CISOs der produzierenden Wirtschaft : CISOs der Industrie: Die Wächter

Sie zählen Tailgating und Social Engineering zum Standardvokabular. Sie setzen auf Confidentiality, Integrity und Availability. Den Zero-Trust-Ansatz finden sie mal gut, mal schlecht, je nach Betrachtungsweise. Und dass von 903 befragten österreichischen Unternehmen 2023 jedes Opfer einer Cyberattacke wurde, zeigt, dass es sie in der Industrie ohne Widerrede braucht: CISOs.

Lesetipp: Die Evolution des CISO - vom Nerd zum Entscheider

Doch wer ist geschaffen für den Job an der Verteidigungsfront? Wer hat – für den Fall des Falls – die richtigen Abwehrkonzepte gegen Phishing, Business-E-Mail-Kompromittierung oder eine penibel geplante, millionenschwere CEO-Betrugsmasche? Es sind höchst unterschiedliche Karrierewege, die jene Cyberfighter dieser Story ans Ziel – das CISO-Office – gebracht haben.

Vom Quereinsteiger bis zum früheren IT-Leiter eint sie, dafür berufen zu sein, über den Cyberraum zu wachen. INDUSTRIEMAGAZIN stellt zehn CISOs vor, die bei „CSI Cyber“ gute Figur machen würden.

Der Leiterplattenspezialist hat einen sehr diversen Maschinenpark. Das macht die Umsetzung von Sicherheitsstrategien zu einer Herausforderung.

Funktion: Head of IT Security & IT Infrastructure
Vision: IT-Security als Firmenkultur

Andres Steiner ist seit mehr als 21 Jahren bei AT&S. In dieser Zeit ist er vom einfachen IT-System- und Netzwerk-Administrator zum Head of IT Security & IT Infrastructure t des Leiterplattenspezialisten AT&S aufgestiegen. Initialzündung war eine Weiterbildung im Schulungszentrum Fohnsdorf, die den damaligen Facharbeiter zum System– und Netzwerkadministrator machte. „Ich hatte dann das Glück gleich bei AT&S anfangen zu können“, erinnert er sich. Seine jetzige Position als Head of IT Security & IT Infrastructure hat er seit einem Jahr. Der Unterschied zu seinen vorigen Tätigkeiten? „ Der CISO ist nicht Teil der IT“, sagt er. Während sich die IT eher um den technischen Teil der Sicherheitslösungen, wie etwa Router oder Firewalls kümmert, liege seine Aufgabe in den strategischen Planungen.

„CIA, also Confidentiality, Integrity und Availability, das ist die Sprache des CISO“ erklärt Steiner. Bei seiner Arbeit spielt die State-of-the-Art-Thematik eine große Rolle. „Wir haben hier im Unternehmen viele unterschiedliche Betriebssysteme. Und wie in wohl jedem größeren Produktionsbetrieb gibt es auch ältere Systeme, für die keine Patches mehr erstellt werden.“ Da wird jede Wartung zum Risiko, zumal oft Fernwartung eingesetzt wird. Diese Systeme brauchen einen besonderen Schutz, etwa eine strikte Netzwerksegmentierung. Dabei gilt es aber auch eine Balance zu finden. Die Restriktionen dürfen nicht so einschneidend werden, dass die Mitarbeiter und Mitarbeiterinnen nicht mehr arbeiten können. „Es gibt eine Awareness für die Sicherheitsprobleme und auch eine Unterstützung durch das Management. Aber natürlich müssen wir uns immer wieder auch mit dem Operationsmanager abstimmen, der auf seine Agenden achtet“, sagt Steiner und schmunzelt.

Daneben geht es in seinem Job auch immer wieder darum, Schwachstellen zu finden und zu eliminieren. Steiner setzt hierzu auch ein „Vulnerability Management“ ein, um Schwachstellen zu erkennen und schnell darauf reagieren zu können. „Und natürlich müssen wir uns Gedanken darüber machen, was passiert, wenn wir wirklich von einem Angriff getroffen werden.“ Daneben kommen auch immer wieder neue gesetzliche Vorgaben wie z.B. die NIS2 Richtlinie auf Unternehmen zu. Was sich Steiner, der im Mai in den USA seinen MBA-Abschluss macht, für die Zukunft wünscht? „IT-Security sollte ein Teil der Firmenkultur werden“, hofft er.

