keyboard_arrow_left News Übersicht

»Wichtig ist, alle Standorte zu einem einheitlichen Sicherheitsverständnis zu bringen« – Florian Jörgens über die konzernweite IT-Security bei LANXESS

19. August 2019

2004 durch die Ausgliederung der Chemiesparte der Bayer AG entstanden, beschäftigt LANXESS mittlerweile rund 15.500 Mitarbeiter in 33 Ländern und ist an 60 Produktionsstandorten weltweit präsent.
Inwiefern es möglich ist, einen IT-Sicherheitsstandard über alle Standorte und Länder hinweg zu etablieren, erklärt Florian Jörgens, seit März Chief Information Security Officer bei LANXESS und Referent auf unserem Strategiegipfel IT & Information Security im November, im Interview.

PN: Wie sind Sie zum Thema IT-Sicherheit gekommen bzw. wieso haben Sie sich beruflich auf das Thema IT-Sicherheit fokussiert?

FJ: Hierzu muss ich in der Vergangenheit etwas weiter zurück gehen. Ich komme aus einer Familie, in der der Schutz von Informationen schon immer etwas Besonderes gewesen ist. Meine Mutter ist Arzthelferin und mein Vater Kommissar. Daher war es üblich über die Arbeit nur oberflächlich reden zu dürfen. Für die Informatik habe ich mich schon als Kind interessiert, so dass klar war, das auch beruflich weiter zu verfolgen. Begonnen habe ich in der klassischen IT-Administration. Erst durch den Wechsel zur Wirtschaftsprüfung PricewaterhouseCoopers zählte der Schutz von Informationen zu meinen Hauptaufgaben, da die Vertraulichkeit ebenfalls im Rahmen der Jahresabschlussprüfung gewährleistet sein muss. Die stetig wachsende Vernetzung von Geräten und die permanente Erzeugung von Informationen hat letzten Endes dazu beigetragen, dass ich mich auf diesen Bereich fokussiert habe.

PN: Sie werden auf unserem Gipfel davon sprechen, wie man ein Unternehmen absichert und mit welchen Eckpunkten begonnen wird. Gerade bei einem Konzern von der Größenordnung einer LANXESS, der in 33 Ländern vertreten ist: Gibt es eine einheitliche Security-Strategie für den gesamten Konzern oder gibt es Unterschiede in den Ländern/Standorten?

FJ: Grundsätzlich verfolgen wir eine ganzheitliche und allgemeingültige Sicherheitsstrategie. Allerdings lassen wir hierbei regionale Besonderheiten nicht außer Acht. Als international aufgestelltes Unternehmen betreiben wir beispielsweise eine Chrom-Mine in Südafrika. Hier ist es schwierig ein Sicherheitsniveau aufzubauen, wie wir es in Deutschland oder Europa gewohnt sind. Wichtig ist uns, alle Standorte zu einem einheitlichen Sicherheitsverständnis zu bringen. So kleine Veränderungen zeigen dabei schon eine große Wirkung: Abgeschlossene Türen, Berechtigungskonzepte und ein bisschen Aufmerksamkeit und Skepsis sind zwar einzeln betrachtet nur Teil-Elemente, machen es aber einem Angreifer Stück für Stück schwerer.

PN: Was sind die größten Herausforderungen, denen Sie aufgrund Ihrer Branche, internationalen Ausrichtung und Anzahl der Mitarbeiter im Konzern gegenüberstehen?

FJ: Da wäre zum einen der Schutz der Operational Technology (OT-Security), also unserer Produktionsanlagen in den Chemie-Parks. Diese sehen sich aktuell dem Wunsch nach Digitalisierung gegenüber, sowie einer stetig wachsenden Anforderung, immer transparenter und dadurch leistungsfähiger zu werden. Das bringt jedoch unweigerlich eine Anfälligkeit für Angriffe von außen mit sich, wenn nicht gleich im Anfangsstadium die Thematik Sicherheit mitbedacht wird. Hier bewegt sich die Branche noch auf recht unbekanntem Gebiet.
Der Gesetzgeber hat im Rahmen der BSI-Kritisverordnung einen wichtigen Grundstein für die Sicherheit von Infrastrukturen gelegt. Auch wenn die Chemie-Branche zum aktuellen Zeitpunkt noch nicht im Anwendungsbereich liegt, orientieren wir uns sehr stark an den gesetzlichen Anforderungen. Nicht jeder Mitarbeiter ist mit aktueller Technik und deren Möglichkeiten so vertraut, als dass er sich über die Gefahren bewusst ist. Uns geht es darum, die Grundgesamtheit der Sicherheit anzuheben, ohne die Kolleginnen und Kollegen dabei bei der operativen Arbeit zu behindern. Wenn Regeln, Anwendungen und Systeme einen Mitarbeiter bremsen oder behindern, wird er einen Weg finden diese zu umgehen. Daher muss Sicherheit auch immer praktikabel sein.

