Cybersecurity
Als Arbonia können wir nur gemeinsam mit unseren Mitarbeitenden die Informationssicherheit aufrechterhalten. Unser Ziel ist, die Geschäftstätigkeit und Wettbewerbsfähigkeit der Gruppe vor erfolgreichen Angriffen zu bewahren. Ansonsten können erhebliche Schäden für uns als Unternehmen und unsere Kunden durch Cyberattacken entstehen. Diese reichen vom Verlust von Mitarbeiter- und Kundendaten bis hin zu einem kompletten Produktionsstillstand inklusive hohen Lösegeldforderungen.
Deshalb haben wir als Arbonia das Information Security Management System, das ein ganzheitliches Security-Programm beinhaltet, beschleunigt ausgebaut. Daneben wurden weitere Richtlinien verabschiedet, etwa zur allgemeinen IT-Sicherheit, Passwortsicherheit oder den Informationssicherheits-Anforderungen an Dritte. Im Rahmen des Security-Awareness-Programms unter dem Motto «THINK BEFORE YOU Click.Post.Type.» werden Mitarbeitende dabei unterstützt, reale Bedrohungen und potenzielle Angriffe erfolgreich zu erkennen und richtig darauf zu reagieren – sowohl im Geschäfts- als auch im Privatalltag. Durch verschiedene KPIs schafft sich die Arbonia einen Überblick über die durchgeführten Sicherheitsmassnahmen. Durch regelmässige Benutzerumfragen werden Stakeholder in die weitere Ausgestaltung der IT-Sicherheitsarchitektur mit einbezogen.
Im Wesentlichen liegt die Zuständigkeit für die Informationssicherheit der gesamten Arbonia Gruppe beim Chief Information Security Officer und dem IT-Board, welches sich aus dem Group CIO, den Divisions CIOs dem Group CFO sowie IT-Vertretern beider Divisionen und des Konzerns zusammensetzt. Die relevanten Themen werden stets mit den Divisionsverantwortlichen und der Konzernleitung abgestimmt. Bei der Umsetzung einzelner Massnahmen unterstützen die lokalen IT-Teams und ICT-Security-Spezialisten als Schnittstellen zu den Standorten und Gesellschaften.
Gemeinsam zu mehr Informationssicherheit
Die Mitarbeitenden der Arbonia sind ein zentrales Glied der Sicherheitskette im Bereich Cybersecurity und müssen die entsprechende Verantwortung wahrnehmen. Häufigstes Angriffswerkzeug bei Cyberattacken ist die E-Mail – gefolgt von Social Engineering (Manipulation oder Beeinflussung einer Person) und dem Internet. Aus diesem Grund ist es äusserst wichtig, verdächtige Quellen zu erkennen, zu meiden und zu melden.
Mit zielgerichteten Massnahmen zur Stärkung der sogenannten Cyberresilienz versuchen wir als Arbonia, das Risiko von erfolgreichen Cyberangriffen auf das absolute Minimum zu reduzieren. Der Konzern verfolgt einen ganzheitlichen Sicherheitsansatz mit technischen Massnahmen, Prozessen, Richtlinien und Standards, deren Einhaltung und Umsetzung durch den Chief Information Security Officer und sein Team auf Gruppenstufe überprüft wird. Cyberangriffe jeder Art sollen frühzeitig erkannt und abgewehrt werden. Die Mitarbeitenden werden entsprechend verstärkt zu diesem Thema geschult und sensibilisiert. Der ganzheitliche Sicherheitsansatz im Rahmen der Information Security Strategie wird laufend mittels Audits und Penetrationstests überprüft. Cyberrisiken zählen zum festen Bestandteil des Risikomanagement-Prozesses und daher auch der Risikotransfer an eine Versicherung.
THINK BEFORE YOU Click.Post.Type.
Die Security-Awareness-Kampagnen unter dem Motto «THINK BEFORE YOU Click.Post.Type.» beinhalten diverse Massnahmen. Dabei werden die Mitarbeitenden regelmässig zur Teilnahme an verschiedenen Sensibilisierungs- und Trainingseinheiten eingeladen, wobei speziell für IT-Administratoren und andere exponierte Personen vertiefte Trainings verfolgt werden. Diese Schulungen vermitteln Informationen zum sicheren Umgang mit Daten sowie Informationssystemen und zielen darauf ab, den Alltag sicherer zu gestalten. Die Teilnehmerquote lag im Berichtsjahr bei 68% (Vorjahr: 58%) und soll bis 2025 auf 100% steigen.
Auf Basis einer hohen Cyberresilienz und E-Mail-Sicherheit zielt die Arbonia generell darauf ab, keine sicherheitskritischen Ereignisse zu durchlaufen und somit einen permanenten reibungslosen Geschäftsverlauf sicherzustellen. Zu diesem Zweck werden die Ergebnisse der Angriffssimulationen für eine Stärkung der Resilienz genutzt. Zur Steuerung der Sicherheit wird ausserdem die Cybermaturität anhand definierter Standards gemessen. Weitere Kennzahlen werden über SIEM-Incidents (Security Information and Event Management) für alle Gesellschaften erhoben und führen zu Verbesserungen der Cyberabwehr. Dabei werden (böswillige) Vorfälle und die Reaktion laufend erfasst. Das Managementsystem klassifiziert diese Vorfälle gemäss ihrer Art und Schwere und evaluiert die Abwehrmassnahmen nach Filterfunktionen sowie bestehenden Usecases. Als eine weitere Schutzstufe wurde ein Projekt zur NDR (Network Detection Response) umgesetzt.