Boban Krsic ist seit 2021 Vice President IT Security bei Fresenius Digital Technology. Wie schützt man einen Gesundheitskonzern mit vielen Geschäftsbereichen gegen Bedrohungen? Welche Vorgaben und Maßnahmen sind dafür nötig? Wie gelingt der Aufbau einer solchen Abteilung, die so wichtige Aufgaben hat? Das und noch mehr verriet uns Boban im Interview.
Wir bringen Sicherheit in die IT. Das ist für alle Unternehmen wichtig, aber ganz besonders gilt das für einen Gesundheitskonzern wie Fresenius. Schließlich können bei uns Ausfälle von Systemen oder Anwendungen und damit eine Beeinträchtigung der Produktion oder Logistik schnell lebensbedrohend für unsere Patient:innen werden. Unser Ziel ist es, Sicherheitsmaßnahmen, vertrauensvolles Zusammenarbeiten und kreative Lösungen nahtlos miteinander zu verbinden. So wollen wir die Mission von Fresenius schützen: immer bessere Medizin für immer mehr Menschen bereitstellen – und das auf höchstem Sicherheitsniveau. Wir stellen für alle Dienste und Plattformen, die Fresenius Digital Technology betreibt, Verfügbarkeit, Vertraulichkeit und Integrität der Informationen und Daten sicher und tragen so zum Schutz der Wertschöpfungskette bei.
Unsere Projekte sind alle spannend – ich mag da gar nicht so recht ein Ranking erstellen. Wir arbeiten aktuell in rund 12 Projekten an unterschiedlichsten Themen und kümmern uns gemeinschaftlich mit den Segmenten des Konzerns um die IT-Sicherheit auf diversen Ebenen. Uns gab es zuvor in dieser Form nicht, wir sind eine neu geschaffene zentrale Funktion und das an sich ist spannend. Auf der einen Seite kümmern wir uns beispielsweise um die Umsetzung des Governance Frameworks für Cybersecurity und die Implementierung entsprechender Prozesse und Maßnahmen im Verantwortungsbereich der Fresenius Digital Technology. Auf der anderen Seite sorgen wir für Kontrollen und Schutzmaßnahmen in der Systemumgebung wie beispielsweise Security in Cloud-Anwendungen. Hier kooperieren wir intensiv mit Cloud-Anbietern wie Microsoft oder SAP und mit internen Bereichen wie Application Operation oder Global Infrastructure. Am anderen Ende des Spektrums sorgen wir für die so genannte Endpoint Security, bei der es darum geht, jeden einzelnen Arbeitsplatzrechner zu schützen. Mit Tools und Policies, die regeln, unter welchen Bedingungen was genutzt werden darf.
Nehmen wir das Beispiel „Umgang mit Removal Media“ – dazu gehört praktisch alles, was ich an einen Rechner anschließen kann, ob mit oder ohne Kabel: Hier machen wir genaue Vorgaben, was erlaubt ist. Doch mit den Vorgaben allein ist es ja nicht getan. Dürfen beispielsweise USB-Sticks genutzt werden, die potenziell Schadsoftware ins Unternehmen tragen können? Wenn wir festlegen, dass nur Fresenius-eigene USB-Sticks verwendet werden dürfen, hängen daran ganz praktische Konsequenzen: Woher bekomme ich die? Was passiert, wenn ich doch einen anderen nutze? Bekomme ich nur eine Warnmeldung oder funktioniert der fremde USB-Stick nicht? Das muss ja alles operationalisiert werden. Hier haben wir Schnittstellen mit vielen anderen Bereichen im Unternehmen wie Beschaffung, Service-Desk, aber auch mit der Kommunikation. Andere ganz praktische Beispiele sind der Umgang mit administrativen Benutzern oder der Einsatz von Antivirensoftware. Hierbei leisten wir immer wieder einen wesentlichen Beitrag, indem wir ein konzernweites Programm aufgesetzt haben, das in enger Zusammenarbeit mit anderen Security-Experten der Fresenius-Gruppe modernste Sicherheitsstandards zum Schutz der IT-Infrastrukturen implementiert. Auch Dienstleister, die wir beauftragen, müssen wir natürlich in der Einhaltung von Sicherheitsanforderungen überprüfen. Wenn dann noch die Pandemie, geopolitische Ereignisse oder echte Cyberangriffe dazukommen, wird unser Job richtig spannend – und stressig. Zum Beispiel mussten wir die Sicherheitsstrukturen anpassen, als mit Beginn der Corona-Pandemie alle ins Homeoffice wechselten. Oder dafür sorgen, dass trotz des Krieges in der Ukraine mit Ausfällen in der Strom- und Internetversorgung unsere Dialysezentren weiter arbeitsfähig und vor allem IT-sicher bleiben. Hierbei arbeiten wir eng mit unseren Kollegen der Cyberabwehr zusammen, um die Bedrohungslage durch mögliche russische Cyberangriffe einzuschätzen und Vorkehrungen dagegen zu treffen. Aber auch ein Handelsembargo von US-Firmen wie Microsoft hätte konkrete Auswirkungen haben können – wenn z. B. keine Updates mehr installiert werden dürfen, kann das zu Sicherheitslücken führen.
Cybersecurity bei Fresenius ist an unseren Wertschöpfungsketten orientiert (Daten, Kliniken und Produktion), um sicherzustellen, dass das digitale Rückgrat des Unternehmens angemessen geschützt ist. Die Herausforderungen sind dadurch sehr vielfältig und wir als IT Security leisten hier einen spannenden Beitrag und haben unglaubliche Möglichkeiten, Dinge mitzugestalten. Wir sind eine neue dynamische Funktion - es fühlt sich manchmal an wie in einem Startup zu arbeiten. Gleichzeitig führen wir Themen aber auch in die Breite, wir können hier gemeinsam mit den Security-Experten der Fresenius-Gruppe Standards setzen, die dann im gesamten Konzern zur Anwendung kommen. Hinzu kommt, dass wir global agieren und dass beispielsweise nicht selten Merger integriert werden müssen. Wenn auf einen Schlag 1.000 Mitarbeitende dazukommen, die in die Sicherheitslandschaft aufgenommen werden sollen, dann ist richtig Bewegung drin. Wer mir sagt: „Ich möchte mich weiterentwickeln“, ist hier goldrichtig. Wir brauchen Menschen mit der sprichwörtlichen Hands-on-Mentalität, die etwas aufbauen wollen.
Aktuell ist mein Team noch überschaubar, das macht es für mich leichter, mit meinen Leuten in engem Kontakt zu bleiben. Wir kommunizieren praktisch ständig, nutzen auch agile Methoden, um Transparenz zu schaffen und zu erhalten, stimmen uns mehrmals in der Woche im gesamten Team ab. So schaffen und fördern wir Vertrauen in unser Vorhaben. Wir haben aber auch tägliche Tasks und zelebrieren das typische „situative Rüberschieben“ von Aufgaben. Das ist alles sehr beweglich. Aktuell berichten alle direkt an mich, da ist der Draht kurz. Aber unabhängig von der Größe des Teams gilt für mich: Vertrauen ist nicht nur wichtig. Es ist die Grundvoraussetzung für Zusammenarbeit.