Informations- und Cybersicherheit

In einer zunehmend vernetzten globalen Welt sind Informationen zahlreichen Risiken, Bedrohungen und anderen unberechenbaren Herausforderungen ausgesetzt. Der OMV Konzern investiert daher in die Informations- und Cybersicherheit, um Technologien, Vermögenswerte und kritische Informationen zu schützen, aber auch um unseren Ruf zu wahren und Schäden oder finanzielle Verluste durch unbefugten Zugriff auf unsere Systeme und Daten zu vermeiden. Das wesentliche Ziel hierbei ist es, den OMV Konzern frei von Sicherheitslücken und potenziellen Sicherheitsrisiken zu halten.

Spezifische Richtlinien und Commitments

Unsere interne 1 Informationstechnologie-(IT-)Sicherheit umfasst eine Reihe von Cybersicherheitsstrategien, die den unbefugten Zugriff auf Vermögenswerte des Unternehmens wie Computer, Netzwerke und Daten verhindert. Sie wahrt die Integrität und Vertraulichkeit sensibler Informationen und verhindert Hackerangriffe./2 OT-Sicherheit bezeichnet die Operational-Technology-(OT-)Hardware und -Software, die eine Veränderung durch die direkte Überwachung und/oder Steuerung von physischen Geräten, Prozessen und Ereignissen im Unternehmen erkennt oder verursacht. OT ist in industriellen Steuerungssystemen (Industrial Control Systems; ) wie etwa einem SCADA-System üblich.-Sicherheitsrichtlinie legt die Details des IT/OT-Sicherheitsframeworks fest, mit dem themen- oder bereichsbezogene Sicherheitsstandards und -richtlinien laufend angepasst und verwaltet werden. Das Sicherheitsframework besteht aus insgesamt etwa 50 Regelwerken und ist auf die Empfehlungen der -27000-Reihe (ISO27k) für IT-Kontrollen und -Domänen abgestimmt. Es umfasst auch die Verpflichtung der OMV zur Sicherung des Betriebs ihrer Services in bestimmten Bereichen, wie beispielsweise im Retail-Geschäft und den damit verbundenen 3 Payment Card Industry Data Security Standard-Anforderungen.

Management- und Due-Diligence-Prozesse

Wir betreiben ein Informationssicherheitsmanagementsystem (), das auf den ISO27k-Normen basiert, entsprechend zertifiziert ist und jährlich externen Überwachungs- und Rezertifizierungsprozessen unterzogen wird. Eine vollständige Rezertifizierungsprüfung wurde im Juli 2022 erfolgreich abgeschlossen und die Zertifizierungsperiode für die OMV bis 2025 verlängert. Eines der Grundprinzipien eines ISMS ist der Zyklus der kontinuierlichen Verbesserungen, um potenzielle IT-Sicherheitslecks oder -schwachstellen zu identifizieren, zu verhindern bzw. zu reduzieren und entsprechende Korrekturmaßnahmen zu setzen.

Präventive, technische, proaktive und reaktive Maßnahmen

Durch die Einführung von neuen Tools, individuellen Erkennungsstrategien und Reaktionsplänen reduzieren wir das Risiko von Sicherheitsverletzungen und halten eine starke Barriere sowohl für unsere physische als auch für unsere digitale Umgebung aufrecht.

Technische „Housekeeping“-Maßnahmen sorgen mit der neuesten Hard- und Software sowie adäquaten Informationssicherheitsprozessen für eine solide Basis. Wir implementieren Sicherheitspatches und bieten Leitlinien für konsistente Hard- und Softwarelebenszyklen an.

