Sie können Operatoren mit Ihrer Suchanfrage kombinieren, um diese noch präziser einzugrenzen. Klicken Sie auf den Suchoperator, um eine Erklärung seiner Funktionsweise anzuzeigen.
Findet Dokumente, in denen beide Begriffe in beliebiger Reihenfolge innerhalb von maximal n Worten zueinander stehen. Empfehlung: Wählen Sie zwischen 15 und 30 als maximale Wortanzahl (z.B. NEAR(hybrid, antrieb, 20)).
Findet Dokumente, in denen der Begriff in Wortvarianten vorkommt, wobei diese VOR, HINTER oder VOR und HINTER dem Suchbegriff anschließen können (z.B., leichtbau*, *leichtbau, *leichtbau*).
Um die eigene IT auf einem soliden, sicheren und souveränen Fundament aufzustellen, vertraut der Leichtmetallbauspezialist Zarges auf einen externen Dienstleister, der technisches Know-how, Zuverlässigkeit und Flexibilität in die langjährige Partnerschaft einbringt.
Die Zarges GmbH wurde 1933 gegründet und hat ihren Hauptsitz seit jeher in Weilheim in Oberbayern. Kernkompetenz des Unternehmens ist die Verarbeitung von Aluminium, was sich in den vier Hauptgeschäftsbereichen „Steigen“, „Verpacken“, „Transportieren“ und „Speziallösungen“ widerspiegelt. Im Titelinterview erläutert Martin Lemmer, Head of Information Technology EMEA, mit welchen Herausforderungen die grenzüberschreitende IT-Sicherheit des Unternehmens verbunden ist, wie die Mitarbeitersensibilisierung an den verschiedenen Standorten am besten gelingt und inwieweit Künstliche Intelligenz (KI) die eigenen betrieblichen Prozesse unterstützt.
Anzeige
Herr Lemmer, wie ist Zarges in seinen Hauptgeschäftsbereichen organisiert beziehungsweise grundsätzlich aufgestellt?
Der Bereich „Steigtechnik“ beinhaltet Leitern, Gerüste und alles, was sich um das sichere Arbeiten in der Höhe dreht. In der Logistik sind vor allem unsere Zarges-Boxen bekannt, die für den sicheren Transport und die Lagerung von Gütern eingesetzt werden. Die Medical-Sparte bietet Logistiklösungen und Ausstattung für Krankenhäuser und Pflegeeinrichtungen wie etwa unsere modularen Pflege- und Organisationswagen (MPO). Das vierte Segment sind Speziallösungen bestehend aus komplexen Sonderkonstruktionen für die Industrie, Bahn oder Luftfahrt. Zudem gehen wir noch einen Schritt weiter und haben unser umfangreiches Sortiment 2023 um eine neue, fünfte Sparte für persönliche Schutzausrüstung in den Bereichen „Arbeitsplatzpositionierung“ und „Absturzsicherung“ erweitert. Das Unternehmen gehört zum amerikanischen Konzern Prodriven Global Brands. Unsere größten Produktionsstandorte befinden sich in Weilheim, in Kecskemét (Ungarn) und in Dresden. Ergänzt wird dies durch ein Netz eigener Vertriebstöchter, das von Skandinavien bis nach Frankreich und sogar in die USA reicht.
Was sind die besonderen Herausforderungen in der Leichtmetallbaubranche, um den Kunden hohe Qualität und kontinuierliche Innovationen bieten zu können?
Eine der größten Herausforderungen ist die klare Marktentwicklung weg von der klassischen Katalogserienware hin zu mehr Individualisierung und maßgeschneiderten Speziallösungen. Kunden möchten unsere Produkte exakt auf ihre Bedürfnisse zuschneiden. Dies erfordert von uns fundamental andere Prozesse, insbesondere im Enterprise-Resource- Planning-System (ERP) und in der Produktentwicklung. Wir müssen in der Lage sein, schnell auf Anfragen zu reagieren und auch kleinere Produktserien effizient herzustellen, ohne dass unser Tagesgeschäft beeinträchtigt wird.
Anzeige
Welchen Einfluss übt die allgegenwärtige Digitalisierung auf Ihr Unternehmen und die Produktentwicklung aus?
