Cyber-Sicherheit als ganzheitliches Konzept: Interview mit Bilfinger-CISO Benjamin Bachmann
Benjamin Bachmann ist Group CISO bei Bilfinger in Mannheim und Co-Host des „Infosec Theater Podcast“, wo er Cybersecurity-Themen einem breiten Publikum zugänglich macht. Im Interview sprechen wir über Cyber-Bedrohungen und über seine Ideen, wie diesen zu begegnen ist.
Business Circle: Sehr geehrter Herr Bachmann, eingangs etwas Persönliches: Sehen Sie es, CISO zu sein als Beruf oder als Berufung? Und was bedeutet es für Sie konkret, Cyber-Sicherheit als ganzheitliches Konzept zu begreifen?
Benjamin Bachmann: Cyber-Sicherheit ist für mich eine Berufung, während der Job des CISO der Rahmen ist, in dem ich meine maximale Wirksamkeit entfalten kann. Ein ganzheitliches Konzept bedeutet, dass wir nicht nur technische Lösungen betrachten, sondern auch die menschlichen und organisatorischen Aspekte einbeziehen. So schaffen wir eine nachhaltige und lebendige Sicherheitskultur.
BC: In Ihrem Podcast „infosec.theater“ schauen Sie hinter die Kulissen der Informationssicherheit, was hat Sie bewogen, dieses Format aufzusetzen?
Bachmann: Informationssicherheit kann trocken und kompliziert wirken. Mit „infosec.theater“ möchte ich – zusammen mit meiner Co-Hostin – zeigen, dass sie auch unterhaltsam und zugänglich sein kann. Mein Ziel ist es, ein breites Publikum zu erreichen und zu sensibilisieren, indem wir komplexe Themen auf eine leicht verständliche und humorvolle Weise aufbereiten. Oberste Prämisse: Es muss oma-tauglich sein.
BC: Welche Maßnahmen sollten Unternehmen zuerst implementieren, um mit dem Cyber-Resilience Act compliant zu sein?
Bachmann: Für den CRA bin ich jetzt kein Experte, aber meiner Meinung nach sollten Unternehmen zunächst eine umfassende Risikoanalyse durchführen, um ihre Schwachstellen zu identifizieren. Danach ist es wichtig, die aufgezeigten Hausaufgaben zu erledigen. Das werden vermutlich grundlegende Sicherheitsmaßnahmen wie Patch-Management, Multi-Faktor-Authentifizierung und regelmäßige Mitarbeiterschulungen sein. Eine kontinuierliche Überwachung und Anpassung der Sicherheitsstrategien ist unerlässlich, um den Anforderungen des Cyber-Resilience Act gerecht zu werden.
BC: Was haben Sie für Tipps für frischgebackene CISOs, was sind typische Anfängerfehler und wie kann man die vermeiden?
Bachmann: Mein Tipp für neue CISOs ist, sich nicht nur auf die Technik zu konzentrieren, sondern auch die menschlichen und organisatorischen Aspekte zu beachten. Es ist sinnvoll, sich als Stakeholder-Manager zu verstehen und zwischen den verschiedenen Interessensgruppen im Unternehmen (verschiedene Mitarbeitergruppen, Führungsmannschaft, IT) sowie außerhalb (externe Dienstleister, Investoren) zu vermitteln oder zumindest Gehör zu verschaffen.
Es gibt vertrauensbildende und vertrauenszerstörende Maßnahmen.
BC: Wie schafft man am besten Awareness und holt das Team des ganzen Unternehmens mit ins Boot, insbesondere im Hinblick auf menschliche Fehler wie ungesicherte (und dann geklaute) Firmenlaptops oder versehentlich fehlgeleitete E-Mails?
Bachmann: Awareness schafft man am besten durch regelmäßige und praxisnahe Kommunikation. In meiner Welt gibt es vertrauensbildende und vertrauenszerstörende Maßnahmen. Die „state-of-the-art“-Top-Maßnahme Phishing ist eher nicht sonderlich vertrauensbildend. Damit meine Awarenessmaßnahmen (Artikel, Vorträge, Schulungen, etc.) positiv wahrgenommen und geteilt werden, muss ich aber zwingend Vertrauen erzeugen.
BC: Wenn sich Ihr Publikum im Herbst 2025 – also nach einem Jahr – noch an Ihren Vortrag erinnert, welche Kernbotschaft soll als Wichtigstes hängenbleiben?
Bachmann: IT-Sicherheit betrifft nicht nur die IT. Informationssicherheit ist das Wort der Stunde. Oder wenn einem das zu sperrig ist: Cybersicherheit.
BC: Sie werden ja das erste Mal bei uns sein, worauf freuen Sie sich bei der PriSec am meisten und warum ist es wichtig, sich auch über Landesgrenzen hinweg in der Datensicherheit zu vernetzen?
Bachmann: Ich freue mich darauf, bei der PriSec neue Perspektiven und innovative Ansätze zu entdecken. Der Austausch über Landesgrenzen hinweg ist essenziell, da Cyber-Bedrohungen keine geografischen Grenzen kennen. Trotz unterschiedlicher Gesetzgebungen haben wir ähnliche Herausforderungen, und Diversität hilft auch hier.
BC: Sehr geehrter Herr Bachmann, wir danken Ihnen für dieses Gespräch und freuen uns, Sie zur PriSec zu begrüßen!
Benjamin Bachmann – Group CISO, Head of Infosec Theater, Speaker & Sauerteig-Nerd
Wenn Benjamin Bachmann damals in Troja gewesen wäre, stünde die Stadt heute noch. Ben versteht Cyber-Sicherheit nicht nur als technisches, sondern als ganzheitliches Konzept, das Mensch, Organisation und Technik in Einklang bringt. Diese drei Säulen bilden das Fundament einer nachhaltigen und lebendigen Sicherheitskultur.
Bevor Ben vor 15 Jahren seine Karriere in der Cyber-Sicherheit begann, sammelte er umfassende Erfahrungen in der IT, angefangen als Administrator, über Projektleiter bis hin zum Service Manager. Diese vielseitigen Rollen haben ihm ein tiefes Verständnis für IT-Operationen und -Management vermittelt, was ihm heute ermöglicht, umfassende und effektive Sicherheitsstrategien zu entwickeln. Derzeit ist er bei Bilfinger für die Cybersicherheit und das Enterprise Architecture Management des gesamten Konzerns verantwortlich.
Abseits seiner beruflichen Tätigkeit ist Ben Co-Host des „Infosec Theater Podcast“, wo er komplexe Cybersecurity-Themen auf unterhaltsame Weise einem breiten Publikum zugänglich macht. In seiner Freizeit backt er leidenschaftlich gern Vollkorn-Sauerteigbrot – ein weiteres Beispiel für seine Hingabe an nachhaltige und gut durchdachte Prozesse. Auf der PriSec 2024 ist er Gastgeber eines Workshops zum Thema „Anforderungen & Sicherheitsrisiken in der Wertschöpfungskette“.