Informations­sicherheit

MANAGEMENT VON IT-RISIKEN UND INFORMATIONS­SICHERHEIT

Der Umgang mit IT-Risiken ist Teil des gruppenweiten Risikomanagements

Zur Sicherstellung eines gesamtheitlichen Risikomanagements wurde eine explizite VIG Konzernrichtlinie zum Management von IT-Risiken geschaffen. Diese adressiert die Identifizierung, Analyse und Auswertung sämtlicher IT-Risiken, welche für die Gruppe als bedeutsam und relevant angesehen werden. Darauf aufbauend werden konzernweite Vorgaben für die Festlegung von IT-Kontrollen definiert und die Durchführung von Business-Impact-Analysen sowie die Umsetzung eines adäquaten IT-Kontinuitätsmanagements sichergestellt.

Der Risikoausschuss trifft sich vierteljährlich, um die Geschäftsleitung regelmäßig ein aktuelles Bild über die derzeitigen Entwicklungen des IT-Risikomanagements zu vermitteln. Zur Gewährleistung einer schnellen und gezielten Reaktion werden akute Risiken dem für den IT-Bereich verantwortlichen Vorstandsmitglied direkt gemeldet.

Vertraulichkeit, Verfügbarkeit und Integrität als fundamentale Schutzziele

Die Anstrengungen der VIG in Fragen der IT-Sicherheit verfolgen den Zweck, digitale Informationen, Systeme, Anwendungen, Hardware und darunterliegende Basis-Infrastruktur vor Bedrohungen zu schützen. Ziel ist es, den laufenden Betrieb zu gewährleisten, die gesetzlichen Anforderungen einzuhalten, Wissen zu schützen, Geschäftsrisiken zu minimieren und Chancen zu ergreifen. Die Sicherheit der Informationen und Informationssysteme ist für das Erreichen der grundlegenden Unternehmensziele und den weiteren Erfolg der Gruppe unerlässlich.

Um die Informationswerte und Daten ihrer Kunden:innen bestmöglich zu schützen, konzentriert sich die VIG auf drei fundamentale Schutzziele:

    • Vertraulichkeit 
      Informationen werden ausschließlich autorisierten Nutzer:innen bereitgestellt und vor Fremdzugriffen geschützt.
    • Integrität (inklusive Authentizität)
      Informationen sind stets korrekt, vollständig, verifiziert und vertrauenswürdig.
    • Verfügbarkeit 
      Informationen und zugehörige Ressourcen sind autorisierten Nutzer:innen zuverlässig zugänglich.

Die VIG ergreift umfassende Sicherheitsmaßnahmen in Bezug auf ihre IT-Landschaft, um Cyberangriffe zu verhindern und die Einhaltung der Schutzziele zu gewährleisten. Durch den kombinierten Einsatz mehrerer Sicherheitslösungen auf physischer, technischer und administrativer Ebene werden Unternehmensressourcen und Daten unserer Kunden vollumfänglich geschützt.

Alle relevanten externen Anbieter:innen von IT-Dienstleistungen verfügen über aktuelle Zertifizierungen nach Maßgabe der internationalen Informationssicherheitsstandards, wie z. B. ISO 27001, oder sind in der Lage, Berichte gemäß ISAE 3402 vorzulegen.

Um die wirksame Umsetzung eines Managementsystems für Informationssicherheit (Information Security Management System – ISMS) sicherzustellen, sind alle internen IT-Anbieter:innen der VIG nach ISO 27001 zertifiziert.

VIG Cyber Defense Center Programm (CDC)

Die Vienna Insurance Group (VIG) betreibt mit dem Cyber Defense Center (CDC) eine zentrale Struktur, die das gesamte Geschäft und den Kund:innenpool der Gruppe proaktiv vor Cyber-Bedrohungen schützt. Das CDC sorgt dafür, dass Cyberangriffe frühzeitig erkannt, analysiert und abgewehrt werden, um die Sicherheitsstandards der gesamten Gruppe dauerhaft auf höchstem Niveau zu gewährleisten.

Hinter dem CDC steht ein Team von IT-Sicherheitsexpert:innen, welches das Unternehmen schützt, indem es Cyber-Bedrohungen mit Hilfe von teilautomatisierten Prozessen und fortschrittlicher Technologie identifiziert, analysiert, adressiert und abwendet. Die IT-Systeme in der VIG Gruppe (wie zum Beispiel Netzwerke, Server, Endgeräte, Anwendungen und Datenbanken) werden kontinuierlich auf Anzeichen für einen Cybersicherheitsvorfall überwacht. Das CDC arbeitet rund um die Uhr, um eine schnelle Reaktion auf auftretende Bedrohungen zu gewährleisten.

Die Vorteile des VIG CDC für die Gruppe sind:

  • Schutz des Geschäftsaufkommens und der Kund:innen
  • Gemeinsames Vorgehen gegen eine globale Cyber-Bedrohungslandschaft
  • Erhöhte Sicherheitsreife und sichergestelltes gruppenweites Vertrauen
  • Erzielung einer gruppenweiten regulatorischen Sicherheit

Die VIG hat dazu drei Kompetenzzentren für die Gruppe in Österreich, Polen und der Tschechischen Republik gegründet, welche die Gesellschaften der Gruppe serviciert. Gewährleistet wird damit die Unterstützung und Stärkung der Kapazitäten der VIG zur Erkennung und Vorbeugung von Sicherheitsvorfällen und -problemen, die Stärkung der Widerstandsfähigkeit durch die Nutzung neuer Sicherheitslösungen und der grenzüberschreitende Austausch von Wissen und Best Practices innerhalb der Gruppe.

Das Programm unter der Grant Agreement Nummer 101145844 wurde von der Europäischen Union gefördert.


Haftungsausschluss: Finanziert von der Europäischen Union. Die geäußerten Ansichten und Meinungen sind jedoch ausschließlich die des Autors/der Autoren und spiegeln nicht unbedingt die der Europäischen Union oder des Europäischen Kompetenzzentrums für Cybersicherheit wider. Weder die Europäische Union noch das Europäische Cybersicherheits-Kompetenzzentrum können für sie verantwortlich gemacht werden. 

 

 

weißer Vienna-Insurance-Group-Schriftzug auf Glastür

Überwachung der IT-Sicherheit, Risikominimierung und Sensibilisierung der Mitarbeiter:innen

Um die Schutzziele zu erreichen und einen stabilen Betrieb zu gewährleisten, hat die VIG zusätzlich zu den technischen Vorkehrungen weitere Maßnahmen umgesetzt:

    • IT-Sicherheitsvorfälle werden dem VIG Group CISO auf monatlicher Basis gemeldet.
    • Kritische Vorfälle werden dem für den IT-Bereich verantwortlichen Vorstandsmitglied (COO) unverzüglich gemeldet.
    • Im Falle eines relevanten Verstoßes gegen die IT-Sicherheitsvorschriften werden die betroffenen Parteien sowie die zuständigen Behörden umgehend informiert.

Corporate Governance-Bericht

Erfahren Sie mehr über Transparenz und Vertrauen in der VIG

2023 VIG Corporate Governance Bericht
VIG News