IT-Sicherheit bei Bertelsmann - Bertelsmann SE & Co. KGaA

Informationen rund um das internationale Medienunternehmen mit seinen Unternehmensbereichen RTL Group, Penguin Random House, Gruner + Jahr und Arvato; ausführliche Informationen für Journalisten im Pressezentrum der Bertelsmann SE & Co. KGaA sowie alles rund um das Thema Corporate Responsibility bei Bertelsmann.

Gütersloh, 12.05.2016

IT-Sicherheit bei Bertelsmann

Damian Baran (RTL Group), Ian Williamson (BMG), Wesley Harrison (Penguin Random House), Mark Dennis Kellermeier (Corporate Center), Bernd Nottelmann (G+J), Stefan Miernik (arvato), Jens Hickmann (RTL Group), Jan Becker (Corporate Audit), Christopher Herzog (Corporate Center), Claudia Gutting (G+J), Michael Krull (Corporate Center), Carsten Bittner (Corporate Center), Josef Malik (Corporate Center) (v. l.)

Themenbereich: Medien & Services
Land: Deutschland
Kategorie: Projekt

Dass die Digitalisierung für ein Unternehmen enorme Chancen bietet, steht außer Frage. Aber auch, dass sie neue Risiken mit sich bringt – vor allem mit Blick auf die Datensicherheit. Schon die Fähigkeit an sich, Informationen fehlerfrei, sicher und vertraulich zur Verfügung zu stellen und störungsfrei zu verarbeiten, stellt daher oft einen entscheidenden Faktor im Wettbewerb dar. Gleichzeitig wachsen jedoch auch die Möglichkeiten für Cyber-Kriminelle, immer professioneller – und damit gefährlicher – zu agieren. Das stellt Unternehmen wie Behörden vor eine große Herausforderung. Wie es um die IT-Sicherheit bei Bertelsmann bestellt ist, darüber sprachen wir mit Carsten Bittner, der bei Bertelsmann als Chief Information Security Officer den Bereich Informationssicherheit verantwortet und zudem für IT Governance zuständig ist.

Herr Bittner, in letzter Zeit sorgen Hackerangriffe und Datendiebstahl bei Unternehmen und Behörden immer häufiger für Schlagzeilen. Der dabei entstandene Schaden ist oft groß. Wie ist es um die Informationssicherheit bei Bertelsmann bestellt?

Carsten Bittner: Bertelsmann hat im Bereich Informationssicherheit in den letzten Jahren spürbare Fortschritte gemacht. Wir haben mit dem Information Security Management System konzernweit einen Rahmen geschaffen, der vorbildlich ist und der jetzt mit Leben gefüllt werden muss. Mit allen Unternehmensbereichen arbeiten wir eng und zielgerichtet an gemeinsamen, übergreifenden Maßnahmen. Darüber hinaus gibt es eine Vielzahl von Einzelmaßnahmen in unseren Unternehmen, die Cyber Kriminellen das Leben immer schwerer machen. Aber: Die Abwehr von Cyberangriffen bleibt eine Herausforderung, weil beide Seiten stetig auf- und nachrüsten.

Worin zeigt sich das?

Carsten Bittner: Wir sehen eine wachsende Anzahl zielgerichteter Angriffe, die zugleich immer professioneller werden. Die dabei genutzten Methoden entwickeln sich mit dem Stand der Technik zügig weiter. Wir befinden uns also praktisch in einem Wettlauf, in dem Stillstand bedeuten würde, dass man ins Hintertreffen geriete. Wir müssen uns folglich kontinuierlich verbessern. Herausfordernd ist zudem, dass ein Angreifer nur ein einziges Schlupfloch zu finden braucht, wir jedoch müssen eine ganze Reihe von Schwachstellen identifizieren und sicherer machen. Diese „Waffen-Ungleichheit“ ist der Kern der Herausforderung.

Wie finden Sie heraus, wo die größten Schwachstellen liegen und wie sorgen Sie für entsprechende Behebung?

