Information Security / Cybersecurity
Die Konzernstrategie setzt auf ein umfassendes Risikomanagement. Für die Unterstützung der Geschäftstätigkeiten von HOCHTIEF ist die Informationstechnik (IT) ein wesentlicher Bestandteil. Aus diesem Grund wird der Sicherheit der IT-Systeme und der Daten ein sehr hoher Stellenwert beigemessen.
Die Erzielung eines angemessenen Sicherheitsniveaus beim Einsatz der Information Security durch technische und organisatorische Sicherheitsmaßnahmen ist nicht nur durch Rechtsvorschriften bestimmt, sondern auch Teil der Verpflichtungen gegenüber den Kunden und Geschäftspartnern von HOCHTIEF sowie dem Schutz der eigenen Interessen. Die Sicherheit beim Einsatz der Informationstechnik liegt somit im Interesse aller Parteien und wird damit zu einer wichtigen Zielvorgabe für HOCHTIEF.
Die zu erreichenden Ziele sind dabei insbesondere:
- Einhaltung gesetzlicher und vertraglicher Verpflichtungen
- Einhaltung interner und externer Vorgaben (Compliance)
- Schutz vor Zugriff durch nicht autorisierte Personen
- Schutz vor Manipulation der Daten
- Angemessene Verfügbarkeit der Daten und Systeme
Alle Sicherheitsziele beziehen sich unmittelbar auf die HOCHTIEF Aktiengesellschaft und deren Tochtergesellschaften. Bei Minderheitsbeteiligungen stellt HOCHTIEF sicher, dass in diesen Gesellschaften gleichwertige Ziele und Maßnahmen bestehen.
Information Security Management Program
Information Security Management Program
Das "HOCHTIEF Information Security Management Program" beschreibt die Positionierung der Informationssicherheit bei HOCHTIEF. Es ist bei HOCHTIEF der Rahmen zur Entwicklung, Implementierung und Verwaltung von Sicherheitsrichtlinien und -praktiken.
Die Inhalte des Information Security Management Programs werden kontinuierlich auf die sich ändernde Bedrohungslandschaften und technologische Anforderungen angepasst. Das Programm hat das Ziel weiterhin Security Breaches zu vermeiden. Es bezieht sich auf eigene Tätigkeiten, macht aber auch deutlich, welchen Anspruch HOCHTIEF bei Geschäftspartnern ansetzt.
Mit den folgenden Komponenten zielt das Information Security Management Program darauf ab, die Integrität, Verfügbarkeit und Vertraulichkeit von Informationen bei HOCHTIEF über den gesamten Lebenszyklus zu schützen und somit vor ungewünschtem Zugriff, Änderung, Abfluss, Störung oder aber auch Löschung zu schützen.
Sicherheitsorganisation
Sicherheitsorganisation
Die Planung, Umsetzung und Aufrechterhaltung der Information Security wird durch die Information Security Organisation sichergestellt, die den Vorstand unterstützt, der wiederum vom Aufsichtsrat kontrolliert wird.
Im Vorstand ist der CEO verantwortlich für das Thema Information Security. Ein externer CISO as a Service komplettiert die Organisation auf der Management-Ebene.
Im Aufsichtsrat ist das Thema Information Security / Cybersecurity Teil des Themas Sustainability / Corporate Responsibility und damit im Audit/Sustainability Committee verankert. Das Audit/Sustainability Committee hat, unter anderem mit Frau Prof. Dr. Mirja Steinkamp, die entsprechende fachliche Expertise.
Die Mitglieder des Aufsichtsrats und Vorstandes haben aufgrund Ihrer langjährigen Tätigkeiten in verschiedenen Unternehmen und Positionen umfangreiche Erfahrungen im Management von Risiken, einschließlich der Bewertung von Information Security / Cybersecurity Sicherheitsrisiken.
Die Information Security Organisation besteht aus
- dem Chief Information Security Officer (CISO) der HOCHTIEF Aktiengesellschaft und
- den CISOs der Divisions (CISO Divisions) mit ihren Unterorganisationen.
Der Chief Information Security Officer (CISO) der HOCHTIEF Aktiengesellschaft berichtet direkt an den für Information Security zuständigen Vorstand. secunet Security Networks AG, als führendes Cybersecurity Unternehmen in Deutschland, stellt im Rahmen einer vertraglich vereinbarten Leistung für HOCHTIEF den CISO als externer CISO as a Service.
