7. Juli 2025
Iskro Mollov, Chief Information Security Officer, GEA (Bild: GEA)
Iskro Mollov
Chief Information Security Officer, GEA
Iskro Mollov (IM): Grob gesagt, umfasst Informationssicherheit alle Maßnahmen, die zum Schutz der Informationen – natürlich einschließlich der digitalen Daten – eines Unternehmens ergriffen werden. Hierzu zählen unter anderem alle Arten sensibler Informationen: die unserer Kunden, Lieferanten und Geschäftspartner sowie unsere eigenen, wie Informationen über geistiges Eigentum, unsere finanzielle und strategische Positionierung oder auch personenbezogene Daten unserer Mitarbeiter. Der Schutz dieser Informationen ist vor allem eine ganzheitliche Steuerungsaufgabe. Sie soll Hackerangriffe vereiteln, Spionage verhindern, die Einhaltung aufsichtsrechtlicher und vertragsrechtlicher Vorschriften gewährleisten, kritische Systeme schützen und Unterbrechungen des Geschäftsbetriebs verhindern. Unsere Stakeholder fordern zurecht die Zusicherung, dass ihre Informationen geschützt sind – nicht nur im normalen Geschäftsbetrieb, sondern ganz besonders in Ausnahmesituationen, wie bei einem Cyberangriff oder einer Naturkatastrophe.
IM: Bei GEA betrachten wir alle Bereiche und Funktionen ganzheitlich, um die Sicherheitsrisiken des Unternehmens zu verstehen. Auf dieser Basis setzen wir wirksame und effiziente Sicherheitsmaßnahmen um. Informationssicherheit ist besonders relevant für die Bereiche Informationstechnologie (IT), operative Technologie (OT), unsere Produkte und Produktentwicklungsprozesse, unseren Internetauftritt, unsere physischen Vermögensgegenstände sowie Standorte, Lieferanten und Mitarbeiter. Echte Sicherheit entsteht jedoch erst, wenn das Unternehmen eine Kultur verankert, in der Sicherheit von jedem Mitarbeiter – unabhängig von der Rolle – ganz selbstverständlich gelebt und nicht ausschließlich den Sicherheitsexperten überlassen wird.
IM: Ich habe drei übergeordnete Aufgaben, die miteinander verzahnt sind. Die erste ist die laufende Überprüfung und Verbesserung der Informationssicherheits-Governance bei GEA. Hierzu ergreifen wir in unserem Team eine Reihe von Maßnahmen. Dazu gehören die Steuerung unserer weltweiten Informations-Sicherheits-Management-Systeme (ISMS), die Erlangung von Sicherheitszertifizierungen und Einhaltung von Vorschriften sowie die Überwachung des Sicherheitsrisikomanagements, Mitarbeiterschulungen, Identitäts- und Zugangsmanagement, Reaktionen auf Sicherheitsvorfälle, Leistungsmessungen, Audits und Penetrationstests. Außerdem testen wir unsere digitalen Systeme und Produkte regelmäßig durch simulierte Hackerangriffe. s.
Meine zweite Aufgabe ist die Sicherstellung der Geschäftskontinuität, d. h. dafür zu sorgen, dass der Betrieb von GEA auch in Ausnahmesituationen ohne Störungen weiterläuft. Dies beinhaltet die Vorbereitung auf verschiedene Arten möglicher Unterbrechungen unseres Geschäftsbetriebs, beispielsweise durch Ransomware, Unterbrechungen unserer Produktion und Lieferketten, Naturkatastrophen, Ausfall von Versorgungseinrichtungen, soziale Unruhen, Pandemien oder rechtliche Probleme.
