Informationssicherheit

Das oberste Ziel der Informationssicherheit ist es, die verarbeiteten Daten zu schützen und somit (geschäfts-)schädigende Einflüsse für das Unternehmen, Mitar­bei­tende sowie Kundinnen und Kunden zu reduzieren. Das Vertrauen in entsprechende Maßnahmen zur Informationssicherheit bildet die Grundlage dafür, dass Kundinnen und Kunden United   Internet ihre Geschäftsdaten sowie ihre privaten Informationen anvertrauen, in Form digitaler Daten wie Fotos, Dokumente und E-Mails.

Sicherheit im Netz ausbauen

Die zu schützenden personenbezogenen und nicht personenbezogenen Informationen umfassen neben Kundendaten auch Mitar­bei­tenden- und Geschäftsdaten der United   Internet Gruppe. Diese werden zum Teil innerhalb von Geschäftsprozessen oder zur Erstellung von Produkten und Angeboten verarbeitet. Der Anspruch von United   Internet ist es, diese Informationen überall entlang der umfangreichen Produktlandschaft vor unerlaubten Zugriffen und Missbrauch zu schützen.

Die Sicherheitsstrategien der einzelnen Segmente zielen darauf ab, die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität konzernweit zu erreichen. Dabei setzt das Security Management der Segmente auf zielgerichtete technische und organisatorische Maßnahmen. Diese ergeben sich aus den Anforderungen der Sicherheitsrichtlinien, die sich wiederum an folgenden Kriterien orientieren:

• Anforderungen von Geschäftskundinnen und -kunden


• Gesetzliche Vorgaben, wie z.   B. das Telekommunikationsgesetz (TKG) oder das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)


• International anerkannte Standards, wie z.   B. ISO 27001

Um die Produktlandschaft vor unerlaubten Zugriffen und Missbrauch zu schützen, werden die Maßnahmen kontinuierlich weiterentwickelt. Dabei orientiert sich das Informationssicherheits-Managementsystem (ISMS) von United   Internet an international anerkannten Standards wie z.   B. ISO 27001, BSI IT-Grundschutz und BSI C5. Davon ausgehend wird betrachtet, ob ein angemessener, risikoorientierter und effektiver Umgang mit Herausforderungen in der Informationssicherheit gegeben ist – vom Sicherheitsmanagement bis zur Umsetzung der Sicherheitsanforderungen in den operativen Security-Einheiten. Zudem ist die Planung und das Erreichen von Informationssicherheitszielen ein wesentliches Element bei der Implementierung und Aufrechterhaltung des ISMS.

Steuerung mit dem Informationssicherheits- Managementsystem (ISMS)

Das ISMS für die Segmente Consumer Access , Consumer Applications und Business Applications wird in Abstimmung mit der jeweiligen Geschäftsstrategie vom Bereich TechOps Information Security gesteuert. Der Fachbereich verantwortet u.   a. das Richtlinienmanagement und betreibt das Informationssicherheits-Risikomanagement. Zudem erarbeitet er Sicherheitshinweise, Schulungen für Mitar­bei­tende und übernimmt die Behördenkommunikation, bspw. bei meldepflichtigen Sicherheitsvorfällen. Der Fachbereich Technical Security & Abuse Management verantwortet beratende Aufgaben in Bezug auf Sicherheitsarchitekturen sowie Applikations-, System- und Netzwerksicherheit. Hierbei werden Mitar­bei­tende in sicherer Entwicklung und sicherem Betrieb geschult, Sicherheitstests durchgeführt und eventuelle Sicherheitsvorfälle gemeinsam mit weiteren Fachbereichen behandelt. Darüber hinaus entwickelt und betreibt der Fachbereich Systeme, die in Abuse-Management-Prozessen genutzt werden. Diese Prozesse stellen sicher, dass Kundinnen und Kunden bei Sicherheitsvorfällen, die in ihrer eigenen Verantwortung liegen, dabei unterstützt werden, die Produkte von United   Internet wieder sicher zu benutzen.

