Cyber Security

{ GRI 418-1 }

Als Energieanbieter verwaltet Alperia eine große Menge an Daten: die personenbezogenen Daten der Kunden, Mitarbeiter und Partner, die technischen Daten in Bezug auf den Verbrauch der Kunden, die Vertriebsinfrastrukturen sowie die Anlagen zur Strom- und Wärmeerzeugung. Alperia ist sich bewusst, wie wichtig es ist, den Schutz dieser Informationen vor allem im digitalen Zeitalter zu garantieren, und widmet sich mit größter Sorgfalt und mit größtem Engagement der Gewährleistung der Sicherheit dieser Informationen unter dem Gesichtspunkt der Vertraulichkeit, des Datenschutzes, der Konsistenz und  Verfügbarkeit zur Zugriffsprüfung.

Um das Management der Informationssicherheit kümmert sich eine interne Struktur unter der Leitung eines Security-Managers, der im Rahmen der IT-Direktion tätig ist. Diese Abteilung definiert und überwacht die Architekturen und Systeme für die Informationssicherheit, betreut die Systeme für das  Identitätsmanagement und die Zugangskontrolle und greift bei etwaigen Cyber-Attacken ein. Das Management der Cyber-Security zu garantieren bedeutet, unbefugte Zugriffe auf die Systeme mit der anschließenden Entwendung sensibler oder personenbezogener Daten oder vertraulicher Informationen zu vermeiden. Deswegen aktualisiert Alperia seine Sicherheitssysteme kontinuierlich und arbeitet sowohl am externen als auch am internen Schutz.

Immer häufiger erfolgen Cyber-Attacken mittels fortschrittlicher Technologien der künstlichen Intelligenz und Machine-Learning. Diese Systeme bekämpft Alperia, indem es seinerseits modernste Technologien einsetzt, die ausgehend von der Bewertung des täglichen Verhaltens der Mitarbeiter etwaige Anomalien aufzeigen. Auch die E-Mail der Gruppe ist vor Spam und Malware geschützt. Alperia beabsichtigt zudem, Analysen in Bezug auf die Systemsicherheit durch externe Organisationen in Anspruch zu nehmen, die auf das Management von Sicherheitssoftware auf höchstem Niveau spezialisiert sind, um etwaige Mängel zu identifizieren und den Schutz weiter zu erhöhen.

2018 wurde ein System zum Management der DSGVO, der europäischen Datenschutz-Grundverordnung, implementiert, mit einer Schulung für das gesamte Personal und betrieblichen Internal-Audit-Tätigkeiten. Eine entsprechende Arbeitsgruppe beschäftigte sich mit der Implementierung der Verordnung und der Verbesserung der EDV-Sicherheitsinfrastruktur.

Einige Zahlen zur Sicherheit bei Alperia

2018 fingen die Alperia-Schutzsysteme im Durchschnitt 3.000 Spam-E-Mails pro Tag und mehr als 11.000 böswillige Verbindungsversuche ab. Die Zahlen sind im Vergleich zu 2017 rückläufig. Identifiziert und blockiert werden jeden Monat durchschnittlich:

  • 70 Viren (+ 312 % gegenüber 17 im Jahr 2017);,
  • 40 Spywareprogramme (Software, die Informationen zu den Onlineaktivitäten von Benutzern aufzeichnen): Fast das Doppelte gegenüber den 22 im Jahr 2017;
  • 1 Mio. schädliche, verdächtige oder unerlaubte Internetaktivitäten (+ 67 % gegenüber den 600.000 im Jahr 2017);
  • 120 schädliche oder unerlaubte Anwendungen (gegenüber 80 im Jahr 2017);
  • 250.000 schädliche oder unerlaubte Inhalte (gegenüber 300.000 im Jahr 2017).

Wie den Zahlen zu entnehmen ist, steigen die Bedrohungen ständig an. Die Schutzsysteme müssen entsprechend aktualisiert sein, damit es gelingt, diese Bedrohungen wirkungsvoll zu bekämpfen und die notwendige Sicherheit für die betrieblichen Systeme zu garantieren.

Zudem wurde eine EDV-Sicherheitsinfrastruktur eingerichtet und ausgebaut, eingerichtet wurde zudem eine Infrastruktur für Business Continuity für Open Systems, und 2019 wird eine Liste der Empfehlungen erstellt, die Alperia zu berücksichtigen hat, um seine Infrastruktur zu stärken, mit einem Arbeitsplan zu
deren Implementierung. Auch die möglichen internen Bedrohungen wurden mittels spezifischer Analysesysteme überwacht. Die Aktualisierungstätigkeiten werden mit den Tests des Disaster-Recovery-Plans und der Umsetzung von Systemen zum Schutz vor Ransomware-Bedrohungen weitergeführt. All dies hat das Ziel, das gesamte Sicherheitssystem immer aktueller und wirksamer zu machen.

