Cybersicherheit und Datenschutz

  • Cybersicherheit

  • Datenschutz

Cybersicherheit ist der Schutz von Computern, Dienstleistungen, Mobilgeräten, elektronischen Systemen, Netzwerken und Daten vor böswilligen Angriffen. Die Cyberkriminalität ist kein neues Phänomen. Aufgrund der zunehmenden Vernetzung, Remote-Arbeit, Abhängigkeit von Technologie und Automatisierung steigt das Angriffsrisiko jedoch. Darüber hinaus haben sich durch pandemiebedingte Veränderungen der Arbeitsweise neue Möglichkeiten für Cyberkriminelle ergeben. 

RWS ist sich bewusst, dass unsere Cybersicherheitsmaßnahmen ständig weiterentwickelt werden müssen, damit wir den sich ändernden Risiken begegnen können. 

Die strategische Ausrichtung der Sicherheit von RWS wird vom Information Security Steering Committee (ISSC) unter Vorsitz des CTO festgelegt, der als Executive Sponsor für Sicherheit fungiert. Diese Gruppe umfasst Stakeholder aus allen Unternehmens- sowie ausgewählten Geschäftsbereichen, die gemeinsam an der kontinuierlichen Verbesserung des Managementsystems für Informationssicherheit (ISMS) arbeiten. Dies treibt auch unser Integrationsprogramm voran, erhöht das Bewusstsein für Sicherheit und fördert einen konsistenten risikobasierten Ansatz bei der Informationssicherheit. Darüber hinaus ist das ISSC für die Kontrolle und Governance der Informationssicherheitsrisiken zuständig. 

RWS nutzt das NIST-Framework für Cybersicherheit, um eine allgemein verständliche Struktur für unser Managementsystem für Informationssicherheit (ISMS) zu schaffen und unsere Bemühungen zu fokussieren. Dadurch ist es uns gelungen, für unsere gehosteten Produktlösungen, die Regulated Industries Division, die IP Services Division sowie die damit verbundenen Dienstleistungen, Mitarbeiter, Prozesse und Technologien die weltweit anerkannte ISO27001:2013-Zertifizierung zu erhalten. RWS verfügt außerdem über SOC2-Zertifikate für seine Bereiche Cloud Operations und Language Services. Das ISMS bietet eine solide Grundlage und verleiht RWS die nötige Flexibilität zur Weiterentwicklung der Kontrollen, die zur Erfüllung einer Vielzahl branchenspezifischer Compliance-Anforderungen an die Informationssicherheit benötigt werden, sofern diese als geschäftlich sinnvoll identifiziert werden. Durch die kontinuierliche Verbesserung und Erweiterung unseres zertifizierten ISMS sorgen wir dafür, dass international anerkannte Informationssicherheitskontrollen, von denen sowohl RWS als auch unsere Kunden profitieren, implementiert und extern validiert werden.

Da wir uns bewusst sind, dass es immer Sicherheitsrisiken geben wird, ist ein wichtiger Teil unserer laufenden Integrationsbemühungen die Implementierung verschiedener Richtlinien zur Informationssicherheit, die allen RWS-Bereichen Sicherheitsempfehlungen zu verschiedenen Aspekten ihrer Tätigkeit liefern, darunter: Risikomanagement, physische Sicherheit, Datenschutz und Störfallmanagement. In den Richtlinien ist dargelegt, wie RWS das Erreichen der Geschäftsziele unterstützt. Gleichzeitig gewährleisten die Richtlinien einen einheitlichen Ansatz für das Risikomanagement. 

Durch die Analyse von Sicherheitsrisiken gemäß den genehmigten Richtlinien und Prozessen ist es möglich, Bedrohungen zu identifizieren, die Wahrscheinlichkeit des Auftretens der Bedrohung zu untersuchen und mögliche Auswirkungen auf die Geschäftsziele zu bewerten. Entscheidungsträger erhalten dank dieses strukturierten Ansatzes die nötigen Informationen, um zu erkennen, ob und in welcher Form Abhilfemaßnahmen nötig sind. Diese könnten beispielsweise darin bestehen, eine Aktivität zu stoppen, technische Kontrollen zu implementieren oder Prozesse zu aktualisieren, die das Risiko auf ein akzeptables Maß reduzieren. Das Sicherheitsteam berät und unterstützt die Unternehmensbereiche bei der Auswahl geeigneter Maßnahmen oder Kontrollen zur Risikominderung, die Verantwortung liegt jedoch beim jeweiligen Asset-/Risikoverantwortlichen. Wenn der Verantwortliche für ein Asset nicht in der Lage ist, das Risiko zufriedenstellend zu bewältigen, ist eine Eskalation an die nächste Ebene der Managementkette möglich. Sicherheitsrisiken werden im Rahmen unseres Risikomanagementverfahrens erfasst und gemanagt. Dieses Verfahren unterliegt der Verantwortung unseres CFO und wird alljährlich an das Board kommuniziert. 

