Die stereotypische Entführung des CEOs im schwarzen Van sei heute weder notwendig noch die gängige Methode, um an Lösegeld zu kommen, sagt Patrick Bardel. Denn heute bedarf es weniger „robuster Methoden“, sondern vielmehr des Griffs zum Laptop und einer guten Internetverbindung. Was einem modernen Actionfilm entspringen könnte, ist für den Gründer und CEO von BPN Arbeitsrealität – und Berufung zugleich.

Nach der Schule war Bardel für einen Kärntner Anlagenbauer als IT-Engineer tätig. Durch zahlreiche externe Projekte wurde ihm klar, wie wenig Sensibilisierung bei Unternehmen bezüglich des Themas Cyber­sicherheit herrscht, und welche Lücken es in den Systemen gibt. „So kam mir 2006 die Idee, ein Unternehmen zu gründen, welches sich per Design damit beschäftigt, sichere In­frastrukturen zu bauen. Bis heute gibt es in der DACH-Region noch immer nur wenige Unternehmen, die ein Lösungsensemble von A bis Z anbieten, wie wir es tun“, erzählt Bardel.

Seit der Gründung hat sich in der digitalen Welt, wie auch bei BPN, viel getan. Auf das einstige Start-up BP Networks GmbH, welches vorrangig zum Bau sicherer Infrastrukturen ins Leben gerufen wurde, folgten die BPN Technology GmbH, die BPNG Deutschland GmbH, die BPN Consult GmbH und als jüngster Zuwachs die BPN Intelligence GmbH. Die eigenständig geführten Gesellschaften fügen sich als Holding in der BPN Group zusammen.

Die lückenlose Überwachung der Kundeninfrastrukturen auf Cyberangriffe oder verdächtiges Verhalten gehört zu den Kernkompetenzen von BPN. Neben der Analyse von Problemsituationen IT-technischer wie physikalischer Natur – etwa auch der Optimierung von Sicherheitstüren und Videokameras – und der Beratungstätigkeit entwickelt Bardel bei BPN Intelligence Dark- und Deep-Net-Analysen. Zudem beschäftigt er sich mit neueren Feldern, etwa der Drohnenabwehr und Social Media als sicheren Kommunikationskanälen. „Die Zukunft der Drohnen wurde bereits eingeläutet. Aber wie bei so vielen anderen Innovationsthemen wird hier die Frage nach der Sicherheit aussen vor gelassen. Wer bedenkt schon, dass mit Sprengstoff versehene Mikrodrohnen das gleiche Schadenspotenzial wie Schusswaffen haben, nur eben mit viel grösserer Präzision und ferngesteuert?“, so Bardel.

Obwohl die BPN Group auch in Wien und Hamburg verortet ist, befindet sich der Hauptsitz gut versteckt im ländlichen Wolfsberg im Lavanttal. Neben der Liebe zu seinem Heimatort habe er aber auch die Vorteile der Abgeschiedenheit zu schätzen gelernt, so Bardel. Von den 25 Mitarbeitern, die in Österreich und Deutschland aktiv sind, scheinen zumindest eine Handvoll davon diese Ansicht zu teilen. 2018 erzielte BPN sechs Millionen € Jahresumsatz, die Auftraggeber reichen mittlerweile von der DACH-Region bis in die USA und nach Israel. Insbesondere Israel gilt momentan als das Epizentrum der IT-Branche, weswegen Bardel sich auch dort künftig mit BPN niederlassen möchte; insbesondere, um Talente zu rekrutieren.

Patrick Bardel
... gründete mit BP Networks 2006 sein erstes Start-up. Seitdem wuchs dieses zur BPN Group heran: Die BP Networks GmbH, die Deutschland-Tochter BPNG GmbH, BPN Technology GmbH, das Beratungsunternehmen BPN Consult GmbH mit Sitz in Wien sowie jüngst auch die BPN Intelligence GmbH für Aufträge im öffentlichen Bereich und für Behörden. Die Holding BPN Group GmbH ist im Alleinbesitz von Bardel.

Bei der Frage nach konkreten Kunden, welche ihn nun in Sicherheitsfragen konsultieren, gibt sich Bardel verschwiegen – der Vertraulichkeit wegen, wie er sagt. „Viele unserer Aufträge bekommen wir von Unternehmen, die zum DAX oder dem ATX zählen. Neben börsennotierten Unternehmen sind wir auch für Behörden und den Mittelstand tätig.“ Hierbei agiert BPN stark branchenübergreifend: Sowohl Grossbanken der DACH-Region wie auch das produzierende Gewerbe und die Medizin- bzw. Pharmabranche werden bedient.

Ein klassischer Erstkontakt erfolgt oftmals über die Simulation einer Cyberattacke, die möglichst realistisch und unbemerkt erfolgen soll. „Da habe ich auf jeden Fall die eine oder andere Anekdote zu erzählen“, schmunzelt Bardel. Neben seinen Aufgaben und Verpflichtungen als CEO ist er nach wie vor selbst beim Hacken von Systemen in speziellen Fällen im Einsatz.

Etwa mit als Werbegeschenken ge­tarnten Computermäusen, die im Inneren mit spezieller Software ­versehen waren und Türen in Unternehmen öffnen konnten, bis hin zum erfolgreichen Log-in in den Mail­account von wichtigen Führungskräften konnte Bardel schon so manche Schwachstelle entlarven. So kommt er Kundenwünschen beispielsweise entgegen, indem er eine Person als vermeintlichen neuen ­Mitarbeiter ins Unternehmen schleust. Mit gefälschten Personalien und über den Zeitraum von drei Wochen hinweg wurden so reichlich Informationen bezüglich laufender Projekte und vertraulichen Angaben in Meetings gesammelt. „Egal in welcher Industriesparte: Es ist fast immer möglich, Mängel und Lücken in einem Unternehmen zu finden und aufzu­decken“, so Bardel.

