Vaillant-CISO: “Starten statt Warten”

Der Energiesektor gerät zunehmend in den Fokus von Cyberkriminellen. Aus Sicht von Experten und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) muss der Schutz in diesem Bereich massiv erhöht werden. Wie beurteilen Sie die aktuelle Lage in Deutschland?

Reiß: Die geopolitischen Spannungen, die wir aktuell sehen, führen zu einer erhöhten Bedrohungslage. Das betrifft natürlich auch die Heizungsbranche, in der Vaillant tätig ist und die das Grundbedürfnis aller Menschen nach Wärme und Warmwasser zu Hause erfüllt. Solche Bereiche müssen auf jeden Fall verstärkt geschützt werden. Das Problem ist, dass die Angriffe immer gezielter und komplexer werden. Heutzutage haben wir es nicht mehr mit den weniger erfahrenen Script Kiddies aus dem heimischen Keller, sondern mittlerweile mit gut organisierten und professionellen Cyberkriminellen zu tun. Ziel ist es, dem Unternehmen beziehungsweise der Wirtschaft des jeweiligen Landes zu schaden.

Hinzu kommt, dass die Eintrittsschwelle für Angriffe auf Unternehmen und die Lieferkette durch die Nutzung von künstlicher Intelligenz im Unternehmen viel geringer als je zuvor ist. Dadurch wird es beispielsweise einfacher, gezielte Phishing-E-Mails zu verfassen oder Malware zu entwickeln, was zuvor mit deutlich höherem Aufwand verbunden war.

Wie reagieren Sie auf die veränderte Situation? Wie schützen Sie Ihr Unternehmen aktuell vor Cyberattacken?

Reiß: Wir verfolgen einen ganzheitlichen Ansatz in der Informationssicherheit. Das bedeutet, wir schauen uns wirklich alle Themen von oben bis unten an und setzen auf ein mehrschichtiges Sicherheitskonzept. Dabei werden sowohl präventive als auch reaktive Sicherheitsmaßnahmen einbezogen, um im Ernstfall schnell und effektiv reagieren zu können. Dabei ist uns bewusst: Kein Unternehmen kann absolute Sicherheit garantieren. Deshalb sollte jeder mit der Annahme planen, dass ein erfolgreicher Angriff jederzeit möglich ist.

Wir legen nicht nur Wert auf die Absicherung unserer internen IT-Landschaft, sondern auf unsere weltweite Produktion und Produkte für unsere Kunden. Dabei stehen der Schutz unserer Endkunden und die Einhaltung hoher Sicherheitsstandards für uns im Mittelpunkt – insbesondere angesichts der wachsenden Bedrohung durch Ransomware-Angriffe. Unser Fokus liegt darauf, proaktiv Risiken zu minimieren und das Vertrauen in unsere Lösungen langfristig zu sichern.

Und die Mitarbeiter?

Cybersicherheit beginnt beim Menschen. Durch die globale Vernetzung bei Vaillant legen wir in Sachen Security ganz klar den Fokus darauf. Durch unseren holistischen 4-Säulen-Ansatz setzen wir auf eine umfassende Sensibilisierung unserer gesamten Belegschaft, von Gamification-Ansätzen bis hin zu praxisnahen Compliance-Schulungen. Dabei greifen wir auch Themen aus dem privaten Umfeld auf, wie etwa Phishing-Beispiele einiger Telekommunikationsunternehmen oder Paketzustelldienste, um die Relevanz zu erhöhen und nachhaltige Lernprozesse zu fördern.

Welche Herausforderungen machen CISOs aktuell am meisten zu schaffen?

Reiß: Zunächst einmal: Die Rolle des CISO hat sich in den vergangenen Jahren grundlegend gewandelt. Früher lag der Fokus primär auf technischen Aspekten und operativer Sicherheit. Heute sind strategische Ausrichtung und Leadership-Kompetenzen zentrale Schlüsselqualifikationen. Ein moderner CISO muss nicht nur technologische Risiken managen, sondern auch als Sparringspartner des Managements agieren, Business-Risiken bewerten und die Informationssicherheit als integralen Bestandteil der Unternehmensstrategie verankern..

Aus meiner Sicht liegen aktuell die größten Herausforderungen darin, die neuen gesetzlichen Vorgaben wie NIS2, DORA und Cyber Resilience Act umzusetzen. Ich bezeichne das Ganze als Regulatorik-Dschungel, der erst einmal verstanden werden muss. Wir bewegen uns in einem komplexen Regulierungsumfeld, das pragmatisch interpretiert und mit den richtigen Ressourcen umgesetzt werden muss.  Am Ende geht es nicht nur darum, die Compliance zu gewährleisten, sondern das Sicherheitslevel im gesamten Unternehmen zu erhöhen, um eine erhöhte Resilienz zu schaffen.

Haben wir zu viele Sicherheitsregeln?

Reiß: In der Heizungsbranche sind die regulatorischen Anforderungen überschaubar, auch wenn NIS2 und weitere relevant sind. Grundsätzlich begrüße ich einheitliche Standards, da sie die Sicherheit in Deutschland und Europa erhöhen. Die Herausforderung liegt in der nationalen Umsetzung: Jedes Land interpretiert die Vorgaben unterschiedlich, was für international tätige Unternehmen eine erhebliche Komplexität bedeutet.

Einheitliche und pragmatische Sicherheitsregeln für Europa zur Umsetzung zu entwicklen ist dem Gesetzgeber von NIS2 nicht gelungen. NIS2 wurde zwar auf EU-Ebene verabschiedet, muss aber in die lokale Gesetzgebung der jeweiligen Länder überführt werden. Das bedeutet, dass jedes Land seine eigene Interpretation mit einbringt. Organisationen, die europaweit tätig sind, müssen dabei jegliche Gesetzgebung auch in der jeweiligen Region berücksichtigen. An dieser Stelle ein standardisiertes Verfahren zu gewährleisten bedeutet zusätzliche Komplexität und hohen Abstimmungsaufwand.

Warum kämpfen so viele Unternehmen aktuell noch bei der Umsetzung?

Reiß: Oft fehlt die Klarheit bei der Auslegung der Vorgaben. Viele Unternehmen – insbesondere KMU – wissen nicht, ob sie überhaupt in den Geltungsbereich fallen. Hinzu kommen Fragen zur Ressourcenzuteilung: Soll die Umsetzung intern erfolgen oder mit externen Partnern? Wer übernimmt die Verantwortung – die IT, die Compliance-Abteilung oder ein dediziertes Security-Team? Zusätzlich mangelt es häufig an Reifegrad und Bewusstsein, wo und wie Cybersicherheit strategisch verankert werden muss, damit derartige Themen angemessen umgesetzt werden können. Diese Faktoren lähmen den Fortschritt und kosten Unternehmen entscheidende Zeit.

Ein „Kochrezept“ für Regularien gibt es nicht. Ich empfehle Unternehmen Ihre Ausgangslage zu analysieren, erste Schritte zu definieren und loszulegen. Mein Motto lautet: Starten statt Warten!