Informationssicherheit

  • Wesentliches Thema: Informationssicherheit

Sicherheit im Netz ausbauen

Neben dem Schutz der Kundendaten ist das oberste Ziel der Informationssicherheit, die Geschäftstätigkeit von United Internet aufrechtzuerhalten und geschäftsschädigende Einflüsse zu reduzieren.

Das Vertrauen der Kundinnen und Kunden in unsere Maßnahmen zur Informationssicherheit ist die Grundlage dafür, dass sie uns ihre persönlichen Informationen in Form digitaler Daten wie Fotos, Dokumente, E-Mails und ihre Geschäftsdaten (z. B. beim Betrieb von Anwendungen in der Cloud), anvertrauen.

Die zu schützenden Informationen umfassen neben den Daten von Kundinnen und Kunden, auch die Daten von Mitar­bei­tenden sowie Geschäftsdaten. Sie werden in unternehmenseigenen Systemen als Teil von Geschäftsprozessen, die wiederum Teil von Produkten sind, verarbeitet. Unser Anspruch ist es, die Informationen überall entlang der umfangreichen Produktlandschaft vor unerlaubten Zugriffen und Missbrauch zu schützen. Um unsere Schutzziele „Vertraulichkeit“, „Verfügbarkeit“ und „Integrität“ zu erreichen, managen wir die Informationssicherheit aktiv mit technischen und organisatorischen Maßnahmen. Die Maßnahmen, um die Produktlandschaft vor unerlaubten Zugriffen und Missbrauch zu schützen, ergeben sich aus den Anforderungen der Sicherheitsrichtlinien. Unsere Sicherheitsstrategie zielt darauf ab, die Schutzziele mit zielgerichtetem Security Management konzernweit auf einem angemessenen und einheitlichen Niveau zu gewährleisten und kontinuierlich weiterzuentwickeln.

Wir orientieren uns dabei an international anerkannten Standards. So sind wir z. B. gemäß dem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 zertifiziert. Von besonderer Bedeutung sind dabei die Etablierung und der Ausbau unserer effektiven und skalierenden Sicherheitsorganisation. Zudem ist die Planung und Erreichung von Informationssicherheitszielen ein wesentliches Element bei der Implementierung und Aufrechterhaltung des ISMS.

Steuerung mit dem Informationssicherheits-Managementsystem (ISMS)

Gesteuert wird das ISMS für die Segmente Consumer Access, Consumer Applications und Business Applications, in Abstimmung mit der Geschäftsstrategie der teilnehmenden Unternehmen, aus dem Bereich „TechOps Information Security“. Der Bereich verantwortet unter anderem das Informationssicherheits-Richtlinienmanagement, erarbeitet Sicherheitshinweise, Schulungen für Mitar­bei­tende, die Sicherheit betreffende Behördenkommunikation und betreibt das Informationssicherheits-Risikomanagement. Die Abteilung „Technical Security & Abuse Management“ verantwortet beratende Aufgaben in Bezug auf Sicherheitsarchitekturen sowie Applikations-, System- und Netzwerksicherheit. Hier werden Mitar­bei­tende in sicherer Entwicklung und sicherem Betrieb geschult, Sicherheitstests durchgeführt und eventuelle Sicherheitsvorfälle gemeinsam mit Fachbereichen behandelt.

Der „Head of Information Security“ ist zugleich einer der Sicherheitsbeauftragten des Konzerns für Telekommunikation (gemäß Telekommunikationsgesetz, TKG) und berichtet regelmäßig an die Technik-Vorstände der verschiedenen Segmente. Die Berichterstattung umfasst das Informationssicherheits-Risikoportfolio, aufgetretene relevante Sicherheitsvorfälle, ergriffene spezifische Maßnahmen, Ergebnisse von Sicherheitsprüfungen sowie die wichtigsten Sicherheitstrends. Der „Head of Information Security“ wird aus dem Bereich „TechOps Information Security“ von Sicherheitsarchitektinnen und -architekten sowie -expertinnen und -experten bei Konzeption und Umsetzung umfangreicher geschäftssegmentübergreifender Sicherheitsverbesserungen unterstützt.

