Datenschutz & Informationssicherheit
Aufgrund ihrer übergeordneten Bedeutung in einer zunehmend digitalen Welt haben Datenschutz und Informationssicherheit für uns einen hohen Stellenwert. Aus diesem Grund haben wir individuelle Strukturen zum Umgang mit diesen Themen
Datenschutz
Unabhängig davon, wo wir geschäftlich tätig sind, behandeln wir die Daten unserer Geschäftspartner und Stakeholder stets mit äußerster Sorgfalt und höchster Vertraulichkeit. Da die genauen rechtlichen Anforderungen von Land zu Land variieren können, haben wir einen dezentralen Ansatz implementiert, mit dem jede internationale Organisationseinheit von SARIA die rechtliche Datenintegrität eigenständig sicherstellen kann.
Um eine einheitliche Gruppenstruktur zu schaffen, haben wir eine Datenschutzorganisation eingerichtet, die mit unserer unternehmensweiten Compliance-Struktur vergleichbar ist. Als internationales Beratungsgremium haben wir einen internationalen Datenschutzausschuss etabliert, der sich aus den lokal zuständigen Datenschutzbeauftragten zusammensetzt. Dieser Ausschuss, der erstmals im Herbst 2022 zusammentrat, bewertet gruppenweite Datenschutzfragen, erarbeitet Empfehlungen und Richtlinien und folgt einem umfassenden Berichtsprozess.
Ein Eckpfeiler unseres international gültigen Datenschutzmanagements ist unsere Erklärung zur Group Data Protection & Privacy Policy, die am 1. Januar 2023 in Kraft getreten ist. Ausgehend von der Absicht, einen präzisen und einheitlichen Ansatz für den Datenschutz auf internationaler Ebene zu schaffen, definiert die Richtlinie verbindliche Vorgaben in Bezug auf den Umgang mit personenbezogenen Daten und legt verschiedene Kontrollmechanismen fest, einschließlich der Einführung von Berichts- und Auditverfahren.
„Datenschutz-Power Days 2022“
in Deutschland
Internationale Datenschutzorganisation
Dem bereits erwähnten dezentralen Ansatz folgend, die Umsetzung nationaler Datenschutzbestimmungen über die einzelnen Ländergesellschaften sicherzustellen, konzentrieren wir uns im Folgenden auf die Fortschritte in der SARIA Organisationseinheit für Deutschland.
Aufgrund der gesetzlichen Verpflichtung, die Verarbeitungsprozesse unserer Videokameras, die zur Überwachung der Sicherheit unserer Mitarbeitenden eingesetzt werden, zu dokumentieren, haben wir im Jahr 2022 ein umfassendes Audit der Videokameraüberwachung durchgeführt. Im Ergebnis wurde jede Datenverarbeitung im Zusammenhang mit unserer Videokameraüberwachung in unser zentrales Verzeichnis des digitalen Datenschutzmanagementsystems aufgenommen.
Darüber hinaus wurde ein neuer wichtiger Rechtsrahmen verabschiedet, der den Datenaustausch zwischen den einzelnen SARIA-Rechtseinheiten in Deutschland erlaubt. Mit dieser Regelung können wir künftig unsere Abhängigkeit von individuellen Datenschutzvereinbarungen innerhalb des Datenspektrums von SARIA auf ein Minimum reduzieren.
Neben der Schaffung sinnvoller betrieblicher Datenschutzstrukturen und -verfahren haben wir unser Augenmerk auf die Schulung unserer Datenschutzbeauftragten gerichtet. Mit dem Ziel, alle Datenschutz-Mitarbeitenden in Deutschland zu erreichen, haben wir im November 2022 das Schulungsprogramm „Datenschutz-Power Days“ durchgeführt. Dabei war uns ein Erfahrungsaustausch mit verschiedenen operativen Blickwinkeln und die Vermittlung von Grundlagenwissen zu den wichtigsten Bestimmungen der deutschen Datenschutzgrundverordnung und der Datenschutz-Entwicklungen auf EU-Ebene besonders wichtig.
Im Jahr 2022 haben wir ein umfassendes Audit der Videokameraüberwachung durchgeführt.
