Best Practice
So sieht Information Security bei der GEA Group aus
Foto: Markus Luigs
Täglich nutzen Verbraucher Produkte, die mit GEA-Anlagen produziert wurden. Zum Beispiel entstammt etwa jeder zweite Liter Bier oder jedes dritte Hänchen-Nugget aus den Produktionsanlagen des Düsseldorfer Unternehmens, das weltweit mehr als 18.000 Mitarbeiter beschäftigt.
Damit gehört GEA zu einem der größten Lösungsanbieter für die Nahrungsmittel-, Getränke- und Pharmaindustrie. Als CISO trägt Iskro Mollov seit knapp über zwei Jahren die Verantwortung für die (Informations-)Sicherheit des international tätigen Unternehmens.
Lesetipp: Was CSOs aus dem Okta-Hack lernen können
Risiken identifizieren
Für den CISO ist es besonders wichtig, dass es verstanden wird, dass sich die Informationssicherheit nicht nur in der IT-Abteilung abspielt, sondern eine unternehmensweite Aufgabe ist. "Als ich bei GEA angefangen habe, haben mein Team und ich uns erst einmal angeschaut, wo die Sicherheitsrisiken für das Unternehmen liegen, die wir mit einer starken Security-Strategie und -Roadmap reduzieren können", erinnert sich Mollov. Unterteilt hat er diese Sicherheitsrisiken in zwei Kategorien: in operative und Compliance-Risiken der Informationssicherheit.
Zu den Top-Risiken, die sich aus Compliance-Gründen für das Unternehmen ergeben können, gehören:
Rechtsverstöße, die zu Geldstrafen führen können
Beendigung von laufenden Kundenprojekten
Nichtberücksichtigung bei Ausschreibungen
Verlust von Wettbewerbsvorteilen
Haftung der Geschäftsführer bei Sicherheitsvorfällen
Zu den operatven Risiken, die den laufenden Betrieb beeinträchtigen können, gehören:
Diebstahl oder Spionage von geistigem Eigentum
Betriebsunterbrechungen und Produktionsausfälle
Manipulation oder Sabotage der Produktion
Abfluss von strategischen internen Daten oder Kundeninformationen
Angriffe auf die Kundeninfrastruktur über die GEA IT-Umgebung
Ausgehend von diesen Aspekten hat Mollov im September 2020 das "Global Security Program" ins Leben gerufen, mit dem er die Sicherheitsrisiken seitdem reduziert.
Das Global Security Program von GEA
Doch ein solches Vorhaben lässt sich nicht in nur wenigen Tagen umsetzen. In der Programmplanung legte Mollov fest, dass bis Ende 2023 das globalen Informations-Sicherheits-Management-System (ISMS) und alle relevanten Sicherheitsmaßnahmen auf globaler Ebene implementiert, sein sollen. Der Weiterausbau des globalen ISMS, die kontinuierliche Verbesserung der Maßnahmen sowie weltweite Sicherheitszertifizierungen sollen in den folgenden Jahren erfolgen.
Mollovs Ziele innerhalb des Programms sind unter anderem:
Sicherheit als das Rückgrat und die Voraussetzung für die Digitalisierung bei GEA etablieren
eine sichere Umgebung für die Informationen der GEA-Gruppe, ihrer Partner und Kunden schaffen
GEA vor Haftungs- und Compliance-Risiken schützen
In einem ersten Schritt haben Mollov und sein mittlerweile 20-köpfiges zentrales Team alle wichtigen Probleme und Sicherheitslücken in der Sicherheitslandschaft behoben, um “die low-hanging fruits“ zu pflücken. Im Anschluss wurde das ISMS für die GEA Group AG sowie für die globale Shared Service Gesellschaft eingeführt und nach ISO 27001 zertifiziert.
Lesetipp: Solarwinds-CISO: "Mehr Offenheit ist gut für die Branche"
Klare Strukturen
Doch ein Managementsystem allein, reicht nicht aus. Mollov legt großen Wert auf klare globale Strukturen, eindeutige Zuständigkeiten und effektive und effiziente technische Sicherheitslösungen. Um dies zu erreichen, unterteilt der CISO die Sicherheitsmaßnahmen in zwei Verteidigungslinien. Zur ersten gehört die Security in allen Unternehmensbereichen. Abgesichert werden müssen hierbei die Informationen in
Büro-IT-Netzwerken und -Systemen (IT-Security),
Produktions- und Entwicklungsumgebungen (OT-Security),
den digitalen Produkten und Services von GEA (Product Security),
Web- und Social-Media-Auftritten (Internet / Web Security),
Lieferketten und Beschaffungsprozessen (Supply Chain Security) und
Standorten und Gebäuden (Physical Security).
