Cyber Security

{ GRI 418-1 }

Dem Global Risks Report 2020 des World Economic Forum zufolge rangieren Cyberattacken auf Platz 6 unter den Hauptrisiken der nächsten Jahre. Aus diesem Grund setzt Alperia, das als Anbieter von Energiedienstleistungen eine erhebliche Menge an Daten verwaltet (personenbezogene Daten der Kunden, Mitarbeiter und Partner, technische Daten in Bezug auf den Verbrauch der Kunden, die Vertriebsinfrastrukturen sowie die Anlagen zur Strom- und Wärmeerzeugung), eine strikte Schutzstrategie um. Es wird immer wichtiger, den Zugriff auf die Informationen und deren korrekte Verwaltung, was Geheimhaltung, Datenschutz und Bestand betrifft, zu kontrollieren.

Risikomanagement

RisikoManagementmethode
Risiko in Bezug auf die Nichteinhaltung von datenschutzrechtlichen Bestimmungen im Hinblick auf den Schutz von sensiblen Daten.Wir sind bestrebt, die Einhaltung der datenschutzrechtlichen Bestimmungen zu gewährleisten. Dafür überwachen wir kontinuierlich die Sicherheitssysteme, sorgen für deren Aktualisierung nach dem Stand der Technik und haben alle gemäß der DSGVO vorgesehenen Maßnahmen umgesetzt.
Risiko in Bezug auf Sicherheitszwischenfälle und das Versagen bei der Verwaltung von Informationen sowie beim Schutz von sensiblen Daten und geistigem Eigentum aufgrund einer nicht angemessenen Infrastruktur mit dem möglichen Verlust oder der Verbreitung von Daten; Risiko in Bezug auf mögliche Störungen der OTT-Infrastrukturen mit etwaigen Auswirkungen auf die Servicekontinuität infolge der nicht erfolgten/nicht angemessenen Potenzierung der EDV-Infrastruktur und Erstellung von Notfallplänen.Wir sind bestrebt, den Schutz aller Daten vor Sicherheitszwischenfällen zu garantieren und die Business Continuity bei EDV-Zwischenfällen (z. B. Serverstörungen, Stromausfällen) zu gewährleisten. Dafür nehmen wir effiziente Systeme zum Schutz vor Attacken und Angriffen sowohl von innen als auch von außen in Anspruch, haben die Zertifizierung nach ISO 27001 erneuert und Pläne für das betriebliche Kontinuitätsmanagement entwickelt (INS-212.01 Business Continuity – Disaster Recovery IT).

Dem Global Risks Report 2020 des World Economic Forum zufolge rangieren Cyberattacken auf Platz 6 unter den Hauptrisiken der nächsten Jahre. Aus diesem Grund setzt Alperia, das als Anbieter von Energiedienstleistungen eine erhebliche Menge an Daten verwaltet (personenbezogene Daten der Kunden, Mitarbeiter und Partner, technische Daten in Bezug auf den Verbrauch der Kunden, die Vertriebsinfrastrukturen sowie die Anlagen zur Strom- und Wärmeerzeugung), eine strikte Schutzstrategie um. Es wird immer wichtiger, den Zugriff auf die Informationen und deren korrekte Verwaltung, was Geheimhaltung, Datenschutz und Bestand betrifft, zu kontrollieren.

Zuständig für die EDV-Sicherheit ist eine entsprechende Abteilung, welche die Architekturen und Systeme für die Informationssicherheit definiert und überwacht, die Systeme für das Identitätsmanagement und die Zugangskontrolle betreut und bei etwaigen Cyberattacken eingreift. 