HOCHTIEF arbeitet auf Basis von Rahmenverträgen in konzeptionellen und operativen Belangen eng mit führenden IT Sicherheitsdienstleistern zusammen. Diese langjährige Zusammenarbeit garantiert in dem breiten, wie auch tiefen Themenfeld der Information Security bei Bedarf den Zugriff auf ergänzende professionelle Beratung und Unterstützung durch geschulte und erfahrene Spezialisten. Diese Leistung wird nicht nur bei der konzeptionellen Beratung, sondern auch bei der Bewertung von Sicherheitsrisiken, der Unterstützung bei Sicherheitsvorfällen und auch bei der Entscheidungsfindung in den verschiedenen Gremien genutzt.
Der Information Security Organisation werden ausreichende finanzielle Mittel und zeitliche Ressourcen zur Verfügung gestellt, um ihre Informationssicherheitsaufgaben ordnungsgemäß durchführen zu können. Fundierte Kenntnisse und Erfahrungen sind für die internen Verantwortlichen aber auch bei externen Beratern Voraussetzung.
Damit innerhalb der Organisation alle Stellen im Sinne des Vorstandes das Thema Information Security vorantreiben, delegiert der Vorstand die Umsetzungsverantwortlichkeit an die Divisions (Information Security Policy als Teil der IT-Richtlinie).
Diese Information Security Organisation ermöglicht es dem Vorstand regelmäßig über Cyberrisiken, die aktuelle Sicherheitsstrategie und Trends informiert zu sein. Dank dieser Einbindung ist ein Abgleich der Geschäftsstrategie mit der Information Security Strategie gewährleistet.
Überwachung, Risikobewertung und Berichterstattung
Überwachung, Risikobewertung und Berichterstattung (Vulnerability Analysis / Reporting)
Durch eine aktive und kontinuierliche Beobachtung der Bedrohungslage, der Identifizierung, Bewertung, Klassifizierung und Priorisierung von Bedrohungen und Schwachstellen, wird ein effektives Risikomanagement aufgebaut, die eingesetzte IT-Infrastruktur und die damit verbundenen Prozesse durchgehend den wechselnden Anforderungen angepasst und potenzielle Schäden minimiert.
Zur Erreichung dieses Zieles wurden unter anderem folgende Maßnahmen implementiert:
- Kontinuierliche Suche nach Bedrohungen und Schwachstellen auf der Basis von Newslettern, der Auswertung von CVE-Reporting und der Nutzung professioneller Thread Reporting Teams.
- Im Rahmen des Supply-Chain-Managements die strukturierte Prüfung von durch Dritte (Berater, Software, Hardware, Provider, Cloud-Services,…) bereitgestellte Ressourcen mit Relevanz auf die IT-gestützten Geschäftsprozesse.
- Überwachungs- und Erkennungssysteme an verschiedensten Stellen innerhalb der IT-Infrastruktur, die den Netzwerkverkehr auf verdächtige Aktivitäten analysieren und so unbefugten Zugriff und gezielte Angriffe verhindern.
- Security Event Management Systeme, die Ereignisse korrelieren, um Anomalien 24x7x365 zu erkennen und eine schnelle Reaktion auf jeden Sicherheitsvorfall zu ermöglichen.
- Regelmäßige automatisierte und manuelle Penetrationstests
- Regelmäßige interne Audits, die Abweichungen in den Sicherheitseinstellungen aufdecken und die Wirksamkeit der Präventionsmaßnahmen verbessern.
- Prozesse zur Bewertung von internen Ausnahmeanträgen.
- Strukturierte Evaluierung von neuen Anforderungen vor Test-, Pilot oder produktivem Betrieb.
Eine regelmäßige Berichterstattung über den Sicherheitsstatus der Organisation aber auch die situative Kommunikation zu Bedrohungen und Vorfällen dient der strukturierten Information der verantwortlichen Stellen. Die Berichterstattung umfasst neben der Bedrohungslage, der Auswirkungen und der ergriffenen Maßnahmen zur Risikominimierung auch Maßnahmen zur Vermeidung zukünftiger Risiken.
Melde- und Eskalationsprozesse
Melde- und Eskalationsprozesse (Report of incidents, vulnerabilities and suspicious activities)
Definierte und kommunizierte Melde- und Eskalationsprozesse bzgl. verdächtiger Aktivitäten, Schwachstellen oder Vorfällen garantieren adäquate Reaktionszeiten und die strukturierte Einbeziehung der verantwortlichen Stellen. Das HelpDesk ist darauf trainiert adäquate Sofortmaßnahmen zu ergreifen.
