Informationssicherheit

Sicherheit im Netz ausbauen

  • NFE: Kundenbelange / Informationssicherheit

Das Vertrauen der Kundinnen und Kunden in unsere Maßnahmen zur Informationssicherheit ist die Grundlage dafür, dass sie uns ihre persönlichen Informationen in Form digitaler Daten wie Fotos, Dokumente, E-Mails und ihre Geschäftsdaten (z. B. beim Betrieb von Anwendungen in der Cloud), anvertrauen.

Die zu schützenden Informationen umfassen Daten von Kundinnen und Kunden sowie Mitar­bei­tenden. Sie werden in unternehmenseigenen Systemen als Teil von Geschäftsprozessen, die wiederum Teil von Produkten sind, verarbeitet. Unser Anspruch ist es, die Informationen überall entlang der umfangreichen Produktlandschaft vor unerlaubten Zugriffen und Missbrauch zu schützen. Dabei stellen wir die Schutzziele „Vertraulichkeit“, „Verfügbarkeit“ und „Integrität“ sicher. Unsere Sicherheitsstrategie zielt darauf ab, die Schutzziele mit zielgerichtetem Security Management konzernweit auf einem angemessenen und einheitlichen Niveau zu gewährleisten und kontinuierlich weiterzuentwickeln.

Wir orientieren uns dabei an international anerkannten Standards. So betreiben wir z. B. ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001. Von besonderer Bedeutung sind dabei die Etablierung und der Ausbau unserer effektiven und skalierenden Sicherheitsorganisation.

Steuerung mit dem Informationssicherheits-Managementsystem (ISMS)

Neben dem Schutz der Kundendaten ist das oberste Ziel der Informationssicherheit, die Geschäftstätigkeit von United Internet aufrechtzuerhalten und geschäftsschädigende Einflüsse zu reduzieren.

Gesteuert wird das segmentübergreifende ISMS, in Abstimmung mit der Geschäftsstrategie der teilnehmenden Unternehmen, in der Abteilung „Information Security“ mit den beiden Teams „Service and Security Management“ und „Technical Security“. Das Team „Service and Security Management“ verantwortet unter anderem das Informationssicherheits-Richtlinienmanagement, erarbeitet Sicherheitshinweise, Schulungen für Mitar­bei­tende, die Sicherheit betreffende Behördenkommunikation und betreibt das Informationssicherheits-Risikomanagement. Das Team „Technical Security“ verantwortet beratende Aufgaben in Bezug auf Sicherheitsarchitekturen sowie Applikations-, System- und Netzwerksicherheit. Hier werden Mitar­bei­tende in sicherer Entwicklung und sicherem Betrieb geschult, Sicherheitstests durchgeführt und eventuelle Sicherheitsvorfälle gemeinsam mit Fachbereichen behandelt.

Der „Head of Information Security“ und zugleich einer der Sicherheitsbeauftragten des Konzerns für Telekommunikation (gemäß Telekommunikationsgesetz, TKG) berichtet regelmäßig an die Technik-Vorstände der verschiedenen Segmente. Die Berichterstattung umfasst das Informationssicherheits-Risikoportfolio, aufgetretene relevante Sicherheitsvorfälle, ergriffene spezifische Maßnahmen, Ergebnisse von Sicherheitsprüfungen sowie die wichtigsten Sicherheitstrends. Der „Head of Information Security“ wird aus der Abteilung „Information Security“ von Sicherheitsarchitektinnen und -architekten sowie -expertinnen und -experten bei Konzeption und Umsetzung umfangreicher geschäftssegmentübergreifender Sicherheitsverbesserungen unterstützt.

Maßnahmen zum Schutz von Informationen

  • NFE: Verfolgte Konzepte
  • GRI 417
  • GRI 417-1

Sicherheitslücken können sowohl für die Reputation von United Internet als auch für Kundinnen und Kunden weitreichende Folgen haben. Um solche Risiken zu vermeiden, bestehen bei United Internet unter anderem folgende technische und organisatorische Sicherheitsmaßnahmen.

Technische Maßnahmen
  • Sichere Softwareentwicklung
    Die beste Maßnahme ist die präventive Vermeidung von Sicherheitslücken. Der „Secure-Software-Development-Life Cycle“ (SSDLC), der von Beginn an durchgehend die Sicherheit in der Softwareentwicklung methodisch berücksichtigt, findet in unterschiedlichen Reifegraden in allen Segmenten Anwendung. Im Allgemeinen sind verschiedene Maßnahmen, von Bedrohungsanalysen und Quellcode-Reviews im Vier-Augen-Prinzip über automatisierte Checks sowie Wikis mit Development-/Security-Best-Practices bis Anwendungstests („Application Penetration Tests“) integraler Bestandteil der Produktentwicklung. Im Zuge verbreiteter agiler Entwicklungsmethoden und neuer technischer Plattformen wird der SSDLC kontinuierlich in Richtung Softwareabhängigkeitsanalysen („Secure Dependency Management“) bis hin zu sicherem (Software-) Containerbetrieb („Secure Containerization“) ergänzt.

