#73 Fast alle CSRD-Berichte benennen Cyber Security. Warum sie wesentlich für Deine Nachhaltigkeitsstrategie ist!

Mirko Ross: Wenn halt meine Waschmaschine ein Stromkraftwerk in der Ukraine angreift, weil ein Hacker sie quasi als Teil eines Botnetzes missbraucht, weil sie nicht sicher ist, dann ist das ja auch nicht witzig. Also ich will das ja nicht. Ich will ja nicht, dass meine Waschmaschine in eine Waffe verwendet wird.

Zackes Brustik: Also es

Martin Dresp: ist ein neues Themenfeld, das damit reinkommt. Man musste sich in der Vergangenheit nicht mit dem Thema Risiken großartig auseinandersetzen. Ich hatte vor allem Kundenanforderungen erfüllt. Ich habe vielleicht ISO-Zertifizierung gemacht. Ich habe mich das Thema Energie sehr stark gekümmert die letzten Jahre. Jetzt muss ich Risiken bewerten.

Zackes Brustik: Diese Folge wird super spannend, denn wir schauen in ein Thema, das ich noch gar nicht auf dem Schirm hatte, das aber aktuell wohl bei fast allen Unternehmen im Nachhaltigkeits- vor allem im CSRD-Bericht als wesentlich angegeben wird. Cyber Security. Hä? Warum gehören Nachhaltigkeit und Cyber Security zusammen? Und warum landet das Thema bei fast jedem Sustainability Manager auf dem Tisch? Gleich zwei Profis werden mir erklären, warum es vor allem kleine Mittelständler ziemlich unvorbereitet trifft und was du als Nachhaltigkeitsmanager oder Mitglied von der Geschäftsführung brauchst, es richtig anzugehen. Nach dieser Folge weißt du, wie sich Cyber Security auf die Lebenszyklen und damit die Nachhaltigkeit von deinen Produkten auswirkt, aus welchem Grund es für fast alle Unternehmen als wesentlich angegeben wird Und wir tauchen ein in das zentrale Thema, dahinter in die zentrale Fähigkeit, die ein jeder Sustainability Manager eigentlich für alle seine Themen braucht, nämlich gutes Risikomanagement. Mit dabei Mirko Ross, international anerkannter Aktivist, Experte, Publizist und Forscher im Bereich Cyber-Sicherheit und IoT, berät die EU-Kommission und ist CEO bei Aswin, einer Cyber-Security-Firma. Ebenfalls aus Süddeutschland, Martin Treffs, Senior Consultant bei Bosch Climate Solutions in der Nachhaltigkeitsberatung für Großunternehmen und den breiten Mittelstand, war davor auch lange bei der LBBW Bank und hat dort die Nachhaltigkeitsstrategie gemacht. Ich weiß, ich habe mit Mirko gesprochen, ich kenne schon drei Kolleginnen von Martin und ich weiß, das wird eine Folge ohne Handbremse, jetzt wird es ans Eingemachte gehen. Und damit herzlich willkommen bei Gewinne Zukunft, dem Podcast für Nachhaltigkeitspioniere und Profis.

Zackes Brustik: Mein Name ist Zakkes, ich freue mich enorm, dass du wieder mit an Bord bist. Und bei der Gelegenheit natürlich Gewinne Zukunft abonnieren und vor allem auch den brandneuen Newsletter abonnieren. www.zackes.com/Newsletter. www.zackes.com/Newsletter. Dann kriegt ihr wirklich alles mit, was hier im Podcast passiert und vor allem auch Statements, die ich auf den ganzen Nachhaltigkeitsveranstaltungen im Hintergrund aufschnappe. Los geht's! Herzlich willkommen, Martin!

Martin Dresp: Hi, Zakkis! Hi, Mirko! Ich freue mich, dabei zu sein heute.

Zackes Brustik: Moin, Mirko.

Mirko Ross: Ja, Süddeutschland, grüß zurück.

Zackes Brustik: Sehr schön. Wir fangen gleich mal an. Auf das Thema bin ich aufmerksam geworden durch Anja Schröder. Die war zu Gast vor zwei folgen, da ging es die Omnibus-Regulierung und die meinte eben zu mir, das ist ein Kurios, wirklich bei fast allen CSRG-Berichten taucht unter den noch zusätzlich wesentlich Themen Cybersecurity auf. Und sie meinte, schau dir das mal genau an, ist super spannend. Martin, wie kommt das? Neben all den Themen, die Nachhaltigkeitsmanager schon bearbeiten, da sind ja schon so universal Gelehrte, warum jetzt noch Cybersecurity?

Martin Dresp: Ja, das ist eine gute Frage und ich glaube, das müssen wir im Laufe des Podcasts ein Stück weit aufdröseln müssen, weil Cybersecurity ist ein großer Überbegriff, aber was in den Standards natürlich definitiv hart mit drinsteht, ist das Thema Datenschutz Und über dieses Thema Datenschutz landet auch das Thema Cyber Risk auf den Tischen von ESG-Managern. Und das ist ein etwas, ich würde es mal sagen, etwas außergewöhnliches Themenfeld, wenn man ansonsten Klima, Umweltverschmutzung, Biodiversität anschaut. Dann ist Datenschutz doch außergewöhnlich und auch innerlich außergewöhnlich für unsere ESG-Menschen.

Zackes Brustik: Was sagst du denn dazu, Mirko, als Cybersecurity-Experte? Warum sollten Sustainability-Manager mit dir sprechen? Ist das Thema für dich auch neu oder sagst du die ganze Zeit schon, endlich hört mal jemand zu?

Mirko Ross: Ne, wow, ich bin vollkommen geflasht von Martins Darstellung. Wir befassen uns ja tatsächlich täglich mit Cybersecurity und haben ganz andere Themen, wo ihr sagt, boah, da geht es Nachhaltigkeit. Und deswegen, ich bin total verwundert, dass es auf dieses Thema Datenschutz eingegrenzt ist, was für mich zwar immer eine Problematik ist, die zur Cybersecurity mit dazugehört, aber ganz ehrlich, wenn wir uns diesen ganzen Cybersecurity-Kontext anschauen in puncto Nachhaltigkeit, eine eine Rolle ist, aber vom Impact vielleicht gar nicht die höchste.

Zackes Brustik: Sagt mal kurz zwei Beispiele, die richtig Impact haben.

Mirko Ross: Nehmen wir an, ich bin Produkthersteller. Also ich habe ein Produkt und ich, heute werden Produkte eben sehr schnell digitalisiert, also mit digitalen Elementen angereichert. Und dann passiert erst mal Folgendes. Da greift da nicht nur Nachhaltigkeitsregelung, da greifen Cyber Security Regelungen. Und jetzt gibt es halt ein ganz interessanter Fakt und könnt euch selber euer iPhone anschauen hier draußen. Das iPhone von Apple wird genau sechs Jahre mit Software-Updates versorgt Und nach sechs Jahren gibt es keine Updates mehr für ein iPhone. Das heißt, aus Cybersecurity-Sicht ist das Produkt nicht mehr sicher. Aus Datenschutz-Sicht muss man natürlich auch sagen, ist das Produkt dann auch nicht mehr sicher, weil ein Produkt, das nicht mehr cybersicher ist, führt natürlich dazu, dass auch Daten verloren gehen können.

Mirko Ross: Der Lebenszyklus von digitalen Produkten ist unumstimmlich, nur fünf bis sechs Jahre. Und das wirkt sich auf ganz viele Produkte aus. Fernseher, Waschmaschine, Auto, Mähdrescher, Oh, Umspannwerke, Generatoren, wie auch immer. Und wir merken es schon quasi bei dieser Nennung der Letzteren. Das sind ja alles eigentlich Geräte, die länger als fünf Jahre betrieben werden. Und eigentlich ist Software Support eine geplante Obduliszenz in diesen Geräten.

Martin Dresp: Wie sieht es denn in der Realität aus, wenn du sagst, der Software Support ist nach fünf Jahren vorbei? Was passiert mit diesen Geräten? Landen die denn alle auf dem Sondermüll oder werden die entzorgt?

Zackes Brustik: Gibt es irgendwo auf der Welt einen Ort, Mirko, wo wir dann Berge an Elektroschrott haben, an aussortierten iPhones, Mähdrescher und Industrieanlagen?

Mirko Ross: Ja, das ist eine sehr schöne Diskrepanz. Also ich kenne ja auch alle die Nachhaltigkeitsziele der Europäischen Kommission und tatsächlich haben wir eine Diskrepanz, denn tatsächlich steigt ja der Elektroschrott innerhalb der EU massiv an und Cybersecurity ist ehrlich gesagt eine Ursache dafür, weil wir viele Geräte aussortieren müssen, weil sie nicht mehr supportet werden können nach dem akzeptablen Zeitraum, den der Hersteller es gewährleisten kann. Das sind wie gesagt in der Regel fünf Jahre. Es gab ein Beispiel hier in Deutschland, kann man es schnell nennen, die Router, die in den Arztpraxen stehen. Und das sind ja mehrere tausend Router, die dort stehen. Das ist ein Hochsicherheitssystem. Zu Recht. Thema Datenschutz.

