Sicherheits- und Datenschutz bericht 2016/2017 - Vodafone Power to you - der Vodafone GmbH, Deutschland Berichtszeitraum 1.4.2016 31.3.2017
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Sicherheits- und
Datenschutzbericht
2016/2017 der Vodafone GmbH, Deutschland
Berichtszeitraum 1.4.2016 – 31.3.2017
BIG DATA
Neue Möglichkeiten in
Wirtschaft und Gesellschaft
„Es braucht viel Aufklärung“
Interview mit Renate Schmidt
Ombudsfrau für Datenschutz und
Korruptionsbekämpfung bei Vodafone
Vodafone
Power to you
Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Seite 2
Inhalt
10 Die Herausforderungen steigen
Ein Blick zurück: Datenschutz und
Sicherheit bei Vodafone
4 Status Quo
Blick auf die Sicherheitslage in Deutschland
12 Zeit für neue Spielregeln
Als zentraler Wachstumstreiber
erschließt Big Data neue Möglichkei-
ten in Wirtschaft und Gesellschaft
7 „Gerade Deutschland braucht ein hohes 24 Berufswunsch: Hacker
IT-Sicherheitsniveau“ Bei der Cyber Security Challenge
Interview mit Professor Dr. Norbert Pohlmann, beweisen junge
Experte für Informationssicherheit, über die Nachwuchstalente
aktuelle Sicherheitslage ihre IT-Skills
Editorial 3 „Es braucht viel Aufklärung“ Streng vertraulich. Lösungen und Standards
Interview mit Renate Schmidt 15 für eine sichere Datenverarbeitung 21
Auf einen Blick. Die IT-Welt in Zahlen 6
Auf dem Prüfstand. Transparenz bei Bei Anruf Sicherheit. Hoher Standard bei
Mit Sicherheit gut informiert. BSI Präsident Sicherheit und Datenschutz 17 VoIP-Telefonaten im Vodafone Netz 22
besucht Vodafone Sicherheitszentrum 9
Schutz des Gemeinwesens. Vodafone Rede und Antwort. Regelmäßige Informati-
Schutzmaßnahmen wirken. Trend zu erfüllt die KRITIS-Anforderungen 19 on der Kunden gehört zum Standard 23
mehr Spamwellen und DDoS-Angriffen 11
Streng geheim. VS-NfD Client ermöglicht Milliarden neue Verbindungen. Sicherheit
DDoS-Abwehr – made by Vodafone 11 sichere Bearbeitung von Verschlusssachen ist Erfolgsfaktor für das „Internet of Things“
19 25
Geprüft und für gut befunden. Kunden
daten sind bei Vodafone gut aufgehoben 14 Europa probt den Ernstfall. Vodafone Datenschutz ohne Grenzen. Die EU
trainiert Krisenmanagement bei der Datenschutz-Grundverordnung sorgt für
Gerettet. Vodafone-App Backup+ bewahrt
Cyber Europe-Übung 2016 20 einheitliche Standards ab 2018 26
persönliche Daten bei Handyverlust 14
Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Editorial Seite 3
Erfolgsfaktor
Die wichtigsten Zahlen
dieser Ausgabe …
Daten-
sicherheit 51
Milliarden €
Schaden jährlich durch
Die Zahl der Nachrichten aus der Welt der Sicherheit Wirtschaftsspionage
und Cyber-Kriminalität ist in den letzten Monaten spürbar Seite 7
gestiegen. Das erhöht die persönliche Sensibilität der
Nutzer. Aber auch das Verständnis für Datensicherheit als
75 %
entscheidender Erfolgsfaktor für Unternehmen wächst.
Täglich zeigt sich aufs Neue, wie groß der Bedarf an
kontinuierlich verbesserten Maßnahmen zum Schutz
unserer Daten ist. mehr DDoS-Angriffe
seit Anfang 2016
Seite 11
Die gute Nachricht für Sie: Ihre Sicherheit steht bei Vodafone
im Mittelpunkt. Dafür haben wir auch im Geschäftsjahr
44
2016/2017 viel unternommen, zugleich aber auch die
eigenen Prozesse regelmäßig von externen Profis auf die
Probe stellen lassen.
Doch die Welt der Sicherheit bleibt gleichzeitig eine Welt der Zettabytes
Bedrohungen. Die Art der Angriffe ändert sich laufend. Auch wird das digitale Datenvolumen
wir passen unsere Maßnahmen zur Prävention und Reaktion voraussichtlich 2020 umfassen
Seite 12
kontinuierlich an. Auf den folgenden Seiten berichten wir
deshalb nicht nur über die gemeisterten Herausforderun-
gen. Wir stellen zugleich auch unsere Lösungen für künftige
Entwicklungen vor, mit denen unsere Kunden ihre Daten
und die Infrastruktur vor ungewünschtem Zugriff sicher
schützen können.
Abdou-Naby Diaw,
Chief Security Officer – Vodafone GmbH
Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Globaler Überblick Seite 4
Status Quo
Blick auf die Sicherheitslage
in Deutschland
Die ständige Weiterentwicklung aller Schutzmechanismen
ist der Schlüssel zu einer erfolgreichen Abwehr von Cyber-
Angriffen. Denn, so zeigen die Ergebnisse eines Berichts
des Bundesamts für Sicherheit in der Informationstechnik:
Die Bedrohung wird mit fortschreitender Digitalisierung
immer komplexer. Vodafone hat die angespannte Gefährdungs-
lage im Blick und rüstet sich für neue Herausforderungen.
Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Globaler Überblick Seite 5
Status Quo – Blick auf die Sicherheitslage in Deutschland
Cyber-Angriffe bestimmen unser Leben. Angreifern Zugriff auf
Fast jeden Tag gehen Nachrichten über sensible Informationen
Hacker-Attacken ein, die Verbraucher oder gar die Kontrolle
verunsichern. Davon sind nicht nur pri- über ganze Systeme.
vate Nutzer betroffen, sondern vor al-
lem auch Unternehmen, die Wirtschaft Den Zugriff auf eine Reihe
und sogar der Staat. Welche Schlupflö- privater und öffentlicher
cher aber nutzen die Kriminellen im Rechner erlangen Cyber-Kriminelle
Netz derzeit besonders häufig? über fernsteuerbare Schadprogramme. Einen etwas positiveren Blickwinkel
Daraus entstehen organisierte Botnet- eröffnet die Studie des Deutschland
Zu den bekanntesten Angriffspunkten ze – bereit, um jederzeit massenhaft sicher im Netz (DsiN) e. V. zur Sicher-
zählen Schwachstellen in Soft- und Schadsoftware und Spam zu verbreiten. heitslage in Deutschland 2016. Nach
Hardware-Produkten. Die Software-Ent- Prinzipiell kann jedes internetfähige dieser Studie steigt die Verbraucher-
wicklung ist so aufwendig, dass sich Gerät Teil eines Botnetzes werden und sicherheit im Netz, wie schon im Jahr
bei der Programmierung leicht Fehler für Angriffe auf die Verfügbarkeit von zuvor. Der aktuelle DsiN-Index von 65,4
einschleichen. Systemlücken in Pro- Services eingesetzt werden. Punkten dokumentiert das Auftreten
grammen, die weltweit von Millionen weniger sicherheitsrelevanter Vorfälle
Nutzern verwendet werden, können Auch anonyme Zahlungsmethoden wie und ein souveräneres Verbraucherver-
zu immensem Schaden führen. 2016 Bitcoin eröffnen neue Möglichkeiten halten im Netz. Der Index ergibt sich
meldeten Sicherheitsforscher zahlrei- der Erpressung oder der Vermarktung aus der Zahl der Vorfälle, dem Gefähr-
che Schwachstellen bei Adobe Rea- von Angriffswerkzeugen. An vielen dungsempfinden als Beschreibung der
der, Flash Player oder Apple OS X. Im Stellen mangelt es an hinreichend um- Bedrohungslage und dem Schutzni-
schlimmsten Fall erlaubten diese den gesetzten Sicherheitsmaßnahmen. veau. 2015 lag er nur bei 63 Punkten.
