KONE ergreift technische und organisatorische Maßnahmen, um Lösungen, Netzwerke, Geräte und Informationen vor unbefugtem Zugriff oder krimineller Nutzung zu schützen und die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.
Governance: KONE verfügt über eine geschäftsorientierte Sicherheits-Governance sowie ein definiertes Sicherheitsmanagementsystem, einschließlich Sicherheitsrichtlinien, Prozessen, Leitlinien sowie Überwachungs- und Messgrößen zur Verfolgung der Sicherheitsleistung im gesamten Geschäftsbetrieb von KONE.
Asset-Management: KONE führt ein Bestandsverzeichnis der technologischen Ressourcen, wie Anwendungen, Plattformen, Server, Workstations und mobile Geräte. Das Bestandsverzeichnis umfasst den Lebenszyklus der Ressourcen, den Eigentümer und die Kritikalität. Die Ressourcen werden auf sichere und nachhaltige Weise entsorgt.
Informationsschutz: KONE nutzt eine Informationsklassifizierung, um sicherzustellen, dass Informationen entsprechend ihrer Wichtigkeit geschützt werden. Zu den Schutzmaßnahmen gehören Zugriffskontrollen, Verschlüsselung, Datenmaskierung usw.
Identitäts- und Zugriffsmanagement: Die IAM-Kontrollen von KONE ermöglichen es den richtigen Personen, zur richtigen Zeit und aus den richtigen Gründen auf die richtigen Ressourcen zuzugreifen. Alle KONE-Mitarbeiter, Externe und Kunden verfügen über eine eindeutige Kennung, um sie von anderen Benutzern zu unterscheiden. Die Benutzer-IDs müssen aus identifizierten Stammdatensystemen stammen und einen Lebenszyklus haben.
Anwendungssicherheit: Der sichere Entwicklungslebenszyklus von KONE stellt sicher, dass Anforderungen an die Anwendungssicherheit frühzeitig im Lebenszyklus identifiziert werden.
System- und Netzwerksicherheit: Der ausgehende Internetverkehr im KONE-Netzwerk wird durch eine cloudbasierte Proxy-Lösung, lokale Firewalls an größeren Standorten und/oder durch zentrale Firewalls an regionalen Knotenpunkten gesichert.
Sichere Konfiguration: KONE verlangt, dass Hardware, Software, Dienste und Netzwerkkonfigurationen gemäß den besten Sicherheitspraktiken gehärtet werden, beispielsweise unter Verwendung der Benchmarks des Center of Internet Security (CIS).
Bedrohungs- und Schwachstellenmanagement: Der Schwachstellenmanagementprozess von KONE legt fest, wie Schwachstellen identifiziert, behoben und gemeldet werden. KONE nutzt ein zentralisiertes Schwachstellenmanagementsystem (CVMS), um Schwachstelleninformationen aus verschiedenen Quellen zu verarbeiten. Regelmäßige Schwachstellenscans decken internetgebundene Dienste und die Infrastruktur ab. Penetrationstests werden auf Einzelfallbasis für priorisierte Lösungen, einschließlich IoT-Geräte, durchgeführt.
Management von Informationssicherheitsereignissen: Das Security Operations Center (SOC) von KONE überwacht die Protokolle des Security Information and Event Management Systems (SIEM), analysiert Ereignisse und erkennt Sicherheitsvorfälle sowie reagiert darauf. Das SOC ist rund um die Uhr im Einsatz.
Sicherheit im Personalwesen: Es werden Referenz- und andere Hintergrundüberprüfungen durchgeführt, um sicherzustellen, dass der Bewerber für die Position, für die er in Betracht gezogen wird, qualifiziert und geeignet ist. Alle Mitarbeiter nehmen an regelmäßigen, rollenbasierten Cybersicherheitsschulungen teil.
Physische Sicherheit: Die KONE-Standorte werden auf der Grundlage einer Risikobewertung klassifiziert. Die Klassifizierung legt die Mindestanforderungen an die physische Sicherheit fest, die am Standort umgesetzt werden müssen. Alle KONE-Standorte verfügen über physische Sicherheitsperimeter und physische Zugangskontrollen.
Sicherheit in Lieferantenbeziehungen: KONE verfügt über ein globales und einheitliches Lieferanten-Segmentierungsmodell, das die Ermittlung des Cyber-Risikoprofils von Lieferanten umfasst. Auf der Grundlage des Cybersicherheitsprofils des Lieferanten definiert KONE verbindliche Sicherheitsanforderungen.
Recht & Compliance: KONE überwacht die rechtlichen, gesetzlichen, regulatorischen und vertraglichen Anforderungen, die sich auf KONE und die unseren Kunden angebotenen Produkte und Dienstleistungen auswirken. KONE beteiligt sich aktiv an der Standardisierungsarbeit der Branche, wie beispielsweise ISO 8102-20:2022 Elektrische Anforderungen an Aufzüge, Fahrtreppen und Fahrsteige – Teil 20: Cybersicherheit.
Kontinuität: Die Business Impact Assessments von KONE legen die Anforderungen für Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) fest. Lösungen mit hoher Kritikalität erfordern einen dokumentierten Disaster Recovery Plan (DRP), der regelmäßig geübt wird. KONE hat Anforderungen an das Backup-Management und das Kapazitätsmanagement, die die Kontinuitätsziele von KONE unterstützen.
Sicherstellung der Informationssicherheit: KONE verfügt über ein jährliches internes Auditprogramm für Sicherheit sowie einen KONE-weiten Prozess und ein unterstützendes System zur Verwaltung von Korrekturmaßnahmen. KONE ist nach IEC 62443-4-1 für einen sicheren Entwicklungslebenszyklus zertifiziert. Externe Sicherheitsaudits und -überprüfungen werden regelmäßig durchgeführt.