2019 wurden neue und leistungsstärkere Managementsysteme sowohl innerhalb als auch außerhalb von Alperia – auch durch die Nutzung von Plattformen mit künstlicher Intelligenz (KI) – eingeführt. Die Angriffe, die immer häufiger und risikobehafteter sind, werden von äußerst ausgeklügelten KI-Softwarelösungen gesteuert. Daher ist es notwendig, sich auf dieselbe Art und Weise zu verteidigen. 2019 kam es bei Alperia zu keinen nennenswerten Zwischenfällen in Bezug auf die EDV-Sicherheit, jedoch ist sich der Betrieb bewusst, wie wichtig es ist, sich mit Barrieren zu schützen, die technisch zunehmend ausgefeilter werden. Deshalb haben wir ein doppeltes Antivirensystem für unser E-Mail-System eingeführt, und alle Dokumente werden nach einem spezifischen Geheimhaltungsniveau klassifiziert (öffentlich, vertraulich, geheim). Die Aktualisierungsmaßnahmen werden mit den Tests des Disaster-Recovery-Plans und der Umsetzung von Systemen zum Schutz vor Ransomware-Bedrohungen weitergeführt. 

2019 haben wir auch die Zertifizierung nach ISO 27001 erneuert, deren Aktionsbereich durch eine Intensivierung der erforderlichen Prüfungen erweitert wurde. Es handelt sich um eine internationale Norm, die bestätigt, dass die Gruppe ein zuverlässiges und sicheres System zum Management der betrieblichen Informationssysteme (elektronisch und in Dokumentenform) besitzt, um die Managementkosten zu überwachen und zu reduzieren, angemessene Servicelevels sicherzustellen und Risiken möglicher Betriebsausfälle zu überwachen und zu reduzieren. Die Zertifizierung unterliegt einem jährlichen Audit, zu dem weitere Kontrollen kommen, die von der Abteilung Internal Audit der Gruppe durchgeführt werden. 

Im Lauf des Jahres 2019 wurde zudem der Business Continuity Plan entwickelt, der bei Attacken zu aktivieren ist. In Erfüllung der Vorgaben der europäischen Datenschutz-Grundverordnung wurde ein Datenschutzbeauftragter (DSB) außerhalb der IT-Direktion ernannt. Entwickelt wurde zudem ein neuer Ablauf „Datenschutz durch Technikgestaltung“, der beim Start eines jeden neuen Projekts durchgeführt werden muss, um zu prüfen, ob dieses den datenschutzrechtlichen Bestimmungen und den Vorgaben der DSGVO gerecht wird.

Die technologische Innovation wird durch Schulungen begleitet. Nach den Maßnahmen für das IT-Team beginnt 2020 eine Schulung rund um Cyber Security, in deren Rahmen die Mitarbeiter ihr Bewusstsein für EDV-Risiken schärfen. Die deutlichsten Schwachpunkte basieren nämlich häufig auf menschlichen Faktoren. Um mit der Zeit Schritt zu halten, beteiligte sich Alperia aktiv an einigen wichtigen Initiativen der Branche wie CLUSIT (italienischer Verband für EDV-Sicherheit) und nahm an Fachveranstaltungen über Sicherheit wie ITASEC (Italian Conference of Cybersecurity) teil.

Sicherheit in Zahlen

2019 fingen die Alperia-Schutzsysteme im Durchschnitt 4.000 Spam-E-Mails pro Tag und mehr als 6.000 böswillige Verbindungsversuche ab. Der letztgenannte Wert ist im Vergleich zu 2018 rückläufig (um 73 %). Diese Veränderung ist darauf zurückzuführen, dass sich das Messparadigma geändert hat: Seit 2019 wird der Zugriffsversuch auf die Microsoft-Systeme außerhalb von Alperia (Standort Bozen) identifiziert, um zu vermeiden, dass Fehler, die Nutzern bei der Eingabe des Passworts unterlaufen könnten, mit in die Zählung aufgenommen werden. Die Zahl der Spam-E-Mails erhöhte sich dagegen gegenüber 2018 um 33 % (circa 1.000 mehr). Dieser Anstieg ist auf eine verstärkte Öffnung zur Cloud und zu neuen Internet-Anwendungen zurückzuführen.

