Sogar nach 125 Jahren gibt es noch unliebsame Überraschungen. Das musste die Brugg Group letzten Herbst erfahren, als sie ins Visier von Cyberkriminellen geriet. Ihre Fähigkeit eigene Prozesse regelmässig risikobasiert zu optimieren, habe sie vor grossen Schäden bewahrt, ist Gruppenleitungsmitglied Andrea Roth überzeugt.
«Erfolgreich sind und waren wir immer als Nischenplayer», sagt Andrea Roth, Mitglied Brugg-Gruppenleitung, CEO Brugg Ropes und Geobrugg AG.
Der ausgebildete Bauingenieur Andrea Roth hat bei der Brugg Group gleich mehrere Funktionen inne. Als CEO der Division Brugg Ropes, also dem Geschäftsbereich Seiltechnik, ist er Mitglied der sechsköpfigen Brugg-Gruppenleitung. Seit 2014 ist er zudem Geschäftsführer der Geobrugg AG mit Sitz in Romanshorn TG, die seit den 50er-Jahren Schutznetzsysteme aus hochfestem Stahldraht herstellt. Zur von Roth geleiteten Division gehören zudem die Fatzer AG, eine traditionsreiche Herstellerin von Stahldrahtseilen für Bergbahnen, die Brugg Lifting AG als Produzentin von Aufzugsseilen sowie die auf Industriekabel spezialisierte Brugg eConnect AG.
Komplettiert wird die Industriegruppe mit Aargauer Wurzeln durch den Geschäftsbereich Brugg Pipes, der Rohrsysteme für Fernwärme- und Industrieanwendungen produziert sowie die Rittmeyer AG, einer Anbieterin von Prozessleittechnik insbesondere für die Energie- und Wasserversorgung. Letztere verantwortet auch die gruppenweite IT.
All dies fertigt die Brugg Group:
Schutznetzsysteme wie hier oberhalb der Axenstrasse, … Bild: Brugg Group
Spezialdrahtseile zum Beispiel für die neue V-Bahn in Grindelwald, … Bild: Brugg Group
belastbare Aufzugsseile, … Bild: Brugg Group
Industriekabel, … Bild: Brugg Group
Rohrsysteme und … Bild: Brugg Group
Prozessleittechnik insbesondere für Energie- und Wasserversorger. Bild: Brugg Group
Im Gespräch mit dem SQS-Blog spricht Roth darüber, wie es der Brugg Group gelingt, die eigenen Prozesse kontinuierlich zu hinterfragen. Und warum die Industriegruppe wohl gerade deshalb sogar aus einem massiven Cyberangriff gestärkt hervorgegangen ist.
Was vor 125 Jahren im Aargau als kleine Kabelfabrik begann, präsentiert sich heute als weltweit tätige Brugg Group. Welche Unternehmens-DNA braucht es, um so lange erfolgreich am Markt zu bestehen?
Andrea Roth: In unseren Wirkungsfeldern sehen wir uns selbst als Pioniere. Erfolgreich sind und waren wir immer als Nischenplayer. Wir fokussieren auf klar abgegrenzte Teilmärkte, in denen wir weltweit die Nummer 1 sein wollen. Den breiten Massenmarkt bearbeiten wir nicht. Es gibt beispielsweise viel grössere Stahldrahtseilfabriken als Fatzer. Im anspruchsvollen Nischenmarkt Seilbahnen können wir aber die Pionierrolle ausfüllen.
Wie gelingt es Ihnen, sich immer wieder neu zu erfinden?
Wenn wir uns sorgfältig in vielversprechende Anwendungsbereiche eindenken, können wir mit unseren Produkten in neue Nischen vorstossen. Bei der Geobrugg haben wir uns etwa den Zugang zum Bergbau und Motorsport erarbeitet. Diese Kunden haben hohe Ansprüche an unsere Produkte. Rennveranstalter benötigen etwa effektive Lösungen, um die Motorsportfans weltweit entlang der Strecken zu schützen. Gut, sind wir so international aufgestellt und überall vor Ort präsent.
