Nachstehend sind einige Aktivitäten aufgelistet, die offengelegt werden können.
Der Mensch als beste Firewall
Wie bereits erwähnt, sind technische Maßnahmen wichtig, können aber nicht in allen Situationen schützen. Aus diesem Grund sind befähigte und sicherheitsbewusste Mitarbeiter:innen an vorderster Front unverzichtbar. Um ihre Kompetenzen zu fördern, führt Lenzing verschiedene Aktivitäten durch, darunter:
- Regelmäßige Sensibilisierungsinitiativen durch Artikel im Intranet
- Regelmäßige Informationen via Gruppenemails, Info-Screens, Abteilungsmeetings oder Betriebsversammlungen
- Ad-hoc-Informationen im Falle wichtiger Beobachtungen in der näheren Umgebung
- Maßgeschneiderte persönliche Trainings für IT-Mitarbeiter, HR-Teams sowie für die Finanzabteilung und Buchhaltung
- Keynotes bei (virtuellen) Corporate Department Summits
- Meldestelle für Sicherheitsbedenken, Fragen oder potenzielle betrügerische Aktivitäten (einschließlich Feedback und Beratung zu angesprochenen Themen)
- eLearning-Kurse zum Thema Sicherheit für alle IT-Anwender:innen
- eLearning-Kurse zum Thema Datenschutz für alle IT-Anwender:innen
Die Sensibilisierung der IT-Anwender:innen von Lenzing führte im Berichtsjahr zu rund 200 Meldungen über potenzielle Spam-E-Mails, Phishing/Malware und betrügerische E-Mails/Anrufe/Kontakte weltweit.
Kontinuierliche Verbesserung als Leitbild für alle Aktivitäten
Gezielte technische und organisatorische Maßnahmen zur Bekämpfung von Datendiebstahl, Manipulation von Geschäftsprozessen und anderen Formen der Internetkriminalität gibt es bereits seit einigen Jahren. Da sich nicht nur die Technologie weiterentwickelt, sondern auch die Zahl und die Raffinesse der Angriffe ständig zunehmen, sind Unternehmen gezwungen, ihre Systeme kontinuierlich zu überprüfen und ebenso schnell zu optimieren.
Erfolge des Jahres
2021 war das Jahr schwerer Sicherheitslücken, die in den Tools von Softwareherstellern, in den Angeboten von Cloud-Service-Providern und zum ersten Mal auch in den Sicherheitslösungen von führenden IT-Unternehmen zu finden waren. Solche „Zero-Day-Schwachstellen“ stellen für jedes Unternehmen, das diese Produkte verwendet, ein sehr hohes Risiko dar. 2021 gab es insgesamt 83 Zero-Day-Schwachstellen bei IT-Herstellern, davon 43 sogar in den viel genutzten Produkten der Tech-Giganten Apple, Adobe und Microsoft.
Lenzing’s zuständige Sicherheits- und Infrastrukturteams standen unter extremem Druck, diese Risiken zu minimieren. Aufgrund dieser schwierigen Situationen riefen die zuständigen Behörden die höchste Sicherheitsstufe aus. In einigen Fällen war Lenzing gezwungen, drastische Maßnahmen zu ergreifen, um potenzielle Angreifer auszusperren.
In der Folge wurden Vulnerability Management Maßnahmen verstärkt, um die Cyber Hygiene zu verbessern und die Bedrohungslage im täglichen Betrieb zu verringern. Lenzing führt regelmäßig sogenannte Penetrationstests durch, um die Sicherheitsmaßnahmen zu bewerten. Diese Tests werden von hochqualifizierten externen Partnern vorgenommen und führen zu sogenannten Service Improvement Plans (SIP). Darüber hinaus werden häufig externe Sicherheitsbewertungssysteme (Security Scorecard Systems) eingesetzt, um externes Feedback zu erhalten. Regelmäßige Hintergrundprüfungen werden durchgeführt, um nach potenziellen Bedrohungen, Enthüllungen im Darknet oder gehackten Konten zu suchen. Jeder Vorfall, der durch solche Bewertungen, Tests und gemeldete Vorfälle aufgedeckt wird, führt zu einer Sicherheitsüberprüfung, einer Risikobewertung und schließlich zu Korrekturmaßnahmen.
Strukturelle Neubewertung der Cyberresilienz
Angesichts dieser neuen Herausforderungen führte ein externer Auditor eine Bewertung auf Basis des weltweit anerkannten NIST Cyber Security Framework (CSF) durch, um die Cyber Resilienz von Lenzing zu untersuchen. Die Analyse hat verschiedene Lücken aufgezeigt, die es zu schließen gilt. Die Gesamtheit der Empfehlungen, die je nach Risikostufe geordnet wurden, wurde dann zu einem umfassenden Programm zusammengestellt. Sowohl die Bewertungsergebnisse als auch die Empfehlungen wurden dem Vorstand vorgelegt und nach dessen Zustimmung in das Sicherheitsprogramm von Lenzing aufgenommen.