DsiN-Index – Übersicht und Faktoren 2016
Sicherheitsrelevante 30,1 2016
Vorfälle 34,0 2015
Bedrohungslage
29,2
Gefährdungsgefühl
28,3
84,2
Sicherheitskompetenz
82,7
Schutzniveau
52,9
Sicherheitsverhalten
50,7
100 Punkte
65,4
DsiN-Index 63,0
Schwellwert: 50
Quelle: DsiN-Sicherheitsindex 2016
Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Globaler Überblick Seite 6
Auf einen Blick.
Die IT-Welt in Zahlen
Big Data 40 % der Nutzer von
51 % sehen in Big Data eher Nachteile als Vorteile. Online-Services lesen sich nicht
die Datennutzungsrechte von
32 % sehen darin mehr Vorteile als Nachteile. Dritten in den AGB durch.
17 % geben dazu kein klares Urteil ab. Quelle: Studie „Big Data. Ethische Fragen“
Quelle: Vodafone Big Data Studie „Wann Menschen bereit sind,
ihre Daten zu teilen“
Schadprogramme nehmen stark zu
65 %
Bekannte Schadprogramme Quelle: AV-TEST GmbH
der Internetnutzer stimmen einer
anonymen Datensammlung zu, 1 Mio 2 Mio 3 Mio 4 Mio 5 Mio 6 Mio
wenn sie einem individuellen oder 2010
sozialen Zweck dient. 2012
Quelle: Vodafone Big Data Studie „Wann Menschen 2014
bereit sind, ihre Daten zu teilen“ 2016
Vodafone Sicherheitswelt in Zahlen
1.100 24/7 70 % 44,6 Mio.
Sicherheitsspezialisten Cyber Defense Internet-Nutzer wollen mehr Mobilfunkkarten im
weltweit im Einsatz Infos zu sicherem Verhalten sicheren Vodafone-Netz
Was glauben Sie: Wie sicher sind Ihre persönli- Einfluss von Datendiebstahl auf das
chen Daten im Internet im Allgemeinen? Kundenvertrauen
Stand Juli 2016
77 % 70 % Verlust des
Kundenvertrauens
21 % eher unsicher/
sehr sicher/ völlig unsicher 60 %
sicher Beeinträchtigung
der Reputation 44 % Finanzielle
Schäden
Quelle: Bitkom
© Statista 2016 Quelle: NTT Com Security. Befragt wurden weltweit 1.000 Führungskräfte
Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Globaler Überblick Seite 7
„Gerade Deutschland
braucht ein hohes
IT-Sicherheitsniveau“
Professor Dr. Norbert Pohlmann, Experte für Informationssicherheit,
über die aktuelle Sicherheitslage
Wie sehen Sie aktuell die Sicherheitslage in Deutschland? „Jeder Unternehmer
muss sich zwingend
Glauben Sie, die deutschen Unternehmen tun im internatio-
mit der Notwendigkeit
nalen Vergleich genug für ihre Sicherheit und die Sicherheit
von IT-Sicherheit
ihrer Kunden?
auseinandersetzen. “
Das Level der IT-Sicherheit ist in Deutschland zurzeit nicht Prof. Dr. Norbert Pohlmann
ausreichend. Viele IT-Produkte erreichen nicht den nötigen
Reifegrad an Sicherheit, um ein grundlegendes Maß an
Vertrauenswürdigkeit zu gewährleisten. Das zeigen leider die Ein weiteres IT-Sicherheitsthema, das immer größer wird,
vielen erfolgreichen Angriffe in diesem Jahr sehr anschaulich. sind die verschiedenen Angriffe auf Smartphones und
Tablets.
Da Wissen einen großen Teil unseres Wirtschaftserfolgs
ausmacht, brauchen wir gerade in Deutschland ein hohes Sie sind auch als Coach und Mentor tätig. Sie unterstützen
IT-Sicherheitsniveau. Wir müssen unsere Werte, die mit IT damit Unternehmerinnen und Unternehmer, ihre IT-Sicher-
verarbeitet und auf IT gespeichert werden, angemessen und heit aufzubauen. Was ist Ihr erster und wichtigster Rat für
vor allem proaktiv schützen. Erst zu reagieren, wenn etwas Unternehmer?
passiert ist, kann fatale Folgen haben: Ein Hack, eine erfolg-
reiche Wirtschaftsspionage, kann ein ganzes mittelständi- Jeder Unternehmer muss sich zwingend mit der Notwendig-
sches Unternehmen in die Insolvenz treiben. Daher müssen keit von IT-Sicherheit auseinandersetzen. Er muss individuell
die Unternehmen bessere und wirkungsvollere IT-Sicher- festlegen, welche Daten in seinem Unternehmen einen
heitslösungen für sich selber und ihre Kunden einsetzen! besonderen Wert haben, wie groß der Schutzbedarf ist und
muss eine angemessene IT-Sicherheit festlegen, damit diese
Wo sehen Sie aktuell die Bedrohungen? Gibt es aktuelle Werte erhalten bleiben.
Angriffs-Trends, vor denen sich Unternehmen schützen
müssen? Da IT-Sicherheit ein Spezialthema ist, sollten die Unterneh-
men außerdem für sich entscheiden, ob sie eigene Kompe-
Die Angriffs-Möglichkeiten sind zurzeit sehr vielfältig und tenzen aufbauen oder entsprechende Expertise einkaufen.
ihre Auswirkungen wachsen mit jedem Jahr. Der Schaden
im Bereich der Wirtschaftsspionage wird zurzeit mit 51 Mrd. Was bewegt eigentlich Hacker dazu, ihr Unwesen im Netz
Euro pro Jahr beziffert. Aktuelle Trends liegen insbesondere zu treiben?
im Bereich Erpressung. Ein Beispiel in diesem Bereich ist
Ransomware, bei der die Angreifer die auf einem IT-Gerät ge- Die Motivationen von „Hackern“ sind sehr unterschiedlich:
speicherten Daten verschlüsseln und Geld dafür verlangen, Berufskriminelle wollen Geld verdienen; Spione für die
diese wieder zugänglich zu machen. Wirtschaft oder für Regierungen tun dies beruflich oder als
Dienstleistungen; Terroristen wollen „politische Ziele“ durch-
Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Globaler Überblick Seite 8
setzen; Vandalen haben einfach nur Zerstörungswut und Welches Verhalten fordert die sichere Verwendung von
Behörden tun dies, um Kriminelle aufzuspüren. Hacker im mobilen Geräten?
ganz ursprünglichen Sinne hingegen haben Spaß an der
Technik; wollen Anerkennung. Sie suchen die Herausfor- Bei mobilen Endgeräten bestehen Gefahren, die es vorher
derung und möchten die Welt sicherer machen, indem sie nicht gab. Die Apps sind in der Regel kostenlos und die
aufzeigen, wo sie noch unsicher ist. Anbieter verdienen mit dem Auslesen von personenorien-
tierten Daten ihr Geld. Es ist daher wichtig, nur Apps zu laden,
Eins aber haben alle Formen der Motivation gemeinsam: die als sicher und vertrauenswürdig gelten und wirklich
Sie können dem Nutzer und der Gesellschaft schaden. gebraucht werden. Die Ortung der mobilen Endgeräte birgt
ein Risiko. Um Bewegungsprofile zu vermeiden, sollte mit der
Gibt es denn auch „gute“ Hacker? Wie gewinnt man sie Einschaltung und Freigabe von „Ortungssensoren“ verhalten
für sein Unternehmen? umgegangen werden. Auch das Surfen im offenen WLAN
stellt prinzipiell eine Bedrohung dar, wenn die Vertrauens-
Die Fähigkeiten, die ein Hacker braucht, um erfolgreich zu würdigkeit nicht eingeschätzt werden kann. Daher sollte
sein, sind sehr wichtig und wertvoll für das Designen von nicht jedes angebotene WLAN auch genutzt werden.
