Informationssicherheit

Sicherheit im Netz ausbauen

Informationssicherheit ist für United Internet zentraler Bestandteil, um in der digitalen Welt verantwortungsvoll zu handeln. Das Vertrauen der Kunden in unsere Maßnahmen zur Informationssicherheit ist die Grundlage dafür, dass sie uns ihre persönlichen Informationen in Form digitaler Daten wie Fotos, Dokumente, E-Mails und ihre Geschäftsdaten (z. B. beim Betrieb von Anwendungen in der Cloud), anvertrauen.

Die zu schützenden Informationen umfassen Kunden- und Mitarbeiterdaten. Sie werden in unternehmenseigenen Systemen als Teil von Geschäftsprozessen, die wiederum Teil von Produkten sind, verarbeitet. Unser Anspruch ist es, die Informationen überall entlang der umfangreichen Produktlandschaft vor unerlaubten Zugriffen und Missbrauch zu schützen. Dabei stellen wir die Schutzziele „Vertraulichkeit“, „Verfügbarkeit“ und „Integrität“ sicher. Unsere Sicherheitsstrategie zielt darauf ab, die Schutzziele konzernweit auf einem angemessenen und einheitlichen Niveau aufzubauen und kontinuierlich weiterzuentwickeln.

Wir orientieren uns dabei an international anerkannten Standards. So betreiben wir z. B. ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001. Von besonderer Bedeutung sind dabei die Etablierung und der Ausbau unserer effektiven und skalierenden Sicherheitsorganisation.

Steuerung mit dem Informationssicherheits-Managementsystem

Das oberste Ziel der Informationssicherheit ist – neben dem Schutz der Kundendaten –, die Geschäftstätigkeit von United Internet aufrechtzuerhalten und geschäftsschädigende Einflüsse zu reduzieren.

Gesteuert wird das segmentübergreifende ISMS, in Abstimmung mit der Geschäftsstrategie der teilnehmenden Unternehmen, in der Abteilung „Information Security“ mit den beiden Teams „Service and Security Management“ und „Technical Security“. Das Team „Service and Security Management“ umfasst unter anderem das Informationssicherheits-Richtlinienmanagement, Sicherheitshinweise, Mitarbeiterschulungen, die Behördenkommunikation und das Sicherheits-Risikomanagement. Das Team „Technical Security“ umfasst beratende Aufgaben in Bezug auf Sicherheitsarchitekturen sowie Applikations-, System- und Netzwerksicherheit. Hier werden Mitarbeiter in sicherer Entwicklung und sicherem Betrieb geschult, Sicherheitstests durchgeführt und eventuelle Sicherheitsvorfälle gemeinsam mit Fachbereichen behandelt. Das Team „Technical Security“ erhielt im Jahr 2020 internationale Verstärkung, als das Sicherheitsteam des spanischen Tochterunternehmens Arsys aufgenommen wurde.

Der „Head of Information Security“ und zugleich einer der Sicherheitsbeauftragten des Konzerns für Telekommunikation (gemäß Telekommunikationsgesetz, TKG) berichtet regelmäßig an die Technik-Vorstände der verschiedenen Segmente. Die Berichterstattung umfasst das Informationssicherheits-Risikoportfolio, aufgetretene relevante Sicherheitsvorfälle, ergriffene sicherheitsthemenspezifische Maßnahmen, Ergebnisse von Sicherheitsprüfungen sowie die wichtigsten Sicherheitstrends.

Maßnahmen zum Schutz von Informationen

  • GRI 417
  • GRI 417-1

Sicherheitslücken können sowohl für die Reputation von United Internet als auch für Kunden weitreichende Folgen haben. Um solche Risiken zu vermeiden, bestehen bei United Internet folgende technische und organisatorische Sicherheitsmaßnahmen.

Technische Maßnahmen
  • Sichere Softwareentwicklung
    Die beste Maßnahme ist die präventive Vermeidung von Sicherheitslücken. Der „Secure-Software-Development-Life Cycle“ (SSDLC), der von Beginn an durchgehend die Sicherheit in der Softwareentwicklung methodisch berücksichtigt, findet in unterschiedlichen Reifegraden in allen Segmenten Anwendung. Im Allgemeinen sind verschiedene Maßnahmen, von Bedrohungsanalysen und Quellcode-Reviews im Vier-Augen-Prinzip über automatisierte Checks sowie Wikis mit Development-/Security-Best-Practices bis Anwendungstests („Application Penetration Tests“), integraler Bestandteil der Produktentwicklung. Im Zuge verbreiteter agiler Entwicklungsmethoden wird der SSDLC kontinuierlich in Richtung Softwareabhängigkeitsanalysen („Secure Dependency Management“) bis hin zu sicherem (Software-) Containerbetrieb („Secure Containerization“) ergänzt.

