Schluss mit Alibis. Back to he roots im Datenschutz: Marcel Lehner, Wiener Stadtwerke im Gespräch

Business Circle: Sehr geehrter Herr Lehner, Sie fordern ein „Back to the roots“ und „Schluss mit Alibi-Datenschutz“ in der Informationssicherheit. Was genau haben wir verlernt - und warum kann das gefährlich sein?

Marcel Lehner: Wir haben verlernt, dass Sicherheit nicht in Hochglanz-Präsentationen entsteht, sondern in der Tiefe der Systemarchitektur. Informationssicherheit ist kein Feelgood-Projekt und keine Checkbox-Übung für Audits - sie ist eine technische, organisatorische und menschliche Herausforderung, die schmerzhaft konsequent gedacht werden muss.
Was meine ich mit „Back to the roots“? Ganz einfach: Früher - und ich spreche hier nicht von der Steinzeit, sondern von den 90ern - war klar, dass ein System nur so sicher ist wie sein schwächstes Glied. Heute hingegen glauben viele, man könne mit einem netten „Awareness Month“, einem halbtags geschulten Data Protection Officer und ein bisschen „Zero Trust“-Buzzword-Bingo das Sicherheitsproblem erschlagen.
Wir haben verlernt, dass technische Exzellenz, systematisches Schwachstellenmanagement und ein ganzheitliches Bedrohungsverständnis keine optionalen Add-ons sind, sondern Fundament jeder ernstzunehmenden Sicherheitsstrategie.
Und das ist gefährlich - denn Angreifer interessieren sich nicht für ISO-Zertifikate oder DSGVO-konforme Cookie-Banner. Sie interessieren sich für schlecht konfigurierte Schnittstellen, übersehene Schatten-IT und menschliche Fehlkonfigurationen. Der Rest ist Rhetorik - manchmal sogar Selbstbetrug.

BC: Die Wiener Stadtwerke betreuen über zwei Millionen Menschen in einer kritischen Infrastruktur. Was bedeutet das für den Umgang mit Kundendaten - und wo liegen die besonderen Herausforderungen?

Lehner: Wer zwei Millionen Menschen mit Strom, Wärme, Mobilität und digitalen Services versorgt, trägt Verantwortung weit über die eigene Organisation hinaus. Das beginnt beim Vertrauen, das Kund:innen in uns setzen - und endet nicht bei der Sicherung personenbezogener Daten.
Der zentrale Punkt ist: Bei uns geht es nicht nur um Datenschutz - es geht um Versorgungssicherheit, Resilienz und die Integrität kritischer Systeme. Ein Stromausfall ist eben nicht nur eine technische Störung, sondern kann weitreichende Auswirkungen auf andere Bereiche haben. Und eine manipulierte Fahrplandatenbank ist kein harmloser Fehler, sondern beeinträchtigt das Vertrauen und die Verlässlichkeit unseres öffentlichen Lebens.
Die größte Herausforderung liegt darin, dass unsere IT-Landschaft gewachsen, heterogen und tief in industrielle Systeme verzahnt ist. OT und IT treffen hier aufeinander, und die klassischen Security-Konzepte greifen nur bedingt. Gleichzeitig erwarten unsere Kund:innen intuitiv funktionierende, digitale Services - und zwar rund um die Uhr. Das erzeugt ein Spannungsfeld: zwischen Innovationsdruck, Betriebsstabilität und maximalem Schutz.
Und ja, Datenschutz spielt dabei eine wichtige Rolle - aber eben als Teil eines größeren Ganzen. Wer Datenschutz als Selbstzweck missversteht, verliert das eigentliche Ziel aus den Augen: Sicherheit für Menschen, Prozesse und Gesellschaft.

BC: Sie sind seit über 30 Jahren in der Sicherheitsbranche tätig. Wie hat sich das Bild des „Angreifers“ in dieser Zeit verändert - und wie sieht der typische Hacker von heute aus? Und wer hat im immerwährenden Wettlauf derzeit die Nase vorn: Die Sicherheitsverantwortlichen oder die Angreifer?

Lehner: Als ich angefangen habe, waren die meisten „Hacker“ im eigentlichen Sinn des Wortes unterwegs: neugierige Tüftler, oft mit ethischem Kompass - oder zumindest mit dem Wunsch, Dinge zu verstehen. Heute reden wir von organisierten, finanziell motivierten und hochprofessionellen Angreifern. Cybercrime-as-a-Service ist Realität.
Der „typische Hacker“ heute? Kein Nerd mit Kapuzenpulli im Keller. Eher eine gut organisierte Gruppe mit mehrsprachigen Helpdesks, Bug-Bounty-Strategien und klarer Businesslogik. Teilweise mit staatlicher Rückendeckung.
Wer liegt vorne? Die Angreifer - eindeutig. Nicht weil wir schlafen, sondern weil sie keine Regeln einhalten müssen. Sie agieren asymmetrisch, adaptiv und gnadenlos opportunistisch. Ein Fehler auf unserer Seite reicht - und sie sind drin. Wir hingegen müssen immer alles richtig machen.
Aber: Der Wettlauf ist nicht verloren. Was uns fehlt, ist weniger Technik als Haltung. Weniger Compliance-Denke, mehr Security-Mindset. Dann, und nur dann, können wir das Gleichgewicht wieder herstellen.

BC: Wo steht die öffentliche Hand in Österreich im Vergleich zur Privatwirtschaft in Sachen IT-Security? Und wo kann wer jeweils vom anderen lernen?

