Information Security beim Chemiekonzern

Lanxess verschickte Phishing-E-Mail an eigene Mitarbeiter

28.08.2020 von Uwe Küll
Der Chemiekonzern Lanxess forcierte seine Security-Strategie. Um die Belegschaft zu involvieren, nutzten die Verantwortlichen Phishing-Mails, eine Videobotschaft des CEOs und verpflichtendes E-Learning für ihre Kampagne.
Beim Lanxess stehen die Mitarbeiter im Zentrum der Sicherheitsstrategie.
Foto: Lanxess Deutschland GmbH

Andere Industrien sind schon vorangegangen, seit ein paar Jahren investiert nun auch die Chemiebranche massiv in die Digitalisierung ihrer Produktion. Der Spezialchemiekonzern Lanxess hat seine Digitalisierungsinitiative vor drei Jahren gestartet. Schnell wurde klar: Damit entsteht auch eine neue Angriffsfläche, der der Konzern begegnen muss. Wie Lanxess diesen Weg gegangen ist, zeigt die Bewerbung zum DIGITAL LEADER AWARD 2020, die am Ende den Sonderpreis "CYBERSECURITY" einbrachte.

Um das Sicherheitsniveau zu erhöhen, orientierte sich das Kölner Unternehmen beim Thema Informationssicherheit an Standards wie TISAX für die Automobil-Branche, in der Lanxess als Zulieferer tätig ist, dem NIST Cyber Security Framework für die amerikanischen Standorte und dem Gesetz zum Schutz von Geschäftsgeheimnissen. Außerdem diente die ISO 27001 als Richtschnur, obwohl Lanxess nicht unter das IT-Sicherheitsgesetz fällt.

Mitarbeiter: vom Risiko- zum Schutzfaktor

Cyberkriminelle haben grundsätzlich immer zwei Möglichkeiten an ihr Ziel zu kommen - über die Systeme oder über die Menschen, die sie bedienen. Und die Erfahrung zeigt: Der Mensch stellt das schwächste Glied in der Kette dar. Im Fokus der Sicherheitsanstrengungen stand deshalb, die Awareness aller Mitarbeiter des Konzerns zu gewinnen. Chief Information Security Officer Florian Jörgens erklärt dazu: "Es ist nicht möglich, Angreifer immer draußen zu halten.

