EOS spannt konzernweiten Schutzschirm für Daten auf

• Cyber Security gewinnt für Unternehmen zunehmend an Bedeutung.
• EOS nutzt modernste Technologie, um Angriffe auf sein IT-Netz abzuwehren.
• Neuer Schutzschirm Iron EOS führt alle Sicherheitsmaßnahmen konzernweit zusammen.

Manchmal reicht ein einziger Klick. Schon kann sich über ein unbedacht geöffnetes Attachment eine Schadsoftware Zugang zu einem Firmenrechner verschaffen – um kurz darauf sämtliche Daten des Unternehmens zu verschlüsseln. Immer häufiger versuchen Hacker durch solche oder ähnliche Angriffe in IT-Netzwerke von Firmen einzudringen, um Daten zu verkaufen oder für deren Entschlüsselung „Lösegelder“ zu erpressen.

Solche Angriffe abzuwehren ist auch für die EOS Gruppe ein Thema von größter Wichtigkeit. Mit Standorten in 24 Ländern und Tausenden von Kund*innen verfügt das Unternehmen über einen Bestand an sensiblen Daten. „Unser größter Schatz sind Daten, die mit Forderungsportfolios verknüpft sind, die wir von Kund*innen erwerben“, sagt Gunnar Woitack, der als Chief Information Security Officer verantwortlich für die Cyber Security in der Gruppe ist: „Solche Portfolios enthalten nicht nur die Daten unserer Kund*innen, sondern auch von deren Kund*innen – also den säumigen Verbraucher*innen. Sie alle müssen darauf vertrauen können, dass wir mit diesen Daten extrem vorsichtig umgehen und alles tun, um sie zu schützen.“

Darum sind in den Bereichen Datenschutz und Informationssicherheit bei EOS europaweit rund 90 Mitarbeiter*innen im Einsatz, die modernste Technologie nutzen, um die IT-Systeme vor Angreifern zu schützen.

Im Bereich Datenschutz setzen sie dafür die zunehmend strenger werdenden gesetzlichen Regeln wie die Datenschutz-Grundverordnung der EU um. Mit Erfolg: EOS Gesellschaften in mehreren Ländern haben bereits problemlos behördliche Überprüfungen bestanden. Im Bereich Informationssicherheit, der nicht durch international geltende Gesetze geregelt ist, sind bereits acht Gesellschaften nach ISO 27001 zertifiziert. Bei weiteren Gesellschaften sind bereits Implementierungsprojekte gestartet. Die ISO 27001 ist der international anerkannte Standard in der Informationssicherheit. In allen Gesellschaften richtet sich EOS außerdem nach den Vorgaben des Mutterkonzerns, der Otto Group. Sie entsprechen in sehr weitem Umfang der ISO 27001.

Um den wachsenden Herausforderungen gerecht zu werden, werden von Gunnars Team Technologien und Prozesse stetig geprüft und an aktuelle Gegebenheiten angepasst. „Wir befinden uns in einem dauernden Wettrennen mit den Angreifern“, sagt er: „Dabei haben wir uns eine gute Position erarbeitet.“ Allein im Geschäftsjahr 2022/23 konnten Gunnar und sein Team rund 600 mögliche Angriffspunkte in den IT-Systemen von EOS identifizieren, die als „kritisch“ oder „hohes Risiko“ bewertet wurden, und die Lücken schließen, bevor ein Angreifer sie ausnutzen konnte.

Um diese Abwehr noch schneller und effizienter zu machen, baut EOS derzeit einen internationalen Schutzschild auf: „Iron EOS“, kurz für „Improving Incident Response@EOS“. Iron EOS basiert auf einem „Security Information and Eventmanagement“-System (SIEM). Das Besondere daran: Während die Gesellschaften derzeit die Sicherheit ihrer IT-Infrastruktur lokal handhaben, kann das SIEM mithilfe von künstlicher Intelligenz Sicherheitsvorkommnisse im gesamten internationalen Netzwerk von EOS aufspüren. So ist es möglich, deutlich schneller zu handeln.

„Im Ernstfall kommt es aber nicht nur darauf an, einen Angriff möglichst schnell zu erkennen, sondern auch mit der richtigen Expertise darauf zu reagieren“, ergänzt Gunnar. Darum meldet das SIEM Auffälligkeiten an ein zentrales Security Operations Center (SOC), in dem IT-Expert*innen arbeiten, die eine „Triage“ durchführen: Welche Meldungen sind unbedenklich? Welchen müssen wir nachgehen?

Neben der Abwehr von Angriffen durchsuchen Mitarbeiter*innen des SOC mit einem „Vulnerability Scanner“ konstant die IT-Infrastruktur auf mögliche Schwachstellen. Bei ihrer Arbeit werden sie auch von einem internationalen Compliance-Team unterstützt. „Mit Iron EOS sind wir künftig in der Lage, nicht nur schnell, sondern erstmals gruppenweit reagieren zu können“, sagt Gunnar: „Damit heben wir unsere Cyber Resilienz auf das nächste Level.“ Bereits im dritten Quartal 2024 sollen sämtliche EOS Gesellschaften durch Iron EOS geschützt werden.