Ein weiterer Fall Bardels aus der Automobilindustrie zeigt, dass selbst das Entwenden von massiven, physisch greifbaren Objekten durch Tricksereien möglich ist: Um den Prototyp eines neuen Steuerungssystems am helllichten Tage aus seiner Produktionsstätte zu stehlen, waren in der Vergangenheit für Bardel und sein Team nicht mehr als einige gefälschte E-Mails notwendig, versehen mit der Bestätigung über die Abholung des Objekts.

Obwohl Kunden oft erst nach solchen Inszenierungen zu dem Entschluss kommen, die Sicherheitsvorkehrungen in der eigenen Firma aufzurüsten und zu verbessern, befürwortet Bardel eine gelebte offensive Haltung zum Thema Sicherheit: „Im Vorhinein in eine sichere Struktur zu investieren lohnt sich in den allermeisten Fällen. Aber oftmals braucht es die angsteinflössenden Geschichten auf der Titelseite von Cyberattacken und Datenklau, bis Firmen umdenken und in ihre eigenen Systeme investieren. Dabei ist der Schaden nach so einem Vorfall oft viel grösser.“ Mit Schaden meint Bardel neben dem Reputationsverlust von Unternehmen auch den finanziellen Aufwand, der durch die geforderte Spontaneität und Rasanz um ein Vielfaches höher ist als präventive Massnahmen. Laut dem Bericht des Herstellers McAfee belief sich der Kostenaufwand für diese Schäden 2018 weltweit auf rund 800 Milliarden US-$.

Dem fortwährenden Trend der Digitalisierung steht der IT-Experte im Hinblick auf zukünftige Gefahren durchaus kritisch gegenüber. Der Wettlauf um den höchsten Grad der Digitalisierung zwischen den Unternehmen dieser Welt bringe auch seine Schattenseiten mit sich. Nach dem Motto „Grösser, höher, schneller“ würden beim Streben nach Fortschritt oftmals die Sicherheitsaspekte vergessen, da diese auch als „Innovationshemmer“ gelten. Die unmittelbare Gefahr für den Menschen wird besonders eindrücklich sichtbar, wenn man den Blick auf kriminelle Übernahmen von medizinischen Geräten in Krankenhäusern wirft. „Vielleicht ein Härtefall, aber dennoch Realität: In Grossbritannien wurde nach der Installation von Malware in Krankenhauscomputern landesweit die Behandlung für Chemotherapiepatienten verunmöglicht. Auch in Österreich sind solche Angriffe bereits vorgekommen“, erzählt Bardel.

Hinter Attacken wie diesen steckt nie nur der blosse Zufall, vielmehr ein böser Wille – und ein Auftrag­geber. Wer die nötigen Fähigkeiten zum Hacken nicht selbst hat, hat die Möglichkeit, über Communitys im Darknet wie „Kick Ass Marketplace“ und „The Stock Insider“ zu Informationen, aber auch Hintermännern zu gelangen. Neben gefälschten Reisepässen und Geldscheinen werden hier auch illegale Dienstleistungen wie das Knacken von Social-Media-Accounts oder die Beschaffung von Erpressungsmaterial angeboten.

Das World Economic Forum (WEF) stuft Cyberkriminalität neben Naturkatastrophen als eine der grössten Bedrohungen der Gegenwart ein. Zudem zeigt eine Studie von KPMG, dass 72 % der österreichischen Unternehmen – also drei von vier – bereits Opfer von Cyberattacken wurden. „Die Hemmschwelle für kriminelle Handlungen sinkt durch die Verschiebung ins Internet und auf die digitale Ebene immens. Einen Black-Hat-Hacker (einen destruktiven Hacker, Anm.) berührt es nicht, wenn er von den USA aus einen Schweizer Vorstandschef erpressen und somit um seine Existenz bringen soll“, so Bardel.

Zugleich machen die sozialen Netzwerke wie Facebook oder Insta­gram und die damit einhergehende Kultur des öffentlichen Teilens den Datenraub so leicht wie nie zuvor. Neben Hackern machen sich auch riesige Internetkonzerne wie Google unsere Daten zunutze, erklärt Bardel: „Die Informationen, die wir heute durch Dienste wie Google oder Amazon preisgeben – so zum Beispiel durch die immer wieder auftretenden Sicherheitsfragen –, werden von den Unternehmen für die Entwicklung von Technologien wie maschinelles Lernen genutzt.“ Nicht nur der Umgang mit Technik im Berufs-, sondern auch jener im Privatleben sei zu beachten und durch Aufklärung und Bildung zu verbessern, meint Bardel.

Inwiefern beeinflusst die ständige Fokussierung auf IT-Sicherheit Bardels eigenes Denken und Handeln im privaten Umfeld? Der Unternehmer lacht: „Vielleicht ist es meine Form von Berufskrankheit, aber ich konnte mich lange nicht mit der neuen iPhone-Generation anfreunden, die ja mit Gesichtserkennung arbeitet. Und eine Amazon Alexa zieht bei mir vorerst auch nicht ein.“

Text: Chloé Lau
Fotos: Arnold Pöschl