Drittens bin ich für das Krisenmanagement verantwortlich. Unternehmenskrisen können in vielen Formen auftreten – und hat es in der Vergangenheit auch schon gegeben als Folge der Covid-Pandemie und internationaler (militärischer) Konflikte. Ein relevantes Szenario, auf das wir uns sehr genau vorbereiten, ist natürlich ein Ransomware-Angriff mit globalen Auswirkungen. Krisenmanagement ist letztlich eine komplexe, intensive Aufgabe und mit sehr viel Koordinationsarbeit verbunden, da viele verschiedene Unternehmensfunktionen involviert sein können.
IM: Ganz bunt gemischt, würde ich sagen! Unser Team für Informationssicherheit, Geschäftskontinuität und Krisenmanagement setzt sich aus Experten aus aller Welt zusammen. Wir haben Spezialisten für verschiedene Sicherheitsaspekte, wie physische Sicherheit, IT-, OT- und Produktsicherheit sowie Geschäftskontinuitätsmanagement und generell Sicherheits-Governance und Risikomanagement. Auch die beruflichen Hintergründe der Teammitglieder sind sehr heterogen. So umfasst das Team Ingenieure, IT-Fachleute und Betriebswirte.
IM: Informationssicherheit hat sich von einer unterstützenden Funktion zu einer eigenen Schlüsselfunktion entwickelt, die in unserer Branche einen Wettbewerbsvorteil verschafft. Eine gut strukturierte Informationssicherheits-Governance kann ausschlaggebend für den Gewinn von Neugeschäft sein. Leider nehmen Cybervorfälle und Spionage zu. 2024 waren beispielsweise neun von zehn Unternehmen weltweit Ziel von mindestens einem Ransomware-Angriff. „Geschäftsmodelle“ wie Ransomware-as-a-Service erfordern minimalen finanziellen Einsatz und Aufwand, um einen potenziell verheerenden Angriff durchzuführen. Fast alle Unternehmen aus dem Maschinenbau und der Verfahrenstechnik sowie vielen anderen Branchen setzen zurecht auf Konnektivität, KI und cloudbasierte Lösungen, um die Chancen der Digitalisierung zu ergreifen. Die Kehrseite: Damit vergrößert sich ihre Angriffsfläche. Zudem sind die globalen Lieferketten anfälliger geworden, und wir alle wissen, dass die geopolitische Lage in den letzten Jahren instabiler geworden ist.
Darüber hinaus nimmt auch die Komplexität der regulatorischen Landschaft zu. Umfangreiche Vorschriften wie der Cyber Resilience Act und die NIS-2-Richtlinie der EU richten sich direkt an Anlagenbetreiber und Anlagenbauer. GEA ist beides – wir betreiben nicht nur unsere eigenen Anlagen, sondern bauen auch Anlagen und Maschinen für unsere Kunden. Mit Blick auf die Informationssicherheit ist diese Kombination für uns von Vorteil: Sie verschafft uns umfassende praktische Erfahrungen aus der realen Welt in Bezug auf ein breites Spektrum von Anforderungen, Möglichkeiten und potenziellen Herausforderungen in zahlreichen Branchen. Aufgrund unserer einzigartigen Positionierung und Erfahrung können wir führende und häufig sehr kundenspezifische Informationssicherheitslösungen anbieten, die den neuesten aufsichtsrechtlichen Anforderungen gerecht werden.
IM: Ja, eindeutig. Dieses Thema gewinnt immer mehr an Relevanz. Dies zeigt sich ganz klar an dem Feedback, das wir von Kollegen aus dem Vertrieb in unseren Divisionen und Regionen erhalten. Sie alle unterstreichen die zunehmende Bedeutung der Informationssicherheit auch auf Kundenseite. Zum Ausbau ihres Geschäfts benötigen die Kunden unsere Hilfe. Eine herausragende Sicherheits-Governance ist entscheidend, um das Vertrauen der Kunden weiter zu stärken und zu erhalten, und ermöglicht es GEA, Neugeschäft zu generieren.
