Die fortschreitende Digitalisierung und digitale Transformation bietet große Chancen für die Gesundheitsversorgung – mit innovativen technologischen und therapeutischen Ansätzen, die die Behandlungswege der Patientinnen und Patienten verbessern. Fresenius erschließt mit diesen digitalen Produktlösungen neue Märkte und berücksichtigt dabei, dass die Digitalisierung mit Cyberrisiken verbunden ist. Wir sind kontinuierlich bestrebt, die Sicherheit unserer digitalen Anwendungen und Systeme zu erhöhen, um Cyberrisiken zu reduzieren und Schäden von unseren Patientinnen und Patienten sowie von unserem Unternehmen abzuwenden. Alle Patientinnen und Patienten vertrauen darauf, dass ihre Sicherheit gewährleistet ist und Gesundheitsdaten geschützt sind.
Unser Ansatz
Im Fresenius-Konzern verfolgen wir für das Management von Cybersecurity einen ganzheitlichen Ansatz. Wir bringen Entscheiderinnen und Entscheider aus den Cybersecurity-Fachbereichen mit verantwortlichen Ansprechpartnerinnen und -partnern aus den Fach- und Unternehmensbereichen zusammen, um eine gemeinschaftliche Vorgehensweise zu entwickeln, die im Einklang mit unseren strategischen Zielen steht. Wir stützen unsere Strategie auf die Sicherheitsanforderungen unserer vier Unternehmensbereiche. Dies manifestiert sich in allen konzernweit gültigen Cybersicherheitsleitlinien.
2017 hat der Vorstand der Fresenius Management SE den Ansatz Cybersecurity Approach, Roadmap and Execution (CARE) verabschiedet. Seit 2018 dient CARE als Cybersecurity-Programm, das Cybersecurity-Initiativen bündelt und unsere Resilienz zum Schutz vor und zur Abwehr von Cyberangriffen stärkt. 2020 hat der Vorstand der Fresenius Management SE eine konzernweite Cybersecurity-Richtlinie (Cybersecurity Policy) in Kraft gesetzt. Sie definiert die Ziele sowie die Aufbau- und Ablauforganisation für die Steuerung von Cybersecurity im Fresenius-Konzern, integriert in CARE.
Um die konzernweite Cybersicherheit und die damit verbundenen Risiken zu managen, haben wir fünf Risikodomänen festgelegt. Sie werden von den jeweiligen Risk Domain Managern gesteuert – auf Konzernebene und in den vier Unternehmensbereichen. Mit Unterstützung des Group Cybersecurity Office (GCSO) bilden die Risk Domain Manager sogenannte Special Interest Groups (SIGs), die die Anforderungen an die Cybersicherheit definieren und die Risikomanagementaktivitäten koordinieren. Die Risk Domain Manager fördern den Einsatz von Best Practices und den Kompetenz- und Wissensaustausch in allen Cybersecurity-Risikodomänen.
Die fünf Domänen lauten wie folgt:
- People: bezieht sich auf den menschlichen Faktor der Cybersicherheit und umfasst alle Risiken, die die Vertraulichkeit, Integrität und Verfügbarkeit digitaler Informationen aufgrund unangemessenen menschlichen Verhaltens negativ beeinflussen könnten.
- Health Facilities: betrifft die Cybersicherheit in allen Gesundheitseinrichtungen wie Krankenhäusern, Kliniken, Behandlungs- und Rehabilitationszentren. Damit verbunden sind alle Cyberrisiken, die sich negativ auf die Gewährleistung der Patientenversorgung auswirken.
- Medical Devices: erstreckt sich auf die Cybersicherheit medizinischer Geräte während ihres gesamten Lebenszyklus, von der Entwicklung bis zur Außerbetriebnahme. Diese Risikodomäne umfasst alle Risiken, die die Funktionalität und Nutzbarkeit von Medizinprodukten negativ beeinflussen können.
- Enterprise IT: meint die Cybersicherheit in Büros und im Verwaltungsumfeld und betrifft alle Risiken, die sich negativ auf die Sicherheit von IT-Diensten zur Verwaltung und Verarbeitung digitaler Informationen auswirken können.
