In diesem Jahr wurden Unternehmen von zwei großen Cyberattacken in Atem gehalten. Im Mai infizierte eine Erpressersoftware („Ransomware“) namens „Wanna Cry“ Computer und legte hunderttausende Rechner lahm. Einen Monat später folgte mit „Petya“ ein weiterer Ransomware-Angriff.
Dieser war noch schwerwiegender: Der Hamburger Konsumgüterkonzern Beiersdorf sowie sein britischer Konkurrent Reckitt Benckiser verloren mehrere Millionen Euro ebenso wie die dänische Reederei Maersk.
Auch bei CFOs, die in ihren Unternehmen oft für die Themen Risikomanagement und IT zuständig sind, sorgt das Thema Cybersicherheit mittlerweile für Sorgenfalten auf der Stirn, wie das jüngste FINANCE-Panel ergeben hat. So auch bei Rainer Lehmann, dem CFO des Pharma- und Laborzulieferers Sartorius.
Sartorius führt regelmäßig IT-Audits durch
Sartorius AG
Die Göttinger legen ein besonderes Augenmerk auf sichere IT-Systeme, wie Lehmann erklärt: „Cybercrime ist bei uns immer ein aktuelles Thema, das einen hohen Stellenwert besitzt.“ Der seit März amtierende Finanzchef verantwortet in seiner Position auch das IT-Ressort auf Vorstandsebene . „Ein großangelegter und erfolgreicher Hack könnte uns vor große Probleme stellen, egal in welchem Bereich.“ Bislang sei Sartorius aber noch nicht betroffen gewesen.
Lehmann will aber nicht auf den Tag des ersten Hacks warten: „IT-Sicherheit geht vor – sie erlaubt kein Aufschieben oder Aussetzen, dafür ist das Thema einfach zu sensibel“, sagt er. Um sich informiert zu halten, tauscht Lehmann sich alle zwei Wochen mit seinem IT-Leiter aus.
Sartorius setzt auf eine ganze Reihe Maßnahmen, um Cyberangriffe zu verhindern oder bei einem erfolgreichen Hack schnell reagieren zu können. „Wir führen regemäßig Audits durch, um unsere Sicherheit auf die Probe zu stellen“, erklärt CFO Lehmann. Dabei setzt der Laborzulieferer auf spezialisierte Dienstleister, die intern wie extern versuchen sollen, die Systeme zu infiltrieren.
Zudem hat Sartorius zahlreiche Schutzwälle aufgebaut, um den Kriminellen das Hacken zu erschweren. Diese fangen bei klassischen Mechanismen wie Firewalls und Virenscannern an. „Zudem ist unser Netzwerk mehrfach segmentiert. Dadurch wird eine potentielle Verbreitung durch einen Virus sehr verlangsamt“, sagt Lehmann.
Zukäufe stellen Sartorius vor Herausforderung
Sartorius hat eine sehr unternehmensspezifische Herausforderung: Das Unternehmen wächst sehr schnell, bedingt auch durch Akquisitionen. So kaufte Sartorius viele Unternehmen in kurzer Zeit hinzu – allein fünf in den vergangenen anderthalb Jahren. Die unterschiedlichen IT-Systeme müssen in die Infrastruktur integriert werden. „Alle Zukäufe werden schnellstmöglich auf unsere Plattform gehoben. Wir wollen da keine Sicherheitslücke haben“, so der CFO.
Eine gute Zusammenarbeit auf internationaler Ebene ist Lehmann zufolge ebenfalls wichtig: „Wenn beispielsweise in Deutschland nachts ein System gehackt würde, könnten unsere Kollegen in den Vereinigten Staaten, die dann noch arbeiten, darauf entsprechend reagieren“, erklärt der CFO.
Sartorius zwischen moderner Arbeit und Risiko
Wir wollen unseren Mitarbeitern modernes Arbeiten ermöglichen, aber nicht die IT-Sicherheit riskieren.
Die technische Seite der IT-Sicherheit ist jedoch nur ein Aspekt. Der Faktor Mensch bleibt weiter das größte Problem, betonen Sicherheitsexperten. „Wir schulen und sensibilisieren unsere Mitarbeiter und versuchen ein Verständnis herzustellen, dass man beispielsweise eine verdächtige Mail auch nicht öffnen sollte“, sagt Lehmann.
Der zunehmende Einsatz mobiler Geräte stellt CFOs vor zusätzliche Aufgaben. Zahlungsfreigaben etwa sollen in Zukunft in Echtzeit über Handys oder Tablets möglich sein. Sartorius-Finanzchef Rainer Lehmann sieht in dem Bereich eine der größten Herausforderungen: „Wir wollen unseren Mitarbeitern einerseits modernes und angenehmes Arbeiten ermöglichen, dürfen aber andererseits nicht die IT-Sicherheit riskieren“, sagt er. „Die richtige Balance zu finden ist nicht immer leicht."
Info
Seit März hat der Pharma- und Laborzulieferer Sartorius in Rainer Lehmann einen neuen CFO. Was dieser vor seinem Dienstantritt gemacht hat, erfahren Sie auf dem FINANCE-Köpfe-Profil von Rainer Lehmann.
Mehr Informationen zum Schutz vor Hacker-Attacken und Angriffen durch Schadsoftware finden Sie auf unserer Themenseite Cybercrime.
Jakob Eich ist Chef vom Dienst des Printmagazins FINANCE und arbeitet parallel für das Schwestermedium DerTreasurer. Beide Publikationen gehören zum Fachverlag F.A.Z Business Media, bei dem der gebürtige Schleswig-Holsteiner auch sein Volontariat absolviert hat. Eich ist spezialisiert auf die Themen Digitalisierung im Finanzbereich und Treasury. Erste journalistische Erfahrungen sammelte der Journalist in den Wirtschaftsmedien von Gruner+Jahr sowie in der Sportredaktion der Hamburger Morgenpost.