Die Schulung unserer Mitarbeitenden ist ein zentrales Element unseres Datenschutzmanagements.
Aufgrund des positiven Feedbacks der Auszubildenden und des allgemeinen Schulungserfolgs haben wir beschlossen, die „Power Days“ als regelmäßige jährliche Veranstaltung durchzuführen. Darüber hinaus führen wir in Zusammenarbeit mit unserer IT-Abteilung eine Kampagne zu Pishing-Angriffen durch, um das gruppenweite Bewusstsein in diesem Bereich zu schärfen. Mit Hilfe von simulierten Pishing-E-Mails sollen Mitarbeitende die Einhaltung von betrieblichen Verfahrensregeln verinnerlichen und das trügerische Gefühl von Sicherheit kritisch hinterfragen.
Um unsere Datenschutzleistung zu beurteilen, verwenden wir ein Messsystem, das acht Bereiche des Datenschutzes abdeckt, die sich aus der Europäischen Datenschutzgrundverordnung ableiten lassen. Unsere Fortschritte werden anhand eines Reifegradmodells gemessen, das die Fortschritte in jedem der acht Bereiche widerspiegelt. Im Vergleich zum Basisjahr 2020 ist es uns gelungen, unsere Leistung kontinuierlich zu verbessern. Während wir uns 2021 um 6 % verbessern konnten, steigerten wir unsere Leistungen 2022 um weitere 4 %. Für das Jahr 2023 streben wir eine weitere Verbesserung um 4 % für unserer Gesamtpunktzahl im Datenschutz an.
Informationssicherheit
Analog zu unserem Datenschutzmanagement kombinieren wir auch in unserem Informationssicherheits-Netzwerk einen dezentralen Ansatz mit einem regelmäßigem Wissensaustausch auf Gruppenebene zur Bündelung von Fachwissen.
Grundsätzlich legt jede Organisationseinheit individuelle Schwerpunkte zur Gewährleistung der Informationssicherheit fest und berücksichtigt dabei die Erfahrung und Risikoeinschätzung der verantwortlichen IT-Fachbereiche, Erkenntnisse aus unserem IT-Sicherheitsnetzwerk und Ergebnisse aus internen oder externen Audits, wie beispielsweise aus dem externen Sicherheitsaudit, das 2022 in Deutschland stattfand. Darüber hinaus ist es wichtig, schnell und angemessen auf Ereignisse und externe Einflüsse zu reagieren.
Trotz dieser unterschiedlichen Schwerpunkte ruht unser Gesamtkonzept für die Informationssicherheit auf drei Säulen: technologische Maßnahmen, organisatorische Maßnahmen und Sensibilisierungsmaßnahmen
„Der Schutz unserer Unternehmensdaten ist enorm wichtig. Aus diesem Grund arbeiten wir an der Implementierung einer robusten Organisationsstruktur zum Schutz vor digitalen Angriffen auf unsere Systeme, Netzwerke und Programme. Dies ermöglicht es uns, Risiken zu bewältigen und widerstandsfähiger zu werden. Infolgedessen führen wir jedes Jahr eine Reihe von Initiativen zur Verbesserung der Sicherheit unserer Informationstechnologien durch, um die Informationen unserer Kunden, Mitarbeitenden und Partner sowie die Systeme in den Lieferketten angemessen zu schützen. Damit können wir die Erfüllung unserer Verpflichtungen gegenüber Kunden und Dritten garantieren.“
Informationssicherheitsnetz
Unser klares Ziel ist absolute Sicherheit, doch wir sind uns bewusst, dass es in der digitalen Welt keine 100-prozentige Garantie geben kann. Daher arbeiten wir kontinuierlich an der Verbesserung unserer Systeme und werden unsere Bemühungen auch 2023 weiter ausbauen und intensivieren.
Die folgenden Beispiele aus unserer deutschen Organisation veranschaulichen das systematische Zusammenspiel einer Vielzahl von Instrumenten.
E-Mail-Sicherheit
E-Mail-Sicherheit
Für den Umgang mit einer Vielzahl an Passwörtern, die in einer modernen Arbeitsumgebung notwendig sind, bietet eine Passwortmanagement-Software die beste Möglichkeit, verschiedene Passwörter komfortabel zu verwalten.
