Von Klimaschutz bis Elektromobilität – und bei allen Klassikern der Chemie: Die Produkte von Lanxess sind allgegenwärtig. Mit chemischen Zwischenprodukten, Additiven, Spezial-Chemikalien und Kunststoffen erwirtschaften die mehr als 14.000 Mitarbeiter in 33 Ländern jährlich rund 6,8 Milliarden Euro (2019). Head of Corporate Security ist Wolfgang Ehses. Matthias Erler von GIT SICHERHEIT hat mit ihm über seine Aufgaben gesprochen – und über die Herausforderungen des Security-Managements eines Spezial­chemiekonzerns.

GIT SICHERHEIT: Herr Ehses, Sie sind Head of Corporate Security bei Lanxess, einem Spezialchemie-Unternehmen mit Werken in 33 Ländern der Welt. Etwa 14.300 Mitarbeiter erwirtschaften jährlich fast 7 Milliarden Euro. Die Zahl der Produkte aus Ihren vier Unternehmenssegmenten ist fast unüberschaubar. Geben Sie uns zum Einstieg vielleicht einmal einen kleinen Eindruck von Ihrem Unternehmen und Ihren Aufgaben?

Wolfgang Ehses: Lanxess ist auf allen Kontinenten und in vielen Märkten unterwegs. Wir produzieren Pigmente, Flammschutzmittel, Desinfektionsmittel gegen das Corona-Virus, Kunststoffe für Elektroautos und vieles mehr. Die Komplexität unseres Unternehmens macht es erforderlich, dass wir bei Corporate Security umfassend aufgestellt sind. In meinem Team kümmern wir uns um Reisesicherheit, Ermittlungen, Krisenmanagement, Informationssicherheit und natürlich auch um die Sicherheit unserer Mitarbeiter und Anlagen.

Die Sicherung großer Chemieproduktionsanlagen hat seine eigenen Herausforderungen – es geht oft um besonders Brennbares, Explosives, etc....?

Wolfgang Ehses: Chemische Stoffe und ihre Reaktionen sind Kern unseres Geschäfts – mit allen Risiken. Deshalb ist der Betrieb eines Chemiestandorts nicht mit dem einer normalen Fabrik zu vergleichen. Hier gibt es überall stringente Kontrollen, ob bei der Produktion, der Abfüllung oder dem Transport. Hier sorgen viele Kolleginnen und Kollegen dafür, dass wir einen sehr hohen Standard vorweisen können – weltweit.

Das Sicherheitsmanagement kann auf solchen Geländen nicht schalten und walten wie es will – Stichwort Störfallverordnung, Fluchtmöglichkeiten, Arbeitsschutz etc. – wo machen sich diese Zielkonflikte am stärksten bemerkbar?

Wolfgang Ehses: Ich gebe Ihnen ein ganz plastisches Beispiel: In manchen Bereichen stehen gesetzliche Unfallverhütungsvorschriften oder auch schlichtweg notwendige lebensrettende Maßnahmen, die beispielsweise bei einem Vorfall eine ungehinderte Fluchtmöglichkeit sicherstellen müssen, dem Wunsch nach Absicherung durch Zäune, Tore oder Mauern im Weg. Zudem sind wir häufig nicht allein auf dem Gelände, sondern Teil eines Chemieparks und müssen dort für uns notwendige Sicherheitsmaßnahmen mit der vorhandenen Infrastruktur in Einklang bringen. Dafür gibt es beispielsweise Grundschutzkataloge für die Chemieparks mit Leistungen, die wir personell, organisatorisch, aber auch prozessual und toolseitig für einen sicheren Betrieb erwarten.  

Könnten Sie noch das eine oder andere weitere Beispiel nennen – und wie Sie das lösen?