Identifiziert und blockiert wurden jeden Monat im Durchschnitt: 

  • 2.930 Viren: Dieser Wert liegt weit über dem des Jahres 2018 (70 Viren), da in einem begrenzten Zeitraum von circa 2 Monaten 2 gezielte Angriffe zu verzeichnen waren, die intern blockiert wurden;
  • 31 Spywareprogramme (Software, die Informationen zu den Onlineaktivitäten von Benutzern aufzeichnet): Dieser Wert ist um 23 % zurückgegangen, was den effizienteren Sicherheitssystemen und einem erhöhten Bewusstsein der Nutzer zu verdanken ist;
  • 2 Mio. schädliche, verdächtige oder unerlaubte Internetaktivitäten (verdächtige oder unerlaubte Aktivitäten bei der Internetnavigation): Dieser Wert stieg um genau 100 % gegenüber 2018 und ist auch in diesem Fall auf die zunehmende Öffnung gegenüber der Cloud und neuen Internet-Anwendungen und somit auf die Gefährdung durch diese zurückzuführen;
  • 200 schädliche oder unerlaubte Anwendungen: Dieser Wert stieg um 67 % gegenüber 2018 und ist auch in diesem Fall auf die zunehmende Öffnung gegenüber der Cloud und neuen Internet-Anwendungen und somit auf die Gefährdung durch diese zurückzuführen;
  • 250.000 schädliche oder unerlaubte Inhalte: Diese Daten entsprechen denen von 2018. 

Wie die Zahlen zeigen, nehmen die Bedrohungen kontinuierlich zu. Die Schutzsysteme müssen dementsprechend immer auf dem aktuellen Stand sein, damit es gelingt, diese Bedrohungen wirkungsvoll zu bekämpfen und die notwendige Sicherheit für die betrieblichen Systeme zu garantieren. 

Digitalisierung 

Um ein modernes, volleffizientes und intelligentes Unternehmen zu werden, muss Alperia den Umstieg auf die Digitalisierung abschließen. Mit dieser Umstellung geht nicht nur das Alltagsgeschäft leichter von der Hand, auch der Energieverbrauch wird wesentlich reduziert. Durch die erhöhte Vernetzung von Gebäuden, Geräten, Ausrüstungen und Transportsystemen bietet die Digitalisierung Vorteile in puncto Energieeffizienz, welche die des analogen Managements deutlich übertreffen. Dank der Digitalisierung besteht zudem die Möglichkeit, die verfügbaren Daten zu analysieren und das Tätigkeitsmanagement zu verbessern und effizienter zu gestalten. 

digitalizzazione

Diesen Prozess unterstützen Hightech-Lösungen wie Sensoren, Messeinrichtungen, Databases und Schnittstellen, an denen Alperia nach einem strikten Plan arbeitet. Der Digitalisierungsprozess der Gruppe umfasst 12 „Baustellen“. Die erste, die 2019 abgeschlossen wurde, betrifft den Marketingbereich. Im Jahr 2020 folgt dann der Vertrieb mit der Integration der Rechnungslegungs- und Verbuchungsprozesse. Anschließend werden die ERM-Abläufe auf Gruppenebene und für Edyna in einer einzigen Anwendung zusammengefasst, damit alle Einrichtungen und Abteilungen der Gruppe gemeinsame Abläufe haben. Die Schlüsselprozesse werden harmonisiert: von der Planung über die Beschaffung bis zum Budgeting und Controlling. 2020–2021 werden auch die Rechnungslegungssysteme überarbeitet, und es wird zwischen Commodities (mit der vollständigen Überarbeitung der Rechnungslegungsanwendung) und Non Commodities unterschieden. Im Anschluss daran werden 2 weitere Baustellen zur Analyse von Daten und deren Integration gestartet. Definiert werden Überwachungsdashboards, anhand derer die Daten analysiert und eindeutige, wirkungsvolle Abschlussberichte erstellt werden können. Diese Daten werden zertifiziert und mit einem neuen Schnittstellensystem in die Prozesse integriert. 