- Manufacturing IT: umfasst die Cybersicherheit von Produktionsumgebungen und angeschlossenen Einrichtungen wie Laboren und Lagern. Die damit verbundenen Cybersecurity-Risiken können die Leistung und Qualität der Produktion beeinträchtigen – einschließlich der Möglichkeit, Produkte zu produzieren, zu kennzeichnen und zu vertreiben sowie Compliance-Kriterien zu erfüllen.
Das CARE-Programm ist entlang der Risikodomänen in vier Cybersecurity-Cluster aufgeteilt. Dies stellt sicher, dass unsere digitale Umgebung geschützt bleibt und sich nach einem möglichen Vorfall schnell erholt. Insgesamt hat Fresenius acht Unterprogramme eingerichtet, um die vorrangigen Ziele der jeweiligen Cluster in allen Risikodomänen zu erreichen:
- Critical Asset Protection: Schutz der für die Gruppe wichtigsten Vermögenswerte
- Baseline Security: Definition und Umsetzung von Mindeststandards für die Cybersicherheit
- Cyber Defense: rechtzeitige Erkennung von und Reaktion auf Cybersicherheitsvorfälle, um die Auswirkungen auf das Geschäft zu begrenzen
- Governance, Risk & Organization: Schaffung der Grundlage für eine effektive Cybersicherheits-Governance
care programm
Der Chancen- und Risikobericht enthält im Kapitel Risikofelder weiterführende Informationen zu Cybersecurity und -vorfällen im Jahr 2021.
Zertifizierungen und Selbstverpflichtung
In den Unternehmensbereichen bestehen Cybersecurity-Versicherungen dort, wo sie Risiken geeignet abdecken, sowie – auf Bereichs- und Konzernebene – Zertifizierungen, z. B. nach ISO / IEC 27001. Um die Governance-Struktur zur Risikominimierung zu ergänzen und Risiken weiter abzusichern, wird darüber hinaus der Abschluss einer globalen Cybersecurity-Versicherung auf Konzernebene weiter evaluiert werden.
Organisation und Verantwortlichkeiten
Die Organisationsstruktur
Der Chief Financial Officer (CFO) im Fresenius-Vorstand beaufsichtigt die Cybersicherheits-Governance und erhält direkten Bericht vom Group Head of Cybersecurity. Die Position des Group Head of Cybersecurity, der als konzernweiter Chief Information Security Officer (CISO) fungiert, trägt die Gesamtverantwortung für die Governance der Cybersicherheit innerhalb des Fresenius-Konzerns und leitet das Group Cybersecurity Office (GCSO). Er legt die konzernweite Cybersecurity-Strategie fest und koordiniert sie mit den jeweiligen Cybersecurity-Verantwortlichen, um ein einheitliches Vorgehen in allen Unternehmensbereichen zu gewährleisten.
In den vier Unternehmensbereichen sind die jeweiligen Business Segment Heads of Cybersecurity (Segment CISO) für die Aktivitäten im jeweiligen Unternehmensbereich verantwortlich. Auf Ebene der Fresenius SE & Co. KGaA ist der Corporate Head of Cybersecurity für die einzelnen Konzernfunktionen zuständig.
Das GCSO steuert Cybersecurity innerhalb des Fresenius-Konzerns. Es stellt sicher, dass relevante Cybersecurity-Aktivitäten auf Unternehmensbereichsebene organisiert und umgesetzt werden, die aus der Gruppenperspektive überwacht und koordiniert werden. Bei Bedarf werden die Unternehmensbereiche in ihren Aktivitäten beraten und unterstützt.
cybersecurity organisationssturktur
Das GCSO ist in sechs Funktionen unterteilt: Cyber Governance & Assurance (Steuerung & Überwachung), Cyber Risk & Economics (Risikomanagement & wirtschaftliche Aspekte), Product Security & Architecture (Produktsicherheit & Sicherheitsarchitektur), Cyber Defense & Analytics (Bedrohungsabwehr & -analyse), Cyber Culture & Training (Sicherheitskultur & Schulungen) sowie Cyber Program Management (Cybersecurity-Programmmanagement).
Die Funktion Cybersecurity Governance & Assurance etabliert und pflegt ein gruppenweites Integriertes Cybersecurity Management System (ICMS). Teil des ICMS sind ein Rahmenwerk zur effizienten Steuerung und Regelung von Cybersecurity innerhalb des Fresenius-Konzerns und unterstützende Prozesse, um die Ausrichtung der Cybersecurity-Strategie auf die Ziele und Vorgaben des Unternehmens in allen Risikodomänen zu gewährleisten.