Lehner: Die öffentliche Hand war lange das sprichwörtliche Schwerfällige - aber wer heute genauer hinsieht, erkennt: Da tut sich was. Neue Budgets, neue Köpfe, neue Strukturen. Der Weckruf ist angekommen, und der Apparat beginnt sich zu bewegen - nicht in Lichtgeschwindigkeit, aber mit wachsender Entschlossenheit.
Natürlich gibt es nach wie vor Herausforderungen: starre Prozesse, der Kampf um Talente, Legacy-Systeme, die sich weigern, in den Ruhestand zu gehen. Aber das Bild ist längst nicht mehr so düster wie oft behauptet. Gerade in Fragen wie langfristiger Resilienz, strategischer Transparenz und digitaler Souveränität nimmt der öffentliche Sektor mittlerweile eine Vorbildfunktion ein.
Die Privatwirtschaft hingegen hat Geschwindigkeit - und den Druck, aus Fehlern schneller zu lernen. Wer heute Sicherheit vernachlässigt, zahlt morgen - sei es finanziell, regulatorisch oder reputativ. Dieses Bewusstsein ist vielerorts bereits tief verankert.
Was beiden fehlt - und das bleibt - ist mehr Schulterschluss. Security darf kein stillschweigend gehütetes Betriebsgeheimnis sein. Sie muss offen, sektorenübergreifend und kollaborativ gedacht werden. Denn im Zeitalter von Ransomware, KI-getriebenen Angriffskampagnen und hybrider Kriegsführung gilt: Wer Abschottung betreibt, verliert. Wer vernetzt denkt, gewinnt. Und wenn Staat und Wirtschaft ihre Rollen nicht als Gegensätze, sondern als komplementäre Kräfte begreifen - dann entsteht aus dem „Wir“ echte Cybersicherheit.

Der CISO darf nicht als „Verhinderer“ gesehen werden

BC: Wie kann es einem CISO am besten gelingen, Sicherheitsbewusstsein nicht nur in IT-Abteilungen, sondern bis in Vorstandsetagen hinein zu verankern?

Lehner: Indem er aufhört, wie ein Techniker zu reden - und beginnt, wie ein Risiko-Manager zu denken. Vorstandsetagen interessieren sich selten für CVE-Nummern, aber immer für Reputationsrisiken, Lieferkettenstabilität und rechtliche Haftung.
Man muss Sicherheit in die Sprache des Unternehmens übersetzen. Nicht „Wir müssen einen neuen EDR installieren“, sondern: „Wir reduzieren damit die Wahrscheinlichkeit eines produktionsbedrohenden Vorfalls um X Prozent.“
Zweitens: Sichtbarkeit. CISOs müssen raus aus der IT-Ecke und rein in die Business-Meetings. Wer nie am Tisch sitzt, darf sich nicht wundern, wenn über ihn entschieden wird.
Und drittens - ganz banal - Vertrauen. Der CISO darf nicht als „Verhinderer“ gesehen werden, sondern als Enabler. Als jemand, der hilft, Risiken realistisch zu bewerten - und Innovation sicher zu ermöglichen. Das ist ein Mindset-Shift, der nicht über Nacht gelingt, aber unerlässlich ist.

BC: Wie oft geraten Sie als CSO selbst in Rollenkonflikte - etwa zwischen Datenschutz, wirtschaftlichen Interessen und operativer Praktikabilität?

Lehner: Täglich. Willkommen in der Realität.

Es wäre naiv zu glauben, man könne diese Interessen vollständig harmonisieren. Datenschutz verlangt Datensparsamkeit, Marketing will Datenanalyse, Operations brauchen reibungslose Prozesse - und alle zusammen wollen es „sicher“.
Der Trick ist, nicht als Hüter der Ideale aufzutreten, sondern als Übersetzer zwischen den Welten. Ich bin nicht der Gegner der Wirtschaftlichkeit, sondern der Ermöglicher - aber mit Sicherheitsgurt.
Rollenkonflikte entstehen immer dann, wenn einer glaubt, sein Ziel sei das einzig legitime. Als CSO musst du lernen, Kompromisse zu managen, ohne Prinzipien zu opfern.
Es ist ein Tanz auf der Rasierklinge - aber besser dort tanzen, als auf dem Eis der Fahrlässigkeit auszurutschen.

BC: Abschließend: Sie werden zum ersten Mal bei uns vortragen, Glückwunsch dazu! Was möchten Sie, das von Ihrem Vortrag beim Publikum „hängenbleibt“ und worauf freuen Sie sich bei der Konferenz am meisten?

Lehner: Danke! Ich freue mich sehr - und ich hoffe, dass mein Vortrag weniger als Belehrung, sondern mehr als Einladung zum Umdenken verstanden wird.
Wenn eines hängenbleibt, dann bitte Folgendes: Sicherheit ist kein Projekt mit Deadline, sondern eine Haltung mit Konsequenz. Wer glaubt, mit einem jährlichen Audit oder einem Awareness-Video wäre es getan, irrt.
Ich möchte den Finger in die Wunde legen - aber nicht, um zu schmerzen, sondern um zu heilen.
Was ich an Konferenzen liebe? Den Austausch. Das Reiben an anderen Perspektiven. Die kontroversen Diskussionen, die einen weiterbringen. Und - ganz ehrlich - auch die Bestätigung, dass man mit seinen Gedanken nicht allein ist.
Ich freue mich auf viele kluge Köpfe, ehrliche Fragen - und auf das gute Gefühl, gemeinsam etwas zu bewegen. Denn eines ist klar: Die Herausforderungen sind groß - aber wir sind nicht machtlos. Vorausgesetzt, wir handeln. Jetzt.

BC: Sehr geehrter Herr Lehner, die Vorfreude teilen wir. Vielen Dank für dieses spannende Interview!

‍