Gleichzeitig versuchen wir, Arbeitsabläufe zu vereinfachen und unsere Systeme zu schützen, indem wir leistungsstarke Softwarelösungen einsetzen, um E-Mails mit Spam und Viren zuverlässig herauszufiltern.
Für die Sensibilisierung aller Mitarbeitenden in Deutschland, ist die Teilnahme am E-Learning-Modul „Informationssicherheit“ verpflichtend eingeführt worden. Seit 2022 werden alle neuen Mitarbeitenden automatisch zu diesem Schulungsprogramm angemeldet.
Multi-Faktor-Authentifizierung
Multi-Faktor-Authentifizierung
Um unser System vor unberechtigten Zugriffen zu schützen, verwenden wir als zentrale Autorisierungssysteme Azure Active Directory und Active Directory Security. Die Sicherheit dieser Systeme wird regelmäßig durch externe Audits und Sicherheitstests validiert.
Darüber hinaus haben wir für unsere Gruppe eine Phishing-resistente Multi-Faktor-Authentifizierung (MFA) eingeführt, bei der unsere Mitarbeitenden einen zusätzlichen Autorisierungsschritt durchführen müssen, um Zugang zu einer Vielzahl von Diensten zu erhalten.
Wir werden Richtlinien und Prozesse einführen, die klare Anleitungen für die Einrichtung und Verwendung von Passwörtern geben, erklären, warum und wann Passwörter automatisch zurückgesetzt werden müssen und was zu tun ist, wenn es Anzeichen für einen Angriff auf unsere Systeme gibt.
Klassischerweise als „Virenschutz” bezeichnet, geht es bei dieser Maßnahme darum, Bedrohungen auf Geräten zu blockieren. Das Thema geht jedoch weit über die reine Virenerkennung hinaus: Die Programme dringen tief in die Betriebssysteme ein und überwachen alle Aktivitäten auf den Geräten, um ungewöhnliches und unerwünschtes Verhalten von Programmen zu erkennen und zu blockieren. Zu diesem Zweck vergleicht die Sicherheitstechnologie XDR die Daten von typischen Arbeitsgeräten wie Laptops und PCs mit den Daten aus dem Netzwerk und der Cloud.
Angesichts der rasant zunehmenden Bedeutung dieses Themas haben wir innerhalb unserer IT-Organisation eine eigene IT-Sicherheitsfunktion eingerichtet und verstärken systematisch die Zusammenarbeit und den Austausch innerhalb von SARIA, sowie innerhalb der RETHMANN-Gruppe.
Ein externes Team von Spezialistinnen und Spezialisten – ein sogenanntes Security Operations Center (SOC) – wird uns beim Umgang mit unseren IT-Sicherheitskomponenten mit zusätzlichen Ressourcen und Expertenwissen unterstützen. Das SOC nutzt unter anderem eine Security Information and Eventmanagement (SIEM) Software, die Daten aus verschiedenen Quellen auf Angriffsmuster und ungewöhnliche Aktivitäten untersucht, um Auffälligkeiten frühzeitig zu melden und Bedrohungen zu analysieren oder abzuwehren.
In der Vergangenheit war es üblich, dass verschiedene Geräte wie Server, PCs und Telefone in einem Netzwerk miteinander verbunden waren. Dies hätte es Hackern einfach gemacht, sich zwischen den jeweiligen Systemen zu bewegen und noch mehr Schaden anzurichten. Zum Schutz vor solchen Angriffen werden segmentierte Netzwerke eingeführt, in denen alle Geräte je nach ihrer Bedeutung oder Funktion in entsprechende IP-Netze gruppiert sind. Die Kommunikation zwischen ihnen ist nur über Firewalls möglich, die lediglich eine Verbindung zwischen den jeweiligen Geräten zulassen.
Mit der Sicherheitslösung Secure Web Access wird ein sicherer Internetzugang gewährleistet. Das System blockiert beispielsweise den Nutzerzugriff auf Seiten mit unerwünschten oder nicht autorisierten Inhalten und prüft gleichzeitig auf Viren und andere potenzielle Bedrohungen.