Funktion: CISO
Vision: Stärkung der Human Firewall

ZKW entwickelt und produziert mondernste Lichtsysteme. Matthias Fischer sorgt dafür, dass die Pläne für die Innovationen nicht in falsche Hände gelangen.

Die Grundlagen für seinen Job hat Matthias Fischer schon in der Schule gelegt. Auf der HTL interessierte er sich besonders für die Themenbereiche Informatik und Elektronik. Eher durch Zufall hat er vom Studiengang Information Security an der FH St. Pölten gehört: „ Wir waren damals der erste Jahrgang, und ich muss sagen, ich habe aus diesem Studium eine Menge mitgenommen. Kann ich nur empfehlen“, sagt er und lacht. In seinem ersten Job hat er sich um technische Sicherheitsprodukte wie Zutrittssysteme gekümmert. Sein Aufgabengebiet bei dem bayrischen Unternehmen lag vor allem im Bereich der Projektierung und Schulung. Das genügte ihm aber irgendwann nicht mehr: „Ich wollte die Entwicklungen selbst in die Hand nehmen“.

Um seine Erfahrungen umzusetzen hat er sich mit ZKW einen Produktionsbetrieb als neue Wirkungsstätte ausgesucht „Ich bin hier der Berater des Managements, aber auch der Ansprechpartner für die Mitarbeiter in allen Sicherheitsfragen.“ Besonderen Wert legt Fischer auf die Sicherheit in der Produktion. „Unsere Strategie basiert hier vor allem auf Segmentierung.“ Besonders kritische Bereiche werden auch schon mal isoliert. Das Unternehmen entwickelt ständig neue Produkte, die auch patentiert werden. Und so spielt auch das Thema Schutz der Intellectual Property eine große Rolle. Mögliche Schwachstellen geht Fischer offensiv an „Wir haben hier ein SIEM/SOC Service, das mithilft, Sicherheitslücken rechtzeitig zu entdecken“, erzählt er.

Ein besonderes Anliegen ist ihm auch die Schulung der Mitarbeiter. Die „Human Firewall“ zu stärken, wie er es nennt, ist sein oberstes Ziel. „ Wir setzen hier nicht auf Verbote, sondern auf eine Bewusstseinsbildung gegenüber den Gefahren.“ Und dieses Bewusstsein hat sich sehr zu Fischers Freude in den letzten Jahren stark verbessert. Auch weil die Gefahrenlage immer wieder in Seminaren thematisiert wird. „Es kommen jetzt auch schon Kollegen aus eigenem Antrieb vorbei und holen sich Rat“, freut er sich. „Eine Kommunikation zwischen den Abteilungen ist wichtig“, davon ist Fischer fest überzeugt. Nur wenn alle Teile des Unternehmens, egal ob IT, Engineering oder Projektmanagement hier an einem Strang ziehen, könne die Sicherheit gewährleistet werden.

Heidelinde Rameder gehört zu den wenigen weiblichen CISO in Österreich. Der Einstieg in ihre jetzige Position wurde der ehemaligen „White-Hat-Hackerin“ nicht unbedingt leicht gemacht.

Position: CISO
Vision: Die Menschen, die im Bereich IT-Sicherheit arbeiten, werden vielfältiger.