Wolfgang Ehses: Nehmen Sie an, ein Betrieb fällt unter den Bereich der Störfall-Verordnung, da er bestimmte Stoffe produziert. Die Gefahrenlage bei einem Zwischenfall ist so hoch, dass Mitarbeiter nach Ertönen einer Warnsirene sofort das Gebäude verlassen müssen um sich zu einem Sammelplatz zu begeben. Dieser Sammelplatz liegt 400 m abseits von dem Gebäude entfernt. Um den Zutritt von unbefugten Personen fernzuhalten, beabsichtigen wir von Corporate Security eine Kombination zwischen Türen mit elektronischem Schließsystem, Videoüberwachung und einer entsprechenden Lösung mit einem Zaun inklusive Detektionsmöglichkeit zu verbauen. In Zusammenarbeit mit unserem Arbeitsschutz-Team wird dieses Konzept weiterentwickelt, durch Türen mit Fluchtmöglichkeitsfunktion sowie einem verstärkten Zutrittskonzept mit Berechtigungskontrolle. Der Zaun wird nach Prüfung der Außenanlagen und dem damit verbundenen Sicherheitskonzept in einem größeren Abstand zu dem Betrieb verbaut.

Wie groß sind diese Gelände normalerweise? Welche Strategie verfolgen Sie angesichts der beschriebenen Einschränkungen insbesondere im Perimeterschutz und im Zutrittsmanagement?

Wolfgang Ehses: Das ist ganz unterschiedlich – es können im Umfang schnell mehrere Kilometer werden. Dazu kommen noch Außenflanken wie zum Beispiel ein Fluss, den wir für den Schiffstransport nutzen, oder auch Gleise für den Gütertransport. Unsere Strategie ist, gemeinsam mit den Kollegen des Arbeitsschutzes im In- und Ausland ein lokal abgestimmtes Sicherheitsniveau nach effektiven, aber auch wirtschaftlich effizienten Maßstäben zu erreichen.

Worin sehen Sie die größten Sicherheitsrisiken?

Wolfgang Ehses: Mal abgesehen von Naturkatastrophen, technischem oder menschlichem Versagen, sehe ich momentan die virtuellen Risiken als eine der größten Sicherheitsrisiken. Es ist viel einfacher, von zu Hause aus mit einer Malware einen Betrieb lahmzulegen, als mühsam erst dorthin zu fahren, über den Zaun zu steigen, die richtige Stelle zu finden und dann sich selbst in die Gefahr zu begeben, erkannt zu werden oder von einem Produkt verletzt zu werden.

Sie arbeiten ja mit einem externen Sicherheitsdienstleister zusammen? Welche Aufgaben übernimmt dieses Unternehmen – und was machen Sie mit eigenen Mitarbeitern?

Wolfgang Ehses: An den drei großen Chemieparks in Deutschland haben wir einen Dienstleister, der für uns die im Grundschutzkatalog festgelegten Maßnahmen übernimmt. Andernorts haben wir lokale Dienstleister, die Sicherheitsaufgaben übernehmen. Wir als Corporate Security überprüfen diese Dienstleister zu unregelmäßigen Terminen auf die Effizienz und in puncto Zusammenarbeit. Mit den lokal Verantwortlichen prüfen wir die Sicherheitssituation insgesamt. Eigene Mitarbeiter werden geschult – dort wo es etwa vor Betreten einer Anlage vorgeschrieben ist, muss ein solches Verfahren durchlaufen werden. In manchen Bereichen wird ein Wissenstest verlangt – ohne diesen gibt es keinen Zutritt. Dieses Procedere verfolgt Lanxess weltweit.

Könnten Sie uns einmal einen Eindruck von der praktischen Organisation Ihres Alarmmanagements geben?