Die Verantwortung für Informationssicherheit im Segment „Business Access“ liegt bei der Geschäftsleitung. Diese wird an den Head of Information Security und sein Team delegiert, welche somit für die Umsetzung der Security-Maßnahmen und die Steuerung des ISMS des Segments zuständig sind. Die oberste Richtlinie bildet dabei die Leitlinie zur Informationssicherheit.

Organisiert wird die Informationssicherheit dort im „Three-Lines-of-Defence-Modell“ (TLoD). Hierbei stellt die Abteilung Information Security Management einen wichtigen Baustein des Modells dar. Sie erstellt und verabschiedet unter anderem Richtlinien und Arbeitsanweisungen, welche die Grundlage für Security Maßnahmen, Anforderungen und Aktivitäten sind. Diese werden dann in den verschiedenen Fachbereichen durch die entsprechenden Verantwortlichen umgesetzt. Der Head of Information Security ist auch gleichzeitig der Sicherheitsbeauftragte gemäß TKG für das Segment und berichtet regelmäßig an seinen CFO.

Maßnahmen zum Schutz von Informationen

Das Bundesamt für Sicherheit in der Informationstechnik beschreibt die Bedrohung im Cyber-Raum als „hoch wie nie“ (1) . Neben Telekommunikationstechnologien werden auch Informationstechnologien bei United Internet zur Erbringung von Dienstleistungen im Rahmen von Geschäftsprozessen eingesetzt, deren Verfügbarkeit durch Bedrohungen aus dem Internet oder von innen heraus gefährdet werden können. Neben dem Verfügbarkeitsrisiko besteht auch das Risiko, dass bei Hackerangriffen Daten von Kundinnen und Kunden zum Beispiel ausspioniert, gelöscht oder missbräuchlich genutzt werden könnten. Potenzielle Bedrohungen aus dem Internet stellen hinsichtlich ihrer Auswirkungen eine der größten Risikogruppen für United Internet dar. Sicherheitslücken können sowohl für die Reputation von United Internet als auch für Kundinnen und Kunden weitreichende Folgen haben.

Zur Eindämmung dieser Risiken bestehen bei United Internet unter anderem folgende technische und organisatorische Sicherheitsmaßnahmen. Im Berichtsjahr 2022 wurden bei der United Internet Gruppe keine Sanktionen in Form von Geldbußen für Sicherheitsverletzungen oder andere sicherheitsrelevante Vorfälle verhängt.

Siehe „Risiko-, Chancen- und Prognosebericht“ der United Internet AG

(1) Quelle: Lagebericht BSI, Die Lage der IT-Sicherheit in Deutschland 2022, 25.Oktober 2022.

Technische Maßnahmen
  • GRI 417-1
  • Sichere Softwareentwicklung
    Die beste Maßnahme ist die präventive Vermeidung von Sicherheitslücken. Der „Secure Software Development Life Cycle“ (SSDLC), der von Beginn an durchgehend die Sicherheit in der Softwareentwicklung methodisch berücksichtigt, findet in unterschiedlichen Reifegraden in allen Segmenten Anwendung. Im Allgemeinen sind verschiedene Maßnahmen, von Bedrohungsanalysen und Quellcode-Reviews im Vier-Augen-Prinzip über automatisierte Checks sowie Wikis mit Development-/Security-Best-Practices bis Anwendungstests („Application Penetration Tests“) integraler Bestandteil der Produktentwicklung. Im Zuge verbreiteter agiler Entwicklungsmethoden und neuer technischer Plattformen wird der SSDLC kontinuierlich in Richtung Softwareabhängigkeitsanalysen („Secure Dependency Management“) bis hin zu sicherem (Software-) Containerbetrieb („Secure Containerization“) ergänzt. Analog zu Security-by-design wurde der SSDLC auch um Anforderungen zu Privacy-by-design ergänzt.

