01.08.2023

„Wir werden im Grunde genommen rund um die Uhr angegriffen“ – DZ BANK Sicherheitschef Jürgen Ugi im Interview

Die Bank gut auf Notfälle und Krisen vorzubereiten, das ist der Job von Jürgen Ugi. Die wichtigsten Voraussetzungen dafür: Prävention, Übungen, Teamwork – und gute Nerven. Der Leiter der Unternehmenssicherheit erzählt, wie er und sein Team die Bank gegen jegliche Art von Bedrohungen resilient machen, warum Übung so wichtig ist und wie eine Kindheitserinnerung für Entspannung sorgt.

Herr Ugi, Sie sind seit fünf Jahren Chef der Unternehmenssicherheit. Was war denn bisher das schlimmste Ereignis für die Bank?
Die letzten Jahre haben wir im Sinne der Unternehmenssicherheit weitestgehend unbeschadet überstanden. Es gab zwar einige Ereignisse, die uns beschäftigt haben wie beispielsweise Systemausfälle. Aber keines davon war wirklich schlimm für die Bank. Corona hat uns natürlich in Atem gehalten, aber das ist jetzt durch und ich will lieber nach vorne schauen. Sicherlich waren es arbeitsintensive Jahre und wir haben viel Energie in das Thema Prävention und Vorbereitung gesteckt. Das Wichtigste ist für mich dabei immer, zusammen mit allen Beteiligten und als Organisation insgesamt aus den Vorfällen zu lernen. Dadurch können wir uns noch besser vorbereiten – und letztendlich robuster werden.    

Welche Szenarien sind denkbar?
Ausgeschlossen ist erstmal gar nichts. Aber so, wie wir die aktuelle Bedrohungslage für die Bank beobachten, ist derzeit ein Cyber-Angriff wohl am realistischsten. Wir werden im Grunde genommen rund um die Uhr angegriffen, unsere IT-Systeme fangen das weitgehend ab. Aber es geht auch mal etwas durch. Für alle Finanzinstitute ist die Frage daher nicht ob, sondern wann sie von einem größeren Cyber-Angriff betroffen sein werden. Solche Szenarien trainieren wir regelmäßig zusammen mit den Kollegen aus der IT und weiteren Fachbereichen – auch im Rahmen der jährlichen Krisenstabsübung. Zuletzt haben wir unsere Cyber-Resilienz gemeinsam mit der Bundesbank anhand realistischer Angriffsszenarien getestet. Daneben sind aber auch viele andere Bedrohungen denkbar, beispielsweise ein Amoklauf oder ein Brand.

Bei der Deutschen Leasing trat vor kurzem der Ernstfall ein, tagelang waren die Server lahmgelegt. Konnten Sie mitfühlen?
Ja, natürlich. Wir treffen seit Jahren Vorkehrungen in der IT auf der technischen Ebene und bereiten uns in der Krisenorganisation auf dieses Szenario vor. Zudem tauschen wir uns mit den betroffenen Unternehmen und der Kriminalpolizei aus. Selbst die Aufsicht benennt die Steigerung der Cyber-Resilienz im europäischen Finanzsystem als eine der obersten Prioritäten und hat den Digital Operational Resilience Act, kurz DORA, ins Leben gerufen. Wir setzen ihn derzeit gemeinsam mit den Gruppenunternehmen um. Im nächsten Jahr werden wir als Bank das erste Mal einen EZB Stresstest Cyber Resilience durchführen. Aber trotz allem: Der wichtigste Verteidiger ist und bleibt in diesem Umfeld jeder Mitarbeitende, denn oft ist es eine ganz harmlos erscheinende E-Mail, die den Stein ins Rollen bringen kann.

Im nächsten Jahr werden wir als Bank das erste Mal einen EZB Stresstest Cyber Resilience durchführen. Aber trotz allem: Der wichtigste Verteidiger ist und bleibt jeder Mitarbeitende, denn oft ist es eine ganz harmlos erscheinende E-Mail, die den Stein ins Rollen bringen kann.

Jürgen Ugi, Leiter Unternehmenssicherheit

Wie definieren Sie die Begriffe „Notfall“ und „Krise“?
Für einen Notfall haben wir präventiv Workarounds vorbereitet – und sind dadurch in der Lage, diesen im Rahmen der Linienorganisation abzuarbeiten. Wenn diese Workarounds allerdings nicht mehr ausreichen, gewisse Verfügbarkeitsgrenzen überschritten werden oder unmittelbare Gefahr für Leib und Leben besteht, dann wird der Krisenstab einberufen.

Wie üben Sie den Ernstfall?
Vor wenigen Wochen haben wir eine erste, bereichsübergreifende Notfallübung zusammen mit Ratiodata, einem unserer zentralen technischen Dienstleister, durchgeführt. Zudem laufen in der IT und in den Fachbereichen jährlich mehrere hundert Notfalltests. Hier gilt das alte Sprichwort: Übung macht den Meister. Nur wer gut vorbereitet und trainiert ist, weiß im Ernstfall, was zu tun ist. Zusätzlich führen wir seit vielen Jahren jährlich eine Übung mit dem Krisenstab durch.