Außerdem müssen die Mitarbeiter die sichere Handhabung von Informationen beherrschen und interne Bedrohungen adressiert werden (HR-Security).
Leiter aus den jeweiligen Fachbereichen sind dafür zuständig, die jeweiligen Sicherheitsmaßnahmen in ihrem Verantwortungsbereich zu implementieren und Mollov regelmäßig zu informieren. So ist z. B. der Leiter des Einkaufs für Operations and Excellence dafür zuständig, dass das die Zulieferer ebenfalls bezüglich der GEA-Sicherheitsanforderungen zu qualifizieren sind. Die meisten Workstream-Leads im Global Security Program sind dabei auf Vice President Ebene.
Zur zweiten Verteidigungslinie gehören alle Governance Aspekte der Informationssicherheit (Information Security Governance). Auch hier bezieht der CISO stark die Geschäftsverantwortlichen mit ein, insbesondere die Global Process Owner welche letztendlich die Verantwortung (englisch Accountability) für die Sicherheit in deren jeweiligen Geschäftsprozesse tragen. Zur Information Security Governance gehören
das Management der externen und internen Sichererheitsanforderungen,
Strategieentwicklung und Steuerung für die Sicherheitsfunktionen,
Asset-Management, Informationsklassifizierung und Sicherheitsrisikomanagement,
Sensibilisierung und Schulung der Mitarbeiter,
KPIs und Berichterstattung,
Sicherheitsaudits,
Business Continuity, Emergency and Crisis Management sowie
Security Incident Management.
Bewusstsein schaffen
„Es ist egal, ob ein Angreifer sich physischen Zugang verschafft und somit Informationen über GEA oder unsere Kunden klaut, oder ob er sich Zugriff auf Daten über ein IT-System oder eine Maschinenanlage verschafft hat. Schaden kann von überall aus und über viele Wege angerichtet werden“, sagt Mollov. Deshalb ist es seine Aufgabe als CISO alle Bereiche im Blick zu behalten und Bewusstsein im Unternehmen auf allen Ebenen für die Sicherheit zu schaffen.
Doch nicht nur von außen können Angriffe auf die Informationssicherheit erfolgen. Mitunter versuchen Cyberkriminelle, ihre Aktionen über einzelne Beschäftigte zu starten. Um die Beschäftigten für eventuelle Sicherheitsrisiken zu sensibilisieren, werden daher in regelmäßigen Abständen die vielfältigen Aspekte, Gefahren und Prävention zum Thema Informationssicherheit kommuniziert.
2021 sorgte eine globale Posterkampagne für erste Aufmerksamkeit. Nach und nach wurden zudem Animationsvideos über das interne soziale Netzwerk veröffentlicht, die verschiedene alltägliche Bedrohungsszenarien zeigen. Dazu gehören zum Beispiel Fernzugriff, Social Engineering, E-Mail-Sicherheit, Besucherregelungen, Clean Desk und Clean Screen. Die leicht verständlichen Videos enthalten relevante Tipps und Richtlinien sowie Hinweise, wie und wo eventuelle Bedenken und Sicherheitsvorfälle gemeldet werden können. Alle Videos sowie weitere Informationen zum Thema Informationssicherheit stehen in einem Information Security Portal in unserem Intranet zur Verfügung.
Weitere Inhalte sind beispielsweise ein humorvolles Quiz, mit dem Wissen abgefragt und gleichzeitig geschult wird, der sogenannte Password Checker zur Überprüfung der Sicherheit des eigenen Passworts sowie das "Digital Classification Wheel", das bei der Auswahl der korrekten Klassifizierung von Dokumenten unterstützt. Hinzu kommen noch allgemeine Trainingsunterlagen oder die Beantwortung häufig gestellter Fragen. Ein auf allen GEA-Computern installierter Sperrbildschirm sorgt dafür, dass unsere Beschäftigten täglich an die Bedeutung der Informationssicherheit erinnert werden. Ferner muss auch in der Führungsebene Klarheit über die Bedeutung und das Ausmaß der Information Security herrschen.
"Der Vorstand bei GEA unterstützt mein Team und mich bei der Durchsetzung des Global Security Programs und ermöglicht es uns, alle Mitarbeiter miteinzubeziehen", sagt Mollov. "Spricht man über Informationssicherheit, denkt man als Laie oft an die Office-IT und an Mitarbeiter mit Bürojob (IT-Security). Für einen ganzheitlichen Schutz müssen jedoch alle Unternehmensbereiche und auch alle Führungsebenen miteinbezogen werden."