RWS setzt bei seiner Sicherheitsstrategie auf das „Defense in Depth“-Konzept und ist sich bewusst, dass regelmäßige Tests der Sicherheitskontrollen unabdingbar sind. Wir führen daher regelmäßig Schwachstellenscans unserer internen und externen Infrastruktur durch, und auf Wunsch einiger unserer Kunden unterziehen wir auch Elemente unserer öffentlichen Infrastruktur regelmäßigen Penetrationstests. Dies ermöglicht die Identifizierung von Schwachstellen, die dann analysiert werden, um die geeignetste Abhilfemaßnahme zu ermitteln. 

Eine Umfrage der britischen Regierung zu Cybersicherheitsverstößen ergab, dass in den letzten 12 Monaten 83 % der Unternehmen Phishing-Angriffe meldeten. Damit ist dies die häufigste Art von Angriff. Auch RWS ist regelmäßig solchen Angriffen ausgesetzt, und obwohl unsere technischen Kontrollen die meisten Spam- und bösartigen Nachrichten blockieren, ist es unvermeidlich, dass einige Phishing-E-Mails durchkommen. Da wir verstehen, dass dies der voraussichtlich größte Schwachpunkt ist, pflegen und verbessern wir das Sicherheitsbewusstsein im Unternehmen kontinuierlich, um Mitarbeitern die erforderlichen Informationen zur Identifizierung solcher Bedrohungen an die Hand zu geben und die Risiken entsprechend zu reduzieren. Neben regelmäßigen Mitteilungen sowie Schulungen zum Thema Sicherheitsbewusstsein über unser Lernmanagement-System MyLX nutzt RWS externe Anbieter, um Sicherheitsschulungen, Wissensbewertungen und Tests durchzuführen. So können wir ermitteln, wo zusätzliche Schulungen erforderlich sind, können deren Bereitstellung und Teilnahme nachverfolgen und die Effektivität testen.

Wir sind uns bewusst, dass die Implementierung von Cyber-Abwehrmechanismen teuer sein kann. Wir wissen jedoch, dass wir unsere Resilienz weiter ausbauen müssen, um das Unternehmen angemessen zu unterstützen. Unsere Sicherheits-Roadmap verfolgt einen kosteneffektiven und ausgewogenen Ansatz der kontinuierlichen Verbesserung. So können wir sicherstellen, dass wir adäquaten und verhältnismäßigen Schutz bieten, um bekannte Bedrohungen abzuwehren. Beispielsweise hat RWS die Implementierung der Multi-Faktor-Authentisierung (MFA) für den Zugriff auf unser virtuelles privates Netzwerk mittlerweile fast abgeschlossen. Wir wissen allerdings, dass nicht alle Cyber-Angriffe verhindert werden können. Daher haben wir einen externen Partner beauftragt, ein System bereitzustellen, das auf die 24/7-Erkennung und -Behebung von Bedrohungen ausgerichtet ist. Dadurch können Vorfälle so schnell wie möglich behoben und die Auswirkungen auf das Unternehmen minimiert werden.

RWS legt Wert auf die Einhaltung der geltenden Datenschutzgesetze. RWS hat seinen Hauptsitz in Großbritannien und nutzt die Datenschutz-Grundverordnung (DSGVO) der EU sowie das britische Datenschutzgesetz (Data Protection Act 2018) als Maßstab für den Datenschutz. Wir haben zahlreiche Richtlinien festgelegt, die die geltenden Datenschutzgesetze widerspiegeln und Prozesse, Verfahren und Praktiken identifizieren, die auf den Schutz vertraulicher Geschäftsinformationen (CBI) und personenbezogener Daten (PII) ausgerichtet sind. 

RWS versteht, dass „Datenschutz durch Technikgestaltung“ ein Muss ist, und bietet innerhalb der RWS Software Funktionen, mit denen Kunden ihre datenschutzrechtlichen Verpflichtungen erfüllen können. RWS verarbeitet bei der Bereitstellung von Lokalisierungsservices bzw. bei der Lizenzierung unserer Software über SaaS personenbezogene Daten im Auftrag von Kunden. Unsere Kunden erfassen die Daten und übertragen sie zur Verarbeitung an RWS. Die Kundendaten werden innerhalb der RWS-Umgebung übersetzt, übertragen und gespeichert und nach Abschluss gemäß den internen Löschrichtlinien bzw. wie vom Kunden vorgegeben gelöscht. 

Wenn RWS seine Web-Content-Management-Software lizenziert, bestimmt der Kunde die Parameter der Datenerfassung und -aufbewahrung. RWS verarbeitet Kundendaten gemäß den mit Kunden vereinbarten Geheimhaltungsvereinbarungen, Verträgen und Datenverarbeitungsvereinbarungen. 

RWS führt kein detailliertes Profiling von Verbraucherkunden im Namen von Kunden durch. Die von Kunden bereitgestellten Daten werden niemals verkauft oder vermietet. Soweit zur Erbringung der Dienstleistungen erforderlich, legt RWS Daten zwischen verbundenen Unternehmen und genehmigten externen Unterauftragnehmern offen; für diese Übertragungen bestehen entsprechende Datenverarbeitungsvereinbarungen. In den Geschäftsjahren 2020/2021 gab es keine Offenlegung oder unbefugte Bewegung sensibler Daten, einschließlich PII und CBI. Entsprechend waren keine Kunden von solchen Vorfällen betroffen.