Informations- und Cybersicherheit In einer zunehmend vernetzten globalen Welt sind Informationen zahlreichen Risiken, Bedrohungen und anderen unberechenbaren Herausforderungen ausgesetzt. Der OMV Konzern investiert daher in die Informations- und Cybersicherheit, um Technologien, Vermögenswerte und kritische Informationen zu schützen, aber auch um unseren Ruf zu wahren und Schäden oder finanzielle Verluste durch unbefugten Zugriff auf unsere Systeme und Daten zu vermeiden. Das wesentliche Ziel hierbei ist es, den OMV Konzern frei von Sicherheitslücken und potenziellen Sicherheitsrisiken zu halten. Spezifische Richtlinien und Commitments Unsere interne IT1 Informationstechnologie-(IT-)Sicherheit umfasst eine Reihe von Cybersicherheitsstrategien, die den unbefugten Zugriff auf Vermögenswerte des Unternehmens wie Computer, Netzwerke und Daten verhindert. Sie wahrt die Integrität und Vertraulichkeit sensibler Informationen und verhindert Hackerangriffe./OT2 OT-Sicherheit bezeichnet die Operational-Technology-(OT-)Hardware und -Software, die eine Veränderung durch die direkte Überwachung und/oder Steuerung von physischen Geräten, Prozessen und Ereignissen im Unternehmen erkennt oder verursacht. OT ist in industriellen Steuerungssystemen (Industrial Control Systems; ICS) wie etwa einem SCADA-System üblich.-Sicherheitsrichtlinie legt die Details des IT/OT-Sicherheitsframeworks fest, mit dem themen- oder bereichsbezogene Sicherheitsstandards und -richtlinien laufend angepasst und verwaltet werden. Das Sicherheitsframework besteht aus insgesamt etwa 50 Regelwerken und ist auf die Empfehlungen der ISO-27000-Reihe (ISO27k) für IT-Kontrollen und -Domänen abgestimmt. Es umfasst auch die Verpflichtung der OMV zur Sicherung des Betriebs ihrer Services in bestimmten Bereichen, wie beispielsweise im Retail-Geschäft und den damit verbundenen PCI-DSS3 Payment Card Industry Data Security Standard-Anforderungen. Management- und Due-Diligence-Prozesse Wir betreiben ein Informationssicherheitsmanagementsystem (ISMS), das auf den ISO27k-Normen basiert, entsprechend zertifiziert ist und jährlich externen Überwachungs- und Rezertifizierungsprozessen unterzogen wird. Eine vollständige Rezertifizierungsprüfung wurde im Juli 2022 erfolgreich abgeschlossen und die Zertifizierungsperiode für die OMV bis 2025 verlängert. Eines der Grundprinzipien eines ISMS ist der Zyklus der kontinuierlichen Verbesserungen, um potenzielle IT-Sicherheitslecks oder -schwachstellen zu identifizieren, zu verhindern bzw. zu reduzieren und entsprechende Korrekturmaßnahmen zu setzen. Präventive, technische, proaktive und reaktive Maßnahmen Durch die Einführung von neuen Tools, individuellen Erkennungsstrategien und Reaktionsplänen reduzieren wir das Sicherheitsrisiko und halten eine starke Barriere sowohl für unsere physische als auch für unsere digitale Umgebung aufrecht. Technische „Housekeeping“-Maßnahmen sorgen mit der neuesten Hard- und Software sowie adäquaten Informationssicherheitsprozessen für eine solide Basis. Wir implementieren Sicherheitspatches und bieten Leitlinien für konsistente Hard- und Softwarelebenszyklen an. Proaktive und reaktive Maßnahmen sorgen für eine permanente Transparenz rund um bestehende Risiken, Sicherheitslücken und Schwachstellen. Um unsere Vermögenswerte zu schützen und Eindringlinge abzuwehren, setzen wir sowohl proaktive als auch reaktive Maßnahmen um. So können wir eventuelle Schäden auf ein Minimum reduzieren und Gegenmaßnahmen ergreifen, um eine schnelle und vollständige Wiederherstellung unserer Systeme zu gewährleisten. Beispiele für derartige Maßnahmen sind: Ständige Schwachstellen-Scans von Cyber-Assets Simulationen von Sicherheitsverletzungen und Angriffen zur Bewertung potenzieller Angriffsflächen Laufende interne und externe Penetrationstests für kritische Anwendungen/Systeme Externe Audits zur Qualitätssicherung (ISO27k, PCI-DSS, NIS usw.) Schulungen Wir führen regelmäßige und intensive Schulungen durch, um das Bewusstsein unserer Mitarbeiter:innen für Informationssicherheit auf einem angemessenen Niveau zu halten. Diese Schulungen basieren auf allgemeinen Themen der Informationssicherheit, auf anlassbezogenen Forderungen nach zeitnahen Gegenmaßnahmen für bestimmte Anwendungsfälle oder auch auf zielgruppenorientierten Inhalten. Dabei setzen wir auf unterschiedliche Formate, wie beispielsweise: Verpflichtende E-Learning-Kurse inklusive Wissensabfrage Themenbezogene Videos Präsenzschulungen Anti-Phishing-Trainings „My News“-Plattform für den Austausch von Nachrichten über das Intranet und interne Blog-Postings Meldung von Vorfällen und Eskalationsverfahren Die OMV betreibt eine durchgehende 24/7-Sicherheitsüberwachung. Potenzielle Feststellungen werden über eine „Security Information and Event Management“-(SIEM-) Intelligenz verarbeitet und von Level-1-, Level-2- und Level-3-Analyst:innen nachbearbeitet. Unsere implementierten Eskalationsverfahren