Herr Fübi, Cybersecurity ist immer noch eine junge Disziplin. Welche Rolle spielt IT-Sicherheit bei Tüv Rheinland – für das Unternehmen selbst, aber auch als Dienstleistung?

Cybersecurity hat für uns zwei Facetten: Zum einen helfen wir anderen Unternehmen, sich vor Cyber-Angriffen zu schützen. Zum anderen sind auch wir selbst im Alltag damit konfrontiert. Jeden Tag haben wir tausendfache Angriffe auf die Systeme. Wir haben ein Security Operations Center hier in Köln-Poll, in dem sich die Kollegen 365 Tage im Jahr, rund um die Uhr, um die Cybersicherheit kümmern. Wir geben jedes Jahr wirklich sehr, sehr viel Geld für das Thema aus.

Zu Ihrem eigenen Schutz?

Zu unserem eigenen Schutz. Heute müssen Unternehmen diese Verantwortung annehmen. Aus zwei Gründen: Wir wollen verhindern, dass Systeme nach einem erfolgreichen Angriff verschlüsselt werden und wir so nicht mehr auf unsere eigenen Anwendungen und Daten zugreifen können. Auch besteht immer die Gefahr, dass sensible Daten gestohlen werden – und Erpresser dann mit einer Veröffentlichung der Daten drohen. Das ist einem Wettbewerber von uns bereits passiert. Er hat dadurch signifikant Geschäft verloren. Und der zweite Grund: Wir möchten das Vertrauen unserer Kunden nicht aufs Spiel setzen. Sie vertrauen darauf, dass Daten gerade bei uns sicher sind. Vertrauen ist das, wofür Tüv Rheinland steht. Sicherheit ist für uns nicht nur ein Produkt, Sicherheit treibt uns an.

Wie schätzen Sie die Situation unabhängig von Ihrer Branche ein?

Der Tüv-Verband, dessen Präsident ich aktuell bin, hat hierzu gerade erst eine Studie gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik erstellt. Daraus geht klar hervor, dass die Zahl der Angriffe und insbesondere der erfolgreichen Angriffe auf Unternehmen in Deutschland signifikant angestiegen ist. Jedes sechste Unternehmen wurde in den vergangenen zwölf Monaten mindestens einmal Opfer eines erfolgreichen Cyberangriffs.

Welche Arten von Angriffen sind das?

Die Art der Angriffe hat sich verändert. Es gibt viel mehr zielgerichtete Phishing-Angriffe – also Angriffe, bei denen Empfänger von beispielsweise E-Mails getäuscht werden und so sensible Daten wie Passwörter preisgeben. Früher fielen den meisten solche Mails sofort als verdächtig auf. Heute gibt es personalisierte Mails, die mit Unterstützung von KI sehr viel cleverer gemacht sind. Unsere Studie zeigt aber auch, dass nur jedes zehnte Unternehmen KI zur Abwehr von Angriffen einsetzt.

Sind Unternehmen also nicht ausreichend aufgestellt, was Cyberangriffe angeht?

Ein Beispiel: Von den in der Studie befragten Unternehmen haben 91 Prozent gesagt: Ja, wir glauben, dass wir gut aufgestellt sind. Die Hälfte aber kannte die NIS-2-Richtlinie gar nicht. Das hat uns alarmiert.

Warum muss man NIS-2 kennen?

NIS-2 steht für die zweite „Network and Information Security“ Richtlinie der Europäischen Union. Die Richtlinie zielt darauf ab, die Cybersicherheit in der EU durch höhere Anforderungen an Unternehmen zu stärken. Davon sind 29.000 Unternehmen in Deutschland betroffen. Gerade im Mittelstand gibt es jedoch große Vorbehalte gegen höhere Sicherheitsausgaben.

Warum unterschätzen die Mittelständler das Thema Cybersecurity so sehr?

Ich denke, das ist häufig klassische Vogel-Strauß-Politik – nach dem Motto „Wenn ich den Kopf in den Sand stecke, wird mir schon nichts passieren“. Guter Schutz kostet halt auch Geld. Aber die Wahrscheinlichkeit, dass man angegriffen wird, ist leider hoch und wird von vielen unterschätzt. Besonders gefährdet sind Betriebe, die eng in Lieferketten mit anderen Unternehmen eingebunden sind, und das werden immer mehr.

Wer sind die Angreifer?

Laut unserer Studie ist das in mehr als 90 Prozent der Fälle nicht herauszubekommen. Wo es ermittelt wurde, kommen Angriffe häufig aus Russland, dem Iran oder Nordkorea. Datendiebstahl gibt es auch aus China und vielen anderen Ländern. Da es Bitcoin gibt, müssen Kriminelle sich zur Lösegeldübergabe auch nicht an der dunklen Bushaltestelle verabreden, sondern kommen im Fall der Fälle überall auf der Welt an ihr Geld.