PN: Wie kann die Sicherheit dauerhaft hochgehalten werden?

FJ: Sicherheit ist kein Projekt, sondern ein Prinzip. Dieses Projekt muss regelmäßig hinterfragt und „gechallenged“ werden. Was gestern vielleicht als das Maß der Dinge gehandelt wurde, kann morgen schon veraltet sein. Das lässt sich gut an der Entwicklung von AV-Software erkennen. Um Schwachstellen zeitnah zu erkennen, sind regelmäßige Penetrations-Tests sowie Audits unumgänglich. Für ein objektives Ergebnis ist es ratsam, dabei auch auf externes Know-How zu setzen. Unabhängig davon ist Sicherheit immer eine Frage von Kosten-Nutzen und Risiko-Affinität. Es geht nicht darum, sichere Systeme zu betreiben, sondern Systeme sicher zu betreiben.

PN: Thema Mitarbeiter-Awareness: Wie wird der Risikofaktor Mensch in die Optimierung der IT Sicherheit eingebunden?

FJ: LANXESS hat dieses Jahr eine umfangreiche Awareness-Kampagne gestartet, die auch Teil meines Vortrags ist. Dabei haben wir an den deutschen Standorten die Mitarbeiter fast drei Stunden lang vor Ort geschult. Dabei sorgten vor Allem die Live-Hacking Szenarien für das ein oder andere erstaunte Gesicht. Der nächste Schritt war dann ein verpflichtendes weltweites E-Learning um auch die restlichen Kollegen mit einzubeziehen. Informationssicherheit muss in einem Konzern Top-Down gelebt werden. Letzten Endes ist es einem Angreifer egal wie er Zugriff zu den Systemen bekommt, ob über den Abteilungsleiter oder den Sachbearbeiter.

PN: Sie sind neben Ihrer Tätigkeit bei LANXESS auch als Hochschuldozent tätig. Forschen Sie aktuell?

FJ: Leider nicht, da mir hierfür einfach die Zeit fehlt. Ich tausche mich aber regelmäßig mit diversen Professoren über den aktuellen Forschungsstand im Bereich IT-Sicherheit aus. Daneben habe ich für eine Hochschule eine Zertifikats-Weiterbildung entwickelt, die den Teilnehmern die Gefahren für Unternehmen und Anwender aufzeigt und Handlungsempfehlungen, wie mögliche Schäden verhindert werden können, gibt. Ziel der Ausbildung ist es hierbei, ein solides Verständnis für die Prozesse der IT-Sicherheit zu entwickeln.

PN: Was reizt Sie an der Lehre?

FJ: Der Austausch mit den Studenten ermöglicht mir einen Einblick in verschiedene Unternehmen und Branchen. Es ist dabei sehr beruhigend zu erkennen, dass andere Konzerne vor denselben Herausforderungen stehen. Darüber hinaus ist es immer wieder spannend zu sehen, wie Studenten im Rahmen von Abschlussarbeiten aktuelle Themen auf wissenschaftlicher Basis analysieren. Aktuell hinterfragt eine Studentin von mir im Rahmen ihrer Thesis zum Beispiel die „Versicherbarkeit von Cyber-Risiken“ – ein sehr sehr spannendes Thema.

Mehr Einblicke gewährt Florian Jörges in seinem Vortrag „How to start with Information Security? Ein Chemie-Konzern sichert sich ab“ auf unserem Strategiegipfel IT & Information Security am 26./27.11. in Berlin.

Alle Referenten, Themen und Infos zum Gipfel:

IT & Information Security