Heidelinde Rameder ist studierte Wirtschaftsinformatikerin mit einem Master in IT-Sicherheit. Die Möglichkeiten, die in diesem Bereich stecken, hat sie aber, wie sie sagt, erst spät wahrgenommen. „Ein Faktor ist hier sicherlich die fehlende proaktive Unterstützung und Sichtbarkeit von Mädchen und Frauen in der Technik,“ glaubt sie. Auch sie wurde immer wieder aufgrund der Tatsache, dass sie eine Frau ist, benachteiligt. „Widerstand und Hürden im Umfeld befeuerten jedoch meine „jetzt erst recht“ Mentalität“, sagt sie, „Wird mir vermittelt, ich wäre aufgrund meines Geschlechts nicht wirklich willkommen oder weniger geeignet, so erzeugt das Wut, die ich in Motivation umwandle.“

Ihre Kariere im technischen Bereich begann sie als klassische „White-Hat Hackerin“, mit IT-Sicherheitsüberprüfungen. Nach über zehn Jahren als Beraterin für Unternehmen und CISOs zu verschiedensten Themen der Informationssicherheit, war es dann an der Zeit die CISO-Rolle selbst zu übernehmen. Diese Funktion verantwortet sie nun bei Borealis.

Auf LinkedIn bezeichnet sie sich als „Diversity Enthusiast. „Ich bin überzeugt, dass alle Typen von Menschen in der Informationssicherheit benötigt werden, auch in den Entscheidungs-Positionen, um diese massiven Herausforderungen meistern zu können“, sagt sie.

Im Unternehmen ist sie verantwortlich für die strategische und operative Leitung der Informationssicherheit im Unternehmen. „Es ist wichtig, in allen Bereichen einen ausgewogenen, strukturierten und risikobasierten Ansatz zum Schutz des Unternehmens zu verfolgen“, beschreibt sie ihre Arbeitsweise.

Insbesondere das Bewusstsein, dass alle Mitarbeiterinnen und Mitarbeiter Verantwortung tragen und ein grundlegendes Verständnis für IT-Sicherheitsthemen erlangen müssen, ist ihr ein Anliegen. Menschen, so sagt sie, stellen schließlich oft die erste Verteidigung im Kampf gegen Cyberangriffe dar.

Was ist die Vision von Heidelinde Rameder? „Meine Vision ist es, dass IT- und Informationssicherheitsbewusstsein in der Breite der Gesellschaft, in der Allgemeinbildung ankommen, und nicht als „Nerd“ bzw. reines Unternehmensthema betrachtet werden. Unser aller Leben, auch das der Kriminellen, verlagert sich zunehmend in den digitalen Raum. Wir alle müssen daher Verantwortung übernehmen und wissen, wie wir uns, unser Umfeld und unsere Familie vor Bedrohungen schützen können.“

True Crime ist en vogue. Auch bei der Greiner AG. Dort produziert Marko Mitterhuber einen Podcast über echte Sicherheitsvorfälle im Unternehmen.

Position: Corporate Information Security Officer
Vision: Etablierung von Zero Trust

Marko Mitterhuber ist seit 2014 Corporate Information Security Officer (CISO) bei der Greiner AG. Er verantwortet dabei den Bereich Informationssicherheit für die gesamte Greiner Gruppe. Gestartet hat er seine Karriere im Jahr 2009 als technischer IT-Verantwortlicher bei einer Greiner Sparte.

Besonders reizvoll an seinem Tätigkeitsfeld ist für Mitterhuber die Abwechslung: „Neue Bedrohungen, neue Technologien oder Vorschriften: Jeder Tag bietet etwas Neues oder Anderes. Es wird nie langweilig“, sagt er. Daneben hat der Job für ihn auch eine sportliche Komponente: „Die Herausforderung, sehr komplexe Aufgaben zu lösen und dabei zu versuchen, immer einen Schritt schneller zu sein als die Angreifer, das reizt mich.“

Die Informationssicherheit hat im Unternehmen höchste Priorität. Nicht nur um Daten und Systeme zu schützen, sondern auch um das Vertrauen der Kunden und Partner des Unternehmens zu stärken. Mitterhuber hält Ransomware neben Phishing und Social Engineering für eine der größten Bedrohungen. Zunehmend drängt sich aber auch KI in den Vordergrund: „KI hilft Angreifern, fehlerfreie und täuschend echte E-Mails, Sprachnachrichten oder auch Videos zu generieren. Es wird für Mitarbeiter und Mitarbeiterinnen immer schwieriger werden, echt von gefälscht zu unterscheiden“.

