Cyber Security

{ GRI 418-1 }

Eine neue Unit für IT-Sicherheit

In einer zunehmend vernetzten Welt nehmen die IT-Sicherheitsrisiken zu. Cyberattacken auf Unternehmen, die einst als außergewöhnliches Ereignis galten, haben sich in den letzten fünf Jahren nahezu verdoppelt29 und erreichten eine zunehmend höhere Komplexität. Im Jahr der Pandemie verstärkte sich dieses Risiko zusätzlich. Ein Thema, das alle betrifft: Bürger, Regierungen und Unternehmen jeder Größe. Und ein Thema, das für ein Unternehmen wie unseres absolute Priorität hat. Als Energiedienstleister verwaltet Alperia eine große Datenmenge: personenbezogene Daten von Kunden, Mitarbeitern und Partnern, technische Daten zum Kundenverbrauch, zur Verteilungsinfrastruktur, zu Strom- und Wärmeerzeugungsanlagen. IT-Sicherheit ist daher grundlegend und Gegenstand bedeutender Investitionen auch in unserem Industrieplan, u. a.:

  • die Einführung und Erneuerung von Best-of-Breed-Systemen zur Erkennung von Bedrohungen und zur Perimetersicherheit;
  • die Verwendung fortschrittlicher Instrumente zur Überwachung des internen Netzverkehrs;
  • die Schulung der Mitarbeiterinnen und Mitarbeiter.

Insbesondere haben wir eine Unit für Data Protection & Security eingerichtet, die sich mit Folgendem befasst: Definition von Richtlinien in Bezug auf die Einhaltung der Datenschutz-Grundverordnung und die IT-Sicherheit, Überwachung von Systemschwachstellen, Einführung von Schutzmaßnahmen sowie Förderung von Sensibilisierungs- und Schulungsprogrammen zur IT-Sicherheit für die Mitarbeiterinnen und Mitarbeiter. Eine wichtige Neuheit im Vergleich zu früher, die beinhaltet, dass noch mehr Wert auf die IT-Sicherheit gelegt wird. Alperia garantiert maximale Einhaltung sowohl der gesetzlich vorgeschriebenen Bestimmungen als auch derjenigen, die es auf freiwilliger Basis befolgt, wie die Zertifizierung nach ISO 27001. Diese wurde auch 2020 erneuert und auf die Unternehmen der Lieferanten ausgedehnt, die nach den laut ISO 27001 vorgesehenen Parametern mit eingehenden Audits bewertet wurden. Darüber hinaus führten wir mit positivem Ergebnis im Lauf des Jahrs Gesetzestreueprüfungen aller Gesellschaften der Gruppe durch, entwickelten und aktualisierten unseren Disaster-Recovery-Plan und setzten Systeme zum Schutz vor Ransomware-Bedrohungen um.

Im Mittelpunkt der Alperia-Strategie steht ein Ansatz, der auf Sicherheit und Datenschutz durch Technikgestaltung basiert. Datensicherheit und -schutz gehen Hand in Hand mit dem Ziel, uns vor unvorhergesehenen Attacken und Schwachstellen zu schützen, wobei Maßnahmen wie die kontinuierliche Überwachung, die Zwei-Faktor-Authentifizierung sowie fortschrittliche Schutzsysteme zum Einsatz kommen. Insbesondere wurden alle Systeme im Zusammenhang mit dem Datenschutzmanagement neu organisiert, um sie noch ausgefeilter zu machen, und Alperia setzt ein System um, das eine erweiterte Risikoanalyse ermöglicht, um umgehend festzustellen, wo und wie eingegriffen werden kann, um etwaige Lücken zu schließen, und zwar im Einklang mit den Vorgaben der datenschutzrechtlichen Bestimmungen, der Datenschutz-Grundverordnung und der Zertifizierung nach ISO 27001. Für mehr Sicherheit legten wir uns auch Tools der künstlichen Intelligenz zu, anhand derer etwaige sowohl externe als auch interne Bedrohungen unter Kontrolle gehalten werden können, um angemessene Minderungssysteme zu aktivieren. Mittels eines Tools für das Schwachstellenmanagement hebt das Team darüber hinaus die Schwachstellen der auf den betrieblichen Rechnern installierten Softwaresysteme hervor und meldet diese der IT-Abteilung, sodass Schutzsysteme aktiviert werden, deren Wirksamkeit anschließend überprüft wird.

Im Bewusstsein, dass viele Bedrohungen von innen kommen, was auf mangelhafte Vertrautheit mit den IT-Risiken zurückzuführen ist, erwarb Alperia eine spezifische Lösung, um die Mitarbeiterinnen und Mitarbeiter zu sensibilisieren und Schulungslücken in Bezug auf die IT-Sicherheit zu schließen. Diese wird den Mitarbeiterinnen und Mitarbeitern 2021 zur Verfügung gestellt, damit alle die sichere Handhabung von IT-Systemen lernen können.