Die Digitalisierung ist für uns der zentrale Hebel, um die Herausforderungen erfolgreich zu meistern. Den zunehmenden Wunsch nach individuellen Sonderlösungen realisieren wir beispielsweise mithilfe hochintegrierter Produktkonfiguratoren auf unserer Webseite, die weit über rein optische Gestaltungsmöglichkeiten hinausgehen. Es handelt sich um ein komplexes IT-Projekt, bei dem im Hintergrund eine komplette Computer-Aided-Design-Automatisierung (CAD) läuft, die sicherstellt, dass die Konstruktion technisch einwandfrei, produzierbar und normgerecht ist. Zudem müssen auch bei individuellen Konfigurationen Sicherheitsauflagen und Tüv-Bestimmungen eingehalten werden. Unser Ziel ist, dass die Konfiguration so reibungslos durch unsere Systeme läuft wie ein Standardserienartikel. Dieser Prozess, auch als Configure, Price, Quote (CPQ) bekannt, integriert den Kundenwunsch direkt in unsere Wertschöpfungskette – von der automatisierten Konstruktion über die kaufmännische Abwicklung bis in die Produktionsplanung in unserem SAP-System. Auch im Vertrieb versuchen wir Prozesse weitestgehend zu digitalisieren, um unsere Vertriebsmitarbeiter zu entlasten – beispielsweise durch die KI-basierte, automatisierte Auftragserfassung. Darüber hinaus bearbeiten wir auch weiterhin Aufträge händisch. Unser Kundenstamm ist sehr heterogen und reicht von kleinen Handwerksbetrieben bis hin zu großen Mittelständlern. Manche kleinen Betriebe lassen uns seit fast 40 Jahren ihre Bestellung per Fax zukommen und können das auch weiterhin tun. Ebenso wird es immer möglich sein, uns telefonisch zu kontaktieren, um einen Auftrag zu besprechen. Als serviceorientiertes Unternehmen vertreten wir den Standpunkt, dass wir diesbezüglich das komplette Spektrum abdecken, um unsere Kunden immer bestmöglich beraten zu können. Gerade bei komplexeren Anfragen wie zu Speziallösungen im Bereich „Medical“ gehe ich nicht davon aus, dass Künstliche Intelligenz diese Form der Kundenberatung in absehbarer Zeit ablösen kann: unterstützen ja, aber nicht ersetzen.
Mit welchem Ressourcenumfang investieren Sie in die eigene Unternehmens-IT?
Unsere IT-Abteilung besteht aus einem Team von 20 Mitarbeitern, die sich auf die fünf Bereiche „SAP“, „Systemadministration und Infrastruktur“, „Netzwerk und Security“, „Product Lifecycle Management (PLM) und CAD“ sowie „Data und Business Intelligence (BI)“ aufteilen. Die letzten Jahre haben wir in unsere IT investiert, um uns infrastrukturell gut aufzustellen. Unsere Technik ist in Sachen „Hardware“, „Software“ und „Security“ absolut State of the Art, wobei wir aktuell einen Großteil unserer Ressourcen auf unser strategisch wichtigstes Projekt bündeln: die Migration auf SAP S/4Hana.
Wie sollten Mittelständler Investitionen in ihre IT-Infrastruktur und Security bei begrenzten Budgets planen?
Aus meiner Sicht gibt es hier drei Prioritäten: Das absolute Must-have ist ein solides Fundament. Dazu zähle ich den gesamten Bereich „Security“ – von Patch-Management über Awareness-Schulungen bis hin zu einem Notfallplan. Hier darf es keine Kompromisse geben, denn ein Ausfall ist existenzbedrohend. Auch Modernisierung ist wichtig. Technologie entwickelt sich weiter und Hersteller kündigen den Support für alte Systeme auf. Projekte wie unsere aktuelle S/4Hana-Umstellung sind zwar oft extern getrieben, aber sie sind auch eine Chance, veraltete Prozesse zu modernisieren und eine Basis für künftige Innovationen zu schaffen – wie bei einem Umzug, bei dem man sich endlich von alten Sachen trennen kann, die ohnehin nur in Schubladen lagen. Priorität drei ist Innovation: Man muss nicht jeden Trend mitgehen, aber man sollte auf dem Laufenden bleiben, um Zukunftstechnologien nicht zu verpassen. Auch in wirtschaftlich angespannten Zeiten lohnt es sich, gezielt in Künstliche Intelligenz und Automatisierung zu investieren. Solche Technologien werden bleiben und man sollte sich lieber früher als später mit ihnen befassen. So gehen Unternehmen gestärkt aus der Krise und sichern ihre Wettbewerbsfähigkeit.