Mirko Ross: Und diese Router sind mit einem digitalen Zertifikat versehen. Und da gab es tatsächlich die Aufforderung nach Ärzte nach einem gewissen Zeitraum. Ich meine, es waren drei Jahre, alle Router auszutauschen in den Arztpraxen, weil das digitale Zertifikat angeblich nicht per Update erneuert werden kann auf diesen Routern. Und da hat der Chaos Computer Club sich das näher angeschaut. Der hat nämlich gesagt, aus Nachhaltigkeitssicht, das kann doch nicht sein, dass alle drei Jahre die Router ausgetauscht werden müssen oder fünf Jahre, sie müssen nochmal nachschauen, aber es gibt einen begrenzten Zeitraum, dass diese Router ausgetauscht werden müssen als Hardware. Das ist doch enorm viel Schrott. Und die Anschaffung der Router bezahlen die Krankenkassen also auch noch eine Umlage quasi auf die Solidargemeinschaft der Versicherten. Das kann nicht sein.

Mirko Ross: Glauben wir nicht, dass das nicht geht. Und dann haben sie so einen Router genommen, auseinandergeschraubt, gehackt, wie man das eben so macht, als Cyber-Sicherheitsforscher und festgestellt, natürlich können wir aus der Entfernung digitale Zertifikate draufspielen und man könnte es erneuern. Und das ist natürlich schon so ein Beispiel, das mich umtreibt, weil nämlich dann Cyber-Sicherheit quasi als Argument genommen wird, eine geplante Produktobstzulizenz durchzusetzen. Und das kann nicht sein. Und wenn wir das halt übertragen auf weite Teile unserer Ökonomie, also denk mal an Fahrzeuge, an Autos und so weiter, an eure Waschmaschine, das treibt mich kann nicht sein. Also wenn wir Nachhaltigkeit machen und ESG-Reports sauber eigentlich nehmen, dann müssten die zum Management Entscheidungen führen, die eben sagen, wir müssen unsere Produkte auch tatsächlich nachhaltig gestalten und bauen und wenn es Digitalprodukte sind, das auch machen. Und wenn die Reports das nicht abbilden können, dann haben wir da eine Schwachstelle.

Zackes Brustik: Aber ist es praktisch überhaupt möglich? Also weil Kreislaufwirtschaft, man kann unglaublich viel machen. Man kann Materialien austauschen, von ganz kleinen Beispielen. Ich kann schauen, dass ich eine nachhaltige Packung habe und die innen richtig beschichtet ist. Ich kann schauen, dass ich Plastik durch Naturmaterialien ersetze und all diese Dinge sind vielleicht auch auf Jahre haltbar. Aber ist es überhaupt möglich, das Cyber-Thema über fünf Jahre hinaus zu denken? Weil das wandelt sich ja unglaublich schnell.

Mirko Ross: Ja, es hat einen Einfluss eben auf Produktdesign, wie man Produkte gestaltet, wie man Software auf Produkte gestaltet. Und was wir halt sehen, ist, wenn es Hersteller nicht bedenken, dann fließt es eben in eine Welt, wo Produkte plötzlich nach fünf Jahren nicht mehr funktionieren. Und das sind meist hochpreisige Produkte, was wir oftmals sehen, dass das eine oder Produkte unsicher sind. Und wenn halt meine Waschmaschine ein Stromkraftwerk in der Ukraine angreift, weil ein Hacker sie quasi als Teil eines Botnetzes missbraucht, weil sie nicht sicher ist, dann ist das ja auch nicht witzig. Also ich will das ja nicht. Ich will ja nicht, dass meine Waschmaschine in eine Waffe verwendet wird.

Zackes Brustik: Sorry, da muss ich jetzt kurz als Laie nachhaken. Das geht?

Mirko Ross: Ja, das geht.

Zackes Brustik: Und das interessiert Martin auch, weil ich sage mal, auf entfernte Related Art und Weise hat sein Unternehmen natürlich auch mit Waschmaschinen zu tun.

Mirko Ross: Für die ist das natürlich auch ein Gefahrenbild des Erkanntes und wo man als Hersteller natürlich eine Antwort darauf finden muss.

Martin Dresp: Ich würde aber da auch gerne kurz einsteigen. Einerseits, wenn es jetzt gerade schon meinen Mutterkonzern geht, in deren Bericht steht Cyber-Risk als größtes Einzelrisiko mit drin. Es lässt sich nicht ganz konkret rauslesen, in welchen Facetten das Risiko überall gedacht wurde. Also ich kann jetzt nicht aus dem Bericht rauslesen, dass genau dieses Beispiel, was du gerade gebracht hast, eines ist, was da berichtet wurde. Aber sei es drum. Es ist als größtes Einzelrisiko mit drin, was ja schon mal eine schöne Sache ist, das mal festzuhalten. Aber meine Augen wurden vorhin immer größer. Ich war sehr schockiert, muss ich zugeben, beim Thema Abfall, der da entsteht.

Martin Dresp: Und Kreislaufwirtschaft ist natürlich ein Top-Thema bei ganz vielen unserer Kunden. Dass Kreislaufwirtschaft als Chance gesehen wird, dass es als Top-Thema auf die Agenda kommt. Ich muss meine Produkte neu Designen, neu denken. Aber der Aspekt der Cyber Security ist für mich persönlich ein komplett neuer Aspekt, an den ich dabei noch nie gedacht habe. Ich habe eher an die Punkte, die du gebracht hast, gedacht. Ja, ich kann das Material austauschen, ich kann die Produkte langlebiger machen, aber was bringt mir ein langlebig designtes Produkt, wenn die Software damit nicht mitspielt.

Mirko Ross: Richtig. Und das ist ja meine Message. Die trage ich gerne nochmal hier nach draußen. Ihr müsst quasi den Lebenszyklus der digitalen Produkte managen. Neben dem Lebenszyklus, den ihr sonst wie auf der Hardware und anderen Komponenten habt. Wenn ihr den nicht managt, dann könnt ihr noch so viel machen auf der Hardwareseite. Die Produkte landen nach fünf oder sechs Jahren, wenn sie nicht mehr weiter supported werden, auf dem Müll, weil die digitale Komponente einen weiteren sicheren Betrieb nicht mehr erlaubt.

Martin Dresp: Dann sollten wir doch viel enger zusammenarbeiten, Mirko.

Mirko Ross: Ja, das wäre toll. Wir starten jetzt.

Zackes Brustik: Und dazu dir, Martin. Also wir haben zwei Perspektiven. Das eine ist sozusagen, das hat Mirko gesagt, wie gerät das komplette Lifecycle Assessment durcheinander durch die digitale Komponente? Und das andere ist, wie kommt durch die Regulation plötzlich das Thema beim Nachhaltigkeitsmanager an?

Martin Dresp: Genau, ich würde mal versuchen, die Themen so ein bisschen zu trennen und warum dieses Datenschutzthema auf den Schreibtisch der ESG-ManagerInnen kommt. Datenschutz, da geht es natürlich den Schutz persönlicher Daten, persönlicher Informationen mit hoher Schutzbedürftigkeit, nenne ich es mal. Das heißt, über die soziale Schiene kommt das Thema in die Wesentlichkeitsanalyse, in die ESRS-Standards. Aber, wie Mirko ja schon gesagt hat, nur ein ganz ganz kleiner Teil, das Thema Cyber Risk oder Cyber Security Management. Da liegt dann auch die Herausforderung meines Erachtens für die Unternehmen. Wie gehe ich denn jetzt damit Jetzt habe ich dieses Thema Datenschutz, muss ich irgendwie in meinem Sustainability Statement verarbeiten. Aber gleichzeitig ist es so ein kleiner Teilaspekt, der im Zweifelsfall als nicht wesentlich deklariert wird und wieder rausfällt aus der Berichtspflicht, zumindest was das ESG Reporting angeht. Und dann ist aus meiner Sicht die größte Herausforderung, dieses Thema ganzheitlich als Unternehmen zu betrachten.

Martin Dresp: Die Stellen miteinander zusammen zu bringen, das Cyberrisiken, Datenschutz und wer auch immer sich darum kümmert, diese Themen miteinander die Themen besprechen und behandeln, damit der ESG Manager seine Pflichten erfüllen kann. Gleichzeitig aber das Wohl des Unternehmens steht ja oben drüber. Sprich, ich muss das Cyber-Risiko gesamthaft betrachten.

