„Cybersecurity Budgets müssen individuell festgelegt werden“

Unser Interviewpartner

Peter Merrath ist Geschäftsführer bei Vertanical, einem modernen Biopharmaunternehmen mit Fokus auf Cannabiswirkstoffen. Davor arbeitete er als Berater für Risikomanagement und Cybersecurity bei McKinsey.

Peter Merrath, Managing Director Vertanical

Lieber Peter Merrath, was macht FUTRUE, und was machen Sie dort?

FUTRUE ist ein international tätiger Pharmakonzern mit weltweit mehr als 20 Tochterunternehmen. Eines davon ist Vertanical. Das ist ein hochinnovatives Biopharmaunternehmen mit modernsten Anbau- und Produktionsanlagen für medizinisches Cannabis. Ich bin bei Vertanical als Geschäftsführer tätig und verantworte als CFO die strategischen Finance und Controlling Themen.

Sie haben ja bereits eine interessante Karriere hinter sich – können Sie uns etwas dazu erzählen?

Nach meinem Studium der Finanzmathematik hat es mich auch für 4 Jahre in die Finanzindustrie und Bankenwelt gezogen. Während meiner 9 Jahre als Berater bei McKinsey habe ich bis auf ein paar Ausnahmen auch in diesem Sektor gearbeitet. Die Tätigkeiten waren immer sehr unterschiedlich, jedoch war das Thema Risikomanagement wie ein roter Faden, der sich durch Studium und Beruf zog. Zu einem gewissen Grad ist das heute auch noch der Fall, wenngleich mein Fokus und auch der Sektor ein anderer sind.

Was sind aktuell Ihre wichtigsten Ziele und Herausforderungen?

Natürlich der Erfolg von Vertanical. Wir sind bereits mit verschiedenen Produkten am Markt, möchten aber zum einen unseren ‚Footprint‘ geographisch ausbauen und zum anderen unsere Produktpalette erweitern.

Wie geht FUTRUE denn mit dem Thema OT Security um? Gibt es dabei spezielle Herausforderungen, die Sie im Fokus haben?

Das ist für uns ein sehr wichtiges Thema. Die Wertschöpfungskette liegt vollständig in unserer Hand, d.h., wir haben eine eigene Cannabis Plantage und Produktion sowie ein eigenes Vertriebssystem. Insbesondere beim Anbau werden unter streng kontrollierten Bedingungen Cannabispflanzen kultiviert, aus denen die Wirkstoffe für unsere Produkte gewonnen werden. Auf dieser Anlage mit mehreren Tausend Quadratmetern wird auch geforscht und bei der Produktion müssen höchste Sicherheits- und Qualitätsstandards eingehalten werden. Insofern ist die Sicherheit von zentraler Bedeutung und ich würde neben OT-Security und Produktionssicherheit auch noch physische Sicherheit ergänzen.

Man kann sich denken, dass es für gewisse Gruppen reizvoll ist, in unsere Plantage einzudringen. Die Mitarbeiterinnen und Mitarbeiter innerhalb der Plantage müssen hohe Sicherheitsanforderungen erfüllen wie bspw. strenge Zugangskontrollen oder spezielle Schutzkleidung. Letztere hat im Übrigen keine Taschen und kann somit im weiteren Sinne als ‚Insider Threat‘ Maßnahme interpretiert werden. Man darf auch nicht vergessen, dass wir mit unseren Rohstoffen und Produkten unter das Betäubungsmittelgesetz fallen. Deswegen sind die Sicherheitsanforderungen an uns entsprechend hoch.

Grundsätzlich gelten für Arzneimittelhersteller die GMP (current Good Manufacturing Practices), zu denen auch Vorgaben zu Datensicherheit und Cybersecurity zählen. In Deutschland fallen viele Pharmaproduzenten seit 2017 auch unter die Gesetzgebung zu kritischen Infrastrukturen mit Vorgaben z.B. zum IT-Sicherheitsmanagementsystem. Und natürlich schützen wir damit einhergehend auch die Steuerungstechnik in unserer Produktion.

Wie erwähnt, haben Sie sich ja intensiv mit Risikomanagement beschäftigt. Einer Ihrer Artikel zu Cyberrisiken und dem risikobasierten Ansatz zur Priorisierung ist kürzlich erst von Dale Peterson lobend erwähnt worden. Können Sie diesen Ansatz kurz umreißen?

In jedem Unternehmen möchte das C-Level verstehen, wie gut Cyberrisiken in ihren Organisationen gemanagt werden – nicht zuletzt wegen erheblicher Investitionen in diesem Bereich. Der „risikobasierte“ Ansatz für die Cybersicherheit bedeutet in erster Linie Fokus und Priorisierung. Zum einen ist Cybersicherheit komplex und teilweise sehr technisch. Zum anderen kann mangelnde Security enorme Auswirkungen haben, z.B. Produktionsausfälle, Reputationsschäden oder behördlicher Druck inklusiver hoher Geldstrafen. Insofern hilft es, dieses Thema als ein Geschäftsrisiko wahrzunehmen und sich auf diese Elemente zu konzentrieren, die einen hohen Einfluss auf das Geschäftsrisiko haben.

Viel Kundschaft von uns kommt aus dem mittelständischen Umfeld, oder sind kleinere Konzerne. Was könnte der risikobasierte Ansatz (im Vergleich zu Reifegrad-basierten Methoden) z.B. für einen mittelgroßen Pharmaproduzenten oder Maschinenbauer ganz konkret bedeuten?

Grundsätzlich ist der Reifegrad-Ansatz als initialer bzw. begleitender Ansatz gut und hilft, den Status quo einzuschätzen und ein mögliches Zielbild zu formulieren. Eine konkrete risikobasierte Anwendung wäre beispielsweise die Identifikation der kritischsten Informationsgüter, IT-Assets und Produktionsprozesse. Dagegen muss man dann das entsprechende Schutzniveau genauer analysieren und festlegen, wo nachgebessert werden muss. Ebenso wichtig wie das eben erwähnte technologische Verständnis ist aber auch der Faktor Mensch, also wie bewusst ist den Mitarbeiterinnen und Mitarbeitern das Thema Cyber (Stichwort „Human Firewall“). Klare Rollenverteilungen sind auch essenziell. Und da das Thema bei vielen Unternehmen nicht die oberste Priorität hat, behelfen sich manche Unternehmen mit einer Cyber-Versicherung bzw. prüfen die Sinnhaftigkeit selbiger für ihr Unternehmen.

Gibt es irgendwelche Halbwahrheiten oder Behauptungen, die Sie immer mal wieder hören, die aus Ihrer Sicht aber eigentlich nicht stimmen?

Ja! Dass X% des IT-Budgets für Cybersicherheit ausgegeben werden bzw. ausgegeben werden sollten. Halbwahrheit deswegen, weil die statistische Ermittlung solcher Zahlen Annahmen trifft, die nicht für alle Unternehmen gleichermaßen gelten, selbst wenn man nach Sektoren oder Unternehmensgröße differenziert. Natürlich ermöglichen solche Zahlen einen Dialog auf Managementebene, jedoch damit Budgetentscheidungen zu verbinden, halte ich für falsch.

Vielen Dank an Peter Merrath für das Interview!

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.