Im Rahmen unserer Strategie 2030 wollen wir unser Wachstum auf profitable und nachhaltige Weise beschleunigen, auch durch Automatisierung und digitale Kundenlösungen. Dies wird untermauert durch eine verlässliche und resiliente Umsetzung, eine strenge Einhaltung aller geltenden Vorschriften und robuste Maßnahmen in der Cybersicherheit. Wir verwenden, erstellen und speichern im Rahmen unserer Geschäftstätigkeit eine erhebliche Menge an Daten, auch personenbezogene Daten, und müssen sicherstellen, dass die Vertraulichkeit, Integrität und Verfügbarkeit dieser Daten geschützt sind. Ebenso verlangen wir von unseren Lieferanten, dass sie angemessene und wirksame Schutzmaßnahmen und Kontrollen umsetzen und aufrechterhalten, um die Sicherheit unserer Systeme und Informationen, einschließlich personenbezogener Daten, zu gewährleisten, wie im Verhaltenskodex zur Informationssicherheit für Partner speziell definiert.
Cybersicherheit ist von besonderer Bedeutung für den Erfolg unserer Geschäftstätigkeit. Darum lassen wir uns von der externen Rating-Agentur BitSight kontinuierlich unabhängig bewerten. Das Ergebnis dieser Bewertung („Rating“) ist steuerungsrelevant und fließt zusätzlich in die Vergütung der Vorstandsmitglieder und des oberen Managements ein.
Wesentliche Auswirkungen und Risiken (ESRS 2 SBM–3)
Im Rahmen der Wesentlichkeitsanalyse wurden mögliche positive Auswirkungen und tatsächliche Risiken in der Cybersicherheit identifiziert.
IDENTIFIZIERTE WESENTLICHE RISIKEN, CHANCEN UND AUSWIRKUNGEN
ESRS-Aspekt
Einfluss und Auswirkungen auf das Geschäftsmodell1
Einfluss auf die Wertschöpfungskette
Unternehmensspezifisch: Cybersicherheit
IT- und Informationssicherheit
IT-Sicherheitsvorfälle können zu Störungen der globalen Lieferketten führen. Diese können zu negativen finanziellen Auswirkungen und Geschäftseinbußen führen.
Risiko
(derzeitig)
Ja
Schutzmaßnahmen zur Vermeidung von Betrug durch Phishing können zu einem stärkeren Bewusstsein der Beschäftigten für Cybersicherheit und zu Präventionsmaßnahmen führen. Damit kann die Sicherheit
und das Vertrauen von Kunden gewahrt und verbessert werden.
Positive Auswirkung (möglich)
Ja
Cybersicherheit kann zu einem Übertragungseffekt auf die globale Stabilität des Warenhandels und Briefmarkts führen.
Positive Auswirkung (möglich)
Ja
Unternehmensspezifisch:
Datenschutz
Schutz personenbezogener Daten
Verletzungen des Datenschutzes können zu erheblichen Geldstrafen, negativen finanziellen Auswirkungen und Reputationsschäden führen.
Risiko
(derzeitig)
Ja
1 Die ESRS fordern folgende Differenzierungen: Tatsächliche Auswirkungen sind im Geschäftsjahr mindestens einmal eingetreten, mögliche nicht. Derzeitige Risiken könnten aktuell eintreten, erwartete Risiken könnten in späteren Berichtsperioden eintreten.
Konzepte zur Cybersicherheit
Mit unserem Cybersicherheitsmanagement schützen wir die Informationen des Konzerns, der Geschäftspartner und der Beschäftigten sowie die IT-Systeme vor unbefugten Zugriffen oder Manipulationen und Datenmissbrauch. Personenbezogene Daten werden ethisch und verantwortungsbewusst genutzt, wobei die Grundrechte und die Freiheit des Einzelnen respektiert werden. Künstliche Intelligenz (KI) eröffnet vielseitige Möglichkeiten, stellt für den Konzern aber auch zunehmende Risiken aufgrund des zunehmenden Einsatzes durch Cyberkriminelle dar. Darüber hinaus ist die konforme Handhabung von generativer KI ein allgemeines Compliance-Thema. Dazu ergreifen wir kontinuierlich Maßnahmen zur Risikominderung, unter anderem die regelmäßige Schulung unserer Beschäftigten, die umfassende Überwachung der Netzwerke und Informationssysteme durch unser Cyber Defense Center sowie regelmäßige Cybersecurity-Incident-Simulationen.
