Cybersecurity
Cyber Security

Wie wir vorgehen

Wir machen die Vernetzung der Gesellschaft möglich. Und sind uns als Anbieter kritischer nationaler Infrastrukturen der Bedeutung von Cyber- und Informationssicherheit bewusst. Keine Organisation, keine Regierung und keine Person wird jemals völlig immun gegen Cyber-Angriffe sein. Und die Telekommunikationsbranche ist mit einer einzigartigen Reihe von Risiken konfrontiert: Weil wir digitale, vernetzte Dienste anbieten und private Kommunikationsdaten verarbeiten.

Unsere Netze verbinden Millionen von Menschen, Haushalte, Unternehmen und Dinge miteinander – und mit dem Internet. Die Sicherheit unserer Netze, Systeme und Kund:innen hat höchste Priorität – und ist ein grundlegender Bestandteil unseres Unternehmenszwecks. Denn unsere Kund:innen nutzen unsere Produkte und Dienstleistungen auch, weil sie auf Datensicherheit vertrauen.

Unser globales Operating Model

Wir haben ein Operating Model eingeführt, das auf den führenden Sicherheitsstandards der Branche basiert. Diese wurden vom US-Handelsministerium, insbesondere dem National Institute of Standards and Technology (NIST), veröffentlicht. Wir arbeiten global in einem internationalen Team mit über 800 Mitarbeiter:innen. Fokus dieses Teams ist das ständige Monitoring, der Schutz und die Verteidigung unserer Systeme – und der Daten unserer Kund:innen.

Wir arbeiten auch mit externen Expert:innen und Berater:innen zusammen. So erweitern wir unsere Fachkenntnisse und unser Praxiswissen. Wir profitieren von der globalen Zusammenarbeit, der gemeinsamen Nutzung von Technologien und vom fundierten Fachwissen. Und haben dadurch einen Überblick über neu auftretende Bedrohungen. Das Cyber-Team ist spezialisiert auf deren Erkennung, auf Reaktion und Wiederherstellung. Präventive Kontrollen sind in unsere Technologien und das gesamte Unternehmen eingebettet.

Unser Cyber Code

Alle Mitarbeiter:innen tragen Verantwortung für die Cyber-Sicherheit bei Vodafone. Alle sind verpflichtet, den Vodafone Cyber Code zu befolgen, auf Bedrohungen zu achten und verdächtige Aktivitäten zu melden. Der Cyber Code ist eingebettet in unseren Verhaltenskodex. Er umschreibt unsere Erwartungen an alle Mitarbeiter:innen zum Thema Cyber-Sicherheit. Und umfasst sieben Bereiche, in denen die Mitarbeiter:innen bewährte Sicherheitspraktiken anwenden sollen.

Zum Verhaltenskodex

Wie wir mit Cyber-Sicherheitsrisiken umgehen

Der Umgang mit Cyber-Sicherheitsrisiken und -bedrohungen ist von grundlegender Bedeutung für uns. So sorgen wir für die Sicherheit unserer Dienstleistungen in allen Bereichen unseres Geschäfts.

Um Risiken frühzeitig zu erkennen und zu bewältigen, bewerten und hinterfragen wir ständig unsere Geschäftsstrategie. Und auch neue Technologien, staatliche Richtlinien und Vorschriften sowie Cyber-Bedrohungen. Wir überprüfen regelmäßig die wichtigsten Sicherheitsrisiken, die sich auf unser Geschäft auswirken. Und entwickeln Strategien, um sie zu erkennen, zu verhindern und darauf zu reagieren. Unser Cyber-Sicherheitskonzept konzentriert sich auf die Minimierung des Risikos von Cyber-Vorfällen, die unsere Netzwerke und Dienstleistungen betreffen.

Die Bedrohungslandschaft zu verstehen, ist der Schlüssel zum Management von Cyber-Risiken. In den letzten Jahren haben zwei der größten Bedrohungen für die Cyber-Sicherheit deutlich zugenommen: Phishing- und Ransomware-Angriffe. Cyber-Kriminelle nutzen Emotionen und Unsicherheiten aus. Und verleiten Nutzer:innen dazu, sich auf bösartige E-Mails einzulassen oder Geld zu zahlen, um wieder Zugang zu Systemen zu bekommen. Cyber-Kriminelle nehmen auch zunehmend kleinere Zulieferer großer Unternehmen ins Visier. Um so ihre Angriffsziele noch stärker zu schädigen.

