MANAGEMENT VON IT-RISIKEN UND INFORMATIONS­SICHERHEIT

Der Umgang mit IT-Risiken ist Teil des gruppenweiten Risikomanagements

Die VIG hat im Rahmen der Konzernrichtlinie zum Management von IT-Risiken einen verbindlichen Ansatz für das Management von IT-Risiken festgelegt. Die Richtlinie verfolgt einen ganzheitlichen Ansatz in Bezug auf Informationstechnologie und befasst sich mit der Identifizierung, Analyse und Auswertung aller Risiken, die sich in diesem Zusammenhang ergeben können. Das Dokument beinhaltet außerdem die konzernweiten Anforderungen für die Festlegung von IT-Kontrollen, die Durchführung von Business-Impact-Analysen sowie die Zielsetzungen des IT-Kontinuitätsmanagements.

Der Risikoausschuss trifft sich vierteljährlich, um die Geschäftsleitung auf dem Laufenden zu halten (auch in Bezug auf Aspekte des IT-Risikomanagements). Zudem können und werden etwaige Ad-hoc-Entwicklungen dem für den IT-Bereich verantwortlichen Vorstandsmitglied direkt gemeldet.

Drei fundamentale Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit

Die Anstrengungen der VIG in Fragen der IT-Sicherheit verfolgen den Zweck, elektronische Informationen und Daten, Informationssysteme, Anwendungen, Hardware und Infrastruktur vor Bedrohungen zu schützen. Ziel ist es, den laufenden Betrieb zu gewährleisten, Geschäftsrisiken zu minimieren, Know-how zu schützen, die gesetzlichen Anforderungen einzuhalten und Geschäftschancen zu wahren. Die Sicherheit der elektronischen Informationen und Informationssysteme ist für das Erreichen der grundlegenden Unternehmensziele und den weiteren Erfolg der Gruppe unerlässlich.

Um die Informationswerte und Daten ihrer Kunden:innen bestmöglich zu schützen, konzentriert sich die VIG auf drei fundamentale Schutzziele:

    • Vertraulichkeit 
      Informationen stehen ausschließlich autorisierten Nutzer:innen zur Verfügung
    • Integrität
      Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden
    • Verfügbarkeit 
      Autorisierte Nutzer:innen haben bedarfsabhängigen Zugang zu Informationen und zugehörigen Ressourcen

Die VIG ergreift umfassende Sicherheitsmaßnahmen in Bezug auf ihre IT-Landschaft, um Cyberkriminalität zu vermeiden und die Einhaltung der Schutzziele zu gewährleisten. Alle international tätigen externen Anbieter:innen von IT-Dienstleistungen verfügen über umfassende Zertifizierungen nach Maßgabe der internationalen Informationssicherheitsstandards, wie z. B. ISO 27001, oder sind in der Lage, Berichte gemäß ISAE 3402 vorzulegen. Diese Zertifizierung bzw. Berichte müssen auch regelmäßig erneuert werden. Um die wirksame Umsetzung eines Managementsystems für Informationssicherheit (Information Security Management System – ISMS) sicherzustellen, sind alle internen IT-Anbieter:innen der VIG nach ISO 27001 zertifiziert.

Multi-Layer-Security-Ansatz

Im Allgemeinen kommen mehrschichtige Sicherheitskonzepte (Defense in Depth) zum Einsatz, um Daten vor einer Vielfalt von Angriffsvektoren zu schützen und um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern.

Die äußerste Schicht besteht aus der Konzernrichtlinie zur IT-Sicherheit, die für alle Konzernunternehmen verbindlich ist und deren Umsetzung mittels Compliance-Prüfungen überwacht wird. Die VIG-Richtlinie zur IT-Sicherheit wird regelmäßig überprüft und aktualisiert. Zusätzlich zu der genannten Richtlinie legen VIG-Unternehmen weitere lokale IT-Sicherheitsmaßnahmen fest, welche die besonderen Anforderungen und gesetzlichen Bestimmungen vor Ort berücksichtigen.

Neben dem grundlegenden Schutz von Datenzentren und Server-Räumen (physische Sicherheit) mittels Zugangskontrollen, Alarmsystemen und Überwachungssystemen kommen im äußeren Netzwerkbereich (Perimetersicherheit) Router und Firewalls zum Einsatz, die mit äußerst restriktiven Zugangsrechten für die darunter liegenden Schichten konfiguriert sind. Gesicherte VPNs (Virtual Private Networks) erlauben einen kontrollierten und geschützten Zugriff auf interne IT-Systeme durch autorisierte Personen außerhalb des VIG-Netzwerks. Außerdem werden Systeme zur Erkennung und Verhinderung von unerlaubten Zugriffen (Intrusion Detection und Intrusion Prevention Systeme) eingesetzt, um Angriffe frühzeitig zu entdecken und zu vermeiden. Im internen Bereich des Netzes werden gegenseitig abgesicherte Netzsegmente zur Strukturierung, effektiven Verwaltung und Kontrolle von Zugriffsberechtigungen gebildet, um im Falle eines Cyber-Angriffsversuchs über getrennte Netzsegmente zu verfügen.

Alle Server, IT-Geräte und Anwendungen werden mittels einer geeigneten Konfiguration der sicherheitsbezogenen Parameter geschützt. Beispiele:

    • Die Autorisierung für den Daten- und Systemzugriff erfolgt auf Grundlage des „Need to Know“-Prinzips
    • Verwendung komplexer Passwörter
    • Automatisch aktivierte Bildschirmsperre nach einer definierten Zeit der Nutzer-Inaktivität
    • Filtersysteme für bestimmte Internetseiten und Anwendungen
    • Virenscanner
    • Regelmäßige Software-Updates
    • Regelmäßige Daten-Backups
    • Datenverschlüsselung

Corporate Governance-Bericht

Erfahren Sie mehr über Transparenz und Vertrauen in der VIG