Viele Unternehmen lagern ihre IT-Abteilungen mittlerweile aus. Glencore hingegen betreibt seine gesamte IT-Abteilung am Hauptsitz in Baar, in der Schweiz. Warum ist das so?
Ich muss da etwas präzisieren. Glencore hat nicht die gesamte IT-Abteilung in der Schweiz, wir sind aber gewissermassen der Hauptsitz der firmenweiten IT. Dadurch, dass mit Ausnahme vom Ölgeschäft, alle Geschäftseinheiten in Baar am Hauptsitz untergebracht sind, sind wir sehr nah am Geschehen dran. Das heisst, wir können direkt mit den verschiedenen Abteilungen IT-Architekturen, Programme und Serviceleistungen entwickeln, die genau deren Bedürfnissen entsprechen. Externen Firmen fehlt oftmals das spezifische Branchenwissen und die persönliche Beziehung zu den Mitarbeitenden, um deren Anforderungen zu verstehen und passgenau umsetzen zu können. Deshalb produzieren wir auch die Programme, die für uns zentral sind, selbst. Da können wir nicht auf Standardprodukte zurückgreifen.
Ein weiterer Grund, warum die IT-Zentrale in Baar ist, hat auch mit der Qualität der Arbeitskräfte in der Schweiz zu tun. Es gibt hier sehr gute IT-Fachkräfte. Das ist nicht zuletzt dem guten Ausbildungsangebot zu verdanken. Wir beobachten aber, dass der Bedarf an IT-Spezialisten wächst. Deshalb sind wir letztes Jahr eine Partnerschaft mit dem Lehrstuhl für Informationstechnologie an der Hochschule Luzern eingegangen, um die Ausbildung von IT-Fachkräften zu fördern.
Aktuell sind wiederholt Cyber-Attacken publik geworden, welche Mitarbeitende als Schwachstelle nutzen. Hacker verschaffen sich durch Phishing oder Ransomware Zugang zu sensiblen Daten. Wie machen Sie Mitarbeitende auf diese Risiken aufmerksam?
Auch wir haben festgestellt, dass Angreifer vermehrt über unsere Mitarbeitenden versuchen, unsere IT-Infrastruktur anzugreifen und an Daten zu gelangen. Wir führen schon länger Mitarbeiter-Trainings durch, um sie für mögliche Angriffe zu sensibilisieren. Jeder, der an unserem Hauptsitz neu anfängt, erhält gleich zu Beginn ein Face-to-Face Training in Sachen IT-Sicherheit. Es gibt auch regelmässig Refresher-Trainings. Dieser persönliche Ansatz unterscheidet uns wahrscheinlich von den meisten anderen Firmen. Auf globaler Ebene müssen alle Mitarbeitenden, die bei der Arbeit Zugang zu einem Computer haben, E-Learning Module absolvieren. Diese sind in neun Sprachen verfügbar. Es ist wichtig, dass alle Mitarbeitenden die Risiken kennen. Wir führen auch regelmässig Stichproben-Tests durch. Das heisst, wir schicken unseren Mitarbeitenden E-Mails, die auch von einem potenziellen Angreifer hätten verschickt werden können. Werden die Anhänge geöffnet oder die Links angeklickt, kontaktieren wir diese Person und erklären ihr in einem zusätzlichen Training, wie sie zukünftig potenzielle Hacker-Mails entlarven kann. Unser Ziel ist es, dass die Mitarbeitenden einen Radar für verdächtige E-Mails entwickeln und dass sie sich bei uns melden, wenn sie nicht sicher sind, ob sie einen Anhang öffnen dürfen oder nicht. Im Intranet informieren wir zudem über publik gewordene Cyberangriffe, die auf grosse Firmen verübt worden sind.
IT-Security lässt sich nicht allein durch technische Lösungen sicherstellen. Dieses Bewusstsein scheint sich in der Firma mittlerweile etabliert zu haben. Unsere Mitarbeitenden haben verstanden, dass sie uns dabei helfen können und müssen, die Firma vor Angreifern zu schützen.
Eine bekannte Unternehmensberatung hat in einem Bericht zu Cyber-Security festgehalten, dass Rohstoffhändler einem besonderen Risiko von Cyberangriffen ausgesetzt sind. Stellen Sie in den letzten Jahren Veränderungen in der Anzahl und Art der Attacken fest?
Ja, wir stellen durchaus fest, dass sich die Attacken häufen. Das ist bei uns aber nicht anders als bei anderen Firmen. Es ist aber auch so, dass wir mit dem Aufrüsten unserer IT-Security, auch mehr Angriffe identifizieren können als früher. Hier arbeiten wir mit diversen Warnsystemen – so genannten Intrusion Detection Systemen.
