Sartorius AG

07.11.17
CFO

So schützt sich Sartorius vor Cyberattacken

CFOs machen sich zunehmend Sorgen um Cyberangriffe. Der Laborzulieferer Sartorius hat verschiedene Schutzwälle aufgebaut. Im Ernstfall können die Göttinger auf Hilfe aus Übersee bauen.

In diesem Jahr wurden Unternehmen von zwei großen Cyberattacken in Atem gehalten. Im Mai infizierte eine Erpressersoftware („Ransomware“) namens „Wanna Cry“ Computer und legte hunderttausende Rechner lahm. Einen Monat später folgte mit „Petya“ ein weiterer Ransomware-Angriff.

Dieser war noch schwerwiegender: Der Hamburger Konsumgüterkonzern Beiersdorf sowie sein britischer Konkurrent Reckitt Benckiser verloren mehrere Millionen Euro ebenso wie die dänische Reederei Maersk.

Auch bei CFOs, die in ihren Unternehmen oft für die Themen Risikomanagement und IT zuständig sind, sorgt das Thema Cybersicherheit mittlerweile für Sorgenfalten auf der Stirn, wie das jüngste FINANCE-Panel ergeben hat. So auch bei Rainer Lehmann, dem CFO des Pharma- und Laborzulieferers Sartorius.

Sartorius führt regelmäßig IT-Audits durch

Die Göttinger legen ein besonderes Augenmerk auf sichere IT-Systeme, wie Lehmann erklärt: „Cybercrime ist bei uns immer ein aktuelles Thema, das einen hohen Stellenwert besitzt.“ Der seit März amtierende Finanzchef verantwortet in seiner Position auch das IT-Ressort auf Vorstandsebene . „Ein großangelegter und erfolgreicher Hack könnte uns vor große Probleme stellen, egal in welchem Bereich.“ Bislang sei Sartorius aber noch nicht betroffen gewesen.

Lehmann will aber nicht auf den Tag des ersten Hacks warten: „IT-Sicherheit geht vor – sie erlaubt kein Aufschieben oder Aussetzen, dafür ist das Thema einfach zu sensibel“, sagt er. Um sich informiert zu halten, tauscht Lehmann sich alle zwei Wochen mit seinem IT-Leiter aus.

Sartorius setzt auf eine ganze Reihe Maßnahmen, um Cyberangriffe zu verhindern oder bei einem erfolgreichen Hack schnell reagieren zu können. „Wir führen regemäßig Audits durch, um unsere Sicherheit auf die Probe zu stellen“, erklärt CFO Lehmann. Dabei setzt der Laborzulieferer auf spezialisierte Dienstleister, die intern wie extern versuchen sollen, die Systeme zu infiltrieren.

Zudem hat Sartorius zahlreiche Schutzwälle aufgebaut, um den Kriminellen das Hacken zu erschweren. Diese fangen bei klassischen Mechanismen wie Firewalls und Virenscannern an. „Zudem ist unser Netzwerk mehrfach segmentiert. Dadurch wird eine potentielle Verbreitung durch einen Virus sehr verlangsamt“, sagt Lehmann.

Zukäufe stellen Sartorius vor Herausforderung

Sartorius hat eine sehr unternehmensspezifische Herausforderung: Das Unternehmen wächst sehr schnell, bedingt auch durch Akquisitionen. So kaufte Sartorius viele Unternehmen in kurzer Zeit hinzu – allein fünf in den vergangenen anderthalb Jahren. Die unterschiedlichen IT-Systeme müssen in die Infrastruktur  integriert werden. „Alle Zukäufe werden schnellstmöglich auf unsere Plattform gehoben. Wir wollen da keine Sicherheitslücke haben“, so der CFO.

Eine gute Zusammenarbeit auf internationaler Ebene ist Lehmann zufolge ebenfalls wichtig: „Wenn beispielsweise in Deutschland nachts ein System gehackt würde, könnten unsere Kollegen in den Vereinigten Staaten, die dann noch arbeiten, darauf entsprechend reagieren“, erklärt der CFO.

Rainer Lehmann, Sartorius AG

Rainer Lehmann startet seine berufliche Karriere 1999 beim Göttinger Pharma- und Laborzulieferer Sartorius, ehe er 2004 zum Hamburger Chemielogistiker Biesterfeld wechselt, wo Lehmann für das Konzerncontrolling zuständig ist.

Zwei Jahre später kehrt er zu Sartorius zurück, übernimmt in den USA die Leitung des Finanzbereichs der nordamerikanischen Gesellschaften und koordiniert den Aufbau mehrerer Konzerngesellschaften in Lateinamerika. 2010 übernimmt er die Verantwortung als CFO für die Region Americas. Für die konzernweiten Geschäftsprozesse übernimmt Rainer Lehmann 2016 die Verantwortung, bevor er im März 2017 als CFO in den Vorstand von Sartorius berufen wird.

zum Profil
1 Das Unternehmen

Sartorius ist ein Labor- und Pharmazulieferer mit Sitz in Göttingen. Die Niedersachsen haben 2016 gut 1,3 Milliarden Euro Umsatz erwirtschaftet, bei einem bereinigten Gewinn vor Zinsen, Steuern und Abschreibungen (Ebitda) von 325 Millionen Euro. Sartorius fällt immer wieder durch M&A-Deals auf und ist an der Börse über 5 Milliarden Euro wert.

2 IT-Sicherheit

Sartorius setzt auf verschiedene Maßnahmen, um sich gegen Hacker zu schützen. Die Göttinger vertauen klassischen Abwehrmethoden wie Virenscannern und Firewalls. Hinzu kommen regelmäßige interne und externe Audits. Sartorius Netzwerk ist mehrfach segmentiert, damit sich ein Virus langsam verbreitet. Zudem schult der Konzern seine Mitarbeiter. Um auf dem Laufenden zu bleiben, tauscht sich CFO Rainer Lehmann alle zwei Wochen mit seinem IT-Leiter aus.

Sartorius zwischen moderner Arbeit und Risiko

Wir wollen unseren Mitarbeitern modernes Arbeiten ermöglichen, aber nicht die IT-Sicherheit riskieren.

Rainer Lehmann, CFO bei Sartorius

Die technische Seite der IT-Sicherheit ist jedoch nur ein Aspekt. Der Faktor Mensch bleibt weiter das größte Problem, betonen Sicherheitsexperten. „Wir schulen und sensibilisieren unsere Mitarbeiter und versuchen ein Verständnis herzustellen, dass man beispielsweise eine verdächtige Mail auch nicht öffnen sollte“, sagt Lehmann.

Der zunehmende Einsatz mobiler Geräte stellt CFOs vor zusätzliche Aufgaben. Zahlungsfreigaben etwa sollen in Zukunft in Echtzeit über Handys oder Tablets möglich sein. Sartorius-Finanzchef Rainer Lehmann sieht in dem Bereich eine der größten Herausforderungen: „Wir wollen unseren Mitarbeitern einerseits modernes und angenehmes Arbeiten ermöglichen, dürfen aber andererseits nicht die IT-Sicherheit riskieren“, sagt er. „Die richtige Balance zu finden ist nicht immer leicht."

jakob.eich[at]finance-magazin.de

Seit März hat der Pharma- und Laborzulieferer Sartorius in Rainer Lehmann einen neuen CFO. Was dieser vor seinem Dienstantritt gemacht hat, erfahren Sie auf dem FINANCE-Köpfe-Profil von Rainer Lehmann.