Die Funktion Cyber Risk & Economics steuert die Identifikation, die Evaluation und das Management der strategischen Cyberrisiken der Fresenius-Gruppe. Durch die Kombination von finanziellem und wirtschaftlichem Know-how sowie standardisierten Modellen zur Quantifizierung und Bewertung von zukünftigen Verlustereignissen ermöglicht die Funktion eine risikobasierte Entscheidungsfindung bezüglich effektiver Cybersicherheitsinvestitionen und verbessert somit das Sicherheitsniveau des Konzerns kontinuierlich.
Die Funktion Product Security & Architecture ist für die Entwicklung der Cybersicherheitsarchitektur sowie die Risikodomänen Medical Devices, Manufacturing IT und Health Facilities verantwortlich.
Die Risikodomäne Medical Devices umfasst alle medizintechnischen Geräte und Produkte, für die Fresenius entsprechend geltenden Vorschriften und Gesetze regulatorische Verantwortung hat. Die Risikodomäne Manufacturing IT bezieht sich auf alle Produktions-, Logistik- und angeschlossenen Einrichtungen wie Labore oder Lager.
Innerhalb dieser Einrichtungen bezieht sie sich auf IT/OT-Geräte sowie -Systeme und -Prozesse inklusive aller Systeme, von der die Produktion und Auslieferung von Fresenius-Produkten abhängt. Die Risikodomäne Health Facilities bezieht sich auf alle Gesundheitseinrichtungen, die von Fresenius betrieben werden, wie Krankenhäuser und Kliniken sowie andere Behandlungs- und Rehazentren. Innerhalb dieser Einrichtungen betrifft die Risikodomäne alle IT/OT-Geräte und -Systeme sowie Prozesse und Personen, die für die Behandlung der Patientinnen und Patienten relevant sind.
Die Funktion Cyber Culture & Training befähigt die Cybersecurity-Teams der vier Unternehmensbereiche, ihr eigenes Cybersecurity Training & Awareness Program (CTAP) aufzubauen, zu betreiben und kontinuierlich zu verbessern, um eine Cybersicherheitskultur bei Fresenius zu etablieren. Im Rahmen des CTAP bieten wir unseren Mitarbeiterinnen und Mitarbeitern gezielte Schulungen an, die für ihre jeweiligen Aufgaben und Zuständigkeiten relevant sind, informieren sie über die jüngsten Cyberbedrohungen und helfen ihnen, Cyberangriffe bei ihrer täglichen Arbeit zu erkennen und sich davor zu schützen.
Die Funktion Cyber Program Management steuert das gruppenweite Cybersecurity-Programm CARE. Das schließt die konzernweite Abstimmung und Strukturierung sowie die Überwachung und Berichterstattung zu den Cybersecurity-Initiativen ein. Zur Verbesserung der gruppenweiten Zusammenarbeit unterstützt die Funktion darüber hinaus das Stakeholder-Management, insbesondere im Hinblick auf die unternehmensbereichsübergreifenden Special Interest Groups (SIGs) und das Cybersecurity-Board.
Die vier Unternehmensbereiche sind für die operative Umsetzung des Cybersecurity-Managements verantwortlich. Sie legen strategische Ziele sowie Risikoadressierungsstrategien fest und berichten darüber. Die Ziele orientieren sich an der gruppenweiten Cybersecurity-Strategie und werden eigenständig von den Business Segment Heads of Cybersecurity definiert, die für die Implementierung verantwortlich sind.
Darüber hinaus tagt bereichsübergreifend alle zwei Monate das Cybersecurity Board, das sich aus dem Group Head of Cybersecurity, dem Corporate Head of Cybersecurity sowie allen Business Segment Heads of Cybersecurity zusammensetzt. Es sichert den Austausch über gruppenweite Cybersecurity-Angelegenheiten zwischen den Unternehmensbereichen und Konzernfunktionen, definiert Kriterien zur Bewertung und Überwachung der Entwicklung von Cybersecurity im Konzern und überprüft Fortschritte und Ergebnisse von Cybersecurity-Maßnahmen und -Projekten. Das Cybersecurity Board überwacht auch bereichsübergreifend die Anwendung und Umsetzung der konzernweiten Cybersecurity-Richtlinien.