Wolfgang Ehses: Ich will es mal an einem fiktiven Beispiel erklären: Es passiert ein Sicherheitsvorfall in Brasilien an einem Samstag um vier Uhr deutscher Zeit. Die Kollegen vor Ort setzen eine Incident-Response-Meldung mit den Basisinformationen ab. Gleichzeitig ruft ein lokaler Mitarbeiter auf einer 24/7 Notfallnummer an. Hier wird nach der Aufnahme der Fall direkt zu einem Emergency Officer geleitet. Dieser entscheidet, um welche Art Vorfall es sich handelt und nutzt dann sein Mobiltelefon mit nur einem Tastendruck auf der einer Alarmierungs-App um zum Beispiel die Verantwortlichen für Security-Angelegenheiten zu informieren. Diese Vorgehensweise funktioniert zu jeder Tages- und Nachtzeit. Hierfür haben wir ein externes Tool im Einsatz, welches alle relevanten Personen in einen Konferenz-Call ruft. Ist jemand nicht erreichbar, erkennt dieses System das und wählt nach kurzer Zeit den nächsten Verantwortlichen in der Abteilung an. Wir haben sehr gute Erfahrungen damit.

Der Kontakt und die Zusammenarbeit mit den Behörden ist Ihnen sehr wichtig – wie organisieren Sie das?

Wolfgang Ehses: Für einige Unternehmen ist es möglicherweise nicht besonders attraktiv, wenn man die Staatsanwaltschaft im Hause hat.  Wir bei Lanxess pflegen aber einen sehr guten Draht dorthin. Das liegt vielleicht auch daran, dass ich selbst mal in einer Bundesbehörde gearbeitet habe und die Eigenheiten der öffentlichen Verwaltung kenne und verstehe. So gibt es eine sehr gute Zusammenarbeit mit der Zentral- und Ansprechstelle Cybercrime in Nordrhein-Westfalen. Das führt auch dazu, dass das Wissen um das Thema Cybercrime und die Behandlung dieses Phänomens stärker in unsere Prozesse integriert ist. Zum anderen sind wir über verschiedene Gremien mit anderen Unternehmen und auch den Bundes- und Länderbehörden vernetzt und damit auch in einem guten Austausch.

Das ist angesichts der weltweiten Präsenz von Lanxess natürlich sehr anspruchsvoll und aufwendig zu realisieren...?

Wolfgang Ehses: Das würde ich nicht unbedingt so sagen – denn wir arbeiten an einer internen Resilienz. Dazu haben wir haben einerseits Governance-Strukturen, andererseits sind unsere Sicherheitsverantwortlichen weltweit im Austausch mit Behörden. Das Wichtigste aber ist: Wir setzen in Sicherheitsfragen stark auf den Menschen – dafür haben wir eine freche und zugleich interessante Awareness-Kampagne im letzten Jahr abgeschlossen. Es geht nicht um „Du sollst“-Anweisungen, sondern um das Selbstverständnis und die Akzeptanz von Sicherheitsmaßnahmen und dadurch die Umsetzung im täglichen Ablauf. Vieles von dem was wir vermitteln, ist gleichermaßen auch für den privaten Bereich nutzbar und das macht es den Mitarbeiterinnen und Mitarbeitern einfacher, es zu verstehen und umzusetzen.

Herr Ehses, Sie haben in unserem Vorgespräch das Bild von einer Burg gebraucht – einer Burg, die niemals rundum geschützt werden kann, jedenfalls nicht mit vertretbarem Aufwand. Könnten Sie uns Ihre Sicherheitsphilosophie etwas näher erläutern?

Wolfgang Ehses: Das Bild ist nicht von mir, sondern vom Internet-Guru Bruce Schneier. Aber es passt sehr gut und geht in etwa so: Eine Burg ist zunächst mal ein massives Bollwerk und aufgrund der Lage und der Befestigungen schwer einzunehmen. Aber sie hat Schwachpunkte. Sie hat Zugänge. Darüber hinaus ist die Mauer nicht an allen Stellen gleich hoch oder gleich dick, man kann vielleicht hochklettern oder auch eine Leiter anstellen. Es kommt auch vor, dass man etwas ausbessern muss – das heißt, es ist ein Loch in der Mauer, das mit besonderen lokalen Sicherheitsmaßnahmen bedacht werden sollte. Mithin gibt es die Wachen, die zwar wehrhaft, aber möglicherweise nicht an allen Stellen der Burg ausreichend vorhanden sind.

