Dass ein Gesundheitskonzern auf jeder Menge sensibler Daten sitzt, liegt auf der Hand. Welche Bedrohungen ergeben sich daraus? Wie lassen sich Produktion und Kliniken schützen? Ist Cybersecurity so spannend wie das Wort klingt? Das Team „Group Cybersecurity Office (GCSO)“ schützt die Fresenius-Gruppe vor Cybergefahren. Ralf Garrecht, Group Head of Cybersecurity, und Marius Fetzberger, Head of GCSO, berichten gemeinsam aus ihrem Alltag.
Ralf Garrecht: Phasenweise – bei einer konkreten Bedrohung oder einem Angriff – kann es sehr aufreibend sein, da sind dann auch mal Nachtschichten notwendig. Aber im Alltagsgeschäft steht im Vordergrund, Risiken zu erkennen, daraus Maßnahmen abzuleiten und diese dann umzusetzen.
Marius Fetzberger: Es ist grundsätzlich aufregend, Cybersecurity im Kontext der Patientinnen und Patienten zu denken und die nötigen Strukturen und Technologien einzusetzen, die uns helfen, diese spannende Herausforderung bei einem so großen Unternehmen wie Fresenius zu adressieren. Wir arbeiten intensiv daran, eine Kultur des Bewusstseins für Cybergefahren im Unternehmen zu verankern. Dazu gehören viel Erfahrung und Kreativität, aber auch Begeisterung für Neues und die stetige Veränderung. Außerdem müssen wir ständig unser Wissen aktuell halten und erweitern und in einem Angriffsfall große Flexibilität und hohe Einsatzbereitschaft zeigen. Aufregend ist die Vielfalt der Herausforderungen, die uns persönlich und fachlich stark fordern – aber auch wachsen lassen.
Ralf Garrecht: Wir sind der größte Klinikbetreiber Europas und haben weltweit die meisten Dialysepatienten – also verwalten wir eine riesige Menge sensibler Daten von Patientinnen und Patienten. Außerdem stellen wir medizinische Produkte her. Und natürlich gilt es auch, unser geistiges Eigentum zu schützen. Wir müssen daher die gesamte Wertschöpfungskette im Blick haben.
Marius Fetzberger: Gefahr droht vor allem durch sogenannte Ransomware-Angriffe – solche Fälle gehen immer wieder durch die Presse: Hier werden vorwiegend große, attraktive Unternehmen mit kritischer Infrastruktur ins Visier genommen. Angreifer versuchen, Prozesse lahmzulegen oder Daten zu entwenden und die Unternehmen damit zu erpressen.
Marius Fetzberger: Die Sache ist für Angreifende lukrativer geworden. Beispielsweise haben „Revil“ mit ihrem letzten Angriff an ihre Opfer eine Forderung von 70 Mio. USD gestellt. Viele entsprechende Tools sind z. B. im Darknet erhältlich. Das hat den Trend beschleunigt. Die DSGVO hat das Thema zusätzlich verschärft, weil das Bewusstsein für Datenschutz gestiegen ist und man als Opfer eines erfolgreichen Angriffs auch noch Strafen zahlen muss. So können sich Angreifende den Druck zunutze machen, der auf den Organisationen lastetet, um die Erfolgschancen einer Bezahlung zu erhöhen.
Ralf Garrecht: In Sachen Abwehr ist eine wichtige Erkenntnis: Man muss gemeinsam arbeiten und von den Besten lernen, sich gegenseitig schützen.
Ralf Garrecht: Wir sind in engem Kontakt mit Kolleginnen und Kollegen in den anderen DAX-Konzernen und tauschen uns mit ihnen intensiv aus. Auch mit Behörden sind wir im Dialog, etwa mit dem BKA oder dem BSI. Bei Fresenius haben wir beispielsweise auch einen Experten mit militärischem Hintergrund an Bord.
Marius Fetzberger: Wir analysieren die Risiken entlang der Wertschöpfungskette. Dann entscheiden wir über die Maßnahmen, die wir umsetzen und überwachen müssen, um unsere Krankenhäuser, medizinischen Endgeräte, Produktionsstätten und Mitarbeitenden zu schützen. Das geht nur zusammen als Konzern, und der Austausch mit allen Cyber-Expert:innen und Entscheider:innen der Fresenius-Gruppe ist essenziell. Denn nur so können wir einen starken Grundschutz für das digitale Rückgrat (wie bspw. IT, OT und IoT) bei Fresenius etablieren.
Ralf Garrecht: Ja, natürlich! Der Faktor Mensch ist bei Sicherheitsfragen immer extrem wichtig. Wir haben ein umfassendes Trainingskonzept, das das Bewusstsein für Cybersecurity in alle Bereiche des Unternehmens trägt. Das fängt bei ganz einfachen Dingen wie Phishing-Mails an, denn die können ja ein Einfallstor sein. Wir trainieren aber auch Gruppen im Unternehmen, die spezielle Maßnahmen brauchen, wie etwa IT-Verantwortliche in der Produktion. Hier stellen wir sicher, dass sauber programmiert und dokumentiert wird. Und wir schulen Personen, die in den Kliniken medizinische Endgeräte betreiben.
Marius Fetzberger: Die enge Zusammenarbeit mit betrieblichen Einheiten ist besonders wichtig, weil dort die Implementierung der Sicherheitsmaßnahmen ganz konkret und praktisch läuft. Wir arbeiten mit anderen Cybersecurity-Expert:innen im gesamten Konzern zusammen. Gleichzeitig nutzen wir Technologie, mit der wir die Mitarbeitenden bestmöglich dabei unterstützen können. Mittels künstlicher Intelligenz und Automatisierung lässt sich das Zusammenspiel zwischen Mensch und Technologie immer besser umsetzen, um Cyber-Bedrohungen umfangreich und schnell zu adressieren.
Ralf Garrecht: Ich habe Wirtschaftsinformatik studiert und stets in der IT gearbeitet – gleichzeitig war mir der Business-Bezug immer wichtig. Informationssicherheit war bei allen meinen vorigen beruflichen Stationen im Fokus. Bei Fresenius mag ich besonders die Komplexität und Heterogenität des Unternehmens. Noch mehr bedeutet es mir aber persönlich, dass Fresenius die Mission hat, immer mehr Menschen mit immer besserer Medizin zu versorgen.
Marius Fetzberger: Ich habe bei zwei Beratungsunternehmen zum Thema Informationssicherheit gearbeitet, kam zunächst als externer Berater zu Fresenius und bin dann hiergeblieben. Ursprünglich war ich mit einer Ausbildung zum Fachinformatiker gestartet und habe noch ein Studium der Wirtschaftsinformatik draufgepackt. Ich finde es extrem spannend, bei einem Unternehmen für Cybersecurity zu sorgen, das wichtige und kritische Produkte liefert, die Sinn stiften. Ich ziehe sehr viel Motivation daraus, Cybersicherheit für das Wohl unserer Patientinnen und Patienten umzusetzen.
Ralf Garrecht: Natürlich brauchen sie ein gewisses technisches Verständnis. Informatik, Data Science – das sind die grundlegenden Skills, die wir suchen. Aber das wichtigste steht gar nicht im Lebenslauf: Neugier, Beharrlichkeit und Enthusiasmus für das Thema Cybersecurity. Diese Mischung aus technischer Kompetenz und Leidenschaft suchen wir. Die unerlässliche Grundlage ist also die Begeisterung für unsere Themen, die Kandidatinnen und Kandidaten mitbringen sollten.