Informations- und Cybersicherheit

In einer zunehmend vernetzten globalen Welt sind Informationen zahlreichen Risiken, Bedrohungen und anderen unberechenbaren Herausforderungen ausgesetzt. Die OMV investiert daher in die Informations- und Cybersicherheit, um Technologien, Vermögenswerte und kritische Informationen zu schützen, aber auch um unseren Ruf zu wahren und Schäden oder finanzielle Verluste durch unbefugten Zugriff auf unsere Systeme und Daten zu vermeiden. Das wesentliche Ziel hierbei ist es, die OMV frei von Sicherheitslücken und potenziellen Sicherheitsrisiken zu halten.

Spezifische Richtlinien und Commitments

Unsere interne IT¹ Informationstechnologie (IT) umfasst eine Reihe von Cybersicherheitsstrategien, die den unbefugten Zugriff auf Vermögenswerte des Unternehmens wie Computer, Netzwerke und Daten verhindert. Sie wahrt die Integrität und Vertraulichkeit sensibler Informationen und verhindert Hackerangriffe./OT² OT-Sicherheit bezeichnet die Operational-Technology-(OT-)Hardware und -Software, die eine Veränderung durch die direkte Überwachung und/oder Steuerung von physischen Geräten, Prozessen und Ereignissen im Unternehmen erkennt oder verursacht. OT ist in industriellen Steuerungssystemen (Industrial Control Systems; ICS) wie etwa einem SCADA-System üblich.-Sicherheitsrichtlinie legt die Details des IT/OT-Sicherheitsframeworks fest, mit dem themen- oder bereichsbezogene Sicherheitsstandards und -richtlinien laufend angepasst und verwaltet werden. Das Sicherheitsframework besteht aus insgesamt etwa 50 Regelwerken und ist auf die Empfehlungen der ISO-27000-Reihe für IT-Kontrollen und -Domänen abgestimmt.

Management- und Due-Diligence-Prozesse

Wir betreiben ein Informationssicherheitsmanagementsystem (ISMS), das auf den Normen der ISO‑27000-Reihe basiert, entsprechend zertifiziert ist und jährlich externen Überwachungs- und Rezertifizierungsprozessen unterzogen wird. Eines der Grundprinzipien eines ISMS ist der Zyklus der kontinuierlichen Verbesserungen, um potenzielle IT-Sicherheitslecks oder -lücken zu identifizieren, zu verhindern bzw. zu reduzieren und entsprechende Korrekturmaßnahmen zu setzen.

Präventive, technische, proaktive und reaktive Maßnahmen

Durch die Einführung von neuen Tools, individuellen Erkennungsstrategien und Reaktionsplänen reduzieren wir das Risiko von Sicherheitsverletzungen und halten eine starke Barriere sowohl für unsere physische als auch für unsere digitale Umgebung aufrecht.

Technische „Housekeeping“-Maßnahmen sorgen mit der neuesten Hard- und Software sowie adäquaten Informationssicherheitsprozessen für eine solide Basis. Wir implementieren Sicherheitspatches und bieten Leitlinien für konsistente Hard- und Softwarelebenszyklen an.

Proaktive und reaktive Maßnahmen sorgen für eine permanente Transparenz rund um bestehende Risiken, Sicherheitslücken und Schwachstellen. Um unsere Vermögenswerte zu schützen und Eindringlinge abzuwehren, setzen wir sowohl proaktive als auch reaktive Maßnahmen um. So können wir eventuelle Schäden auf ein Minimum reduzieren und Gegenmaßnahmen ergreifen, um eine schnelle und vollständige Wiederherstellung unserer Systeme zu gewährleisten. Beispiele für derartige Maßnahmen sind:

• Ständige Schwachstellen-Scans von Cyber-Assets
• Implementierung einer ganzheitlichen Multi-Faktor-Authentifizierung (MFA)
• Laufende interne und externe Penetrationstests für kritische Anwendungen/Systeme
• Externe Audits zur Qualitätssicherung (ISO 27000, PCI-DSS, NIS usw.)