Organisationen in allen Branchen sehen sich auch weiterhin mit anderen Formen von Bedrohungen konfrontiert. Zum Beispiel mit Spionage-Versuchen und der Ausnutzung ungepatchter Sicherheitslücken.

Unsere Governance

Der Chief Technology Officer der Vodafone Group ist Mitglied des Executive Committees. Dieses ist für das Management der mit Cyber-Bedrohungen und Informationssicherheit verbundenen Risiken verantwortlich. Der Direktor für Cyber-Sicherheit ist für die Verwaltung und Überwachung des Cyber-Sicherheitsprogramms im Tagesgeschäft verantwortlich. Er berichtet an den Chief Technology Officer.

Cyber-Bedrohungen und Informationssicherheit sind ein wichtiges Thema für den Prüfungs- und Risikoausschuss. Dieser erhält mindestens zweimal im Jahr detaillierte Informationen über die Bedrohungs- und Risikolage und den Fortschritt des Sicherheitsprogramms. Auch der Verwaltungsrat wird regelmäßig über Fragen der Cyber-Sicherheit informiert.

Unsere Sicherheitskontrollen

Kontrollen können Risiken verhindern, aufdecken oder auf solche reagieren. Die meisten Risiken und Bedrohungen lassen sich verhindern oder werden aufgedeckt, bevor sie Schaden anrichten und eine Reaktion erfordern. Bei einigen sind Wiederherstellungsmaßnahmen erforderlich.

Wir nutzen einen gemeinsamen globalen Rahmen: die Cyber Security Baseline. Dieser ist für die gesamte Vodafone-Gruppe verbindlich. Die Baseline umfasst wichtige Sicherheitskontrollen, die das Cyber-Sicherheitsrisiko erheblich reduzieren. Indem sie Ereignisse und Angriffe verhindern, aufdecken oder auf sie reagieren. Unser Rahmen wurde ursprünglich auf der Grundlage eines internationalen Standards entwickelt. Dieser ist auf unsere Hauptrisiken abgestimmt. Und bietet so den umfassendsten Schutz. Jedes Jahr überprüfen wir diesen im Hinblick auf die sich verändernden Bedrohungen. Und schaffen neue oder verbesserte Kontrollen, um Bedrohungen zu begegnen.

Ein spezielles Assurance Team überprüft und validiert die Wirksamkeit unserer Sicherheitskontrollen. Und unser Kontrollumfeld wird regelmäßig intern geprüft. Die Sicherheit unserer globalen Netzwerke wird außerdem jedes Jahr von unabhängiger Seite getestet. So wird sichergestellt, dass wir die höchsten Standards einhalten und unsere Kontrollen effektiv funktionieren. Wir verfügen über unabhängig geprüfte Zertifizierungen für die Informationssicherheit, einschließlich ISO 27001. Diese decken unsere globale Technologie-Funktion und 15 lokale Märkte ab, darunter auch Deutschland. Wir halten uns an lokale Anforderungen oder Zertifizierungen. Und beteiligen uns aktiv an Beratungen und Debatten über Gesetze und Vorschriften für die Verbesserung und Gewährleistung der Sicherheit von Kommunikationsnetzen.

Neue Technologien

Wir setzen neue Technologien ein, um unseren Kund:innen den bestmöglichen Service zu bieten. Und um unsere betriebliche Effizienz zu steigern. Bei jedem neuen oder bestehenden Technologie-Programm folgen wir unserem Secure-by-Design-Prozess: Wir bewerten die Hardware und Software der Lieferant:innen, modellieren Bedrohungen und verstehen die Risiken. Anschließend entwerfen, implementieren und testen wir die erforderlichen Sicherheitskontrollen.

Jede neue Generation von Mobilfunk-Netzen hat die Leistung und Leistungsfähigkeit erhöht. Und auch neue Möglichkeiten für die Sicherheit geschaffen. 5G verbessert die bestehende Sicherheit mit zusätzlichem Schutz vor Bedrohungen – wie Standortverfolgung, Abhören von Anrufen oder Nachrichten und Modifizierung des Netzverkehrs. Außerdem umfasst 5G verbesserte Funktionen zum Schutz der Signalisierung zwischen den Netzen verschiedener Betreiber. Was dazu beiträgt, die Verfolgung oder das Abhören beim Roaming zu verhindern. Wir arbeitet mit Hochdruck daran, diese neuen Sicherheitsfunktionen in unsere 5G-Netze einzubauen.