Wer trifft dann die Entscheidungen?
Im Notfall werden Entscheidungen im Rahmen der Linienorganisation getroffen. Sollte es zu einer Krise kommen, übernimmt der Krisenstab bis zu einem bestimmten Punkt die Entscheidungen, auch abhängig vom jeweiligen Thema – am Ende dann der Vorstand.

Welche Aufgaben fallen neben dem Krisenmanagement noch in Ihre Zuständigkeit?
Neben dem Business Continuity Management verantworten wir auch die Informationssicherheit und das Drittbezugsmanagement für die DZ BANK Gruppe und in der DZ BANK AG sowie gemeinsam mit dem Bereich IT das Konzernprogramm IT-Risk. Zudem koordinieren wir bankweite Prozesse wie die Gefährdungsbeurteilung und die Archivierung.

Kann man die Resilienz eines Unternehmens messen?
Ja, das geht. Wir haben bereits erste Kennzahlen definiert, an denen wir unsere Resilienz greifbar machen können. Mit der Umsetzung von DORA wollen wir das noch weiter ausbauen. Vorhandene Indikatoren sind beispielsweise die durchschnittliche Wiederherstellungsdauer für IT-Systeme oder auch die Click-Rate bei Phishing-Simulationen.

Den Kern der Sache zu erfassen ist für mich das Wichtigste. Von da aus kann man an Workarounds und tragfähige Lösungen kommen. Für mich persönlich heißt das: Sich fokussieren, Unwichtiges ausblenden, die Ruhe bewahren. Aber auch, auf die eigene Intuition hören.

Jürgen Ugi, Leiter Unternehmenssicherheit

Eine Krise kann jederzeit eintreten: Sind Sie rund um die Uhr erreichbar?
In unserem Team haben wir über einen sogenannten „Manager on Duty“ eine 24/7-Erreichbarkeit sichergestellt. Sollten die Befugnisse hier nicht ausreichen, kann es natürlich auch mal am Wochenende oder nachts zu einer Rücksprache oder Alarmierung kommen.   

Wie behalten Sie in Stresssituationen die Nerven?
Den Kern der Sache zu erfassen ist für mich das Wichtigste. Von da aus kann man an Workarounds und tragfähige Lösungen kommen. Für mich persönlich heißt das: Sich fokussieren, Unwichtiges ausblenden, die Ruhe bewahren. Aber auch, auf die eigene Intuition hören. Mir ist es wichtig, die richtigen Kollegen zusammenbringen, denn in Notfallsituationen kann man alleine nichts ausrichten.

Wann ging Ihnen zuletzt richtig der Puls?
Der geht mir öfter mal, schließlich ist es Teil des Jobs. Allein schon, wenn wir eine realistische Übungssituation simulieren. Oder wenn sich eine echte Notfallsituation zuspitzt – ich erinnere mich da an eine Bombendrohung vor vielen Jahren. Aber auch während der Coronazeit, wenn der Vorstand auf Basis unserer Empfehlung zu entscheiden hatte, ob wir links- oder rechtsrum gehen, hat das für eine gewisse Anspannung gesorgt.

Welche Fähigkeiten und Eigenschaften sollte man als Mitarbeiterin bzw. Mitarbeiter in der Unternehmenssicherheit mitbringen?
Sozialkompetenz ist ganz wichtig, da alles, was wir tun, absolute Teamarbeit ist. Dann natürlich ein gewisses Gespür für Risiken und eine strukturierte Arbeitsweise. Dazu kommt ein offener und lösungsorientierter Umgang mit schwierigen Situationen, dass man in diese ganz bewusst reingeht – und sie auch aushalten kann.

Legen Sie die Rolle am Tagesende ab oder sind Sie auch zuhause der Sicherheitschef?
Klares Nein. Meine Frau hat neulich mit dem Anruf bei der Polizei dazu beigetragen, dass der Einbrecher im Nachbarhaus festgenommen werden konnte.  

Und wie entspannen Sie abends und am Wochenende?
Abends auf dem Weg nach Hause in der U-Bahn beginne ich auch den Arbeitsalltag hinter mir zu lassen. Meine Familie bringt mich dann schnell auf andere Gedanken. Am Wochenende liebe ich es, ab und zu ganz früh aufzustehen, wenn alle noch schlafen und laufen zu gehen. Und gelegentlich gönne ich mir eine kleine Runde mit meinem Oldtimer, ein Plymouth Roadrunner, Baujahr 1973. Das ist für mich wie eine Zeitreise in meine Kindheit, auch wenn wir damals in einem Opel Rekord unterwegs waren. Dabei kann ich wunderbar abschalten.