Der Leiter Cybersicherheit von VINCI Energies kam vor 25 Jahren im Rahmen eines dualen Studiums in die Gruppe und hat sein gesamtes bisheriges Berufsleben dort verbracht. Der passionierte Ultratrailer setzt seine Ausdauer und Wachsamkeit für einen internationalen Konzern ein, der ständigen Cyberbedrohungen ausgesetzt ist.

Am 28.08.2026 läuft Bertrand LECLERC den extrem anspruchsvollen Mont-Blanc-Ultratrail. Auf dem Programm: 174 km Laufdistanz, 9.900 Steigungsmeter. Der Leiter Cybersicherheit von VINCI Energies nutzt sein Hobby, das ihn unter anderem im Oktober 2024 nach La Réunion zum Extrem-Marathon „La Diagonale des Fous“ geführt hat, übrigens zur Unterstützung des von VINCI Energies geförderten Vereins Mécénat Chirurgie Cardiaque. „Durch diese Partnerschaft verbinde ich soziales Engagement mit einer Passion, die mir dabei hilft, von meiner manchmal sehr stressigen Tätigkeit Abstand zu gewinnen“, erläutert er.

Ein Angriff pro Sekunde

Welcher Druck auf dem Leiter Cybersicherheit einer Gruppe wie VINCI Energies lastet, lässt sich an den schieren Zahlen ermessen: Jede Sekunde gibt es einen Cyberangriff und die Mitarbeitenden müssen in derselben Zeit etwa 55.000 Vorgänge im IT-System der Gruppe managen.

Bertrand Leclerc kann sich zum Glück auf ein erfahrenes Team stützen, das er nach der Gründung des Bereichs Cybersicherheit bei VINCI Energies im Jahr 2018 selbst aufgebaut hat. „Anfangs waren wir zu viert, heute habe ich fünfzig Leute an zwei Standorten: Le Mans und Saint-Denis“, erläutert er. „Aus dem Nichts haben wir eine „Follow the Sun“-Strategie entwickelt, mit der wir durch unsere Büros in Kanada und Australien rund um die Uhr in Betrieb bleiben und die etwa 2.200 Business Units der Gruppe in 60 Ländern abdecken.”

Die 50 Mitarbeitenden sind in vier Teams aufgeteilt. Das erste, zahlenmäßig größte, kümmert sich Tag und Nacht um die Erkennung und Bekämpfung von Cyberangriffen. Das zweite ist für die Implementierung von Best Practices im Bereich Cybersicherheit zuständig. Das dritte sorgt dafür, dass die Gruppe die geltenden Vorschriften und Standards erfüllt, etwa ISO 27001. Das vierte Team schließlich hat die Aufgabe, die „Cyberkultur“ bei VINCI Energies zu verbreiten (insbesondere durch Phishing-Tests und Krisenübungen), moderiert aber auch das PISO-Netzwerk aus 60 Pole Information Security Officers. Sie sind über den gesamten Globus verteilt und fungieren vor Ort als Cybersicherheitsbeauftragte.

Prozessautomatisierung

Zu tun gibt es wahrlich genug. Neben der Führung und Schulung der PISOs, die er als „ständige Priorität“ bezeichnet, steuert Leclerc derzeit zwei größere Projekte. „Wir arbeiten an der Automatisierung der Cybersicherheitsprozesse. Aufgrund der hohen Anzahl von Vorgängen ist menschliche Überwachung alleine nicht mehr ausreichend. Deshalb setzen wir auf KI, um mögliche Unregelmäßigkeiten zu erkennen.”

Ein Beispiel für einen verdächtigen Vorgang: Ein Nutzer loggt sich um 8 Uhr von Frankreich aus in sein Konto ein, eine Minute später wird eine weitere Anmeldung aus den USA registriert. Die KI kann nach Freigabe durch einen Menschen ein automatisiertes Verfahren zur Kontensperrung und Benachrichtigung des betroffenen Nutzers starten.

„Wir arbeiten rund um die Uhr und decken die etwa 2.000 Business Units der Gruppe in 61 Ländern ab.”

