Wie sich der Firmenich-COO für Cybersicherheit einsetzt
Seit sechs Jahren führen Eric Nicolas und sein Team das Westschweizer Unternehmen Firmenich durch die digitale Transformation. Im Interview verrät er, was es mit seinem kürzlich lancierten Cybersecurity-Verband auf sich hat: Wie es dazu kam, was die Ziele sind und ob es noch Platz für neue Mitglieder gibt.
Das Unternehmen Firmenich stellt Aromen und Duftstoffe her. Was bewog Sie als COO dieses Unternehmens dazu, einen Verband für Cybersecurity zu gründen?
Eric Nicolas: Wenn man für die Sicherheit eines Unternehmens verantwortlich ist, kommt man seit einigen Jahren nicht mehr um das Thema Cybersicherheit herum. In allen Ländern, die ich kenne, konzentrieren sich die Behörden beim Thema Cybersicherheit in erster Linie auf kritische Infrastrukturen, also Organisationen aus den Branchen Finanzen und Banking, Energie, Verkehr und Gesundheit. Dagegen kommen nicht-kritische Infrastrukturen – wie etwa Unternehmen aus der Fertigungs- oder der Handelsbranche – an zweiter Stelle. Und nicht nur das: Auch wenn sie sich individuell gegen Cyberangriffe wappnen, fehlt vielen Unternehmen aus diesen Branchen in vielen Ländern die Möglichkeit, sich zu vernetzen und Informationen vertraulich auszutauschen. Dies wollen ich und ein paar Kollegen aus anderen Unternehmen mit der "Swiss Industry Cyber-Security Association" ändern und so unsere Cyberschutz-Fähigkeiten stärken.
Was sind die Ziele Ihrer Organisation?
Wir haben drei Ziele: uns in Echtzeit über laufende Cyberangriffe zu informieren, Best Practices zum Thema Cyberschutz auszutauschen und gegenüber Behörden als relevanter Stakeholder aufzutreten.
Welche Herausforderungen stellen sich dabei?
Als Netzwerk sind wir stärker als die Summe seiner einzelnen Mitglieder – darüber sind wir uns wohl einig. Allerdings beschäftigt uns die Frage, wie wir uns konkret vernetzen und Informationen austauschen können. Hier gilt es, zu vermeiden, uns zu exponieren und dadurch anfälliger für künftige Attacken zu werden. Eine weitere Herausforderung ist die Gestaltung unserer Verbindung zu den Behörden.
Welche Rolle kommt den Cybersicherheitsbehörden konkret zu?
Der Austausch mit Behörden ist eines unserer zentralen Anliegen. Dabei teilen wir unsere Informationen als Unternehmenskollektiv. Die Behörden wiederum haben mit uns einen direkten Ansprechpartner. Geht es etwa darum, wichtige Informationen zu verbreiten, müssen sie künftig nicht mehr jedes Mitglied einzeln kontaktieren.
Ein Vorhaben wie Ihres gelingt nur mit viel Vertrauen. Wie stellen Sie dieses zwischen Ihrer Organisation und den Behörden her?
Schon im Laufe des Entstehungsprozesses der Association standen wir in engem Austausch mit dem Nationalen Zentrum für Cybersicherheit (NCSC) und diskutierten mögliche Formen der Zusammenarbeit. Das NCSC steht hinter uns und erklärte sich bereit, uns mit wichtigen Informationen zu versorgen. Des Weiteren pflegen wir Beziehungen zu kantonalen Behörden, vor allem Polizeicorps, die mit Cyberkriminalität zu tun haben. Hier sind wir in der Romandie schon sehr gut vernetzt und bauen neue Kontakte in der deutschsprachigen Schweiz auf.
Und wie sieht es mit dem Vertrauen innerhalb des Verbandes aus?
Aktuell beteiligen sich etwa zehn Unternehmen an unserem Verband. Innerhalb der Organisation haben wir drei Ebenen: Die Führungskräfte besprechen Fragen zur Governance, die IT-Leiter thematisieren Prozesse, Budgets und Setups, und die CISOs tauschen sich bezüglich aktueller Cyberaktivitäten aus. Die Mitglieder der drei Ebenen kennen und vertrauen sich gegenseitig und garantieren, dass geteilte Informationen nicht öffentlich werden.
Warum teilen Sie Informationen zu Cyberangriffen nur mit Ihren Mitgliedern? Wären diese Infos nicht für alle Unternehmen wichtig?
In einer perfekten Welt könnten wir solche Informationen tatsächlich der breiten Öffentlichkeit zugänglich machen. Und das NCSC stellt auch ein Tool bereit, um Informationen mit einem Kreis von Mitgliedern zu teilen. Allerdings besteht dieser Kreis ausschliesslich aus Vertretern kritischer Infrastrukturen. Unser Netzwerk könnte sich allenfalls sehr eingeschränkt an dieser Plattform beteiligen. Erschwerend kommt die Gefahr hinzu, die sich mit dem Veröffentlichen solcher Informationen für unsere Mitglieder ergibt: Bei einem Angriff müssten wir kommunizieren, welches Unternehmen über welche Plattform und mit welcher Technologie angegriffen wurde. Damit exponiert sich das Unternehmen nicht nur für weitere Angriffe, sondern setzt auch seinen Ruf aufs Spiel.
