Schutz von Daten und Infrastruktur

Der Schutz eines Unternehmens und der von ihm verwendeten Daten vor Cyberangriffen ist in mehreren Dimensionen eine zentrale Aufgabe. Zum einen geht es um das Vertrauen von Kunden, Mitarbeitern, Partnern und letztlich der Gesellschaft als Ganzes. Zum anderen stehen auch geschäftsrelevante Vorgänge und damit ökonomische Interessen auf dem Spiel.

Körbers Mitarbeiterin im Bereich Cybersicherheit und Datenschutz.

Der verantwortungsbewusste proaktive Umgang mit Cyberrisiken ist Baustein nachhaltiger Unternehmensführung bei Körber.

Dabei betrachten wir das Thema Informationssicherheit sowohl aus geschäftlicher Perspektive als auch aus der Perspektive unserer Kunden und der des Marktes. „Aus der Business-Perspektive benötigen wir Geschäftsabläufe, die gegen Cyberangriffe resilient sind“, erklärt Andreas Gaetje, Chief Information Security Officer. „Für unsere Kunden wollen wir ein zuverlässiger und vertrauenswürdiger Partner sein. Gleichzeitig erwartet der Markt vor dem Hintergrund der zunehmenden Vernetzung in der Produktion eine erweiterte Sicherheit bei digitalen Produkten.“

Jan-Christian Kaiser, Leiter Security Governance, Körber-Gruppe

„Mit unserer internen Awareness-Kampagne für Cybersicherheit verfolgen wir ein klares Ziel: Wir setzen die strategische Initiative Informationssicherheit in die Tat um und machen unsere Mitarbeiter selbst zu Sicherheitsbotschaftern. Dafür braucht es einen Dreiklang in der Ansprache: Wir schärfen das Bewusstsein, regen zum Dialog an und führen so letztlich eine Änderung des Verhaltens herbei.“

Jan-Christian Kaiser

Head of Security Governance, Körber-Konzern

Gemeinsam für mehr Sicherheit

Körber-Mitarbeiterin, die sich im Büro mit Fragen des Daten- und Infrastrukturschutzes beschäftigt

Um der kontinuierlich steigenden Bedrohungslage durch Cyberangriffe zu begegnen, haben wir in den vergangenen fünf Jahren unsere Strukturen professionalisiert. Ein wichtiger Schritt war dabei, im Jahr 2022 die Informationssicherheit zum Bestandteil der Unternehmensstrategie und damit auf Konzernebene zur Chefsache zu machen. „Wir haben 2019 begonnen, eine entsprechende Organisation aufzubauen, Frameworks und Tools zu entwickeln und zu implementieren. Die Aufnahme in die Unternehmensstrategie hat die Entwicklung noch einmal deutlich beschleunigt“, berichtet Andreas Gaetje, Chief Information Security Officer. „Es macht mich immer noch stolz, dass das erste konzernweit implementierte IT-Tool ein Security-Tool war. Auch bei diesem Thema gilt heute das ‚stronger together‘ unseres Konzern-Mottos.“  

Dimitrios Iatrou, Leiter des Cyber Defense Center, Körber-Gruppe

„Angesichts der weltweiten Zunahme von Cyberangriffen ist ein modernes Cyber Defense Center für Körber unerlässlich, um Bedrohungen und Schwachstellen engmaschig zu beobachten, zu bewerten und gegebenenfalls Gegenmaßnahmen zu ergreifen, die uns vor Cyberangriffen schützen und die digitalen Angebote des Unternehmens sichern.“

Dimitrios Iatrou

Head of Cyber Defense Center, Körber-Konzern

Heute verfügen wir über eine Matrixorganisation mit entsprechenden Security-Verantwortlichen und teilweise eigenen Unterorganisationen innerhalb der Geschäftsfelder. Diese sind dafür verantwortlich, alle Sicherheitsthemen aus dem Konzern in die Geschäftsfelder zu tragen und dort umzusetzen. Gleichzeitig bearbeiten sie lokal anfallende Themen und geben sie bei Bedarf wieder in die konzernweite Abteilung weiter.

Die gruppenweiten Themen unterteilen wir in drei Bereiche: Der Bereich Security Governance kümmert sich um Policies, Frameworks, Risikomanagement und Compliance, Awareness und strategische Projekte. Der zweite Bereich ist das Cyber Defense Center (CDC) das mit seinen Spezialisten die Systeme von Körber rund um die Uhr auf verdächtige Vorgänge überprüft. Im Jahr 2023 hat das CDC auf diesem Weg bereits mehr als 80 Prozent der gesamten IT-Infrastruktur überwacht. Ein dritter Bereich ist die Applikationssicherheit. Dieses Team kümmert sich um die Sicherheitsaspekte der im Körber-Konzern entwickelten Softwareprodukte.

Ausgezeichnete Sicherheit

Nach der Einführung des Sicherheitsrichtlinien-Rahmens und der Sicherheits-Organisation auf Konzern- und Geschäftsfeldebene im Jahr 2019 haben wir zunächst eine Konzernrichtlinie zur Informationssicherheit etabliert sowie ein Information Security Management System (ISMS) und im Jahr 2020 angefangen, das CDC aufzubauen. Mit dem konzernweiten Rollout eines einheitlichen Security-Stacks im Jahr 2021 haben wir eine Struktur geschaffen, die es uns erlaubt, die Sicherheit der Konzern-IT kontinuierlich zu professionalisieren und weiterzuentwickeln. 