IM: Viele Kunden bevorzugen ausdrücklich Geschäftspartner, die zertifiziert sind – beispielsweise nach ISO/IEC 27001, einer internationalen Norm für Systeme für das Informationssicherheitsmanagement. Sie gibt die Anforderungen für die Einrichtung, den Betrieb, die Pflege und kontinuierliche Verbesserung eines umfassenden Informations-Sicherheits-Management-Systems in einem Unternehmen vor. Für immer mehr Auftraggeber ist eine Zertifizierung ein verbindliches Kriterium. International anerkannte Zertifizierungen sind der Standard für Informationssicherheit und bieten unseren Kunden einen objektiven und transparenten Einblick in die strengen Informationssicherheitsstandards bei GEA. Sie werden ausschließlich von führenden Prüforganisationen, wie in unserem Fall dem TÜV Rheinland, durchgeführt.
2021 erhielt GEA die erste Dachzertifizierung gemäß ISO/IEC 27001. Im Anschluss wurden Jahr für Jahr weitere Standorte und rechtliche Einheiten von GEA in die Zertifizierung aufgenommen. Die jüngste Rezertifizierung erfolgte 2024, diesmal nach der neuesten Fassung der ISO-/IEC-Norm 27001 von 2022. Das Zertifikat gilt für alle Geschäftstätigkeiten an 53 GEA-Standorten weltweit. Dies ist ein wichtiger Meilenstein, weil ISO/IEC 27001 die führende internationale Norm für Managementsysteme für Informationssicherheit ist, die branchenübergreifend sehr angesehen ist. Zudem sind unsere Produktionsstandorte und unser Produktentwicklungsprozess nach IEC 62443-2-1 und -4-1 zertifiziert, den führenden Standards für die Sicherheit von industriellen Automatisierungs- und Steuerungssystemen. Dabei handelt es sich ebenfalls um Dachzertifizierungen für den Konzern, in die wir Jahr für Jahr weitere Standorte einbeziehen.
IM: Unser Ziel ist eine Zertifizierung der Sicherheit aller relevanten GEA-Standorte und Produkte bis 2027 im Rahmen unseres Global Security Program. Außerdem streben wir bis Ende 2025 eine Zertifizierung für mehr als 75 Prozent der Mitarbeiter an, um unsere Ratings nach internationalen ESG-Standards weiter zu verbessern. Ebenfalls ganz oben auf unserer Aufgabenliste steht auch die Vorbereitung von GEA auf neue regulatorische Vorgaben. Ein Beispiel ist der Cyber Resilience Act (CRA) der EU: Hersteller müssen künftig Cybersicherheit im gesamten Produktlebenszyklus berücksichtigen und unterliegen strengen Standards und umfangreichen Berichtspflichten.
Noch wichtiger als diese internationalen Themen ist jedoch die Unterstützung unserer Kunden, denen wir in puncto Sicherheit, Einhaltung von Vorschriften und Zukunftsfähigkeit zu noch mehr Effizienz verhelfen wollen. Dies geschieht auf zweierlei Art: einerseits durch die Bereitstellung von Produkten und digitalen Diensten, die sicher sind und andererseits durch spezielle Sicherheitsprodukte und -dienste als Teil des GEA-Angebots, wie GEA Codex® Asset Care.
IM: Das ist einfach zu beantworten: GEA setzt alles daran, seine Informationssicherheits-Governance weiter zu stärken, um Innovation und Vertrauen zu fördern. Neben unserem Ruf als Unternehmen für erstklassige Ingenieurskunst sollen auch unsere hohen Standards in Bezug auf Informationssicherheit ein entscheidender Grund sein, warum sich Kunden für GEA entscheiden. Wenn wir uns in diesem Bereich weiter auszeichnen, könnten wir mit dem umfassenden Fachwissen, das wir uns dabei angeeignet haben, auch anderen Branchen helfen. Aufgrund der Komplexität unseres Geschäfts und der gesetzlichen Rahmenbedingungen, mit denen wir zu tun haben, sind wir hier in einer starken Position.