Die Leistungsangebote einiger RWTÜV Töchter erfordern besondere Kompetenz im Bereich Cybersecurity. Im Gespräch mit den Geschäftsführern der CONSULECTRA, Torsten Brinker, der cetecom advanced, Adreas Ehre, sowie der apro.gmbh, Tobias Apel, wird deutlich, dass divergente Kundenstrukturen konträre Einschätzungen erforderlich machen, wie aber auch unterschiedliche Blickwinkel, Arbeits- und Herangehensweisen Anregungen bieten und Synergien ermöglichen können.
Cyberrisiken sind in aller Munde. Es scheint inzwischen jedem klar, dass sich von der Privatperson über das Unternehmen bis hin zu staatlichen Institutionen jede und jeder vor Angriffen schützen muss. Aber wird Cybersicherheit wirklich inzwischen als strategisches Managementthema verstanden oder eher als IT-Aufgabe delegiert?
Torsten Brinker, CONSULECTRA: Bei unseren Kunden in der Energieversorgung sehen wir schon, dass Cybersicherheit verstärkt als Aufgabe des Managements verstanden wird. Dementsprechend werden intern Stellen geschaffen, die sich mit diesem Thema beschäftigen. Ergänzend werden dann unsere Experten eingebunden, wenn etwa für Projekte zusätzliche Kapazitäten benötigt werden oder spezielle Fragestellungen bearbeitet werden müssen.
Tobias Apel, apro.gmbh: Ich nehme das ganz anders wahr, das Verständnis ist bisher nicht da. Unternehmen und vor allem das Management sehen aus meiner Sicht weiterhin das Thema Cybersicherheit als Kunden- oder Gesetzesanforderung, jedoch nicht als strategisches Ziel. Dies lässt sich vor allem an der Budgetdarstellung von Projekten erkennen: Sie sind meist sehr gering kalkuliert und reichen oft maximal aus, um eine Basis zu gewährleisten, nicht aber, um die Cybersicherheit als Mehrwert der Institution und somit als ein strategisches und kundenorientiertes Ziel aufzubauen.
Andreas Ehre, cetecom advanced: Oft wird ja über technisch hochversierte Angriffe gesprochen, die über die vernetzte Welt geführt werden. In solchen Fällen liegt die Hauptverantwortung beim IT-Management – und das ist auch richtig so. Die IT muss sich ständig auf neue Angriffsszenarien einstellen, die heute vielleicht noch gar nicht existieren, in Hackerkreisen aber bereits weiterentwickelt werden.
Für Unternehmen, die nicht selbst Angriffsszenarien erforschen, ist das anspruchsvoll. Es unterstreicht aber, wie wichtig es ist, dass sich Geschäftsleitung, IT-Management und alle Mitarbeitenden mit den Risiken vertraut machen. Das schützt sowohl das Unternehmen als auch jede einzelne Person.
Häufig wird die Diskussion über Cybersicherheit jedoch zu sehr auf Internetangriffe reduziert. Tatsächlich ist jede Schnittstelle zu einem System ein potenzielles Einfallstor – bis hin zur Fernbedienung eines Smart-TV. Sicherheit in vernetzten Systemen ist deshalb ein allgegenwärtiges Thema und ist weder NUR Management- noch IT-Herausforderung, sondern muss als Querschnittsaufgabe verstanden werden.
Welche konkreten Services oder Produkte leistet Ihr Unternehmen im Hinblick auf Cybersecurity? Beratung? Audits? Technische Sicherheitslösungen? Bieten Sie zum Beispiel neben der technischen Absicherung auch strategische Unterstützung, etwa bei der Umsetzung von Informationssicherheits-Managementsystemen (ISMS) oder Zertifizierungen nach ISO 27001? Inwiefern fließen aktuelle Sicherheitsstandards wie NIS2 oder der BSI IT-Grundschutz in Ihre Arbeit ein?
