„Wir müssen die gesamte Wertschöpfungskette schützen“
Dass ein Gesundheitskonzern auf jeder Menge sensibler Daten sitzt, liegt auf der Hand. Welche Bedrohungen ergeben sich daraus? Wie lassen sich Produktion und Kliniken schützen? Ist Cybersecurity so spannend wie das Wort klingt? Das Team „Group Cybersecurity Office (GCSO)“ schützt die Fresenius-Gruppe vor Cybergefahren. Ralf Garrecht, Group Head of Cybersecurity, und Marius Fetzberger, Head of GCSO, berichten gemeinsam aus ihrem Alltag.
Cybersecurity ist ein Schlagwort, das viele aus Thrillern kennen, mit Hackern und Spannung verbinden. Wie aufregend ist Ihr Job?
Ralf Garrecht: Phasenweise – bei einer konkreten Bedrohung oder einem Angriff – kann es sehr aufreibend sein, da sind dann auch mal Nachtschichten notwendig. Aber im Alltagsgeschäft steht im Vordergrund, Risiken zu erkennen, daraus Maßnahmen abzuleiten und diese dann umzusetzen.
Marius Fetzberger: Es ist grundsätzlich aufregend, Cybersecurity im Kontext der Patientinnen und Patienten zu denken und die nötigen Strukturen und Technologien einzusetzen, die uns helfen, diese spannende Herausforderung bei einem so großen Unternehmen wie Fresenius zu adressieren. Wir arbeiten intensiv daran, eine Kultur des Bewusstseins für Cybergefahren im Unternehmen zu verankern. Dazu gehören viel Erfahrung und Kreativität, aber auch Begeisterung für Neues und die stetige Veränderung. Außerdem müssen wir ständig unser Wissen aktuell halten und erweitern und in einem Angriffsfall große Flexibilität und hohe Einsatzbereitschaft zeigen. Aufregend ist die Vielfalt der Herausforderungen, die uns persönlich und fachlich stark fordern – aber auch wachsen lassen.
Was sind denn konkrete Gefahren, die Fresenius durch Cyberangriffe drohen?
Ralf Garrecht: Wir sind der größte Klinikbetreiber Europas und haben weltweit die meisten Dialysepatienten – also verwalten wir eine riesige Menge sensibler Daten von Patientinnen und Patienten. Außerdem stellen wir medizinische Produkte her. Und natürlich gilt es auch, unser geistiges Eigentum zu schützen. Wir müssen daher die gesamte Wertschöpfungskette im Blick haben.
Marius Fetzberger: Gefahr droht vor allem durch sogenannte Ransomware-Angriffe – solche Fälle gehen immer wieder durch die Presse: Hier werden vorwiegend große, attraktive Unternehmen mit kritischer Infrastruktur ins Visier genommen. Angreifer versuchen, Prozesse lahmzulegen oder Daten zu entwenden und die Unternehmen damit zu erpressen.
Haben solche Gefahren in letzter Zeit zugenommen? Wie wehrt man sich als Unternehmen dagegen?
Marius Fetzberger: Die Sache ist für Angreifende lukrativer geworden. Beispielsweise haben „Revil“ mit ihrem letzten Angriff an ihre Opfer eine Forderung von 70 Mio. USD gestellt. Viele entsprechende Tools sind z. B. im Darknet erhältlich. Das hat den Trend beschleunigt. Die DSGVO hat das Thema zusätzlich verschärft, weil das Bewusstsein für Datenschutz gestiegen ist und man als Opfer eines erfolgreichen Angriffs auch noch Strafen zahlen muss. So können sich Angreifende den Druck zunutze machen, der auf den Organisationen lastetet, um die Erfolgschancen einer Bezahlung zu erhöhen.
Ralf Garrecht: In Sachen Abwehr ist eine wichtige Erkenntnis: Man muss gemeinsam arbeiten und von den Besten lernen, sich gegenseitig schützen.
Was bedeutet das konkret, wie gehen Sie vor?
Ralf Garrecht: Wir sind in engem Kontakt mit Kolleginnen und Kollegen in den anderen DAX-Konzernen und tauschen uns mit ihnen intensiv aus. Auch mit Behörden sind wir im Dialog, etwa mit dem BKA oder dem BSI. Bei Fresenius haben wir beispielsweise auch einen Experten mit militärischem Hintergrund an Bord.