Der Head of Information Security ist zugleich einer der Sicherheitsbeauftragten gemäß TKG für die Segmente Consumer Access, Consumer Applications und Business Applications. Er berichtet regelmäßig an die Technik-Vorstände der Segmente. Die Berichterstattung umfasst das Informationssicherheits-Risikoportfolio, aufgetretene relevante Sicherheitsvorfälle, ergriffene spezifische Maßnahmen, Ergebnisse von Sicherheitsprüfungen sowie die wichtigsten Sicherheitstrends. Der Head of Information Security wird bei der Konzeption und Umsetzung umfangreicher geschäftssegmentübergreifender Sicherheitsverbesserungen u.   a. von Expertinnen und Experten für Sicherheitsarchitektur unterstützt.

Die finale Verantwortung für Informationssicherheit im Segment Business Access liegt bei der Geschäftsleitung. Sie beauftragt den Head of Information Security und seinen Fachbereich mit dem Betrieb und der kontinuierlichen Verbesserung des ISMS. Damit wird ein strukturiertes und zielgerichtetes Sicherheitsmanagement etabliert. Organisiert wird die Informationssicherheit im Segment Business Access im Three-Lines-of-Defence-Modell (TLoD). Hierbei bildet der Bereich Information Security Management die 2nd-Line-of-Defence.

Der Fachbereich erstellt und verabschiedet u.   a. Richtlinien und Arbeitsanweisungen, welche die Grundlage für die operativen Security Maßnahmen, Anforderungen und Aktivitäten bilden. Diese werden dann in den verschiedenen Fachbereichen, der sogenannten 1st-Line-of-Defence, durch die entsprechenden Verantwortlichen umgesetzt. Zur Erkennung und einsteuernden Behebung von Security-Angriffen ist ein Security Operations Center rund um die Uhr an sieben Tagen in der Woche tätig. Der Head of Information Security ist gleichzeitig der Sicherheitsbeauftragte gemäß TKG für das Segment Business Access und berichtet regelmäßig an den Vorstand.

Maßnahmen zum Schutz von Informationen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt die Bedrohung im Cyber-Raum als „so hoch wie nie zuvor“ ⁽¹⁾ . Neben Telekommunikationstechnologien werden bei United   Internet auch Informationstechnologien zur Erbringung von Dienstleistungen im Rahmen von Geschäftsprozessen eingesetzt, deren Verfügbarkeit und korrekte Funktionsweise durch Bedrohungen aus dem Internet oder von innen heraus gefährdet werden können. Neben dem Verfügbarkeitsrisiko besteht auch das Risiko, dass bei Hackerangriffen bspw. Daten von Kundinnen und Kunden ausspioniert, gelöscht oder missbräuchlich genutzt werden könnten. Potenzielle Bedrohungen aus dem Internet stellen hinsichtlich ihrer Auswirkungen eine der größten Risikogruppen für United   Internet dar. Sicherheitslücken können sowohl für die Reputation von United   Internet als auch für Mitar­bei­tende sowie die Kundinnen und Kunden weitreichende Folgen haben.

Zur Eindämmung dieser Risiken bestehen bei United   Internet u.   a. die nachfolgend beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen. Im Berichtsjahr 2023 wurden bei der United   Internet Gruppe keine Sanktionen in Form von Geldbußen für Sicherheitsverletzungen oder andere sicherheitsrelevante Vorfälle verhängt.

Siehe „Risiko-, Chancen- und Prognosebericht“ der United Internet AG

(1) Quelle: Lagebericht BSI, Die Lage der IT-Sicherheit in Deutschland 2023, 02. November 2023.

Technische Maßnahmen

• Sichere Softwareentwicklung
  Die beste Maßnahme ist die präventive Vermeidung von Sicherheitslücken. Der sichere Softwareentwicklungs-Zyklus (SSDLC), der von Beginn an durchgehend die Sicherheit in der Softwareentwicklung methodisch berücksichtigt, findet in unterschiedlichen Reifegraden in allen Segmenten Anwendung. Im Allgemeinen sind verschiedene Maßnahmen, wie Bedrohungsanalysen und Quellcode-Reviews im Vier-Augen-Prinzip, automatisierte Checks, Entwicklerdokumentationen sowie Anwendungstests integrale Bestandteile der Produktentwicklung. Im Zuge agiler Entwicklungsmethoden und neuer technischer Plattformen wird der SSDLC kontinuierlich in Richtung Softwareabhängigkeitsanalysen bis hin zu sicherem (Software-) Containerbetrieb ergänzt. Analog zu Security-by-design wurde der SSDLC auch um Anforderungen zu Privacy-by-design ergänzt.