Die Sicherheits-Vision von Mitterhuber für sein Unternehmen heißt Zero-Trust. „Die Grundkonzepte dafür wurden schon vor über zehn Jahren publiziert, lassen sich in einem Produktionsunternehmen aber nicht so ohne weiteres implementieren“, sagt er bedauernd.

Um seine Kolleginnen und Kollegen gegenüber Cyberangriffen zu sensibilisieren, geht Mitterhuber schon mal ungewöhnliche Wege. Im Rahmen eines PhD-Programmes an der Vrije Universität Amsterdam erforscht einer seiner Mitarbeiter die psychologischen Aspekte, weshalb Social Engineering Angriffe wie E-Mail-Phishing nach wie vor so effektiv sind. Zudem gibt es im Unternehmen einen Podcast, der Sicherheitsvorfälle aufarbeitet - anonymisiert und mit der Unterstützung einer KI. „Wir nennen diesen Podcast „Greiner Cybercrimes“ und veröffentlichen ihn über unser Intranet, sodass er für möglichst viele Mitarbeitende zugänglich ist.“ Auch anonymisierte Fälle aus dem täglichen Leben der Kolleginnen und Kollegen werden behandelt „Das Anonymisieren der Fälle ist uns sehr wichtig“, sagt er. „Schließlich soll niemand bloßgestellt werden.“

Das Aerospace-Unternehmen FACC gehört zu den Innovativsten Unternehmen in Österreich. Dementsprechend wichtig ist es für Martin Pils die Intellectual Property zu schützen.

Position: CISO
Vision: die ganzheitliche Sicherheitsstrategie


Martin Pils ist eigentlich gelernter KFZ-Mechaniker. Dass er nun als CISO beim Aerospace-Spezialisten FACC angestellt ist, hat er vor allem dem Heer zu verdanken. Dort war er Information Security Officer. Das hat, wie er sagt „tiefes, militärisches Verständnis von Informationssicherheit in mir verankert.“ Was heißt das genau? „Ich habe beim Heer gelernt mit Verschlusssachen umzugehen.“ sagt er. Das ist wichtig, denn bei FACC ist steht der Schutz der Intellectual Property, also des geistigen Eigentums an oberster Stelle. Martin Pils ist nicht nur CISO, sondern privat auch Feuerwehrmann. Gibt es da Parallelen? Pils muss nur kurz nachdenken. „Ja, die gibt es. Wie bei der Feuerwehr versuchen wir auch in der IT-Sicherheit durch Prävention schon im Vorfeld möglichst viele Probleme anzugehen. Aber natürlich haben wir auch Notfallpläne in der Lade, um Krisen zu begegnen“.

Als CISO hat Pils eine Art Richtlinienkompetenz im Unternehmen. Er ist der Stratege und legt die Marschroute im Sicherheitskonzept fest. Die ruht bei FACC auf mehreren Säulen. Die erste: Die Sicherheitssysteme müssen stets technologisch auf der Höhe der Zeit sein. Dazu gehört es auch auf neue Entwicklungen zu reagieren, etwa auf den Einsatz von KI als Angriffsvektor. Pils und sein Team bekämpfen hier Feuer mit Feuer „Auch wir setzen mittlerweile KI-Systeme ein, um die Angriffe abzuwehren“, verrät er. Zudem versucht, er die Angriffsfläche zu minimieren und sorgt dafür, dass die Systeme möglichst kleinteilig sind.

Wogegen er sich vehement wehrt, ist die Vorstellung, dass die Mitarbeiter die größten Schwachstellen im System sind. „Das ist keineswegs so“, sagt er mit Nachdruck. Die User und Userinnen seien nur ein Baustein im Sicherheitskonzept. „Es stimmt schon, dass bei 8 von 10 erfolgreichen Angriffen Nutzerinnen oder Nutzer beteiligt sind. Unser Ziel ist es deshalb, sie zu stärken, ihnen auch eine Fail-Safe-Umgebung zu bieten“. Pils ist fest davon überzeugt, dass nur alle gemeinsam Sicherheit schaffen können. Das zieht auch Partnerunternehmen mit ein, weswegen FACC etwa auch am Austrian Trust Circle mitarbeitet. Pils selbst wirkt in verschiedenen Gremien etwa der Cyber Sicherheit Plattform (CSP) des BKA mit und berät mit seinem eigenen Unternehmen vor allem auch NGOs in Sachen Sicherheit: „Cybersecurity ist mir einfach ein Anliegen“, sagt Pils. Und man glaubt es ihm.