Und nicht nur das: 2019 begann Alperia mit Erhebungen in Bezug auf den Asset-Status, die bis Ende 2020 weitergeführt werden. Ziel ist es, im Lauf der Zeit konstruierte Datenreihen zu identifizieren, auf deren Grundlage die Prozesse zur prädiktiven Instandhaltung gestaltet werden. Um Anomalien festzustellen, die unmittelbar bevorstehende Störungen von Anlagen und Maschinen herbeiführen könnten, werden Prozesse zur kognitiven Analyse sowie zum Teach-in- und Data-Mining-Verfahren herangezogen. All dies ermöglicht es, den Personalaufwand zu reduzieren und die Produktionszeiten, die bei einer Störung verloren gehen würden, einzugrenzen sowie die Effizienz und Sicherheit zu steigern. 

Parallel dazu wurden einige Maßnahmen zur Änderung der Arbeitsmethoden entwickelt, wobei verstärkt Wert auf Smart Working gelegt wird. Es erfolgte eine Bestandsaufnahme aller Computer, USB-Sticks, Mobiltelefone und Tablets im Betrieb und die Erstellung von In-Cloud-Anwendungen. Es wurden Softwarelösungen implementiert, die nun zur Überprüfung ihrer Nutzbarkeit von einigen Nutzergruppen getestet werden müssen, bevor sie auf alle Mitarbeiter ausgedehnt werden. 

Auch im Hinblick auf die Dienstfahrzeuge werden Änderungen durchgeführt: Blackboxes zeichnen die Bordinformationen auf und sorgen für ein einfacheres und unmittelbareres Fuhrparkmanagement. 

All diese Veränderungen erfordern eine Überarbeitung der Arbeitsformen und -methoden. Dafür ist es grundlegend, das Personal angemessen zu schulen: 2019 wurden mehrere Schulungstage zur digitalen Transformation und zum Änderungsmanagement durchgeführt, entsprechende Maßnahmen werden auch 2020 fortgesetzt. Ziel ist es, eine gemeinsame innovative Kultur zu entwickeln und allen, die bei Alperia tätig sind, bewusst zu machen, dass die Digitalisierung auf beruflicher, aber auch auf sozialer Ebene von Nutzen ist.

StrategischesZiel: Wir sind bestrebt, den Schutz aller Daten und die Einhaltung der einschlägigen Sicherheitsnormen zu garantieren.

Operative Ziele2019 durchgeführte
Maßnahmen
2019 geplante
Maßnahmen
(Neue)
Fristen
KPIZielwertWert 2019

100%ige Einhaltung der datenschutzrechtlichen Bestimmungen
Einsatz einer Softwareanwendung für das Management von DSGVO-Problematiken und die Compliance-Kontrolle 2020
(laufend)
Compliance-Anteil100 %100 %

0 Sicherheitszwischenfälle in Bezug auf das Management von Informationen und den Datenschutz
  • Erneuerung der Zertifizierung nach ISO 27001 (Information Security Management) für das Jahr 2019
  • Bewertung der nach ISO 27001 zertifizierten Lieferanten
  • Erneuerung der Zertifizierung nach ISO 27001
  • Bewertung der nach ISO 27001 zertifizierten Lieferanten
2020
(laufend)
Sicherheitszwischenfälle00

Sicherstellung der Betriebskontinuität bei EDV-Zwischenfällen (z. B. Serverstörungen, Stromausfälle)
  • Test und Umsetzung des Disaster-Recovery-Plans* Entwicklung eines Betriebskontinuitätsplans bei Angriff (INS-212.01 Business Continuity - Disaster Recovery IT)
  • Einsatz von Systemen zur Reduzierung der Bedrohungen durch Ransomware
  • Aktualisierung des Stands der Technik des gesamten Sicherheitssystems
Aktualisierung des Stands der Technik des gesamten Sicherheitssystems2017-2021
(laufend)
Bereitschaftsanteil100 %80 %

Schaffung einer Kultur der EDV-Sicherheit unter unseren Mitarbeitern zur Reduktion von Risiken
Entwicklung eines Online-Kurses zum Thema Cyber Security für das IT-TeamErstellung eines Schulungskurses zu Cyber Security und der sicheren Nutzung von digitalen Medien für alle Mitarbeiter der Gruppe2017-2021
(laufend)
Bereitschaftsanteil100 %50 %