Die für Cybersecurity verantwortlichen Personen verfügen in der Regel über langjährige Erfahrung im Cybersicherheitsmanagement und weisen fundierte Kenntnisse sowie entsprechende fachliche Zertifizierungen auf.
Die Reporting-Strukturen
Der CFO der Fresenius-Gruppe wird als Vorstandsmitglied der Fresenius Management SE wöchentlich sowie in Bedarfsfällen durch den Group Head of Cybersecurity über Cybersecurity-relevante Themen informiert. Der Group Head of Cybersecurity berichtet quartalsweise an den Gesamtvorstand der Fresenius Management SE sowie mindestens jährlich an den Aufsichtsrat. Die Finanzvorstände der Unternehmensbereiche, und für Fresenius Vamed das für das Dienstleistungsgeschäft verantwortliche Mitglied des Vorstands, kommen quartalsweise im CARE Steering Committee zusammen, um eine regelmäßige, unternehmensbereichsübergreifende Berichterstattung zu organisieren und Cybersecurity-Initiativen zu steuern.
Die Business Segment Heads of Cybersecurity informieren das jeweils verantwortliche Mitglied des CARE Steering Committees und berichten zusätzlich mindestens halbjährlich an das Management Board. Die Risk Domain Manager berichten fachlich an den jeweils zuständigen Head of Cybersecurity. Ergänzend tauschen sich die Funktionen Datenschutz, Enterprise Risk Management und Compliance regelmäßig zu Cybersecurity-Angelegenheiten aus.
Richtlinien und Regulierungen
cybersecurity rahmenwerk
Unser Cybersecurity-Rahmenwerk (Cybersecurity Policy Framework) besteht aus einer Reihe von Richtlinien, Anforderungen und Verfahren. Es bildet die gemeinsame Basis für Cybersecurity in allen Unternehmensbereichen und Konzernfunktionen. Innerhalb dieses Konstrukts bilden die Schutzbedarfsanforderungen der Vertraulichkeit, Integrität und Verfügbarkeit von digitalen Informationen, Technologien und Systemen die zentrale Zielsetzung der Cybersecurity-Bestrebungen von Fresenius entlang der Risikodomänen. Es wurde vom Gesamtvorstand der Fresenius Management SE sowie von den Führungsgremien der vier Unternehmensbereiche verabschiedet.
Die Cybersecurity Policy ist an den Fresenius-Verhaltenskodex angelehnt und orientiert sich an international anerkannten Standards und Best Practices wie der Charter of Trust. Sie legt die übergreifende Richtlinien- und Organisationsstruktur für Cybersecurity-Governance im Fresenius-Konzern fest. Die zugrundeliegenden Risikodomänenrichtlinien spezifizieren den Rahmen, die Prozesse sowie die Rollen und Verantwortlichkeiten für jede Risikodomäne, um die übergeordneten Ziele des Schutzes der Vertraulichkeit, Integrität und Verfügbarkeit der digitalen Informationen von Fresenius auf ganzheitliche Weise zu erreichen.
- Enterprise IT: Geltungsbereich: die gesamte Unternehmens-IT von Fresenius, die alle IT-Dienste oder -Produkte umfasst, die wiederum digitale Informationen von den Büros und dem Verwaltungsumfeld bei Fresenius handhaben und/oder verarbeiten
- Manufacturing IT: Geltungsbereich: alle Produktionsumgebungen einschließlich Produktion, Logistik und angeschlossene Einrichtungen wie Labore und Lager; innerhalb dieser Einrichtungen alle IT/OT-Geräte und -Systeme sowie Prozesse und Personen gemäß International Society of Automation (ISA) Level 0 bis Level 3
- Medical Devices: Geltungsbereich: alle Medizinprodukte, die Fresenius unter dem Namen Fresenius oder einem Fresenius-eigenen Markennamen herstellt oder vertreibt
- Health Facilities: Geltungsbereich: alle Krankenhäuser und Kliniken sowie Behandlungs- und Rehazentren im Besitz von Fresenius; innerhalb dieser Einrichtungen alle für die Patientenversorgung relevanten Geräte, Systeme, Prozesse und Personen der Informationstechnologie/Betriebstechnologie (IT/OT)
- People: Geltungsbereich: alle Einrichtungen von Fresenius und ihre jeweiligen Angestellten, Zeitarbeiterinnen und -arbeiter und Freiwilligen
Zusätzlich bestehen in den vier Unternehmensbereichen spezifische Mindestsicherheitsstandards, die besondere regulatorische Vorgaben oder lokale Gesetzgebungen berücksichtigen. Bereits etablierte Mindestsicherheitsstandards in den vier Unternehmensbereichen werden – sofern sinnvoll – als konzernweite Standards genutzt.