Sicherheitsbewusstsein und Schulung
Sicherheitsbewusstsein und Schulung (Information Security Awareness Training)
Informationssicherheit ist nicht nur ein technischer, sondern auch ein menschlicher Aspekt. Aus diesem Grund werden auf allen Ebenen der Organisation kontinuierliche Schulungen und Sensibilisierungen durchgeführt, um sicherzustellen, dass Mitarbeitende ihre Rolle beim Schutz von Informationen und die Bedeutung der Einhaltung der festgelegten Richtlinien kennt.
Informationssicherheit ist eine gemeinsame Verantwortung und eine dauerhafte Verpflichtung, so dass auch aktuelle Herausforderungen des digitalen Umfelds einbezogen werden, um den Schutz von Vermögenswerten und das Vertrauen der Stakeholder zu gewährleisten.
Trainings im Bereich Information Security / Cybersecurity umfassen verpflichtende allgemeine Schulungen, Update-Schulungen zur Auffrischung und spezielle Schulungen zu aktuellen Themen oder Bereichen (z.B. Phishing). Ziel aller Aktivitäten ist es zudem, dass die für Informationssicherheit verantwortlichen Stellen durch geeignete und zielbezogene Schulungsmaßnahmen für die Mitarbeitenden akzeptierte und genutzte Ansprechpartner sind.
Technische Kontrollen
Technische Kontrollen (Technical Measures)
Die Verwendung technischer Lösungen, wie zum Beispiel Firewalls, Verschlüsselung und Zugriffssteuerung, gewährleisten die Sicherheit der IT-Systeme.
In diesem Sinne wurde unter anderem folgendes umgesetzt:
- Kontinuierliche Prüfung, Neugestaltung und Erneuerung der internen Netzwerkarchitektur, um technologische Obsoleszenz zu vermeiden und Schwachstellen zu minimieren, die die Verbreitung von Malware erleichtern könnten. Dazu gehören Geräte-Upgrades, Netzwerksegmentierung und die Einführung fortschrittlicher Sicherheitstechnologien.
- Isolierung der Infrastruktur vom Internet, um sicherzustellen, dass Systeme nur minimal gefährdet sind und dass der Zugriff durch Netzwerksicherheitselemente streng kontrolliert wird.
- Isolation von externen Geräten, Anwendung sicherer Konfigurationen, strenger Zugriffskontrollen sowie automatisierter Update- und Patch-Richtlinien und -Prozesse, um das Risiko zu minimieren, dass Schwachstellen ausgenutzt werden.
- Schutz mobiler Geräte durch die Implementierung von Sicherheitsrichtlinien wie Datenverschlüsselung, Multifaktor-Authentifizierung und MDM-Tools (Mobile Device Management), um unbefugten Zugriff zu verhindern.
Interne und externe Audits
Interne und externe Audits (Internal Audits / Independent External Audits)
Zur Erreichung der Sicherheitsziele ist neben der Herausgabe einer Information Security Policy die Kontrolle der Umsetzung ein wesentlicher Bestandteil. Dies geschieht durch interne Auditierungen und unabhängige externe Überprüfungen:
- IT-Monitoring
Ein jährlich den aktuellen Anforderungen angepasster Plan dient der IT zur Überprüfung der Vorgaben. - IT-Audit
Eine unabhängige, interne Überprüfung erfolgt durch die interne Revision. Auch die Revision strukturiert die Maßnahmen mit Hilfe eines auf die Anforderungen abgestimmten Prüfplanes. - Jahresabschlussprüfung durch den externen Wirtschaftsprüfer
Im Rahmen der unabhängigen Jahresabschlussprüfung wird geprüft, dass die Finanzinformationen als zuverlässig angesehen werden können. Im Zuge eines risikoorientierten Prüfungsansatzes werden neben den reinen betriebswirtschaftlichen Zahlen auch die Prozessabläufe beleuchtet. Dies umfasst Betriebsbesichtigungen, Befragungen, Vertragsdurchsichten, Bilanzanalysen aber auch die Untersuchung von IT-gestützten Geschäftsprozessen. - Penetration-Test
Zur Überprüfung der Cybersicherheit werden regelmäßig Tests durch professionelle, externe Sicherheitsfirmen durchgeführt.
Notfallmanagement und Wiederherstellung
Notfallmanagement und Wiederherstellung (Information Security Business Continuity Plans)
Pläne und Prozesse zur Prävention, aber auch zur schnellen Reaktion auf Sicherheitsvorfälle und zur Wiederherstellung betroffener Systeme dienen zur Vermeidung oder Limitierung von Betriebsunterbrechungen.
