Cross Company Resilience: Wie Unternehmen mit Cybersecurity und Netzwerken ihre Widerstandsfähigkeit stärken – Experten-Interview mit Daniel Fai vom VSW Mainz
Daniel Fai, Vorstand des VSW Mainz und Leiter Informationssicherheit bei Procter & Gamble, unterstützt mit seiner Expertise im Bereich Cybersecurity u.a. das VSW-Forum „Cybercrime & Wirtschaftskriminalität“, das Führungskräften und Sicherheitsverantwortlichen aktuelle Entwicklungen und praxisnahe Lösungsansätze bietet. Angesichts geopolitischer Spannungen, hybrider Bedrohungen und wachsender Cyberrisiken fordert Daniel Fai mehr Resilienz und Anpassungsfähigkeit von Unternehmen. Sein eigener Ansatz der „Cross Company Resilience“ betont die gemeinsame Verantwortung entlang der Lieferkette, um Sicherheit als entscheidenden Erfolgsfaktor zu verankern.
Herr Fai, Sie sind Vorstand im VSW Mainz und Leiter Informationssicherheit bei Procter & Gamble. Das Thema Cybersecurity ist damit auch Ihr zentrales Feld im Rahmen Ihrer Verbandstätigkeit?
Daniel Fai: Ja, hier bringe ich zusätzliche Cybersecurity-Expertise aus Sicht der Wirtschaft in die Verbandsarbeit. Neben der Hauptfunktion eines Vorstandsmitgliedes unterstütze und betreue ich gemeinsam mit dem VSW, und einem weiteren Vorstandsmitglied, das VSW-Forum Cybercrime & Wirtschaftskriminalität. In Foren werden spezifische Themen der Sicherheitsbranche behandelt, von Cybersicherheit bis Risiko-Management. Experten und auch Vertreter der Behörden präsentieren aktuelle Entwicklungen und Best Practices. Wir richten uns an Führungskräfte, Sicherheitsverantwortliche und Fachleute aus verschiedenen Sektoren. Teilnehmende können sich mit anderen Fachleuten vernetzen und von den neuesten Trends und Lösungen profitieren.
Procter & Gamble gehört ja zu den Urgesteinen unter der Mitgliedschaft im VSW. Worin sehen Sie die wichtigsten Beiträge, den der VSW den Mitgliedsunternehmen bietet?
Daniel Fai: Eine Mitgliedschaft im VSW bietet einen vielfältigen Mehrwert. Neben immateriellen Vorteilen durch das Kompetenznetzwerk des VSW – der VSW ist die Schnittstelle zwischen Wirtschaft und Behörden – gibt es eine Vielzahl von direkt messbaren, auch finanziellen Vorteilen. Der VSW setzt insbesondere auf den steten Ausbau des VSW-Netzwerkes und Informationsaustausch, sowie Kompetenzbündelung zwischen den Sicherheitsbehörden, Wirtschaftsorganisationen wie den IHKs, Sicherheitsverbänden, Forschungsinstituten, Universitäten etc., sowie unter den Mitgliedern. Es gibt eine große Zahl an Kooperationen und Partnerschaften. Darüber hinaus werden noch Schulungen zu den unterschiedlichsten Sicherheitsthemen angeboten.
Zu den wichtigsten Veranstaltungen im Jahr gehört ja der VSW-Sicherheitstag. Im Jahr 2026 wird er im September stattfinden?
Daniel Fai: Ja, der nächste VSW Sicherheitstag am 30.09.2026 steht unter dem Motto „Gemeinsam die Sicherheit in der Wirtschaft stärken“. Unser jährlicher Sicherheitstag ist eine hervorragende Plattform, um sich umfassend über Unternehmenssicherheit auszutauschen und wertvolle Netzwerke zu knüpfen. Dabei kommen Experten und Fachkräfte aus unterschiedlichen Bereichen – vom staatlichen Sicherheitssektor bis hin zur privaten Wirtschaft – zusammen, um aktuelle Sicherheits- und Gefährdungslagen zu diskutieren. Die Planungen, Referenten und Themen für 2026 haben erst begonnen.