• Global verteilter DDoS-Schutzschild
  „Distributed Denial of Service“-Angriffe (DDoS) sind verteilte und konzentrierte Angriffe aus dem Internet, welche die Verfügbarkeit von Diensten einschränken sollen. Um United   Internet vor diesen Angriffen zu schützen, betreibt der Konzern zusammen mit Partnern einen selbstentwickelten, weltweit verteilten DDoS-Schutzschild, der kontinuierlich optimiert wird. Ein eigenes Expertenteam ist mit der kontinuierlichen Verbesserung der DDoS-Mitigierungs-Plattformen sowie der Erhaltung eines gleichbleibend hohen Sicherheits-Niveaus betraut. Im Segment Business Access kommt das DDos-Produkt eines externen Anbieters zum Einsatz.


• Konsequenter Einsatz von Verschlüsselung – Transport Layer Security (TLS)
  Bekannt unter der Vorläuferbezeichnung SSL („Secure Socket Layer“) wird TLS („Transport Layer Security“) für die verschlüsselte Übertragung von Kundendaten eingesetzt. Die TLS-Absicherung stellt der Konzern auch seinen Kundinnen und Kunden zur Verfügung, um ihren Datenverkehr zu schützen, etwa beim Eingeben von Passwörtern oder von Zahlungsinformationen. United   Internet orientiert sich bzgl. der Stärke der Verschlüsselung an anerkannten internationalen Autoritäten wie dem US-amerikanischen National Institute of Standards and Technology (NIST) oder dem deutschen BSI.


• Georedundanz
  United   Internet betreibt in Europa und den USA Rechen­zen­tren an mehreren geographisch verteilten Standorten. So können Informationen an verschiedenen Standorten gespeichert und gesichert sowie das Risiko von Betriebsunterbrechungen und Datenverlusten durch äußere Einflüsse minimiert werden.


• Zertifizierung der eigenen Rechen­zen­tren
  Um zu gewährleisten, dass United   Internet seinen Kundinnen und Kunden höchste Sicherheitsstandards bietet, lassen die Konzernunternehmen den sicheren Betrieb der IONOS Rechen­zen­tren, die im Zertifizierungs-Scope befindlichen Rechen­zen­tren und Technikflächen der 1&1   Versatel, sowie Teile des Systembetriebs des Kundensupports und der Software-Entwicklung nach ISO 27001 und BSI-IT-Grundschutz zertifizieren. Über die Rechen­zen­tren hinaus finden weitere Sicherheitszertifizierungen Anwendung, bspw. die in Deutschland anerkannten IT-Grundschutz- oder BSI C5 (Cloud Security)-Zertifizierungen, aber auch internationale Standards wie PCI DSS (für elektronische Bezahlsysteme). Im Geschäftskunden-Bereich wird darüber hinaus das Business Continuity Management (BCM) fortlaufend verbessert.

Organisatorische Maßnahmen

• Schulungen von Mitar­bei­tenden
  Neben der Technik ist der Mensch ein wichtiger und allgegenwärtiger Teil der Sicherheitskette von United   Internet. Basis-Trainings und Auffrischungskurse informieren Mitar­bei­tende in Form von Präsenz-Terminen oder E-Learnings zu Sicherheitsthemen. Das E-Learning ist eine verpflichtende Maßnahme, die alle zwei Jahre aufgefrischt werden muss. Führungskräfte werden im Zusammenhang mit Datenschutz und Compliance spezifisch geschult.


• Spielregeln der Informationssicherheit
  Ein umfassendes Regelwerk soll Orientierung für Mitar­bei­tende in jedem Bereich geben. Als formale Grundlage dienen die verpflichtenden Informationssicherheitsrichtlinien innerhalb des Konzerns. Dieses Regelwerk wird auf Segmentebene ständig weiterentwickelt und aktualisiert, um den neuesten technologischen Herausforderungen Rechnung zu tragen. Über unterschiedliche Kommunikationskanäle wird das Regelwerk zielgruppengerecht verbreitet. Neben den bereits erwähnten Schulungsangeboten gibt es im Intranet Hinweise und Erläuterungen zu den Regeln für die wichtigsten Rollen von Mitar­bei­tenden. Auch in der regelmäßigen Einführungsveranstaltung, in Security Trainings, sowie im Intranet sind Anlaufstellen benannt, denen Mitar­bei­tende mögliche Sicherheitsvorfälle oder einen entsprechenden Verdacht unverzüglich zu melden haben – das umfasst Ereignisse, bei denen gegen die bestehenden Regelungen verstoßen wird oder die eine sonstige Bedrohung für die Unternehmensgruppe darstellen können.


