Unternehmens-, Informations- und Cybersicherheit
Der Schutz unseres Unternehmens vor kriminellen Angriffen oder unerlaubten Aktivitäten ist für unser Fortbestehen, unsere Geschäftstätigkeit und für unsere Reputation von entscheidender Bedeutung.
Strategie und Governance
Als wissenschaftliches, technologieintensives Unternehmen ist BASF in einem sich rasant verändernden Geschäftsumfeld mit Kriminalität, Terrorismus, Sabotage, Spionage und anderen Sicherheitsrisiken konfrontiert. Unsere Mitarbeitenden, Standorte, Anlagen, Informations- und Kommunikationssysteme sowie unser geistiges Eigentum gegen Eingriffe von Dritten zu schützen, ist von hoher Bedeutung für uns. Physische und transitorische Risiken aus Unternehmens-, Informations- und Cybersicherheit erfassen wir systematisch im Rahmen unseres allgemeinen Chancen- und Riskiomanagements.
Für unsere Unternehmenssicherheit ist ein globales Team zuständig. Für die schnelle und wirkungsvolle Implementierung von Sicherheitsmaßnahmen haben wir entsprechende Strukturen und Prozesse definiert und in gruppenweit verbindlichen Richtlinien festgeschrieben. Die Umsetzung und Einhaltung dieser internen Richtlinien sowie der gesetzlichen Vorgaben liegen in der Verantwortung unserer Standorte und Gruppengesellschaften. Die Corporate-Center-Einheit „Environmental Protection, Health, Safety and Quality“ (EHSQ) überprüft dies regelmäßig im Zuge von Audits.
Die Verantwortung für Informations- und Cybersicherheit liegt im Ressort des Finanzvorstands, der gleichzeitig auch Chief Digital Officer ist. Die strategische Ausgestaltung erfolgt durch den Chief Information Security Officer. Ein weltweit tätiges Cyber-Security-Team hat die Aufgabe, die Systeme der IT (Informationstechnologien) und OT (operative Technologien) von BASF bestmöglich vor Hackerangriffen zu schützen und die Informationssicherheit zu gewährleisten. Um geeignete Sicherheitsmaßnahmen einzuleiten und zu überwachen, ist die Organisation nach einem globalen Best-Practice-Framework (Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen) strukturiert. Unser IT-Sicherheitsmanagement ist nach DIN EN ISO/IEC 27001: 2017 zertifiziert und Hauptinstrument zur Steuerung der Informations- und Cybersicherheit in der BASF-Gruppe. Wesentlich ist dabei, die Vertraulichkeit, Integrität und Verfügbarkeit unserer Daten und IT-Infrastruktur sicherzustellen und gleichzeitig die Einhaltung geltender Gesetze und Vorschriften nachzuweisen. Mithilfe des Systems wollen wir regulatorische Compliance-Anforderungen an unsere kritische Infrastruktur erfüllen. Die Corporate-Center-Einheit „Environmental Protection, Health, Safety and Quality“ überprüft dies regelmäßig im Zuge von Audits.
Unternehmenssicherheit
Ein zentraler Baustein der Unternehmenssicherheit ist der Standortschutz. Das Aufgabenspektrum unserer Sicherheitsteams reicht von Zutrittskontrollen an unseren Standorten bis hin zur Abwehr von Industriespionage. Für den Standortschutz relevante Menschenrechtsaspekte sind Teil der globalen Verhaltens- und Qualifizierungsanforderungen an unser internes und externes Sicherheitspersonal.
Für Investitionsprojekte und im Zuge von strategischen Überlegungen analysieren wir mögliche Sicherheitsrisiken und definieren entsprechende Sicherheitskonzepte. Unser Grundprinzip lautet dabei: Risiken für das Unternehmen frühzeitig erkennen, bewerten und entsprechende Schutzmaßnahmen ableiten.
Geschäftsreisende und Delegierte informieren wir vor und während Reisen in Länder mit erhöhtem Sicherheitsrisiko über geeignete Schutzmaßnahmen. Unsere Reiseempfehlungen passen wir fortlaufend an. Mit einem global vereinheitlichten Reiserecherchesystem haben wir die Möglichkeit, Mitarbeitende nach schweren Ereignissen in den betroffenen Gebieten zu lokalisieren und zu kontaktieren.
Informations- und Cybersicherheit
Informations- und Cybersicherheit gewinnt für unser Unternehmen zunehmend an Bedeutung. Neben dem Schutz von Daten und IT-Infrastruktur bildet sie die Grundlage für eine erfolgreiche Digitalisierung und für die Implementierung neuer Geschäftsmodelle. BASF folgt dabei dem Prinzip „security by design“, um IT-Anwendungen bereits bei der Konzeption unter dem Aspekt Cybersicherheit kritisch zu betrachten und zu optimieren. Mit verschiedenen Maßnahmen und Weiterbildungsprogrammen entwickeln wir unsere Fähigkeiten zur Prävention, Detektion und Reaktion auf Sicherheitsvorfälle stetig weiter.
Die Sensibilisierung unserer Mitarbeitenden für den Schutz von Informationen und Know-how fördern wir weltweit. Das Risikobewusstsein unserer Mitarbeitenden haben wir auch im Jahr 2023 wieder mit einer für alle verpflichtenden regelmäßigen Online-Schulung sowie durch ergänzende Angebote wie Seminare, Fallbeispiele und interaktive Trainings weiter geschärft. Unser globales Netzwerk der Informationsschutzbeauftragten umfasst rund 600 Mitarbeitende. Sie unterstützen bei der Umsetzung unserer einheitlichen Vorgaben und führen Veranstaltungen und Schulungen zum sicherheitsbewussten Verhalten durch. Im Jahr 2023 wurden rund 70.000 Mitarbeitende in den Grundlagen zu Cybersicherheit und Informationsschutz geschult.