Informations­sicherheit

Der Umgang mit IT-Risiken ist Teil des gruppenweiten Risikomanagements

Die VIG hat im Rahmen der Konzernrichtlinie zum Management von IT-Risiken einen verbindlichen Ansatz für das Management von IT-Risiken festgelegt. Die Richtlinie verfolgt einen ganzheitlichen Ansatz in Bezug auf Informationstechnologie und befasst sich mit der Identifizierung, Analyse und Auswertung aller Risiken, die sich in diesem Zusammenhang ergeben können. Das Dokument beinhaltet außerdem die konzernweiten Anforderungen für die Festlegung von IT-Kontrollen, die Durchführung von Business-Impact-Analysen sowie die Zielsetzungen des IT-Kontinuitätsmanagements.

Der Risikoausschuss trifft sich vierteljährlich, um die Geschäftsleitung auf dem Laufenden zu halten (auch in Bezug auf Aspekte des IT-Risikomanagements). Zudem können und werden etwaige Ad-hoc-Entwicklungen dem für den IT-Bereich verantwortlichen Vorstandsmitglied direkt gemeldet.

Drei fundamentale Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit

Die Anstrengungen der VIG in Fragen der IT-Sicherheit verfolgen den Zweck, elektronische Informationen und Daten, Informationssysteme, Anwendungen, Hardware und Infrastruktur vor Bedrohungen zu schützen. Ziel ist es, den laufenden Betrieb zu gewährleisten, Geschäftsrisiken zu minimieren, Know-how zu schützen, die gesetzlichen Anforderungen einzuhalten und Geschäftschancen zu wahren. Die Sicherheit der elektronischen Informationen und Informationssysteme ist für das Erreichen der grundlegenden Unternehmensziele und den weiteren Erfolg der Gruppe unerlässlich.

Um die Informationswerte und Daten ihrer Kunden:innen bestmöglich zu schützen, konzentriert sich die VIG auf drei fundamentale Schutzziele:

• Vertraulichkeit 
  Informationen stehen ausschließlich autorisierten Nutzer:innen zur Verfügung
• Integrität
  Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden
• Verfügbarkeit 
  Autorisierte Nutzer:innen haben bedarfsabhängigen Zugang zu Informationen und zugehörigen Ressourcen

Die VIG ergreift umfassende Sicherheitsmaßnahmen in Bezug auf ihre IT-Landschaft, um Cyberkriminalität zu vermeiden und die Einhaltung der Schutzziele zu gewährleisten. Alle international tätigen externen Anbieter:innen von IT-Dienstleistungen verfügen über umfassende Zertifizierungen nach Maßgabe der internationalen Informationssicherheitsstandards, wie z. B. ISO 27001, oder sind in der Lage, Berichte gemäß ISAE 3402 vorzulegen. Diese Zertifizierung bzw. Berichte müssen auch regelmäßig erneuert werden. Um die wirksame Umsetzung eines Managementsystems für Informationssicherheit (Information Security Management System – ISMS) sicherzustellen, sind alle internen IT-Anbieter:innen der VIG nach ISO 27001 zertifiziert.

Multi-Layer-Security-Ansatz

Im Allgemeinen kommen mehrschichtige Sicherheitskonzepte (Defense in Depth) zum Einsatz, um Daten vor einer Vielfalt von Angriffsvektoren zu schützen und um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern.

Die äußerste Schicht besteht aus der Konzernrichtlinie zur IT-Sicherheit, die für alle Konzernunternehmen verbindlich ist und deren Umsetzung mittels Compliance-Prüfungen überwacht wird. Die VIG-Richtlinie zur IT-Sicherheit wird regelmäßig überprüft und aktualisiert. Zusätzlich zu der genannten Richtlinie legen VIG-Unternehmen weitere lokale IT-Sicherheitsmaßnahmen fest, welche die besonderen Anforderungen und gesetzlichen Bestimmungen vor Ort berücksichtigen.

