Cyber Security bei KPMG: Mit Sicherheit in die Zukunft
Cyberspionage, digitale Erpressung, Computersabotage – Cyberkriminalität greift rasant um sich. Hans-Peter Fischer ist Partner im Bereich Cyber Security bei KPMG und sorgt dafür, dass Unternehmen dennoch gut gerüstet die Zukunft angehen können.
Wie man die Kronjuwelen eines Unternehmens schützt? Genau das ist Hans-Peter Fischers Job. Heute liegen die "Kronjuwelen" – die Betriebsgeheimnisse eines Unternehmens – nicht mehr in irgendeinem Safe, sondern sind längst digitalisiert und damit praktisch weltweit zugänglich – geradezu eine Einladung für Cyberangriffe. An dieser Stelle kommt Cyber Security ins Spiel – und damit Hans-Peter Fischer, der sich bei KPMG mit diesem Thema beschäftigt: Wie können sich Unternehmen vor Cyberkriminalität schützen?
Hans-Peter Fischer ist Partner im Bereich Security Consulting der KPMG. Er berät Unternehmen zu IT Risiko Management und Cyber Security - von der Strategie über die Maßnahmendefinition bis zur Implementierung.
Fischer kennt den Roman "Blackout. Morgen ist es zu spät" von Marc Elsberg. Für wie realistisch hält er das dort beschriebene Katastrophenszenario? Für sehr realistisch: "Die IT hat die Gesellschaft bereits tief durchdrungen. Wir sind eine hoch entwickelte Gesellschaft, die stark von ihr abhängig ist. Selbst als kompletter Verweigerer neuartiger Technologien ist man von der Verletzbarkeit dieser Systeme betroffen. Fast alles wird mittlerweile von IT gesteuert – wie auch die Stromversorgung in einem Buch von Elsberg. Das dort beschriebene Szenario ist nur eine von vielen möglichen Katastrophen."
Genau deshalb sei es so wichtig, Risiken zu erkennen, um diese dann zu minimieren: "Cyber Security muss ein elementarer Bestandteil des Geschäftsmodells von Unternehmen sein." Seine Begeisterung für IT hat Fischer zunächst privat entdeckt. Er begann früh, sich im Programmieren auszuprobieren. Erst später ist der studierte Chemiker professionell in den IT-Bereich eingestiegen. In den 1990er-Jahren konfigurierte er seine erste Firewall. Mit einem Partner gründete er schließlich 2002 ein eigenes Unternehmen mit Spezialisierung auf Cyber Security, die "p³ Consulting + Software AG". KPMG erkannte das Potenzial des Unternehmens und kaufte es vor drei Jahren, um sich im Bereich Cyber Security breiter aufzustellen. So kam Hans-Peter Fischer, der heute Partner ist, zu KPMG.
Fischer beschäftigt sich in seinem Tagesgeschäft vor allem mit den organisatorischen Strukturen von Unternehmen, weniger mit den konkreten technischen Aspekten. Wo gibt es Sicherheitslücken, wo werden elektronische Schutzmaßnahmen benötigt? Wie kann sich ein Unternehmen hier aufstellen? Und: Wie erkennt man überhaupt einen Hackerangriff? Das dauere nämlich oft recht lange, und dann sei schon viel Schaden entstanden.
"Wir simulieren zum Beispiel Hackerangriffe", erzählt Fischer, eine der besonderen Herausforderungen seines Jobs. "Natürlich nur im Rahmen eines Kundenmandats", ergänzt er. Für einen großen Chemiekonzern habe sein Team mal einen solchen Angriff simuliert: "Wir haben eine Situation erarbeitet, in der ein Krypto-Trojaner plötzlich wichtige Dateien verschlüsselt. Und die zuständige Abteilung des Unternehmens musste darauf reagieren. Das war eine Art Generalprobe für den Ernstfall. Durch eine abschließende Auswertung konnte ich gemeinsam mit meinem Team Schwachstellen ausmachen und Sicherheitsmaßnahmen optimieren." Doch der Bereich habe sich stark verändert, so Fischer weiter. Früher betrachtete man Cyber Security rein technisch. Inzwischen hat es sich hin zu einem risikoorientierten Ansatz entwickelt, der die organisatorischen Aspekte und die Relevanz der betroffenen Geschäftsprozesse mit einbezieht.
Durch die Digitalisierung werden Hersteller von Produkten zu Dienstleistern. Als Beispiel nennt er einen Pumpenhersteller: Früher hat dieser eine Pumpe verkauft, sie wurde eingesetzt, bis sie kaputtging, dann wurde eine neue gekauft. Durch die Digitalisierung ist die Pumpe nun mit dem Internet verbunden. Der Hersteller muss die Daten, die er von ihr übermittelt bekommt, managen. Das bedeutet aber auch: Er ist auf einmal abhängig davon, dass ihm die Pumpen die richtigen Informationen übermitteln. Hier ergibt sich viel Raum für Manipulationen – Angriffsflächen, die ausgenutzt werden könnten.
Erfahr mehr über deine Karrieremöglichkeiten bei KPMG
Das beschreibt die Gefahren ganz gut, denen sich Unternehmen in Zeiten der Industrie 4.0 ausgesetzt sehen und auf die sie reagieren müssen. Laut einer Studie von KPMG (2017) ist mehr als jedes dritte Unternehmen in Deutschland in den vergangenen beiden Jahren von einer Form von Cyberkriminalität betroffen gewesen. Fischer geht davon aus, dass in Zukunft auch die staatliche Spionage weiter zunehmen wird, genauso wie Angriffe auf ungesicherte Systeme. Gerade auch das Internet of Things (IoT) öffne viele neue Türen für Hackerangriffe: "Stellen Sie sich vor, ein Unternehmen hatte bisher 10.000 Computer, die es schützen musste. Dazu kommen jetzt noch mal 100.000 zusätzliche Geräte im Netzwerk, die mit anderen Geräten und dem Internet verbunden sind. Das sind alles zusätzliche potenzielle Angriffspunkte." Die zu schützen, das sei die Herausforderung für die Cyber Security-Experten.
Wen sucht KPMG, um diese Herausforderung anzugehen? Durchaus auch den BWLer, der Herausforderungen liebt, und nicht nur IT-Experten, die die komplexen Probleme technisch durchdringen. "Wir bewegen uns an einer Schnittstelle von Technik und Geschäftsbereich", erklärt Fischer. Natürlich sollte ein gewisses ITVerständnis vorhanden sein, aber auch die betriebswirtschaftlichen Fragestellungen, die dahinterstehen, sind relevant. "Wir brauchen neugierige, begeisterungsfähige Leute mit ganz unterschiedlichen Profilen, die die Geschäftsmodelle der Kunden verstehen und nach Lösungen suchen, um die Technik schließlich sinnvoll einzusetzen."
Mit welchem Credo also geht es in eine smarte Zukunft? "Die Potenziale der neuen Technik nutzen und gleichzeitig deren Risiken vermeiden", ist Fischer überzeugt.
Dieser Artikel stammt aus dem KPMG-Karrieremagazin "perspektiv:wechsel" (Ausgabe #5).