Zackes Brustik: Sag mal kurz, es wird in der ESRS abgedeckt, aber landet, und das war das, was Anja meinte, es landet ganz oft eben in den unternehmenspezifischen Wesentlichkeiten am Ende.

Martin Dresp: Richtig. Ganz kurz, wie die ESRS-Standards aufgebaut sind. Es gibt diese vorgegebene Nachhaltigkeitsaspekte, die ich betrachten muss. Da ist Datenschutz mit drin und dann sind Unternehmen dazu aufgefordert, angehalten noch unternehmensspezifische Aspekte zu ergänzen. Das heißt, da ist Tür und Angel natürlich aufgemacht worden. Ich kann jetzt noch frei aussuchen, was für Themen ich vielleicht noch für relevant halte. Und da taucht das Thema Cyberrisiko dann in der Regel auf. Das ist ein Thema, was bei fast allen CSRD-Berichten, die jetzt dieses Jahr schon erschienen sind, mit aufkommt.

Martin Dresp: Wobei man da unabhängig von CSRD vielleicht dieses Feld auch mal aufmachen muss, denn wenn ich die Geschäftsberichte der börsennotierten AGs anschaue, dann ist im Risiko und Management Report, ist ja Teil des Lageberichts, Das Thema Cyberrisiko in der Regel auch schon mit drauf gewesen. Das heißt, es ist kein gänzlich neues Thema. Es wird jetzt nur noch mal aus einem anderen Betrachtungswinkel aufgemacht, was das Ganze, ich sag mal, das Bild hängt für mich im ersten Moment erstmal ein bisschen schief. Und ich hab mich auch gefragt, was macht denn das Datenschutzthema jetzt hier drin? Und so geht es, glaube ich, vielen ESG-Managern auch. Wie soll ich denn das Datenschutz beurteilen? Und was hat das konkret mit meinem Daily Business zu tun?

Zackes Brustik: Ist denn da der Unterschied? Weil das habe ich im Vorfeld gesehen. Das ist ja auch eine Sache, die bei Omnibus nicht rausfliegt. Also Wir schauen mal ganz tief in den regulatorischen Nied rein und kommen dann zurück wieder zu der großen Perspektive, die Mirko eingebracht hat. Aber was ich spannend finde, ist, die doppelte Wesentlichkeitsanalyse bleibt ja zum Beispiel drin, die wird nicht angetastet von der Omnibus-Regulierung. Aber anscheinend ist eben, weil es dank der CSRD diese umfassende Risikoanalyse brauchte, wurde zum allerersten Mal auch das Cybersecurity-Thema verbindlich. Davor quasi hatten die alle möglichen Anreize und Gesetze, Mirko, das Thema zu bearbeiten, vor allem die großen Unternehmen. Aber es war noch nie so verbindlich wie durch die CSRD, dass sie tatsächlich diese Risikoanalysen durchlaufen mussten, das dokumentieren mussten und schauen mussten, welche finanziellen Risiken ergeben sich denn dadurch für mein Business oder welche Risiken ergeben sich aus nachhaltiger Sicht für Menschen oder andere Aspekte? Das heißt, zum allerersten Mal musste da jetzt so ein normaler Mittelständler vielleicht auch in der Tiefe ran, wie er es bisher noch nicht musste.

Mirko Ross: Also der Cybersecurity-Experte schüttelt gerade, wer hier mit dem Kopf, was für ein Quatsch, liebe Freunde. So funktioniert die Cybersecurity-Welt nicht. Könnt ihr euch an alle Nachhaltigkeitsplaner... So funktioniert es nicht. Das wäre meine erste große Message hier. Das eine ist quasi regulatorische Reporting-Pflicht, die ihr in eurem Silo habt, nämlich für Nachhaltigkeitsreports. Und das mag für den Silo für euch so stimmig sein. Der Cybersecurity-Expert, der sagt, das ist totaler Quatsch, was er hier macht.

Mirko Ross: Aber er erfüllt halt regulatorischen Quatsch. Okay, das ist die eine Ebene. Jetzt kommt das Bashing quasi. Die gute Nachricht jetzt aber, jetzt kommen die Cyber Security Leute und stellt euch vor, es gibt eine Handvoll europäischer Regulation, Gesetze, Regeln, die für Unternehmen zu beachten sind, bei denen sie Cybersicherheitsrisiken einschätzen müssen. Also wenn ich jetzt Nachhaltigkeitsreportersteller bin, würde ich dann doch zu meinem CISO gehen, den ich habe im Unternehmen und sage, hey, wie sieht denn euer Cybersecurity-Risiko-Assessment aus? Und dann müsste er eigentlich, wenn er gut aufgestellt ist, eine Antwort drauf liefern, denn er hat andere Regulatorien, nämlich zum Beispiel den NIST 2 oder wenn er Produkthersteller ist, dann zukünftig den Cyber Resilience Act und so weiter. Da stehen überall drin, da müsst ihr Cyber Security Risiko Assessments machen Und dann müsst ihr euch aus diesem Silo bedienen. Und nochmal ganz wichtig, weil ich sehe Martin zuckt schon. Datenschutz, liebe Freunde hier draußen, Datenschutz ist nur ein klitzekleiner Aspekt überhaupt des Unternehmensrisiko, das euch trifft, wenn ihr einen Cybervorfall habt.

Mirko Ross: Und es ist ganz extrem schwierig zu quantifizieren, was eigentlich der Impact eines Datenschutzvorfalls ist. Und deswegen kann ich nur sagen, selbst wenn wir als Unternehmen irgendwas im Report, eine Zahl drin haben, die wirklich dann zu belasten, wenn sie sich nur auf Datenschutz bezieht, wird extrem schwierig sein.

Zackes Brustik: Da will ich gleich noch Beispiele hören. Mirko, aber erst zu Martin.

Martin Dresp: Ich habe zwei Punkte dazu. Einmal, das Bashing so ein bisschen vielleicht wieder abzufedern. Datenschutz ist ein kleiner Aspekt, dem widersprechen wir ja gar nicht. Ich spreche jetzt mal als wir die Nachhaltigkeitsverantwortlichen in Unternehmen. Deswegen landet es auch nicht als wesentliches Thema im ESRS Report, sondern es wird übergeordnet als Cyberrisk bewertet und betrachtet. Das heißt, das Thema Datenschutz fließt damit ein. Allerdings muss das Thema Datenschutz im Rahmen der Wesentlichkeitsanalyse einmal, ich sag's mal, bewertet werden, damit der Wirtschaftsprüfer am Schluss seinen Haken aufträgt. Diese regulatorische Pflicht, ja, aber die Bewertung gesamthaft ist aus meiner Sicht natürlich nur sinnvoll, das auf Cyber-Sicherheitsebene zu machen, also aus der Brille, aus der du sprichst.

Martin Dresp: Und da hatte ich eine Frage, weil du gesagt hattest, die Unternehmen sind eine Handvoll Regularien da schon ausgesetzt. Hast du da eine Größennummer, also ab welcher Mitarbeiterzahl Umsatz gibt es diese Regularien? Lässt sich das festmachen?

Mirko Ross: Ja, kann man festmachen. Also es gibt zum Beispiel die NIS2 Directive in Europa, die gilt. Also sie muss in nationales Recht umgesetzt werden für Deutschland. Deutschland ist ein bisschen hinterher noch wie 22 andere Mitgliedstaaten, aber ihr könnt euch darauf einstellen, dass September, Frühjahr nächsten Jahres das Ganze greift. Und da ist erstmal, es betrifft bestimmte Klassen von Unternehmen, die als Risiko eingestuft werden und damit kritische Infrastruktur werden. Aber Das betrifft beispielsweise auch den Maschinenbauer. Und jetzt kommt ganz wichtig, der Threshold hier sind Unternehmen ab 50 Mitarbeiter und 10 Millionen Umsatz. So und deswegen muss man sehr genau prüfen, ok, falle ich als Unternehmen irgendwo in diese Kategorie rein? Und wenn ich in diese Kategorie falle, dann muss ich Cybersecurity-Risikomanagement installieren.

Mirko Ross: Und dazu gehört eben eine Analyse quasi meiner Cybersecurity Risiken Bewertung und dann eine Festlegung, was sind die richtigen Mitigationsstrategien. Und den Hörern da draußen noch mal eins mitzugeben, quasi hier zack, schön, vor einem Risikoreport. Wenn wir jetzt quasi mal uns anschauen, was sind die größten Risiken für Unternehmen? Nachhaltigkeitsrisiken, gebe ich euch vollkommen recht, sind extrem wichtig, aber das größte Risiko für Unternehmen in Deutschland und in Europa sind Cyber-Sicherheitsrisiken. Die Allianz gibt immer so einen schönen Risikobarometer raus, Risikobericht. Nummer eins, Cyber-Sicherheitsrisiken für Unternehmen in Deutschland. Erst danach kommt irgendwie Feuer, Hochwasser, Hurricanes, was immer sonst noch Unternehmensrisiken sind. Cyber-Security-Risiken verursachen Milliarden Schäden und da spielt der Datenschutz auch eine Rolle und welche Daten da verloren gehen, aber es sind oftmals viel direktere Schäden, die man viel direkter messen kann.