Inwiefern ist das Thema Cybersecurity für Tüv Rheinland auch ein Geschäftsmodell?

Wir helfen Unternehmen, sich zu schützen, indem wir Cybersecurity-Dienstleistungen anbieten. Wir haben zum Beispiel eigene Penetrationtester, die Schwachstellen abklopfen. Das machen wir in sehr großem Umfang. Wir haben gut 250 Mitarbeitende auf der ganzen Welt, die im Bereich Cybersecurity tätig sind. Nicht nur in Deutschland, sondern zum Beispiel auch in China, Japan, den USA, Ungarn, Norwegen und Korea.

Welche Rolle spielt der Standort Köln im Konzern Tüv Rheinland?

Wir sind heute als Tüv Rheinland der internationalste Tüv, mit mehr als 50 Prozent unserer Mitarbeitenden im Ausland. Wir sind also in Köln daheim, aber in der Welt zu Hause. Köln ist mit 3500 Kolleginnen und Kollegen nach wie vor der größte Standort, nimmt man das Umland Kölns dazu, haben wir 5000 Mitarbeitende hier, von insgesamt 27.000. Zweitgrößter Standort mit 1400 Mitarbeiterinnen und Mitarbeitern ist heute Shanghai. Von Köln aus wird der Konzern zentral gesteuert und wir wachsen: Wir haben im vergangenen Jahr 100 neue Stellen im Großraum Köln geschaffen und suchen aktuell hier 400 weitere Mitarbeitende. Vor allem Ingenieurinnen und Ingenieure, aber auch viele andere Berufsbilder.

Wie wichtig ist eigentlich heute noch das klassische Kfz-Prüfgeschäft für Tüv Rheinland?

Das spielt nach wie vor eine Rolle, es ist aber weder das dominierende noch das am schnellsten wachsende Geschäftsfeld. Wir haben in Deutschland einen Marktanteil von rund zehn Prozent im Fahrzeugprüfgeschäft, unsere Wettbewerber liegen etwas darüber. Wir bieten Fahrzeugprüfungen aktuell außer in Deutschland auch in Chile, China, Frankreich, Lettland und Spanien an. Vergangenes Jahr haben wir außerdem gut 100 Fahrzeugprüfstellen in Schweden vom Staat übernommen. Im Übrigen: Auch bei neuen Fahrzeugen ist das Thema Cybersicherheit nicht mehr wegzudenken und beschäftigt uns im Bereich Homologation, also der Typzulassung von Fahrzeugen.

Gaffel übernimmt

Malzmühle stellt Produktion von Mühlen Kölsch ein

Von

Thorsten Breitkopf,

Jan Wördenweber und

Anna Friedrich

Merken

Wie beurteilen Sie das Ansinnen aus der Politik, ältere Autos jährlich, statt zweijährlich zu prüfen?

Welche konkreten Maßnahmen und Regularien für mehr Verkehrssicherheit sorgen sollen, müssen die Gesetzgeber auf europäischer sowie Länderebene entscheiden. Ganz grundsätzlich bin ich dafür, den Straßenverkehr sicherer zu gestalten und Unfallzahlen zu reduzieren. Wir wissen: Mit zunehmendem Alter eines Fahrzeugs steigen die Mängelquoten deutlich an. Eine häufigere technische Inspektion älterer Fahrzeuge kann daher einen Beitrag zu mehr Verkehrssicherheit leisten. Viele Länder in der EU sind deshalb schon bei einer jährlichen Prüfung. Mir ist wichtig, dass wir das Thema Verkehrssicherheit ganzheitlich denken: Hierzu gehören die allgemeine Verkehrsbildung, der Ausbau der Infrastruktur für Verkehrsteilnehmer wie Radfahrer und Fußgänger oder auch die Weiterentwicklung der Hauptuntersuchung von Fahrzeugen, damit beispielsweise automatisierte und vernetzte Fahrsysteme regelmäßig überprüft werden.

Zur Person

Michael Fübi ist seit 2015 Vorsitzender des Vorstands der Tüv Rheinland AG. Der promovierte Ingenieur wurde 1967 in Düsseldorf geboren. Er studierte zunächst Maschinenbau an der Universität Dortmund sowie der RWTH Aachen, bevor er nach seinem Diplomabschluss 1992 ein betriebswirtschaftliches Zusatzstudium in Aachen erfolgreich absolvierte. 1995 erfolgte die Promotion zum Dr.-Ing. am Forschungszentrum Jülich und der RWTH Aachen. Seit 2018 ist Dr.-Ing. Michael Fübi Präsident des TIC Councils, des neuen Weltverbands der Prüf-, Verifizierungs- und Zertifizierungsbranche. Ferner ist Fübi Mitglied des Präsidiums des Tüv-Verbands.