Best Practice

So sieht Information Security bei der GEA Group aus

Klare Strukturen, enge Zusammenarbeit und unternehmensweite Awareness. So hat CISO Iskro Mollov eine weltweite Sicherheitsstrategie für die GEA Group entwickelt.
Von 
CSO | 01. Juni 2022 05:45 Uhr
CISO Iskro Mollov macht in Zusammenarbeit mit dem Vorstand klare Vorgaben für die Information Security bei GEA.
CISO Iskro Mollov macht in Zusammenarbeit mit dem Vorstand klare Vorgaben für die Information Security bei GEA.
Foto: Markus Luigs

Täglich nutzen Verbraucher Produkte, die mit GEA-Anlagen produziert wurden. Zum Beispiel entstammt etwa jeder zweite Liter Bier oder jedes dritte Hänchen-Nugget aus den Produktionsanlagen des Düsseldorfer Unternehmens, das weltweit mehr als 18.000 Mitarbeiter beschäftigt.

Damit gehört GEA zu einem der größten Lösungsanbieter für die Nahrungsmittel-, Getränke- und Pharmaindustrie. Als CISO trägt Iskro Mollov seit knapp über zwei Jahren die Verantwortung für die (Informations-)Sicherheit des international tätigen Unternehmens.

Lesetipp: Was CSOs aus dem Okta-Hack lernen können

Risiken identifizieren

Für den CISO ist es besonders wichtig, dass es verstanden wird, dass sich die Informationssicherheit nicht nur in der IT-Abteilung abspielt, sondern eine unternehmensweite Aufgabe ist. "Als ich bei GEA angefangen habe, haben mein Team und ich uns erst einmal angeschaut, wo die Sicherheitsrisiken für das Unternehmen liegen, die wir mit einer starken Security-Strategie und -Roadmap reduzieren können", erinnert sich Mollov. Unterteilt hat er diese Sicherheitsrisiken in zwei Kategorien: in operative und Compliance-Risiken der Informationssicherheit.

Zu den Top-Risiken, die sich aus Compliance-Gründen für das Unternehmen ergeben können, gehören:

  • Rechtsverstöße, die zu Geldstrafen führen können

  • Beendigung von laufenden Kundenprojekten

  • Nichtberücksichtigung bei Ausschreibungen

  • Verlust von Wettbewerbsvorteilen

  • Haftung der Geschäftsführer bei Sicherheitsvorfällen

Zu den operatven Risiken, die den laufenden Betrieb beeinträchtigen können, gehören:

  • Diebstahl oder Spionage von geistigem Eigentum

  • Betriebsunterbrechungen und Produktionsausfälle

  • Manipulation oder Sabotage der Produktion

  • Abfluss von strategischen internen Daten oder Kundeninformationen

  • Angriffe auf die Kundeninfrastruktur über die GEA IT-Umgebung

Ausgehend von diesen Aspekten hat Mollov im September 2020 das "Global Security Program" ins Leben gerufen, mit dem er die Sicherheitsrisiken seitdem reduziert.

Das Global Security Program von GEA

Doch ein solches Vorhaben lässt sich nicht in nur wenigen Tagen umsetzen. In der Programmplanung legte Mollov fest, dass bis Ende 2023 das globalen Informations-Sicherheits-Management-System (ISMS) und alle relevanten Sicherheitsmaßnahmen auf globaler Ebene implementiert, sein sollen. Der Weiterausbau des globalen ISMS, die kontinuierliche Verbesserung der Maßnahmen sowie weltweite Sicherheitszertifizierungen sollen in den folgenden Jahren erfolgen.

Mollovs Ziele innerhalb des Programms sind unter anderem:

  • Sicherheit als das Rückgrat und die Voraussetzung für die Digitalisierung bei GEA etablieren

  • eine sichere Umgebung für die Informationen der GEA-Gruppe, ihrer Partner und Kunden schaffen

  • GEA vor Haftungs- und Compliance-Risiken schützen

In einem ersten Schritt haben Mollov und sein mittlerweile 20-köpfiges zentrales Team alle wichtigen Probleme und Sicherheitslücken in der Sicherheitslandschaft behoben, um “die low-hanging fruits“ zu pflücken. Im Anschluss wurde das ISMS für die GEA Group AG sowie für die globale Shared Service Gesellschaft eingeführt und nach ISO 27001 zertifiziert.

Lesetipp: Solarwinds-CISO: "Mehr Offenheit ist gut für die Branche"

Klare Strukturen

Doch ein Managementsystem allein, reicht nicht aus. Mollov legt großen Wert auf klare globale Strukturen, eindeutige Zuständigkeiten und effektive und effiziente technische Sicherheitslösungen. Um dies zu erreichen, unterteilt der CISO die Sicherheitsmaßnahmen in zwei Verteidigungslinien. Zur ersten gehört die Security in allen Unternehmensbereichen. Abgesichert werden müssen hierbei die Informationen in

  • Büro-IT-Netzwerken und -Systemen (IT-Security),

  • Produktions- und Entwicklungsumgebungen (OT-Security),

  • den digitalen Produkten und Services von GEA (Product Security),

  • Web- und Social-Media-Auftritten (Internet / Web Security),

  • Lieferketten und Beschaffungsprozessen (Supply Chain Security) und

  • Standorten und Gebäuden (Physical Security).

