Wie wir vorgehen
Wir machen die Vernetzung der Gesellschaft möglich. Und sind uns als Anbieter kritischer nationaler Infrastrukturen der Bedeutung von Cyber- und Informationssicherheit bewusst. Keine Organisation, keine Regierung und keine Person wird jemals völlig immun gegen Cyber-Angriffe sein. Und die Telekommunikationsbranche ist mit einer einzigartigen Reihe von Risiken konfrontiert: Weil wir digitale, vernetzte Dienste anbieten und private Kommunikationsdaten verarbeiten.
Unsere Netze verbinden Millionen von Menschen, Haushalte, Unternehmen und Dinge miteinander – und mit dem Internet. Die Sicherheit unserer Netze, Systeme und Kund:innen hat höchste Priorität – und ist ein grundlegender Bestandteil unseres Unternehmenszwecks. Denn unsere Kund:innen nutzen unsere Produkte und Dienstleistungen auch, weil sie auf Datensicherheit vertrauen.
Unser globales Operating Model
Wir haben ein Operating Model eingeführt, das auf den führenden Sicherheitsstandards der Branche basiert. Diese wurden vom US-Handelsministerium, insbesondere dem National Institute of Standards and Technology (NIST), veröffentlicht. Wir arbeiten global in einem internationalen Team mit über 800 Mitarbeiter:innen. Fokus dieses Teams ist das ständige Monitoring, der Schutz und die Verteidigung unserer Systeme – und der Daten unserer Kund:innen.
Wir arbeiten auch mit externen Expert:innen und Berater:innen zusammen. So erweitern wir unsere Fachkenntnisse und unser Praxiswissen. Wir profitieren von der globalen Zusammenarbeit, der gemeinsamen Nutzung von Technologien und vom fundierten Fachwissen. Und haben dadurch einen Überblick über neu auftretende Bedrohungen. Das Cyber-Team ist spezialisiert auf deren Erkennung, auf Reaktion und Wiederherstellung. Präventive Kontrollen sind in unsere Technologien und das gesamte Unternehmen eingebettet.
Unser Cyber Code
Alle Mitarbeiter:innen tragen Verantwortung für die Cyber-Sicherheit bei Vodafone. Alle sind verpflichtet, den Vodafone Cyber Code zu befolgen, auf Bedrohungen zu achten und verdächtige Aktivitäten zu melden. Der Cyber Code ist eingebettet in unseren Verhaltenskodex. Er umschreibt unsere Erwartungen an alle Mitarbeiter:innen zum Thema Cyber-Sicherheit. Und umfasst sieben Bereiche, in denen die Mitarbeiter:innen bewährte Sicherheitspraktiken anwenden sollen.
Wie wir mit Cyber-Sicherheitsrisiken umgehen
Der Umgang mit Cyber-Sicherheitsrisiken und -bedrohungen ist von grundlegender Bedeutung für uns. So sorgen wir für die Sicherheit unserer Dienstleistungen in allen Bereichen unseres Geschäfts.
Um Risiken frühzeitig zu erkennen und zu bewältigen, bewerten und hinterfragen wir ständig unsere Geschäftsstrategie. Und auch neue Technologien, staatliche Richtlinien und Vorschriften sowie Cyber-Bedrohungen. Wir überprüfen regelmäßig die wichtigsten Sicherheitsrisiken, die sich auf unser Geschäft auswirken. Und entwickeln Strategien, um sie zu erkennen, zu verhindern und darauf zu reagieren. Unser Cyber-Sicherheitskonzept konzentriert sich auf die Minimierung des Risikos von Cyber-Vorfällen, die unsere Netzwerke und Dienstleistungen betreffen.
Die Bedrohungslandschaft zu verstehen, ist der Schlüssel zum Management von Cyber-Risiken. In den letzten Jahren haben zwei der größten Bedrohungen für die Cyber-Sicherheit deutlich zugenommen: Phishing- und Ransomware-Angriffe. Cyber-Kriminelle nutzen Emotionen und Unsicherheiten aus. Und verleiten Nutzer:innen dazu, sich auf bösartige E-Mails einzulassen oder Geld zu zahlen, um wieder Zugang zu Systemen zu bekommen. Cyber-Kriminelle nehmen auch zunehmend kleinere Zulieferer großer Unternehmen ins Visier. Um so ihre Angriffsziele noch stärker zu schädigen.