Tobias Apel, apro.gmbh: Institutionen erhalten bei der apro.gmbh einen Rundumservice in der IT-Sicherheit. Wir gestalten sowohl die organisatorische, als auch technische IT-Sicherheit. Das bedeutet im Detail, dass die apro.gmbh von der Planung über die Umsetzung bis hin zum Betrieb begleiten kann. Wir sind dabei spezialisiert auf den BSI-IT-Grundschutz, die BSI-Standards ebenso wie NIS2 und betreuen hierbei vor allem die Branchen Gesundheit und öffentliche Verwaltung. Des Weiteren beraten wir bei der digitalen Souveränität und dem sicheren Aufbau von KI-Infrastrukturen.
Torsten Brinker, CONSULECTRA: CONSULECTRA berät und unterstützt ihre Kunden beim Aufbau und im Betrieb von Managementsystemen zu den Themen Informationssicherheit, Business Continuity Management und Datenschutz. Auch interne Audits und umfassende technische Prüfungen wie Schwachstellenscans und Penetrationstests bietet wir an. Abgerundet wird dieses Portfolio durch unsere Expertise im Bereich der Erstellung von Sicherheitskonzepten und der Durchführung von Risikobewertungen.
Natürlich fließen auch aktuelle Entwicklung wie NIS2 oder das sogenannte KRITIS-Dachgesetz in unsere Projektarbeit ein. Die gesetzlichen und regulatorischen Anforderungen insgesamt, insbesondere für unseren Kernmarkt die Energieversorgung, also die Lebensadern unserer Gesellschaft, steigen kontinuierlich und damit auch der Bedarf an kompetenter Beratung und praxistauglichen Lösungen.
Andreas Ehre, cetecom advanced: Bei cetecom advanced nähern wir uns dem Thema aus einer ganz anderen Richtung: Bewusst habe ich in der Antwort auf die erste Frage auf Schwachstellen hingewiesen, die in nahezu allen vernetzten Geräten und Apps auftreten können. Auch ein Sensor in einem Fahrzeug ist eine vernetzte Komponente und potenzielles Einfallstor. Genau hier setzen unsere Cybersecurity-Dienstleistungen an – eingebettet in unser Kerngeschäft der Prüfung und Zertifizierung innovativer Produkte.
NIS2 und der BSI IT-Grundschutz sind Anforderungen, denen wir uns als Unternehmen stellen. In unseren Dienstleistungen hingegen fokussieren wir uns besonders auf die regulatorischen Anforderungen an Produkte. Relevante Regelwerke sind hier insbesondere die Radio Equipment Directive (RED) und der in den Startlöchern stehende Cyber Resilience Act. Wir prüfen, ob die Produkte unserer Kunden die darin definierten Anforderungen erfüllen – messtechnisch im Labor, über die Inspektion der Dokumentation und, wo notwendig, auch durch die Bewertung des Softwarecodes.
Diese Richtlinien enthalten zunehmend auch Anforderungen an Prozesse und Managementsysteme in den entwickelnden Unternehmen. Auch bei der Erfüllung dieser Anforderungen unterstützen wir unsere Kunden. Wir arbeiten dabei mit Partnerunternehmen zusammen, um die Trennung von Beratung und abschließender Zertifizierung sicherzustellen.
Die für unsere Dienstleistungen relevanten Standards sind also überwiegend produktbezogen, beispielsweise die EN 18031 und die EN 62443.
Cybersecurity und KI als Treiber für Wandel
Wie hat sich das Leistungsangebot Ihres Unternehmens in den letzten Jahren verändert – insbesondere mit Blick auf die zunehmende digitale Vernetzung und Bedrohungslage?
Tobias Apel, apro.gmbh: IT-Sicherheit ist grundsätzlich der Grundpfeiler der digitalen Vernetzung und muss damit immer auf neue Bedrohungslagen reagieren. An dieser Systematik hat sich für die apro.gmbh nichts geändert.
Andreas Ehre, cetecom advanced: Bei der cetecom advanced hingegen ist den vergangenen Jahren ein komplett neues Dienstleistungspaket entstanden. Zunächst haben wir Seminare angeboten, in denen wir die rechtlichen Hintergründe der Cybersicherheitsanforderungen erläutert haben.
Es folgte ein intensives Engagement in der Entwicklung und Übertragung von Anforderungen aus Vorläuferstandards, etwa dem IoT-Standard EN 303 645, in dem erste sicherheitsrelevante Leistungsmerkmale definiert wurden. Diese Erfahrungen sind in verbesserter Form in die aktuell geltenden Standards eingeflossen.
