Schwarz Gruppe

Do-it-yourself-Security statt abhängig sein

Um Abhängigkeiten von Security-Anbietern zu vermeiden, nimmt die Schwarz Gruppe das Thema selbst in die Hand. Sie hat eine eigene IT-Sicherheitsplattform entwickelt.
Von 
CSO | 21. September 2022 05:11 Uhr
Zur Schwarz Gruppe gehören die Lebensmittelgeschäfte Lidl und Kaufland, die Schwarz Produktion und der Umweltdienstleister PreZero.
Zur Schwarz Gruppe gehören die Lebensmittelgeschäfte Lidl und Kaufland, die Schwarz Produktion und der Umweltdienstleister PreZero.
Foto: Schwarz

Erst die physische Zugangskarte, dann die Handfläche. So verifiziert Rolf Schumann, Chief Digital Officer (CDO) der Schwarz Gruppe, seine Identität, um in das Security Operations Center (SOC) eintreten zu dürfen. Nur die Security-Mitarbeiter dürfen in diesen geschützten Bereich, wo das Incident Response Team und die Forensiker arbeiten. Der Sicherheitsscore der Schwarz Gruppe steht aktuell bei 94, deshalb sind nur zwei Mitarbeiter vor Ort. Sinkt das Sicherheitsniveau des größten Einzelhändlers Europas, rücken die Experten an. Auch wenn das SOC am Firmenstandort in Neckarsulm (Baden-Württemberg) nicht immer voll besetzt ist, wird die Infrastruktur des Konzerns rund um die Uhr überwacht.

Lesetipp: Neuer Security-Verantwortlicher für die Schwarz Gruppe

Rolf Schumann wechselte im Februar 2019 von SAP zur Schwarz Gruppe.
Rolf Schumann wechselte im Februar 2019 von SAP zur Schwarz Gruppe.
Foto: Schwarz

Security-Expertise aus Israel

Als Technologie haben sich Schumann und Chief Information Officer (CIO) Christian Müller für den israelischen Anbieter XM Cyber entschieden, den die Gruppe im November 2021 übernommen hat. Mit dem Attack Path Management können die Sicherheitsexperten nachvollziehen, welche Wege ein Angreifer im Unternehmensnetzwerk austestet, um zu den kritischen Assets zu gelangen und an welchen Stellen er Zugangsdaten gestohlen hat. "Da sich die Sicherheitslage sekündlich ändert, priorisiert XM Cyber die größten Risiken", erklärt Schumann. "Hundertprozentige Sicherheit gibt es nicht, deswegen sollen sich unsere Experten mit den wirklich kritischen Schwachstellen beschäftigen."

Als CIO trägt Christian Müller die Verantwortung für die IT-Sparte der Schwarz Gruppe.
Als CIO trägt Christian Müller die Verantwortung für die IT-Sparte der Schwarz Gruppe.
Foto: Schwarz

In einem Dashboard wird den SOC-Mitarbeitern angezeigt, welche Sicherheitslücken dringend Aufmerksamkeit benötigen, und wie sie geschlossen werden können. Mit der Technologie von XM Cyber schützt die Schwarz Gruppe nicht nur ihre eigenen internen Systeme und Lieferketten, sondern sichert auch ihre digitalen Angebote wie die E-Commerce-Plattformen von Lidl und Kaufland sowie die Treueprogramme. Ergänzt wird die Strategie mit der Technologie von Cyber Observer, ebenfalls ein Anbieter aus Israel, den die Schwarz Gruppe übernommen hat.

Lesetipp: So finden Sie Sicherheitsexperten

Abhängigkeiten vermeiden

Das Ziel, dem sich Müller und Schumann verschrieben haben, ist die Entwicklung einer führenden europäischen Cyber Suite. "Wir wollen nicht von den Kapazitäten und Fähigkeiten eines externen Herstellers abhängig sein", sagt Müller. "Also haben wir ein eigenes Angebot aufgebaut." Dass die Schwarz Gruppe die SOC-Leistungen für die eigene Sicherheit einsetzt, ist den beiden Chief Officers zufolge eines der Hauptargumente, warum sie sich auch als Dienstleistung gut verkaufen werden. Vor allem will man den Mittelstand als Kunden anstreben, aber auch Konzerne und KRITIS-Unternehmen. Der Dienst wird bereits europaweit und in den USA angeboten. Ähnlich verhielt es sich, als die Schwarz IT 2018 mit Stackit eine eigene Cloud-Lösung entwickelte. Das Angebot soll die europäische Cloud-Alternative zu den Hyperscalern aus den USA und der chinesischen Alibaba Cloud sein.

Lesetipp: Welcher Hyperscaler ist der sicherste?

Sicherheitsexperten selbst ausbilden

Mit diesen noch recht jungen Angeboten bedient der Konzern eine große Nachfrage am Markt. Und dafür braucht es laut Müller eine entsprechend gut ausgebildete Mannschaft. Für Zuwachs an IT- und Security-Mitarbeitern sorgt die Schwarz Gruppe selbst: An der Programmierschule 42 Heilbronn, dessen Initiator und Hauptförderer die Dieter Schwarz Stiftung ist, werden jährlich 120 Studierende zu IT-Spezialisten ausgebildet. Um in Vollzeit an der kostenfreien Programmierschule studieren zu können, brauchen Interessenten keine Vorkenntnisse. Sie müssen mithilfe von Online-Spielen nachweisen, dass sie logisch denken können, und ein vierwöchiges Auswahlverfahren durchlaufen.

Nach erfolgreichem Abschluss können sich die Absolventen an einer der 36 Partner-Einrichtungen des 42-Netzwerks weltweit weiter spezialisieren. Ein Großteil der Absolventen erhält jedoch bereits nach dem Grundstudium ein Jobangebot. Viele der Studenten schnappt sich die Schwarz Gruppe selbst, die zudem in Zusammenarbeit mit der Uni Heilbronn und der TU München einen Cybersecurity-Studiengang entwickelt. "Jeder kann IT-Spezialist werden", sagt Müller. "Die Leute müssen lediglich Bock darauf haben."

Lesetipp: IT-Security-Spezialisten sind gefragt wie nie

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.