Wie sich der Firmenich-COO für Cybersicherheit einsetzt

Das Unternehmen Firmenich stellt Aromen und Duftstoffe her. Was bewog Sie als COO dieses Unternehmens dazu, einen Verband für Cybersecurity zu gründen?

Eric Nicolas: Wenn man für die Sicherheit eines Unternehmens verantwortlich ist, kommt man seit einigen Jahren nicht mehr um das Thema Cybersicherheit herum. In allen Ländern, die ich kenne, konzentrieren sich die Behörden beim Thema Cybersicherheit in erster Linie auf kritische Infrastrukturen, also Organisationen aus den Branchen Finanzen und Banking, Energie, Verkehr und Gesundheit. Dagegen kommen nicht-kritische Infrastrukturen – wie etwa Unternehmen aus der Fertigungs- oder der Handelsbranche – an zweiter Stelle. Und nicht nur das: Auch wenn sie sich individuell gegen Cyberangriffe wappnen, fehlt vielen Unternehmen aus diesen Branchen in vielen Ländern die Möglichkeit, sich zu vernetzen und Informationen vertraulich auszutauschen. Dies wollen ich und ein paar Kollegen aus anderen Unternehmen mit der «Swiss Industry Cyber-Security Association» ändern und so unsere Cyberschutz-Fähigkeiten stärken.

Was sind die Ziele Ihrer Organisation?

Wir haben drei Ziele: uns in Echtzeit über laufende Cyberangriffe zu informieren, Best Practices zum Thema Cyberschutz auszutauschen und gegenüber Behörden als relevanter Stakeholder aufzutreten.

Welche Herausforderungen stellen sich dabei?

Als Netzwerk sind wir stärker als die Summe seiner einzelnen Mitglieder – darüber sind wir uns wohl einig. Allerdings beschäftigt uns die Frage, wie wir uns konkret vernetzen und Informationen austauschen können. Hier gilt es, zu vermeiden, uns zu exponieren und dadurch anfälliger für künftige Attacken zu werden. Eine weitere Herausforderung ist die Gestaltung unserer Verbindung zu den Behörden.

Welche Rolle kommt den Cybersicherheitsbehörden konkret zu?

Der Austausch mit Behörden ist eines unserer zentralen Anliegen. Dabei teilen wir unsere Informationen als Unternehmenskollektiv. Die Behörden wiederum haben mit uns einen direkten Ansprechpartner. Geht es etwa darum, wichtige Informationen zu verbreiten, müssen sie künftig nicht mehr jedes Mitglied einzeln kontaktieren.

Ein Vorhaben wie Ihres gelingt nur mit viel Vertrauen. Wie stellen Sie dieses zwischen Ihrer Organisation und den Behörden her?

Schon im Laufe des Entstehungsprozesses der Association standen wir in engem Austausch mit dem Nationalen Zen­trum für Cybersicherheit (NCSC) und diskutierten mögliche Formen der Zusammenarbeit. Das NCSC steht hinter uns und erklärte sich bereit, uns mit wichtigen Informationen zu versorgen. Des Weiteren pflegen wir Beziehungen zu kantonalen Behörden, vor allem Polizeicorps, die mit Cyberkriminalität zu tun haben. Hier sind wir in der Romandie schon sehr gut vernetzt und bauen neue Kontakte in der deutschsprachigen Schweiz auf.

Und wie sieht es mit dem Vertrauen innerhalb des Verbandes aus?

Aktuell beteiligen sich etwa zehn Unternehmen an unserem Verband. Innerhalb der Organisation haben wir drei Ebenen: Die Führungskräfte besprechen Fragen zur Governance, die IT-Leiter thematisieren Prozesse, Budgets und Setups, und die CISOs tauschen sich bezüglich aktueller Cyberaktivitäten aus. Die Mitglieder der drei Ebenen kennen und vertrauen sich gegenseitig und garantieren, dass geteilte Informationen nicht öffentlich werden.

Warum teilen Sie Informationen zu Cyberangriffen nur mit Ihren Mitgliedern? Wären diese Infos nicht für alle Unternehmen wichtig?