Auf welcher Management-Ebene werden bei Ihnen IT-Entscheidungen generell getroffen?
Wir haben ein monatlich tagendes IT-Steering-Board etabliert, das auf der höchsten Management-Ebene angesiedelt ist. In diesem Gremium sitzen neben der Geschäftsführung alle C-Level-Verantwortlichen unserer Geschäftsbereiche aus ganz Europa. Hier werden größere IT-Projekte vorgestellt, deren Kosten und Nutzen diskutiert und anschließend gemeinsam priorisiert. So stellen wir sicher, dass größere Investitionen nicht nur aus einer reinen IT-Sicht, sondern aus einer gesamtunternehmerischen, strategischen Perspektive getätigt und von allen Fachbereichen mitgetragen werden.
Zarges hat drei europäische Produktionsstätten. Mit welchen Herausforderungen ist die Gewährleistung der grenzüberschreitenden IT-Sicherheit verbunden?
Historisch gewachsen hatten unsere drei Standorte eine sehr hohe Autonomie, was zu einer fragmentierten IT-Landschaft führte. Die größten Herausforderungen der letzten Jahre waren daher die Konsolidierung und Standardisierung. Wir haben so einen einheitlichen Konzernverbund geschaffen. Das bedeutet, dass ein Mitarbeiter in Schweden oder Ungarn heute auf einer sicheren IT-Plattform mit den gleichen Standards arbeitet wie ein Mitarbeiter in Weilheim. Die unterschiedlichen landesspezifischen Anforderungen bleiben allerdings weiterhin bestehen. Frankreich hat zum Beispiel seit Jahren strenge Vorgaben für elektronische Rechnungen an öffentliche Auftraggeber, während Deutschland hier erst nachzieht. Ungarn verlangt eine direkte Schnittstelle zum Finanzamt für jede einzelne Rechnung. Diese lokalen Compliance-Anforderungen werden durch unsere IT im zentralen ERP-System abgebildet.
Warum setzen Sie im Bereich „Sicherheit“ gezielt auf externe Expertise?
Als Mittelständler besteht unser IT-Team vor allem aus Generalisten, die ein breites Themenspektrum abdecken. Für hochspezialisierte und kritische Gebiete ist es weder wirtschaftlich noch personell sinnvoll, dieses tiefe Expertenwissen in vollem Umfang intern aufzubauen. Hier vertrauen wir auf Partner wie Cancom, für die Cybersecurity und Cyberresilienz fester Bestandteil ihres IT-Dienstleistungsportfolios sind. Sie kennen unsere Unternehmensanforderungen seit vielen Jahren und verfügen über eine tiefe Expertise in den wichtigen Feldern von Security-Strategie, wie beispielsweise Zero-Trust-Architekturen und Hy-brid Mesh Security, bis zu Security- und Connectivity-Services mit SD-Wan/Lan, SASE und Perimeter Security. Mit einigen Cancom-Mitarbeitern arbeitet Zarges seit Jahrzehnten zusammen.
Inwieweit spielen hier auch Themen wie der Fachkräftemangel oder neue regulatorische Anforderungen wie NIS 2 eine Rolle?
Der Fachkräftemangel verstärkt diese Strategie. Es ist schlicht nicht möglich, für jeden technologischen Nischenbereich einen eigenen Experten einzustellen. Die Partnerschaft mit externen Anbietern ist hier eine Chance, die eigene IT souverän aufzustellen. Was NIS 2 angeht, sind wir nach aktuellem Stand nicht betroffen. Nichtsdestotrotz arbeiten wir proaktiv darauf hin, die dort formulierten Best Practices umzusetzen. Denn NIS 2 ist keine lästige Pflicht, sondern ein sinnvolles Framework für eine robuste IT-Sicherheit. Es bereitet uns zudem auf künftige Kundenanforderungen vor, die zunehmend Nachweise zur Cyberresilienz einfordern. Hierbei ist ein externer Partner, der die Regulatorik im Detail kennt, ebenfalls sehr wertvoll.
