Neugierig bleiben

Rainer von zur Mühlen: Beruflich bin ich ein Glückspilz. Ich hatte die Idee, dass alles, was nützlich ist, auch missbraucht werden kann und war fest davon überzeugt, dass sich der Computer auch missbrauchen lässt. Ich wollte Wirtschaftsprüfer (WP) werden und stellte fest, dass dieser Berufsstand damals weder Kenntnisse zur EDV hatte, noch eine Idee, wie man komplexe Abrechnungsprogramme und ihre Ergebnisse verlässlich nachvollziehen und prüfen konnte. Ich wollte ein besserer WP werden, dessen Unterschrift unter den Jahresabschluss Wert hat.

Sie haben schon früh, in den 60er Jahren, das Thema IT-Sicherheit als solches erkannt. Da waren Vokabeln wie „Cyberangriff“ oder „Ransomware“ noch unbekannt. Wie sind Sie darauf gekommen?

Die Idee kam im zweiten Semester nach einem erfolgreich abgeschlossenen Hauptseminar. Prof. Dr. Günter Sieben fragte mich damals, ob ich nicht bei ihm eine Diplomarbeit über Wirtschaftskriminalität schreiben wolle. Er nahm an, dass ich im Studium schon in einem höheren Semester wäre. Hauptseminare mit 1 absolviert man üblicherweise nicht zu Studienbeginn. Aus einer spontanen Eingebung schlug ich das Thema „Computerkriminalität“ vor. Den Begriff gab es damals noch gar nicht. Er war begeistert und am nächsten Tag war ich in seinem Büro. Prof. Sieben erwirkte sogar einen Fakultätsbeschluss, dass ich meine Diplomarbeit über die Restlaufzeit des Studiums schreiben durfte und nicht in den damals üblichen sechs Monaten.

Der Grundstein zu einem Lebenswerk wurde gelegt. …und auch kein Wissen. Ich schlug ihm vor, erst einmal Programmierkurse zu machen. Er schlug vor, den Kontakt zum Testrechenzentrum von IBM in Köln herzustellen. Dort fand man des Thema interessant und reihte mich kostenlos in ein Traineeprogramm ein. Im Programmierkurs für ein Personalabrechnungsprogramm hatte ich die Idee, was ich als Ganove an Manipulationen einpflegen könnte, um zu den 3.000 Gehaltsempfängern drei weitere Dummy-Personen hinein zu mogeln. Der Leiter des RZ ließ mich unter seiner Aufsicht die Manipulation des Programms testen. Perfekt: Es wären entsprechende Zahlungen angewiesen worden, ohne dass die Manipulation mit Revisionsmaßnahmen aufgedeckt werden konnte. Parallel dazu hatte ich gehört, dass bei einer Bank ein Programmierer die Zinsrundungen auf Pfennigbeträge versucht habe und dabei aufgeflogen ist. Ich ersann einen Weg, nicht aufzufliegen und der Test im Bankenprogramm gelang ebenfalls. Man holte mich im dritten Semester in eine Zukunfts- Forschungsgruppe und bezahlte mir einen Tagessatz von 450 DM. Das war damals ein Monatsgehalt eines kaufmännischen Angestellten. Es folgten Vorträge vor Kunden. Beim ersten Vortrag bekam ich von drei Banken, einem Chemiekonzern und einer Wohnungsgesellschaft den Auftrag, Ausbildungskonzepte für den EDV-Revisoren zu erarbeiten. Ich bekam dabei im vierten Semester 800 DM je Beratungstag. Ich war in meinen Traumberuf geschlittert. Beschleunigt wurde das dann durch die Veröffentlichung meiner Diplomarbeit in einer IBM-Schriftenreihe im Luchterhand Verlag. Der „Gutseller“ war nach 18 Monaten vergriffen und ich wurde in der Fachwelt wahr- und ernstgenommen.

Sehen Sie sich bei dem Thema, angesichts der täglichen Cyberangriffsmeldungen, nicht als „Kassandra“, die trotz aller Warnungen leider Recht behält?

Es gab zwei Lager. Die einen waren erschrocken bis fasziniert von dem Gedanken, dass sich neue Unternehmensrisiken eröffnen würden, die anderen hielten mich für einen totalen Spinner. Parallel zum BWL-Studium studierte ich Jura und schrieb in der Neuen Juristischen Wochenschrift (NJW) einen längeren Beitrag über Strafrechtslücken, denn meine Manipulationen wurden von keinem Strafrechtstatbestand erfasst. Meine Vorschläge wurden fast wortgetreu 1986 im Strafrechts- Änderungsgesetz ins Strafrecht aufgenommen und haben bis heute Bestand.

Sie sind aber nicht beim Thema IT-Sicherheit stehengeblieben. Wie hat sich das heutige Spektrum von der Corporate Security bis hin zum Brandschutz entwickelt?

Das kam etwas später nach meinem Studienabschluss und der Gründung der von zur Mühlen’sche Sicherheitsberatungs GmbH in Bonn. Es gab Kampagnen „gegen die Verdatung des Menschen“, die in Brandanschlägen auf Rechenzentren mündeten. Meine Kunden meinten dann, dass ich ihnen auch auf der physischen Seite – zunächst der EDV – helfen solle. Also arbeitete ich mich gewissermaßen als Einäugiger unter Blinden in die ganzen komplementären Themen ein.

Gibt es überhaupt einen Berater, der all diese Themenfelder abdecken kann? Oder gehen Sie arbeitsteilig vor?