Immer wieder in neue Nischen vorstossen:
Schutznetzsysteme braucht es auch im Rennsport. Bild: Brugg Group
Mit Fatzer Drahtseilen unterwegs in La Paz, Bolivien Bild: Brugg Group
Ist dies das Resultat Ihrer Strategie?
Absolut, die Internationalisierung ist für uns ein wichtiger Treiber. Wir liefern viel an die öffentliche Hand. Doch deren Budgets wachsen nicht in den Himmel… Nur dank der internationalen Expansion konnten wir weiterwachsen. Vor rund 20 bis 30 Jahren gründeten wir die ersten Produktionsstätten in den USA, China und Japan. In den letzten 10 Jahren haben wir dann in weiteren Märkten auf der Südhalbkugel Fuss gefasst. Dazu gehören Australien, Afrika, Südamerika und Indien.
«Innovation ist längst nicht nur ein kreativer Prozess,
sie ist vor allem Handwerk.»
Wie bleiben sie innovativ und entwickeln bestehende Produkte im Sinne der Kunden weiter?
Wir pflegen eine offene Zusammenarbeit mit Kunden und Lieferanten sowie Universitäten und der angewandten Forschung. Alle unsere Ingenieure wirken parallel zur Entwicklungsarbeit in Kundenprojekten mit, setzen sich also intensiv mit Produktanwendungen auseinander. Die so generierten Ideen clustern, verdichten und priorisieren wir. Dafür braucht es ein konsequentes Projektmanagement. Innovation ist längst nicht nur ein kreativer Prozess, sie ist vor allem Handwerk.
Wie hilft Ihnen Ihr QM-System dabei?
Es erleichtert, die Innovationsarbeit zu strukturieren. Bei Geobrugg verfügen wir etwa über einen Freigabeprozess, der auf unserem Managementsystem nach ISO 9001 aufbaut und laufend optimiert wird. Bei diesem kontinuierlichen Verbesserungsprozess fliessen unsere praktischen Erfahrungen im Berufsalltag ein. Ein Beispiel: Die Freigabe eines Prototyps erfolgte früher erst nach dem abgeschlossenen Testing. Zu diesem Zeitpunkt hatten wir im Normalfall aber bereits die amtliche Zulassung beantragt. Das war nicht durchdacht, deshalb haben wir es gedreht.
Wieso lohnt es sich für die Brugg Group, jeweils einen Tag pro Monat fürs Lean Management zu reservieren?
In dieser Zeit konzentrieren wir uns abteilungsübergreifend auf prozessuale Verbesserungen. Unser Tagesziel ist es jeweils, einen ganz bestimmten unternehmerischen Ablauf zu optimieren. Dieser geht dann am nächsten Arbeitstag ins Testing. So stellen wir sicher, dass der geänderte Prozess in der Praxis tatsächlich funktioniert. Ist dies nicht der Fall, wird er nochmals überarbeitet. Wir setzen zeitnah um, statt Konzepte für die Schublade zu entwickeln. Das ist für alle Beteiligten sehr motivierend!
«Bei den Audits profitieren wir jeweils
von einer Aussensicht.»
Auch Nachhaltigkeit ist ein wichtiges Thema für Sie.
Ja, ganz klar. Die entsprechende Gruppenstrategie haben wir via Divisionen bis auf unsere einzelnen Unternehmen runtergebrochen. Nur so ist die Durchgängigkeit sichergestellt. Beim letzten Rezertifizierungsaudit hat unser SQS-Auditor aber zurecht thematisiert, dass wir diesem für uns offensichtlich sehr wichtigen Aspekt bisher noch kein eigenes Kapitel im Gruppenmanagementsystem widmen. Diese Lücke werden wir dieses Jahr schliessen. Es ist ein schönes Beispiel dafür, wie wir jeweils von einer Aussensicht profitieren. Wir schätzen die Audits der SQS als Möglichkeit, uns periodisch herausfordern zu lassen und Potenziale zu erkennen. Da unser Auditor Einblick in verschiedene Firmen hat, stellt er uns entsprechend fundierte Fragen.
