Kerstin Weinert spricht auf einer Bühne und erklärt Business Continuity Management vor einer Präsentationsfolie
10 min Lesezeit

„Cyberattacken sind das Damoklesschwert Nummer eins.“

 
Hackerangriffe, Stromausfälle, Lieferengpässe: Notfälle können viele Formen annehmen. Kerstin Weinert ist bei KSB für das Business Continuity Management zuständig. Im Interview erklärt sie, wie sie das Unternehmen auf Krisenszenarien vorbereiten – damit KSB in jeder Situation ein sicherer Arbeitsplatz und ein verlässlicher Partner ist.
Stream of Stories: KSB war 2022 Ziel einer Cyberattacke, die für das Unternehmen zu einem Schlüsselmoment wurde. Wie haben Sie diesen Vorfall erlebt?
Kerstin Weinert: Ich hatte über interne Chatgruppen erfahren, dass etwas im Busch ist. Die Attacke wurde durch unsere Sicherheitstools entdeckt, und schnell wurde klar, dass es sich um einen signifikanten Angriff handelt. Damals hatte ich den Eindruck, dass das sehr geordnet und ruhig ablief und der Betrieb strukturiert wieder anlief: KSB hat sich vom Internet getrennt, Passwörter wurden neu vergeben, Server wurden abgeschaltet und erst nach Prüfungen schrittweise wieder hochgefahren. Wir haben viele erfahrene und sorgfältige Mitarbeiter und hatten eine gute Anleitung durch eine externe IT-Forensik. Zum Glück hatten wir uns rechtzeitig vom Internet getrennt – daher konnte Schaden unbekannten Ausmaßes, z. B. eine Verschlüsselung, vermieden werden. Das hatte die Lage deutlich entschärft.
Welche Lehren hat KSB aus diesem Angriff gezogen?
Er hat vor Augen geführt, wie verletzbar wir als Unternehmen sind. Wir haben danach ein umfassendes Programm aufgelegt, um die Informationssicherheit zu stärken und um für die IT ein Business Continuity Management zu etablieren – also ein Managementsystem, das eine rasche Wiederherstellung des Normalbetriebs bei einem Notfall sicherstellt. Gleichzeitig entstand die Idee, auch für Krisensituationen ohne IT-Bezug wie Lieferkettenstörungen oder Naturkatastrophen ein entsprechendes Business Continuity Management aufzubauen. Dafür braucht man natürlich eine Projektleitung. Das Thema passt zu mir, da ich viele Jahre im Nuklear-Vertrieb und -Engineering gearbeitet habe – ein Hochsicherheitsumfeld, in dem man automatisch in Risiko- und Fehlerszenarien denkt. Es klang für mich so spannend, dass ich den Schritt ins Business Continuity Management gemacht habe.
Business Continuity Management – das klingt für viele Leser sicher erst einmal abstrakt: Was machen Sie konkret in Ihrer täglichen Arbeit?
Im Kern geht es darum, einen Business-Continuity-Plan zu erstellen, also einen Notfallplan, in dem drinsteht, wer im Ernstfall was und wie tun muss. Für uns ist Business Continuity Management aber mehr: Wir wollen das Ganze als Managementsystem aufziehen. Das bedeutet, ein Rahmenwerk bereitzustellen – also Abläufe, Rollen, Methodiken und Inhalte, um Wirksamkeit sicherzustellen und diese kontinuierlich zu verbessern. Bei KSB gibt es bereits etablierte, auditierte und auch zertifizierte Managementsysteme, die den Regeln der ISO folgen. Bekannte Teile dieses integrierten Managementsystems sind zum Beispiel die Managementsysteme für Qualität, Arbeitsschutz und Umwelt oder auch das zuletzt eingeführte Energiemanagement. Das Business Continuity Management und die Informationssicherheit wollen wir dort ebenfalls eingliedern, weil es organisatorisch und methodisch gut passt.