  • Global verteilter DDoS-Schutzschild
    „Distributed Denial of Service“-Angriffe (DDoS) sind verteilte und konzentrierte Angriffe aus dem Internet, die die Verfügbarkeit unserer Dienste reduzieren sollen. Um uns vor diesen Angriffen zu schützen, betreiben wir ein selbstentwickeltes, weltweit verteiltes DDoS-Schutzschild, das wir kontinuierlich optimieren. Der eine Teil des Systems reinigt anlassbezogen im Falle eines Angriffs den ankommenden Datenstrom und lässt nur legitime Anfragen von Kundinnen und Kunden passieren. Ein zweiter Teil agiert als „Web-Schutzschild“ auf Anwendungsebene und schützt Internet-Dienste vor Angriffen. Um dieser stetig zunehmenden Verantwortung gerecht zu werden, wurde 2021 in der Netzwerk-Abteilung ein eigenes Sicherheits-Experten Team „Defense Platform Services“ gegründet, mit dem Ziel der beständigen Verbesserung der DDoS-Mitigierungs-Plattformen und der Erhaltung eines gleichbleibend hohen Sicherheits-Niveaus.

  • Konsequenter Einsatz von Verschlüsselung – Transport Layer Security (TLS)
    Bekannt unter der Vorläuferbezeichnung SSL („Secure Socket Layer“), setzen wir TLS („Transport Layer Security“) für die verschlüsselte Übertragung unserer Kundendaten ein. Die TLS-Absicherung stellen wir auch unseren Kundinnen und Kunden zur Verfügung, um ihren Datenverkehr zu schützen, etwa beim Eingeben von Passwörtern oder Zahlungsinformationen, z. B. in Online-Shops.

  • Georedundanz
    Wir betreiben in Europa und den USA Rechen­zen­tren an mehreren geographisch verteilten Standorten. So können wir Informationen an verschiedenen Standorten speichern und das Risiko von Betriebsunterbrechungen und Datenverlusten durch äußere Einflüsse minimieren. Darüber hinaus ist im Berichtsjahr 2021 die Planung für das Konzept „Regions and Availability Zones“ innerhalb der IONOS Cloud Platform vorangeschritten, was ab 2022 graduell in die Produktion überlaufen wird. Dies soll der Kundin oder dem Kunden ermöglichen, gezielt den Ort und die Redundanz der von ihr oder ihm auf unserer Plattform betriebenen Anwendung zu beeinflussen.

  • Zertifizierung unserer Rechen­zen­tren nach ISO/IEC 27001
    Um zu gewährleisten, dass wir unseren Kundinnen und Kunden höchste Sicherheitsstandards bieten, lassen wir den sicheren Betrieb unserer Rechen­zen­tren und Teile des Systembetriebs sowie der Software-Entwicklung jährlich nach ISO 27001 zertifizieren. Im Jahr 2021 begann IONOS eine ergänzende IT-Grundschutzzertifizierung für Sicherheitsnachweise speziell im deutschen Kundensegment anzustreben. In einem ersten Schritt wurde eine erfolgreiche IT-Grundschutz-Testierung abgeschlossen. Weitere komplementierende Standards und Zertifizierungen sind in Planung.
Organisatorische Maßnahmen
  • Schulungen von Mitar­bei­tenden
    Neben der Technik ist der Mensch ein wichtiger und allgegenwärtiger Teil der Sicherheitskette. Basis-Trainings und Auffrischungskurse informieren Mitar­bei­tende in Form von Präsenz-Terminen oder E-Learnings. Im Jahr 2019 wurde das zuvor freiwillige E-Learning in eine verpflichtende Maßnahme umgewandelt, die alle zwei Jahre aufgefrischt werden muss. Im Berichtsjahr 2021 wurde erstmalig eine unternehmensweite Auffrischung gestartet. Am Ende des Jahres hatten bereits 68 % der Mitar­bei­tenden das Training erneut durchlaufen. Außerdem wurden 328 Mitar­bei­tende in sogenannten „Classroom Trainings“ über Informationssicherheit sensibilisiert. Die zu Beginn der COVID-19-Pandemie verstärkt eingesetzten virtuellen Classroom Trainings verstärken die Trainingsreichweite bis an entferntere Standorte. Führungskräfte werden im Zusammenhang mit Datenschutz und Compliance spezifisch geschult.

    Im Oktober 2021 fand zusätzlich zu den üblichen E-Learnings an unserem Standort in Cebu, Philippinen, ein „Information Security Awareness Month“ statt. Um die Bedeutung der Informationssicherheit weiter zu stärken, gab es Brownbag- bzw. Lunch & Learn-Sitzungen sowie Aktivitäten und Gastvorträge für Mitar­bei­tende.

    Des Weiteren erfolgte bei 1&1 im vierten Quartal 2021 eine Kampagne zur Sensibilisierung der Mitar­bei­tenden über das Thema Phishing via E-Mail. Diese Kampagne wurde erfolgreich mit 100 Mitar­bei­tenden abgeschlossen und wird im Jahr 2022 auf weitere Unternehmensbereiche ausgeweitet.