  • Global verteilter DDoS-Schutzschild
    „Distributed Denial of Service“-Angriffe (DDoS) sind verteilte und konzentrierte Angriffe aus dem Internet, die die Verfügbarkeit unserer Dienste reduzieren sollen. Um uns vor diesen Angriffen zu schützen, betreiben wir ein selbstentwickeltes, weltweit verteiltes DDoS-Schutzschild, das wir kontinuierlich optimieren. Dieses System reinigt anlassbezogen im Falle eines Angriffs den ankommenden Datenstrom und lässt nur legitime Kundenanfragen passieren.

  • Konsequenter Einsatz von Verschlüsselung – Transport Layer Security (TLS)
    Bekannt unter der Vorläuferbezeichnung SSL („Secure Socket Layer“), setzen wir TLS („Transport Layer Security“) für die verschlüsselte Übertragung unserer Kundendaten ein. Die TLS-Absicherung stellen wir auch unseren Kunden zur Verfügung, um ihren Datenverkehr zu schützen, etwa beim Eingeben von Passwörtern oder Zahlungsinformationen, z. B. in Online-Shops.

  • Georedundanz
    Wir betreiben in Europa und den USA Rechen­zen­tren an mehreren geographisch verteilten Standorten. So können wir Informationen an verschiedenen Standorten speichern und das Risiko von Betriebsunterbrechungen und Datenverlusten durch äußere Einflüsse minimieren.

  • Zertifizierung unserer Rechen­zen­tren nach ISO/IEC 27001
    Um zu gewährleisten, dass wir unseren Kunden höchste Sicherheitsstandards bieten, lassen wir das ISMS unserer Rechen­zen­tren jährlich nach ISO 27001 zertifizieren. Im Jahr 2020 wurde der Zertifizierungsbereich um weitere Teile des IT-Betriebs und der Softwareentwicklung erweitert.
Organisatorische Maßnahmen
  • Mitarbeiterschulungen
    Neben der Technik ist der Mensch ein wichtiger und allgegenwärtiger Teil der Sicherheitskette. Basis-Trainings und Auffrischungskurse informieren Mitarbeiter in Form von Präsenz-Terminen oder E-Learnings. Im Jahr 2019 wurde das zuvor freiwillige E-Learning in eine verpflichtende Maßnahme umgewandelt, die alle zwei Jahre aufgefrischt werden muss. Das Ziel, 80 % der Mitarbeiter mit dem E-Learning zu erreichen, war erfolgreich. Im Jahr 2020 wurden außerdem 294 Mitarbeiter in sogenannten „Classroom Trainings“ über Informationssicherheit sensibilisiert. Die virtuellen „Classroom Trainings“ wurden durch die Umstände der COVID-19-Pandemie intensiviert. Dieser Trainingsmodus wird auch nach der COVID-19-Pandemie eine wichtige Ergänzung zu Präsenztrainings bleiben. Nur durch sensibilisierte Mitarbeiter können bestimmte Risiken effektiv adressiert werden, die z. B. durch „Phishing“ oder „Social Engineering“ entstehen. Entwickler und Administratoren erhalten deshalb speziell auf ihren Bedarf abgestimmte technische Präsenz-Trainings. Führungskräfte werden im Zusammenhang mit Datenschutz und Compliance spezifisch geschult.

  • Spielregeln der Informationssicherheit
    Mit einem an ISO 27001 angelehnten umfassenden Regelwerk möchten wir Orientierung für Mitarbeiter in jedem Bereich schaffen. Als formale Grundlage dienen die verpflichtenden Informationssicherheitsrichtlinien. Um dieses Regelwerk zielgruppengerecht aufzubereiten und Mitarbeitern den Zugang zu erleichtern, werden unterschiedliche Kommunikationskanäle genutzt. Neben den bereits erwähnten Schulungsangeboten gibt es im Intranet Hinweise und Erläuterungen zu den Regeln für die wichtigsten Mitarbeiter-Rollen. Hierzu gehört auch die interne Broschüre „Informationssicherheit und Datenschutz“, die anschaulich die wichtigsten Verhaltensregeln im Umgang mit Informationen und Daten erläutert und die bei den regelmäßigen Einführungsveranstaltungen in gebundener Form ausgehändigt wird. Darin sowie in unserem Intranet sind auch Anlaufstellen benannt, denen Mitarbeiter mögliche Sicherheitsvorfälle oder einen entsprechenden Verdacht unverzüglich zu melden haben, also Ereignisse, die gegen die bestehenden Regelungen verstoßen oder eine sonstige Bedrohung für das Unternehmen darstellen können.

