CISO im Gespräch

Report: Warum ist Cybersicherheit ein Thema für die Geschäftsführung? Und wie kann diese bei dieser Verantwortung bestmöglich unterstützt werden?

Johann Schlaghuber: Cybersecurity ist heute ein strategischer Erfolgsfaktor. Die Geschäftsführung trägt die Verantwortung für stabile Geschäftsprozesse und auch für regulatorische Vorgaben der EU. Mit NIS2, dem Cyber Resilience Act und weiteren Regelwerken sind die Anforderungen deutlich verschärft worden. Es gibt drastische Strafen, und das hat massive Auswirkungen auf das Management.

Cybersecurity ist eine zentrale Führungsaufgabe. Mein Beitrag besteht darin, Transparenz zu schaffen, sodass das Management jederzeit Klarheit darüber hat, wo wir stehen, was wir konkret tun, wo noch Lücken bestehen und in welchen Bereichen wir noch besser werden müssen. Diese Transparenz ist die Entscheidungsgrundlage, und das erfordert die gelebte Governance von mir und meinem Team.

Report: Sie sind damit Sparringpartner für die Geschäftsführung?

Schlaghuber: Bei Siemens wurde Cybersecurity schon vor vielen Jahren organisatorisch aus der klassischen IT herausgelöst. Wir haben eine eigene Cybersecurity-Organisation, die parallel zu den Geschäftsprozessen arbeitet und sowohl Governance als auch Security Operations verantwortet. Ich bin in Österreich direkt bei unserer CEO Patricia Neumann angebunden. Das ist aus meiner Sicht auch der richtige Weg, den man auch in anderen Unternehmen sieht, da der CISO so den direkten Draht zur Geschäftsführung hat.

Neben Österreich umfasst mein Verantwortungsbereich auch mehr als 20 weitere Länder in Zentral- und Osteuropa, Israel und Zentralasien. Meine Aufgabe ist es, in diesem gesamten Länderverbund die Governance umzusetzen und die Transparenz für das Management herzustellen, damit fundierte Entscheidungen möglich sind.

Report: Welche Risikofaktoren prägen die Informationssicherheit im Jahr 2026?

Schlaghuber: Ganz oben auf meiner Liste steht derzeit Regulatorik in Verbindung mit der Haftung des Managements. NIS2 ist in Österreich in der Umsetzung, NIS3 steht bereits in den Startlöchern, und mit dem Cyber Resilience Act kommen zusätzliche Anforderungen hinzu. Das bedeutet, dass wir in allen Bereichen strukturell, technisch und organisatorisch entsprechend aufgestellt sein müssen.

Ein Risikofaktor ist zudem die Lieferkette, also das Supply-Chain-Management. Hier spielt die Software Bill of Materials eine zentrale Rolle, weil wir Transparenz darüber brauchen, welche Komponenten wir einsetzen, welche Abhängigkeiten bestehen und wie unsere Lieferanten sicherheitstechnisch aufgestellt sind. Das bedeutet auch, Lieferanten systematisch zu bewerten, Risiken aktiv zu managen und diese im Bedarfsfall auch zu unterstützen.

Ein weiterer Schwerpunkt ist die Identitäts- und Zugriffskontrolle. Wir treiben konzernweit das Zero-Trust-Prinzip voran, das bei Siemens mittlerweile sogar als Kennzahl im Nachhaltigkeitsbericht verankert ist - mit dem Ziel, bis 2030 hundert Prozent Zero Trust umzusetzen. Das ist ein großes Projekt, bei dem alle Systeme und Identitäten integriert werden müssen. Man möchte erreichen, dass nur eindeutig identifizierte Personen, Systeme oder Anwendungen auf Basis von Policies Zugang erhalten, und das in nahezu Echtzeit.

Natürlich ist auch die KI ein dominierendes Thema. Die Komplexität steigt enorm, Angreifer nutzen KI immer stärker, und gleichzeitig müssen auch wir zunehmend KI einsetzen, um Schritt zu halten. Die sogenannte „Time to Attack“ ist drastisch gesunken, früher hatte man Tage oder Wochen, heute sprechen wir von Minuten, und wenn man in diesem Umfeld nicht permanent aufmerksam ist und technisch nachzieht, dann ist das Risiko, dass man Opfer einer Attacke wird, sehr groß.

Gerade bei generativen KI-Anwendungen sehe ich viele Chancen, insb. mehr Effizienz bei vielen Anwendungen, aber auch zusätzliche Risiken, weil moderne Tools sehr viele Schnittstellen nutzen und Daten aus unterschiedlichsten Quellen aggregieren können. Wenn hier keine klare Governance besteht, kann es zu massiven Abflüssen oder zu falschen Daten in Modellen kommen, was wiederum strategische Fehlentscheidungen nach sich ziehen kann. Deshalb sind AI und Generative AI Risk Management mittlerweile ebenfalls Bestandteile des Chancen- & Risikomanagements in unserem Unternehmen.

Report: Gibt es branchenspezifische Unterschiede bei den Angriffsvektoren?

Schlaghuber: Ja, die gibt es definitiv, insbesondere zwischen klassischen Office-IT-Umgebungen und industriellen OT-Umgebungen. In der Industrie geht es um Produktionsanlagen, kritische Infrastrukturen und hohe Verfügbarkeitsanforderungen, weshalb hier andere Angriffsvektoren und andere Schutzmaßnahmen im Vordergrund stehen.

Deshalb setzen wir auch in den Produkten und Lösungsprojekten unserer Geschäftsbereiche für Unternehmenskunden stark auf „Security by Design“ und „Security by Default“, also darauf, Sicherheitsaspekte bereits in der Entwicklung und im Projektmanagement systematisch zu verankern. Standards wie IEC 62443 geben hier Orientierung, etwa bei sicherem Entwickeln und sicherer Projektabwicklung, Schwachstellenmanagement und Dokumentation. Zusätzlich arbeiten wir intensiv mit Threat Modeling und Secure Testing, um Angriffsszenarien frühzeitig zu erkennen und strukturell zu adressieren.

Report: Auf welche Weise lassen sich Risiken überhaupt managen?

Schlaghuber: Ein professionelles Risikomanagement ist sehr breit aufgestellt und findet immer auf mehreren Ebenen statt, wie etwa Asset-bezogenes und taktisches Risikomanagement, um hier zwei Beispiele zu nennen. Das allgemeine Enterprise-Risk-Management umfasst alle Risiken zusammen, die das Gesamtunternehmen auch über die Cybersicherheit hinaus betreffen. Cyberrisiken sind hier stark vertreten, nicht zuletzt, da Cybersicherheit mittlerweile eines der Top Unternehmensrisiken ist.

Aus dem Risikomanagement heraus entwickeln wir Kennzahlen und Dashboards, die managementtauglich aufbereitet werden. Die Geschäftsführung braucht keine technischen Detailanalysen, sondern eine Übersicht über die wichtigsten Themen, um ein umfassendes Risikobild zu erhalten. Das sind zum Beispiel die Zahl der Incidents und Schwachstellen sowie deren Schweregrade und Bearbeitungsdauer.

Ein etabliertes Instrument bei Siemens ist die „Asset Classification and Protection“, ein Prozess, der schon viele Jahre existiert und alle physischen und digitalen Assets systematisch erfasst, klassifiziert, bewertet und Verantwortlichen zuordnet. Dazu werden von uns Siemens-interne Tools, aber auch immer mehr marktübliche Lösungen und Plattformen genutzt. Welches Tool man einsetzt, ist jedoch zweitrangig. Wichtiger ist, den Überblick und seine Assets im Griff zu haben.