  • Global verteilter DDoS-Schutzschild
    „Distributed Denial of Service“-Angriffe (DDoS) sind verteilte und konzentrierte Angriffe aus dem Internet, die die Verfügbarkeit unserer Dienste reduzieren sollen. Um uns vor diesen Angriffen zu schützen, betreiben wir einen selbstentwickelten, weltweit verteilten DDoS-Schutzschild, den wir kontinuierlich optimieren. Der eine Teil des Systems reinigt anlassbezogen im Falle eines Angriffs den ankommenden Datenstrom und lässt nur legitime Anfragen von Kundinnen und Kunden passieren. Ein zweiter Teil agiert als „Web-Schutzschild“ auf Anwendungsebene und schützt Internet-Dienste vor Angriffen. Um dieser stetig zunehmenden Verantwortung gerecht zu werden, wurde 2021 in der Netzwerk-Abteilung ein eigenes Sicherheits-Experten Team „Defense Platform Services“ gegründet, mit dem Ziel der beständigen Verbesserung der DDoS-Mitigierungs-Plattformen und der Erhaltung eines gleichbleibend hohen Sicherheits-Niveaus.

  • Konsequenter Einsatz von Verschlüsselung – Transport Layer Security (TLS)
    Bekannt unter der Vorläuferbezeichnung SSL („Secure Socket Layer“) wird TLS („Transport Layer Security“) von uns für die verschlüsselte Übertragung unserer Kundendaten eingesetzt. Die TLS-Absicherung stellen wir auch unseren Kundinnen und Kunden zur Verfügung, um ihren Datenverkehr zu schützen, etwa beim Eingeben von Passwörtern oder Zahlungsinformationen, z. B. in Online-Shops.

  • Georedundanz
    Wir betreiben in Europa und den USA Rechen­zen­tren an mehreren geographisch verteilten Standorten. So können wir Informationen an verschiedenen Standorten speichern und das Risiko von Betriebsunterbrechungen und Datenverlusten durch äußere Einflüsse minimieren.

  • Zertifizierung unserer Rechen­zen­tren nach ISO/IEC 27001 Um zu gewährleisten, dass wir unseren Kundinnen und Kunden höchste Sicherheitsstandards bieten, lassen wir den sicheren Betrieb unserer IONOS Rechen­zen­tren und Teile des Systembetriebs sowie der Software-Entwicklung jährlich nach ISO 27001 zertifizieren. Eine IT-Grundschutz-Erstzertifizierung der IONOS Cloud wurde im Jahr 2022 erfolgreich abgeschlossen. Darüber hinaus wurden englische Rechen­zen­tren nach dem Payment Card Standard PCI zertifiziert. Weitere komplementierende Standards und Zertifizierungen z. B. nach Cloud Security Normen sind in Planung.
Organisatorische Maßnahmen
  • Schulungen von Mitar­bei­tenden
    Neben der Technik ist der Mensch ein wichtiger und allgegenwärtiger Teil der Sicherheitskette. Basis-Trainings und Auffrischungskurse informieren Mitar­bei­tende in Form von Präsenz-Terminen oder E - Learnings. Das E - Learning ist in eine verpflichtende Maßnahme, die alle zwei Jahre aufgefrischt werden muss. Führungskräfte werden im Zusammenhang mit Datenschutz und Compliance spezifisch geschult.

  • Spielregeln der Informationssicherheit
    Mit einem an ISO 27001 angelehnten umfassenden Regelwerk möchten wir Orientierung für Mitar­bei­tende in jedem Bereich schaffen. Als formale Grundlage dienen die verpflichtenden Informationssicherheitsrichtlinien. Um dieses Regelwerk zielgruppengerecht aufzubereiten und Mitar­bei­tenden den Zugang zu erleichtern, werden unterschiedliche Kommunikationskanäle genutzt. Neben den bereits erwähnten Schulungsangeboten gibt es im Intranet Hinweise und Erläuterungen zu den Regeln für die wichtigsten Rollen von Mitar­bei­tenden. Auch in der regelmäßigen Einführungsveranstaltung, in Security Trainings, sowie in unserem Intranet sind Anlaufstellen benannt, denen Mitar­bei­tende mögliche Sicherheitsvorfälle oder einen entsprechenden Verdacht unverzüglich zu melden haben – das umfasst Ereignisse, die gegen die bestehenden Regelungen verstoßen oder eine sonstige Bedrohung für das Unternehmen darstellen können.