Die Top CIOs der Chemie- und Pharma-Branche
Markus Schümmelfeder
Seit April 2018 ist Markus Schümmelfeder neuer CIO des Pharmakonzerns Boehringer Ingelheim in Ingelheim am Rhein. Er war zuvor Corporate Vice President IT im Unternehmen. Schümmelfeder berichtet an seinen Vorgänger im CIO-Amt, den CFO Michael Schmelmer.
Martin Richtberg
Seit 1. Januar 2022 bekleidet Martin Richtberg die Position des Senior Vice President Information Technology, CIO und CDO von Wacker Chemie. Zuletzt war er dort Leiter des globalen Project-Engineering.
Annette Hamann
Annette Hamann ist seit 2020 CIO bei der Hamburger Beiersdorf AG. Ihre Vorgängerin Barbara Saunier ist im Ruhestand.
Michael Nilles
Henkel hat Michael Nilles am 1. Oktober 2019 zum Chief Digital & Information Officer (CDIO) ernannt. Er berichtet direkt an Carsten Knobel, CEO von Henkel. In seiner Position ist Nilles für die Bereiche Digital, IT, Geschäftsprozessmanagement und Corporate Venture Capital verantwortlich.
Abel Archundia-Pineda
Abel Archundia-Pineda ist seit Mai 2017 Head of IT Business Partnering Pharmaceuticals bei Bayer im Geschäftsbereich Pharma bei Bayer. Zuvor war er Head of IT for Novartis Technical Operations and Global CIO der Sandoz Division, Novartis AG.
Michael Jud
Michael Jud ist seit April 2017 Leiter IT beim Pharmahersteller InfectoPharm Arzneimittel und Consilium GmbH in Heppenheim im südlichen Hessen. Jud kommt vom Anlagenbauer Schenck Process in Darmstadt. Er berichtet bei seinem Arbeitgeber an den kaufmännischen Geschäftsführer. Neben dem Fokus-Thema IT-Sicherheit baut der gelernte Diplom Ingenieur SAP weiter aus und unterstützt das internationale Wachstum von InfectoPharm.
Alessandro de Luca
Alessandro de Luca war bisher Interims-Group CIO beim Pharmakonzern Merck. Der Konzern hat sich entschieden, de Luca dauerhaft in dieser Position zu beschäftigen.
Hermann Schuster
Seit 1. September 2021 ist Hermann Schuster Head of Information Technology bei der Lanxess AG. Er folgt auf Kai Finke. In seiner neuen Position will Schuster im Chemiekonzern ein Konzept für den Modern Workplace umsetzen und sich auf Cybersicherheit konzentrieren. Daneben steht der Rollout eines SAP S/4 Hana-Templates auf seiner Agenda. Schuster berichtet an den Lanxess-Finanzvorstand Michael Pontzen.
Bijoy Sagar
Bijoy Sagar ist ab Juni 2020 neuer Leiter IT und Digitale Transformation der Bayer AG. Er löst den bisherigen CIO und CEO der IT-Tochter Bayer Business Services (BBS) ab, der seine Konzernkarriere beendet. Die BBS wird aufgelöst. Sagar soll die Digitalisierung des Pharmakonzerns vorantreiben und die begonnene Neuaufstellung der IT ans Ziel führen. Er berichtet an den Finanzvorstand Wolfgang Nickl.
Martin Wiedenmann
Martin Wiedenmann ist seit Februar 2019 Head of Global IT/CIO der Atotech Group, einem weltweit agierenden Marktführer für Spezialchemie. Zuvor war er war seit Juli 2016 CIO bei Ledvance in München.
Andreas Becker
Andreas Becker ist seit April 2017 Vice President Information Technology/CIO beim Pharmakonzern Daiichi-Sankyo Europe in München. Im Oktober 2014 kam der Diplom-Kaufmann mit Schwerpunkt Wirtschaftsinformatik & EDV als Head of IT Strategy & Service Delivery ins Unternehmen.
Sandeep Sen
Sandeep Sen ist CIO der Linde Group. In dieser Funktion hat er Büros in Singapur und München. Weltweit führt Sen rund 1.100 Mitarbeiter. Er kam 1993 zu Linde Indien (vormals BOC India). Zuvor war er in der IT auf dem Finance-Sektor tätig. Dabei arbeitete er sowohl in Indien als auch in Großbritannien.
Peter Buchmüller
Seit Mitte Juni 2017 ist Peter Buchmüller IT-Leiter der Aenova Group, einem pharmazeutischen Auftragshersteller mit Sitz in Starnberg bei München. Der genaue Titel lautet: Senior Vice President Corporate IT Aenova Group. Buchmüller wechselte von der Molkerei Meggle in Wasserburg, wo er zuvor als Leiter IT tätig war.
Berthold Kröger
Berthold Kröger hat im Juli 2015 die IT-Verantwortung bei der K+S AG in Kassel übernommen. Der neue Leiter Corporate IT berichtet an den Vorstand Thomas Nöcker. Der promovierte Informatiker hat sein Studium an der Universität-Gesamthochschule Paderborn absolviert. Er arbeitete danach mehr als drei Jahre im Forschungs- und Technologiezentrum der Deutschen Telekom und war später in verschiedenen Positionen bei der Hochtief AG und der Hochtief Solutions AG in Essen beschäftigt.
Alexander Bode
Im Juli 2014 hat Alexander Bode den CIO-Posten beim Farbenhersteller DAW SE angetreten. DAW (Deutsche Amphibolin-Werke) ist vor allem bekannt durch Farbenmarken wie Caparol und Alpina. Bode kommt vom Pharmahändler Celesio, wo er seit 2013 als Global Head of IT Governance tätig war. Davor arbeitete der Wirtschaftsinformatiker viele Jahre bei der Freudenberg-Gruppe, wo er auch seine berufliche Laufbahn 2002 begann. Zuletzt verantwortete er dort von 2008 bis 2013 als Director ERP Europe das SAP Competence Center von Freudenberg Sealing Technologies.
Torsten Müller
Seit November 2018 ist Torsten Müller Head of Information Technology (CIO) beim Pharma- und Laborzulieferer Sartorius AG mit Sitz in Göttingen. Zuvor war er Chief Digital Officer und Chief Information Officer sowie Mitglied der Geschäftsleitung der Versicherung Helvetia Deutschland in Frankfurt.
Stephan Heinelt
Stephan Heinelt ist seit September 2018 Group CIO beim Spezialchemiekonzern Altana AG mit Sitz in Wesel. Der Diplom-Wirtschaftsinformatiker Heinelt war zuletzt Leiter Service Management Global IT Services bei der Evonik Industries AG in Essen.
Martin Kinnegim
Martijn Kinnegim ist seit März 2019 CIO der STADA Arzneimittel AG mit Sitz im hessischen Bad Vilbel. Kinnegim arbeitete zuvor bei Jacobs Douwe Egberts (JDE). Dort war er als Global CIO tätig und leitete die Integration der Gesellschaften DE Masterblender 1753 und Mondelez International in den weltweit führenden Kaffeekonzern.
Walter Grüner
Walter Grüner ist seit Mai 2019 Head of Information Technology beim Chemie-Unternehmen Covestro in Leverkusen. Zuvor war Grüner seit 2013 als Group CIO bei der KION Group AG tätig, einem Anbieter von Gabelstapler und Lagertechnik.
Tobias Günthör
Der Pharmakonzern Stada hat mit Tobias Günthör seit Anfang April einen neuen IT-Chef. Der Titel des 53-Jährigen lautet CIO/Senior Vice President IT at Stada Group.
Carsten Priebs
Zum 01.01.2024 wurde Carsten Priebs zum Digitalchef der Biesterfeld AG berufen.