Wie hat sich die Partnerschaft mit Cancom über die Jahre entwickelt und was sind für Sie die wichtigsten Kriterien für die erfolgreiche Zusammenarbeit?
Die Partnerschaft ist organisch gewachsen. Früher betraf die Zusammenarbeit hauptsächlich die Umsetzung von Projekten wie die Lieferung von Hardware oder die Unterstützung beim Aufbau der Infrastruktur. Heute ist Cancom ein Sparringspartner, der die aktuellen Entwicklungen der IT-Security-Branche kennt und uns proaktiv berät, sodass wir immer up to date bleiben. Umgekehrt können wir jederzeit mit eigenen Anliegen auf den Anbieter zugehen und wissen, dass wir optimal betreut werden. Das jüngste Projekt ist der gemeinsam entwickelte Incident-Response-Plan. Hier haben wir uns die folgende Frage gestellt: Wenn wir eines Tages den Rechner hochfahren und das gesamte System im Zuge eines Ransomware-Angriffs kompromittiert und verschlüsselt wurde – was tun wir dann eigentlich? Ein solcher Tag X kann niemals komplett ausgeschlossen werden und nichts ist schlimmer, als gar keinen Plan zu haben. Gemeinsam mit Cancom haben wir einen detaillierten Notfallplan ausgearbeitet, der alle notwendigen Schritte aufzeigt, um als Unternehmen mit zahlreichen digitalen Prozessen weiterhin geschäftsfähig zu bleiben. Die wichtigsten Kriterien für den Erfolg einer solchen Partnerschaft sind für mich absolutes Vertrauen, tiefgehendes Krisenmanagement und technisches Know-how, Zuverlässigkeit und die Flexibilität, auch außerhalb der üblichen Geschäftszeiten für uns da zu sein.
Wie gelingen das Zusammenspiel und die Integration von IT und OT, ohne die Sicherheit zu kompromittieren?
Das ist in der Tat ein Balanceakt, denn unser Maschinenpark reicht von sehr alten, gekapselten Anlagen bis zu hochmodernen, vernetzten Robotiklösungen. Unsere grundlegende Strategie ist die strikte Netzwerksegmentierung und die Visibilität: Das Produktionsnetzwerk (OT) ist durch dedizierte Firewalls komplett vom Büronetzwerk (IT) getrennt. Die Kommunikation erfolgt nur über streng kontrollierte und auf das Nötigste beschränkte Schnittstellen. Die zwingend notwendige Visibilität durch die OT-/Internet-of-Things-Detektionsplattformen (IoT) hilft hierbei maßgeblich. Der nächste Schritt ist die Standardisierung der Maschinenkommunikation über Gateways, um die Vielfalt der Protokolle zu reduzieren und eine sichere Fernwartung durch Hersteller zu ermöglichen. Entscheidend für das Gelingen sind aber auch die enge Zusammenarbeit und das gegenseitige Verständnis zwischen den Experten aus der IT und den Kollegen aus der Fertigung, die ihre Anlagen am besten kennen.
Wie unterstützt Cancom Sie konkret bei der Umsetzung von Zero Trust und bei der Vorbereitung auf NIS 2?
Auch wenn wir wie gesagt die Richtlinie nicht verpflichtend umsetzen müssen, dient sie uns als Leitfaden für Best Practices. Der Dienstleister hat mit uns einen Workshop durchgeführt, um unseren Reifegrad zu bewerten und die nächsten Schritte zu definieren. Die bereits erwähnte Netzwerksegmentierung ist ein fundamentaler Baustein auf dem Weg zu einer Zero-Trust-Architektur. Cancom unterstützt uns dabei, die richtigen Technologien auszuwählen und zu implementieren, um Zugriffe so granular und sicher wie möglich zu steuern. Der gemeinsam entwickelte Rapid-Response-Plan ist ebenfalls ein Kernelement der Resilienz, die von NIS 2 gefordert wird. Es geht darum, nicht nur Angriffe zu verhindern, sondern auch im Ernstfall schnell und geordnet wieder handlungsfähig zu sein.
Welche Herausforderungen haben insbesondere Mittelständler bei der Umsetzung von NIS 2?