Organisationen in allen Branchen sehen sich auch weiterhin mit anderen Formen von Bedrohungen konfrontiert. Zum Beispiel mit Spionage-Versuchen und der Ausnutzung ungepatchter Sicherheitslücken.
Unsere Governance
Der Chief Technology Officer der Vodafone Group ist Mitglied des Executive Committees. Dieses ist für das Management der mit Cyber-Bedrohungen und Informationssicherheit verbundenen Risiken verantwortlich. Der Direktor für Cyber-Sicherheit ist für die Verwaltung und Überwachung des Cyber-Sicherheitsprogramms im Tagesgeschäft verantwortlich. Er berichtet an den Chief Technology Officer.
Cyber-Bedrohungen und Informationssicherheit sind ein wichtiges Thema für den Prüfungs- und Risikoausschuss. Dieser erhält mindestens zweimal im Jahr detaillierte Informationen über die Bedrohungs- und Risikolage und den Fortschritt des Sicherheitsprogramms. Auch der Verwaltungsrat wird regelmäßig über Fragen der Cyber-Sicherheit informiert.
Unsere Sicherheitskontrollen
Kontrollen können Risiken verhindern, aufdecken oder auf solche reagieren. Die meisten Risiken und Bedrohungen lassen sich verhindern oder werden aufgedeckt, bevor sie Schaden anrichten und eine Reaktion erfordern. Bei einigen sind Wiederherstellungsmaßnahmen erforderlich.
Wir nutzen einen gemeinsamen globalen Rahmen: die Cyber Security Baseline. Dieser ist für die gesamte Vodafone-Gruppe verbindlich. Die Baseline umfasst wichtige Sicherheitskontrollen, die das Cyber-Sicherheitsrisiko erheblich reduzieren. Indem sie Ereignisse und Angriffe verhindern, aufdecken oder auf sie reagieren. Unser Rahmen wurde ursprünglich auf der Grundlage eines internationalen Standards entwickelt. Dieser ist auf unsere Hauptrisiken abgestimmt. Und bietet so den umfassendsten Schutz. Jedes Jahr überprüfen wir diesen im Hinblick auf die sich verändernden Bedrohungen. Und schaffen neue oder verbesserte Kontrollen, um Bedrohungen zu begegnen.
Ein spezielles Assurance Team überprüft und validiert die Wirksamkeit unserer Sicherheitskontrollen. Und unser Kontrollumfeld wird regelmäßig intern geprüft. Die Sicherheit unserer globalen Netzwerke wird außerdem jedes Jahr von unabhängiger Seite getestet. So wird sichergestellt, dass wir die höchsten Standards einhalten und unsere Kontrollen effektiv funktionieren. Wir verfügen über unabhängig geprüfte Zertifizierungen für die Informationssicherheit, einschließlich ISO 27001. Diese decken unsere globale Technologie-Funktion und 15 lokale Märkte ab, darunter auch Deutschland. Wir halten uns an lokale Anforderungen oder Zertifizierungen. Und beteiligen uns aktiv an Beratungen und Debatten über Gesetze und Vorschriften für die Verbesserung und Gewährleistung der Sicherheit von Kommunikationsnetzen.
Neue Technologien
Wir setzen neue Technologien ein, um unseren Kund:innen den bestmöglichen Service zu bieten. Und um unsere betriebliche Effizienz zu steigern. Bei jedem neuen oder bestehenden Technologie-Programm folgen wir unserem Secure-by-Design-Prozess: Wir bewerten die Hardware und Software der Lieferant:innen, modellieren Bedrohungen und verstehen die Risiken. Anschließend entwerfen, implementieren und testen wir die erforderlichen Sicherheitskontrollen.