Zackes Brustik: Put dabei die Fische. Zwei, drei ganz schnelle Beispiele.

Mirko Ross: Jeder kann prüfen, ob seine Daten zum Beispiel bei Meta verloren gegangen sind. Da gibt es gerade Klagen. Es gibt sowohl zivilrechtliche Klagen wie auch in Europa. Quasi auch die Europäische Kommission geht gegen Meta vor, weil dort nämlich Daten verloren gegangen sind, also respektiv geklaut wurden. Die kursieren halt jetzt im Netz und werden dann halt auch von vielen Angreifern jetzt verwendet. Es gibt große Datenbanken. Wenn ich jetzt in Deutschland klage, kann ich mit der Sammelklage als Privatperson anschließen und bestenfalls kriege ich vielleicht 100 oder 150 Euro Entschädigung dafür, dass meine Daten verloren gegangen sind. Das steht in keinem Verhältnis dazu, was der wirkliche Schaden ist.

Mirko Ross: Also ich bekomme täglich Spam-Anrufe, ich bekomme bessere Phishing-E-Mails und so weiter. Der Schaden ist viel höher wie diese 150 Euro. Und deswegen ist diese Quantifizierung extrem schwierig. Also was setzen wir da jetzt wirklich an als Schäden?

Zackes Brustik: Da geht es jetzt ja nur, also Meta wird gehackt, aber keine Ahnung, ein Krankenhaus wird gehackt, dann geht es ja nicht nur Patientendaten, dann geht es im schlimmsten Fall auch die Intensivstation, die gerade nicht weiterläuft und dann geht es sogar Leibeswohl.

Mirko Ross: Genau, also nehmen wir an, Krankenhaus wird gehackt, Ransomware. Was haben wir? Wir haben erstmal die direkte Folge, ein Krankenhausbetreiber, IT funktioniert nicht mehr, Operationen müssen verschoben werden, Krebsoperation, kritische Operation. Also da geht es Leib und Leben, wie wollen wir das bewerten? Und dann wird noch Lösegeld bezahlt, abgesehen davon, das sind quasi direkte Kosten.

Zackes Brustik: Aber das ist ja genau die Frage, wie wollen wir das bewerten, Martin? Also jetzt hat Mirko so ein kleines bisschen das Nachhaltigkeitsreporting gebasht, du darfst die Fahne wieder hochhalten, aber trotzdem gleichzeitig auch berichten, wie gut das denn da tatsächlich aussieht. Also deine Einschätzung, du kommst aus dem Bankenbereich, bis jetzt im Nachhaltigkeitsbereich hast mit ganz vielen normalen Mittelständlern zu tun, also Maschinenbau und sowas. Wie gut sind die da drin, diese Risiken überhaupt auf dem Schirm zu haben und dann auch richtig zu bewerben?

Martin Dresp: Genau, ich war zehn Jahre bei einer Bank und Risikomanagement ist das Geschäftsmodell von einer Bank. Eine Bank geht bewusst Risiken ein und muss diese Risiken managen, ansonsten ist eine Bank nicht überlebensfähig. Dadurch gibt es in Banken natürlich riesige Abteilungen, die sich dieses Risikomanagement kümmern, für diese Risiken Szenarioanalysen erstellen, Modelle entwickeln. Und da war ich, muss ich zugeben, nach meinem Wechsel zu Bosch Climate Solutions und dann in die Beratung bei einigen Kundenprojekten doch etwas erstaunt, wenn nicht sogar erschrocken, wie das Risikomanagement dort läuft, weil bei, ich sag mal, kleineren Mittelständlern, sag mal, eher unter 1000 Mitarbeitern die Größe, da findet das Risikomanagement wenig bis gar nicht statt. Häufig hatte ich den Eindruck, auf der Geschäftsführerebene wird, sag mal, Expertenschätzung getroffen, Welches Risiko sehe ich, welches Risiko sehe ich weniger? Aber wenig Fundament dahinter, sage ich jetzt mal.

Zackes Brustik: Und wie gut vorbereitet ist der durchschnittliche Nachhaltigkeitsmanager auf das Thema?

Martin Dresp: Das Thema Chancen und Risiken ist natürlich ein ganz spannendes Thema und essenzieller Teil der doppelten Wesentlichkeitsanalyse. Ich muss meine Chancen und Risiken identifizieren, ich muss sie bewerten und ich muss sie bewerten anhand zweier Kriterien. Das eine ist die Eintrittswahrscheinlichkeit und der zweite Punkt ist das potenzielle finanzielle Ausmaß, das dieses Risiko haben kann, wenn es denn Eintritt. Und da steige ich auch gleich auf einen Satz, Mirko, den du gesagt hast noch mit ein. Du hast den Allianz Risk Report angesprochen. Passenderweise heute Vormittag noch ein Gespräch mit einem Kunden gehabt, Mittelständler, global aufgestellt, hat mehr als 2000 Mitarbeiter und die nutzen den Allianz Risk Report tatsächlich als wesentliches Instrument, das Risikomanagement zu betreiben. Sprich, auch da steht im Whisckeyport das Cyber-Risiko ganz oben. Aber welcher Schritt fehlt? Was heißt das denn konkret für mich als Unternehmer? Das ist zumindest meine Erfahrung, die ich da wahrnehme.

Martin Dresp: Ich habe jetzt in dem Whiskey-Pod gelesen, okay, Cyber-Risiko scheint global ein Riesenthema zu sein. Ich setze das auch bei mir als Top-Risiko mit auf die Agenda. Aber was heißt denn konkret für mich und mein Geschäftsmodell? Und dieser Schritt, den sehe ich bei Mittelständern häufig noch nicht. Und da hilft jetzt aus meiner Sicht die Nachhaltigkeitsregulatorik ein Stück weit. Denn wenn diese Risiken, sei es jetzt über die Nachhaltigkeitsaspekte wie Datenschutz oder über unternehmensspezifische Themen wie Cyber-Risk größer betrachtet reinkommen, dann muss ich die bewerten. Ich muss die versuchen zu bewerten und ich muss da Eurozahlen dahinter schreiben. Das können Ranges sein, aber ich muss dahinter schreiben, was passiert, wenn dieses Risiko eintritt. Und das ist, glaube ich, sehr, sehr schwierig.

Martin Dresp: Hast du gerade auch schon so ein Stück weit nämlich die Tür dazu aufgemacht, mit den 150 Euro Strafe, die da bezahlt werden muss. Das steht natürlich in keinem Verhältnis zu dem Schaden, der wirklich eintritt.

Zackes Brustik: Und das war genau der Punkt, auf den ich vorhin hinaus wollte. Da zwingt dann eben die Regulation die Verantwortlichen dafür, sich damit auseinanderzusetzen, oder?

Martin Dresp: Die Regulation hat natürlich Vor- und Nachteile. Genau, der Vorteil ist, dass ich mich damit auseinandersetze, aber am Schluss gewinne ich natürlich nichts damit, wenn ich dann 20 Risiken identifiziert habe. Ich kann die weiterhin versuchen qualitativ zu bewerten, aber nichts mit diesen Risiken mache und auch nicht kontinuierlich tracke. Am Schluss geht es ja bei diesem Risiko- und Chancenthema, was sich die EFRAG oder die EU da überlegt hat, darum, Unternehmen resilienter aufzustellen, dass diese Transformation, in der wir uns befinden, gut funktioniert für die europäische Wirtschaft. Und da ist ein Risikomanagement, ein vollumfängliches Risikomanagement, da spreche ich nicht nur von ISG-Risiken, sondern genauso finanziellen Risiken sind da natürlich notwendig, zwingend notwendig, überlebensfähig zu bleiben und resilient zu bleiben. Und vor allem die letzten Jahre haben ja gezeigt, wie externe Effekte Geschäftsmittel auf den Kopf stellen können.

Zackes Brustik: Also es müssen doch eigentlich gute Neuigkeiten sein für dich Mirko, weil theoretisch hast du da sozusagen nochmal einen neuen Driver, Gehör zu finden, oder?

