zu wissen, wie ich es konkret für mich umsetzen kann: Ohne entsprechende Hilfe sind diese Unternehmen in der Regel eher verloren.
Was bedeutet NIS 2 beispielsweise für ein Unternehmen, das nun erstmals betroffen ist?
Masicek: Es gibt einen konkreten Anforderungskatalog, der von organisatorischen bis zu technischen Maßnahmen reicht. Doch Geschäftsführer*innen müssen sich auch vergewissern, dass die nötigen Maßnahmen umgesetzt sind. Dafür braucht es ein Managementsystem, mit dem die Wirksamkeit des Gesamtsystems bewertet wird und daraus Risiken und Maßnahmen abgeleitet werden.
Im Mittelstand bedeutet das Prozesse oder Verfahren, die noch nicht in dieser Art und Weise vorhanden sind. Großunternehmen haben eigene Abteilungen, die sich mit den Themen Sicherheit, Risikomanagement und Notfallvorsorge auseinandersetzen. Hier ist sicherlich noch der Gesetzgeber gefordert, mit einer Art Branchenstandards – wie es sie in Ländern wie Deutschland bereits gibt – eine Anleitung zu bieten. Damit muss das Rad für diese kleineren Unternehmen nicht jedes Mal neu erfunden werden.
Hat T-Systems in Österreich ebenfalls Unternehmenskunden, die unter NIS 2 fallen?
Masicek: Wir sind eine laut NIS-Verordnung qualifizierte Stelle, die Unternehmen prüfen kann und auch Beratung zur »NIS Readiness« bietet, damit diese entsprechende Prüfungen absolvieren können. Wir sind diesbezüglich täglich mit Unternehmen in Kontakt.
Lenz: Mit Regelwerken wie NIS und der politischen Fokussierung auf Nachhaltigkeitsthemen ist ein völlig neuer Markt entstanden: Auch die großen Beratungshäuser setzen darauf, aber auch Softwareanbieter. So gibt es mittlerweile über 100 Softwareprodukte, die sich mit Portfolio-Screening und der EU-Taxonomie auseinandersetzen.
Das beginnt bei intelligenten Excel-Sheets als Basis und geht bis zu ausgeklügelten Programmen, die laufend bei gesetzlichen Änderungen adaptiert werden. Denn es sind tatsächlich lebende Regelwerke, die etabliert werden müssen – und es sind alle gut beraten, sich damit rechtzeitig zu beschäftigen. Man ist dann nicht überrascht, wenn zum Tag X der entsprechende Ausweis eingefordert wird.
Hat sich der Trend zur Digitalisierung zu einer Chance oder mit all den Cybersicherheitsgefahren vor allem zu einem Risiko entwickelt?
Lenz: Für mein Dafürhalten stehen klar die Chancen im Vordergrund. Selbst ein kleiner Tischlereibetrieb kommt an einer CNC-Bearbeitung, die auf IT setzt, nicht mehr vorbei. Ich sehe die Digitalisierung auf jeden Fall ab dem österreichischen Mittelstand verpflichtend – sei es für die Kundenbindung, bei der Ansprache der Mitarbeiter*innen und natürlich für effiziente Prozesse. Lässt sich ein Geschäft heute noch rein mit manuellen Abläufen beherrschen?
Man darf auch nicht vergessen, dass Mitarbeitende auf dem knappen Arbeitsmarkt in Österreich spannende und wertstiftende Tätigkeiten suchen. Hat man immer die gleichen Arbeiten, ohne technische Unterstützung, sucht man sich vielleicht höherwertige Aufgabenbereiche in einem anderen Unternehmen. Allein aus diesem Aspekt – der Entlastung von Routinetätigkeiten – ist die Digitalisierung dringend erforderlich.
Thomas Masicek: »Mit NIS 2 und der Taxonomie-Verordnung kommen erhebliche Anforderungen auf Unternehmen zu.«
Die Risiken sind also beherrschbar?
Masicek: Wir sehen die Digitalisierung in unserem Bereich der »Incident Response« auch als Risiko – wenn etwa durch die Ausbreitung von Ransomware in einem Firmennetz schlagartig alle Geschäftsprozesse zum Stillstand kommen. Doch sofern man die Hausaufgaben macht, ist dieses Risiko kalkulierbar.
Wenn ich aber einfach nur Technik einsetze, ohne mich damit weiter zu beschäftigen, ist das ein massives Risiko fürs Unternehmen. Ich bin dann vielleicht bei der Verschlüsselung meiner geschäftskritischen Systeme durch Schadsoftware in der Zwickmühle, ob ich die geforderte Summe bezahle und damit ein kriminelles Geschäftsmodell finanziere – oder ob ich nicht mehr produktionsfähig bin. Wir sehen häufig, dass sich Unternehmen nicht um Backup- und Recovery-Prozeduren kümmern.