Nein. Es entstand ein ganzheitliches Beratungsspektrum, wie es das in Deutschland nicht zweimal gibt. Bis heute. Anfangs wollte mit einem Netzwerk arbeiten, also mit Brandschutzsachverständigen, Wach und Sicherheitsexperten et cetera. Ich kam schnell davon ab. Die Brandschutzsachverständigen sehen den rechtlichen Brandschutz im eindeutigen Schwerpunkt. Ich wollte aber die Inhalte schützen, die IT und ihre Daten. Dadurch kam ich auf ganz andere Anforderungen. Die Arbeitsteilung im Netzwerk habe ich schnell auch aus Qualitätsgründen und aus Gründen einer einheitlichen Sicherungsstrategie aufgegeben. Unsere Qualität des Denkens kann man nur erreichen, wenn man mit fest angestellten Mitarbeitern kontinuierlich die Probleme angeht. Heute habe ich 40 Mitarbeiter aus neun akademischen Berufen, die auch teilweise wie ich mehrere Studienabschlüsse haben. Zum Beispiel Elektroingenieur und Jurist – Raritäten!

In Ihren Vorträgen gehen Sie häufig auch auf die Pannen bei Großprojekten ein. Sehen Sie irgendwelche Mechanismen, warum diese oft schieflaufen? Liegt es an der Vielzahl der Gewerke?

Es gibt systemimmanente Mechanismen, die zu fehlerhafter Planung führen. Ein Problem stellt die HOAI (Honorarordnung für Architekten und Ingenieure) dar. Danach würden unsere Beratungsleistungen nie honorarfähig sein. Unsere Arbeit zum Beispiel bei der Rechenzentrumsplanung beginnt weit vor der Grundlagenermittlung der Ingenieure und beinhaltet auch eine IT-Prognostik. Sie mündet dann in Lastenhefte mit einer Laufzeitperspektive, die das RZ für circa 15 Jahre fit macht. Zudem denken wir daran, was in zehn oder 15 Jahren an neuen Herausforderungen bewältigt werden muss, möglichst ohne Sanierungseingriffe im laufenden Betrieb. Aus der Fachkunde der neun Berufe im Team erwachsen immer neu Ideen und sehr individuelle RZ-Konzepte. Und dabei bleibt es ja nicht. Unsere Erfahrung können wir auf alle anderen Bereiche übertragen, auf Logistikzentren, Flughäfen und in den letzten Jahren intensiv auf Leitzentralen. In den letzten fünf Jahren haben wir 94 Leitstellen beplant, auch AES nach EN 50518, weitere saniert oder technisch optimiert. Das hat im deutschsprachigen Raum kein anderer Berater.

Was zeichnet einen guten Sicherheitsberater überhaupt aus?

Es gibt kaum ein Schadensereignis, sondern zumeist ein auslösendes Ereignis, das dann zu einer Schadenentwicklung führt. Der Großbrand ist kein Ereignis, sondern das Ergebnis eines Prozesses von der weggeworfenen Zigarette zum Vollbrand oder von einem technischen Defekt zur anhaltenden Betriebsunterbrechung. Oder von einer Dachreparatur zum Abbrand der Wärmedämmung und dem Totalschaden der Halle. Der Sicherheitsberater braucht daher drei Fähigkeiten: Systemanalytisches Denken, Denken in Prozessen und diese Prozesse zu Ende denken – wie kann sich was entwickeln und auswirken.

Ist es nicht zum Haareraufen, immer wieder mit denselben Problemen konfrontiert zu werden? Muss ein Berater sehr frustresistent sein?

Nein! Wir sind selten frustriert. Spezialisten neigen oft dazu, ihr Spezialistenwissen für selbstverständlich zu halten. Wenn man sich davon löst gibt es keinen Frust, sondern Erfolgserlebnisse. Und es gibt kein Projekt, aus dem nicht Auftraggeber und Berater hinterher schlauer herauskommen. Ist doch toll! Den geringen Frustrationsgrad können Sie bei uns daran erkennen, dass wir in 45 Jahren fast keine Fluktuation hatten. Die Berater finden ihre Arbeit so spannend, dass sie sich von Headhuntern selbst unter Androhung von Traumgehältern nicht weglocken lassen. Wir konnten einem Kunden bei einem neuen RZ-Planungsauftrag 16 Jahre nach dem ersten das gleiche Planerteam geben. Ich kenne kein Unternehmen, bei dem das auch so ist.

Ein gewisser „Missionseifer“ gehört sicher dazu. Haben Sie in dem ganzen Komplex Sicherheit ein Lieblingsthema?

Nein – viele. Ich bin neugierig. Daher beißen wir uns immer wieder durch neue Themen durch, die dann eine gewisse Favoritenrolle haben können. Im Augenblick befasse ich mich mit einer Revolution der Rechenzentren, die ich kommen sehe und erarbeite Strategien, wie man diese Entwicklung nutzen und optimieren kann. Als ein weiteres Thema sehe ich seit langem die Scheinsicherheit. Normen schaffen das Denken ab. Häuser brennen normgerecht. Rechenzentren fallen normgerecht aus. Man glaubt, wenn alle Normen erfüllt und alle Produkte der Sicherheitstechnik normiert und zertifiziert sind, habe man Sicherheit. Das Thema ist viel zu komplex. Aber wir leben im Zeitalter des „Morbus Certificitis“. Ansteckend und einschläfernd. Hat man etwas zertifiziert, steigt das subjektive Sicherheitsgefühl, nicht die Sicherheit. ASL