Semperit ist ein Industriebetrieb mit weltweiten Produktionsstandorten und hohem Kostenbewusstsein. Christian Popp hat hier eine Awareness für Sicherheitsfragen auf breiter Front geschaffen.

Funktion: CISO
Vision: IT-Sicherheit muss selbstverständlich werden

Es gibt Menschen, die wollen im jugendlichen Alter Feuerwehrmann oder Tierärztin werden. Christian Popp wollte etwas mit IT machen. Er gehörte zum ersten Abschlussjahrgang Informationstechnologie am Technologischen Gewerbemuseum (TGM) in Wien. Am FH Campus in Wien studierte er Risikomanagement und Corporate Security Management, bevor er beide Fachgebiete als Berater bei PwC verknüpfen konnte. Seine nächste Station war der Posten des Chief Information Security Officers bei der ÖBB-Holding, bevor er dann 2021 als CISO zu Semperit wechselte. „Der Ausbau der Sicherheitsstrukturen war damals im Fokus“, erinnert er sich.

„Meine vorrangige Aufgabe war es deshalb, die technischen und organisatorischen Prozesse in der IT zu optimieren und für künftige Anforderungen auszurichten.“ Dazu zählte auch, die Kolleginnen und Kollegen in der Produktion dafür zu sensibilisieren. Hierzu musste auf breiter Front die notwendige Awareness geschaffen werden. „Bei einem Industriebetrieb mit weltweiten Produktionsstandorten und hohem Kostenbewusstsein muss man die Bedeutung explizit herausarbeiten und den Kollegen bewusst machen“, erzählt Popp. Derzeit beschäftigt er sich vor allem auch mit den Anforderungen, welche die NIS2-Verordnung im Herbst bringen wird. Veränderungen wird es vor allem auch bei den Security-Vorgaben für Lieferanten geben, und auch am IT-Risikomanagement soll weitergearbeitet werden. Wie die meisten seiner Kollegen legt auch Popp großen Wert auf eine gute Zusammenarbeit im Team. „Ich bin ein großer Freund einer Vertrauenskultur“, sagt er.

Sprich: Mitarbeiter sollen selbstständig handeln und vor allem auch in die Lage versetzt werden, Sicherheitsrisiken zu erkennen und einzuschätzen. „Es ist einfach wichtig, dass wir ständig schulen und sensibilisieren.“ Dazu gehört es auch, auf neue Angriffsvektoren schnell zu reagieren. „Als es diesen Deep-Fake-Betrug bei einem Unternehmen in Hongkong Anfang Februar gab, haben wir die Medienberichte darüber zum Anlass genommen, um aktiv über diese neue Angriffsmethode zu informieren“, sagt er. Schulung an einem praktischen Beispiel. Popp hofft, dass IT-Sicherheit in Zukunft noch selbstverständlicher wird. „Der Mehrwert und Nutzen sollte für alle klar sein.“ Gibt es für Popp auch ein Leben abseits der IT-Sicherheit? „Selbstverständlich. Ich treibe Sport und reise gerne. Man muss ja auch mal abschalten und nicht nur an IT-Sicherheit denken.“

Tyrolit gehört nicht zur kritischen Infrastruktur. Christan Praster sorgt trotzdem für höchste Sicherheitsstandards.