• Security Audits
  Um die Wirksamkeit des ISMS sicherzustellen werden Produkt-, Prozess- und System-Audits durchgeführt. Diese werden durch eigenverantwortliche Prüfungen der Fachbereiche sowie durch externe Prüfungen ergänzt. Diese oft extern vergebenen Audits werden durch die verteilte Sicherheitsorganisation unterstützt. Ein vermehrt genutztes Instrument sind Reifegradmodelle. Insbesondere in den technischen Fachbereichen mit Verantwortung für Kundendaten wird ein von der Informationssicherheit entwickeltes Sicherheitsreifegradmodell verwendet. Die Fachbereiche profitieren von einer klaren Positionsbestimmung in ihrer Entwicklung. Das Modell stellt zudem ein Instrument zur eigenverantwortlichen, gezielten und vergleichbaren Weiterentwicklung dar. Reifegradmodelle bieten eine effiziente Möglichkeit, aufwendige und gleichzeitig tiefergehende Audits zielgerichteter zu steuern. Sie ermöglichen es, Audits in der Planung dort zu platzieren, wo sie eine Reifegradentwicklung am effektivsten unterstützen.


• Kontinuierliches Monitoring
  Um die etwaige Gefährdung von Daten schnellstmöglich zu entdecken, werden die verschiedenen IT-Systeme im Rahmen eines kontinuierlichen Monitorings überwacht. Ein intern angepasstes und weiterentwickeltes Security Incident and Event Management System (SIEM) unterstützt neben lokalem Monitoring die Erfassung von Vorfällen und kann angemessene Reaktionen anstoßen. Für eine kontinuierliche Verbesserung werden die Erkennungszeiten gemessen, um sicherheitsrelevante Vorfälle (z.   B. Angriffe) von nicht-sicherheitsrelevanten Vorfällen (z.   B. unterbrochene Stromkreisläufe) zu unterscheiden. Ebenso werden die Reaktionszeiten erfasst, die von der Meldung bis zur Behebung eines Problems vergehen. Für bestimmte sicherheitsrelevante Schutzziele, z.   B. „Verfügbarkeit“, wurden zudem interne Zielgrößen definiert.


• Umgang mit Sicherheitsvorfällen
  In jedem Geschäftssegment besteht ein standardisierter Prozess für den Umgang mit Sicherheitsvorfällen im Einklang mit Standards wie der ISO   27001 . Nach dem Erkennen eines wesentlichen Vorfalls wird die Entstörung durch einen geschulten Incident Manager übernommen. Dieser zieht bei Bedarf das Sicherheitsteam oder externe Beratungsunterstützung hinzu.

Integration von übernommenen Gesellschaften

Vor dem Zusammenschluss mit anderen Gesellschaften sowie an Schlüsselstellen im weiteren Integrationsprozess prüft United   Internet grundsätzlich die bestehenden technischen und organisatorischen Informationssicherheitsmaßnahmen. Hierbei wird eine Reifegradanalyse basierend auf internationalen Standards durchgeführt. Der ermittelte Reifegrad wird um eine Risikobetrachtung mit Handlungsempfehlungen ergänzt. Je nach Ergebnis und Geschäftsstrategie werden verschiedene Integrationsmaßnahmen beschlossen und umgesetzt. Sollte es als sinnvoll erachtet werden, wird die übernommene Gesellschaft in das ISMS von United   Internet integriert. Ziel ist es, einen angemessenen und konzernweiten Sicherheitsstandard zu etablieren. Im Jahr 2023 schlossen sich die Unternehmen home.pl und United Domains dem Gruppen-ISMS an. Weitere Unternehmen sind bereits im Merger-Prozess fortgeschritten.