Mirko Ross: Also erstmal grundsätzlich, alles was irgendwie erwähnt wird, schafft es gut. Ich habe allerdings bei den ganzen Risikoreportings und auch regulatorischen Vorgaben da meine leichten Zweifel, dass das eine ausreichend sinnvolle Maßnahme ist oder dass es eben nachher nur in Compliance-Scheingefechten stattfindet. Und letzteres ist eine Gefahr. Also Unternehmen bekommen die Vorgaben, sagen ich muss Reporting machen und sei es jetzt ESG-Reports oder ich hatte ja gesagt Cybersecurity-Reports werden zukünftig auch noch erstellt werden müssen und getrackt werden. Und Das Problem ist, dass wir unter Umständen hier quasi wirklich in reine Compliance-Aktionen abdriften. Und die haben ein anderes Problem. Damit kommen wir nämlich in eine Situation, dass Dinge auf dem Papier gemacht werden und auf dem Papier sieht alles ganz gut aus. In der Realität sieht es eben anders aus und das führt zu Fehlwahrnehmung.

Mirko Ross: Also dann sage ich als Geschäftsführer, hey in den Reports sieht ja alles gut aus. Warum hatten wir jetzt einen Cyberangriff? Und schlechte Nachricht für alle da draußen, wenn ihr einen Cyberangriff habt, wie zum Beispiel ein Ransomware-Vorfall, dann dauert es im Schnitt mehrere Monate, bis euer Betrieb überhaupt wieder in irgendeiner Form so arbeiten kann wie vor dem Vorfall. Also viele Betriebe müssen komplett ihre IT renovieren. Also als Hinweis. Das sind massive Vorfälle. Und die Risikowahrnehmung, da kann noch so viel Reporting drinstehen. Ich sag's, Martin sagt's, wir alle sagen's. Hier ist ein Risiko.

Mirko Ross: Das ist eine quasi eine Wahrnehmung auf dem Papier. Quantifizierung hilft natürlich, wenn ich sagen kann, okay, guck mal, das Risiko ist euer Jahresumsatz, dann ist es tatsächlich was anderes. Und jetzt kommt es aber, Martin, wenn es halt nur Datenschutz ist und wir von 100 Euro quasi pro Datensatz regen nachher in der Quantifizierung, dann führt das zu einer Wählwahrnehmung. Also ist eigentlich kontraproduktiv. Das heißt, wenn wir quantifizieren, dann müssen wir tatsächlich den Bogen weiterspannen, wenn wir Cyberrisiken in den Reports abbilden wollen, dass da wirklich dann auch Action passiert. Ansonsten ist es nämlich nur eine Beruhigungspille oder ein Schlafmittel oder wie auch immer, weil eben falsch quantifiziert wird. Und das wäre auch tatsächlich so mein großer Kritikpunkt hier, dass wir sagen, entweder machen wir es richtig, oder es ist besser, wenn wir es bleiben lassen. Gut, kann ich mit Brüssel reden, ob wir es nicht ändern wollen.

Zackes Brustik: Dann wieder der Ball zurück zu dir, Martin. Wie sieht es denn aus mit der Quantifizierung? Also habt ihr gerade Kunden oder siehst du in der Branche Unternehmen, die sich ernsthaft benühen, das jenseits von der Compliance für sie wirklich relevant zu quantifizieren?

Martin Dresp: Also grundsätzlich gebe ich Mirko recht. Ja, Compliance ist immer eine Gefahr. Dass das mein Ziel ist, nur die Compliance zu erfüllen und das gilt auch für das Thema Nachhaltigkeit. Diesen Eindruck habe ich die letzten Monate durchaus teilweise gewonnen, dass es nur darum geht zu bestehen, in Anführungsstrichen den ersten Report rauszukriegen und der Wirtschaftsprüfer bestätigt das und dann ist gut. Da hatte ich immer die Hoffnung, dass es in den Folgejahren weiterentwickeln kann und dass die Basis damit geschaffen wird. Und Basis schaffen, da komme ich auch zu praktischen Erfahrungen, die ich mit meinen Kunden da gemacht habe. Was höre ich häufig, wenn es das Thema Risiko geht? Naja, die letzten 30 Jahre ist nichts passiert, deswegen wird es auch weiterhin gut gehen. Da wird auch die nächsten 30 Jahre nichts passieren.

Martin Dresp: Da zuckt es bei mir natürlich immer innerlich ein bisschen zusammen, da die Vergangenheit kann ein Indikator für die Zukunft sein, aber kann natürlich auch ganz anders laufen. Da gibt es auch genügend Beispiele, glaube ich, die wir in den letzten Jahren erlebt haben, dass die Vergangenheit da leider nicht ausreichend war, die Risiken der Zukunft zu bewerten. Auf der anderen Seite erlebe ich durchaus schon, dass das Thema Datenschutz poppt auf. Ja, hatten wir besprochen, dass es nur ein kleiner kleiner Teil ist, poppt auf und macht damit aber die Brücke, schlägt die Brücke zum Thema Cyberrisk. Und wenn ich dann das Thema Cyber Risk als unternehmensspezifisches Risiko mit aufnehme, dann liegt der Ball erst mal in der Nachhaltigkeitsabteilung. Wenn die ESG-Manager dann diese Brücke schlagen zum Thema Cyber Risk, dann habe ich auch schon zwei Varianten erlebt. Zum einen soll das Thema groß aufgezogen werden. Es steht auf der Agenda.

Martin Dresp: Es wurde auch schon mit dem Wirtschaftsprüfer handiskutiert. Aber die Ausarbeitung steht noch aus. Und die muss dann natürlich stattfinden bis zum ersten Report. Aber die wird nicht beim ESG Manager liegen, sondern die wird dann mit den Datenschutzbeauftragten schrägstrich den Cyber Security, Cyber Sicherheitsabteilungen stattfinden. Die müssen dann natürlich ihren Teil dazu beitragen. Auf der anderen Seite habe ich aber auch schon erlebt, dass das Thema Datenschutz rein aus pragmatischen Gründen, ich muss diese regulatorische Pflicht erfüllen, ich muss das Thema Datenschutz jetzt hier bewerten, der ESG-Manager macht das mal schnell und bewertet diese Punkte, die bewertet werden müssen, unabhängig davon, was die Folgewirkung dann davon ist. Hauptsache ich habe diese Pflicht erfüllt und dann komme ich auch wieder zurück auf den Satz von dir, Mirko. Dann ist es natürlich eine Gefahr, da da nicht mit Zahlen, Daten, Fakten gearbeitet wurde, mit den richtigen Menschen darüber gesprochen wurde, sondern die Pflicht wurde erfüllt.

Martin Dresp: Ich weiß nicht, ob der Wirtschaftsprüfer so etwas anmerken wird. Vielleicht würde er da kritisch hinterfragen, wer hat diese Frage beantwortet. Aber da kann dann natürlich ein falscher Eindruck auch Richtung Management vermittelt werden.

Mirko Ross: Ja, also meine Kritik geht ja weiter. Ich sage ja nicht mal, selbst wenn er es sorgfältig macht, also er ist ganz sorgfältig, er sagt hier, ich bin quasi ein Produkthersteller oder ich habe Services, da werden sensible Daten verarbeitet, die unter Datenschutzgesichtspunkten relevant sind. Selbst dann, und jetzt sagen wir es sind 1000 Datensätze und selbst dann wissen wir, dass die Rechtsprechung sagt, Der maximale Schadensersatz, der da droht, sind, sage ich mal, 1000 mal 100, ja, das sind wir bei 100.000 Euro. Und vielleicht noch eine Strafe, die mir quasi droht, wegen einem Datenschutzverstoß, dann sind wir vielleicht, kann ich 300.000 Euro Risiko eintragen. Und das führt halt zu einer kompletten Fehlwahrnehmung. Denn der Schaden, der reale Schaden bei einem Cyberangriff ist viel höher. Das ist nur ein Bruchteil, liebe Freunde da draußen, sondern wenn ihr einen Ransomware-Vorfall hattet und bei dem werden Daten geklaut, das ist mittlerweile die Strategie von Ransomware-Vorfällen, dann könnt ihr die zwar jetzt mit 300.000 Euro bewerten als möglicher Verlust, aber euer Realschaden im Unternehmen wird ein Mehrfaches sein. Wir reden dann von 2 Millionen, 3 Millionen, 30 Millionen Euro Schaden.

Mirko Ross: Und deswegen ist eben diese Fokussierung auf Daten und Datenschutz eine vollkommene Fällkonstruktion im Report. Und das muss man eben so sagen und führt dann zu einer Fällwahrnehmung von Risiko, wenn ich es nur quasi aus der Reportseite habe. Und jetzt kommt das Gute. Dadurch, dass wir andere Regulatorien haben und quasi andere Abteilungen, in dem Fall eben nicht der Datenschutz, sondern der CISO, quasi die Cyber Security Abteilung in den Unternehmen, ihre eigenen Cyber Security Risikoreports machen, wird es dazu führen, dass das Management vielleicht unterschiedliche Reports mit unterschiedlichen Zahlen bekommt, die beide quasi aus Compliance-Sicht korrekt sind. Und dann muss das Management selber entscheiden, wie bewerte ich denn mein Risiko, wenn ich vielleicht auf der einen Seite 30 Millionen Schadenspotential habe und auf der anderen Seite im anderen Report 300.000 Euro. Und das ist natürlich ein Widerspruch, den muss man aufklären, in diesem ganzen Reporting-Wahn, und jetzt sprechen wir als Unternehmer, in dem wir natürlich als Unternehmen unterliegen.