Funktion: CISO
Vision: Awareness für IT-Sicherheitsfragen schaffen


Für Journalisten gehört es zum Handwerk, sich vor einem Interview über den Interviewpartner zu informieren und vielleicht auch den Namen zu googlen. Bei Christian Praster, CISO der Tyrolit Gruppe, hilft das nichts. Er hat sich bewusst entschieden, möglichst wenig über sich im Netz preiszugeben. „Das war eigentlich schon immer so“, erzählt er im Interview. „ Doch seit dem Aufkommen von KI und Deep Fakes bin ich noch vorsichtiger geworden. Es wird viel Missbrauch mit Bildern und Videos getrieben. Und man sieht ja bereits jetzt, was alles passieren kann.“

Praster ist seit Anfang 2023 als CISO beim Schleifwerkzeugspezialisten Tyrolit tätig und für alle Standorte weltweit zuständig. Die Tyrolit Gruppe ist global tätig und erreicht mit ihrem Netzwerk über 140 Länder. Neben den üblichen Aufgaben wie der Implementierung einer Sicherheitsstrategie und die Aufdeckung von Schwachstellen, beschäftigen ihn zunehmend auch Audits. „Ich merke deutlich, dass Cybersecurity ein immer stärkeres Gewicht bei unseren regelmäßigen Audits bekommt“, sagt er. Dass Tyrolit „nur“ ein Werkzeugmaschinenhersteller ist, sieht er als Vorteil. „So gehören wir nicht zur kritischen Infrastruktur.“ Das heißt natürlich nicht, dass das Sicherheitsniveau bei Tyrolit niedriger als anderswo ist. Ganz im Gegenteil. „Wir wissen derzeit noch nicht, ob und wie NIS2 auch für uns schlagend wird. Aber eines wissen wir schon jetzt: Wir werden alle Anforderungen, die sich daraus ergeben, egal ob es von Tyrolit gefordert wird oder nicht, erfüllen. Das tun wir schon allein um den Zulieferern und Kunden eine hohe Sicherheit zu geben.“

Awareness für Sicherheitsthemen ist auch bei Tyrolit ein großes Thema. „Dabei hilft uns, dass es auch im täglichen Leben unserer Mitarbeiterinnen und Mitarbeiter zunehmend um Cybersicherheit geht, wie etwa bei der Mehrfaktoridentifizierung. Das macht die Menschen hellhörig.“

KI steht Praster skeptisch gegenüber. „Wir haben auch im Unternehmen KI-Produkte, die uns unterstützen. Aber ich glaube es ist extrem wichtig, dass solche Systeme reglementiert werden.“ Damit nicht so was passiert wie beim Deep-Fake Betrug Anfang des Jahres in Hong Kong? Praster nickt ernst. „Aber auch hier versuchen wir ein Bewusstsein für die Gefahren zu schaffen. So wird etwa die Geschäftsführung nicht müde zu betonen, dass niemand von ihnen Mitarbeitende anruft und von ihnen eine Überweisung verlangt.“

Sie managt die Informationssicherheit beim Vorarlberger Leuchtenhersteller - ohne zu überadministrieren.

Funktion: CISO
Vision: IT-Security ohen Overheads

Als sie 2014 vor der Entscheidung stand, von der Softwareautomatisierung bei T-Systems Austria in die Informationssicherheit zu wechseln, war ihr erster Impuls: "Ach, wie langweilig". Den ganzen Tag im Büro zu sitzen, dazu all die Richtlinien und ohne eine Menschenseele zu sehen. Dieses - hochgradig trügerische - Bild hatte sich schon nach dem Erstgespräch bei ihrem Arbeitgeber, dem Logistiker Gebrüder Weiss, gewandelt. Und heute, in Zeiten wie diesen, sagt die ausgebildete Projekt- und Prozessmanagerin sowie promovierte Informatikerin voller Überzeugung, sei das einer der spannendsten beruflichen Domänen überhaupt.