Heute sind wir einer der ersten Notified Bodies, die im Rahmen der CE-Konformitätsbewertung die Cybersicherheit von RED-Produkten prüfen und offiziell bestätigen dürfen. Unsere Kunden begleiten wir von Beginn an: von der strukturierten Dokumentation der Cybersicherheit ihrer Produkte über Tests in unserem nach ISO 17025 akkreditierten Prüflabor bis hin zur Konformitätsbewertung.
Torsten Brinker, CONSULECTRA: CONSULECTRA hat 2021 einen eigenen Geschäftsbereich „Informations- und IT-Sicherheit“ etabliert. Gemeinsam mit den übrigen Geschäftsbereichen bündeln wir dort langjährige Branchenerfahrung in der Energiewirtschaft mit umfassenden Kenntnissen über aktuelle Sicherheitsbedrohungen und passende Schutzmaßnahmen. Genau diese Kombination ist am Markt selten und wird von unseren Kunden zunehmend geschätzt.
Welche Rolle spielt KI für Ihre Arbeit? Setzen Sie KI-gestützte Systeme zur Angriffserkennung oder Prävention ein? Oder analysieren Sie Kundenbedürfnisse, Anfragen oder Regulierungsvorschriften mithilfe von KI?
Andreas Ehre, cetecom advanced: Keiner wird in Zukunft an modernen Technologien vorbeikommen. Large Language Models (LLM) unterstützen heute viele Mitarbeitende in ihrer täglichen Arbeit, etwa bei der Analyse und Einordnung von Standards. Der kritische Blick des Experten bleibt dabei aber unverzichtbar.
In den Software-Entwicklungsprozessen von cetecom advanced helfen KI-gestützte Lösungen insbesondere bei der Erstellung von Prüfsequenzen und beschleunigen damit die Qualitätssicherung. Es gibt zudem sehr praxisnahe Anwendungen: In unseren Laboren für Biometrie generieren wir KI-basierte Fingerabdrücke für Tests. So können wir realistische Prüfszenarien aufbauen und gleichzeitig sicherstellen, dass wir mit personenbezogenen Daten vertraulich umgehen, weil wir nicht mehr auf reale Fingerabdrücke angewiesen sind.
Zur Prävention von Cyberangriffen setzen wir auf die Analysetools ausgewiesener Spezialisten. Eigene Lösungen in diesem Bereich zu entwickeln, wäre aus unserer Sicht zu ambitioniert. Wir wollen in dem exzellent sein, was wir besonders gut können. Diese klare Fokussierung stärkt das Vertrauen unserer Kunden in unsere Dienstleistungen.
Tobias Apel, apro.gmbh: Bei der apro.gmbh arbeiten wir zurzeit am Aufbau einer eigenen KI-Infrastruktur, um die Erstellung von Richtlinien, Konzepten und Hilfsdokumentationen schneller abarbeiten zu können. Dieses LLM soll in unserer Open Source Cloud auf einem Open Source LLM aufgebaut werden. Im Rahmen einer Bachelorarbeit unseres Werksstudenten wird diese Lösung entwickelt und in Betrieb genommen.
Torsten Brinker, CONSULECTRA: Ich muss aufgrund der besonderen, kritischen Bedeutung der Energiewirtschaft etwas ausführlicher antworten: Natürlich wird eine neue Technologie wie KI unsere Arbeitswelt und das Geschäftsleben verändern, genauso, wie auch in der Vergangenheit neue Technologien es taten, daran gibt es keinen Zweifel. Die Frage ist aber wo, wann und in welcher Tiefe diese Veränderungen erfolgen. Unsere aktuelle Analyse der Kundenbedürfnisse in der Energiewirtschaft zeigt, dass KI zwar von unseren Kunden wahrgenommen und vorsichtig beobachtet wird und es auch erste Projektideen gibt. Wir sehen aber noch keine nennenswerten Entwicklungen und Projektbedürfnisse, und uns liegen bisher keine Projektanfragen vor.