Zackes Brustik: Und da gibt es wahrscheinlich die frappierenden Unterschiede. Bin ich ein Unternehmen mit 1.000, 4.000, 5.000 Mitarbeitenden, die die unterschiedlichen Verantwortlichen hat, Vielleicht von der Unternehmensgröße AI schon lange drauf einzahlt? Oder bin ich eher im unteren Mitarbeitendenbereich unterwegs? Auch wieder der Realabgleich, Martin, also weil das ja unabhängig davon, ob es jetzt Cybersecurity, Datensicherheit oder grundsätzliche Klimathemen geht. So das wirklich zu wissen, wie bewerte ich ein Risiko, wie ist der Kontext für ein bestimmtes Thema, wie exponiert sind wir als Unternehmen, was sind die möglichen Schäden, wie quantifiziere ich die, wie bereite ich Strategien darauf vor, Was ist so das Skill Level des durchschnittlichen Nachhaltigkeitsverantwortlichen in dem Bereich?

Martin Dresp: Also es ist ein neues Themenfeld, das damit mit reinkommt. Man musste sich in der Vergangenheit nicht mit dem Thema Risiken großartig auseinandersetzen. Ich hatte vor allem Kundenveranforderungen erfüllt, ich habe vielleicht ISO-Zertifizierung gemacht, Ich habe mich das Thema Energie sehr stark gekümmert die letzten Jahre. Jetzt muss ich Risiken bewerten. Ich habe ja einen Banking Background, das heißt, ich bin grundsätzlich Fan von Risiken. Die können eine falsche Info vielleicht weitergeben, aber wenn ich die Risiken nicht kenne, kann ich sie auch nicht steuern. Heißt, aus meiner Sicht muss ich diese Risiken grundsätzlich erstmal identifizieren. Wenn ich sie identifiziert habe, dann geht natürlich die Arbeit erst los.

Martin Dresp: Was mache ich denn jetzt damit? Ich kann Maßnahmen ergreifen, Ich kann Mitigationsmaßnahmen, ich kann Versicherungen abschließen im Cyberspace. Ja, da gibt es ein großes Spielfeld, in dem ich mich austoben kann. Und dafür brauche ich natürlich auch wieder verschiedene Einheiten im Unternehmen. Aber zurück auf deine Frage zu kommen, welches Skillset braucht es hier denn? Am Schluss ist doch die große Herausforderung, das als gesamtes Unternehmen zu betrachten. Jetzt gibt es ein Reporting von der Cyber Security Abteilung, es gibt ein Reporting von der ESG Abteilung. Der Geschäftsführer guckt sich das beides an, nickt das vielleicht ab, ja, oder hinterfragt es. Aber was mache ich denn jetzt mit diesen beiden Reportings, die ich da habe? Sollte ich das nicht gesamtheitlich betrachten und mein Risikomanagement auf die gesamte Organisation ausrollen und im Idealfall dann noch mit dem Strategieprozess verbinden? Weil nur dann wird ein Schuh draus aus meiner Sicht. Aber das ist gar nicht so einfach, diese Themen unter einen Hut zu bringen.

Martin Dresp: Aber in die Richtung muss es meines Erachtens gehen, weil ansonsten ist es nur Regulatorik.

Zackes Brustik: Da muss ich jetzt nur mal kurz nachhaken, weil normalerweise ist auch eigentlich ein Kernprozess eben von der CSRD ist das mit den IROs, diesen Impacts, Risks and Opportunities. Ich gucke ja immer nur von außen drauf als Moderator. Ich bin ja nicht im Unternehmen, ich bin selber kein Nachhaltigkeitsmanager. Ich hätte jetzt gedacht, das haben die drauf.

Martin Dresp: Ja, also IROs bewerten grundsätzlich, haben die drauf, weil sie es in den letzten ein bis zwei Jahren, seit die ESR Standards draußen sind, sich aneignen mussten. Aber auch da komme ich wieder zurück. Diese IROs müssen in die gesamte Organisation ja irgendwie eingeflochten werden. Und da gibt es häufig Herausforderungen, nenne ich es mal. Ich kann es gerne konkret machen. Wenn ich Strategien entwickle als Unternehmen oder ich sage mal eine Planung aufstelle, dann mache ich das maximal, meine Erfahrung, über einen drei Jahreszeitraum hinaus. Für die nächsten zwei bis drei Jahre. Und die letzten Jahre haben da eher gezeigt, dass meine Planung, die ich hatte, eine sehr, sehr kurze Halbwertszeit hatte, weil die Planung konnte ich nach zwei Monaten im Jahr schon wieder über den Haufen werfen, weil externe Ereignisse alles anders gemacht haben.

Zackes Brustik: Lieferkettenunterbrechung, Kanal blockiert, Angriffskriege in der Ukraine, Corona, all das, meinst du?

Martin Dresp: Richtig, genau. Danke. Genau diese Punkte haben die Planung dann obsolet gemacht, weshalb viele Unternehmen eher dazu übergehen, die Planung noch kürzer zu machen. Klimarisiken beispielsweise, die sind eher langfristiger Natur. Da muss ich diese Risiken über den Fünfjahreszeitraum hinaus anschauen, eher zehn Jahre sogar betrachten oder 15 oder 20 Jahre. Und diese Betrachtungsweise gab es bisher in den Unternehmen nicht und gibt es auch im Strategieprozess noch nicht. Und wie bringe ich jetzt diese Dinge unter einen Hut und kann damit auch wirklich Handlungsoptionen daraus ableiten? Da stehen viele, glaube ich, vor einer großen Hürde.

Mirko Ross: Ja, und ich glaube, hier hast du wirklich ein wichtiges Stichwort genannt, nämlich das eine ist der Analyse-Report. Und wir können uns, ehrlich gesagt, Martin, stundenlang noch darüber streiten, wie man am besten quantifiziert und ist das richtig oder nicht, halten wir fest. Es sind halt unterschiedliche Welten, die unterschiedlich herangehen und irgendwo nachher im Management muss ich diese Welten übereinander legen. Das ist ja auch der ESG-Report, ist ja nicht der einzige Report, den ich von der Managementseite bekomme. Und der Skill-Level ist ja eigentlich aus Managementsicht daraus, die richtigen Management-Handlungen vornehmen zu können und da, also idealerweise, wenn die Reports nicht einfach nur Compliance-Fuck-ups sind, sondern idealerweise sind die Reports ja dazu gedacht, dass das Management und das Unternehmen richtige strategische Entscheidungen trifft auf Basis einer fundierten Analyse. Und wie gesagt, bei Cyberrisiken gebe ich dir vollkommen recht. Eine Fünf-Jahres-Betrachtung beispielsweise bei Cyberrisiken ist das, was wir auch machen. Ich hatte das Beispiel mit dem iPhone genannt.

Mirko Ross: Ich bin ein Unternehmen, lasse digitale Produkte auf den Markt. Natürlich, ich muss diese Produkte fünf Jahre lang in der Cybersicherheit supporten und absichern. Wenn ich das nicht mache, dann aus ESG-Report-Sicht wäre quasi das Schlimmste, was passieren kann, dass die Daten meiner Kunden verloren gehen, kann ich quantifizieren, aber es ist schon quasi eine direkte Folge davon, dass ich als Management vielleicht nicht daran gedacht habe, dass ich ein digitales Produkt fünf Jahre supporten muss. Denn das hat einen Einfluss auf das Geschäftsmodell. Wenn ich es nämlich nicht einpreise, diesen Support in das Produkt, dann werde ich ihn nicht machen. Ich meine, am Ende reden wir über Ökonomie. Das heißt, es ist ein Einfluss darauf, wie Produktpreisgestaltungen sind. Und das iPhone ist ein gutes Beispiel dafür.

Mirko Ross: Das ist nämlich relativ teuer im Vergleich zu anderen Produkten. Und das Werteversprechen von Apple ist eben dann auch ein Mindestmaß an Sicherheit über diesen Zeitraum. Das Gleiche wird uns bei Industrieanlagen treffen. Das Gleiche trifft uns, wenn wir ein Fahrzeug kaufen. Wenn sie nämlich in Zukunft Software-defined Vehicle. Das ist nicht Hardware-defined Vehicle, wie wir es kannten, sondern Software-defined Vehicle. Das heißt, auch hier müssen Hersteller sehr genau überlegen, wie ist denn eigentlich der Produktlebenszyklus und wie preise ich quasi Cybersicherheit in diese Produkte ein, wenn ich es ernst meine. Und jetzt kommt halt Regulatorik hinzu und Regulatorik sagt in vielen Punkten, selbst wenn ihr es nicht meint, ernst meinen würdet, liebe Hersteller.