gewährleisten rund um die Uhr eine zeitnahe Behebung von Sicherheitsvorfällen. Das Cyber Defense Team der OMV klassifiziert Vorfälle, löst den Reaktionsprozess aus und aktiviert dann alle erforderlichen Funktionen über automatische und manuelle Warnungen, die per Sprachnachricht und SMS verschickt werden. Für sämtliche Korrekturmaßnahmen werden vordefinierte „Runbooks“ herangezogen, um eine effiziente und zeitnahe Bearbeitung sicherzustellen. Ein klarer Kommunikationsplan sorgt dafür, dass alle Beteiligten die richtigen Informationen erhalten. Business-Continuity-/Notfallpläne und Vorfallreaktionsverfahren Die OMV testet ihre Business-Continuity-Pläne und Verfahren zur Reaktion auf Vorfälle jährlich in Cyber-Notfallübungen. Der Fokus dieser Übungen, die gemeinsam mit externen Expert:innen durchgeführt werden, liegt auf spezifischen, realistischen Bedrohungsszenarien mit dem Ziel, die entsprechenden Verfahren und Prozesse zur Schadensbegrenzung zu testen. Die Tabletop-Übung umfasst eine Reihe von sogenannten „Injects“. Jedes Inject stellt ein Ereignis oder eine Teilinformation dar, das bzw. die im Laufe des Szenarios eingespielt wird und sich auf den jeweiligen Sicherheitsvorfall bezieht. Das Szenario wird von bis zu 30 Personen beobachtet. Unter den Teilnehmenden sind in der Regel Vertreter:innen der Teams für IT-Sicherheit, oberes IT-Management und OT-Sicherheit, aber auch andere Personen. Nach jedem Inject wird eine Überprüfung und Bewertung des Prozesses durchgeführt. Dazu gehört auch eine Evaluierung der gewonnenen Erkenntnisse. Maßnahmen im Jahr 2023 Im Jahr 2023 wurden konzernweit folgende wichtige Maßnahmen durchgeführt: 0 nennenswerte Vorfälle im Bereich der Cybersicherheit Es wurde eine ganzheitliche Krisenübung zur Cybersicherheit durchgeführt, die realistische Bedrohungsszenarien sowie IT- und OT-Bereiche umfasste. Ca. 65 verschiedene Arten von Sensibilisierungsmaßnahmen wurden durchgeführt (z. B. Präsenzübungen, Online-Schulungen und E-Mail-Phishing-Kampagnen). Die Zertifizierung nach ISO 27000 (IT-Sicherheitsmanagementsystem) wurde erneut geprüft und bestätigt. Ca. 400 IT-Projekte wurden von der Funktion IT Security Governance begleitet, um die festgelegten Sicherheitsanforderungen zu erfüllen und somit die Vermögenswerte der OMV entsprechend ihrem Schutzbedarf zu schützen. 0 nennenswerte Vorfälle im Bereich der Cybersicherheit Es wurde eine ganzheitliche Krisenübung zur Cybersicherheit durchgeführt, die realistische Bedrohungsszenarien sowie IT- und OT-Bereiche umfasste. Ca. 65 verschiedene Arten von Sensibilisierungsmaßnahmen wurden durchgeführt (z. B. Präsenzübungen, Online-Schulungen und E-Mail-Phishing-Kampagnen). Die Zertifizierung nach ISO 27000 (IT-Sicherheitsmanagementsystem) wurde erneut geprüft und bestätigt. Ca. 400 IT-Projekte wurden von der Funktion IT Security Governance begleitet, um die festgelegten Sicherheitsanforderungen zu erfüllen und somit die Vermögenswerte der OMV entsprechend ihrem Schutzbedarf zu schützen. Ausblick Der OMV Konzern ist einem kontinuierlichen Verbesserungsprozess und der Umsetzung entsprechender Maßnahmen verpflichtet. Strategisches Ziel ist es, den IT-Reifegrad weiter zu erhöhen und die Cyberabwehrfähigkeiten sowie die Resilienz gegen Bedrohungen über das bereits erreichte hohe Niveau hinaus zu erweitern. Bestehende Zertifizierungen sollten erneuert oder validiert werden, um die externe Qualitätskontrolle und -sicherung zu gewährleisten. Ein zusätzlicher Schwerpunkt liegt weiterhin auf den zunehmend an Bedeutung gewinnenden IT- und OT-Bereichen, insbesondere im Hinblick auf Cyberangriffe, um kritische Infrastrukturen und Einrichtungen aus beiden funktionalen Perspektiven zu sichern. 1 Informationstechnologie-(IT-)Sicherheit umfasst eine Reihe von Cybersicherheitsstrategien, die den unbefugten Zugriff auf Vermögenswerte des Unternehmens wie Computer, Netzwerke und Daten verhindert. Sie wahrt die Integrität und Vertraulichkeit sensibler Informationen und verhindert Hackerangriffe. 2 OT-Sicherheit bezeichnet die Operational-Technology-(OT-)Hardware und -Software, die eine Veränderung durch die direkte Überwachung und/oder Steuerung von physischen Geräten, Prozessen und Ereignissen im Unternehmen erkennt oder verursacht. OT ist in industriellen Steuerungssystemen (Industrial Control Systems; ICS) wie etwa einem SCADA-System üblich. 3 Payment Card Industry Data Security Standard close IT Informationstechnologie close t Tonne close OT Operational Technology close OT Operational Technology close ICS Industrial Control System; industrielles Steuerungssystem close ISO Internationale Organisation für Normung close IT Informationstechnologie close PCI-DSS Payment Card Industry Data Security Standard close ISMS IT-Sicherheitsmanagementsystem close NIS Netz- und Informationssystemsicherheit close SIEM Security Information and Event Management Sicherheit des UnternehmensMenschen
