Home

G-Unternehmensspezifisch: Cybersicherheit

Geopolitische Spannungen, die fortschreitende Vernetzung sowie neue Bedrohungen in der digitalen Welt bringen komplexe Herausforderungen für die Cybersicherheit mit sich. Als Antwort darauf verfolgen wir eine ganzheitliche Konzernsicherheitsstrategie, die sechs zentrale Handlungsfelder umfasst: Arbeitskräfte, Geopolitik, Kriminalität, Regulierung, Technologie und Umwelt. Daraus leiten wir konkrete Maßnahmen ab, um verschiedenen Risiken zu begegnen – seien es Fake News, Cyberangriffe, Versorgungsausfälle oder gezielte Angriffe auf kritische Infrastrukturen.

Der folgende Index zeigt die wesentlichen Angabepflichten für das durch die Wesentlichkeitsanalyse identifizierte unternehmensspezifische Thema „Cybersicherheit“.

ESRS-Index nach ESRS 2 IRO-2

Angabepflicht Bezeichnung mit Referenz

G-Unternehmensspezifisch: Cybersicherheit

ESRS 2 SBM-3
G-Unternehmensspezifisch

Wesentliche Auswirkungen, Risiken und Chancen und ihr Zusammenspiel mit Strategie und Geschäftsmodell
(Nutzung Phase-in-Option für ESRS 2 SBM-3 § 48e)

G-Unternehmensspezifisch

Leitlinien im Zusammenhang mit Cybersicherheit

G-Unternehmensspezifisch

Maßnahmen und Mittel im Zusammenhang mit Cybersicherheit

G-Unternehmensspezifisch

Ziele im Zusammenhang mit Cybersicherheit

Strategie

ESRS 2 SBM-3 G-Unternehmensspezifisch – Wesentliche Auswirkungen, Risiken und Chancen und ihr Zusammenspiel mit Strategie und Geschäftsmodell

Im Rahmen der doppelten Wesentlichkeitsanalyse betrachteten wir mögliche Auswirkungen, Risiken und Chancen im Zusammenhang mit Cybersicherheit.

Die nachfolgende Übersicht zeigt die wesentlichen Risiken der Deutschen Telekom und ihre finanziellen Effekte auf die Vermögens-, Finanz- und Ertragslage.

Weiterführende Informationen zu Risiken und Chancen, die in den nächsten zwei Jahren „Top-Risiken/Top-Chancen“ darstellen, können dem Kapitel „Risiko- und Chancen-Management“ entnommen werden.

ESRS G-Unternehmensspezifisch: Cybersicherheit – Wesentliche themenspezifische Risiken und Chancen

 

 

 

Wertschöpfungskette

Risiko/Chance

Beschreibung

Cybersicherheit

Eigene Geschäftstätigkeit und nachgelagert

Risiko

Die fortschreitende Digitalisierung und die wachsende Komplexität technologischer Systeme gehen mit zunehmenden Herausforderungen an die Datensicherheit einher. Ihre Bewältigung erfordert nicht nur technische und organisatorische Ressourcen, sondern auch kontinuierliche Innovationen. Dies kann zu steigenden Kosten führen.

Gleichzeitig können Cyberangriffe u. a. zu Betriebsunterbrechungen, Veruntreuung oder unbefugtem Zugang zu vertraulichen oder persönlichen Informationen sowie zu Reputationsschäden führen.

Management der Auswirkungen, Risiken und Chancen

G-Unternehmensspezifisch – Leitlinien im Zusammenhang mit Cybersicherheit

Abgeleitet aus unserer Sicherheitsstrategie und ihren sechs Handlungsfeldern haben wir sowohl zentral als auch in allen Einheiten des Konzerns eine Sicherheitsorganisation eingerichtet. Unser Ansatz für den Umgang mit Cybersicherheitsrisiken ist in das Risiko-Management-System und die dazugehörigen Governance-Strukturen, Konzernregularien und Prozesse integriert.

Um ein hohes Sicherheitsniveau für unsere Kunden, Mitarbeiter, Dienste und Produkte zu gewährleisten, haben wir die Richtlinie „Sicherheit“ implementiert (ohne T‑Mobile US). Sie orientiert sich an den Anforderungen der ISO Norm 27001. In der Richtlinie sind die grundlegenden Anforderungen der Deutschen Telekom in Bezug auf folgende Sicherheitsdimensionen festgehalten: Menschen, Informationen, Technik und Produkte, Gebäude und Infrastruktur, Eigentum und Vermögen sowie Sicherstellung der Geschäftskontinuität. Zusätzlich beschreibt sie die folgenden zehn Sicherheitsgrundsätze:

  • Rechtskonformes Verhalten
  • Schutz personenbezogener Daten
  • Kundenvertrauen
  • Sicherheitskultur
  • Transparente und gelebte Verantwortung
  • Schützen und Teilen
  • Vorreiter in Sachen Sicherheit
  • Angemessenheit und Wirtschaftlichkeit
  • Wertschöpfung durch integrierte Sicherheit
  • Internationale Sicherheitsstandards