Mirko Ross: Wir sagen euch, ihr müsst es ernst nehmen. Weil ansonsten kommt eben noch vielleicht über Sanktionen und Strafen auf euch eine Situation hinzu, dass ihr Produkte vom Markt nehmen müsst, wenn diese nicht cybersicher sind.

Zackes Brustik: Aber du kannst mir doch nicht erzählen, dass jemand eine Industrieanlage plant, die vielleicht 20 Jahre da draußen steht. Und gerade wird ja ganz viel neu gebaut und unter dem Clean Industrial Act wird noch viel mehr neu gebaut. Gerade Energieinfrastruktur und so gleich. Da werden riesige Parks ausgetauscht, dass da niemand denkt, sind die in 20 Jahren noch sicher. Vor allem jetzt gerade geopolitische Lage mit Konflikt mit Russland, gibt es doch eigentlich auf der Hand, Mirko.

Mirko Ross: Also sicher, cybersicher, Software-sicher.

Zackes Brustik: Ja, genau.

Mirko Ross: Ich würde sagen, das ist der Standard der Industrie, dass da niemand dran gedacht hat. Das ist gelebte Praxis der Industrie, ist nicht Cybersicherheit, sondern Prozesssicherheit. Das Produkt soll einfach Produkte in einer bestimmten Fertigungsmenge oder in einer bestimmten Qualität fertigen können, eine Maschine und Anlage. Und da fasse ich die Software nicht mehr an, am liebsten, wenn ich es einmal abgenommen

Zackes Brustik: habe. Und jetzt wird es ja super spannend, weil das ist ja der Punkt, den du vorhin gebracht hast, weil all diese Firmen, habe ich jetzt gelernt, die haben das zwar in ihrem CSRD-Report unter den unternehmensspezifischen Wesentlichkeiten eingefügt, also sie haben es reported und angegeben und vielleicht mal angedacht, aber in der Praxis nicht wirklich belastbar unterfüttert, oder Martin, Mirko? Das wäre so meine Essenz aus beiden Statements. Also sie denken schon darüber nach, aber es ist halt nicht bis zum Ende durchgedacht.

Mirko Ross: Bei einer solchen Reporting-Praxis, wie du sie gerade beschrieben hast, ist natürlich, dass Dokumentation und gelebte Wirklichkeit vollkommen auseinanderdriftet und im schlechtesten Fall halt zu einer Fehlwahrnehmung von Risiken führt und dann wiederum natürlich zu einer Fehlentscheidung auf Managementprozessen oder auch eine Fehlentscheidung von Assessment. Also wie bewertet ein Bank ein Unternehmensrisiko? Haben wir von Martin gehört, weiß man sehr genau, wie man das als Bank machen kann. Gelebte Praxis. Wir haben gerade große Diskussionen mit Finanzhäusern, wie man Cybersecurity-Risiken zum Beispiel in die Bewertung von Unternehmen einfließen lassen soll. Weil Hier gibt es eine Diskrepanz im angesächsischen Raum, insbesondere in den USA gibt es da eine gelebte Praxis, die ist bloß in Europa noch nicht angekommen. Die wird aber ankommen, weil durch die massiven Schäden, die wir haben, das Risiko eines Cyberangriffs für die Unternehmen essentiell wird. Und dann stellt sich halt auch die Frage, ok, bekommen die noch in Zukunft Kredite, wenn sie schlecht aufgestellt sind? Und eine Cyber Security Versicherung bekommen sie schon gar nicht. Und da kann der ISG Report noch so geil aussehen.

Mirko Ross: Da wird eben an anderer Stelle sehr tiefer dann drauf geguckt und wenn es da halt echte Diskursen gibt, funktioniert es nicht mehr. Also ich schlage eine Leitlinie dafür, die Reports sind gut, mach das, aber mach sie ernsthaft.

Zackes Brustik: Ganz am Anfang, ne? Fiel dir halt dieses Statement von dir, Martin, so, oh Mirko, da sollten wir zusammenarbeiten. Was brauchst du dafür? Sind das Sustainability Manager schon gewohnt, weil die müssen ja eigentlich wirklich in alle Abteilungen reinrennen und hoffen, dass jemand mit offenen Ohren zuhört? Oder Mirko, nimmst du das schon wahr? Also was wäre dafür möglich? Was können die Leute, die hier zuhören, wirklich ganz konkret machen, dieses Thema bei sich voranzutreiben?

Mirko Ross: Ja, wir haben halt die Schwierigkeit, wenn wir hier über Nachhaltigkeit sprechen, dass wir in Softwareentwickler und Cybersecurity-Leute nicht besonders viel in Nachhaltigkeit denken. Und vielleicht die Produktentwickler, die denken in Nachhaltigkeit, die denken aber nicht in Cybersecurity, sondern wir müssen quasi diese Disziplinen in den Unternehmen zusammenbringen. Das Produktmanagement muss sich zusammensetzen, dass wir jetzt quasi Nachhaltigkeit machen und die Leute, die Security by Design machen oder Software Cybersecurity Lifecycling Produkten sich anschauen, die müssen wirklich intensiv im Produktdesignprozess miteinander sitzen. Und dann schaffen wir es, echte nachhaltige Produkte zu bauen, die quasi von der Hardware und von den Komponenten nachhaltig sind und Produkte, bei denen dann auch die Software und die Cybersecurity dafür sorgt, dass sie eben nicht später als Elektroschrott entsorgt werden müssen, weil sie halt nicht mehr den Ansprüchen der Cybersecurity genügig sind.

Zackes Brustik: Martin, von dir vielleicht ein Plädoyer, weil das war ja super spannend zu hören, dass hier wirklich zwei Welten zusammenkommen, die vielleicht doch nicht zusammen gedacht werden. Was mich von dir interessieren würde, ist also, was ich schon herausgehört habe, eigentlich das Instrument von der CSAD, der DWA, den ganzen Risikoanalysen, die damit einhergehen, eigentlich ein gutes Instrument, diesen Prozess an den Start zu bringen. Was bräuchte es noch, damit dann tatsächlich der Gedanke von Mirko in der Realität stattfindet? Am

Martin Dresp: Schluss ist es, glaube ich, genau das Thema, was Mirko angesprochen hat. Man muss die gegenseitige Denkweise kennenlernen. Wenn die Cybersecurity-Experten wenig in Nachhaltigkeit denken, dann ist das natürlich erst mal eine Herausforderung, diese zwei Personen zusammen zu bringen. Aus Praxiserfahrung, Ich hatte einen Kunden, da kam die IT mit dazu tatsächlich im Rahmen der Wesentlichkeitsanalyse, was ich schön fand. Das ist in den seltensten Fällen bei mir der Fall gewesen. Bisher sind es sehr selten gesehen, aber ich nenne es mal so, die IT-Abteilung fand diesen ganzen Prozess, glaube ich, sehr uninteressant. Du lachst, ich glaube, das ist keine Überraschung jetzt erstmal für dich.

Mirko Ross: Nein, überhaupt gar nicht. Es treffen unterschiedliche Kulturen aufeinander und das ist natürlich die Schwierigkeit. Unterschiedliche Sprachen, oder? Unterschiedliche Kulturen, unterschiedliche Haltungen. Und eine große Management-Herausforderung ist ja genau hier eine gemeinsame Basis zu finden, wo man eine gemeinsame Sprache hat. Und vielleicht, und deswegen ist das Nachhaltigkeitsthema super, Nachhaltigkeit geht uns allen. Das ist eigentlich unmittelbar erlebbar. Also wenn wir sagen, hört mal zu, Cybersecurity-Leute, Produktmanager, wenn ihr nicht miteinander redet, dann werden diese Berge von Elektroschrott immer größer. Und es mag zwar schön, dass die Produkte nachhaltig und sozial verantwortlich produziert wurden, aber ändert nichts, landen trotzdem auf dem Elektroschrott, dann habt ihr euer Ziel verfehlt.

Mirko Ross: Und wenn man das den IT-Leuten zeigt, zeigt denen Schrottberge von Elektroschrott, dann werden die nämlich auch verstehen, wenn wir weiterhin so Software produzieren oder nicht drüber nachdenken, wie kann man die sicher managen über viele Jahre, dann wird dieser Schrottberg bei mir vor der Haustüre sein und das mag auch niemand. Also man muss die Leute emotional vielleicht mit anderen Bildern an der Stelle packen und dann kriegen wir das gemeinsame Verständnis hin.

Zackes Brustik: Habt ihr es in diesem Prozess dann doch noch geschafft, die ITler abzuholen, Martin?