  • Außerdem müssen die Mitarbeiter die sichere Handhabung von Informationen beherrschen und interne Bedrohungen adressiert werden (HR-Security).

Leiter aus den jeweiligen Fachbereichen sind dafür zuständig, die jeweiligen Sicherheitsmaßnahmen in ihrem Verantwortungsbereich zu implementieren und Mollov regelmäßig zu informieren. So ist z. B. der Leiter des Einkaufs für Operations and Excellence dafür zuständig, dass das die Zulieferer ebenfalls bezüglich der GEA-Sicherheitsanforderungen zu qualifizieren sind. Die meisten Workstream-Leads im Global Security Program sind dabei auf Vice President Ebene.

Zur zweiten Verteidigungslinie gehören alle Governance Aspekte der Informationssicherheit (Information Security Governance). Auch hier bezieht der CISO stark die Geschäftsverantwortlichen mit ein, insbesondere die Global Process Owner welche letztendlich die Verantwortung (englisch Accountability) für die Sicherheit in deren jeweiligen Geschäftsprozesse tragen. Zur Information Security Governance gehören

  • das Management der externen und internen Sichererheitsanforderungen,

  • Strategieentwicklung und Steuerung für die Sicherheitsfunktionen,

  • Asset-Management, Informationsklassifizierung und Sicherheitsrisikomanagement,

  • Sensibilisierung und Schulung der Mitarbeiter,

  • KPIs und Berichterstattung,

  • Sicherheitsaudits,

  • Identity and Access Management,

  • Business Continuity, Emergency and Crisis Management sowie

  • Security Incident Management.

Bewusstsein schaffen

„Es ist egal, ob ein Angreifer sich physischen Zugang verschafft und somit Informationen über GEA oder unsere Kunden klaut, oder ob er sich Zugriff auf Daten über ein IT-System oder eine Maschinenanlage verschafft hat. Schaden kann von überall aus und über viele Wege angerichtet werden“, sagt Mollov. Deshalb ist es seine Aufgabe als CISO alle Bereiche im Blick zu behalten und Bewusstsein im Unternehmen auf allen Ebenen für die Sicherheit zu schaffen.

Doch nicht nur von außen können Angriffe auf die Informationssicherheit erfolgen. Mitunter versuchen Cyberkriminelle, ihre Aktionen über einzelne Beschäftigte zu starten. Um die Beschäftigten für eventuelle Sicherheitsrisiken zu sensibilisieren, werden daher in regelmäßigen Abständen die vielfältigen Aspekte, Gefahren und Prävention zum Thema Informationssicherheit kommuniziert.

2021 sorgte eine globale Posterkampagne für erste Aufmerksamkeit. Nach und nach wurden zudem Animationsvideos über das interne soziale Netzwerk veröffentlicht, die verschiedene alltägliche Bedrohungsszenarien zeigen. Dazu gehören zum Beispiel Fernzugriff, Social Engineering, E-Mail-Sicherheit, Besucherregelungen, Clean Desk und Clean Screen. Die leicht verständlichen Videos enthalten relevante Tipps und Richtlinien sowie Hinweise, wie und wo eventuelle Bedenken und Sicherheitsvorfälle gemeldet werden können. Alle Videos sowie weitere Informationen zum Thema Informationssicherheit stehen in einem Information Security Portal in unserem Intranet zur Verfügung.

Weitere Inhalte sind beispielsweise ein humorvolles Quiz, mit dem Wissen abgefragt und gleichzeitig geschult wird, der sogenannte Password Checker zur Überprüfung der Sicherheit des eigenen Passworts sowie das "Digital Classification Wheel", das bei der Auswahl der korrekten Klassifizierung von Dokumenten unterstützt. Hinzu kommen noch allgemeine Trainingsunterlagen oder die Beantwortung häufig gestellter Fragen. Ein auf allen GEA-Computern installierter Sperrbildschirm sorgt dafür, dass unsere Beschäftigten täglich an die Bedeutung der Informationssicherheit erinnert werden. Ferner muss auch in der Führungsebene Klarheit über die Bedeutung und das Ausmaß der Information Security herrschen.

"Der Vorstand bei GEA unterstützt mein Team und mich bei der Durchsetzung des Global Security Programs und ermöglicht es uns, alle Mitarbeiter miteinzubeziehen", sagt Mollov. "Spricht man über Informationssicherheit, denkt man als Laie oft an die Office-IT und an Mitarbeiter mit Bürojob (IT-Security). Für einen ganzheitlichen Schutz müssen jedoch alle Unternehmensbereiche und auch alle Führungsebenen miteinbezogen werden."

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.