Dieses hat sicherlich auch mit der noch weit verbreitenden Unkenntnis über KI-Anwendungen zum einen und zum anderen der Verpflichtung zur Datensouveränität zum Beispiel eines Netzbetreibers zu tun. Letzteres ist rein physikalisch eine Grundvoraussetzung für die Stabilität unserer Netze und Energieversorgung.
Entscheidend dabei ist natürlich auch, dass CONSULECTRA, wie Andreas es ja auch für cetecom advanced ausgeführt hat, selbst kein IT-Systemhaus, kein IT-Implementierer, KI-Lösungsentwickler oder -anbieter ist. Und als Beratungsunternehmen haben wir keinen direkten Einfluss auf technologische Weiterentwicklung bei unseren Kunden. Unsere Kompetenzen liegen vielmehr darin, indirekt, über unsere sehr technisch orientierten spezifischen Beratungsleistungen, Lösungskonzepte zu entwickeln, die dann, wenn sie überzeugen, von unseren Kunden beauftragt und umgesetzt werden. Wir ermitteln also den Bedarf, häufig aus regulatorischer Sicht, bewerten die Ist-Situation und die Schwächen zum Beispiel der IT-Landschaft und der Prozesse. Im Anschluss suchen wir die beste für den Kunden verfügbare Antwort, Leistung oder das beste im Markt verfügbare Lösungskonzept. Je nach Beauftragungstiefe kann sich unsere Begleitung bis zur Umsetzung anschließen.
Nach dieser Methodik, für die wir im Energiemarkt renommiert sind, beobachten wir natürlich auch die Bedürfnisse hinsichtlich möglicher Anwendungsfälle zur KI-Nutzung. Das ist selbstverständlich und müssen wir auch können! Aktuell ist aber das Interesse eher verhalten, vermutlich auch, weil der Schwerpunkt in der Energiewirtschaft zurzeit bei anderen, großen Herausforderungen liegt, wie z. B. dem Netzausbau, der intelligenten Netzführung und der weiteren Integration erneuerbarer Energien. Das kann sich natürlich ändern – unsere Wettbewerber und wir beobachten hier die Entwicklung mit großem Interesse.
Im eigenen Unternehmen hingegen haben wir mit der Nutzung von KI in 2025 begonnen, um Erfahrungen sammeln zu können. Aber auch hier schränken uns unsere Kunden als KRITIS-Unternehmen durch Sicherheitsrestriktionen mit nur sehr engen Spielräumen für die KI-Nutzung ein, zum Teil wird sie uns sogar untersagt. Auch dies spiegelt die Vorsicht der Energieversorger hinsichtlich KI-Nutzung wider.
Daher beschränken sich unsere Erfahrungen bisher nur auf Bereiche der eigenen Wertsteigerung, zum Beispiel bei der Recherche öffentlich nutzbarer Daten, was in den meisten Fällen schon eine Zeitersparnis für uns darstellt. Fazit bleibt: Aufgrund der oben genannten, sehr gut nachvollziehbaren Sicherheitsbedenken unserer Kunden, ist uns die KI-Nutzung für kundenspezifische Projekte und mit kundenspezifischen Informationen bisher leider nicht möglich.
Der Weg in die Zukunft
Welche Ansätze verfolgt Ihr Unternehmen, um mit der rasanten Entwicklung im Bereich generativer KI Schritt zu halten? Denken Sie, dass in Zukunft Ihre Dienstleistung, also Sicherheitsarchitekturen, KRITIS-Schulung und -Betreuung oder Zertifizierungsdienstleistungen ohne KI-Komponenten überhaupt noch wettbewerbsfähig sein werden?
Torsten Brinker, CONSULECTRA: Nach unserer Einschätzung wird KI nicht zur Verdrängung unserer spezifischen Beratungs- und Projektierungsleistungen in unserem Kundenumfeld führen.
Klar ist, KI wird auch für uns unterstützend in unsere jetzigen komplexen Leistungen Einzug halten. Der Kernnutzen von KI-Modellen besteht aber nach unserer Auffassung in der ultraschnellen Verarbeitung von Massendaten und deren Verarbeitungsprozessen. Hier werden KI-Fähigkeiten zügig zu Einsparungseffekten führen und dies wird auch in der Energiewirtschaft z. B. im Kundenservice bald realisiert werden. Hier kann KI schnell einen Mehrwert und Nutzen stiften.