Seit wenigen Wochen ist sie CISO beim Dornbirner Leuchtenhersteller Zumtobel Group, wo sie sich schon sehr gut angekommen fühlt. Der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) sei einer ihrer ersten - großen - Aufgaben, und zwar ohne, dass das Fortkommen des Unternehmens blockiert werde. "Das könnte sonst leicht Overheadcharakter bekommen", sagt sie. Und sie will ganz nach dem Leitsatz von CDTO Marcus Frantz Sicherheit in die DNA des Unternehmens integrieren. Dabei denkt sie nicht nur an Angreifer aus dem Cyberraum. Angriffsmuster seien vielfältig. "Es kann schon ausreichen, sich in die Hotellobby zu setzen und aufmerksam den Gesprächen von Hotelgästen zu lauschen", sagt sie. Mitarbeiter müssten auch darauf sensibilisiert werden. Ein guter Tag für die passionierte Bergsteigerin, die "CSI Cyber" wohl schauen würde, sofern ihr Security Risikobild viele grüne Lämpchen und keine roten aufleuchten lässt.

Der Ausdauersportler sucht auch im beruflichen die Challenge: Er leitet das CISO Office beim Mautsystemehersteller.

Funktion: CISO
Vision: IT-Security als kollektive Verantwortung

Höher, schneller, weiter: Grenzen lotst Bernhard Bruckner nicht nur bei seinem Sport, dem Triathlon, aus, sondern auch beruflich: "In der Security darf man nicht stehen bleiben, insofern passt der Job super zu meinem Naturell", erzählt der CISO beim Mautsystemehersteller Kapsch TrafficCom. Bruckner nennt sich einen Autodidakten: Er studierte Telekommunikation und Netzwerktechnologien und hängte ein Wirtschaftsstudium an. Nach fast einem Jahrzehnt bei Siemens arbeitet er seit 2012 bei Kapsch, seit 2022 leitet der Technologe das dortige CISO Office. Und steht als solcher für den Schutz der Unternehmenswerte ein.

Eine Aufgabe, die ihn erfüllt: Kritische Infrastrukturen in all ihrer Komplexität abzusichern, also alles, was gemeinhin in die NIS2-Direktive hineinfalle, sei für ihn ein Reiz. Als Sicherheitskraft habe er Mehrwert in der Verteidigung für das Gesamtsystem, das Unternehmen, zu schaffen, er müsse dazu auch die Angriffsseite verstehen. Dazu zählen auch jüngere Phänomene wie KI-erstellte Angriffe oder künstlich generierte CEO-Ansagen. Bruckner betreibt mit dem steigenden Bedrohungsausmaß auch zunehmend Influencer-Arbeit: "Sicherheit ist kollektive Verantwortung", sagt er.

Folglich berät er Entscheidungsträger, wie man eine bestmögliche Informations- und Datensicherheit erreichen kann. Ob sein Puls steigt, wenn Angriffsmuster sich abzeichnen? Man lerne mit den Jahren eine gewisse Distanz zu Themen herzustellen, sagt Bruckner. "Lieber gehe ich sehr strukturiert mit kühlem Kopf statt überhitzt die Sache an".

Er hält Lösungen bereit, die die Belegschaft bis hinauf ins Hoerbiger-Board besser schlafen lassen.

Funktion: CISO
Vision: Stärkung der Kohäsion

Gerade noch war er in Pune, wo er die Freude hatte, ein Security Operation Center aufgebaut zu haben. Und nun sitzt er in heimatlichen Gefilden vor einer zimmerhohen Bücherwand, vollgepackt mit Klassikern der IT-Sicherheit wie etwa einem Nachschlagewerk zu CISSP und anderen Schätzen. Seit 2014 ist Wolfgang Mayer nun bei Hoerbiger, eine berufliche Tätigkeit, die er wie folgt beschreibt: Es gehe nicht darum, den ganzen Tag die "Leute zu scaren, also zu verschrecken, sondern Lösungen bereitzuhalten, die die Belegschaft bis hinauf ins Hoerbiger-Board besser schlafen" ließen.

Mayer tritt dabei mit einem kleinen Startvorteil an: Er liebt die Beschäftigung mit Infomationstechnologien, seitdem er Anfang der 90er in der Linux-Welt Feuer fing. Folglich sei der Job beim Technologiehersteller eine Tätigkeit, die er auch unbezahlt erledigen würde, schmunzelt er. Von Penetrationstests bis zum Rollout von Security Software sei ein CISO-Jahr bei Hoerbiger in der Regel relativ eng durchgetaket.