Unsere Ambitionen
Ziel unseres Cybersecurity-Programms CARE, das alle Risikodomänen abdeckt, ist es, den Reifegrad unserer Cybersecurity-Fähigkeiten zu erhöhen, unsere Widerstandsfähigkeit permanent der Bedrohungslage anzupassen und Cybersecurity-Risiken kontinuierlich zu reduzieren. Wir bewerten die sich stetig ändernden Bedrohungen, definieren Mindestsicherheitsstandards für unsere Cyberrisikodomänen und implementieren gezielte, risikobasierte und kosteneffiziente geeignete Sicherheitsmaßnahmen. Das Cybersecurity Board entwickelt jährlich konzernweite und unternehmensbereichsspezifische operative Ziele und Maßnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit unserer digitalen Informationen zu gewährleisten. Teil davon ist auch die kontinuierliche Verbesserung der Sicherheit unserer IT, ob in der Produktion, der Umgebungen unserer Gesundheitseinrichtungen oder unserer medizinischen Geräte. Der Group Head of Cybersecurity koordiniert diese Ziele und Maßnahmen. Diese werden dem auf Vorstandsebene eingerichteten CARE Steering Committee vorgelegt, das vierteljährlich tagt.
Fortschritte und Maßnahmen 2021
CARE-Programm
Während des gesamten Berichtszeitraums wurden verschiedene CARE-Unterprogramme eingerichtet, um unser Ziel zu erreichen, den Reifegrad unserer Cybersicherheitskapazitäten zu erhöhen, unsere Widerstandsfähigkeit gegenüber Cyberangriffen zu stärken und unsere Cyberrisiken kontinuierlich zu bekämpfen. Nachfolgend beschreiben wir ausgewählte Fortschritte im Einklang mit der CARE-Programmstruktur:
- Umsetzung von grundlegenden Maßnahmen zur Cybersicherheit (CBMI): Implementierung verbesserter grundlegender Maßnahmen zur Cybersicherheit, z. B. Lösungen zur Erkennung und Reaktion auf Endpunkte (EDR) oder verstärkte Authentifizierungsmechanismen für kritische Bereiche
- Cyber Training & Awareness (CTAP): Ausweitung der Reichweite der konzernweiten Schulungs- und Sensibilisierungsplattform; Durchführung verschiedener Schulungs- und Phishing-Kampagnen; Etablierung der Marke Cyber Aware und damit verbundener Materialien wie Poster, Videos und Merchandise-Artikel
- Cyberabwehr: Angleichung der Verfahren zur Reaktion auf Vorfälle; Einführung des Fresenius Virtual Cyber Defense Centers und des Fresenius Intelligence Office; Erweiterung der Überwachung, um eine frühzeitige Erkennung und schnelle Reaktion zu ermöglichen
- Governance, Risiko & Organisation: Einführung einer Governance-Struktur für Cybersicherheit; Bewertung des Reifegrads von Cybersecurity-Fähigkeiten; Definition eines Rahmens für das Management von Cybersicherheitsrisiken; Durchführung mehrerer Dialoge über Cyberrisikoversicherungen, um die Übertragung von Cyberrisiken zu bewerten
Risikoanalyse
In Übereinstimmung mit dem neu etablierten konzernweiten Cybersecurity Risk Management Framework führt das GCSO gemeinsam mit den Unternehmensbereichen eine geschäftsorientierte Bewertung der strategischen Cybersecurityrisiken entlang der Wertschöpfungskette von Fresenius durch. Die Cyberrisiken des Konzerns hängen mit den Geschäftsaktivitäten der jeweiligen Unternehmensbereiche zusammen: Im Produktgeschäft sind sie eng mit der Unterbrechung von Produktions- oder Logistikprozessen sowie dem Diebstahl von geistigem Eigentum verbunden; in unseren Gesundheitseinrichtungen beziehen sie sich wiederum auf Patientinnen und Patienten sowie deren Gesundheitsinformationen und betriebene medizinische Geräte. Auf Grundlage halbjährlicher Bewertungen der Cyberrisiken leiten wir kontinuierlich unsere Maßnahmen zur Cybersicherheit ab, um unsere Risiken wirksam zu mindern.