Unsere sehr spezifischen Kundenprojekte, die sich auf individuelle Erfahrungen unserer einzelnen Berater und Planer stützen und sich auf individuelle einzelne Aufgabenstellungen beziehen, benötigen hingegen Kompetenzen, die heute in einzelnen Personen verankert sind. Dennoch beobachten wir auch hier die Entwicklung, denn vor dem Hintergrund des demographischen Wandels muss in Zukunft auch unser spezifisches Wissen schneller und breiter einem größeren Kundenkreis effizient von uns zur Verfügung gestellt werden können.
Andreas Ehre, cetecom advanced: Ich denke auch, generative KI wird in nahezu alle Prozesse Einzug halten – also auch in Prüf- und Zertifizierungsdienstleistungen. Aber wie Torsten sage ich: Die Zertifizierung bleibt eine Expertenentscheidung auf Basis tiefen Fachwissens und von Erfahrung. Gerade der Erfahrungsschatz lässt sich jedoch durch die Analyse von Bestandsdaten und Zertifizierungsdatenbanken gezielt nutzbar machen.
KI-Systeme können Muster in einer Vielzahl historischer Zertifizierungsfälle erkennen und dem Experten fundierte Vorschläge machen. Dadurch werden Entscheidungsprozesse beschleunigt und irrelevante Entscheidungswege früh ausgeblendet. Die letzte Entscheidung und Verantwortung liegt weiterhin beim Zertifizierungsexperten.
Unternehmen, die solche Werkzeuge nicht nutzen, werden ihre Dienstleistungen künftig kaum mit der Qualität und Geschwindigkeit anbieten können, die der Markt erwartet. KI-Komponenten werden damit zu einem wesentlichen Wettbewerbsfaktor.
Tobias Apel, apro.gmbh: Ganz klar, wir werden alle nicht am „KI-Hype“ vorbeikommen. Vor allem, weil dieser Weg auch eine Arbeitserleichterung für unsere Mitarbeiter bedeutet. Wo und in welchen Bereichen der Einsatz von KI wirklich sinnvoll ist, muss jedoch, wie die Kollegen ausgeführt haben, genau geprüft und betrachtet werden. Ich glaube auch nicht, dass in Zukunft künstliche Intelligenz Sicherheitsentscheidungen für eine Institution trifft; dass sie Unterstützung bei der Entscheidungsfindung liefert, erscheint mir jedoch durchaus realistisch.
Wo sehen Sie Deutschland im internationalen Vergleich – sind wir technisch gut aufgestellt? Wie würden Sie den aktuellen Stand der Cybersicherheit in deutschen Unternehmen allgemein oder bei Ihren Kunden speziell einschätzen?
Tobias Apel, apro.gmbh: Deutschland ist aus meiner Sicht weit entfernt von einer akzeptablen technischen Aufstellung. Die gesamte Infrastruktur innerhalb des ganzen Landes muss in erster Linie darauf ausgerichtet werden, die Prozesse für die Digitalisierung müssen entbürokratisiert werden. Bei unseren Kunden sehen wir, dass sie grundsätzlich in der Cybersicherheit sensibilisiert sind, aber aus fachlicher Sicht müssten sie vor dem Hintergrund der steigenden Bedrohungslage höhere Budgets bereitstellen. Aber wir beobachten stattdessen, dass einigen Kunden, die von einer Bedrohungslage betroffen waren, diesen Vorfall in relativ kurzer Zeit wieder vergessen.
Andreas Ehre, cetecom advanced: Hier möchte ich mich mit pauschalen Aussagen zurückhalten, da ich persönlich nicht so tief in allen Bereichen der Cybersicherheit unterwegs bin, wie Tobias.
Bei den cetecom advanced Kunden – sie kommen überwiegend aus Deutschland und Europa – sehen wir jedoch klar: Cybersicherheit gewinnt stetig an Bedeutung. Die Nachfrage nach unseren entsprechenden Dienstleistungen steigt kontinuierlich. Natürlich trägt die aktuelle Regulierung dazu bei, aber bereits die Ankündigung des Cyber Resilience Act hat ein deutliches Umdenken in vielen Unternehmen ausgelöst.