Jetzt nehmen wir uns den potentiellen Angreifer vor: Er entscheidet, wann er angreift und mit welchen Mitteln. Hat er vorher Schwachstellen ausgekundschaftet und kann darauf gezielt agieren oder setzt er zum Leidwesen der Wachen eine Ablenkung ein, um sie von den Schwachstellen wegzulocken? Stichwort Trojanisches Pferd: Angreifer haben Zeit – wie wäre es mit einem Exploit in ungefähr sechs Monaten? So lange läuft kein Virenscanner.

Sie sehen, dass die Vorteile allesamt beim Angreifer liegen und es ist auch nur allzu klar, dass die meisten Unternehmen keine eigene Cyberdefense-Armee aufbauen können. Umso wichtiger ist es, einen entsprechenden Industriestandard, quasi eine genormte Mauer, sowie geeignetes Wachpersonal vorzuhalten und eine informierte Mitarbeiterschaft zu haben, die nicht einfach die Türen offenstehen lässt.

Was bedeutet das für den Einsatz von Technik – gerade im Perimeterschutz ist heute ja sehr viel möglich?

Wolfgang Ehses: Technik ist da gut, wo sie nutzt. Es ist immer eine Kosten-Nutzen-Kalkulation und letztlich auch eine Risikoabschätzung, was man sich ins Haus holen möchte und was nicht. Bei allem Digitalisieren darf man den analogen Bereich nicht vergessen – so sind Perimeter im analogen Umfeld genauso wichtig wie im virtuellen Bereich. Mir ist es aber auch wichtig zu erwähnen, dass es nicht ohne den Menschen geht. Es muss auch jemanden geben, der zum Beispiel auf die Sensormeldung eines Zaunes oder die SIEM-Information über einen IT-Prozess (Event) reagiert, dieses bewertet und eine Entscheidung trifft. Der nächste Schritt ist dann die Lösung vor Ort – sende ich eine Streife beziehungsweise weise ich einen Administrator an, der ein System in Quarantäne schickt? Es geht also bestenfalls in einem guten Verhältnis beim Einsatz von Mensch und Technik.

Stichwort Videoüberwachung: Sie ist heute extrem ausgereift, was etwa Bildqualität und Videoanalyse betrifft. Wie sehen Sie die Rolle dieser Technik bei der Sicherung von Chemieanlagen?

Wolfgang Ehses: Es gibt sicherlich Bereiche wie Büro- und Produktionsgebäude, Hafen­anlagen oder manche Lagerhäuser, die mit einer Videoüberwachung ausgestattet werden können. Ein flächendeckender Einsatz mit Videotechnik ist aber meist unwirtschaftlich. Neben der Anschaffung der reinen Kameratechnik kommen etwa die gleichen Kosten für Kabelverlegung hinzu und dann ist das erzeugte Bild auch zu über­wachen, was wiederum den Einsatz von Personal bedeutet. Das muss individuell bewertet werden.

Ein recht aktuelles Thema für viele Perimeterschützer sind Drohnen – man kann sie möglichst früh detektieren, ihre Art und Herkunft ermitteln, weniger abwehren. Wie stehen Sie gerade dazu?

Wolfgang Ehses: Drohnen sind ein in mehrfacher Hinsicht störendes Element am Himmel über Chemieanlagen. Zum einen können sie zum Ausspähen genutzt werden, da ihre Kamerasysteme hervorragende Bilder und Videos erzeugen können. Sie können aber auch als Träger von Substanzen zur Sabotage, oder schlimmer, zu terroristischen Zwecken eingesetzt werden. Manche werden jetzt sagen: Science-Fiction. Aber Drohnen sind heutzutage dazu in der Lage. Nur der Fall, dass es noch nicht in Deutschland zu einem solchen Vorfall gekommen ist, heißt nicht, dass er gänzlich unwahrscheinlich ist.