Wir entwickeln derzeit ein Kennzahlensystem, das die Transparenz über die gesamte Cyberrisikosituation von Fresenius erhöhen soll. Zu diesem Zweck haben wir eine erste Reihe von Kennzahlen definiert (z. B. sogenannte Kronjuwelen mit kritischen Schwachstellen, durchschnittliche Klickrate bei Phishing-Simulationen, durchschnittliche Zeit bis zur Behebung von Vorfällen), die künftig in allen Cybersicherheitsumgebungen des Konzerns erfasst werden sollen. So wollen wir verstehen, wie gut wir vorbereitet und wie widerstandsfähig wir sind, um einem Cyberangriff vorzubeugen (robust zu bleiben) und uns davon zu erholen (schnell zu heilen). In einem nächsten Schritt wird das Systemdesign schrittweise eingeführt und die bestehende Cybersecurity-Governance-Struktur ergänzt.
Das Kapitel Risikofelder unseres Risikobericht enthält umfangreiche Informationen zu den Auswirkungen von Cyber-Risiken auf das Risikomanagement.
Sicherheitskonzept
Um die Wertschöpfung des Konzerns zu schützen, haben wir maßgeschneiderte Rahmenwerke für unsere fünf Cybersecurity-Risikodomänen entwickelt, die die Sicherheitsarchitekturen, -konzepte und -anforderungen definieren, und führen sie seit 2021 sukzessive ein. Die entsprechenden präventiven, detektivischen und korrektiven Maßnahmen werden priorisiert und durch unser CARE-Programm umgesetzt, um Risiken effektiv zu reduzieren. Während unser Hauptziel ist, die Entstehung von Cyberrisiken zu verhindern, können wir Cyberbedrohungen u. a. durch unterschiedliche Überwachungsmechanismen frühzeitig erkennen, um rechtzeitig reagieren zu können und die tatsächlichen Auswirkungen von Sicherheitsvorfällen auf das Geschäft zu begrenzen. Wiederkehrende Analyse- und Abwehrprozesse werden automatisiert, um noch effizienter auf Vorfälle zu reagieren. Vorfälle werden gründlich untersucht, um zusätzliche Maßnahmen zur Verbesserung unserer allgemeinen Sicherheit abzuleiten.
Schulungen
2019 haben wir das Cybersecurity Training & Awareness Program (CTAP) gestartet. Ziel ist es, eine Kultur der Cybersicherheit bei Fresenius zu etablieren, die es unseren Mitarbeiterinnen und Mitarbeitern ermöglicht, sich über Cybersicherheitsrisiken zu informieren, mit ihnen umzugehen und Gewohnheiten zu entwickeln, um sich vor Cyberangriffen zu schützen. Neben einer verpflichtenden Schulung zu Datenschutz und Informationssicherheit bietet das CTAP verschiedene Kurse, Spiele, Videos und andere Lerninhalte zu Cybersecurity an, etwa die digitale CTAP-Lernplattform. Regelmäßig simulieren wir Phishing-Angriffe, um die Effektivität der Trainings zu überprüfen und darüber aufzuklären, wie man sich beim Verdacht auf Phishing richtig verhält. Für die Beschäftigten ermitteln wir einen persönlichen Risikoscore, der sich u. a. aus dem Verhalten bei den Phishing-Tests, aber auch aus der Anzahl absolvierter Cybersicherheitstrainings zusammensetzt. Alle Angebote des CTAP sind auf die spezifischen Risiken von Fresenius zugeschnitten und werden in mehreren Sprachen angeboten. Der Erfolg der CTAP-Aktivitäten wird anhand vordefinierter Erfolgskriterien gemessen.