Carsten Bittner: Hierbei nutzen wir die Strukturen, die wir in den letzten Jahren Bertelsmann-weit unter dem Namen ISMS (Information Security Management System) etabliert haben. Regelmäßig wird der Schutz unserer digitalen Assets, das sind beispielsweise Vertrags- und Kundendaten aber auch mediale Inhalte sowie Prozess-und Finanzinformationen, auf Schwachstellen überprüft. Dies erfolgt jeweils auf Unternehmensebene unter Einbeziehung eines Geschäftsverantwortlichen sowie des Verantwortlichen für Informationssicherheit. Risiken werden bewertet danach, wie kritisch sie sind und wie aufwendig ihre Behebung wäre. Je nach Ergebnis werden sie in der Folge entweder behoben oder unternehmerisch akzeptiert. Dieser Ansatz sorgt dafür, dass zielgerichtet zuerst die größten Schwachstellen behoben werden.

Welche Ziele verfolgen Cyber Kriminelle und welche Schäden entstehen?

Carsten Bittner: Die entstehenden Schäden lassen sich schwer beziffern. Zum einen ist es schon schwierig genug, den Schaden durch einen bekannt gewordenen Vorfall zu errechnen, da es neben direkten Auswirkungen wie etwa dem Ausfall von IT Systemen auch um indirekte Auswirkungen wie beispielsweise eine Image-Schädigung geht. Zum anderen ist die Dunkelziffer hoch. Das heißt, dass zum Beispiel Datendiebstähle oftmals gar nicht bemerkt werden. Zusätzlich zum Diebstahl wichtiger Daten geht es Eindringlingen oftmals um Erpressung: So wird per E-Mail eine Schadsoftware eingeschleust, welche wichtige unternehmensinterne Daten verschlüsselt, und der Schlüssel wird nur gegen Zahlung herausgegeben. Hinzu kommen Betrug und Identitätsdiebstahl, also das Stehlen von Passwörtern oder anderen Zugangsinformationen. Beides wird regelmäßig benutzt, um Zahlungen von Unternehmenskonten auf fremde Konten im Ausland auszulösen. Hier hilft es, gezielt das Sicherheitsbewusstsein der Mitarbeiter zu erhöhen.

Was tun wir bei Bertelsmann für die Sensibilisierung unserer Mitarbeiter in Sachen Informationssicherheit?

Carsten Bittner: Das Allerwichtigste ist die Sensibilisierung unserer Kolleginnen und Kollegen. Viel zu häufig stellen wir noch digitale Gutgläubigkeit fest. Und die wird schamlos ausgenutzt. Daher gehört die Sensibilisierung der Mitarbeiter zu unseren absoluten Top-Prioritäten. Keine Technologie der Welt kann das überlegte Verhalten der Mitarbeiter ersetzen. Weil wir das wissen, haben wir in einer bereichsübergreifenden Arbeitsgruppe eine maßgeschneiderte neue Schulung erarbeitet, die auf typische Situationen im Arbeitsalltag eingeht und die für das Thema Informationssicherheit sensibilisieren soll. Die Schulung richtet sich an alle Mitarbeiter. Den Startschuss geben wir in Kürze.

Wenn man Ihnen so zuhört, ist häufig von Angriffen, Cyber Kriminalität und Datendiebstahl die Rede. Steht dies nicht in direkter Konkurrenz zu den scheinbar unbegrenzten Möglichkeiten und Zielsetzungen digitaler Themen wie Big Data Analytics, Internet of Things, Machine learning usw.?

Carsten Bittner: Ich würde nicht von Konkurrenz sprechen, da wir letztlich doch dieselben Ziele verfolgen: Die Möglichkeiten digitaler Technologien für innovative Geschäfte nutzbar zu machen. Und zwar so, dass unsere digitalen Kronjuwelen dabei geschützt werden. Natürlich führt dies auch zu Diskussionen, etwa wenn zugunsten der Umsetzungsgeschwindigkeit eines Projekts bestimmte Mindestanforderungen nicht erfüllt werden. In den allermeisten Fällen arbeiten wir sehr gut und eng mit den Geschäften zusammen. Informationssicherheit ist kein Selbstzweck. Es geht auch uns darum, dass die Geschäfte nachhaltig erfolgreich sind. Wir unterstützen die Geschäfte und verstehen uns keinesfalls als Informationssicherheitspolizei.