Aber gut informierte Mitarbeiter auf allen Ebenen, die Auffälligkeiten melden und skeptisch gegenüber verdächtigen E-Mails sind, erhöhen die Wahrscheinlichkeit, Angriffe frühzeitig zu erkennen." Um die mehr als 14.000 Mitarbeiter weltweit zu erreichen, arbeitete die Abteilung Corporate Security eng mit der Digitalisierungsabteilung dLX zusammen. Darüber hinaus waren die Bereiche IT als Bereitsteller der Infrastruktur und COM für die interne Kommunikation von Anfang an involviert - wie auch CEO Matthias Zachert. Betriebsrat, Datenschutz und Personalabteilung waren ebenfalls mit im Boot.

Der Start der Sicherheitskampagne verlief dennoch zunächst unbemerkt - genau wie eine echte Phishing-Attacke: Die Mitarbeiterinnen und Mitarbeiter erhielten eine E-Mail, die angeblich vom "Mobil Development Team" stammte und Teilnehmer für einen Test von Apple-Produkten im Unternehmen gewinnen sollte. Wer mitmache, dürfe das getestete Gerät anschließend behalten, lautete das Versprechen.

Beim Klick auf den in der E-Mail hinterlegten Link wurde das Opfer dann aufgefordert, seine Windows-Daten einzugeben. Wer der Anweisung folgte, bekam eine ebenso verständnisvolle wie eindringliche Video-Botschaft von CEO Matthias Zachert persönlich angezeigt: "Das hätte mir auch passieren können ... daher ist Informationssicherheit wichtiger denn je", lautete die Ansage.

Die Reaktionen übertrafen die Erwartungen. Die E-Mail und das Thema Informationssicherheit waren in aller Munde. Entsprechend groß war das Interesse der Belegschaft, als im nächsten Schritt alle deutschen Mitarbeiter in Veranstaltungen vor Ort geschult wurden. Die Trainings vermittelten Regeln und Richtlinien, zeigten aber auch Live-Hacking. Ein Video schilderte die Arbeitsweise von Industrie-Spionen. Vorfälle in der Vergangenheit wurden ebenso offen angesprochen wie aktuelle Bedrohungsszenarien durch Phishing oder Social Engineering.

Die Sprache der Belegschaft sprechen

Beim weltweiten Roll-Out der Sicherheitsstrategie setzte Lanxess auf verpflichtendes E-Learning. In Zusammenarbeit mit der Abteilung für Digitalisierung entwickelte die Corporate Security Web-basierte Trainings mit kurzen Video-Sequenzen, Audio-Files und interaktiven Elementen. Damit auch wirklich alle Mitarbeiter die Inhalte verstehen, wurden die eingesetzten Materialien in die jeweilige Landessprache übersetzt.

Florian Jörgens ist Chief Information Security Officer bei Lanxess Deutschland: "Es ist nicht möglich, Angreifer immer draußen zu halten. Aber gut informierte Mitarbeiter auf allen Ebenen, die Auffälligkeiten melden und skeptisch gegenüber verdächtigen E-Mails sind, erhöhen die Wahrscheinlichkeit, Angriffe frühzeitig zu erkennen."
Foto: Lanxess

Darüber hinaus sorgten attraktive Incentives für eine rege Beteiligung der Belegschaft: Am Ende des E-Learning konnten Mitarbeiter ihre Zertifikate einsenden und an einer Verlosung von Amazon-Gutscheinen teilnehmen. Darüber hinaus erhielten sie Webcam-Abdeckungen mit dem Cyber-Security-Logo. Dieses Give-away kommt sehr gut an und ziert inzwischen fast jedes Notebook im Unternehmen.

Zusätzlichen Schub erhielt das E-Learning-Programm durch den inoffiziellen Wettbewerb der Geschäftsbereiche um die höchste Teilnehmerquote. Deren Publikation in einer Rangliste im Internet trug mit dazu bei, dass am Ende die angepeilte Marke von 70 Prozent deutlich übertroffen wurde. Unternehmensweit haben 81 Prozent der Mitarbeiterinnen und Mitarbeiter die digitalen Schulungen besucht - und mit jeder Neueinstellung steigt die Quote. Denn die Sicherheitszertifizierung gehört zum Pflichtprogramm in der Einarbeitungsphase an jedem Arbeitsplatz. Dahinter, so Florian Jörgens, steht eine zentrale Erkenntnis der Unternehmensführung: "Unsere Mitarbeiter sind neben der richtigen Technologie und klaren Prozessen der wichtigste Schutz gegen Angreifer."

Lanxess
Die Lanxess AG wurde 2004 als Carve-Out von Bayer gegründet und ist ein Spezialchemiekonzern mit Hauptsitz in Köln. Mit 58 Produktionsstandorten und etwa 14.300 Mitarbeitern in 33 Ländern liegen die Kernkompetenzen in der Produktion, der Entwicklung und dem Vertrieb von chemischen Zwischenprodukten, Additiven, Spezial-Chemikalien und Kunststoffen. Damit erwitschaftete Lanxess 2019 einen Jahresumsatz von 6,8 Milliarden Euro.