Die Business Continuity Managerin: Kerstin Weinert

Kerstin Weinert treibt bei KSB den Aufbau des Business Continuity Managements (BCM) voran – mit dem klaren Ziel, das Unternehmen auch in Ausnahmesituationen handlungsfähig zu halten. Zuvor war sie viele Jahre im Nuklear-Vertrieb und -Engineering tätig und bringt heute genau diese Erfahrung ein, wenn es darum geht, KSB widerstandsfähig gegenüber IT-Ausfällen, Naturereignissen oder Störungen in der Lieferkette zu machen. Wenn sie nicht gerade an der Zukunftssicherheit des Unternehmens arbeitet, findet man sie oft in der Küche, vertieft in einen Krimi – oder draußen bei den Pferden ihrer beiden Töchter.
Porträtfoto von Kerstin Weinert
Was sind die wichtigsten Szenarien, auf die Sie sich vorbereiten?
Cyberattacken sind de facto das Damoklesschwert Nummer eins. Als große Gefahr sehe ich aber auch Naturereignisse, die ganze Werke außer Betrieb setzen können. Im KSB-Werk in La Roche-Chalais in Frankreich hat 2022 zum Beispiel ein Hagelsturm in weiten Teilen des Werkes sehr große Schäden verursacht. Etwas Ähnliches hatten wir 2024 in den USA: Dort ist tatsächlich ein Hurrikan in einem Gebiet aufgetaucht, in dem noch nie einer aufgetreten ist. Selbst wenn solche Stürme ein Werk nicht massiv beschädigen, können sie doch Stromausfälle und andere elementare Schäden verursachen, die das öffentliche Leben lahmlegen. Dadurch kann dann auch das Werk nicht mehr produzieren. Es braucht aber nicht immer eine Naturkatastrophe: In Südafrika beispielsweise stellt der Versorger hin und wieder einfach den Strom ab. Auch Lieferketten sehe ich gerade im Moment sehr kritisch. Schließlich ist auch ein Ausfall der Mitarbeiter ein Szenario, auf das man sich vorbereiten muss. In Dubai hatten wir gerade die Situation, dass Angestellte aufgrund der Bedrohungslage während des Krieges gegen den Iran eher in sicheren Zonen bleiben sollten. Die Auswirkungen einer Pandemie kennen wir ebenfalls alle.
Wie weit sind Sie bei der Umsetzung?
Beim Rahmenwerk sind wir schon sehr weit. Jetzt geht es um Inhalte. Die erarbeiten wir zunächst mithilfe einer Business-Impact-Analyse. Dazu haben wir uns alle globalen Prozessketten vorgenommen und haben dann Interviews mit Mitarbeitern nach einem vorgegebenen Leitfaden durchgeführt. Wesentliche Fragen waren dabei beispielsweise: Gibt es IT-Systeme oder Anwendungen, die ihr dringend braucht, ohne die ihr nicht arbeiten könnt? Wie lange, glaubt ihr, könnt ihr ohne ein ERP-System arbeiten? Gibt es Personen, die so wichtig sind, dass der gesamte Prozess stehen bleibt, wenn sie morgens nicht zur Arbeit kommen? So haben wir für die wesentlichen Prozessketten ein erstes Gesamtbild gewonnen – als Grundlage, um jetzt gezielt Absicherungen zu definieren und „Plan B“-Szenarien aufzubauen.
Durch Hagel beschädigte Lagerhalle in La Roche-Chalais mit Löchern in der Decke, Wasser auf dem Boden und verstreuten Trümmern

Eine durch Hagel beschädigte Lagerhalle von KSB in La Roche-Chalais: Löcher in der Decke, Wasser auf dem Boden und verstreute Trümmer prägen das Bild.