Firmenich ist das einzige namentlich bekannte Unternehmen Ihrer Association. Wer ist sonst noch dabei?
Im Moment möchten unsere anderen Mitglieder nicht namentlich genannt werden. Dies aufgrund der bereits genannten Befürchtung, sich dadurch zu exponieren.
Wie sieht es mit neuen Mitgliedern aus? Wollen Sie wachsen?
Auch dies ist eine Frage des Vertrauens. Die Gründungsmitglieder sind zwar offen für neue Mitglieder. Aber nur so lange, wie das bestehende Vertrauen nicht verloren geht. Deshalb gilt beim Wachstum die Regel: so schnell wie möglich, aber so langsam wie nötig. Wir sind offen für Unternehmen mit einem Umsatz zwischen 2 und 50 Milliarden Franken. Wer bei uns anklopft, durchläuft ein Auswahlverfahren, bei dem die bestehenden Mitglieder über die Aufnahme entscheiden.
Wie arbeiten Sie konkret?
Unser fünfköpfiger Vorstand trifft sich ungefähr einmal im Monat, um aktuelle Fragen unserer Mitglieder zu besprechen. Im März veranstalteten wir ein erstes Treffen aller Gründungsmitglieder, an dem auch ein Vertreter des NCSC teilnahm. Dabei ging es nicht nur um die neuesten Entwicklungen, sondern auch um die Kandidaturen neuer Mitglieder. In Zukunft wollen wir uns mindestens viermal im Jahr mit den Behörden treffen. Die CISOs unserer Mitgliedsunternehmen stehen in ständigem Austausch miteinander, um auf Vorfälle in Echtzeit reagieren zu können. Bei Bedarf können sie auch jederzeit die Behörden informieren. Mit dieser Struktur sorgen wir für grösstmögliche Transparenz und stellen dennoch sicher, dass sensible Informationen nicht an die Öffentlichkeit gelangen.
Wie bewerten Sie das Risiko durch Cyberkriminalität für ein Unternehmen?
Die rasante Entwicklung digitaler Systeme und Abhängigkeiten innerhalb des Ökosystems jedes Unternehmens stellt sowohl eine enorme Chance als auch eine potenzielle Schwachstelle für das Unternehmen dar. Mit meinem Team haben wir die digitale Agenda sowohl im Front-End als auch im Back-End stark vorangetrieben. Die Lieferketten werden durch die Digitalisierung vernetzt, und online verfügbare Informationen sind in der heutigen Welt unerlässlich. Seit vielen Jahren nutzen wir Big Data und künstliche Intelligenz (KI), um verschiedene Prozesse innerhalb des Unternehmens zu unterstützen. Wir sind also wirklich ein digitales Unternehmen. Auf der anderen Seite müssen diese feinmaschigen Verknüpfungen jedoch sorgfältig verwaltet werden. Wie bei vielen Unternehmen müssen unsere betriebliche IT-Infrastruktur – auch Operation Technology oder OT genannt – und verschiedene IT-Infrastrukturen sorgfältig segmentiert werden, um eine gegenseitige Beeinflussung im Falle eines Cyberangriffs zu vermeiden. Die Netzwerke müssen 24/7/365 von einem professionellen Team überwacht und der Zugang zu kritischen Daten sorgfältig verwaltet werden. Die Digitalisierung von Unternehmen hat ihren Preis, um die Funktionsfähigkeit des Unternehmens zu sichern und zu gewährleisten. Es wäre für jedes Unternehmen gefährlich, dieses erhebliche Risiko zu unterschätzen.
Welchen Cybersecurity-Ratschlag geben Sie anderen CISOs ähnlich grosser Unternehmen wie dem Ihrigen?
Beim Thema Cyberschutz denken wir sehr schnell an technische Lösungen, Tools, Firewalls und so weiter. Auch die Frage nach Talenten – angesichts des Fachkräftemangels und des starken Wettbewerbs ein herausforderndes Thema – kommt schnell zur Sprache. Aber was am Ende des Tages den wirklich grossen Unterschied macht, ist die Sensibilisierung aller Mitarbeitenden. Selbst mit den besten Sicherheitsvorkehrungen reicht es, das irgendwer auf einen Link klickt und sein Passwort teilt, um die Firma angreifbar zu machen. Darum ist ständiges Training der Angestellten essenziell. Bei uns in der Firma lautet das Mantra: Was du nicht kennst, klickst du nicht an. Und tust du es doch, gib dein Passwort nicht preis.
Wie packen Sie die Sensibilisierung an?
Wir haben eine Reihe von Massnahmen ergriffen. So durchlaufen sämtliche Mitarbeitende dreimal jährlich ein Online-Trainingsmodul. Ausserdem versorgt unser Cybersecurity-Team das gesamte Unternehmen laufend mit aktuellen Informationen. Unser Mantra, "what you don't know, you don't click", wird auf unseren Computern auch als Bildschirmschoner angezeigt. Schliesslich führen wir auch regelmässig Fake-Phishing-Kampagnen durch. Mitarbeitenden, die dabei auf einen vermeintlich schädlichen Link klicken, empfehlen wir ein zusätzliches Cybersecurity-Training. Wir versuchen also, unsere Angestellten mehrmals täglich und möglichst kreativ an das Thema zu erinnern, damit sie die Botschaft nicht vergessen.