Wir sind zwar nicht unmittelbar selbst betroffen, jedoch sehe ich im Austausch mit Kollegen, dass die größten Hürden die begrenzten Ressourcen sind – sowohl personell als auch finanziell. Vielen fehlt ein dedizierter Informationssicherheitsbeauftragter (Chief Information Security Officer, CISO) oder ein ganzes Team, das sich ausschließlich um die Umsetzung kümmert. Die notwendigen Maßnahmen und die umfangreiche Dokumentation müssen neben dem laufenden Betrieb gestemmt werden. Die entscheidende Herausforderung ist jedoch oft eine kulturelle: Das Bewusstsein für die existenzielle Bedeutung von Cybersicherheit muss von der Geschäftsführung getragen und in der gesamten Organisation verankert werden. Ohne diesen Top-down-Support bleibt es ein reines IT-Thema und wird im Unternehmen nicht die nötige Priorität erhalten. Da kann man als IT-Abteilung dann noch lange auf die Trommel schlagen.
Welchen Stellenwert hat für Sie eine Absicherung der IT-Systeme auch außerhalb der Arbeitszeiten?
Einen extrem hohen. Unsere Produktion in Ungarn läuft auch am Wochenende und ein Angriff richtet sich nicht nach unseren Geschäftszeiten. Als Mittelständler können und wollen wir uns aber keinen eigenen 24/7-IT-Betrieb leisten – das wäre wirtschaftlich nicht rentabel. In der Zusammenarbeit mit externen Partnern haben wir Gewissheit, dass wir rund um die Uhr auf ein Expertenteam zurückgreifen können, das im Notfall sofort reagiert. Diese Absicherung ist für uns ein zentraler Bestandteil unseres Risikomanagements.
Mit welchen Maßnahmen und Methoden gehen Sie die Mitarbeitersensibilisierung an, um das Sicherheitsbewusstsein in der Produktion zu stärken?
Wir haben ein sehr strukturiertes Programm etabliert, um alle Mitarbeiter abzuholen. Die Basis bildet die Plattform „KnowBe4“, über die wir quartalsweise interaktive Schulungen in allen relevanten Sprachen durchführen. Diese werden durch regelmäßige, aber unangekündigte Phishing-Simulationen ergänzt, um das Gelernte zu testen. Mitarbeiter können verdächtige E-Mails über einen Button direkt an unser Sicherheitsteam melden, was einen schnellen Analyseprozess anstößt. Bei akuten Bedrohungslagen, wie zum Beispiel einer Welle von Deepfake-Anrufen, informieren wir sofort das gesamte Unternehmen. Wichtig ist uns, dass die Mitarbeiter verstehen, dass sie auch ein Angriffspunkt und somit die wichtigste Verteidigungslinie sind. Die beste IT nützt nichts, wenn am Ende der Faktor „Mensch“ versagt.
Welches Feedback erhalten Sie hierzu von den Beschäftigten?
Als diese Initiativen durch unsere amerikanische Muttergesellschaft angestoßen wurden, gab es bei uns als oberbayrischer Traditionsbetrieb ganz naturgemäß eine gewisse Skepsis. Das hat sich aber grundlegend geändert. Der Wendepunkt war, als wir die Konsequenzen eines Ausfalls konkret aufgezeigt haben: Was passiert, wenn SAP nicht mehr läuft und wir nicht mehr produzieren oder keine Gehälter mehr zahlen können? Solche Beispiele sorgen für einen Aha-Effekt, der bei uns schnell zu einer hohen Akzeptanz geführt hat. In internen Mitarbeiterbefragungen wird das Thema „IT-Sicherheit“ heute sehr positiv bewertet und das Bewusstsein ist messbar gestiegen. Die Mitarbeiter sehen es als Beitrag zur Sicherung ihres eigenen Arbeitsplatzes.
Was sind die wichtigsten strategischen Schritte, um Cyberresilienz im laufenden Betrieb umzusetzen?