Für die Jahre 2023 und 2024 haben wir die Verbesserung des Reifegrads unserer Informationssicherheit in den Blick genommen. Dazu zählt der Ausbau von präventiven Maßnahmen ebenso wie die Optimierung der Sicherheitsprozesse oder Maßnahmen zur Erhöhung der OT-Sicherheit. „Im Jahr 2023 sind wir dabei erheblich vorangekommen“, berichtet Jan-Christian Kaiser. „Beispiele sind das hervorragende Rating bei CyberVadis und die Zertifizierung nach ISO 27001. Damit haben wir auch nach außen einen objektiven Nachweis für den herausragenden Standard unserer Sicherheitslösungen.“

Gold-Bewertung 2023 durch CyberVadis

Gold bei CyberVadis‎

Als weltweit größter Anbieter von Nachhaltigkeitsratings für Unternehmen hat EcoVadis im Jahr 2017 mit CyberVadis auch eine Lösung zur Bewertung von Cybersicherheitsrisiken von Dritten geschaffen. Die Methodik bildet alle wichtigen internationalen Compliance-Standards ab. Unternehmen können ihre CyberVadis-Ratings mit anderen teilen und damit ihren Standard bei der Cybersicherheit belegen.

Im Jahr 2023 wurden Teile der IT-Landschaft des Körber-Konzerns mit dem Gold-Rating von CyberVadis ausgezeichnet. Wir haben uns dieser Bewertung erstmalig unterzogen und mit 914 von 1000 möglichen Punkten ein hervorragendes Ergebnis erzielt. CyberVadis hat unseren Sicherheitsmaßnahmen im Bereich Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Daten mit dem Prädikat ‘Mature’ den höchsten Status in diesem Bereich verliehen.

Weil es alle angeht …

Ein besonderer Schwerpunkt der Arbeit lag 2023 auch darauf, für das Thema Informationssicherheit zu sensibilisieren. „Das größte Einfallstor und die erste Möglichkeit der Verteidigung gegen Cyberangriffe sind unsere Mitarbeiter“, erklärt Andreas Gaetje, „Deshalb ist ein zentraler Baustein unseres mehrjährigen Cyber-Resilienz-Programms die Sensibilisierung und das Training der Körber-Mitarbeiter.“ Mit dem internen Motto „we protect what we create“ möchten wir unseren Kollegen veranschaulichen, dass es bei der Abwehr von Angriffen auf jeden Einzelnen ankommt. Im Jahr 2023 haben wir vor diesem Hintergrund im Rahmen einer internen Aufklärungskampagne zahlreiche Maßnahmen durchgeführt, die die Mitarbeiter für das Thema sensibilisieren und zum Austausch anregen. Dazu zählen unter anderem die Cybersecurity Week, Newsletter und Intranetmeldungen zum Thema, das Etablieren einer Cybersecurity Community, die Auswahl von Botschaftern oder die Entwicklung von kleinen Spielen, die als Apps die Aufmerksamkeit und das Wissen zum Thema Informationssicherheit stärken.

„Mit diesen Aktivitäten haben wir im Jahr 2023 das Bewusstsein der Kolleginnen und Kollegen erfolgreich geschärft“, erklärt Sarah Kwaschnik, Senior Manager Group Communications bei Körber. „Jetzt hat für uns die nächste Phase der Mobilisierung der Mitarbeiter begonnen. Dabei werden wir die Kommunikation auf Konzernebene und in den Geschäftsfeldern nochmals erheblich ausbauen – immer mit dem Ziel, das Wissen und die Aufmerksamkeit zu stärken, um eine Verhaltensänderung zu bewirken.“

Lächelnde Körber-Mitarbeiter in einem Konferenzraum
Körber-Mitarbeiter arbeiten an einem Computerbildschirm an Fragen der Cybersicherheit

Cybersecurity awareness week

In einer zunehmend digitalisierten Welt entwickelt sich Cyberkriminalität stetig weiter. Die finanziellen und rechtlichen Risiken sind auch für Körber eine reale Bedrohung. Hacker zielen dabei vor allem auf Mitarbeiter, um Zugangsdaten zu stehlen oder Malware in das Netzwerk einzuschleusen. Das bedeutet auch, dass Mitarbeiter die ersten sind, die Cyberbedrohungen wie Phishing oder Social Engineering abwehren müssen. 

Damit das möglichst gut funktioniert, setzt Körber auf entsprechende Trainings und hat im Oktober 2022 die erste Cybersecurity Week für seine Mitarbeiter veranstaltet. In der zweiten Auflage im Oktober 2023 haben rund 700 Kollegen in virtuellen Veranstaltungen mehr über die Welt der Cyberbedrohungen erfahren und gelernt, wie sie unser Unternehmen und ihre Arbeit im Alltag schützen können. Zu den Themen der Veranstaltung zählten unter anderem der Umgang mit Bedrohungen durch KI, Cybersecurity als Wettbewerbsvorteil bei Kunden und sichere Softwareentwicklung. Mit interaktiven Formaten wie Live Hacking Sessions unter anderem mit einem Deep Dive für Entwickler und Softwareingenieure waren diese Themen für die Teilnehmer direkt erfahrbar.