Die Richtlinie wird an alle Mitarbeiter kommuniziert und ist zudem in den Richtliniendatenbanken für jede Einheit abrufbar. Die Anforderungen der Richtlinie werden durch das Management der Geschäftseinheiten offiziell eingeführt und verbindlich gemacht. Die verbindliche Einführung, Kommunikation und der Stand der Umsetzung in den Einheiten werden zentral überwacht und überprüft. Die übergeordnete Verantwortung für das Thema Cybersicherheit und damit auch die Richtlinie „Sicherheit“ liegt beim Vorstandsbereich „Produkt und Technologie“. Zur Richtlinie gehört ein Kontrollset: Darin werden die Anforderungen weiter konkretisiert und Kontrollebenen definiert. Die Richtlinie „Sicherheit“ und das Kontrollset werden regelmäßig überprüft und bei Notwendigkeit aktualisiert.

T‑Mobile US verfügt über eine eigene Sicherheitsrichtlinie, die regelmäßig überprüft wird, um sich an wandelnde Risiken anzupassen und die Gesamtsicherheit zu stärken. Auch bei T‑Mobile US ist der Ansatz zur Cybersicherheit in das Risiko-Management-System und die entsprechenden Prozesse integriert. Risiken im Zusammenhang mit den Informationssicherheitsprogrammen von T‑Mobile US, einschließlich Cybersicherheit, werden auf Vorstandsebene der T‑Mobile US durch das Nominierungs-, Corporate-Governance- und Compliance-Komitee überwacht.

G-Unternehmensspezifisch – Maßnahmen und Mittel im Zusammenhang mit Cybersicherheit

Um Cyberangriffe abzuwehren und unsere Infrastruktur sowie die Daten unserer Kunden zu schützen, entwickeln wir laufend neue Verfahren und verbessern kontinuierlich unsere Sensorik. Unser Cyber Defense Center überwacht mithilfe des international ausgerichteten Cyber Security Incident Management weltweit die Sicherheit des Konzerns (ohne T‑Mobile US) und bietet auch Leistungen für Geschäftskunden an. Unsere Security Operations Center (SOC) überwachen durchgehend die Sicherheitslage für uns und unsere Kunden. KI-gestützte Analysen ermöglichen es unseren Security-Spezialisten, sicherheitsrelevante Daten in Echtzeit auszuwerten, Angriffe sofort zu erkennen und abzuwehren. Alle dort registrierten Alarme werden im Rahmen eines mehrstufigen Verfahrens bearbeitet und – falls notwendig – in der höchsten Stufe an unser Cyber Emergency Response Team (CERT) übergeben. Das CERT entwickelt zudem Mechanismen, um Angriffe auf intern und extern erreichbare Systeme frühzeitig zu erkennen. Parallel analysiert unser Threat Intelligence Team die Vorgehensweise der Angreifer und tauscht internationale Erkenntnisse aus. T‑Mobile US hat mit ihrem Cyber Incident Response Team (CIRT) einen ähnlichen Prozess etabliert. CIRT arbeitet kontinuierlich daran, bestätigte, vermutete oder potenziell schwerwiegende Cybersicherheitsvorfälle zu untersuchen und darauf zu reagieren.

Als weiteres Instrument bietet die Deutsche Telekom externen Sicherheitsexperten, die Schwachstellen ermitteln und an uns melden, Prämien an. Dieses sog. Bug-Bounty-Programm hilft potenzielle Risiken frühzeitig zu erkennen und trägt dazu bei, Sicherheitsvorfälle zu verhindern.

Bei der Software-Entwicklung setzen wir das Privacy and Security Assessment (PSA) ein (ohne T‑Mobile US), um von Beginn an Datenschutz- und IT-Sicherheits-Anforderungen zu integrieren. Das mittlerweile vollständig digitale PSA-Prüfverfahren soll ein einheitlich hohes Sicherheits- und Datenschutzniveau gewährleisten. Auch T‑Mobile US hat in der Produktentwicklung entsprechende Kontrollen integriert, um die Sicherheit bei der Weiterentwicklung und Markteinführung neuer Produkte zu verbessern.

Unseren Mitarbeitern stellen wir kontextbezogen verschiedene Werkzeuge zur Verfügung, um unsere Systeme und Daten zu schützen. Für das essenziell wichtige Thema Multi-Faktor-Authentifizierung gibt es z. B. eigens entwickelte, innovative SmartCards. Diese ermöglichen neben der kontaktbehafteten Anmeldung an Unternehmensgeräten zusätzlich auch – als Träger von elektronischen Identitäten, durch die Verschlüsselung und das Signieren von Informationen in Form von Zertifikaten und zugehörigem Schlüsselmaterial – den elektronischen Zutritt über eine Funkschnittstelle zu unseren Gebäuden. Für andere Bereiche stehen moderne Authentisierungs-Apps auf den Smartphones der Mitarbeiter bereit. Ziel ist es, schrittweise ein Zero-Trust-Modell umzusetzen, das für jeden Zugriff auf Unternehmensressourcen eine Authentifizierung, Autorisierung und Validierung vorsieht.