Schulungen

Wir ergreifen regelmäßige und umfangreiche Maßnahmen, um das Bewusstsein unserer Mitarbeiterinnen und Mitarbeiter für Informationssicherheit auf einem angemessenen Niveau zu halten. Diese Initiativen basieren auf allgemeinen Themen der Informationssicherheit, auf anlassbezogenen Forderungen nach zeitnahen Gegenmaßnahmen für bestimmte Anwendungsfälle oder auch auf zielgruppenorientierten Inhalten. Dabei setzen wir auf unterschiedliche Formate, wie beispielsweise:

• Verpflichtende E-Learning-Kurse inklusive Wissensabfrage
• Themenbezogene Videos
• Präsenzschulungen
• Anti-Phishing-Trainings
• „My News“-Plattform für den Austausch von Nachrichten über das Intranet und Blog-Postings

Meldung von Zwischenfällen und Eskalationsverfahren

Die OMV betreibt eine durchgehende 24/7-Sicherheitsüberwachung. Potenzielle Feststellungen werden über eine „Security Information and Event Management“-(SIEM-)Intelligenz verarbeitet und von Level-1-, Level-2- und Level-3-Analystinnen bzw. -Analysten nachbearbeitet. Unsere implementierten Eskalationsverfahren gewährleisten rund um die Uhr eine zeitnahe Behebung von Sicherheitsvorfällen. Das Cyber Defense Team der OMV klassifiziert den Vorfall, löst den Vorfallreaktionsprozess aus und aktiviert dann alle erforderlichen Funktionen über automatische und manuelle Warnungen, die per Sprachnachricht und SMS verschickt werden. Für sämtliche Korrekturmaßnahmen werden vordefinierte „Runbooks“ herangezogen, um eine effiziente und zeitnahe Bearbeitung sicherzustellen. Ein klarer Kommunikationsplan sorgt dafür, dass alle Beteiligten die richtigen Informationen erhalten.

Business-Continuity-/Notfallpläne und Vorfallreaktionsverfahren

Die OMV führt in einem jährlichen Zyklus Cyberschutz-Notfallübungen mit externer Expertise durch. Der Fokus dieser Übungen liegt auf spezifischen, realistischen Bedrohungsszenarien mit dem Ziel, die entsprechenden Verfahren und Prozesse zur Schadensbegrenzung zu testen. Die Tabletop-Übung umfasst eine Reihe von sogenannten „Injects“. Jedes Inject stellt ein Ereignis oder eine Teilinformation dar, das bzw. die im Laufe des Szenarios eingespielt wird und sich auf den jeweiligen Sicherheitsvorfall bezieht. Das Szenario wird von bis zu 30 Personen beobachtet. Unter den Teilnehmenden sind in der Regel Vertreterinnen und Vertreter der Teams für IT-Sicherheit, IT-Management und OT-Sicherheit, aber auch andere Personen. Nach jedem Inject wird eine Überprüfung und Bewertung des Prozesses durchgeführt. Dazu gehört auch eine Evaluierung der gewonnenen Erkenntnisse und möglichen Korrekturmaßnahmen.

Maßnahmen im Jahr 2021

Im Jahr 2012 wurden konzernweit folgende wichtige Maßnahmen durchgeführt:

• Im Jahr 2021 führten wir mit der KnowBe4-Plattform ein hochmodernes Tool für Informationssicherheitsbewusstsein und entsprechende Trainingsinhalte in ansprechenden Formaten ein, um das Bewusstsein der Mitarbeiterinnen und Mitarbeiter weiter zu erhöhen.
• Die OMV führte mehrere Initiativen durch, um ihre Resilienz gegenüber Cyberangriffen zu stärken und weiterzuentwickeln und das Cyberrisikopotenzial zu verringern, wie beispielsweise:
  • Ein ganzheitliches Informationssicherheitsprogramm, das eine Reihe von gezielten Projekten zur Umsetzung oder Verbesserung technischer oder verfahrensbezogener Maßnahmen mit Schwerpunkt auf Informationssicherheitsfähigkeiten umfasst
  • Ein kontinuierliches Programm zur laufenden Evaluierung des IT-Reifegrads und der diesbezüglichen Fortschritte durch externe Bewertungen
  • Eine umfassende Reihe von Aktivitäten, um das Bewusstsein für Informationssicherheit auf einem angemessenen Niveau zu halten

Ausblick

Die OMV ist einem kontinuierlichen Verbesserungsprozess und der Umsetzung entsprechender Maßnahmen verpflichtet. Weitere strategische Ziele und wichtige Aufgaben bestehen darin, den grundlegenden IT-Reifegrad weiter zu erhöhen, die Cyberabwehrfähigkeiten und die Resilienz gegen Bedrohungen über das bereits erreichte hohe Niveau hinaus nochmals zu verbessern sowie die Rezertifizierung der bestehenden umfassenden Governance-Strukturen für Informationssicherheit zu erlangen.