In einer perfekten Welt könnten wir solche Informationen tatsächlich der breiten Öffentlichkeit zugänglich machen. Und das NCSC stellt auch ein Tool bereit, um Informationen mit einem Kreis von Mitgliedern zu teilen. Allerdings besteht dieser Kreis ausschliesslich aus Vertretern kritischer Infrastrukturen. Unser Netzwerk könnte sich allenfalls sehr eingeschränkt an dieser Plattform beteiligen. Erschwerend kommt die Gefahr hinzu, die sich mit dem Veröffentlichen solcher Informationen für unsere Mitglieder ergibt: Bei einem Angriff müssten wir kommunizieren, welches Unternehmen über welche Plattform und mit welcher Technologie angegriffen wurde. Damit exponiert sich das Unternehmen nicht nur für weitere Angriffe, sondern setzt auch seinen Ruf aufs Spiel.

Firmenich ist das einzige namentlich bekannte Unternehmen Ihrer Association. Wer ist sonst noch dabei?

Im Moment möchten unsere anderen Mitglieder nicht namentlich genannt werden. Dies aufgrund der bereits genannten Befürchtung, sich dadurch zu exponieren.

Wie sieht es mit neuen Mitgliedern aus? Wollen Sie wachsen?

Auch dies ist eine Frage des Vertrauens. Die Gründungsmitglieder sind zwar offen für neue Mitglieder. Aber nur so lange, wie das bestehende Vertrauen nicht verloren geht. Deshalb gilt beim Wachstum die Regel: so schnell wie möglich, aber so langsam wie nötig. Wir sind offen für Unternehmen mit einem Umsatz zwischen 2 und 50 Milliarden Franken. Wer bei uns anklopft, durchläuft ein Auswahlverfahren, bei dem die bestehenden Mitglieder über die Aufnahme entscheiden.

Wie arbeiten Sie konkret?

Unser fünfköpfiger Vorstand trifft sich ungefähr einmal im Monat, um aktuelle Fragen unserer Mitglieder zu besprechen. Im März veranstalteten wir ein erstes Treffen aller Gründungsmitglieder, an dem auch ein Vertreter des NCSC teilnahm. Dabei ging es nicht nur um die neuesten Entwicklungen, sondern auch um die Kandidaturen neuer Mitglieder. In Zukunft wollen wir uns mindestens viermal im Jahr mit den Behörden treffen. Die CISOs unserer Mitgliedsunternehmen stehen in ständigem Austausch miteinander, um auf Vorfälle in Echtzeit reagieren zu können. Bei Bedarf können sie auch jederzeit die Behörden informieren. Mit dieser Struktur sorgen wir für grösstmögliche Transparenz und stellen dennoch sicher, dass sensible Informationen nicht an die Öffentlichkeit gelangen.

Wie bewerten Sie das Risiko durch Cyberkriminalität für ein ­Unternehmen?

Die rasante Entwicklung digitaler Systeme und Abhängigkeiten innerhalb des Ökosystems jedes Unternehmens stellt sowohl eine enorme Chance als auch eine potenzielle Schwachstelle für das Unternehmen dar. Mit meinem Team haben wir die digitale Agenda sowohl im Front-End als auch im Back-End stark vorangetrieben. Die Lieferketten werden durch die Digitalisierung vernetzt, und online verfügbare Informationen sind in der heutigen Welt unerlässlich. Seit vielen Jahren nutzen wir Big Data und künstliche Intelligenz (KI), um verschiedene Prozesse innerhalb des Unternehmens zu unterstützen. Wir sind also wirklich ein digitales Unternehmen. Auf der anderen Seite müssen diese feinmaschigen Verknüpfungen jedoch sorgfältig verwaltet werden. Wie bei vielen Unternehmen müssen unsere betriebliche IT-Infrastruktur – auch Operation Technology oder OT genannt – und verschiedene IT-In­frastrukturen sorgfältig segmentiert werden, um eine gegenseitige Beeinflussung im Falle eines Cyberangriffs zu vermeiden. Die Netzwerke müssen 24/7/365 von einem professionellen Team überwacht und der Zugang zu ­kri­tischen Daten sorgfältig verwaltet werden. Die Digitalisierung von Unternehmen hat ihren Preis, um die Funktionsfähigkeit des Unternehmens zu sichern und zu gewährleisten.­ Es wäre für jedes Unternehmen gefährlich, dieses erhebliche Risiko zu unterschätzen.