Was die Absicherung der eigenen IT-Infrastruktur betrifft, dürfte heute kaum jemand ernsthaft darauf setzen, von Cyberangriffen verschont zu bleiben. Ich gehe eigentlich davon aus, dass die IT-Experten in den Unternehmen ihre Herausforderungen kennen und so weit wie möglich meistern – auch, wenn Tobias hier anderes beobachtet. Unser Mutterkonzern RWTÜV wäre zum Beispiel als Vorbild zu nennen: Er hat sich in den vergangenen Jahren verstärkt an Unternehmen beteiligt, für die Cybersicherheit oder KI zum täglichen Geschäft gehören. So entsteht eine Basis, von der auch die anderen Unternehmen der RWTÜV-Gruppe – und damit auch cetecom advanced – profitieren.
Torsten Brinker, CONSULECTRA: Ein objektiver Vergleich ist natürlich schwierig, aber insbesondere in unserer Kernbranche Energiewirtschaft wurde in den vergangenen Jahren viel investiert, um die Cybersicherheit zu verbessern. Dennoch zeigen Ausfälle von kritischen Infrastrukturen auch in Deutschland, wie verwundbar diese Systeme weiterhin sind. Einen hundertprozentigen Schutz wird es nicht geben können. Daher ist es umso wichtiger, dass wir neben allen technischen Maßnahmen zum Schutz auch Notfallpläne erarbeiten, um bei einem Ausfall im Notfall weiter handlungsfähig zu bleiben. Dabei ist es zweitrangig, ob der Ausfall durch einen Cyberangriff, einen technischen Defekt oder ein Naturereignis ausgelöst wird.
Die RWTÜV Gruppe – Vorbild und Vorreiter
Inwiefern kann die RWTÜV Gruppe zu einer Verbesserung der Cybersicherheit in Deutschland beitragen? Sehen Sie Synergiepotential für Ihre bzw. auch die anderen Tochterunternehmen?
Tobias Apel, apro.gmbh: Ich glaube, dass die RWTÜV Gruppe einen wertvollen und nachhaltigen Beitrag zur Verbesserung und Gestaltung der Cybersicherheit und zur Stärkung der digitalen Resilienz ausschließlich durch die Teilnahme an entsprechenden Gremien (Bitkom, TeleTrust usw.) leisten kann.
Torsten Brinker, CONSULECTRA: CONSULECTRA hat insbesondere Erfahrungen mit der Cybesicherheits-Beratung bezüglich spezifischer Besonderheiten der Energiewirtschaft, also z. B. der Risikoabwehr in der Netzführung, der Sekundärtechnik oder der Kraftwerkstechnik.
Da Cyberrisiken prinzipiell aber nicht nur auf einzelne Bereiche unserer Gesellschaft reduziert sind, sondern universell bestehen, können unsere Leistungen bis zu einem gewissen Grad auch anderen Teilen der Wirtschaft angeboten werden. Ich glaube schon, dass wir mittelfristig auch über einen ganzheitlicher Vertrieb in der RWTÜV Gruppe zur übergreifenden Vermarktung von einzelnen Konzernleistungen ansetzen könnten.
Kurzfristig können wir aus dem Blickwinkel der CONSULECTRA heraus unsere oben genannten Leistungen und Erfahrungen in der Cybersicherheit natürlich in der gesamten RWTÜV-Gruppe einbringen, um die Resilienz der Gruppe zu ermöglichen.
Andreas Ehre, cetecom advanced: Ich glaube auch, die RWTÜV Gruppe bündelt eine Reihe von Unternehmen, für die Sicherheit, Qualität und Verlässlichkeit das Kerngeschäft sind – zunehmend auch im digitalen Raum. Viele Tochterunternehmen beschäftigen sich direkt mit Cybersecurity, kritischen Infrastrukturen oder dem sicheren Einsatz von KI. Dieses Know-how steht der gesamten Gruppe zur Verfügung und könnte auch zum Hebel werden, um Cybersicherheit in Deutschland zu stärken.
