Sie sorgt dafür, dass Hacker gegen Siemens Energy keine Chance haben. Judith Wunschik, Chief Cyber Security Officer des Konzerns, blickt ganzheitlich auf das Thema digitale Sicherheit. Wie man ein bisher männerdominiertes und vor allem durch die IT-Brille betrachtetes Berufsfeld mit vielfältigen Teams agil managen und für Frauen öffnen kann, erklärt die promovierte Physikerin in diesem Interview.
Frau Dr. Wunschik, Sie sind seit 25 Jahren in der IT unterwegs, davon lange Zeit als Cyber Security Managerin. Wie sah Ihr Berufsfeld früher aus?
Bis etwa 2015 war Cyber Security ein rein IT-technisches Thema. Es gab Firewalls und Prozesse, um den Zugang zu digitalen Ressourcen zu sichern. Aber dahinter stand dieses Bild: Wir haben eine Burg, die wir mit technischen Maßnahmen schützen. Wenn Sie so wollen, war das der Wassergraben.
Und wie hat es sich weiterentwickelt?
Heute müssen Sie alle digitalen Komponenten und Kommunikationswege absichern, Ihre eigenen, die Ihrer Zulieferer und die Ihrer Beschäftigten. Sie müssen Verträge und Compliance-Vorgaben entsprechend gestalten, Standardisierung und Zertifizierung sicherstellen und die Menschen schulen. Das bedeutet, Cyber Security lebt im Kern natürlich immer noch von einer automatisierten IT. Hierfür brauchen Sie am Ende auch immer noch die Techies, von denen ich ja selbst eine bin. Aber sie öffnet sich in viele andere Felder und ist sehr interdisziplinär und viel diverser geworden. Um ihren Kern herum entstehen viele neue Funktionen. Cyber Security ist heute mehr als Technik.
„Cyber Security öffnet sich in viele andere Felder und ist sehr interdisziplinär und viel diverser geworden.“
Ist dieses Mindset auch im klassischen Maschinenbau-Umfeld bei Siemens Energy angekommen?
Als ich dort 2019 gestartet bin, bereitete sich die heutige Siemens Energy auf ihre Unabhängigkeit von Siemens vor, und es war klar, dass das Thema entsprechend aufgebaut werden musste. Das war nicht nur spannend, sondern auch eine Chance. Für mich hat sich dort ein neues und viel größeres Spielfeld geöffnet als im Finanzsektor, in dem ich lange Jahre tätig war. Und dieses Spielfeld baue ich aus.
Vor welchen Herausforderungen stehen Sie dabei?
Siemens Energy ist ein Maschinenbaukonzern, der ein Umfeld mit einer großen digitalen Infrastruktur hat, die sich über 92 Länder verteilt mit vielen unterschiedlichen rechtlichen Rahmenbedingungen. Wir verkaufen Lösungen für die Übertragung, Erzeugung und Speicherung von Strom. Daher bin ich nicht nur für die Sicherheit der IT-Infrastruktur verantwortlich, sondern für die Sicherheit aller digitalen Lösungen, die wir anbieten, für die digitalen Komponenten in den Produkten und auch für die Farbriken, in denen immer mehr mit dem Internet verbundene IoT-Infrastrukturen und Automatisierungssysteme geschützt werden müssen.
Worauf kommt es an, wenn man eine zeitgemäße Cyber Security aufbauen will für einen Maschinenbau-Konzern, der sich in einem digitalisierten Ökosystem bewegt?
Das ist eine spannende Frage. Ich würde sagen, es gibt eine technologische Komponente, eine Prozesskomponente und eine menschliche Komponente. Als ich kam, hatte ich zwanzig Mitarbeitende, die ungefähr 60.000 Beschäftigte rund um den Globus beraten und betreut haben. Alles andere hatten wir zugekauft. Es war schnell klar, dass die technischen Services nicht state of the art waren. Also habe ich erst einmal die Verteidigung neu aufgebaut, ein Security Operations Center, das automatisiert Angriffe auf das Netzwerk — Malware, Hacker, Viren, Würmer, Trojaner, Denial-of-Service — erkennt und abwehrt.
„Man muss die richtigen Menschen mit neuen Profilen und Kompetenzen finden.“
Das ist die technische Komponente.
Daneben spielt auch die Governance eine wichtige Rolle. Man braucht eine starke Governance, die Regeln vorgibt und Standards setzt. Und zum anderen muss man die richtigen Menschen mit neuen Profilen und Kompetenzen finden. In den ersten beiden Jahren habe ich unheimlich viele Leute eingestellt. In der Zentralfunktion arbeiten jetzt 150 Kolleginnen und Kollegen und in den Business-Einheiten kommen noch einmal rund 300 dazu.
Nach welchen Profilen und Kompetenzen haben Sie gesucht?
Ich brauche weiterhin auch die klassischen Cybersicherheits-Ingenieure, die sich mit dem Incident-Monitoring oder Penetration-Testing für klassische Software auskennen. Aber ich brauche auch Mitarbeitende, die das gesamte Sicherheitssystem orchestrieren und interne Prozesse organisieren. Zum Beispiel Kommunikatorinnen und Kommunikatoren, die die Veränderungen durch die digitale Transformation erklären, oder Juristinnen und Juristen im Umfeld der Lieferketten-Sicherheit. Ich habe auch ein Team von „Learning Specialists“ zusammengestellt, die wissen, wie Menschen lernen. Und ich habe einen Agile Coach engagiert.