Welchen Cybersecurity-Ratschlag geben Sie anderen CISOs ­ähnlich grosser Unternehmen wie dem Ihrigen?

Beim Thema Cyberschutz denken wir sehr schnell an technische Lösungen, Tools, Firewalls und so weiter. Auch die Frage nach Talenten – angesichts des Fachkräftemangels und des starken Wettbewerbs ein herausforderndes Thema – kommt schnell zur Sprache. Aber was am Ende des Tages den wirklich grossen Unterschied macht, ist die Sensibilisierung aller Mitarbeitenden. Selbst mit den besten Sicherheitsvorkehrungen reicht es, das irgendwer auf einen Link klickt und sein Passwort teilt, um die Firma angreifbar zu machen. Darum ist ständiges Training der Angestellten essenziell. Bei uns in der Firma lautet das Mantra: Was du nicht kennst, klickst du nicht an. Und tust du es doch, gib dein Passwort nicht preis.

Wie packen Sie die Sensibilisierung an?

Wir haben eine Reihe von Massnahmen ergriffen. So durchlaufen sämtliche Mitarbeitende dreimal jährlich ein Online-Trainingsmodul. Ausserdem versorgt unser Cybersecurity-Team das gesamte Unternehmen laufend mit aktuellen Informationen. Unser Mantra, «what you don’t know, you don’t click», wird auf unseren Computern auch als Bildschirmschoner angezeigt. Schliesslich führen wir auch regelmässig Fake-Phishing-Kampagnen durch. Mitarbeitenden, die dabei auf einen vermeintlich schädlichen Link klicken, empfehlen wir ein zusätzliches Cybersecurity-Training. Wir versuchen also, unsere Angestellten mehrmals täglich und möglichst kreativ an das Thema zu erinnern, damit sie die Botschaft nicht vergessen.

Firmenich hat in den letzten Jahren zunehmend mit KI ­experimentiert. Wie genau?

Wir haben schon früh beschlossen, KI als Teil unserer Wertschöpfungskette in unsere Geschäftsstrategie einzubauen. Uns ist klar, dass ein «Business Disruptor» unsere Branche mithilfe von KI aufrütteln könnte; und dies würden wir lieber selbst tun. Konkret wollen wir KI nutzen, um das Design und die Kreation von Düften zu unterstützen und zu erweitern. Zu diesem Zweck entwickeln wir verschiedene Tools für unsere Parfüm- und Aromakreateure. Ausserdem wollen wir KI im E-Commerce einsetzen, um Erkenntnisse über den Markt und die Vorlieben unserer Kunden zu gewinnen. Drittens setzen wir KI auch im Bereich der Rückverfolgbarkeit – Traceability – unserer natürlichen Duftstoffe ein. Und schliesslich geht es auch darum, unser Geschäft effizienter zu machen, zum Beispiel in der Logistik.

Wie viel davon setzen Sie im Moment tatsächlich produktiv ein?

Wir haben zum Beispiel bereits mehrere KI-generierte Düfte auf den Markt gebracht. Wir nutzen KI auch, um neue Duftinhaltsstoffe zu entdecken – wir nennen diesen Prozess «Molecules discovery». Ausserdem haben wir im Juni 2021 eine KI-gestützte E-Commerce-Plattform namens Scentmate lanciert. Sie richtet sich an kleine und mittlere Unternehmen in Europa und unterstützt sie bei der Entwicklung und Vermarktung ihrer eigenen Produkte. Und schliesslich nutzen wir jetzt digitale Zwillinge in der Fertigung, um unsere Produktionsplanung ständig anzupassen und zu optimieren, damit wir unseren Kunden den besten Service bieten können.

Im Bereich der Rückverfolgbarkeit haben Sie im Mai 2021 die Plattform Path2Farm gestartet. Damals wurden die Daten von rund 3000 Landwirten integriert. Wo steht Path2Farm heute?