Es wird darauf hingewiesen, dass der Verantwortliche des Geschäftsbereichs Data Protection & Security auch der Datenschutzbeauftragte (DSB) der Gruppe ist. Schließlich wurden die Kooperationen mit einigen wichtigen Unternehmen der Branche fortgesetzt, u.a. mit CLUSIT (italienischer Verband für IT-Sicherheit).

Sicherheit in Zahlen

Zu blockierende Bedrohungen, Spam und Pannen

2020 kam es bei Alperia nicht zu signifikanten IT-Sicherheitspannen, es traten jedoch Bedrohungen auf. Die Sicherheitssysteme blockierten pro Tag im Durchschnitt 2.000 Spam-E-Mails und 1.000 böswillige Verbindungsversuche. Diese Daten gingen im Vergleich zu 2019 jeweils um 50 % bzw. 83 % zurück. Die Veränderung ist darauf zurückzuführen, dass die Messmethoden und - systeme überarbeitet und neue Cloud-Sicherheitsfunktionen eingeführt wurden, die in der Lage sind, einige Arten von Verbindungen zu erkennen und zu verwerfen, noch bevor Zugangsversuche unternommen werden.

Identifiziert und blockiert wurden jeden Monat im Durchschnitt:

  • 530 Viren: Die Zahl ging im Vergleich zum Vorjahr um 82 % zurück und ist mit einer gezielten Attacke verbunden;
  • 27 Spywareprogramme (Software, die Informationen zu den Onlineaktivitäten von Benutzern aufzeichnet): Dieser Wert ging um 13 % zurück, was den effizienteren Sicherheitssystemen und einem erhöhten Bewusstsein der Nutzer zu verdanken ist;
  • 2,8 Mio. schädliche, verdächtige oder unerlaubte Internetaktivitäten (verdächtige oder unerlaubte Aktivitäten bei der Internetnavigation): 40 % mehr als 2019, was auf eine Zunahme der Anschlüsse und eine erhöhte Gefährdung der Internetdienste zurückzuführen ist;
  • 360 schädliche oder unerlaubte Anwendungen: 80 % mehr als 2019, was auf eine Zunahme der Anschlüsse und eine erhöhte Gefährdung der Internetdienste zurückzuführen ist;
  • 54.000 schädliche oder unerlaubte Inhalte: 78 % weniger im Vergleich zu 2019, da Maßnahmen durchgeführt wurden, um an der Quelle die Verwendung von Verbindungen zu blockieren oder die Verwendung von unerlaubten Inhalten zu vermeiden.

StrategischesZiel: Wir sind bestrebt, den Schutz aller Daten und die Einhaltung der einschlägigen Sicherheitsnormen zu garantieren.

Operative Ziele2020 durchgeführte Maßnahmen2020 Geplante Maßnahmen(Neue) FristenKPIZielwertWert Jahr 2020Status
100%ige Einhaltung der datenschutzrechtlichen Bestimmungen* Durchgeführt wurde eine Studie zu den Softwareprodukten, welche das Problem verwalten. Ausgewählt wurde das passende Produkt, das Ende des Jahres erworben wurde und 2021 implementiert wird.* Softwareimplementierung des Produkts One Trust zur Verwaltung des DSGVO-Themas im Lauf des Jahres 2021jährlichCompliance-Anteil100 %100 %spunta
0 Sicherheitszwischenfälle in Bezug auf das Management von Informationen und den Datenschutz* Die Zertifizierung nach ISO 27001 wurde für das Jahr 2020 erneuert.* Erneute Zertifizierung nach ISO 27001 im Juni 2021jährlichSicherheitszwischenfälle00spunta
Die Betriebskontinuität bei IT-Pannen (z. B. Störung der Server, Stromausfall) garantieren* Eingerichtet wurde die Direktion Data Protection & Security, deren spezifische Aufgabe es ist, Richtlinien für die Einhaltung der Vorgaben der DSGVO und die IT-Sicherheit zu definieren. Einführung einer SIEM-Lösung (MS Sentinel) zur kontinuierlichen Überwachung von IT-Risiken. Erstellung eines Dashboards für Informationen über die Compliance- und Risikomaßnahmen, Erstellung des Sicherheitsplans für die Gruppe, Mapping der IT-Risiken für die Gruppe, Integration der DSGVO in die neuen Beteiligungsunternehmen* Softwareimplementierung des Produkts One Trust zur Verwaltung der Norm ISO 27001 im Lauf des Jahres 2021Dez-21Bereitschaftsanteil-100 %Laufend
Schaffung einer Kultur der EDV-Sicherheit unter unseren Mitarbeiterinnen und Mitarbeitern zur Reduktion von Risiken* Auswahl und Kauf einer Software sowie von Schulungsdiensten über Cybersecurity-Awareness, um das Bewusstsein aller Mitarbeiterinnen und Mitarbeiter in IT-Sicherheitsfragen zu schärfen* Den Schulungsplan mit der Software Security Awareness von Proofpoint 2021 startenDez-21Bereitschaftsanteil-0,75Laufend

29 Quelle: Global Risk Report 2018 – World Economic Forum