neuen IT-Sicherheitslösungen. In Deutschland haben wir
das Projekt „Cyber Security Challenge Germany“ etabliert. Die Nutzer sollten außerdem eine passwortgeschützte
Das Ziel dahinter ist, die richtigen Talente zu identifizie- Display-Sperre einrichten, automatische Updates einspielen,
ren, die uns helfen, den Digitalisierungsprozess in Zukunft sensible Daten verschlüsseln und nur Rechte freigeben, die
sicherer und vertrauenswürdiger zu gestalten. Angefangen wirklich gebraucht werden.
mit der deutschen Online-Challenge stellten wir dieses Jahr
mehr als 1.000 jungen Talenten über drei Monate neun Stellen wir uns vor, wir wiederholen dieses Interview Ende
Aufgaben aus verschiedenen Bereichen der IT-Sicherheit. 2017. Was glauben Sie, welche Sicherheitsthemen werden
Die besten 20 daraus sind anschließend in Berlin zu einem uns dann am meisten beschäftigen?
Vor-Ort-Wettbewerb angetreten. Wiederum die Hälfte qualifi-
zierte sich dabei für die „European Cyber Security Challenge“, Die Identifikation und Authentifikation von Personen und
an der insgesamt zehn europäische Länder beteiligt waren. Dingen werden uns in den nächsten Jahren stark beschäf-
Diese fand 2016 bei Vodafone in Düsseldorf statt. tigen. Dafür brauchen wir angemessene IT-Sicherheitslö-
sungen, die wir in den vielfältigen Digitalisierungsprozessen
Welchen neuen Gefahren sind Privatnutzer im Netz nutzen können.
ausgesetzt?
Da in den nächsten Jahren die Anzahl der Dinge im Internet
Für den Privatnutzer wird es immer schwieriger festzu- die Anzahl der Personen deutlich überholen wird, müssen
stellen, was er guten Gewissens im Internet tun kann und wir hier einen Schwerpunkt auf die Sicherheit dieser ver-
was er besser bleiben lässt. Schon allein die Beurteilung netzten Dinge und die dazu notwendigen IT-Sicherheitsinfra-
der Vertrauenswürdigkeit von Links stellt mittlerweile eine strukturen legen.
Herausforderung dar. Außerdem kommen weitere Fragen
auf: Wie kann ich festlegen, ob ich einen Dateianhang öffnen Die Gesellschaft wird immer intoleranter werden gegenüber
kann oder nicht? Welche App kann ich laden, ohne dass all unsicheren IT-Lösungen. Daher müssen die Entwicklungspa-
meine Daten geklaut werden? Besondere Vorsicht ist auch radigmen Security-by-Design und nachvollziehbare Quali-
bei Fake-News im Netz geboten, die Wahlen entscheidend tätssicherung für alle IT-Lösungen bedingungslos umgesetzt
beeinflussen können. werden, um mehr Sicherheit und Vertrauenswürdigkeit zu
erzielen.
Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Globaler Überblick Seite 9 Mit Sicherheit gut informiert BSI Präsident besucht Vodafone Sicherheitszentrum Jedes zweite Unternehmen in Deutsch- aufstellt. Bei seinem Besuch in Düssel- Tag sicherer wird. Eine der wichtigsten land wurde in den letzten beiden Jahren dorf konnte er sich vor Ort einen Über- Aufgaben der Sicherheitsteams ist es, Opfer digitaler Wirtschaftsspionage, blick darüber verschaffen, wie intensiv aktiv nach möglichen Angriffen und Datendiebstahls oder Sabotage. sich Vodafone mit ausgefeilter Sicher- Schwachstellen zu suchen und schnell Geschätzter Schaden: 50 Milliarden heitsorganisation und innovativen und effektiv die richtigen Gegenmaß- Euro pro Jahr. Gerade Mittelständler Sicherheitsprodukten um die Daten nahmen einzuleiten – denn Vodafone sind noch nicht ausreichend gegen sicherheit seiner Kunden kümmert. setzt schon längst nicht mehr nur auf Gefahren aus dem Netz geschützt. eine schnelle Reaktion, sondern zuneh- Führende Telekommunikationsunter- Dr. Christoph Clement, Director Legal, mend auf Prävention. nehmen sind da schon viele Schritte Regulatory & Corporate, sowie Chief weiter. Arne Schönbohm, Präsident Security Officer Abdou-Naby Diaw Arne Schönbohm hat am 18. Februar des Bundesamtes für Sicherheit in der öffneten Herrn Schönbohm die Türen 2016 sein Amt als Präsident des Bun- Informationstechnik (BSI), hat sich in die geheime Sicherheitswelt – das desamtes für Sicherheit in der Infor- deshalb bereits kurz nach seinem Cyber Defense Organisations Center mationstechnik (BSI) angetreten. Als Amtsantritt in der Vodafone-Zentrale von Vodafone. Weltweit kümmern sich nationale Cyber-Sicherheitsbehörde persönlich ein Bild davon gemacht, die dort tätigen Kollegen im 24-stün- gestaltet das BSI Informationssicherheit wie sich Vodafone im täglichen Kampf digen Schichteinsatz im Austausch mit in der Digitalisierung durch Prävention, um den Schutz der Netze und gegen 24 weiteren Experten-Teams genau um Detektion und Reaktion für Staat, Wirt- immer neue Hackerbedrohungen eins: dass das Vodafone-Netz jeden schaft und Gesellschaft.
Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Bilanz Seite 10
Die Herausforderungen steigen
Ein Blick zurück: Datenschutz und Sicherheit bei Vodafone
Spam-E-Mails, Schadsoftware in gefälschten Dateianhängen oder DDoS-Attacken auf global vernetzte Server:
Die Liste der Themen, die das Datenschutz- und Sicherheitsteam von Vodafone in den vergangenen Monaten
beschäftigt hat, ließe sich lange fortsetzen.
Wie in jedem anderen Unternehmen, Einerseits gilt es, den Betrieb der Mit der zunehmenden Vielfalt der
steigen auch bei Vodafone die regis- verschiedenen Netze gegen Angriffs- Herausforderungen stieg im Berichts-
trierten Angriffsversuche. Und die versuche zu sichern. Genauso wich- zeitraum auch die Zahl der Maßnah-
Herausforderung wächst mit der Vielfalt tig ist aber der Schutz der eigenen men, die Vodafone zur Absicherung
der unterschiedlichen Bedrohungs IT-Infrastruktur in Verwaltung, Vertrieb, ergriffen hat. So hat das Audit-Team
szenarien. Das deckt sich auch mit Kundendienst oder Kundenvertrieb. unter anderem den gesamten End
der allgemeinen Wahrnehmung von Ferner müssen persönliche Daten kunden-Vertrieb auf die Probe gestellt.
Kunden und anderen Unternehmen, von Millionen von Kunden verlust-
die den Bedarf einer stärkeren Absiche- und diebstahlsicher organisiert
rung sehen: 59 % der von Bitkom be- und gespeichert werden. Immer
fragten Entscheider erklärten IT-Sicher- häufiger laufen schutzbedürftige
heit zum wichtigsten Digital-Thema des Zahlungstransfers über die
Jahres 2016. Noch vor Cloud, Industrie Netze und Applikationen von
4.0 oder Internet of Things. Vodafone. Und es gilt, die
Portale zur Selbstadministra-
Der berechtigte Anspruch der Privat- tion der Daten für Privat-
und Firmenkunden auf eine maximale kunden vor unberech-
Absicherung im Umgang mit Daten tigtem Zugriff zu
trifft Vodafone auf mehreren Ebenen. schützen.