Der Digital Officer analysierte den gesamten Anwendungsbestand, identifizierte Lücken und legte eine Roadmap für alle Unternehmensbereiche fest, insbesondere Buchhaltung, Assetmanagement, Marketing & Sales sowie die zur Erhebung von Big Data geeigneten Strukturen im Hinblick auf das IoT. Neue
Ziele wurden identifiziert, eine neue EDV-Plattform für die Beschaffung wurde implementiert und ein Prozess eingerichtet, welcher den Kunden die Möglichkeit gibt, mit Alperia auch anhand von digitalen Instrumenten für den Abschluss von Verträgen zu ermöglichen. Das „Try-and-Test“-Verfahren fand nicht nur auf technologischer, sondern auch auf kultureller Ebene statt, anhand der Einrichtung von funktionsübergreifenden Arbeitsgruppen.

In diesem Kontext ist es ausschlaggebend, stets informiert und auf dem neuesten Stand zu sein. Dafür nahmen die Mitarbeiter, die Zugriff auf sensible Daten haben, an Schulungstagen und entsprechenden Übungen teil. Zu diesen Tätigkeiten kamen Kurse über MS Office und D3 (zur digitalen Dokumentenarchivierung), und 2019 sollen derartige Maßnahmen mit der Einleitung eines Online-Kurses zum Thema Cyber-Security und sichere Nutzung digitaler Medien für das gesamte Personal der Gruppe ausgebaut werden. Zu diesem Zweck werden spezifische Maßnahmen am Arbeitsplatz für die Mitarbeiter mit einem verstärkten Einsatz von E-Learning-Instrumenten durchgeführt.

0 (Null)
Identifizierte Fälle von Diebstahl, Weitergabeoder Verlust von Kundendaten in 2018

Das von Alperia angewandte Cyber-Security-System entspricht der Zertifizierung nach ISO 27001, einer internationalen Norm, die bestätigt, dass Alperia ein zuverlässiges und sicheres System zum Management der betrieblichen Informationssysteme (elektronisch und in Dokumentenform) besitzt, um die  Managementkosten zu überwachen und zu reduzieren, um angemessene Servicelevels sicherzustellen und nachzuweisen, Risiken möglicher Störungen zu überwachen und zu reduzieren sowie Risiken von Betriebsausfällen einzugrenzen. Die Zertifizierung unterliegt einem jährlichen Audit, zu dem weitere Kontrollen kommen, die von der Abteilung Internal Audit der Gruppe durchgeführt werden. 2019 soll bewertet werden, ob auch die Lieferanten nach ISO 27001 zertifiziert werden sollen, und geplant ist die Teilnahme an Fachveranstaltungen zur Sicherheit (ITASEC, Clusit usw.). 

Im Lauf des Jahres 2018 wurden keine Zwischenfälle in der Informationssicherheit (vom Standard als „Incidents“ klassifiziert) festgestellt. Besonderer Wert wurde schließlich auf das Management des Sicherheitssystems während der mit den Start-up-Unternehmen durchgeführten Tätigkeiten gelegt.

Strategisches Ziel: Wir wollen den Schutz sämtlicher Daten und die Einhaltung der geltenden Sicherheitsstandards garantieren.

Operative ZieleUmgesetzte Maßnahmen im Jahr 2018Geplante Maßnahmen im Jahr 2018ZeitplanKPIZielwertStatusWert Jahr 2018

100 % Compliance mit gesetzlicher Datenschutzbestimmungen
  • Unterstützung der Gruppe bei der Umsetzung des GDPR-Managementsystems für Datenschutzfragen.
  • Internes Datenschutzaudit
Einführung einheitlicher Privacy Richtlinien und Schulung dieser2019Prozentsatz Compliance100%ongoing100%

Keine Sicherheitsvorfälle bezüglich Informationsmanagement und Datenschutz
  • Zertifizierung nach der ISO 27001 (Information Security Management) 
  • Evaluierung unserer Lieferanten, ob diese ISO 27001 zertifiziert sind
  • Zertifizierung nach der ISO 27001 (Information Security Management) 
  • Evaluierung unserer Lieferanten, ob diese ISO 27001 zertifiziert sind
2019Sicherheits-vorfälle0ongoing0

Business continuity im Fall von IT-Vorfällen (z.B. bei Serverausfällen, Stromausfällen) gewährleisten
  • Implementierung und Weiterentwicklung der IT-Sicherheitsinfrastruktur
  • Implementierung der Business Continuity Infrastruktur für den open Teil
  • Implementierung eines Analysesystems gegen Bedrohungen durch Insider (Darktrace)
  • Testen und Ausführen des Disaster Recovery Plans
  • Einführung von Systemen zur Reduzierung von Ransomware- Bedrohungen
  • Das gesamte Sicherheitssystem auf dem neuesten Stand der Technik halten.
2017-2021--ongoing-

Schaffung einer IT-Sicherheitskultur bei unseren Mitarbeitern, um Risiken zu reduzieren
Schulung zur GDPR für alle Alperia MitarbeiterEntwicklung eines Online-Kurses zur Cybersicherheit und zur sicheren Nutzung digitaler Medien für alle Mitarbeiter der Gruppe.2017-2021--ongoing-