In der Regel haben wir Vorträge von hochrangigen Sicherheitsverantwortlichen, von den Innenministern unserer drei Bundesländer
(Hessen, Rheinland-Pfalz, Saarland) und von Sicherheitsexperten, die Einblicke in die aktuellen Gefährdungslagen geben und über präventive Sicherheitsmaßnahmen sprechen. Themen wie Cybersicherheit, Schutz vor Wirtschaftsspionage und Terrorabwehr spielen ebenfalls eine große Rolle. Auch spezifische Themen wie Zugangskontrollen, IT-Sicherheitsstrategien, Risikomanagement oder Krisenkommunikation bieten praxisnahe Lösungsansätze.
Der VSW-Sicherheitstag
Plattform zum Austausch mit Sicherheitsverantwortlichen und -experten
Unverbindliche Infos hierDie jüngsten weltpolitischen Ereignisse lassen die Sicherheit von Unternehmen jeder Größe in einem neuen, durchaus dramatischeren Licht erscheinen. Wie schätzen Sie das ein?
Daniel Fai: Geopolitische Spannungen, Handelskonflikte, Cyberangriffe, Lieferkettenrisiken und die Auswirkungen von Klimawandel und Pandemien, haben die Sicherheitslage für Unternehmen erheblich verschärft. Hybride-Bedrohungen sind ebenso Teil unserer Realität. Alle diese Bedrohungen nehmen in der Quantität, aber auch in der Qualität immer weiter zu.
Unternehmen sehen sich entsprechend zunehmend mit immer komplexeren Herausforderungen konfrontiert, die sowohl physische als auch digitale Sicherheitsaspekte betreffen.
Dazu kommen noch regulatorische Anforderungen die zwar die angesprochenen Risiken mitigieren und für mehr Resilienz sorgen sollen, was im Einzelfall sogar das Überleben eines Unternehmens sichern oder auch eine ganze Lieferkette schützen kann – Stichwort: Cyberangriff –, auf der anderen Seite aber auch Unternehmen teils überfordert, weil Ressourcen nicht zur Verfügung stehen, oder schlichtweg keine Expertise im Unternehmen vorhanden ist. Das gilt gerade im KMU-Bereich. Es ist eine schwierige Balance zwischen Wirtschaftlichkeit und Grad an Sicherheit.
Was sind die größten Herausforderungen?
Daniel Fai: Ich denke die größten Herausforderungen heutzutage sind, dass Unternehmen einen hohen Grad an Flexibilität, Anpassungsfähigkeit und Resilienz bezüglich aktueller Bedrohungsszenarien mitbringen müssen. Unternehmen sollten sich mit ihrem eigenen Sicherheits-Reifegrad beschäftigen, selbstreflektierend sein. Sie sollten wissen, wo sie derzeit stehen und was der eigene Reifegrad auch bezüglich Resilienz bedeutet. So kann auch eine gute Balance wie oben angesprochen ermittelt werden. Das können auch kleinere Unternehmen umsetzen. Resilienz, bzw. daraus resultierend u.a. auch Sicherheit, sollte nicht mehr als reiner Kostenfaktor betrachtet werden, sondern ist in unserer heutigen Welt ein ultimativer Faktor um den Geschäftserfolg zu sichern. Womöglich sogar ein Überlebensfaktor. Es ist ein Investment. Geschäftsleitungen sollten dies auch so organisatorisch reflektieren. Im Fall von Cyberrisiko ist Cyberrisiko Geschäftsrisiko Nummer 1.
Dies bedingt ein effektives Risikomanagement inklusive realistischer und erprobter Geschäftskontinuitätspläne, ein proaktives und integriertes, im Optimalfall ein adaptives Sicherheitsmanagement um potenzielle Bedrohungen frühzeitig zu erkennen und entsprechende Maßnahmen zu ergreifen. Wie viele Übungen und Prozesse werden nur am Tisch erprobt. Funktionieren die Prozesse wenn man diese praxisnah testet? Resilient bedeutet auch, gegenüber Angriffen gewappnet zu sein, so dass auch ein erfolgreicher Angriff massiv abgemildert werden kann. Dies umfasst sowohl physische als auch digitale Risiken.