Persönliche Daten
von Millionen von
Kunden müssen
verlust- und
diebstahlsicher
organisiert und
gespeichert werden.Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Bilanz Seite 11
Gleichzeitig stellte sich das Unternehmen en und die Entwicklung geeigneter die Entwicklung sicherer Lösungen
den kritischen Prüfungen externer Profis. Gegenmaßnahmen. Denn die Art der für seine Kunden. Ob für die Sicherung
Dabei wurde Vodafone dreimal allein Cyber-Angriffe ändert sich laufend. persönlicher Daten auf mobilen
vom TÜV zertifiziert – für das hohe Da- Ransomware-E-Mails etwa erreichen Geräten oder für die Abwehr von DDoS-
tenschutzniveau, den hohen Standard viele Büros. Die gute Nachricht für Un- Attacken.
der Informationssicherheit und das ternehmen: Anders als Privatpersonen
Business Continuity Management. sind sie dank einer effizienten IT und Trotz aller Vorsorge bleibt die
regelmäßiger Backups oft gut gerüstet. Welt der Sicherheit eine Welt der
Einen wichtigen Beitrag leistete wieder Herausforderungen. Die Entwick-
das Incident Management von Voda- Zunehmend im Fokus von Cyber-At- lung geeigneter neuer Schutz-
fone. Im Berichtszeitraum hat es auf tacken stehen die vernetzten Geräte und Abwehrmaßnahmen, bevor
Gefahren schnell und souverän reagiert des Internet of Things. Denn auch Szenarien akut werden, hat bei
und umgehend neue Schutzmaßnah- praktische und nützliche Erfindungen Vodafone deshalb auch künftig
men implementiert. wie vernetzte Autos, selbstfahrende oberste Priorität.
Rasenmäher oder intelligente Glüh-
Mit Blick auf die Zukunft dreht sich bei birnen brauchen wirksamen Schutz
den internen Experten schon jetzt alles vor Missbrauch. Angesichts steigender
um die Identifikation neuer Szenari- Risiken investiert Vodafone weiter in
Schutzmaßnahmen wirken
Trend zu mehr Spamwellen und DDoS-Angriffen
DDoS-Abwehr -
Die Zahl der Spam-E-Mails, die bei erfolgreich abgewehrt werden. Somit made by Vodafone
Vodafone Deutschland eingingen, ist blieben sie im Ergebnis ohne Einfluss
im Berichtszeitraum deutlich gestiegen: auf die Verfügbarkeit des Netzes und In Zeiten, in denen DDoS-Attacken
Unzählige Nachrichten mit Schadcode der Systeme. immer alltäglicher werden, sind Un-
wurden identifiziert und die Mitarbeiter ternehmen, die ihr Business online
regelmäßig dafür sensibilisiert, verdäch- Angriffe vom Ausmaß wie im Fall der abwickeln, auf die Erreichbarkeit ih-
tige E-Mails an die Sicherheitsexperten DynDS, die zu stundenlangen Ausfällen rer Webseite angewiesen. Enterpri-
zu melden. Alle betroffenen Rechner der Websites von Amazon und Twitter se-Kunden von Vodafone können
und Laufwerke konnten wiederherge- führten, hat Vodafone Deutschland sich seit Sommer 2016 auch beim
stellt werden. nicht registriert. Das Unternehmen Schutz vor DDoS-Attacken auf
schützt sich schon seit geraumer Zeit umfassende Services verlassen.
75 % mehr
aktiv gegen Cyber-Angriffe. Dafür
unterhält es ein gruppenweites Team Der „DDoS Mitigation Service“ ist
DDoS-Angriffe für Cyber Defense Operation. Darüber
hinaus steht Vodafone Deutschland
für alle Unternehmen geeignet,
die über einen sogenannten
seit Anfang 2016 im ständigen Austausch mit anderen Internet Breakout verfügen, also
Providern über branchenweite Lösun- einen zentralen Server, an dem ihr
Zugleich ist seit Anfang 2016 die gen im Kampf gegen Cyberangriffe. Internet-Traffic aus- und eingeht.
Häufigkeit von DDoS-Angriffen um Unter anderem als Mitglied der Allianz DDoS Mitigation Service – einzeln
75 % gestiegen. Diese Attacken mit für Cyber-Sicherheit mit dem BSI und oder zusammen mit den Vodafone
unterschiedlicher Intensität konnten anderen Telekommunikationsunter- Cloud-Produkten buchbar.
dank der Anti-DDoS-Maßnahmen nehmen.Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Datenschutz Seite 12
Zeit für neue Spielregeln
Als zentraler Wachstumstreiber erschließt Big Data
neue Möglichkeiten für Wirtschaft und Gesellschaft
Im Jahr 2020
wird das digitale
Big Data hat sich in kürzester Zeit von einer technologischen Innovation hin zu
Datenvolumen bis auf
einem globalen Megatrend entwickelt. Zahlreiche Branchen stützen ihre
Hoffnungen auf die computerbasierten Technologien zur Sammlung, Speicherung 44 Zetta-
und Auswertung riesiger Datenmengen. Big Data ermöglicht, Zusammenhänge
zu erfassen, die das menschliche Erkenntnisvermögen übersteigen.
bytes*wachsen.
Nicht nur die Digitalwirtschaft, auch klassische Industrie- oder Handelsunternehmen
investieren zum Teil massiv. Gleichzeitig sind viele Unternehmen unsicher, wie sie
mit Big Data umgehen sollen. Oft sind Zweifel beim Datenschutz die Ursache.
1 Zettabyte sind 1,000,000,000,000,000,000,000 Bytes oder 1 Trillion GigabytesVodafone Sicherheits- und Datenschutzbericht 2016/2017 Datenschutz Seite 13
Big Data – Zeit für neue Spielregeln
Die Auswahl der praktischen Anwen- parente Spielregeln. Denn hinter den zen auf den echten Kunden gelöscht
dungsbeispiele ist schon heute enorm. Daten stehen in den meisten Fällen oder durch Pseudonyme ersetzt.
So ermöglicht Big Data die Früherken- Informationen über einzelne Menschen.
nung lebensbedrohlicher Krankheiten Zu Recht fordern daher Datenschützer Die meisten Unternehmen
auf Säuglingsstationen oder kann verbindliche Standards für den Um- analysieren nur
12 % ihrer Daten
Epidemien voraussagen. Das „Famine gang mit den riesigen Datenmengen.
Early Warning System“ ist in der Lage,
landwirtschaftlich bedingte Ernäh- Um diesen Anforderungen gerecht zu
rungskrisen, etwa in Afrika, frühzeitig werden, müssen immer wieder aufs Neben diesen handfesten Maßnahmen
zu erkennen. Neue Fragen gestellt und beantwortet beschäftigt sich Vodafone schon seit
werden. Nur ein Beispiel: Dürfen Bewe- langem mit der ethischen und gesell-
Unternehmen nutzen Big Data vor- gungsdaten im Mobilfunk für die Ana- schaftlichen Dimension von Big Data.
rangig, um klare und objektive Ent- lyse von Pendlerströmen und dann zur Das Vodafone Institut für Gesellschaft
scheidungsgrundlagen zu schaffen, Planung des öffentlichen Nahverkehrs und Kommunikation – sozusagen der
Prozesse zu optimieren, neue Markt- genutzt werden? Welche Standards Think Tank von Vodafone – steht im
potenziale aufzudecken oder Risiken gelten, wenn diese Daten dann geteilt europaweiten Austausch mit Vertretern
zu kalkulieren. Ein wesentlicher Treiber und genutzt werden? aus Wirtschaft, Politik, Wissenschaft
für Big Data ist die ultimative Vernet-
zung von Gegenständen des Alltags im
„Internet der Dinge“. So gehen Big Data-
und Internet of Things-Lösungen (siehe Datenschutz ist die Grundlage
Seite 24) als zwei Seiten einer Medaille für ein Big Data, das Menschen
Hand in Hand: Handelsunternehmen
planen die Vorratshaltung und Be- und Unternehmen nützt.