Keine Kompromisse bei der Informationssicherheit: Die Brugg-Gruppengesellschaft Rittmeyer AG betreut schliesslich Prozessleittechnik für systemkritische Kunden-Infrastrukturen. Bild: Brugg Group
Hackerangriffen gezielt vorbeugen
Wer Betrugsversuche beobachtet, Schadsoftware erhält, erpresst oder mit Spam zugemüllt wird, kann dies dem Bund melden. In jüngster Zeit wird gemäss dem Nationalen Zentrum für Cybersicherheit (NCSC) davon rege Gebrauch gemacht. Im ersten Halbjahr 2021 verzeichnete das NCSC eine Zunahme der gemeldeten Cyberangriffe um 85 Prozent gegenüber der Vorperiode. Und dabei dürfte es sich nur um die Spitze des Eisbergs handeln.
Laut dem Cybersecurity-Experten Nicolas Mayencourt von der Dreamlab Technologies AG hat sich die Zahl der Online-Angriffe nämlich während der Corona-Pandemie gar vervielfacht. «Vielleicht erleben wir derzeit fünfmal mehr Cyberübergriffe als 2020. Vielleicht sind es auch zehn- oder zwanzigmal mehr», so Mayencourt jüngst im Sonntagsblick. Er stellt zudem fest, dass funktionierende Sicherheitskonzepte vielerorts inexistent seien.
Letztes Jahr hat die Rittmeyer AG, die bei Ihnen auch gruppenweit die IT verantwortet, ein Informationssicherheits-Managementsystem nach ISO 27001 eingeführt. Weshalb?
Die Anbindung ans Internet mit vielen Touchpoints macht heute selbst KMU anfällig für Cyberangriffe. Ein Unternehmen, das seine IT-Hausaufgaben vernachlässigt, ist aber noch viel anfälliger. Rittmeyer betreut für Kunden Prozessleittechnik für systemkritische Infrastrukturen wie Wasserkraftwerke oder die Trinkwasserversorgung, weshalb gerade dort die Informationssicherheit das A und O ist.
Hat sich der Aufwand für die Zertifizierung ausgezahlt?
Als uns im letzten September Hacker angegriffen haben, blieben die von Rittmeyer betreuten heiklen Kundensysteme verschont – nicht zuletzt dank den im Rahmen der Zertifizierung nach ISO 27001 getroffenen Entscheiden und Massnahmen. Die Hacker konnten lediglich in gruppeninterne Systeme eindringen, aber in kein einziges Kundensystem. Das hat uns eindrücklich bestätigt, dass das bei Rittmeyer neu etablierte Informationssicherheits-Konzept tatsächlich funktioniert.
Wie lief dieser Hackerangriff ab?
Mittels sogenannter Ransomware sind die Cyberkriminellen in unsere Gruppen-IT eingedrungen. Es gelang ihnen, Daten zu verschlüsseln. Für deren Entschlüsselung stellte die Erpresserbande finanzielle Forderungen, auf die wir natürlich nicht eingingen. Bei der Bewältigung der Situation profitierten wir stark davon, dass sich Rittmeyer die notwendigen Überlegungen zur Informationssicherheit im Zertifizierungsprozess bereits gemacht hatte. Wir waren eingespielt und konnten den gleichen externen Security-Partner beiziehen, der uns bereits auf dem Weg zur Zertifizierung nach ISO 27001 beraten und begleitet hatte. So gelang es uns, die Krisenorganisation rasch hochzufahren. Entsprechend schnell und professionell starteten wir in die Lösungssuche.
