Die Bedrohungslage durch Cyberattacken bleibt akut.  Die Angriffe auf die IT von Unternehmen und Institutionen sind in den letzten Jahren spürbar professioneller geworden. Umso wichtiger ist es, sich zu schützen und abzusichern. Dazu verpflichten unter anderem neue Sicherheitsvorschriften der EU.

Eine Umfrage aus dem Jahr 2023 ergab laut Statista, dass rund 58 Prozent der befragten Unternehmen in Deutschland mindestens einmal Opfer eines Cyberangriffs geworden waren. Insgesamt hat laut Bundesamt für Statistik die digitale Kriminalität in Deutschland 2023 um über 30 Prozent zugenommen. Darin enthalten sind neben dem Missbrauch von Online-Zahlungssystemen auch nicht gelieferte Ware von Kleinanzeigenplattformen, betrügerischer technischer Support oder CEO-Betrug – also Kriminelle, die sich per Mail als CEO ausgeben. Besonders stark zugenommen hat der Anteil der Phishing Mails.

Dies bestätigt auch unser Leiter für Informationssicherheit, Franjo Pelstring: “Die Zahl der Cyberangriffe und der dadurch stark betroffenen Unternehmen steigt immer weiter an. Das ist nicht nur ein Eindruck, der durch Berichterstattung entsteht, sondern das wird durch unsere Sicherheitssysteme exakt so widergespiegelt. Glücklicherweise konnten genau diese Systeme uns bislang immer gut schützen.”

Ein Grund für die erhöhte Cybergefährdung ist, dass die Täter:innen immer professioneller geworden sind. Insbesondere Phishing-Mails sind inzwischen nur mit entsprechendem Hintergrundwissen sicher zu identifizieren. Deshalb bietet unsere IT-Sicherheit auch regelmäßig Schulungen an.
„Als heterogenes, länderübergreifend agierendes Unternehmen haben wir nicht nur sehr spezifische Herausforderungen, sondern sind als Lebensmittelhändler auch dazu verpflichtet, uns an strenge Vorschriften zu halten, wenn es um unsere IT-Sicherheit geht.“Franjo Pelstring
Wichtigste Voraussetzung hierbei: Eine groupweite, gemeinsame Arbeitsgrundlage. Franjo Pelstring:  “Es ist im Grunde wie im Straßenverkehr. Dort haben wir eine gemeinsame Straßenverkehrsordnung, die besagt, dass wir an einer roten Ampel stehenbleiben oder an Fußgängerüberwegen anhalten müssen. Eine vergleichbare Ordnung brauchen wir für den Umgang mit IT und den Informationssicherheitsrisiken."

Mit dem Informationssicherheitsmanagementsystem hat sein Bereich nun diese Grundlage gelegt, so dass überall in der REWE Group die IT-Gefährdungslage mit den gleichen Methoden und Maßstäben gemessen wird. Für die IT-Sicherheit bedeutet das: Es wird eine einheitliche Basis für die Risikoeinschätzung geschaffen. Anhand von Kennzahlen kann so ein gemeinsames Bild über die komplette Group gezeichnet und es können die richtigen Schlüsse daraus gezogen werden.

Damit – und das ist auch ein Grund für die jüngste Aktualisierung der Richtlinien – sind wir auch für die kommenden neuen EU-Gesetze gewappnet, darunter die NIS2-Verordnung. Sie muss EU-weit in nationales Recht umgewandelt werden und erweitert unsere Pflichten, was die technischen, operativen und organisatorischen Sicherheitsmaßnahmen betrifft. Denn damit fallen auch Teile der REWE Group unter das Gesetz, die bislang von den strengen Regeln für kritische Infrastrukturen (KRITIS) noch nicht betroffen waren. “Gemeinsame Maßstäbe sind eine Voraussetzung, um die aus dem Gesetz resultierenden Maßnahmen in einem vertretbaren Aufwand umzusetzen”, so Franjo Pelstring. „Gemeinsame Maßstäbe sind eine Voraussetzung, um die aus dem Gesetz resultierenden Maßnahmen in einem vertretbaren Aufwand umzusetzen.“Franjo Pelstring Das Identifizierungs- und Zugangsmanagement (Identity und Access Management - IAM) wiederum legt einheitliche Standards für Berechtigungen fest: Welche Berechtigungen brauche ich und wofür? Grundlegend hierbei ist, dass vom Manager bis zum Reinigungspersonal alle bekommen, was sie brauchen, aber nicht mehr. Und, dass Berechtigungen bei einem Personalwechsel auch wieder entzogen werden.

Letztlich sind von den Regelungen alle Mitarbeitenden betroffen – jeder im Rahmen seines Verantwortungsbereichs. Dieser ist beim Top Ex anders gelagert als bei Mitarbeitenden in der Verwaltung oder im Markt.

Relevant für alle ist die Konzern-Richtlinie zum sicheren Umgang mit IT-Systemen und Informationen. Sie wurde an einigen Stellen nachgeschärft. Wichtigste Änderungen ist die Passwortrichtlinie: Anwender:innen müssen künftig längere Passwörter – genauer gesagt Passphrases – bilden. Weitere Konzern-Richtlinien richten sich dagegen vor allem an ITler und Führungskräfte, die sich beispielsweise mit Berechtigungskonzepten oder dem rechtzeitigen Austausch von IT-Geräten beschäftigen.