Martin Dresp: Ich sag mal, grundsätzlich die IT war mit beteiligt im Rahmen dieses Prozesses. Das heißt, die Regulatorik wurde erst mal erfüllt. Spannend ist natürlich, was danach passiert. Da sind wir dann häufig teilweise auch dann nicht mehr mit dabei, ehrlicherweise. Ich hake da gerne nochmal nach. Ich würde aber die These auch stellen, dass Regulatorik erfüllt und dann geht man wieder getrennte Wege. Und das ist natürlich sehr, sehr schade aus den Punkten, die wir jetzt diskutiert haben. Ich sehe noch eine Herausforderung, die es dabei zu lösen gilt.

Martin Dresp: Also XG-Manager sind, glaube ich, die Könige darin, Brücken zu bauen im Unternehmen. Die sprechen alle Einheiten an, weil alle Einheiten irgendwo gebraucht werden. Heißt, mit Cyber Security Einheit kommt eine neue Einheit dazu, die mit involviert werden soll. Allerdings sehe ich noch ein bisschen das ökonomische Thema mit einem kleinen Fragezeichen dahinter. Du hast vorhin das Beispiel gebracht, Unternehmen profitieren natürlich, wenn der Software Support ausläuft, dann gibt es Folgeinvestitionen, ja Ersatzinvestitionen, Die fallen dann natürlich weg.

Zackes Brustik: Da gibt es eine super spannende Folge dazu, nämlich Deutsche Bahn, die Transformationsfolge, wie die es geschafft haben, DB Systel, also ich sag mal die 4000 Mann und Frauen große IT-Abteilung der Deutschen Bahn, mit den Nachhaltigkeitsexpertinnen der Deutschen Bahn zusammenzubringen. Superspannend, wie die es geschafft haben, da eine gemeinsame Sprache zu finden, was die Herausforderungen waren, weil es eben im Kern ein Transformationsprozess war und dann ein technischer Prozess. Trotzdem noch mal, letztes Statement, damit wir hier die Einflugschneise kriegen. Gerade Stadtwerke, Telekommunikation, Logistik, Mobilität, das sind ja alles Branchen, die vor allem jetzt gerade auch in der geopolitischen Situation, ich sag mal systemrelevant sind, durchaus mal gerne von vielleicht russischen Hackern angegriffen werden. Wer weiß, was in den nächsten Jahren passiert. Haben all die jene dann eigentlich mit dem Nachhaltigkeitsmanager im Unternehmen mit dem ganzen Risikoanalyse theoretisch einen guten Ansatzpunkt, sich auf so Szenarien vorzubereiten, Martin?

Martin Dresp: Ich würde mal die These aufstellen, dass die Unternehmen, die da besonders exponiert sind, wie Telekommunikationsunternehmen beispielsweise, dass die dieses Thema Cyber-Risk bisher schon auf der Agenda hatten. Ansonsten, wenn da der ESG Report dafür jetzt verantwortlich ist, dass ein komplett neues Themenfeld hiermit betrachtet wird, dann schrillen die Alarmglocken hoffentlich. Das sollte nicht der Fall sein. Aber Da kommen natürlich wieder Themen zusammen, die wieder gesamthaft gedacht werden müssen. Ich habe das Thema Cyber Security, ich habe das Thema ESG, ich habe die Ökonomie mit dabei. Und wenn diese Themen in einem Zielkonflikt miteinander stehen, dann ist der erste Gewinn, der hiermit erbracht wird, dass ich diese Zielkonflikte überhaupt erkennen kann. Davor kannte ich die vielleicht noch gar nicht. Jetzt werden sie transparent und dann kann ich entscheiden als Management, wie ich damit umgehe.

Zackes Brustik: Und das wieder so eins der Kernthemen, ich glaube, die grundsätzlich Organisationen lernen müssen, aber gerade durch das Nachhaltigkeitsmanagement schon in Organisationen reinkommen, so das Ausverhandeln von Zielkonflikten. Ich weiß, Stefan Krapmeyer hat es in seiner Folge auch gesagt, das war eine der Skills überhaupt, in der aktuellen Welt zurechtzukommen. Ich glaube, da könnten wir uns wahrscheinlich sogar zu dritt drauf einigen, oder?

Mirko Ross: Ja, absolut. Und nochmal, Martin zu ergänzen, also klar, große Telekommunikationsunternehmen müssen schon Cyber Security Risk Management machen. Also das quasi in den ESG Report zu übernehmen sollte einfach normale Kommunikationspraxis sein. Interessant ist eigentlich jetzt die Klasse von kleineren Unternehmen, die hinzukommen. Also städtische Versorger, selbst eine städtische Müllentsorgung wird plötzlich kritische Infrastruktur, kleinere Stadtwerke schon und die müssen jetzt plötzlich eben Cybersecurity Risk Management machen. Und dann ist es eigentlich eine Gruppe, die sollte hervorragend vorbereitet sein dann mit diesen Daten und mit diesen Einschätzungen, das Ganze eben auch in den ESG Report einfließen lassen zu können.

Zackes Brustik: Martin, du hattest gerade noch tief eingeatmet.

Martin Dresp: Beim Thema Zielkonflikte habe ich noch mal eingeatmet, ja, weil Zielkonflikte, die werden häufig eher als negatives Argument dann, warum das Ganze nichts bringt, gebracht. Zumindest ist das meine Erfahrung teilweise. Naja, weil Nachhaltigkeitsaspekte auch untereinander natürlich im Zielkonflikt stehen können. Ich kann ein Windrad bauen, damit produziere ich grünen Strom. Wenn ich dafür einen Wald roden muss, damit ich das Windrad aufstellen kann, dann habe ich der Biodiversität geschadet. Und dann gucken mich die Leute an und fragen sich, naja, was habe ich jetzt gewonnen, was ist jetzt mehr wert in Anführungsstrichen. Das finde ich erst mal die falsche Frage, weil erst mal, cool, durch diese Instrumente, die mir der Regulator jetzt an die Hand gegeben habe, wird dieser Zielkonflikt überhaupt transparent und ich denke darüber nach. Danach muss ich natürlich abwägen unter verschiedenen Gesichtspunkten und eine Lösung finden.

Martin Dresp: Und das ist unter Nachhaltigkeitsaspekten schon der Fall. Und dann kommen da natürlich noch viele, viele weitere Aspekte von außen, wie Cybersecurity mit hinzu, die das ganze komplex machen. Und das muss, glaube ich, gelernt werden, mit dieser Komplexität umzugehen.

Zackes Brustik: Mega spannend. Da gibt es noch sehr viele Themen zu diskutieren. Aber ich glaube, für diese Folge haben wir schon sehr viel geschafft und sehr viel angerissen. Folgt Mirko auf LinkedIn. Unglaublich spannend. Schaut auch bei ihm vorbei auf der Webseite. Wer die Kollegin von Martin kennenlernen will, am 10. Juli gibt's Borscht Leib mit Solution zusammen mit Gewinne Zukunft in Hamburg für NachhaltigkeitsmanagerInnen aus ganz Deutschland natürlich, aber vor allem aus dem Hamburger Raum, ein ganzer Tag kostenfreier, tiefgehender Austausch für eine Handvoll Nachhaltigkeitsmanager.

Zackes Brustik: Wenn ihr dabei sein wollt, schreibt uns jetzt schon mal an, weil die Plätze sind begrenzt. Vielen Dank euch beiden. Was habt ihr für euch mitgenommen aus dem Gespräch? Habt ihr was gelernt, was euch vorher noch nicht klar war? Mirko.

Mirko Ross: Ja, ich finde es super, wenn wir ISG-Manager haben. Also mir war das vorher nicht so bewusst und ich finde es ganz toll, wenn wir da einen tiefen Dialog, eine Zusammenarbeit finden, Cybersecurity und Nachhaltigkeit da in einen guten Deckungsgleichheit zu bringen und wirksam zu bringen.

Martin Dresp: Martin? Absolut sehr spannendes Gespräch heute gewesen. Danke Mirko, ich habe wirklich viel gelernt. Ich hatte diesen augenöffnenden Moment. Ich sehe die Müllberge an Elektroschrott noch vor mir, aber ich wäre bisher nie auf den Gedanken gekommen, dass die Cybersecurity dafür eine Ursache sein kann. Von daher, ich habe viel gelernt und ich hoffe, dass auch die Zuhörerinnen und Zuhörer dadurch viel gelernt haben.

Zackes Brustik: Vielen vielen Dank euch beiden und vielen Dank an alle, die bis zum Schluss zugehört haben. Abonniert Gewinn in Zukunft und meldet euch an für den Newsletter www.zackes.com/Newsletter. www.zackes.com/Newsletter. Dann seid ihr stets mit an Bord bei Themen, die es teilweise nicht nur im Podcast schaffen oder vielleicht auch zu sensibel sind in den Statements, als das die Menschen vor dem Mikro sagen. Zackes.com slash newsletter. Bis zum nächsten Mal.