Informationssicherheit beschreibt den Schutz von Informationen durch die Abschwächung von Informationsrisiken. Bei Cyber Security geht es um den Schutz kritischer Systeme und vertraulicher Daten vor digitalen Angriffen. Cyberresilienz beschreibt die Fähigkeit, ungünstige Bedingungen, Belastungen, Angriffe oder Beeinträchtigungen von Systemen, die Cyberressourcen nutzen oder durch sie ermöglicht werden, zu antizipieren, ihnen standzuhalten, sich von ihnen zu erholen und sich an sie anzupassen. An diesen Bereichen arbeiten Unternehmen kontinuierlich, um ein angemessenes Schutzniveau zu erreichen.
Aktueller Stand
Die meisten Unternehmen haben die Informationssicherheit seit Langem in ihre tägliche Arbeit integriert. Cyber Security ist in den letzten Jahren zu einem der zehn größten Risiken für Unternehmen weltweit geworden1. Die Zahl, die Qualität und das Ausmaß der Angriffe auf Unternehmen steigen dramatisch an.
2022 stellte die COVID-19-Pandemie weiterhin eine Herausforderung für fast alle Lebensbereiche dar. Serviceorganisationen, wie das IT-Team, litten immer noch unter unbeständigen Lieferketten bei der Bereitstellung von Hard- und Software.
Ab Dezember 2021 erschütterte eine neue Sicherheitslücke in einem gängigen Framework für Protokollierungsfunktionen – Log4j – das gesamte Internet. Aufgrund seiner Vielseitigkeit wird Log4j in zahlreichen Produkten eingesetzt, die von einfachen Geräten bis hin zu Servern und Kontrollsystemen reichen. Log4j ist so weit verbreitet und einfach zu verwenden, dass viele Unternehmen Schwierigkeiten hatten, die Schwachstelle zu erkennen und das Risiko für das Produkt bzw. die Umgebung, in der Log4j verwendet werden, richtig zu bewerten. Dies führte zu mehreren Ad-hoc- und Folgeaktivitäten, die von Lenzing’s Teams in hervorragender Zusammenarbeit erfolgreich gemeistert wurden.
Der Krieg gegen die Ukraine hatte erhebliche Auswirkungen auf die Wirtschaft, den Welthandel und die Cybersicherheit. Aufgrund der geopolitischen Lage Österreichs und fehlender Geschäftstätigkeiten Lenzings in dieser Region hat Lenzing keine Häufung gezielter Cyberangriffe und Vergehen festgestellt. Einige Monate lang war es sogar ruhiger, weil sich mehrere bekannte Hackergruppen auf andere Ziele/Gebiete konzentriert haben oder von der Polizei oder der Justiz gestoppt wurden. Dennoch hat Lenzing die Verlagerung einiger Akteure in Richtung Wirtschafts-/Cyberspionage genau beobachtet.
Ransomware ist seit langem ein gutes Geschäft für hochqualifizierte Angreifer, seien es kriminelle Gruppen oder staatlich unterstützte Teams, die auf der Suche nach Geld oder Informationen sind, . Sie sind gut organisiert und personell gut ausgestattet, verfügen über Top-Ausrüstung und -Tools und handeln rücksichtslos und strategisch. Erpressung ist eine der Möglichkeiten, die Opfer zur Zahlung von Lösegeld zu bewegen. Es ist daher nicht verwunderlich, dass die kriminelle Wirtschaft angeblich einen Jahresumsatz von EUR 1,5 Bio. erwirtschaftet, was in etwa dem BIP Spaniens entspricht2.
Da Lenzing als Global Player im Textilgeschäft mit zahlreichen Geschäftspartnern, Behörden, Kunden und Konsument:innen an verschiedenen (physischen und digitalen) Standorten vernetzt ist, besteht ein hohes Risiko, dass das Unternehmen Opfer eines Angriffs wird. Im vergangenen Jahr waren mehrere Unternehmen im Einzugsbereich von Lenzing von Cyberangriffen betroffen, die zu Unterbrechungen von Services und Handel, zur Verschlüsselung, zum Diebstahl und zur Offenlegung vertraulicher Daten (Datenschutzverletzungen) und in einigen Fällen sogar zur Schließung von Produktionsstätten führten.
Daher hat die Lenzing Gruppe stark in die Verbesserung der Cyberresilienz und Informationssicherheit investiert. Vorhandene Sicherheitskonzepte wurden (und werden laufend) überprüft und an die neuen Bedingungen angepasst. Lenzing setzt aber nicht nur auf technische Schutzmaßnahmen, sondern auch auf die Sensibilisierung der Mitarbeiter:innen. Cyber Security ist kein Projekt, sondern eine kontinuierliche Aufgabe für das gesamte Unternehmen.
Policy für Informationssicherheit
Der Schutz von Informationen ist eine dauerhafte Aufgabe für alle Mitarbeiter:innen, Fremdfirmenmitarbeiter:innen und Geschäftspartner aller Unternehmen der Lenzing Gruppe, um proaktiv ein angemessenes Sicherheitsniveau für alle Arten von Informationsprozessen aufrechtzuerhalten und zu verbessern. Die Policy für Informationssicherheit verfolgt einen risikobasierten Ansatz, um globale Compliance für Informationssicherheit und Datenschutz zu erreichen. Damit schafft Lenzing einen Ausgleich zwischen den Rechten und Anforderungen des Unternehmens, der Gesellschaft und des Einzelnen.
Im Rahmen dieser Policy und den geltenden gesetzlichen Bestimmungen sind mehrere Direktiven/Guidelines in Kraft, die regelmäßig überwacht und überarbeitet werden, z.B.:
- Lenzing globaler Verhaltenskodex
- IT-Benutzerrichtlinie (sichere Verwendung der IT-Systeme und Grundprinzipien der Datensicherheitsmaßnahmen)
- Smartphone Direktive (Mobilgeräte)
- Nutzungsbedingungen für private Mobilgeräte
- Know-how Schutz Direktive (einschließlich Klassifizierung von Daten und ihrer Verarbeitung)
- Sichere Speicherung von personenbezogenen Daten
- Handbuch zur Cyberverteidigung
Auf der Grundlage von Lenzings Policy für Informationssicherheit und in Übereinstimmung mit der lokalen Gesetzgebung wurde eine aktualisierte Datenschutz Direktive vorgeschlagen, die nach ihrer Genehmigung eingeführt werden soll.
1 Weltwirtschaftsforum 2021, https://www.weforum.org/agenda/2021/01/building-resilience-in-the-face-of-dynamic-disruption/
2 https://www.techrepublic.com/article/cybercriminals-raking-in-1-5-trillion-every-year/