Datenschutz & Informationssicherheit
Wir setzen uns dafür ein, dass die Hoheit über ihre Daten bei unseren Kundinnen und Kunden bleibt und sie ihr digitales Leben souverän gestalten können.
WeiterlesenStrategie
Aus Prinzip für Datensouveränität
Der Schutz personenbezogener Daten und die Abwehr von Cyberrisiken haben für uns höchste Priorität. Wir handeln gesetzeskonform, transparent und proaktiv, um Vertrauen zu schaffen und zu einer sicheren digitalen Gesellschaft beizutragen.
Richtlinien
Wir gehen auf Nummer sicher
Wir schützen personenbezogene Daten auf Basis anerkannter Standards und geltender Gesetze, wie z. B. der Datenschutz-Grundverordnung (DSGVO), dem Telekommunikationsgesetz (TKG) und der ISO 27001:2022 Informationssicherheits-Managementsystem. Der Konzernstandard Datenschutz bildet die Grundlage des Datenschutz-Managementsystems und zielt darauf, dass Daten nur rechtmäßig verarbeitet und nach aktuellem Stand der Technik geschützt werden. Ergänzt wird er durch interne Vorgaben, wie der Informationssicherheitspolitik, der Richtlinie Datenschutzvorfälle und der Richtlinie Krisenmanagement.
Unser Resilienz-Rahmenwerk beschreibt die grundlegenden Security-Kontrollziele, die wir in Richtlinien und Standards konkretisieren und aus denen wir Kontrollvorgaben ableiten. Die Wirksamkeit der Maßnahmen zur Informationssicherheit wird regelmäßig überprüft – unter anderem im Rahmen interner und externer Audits, wie z. B. dem ISO 27001 Zertifizierungsaudits, Prüfungen der internen Revision oder interner Control Assessments.
Spezifische interne Vorgaben und Verfahren regeln den Umgang mit Bedrohungen, Schwachstellen und die Sensibilisierung der Mitarbeitenden für diese Themen. Diese Leitlinien bilden die Grundlage für ein robustes Sicherheits- und Datenschutzmanagement, das sowohl die Transparenz über die Datennutzung als auch den verantwortungsvollen Umgang mit Informationen sicherstellt. Informationssicherheit umzusetzen beinhaltet auch die technische und organisatorische Absicherung unserer Netz- und IT-Systeme. Dieser Ansatz wird durch das Cyber Fusion Center unterstützt, das umfassende Schutzmaßnahmen gegen Cyberangriffe koordiniert.
Ziele
Bis Ende 2025 haben wir uns zum Ziel gesetzt,
- dass keine Datenschutzverstöße oder Sicherheitsvorfälle auftreten, die Geldbußen oder sonstige Sanktionen zur Folge haben,
- die Abschlussquote des Trainings „Informationssicherheit“ bei unseren Mitarbeitenden auf über 90 % zu steigern.
Performance
Ermutigende Ergebnisse
2025 kam es wie im Vorjahr zu keinen Datenschutzverstößen oder Sicherheitsvorfällen, die zu Bußgeldern oder anderen Sanktionen geführt hätten.
Die Abschlussquote für das Training Informationssicherheit lag im Jahr 2025 bei 88,5 % (2024: 90 %) und damit knapp unter dem angestrebten Wert von über 90 %. Mit zahlreichen zusätzlichen Awareness‑Maßnahmen als Ergänzung zum Pflichttraining haben wir das Sicherheitsbewusstsein unserer Mitarbeitenden weiter gestärkt.
Maßnahmen
Prävention, Überwachung, Reaktion: unser Resilienz-Dreiklang
Risiken von Anfang an minimieren: Wir setzen auf das Prinzip „Privacy by Design und Default“, um personenbezogene Daten von Anfang an bestmöglich zu schützen. Durch die Minimierung von Datenverarbeitung und Zugriffsrechten lassen sich potenzielle Angriffsflächen verringern.
Sicherheit im Blick behalten: Unser Cyber Fusion Center (CFC) ist ein zentraler Knotenpunkt zur Verbesserung der Cybersicherheit. Hier werden Systeme und Netzwerke kontinuierlich überwacht, Bedrohungen identifiziert und Vorfälle schnell und koordiniert bearbeitet. Unterstützend überwacht das Network Operation Center (NOC) die Netzkomponenten, um Auffälligkeiten frühzeitig zu erkennen und die Stabilität unserer Dienste zu unterstützen.
Kompetenz gezielt stärken: Mit verpflichtenden und regelmäßig aktualisierten Schulungen zu Datenschutz und Informationssicherheit stärken wir das Bewusstsein unserer Mitarbeitenden für aktuelle Bedrohungen und regulatorische Anforderungen. 2025 wurden zahlreiche zusätzliche Maßnahmen zu unterschiedlichen Security-Themenfeldern angeboten, um den individuellen Bedarf zu adressieren und das Sicherheitsbewusstsein weiter zu stärken.
Bedrohungen proaktiv begegnen: Darüber hinaus nutzen wir Cyber Threat Intelligence (CTI) und das Threat Intelligence Program, um die sich wandelnde Bedrohungslandschaft zu analysieren. So können wir Risiken antizipieren und präventive Maßnahmen einleiten, um potenziellen Bedrohungen zuvorzukommen.
Dieser Dreiklang aus Prävention, Überwachung und schneller Reaktion stärkt den Schutz der digitalen Infrastruktur.
Datenschutz priorisieren: Als Telekommunikationsanbieter verarbeiten wir große Mengen an Mobilitäts- und Nutzungsdaten. Mit der Data Anonymization Platform (DAP) wurde ein mehrstufiges Verfahren entwickelt, das Daten anonymisiert. Mehr Informationen zum Schutz der Daten finden Sie hier.
Business Value
Gefahren im Blick
Mit unserem Threat Intelligence Program können wir Bedrohungen frühzeitig erkennen und präventiv handeln. Angreifertaktiken und Risiken werden fortlaufend analysiert, u. a. in den Kernthemen 5G Netzwerk, IoT, Ransomware, Lieferketten, Cloud-Sicherheit und Social Engineering. Auch neue Bedrohungen wie KI-basierte Angriffe, Malware-Trends und Phishing gegen Business-Tools werden erfasst. Das Programm liefert verwertbare Erkenntnisse für schnelle Entscheidungen, unterstützt die Resilienz der digitalen Infrastruktur und erhöht die Verlässlichkeit der Services für unsere Geschäftskunden.
Nächste Schritte
Mit Sicherheit gut gedacht
Wie bei Compliance wollen wir unsere KI-gestützten Risikoanalysen und Threat-Intelligence-Systeme erweitern, um die Prävention weiter zu optimieren. Die Self-Service-Plattformen sollen auch für Datenschutzanfragen und Sicherheitszertifikate genutzt werden können.