Unsere Mitarbeiter erhalten regelmäßig verpflichtende Schulungen zu Cybersicherheit – ergänzt durch zielgruppenspezifische Kurzschulungen und Aufklärungskampagnen. Die Inhalte reichen von Phishing-Erkennung über Deepfakes bis hin zu sicherem Umgang mit digitalen Technologien. Zusätzlich setzen wir zur Sensibilisierung auf innovative Lernformate, die regelmäßig weiterentwickelt und in internen Kommunikationskampagnen konzernweit beworben werden.

Die Einführung eines hybriden Zero-Trust-Modells war auch ein zentraler Baustein bei der Umsetzung der Cybersicherheitsstrategie von T‑Mobile US. Im gesamten Unternehmen wurde eine erweiterte Multi-Faktor-Authentifizierung eingeführt, um Nutzeridentitäten besser überprüfen zu können und die unbefugte Nutzung von Zugangsdaten durch Dritte zu verhindern. Zudem wurden rollenbasierte Kontrollen implementiert, um einen sicheren und direkten Zugriff auf Anwendungen und Ressourcen zu ermöglichen. Darüber hinaus arbeitet T‑Mobile US mit CLEAR zusammen, einem auf Identitätsprüfung spezialisiertem Unternehmen, das vom U.S. Department of Homeland Security zertifiziert wurde, um auf passwortlose Authentifizierung umzustellen. Dadurch können Mitarbeiter ihre Identität einfacher nachweisen und auf Ressourcen zugreifen, während gleichzeitig Phishing-Angriffe reduziert werden.

Die Deutsche Telekom investiert kontinuierlich in die Weiterentwicklung ihres Cybersicherheitsprogramms. Dabei orientieren wir uns an öffentlichen Standards und teilen Best Practices mit Branchen- und Regierungsvertretern, um gemeinsam Cyberbedrohungen zu begegnen.

Alle in diesem Themenstandard geschilderten Maßnahmen zur Minderung von Cybersicherheitsrisiken sind fortlaufend und haben kein festgelegtes Enddatum.

Ziele

G-Unternehmensspezifisch – Ziele im Zusammenhang mit Cybersicherheit

Die Wirksamkeit unserer Leitlinien und Maßnahmen im Zusammenhang mit Cybersicherheit überwachen wir durch die in diesem Themenstandard ausführlich beschriebenen Sicherheitssysteme und ‑einrichtungen. Durch die kontinuierliche Weiterentwicklung unseres Skill-Sets und unserer Technologien, wollen wir den Cybersicherheitsrisiken angemessen begegnen. Darüber hinaus haben wir keine gesonderten zeitgebundenen oder ergebnisorientierten Ziele festgelegt, die für den gesamten Konzern greifen.

AI – Artificial Intelligence
Künstliche Intelligenz (KI) bezeichnet die Fähigkeit einer Maschine oder einer Software, menschliche Fähigkeiten wie logisches Denken, Lernen und Planen zu imitieren. Generative Künstliche Intelligenz (auch GenAI) – als Teilgebiet der Künstlichen Intelligenz – wird verwendet, um neue Inhalte wie Text, Bilder, Musik oder Videos zu erstellen.
Zum Glossar
Cyber Security
Cybersicherheit bedeutet Sicherheit gegen Internetkriminalität.
Zum Glossar
PSA – Privacy and Security Assessment-Verfahren
PSA bezeichnet ein Verfahren, das sicherstellt, dass in Entwicklungsprojekten die Sicherheits- und Datenschutzanforderungen eingehalten werden. Es regelt die Unterstützung und Beratung durch Experten sowie die sicherheitstechnische und datenschutzrechtliche Freigabe der Systeme.
Zum Glossar
Zero-Trust-Modell
Das Zero-Trust-Modell ist ein Sicherheitsansatz, bei dem keinem Nutzer, Gerät oder Verbindung grundsätzlich vertraut wird. Jeder Zugriff auf Anwendungen und Daten wird kontinuierlich und standortunabhängig auf Identität, Berechtigung und Sicherheitsstatus überprüft, sodass nur autorisierte Zugriffe erlaubt und potenzielle Risiken für das Unternehmensnetzwerk minimiert werden
Zum Glossar

Diese Themen könnten Sie auch interessieren …

Mehr in diesem Kapitel

Mehr in anderen Kapiteln

Diese Website verwendet ausschließlich nur die technisch erforderlichen Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Weitere Informationen finden Sie hier.

Themenfilter

Ergebnisse