- Anteil der überwachten IT-Infrastruktur durch das Cyber Defense Center in %
1. Ziel:
Wir wollen den Geschäftsbetrieb vor Cyberangriffen schützen.
Geschäftsjahr 2021
Wir leben im digitalen Zeitalter, in dem alle Lebens-, Arbeits- und Geschäftsbereiche miteinander vernetzt – und damit angreifbar sind. Es ist daher die wichtigste Aufgabe, ein System zum Schutz aller unternehmensbezogenen Daten zu etablieren. Zur IT-Sicherheit im digitalen Zeitalter zählen der Schutz von Daten und der dafür notwendigen Infrastruktur, egal ob diese lokal in Rechenzentren, in Maschinen oder virtuell in Cloud-Systemen verarbeitet werden.
Cyber Security ist ein essenzieller Bestandteil unseres Geschäftsmodells, um unsere Kunden zuverlässig beliefern zu können und die Werte und Daten unserer Kunden zu schützen. Nur mit einer konsistenten Umsetzung unserer Security-Strategie werden wir auch zukünftig auf dem Markt bestehen können.
Andreas Gaetje, Chief Information Security Officer, Körber AG
Wir wollen den Geschäftsbetrieb vor Cyberangriffen schützen.
Um unseren gesamten Geschäftsbetrieb widerstandsfähiger gegen Cyberangriffe zu machen, müssen Sicherheitsrichtlinien festgelegt werden, für deren Einhaltung jeder Mitarbeitende verantwortlich ist. Unser Cyber Defense Center wollen wir um zusätzliche Dienste und Services erweitern, z. B. um eine Rund-um-die Uhr-Überwachung und -Reaktion auf Vorfälle. Wir haben uns vorgenommen, dass wir alle Geschäftseinheiten mit einer gemeinsamen Sicherheitsarchitektur ausstatten, die zentral und kontinuierlich überwacht werden kann. Um Schäden für den Geschäftsbetrieb zu vermeiden oder möglichst gering zu halten, führen wir Prozesse ein, mit denen wir Schwachstellen frühzeitig erkennen und somit schnell darauf reagieren können.
Die Konzernrichtlinie zur Informationssicherheit ist bereits etabliert, genauso wie das Team des Chief Information Security Officers auf Konzern- und Geschäftsfeldebene. Wir haben eine Organisation über alle Geschäftsbereiche hinweg und ein Information Security Management System (ISMS) eingerichtet, das sich an die ISO 27001 anlehnt. Darüber hinaus haben wir einen risikoorientierten Ansatz entwickelt, um weitere Sicherheitsverbesserungen einzuführen. Und unser Cyber Defense Center ist etabliert und kann nun schrittweise mit Services erweitert werden. Es gibt eine Sicherheitsrichtlinie mit klaren Funktionsbeschreibungen und Prozessen. IT-Services werden regelmäßig auf Schwachstellen hin überprüft, kritische Schwachstellen über einen Regelprozess adressiert und deren Behebung überwacht. Wir haben ein zentrales Sicherheitsinformationssystem (SIEM) aufgebaut und etliche Services bereits integriert und überwacht.
Wir wollen ein zuverlässiger und vertrauenswürdiger Partner für unsere Kunden sein.
Für eine vertrauensvolle Partnerschaft ist es notwendig, sowohl unsere IT-Prozesse (Informationstechnologie-Prozesse) als auch die OT-Prozesse (Operative Technologie-Prozesse) zu verbessern und zu standardisieren sowie eine international anerkannte Zertifizierung für unsere Software-Standorte zu erreichen, zum Beispiel ISO 27001 für Software- und IT-Unternehmen. Zudem bieten wir erweiterte Sicherheitsmaßnahmen für digitale Angebote. Dafür führen wir verbindliche Sicherheitskontrollen in den Produktentwicklungszyklus ein und entwickeln zusätzliche Sicherheitsvorkehrungen für unsere Produkte.
Das Unternehmen Hauni, im Körber-Geschäftsfeld Tabak, erhielt als erster Betrieb die ISO-27001-Zertifizierung. Weitere Zertifizierungen unserer Software-Unternehmen folgen. Darüber hinaus wurde eine Schulungsoffensive für die sichere Software-Entwicklung in den einzelnen Betriebsbereichen begonnen, um zusätzliche Sicherheitstests in der Entwicklung zu etablieren. An einem Pilotprojekt werden Sicherheitsarchitekturen bewertet und Konzepte erarbeitet, um die Technologie auch aus Sicherheitssicht fit für die Anforderungen der Zukunft zu machen.
Sicherheit hat oberste Priorität
Wir etablieren eine Sicherheitskultur im gesamten Konzern und sensibilisieren alle Bereiche und Mitarbeiter für das Thema IT-Sicherheit.
Auf eine erste bereits durchgeführte Aufklärungskampagne folgen nun regelmäßige Schulungen und Trainings für unsere Mitarbeiter, die zu erhöhter Aufmerksamkeit und der Meldung bei fragwürdigen Mails, Posts und Website-Aufrufen führen.
¹ Folgende Unternehmen des Körber-Konzerns sind 2021 durch die beiden Systeme nicht abgedeckt: Körber Supply Chain und Körber Digital