  • Security Audits
    Um die Wirksamkeit des ISMS sicherzustellen, führt der Bereich „Information Security“ Produkt-, Prozess- und System-Audits durch. Diese werden durch Prüfungen innerhalb der Fachbereiche sowie durch externe Prüfungen ergänzt. Auch Fachbereiche planen Audits und führen diese eigenverantwortlich durch. Diese oft extern vergebenen Audits werden durch die verteilte Sicherheitsorganisation unterstützt. Ein vermehrt genutztes Instrument sind Reifegradmodelle. Insbesondere in den technischen Fachbereichen mit Verantwortung für Kundendaten wird ein von der Informationssicherheit entwickeltes Sicherheitsreifegradmodell verwendet. Die Fachbereiche profitieren von einer klaren Positionsbestimmung in ihrer Entwicklung, das Modell stellt zudem ein Instrument zur eigenverantwortlichen, gezielten und vergleichbaren Weiterentwicklung dar. Reifegradmodelle bieten eine effiziente Möglichkeit, aufwendige und gleichzeitig tiefergehende Audits zielgerichteter zu steuern. Sie ermöglichen es, Audits in der Planung dort zu platzieren, wo sie eine Reifegradentwicklung am effektivsten unterstützen.

  • Kontinuierliches Monitoring
    Um die etwaige Gefährdung von Daten schnellstmöglich zu entdecken, betreiben wir ein kontinuierliches Monitoring der verschiedenen IT-Systeme. Ein intern angepasstes und weiterentwickeltes „Security Incident and Event Management System“ (SIEM) unterstützt neben lokalem Monitoring die Erfassung von Vorfällen und kann angemessene Reaktionen anstoßen. Um uns kontinuierlich zu verbessern, messen wir unsere Erkennungszeiten, um sicherheitsrelevante Vorfälle (z. B. Angriffe) von nicht-sicherheitsrelevanten Vorfällen (z. B. unterbrochene Stromkreisläufe) zu unterscheiden. Ebenso erfassen wir unsere Reaktionszeiten, die von der Meldung bis zur Behebung eines Problems vergehen. Für bestimmte sicherheitsrelevante Schutzziele, z. B. „Verfügbarkeit“, haben wir zudem interne Zielgrößen definiert.

  • Umgang mit Sicherheitsvorfällen
    In jedem Geschäftssegment besteht ein standardisierter Prozess für den Umgang mit Sicherheitsvorfällen. Nach Erkennung wird die Entstörung durch einen geschulten „Incident Manager“ vorangetrieben. Dieser zieht bei Bedarf das Sicherheitsteam oder externe Beratung hinzu.

Integration von übernommenen Gesellschaften

Vor dem Zusammenschluss mit anderen Gesellschaften und an Schlüsselstellen im weiteren Integrationsprozess prüfen wir grundsätzlich die bestehenden technischen und organisatorischen Informationssicherheitsmaßnahmen. Hierbei wird eine Reifegradanalyse basierend auf internationalen Standards durchgeführt. Der ermittelte Reifegrad wird um eine Risikobetrachtung mit Handlungsempfehlungen durch die Abteilung „Information Security“ ergänzt. Je nach Ergebnis und Geschäftsstrategie werden verschiedene Integrationsmaßnahmen beschlossen und umgesetzt. Sollte es als sinnvoll erachtet werden, wird die übernommene Gesellschaft in das ISMS von United Internet integriert. Ziel ist es, einen angemessenen und konzernweiten Sicherheitsstandard zu etablieren. Im Jahr 2022 schlossen sich die Unternehmen we22 GmbH und World4You Internet Services GmbH dem Gruppen-ISMS von TechOps Information Security an. Weitere Unternehmen sind bereits im Merger-Prozess fortgeschritten.