OEDIV setzt auf eine moderne Infrastruktur und hochverfügbare Systemarchitektur in verteilten Rechenzentren, um höchste Sicherheitsansprüche zu erfüllen. Wir nutzen fortschrittliche Systemmanagementlösungen zur Überwachung und Absicherung der Systeme. Durch kontinuierliche Sicherheitsprüfungen und Datenspiegelung sowie ausgereifte Backup-Verfahren wird der Datenverlust vermieden.
Wir richten uns nach den Anforderungen des ISO/IEC 27001 Standards zur Etablierung eines Informationssicherheits-Managementsystems (ISMS). OEDIV hat eine Organisation für Informationssicherheit aufgebaut und nutzt eine eigene Risikomanagement-Methodik zum Schutz der Informationen.
Zusätzlich sind Zertifizierungs- und Wirtschaftsprüfungsgesellschaften beauftragt, die Sicherheit der technischen und organisatorischen Maßnahmen durch Audits zu verifizieren.
ISO/IEC 27001
ISAE 3402
DIN EN 50600
Informationssicherheit bei OEDIV
ISO/IEC 27001 ist ein international anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS). Er legt die Anforderungen fest, die Organisationen erfüllen müssen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Der Standard umfasst die Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines dokumentierten ISMS, das auf die spezifischen Bedürfnisse und Risiken der Organisation zugeschnitten ist.
ISO/IEC 27001 Scope Statement:
Das ISMS der OEDIV Oetker Daten- und Informationsverarbeitung KG umfasst alle Prozesse, Mitarbeiter und Technologien zur Bereitstellung von IT-Services für die Kunden von OEDIV inklusive der zugehörigen IT-Infrastruktur an den Rechenzentrums-Standorten in Bielefeld.
ISAE 3402 Typ II SOC1 ist ein international anerkannter Standard, der die Anforderungen für Berichte über Kontrollen bei Dienstleistungsunternehmen festlegt. Diese Zertifizierung bietet Kunden und anderen Interessengruppen die Gewissheit, dass OEDIV über angemessene Kontrollen verfügt, um die Vertraulichkeit, Integrität und Verfügbarkeit seiner Informationssysteme zu gewährleisten.
Passwortsicherheit
OEDIV pflegt und erzwingt eine Passwortrichtlinie sowie Kontrollen, die Szenarien für Remote-Verbindungen, Mindestlänge, Komplexität, Ablauf, Sperrungen und Verschlüsselung abdecken.
Rollenbasierter Zugriff
Der Zugriff auf die Systeme von OEDIV basiert auf dem Least Priviledge Principle, die Rollen der Benutzer sind nach Aufgaben getrennt.
Einzigartige Konten und Zugriffsterminationen
Benutzerkonten bei OEDIV sind jeweils einer einzelnen Person zuordenbar. Der Zugriff auf die Systeme von OEDIV wird bei Beendigung des Arbeitsverhältnisses oder der Dienstleistung deaktiviert.
Festplattenverschlüsselung
OEDIV verschlüsselt Endpunkte im Ruhezustand mit branchenüblichen Verschlüsselungsmethoden.
Malwareschutz
OEDIV nutzt eine Anti-Malware-Lösung auf Endpunkten, um Malware-basierte Angriffe zu erkennen und zu blockieren.
Schwachstellenmanagement und Erkennung von Bedrohungen
OEDIV setzt EDR ein, um Schwachstellen und Bedrohungen auf Endpunkten zu erkennen und zu mindern.
Firewall
OEDIV nutzt Next Generation Firewalls, um den Netzwerkverkehr mithilfe von Zugriffsregeln zu sichern.
IDS/IPS
OEDIV verwendet Intrusion Detection and Prevention (IDS/IPS) Funktionen, um unbefugte Netzwerkzugriffe zu erkennen und einzuschränken.
Netzwerksegmentierung
OEDIV segmentiert den Netzwerkverkehr durch Routing- und Zugriffskontrollen, die den Verkehr in internen Netzwerken von öffentlichen oder anderen unzuverlässigen Netzwerken trennen.
Security Information and Event Management
OEDIV nutzt Security Information and Event Management (SIEM) und Tools, um Anwendungs-, Netzwerk- und Serverprotokolle auf Sicherheitsereignisse und Vorfälle zu analysieren.
Virtual Private Network (VPN)
Der Fernzugriff auf das OEDIV-Netzwerk ist nur autorisiertem Personal gestattet. Der Fernzugriff wird durch sichere Zugriffsprotokolle (VPN), Verschlüsselung und Multi-Faktor-Authentifizierung kontrolliert.