schaffung frischer Lebensmittel mit Big Dr. Christoph Clement, Mitglied der Geschäftsleitung
Data. Dabei kombiniert und bewertet Legal, Regulatory, Public Affairs & Corporate Security
eine Software Erfahrungen – unter
anderem aus individuellem früherem
Kaufverhalten, Wetter, Wochentagen
und Trendanalysen. Die Bestellung läuft Vodafone setzt bei der Beantwortung und Gesellschaft über die Spielregeln
dann automatisch über Kommunika- solcher Fragen und allen Big Data-Ak- des Datenzeitalters. Beste Vorausset-
tions-Plattformen des Internet of Things. tivitäten auf die enge Begleitung durch zungen für die Vodafone Big Data-Stu-
die internen Datenschutz-Profis. Sollen die, eine der bisher umfassendsten
beispielsweise neue Daten in die Big Studien zum Thema. Sie bietet Antwor-
85 % Data-Plattform eingespeist oder neue ten auf Fragen wie „Gibt es die ‚German
Auswertungen erstellt werden, arbeiten Angst on Big Data‘ wirklich?“ oder
aller Daten stammen aus
Internet-Datenquellen Datenanalysten und Datenschützer „Welche Voraussetzungen müssen für
Hand in Hand, um für die datenschutz- das Teilen von Daten erfüllt sein?“
konforme Abwicklung zu sorgen. Ein
Kurz: Big Data kann die Welt der Infor- wichtiger Baustein für datenschutz-
mationsgewinnung und -verarbeitung freundliches Big Data ist die Verwen-
nachhaltig verändern. Damit diese dung von Verfahren zur Anonymisie-
Revolution dem Wohl der Gemeinheit rung und Pseudonymisierung. In der
dient, braucht sie allerdings einen Vodafone Big Data-Plattform werden
ethischen Rahmen für faire und trans- alle konkreten Hinweise und Referen-Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Datenschutz Seite 14
Geprüft und für gut befunden
TÜV bestätigt: Kundendaten sind bei Vodafone gut aufgehoben
Zum vierten Mal in Folge hat der TÜV Rechenzentren vom TÜV Rheinland Auf das Ergebnis ist Vodafone stolz.
Rheinland Vodafone mit dem Zertifikat bewertet. Das Prüfzeichen bestätigt Das Vodafone Executive Committee
„Geprüfter Datenschutz“ ausgezeichnet. klar, dass Vodafone die Anforderungen verlieh dem verantwortlichen Projekt-
Über ein halbes Jahr lang hatten Audi- des Bundesdatenschutzgesetzes und team den „Well Done! Award“. Mit der
toren den Umgang des Unternehmens des Telekommunikationsgesetzes unternehmensinternen Auszeichnung
mit sensiblen Kundendaten unter die erfüllt. Da das Unternehmen weitge- prämiert Vodafone herausragende
Lupe genommen. Das Ergebnis: Bei hend auf Papierdokumente und lokale Team-Leistungen.
Vodafone schützen hochwirksame Datenspeicherung verzichtet, wurde
Maßnahmen vor unbefugten Zugriffen die Zahl möglicher Angriffspunkte im
auf sensible Daten. Das gilt sowohl für alltäglichen Umgang mit Kundendaten
die Mobilfunk- als auch die Festnetz- minimiert. Denn grundsätzlich gilt:
sparte. Neben den Vodafone-Stand- Je weniger Daten sichtbar sind und
orten wurden auch externe Dienst- je sparsamer mit ihnen umgegangen
leister, Partner, Vodafone Shops und wird, umso sicherer sind sie.
Gerettet!
Die Vodafone-App Backup+ bewahrt persönliche
Daten und Dokumente bei Handyverlust
Wer schon einmal sein Smartphone verloren rung der Daten legt, ist mit dem Speicherort
hat, weiß, wie ärgerlich es ist, wenn mit dem „Vodafone Secure MyData“ richtig bedient.
Handy auch alle Daten weg sind. Mit der On- Hier werden die Daten gut abgeschirmt
linespeicher-Lösung Backup+ bietet Voda- ausschließlich auf Servern in Deutschland
fone seinen Kunden seit Sommer 2016 eine verwaltet.
komfortable Möglichkeit, diese Daten so zu
sichern, dass sie auch ohne das ursprüngli- Früher war der Verlust eines Handys gleich-
che Gerät abgerufen werden können. bedeutend mit einem Datenverlust. Heute
lassen sich mit Backup+ die persönlichen
Das Besondere an dieser neuen Sicherungs- Inhalte einfach auf einem anderen Gerät
lösung sind die zwei Speicherorte, die es wiederherstellen. Backup+ gibt es als App für
bei der Einrichtung von Backup+ gibt: Über alle gängigen Betriebssysteme.
die Dropbox können Kunden überall und
mit fast jedem Gerät auf ihre Fotos, Videos
und Dokumente zugreifen und die Inhalte
kontrolliert mit anderen teilen. Wer vor allem
Wert auf eine besonders sichere Verwah-Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Datenschutz Seite 15
„Es braucht viel Aufklärung“
Interview mit Renate Schmidt, Ombudsfrau für Datenschutz
und Korruptionsbekämpfung bei Vodafone
Frau Schmidt, vielen sind Sie als ehemalige Bundesministerin Vertrauen haben, das den Datenschutz vernachlässigt. Aber
für Familie, Senioren, Frauen und Jugend bekannt. Sie sind auch gesellschaftlich halte ich den Datenschutz für immer
aber auch Ombudsfrau für Datenschutz bei Vodafone, wichtiger werdend. Wir wollen nicht die gläsernen Bürger
also unparteiische Anlaufstelle für Datenschutzanliegen sein, und dennoch gehen viele zu sorglos mit ihren Daten um.
von Kunden und Mitarbeitern. Wie sind Sie zu dem Thema
Datenschutz gekommen? Big Data ist in aller Munde und gilt als Grundlage für neue
Geschäftsmodelle und Deutschlands Zukunft. Auf der
Vor meiner politischen Laufbahn war ich zwölf Jahre als anderen Seite haben wir in Deutschland den Grundsatz der
Programmiererin und Systemanalytikerin tätig und sieben Datenminimierung. Passt das zusammen, oder haben wir
Jahre als freigestellte Betriebsrätin. Insofern war ich nach einen Zielkonflikt?
Meinung des ehemaligen Vorstandsvorsitzenden von Voda-
fone, der mich vor acht Jahren bat, die Stelle als Ombudsfrau Ich habe eine gesunde Skepsis gegenüber der Datensam-
anzunehmen, gleich aus dreifacher Sicht prädestiniert für die melei. Insbesondere wenn es sich um personenbezogene
Aufgabe. Diesem Argument konnte ich nicht widersprechen Daten handelt. Deswegen ist der Grundsatz der Datenmi-
und das Angebot daher auch nicht ausschlagen. nimierung richtig und wichtig. Bei anonymen Daten sind
meine Bedenken geringer. Durch die Verknüpfung nicht
Was macht die Aufgabe für Sie interessant? personenbezogener Daten kann man sicherlich zu tollen
Ergebnissen kommen, die uns als Gesellschaft voranbringen.