Für cetecom advanced ist insbesondere der Austausch mit diesen spezialisierten Cybersecurity- und KI-Unternehmen in der RWTÜV Gruppe wertvoll. Wir greifen auf deren Expertise zurück, wenn es um spezielle Fragestellungen zur IT-Infrastruktur, zu Angriffserkennung oder zur sicheren Gestaltung von Prozessen geht. Umgekehrt bringen wir unsere Erfahrung aus der Produktprüfung, Normung und Zertifizierung ein.
So entstehen Synergien: Wir können unseren Kunden ein breiteres, abgestimmtes Leistungsportfolio anbieten – von der sicheren IT-Umgebung bis hin zum geprüften, konformen Produkt. Die Bündelung dieser Kompetenzen in einer Gruppe schafft Vertrauen am Markt und unterstützt Unternehmen dabei, Cybersicherheit ganzheitlich zu denken.
Und zum Abschluss eine Empfehlung: Was ist der wichtigste Schritt, den jedes Unternehmen sofort in Richtung mehr Cyberresilienz tun sollte?
Torsten Brinker, CONSULECTRA: Ganz klar: Updates und Sicherheits-Patches müssen nach Erscheinen umgehend eingespielt werden!
Andreas Ehre, cetecom advanced: Der wichtigste Schritt ist aus meiner Sicht: Transparenz über die eigenen Risiken schaffen – und zwar nicht nur in der IT, sondern entlang der gesamten Wertschöpfungskette. Dazu gehört eine ehrliche Bestandsaufnahme: Welche Systeme sind vernetzt? Wo gibt es Schnittstellen nach außen? Welche Daten sind besonders schützenswert?
Auf dieser Basis lassen sich priorisierte Maßnahmen ableiten – von einfachen organisatorischen Schritten wie Sensibilisierung und klaren Verantwortlichkeiten bis hin zu technischen Schutzmechanismen und geprüften, sicheren Produkten. Ein Unternehmen, das seine kritischen Assets und Verwundbarkeiten kennt, kann gezielt investieren und bleibt auch im Ernstfall handlungsfähig.
Cybersicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Der erste konkrete Schritt ist deshalb, dieses Thema als festen Bestandteil der Unternehmenssteuerung zu verankern – mit klaren Zuständigkeiten, regelmäßigen Reviews und der Bereitschaft, aus Vorfällen zu lernen.
Tobias Apel, apro.gmbh: Ganz genau. Die umfassende Bestandsaufnahme, Bewertung und schließlich der Aufbau eines Business Continuity Management Systems (BCMS) sollte in jeder Cyberresilienz-Strategie einer Institution höchste Priorität haben. Der Grund dafür liegt auf der Hand: Viele Institutionen kennen ihre eigenen Geschäftsprozesse nicht ausreichend und können infolgedessen nicht einschätzen, welches ihre kritischen Geschäftsprozesse überhaupt sind. Somit können diese weder angemessen geschützt noch mit geeigneten Maßnahmen abgesichert werden, um im Falle einer Bedrohungslage eine schnelle Wiederherstellung eines gleichwertigen Betriebs zu gewährleisten. Dies wäre für mich der wichtigste Schritt!
7 Fakten …
… zu CONSULECTRA
- CONSULECTRA ist ein Beratungs- und Planungsunternehmen in der Versorgungs- und Energiewirtschaft und ist seit 2005 Teil der RWTÜV Gruppe. Hauptsitz des Unternehmens unter der Leitung von Geschäftsführer Torsten Brinker ist in Hamburg, eine weitere Niederlassung befindet sich in Düsseldorf.
- Zu ihren Kompetenzfeldern gehören die Planung & Projektierung von Energieanlagen & Netzen, Beratungsleistungen im Netzbetrieb sowie der Netz- und Systemführung von Versorgungsunternehmen, Beratung im Umfeld der Informations- & IT-Sicherheit für KRITIS-Unternehmen sowie die energiewirtschaftliche Strategieberatung.
- Kunden der CONSULECTRA sind unter anderem Stadtwerke, Regionalversorger, Industrie- und Forschungsunternehmen, Verkehrsnetztreiber, Übertragungs- und Verteilnetzbetreiber sowie Kraftwerksbetreiber.