Der wichtigste Schritt ist die Erkenntnis, dass Cyberresilienz kein einmaliges Projekt ist, sondern ein kontinuierlicher Prozess. Ein Zertifikat an der Wand nützt nichts, wenn die operativen Prozesse im Ernstfall nicht funktionieren. Ebenso bringt das beste Sicherheitskonzept nichts, wenn es nicht korrekt angewandt wird. Meine drei strategischen Kernpunkte sind:
Starkes Fundament: Durch die Konsolidierung unserer heterogenen IT-Landschaft zu einem standardisierten Konzernverbund haben wir erst die Basis für eine durchgängige Sicherheitsstrategie geschaffen, die überall gleichermaßen greifen kann.
Planung und Übung: Man muss über einen Notfallplan verfügen und diesen auch regelmäßig auf die Probe stellen. Nur so weiß jeder, was im Ernstfall zu tun ist. Das gilt für den Brandschutz genauso wie für die IT-Sicherheit.
Gesichertes Management-Buy-in: Das Thema muss auf der obersten Führungsebene verankert sein. Die Geschäftsführung muss die Risiken verstehen und die notwendigen Investitionen und organisatorischen Veränderungen mittragen.
Wie bereitet sich Zarges auf die zunehmende Vernetzung und IoT-Szenarien vor?
Wir bereiten uns nicht nur vor, wir sind mittendrin. In unserer Fertigung sind bereits fahrerlose Transportsysteme, kollaborative Roboter – sogenannte Cobots – und diverse vernetzte Maschinen im Einsatz, die uns Daten über Protokolle wie OPC UA liefern. Die technologische Basis und die Netzwerkinfrastruktur sind vorhanden, um diese Entwicklung weiter voranzutreiben. Das Potenzial ist riesig, aber auch hier gehen wir schrittweise vor.
Welche Rolle spielt neben innovativen Technologien wie KI auch Cloud Computing in Ihrer Branche?
Beide Technologien spielen eine entscheidende Rolle. Bei Cloud Computing verfolgen wir einen pragmatischen Hybridansatz. Es gibt bei uns kein Cloud-first-Dogma. Wir nutzen die Cloud dort, wo es sinnvoll ist – etwa für Salesforce oder unseren Data Lake bei Azure. Unser SAP-System betreiben wir bewusst in einer Private Cloud und für besonders schützenswerte Daten, zum Beispiel aus dem Defense-Bereich, setzen wir weiterhin auf unsere eigenen Rechenzentren. Bei Künstlicher Intelligenz gibt es bereits konkrete Anwendungsfälle wie die automatisierte Erfassung von Kundenaufträgen. Zudem haben wir einen hochmodernen Cloud Data Lake mit Machine-Learning-Fähigkeiten (ML) aufgebaut. Aufgrund der Ressourcenbündelung für S/4Hana haben wir einige vielversprechende Projekte bewusst für die Zeit nach 2026 zurückgestellt.
Welche Learnings würden Sie anderen Mittelständlern aus Ihrem Projekt noch mit auf den Weg geben?
Mein wichtigstes Learning ist das enorme Potenzial, das in der Konsolidierung und Standardisierung liegt. Der Weg, aus vielen historisch gewachsenen Insellösungen einen einheitlichen, schlagkräftigen IT-Konzernverbund zu formen, war anstrengend, aber er war die absolut notwendige Basis für alles Weitere: für Effizienz, für Skalierbarkeit und vor allem für eine wirksame Sicherheitsstrategie. Mein zweiter Rat: Man sollte niemals die Bedeutung der Unternehmenskultur unterschätzen. Die IT kann die besten Tools der Welt bereitstellen, aber wenn die Geschäftsführung das Thema „Sicherheit“ nicht vorlebt und die Mitarbeiter nicht verstehen, warum Veränderungen notwendig sind, verpuffen die Bemühungen. Priorität muss es sein, dass Cyberresilienz eine Teamleistung des gesamten Unternehmens wird.
Interview: Lea Sommerhäuser Fotos: CANCOM
Martin Lemmer
Alter: 45 Jahre
Familienstand: ledig
Werdegang: Diplom-Kaufmann, Wirtschaftsorgani-sationswissenschaften, Universität der Bundeswehr München (2001–2005), Offizier bei der Bundeswehr (2000–2012), Leiter Distributionszentrum Darmstadt (2009–2012), Managing Consultant bei NTT Data (2012–2015), Manager bei Bearingpoint (2015–2017)
Derzeitige Position: Head of Information Technology EMEA bei Zarges (seit 2017)
