Herr Becker, Ihr Ziel ist es, TXOne innerhalb von zwei Jahren als führenden OT-Security-Anbieter in der DACH-Region zu etablieren. Wie möchten Sie das erreichen?

Vor allem über Partnerschaften. Wir arbeiten gezielt mit Unternehmen zusammen, die bereits Projekte umsetzen und enge Kundenbeziehungen haben. TXOne ist noch ein relativ junges Unternehmen, daher sind Partnerschaften für uns zentral. Gleichzeitig setzen wir stark auf Präsenz im Markt. Unser Ziel ist, dass wir möglichst häufig im Feld sichtbar sind und klar kommunizieren, was wir anbieten.

Sprechen Sie dabei konkret von Channel-Partnern?

Ja, unsere Channel-Partner haben unterschiedliche Profile. Dazu gehören große internationale IT-Systemhäuser und Reseller, aber auch spezialisierte Industrieexperten. Viele von ihnen setzen seit Jahren Automatisierungsprojekte um. Für diese Partner wird OT-Cybersecurity zunehmend wichtiger.

Sind das vor allem Systemintegratoren? Können Sie Beispiele nennen?

Ja, viele sind Systemintegratoren wie NTT Data und Computacenter. Es gibt große Player wie Siemens, die sowohl Hersteller als auch Integrator sind. Dann haben wir spezialisierte Unternehmen wie Spike Reply, die in bestimmten Industrien tätig sind und ihre Kunden sehr gut kennen. Außerdem arbeiten wir mit Automatisierungssystemhäusern zusammen, etwa Connect Systemhaus oder K4 Digital. Letztere sind zwar kleiner, aber hoch spezialisiert und seit vielen Jahren in der Produktion aktiv.

TXOne kommt aus Asien. Wie unterscheidet sich der asiatische Markt von der DACH-Region, und wie gehen Sie den europäischen Markt an?

Viele unserer Kunden sind international aufgestellt. Es gibt kaum Unternehmen, die nicht sowohl in Europa als auch in Asien aktiv sind, deshalb sind die Anforderungen oft ähnlich. Unterschiede sehen wir eher auf kultureller Ebene: In Asien sind wir in manchen Branchen bereits stärker vertreten als in Europa, etwa in Bereichen, die man nicht sofort mit OT verbindet, wie dem Bankenumfeld – dort gibt es viele Legacy-Systeme, die abgesichert werden müssen.

Die DACH-Region ist stark von mittelständischen Unternehmen geprägt. Wie sprechen Sie diese Zielgruppe an?

Wir gehen sehr praxisnah vor. Statt allgemeiner Trends schauen wir uns konkrete Anforderungen an, die aus Projekten und Gesprächen entstehen. Regulatorische Vorgaben wie NIS2 oder der Cyber Resilience Act spielen dabei eine große Rolle. Wir bringen unsere Erfahrungen aus anderen Projekten ein und versuchen, daraus einen konkreten Mehrwert für die Unternehmen abzuleiten.

Auf welche Branchen fokussieren Sie sich in Europa?

Grundsätzlich auf alles, was industrielle Produktion umfasst, insbesondere automatisierte Produktion. Dort ist viel Know-how vorhanden, das geschützt werden muss. Besonders relevant sind Branchen wie Food & Beverage und Automotive. Generell betrifft es alle Bereiche, in denen speicherprogrammierbare Steuerungen eingesetzt werden und das ist ein sehr breites Feld, gerade in der DACH-Region.

Wie unterstützen Sie Ihre Kunden bei regulatorischen Anforderungen wie NIS2 oder dem Cyber Resilience Act?

Unser Portfolio deckt verschiedene technische Bereiche ab. Dadurch können wir sehr gezielt auf Anforderungen reagieren, etwa mit Endpoint-Schutz für industrielle Rechner, Netzwerksicherheit oder der Absicherung von Schnittstellen wie USB-Ports. Wichtig ist dabei, dass viele Systeme schon vor zehn oder fünfzehn Jahren entwickelt wurden. Diese lassen sich nicht einfach komplett neu designen. Deshalb setzen wir stark auf Retrofit-Ansätze und darauf, bestehende Systeme sinnvoll zu ergänzen.

Bieten Sie in diesem Zusammenhang auch Schulungen an?

Wir bieten Trainings an, die sich auf unsere Lösungen beziehen und dabei auch entsprechendes Know-how vermitteln. Klassische Schulungsprogramme zu Regulatorien übernehmen jedoch meist unsere Partner, also Systemintegratoren oder Systemhäuser.

Gibt es bei Ihnen auch Security as a Service?

Nicht direkt aus unserem Portfolio heraus. Aber viele unserer Partner nutzen unsere Plattform, um OT Security as a Service anzubieten. Der Bedarf ist da, weil oft die Fachkräfte fehlen, um solche Lösungen intern zu betreiben.

Wer ist in Unternehmen typischerweise für OT-Security verantwortlich – IT oder OT?

Das ist sehr unterschiedlich und hängt stark von der Organisation ab. In vielen Fällen hat der Produktionsleiter eine zentrale Rolle, weil er letztlich für den Betrieb verantwortlich ist. Gleichzeitig sehen wir, dass viele Unternehmen erst dabei sind, klare Zuständigkeiten und Strategien zu definieren.

Braucht es neue Rollenbilder?

Ja, definitiv. Neben dem klassischen CISO wäre eine Rolle wie ein OT Security Officer sinnvoll, also jemand, der die Schnittstelle zwischen Produktion und Cybersicherheit bildet und sowohl Verfügbarkeit als auch Sicherheit im Blick hat.

Wie sollte dieses Thema in Ausbildung und Studium berücksichtigt werden?

Es geht weniger darum, alte Systeme im Detail zu verstehen, sondern darum, ein Bewusstsein dafür zu entwickeln, dass diese Systeme andere Sicherheitsansätze benötigen. Wichtig ist, dass Security-Lösungen zur bestehenden Technik passen und den Betrieb nicht beeinträchtigen. Cybersecurity ist kein Selbstzweck, sondern muss immer den Produktionsprozess unterstützen.

Wie lassen sich moderne Security-Systeme in Altsysteme integrieren?

Das hängt stark vom System ab. Teilweise können wir direkt auf den Maschinenrechnern arbeiten, selbst bei älteren Betriebssystemen. In anderen Fällen setzen wir auf Netzwerksegmentierung oder überwachen den Datenverkehr. Auch Schnittstellen wie USB müssen berücksichtigt werden. Entscheidend ist, verschiedene Ansatzpunkte zu kombinieren.

Wie ausgeprägt ist das Sicherheitsbewusstsein in den Unternehmen?

Es ist deutlich gewachsen. Die meisten wissen, dass es keine einfache „One-Click“-Lösung gibt. Deshalb suchen sie den Austausch mit Experten, Integratoren oder Herstellern. Auffällig ist, dass im OT-Umfeld ein offenerer Austausch stattfindet als in der IT-Security. Unternehmen sprechen eher über ihre Erfahrungen und profitieren voneinander.

Wo findet dieser Austausch statt?

Auf Messen, aber auch in kleineren Formaten. Wir organisieren beispielsweise eigene Veranstaltungen und Roundtables, bei denen Kunden und Partner miteinander sprechen können. Das ist weniger Marketing, sondern eher Community-Aufbau.

Vielen Dank für das Gespräch.