Auf der anderen Seite sind zum Beispiel Wartungsflüge an schwer zugänglichen Stellen eine willkommene und kosteneffiziente Hilfe. Aber auch der Einsatz bei einem Vorfall, bei dem eine Drohne ein Übersichtsbild über den Einsatzraum geben kann, ist sicherlich eine in den nächsten Jahren etablierte Sicherheitsmaßnahme an vielen Firmenstandorten.

Lassen Sie uns etwas näher auf die IT-Sicherheit zu sprechen kommen – gerade know-how- und entwicklungsstarke Unternehmen sind von Wirtschaftsspionage, Hackern, etc. bedroht. Wie schätzen Sie die Lage diesbezüglich für sich ein? Wie sieht Ihre Strategie hier aus?

Wolfgang Ehses: Denken Sie an das Bild der Burg zurück – hier ist es Teil der Strategie, nicht zu viele Schwachstellen aufkommen zu lassen, an einigen Stellen zu verbessern und dabei den Trend nicht zu verpassen. Denn Cyberkriminelle entwickeln sich weiter, verfeinern ihre Strategien, bauen neue Tools und nutzen auch die Vor- und Nachteile der Globalisierung. Unterm Strich sehe ich die virtuellen Risiken deutlich im Kommen und auch Sicherheitsabteilungen müssen sich hier mit bewegen. Der klassische Polizist oder Soldat reicht heute schon lange nicht mehr aus – nicht umsonst gibt es Studiengänge in Risiko- und Sicherheitsmanagement auf Bachelor- und Masterebene.

Sie haben ja den Sonderpreis „Cybersecurity“ des „Digital Leader Award 2020“ erhalten – und zwar für Ihre weltweite Phishing-Kampagne bei Lanxess. Da haben Sie selbstgemachte Phishing-Mails an Ihre eigenen Mitarbeiter zu deren Sensibilisierung geschickt...  Stellen Sie uns dieses Projekt noch mal kurz vor?

Wolfgang Ehses: Das Ganze war eine wohlvorbereitete Kampagne. Nach einer Phishing-Mail, die für ordentlich Diskussion im Unternehmen gesorgt hat, konnten wir in kürzester Zeit mehr als 1000 Kolleginnen und Kollegen aller Ebenen im Rahmen einer Roadshow mit Livehacking-Inhalten, viel Wissenswertem um Social Engineering und die Fallen im dienstlichen und privatem Bereich, aber auch mit einer ordentlichen Portion Selbstironie begeistern. So stellten wir die Frage, ob wir mit unserer Sicherheitsparanoia nicht den gesamten Laden lahmlegen und die Belegschaft schikanieren? Das kam schon mal recht gut an und wir haben den zweiten Schritt nachgelegt: Mit Unterstützung des Betriebsrats, Communications, der IT und unserer Abteilung für digitale Transformation haben wir ein global verpflichtendes E-Learning in acht Sprachen aufgesetzt. Mehr als 80 Prozent aller Beschäftigten haben es schon absolviert. Nachdem wir nun unsere Sichtweise zur Informationssicherheit unseren Beschäftigten weltweit dargelegt hatten, ging es in die nächste Phase, bei der wir die Einführung eines Klassifizierungs-Tools für alle Dokumente ausgerollt haben. Begleitet wurden wir dabei vom Münchner Beratungsunternehmen HvS-Consulting (Hochenrieder/von Stetten), ohne deren Einsatz und Unterstützung dies alles nicht möglich gewesen wäre.

Wie kam das Projekt bei Ihren Mitarbeitern an – und wie geht es weiter?

Wolfgang Ehses: Das Feedback war überwältigend positiv. Von Aussagen wie „Ich bin froh, dass diese Themen so gut angesprochen werden, das gibt mir Sicherheit in dem was ich tue“ bis zu „Darf ich diese Filme und Informationen auch meinen Familienangehörigen zeigen?“ Auch vom Vorstand gab es Lob und ja, wir planen natürlich eine Fortsetzung. Einmalig darf so etwas nicht sein. Das E-Learning ist übrigens für alle neuen Lanxess Mitarbeitenden beim Onboarding verpflichtend.