Die Globalisierung unseres Unternehmens erfordert eine optimale Unterstützung durch die Nutzung einer Vielzahl von IT-Systemen und -Prozessen. Trends in der Informationstechnologie liefern dabei vielfältige Möglichkeiten, bergen aber auch Risiken.
Risiken durch E-Crime und den Ausfall geschäftskritischer IT-Anwendungen
Aufgrund der zunehmenden internationalen Vernetzung und der damit verbundenen Möglichkeit des Missbrauchs von IT-Systemen ergeben sich entsprechende E-Crime-Risiken, zum Beispiel der Ausfall zentraler IT-Systeme, der Verlust der Datenintegrität oder die Preisgabe von vertraulichen Daten aus F&E sowie Geschäftstätigkeit, die Manipulation von IT-Systemen in der Prozesssteuerung oder eine erhöhte Belastung oder Beeinträchtigung von IT-Systemen durch Virusattacken.
Wir betreiben und pflegen ein auf ISO 27001 basierendes Informationsschutz-Managementsystem. Unser Governance Framework umfasst organisatorische, prozessorientierte und technische Maßnahmen zum Schutz der Informationssicherheit, die auf anerkannten internationalen Standards basieren. Darüber hinaus setzen wir auf harmonisierte elektronische und physische Sicherheitskontrollen – beispielsweise bei der Zugangskontrolle oder Sicherheitsüberwachung. Damit wollen wir unsere Kompetenz im Umgang mit sensiblen Daten, etwa Betriebsgeheimnissen, stärken.
Die Funktion Cybersicherheit gehört dem Group Corporate Security Office an. Wir verfügen darüber hinaus über einen Group Chief Information Security Officer und ein Netzwerk von Information Security Officers in den Unternehmensbereichen, die jeweils von dedizierten Netzwerken unterstützt werden. Die einzelnen Bereiche sind Risikoverantwortliche und fungieren als erste Verteidigungslinie für die Cybersicherheit. Als zweite Verteidigungslinie dient unsere globale Funktion Cyber Security; sie ist auch für die Steuerung und Überwachung von Cybersicherheitsrisiken zuständig. Unsere dritte Verteidigungslinie stellen interne Audits dar.
Weltweit genutzte IT-Anwendungen bilden die Basis für die vertragsgerechte Lieferung von Produkten und Lösungen. Der Ausfall von geschäftskritischen IT-Anwendungen kann somit einen direkten Einfluss auf unsere Lieferfähigkeit und die Qualität der Produkte haben. Dies gilt auch für den Ausfall eines Rechenzentrums. Zur Erreichung der erforderlichen Servicequalität nutzen wir ein nach ISO 9001 zertifiziertes Qualitätsmanagementsystem, das auch für die Bereitstellung der IT gilt. Zudem betreiben wir zur Reduzierung des Ausfallrisikos mehrfach redundant ausgelegte Rechenzentren. Weiterhin existieren auf Konzernebene Versicherungslösungen für E-Crime-Tatbestände.
Ebenso können Komplikationen in der Umstellung von IT-Systemen die Vermögens-, Finanz- und Ertragslage negativ beeinflussen. Eine enge Überwachung kritischer IT-Projekte dient als Mitigierung.
Die Risiken durch E-Crime oder den Ausfall geschäftskritischer IT-Anwendungen und deren Einfluss auf das EBITDA pre oder den operativen Cash Flow werden trotz getroffener mitigierender Maßnahmen und einer funktionsfähigen Kontinuitätsplanung als möglich mit erheblichen Auswirkungen eingeschätzt.