Was die Art der Attacken angeht, so hat sich sicherlich der Umfang an Geräten, mit denen Cyberangriffe verübt werden, erhöht. Früher hat ein Hacker beispielsweise den Angriff mit dutzenden von Computern ausgeführt. Heute macht er das mit hunderttausenden von Geräten und nutzt darüber hinaus das Internet of Things, also beispielsweise Netzwerkkameras, Drucker oder Mobiltelefone.
Wie lassen sich Risiken frühzeitig identifizieren? Antworten Sie reaktiv auf Bedrohungen, oder wird eine proaktive Cyberabwehr verfolgt?
Wir arbeiten mit diversen Organisationen zusammen, darunter auch mit den Schweizer Behörden, die uns über Trends und potenzielle Angriffe informieren. Wir sind auch in diverse Arbeitsgruppen involviert. Da tauschen wir mit anderen Unternehmen unsere Erfahrungen aus und erarbeiten Lösungen, um uns gegen zukünftige Cyberangriffe zu schützen. Letztendlich ist es aber so, dass Cyber-Security immer eine Kombination aus proaktiver und reaktiver Cyberabwehr sein wird. Ohne reaktive Cyberabwehr geht es nicht. Man kann nicht alles vorhersehen. Die kontinuierliche Weiterentwicklung beider Instrumente ist deshalb unerlässlich.
Auf der technischen Seite sind unsere Firewall und andere Security Systeme auf dem neusten Stand. Sie haben uns bisher gut gegen potenzielle Cyber-Angriffe geschützt. Mails beispielsweise durchlaufen mehrere Stufen an Sicherheitssystemen und bösartige Mails werden von unserem System meistens direkt gelöscht. Sollte es doch einmal zu einem Vorfall kommen, können wir schnell reagieren und den Schaden eingrenzen.
Wir sehen innerhalb der Firma ein wachsendes Bewusstsein dafür, dass IT-Security immer wichtiger wird. Entsprechend investieren wir heute mehr in die Sicherheit unserer IT-Systeme als früher. Mit Threat Intelligence versuchen wir zudem, allgemeine Trends in Sachen Hackerangriffen zu identifizieren. Threat Intelligence hilft uns auch herauszufinden, ob Daten über Glencore im Netz kursieren, die dafür missbraucht werden könnten, in unser System einzudringen.
Wie kann eine Cyber-Security Infrastruktur gestaltet werden, die trotz nötiger Komplexität für die Mitarbeitenden verständlich bleibt?
Für normale Mitarbeitende ist Security ein wenig wie ein Eisberg. Ein Grossteil von dem, was im Bereich Security läuft und getan wird, ist für die Mitarbeitenden nicht sichtbar. Die Mitarbeitenden sehen nur das, was an der Oberfläche und für sie relevant ist. Unser Job ist es, unseren Mitarbeitenden ein System zur Verfügung zu stellen, mit dem sie ihre Arbeit so gut und effizient wie möglich, aber trotzdem sicher erledigen können. Die IT-Security darf sie nur wo nötig einschränken. Die wahre Komplexität ist für die Mitarbeitenden also gar nicht sichtbar. Die Trainings sind entsprechend auch so gestaltet, dass die normalen Mitarbeitenden nur zu den relevanten Regeln und Vorgehensweisen geschult werden. Wie eingangs erläutert, geht es darum, ihr Bewusstsein für Cyber-Angriffe zu stärken. Spezifisch für IT-Mitarbeitende werden erweiterte Security Trainings durchgeführt. In diesen wird dann auch die zusätzliche Komplexität mitberücksichtigt.
Wie kann Glencore eine Harmonisierung der Cyber-Security Massstäbe an Standorten in verschiedenen Ländern gewährleistenund adäquat auf die sich ständig verändernde Gesetzeslage zu Cyber-Security weltweit reagieren?
Wir publizieren global gültige Standards und Richtlinien. Um Zugriff auf globale IT-Systeme zu erhalten, müssen die lokalen Standorte diese erfüllen. Überprüft wird das mittels Security Audits. Zudem werden gewisse Schlüsselsysteme im Bereich Security zentral aus der Schweiz verwaltet.
Trotzdem ist die Harmonisierung absichtlich nicht komplett. Zugriff auf globale IT-Systeme und Daten wird auch bei bestandenem Security Audit nur gewährt, wenn dies für das Geschäft vor Ort erforderlich ist. Der Vorteil einer solchen «De-Harmonisierung» ist, dass im Falle eines Cyberangriffs, die Hacker nicht gleich auf alle Daten zugreifen können.^
Was die Gesetzeslage angeht, halten wir uns jeweils an die im Land geltenden Gesetze. Eventuelle Veränderungen werden durch unsere Spezialisten vor Ort umgesetzt. Grundsätzlich orientieren wir uns aber an der Schweizer Rechtslage und an globalen Standards. Da die Gesetzeslage im Bereich Datenschutz in der Schweiz aber ohnehin streng ist und demnächst noch strenger wird, tangieren uns allfällige Gesetzesanpassungen auf lokaler Ebene normalerweise kaum.