  • Security Audits
    Um die Wirksamkeit des ISMS sicherzustellen, führt der Bereich „Information Security“ Produkt-, Prozess- und System-Audits durch. Diese werden durch Prüfungen innerhalb der Fachbereiche sowie durch externe Prüfungen ergänzt. Ein vermehrt genutztes Instrument sind Reifegradmodelle. Insbesondere in den technischen Fachbereichen mit Verantwortung für Kundendaten wird ein von der Informationssicherheit entwickeltes Sicherheitsreifegradmodell verwendet. Die Fachbereiche profitieren von einer klaren Positionsbestimmung in ihrer Entwicklung, und das Modell stellt zudem ein Instrument zur eigenverantwortlichen, gezielten und vergleichbaren Weiterentwicklung dar. Reifegradmodelle bieten eine effiziente Möglichkeit, aufwändige und gleichzeitig tiefergehende Audits zielgerichteter zu steuern. Sie ermöglichen es, Audits in der Planung dort zu platzieren, wo sie eine Reifegradentwicklung am effektivsten unterstützen.

  • Kontinuierliches Monitoring
    Um die etwaige Gefährdung von Daten schnellstmöglich zu entdecken, betreiben wir kontinuierliches Monitoring von verschiedenen IT-Systemen. Ein intern angepasstes und weiterentwickeltes „Security Incident and Event Management System“ (SIEM) unterstützt neben lokalem Monitoring die Erfassung von Vorfällen und kann angemessene Reaktionen anstoßen. Um uns kontinuierlich zu verbessern, messen wir unsere Erkennungszeiten, um sicherheitsrelevante Vorfälle (z. B. Angriffe) von nicht-sicherheitsrelevanten Vorfällen (z. B. unterbrochene Stromkreisläufe) zu unterscheiden. Ebenso erfassen wir unsere Reaktionszeiten, die von der Meldung bis zur Behebung eines Problems vergehen. Für bestimmte sicherheitsrelevante Schutzziele, z. B. „Verfügbarkeit“, haben wir zudem interne Zielgrößen definiert.

  • Umgang mit Sicherheitsvorfällen
    In jedem Geschäftssegment besteht ein standardisierter Prozess für den Umgang mit Sicherheitsvorfällen. Nach Erkennung wird die Entstörung durch einen geschulten „Incident Manager“ vorangetrieben. Dieser zieht bei Bedarf das Sicherheitsteam oder externe Beratung hinzu.

  • Informationssicherheit während der COVID-19-Pandemie
    Im Zuge der eintretenden Beschränkungen während der COVID-19-Pandemie wurde es notwendig, Mitarbeitern flächendeckend und kurzfristig das Arbeiten von Zuhause unter Einhaltung des Informationssicherheitsstandards zu ermöglichen. Die Zentralabteilung „Information Security“ begleitete sicherheitsrelevante Änderungen für das Arbeiten von Zuhause mit den Sicherheitsmanagern der Fachabteilungen. Auf diese Weise wurden Sicherheitsanforderungen im Rahmen des etablierten, agilen Change-Prozesses angemessen berücksichtigt. Viele Mitarbeiter waren bereits zuvor in der Lage, über die Firmeninfrastruktur mobil und sicher über ein VPN (Virtual Private Network) zu arbeiten. Die Sicherheitsorganisation stellte auch in der COVID-19-Pandemie jederzeit den sicheren Betrieb der Netze und IT-Komponenten sicher. Hier wurde auf dem bestehenden Sicherheitskonzept aufgesetzt, das unter anderem auf dem mit Mehrfaktorauthentifizierung arbeitenden „Corporate Identity Management“ sowie dem DDoS-Proxyschutz basiert.

Integration von übernommenen Gesellschaften

Vor dem Zusammenschluss mit anderen Gesellschaften und an Schlüsselstellen im weiteren Integrationsprozess prüfen wir grundsätzlich die bestehenden technischen und organisatorischen Informationssicherheitsmaßnahmen. Hierbei wird eine Reifegradanalyse basierend auf internationalen Standards durchgeführt. Der ermittelte Reifegrad wird um eine Risikobetrachtung mit Handlungsempfehlungen durch die Abteilung „Information Security“ ergänzt. Je nach Ergebnis und Geschäftsstrategie werden verschiedene Integrationsmaßnahmen beschlossen und umgesetzt. Wenn es sinnvoll ist, wird die übernommene Gesellschaft in das ISMS von United Internet integriert. Ziel ist es, einen angemessenen und konzernweiten Sicherheitsstandard zu etablieren. Im Jahr 2020 wurden die Gesellschaften der 2017 übernommenen Drillisch AG (inzwischen 1&1 Drillisch) aus dem Segment „Consumer Access“ sowie die Cronon GmbH aus dem Segment „Business Applications“ in das Gruppen-ISMS integriert.