Ich meine hier auch nicht die reine IT, sondern Notfallmaßnahmen, um auch in Krisen weiter agieren zu können. Wenn es keine Sicherheitskopien gibt, die auch rasch wieder eingespielt werden können, ist ein Unternehmensnetzwerk offen wie ein Scheunentor. Auch die Angreifer werden effizienter, Attacken erfolgen zunehmend zielgerichtet. Cybercrime arbeitet heute in Strukturen, die ähnlich jener herkömmlicher Unternehmen sind – mit Qualitätsmaßnahmen, Mitarbeiterführung und sogar Bonusprogrammen. Das resultiert auch in Zukunft in effizienten Prozessen mit großer Trefferwahrscheinlichkeit.
Wie viel darf oder soll Cybersicherheit kosten?
Masicek: Als Erfahrungswert hat sich eine Größe von zehn Prozent des IT-Budgets etabliert, die man für die Absicherung der Infrastruktur inklusive Backup und Recovery ausgeben muss. Gehe ich in Richtung fünf Prozent, dann mache ich schon wieder Abstriche und decke nur einzelne Bereiche ab. Ich habe möglicherweise immer noch ein kalkulierbares Risiko, das ich vertreten kann. Die Voraussetzung ist aber, dass dieses Risiko klar bewertet werden kann.
Was bedeutet die moderne Arbeitswelt mit teilweise entkoppelten Arbeitsorten für die IT-Sicherheit in Unternehmen?
Masicek: Die Pandemie hat teilweise gezeigt, wie wenig Unternehmen auf das Thema mobiles Arbeiten vorbereitet waren. Mitunter mussten die Stand-PCs abgebaut und in die Homeoffices transportiert werden. Die Mitarbeiter*innen konnten dann lokal arbeiten, hatten aber keine sicheren Zugänge zum Firmennetz. Mittlerweile haben sich die Unternehmen mit den nötigen Sicherheitslösungen versorgt und ihre Mitarbeitenden geschult. Denn weiterhin ist der Faktor Mensch der Eintrittspunkt Nummer eins: Man kann nicht alles technisch abfangen.
Früher war es einfacher, die Sicherheit einer Infrastruktur hinter der Firewall eines Unternehmensnetzwerkes mit all ihren Parametern zu gewährleisten. Heute ist ein Notebook, ein Tablet oder Smartphone in irgendeinem Netz eingebucht. Ist dann die Sicherheit der Geräte nicht vollinhaltlich abgedeckt, habe ich sofort ein Risiko. Das Thema Remote-Zugang ist bei den Unternehmen weitgehend gelöst. Die Absicherung der Arbeitsplätze ist oft immer noch mangelhaft.
Wie bieten Sie dazu Unternehmen an?
Masicek: Wir führen eine Bedrohungsanalyse durch, abhängig von der Branche, vom Unternehmenszweck und den Anforderungen an die Sicherheit. Hier gibt es auch normenspezifische Unterschiede, wie zum Beispiel im Bereich der Automobilbranche oder in der Gesundheitsbranche. Neben den technischen Hausaufgaben als Basis können dann Arbeitsplätze nicht nur mit Antivirussoftware, sondern mit modernen Detection-Response-Lösungen abgesichert werden. Sie können dann auch auf einen Phishing-Angriff, der zunehmend besser getarnt via E-Mail geschickt wird, reagieren und die Menschen dahingehend unterstützen.
Weitere Punkte sind die Absicherung der Applikationen, die ich nach außen hin verfügbar mache, sowie eine Transparenz in meiner Infrastruktur. Ich brauche die nötige Sichtbarkeit auf meine Systeme, um ein Problem zu erkennen und gegenzusteuern. Eine Zusammenarbeit beginnt häufig mit einem Beratungsgespräch inklusive Assessments. Wo stehe ich als Unternehmen aktuell? Wo sind meine Baustellen und wo kann ich vielleicht Geld sparen? Denn es geht nicht immer nur darum, mehr zu investieren, sondern manchmal auch weniger, aber trotzdem ein abgestimmtes Sicherheitskonzept zu erarbeiten.
Wie resilient ist T-Systems selbst in Österreich aufgestellt?
Lenz: Als Betreiber kritischer Infrastrukturen und IT-Services für unsere Kunden – darunter auch für unsere Konzernschwester Magenta Telekom – müssen wir sehr resilient aufgestellt sein. Das fängt bei Prozeduren im Haus an, die sicherstellen, dass wir unsere Datacenter im Fall eines Blackouts weiterbetreiben können. Unsere Mitarbeitenden wissen in einer Krise auch ohne weitere Verständigung, was zu tun ist und haben hier Notfallpläne auch im persönlichen Bereich – beispielsweise wer im Fall des Falles das Kind von Kindergarten abholt. Mit unserem Cybersecurity-Team von über 100 Mitarbeiter*innen wissen wir natürlich, was in dem Bereich gefordert ist.
Zusätzlich bauen wir auch den CO2-Fußabdruck im gesamten Konzern Schritt für Schritt ab. Das bekommen die Führungskräfte in ihre Zielerreichung geschrieben. Dieses Jahr hat man sich vorgenommen, 50 Prozent der CO2-Emissionen in der Deutschen Telekom zu reduzieren. Das fängt an mit der Verwendung von Green Energy, geht über zum sparsamen Umgang mit Energie, der Vermeidung von Geschäftsreisen und dem Einsatz von E-Mobilität in unserer Fahrzeugflotte.
(Bilder: Sigrid Moser-Sailer)