Neben dem grundlegenden Schutz von Datenzentren und Server-Räumen (physische Sicherheit) mittels Zugangskontrollen, Alarmsystemen und Überwachungssystemen kommen im äußeren Netzwerkbereich (Perimetersicherheit) Router und Firewalls zum Einsatz, die mit äußerst restriktiven Zugangsrechten für die darunter liegenden Schichten konfiguriert sind. Gesicherte VPNs (Virtual Private Networks) erlauben einen kontrollierten und geschützten Zugriff auf interne IT-Systeme durch autorisierte Personen außerhalb des VIG-Netzwerks. Außerdem werden Systeme zur Erkennung und Verhinderung von unerlaubten Zugriffen (Intrusion Detection und Intrusion Prevention Systeme) eingesetzt, um Angriffe frühzeitig zu entdecken und zu vermeiden. Im internen Bereich des Netzes werden gegenseitig abgesicherte Netzsegmente zur Strukturierung, effektiven Verwaltung und Kontrolle von Zugriffsberechtigungen gebildet, um im Falle eines Cyber-Angriffsversuchs über getrennte Netzsegmente zu verfügen.

Alle Server, IT-Geräte und Anwendungen werden mittels einer geeigneten Konfiguration der sicherheitsbezogenen Parameter geschützt. Beispiele:

• Die Autorisierung für den Daten- und Systemzugriff erfolgt auf Grundlage des „Need to Know“-Prinzips
• Verwendung komplexer Passwörter
• Automatisch aktivierte Bildschirmsperre nach einer definierten Zeit der Nutzer-Inaktivität
• Filtersysteme für bestimmte Internetseiten und Anwendungen
• Virenscanner
• Regelmäßige Software-Updates
• Regelmäßige Daten-Backups
• Datenverschlüsselung

VIG Cyber Defense Center Programm (CDC)

Dem sehr hohen Sicherheitsanspruch der Gruppe folgend, wurde ein gruppenweites Cyber Defense-Center Programm initiiert. Das gruppenweite CDC der VIG zielt darauf ab, das gesamte Geschäft und den Kund:innenpool der Gruppe vor dem Risiko von Cyberangriffen zu schützen und das Sicherheitsniveau der  VIG zu erhöhen.

Hinter dem VIG CDC steht ein Team von IT-Sicherheitsexpert:innen, die das Unternehmen schützen, indem sie Cyber-Bedrohungen mit Hilfe von teilautomatisierten Prozessen und fortschrittlicher Technologie erkennen, analysieren, untersuchen und abwenden. Die IT-Systeme in der VIG Gruppe (wie zum Beispiel Netzwerke, Server, Endgeräte, Anwendungen und Datenbanken) werden kontinuierlich auf Anzeichen für einen Cybersicherheitsvorfall überwacht. Das CDC arbeitet rund um die Uhr, um eine schnelle Reaktion auf auftretende Bedrohungen zu gewährleisten.

Die Vorteile des VIG CDC für die Gruppe sind:

• Schutz des Geschäftsaufkommens und der Kund:innen
• Gemeinsames Vorgehen gegen eine globale Cyber-Bedrohungslandschaft
• Erhöhte Sicherheitsreife und sichergestelltes gruppenweites Vertrauen
• Erzielung einer gruppenweiten regulatorischen Sicherheit

Die VIG hat dazu drei Kompetenzzentren für die Gruppe in Österreich, Polen und der Tschechischen Republik gegründet, über die schrittweise die Gesellschaften der Gruppe serviciert werden. Gewährleistet wird damit die Unterstützung und Stärkung der Kapazitäten der VIG zur Erkennung und Vorbeugung von Sicherheitsvorfällen und -problemen, die Stärkung der Widerstandsfähigkeit durch die Implementierung neuer Sicherheitslösungen und der grenzüberschreitende Austausch von Wissen und Best Practices innerhalb der Gruppe.

Ein weiteres Ziel ist die Durchführung von Informationsveranstaltungen, Sensibilisierungskampagnen für Mitarbeiter:innen und Kund:innen sowie Verbreitungsmaßnahmen im Bereich der digitalen Medien. Damit wird eine Sensibilisierung eines breiten Publikums für Cybersicherheit erreicht werden.

Das Programm unter der Grant Agreement Nummer 101145844 wird von der Europäischen Union gefördert.

Haftungsausschluss: Finanziert von der Europäischen Union. Die geäußerten Ansichten und Meinungen sind jedoch ausschließlich die des Autors/der Autoren und spiegeln nicht unbedingt die der Europäischen Union oder des Europäischen Kompetenzzentrums für Cybersicherheit wider. Weder die Europäische Union noch das Europäische Cybersicherheits-Kompetenzzentrum können für sie verantwortlich gemacht werden.