Stand April 2023 sind 8000 Betriebe in Path2Farm integriert. Wir haben auch die Biomasse, die zurückverfolgt werden kann, erweitert. Zum Beispiel kann man jetzt indische Minze – eine der am meisten gehandelten Geschmacksrichtungen der Welt – oder Stevia aus China oder Vinilla aus Madagaskar zurückverfolgen. Ganz allgemein werden die gesammelten Daten immer genauer. Path2Farm ist eines unserer anspruchsvollsten digitalen Projekte.

Und warum?

Der Weg eines Duftstoffs von der Farm bis zur Produktionsstätte ist oft äusserst komplex. Es geht nicht nur um die geografische Herkunft eines Stoffes, sondern auch um die sozioökonomischen Bedingungen, unter denen ein Produkt hergestellt wird: Wie sieht es mit der Schulbildung am Herkunftsort aus? Welche Unterschiede gibt es in dieser Hinsicht zwischen Jungen und Mädchen? Erhalten die Erzeuger eine angemessene Entlohnung? Für Firmenich sind diese Aspekte von immenser Bedeutung.

Welche digitalen Projekte wollen Sie als Nächstes in Angriff nehmen?

Wir planen, die Plattform Scentmate in weiteren Regionen zur Verfügung zu stellen. Für uns ist das nicht nur eine Herausforderung, sondern eine Art Marktrevolution. Denn die Plattform ermöglicht eine noch nie dagewesene Hypersegmentierung des Angebots. In der Forschung können wir dank digitaler Technologien schneller neue potenzielle Duftmoleküle entdecken. Und in der Produktion können wir dank KI bestimmte chemische Reaktionen ohne direktes menschliches Zutun optimieren und beschleunigen.

Blicken wir zum Schluss noch weit voraus: Wie stellen Sie sich ­Firmenich und Ihre Branche in zehn Jahren vor?

Zehn Jahre sind heutzutage eine sehr lange Zeit. Ich zum Beispiel hätte vor zehn Jahren nicht gedacht, dass wir heute dieses Gespräch führen würden. Für uns steht jetzt schon eine grosse Veränderung an, nämlich die Fusion mit DSM. Der Zusammenschluss vergrössert nicht nur unser Angebot für den Markt, sondern auch unsere Ressourcen, die wir für die digitale Transformation in den Bereichen Nahrungsmittel für Mensch und Tier sowie Kosmetik einsetzen können. Unser Traum ist es, Lösungen neu zu denken, die den Bedürfnissen der Verbraucher entsprechen. Ich denke dabei nicht nur an spezifische Geruchserlebnisse mit Düften und Aromen, sondern auch an spezifische Funktionen, die damit einhergehen: zum Beispiel ein Parfüm, das Insekten abwehrt oder die Haut pflegt, eine Ernährungslösung, die das Mikrobiom stärkt und vieles mehr. Mithilfe künstlicher Intelligenz werden wir die Bedürfnisse unserer Kunden und der Endverbraucher besser verstehen und unsere Produkte auf eine Vielzahl spezifischer Segmente zuschneiden können.

Zur Person

Seit 2011 arbeitet Eric Nicolas für Firmenich. Beim Geschmacks- und Duftstoffhersteller war er zunächst als CFO tätig und amtet seit Herbst 2020 als COO. Zusätzlich zur IT mit 250 Mitarbeitenden verantwortet er die Bereiche Strategie und M&A, End-to-End Supply Chain sowie Immobilien. Vor seinem Wechsel zu Firmenich arbeitete Nicolas bei der Renault-Gruppe und bei Nissan. Er hat einen Doktortitel in Wirtschafts- und Organisationswissenschaften der Universität Dauphine, einen Master in Ökonometrie der Universität Paris, einen Master in Finanzen der HEC Paris und absolvierte das International Directors Program am Insead. Der gebürtige Franzose lebt mit seiner Familie in Genf. Zu seinen Hobbys gehören Reiten, Tauchen und ­Segeln.
Quelle: Firmenich