Proaktive und reaktive Maßnahmen sorgen für eine permanente Transparenz rund um bestehende Risiken, Sicherheitslücken und Schwachstellen. Um unsere Vermögenswerte zu schützen und Eindringlinge abzuwehren, setzen wir sowohl proaktive als auch reaktive Maßnahmen um. So können wir eventuelle Schäden auf ein Minimum reduzieren und Gegenmaßnahmen ergreifen, um eine schnelle und vollständige Wiederherstellung unserer Systeme zu gewährleisten. Beispiele für derartige Maßnahmen sind:

  • Ständige Schwachstellen-Scans von Cyber-Assets
  • Simulationen von Sicherheitsverletzungen und Angriffen zur Bewertung potenzieller Angriffsflächen
  • Laufende interne und externe Penetrationstests für kritische Anwendungen/Systeme
  • Externe Audits zur Qualitätssicherung (ISO27k, PCI-DSS, usw.)

Schulungen

Wir führen regelmäßige und intensive Schulungen durch, um das Bewusstsein unserer Mitarbeiter:innen für Informationssicherheit auf einem angemessenen Niveau zu halten. Diese Schulungen basieren auf allgemeinen Themen der Informationssicherheit, auf anlassbezogenen Forderungen nach zeitnahen Gegenmaßnahmen für bestimmte Anwendungsfälle oder auch auf zielgruppenorientierten Inhalten. Dabei setzen wir auf unterschiedliche Formate, wie beispielsweise:

  • Verpflichtende E-Learning-Kurse inklusive Wissensabfrage
  • Themenbezogene Videos
  • Präsenzschulungen
  • Anti-Phishing-Trainings
  • „My News“-Plattform für den Austausch von Nachrichten über das Intranet und interne Blog-Postings

Meldung von Vorfällen und Eskalationsverfahren

Die OMV betreibt eine durchgehende 24/7-Sicherheitsüberwachung. Potenzielle Feststellungen werden über eine „Security Information and Event Management“-(-)Intelligenz verarbeitet und von Level-1-, Level-2- und Level-3-Analyst:innen nachbearbeitet. Unsere implementierten Eskalationsverfahren gewährleisten rund um die Uhr eine zeitnahe Behebung von Sicherheitsvorfällen. Das Cyber Defense Team der OMV klassifiziert Vorfälle, löst den Reaktionsprozess aus und aktiviert dann alle erforderlichen Funktionen über automatische und manuelle Warnungen, die per Sprachnachricht und SMS verschickt werden. Für sämtliche Korrekturmaßnahmen werden vordefinierte „Runbooks“ herangezogen, um eine effiziente und zeitnahe Bearbeitung sicherzustellen. Ein klarer Kommunikationsplan sorgt dafür, dass alle Beteiligten die richtigen Informationen erhalten.

Business-Continuity-/Notfallpläne und Vorfallreaktionsverfahren

Die OMV testet ihre Business-Continuity-Pläne und Verfahren zur Reaktion auf Vorfälle jährlich in Cyber-Notfallübungen. Der Fokus dieser Übungen, die gemeinsam mit externen Expert:innen durchgeführt werden, liegt auf spezifischen, realistischen Bedrohungsszenarien mit dem Ziel, die entsprechenden Verfahren und Prozesse zur Schadensbegrenzung zu testen. Die Tabletop-Übung umfasst eine Reihe von sogenannten „Injects“. Jedes Inject stellt ein Ereignis oder eine Teilinformation dar, das bzw. die im Laufe des Szenarios eingespielt wird und sich auf den jeweiligen Sicherheitsvorfall bezieht. Das Szenario wird von bis zu 30 Personen beobachtet. Unter den Teilnehmenden sind in der Regel Vertreter:innen der Teams für IT-Sicherheit, oberes -Management und OT-Sicherheit, aber auch andere Personen. Nach jedem Inject wird eine Überprüfung und Bewertung des Prozesses durchgeführt. Dazu gehört auch eine Evaluierung der gewonnenen Erkenntnisse.