5G und andere Mobilfunk-Technologien werden Milliarden von Geräten miteinander verbinden. Darum ist es von entscheidender Bedeutung, bei allen Betreibern für die richtige Sicherheit zu sorgen. Vodafone hat an der Erstellung der IoT-Sicherheitsrichtlinien der GSMA und dem dazugehörigen Selbstbewertungsschema mitgearbeitet. In den Fällen, in denen wir mit Partner:innen oder Dritten zusammenarbeiten, um IoT-Lösungen zu entwickeln und zu implementieren, nutzen wir einen weiteren Ansatz. Diesen haben wir gemeinsam mit Consumers International entwickelt – wie die Veröffentlichung der Consumer IoT Trust by Design Guidelines zeigt.

Wir verfolgen und überwachen auch potenzielle zukünftige Bedrohungen für unsere Netzwerke, Systeme und Kund:innen – wie z. B. das Quantencomputing und seine Auswirkungen auf die Verschlüsselung. Dieses Risiko ist nicht spezifisch für Vodafone. Trotzdem haben wir damit begonnen, uns mit den möglichen negativen Auswirkungen zu beschäftigen. Um ein robustes Verschlüsselungsniveau aufrechtzuerhalten, das in unserem Netzwerk und in unseren Systemen quantensicher ist.

Cyber-Vorfälle

Als globaler Connectivity-Anbieter sind wir täglich unterschiedlichen Cyber-Bedrohungen ausgesetzt. Die überwiegende Mehrheit wird durch unser robustes Kontrollumfeld erkannt, blockiert oder abgeschwächt – ohne dass es zu Auswirkungen kommt. Für den Fall, dass ein Sicherheitsvorfall eintritt, haben wir einen konsistenten Rahmen für das Management von Cyber-Vorfällen. Und ein erfahrenes Team, das unsere Reaktion steuert. Das Hauptaugenmerk unserer Mitarbeiter:innen liegt dabei immer auf einer schnellen Risikominderung – und auf der Sicherheit unserer Kund:innen.

Wir arbeiten aktiv mit Interessenvertreter:innen zusammen, einschließlich akademischer Einrichtungen, der Industrie und der Regierung. So schützen wir Vodafone, reagieren auf Cyber-Bedrohungen und tauschen uns zu bewährten Verfahren aus. Aufgrund unseres Fachwissens und unserer umfangreichen Erfahrung arbeiten wir auch mit einer Vielzahl von Organisationen zusammen. So verbessern wir das Verständnis für Cybersicherheitsdenken und -praktiken. Und leisten einen Beitrag zur öffentlichen Politik, zu technischen Standards, Informationsaustausch und -analyse, Risikobewertung und Governance.

Responsible Disclosure: Schwachstellen melden

Wir versuchen unseren Kund:innen höchstmögliche Sicherheit zu bieten. Technologien haben aber Schwachstellen, die wir nicht immer selbst finden.

Darum schätzen wir das Fachwissen und die Hilfe der Cyber-Sicherheits-Community. Ihr unterstützt uns dabei, unsere hohen Sicherheitsstandards aufrechtzuerhalten. Meldet uns vermutete Sicherheitslücken im Zusammenhang mit unseren Diensten oder Produkten.

Unsere Security-Spezialist:innen prüfen alle Meldungen und arbeiten bei Bedarf mit Euch zusammen. So stellen wir gemeinsam sicher, mögliche Probleme so schnell es geht zu beheben.