Wie stellen Sie sicher, dass der Business-Continuity-Plan nicht einfach zu einem Dokument wird, das im Schrank verstaubt?  
Die Implementierung als Managementsystem stellt sicher, dass es regelmäßig Reviews und Audits gibt, die den Plan auf dem neuesten Stand halten. Zudem müssen wir regelmäßig üben. Nach der Cyberattacke haben wir damit begonnen, zunächst IT-Notfälle zu trainieren: Dafür haben wir ein Notfallteam benannt, die Beteiligten zu Übungen eingeladen und sie mit realitätsnahen Szenarien konfrontiert, zum Beispiel, dass verschiedene Auffälligkeiten in den Systemen auftreten. Und dann haben wir von außen beobachtet, wie sie mit der Lage und den Informationen umgehen. Tun sie die Schritte, die wir vorher festgelegt haben? Rufen sie die Kollegen an, die sie anrufen sollten? Die anfänglichen Reaktionen waren sehr unterschiedlich, in jedem Fall steigt selbst in Übungssituationen der Adrenalinspiegel – aber genau dieser Stress ist gewollt, weil die Realität ebenfalls Stress erzeugt. Und mit jeder Übung waren die Teilnehmer gelassener. Je mehr man übt, umso mehr wächst das Vertrauen, dass man in solchen Situationen richtig reagiert. Also üben, üben, üben!
Werden Sie das Business Continuity Management auch weltweit einführen?
Wir starten zwar zentral in Deutschland, aber das Ziel ist natürlich, Business Continuity Management weltweit, insbesondere in den produzierenden Gesellschaften, einzuführen. Dabei muss ich aber betonen, dass es im Konzern bereits Gesellschaften gibt, die schon sehr viel Vorsorge betreiben. In Ländern, in denen Strom oder Lieferanten häufiger ausfallen, bereitet man sich natürlich schon lange auf Notfälle vor. Unsere Gesellschaft in Südafrika hat zum Beispiel Notstromaggregate, Wasser, Bevorratung und redundante Einrichtungen vorsorglich verfügbar. Genau daran wollen wir andocken: voneinander lernen, Lösungen teilen und Doppelarbeit vermeiden. Unsere Aufgabe ist deshalb auch, diese Gesellschaften stärker zu vernetzen und eine Austauschplattform aufzubauen, damit Best Practices schnell verfügbar sind.
Business Continuity Management bringt keinen Umsatz. Ist es daher manchmal schwierig, dafür im Management die nötige Aufmerksamkeit zu bekommen?
Das Management ist an Bord, denn die Sicherheit und Widerstandsfähigkeit des Unternehmens ist bei uns schon lange ein Führungsthema. Schließlich rückt die Verlässlichkeit von Lieferketten auch bei unseren Kunden immer mehr in den Fokus. Business Continuity Management ist da zumindest indirekt wertschöpfend, weil es Kundenvertrauen und Kundenbindung stärkt. Zudem haben wir Regularien zu erfüllen, wie zum Beispiel die NIS-2-Richtlinie, die Unternehmen ab einer bestimmten Größe verpflichtet, verbindliche Vorgaben zur Cybersicherheit umzusetzen. Im Kern geht es bei den Aufwänden für Business Continuity Management um eine Kosten-Nutzen-Entscheidung: Welche Risiken sind wir bereit zu tragen, welche nicht – und was kostet es, Risiken zu reduzieren? Dafür müssen Risiken und Kosten transparent auf dem Tisch liegen. Durch die Methodiken des Business Continuity Managements machen wir das nachvollziehbar.
Beschäftigt Sie das Thema Risiko auch privat – sind Sie inzwischen zum „Prepper“ geworden, der zu Hause Notfallvorsorge betreibt?
Tatsächlich haben wir begonnen, auch zu Hause bewusster eine Notfallvorsorge aufzubauen. Die Nutzung von Photovoltaik und Erdwärme macht uns schon sehr unabhängig. Zudem sind wir aber dabei, auch Vorräte für zwei oder drei Wochen in den Keller zu stellen. Taschenlampen haben wir inzwischen zusätzlich nachgerüstet. Vielleicht bohren wir auch einen Brunnen im Garten. Man weiß ja nie!

Das könnte Sie auch interessieren