- Im Geschäftsfeld Planung & Projektierung von Energieanlagen & Netzen sorgt CONSULECTRA für die Planung, Projektierung und Baubegleitung zur Errichtung von Kabel- und Freileitungstrassen, Schaltanlagen und die Planung der Ladeinfrastruktur in den Energienetzen.
- Im Kompetenzfeld Beratungsleistungen für die Netz- und Betriebsführung übernimmt CONSULECTRA die Konzeption, Einführung und Veränderung von Netzleitsystemen in der Netz- und Systemführung und sonstiger IT-Systeme in der Energiewirtschaft.
- Im Umfeld der Informations- & IT-Sicherheit bietet CONSULECTRA KRITIS-Unternehmen Managementberatungsleistungen zur Umsetzung der ISMS-Normen, BCMS-Standards inkl. Sicherheitsanalysen oder Penetrationstests zur Erhöhung der Widerstandsfähigkeit und Resilienz an.
- Im Geschäftsfeld Energiewirtschaftliche Strategieberatung liegt der Fokus auf Geschäftsfeldentwicklung für Versorgungsunternehmen, Digitalisierungsbegleitung, Begleitung von Kooperationen, Changemanagement in den Unternehmen sowie Beratung zur Prozess- und Organisationsoptimierung.
… zu apro.gmbh
- Tobias Apel ist Geschäftsführer der apro.gmbh, ein IT-Beratungsunternehmen, das seit 2022 zur RWTÜV-Gruppe gehört.
- Die Kolleginnen und Kollegen aus Erfurt sind spezialisiert auf technische und organisatorische IT-Sicherheit und tätig u.a. in den KRITIS-Branchen Öffentliche Verwaltung, Verteidigung und Gesundheitswesen.
- Die apro.gmbh unterstützt bei der Einhaltung nationaler und internationaler Sicherheitsstandards. Zudem plant, konfiguriert und etabliert das Unternehmen Hochsicherheits- und Hochverfügbarkeitsinfrastrukturen.
- Im Portfolio sind spezielle Sicherheitsprodukte aus dem Bereich Managed Services und Digitale Souveränität.
- Die Sicherheitsexperten der apro.gmbh bieten zudem individuelle Services für Rechenzentren.
- Zur Aufrechterhaltung des Geschäftsbetriebs und von IT-Prozessen in besonderen (Krisen-)Situationen beraten BCM-(Business Continuity Management) Fachleute Kunden vor allem aus dem Gesundheitswesen.
- apro.gmbh bietet neben der Beratung auch Schwachstellenmanagement und Extended-Detection-and-Response-Services (XDR) an.
… zu cetecom advanced
- cetecom advanced hat Standorte in Essen und in Saarbrücken und ist das Prüf- und Zertifizierungsunternehmen der RWTÜV Gruppe.
- Kunden sind Hersteller von Technikprodukten mit und ohne Funktechnologien, die von der ersten Idee bis zur Markteinführung begleitet werden.
- Das Unternehmen sorgt dafür, dass Produkte weltweit zugelassen werden können, also alle nötigen Prüfungen und Zertifikate erhalten. Dabei wird geprüft, ob Geräte alle wichtigen Normen und Vorschriften einhalten, zum Beispiel zu Sicherheit, Funktechnik oder Qualität.
- cetecom advanced kennt sich besonders mit modernen Technologien aus, etwa mit Funktechnologien (u.a. Radar, UWB), Notrufsystemen im Auto (eCall), SmartCards und kontaktlosem Bezahlen. Auch die Sicherheit vernetzter Geräte wird getestet, um sie vor Hackerangriffen zu schützen.
- Das Unternehmen unter der Leitung von Geschäftsführer Andreas Ehre unterstützt als Mitglied in internationalen Fachgremien auch dabei, neue Prüfregeln mitzuentwickeln.
- Die Prüflabore sind nach höchsten Qualitätsstandards zertifiziert, und genießen größtes Vertrauen bei Kunden und Behörden.
- Insgesamt ist cetecom advanced ein wichtiger Partner für Technikfirmen, die ihre Produkte sicher, zuverlässig und schnell auf den Markt bringen wollen.