Herr Arndt, die spannendste Frage vielleicht zuerst: Sie sind für die Sicherheit eines Unternehmens zuständig, haben aber einem Interview zugestimmt, das veröffentlicht wird. Wie lösen wir beide jetzt dieses Spannungsfeld?
Natürlich ist das ein zweischneidiges Schwert. Über unsere Sicherheitsvorkehrungen hier in der Leipziger Messe sprechen wir nicht öffentlich und gleichzeitig ist es in meiner Position so, dass der Öffentlichkeit, den Pressevertretern oder den Kunden kommuniziert werden muss, worin unser Sicherheitsniveau besteht. Da müssen wir dann schon konkreter werden. In einem internen Gremium sprechen wir solche Fragen ab und vereinbaren, was wir preisgeben und was nicht, und das haben wir auch in diesem Fall getan.
Was war der bisher größte Security Breach, den Sie als IT-Manager für Security hier auf der Leipziger Messe bekämpfen mussten?
Zum Glück gab es in meiner Zeit bei der Leipziger Messe keinen größeren Vorfall. Ich habe auch nie von einem vor meiner Zeit gehört. Selbstverständlich kam es dennoch zu Vorfällen. Meistens sind das Störungen an den Systemen. Das könnten zum Beispiel Technikereinsätze sein, die unglücklich verlaufen sind oder generelle Systemausfälle. Abgesehen von routinemäßigen Wartungsarbeiten mussten wir noch nie wegen eines sicherheitsrelevanten Vorfalls Systeme komplett herunterfahren. Zum Glück mussten wir aber noch nie ein System komplett vom Netz nehmen.
Das Bundeskriminalamt erfasste für 2023 in seinem Bundeslagebild Cybercrime insgesamt 134.407 Fälle von Onlinekriminalität. Die Dunkelziffer schätzt die Behörde auf 90 Prozent. Die Schäden haben sich laut dem Digitalwirtschaftsverband Bitkom auf geschätzte 267 Milliarden Euro belaufen. Was von diesen Dimensionen kommt bei einem Unternehmen wie der Leipziger Messe an?
Das Maß ist überschaubar, das bei uns ankommt. Vorrangig tauchen Gefahren bei unseren Mitarbeitern auf, zum Beispiel die allseits bekannten Pishing-Mails. Es gibt Ransomware-Angriffe, bei denen sich Dokumente im Anhang befinden, die geöffnet werden sollen. Ein nicht ganz so bekanntes Beispiel sind CEO-Frauds – auch CEO-Betrug genannt -, wo sich Angreifer als Geschäftsführer oder hochrangige Führungskräfte aus dem Haus ausgeben und dann versuchen, Personen in den Leitungsebenen telefonisch oder per E-Mail in die Falle zu locken. Angriffe können auch unsere Stakeholder betreffen oder Serviceunternehmen, die Dienstleistungen bei uns erbringen oder Service-Wartungen vornehmen. Mit Ausnahme geplanter Wartungsintervalle sahen wir uns bislang nicht veranlasst, infolge sicherheitsrelevanter Vorfälle Systeme vollständig außer Betrieb zu nehmen.
Von der Gefahr zur Prävention: Was tun Sie, um einen solchen Angriff schon im Vorfeld abwehren zu können?
Ein zentrales Element unserer IT-Sicherheit ist das kontinuierliche Monitoring unserer Systeme. So können wir frühzeitig ungewöhnliche Aktivitäten oder Angriffsversuche erkennen und Handlungsempfehlungen ableiten. Gegebenenfalls binden wir externe Experten mit ein, um Vorfälle zeitnah und zielgerichtet zu bearbeiten. Zudem haben wir ein Meldesystem für die Mitarbeiter. Hier kann niedrigschwellig auch schon der Verdacht gemeldet werden. So ermutigen wir die Mitarbeiter zum Melden, bevor etwas Schlimmeres passiert. Unser IT-Team bewertet den Vorfall und zieht bei Bedarf unser Incident Response Team hinzu, das je nach Schwere des Ereignisses die passenden Maßnahmen einleitet.
Welchen Anteil nehmen die Schulungen von Kollegen und Vorgesetzten in Ihrem Arbeitsalltag ein?
Es gibt bei uns Online-Schulungen, die zweimal im Jahr stattfinden. Darüber hinaus stehen wir telefonisch parat, falls noch Fragen offen sein sollten und suchen zudem das persönliche Gespräch. Wenn ein Vorfall eingetreten sein sollte, schulen wir auch noch einmal intensiver nach. Transparenz und Offenheit sind weitere, wichtige Bestandteile. Das heißt, wenn ein Vorfall auftritt, informieren wir die Belegschaft darüber und leiten Schlussfolgerungen für künftiges, sicheres Agieren ab.
Wo gibt es Kooperationen mit anderen Unternehmen, womöglich gar Behörden, um präventiv agieren zu können?