Wireless Security
OEDIV wendet Sicherheitskontrollen für drahtlose Netzwerke in den OEDIV-Einrichtungen an, indem die Zugangspunkte gesichert und unnötige Ports und Dienste entfernt werden. Sichere drahtlose Protokolle werden für die Authentifizierung und Datenübertragung verwendet.
Zero Trust Network Access
Wir führen Zero Trust Network Access (ZTNA) Kontrollen durch, um kritische Anwendungen und Infrastrukturen zu schützen.
Cyber Risk Management
OEDIV führt regelmäßige Risikoanalysen durch, um Bedrohungen und Schwachstellen für den Betrieb, die Assets und die Daten zu identifizieren. Abhilfemaßnahmen werden verwaltet, um inakzeptable Risiken zu mindern.
OEDIV implementiert eine umfassende Strategie zur Verwaltung von Risiken für betriebliche Abläufe und Assets, Einzelpersonen und andere Organisationen, die mit dem Betrieb und der Nutzung von Systemen verbunden sind, und setzt diese Strategie konsequent im gesamten Unternehmen um. Risikoanalysen identifizieren Bedrohungen und Schwachstellen und bestimmen dann die Wahrscheinlichkeit und die Auswirkungen für jedes Risiko. OEDIV nutzt eine qualitative Risikobewertungsmethodik zur Bewertung von Cybersecurity-bezogenen Risiken. OEDIV identifiziert Risiken aus verschiedenen Quellen wie regelmäßigen Schwachstellenscans, Penetrationstests, Lieferantenrisikobewertungen, Produkt- und Dienstleistungsaudits, internen Compliance-Bewertungen, Incident Response, Threat Hunting Sessions usw.
Email Protection
OEDIV setzt E-Mail-Gateways mit Spam-Filtern und bösartiger E-Mail-Blockierung ein, um sich vor unerwünschten E-Mails und Online-Bedrohungen zu schützen.
Employee Training
OEDIV verpflichtet alle Mitarbeitenden, das unternehmensweite Training zur Informationssicherheit und Compliance bei Eintritt sowie anschließend mindestens einmal jährlich erfolgreich zu absolvieren. Das Training umfasst interaktive Inhalte wie Videos, Gamification-Elemente, praxisnahe Infografiken sowie ergänzende Richtlinienverweise und zielt darauf ab, das Sicherheitsbewusstsein und die Cyber-Resilienz nachhaltig zu stärken.
Ergänzend werden regelmäßig Phishing-Simulationen durchgeführt, um den Umgang mit Social-Engineering-Angriffen zu trainieren und eine gelebte Sicherheitskultur im Unternehmen zu fördern.
Incident Response
Die Incident Response Richtlinie definiert die Anforderungen zur Verwaltung und Reaktion auf Sicherheitsvorfälle, einschließlich Eskalations- und interner sowie externer Benachrichtigungsschritte, sodass das Incident Response Team in der Lage ist, zeitnah zu reagieren und die richtigen Mitarbeitende und externen Ressourcen zur Lösung von Vorfällen hinzuzuziehen.
Penetration Testing
Soweit zutreffend, führt OEDIV regelmäßig Penetrationstests an geschäftskritischen Systemen und Netzwerken durch. Penetrationstests werden von spezialisierten internen Ressourcen sowie unabhängigen Dritten durchgeführt.
Security Operations Center
Das Security Operations Center von OEDIV überwacht die Infrastruktur und Anwendungen, um sich entwickelnde Cyber-Bedrohungen zu identifizieren, Sicherheitswarnungen zu triagieren und auf Sicherheitsvorfälle zu reagieren.
Sicherheitsprotokolle werden zentral verwaltet und regelmäßig auf Anomalien analysiert. Die Integrität der Protokolldateien wird durch Zugriffsbeschränkungen auf die Systeme, die Protokolldateien speichern, gewahrt und vor Manipulation geschützt. Regelmäßige Schwachstellenscans auf Netzwerk- und Anwendungsebene werden durchgeführt, um Schwachstellen mit branchenüblichen Scanning-Tools zu identifizieren. Anti-Virus/Malware- und Endpunkt-Schutz-Tools werden eingesetzt, um bösartigen Code zu verhindern, zu erkennen und zu entfernen und unsichere Prozesse zu blockieren.
Third Party Risk Management
OEDIV führt eine Risikobewertung von Drittanbietern durch, um Risiken zu managen und die Vertraulichkeit, Integrität und Verfügbarkeit von OEDIV-Informationen und -Assets zu gewährleisten.
Risikobewertungen und andere Sorgfaltsprüfungen bei Lieferanten basieren auf dem Risikopotenzial durch deren Zugriff auf OEDIV-Systeme und -Daten. Soweit zutreffend, werden die Sicherheitsanforderungen in einem Sicherheitsvertrag mit dem Lieferanten festgelegt und vereinbart.