„Ich schaue aus einer ganzheitlichen Perspektive auf unsere Aufgaben.“
Welche agilen Prinzipien sind Ihnen wichtig?
Ich schaue aus einer ganzheitlichen Perspektive auf unsere Aufgaben. Es war lange Zeit nicht selbstverständlich, dass es aus Unternehmenssicht sinnvoll ist, zum Beispiel einen Vorfall bei uns, beim Kunden oder beim Produkt holistisch zu betrachten. Auch Transparenz ist sehr wichtig. Wir legen zum Beispiel alle Hindernisse offen, auf die wir in unseren Projekten stoßen. Das widerspricht natürlich unseren klassischen Konzernstrukturen, die ja auch gerne als sehr hierarchisch kolportiert werden. Denn Information ist immer auch Macht. Dies entspricht nicht unbedingt den klassischen Hierarchiestrukturen, aber mein Team ist zu klein, um Informationsdörfer zu bilden. Wir haben inzwischen auch andere Entscheidungsprozesse etabliert. Meine Product Owner entscheiden weitgehend selbst darüber, wie das Projekt weitergeht. Sie entwickeln das Produkt und stehen dafür ein.
Öffnet sich mit dem Wandel, den Sie beschreiben, das Feld auch für Frauen?
Es öffnet sich. Bisher war der Hardcore-Techie männlich. Das ist tatsächlich so. Frauen sind von Anfang an spezifisch interessierter am Thema und kommen über Disziplinen wie Jura, IT-Verkauf, Marketing, Projektmanagement rein, in der Regel nicht als Programmiererinnen. Damit bringen sie viele Kompetenzen mit, die wir brauchen. Ich habe momentan einen Frauenanteil von einem Drittel. Das ist schon ein ganz stolzer Wert. Aber man muss dranbleiben.
„Sie müssen das System anpassen, nicht die Bewerberinnen und Bewerber.“
Wo sehen Sie einen Hebel, um den Frauenanteil zu erhöhen?
Sie müssen die Einstellungsprozesse ändern. Ich habe erlebt, dass altgediente Führungskräfte bei einer Stellenausschreibung mit fünf männlichen Profilen zurückkamen — alle natürlich für den Job geeignet, aber alle im gleichen Alter und mit der gleichen Expertise. Verheiratete Frauen zum Beispiel, die sich beworben hatten, wurden einfach nicht gesehen. Ich habe festgestellt, dass sich sehr qualifizierte Frauen bewerben, die unser Personaldienstleister aber aufgrund von Schlagwortsuchen aussortiert. Mit anderen Verfahren kann man dem Ganzen den Bias entziehen, zum Beispiel mit gemischten Interviewpanels. Es funktioniert, aber nur mit einem erheblichen Aufwand. Aber Sie müssen das System anpassen, nicht die Bewerberinnen und Bewerber.
Sie haben es geschafft, in einem männlich dominierten Umfeld Ihren Weg zu gehen. Was raten Sie Frauen, die Karriere machen wollen?
Ich rate meinen Mentees — Männern wie Frauen —, nicht nur ihre eigenen Kernkompetenzen zu analysieren, sondern auch den Einfluss ihres privaten Umfelds. Ich selbst habe lange Zeit damit gekämpft, dass ich beruflich ohne Ende performt habe und Familie und Freunde immer gefragt haben: „Warum machst du das eigentlich? Dein Mann verdient doch auch gut. Du könntest doch bei den Kindern daheimbleiben.“ Das ist zermürbend. Dann ist mir das Thema Teilzeit sehr wichtig. Ich war sehr lange in der klassischen Teilzeitfalle. Nach dem ersten Kind habe ich selbst in Führungspositionen nur zwischen 25 und 32 Stunden gearbeitet, weil das Management mich ausgebremst hat. Das ist ein freiwilliger Gehaltsverzicht. Deshalb sage ich vor allem jungen Frauen: „Achtet darauf, dass ihr mit Teilzeit nicht von der Talentliste verschwindet.“
„Cybersicherheit ist zu einem geopolitischen Thema geworden. Sie hört nicht an der Grenze auf.“
Sie sagten eingangs: Cyber Security ist mehr als Technik. Ist sie heute eher ein Dienstleistungspaket?
Sie ist eine Dienstleistung für die Menschen im Unternehmen und für das Unternehmen selbst. Ich würde aber noch weiter gehen. Die internationale Cybersecurity-Community ist klein, aber sie arbeitet gut zusammen. Wir informieren uns bei einem Vorfall gegenseitig über den Modus Operandi, wir sind konzernübergreifend und auch mit politischen Institutionen in einem engen Austausch. Wir erbringen eigentlich eine Dienstleistung für die gesamte Gesellschaft. Denn wir schützen nicht nur unser Unternehmen, sondern auch Demokratien. Cybersicherheit ist zu einem geopolitischen Thema geworden. Sie hört nicht an der Grenze auf.