Auch wenn dies häufig in Foren und Diskussionen gefordert wird: die Umsetzung richtet sich nicht immer nur nach dem Sicherheitsbudget. Vieles kann auch relativ kosteneffizient umgesetzt werden. Am Ende muss die Umsetzung, individuell auf ein Unternehmen, auf das Geschäftsmodell und die Unternehmensstrategie abgestimmt werden.
Sie sprechen selbst von Cross Company Resilience, also die Einbeziehung von Unternehmen die innerhalb der Lieferkette zusammenarbeiten – statt nur auf das eigene Unternehmen zu schauen. Könnten Sie das etwas näher erläutern?
Daniel Fai: Wie wir alle wissen, ist betriebliche Resilienz die Fähigkeit, betriebliche Störungen zu erkennen, zu vermeiden, abzuwehren, sich davon zu erholen, Schäden abzumildern und –wichtig – daraus zu lernen. Mein Ansatz geht aber darüber hinaus. In unserer heutigen vernetzten Welt mit teils komplexen Lieferketten und vielen Geschäftspartner die beteiligt sind, sei es digital oder physisch, reicht eine isolierte Betrachtungsweise nicht mehr aus.
Mein neuer Ansatz ist: „Cross Company Resilience“, eine gemeinsame, partnerschaftliche und kooperative Verzahnung, mit zumindest den wichtigsten Geschäftspartner in Bereichen mit hohem Schadenspotential, mit dem Ziel über die gesamte Lieferkette einen Resilienzbogen zu spannen. Abgestimmte, im Optimalfall gemeinsam erprobte Geschäftskontinuitäts- und Sicherheitsprozesse.
Ein Unternehmen mit einem hohen Grad an Resilienz mag resistent gegenüber Angriffen sein, wenn es aber abhängig von einer Lieferkette ist, sei es z.B. bei der Rohstoffbeschaffung bis zur Lieferung eines Produktes an einen Geschäftspartner – und einer der beiden Partner fällt aus, dann schadet dies womöglich allen Unternehmen in der Lieferkette. „Cross Company Resilience“ kann helfen, dass die Lieferkette dennoch lückenlos weiterbetrieben werden kann.
Lassen Sie uns noch einen Ausblick auf das neue Jahr vornehmen: Was werden die wichtigsten sicherheitsrelevanten Themen sein?
Daniel Fai: Ich sehe folgende wichtige Top-Themen für 2026: Regulatorisch werden uns die Themen NIS2, aber auch der EU Cyber Resilience Act (CRA) weiter beschäftigen. Hybride-Bedrohungen werden weiter zunehmen. KI im Sicherheitsbereich wird sowohl im defensiven als auch offensiven Bereich einen weiteren Schritt nach vorne machen. Gerade im offensiven Bereich, denke ich, wird der Fortschritt schneller vonstatten gehen. „Responsible AI“ und eine verbesserte Messbarkeit und Überwachung sehe ich als sehr wichtigen Aspekt.
Die sichere Anwendungsentwicklung im Bereich „Secure Software Development Lifecycle“, vom Threat Modelling über statischer Code Analyse bis zum Pentest muss weiter vorangetrieben werden. Gerade im SaaS-Bereich, auch um die Lieferkette noch weiter zu stärken. Es gab global zu viele Vorfälle bei denen SaaS-Software der „Single-Point of Failure“ ist. Ich erhoffe mir, dass das „Cross Company Resilience“-Konzept von vielen Unternehmen aufgegriffen wird: Für eine stärkere und resilientere Gemeinschaft und der Lieferkette.
Außerdem wichtig sind die Themen Quantumsicherheit, also u.a. quantensicherere Verschlüsselungstechnologien – Stichwort: Post-Quantum. Dann: Sicherheit im OT- und IoT- Bereich durch die auch hier stetig wachsende Vernetzung und Vergrößerung der Angriffsfläche. Schließlich die Themen Cloud und auch API-Sicherheit.
Lehrgang IT-Sicherheit & Wirtschaftsspionage (IHK)
Themen: kriminologische Aspekte, Täterpsychologie, Erstellung eines BSI-Sicherheitskonzeptes, IT-Forensik und Beweissicherung im Unternehmen, Detektion von Cyber-Angriffen, sichere Kommunikation und Verschlüsselung.
Mit IHK-Abschluss