Datenschutz ist meistens kompliziert. Dummerweise liegt Darin sehe ich durchaus Chancen – und im Datenschutz
es in der Natur des Menschen, lieber den einfachen Weg zu eine sinnvolle und wichtige Bedingung für Big Data-
gehen. Mir ist es ein Anliegen, andere zu motivieren, das The- Geschäftsmodelle.
ma ernst zu nehmen. Für ein Unternehmen ist Datenschutz
essentiell, denn kein Kunde würde in ein UnternehmenVodafone Sicherheits- und Datenschutzbericht 2016/2017 Datenschutz Seite 16
Das war auch das Ergebnis der Big Data-Studie von Voda- Komplexe Unternehmen brauchen auch ein komplexes
fone: Die Bürger sind durchaus bereit ihre Daten zu teilen, Datenschutzsystem. Überall muss geschaut werden, wo der
wenn sie anonym behandelt werden und einem guten Datenschutz potenziell verletzt werden könnte, um dann
Zweck dienen, beispielsweise im Bereich Gesundheit oder die Mitarbeiter entsprechend zu sensibilisieren und mögli-
Verkehr. Was raten Sie den Verbrauchern im Umgang mit che technische Vorkehrungen wie Zugriffsrechte zu treffen.
ihren Daten? Eine Schwachstelle sind oft Einheiten, die weit weg von der
Zentrale sind, also ausgelagerte Bereiche, Dienstleister oder
Manchmal ärgere ich mich regelrecht über die Verbraucher andere Standorte. Hier rate ich genau hinzuschauen, ob die
innen und Verbraucher, weil viele so sorglos mit ihren Daten Datenschutz-Vorgaben auch überall eingehalten werden,
umgehen und überhaupt nicht realisieren, welche Informati- und nicht müde zu werden, die Mitarbeiter zu informieren
onen sie von sich preisgeben. Und das für die Ewigkeit, denn und zu schulen. Wie schon gesagt: Datenschutz verkom-
das Internet vergisst ja nichts. Ich würde es begrüßen, wenn pliziert Abläufe, und Menschen lieben einfache Abläufe.
Verbraucher nicht nur von Unternehmen verlangen, mit Hier müssen wir immer wieder predigen, sich nicht an der
ihren Daten sorgfältig umzugehen, sondern dies auch selbst Komplexität zu stören.
tun. Hier braucht es nach wie vor viel Aufklärung.
Wenn wir dieses Interview in einem Jahr erneut führen –
Neben Ihnen als Ombudsfrau gibt es bei Vodafone interne über welche Datenschutz-Themen sprechen wir dann?
Datenschutzspezialisten: den betrieblichen Datenschutz-
beauftragten und die Abteilung Privacy Management. Wie So schnelllebig unsere Zeit ist – ich glaube nicht, dass sich
arbeiten Sie zusammen und was ist Ihnen in der Zusammen- alles verändert. Aber die Fragen der Menschen, wo die Server
arbeit besonders wichtig? stehen und ihre Daten verwaltet werden, werden vermutlich
zunehmen. Wo ist die Cloud, in der meine Daten gespeichert
Ich bin in einer komfortablen Situation als Externe. Ich bin sind, und wer kann von wo aus zugreifen? Für Unternehmen
in keine Hierarchie eingebunden. Aber ich habe Zugang zu wie Vodafone Deutschland wird es ein Wettbewerbsvorteil
allen Mitarbeiterinnen und Mitarbeitern und arbeite eng mit sein, dass man sagen kann: Wir speichern die Daten unserer
den Datenschutzbeauftragten zusammen. Bei Bedarf kann Kunden ausschließlich in Deutschland. Und selbst wenn
ich auch direkt auf die ExCo-Mitglieder zugehen. In den von anderswo auf die Daten zugegriffen wird, dann nur nach
meisten Fällen bekomme ich sehr schnell eine Antwort, strengen Auflagen, die wir dafür aufgesetzt haben, und ohne
die Zusammenarbeit funktioniert sehr gut. Verstöße gegen Möglichkeit, diese zu kopieren oder sonst wie abzugreifen.
die Datenschutzgesetze habe ich bisher nicht feststellen
können, und wenn es einmal Unsicherheiten gibt, wird
immer versucht, eine schnelle Klärung herbeizuführen.
Was sehen Sie allgemein als Erfolgsfaktor für ein gutes
Datenschutzmanagement in Unternehmen an?
„Für Unternehmen wie Vodafone
Deutschland wird es ein Wettbewerbs
vorteil sein, dass man sagen kann:
Wir speichern die Daten unserer Kunden
ausschließlich in Deutschland.“
Renate SchmidtVodafone Sicherheits- und Datenschutzbericht 2016/2017 Abgesichert Seite 17
Auf dem Prüfstand
Transparenz bei Sicherheit und Datenschutz durch Reviews und Audits
Die hauseigene Audit-Philosophie stellt Vodafone unter das Motto „Vertrauen ist gut, Kontrolle ist besser“.
Folgerichtig setzen die internen Sicherheitsspezialisten auf einen Mix aus eigenen sowie externen Prüfungen
und Kontrollen. Neben Zertifizierungsaudits durch externe Prüfer standen im abgelaufenen Jahr auch eine
Reihe eigener Sicherheits- und Datenschutzüberprüfungen auf der Agenda.
Intensivtest für
den Einzelhandel
Neben dem Schutz der Infrastruktur wird die
Absicherung persönlicher Daten der Kunden
immer wichtiger – auf allen Stufen der Datener-
fassung und -verarbeitung. Aus diesem Grund
nahm das Security Audit-Team von Vodafone
die verschiedenen Einrichtungen und Ebenen
des Kundenvertriebs besonders genau unter die
Lupe. Dafür besuchte es Vodafone-Filialen und
Partneragenturen, aber auch externe Fachhändler.
Hierbei prüften die Experten die nachgelagerten
Prozesse, in deren Rahmen personenbezogene
Daten gespeichert, bearbeitet und weitergegeben
werden.
Die Ergebnisse des Audits bescheinigen allen
Vodafone-Vertriebskanälen ein hohes Sicher-
heitsniveau. Dennoch wurden im Einzelfall auch
Optimierungsmöglichkeiten identifiziert. Im direk-
ten Dialog mit den verantwortlichen Mitarbeitern
hat das Sicherheitsteam dafür jeweils unmittelbar
Lösungen entwickelt, deren Umsetzung kontinu-
ierlich verfolgt wird.
Härtetest für Webservices
Online-Services, mit denen Kunden z. B. ihre beim Anbieter hinterlegten Daten selbst
bearbeiten können, werden immer beliebter. Damit steigt aber auch der Bedarf einer tiefgrei-
fenden Absicherung. Um ein maximales Sicherheitslevel zu gewährleisten, unterzogen die in-
ternen Sicherheitsspezialisten die Top-Domänen von Vodafone Deutschland umfangreichen
Schwachstellentests. Ergänzt wurde dieser Härtetest durch regelmäßige Überprüfungen der
kritischen Dienste wie zum Beispiel der MeinVodafone-App.Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Abgesichert Seite 18
Auf dem Prüfstand – Transparenz bei Sicherheit und Datenschutz
Datenschutz im Dialog
Für das Plus an Datenschutz sorgen bei Vodafone viele
Köpfe. Neben den Audits externer Prüfer stellt sich Vodafone
auch dem kritischen Blick von Renate Schmidt, Ombudsfrau
für Datenschutz und Korruptionsbekämpfung sowie Bundes-
ministerin a.D.
Sie ist externe und völlig unabhängige Ansprechpartnerin
für Kunden und Mitarbeiter. Aus Leidenschaft macht sie
sich für das Recht auf Datenschutz stark. Sie legte Vodafone
jüngst ihren mittlerweile neunten Jahresbericht vor.
Sicherheit in Indien und Ägypten
Im Rahmen eines so genannten Onboarding-Audits werden alle nationale Lieferanten zu Beginn der Zusammenarbeit
mit Vodafone einer Überprüfung unterzogen. In den vergangenen Monaten hat das Unternehmen alle externen Call Center
und auch eine Reihe weiterer Partner und Lieferanten im Ausland direkt vor Ort auditiert – zum Beispiel die Vodafone
Technical Shared Service Center in Pune, Indien, und in Kairo, Ägypten. Bei allen Überprüfungen wurde die Einhaltung
interner Richtlinien bestätigt.