Als Leipziger Messe unterliegen wir der gesetzlichen Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und arbeiten eng mit relevanten Behörden und Verbänden wie der Bitkom zusammen. Im Fall sicherheitsrelevanter Vorfälle informieren wir das BSI, das bei größeren Störungen unterstützend vermitteln und – wo erforderlich – weitere Stellen wie das Bundeskriminalamt einschalten kann. Zusätzlich haben wir Dienstleister, mit denen wir im Bereich der Forensik – also der Auswertung – zusammenarbeiten. Außerdem kooperieren wir mit spezialisierten Partnern, um bei einem Ausfall zentraler Systeme eine schnelle Wiederinbetriebnahme zu gewährleisten.
Als Mitarbeiter des Unternehmens mit Laienwissen gehe ich nach Hause und warte, bis Sie und Ihr Team fertig sind oder kann ich dann noch was beitragen?
Für solche Szenarien haben wir detaillierte Abläufe definiert, die vom Incident Response Team gesteuert werden. Je nach Schwere des Vorfalls binden wir zusätzlich den Fachbereich Kommunikation und die Rechtsabteilung ein. Während unser IT-Team die technischen Maßnahmen zur Schadensbehebung umsetzt, übernehmen diese Abteilungen die interne und externe Informationsversorgung – sowohl gegenüber der Belegschaft als auch unseren Kunden.
Kann man sich überhaupt vollends vor Cybercrime schützen?
Das BSI und zahlreiche Sicherheitsexpertinnen und -experten mahnen: Irgendwann wird es jedes Unternehmen treffen. Daher bauen wir unsere präventiven Maßnahmen kontinuierlich aus und stimmen alle Schritte so ab, dass wir im Ernstfall den Schaden schnell eindämmen können. Ein Schwerpunkt liegt auf der laufenden Überprüfung unserer Back-up-Strategien und der Sicherstellung redundanter Systeme. Zusätzlich validieren wir unsere Sicherheitskonzepte regelmäßig durch kontrollierte Penetrationstests und erzielen insbesondere im Bereich Wiederanlauf durchweg sehr positive Bewertungen.
Welchen Stellenwert hat die Weiterbildung in Ihrem Job zu neuartigen Cyberangriffen?
Das ist wirklich ein Großteil meines Jobs, immer auf dem aktuellen Stand zu sein und die neuen Bedrohungslagen auf dem Schirm zu haben. Neuartig sind die KI-basierten Angriffe. Spam-Mails werden dadurch beispielsweise immer professioneller. Im Umkehrschluss bedeutet das, neues Wissen immer wieder an die Kollegen weiterzugeben. Bei unserem jüngsten Social-Engineering-Test unter den Mitarbeitenden erreichten wir sehr gute Ergebnisse. Da bin ich sehr stolz auf meine Kollegen.
Nun haben wir mit der protekt seit 2016 eine etablierte Konferenz im Spektrum unserer Marken, die genau Ihr Tätigkeitsprofil behandelt. Wann war Ihr erstes Mal auf der protekt und welchen Vortrag haben Sie besonders in Erinnerung?
Meine erste protekt war leider erst 2023. Das lag daran, dass ich nicht früher mit kritischen Systemen zu tun hatte. Was mir gut gefallen hat und was ich mir mitgenommen habe, waren die Workshops zu den klaren und kurzen Kommunikationswegen im Krisenfall. Das hat mir sehr viel gebracht, gerade bei der Frage der Incident Response Teams. Auch bei den KI-basierten Angriffen habe ich viele interessante Impulse mitnehmen können, die mir sehr gut in Erinnerung geblieben sind. Darüber hinaus ermöglicht mir die protekt, über den Tellerrand hinauszuschauen. Der Schutz weiterer kritischer Infrastrukturen, die spezifischen Risiken, die dort bestehen, und die Maßnahmen, die die Verantwortlichen ergreifen, sind eine Bereicherung.
Und die protekt 2025 am 25. und 26. November – schon im Kalender notiert?
Natürlich! Sie steht als feste Veranstaltung in meinem Terminplan. Als Sicherheitsverantwortlicher der Leipziger Messe merke ich ganz deutlich, dass der Austausch funktioniert und Teilnehmer auf mich zukommen und das Gespräch suchen. Davon gehe ich bei der nächsten protekt wieder aus, insofern werde ich in jedem Fall anwesend sein.
Die protekt ist seit 2016 die führende auf den Schutz kritischer Infrastrukturen ausgerichtete Konferenz in Deutschland. An zwei Tagen bietet sie als Leitveranstaltung eine Plattform, um aktuelle Themen der Cyber- und Informationssicherheit und des physischen Schutzes in Unternehmen und Einrichtungen der kritischen Infrastruktur zu diskutieren. In der begleitenden Ausstellung haben exklusive Partner die Möglichkeit, Praxisbeispiele zu präsentieren. Die protekt findet jährlich in der KONGRESSHALLE am Zoo Leipzig statt.