Marius Fetzberger: Wir analysieren die Risiken entlang der Wertschöpfungskette. Dann entscheiden wir über die Maßnahmen, die wir umsetzen und überwachen müssen, um unsere Krankenhäuser, medizinischen Endgeräte, Produktionsstätten und Mitarbeitenden zu schützen. Das geht nur zusammen als Konzern, und der Austausch mit allen Cyber-Expert:innen und Entscheider:innen der Fresenius-Gruppe ist essenziell. Denn nur so können wir einen starken Grundschutz für das digitale Rückgrat (wie bspw. IT, OT und IoT) bei Fresenius etablieren.
„Der Austausch mit allen Cyber-Expert:innen und Entscheider:innen der Fresenius-Gruppe ist essenziell. Denn nur so können wir einen starken Grundschutz für das digitale Rückgrat bei Fresenius etablieren.”
Vermutlich geht es doch auch darum, die Mitarbeitenden zu sensibilisieren?
Ralf Garrecht: Ja, natürlich! Der Faktor Mensch ist bei Sicherheitsfragen immer extrem wichtig. Wir haben ein umfassendes Trainingskonzept, das das Bewusstsein für Cybersecurity in alle Bereiche des Unternehmens trägt. Das fängt bei ganz einfachen Dingen wie Phishing-Mails an, denn die können ja ein Einfallstor sein. Wir trainieren aber auch Gruppen im Unternehmen, die spezielle Maßnahmen brauchen, wie etwa IT-Verantwortliche in der Produktion. Hier stellen wir sicher, dass sauber programmiert und dokumentiert wird. Und wir schulen Personen, die in den Kliniken medizinische Endgeräte betreiben.
Marius Fetzberger: Die enge Zusammenarbeit mit betrieblichen Einheiten ist besonders wichtig, weil dort die Implementierung der Sicherheitsmaßnahmen ganz konkret und praktisch läuft. Wir arbeiten mit anderen Cybersecurity-Expert:innen im gesamten Konzern zusammen. Gleichzeitig nutzen wir Technologie, mit der wir die Mitarbeitenden bestmöglich dabei unterstützen können. Mittels künstlicher Intelligenz und Automatisierung lässt sich das Zusammenspiel zwischen Mensch und Technologie immer besser umsetzen, um Cyber-Bedrohungen umfangreich und schnell zu adressieren.
„Der Faktor Mensch ist bei Sicherheitsfragen immer extrem wichtig. Wir haben ein umfassendes Trainingskonzept, das das Bewusstsein für Cybersecurity in alle Bereiche des Unternehmens trägt.”
Welchen Background haben Sie beide und was führte Sie zu Fresenius?
Ralf Garrecht: Ich habe Wirtschaftsinformatik studiert und stets in der IT gearbeitet – gleichzeitig war mir der Business-Bezug immer wichtig. Informationssicherheit war bei allen meinen vorigen beruflichen Stationen im Fokus. Bei Fresenius mag ich besonders die Komplexität und Heterogenität des Unternehmens. Noch mehr bedeutet es mir aber persönlich, dass Fresenius die Mission hat, immer mehr Menschen mit immer besserer Medizin zu versorgen.
Marius Fetzberger: Ich habe bei zwei Beratungsunternehmen zum Thema Informationssicherheit gearbeitet, kam zunächst als externer Berater zu Fresenius und bin dann hiergeblieben. Ursprünglich war ich mit einer Ausbildung zum Fachinformatiker gestartet und habe noch ein Studium der Wirtschaftsinformatik draufgepackt. Ich finde es extrem spannend, bei einem Unternehmen für Cybersecurity zu sorgen, das wichtige und kritische Produkte liefert, die Sinn stiften. Ich ziehe sehr viel Motivation daraus, Cybersicherheit für das Wohl unserer Patientinnen und Patienten umzusetzen.
Was müssen zukünftige Kolleginnen und Kollegen mitbringen?
Ralf Garrecht: Natürlich brauchen sie ein gewisses technisches Verständnis. Informatik, Data Science – das sind die grundlegenden Skills, die wir suchen. Aber das wichtigste steht gar nicht im Lebenslauf: Neugier, Beharrlichkeit und Enthusiasmus für das Thema Cybersecurity. Diese Mischung aus technischer Kompetenz und Leidenschaft suchen wir. Die unerlässliche Grundlage ist also die Begeisterung für unsere Themen, die Kandidatinnen und Kandidaten mitbringen sollten.
Vielen Dank für das Gespräch!
What´s your job, Edward Aston?
Wie ist es, im Artificial Intelligence Center of Excellence (AI CoE) von Fresenius zu arbeiten? Edward Aston ist seit einigen Jahren bei Fresenius und gehört nun zum Team des AI CoE, das Anfang 2024 gegründet wurde. In diesem Interview erzählt er uns, warum er so gerne dort arbeitet.
„Ich sehe, wie Ideen wahr werden.”