Hinter Schloss und Riegel
Neben der Vermeidung eines elektronischen Zutritts zu den
Systemen rücken die internen Prüfer auch ganz handfeste
Zugangswege in den Fokus: So hat das Team verstärkt die
Sicherheit des Vodafone-Netzes vor unbefugtem physi-
schem Zugriff unter die Lupe genommen. Verschiedene
Standorte, darunter auch das Group Data Center, wurden
dabei auf die bauliche Sicherheit hin überprüft. Mit guten
Ergebnissen: Nicht nur das Data Center hat ein adäquates
Niveau der gesamten physischen Sicherheit. Alle geprüften
Standorte überzeugten mit bestens umgesetzten Sicher-
heitskontrollen.Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Abgesichert Seite 19
Schutz des
Gemeinwesens Streng
Als Betreiber wichtiger Infrastrukturen erfüllt Geheim
Vodafone die KRITIS-Anforderungen
Hacker-Angriffe treffen immer hart – Vodafone ist Anbieter von ITK-Diens- Der VS-NfD Client
besonders Infrastrukturen, die zum rei- ten – und stellt sich dieser Verant-
bungslosen Ablauf von Staat, Wirtschaft wortung. Und zwar schon vor dem ermöglicht die sichere
und Gesellschaft beitragen. Bei einem IT-Sicherheitsgesetz 2015 und der Bearbeitung von
Angriff auf die Energieversorgung kann KRITIS-Verordnung 2016: Vodafone
sogar die innere Sicherheit auf dem ist Gründungsmitglied und Partner der Verschlusssachen –
Spiel stehen. öffentlich-privaten Kooperation UP Nur für den
KRITIS. Bei UP KRITIS machen mit: die
Mit der BSI-KRITIS-Verordnung von Betreiber kritischer Infrastrukturen, die Dienstgebrauch
April 2016 regelt das Bundesinnenmi- zuständigen Verbände und staatlichen
nisterium, welche Anlagen besonders Stellen. Ihr gemeinsames Ziel: die
geschützt werden müssen. Denn: Verlässlichkeit aller KRITIS-Sektoren Einen besonderen Schutz verlangen
Fallen die neuralgischen Punkte von nachhaltig sichern. Dabei übernimmt Informationen, die im staatlichen
Versorgungseinrichtungen aus, betrifft Vodafone die Leitung des Branchenar- Interesse geheim gehalten werden
das einen großen Teil der Bevölkerung. beitskreises Telekommunikation – und müssen. Wenn Vodafone Informa-
Energie, Informationstechnik und ist Mitglied im UP KRITIS-Plenum. Neue tionen der Geheimhaltungsstufe
Telekommunikation (ITK) sind beson- Herausforderungen – und durchdachte Verschlusssachen – Nur für den
ders sensibel. Ohne sie funktionieren Lösungen: Vodafone ist ganz vorn da- Dienstgebrauch (VS-NfD) bearbeitet,
auch die anderen der insgesamt bei. Und das ist gut fürs Gemeinwesen. können sich die zuständigen Be-
neun KRITIS-Sektoren nicht – wie z. B. hörden auf einen sicheren Umgang
das Gesundheitswesen. verlassen. Dafür hat Vodafone tech-
nische Sicherheitskomponenten
eingeführt, die vom Bundesamt für
Sicherheit in der Informationstech-
nik (BSI) für die Bearbeitung von
Verschlusssachen zugelassen sind.
Staat und
Verwaltung Wasser Vodafone erfüllt damit den Anforde-
z
rungskatalog des BSI für PC-Arbeits-
plätze, an denen Verschlusssachen
Transport und
Verkehr Energie bearbeitet werden.
Etwa 80 % der staatlich geheim
Ernährung Medien und gehaltenen Dokumente in Deutsch-
Kultur
land, so Schätzungen, sind Ver-
Informationstechnik
und Tele-
schlusssachen – nur für den Dienst-
Gesundheit gebrauch. Der VS-NfD Client, den
kommunikation
0 Vodafone implementiert hat, bietet
das notwendige Schutzniveau, um
Finanz- und
Versicherungs- mit derart klassifizierten Dokumen-
wesen ten zu arbeiten.Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Abgesichert Seite 20
Europa probt den Ernstfall
Vodafone trainiert das Krisenmanagement
bei der Cyber Europe-Übung 2016
Was würden Sie tun, wenn Hacker massive Datenmengen Ihres
Unternehmens verschwinden ließen? Wie müssen Sie reagieren, wenn Security Day 2017:
DDoS-Attacken europaweit Server lahmlegen? Kurz: Sind Sie vorbereitet, digital.vernetzt.sicher
wenn Cyberkriminalität zu einer internationalen Krise führt?
Ein Team ist nur so gut wie das
Mit diesen und ähnlichen Fragen hat tüfteln zusammen an simulierten Ernst- schwächste Glied. Jeder Rechner,
sich Vodafone Deutschland als Teil- fällen – auch 2016 wieder mit großem jeder Mitarbeiter kann in einem
nehmer der Cyber Europe beschäftigt. Erfolg: Alle simulierten Angriffe wurden Unternehmen zur potentiellen
Im Rahmen der größten Cyber-Secu- ohne Schäden abgewehrt. Sicherheitslücke oder Zielscheibe
rity-Übung Europas wird regelmäßig für Hacker werden. Daher setzt
unter anderem die Zusammenarbeit Veranstaltet wird Cyber Europe von Vodafone Deutschland bei Sicher-
mit anderen Sicherheitsexperten der europäischen Agentur für Netz- heitsfragen auf die Sensibilisierung
geprobt. Ziel von Cyber Europe ist die und Informationssicherheit. Zielgruppe aller Mitarbeiter.
Stärkung der nationalen und europa- sind die Sicherheits- und Krisenma-
weiten Kooperation bei einer interna- nagement-Teams von Organisationen Auch der Security Day 2017 mit
tionalen Cyberattacke. Zudem soll die aus der EU und der Europäischen Vorträgen, Messeständen und
Sicherheitskompetenz aller Teilnehmer Freihandelszone. Die nächste Cyber Mitarbeiteraktionen bot wie jedes
ausgebaut werden. Rund 300 Organi- Europe-Übung findet 2018 statt. Jahr allen Mitarbeitern die Gele-
sationen aus 30 europäischen Ländern genheit, sich zu informieren. Das
Sicherheitsbewusstsein der Voda-
fone-Mitarbeiter gehört zu einer
der tragenden Säulen der Präven-
TÜV prüft das Krisenmanagement tivstrategie des Unternehmens.