„Wer KI einsetzt, muss sich jedoch auch fragen, wie er sie absichert“, unterstreicht Leclerc. „Das ist ein weiteres laufendes Projekt bei uns, und wir setzen hier auf „Security by Design“. Damit soll gewährleistet werden, dass die KI auf zuverlässige, vom Unternehmen zertifizierte Daten zugreift und keine Schwachstellen aufweist.”

Eine weitere Priorität für die Abteilung Cybersicherheit von VINCI Energies: die Einhaltung der weltweit und insbesondere in Europa geltenden Vorschriften, etwa der AI Act und die NIS 2-Richtlinie*.

Umweltauswirkungen verringern

Leclerc ist durchaus bewusst, welche Umweltauswirkungen seine Tätigkeiten haben. „Natürlich wirkt sich Cybersicherheit auf die Umwelt aus, weil riesige Datenmengen verarbeitet werden müssen. Aber seit vier Jahren durchkämmt unser Team „Sustainable IT“ sämtliche Projekte, um die Umweltbilanz zu verbessern.”

So werden Computer und Smartphones, die zuvor alle drei Jahre ausgetauscht wurden, nunmehr nicht mehr in einem festgelegten Rhythmus erneuert, sondern erst, wenn es keine Updates mehr dafür gibt. „Weil wir auf resiliente Infrastruktur setzen, begrenzen wir ohnehin den Neukauf von Hardware – auch das verbessert unsere Klimabilanz.”

„Reines VINCI Energies-Gewächs“

Bertrand Leclerc hat bis zur Ernennung zum Leiter Cybersicherheit im Januar 2025 einen langen Weg zurückgelegt – sowohl bezüglich der im Unternehmen implementierten Prozesse als auch in persönlicher Hinsicht. Leclerc, der sich als „reines VINCI Energies-Gewächs“ bezeichnet, trat 2001 als Werksstudent in die Gruppe ein und machte Karriere: vom Supporttechniker über Teamleiter ERP-Architektur zum Leiter IT-Sicherheit. Heute, als Leiter Cybersicherheit, hat sich sein Tätigkeitsbereich auf die Aspekte Strategie, Personal, Umwelt und Budgetmanagement ausgeweitet.

Mit 43 Jahren meint er, dass er noch viel dazulernen kann in einem Beruf, der ihn begeistert und wo Beziehungspflege und Psychologie genauso entscheidend sind wie Fachwissen. „Stillstand ist in diesem Sektor ein Fremdwort. Man muss sich ständig mit neuen Themen befassen, etwa der KI. Neben der guten Zusammenarbeit und dem regelmäßigen Austausch zwischen den zehn Leitern von VINCI Energies Systèmes d‘Information ist unsere enge Zusammenarbeit mit Axians, der ICT-Marke von VINCI Energies, ein riesiger Vorteil für uns, insbesondere wenn es um Tools zur Erkennung von Cyberangriffen geht. Außerdem haben wir das Glück, dass wir bereichsübergreifende Themen bearbeiten dürfen, und das in einem internationalen Konzern mit zahlreichen Geschäftsfeldern, der Cybersicherheit zu einer seiner Prioritäten gemacht hat.”

Für Bertrand Leclerc hat Cybersicherheit viel mit einem nie endenden Ultratrail gemein: Unbekanntes Terrain, ein Pass bzw. in diesem Fall ein Cyberangriff nach dem anderen, und man muss ständig hellwach sein. Bei einem solchen Langstreckenrennen, wo Aufgeben keine Option ist, zählen allein Ausdauer, gutes Einteilen der Kräfte und Anpassungsfähigkeit. Bis zur Ziellinie.

*Der AI Act ist eine EU-Verordnung, die einen gemeinsamen europäischen Rechtsrahmen für den Einsatz von KI festlegt. Die Richtlinie „Network and Information Security 2.0“ (NIS 2) stellt eine Überprüfung und Erweiterung der Pflichten aus der früheren Cybersicherheits-Richtlinie dar.

20/05/2026