Zudem informieren wir unsere Mitarbeiterinnen und Mitarbeiter kontinuierlich auf unterschiedlichen Kanälen über aktuelle Cyberrisiken und neuartige Cyberbedrohungen und veranstalten einen Cybersecurity Awareness Month im Oktober jeden Jahres. Im Oktober 2021 wurden verschiedene Webinare durchgeführt, wobei der Schwerpunkt auf den Cyberbedrohungen lag, die durch die vielen Beschäftigten entstehen, die nach wie vor von zu Hause aus arbeiten. Darüber hinaus haben wir für die Kinder der Mitarbeiterinnen und Mitarbeiter Webinare in Form von Cyber-Junior-Training angeboten. Wir sind davon überzeugt, dass Kinder und Jugendliche einen vergleichsweise hohen Bedarf an Cybersensibilisierung haben, insbesondere angesichts der zunehmenden Nutzung von Fernunterricht während der Covid-19-Pandemie.
Die 2020 und 2021 durchgeführten Phishing-Tests zeigten, dass die intensiven Schulungsaktivitäten das Sicherheitsbewusstsein der Mitarbeiterinnen und Mitarbeiter geschärft haben. Aus diesem Grund wurde der Schwierigkeitsgrad angehoben. Dies führte kurzfristig zu einer Verschlechterung der Phishing-Quote, die jedoch durch abgestimmte Trainingseinheiten weiter verbessert werden konnte. Über die Ergebnisse informieren wir die jeweiligen Beschäftigten individuell und unmittelbar in einem persönlichen Dashboard. Weitere Informationen werden regelmäßig auf Konzernebene in unserem Intranet bereit gestellt.
Meldewege
Vermuten Fresenius-Beschäftigte Cyberbedrohungen, können sie sich an CERT@fresenius.com, CyberAware@Fresenius.com sowie an alle Cybersecurity-Mitarbeiterinnen und -Mitarbeiter wenden. Um die Effizienz zu steigern, können verdächtige Mails über den sogenannten Phish Alert Button gemeldet werden, der eine automatische Analyse durchführt und bei Bedarf das Cyber Emergency Response Team (CERT) einschaltet. Unser CERT untersucht mögliche Bedrohungen und Vorfälle in unserer IT, in der Produktion und in den Umgebungen unserer Gesundheitseinrichtungen und geht vermuteten Verstößen nach. Bei erkannten bösartigen Phishing-Versuchen werden die Absender blockiert und die Sicherheitsprotokolle entsprechend angepasst.
Evaluation
Wir haben die Cybersecurity-Governance-Struktur im Fresenius-Konzern im Jahr 2020 eingeführt und 2021 weiter verbessert: Teil der Weiterentwicklung und Verbesserung unserer Cybersecurity-Governance sind die Definition und Berichterstattung von KPIs, z. B. Anzahl der Verstöße insgesamt sowie Klassifizierung nach Schweregrad. Wir arbeiten mit Nachdruck daran, unser KPI-Berichtssystem für den Fresenius-Konzern fortzuentwickeln. Bis dahin verzichten wir darauf, Kennzahlen insgesamt oder nach Risikodomänen extern zu berichten. Die Erhöhung der Berichtstransparenz muss immer im Einklang mit unseren Aktivitäten zur Risikoprävention stehen. Informationen aus unserer externen Berichterstattung dürfen nicht zu gezielten Angriffen auf unsere Infrastruktur führen.
Audits und Monitoring
Die Abteilungen der Internen Revision realisieren unabhängige Prüfungen zur Verbesserung der Effektivität der Risikomanagement-, Kontroll- und Governance-Prozesse in allen Unternehmensbereichen. Bei der jährlichen Planung und Umsetzung der Prüfungen werden risikobasiert auch Aspekte von Cybersecurity berücksichtigt. Die Ergebnisse der Prüfungen, werden durch die Konzernfunktion Cybersecurity analysiert und fließen in die kontinuierliche Verbesserung bestehender Maßnahmen ein.
Außerdem führen unabhängige Prüferinnen und Prüfer regelmäßige und umfassende Sicherheitsbewertungen (z. B. Penetrationstests, Sicherheitsüberprüfungen kritischer Systeme) und Zertifizierungsaudits (z. B. ISO 27001, HDS) durch. Die Ergebnisse der Audits bzw. ergänzender Prüfungen werden dahingehend geprüft, ob interne Prozesse verändert werden müssen. Zusätzlich arbeiten wir mit Unternehmensberatungen und Wirtschaftsprüfungsgesellschaften zusammen, um unsere Cybersicherheitsverfahren zu überprüfen und zu verbessern. Zu konkreten Prüfprozessen können wir aus Sicherheitsgründen keine Aussage treffen.