  • Spielregeln der Informationssicherheit
    Mit einem an ISO 27001 angelehnten umfassenden Regelwerk möchten wir Orientierung für Mitar­bei­tende in jedem Bereich schaffen. Als formale Grundlage dienen die verpflichtenden Informationssicherheitsrichtlinien. Um dieses Regelwerk zielgruppengerecht aufzubereiten und Mitar­bei­tenden den Zugang zu erleichtern, werden unterschiedliche Kommunikationskanäle genutzt. Neben den bereits erwähnten Schulungsangeboten gibt es im Intranet Hinweise und Erläuterungen zu den Regeln für die wichtigsten Rollen der Mitar­bei­tenden. Hierzu gehört auch die interne Broschüre „Informationssicherheit und Datenschutz“, die anschaulich die wichtigsten Verhaltensregeln im Umgang mit Informationen und Daten erläutert und die bei den regelmäßigen Einführungsveranstaltungen in gebundener Form ausgehändigt wird. Darin sowie in unserem Intranet sind auch Anlaufstellen benannt, denen Mitar­bei­tende mögliche Sicherheitsvorfälle oder einen entsprechenden Verdacht unverzüglich zu melden haben – also Ereignisse, die gegen die bestehenden Regelungen verstoßen oder eine sonstige Bedrohung für das Unternehmen darstellen können.

  • Security Audits
    Um die Wirksamkeit des ISMS sicherzustellen, führt der Bereich „Information Security“ Produkt-, Prozess- und System-Audits durch. Diese werden durch Prüfungen innerhalb der Fachbereiche sowie durch externe Prüfungen ergänzt. Auch Fachbereiche planen Audits und führen diese eigenverantwortlich durch. Diese oft extern vergebenen Audits werden durch die verteilte Sicherheitsorganisation unterstützt. Ein vermehrt genutztes Instrument sind Reifegradmodelle. Insbesondere in den technischen Fachbereichen mit Verantwortung für Kundendaten wird ein von der Informationssicherheit entwickeltes Sicherheitsreifegradmodell verwendet. Die Fachbereiche profitieren von einer klaren Positionsbestimmung in ihrer Entwicklung, und das Modell stellt zudem ein Instrument zur eigenverantwortlichen, gezielten und vergleichbaren Weiterentwicklung dar. Reifegradmodelle bieten eine effiziente Möglichkeit, aufwendige und gleichzeitig tiefergehende Audits zielgerichteter zu steuern. Sie ermöglichen es, Audits in der Planung dort zu platzieren, wo sie eine Reifegradentwicklung am effektivsten unterstützen.

  • Kontinuierliches Monitoring
    Um die etwaige Gefährdung von Daten schnellstmöglich zu entdecken, betreiben wir kontinuierliches Monitoring von verschiedenen IT-Systemen. Ein intern angepasstes und weiterentwickeltes „Security Incident and Event Management System“ (SIEM) unterstützt neben lokalem Monitoring die Erfassung von Vorfällen und kann angemessene Reaktionen anstoßen. Um uns kontinuierlich zu verbessern, messen wir unsere Erkennungszeiten, um sicherheitsrelevante Vorfälle (z. B. Angriffe) von nicht-sicherheitsrelevanten Vorfällen (z. B. unterbrochene Stromkreisläufe) zu unterscheiden. Ebenso erfassen wir unsere Reaktionszeiten, die von der Meldung bis zur Behebung eines Problems vergehen. Für bestimmte sicherheitsrelevante Schutzziele, z. B. „Verfügbarkeit“, haben wir zudem interne Zielgrößen definiert.

  • Umgang mit Sicherheitsvorfällen
    In jedem Geschäftssegment besteht ein standardisierter Prozess für den Umgang mit Sicherheitsvorfällen. Nach Erkennung wird die Entstörung durch einen geschulten „Incident Manager“ vorangetrieben. Dieser zieht bei Bedarf das Sicherheitsteam oder externe Beratung hinzu.

Integration von übernommenen Gesellschaften

Vor dem Zusammenschluss mit anderen Gesellschaften und an Schlüsselstellen im weiteren Integrationsprozess prüfen wir grundsätzlich die bestehenden technischen und organisatorischen Informationssicherheitsmaßnahmen. Hierbei wird eine Reifegradanalyse basierend auf internationalen Standards durchgeführt. Der ermittelte Reifegrad wird um eine Risikobetrachtung mit Handlungsempfehlungen durch die Abteilung „Information Security“ ergänzt. Je nach Ergebnis und Geschäftsstrategie werden verschiedene Integrationsmaßnahmen beschlossen und umgesetzt. Wenn es sinnvoll ist, wird die übernommene Gesellschaft in das ISMS von United Internet integriert. Ziel ist es, einen angemessenen und konzernweiten Sicherheitsstandard zu etablieren Im Jahr 2021 wurden Planungen für die Einführung eines gemeinsamen ISMS-Zielbilds mit den von IONOS, bisher nicht dem Gruppen-ISMS zugehörenden Tochterunternehmen gestartet.