Ein Interview mit Andreas Grau, Cybersecurity Experte bei Consileon
Cyberangriffe nehmen steig zu und stellen für Unternehmen aller Branchen eine Bedrohung dar. Im Gespräch erklärt Cybersecurity-Experte Andreas Grau, wie Unternehmen sich systematisch schützen können.
Herr Grau, viele verbinden ein Cybersecurity Assessment mit einem klassischen Audit. Was ist für Sie der Unterschied?
Ein Audit prüft, ob bestimmte Vorgaben erfüllt sind – meist rückblickend und auf formaler Ebene. Ein Cybersecurity Assessment ist individuell auf die aktuelle Situation und die Herausforderung eines Unternehmens zugeschnitten. Wir betrachten Technik, Organisation und Menschen als zusammenhängendes System. Ziel ist nicht, ein Häkchen zu setzen, sondern zu verstehen, wo reale Risiken liegen und wie sie sich reduzieren lassen.
Sie arbeiten mit einem modularen Ansatz. Wie funktioniert das und wie wählen Unternehmen die passenden Module aus?
Viele Unternehmen haben ganz unterschiedliche Ausgangslagen. Ein Konzern mit globaler IT benötigt andere Schwerpunkte als ein mittelständisches Fertigungsunternehmen. Deshalb haben wir das Assessment modular aufgebaut – von Governance und Risiko-Management über technische Sicherheit bis hin zu Awareness oder Notfallmanagement. In einem Vorgespräch legen wir gemeinsam mit Kunden den Scope fest: Welche Bereiche sind kritisch, wo gibt es bereits Strukturen, wo besteht Unsicherheit? Auf dieser Basis kombinieren wir die passenden Module, damit das Ergebnis aussagekräftig, aber auch effizient ist. Nicht jedes Projekt muss von Anfang an groß aufgesetzt sein. Häufig ist es deutlich sinnvoller, mit einem überschaubaren Scope zu beginnen, erste Erfolge schnell sichtbar zu machen und darauf aufbauend weitere Module sukzessive zu ergänzen.
Was macht für Sie eine gute Gap-Analyse aus und wie wird daraus ein praxisnaher Fahrplan?
Eine Gap-Analyse sollte immer zwei Dinge leisten: Erstens Transparenz schaffen – also zeigen, wo Sicherheitsmaßnahmen fehlen oder nicht greifen. Zweitens Prioritäten setzen. Wir bewerten nicht nur, was fehlt, sondern auch, wie relevant es für das Unternehmen ist. Daraus entsteht ein Fahrplan, der kurzfristige Quick Wins, mittelfristige Projekte und langfristige strategische Themen unterscheidet. So wird aus der Analyse ein realistischer Handlungsplan, statt einer überfordernden To-do-Liste.
Wo sollten Unternehmen anfangen, wenn Ressourcen begrenzt sind?
Der erste Schritt ist immer, die größten Risiken zu identifizieren. Nicht jede Maßnahme ist gleich wichtig. Wir empfehlen, sich auf die Systeme und Prozesse zu konzentrieren, die für den Geschäftsbetrieb kritisch sind. Wenn diese geschützt sind, entsteht automatisch Stabilität. Außerdem hilft es, mit kleinen, klar abgegrenzten Projekten zu starten, um Tempo und Vertrauen im Unternehmen aufzubauen.
Viele Fachbereiche außerhalb der IT haben eigene Perspektiven und Risiken. Wie fließen diese in Ihr Assessment ein?
Wir betrachten Cybersecurity als Querschnittsthema. Fachbereiche sind häufig näher an den Prozessen und können sehr genau einschätzen, wo Risiken entstehen – etwa durch Abläufe, Lieferanten- oder Kundenschnittstellen. In unseren Assessments holen wir diese Perspektiven gezielt ab, etwa über Workshops oder strukturierte Interviews. Das führt oft zu einem realistischeren Bild, als es rein technische Analysen liefern könnten. Vor allem an Übergängen zwischen Fachbereichen werden Schwachstellen sichtbar, die sonst übersehen würden.
Cybersecurity ist mehr als Technik. Wie gelingt es, Prozesse und Menschen sinnvoll einzubeziehen?
Technische Maßnahmen sind das Fundament, aber sie wirken nur, wenn die Menschen sie verstehen und mittragen. Deshalb setzen wir stark auf Sensibilisierung und klare Zuständigkeiten. Das beginnt bei Führungskräften, die Sicherheitsregeln vorleben, und reicht bis zu einfachen Leitlinien im Alltag. Entscheidend ist, dass Mitarbeiter wissen, warum Sicherheit wichtig ist – nicht, weil es „muss“, sondern weil sie selbst Teil davon sind. So entsteht ein Bewusstsein, das langfristig trägt.
Viele Unternehmen müssen NIS-2 oder ISO 27001 erfüllen. Wie hilft ein Assessment, solche Vorgaben praxisnah umzusetzen?
Ein Assessment ist die Grundlage für jede Form von Compliance. Es zeigt, wo ein Unternehmen bereits gut aufgestellt ist und wo Nachbesserungsbedarf besteht. Dabei geht es nicht darum, Paragraphen zu zitieren, sondern die Anforderungen auf den eigenen Betrieb herunterzubrechen. Gerade bei NIS-2 geht es stark um Angemessenheit – also darum, Maßnahmen in Relation zu Risiko und Unternehmensgröße zu setzen. Ein Assessment hilft, diesen Nachweis fundiert zu führen.
Welche Mehrwerte ergeben sich über die reine Sicherheit hinaus?
Ein gutes Sicherheitsniveau schafft Vertrauen – intern wie extern. Kunden, Partner und Aufsichtsbehörden erwarten heute, dass Unternehmen verantwortungsvoll mit Daten und Systemen umgehen. Darüber hinaus fördert Cybersecurity Effizienz: Wenn Prozesse sauber dokumentiert und Risiken klar verteilt sind, funktioniert Zusammenarbeit besser. Oft entstehen aus Sicherheitsprojekten auch ganz neue Ideen für Prozessoptimierung oder Digitalisierung.
Welche typischen Fehler sehen Sie in Projekten und wie lassen sie sich vermeiden?
Ein häufiger Fehler ist, Sicherheit als reines IT-Projekt zu sehen. Das führt dazu, dass Maßnahmen isoliert umgesetzt werden und später an organisatorischen Hürden scheitern. Ein anderer Punkt ist fehlende Priorisierung – alles gleichzeitig zu wollen, funktioniert nicht. Und schließlich wird der Faktor Mensch oft unterschätzt: Viele Vorfälle entstehen durch Unwissen, nicht durch böswillige Absicht. Frühzeitige Einbindung und Kommunikation helfen enorm.
Wohin entwickelt sich das Thema? Werden Assessments künftig stärker automatisiert, oder bleibt der persönliche Blick entscheidend?
Automatisierung wird sicher zunehmen – etwa bei der Auswertung technischer Daten oder bei kontinuierlichem Monitoring. Aber der persönliche Blick bleibt entscheidend, vor allem wenn es um Kontext geht. Kein Tool kann die Kultur eines Unternehmens oder seine Risikotoleranz wirklich erfassen. Die Zukunft liegt wahrscheinlich in einer Kombination: automatisierte Analysen für Geschwindigkeit und menschliche Erfahrung für die richtige Einordnung.
