Interview mit Jean Kolarow stellv. Leiter der Unternehmenssicherheit bei den Berliner Wasserbetrieben


Jean Kolarow

Jean Kolarow ist stellv. Leiter der Unternehmenssicherheit bei den Berliner Wasserbetrieben, dem größten städtischen Wasserversorgungsunternehmens Deutschlands. Im Unternehmen verantwortet er Themenfelder wie Informationssicherheit, Krisenmanagement- und Katastrophenvorsorge. Auf der Command Control nimmt er am 21. September am Panel Awareness Success-Stories teil. Wir haben mit ihm über das Panel und die Security-Herausforderungen für Betreiber Kritischer Infrastrukturen gesprochen.

Die Berliner Wasserbetriebe gehören zu den Betreibern von Kritischer Infrastruktur. Was sind die besonderen Security-Herausforderungen für Betreiber Kritischer Infrastrukturen?

Kolarow: Als Unternehmen der Daseinsvorsorge mit einer Verantwortung für über 3,7 Millionen Menschen in und um Berlin sind wir besonders auf diejenigen Bedrohungen fokussiert, die unsere Kernprozesse betreffen. Das können insbesondere Cyberangriffe, Naturereignisse oder auch große Szenarien wie Terroranschläge oder ein Blackout sein – der Risikohorizont ist vielfältig. Herausforderungen sehe ich aber auch in der Zusammenarbeit mit anderen KRITIS-Betreibern oder Behörden, um sich abzustimmen und eine höchstmögliche Resilienz nicht nur als Wasserversorger, sondern im Verbund mit anderen zu erreichen.

Wie sollten sich die Sicherheitsvorkehrungen von Betreibern Kritischer Infrastrukturen von denen „normaler“ Unternehmen unterscheiden? Welche Rolle spielen dabei die Mitarbeiter und das Thema Awareness?

Kolarow: KRITIS-Unternehmen haben einen gesellschaftlichen Auftrag, d. h. sie stellen elementare Güter zur Verfügung, um unsere Gesellschaft funktionsfähig zu erhalten. Die KRITIS-Definition ist da eindeutig. Um bei diesen Lieferketten möglichst geringe Ausfallzeiten sicherzustellen, sollte man aus der Sicherheitsperspektive sowohl präventive als auch reaktive Maßnahmen analysieren und sinnvoll implementieren. Ich persönlich sehe den Unterschied in der Gewichtung auf die reaktiven Maßnahmen, bspw. mit der Einführung eines leistungsfähigen Business Continuity Managements. KRITIS-Unternehmen sollten ihre reaktiven Kapazitäten permanent auf einem hohen Niveau halten können, um ihren Auftrag auch in Notfall- oder Krisenlagen erfüllen zu können. Es handelt sich ja wie bereits erwähnt um Prozesse, die das Funktionieren unserer Gesellschaft, im Falle von Wasser auch Menschenleben, erhalten und nicht um Engpässe beliebiger oder verzichtbarer Konsumgüter. Diese Haltung ist sicherlich Einstellungssache, vielleicht sogar Philosophie – aber ich bin Anhänger von Murphy´s Gesetz: „Alles was schiefgehen kann, wird auch schiefgehen“ und jeder KRITIS-Betreiber muss darauf vorbereitet sein.

Was die Rolle der Beschäftigten betrifft, sehe ich wenig Unterschiede zu anderen Unternehmen, die den Wert von Security Awareness für sich erkannt haben. Die Beschäftigten sind ein entscheidender Baustein, ohne den die besten Sicherheitsvorkehrungen ins Leere liefen. Eine nachhaltige Sicherheitskultur funktioniert nur, wenn alle auf diesem Weg mitgenommen werden.

Sie nehmen auf der Command Control am Panel: Awareness Success-Stories teil. Können Sie schon mal einen kleinen Vorgeschmack darauf geben, was die Berliner Wasserbetriebe hinsichtlich Awareness machen und warum das erfolgreich ist?

Kolarow: Wir verfügen über eine sehr heterogene Beschäftigtenstruktur und müssen deshalb diverse Medienkanäle bespielen. Ich werde darstellen, warum das so ist, welche Rolle wir als Stabsbereich dabei spielen und warum ich Vermittlungstechniken für erforderlich und gewinnbringend halte, mit denen man auf der persönlichen Ebene kommunizieren kann. Letzteres war und ist für uns als noch junger Stabsbereich von wesentlicher Bedeutung im Gesamtkontext Sicherheit für unser Unternehmen.

Kann Cybersecurity Ihrer Meinung nach auch ein Wachstumshebel für Unternehmen sein?

Kolarow: Unbestritten ja. Sicherheitsvorfälle im Bereich Informationssicherheit können Unternehmen, ganz egal ob Start-Up oder multinationaler Konzern, nachhaltig schädigen oder gar zerstören. Unsere Wirtschaft basiert stark zunehmend auf IT – und das Ende der Möglichkeiten ist definitiv noch nicht erreicht. Den eigenen Technologievorsprung auszubauen und zu erhalten, bedeutet gleichzeitig den Ausbau und die Weiterentwicklung von Sicherheit. Das erkennen langsam auch diejenigen, die mit Buzzwords wie Industrie 4.0, Smart City oder KI anfangs begeistert um sich geworfen haben. Den Slogan Security by Design zu verinnerlichen und nicht als Wachstumshemmer, sondern wachstumssichernde Maxime zu begreifen, wird jedoch noch geraume Zeit in Anspruch nehmen, denke ich.

Die Command Control adressiert in erster Linie Entscheider wie Geschäftsführer, CEOs, CIOs, CISOs, Sicherheitsbeauftragte etc. Warum sollten sich Entscheider mit dem Thema beschäftigen?

Kolarow: Entscheider tragen per se eine hohe Verantwortung für alle Assets und Menschen in ihrem Unternehmen. Zugleich müssen sie Vorbilder und Multiplikatoren für ihre Führungskräfte sein. Ihnen muss klar sein, dass in der heutigen Welt nicht nur reine Wirtschafts-, sondern auch Security-Aspekte darüber bestimmen, ob das eigene Unternehmen wächst oder vom Markt verschwindet. Sie müssen Sicherheit als selbstverständlichen Bestandteil ihrer Managementaufgaben betrachten, der einen werterhaltenden Beitrag für die gesamte Organisation leistet. Security Awareness ist dabei als immanenter Bestandteil eines ganzheitlichen Sicherheitsgedankens zu betrachten. Sie ist keine lästige Pflichtveranstaltung, sondern ein Instrument der Mitarbeiterentwicklung, das die Organisation als Ganzes zu sicherheitsgerechtem Verhalten befähigt.

Warum freuen Sie sich auf die Command Control?

Kolarow: Ich freue mich natürlich auf die angekündigten Speaker und den Austausch mit Fachleuten über die neusten Cybersecurity-Entwicklungen. Außerdem war ich während meiner Bundeswehrzeit an mehreren Standorten im tiefsten Süden stationiert und kenne daher München als Anlaufpunkt an den freien Wochenenden. Ich freue mich deshalb auf das Wiedersehen mit einer Stadt, an die ich nur gute Erinnerungen habe.