Die Divisions stellen sicher, dass geschäftskritische IT-gestützte Arbeitsabläufe ausfallsicher implementiert und ein Wiederanlauf durch abgestimmte Pläne und Tests gesichert ist.
Die folgenden Maßnahmen wurden unter anderem implementiert:
- Disaster-Recovery-Pläne (technologisch und nicht-technologisch)
Sicherstellung der Business Continuity durch automatisierte Backups, Wiederherstellungstests und Datenredundanzstrategien. - Verfahren zur Reaktion auf Vorfälle (Playbooks)
Festlegung spezifischer Schritte für die Eindämmung, Beseitigung und Wiederherstellung im Falle eines (technologischen oder nicht-technologischen) Vorfalls und regelmäßige Überprüfung des Prozesses. Playbooks mit vordefinierter Kommunikation, die die Reaktionszeiten minimieren. - Forensische Analyse
Untersuchung der Ursache von Vorfällen und Umsetzung von Korrekturmaßnahmen, um deren Wiederholung zu verhindern. - Externe Incident Response Teams
Im Ereignisfall sorgen Verträge mit externen Experten für eine professionelle Unterstützung.
Information Security Policy
Information Security Policy
Durch die Entwicklung und Implementierung klarer formaler Richtlinien und Verfahren werden die Standards für den Schutz Daten und Systeme sichergestellt. Die Inhalte basieren auf Standards aber auch Best-Practices, beziehen sich nicht nur auf interne Aktivitäten, sondern auch auf Partner und Lieferanten. Eine kontinuierliche Prüfung und Anpassung der Inhalte auf sich ständig wechselnde Anforderungen und Bedrohungslagen stellt die Aktualität und Effektivität der beschriebenen Maßnahmen sicher.
Entsprechend der folgenden Passagen der ACS Information Security Policy (Stand 19.12.2024) erfüllt HOCHTIEF alle von ACS in der ACS Information Security Policy gelisteten Vorgaben:
ACS Information Security Policy – 4. Scope of application
This Policy applies to the entire ACS organization, as well as to suppliers and clients providing services or maintaining relationships with ACS, projecting itself onto ACS Group companies.
In those affiliated companies where this Policy is not directly applicable, ACS will, to the extent possible, promote alignment of their policies with those of ACS through its representatives on their governing bodies.
This Policy will also apply, as appropriate, to temporary business alliances, joint ventures, and other equivalent associations, whether domestic or international, where any of the companies within the ACS Group have control over their management, always within the legally established limits.
Für HOCHTIEF verbindliche Information Security Policy von ACSAlle Mitarbeiter sind gemäß ihren Anstellungsverträgen auf die Einhaltung der Richtlinien bei HOCHTIEF verpflichtet. Die für die Mitarbeiter relevanten Maßnahmen der Information Security Policy stehen allen Mitarbeitern zur Verfügung. Die Führungskräfte stellen die Einhaltung und Umsetzung sicher.
Zugleich gilt die Information Security Policy auch für die Bereitstellung und den Betrieb der IT, unabhängig davon, ob diese Leistung durch interne Ressourcen oder aber durch externe IT-Dienstleister erbracht werden. Dieses umfasst auch an externe IT-Dienstleister vertraglich beauftragte IT-Prozesse (z.B. das Outsourcing des Incident-Managements an einen externen IT-Dienstleister).
Die Information Security Policy der HOCHTIEF Aktiengesellschaft mit all ihren Maßnahmen und Prozessen basiert auf Sicherheitsstandards. Alle kritischen IT-gestützten Geschäftsprozesse basieren auf Geschäftsbereichen, die nach Sicherheitsstandards zertifiziert sind oder durch externen IT-Dienstleistern, die nach Sicherheitsstandards zertifiziert sind. Die bei HOCHTIEF genutzten Sicherheitsstandards sind ISO27001, NIST und BSI Grundschutz.
Bei HOCHTIEF gilt die Vorgabe „Security by Design“. Primäres Ziel ist der Einsatz technischer Maßnahmen, bei denen durch das Systemdesign oder die Systemkonfiguration eine sichere Arbeitsumgebung fester Bestandteil der Implementierung ist. Müssen auf organisatorische Maßnahmen zurückgegriffen werden, so sind diese in strukturierte, dokumentierte und mit Kontrollprozessen versehene Abläufe integriert. Technische Analysesysteme flankieren die Maßnahmen.