  • Alle eingereichten Meldungen behandeln wir ernst und vertraulich
  • Die persönlichen Daten der Meldenden werden nicht ohne Zustimmung an Dritte weitergegeben. Es sei denn, dies ist zur Erfüllung rechtlicher Verpflichtungen erforderlich. Es ist auch möglich, anonyme Meldungen zu machen
  • Alle eingereichten Meldungen werden so schnell, wie es uns möglich ist, bearbeitet
  • Vodafone betreibt kein Bug Bounty-Programm
  • Sei vorsichtig und zurückhaltend im Umgang mit persönlichen Daten. Und beteilige Dich nicht absichtlich an Angriffen gegen Dritte, Social Engineering, Denial-of-Service-Angriffen, physischen Angriffen auf Vodafone-Eigentum, Spamming oder anderen Belästigungen von Nutzer:innen
  • Stell ein Proof-of-Concept oder ausreichende Infos zur Verfügung, damit wir die Schwachstelle reproduzieren können. Und sie überprüfen und mögliche Abhilfemaßnahmen ermitteln können. Im Allgemeinen reichen uns: die Identifizierung des verwundbaren Ziels, eine Beschreibung der Schwachstelle und die zur Ausnutzung der Schwachstelle durchgeführten Operationen. Bei komplexen Schwachstellen können weitere Details und Infos nötig sein
  • Missbrauche die Schwachstelle nicht, indem Du durch Deine Handlungen Störungen verursachst
  • Gib die Infos über die Sicherheitslücken erstmal nicht an andere weiter. Sondern erst, wenn die Schwachstelle gemäß der Vodafone-Richtlinie zur verantwortungsvollen Offenlegung von Informationen behoben worden ist
  • Melde nur eine Schwachstelle pro Bericht. Es sei denn, Du musst die Schwachstellen aneinanderreihen, um die Auswirkungen darzustellen
  • Respektiere die Privatsphäre. Spähe keine Daten Dritter aus, manipuliere diese nicht und gib diese nicht weiter. Nutze gefundene Exploits nicht aus
  • Vermeide Störungen. Deine Untersuchungen dürfen die Verfügbarkeit unserer Services nicht beeinträchtigen
  • Sei geduldig. Informiere bitte keine Dritten. Willst Du die Schwachstelle veröffentlichen? Lass uns zusammen einen Zeitpunkt dafür abstimmen. Bis dahin werden wir die Schwachstelle prüfen und beheben, aber das braucht Zeit
  • Respektiere unsere Regeln

Wenn Du Schwachstellen meldest, berücksichtige bitte 1. das Angriffsszenario bzw. die Ausnutzbarkeit und 2. die Sicherheitsauswirkungen des Fehlers.

Die folgenden Probleme sehen wir als nicht relevant an:
 

  • Clickjacking auf Seiten ohne sensible Aktionen
  • Cross-Site Request Forgery (CSRF) auf unauthentifizierten Formularen oder Formularen ohne sensible Aktionen
  • Angriffe, die MITM oder physischen Zugriff auf das Gerät eines Benutzers erfordern
  • Zuvor bekannte anfällige Bibliotheken ohne funktionierenden Proof of Concept
  • Einspeisung von durch Kommata getrennten Werten (CSV) ohne Nachweis einer Schwachstelle
  • Fehlende bewährte Verfahren bei der SSL/TLS-Konfiguration
  • Jegliche Aktivität, die zu einer Unterbrechung unseres Dienstes führen könnte (DoS)
  • Content-Spoofing und Text-Injection-Probleme ohne Nachweis eines Angriffsvektors bzw. ohne die Möglichkeit, HTML/CSS zu verändern
  • Ratenbegrenzungs- oder Bruteforce-Probleme an nicht authentifizierten Endpunkten
  • Fehlende Best Practices in der Content Security Policy
  • Fehlende HttpOnly- oder Secure-Flags bei Cookies
  • Fehlende bewährte E-Mail-Verfahren – ungültige, unvollständige oder fehlende SPF/DKIM/DMARC-Einträge usw.
  • Schwachstellen, die nur Benutzer veralteter oder nicht gepatchter Browser betreffen
  • weniger als 2 stabile Versionen hinter der letzten veröffentlichten stabilen Version
  • Offenlegung von Softwareversionen, Probleme bei der Identifizierung von Bannern, beschreibende Fehlermeldungen oder Header – z. B. Stack Traces, Anwendungs- oder Serverfehler
  • Tabnabbing
  • Offener Redirect – es sei denn, es kann eine zusätzliche Sicherheitsauswirkung nachgewiesen werden
  • Statische Ressourcen bzw. öffentliche Informationen, die in Speicherbereichen offengelegt werden
  • Physische Angriffe auf ein Vodafone-Eigentum

Wie melde ich eine Sicherheitslücke?

Bitte unterstütze uns, indem Du uns so viele Infos wie möglich über das von Dir entdeckte Problem zur Verfügung stellst. Lies Dir bitte obenstehende Infos durch, bevor Du Deine Meldung hier einreichst.

Sicherheitslücke melden

Mehr von Vodafone

Newsroom

Newsroom

ist unser digitales Zuhause für News und Storys.

Featured

Featured

ist unser Magazin für digitale Kultur.

Featured Business

Featured Business

ist unser Magazin rund ums Thema Digitalisierung.