Maßnahmen im Jahr 2022

Im Jahr 2022 wurden konzernweit folgende wichtige Maßnahmen durchgeführt:

0 nennenswerte Vorfälle im Bereich der Cybersicherheit

50 Regelwerke des IT-Sicherheitsframeworks geprüft und aktualisiert

Ca. 70 verschiedene Arten von Sensibilisierungsmaßnahmen durchgeführt (z.B. Präsenzübungen, Online-Schulungen und E-Mail-Phishing-Kampagnen)

Ca. 500 begleitete Projekte, um die Erfüllung der festgelegten Sicherheitsanforderungen zu gewährleisten

  • Wir setzten unser umfangreiches Sensibilisierungsprogramm zum Thema Informationssicherheit für unsere Mitarbeiter:innen in mehreren Formaten fort. Ein Schwerpunkt lag auf Maßnahmen gegen E-Mail-Phishing-Bedrohungen, da diese die Hauptquelle für potenzielle Angriffe sind.
  • Wir setzten unser umfangreiches IT-Sicherheitsprogramm fort, um alle Projekte im Bereich der IT-Sicherheit zu bündeln und den IT-Reifegrad weiter zu erhöhen. Folglich gibt es jetzt ein höheres Maß an Resilienz und verstärkte Vorkehrungen gegen Bedrohungen der Cybersicherheit.
  • Wir führten laufend Penetrationstests zur Überprüfung der IT-Sicherheit unserer Netzwerke und Plattformen durch, um auch eine detaillierte technische Ebene in unseren Sicherheitsüberwachungsmaßnahmen abzudecken. Die Tests werden sowohl intern als auch extern vorgenommen.
  • Wir begannen damit, ein Tool zu implementieren, mit dem Nutzer:innen ihre Informationen im Hinblick auf ihre Vertraulichkeit klassifizieren und die geeigneten Sicherheitsmaßnahmen zum Schutz der Daten ergreifen können.
  • Im Bereich der Cyberabwehr implementierten wir ein Tool zur Durchführung von Simulationen von Sicherheitsverletzungen und Angriffen, um den Grad an Resilienz und Wachsamkeit kontinuierlich zu überprüfen.

Ausblick

Der OMV Konzern hat sich zu einem kontinuierlichen Verbesserungsprozess und der Umsetzung entsprechender Maßnahmen verpflichtet. Weitere strategische Ziele und wichtige Aufgaben bestehen darin, den grundlegenden IT-Reifegrad weiter zu erhöhen, die Cyberabwehrfähigkeiten und die Resilienz gegen Bedrohungen über das bereits erreichte hohe Niveau hinaus nochmals zu verbessern sowie die Zertifizierung nach den umfassenden Governance-Strukturen für Informationssicherheit auf der Grundlage diverser Frameworks (ISO, PCI-DSS, NISG und BSI) zu erlangen. Ein zusätzlicher Schwerpunkt liegt auf Themen im Zusammenhang mit den zunehmend an Bedeutung gewinnenden IT- und -Bereichen, insbesondere im Hinblick auf Cyberangriffe, um kritische Infrastrukturen und Einrichtungen aus beiden funktionalen Perspektiven zu sichern.

1 Informationstechnologie-(IT-)Sicherheit umfasst eine Reihe von Cybersicherheitsstrategien, die den unbefugten Zugriff auf Vermögenswerte des Unternehmens wie Computer, Netzwerke und Daten verhindert. Sie wahrt die Integrität und Vertraulichkeit sensibler Informationen und verhindert Hackerangriffe.

2 OT-Sicherheit bezeichnet die Operational-Technology-(OT-)Hardware und -Software, die eine Veränderung durch die direkte Überwachung und/oder Steuerung von physischen Geräten, Prozessen und Ereignissen im Unternehmen erkennt oder verursacht. OT ist in industriellen Steuerungssystemen (Industrial Control Systems; ICS) wie etwa einem SCADA-System üblich.

3 Payment Card Industry Data Security Standard

IT
Informationstechnologie
OT
Operational Technology
ICS
Industrial Control System; industrielles Steuerungssystem
ISO
Internationale Organisation für Normung
PCI-DSS
Payment Card Industry Data Security Standard
ISMS
IT-Sicherheitsmanagementsystem
NIS
Netz- und Informationssystemsicherheit
SIEM
Security Information and Event Management
IT
Informationstechnologie
OT
Operational Technology