Der TÜV bestätigt Vodafone Deutschland 2016 erneut ein ausgezeichnetes
Business Continuity Management-System. Das erteilte ISO22301-Zertifikat
bescheinigt einen umfassend strukturierten Aufbau von Krisen- und Notfall
strategien. Vodafone ist dadurch in der Lage, auf unerwartete Ereignisse schnell
zu reagieren, ohne dass dadurch der Geschäftsablauf betroffen ist. Für die
gesamte Vodafone Group ist Business Continuity ein Thema mit höchster
Relevanz.Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Dialog Seite 21 Streng vertraulich Lösungen und Standards für eine sichere Datenverarbeitung Vodafone investiert laufend in neue Lösungen, die den Transfer aller Arten von Daten über die eigenen Netze zuverlässig schützen. Ein Beispiel ist der Geldtransfer über digitale Zahlungssysteme, die ein besonders hohes Sicherheitsniveau erfordern. Ein anderer Bereich ist die flächendeckende Nutzung von Voice-over-IP. Die Digitalisierung der Sprachtelefonie erfordert auch bei der Sicherheit ganz besondere Aufmerksamkeit. Schutz für den Geldbeutel Ausgezeichnetes Management Bei Vodafone können sich Kunden auf Ein ausgereiftes Informationssicherheits-Manage- die sichere Verarbeitung ihrer Kredit- mentsystem ist der Dreh- und Angelpunkt des kartendaten verlassen. Die sicheren Schutzes kritischer Unternehmensprozesse gegen Bezahllösungen bei Vodafone wurden Angriffe, Missbrauch und Datenverlust. Der globale gerade erst mit dem begehrten Siegel Standard ISO 27001 ist die international führende „PCI DSS Approved“ ausgezeichnet. Norm für ein solches System. Sie definiert dessen Umsetzung, Überwachung Der maßgeschneiderte Einsatz von Fi- und Verbesserung. Im Rahmen einer Prüfung des Mobilfunknetzes hat der rewalls, Verschlüsselungslösungen und TÜV Rheinland Vodafone das hohe Niveau des Informationssicherheits- Zugriffsschutzmethoden bedeutet ein Managementsystems bescheinigt. Mit diesem Nachweis zahlt das Unternehmen Plus an Sicherheit. Das schützt Vodafo- schon jetzt auf das Ziel des IT-Sicherheitsgesetzes ein, sich beim Sicherheits ne-Kunden aktiv vor einem Missbrauch management an anerkannten Industriestandards zu orientieren. ihrer Kreditkartendaten. In der Vodafone Filiale einkaufen, Datenschutz für das 21. Jahrhundert spontan einen der über 1,5 Millionen Vodafone WLAN-Hotspots nutzen oder Die Europäische Kommission und die US-Handelsaufsicht haben sich 2016 sein CallYa-Guthaben aufladen: Vodafo- mit dem so genannten Privacy Shield auf die Verabschiedung eines Nachfolge ne-Kunden zahlen mit ihrer Kreditkarte abkommens zu Safe Harbor geeinigt. Bis zur abschließenden Abstimmung einfach und sicher. Die Prüfer waren zwischen den beteiligten Parteien wird es noch etwas dauern. Vodafone setzt überzeugt: Vodafone erfüllt die stren- zusätzlich zum Privacy Shield auf eine interessengerechte vertragliche Lösung. gen Datensicherheitsvorschriften der Das Unternehmen wird deshalb den Dialog mit den zuständigen Aufsichts- Kreditkarten-Industrie behörden über die Bedeutung und die Weiterentwicklung der europäischen (Payment Card Industry Standardvertragsklauseln fortsetzen. Data Security Standard – kurz PCI DSS).
Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Dialog Seite 22 Bei Anruf Sicherheit Hoher Standard bei Voice-over-IP-Telefonaten im Vodafone-Netz Vodafone-Kunden können sich auch Alle Sprachverbindungen zwischen Teil- Bei der Übertragung von Sprachinfor- bei All-IP-Produkten auf hohe Si- nehmern im deutschen Vodafone-Netz mationen von Anbietern konventioneller cherheitsstandards verlassen. Das werden nur über Vermittlungsstellen Internet-Telefonie in Form von Apps & gilt gerade bei der Nutzung von in Deutschland abgewickelt. Das gilt Co. werden dagegen nur die Datenver- Voice-over-IP-Sprachtelefonie (VoIP). für ISDN-Verbindungen wie für All-IP- bindungen des öffentlichen Internets VoIP von Vodafone unterscheidet Gespräche. Dabei unterliegt Vodafone genutzt. Auch die Übertragung der Infor- sich signifikant von konventionellen den Regelungen des Telekommunika- mationen zwischen den Netzen erfolgt in VoIP-Angeboten. Denn der Sprach tionsgesetzes unter der Kontrolle der der Regel über öffentliche Netzübergän- verkehr läuft nicht über das öffentliche Bundesnetzagentur. ge für den Internetverkehr – also nicht Internet. Er wird vielmehr in den wie bei ISDN oder All IP über dedizierte so genannten Access-Netzen von Bereits seit Ende 2006 bietet Vodafone Netzübergänge, die wie bei Vodafone ex- Vodafone über Verbindungen übermit- VoIP-Telefonie an. Mit dem Routing klusiv für Sprachverbindungen eingesetzt telt, die ausschließlich für die Übertra- der Gespräche von Vodafone-Kunden werden. gung von Sprachinformationen genutzt über dedizierte Verbindungen im Ac- werden. Damit hat dieser Service das cess-Netz hat Vodafone im Sinne seiner gleiche Sicherheitsniveau wie die Kunden eine zusätzliche Schutzmaß- ISDN-Telefonie. nahme implementiert.
Vodafone Sicherheits- und Datenschutzbericht 2016/2017 Dialog Seite 23
Rede und Antwort
Die regelmäßige Information der Kunden
gehört zum Standard bei Vodafone
Der Schutz der persönlichen Kundenda- Überblick über die Zertifizierungen zu
ten ist das Fundament der umfassenden Sicherheit und Datenschutz. Ein Blick
Sicherheitsaktivitäten bei Vodafone. So lohnt: www.vodafone.de/unternehmen/
baut das Unternehmen die aktiven und sicherheitswelt.html
reaktiven Sicherheitsmaßnahmen ständig
weiter aus. Ebenso wichtig ist aber auch, Vodafone zeigt Präsenz
dass die Nutzer der Services regelmäßig
erfahren, was Vodafone für die Sicherheit Auch der regelmäßige Dialog im
und den Datenschutz unternimmt. Das Rahmen von Tagungen, Konferenzen
sorgt wiederum für eine Sensibilisierung oder Vorträgen erhöht die Transparenz
der Anwender für den bewussteren eige- über die Aktivitäten im Bereich Daten-
nen Umgang mit den Daten. sicherheit. Zu den Highlights zählte
auch dieses Jahr die CeBIT. Unter dem
Dreh- und Angelpunkt des Kundendi- Motto „Willkommen im GIGANETZ für
alogs ist die Internetplattform Voda- Deutschland“ konnten Besucher vom
fone Sicherheitswelt. Rund 70 % der 20. bis 24. März bei verschiedenen
deutschen Internetnutzer wünschen Showcases live erleben, wie Vodafone
sich mehr einfache und gebündelte mit dem Internet der Dinge ihren urba-
Informationen über sicheres Verhalten nen Alltag intelligenter, effizienter und
im Netz (lt. DsiN-Index 2016). Grund sicherer gestaltet.
genug für Vodafone, im Rahmen einer
Überarbeitung des Auftritts den Fokus Von Hannover nach Berlin: Zur Zu-
noch stärker auf die Kundenbedürfnis- kunft der IT-Sicherheitsforschung trug
se zu richten. Vodafone auf der jährlich vom Bundes-
bildungsministerium ausgerichteten
News zu Sicherheitsthemen und nationalen Konferenz bei. Das diesjäh-
Sicherheitslösungen von Vodafone fin- rige Konferenz-Motto "Selbstbestimmt
den Nutzer jetzt direkt prominent oben und sicher in der digitalen Welt" passte
auf der Startseite. Mit der neuen Unter- bestens zu Vodafone: Genau dafür
seite „Sicher im Dialog“ finden Kunden arbeitet das Unternehmen Tag für Tag.
und Interessierte nun erstmals einen
Ein weiteres Highlight war der Vortrag von Abdou-Naby Diaw, Chief
Security Officer von Vodafone Deutschland, zur „CyberSecurity im
Zeitalter der Gigabit-Gesellschaft“ auf der Handelsblatt-
Jahrestagung Cyber Security.
Neben der Rede gab es eine interesssante Podiumsdiskussion und
Gespräche mit Vertretern der Öffentlichkeit.Sie können auch lesen