«Der Cyberangriff war eine wertvolle Erfahrung. Dies war keine Übung, sondern eine gnadenlos reale kriminelle Attacke…»
Und wie haben Sie diesen Tag persönlich erlebt?
Als grossen Stresstest, der uns gezeigt hat, wie wir weiterarbeiten müssen, wenn die IT einmal wegen eines Cyberangriffs komplett ausfällt. Als ich am Morgen im Geobrugg-Büro meine Daten bearbeiten wollte, waren diese verschlüsselt. Wir haben dann sofort alle betroffenen Systeme runtergefahren. Für mich war es eine wertvolle Erfahrung: Denn dies war keine Übung, sondern eine gnadenlos reale kriminelle Attacke…
Welche Lehren haben Sie aus dem Cybervorfall gezogen?
Zuerst haben wir die dringenden Sicherheits-Upgrades implementiert und technische Massnahmen wie die Multi-Faktor-Identifikation gruppenweit umgesetzt. Wir mussten aber auch lernen, dass das Monitoring unserer Systeme am Wochenende nicht pausieren darf. Wir haben dieses ausgelagert und heute laufen die Meldungen der Überwachungs-Software 7 Tage mal 24 Stunden bei kompetenten Experten rein, die bei Bedarf zeitnah reagieren können. Absolut entscheidend ist der Faktor Mensch. Unsere Mitarbeitenden sind für das Thema sensibilisiert. Aber auch die Angreifer lernen ständig dazu, weshalb wir in unseren Schulungsbemühungen nie nachlassen dürfen.
Jeder Stein bleibt nicht oben: Was ein Schutznetz aufzuhalten vermag, zeigt sich in der Testanlage Walensee. Bild: Brugg Group
Gewisse IT-Sicherheitslücken sind aber sicher unvermeidlich. Wie gehen Sie damit um?
Lassen Sie mich das Ganze mit dem Naturgefahrenschutz in den Bergen vergleichen. Geobrugg-Kunden haben gelernt, in diesem sensiblen Bereich mit einem gewissen Restrisiko zu leben. Schliesslich können wir an einer Gefahrenstelle verbauen, was wir wollen: Es wird uns nie gelingen, jeden Stein oben zu halten. Oder dann kommt der Stein einfach an einer anderen Stelle runter, die wir aus Kostengründen nicht absichern konnten. Genauso ist es auch bei der Informationssicherheit. Es gibt immer ein Restrisiko, das die Verantwortlichen reduzieren, akzeptieren oder transferieren müssen. Nur ignorieren dürfen sie es nicht.
Brugg-Produktionsstandorte
Luftaufnahme vom Hauptsitz der Brugg Group Bild: Brugg Group
Geobrugg AG, Romanshorn TG Bild: Brugg Group
Brugg Group, Chengdu, China Bild: Brugg Group
Brugg Rohrsystem AG, Kleindöttingen AG Bild: Brugg Group
Brugg Lifting North America, LLC., Rome, Georgia, USA Bild: Brugg Group
Rittmeyer AG, Baar ZG Bild: Brugg Group
Brugg Group
Die Industriegruppe mit Hauptsitz in Brugg AG beschäftigt in den Divisionen Seile, Rohre und Prozessleittechnik weltweit über 1 600 Mitarbeitende. Sie ist mit 19 Produktionsstätten und 17 Verkaufsorganisationen auf allen Kontinenten vertreten. 2020 erwirtschaftete sie einen konsolidierten Umsatz von 515 Millionen Franken.
Alle Gruppengesellschaften sind nach ISO 9001 und grösstenteils auch nach ISO 14001 SQS-zertifiziert. Letztes Jahr wurde die Rittmeyer AG zudem von der SQS nach ISO 27001 zertifiziert.
Unser Newsletter bringt relevante und interessante Inhalte zu Ihnen
Möchten Sie informiert werden, wenn wir einen neuen Beitrag aufschalten? Dann abonnieren Sie unseren SQS-Blog-Newsletter. Sie können sich jederzeit wieder abmelden.