Jede neue Generation von Mobilfunk-Netzen hat die Leistung und Leistungsfähigkeit erhöht. Und auch neue Möglichkeiten für die Sicherheit geschaffen. 5G verbessert die bestehende Sicherheit mit zusätzlichem Schutz vor Bedrohungen – wie Standortverfolgung, Abhören von Anrufen oder Nachrichten und Modifizierung des Netzverkehrs. Außerdem umfasst 5G verbesserte Funktionen zum Schutz der Signalisierung zwischen den Netzen verschiedener Betreiber. Was dazu beiträgt, die Verfolgung oder das Abhören beim Roaming zu verhindern. Wir arbeitet mit Hochdruck daran, diese neuen Sicherheitsfunktionen in unsere 5G-Netze einzubauen.
5G und andere Mobilfunk-Technologien werden Milliarden von Geräten miteinander verbinden. Darum ist es von entscheidender Bedeutung, bei allen Betreibern für die richtige Sicherheit zu sorgen. Vodafone hat an der Erstellung der IoT-Sicherheitsrichtlinien der GSMA und dem dazugehörigen Selbstbewertungsschema mitgearbeitet. In den Fällen, in denen wir mit Partner:innen oder Dritten zusammenarbeiten, um IoT-Lösungen zu entwickeln und zu implementieren, nutzen wir einen weiteren Ansatz. Diesen haben wir gemeinsam mit Consumers International entwickelt – wie die Veröffentlichung der Consumer IoT Trust by Design Guidelines zeigt.
Wir verfolgen und überwachen auch potenzielle zukünftige Bedrohungen für unsere Netzwerke, Systeme und Kund:innen – wie z. B. das Quantencomputing und seine Auswirkungen auf die Verschlüsselung. Dieses Risiko ist nicht spezifisch für Vodafone. Trotzdem haben wir damit begonnen, uns mit den möglichen negativen Auswirkungen zu beschäftigen. Um ein robustes Verschlüsselungsniveau aufrechtzuerhalten, das in unserem Netzwerk und in unseren Systemen quantensicher ist.
Cyber-Vorfälle
Als globaler Connectivity-Anbieter sind wir täglich unterschiedlichen Cyber-Bedrohungen ausgesetzt. Die überwiegende Mehrheit wird durch unser robustes Kontrollumfeld erkannt, blockiert oder abgeschwächt – ohne dass es zu Auswirkungen kommt. Für den Fall, dass ein Sicherheitsvorfall eintritt, haben wir einen konsistenten Rahmen für das Management von Cyber-Vorfällen. Und ein erfahrenes Team, das unsere Reaktion steuert. Das Hauptaugenmerk unserer Mitarbeiter:innen liegt dabei immer auf einer schnellen Risikominderung – und auf der Sicherheit unserer Kund:innen.
Wir arbeiten aktiv mit Interessenvertreter:innen zusammen, einschließlich akademischer Einrichtungen, der Industrie und der Regierung. So schützen wir Vodafone, reagieren auf Cyber-Bedrohungen und tauschen uns zu bewährten Verfahren aus. Aufgrund unseres Fachwissens und unserer umfangreichen Erfahrung arbeiten wir auch mit einer Vielzahl von Organisationen zusammen. So verbessern wir das Verständnis für Cybersicherheitsdenken und -praktiken. Und leisten einen Beitrag zur öffentlichen Politik, zu technischen Standards, Informationsaustausch und -analyse, Risikobewertung und Governance.
Responsible Disclosure: Schwachstellen melden
Wir versuchen unseren Kund:innen höchstmögliche Sicherheit zu bieten. Technologien haben aber Schwachstellen, die wir nicht immer selbst finden.
Darum schätzen wir das Fachwissen und die Hilfe der Cyber-Sicherheits-Community. Ihr unterstützt uns dabei, unsere hohen Sicherheitsstandards aufrechtzuerhalten. Meldet uns vermutete Sicherheitslücken im Zusammenhang mit unseren Diensten oder Produkten.
Unsere Security-Spezialist:innen prüfen alle Meldungen und arbeiten bei Bedarf mit Euch zusammen. So stellen wir gemeinsam sicher, mögliche Probleme so schnell es geht zu beheben.
Wie melde ich eine Sicherheitslücke?
Bitte unterstütze uns, indem Du uns so viele Infos wie möglich über das von Dir entdeckte Problem zur Verfügung stellst. Lies Dir bitte obenstehende Infos durch, bevor Du Deine Meldung hier einreichst.