Dennis Epping ist Manager Retail Operations der Goodyear Retail Systems GmbH. Wir sprachen mit ihm über das Maßnahmenpaket, das die Handelsorganisation zum Schutz ihrer Systempartner aufgesetzt hat und über das globale Risk Assessment des Goodyear-Konzern, das Lieferanten vor ihrer Zulassung durchlaufen müssen.
Die Zahl der Bedrohungsszenarien durch Cyberkriminelle steigt. Der Angriff auf Continental im vergangenen Jahr zeigte, dass auch große Branchenakteure sich nicht komplett schützen können. Wie begegnen Sie im Unternehmen dieser Gefahr?
Dennis Epping: Als Tochterunternehmen der Goodyear unterliegen unsere Aktivitäten als Goodyear Retail Systems den weltweit strengen Sicherheitsvorgaben des Konzerns, die uns als Franchisegeber ebenfalls bisher sehr gut abgesichert haben. Als verantwortungsbewusstes Unternehmen legen wir nicht nur großen Wert auf die Sicherheit unserer Produkte und Dienstleistungen, sondern ganz besonders auch auf die Einhaltung von Sicherheitsstandards und Zertifikaten bei all unseren angeschlossenen Lieferanten. Dafür hat der Goodyear Konzern ein eigenes globales Risk Assessment als strikte Vorgabe für die Cyber Security und Sicherheit. Jeder neue Systemlieferant, der für GRS arbeiten möchte, muss diesen aufwendigen Prozess durchlaufen, bevor er als Lieferant akzeptiert wird, neue Systeme anbieten und relevante Daten verarbeiten darf.
Wird ihre IT-Struktur komplett In-house oder auch durch die Hilfe externer Dienstleister beschützt?
Dennis Epping: Es gibt IT-Prozesse wie zum Beispiel rund um den Server der Warenwirtschaft tiresoft 3, die In-house nach einem vorgegebene Control- und Risk-Index abgesichert werden. Zusätzlich beschützen weitere Kontrollmechanismen das Rechenzentrum vor potenziellen Angriffen. Zum Beispiel durch Geo Fencing, also ungewöhnlichem Einloggen aus bestimmten Ländern/Regionen, bei ungewöhnlichen Zugriffszeiten und zukünftig auch durch Multi-Faktor-Authentifizierung, die aktuell ergänzend in der Entwicklung ist. Unsere engen Lieferanten, die extern outgesourcte Prozesse oder auch Mail-Server für die GRS-Partner betreuen, sind ebenfalls verpflichtet durch Sicherheits-Zertifikate und Datenschutz-Audits größtmöglichen Schutz im Hinblick auf Cyberkriminalität zu gewährleisten. Wege hierfür sind beispielsweise zur Serverabsicherung Firewalls mit IP-Sperre oder Komplett-Backups in physisch getrennten Locations alle 24 Stunden. Bei den E-Mails läuft das Archiv-System getrennt vom normalen Mailserver und wird auf die Einhaltung aktuell üblicher Standards zu Malware-Filterung und SMTP-Authentifizierung Wert gelegt. Bei Web-Apps findet eine fortlaufende Aktualisierung insbesondere bei Bekanntwerden von Sicherheitslücken in genutzten Libraries und Frameworks statt.
Grundsätzlich sind darüber hinaus die selbständigen Unternehmer der GRS-Betriebe für ihre eigene Infrastruktur und Sicherheit der Systeme vor Ort verantwortlich. Hier empfehlen wir den Partnern lokale IT-Firmen für optimalen Support und stehen an dieser Stelle beratend zur Seite, bei Empfehlungen für geeignete Virensoftware etc.
Angesichts des stetig wachsenden Gefahrenpotenzials werden die Kosten für den Schutz der eigenen Systeme steigen. Wie groß ist das Bewusstsein hierfür im Unternehmen?
Dennis Epping: Uns sind die Gefahr und die Notwendigkeit des Investments an dieser Stelle sehr bewusst. Daher bemühen wir uns auch seit längerem, unsere Partnerbetriebe hier ebenfalls zu sensibilisieren. Über unser GRS Partner.net und auf den Händlertagungen weisen wir immer wieder auf die Wichtigkeit der digitalen Sicherheit hin, geben Informationen und Warnungen zu Sicherheitslücken wie Phishing Mails, Malware, aktuellen Trojanern und Spionage-Software und veröffentlichen konkrete Tipps, wie die Partner sich kurzfristig vor Übergriffen besser schützen können.