Edward, was steht auf deiner Visitenkarte und was ist dein Aufgabenbereich?
Meine Berufsbezeichnung lautet „AI CoE Consultant” und meine Aufgabe ist es, die Anforderungen unserer Stakeholder aus den verschiedenen Geschäftsbereichen zu koordinieren und übergreifende KI-basierte Lösungen bereitzustellen. Ich arbeite seit einigen Jahren bei Fresenius und bin daher in der gesamten Organisation ziemlich gut vernetzt. In dieser Funktion sind meine Hauptaufgaben die Analyse der vielfältigen Anforderungen und Projektmanagement.
Was macht dein Team besonders?
Künstliche Intelligenz ist unser gemeinsames Thema, an dem wir alle arbeiten. Doch als Team betrachtet, sind wir über unsere grundlegenden Fähigkeiten hinaus sehr verschieden. Wir haben alle unseren individuellen spezifischen Stärken, die sich im AI CoE-Team ziemlich gut kombinieren. Dieser Mix an Fähigkeiten zeigt sich sehr deutlich in den Diskussionen mit unseren Kolleginnen und Kollegen aus den Geschäftsbereichen im Unternehmen. Denn wir verstehen nicht nur die technische Seite, sondern kennen die Herausforderungen auch aus Prozess-Sicht und der Perspektive der einzelnen Bereiche. So entstehen Lösungen, die über die technischen Aspekte hinaus einen echten Mehrwert für die einzelnen Segmente schaffen.
Wie ist dein Background? Wie bist du zu Fresenius gekommen?
Ich habe Wirtschaftsinformatik studiert, also eine Kombination aus Informatik und BWL. Ich habe sowohl ein Diplom als auch einen Master-Abschluss in diesem Fach. Danach habe ich in einem mittelständischen Beratungsunternehmen angefangen, das SAP- und Microsoft-basierte Branchenlösungen implementierte. Nach einer Reisephase bin ich in die Finanzdienstleistungsbranche gewechselt, in der ich in unterschiedlichen Funktionen im IT-Umfeld tätig war. Mit der Zeit wollte ich jedoch mein berufliches Umfeld verändern. Daher begann ich nach einem Unternehmen zu suchen, das mir einen Job mit mehr Sinnhaftigkeit bietet. Dann passierte etwas wirklich Merkwürdiges: Ein Headhunter rief mich an und sprach mich auf genau die Position an, für die ich mich beworben hatte, … bei Fresenius! Dann ging alles sehr schnell. Nun bin ich seit über acht Jahren bei Fresenius und hatte unterschiedlichste Rollen inne. Es war wirklich eine aufregende Zeit, besonders in den letzten vier Jahren. Ich habe miterlebt, wie stark sich das Unternehmen weiterentwickelt hat.
Was sind gute Gründe, bei euch mitzuarbeiten? Was würdest du einer Person sagen, die sich dafür interessiert?
Ich würde einfach sagen: Wenn du etwas bewirken, etwas erreichen, Erfahrungen sammeln und dich weiterentwickeln willst – dann bist du hier richtig. Man spürt wirklich die Veränderung, den Wandel in der Organisation und im technischen Umfeld. Natürlich muss man offen für diese Transformation sein! Aber wenn du dich in einer solchen Umgebung wohlfühlst, wenn du Ideen hast, dann geh einfach zu deiner oder deinem Vorgesetzten, sprich mit der zuständigen Abteilung und leg los. Und dann erlebst du, wie deine Ideen wahr werden. Das ist die tolle Chance, die dir ein Job bei Fresenius bietet.
„Wir verstehen nicht nur die technischen Aspekte, sondern kennen die Herausforderungen auch aus Prozess-Sicht und der Perspektive der Geschäftsbereiche.”
Worauf bist du stolz?
Ich bin natürlich stolz darauf, Teil dieses Teams zu sein, und auch auf das Vertrauen, das uns entgegengebracht wird. Nicht nur auf der obersten Führungsebene, sondern auch von unserem Teamleiter Naresh. Er glaubt wirklich an uns – sowohl als Einzelpersonen als auch als Team, mit unseren unterschiedlichen Spezialisierungen. Und ich bin stolz auf das, was wir bewirken. Wenn wir uns zum ersten Mal mit Themen und Problemen befassen, stehen wir anfangs oft vor vielen Fragen. Doch dann machen wir uns an die Arbeit und finden eine Lösung, die die Situation des jeweiligen Bereichs wirklich verbessern kann. Dieser ganze Prozess ist äußerst bereichernd und erfüllt mich jedes Mal mit Stolz.
Vielen Dank für das Gespräch!