Der Group Chief Information Security Officer (Group CISO) berichtet direkt an den Vorstandsvorsitzenden. Im IT Board werden die Cybersicherheitsstrategie festgelegt sowie konzernweite Maßnahmen für Cybersicherheit, zum Schutz von Systemen und Daten sowie für Digitalisierungsprozesse definiert und gesteuert.
Die Organisation des Group CISO (Chief Information Security Office) schützt den Konzern vor Cyberbedrohungen und stärkt die Cybersicherheitsaktivitäten. Im Fokus stehen strategische und taktische Sicherheitsaspekte, die für den Gesamtkonzern relevant sind. Zu den Maßnahmen zählen das konzernweite Rahmenwerke für die Cybersicherheit, Incident- und Risikomanagementprozesse, Sensibilisierungsmaßnahmen und Schulungen sowie Maßnahmen, die die Sicherheit und Resilienz unserer operativen Prozesse gewährleisten und verbessern. Mit unserem Cybersicherheitsmanagement schützen wir die Informationen des Konzerns, der Geschäftspartner und der Beschäftigten sowie die IT-Systeme vor unbefugten Zugriffen oder Manipulationen und Datenmissbrauch. Außerdem ermöglichen wir dadurch eine dauerhafte Verfügbarkeit und Handlungssicherheit. Unsere internen Richtlinien und Prozesse basieren auf dem internationalen Standard ISO 27002; die IT-Rechenzentren sind nach ISO 27001 zertifiziert.
Wir beschränken den Zugang zu unseren Systemen und Daten so, dass Beschäftigte nur auf solche Daten zugreifen können, die sie für die ihnen übertragenen Aufgaben benötigen. Die Systeme und Daten werden regelmäßig gesichert; kritische Daten werden zudem zwischen den Rechenzentren repliziert. Durch kontinuierliche Software-Aktualisierungen schließen wir mögliche Sicherheitslücken und stellen die Funktionalität sicher.
Mit vielfältigen Kommunikationsmaßnahmen und Schulungsangeboten sensibilisieren wir unsere Belegschaft für die möglichen Risikobereiche der Cybersicherheit. Alle Beschäftigten und Führungskräfte mit geschäftlichen E-Mail-Adressen werden regelmäßig durch Phishing-Simulationen sensibilisiert. Mit IT-Krisensimulationen machen wir außerdem das Management auf aktuelle Risiken aufmerksam. Die Teilnahme an der Schulung „Sensibilisierung für Informationssicherheit“ ist für alle Beschäftigten mit geschäftlichen E-Mail-Adressen verpflichtend. Alle bereits Geschulten müssen im zweijährlichen Rhythmus ihre Zertifizierung aktualisieren.
Umgang mit personenbezogenen Daten
Der Datenschutz ist ein wesentlicher Bestandteil der Qualität unserer Produkte und Dienstleistungen. Gleichzeitig hilft ein effizientes Datenschutzmanagement gesetzliche Sanktionsrisiken und Imageverluste zu vermeiden. Unsere Konzerndatenschutzrichtlinie sowie unser Datenschutzmanagementsystem setzen den Standard für den konzerninternen weltweiten Datentransfer und für den datenschutzkonformen Umgang mit personenbezogenen Daten. In vielen Ländern der Welt legen Datenschutzgesetze Anforderungen für die Verarbeitung personenbezogener Informationen fest. Mit verpflichtenden Online-Schulungen für Beschäftigte mit einem Computer-Arbeitsplatz sensibilisieren und informieren wir diese, damit sie sich datenschutzkonform verhalten. Globale Prüfprozesse des Konzerndatenschutzes als auch in den Unternehmensbereichen zielen darauf ab, die in allen Ländern geltenden Datenschutzvorschriften einzuhalten und angemessen umzusetzen.
Ziele zur Bewältigung wesentlicher Auswirkungen, Risiken und Chancen
Wir lassen uns durch die externe Rating-Agentur BitSight unabhängig bewerten (Rating): diese Kennzahl ist zudem steuerungs- und vergütungsrelevant.
Dieses Rating beruht auf der technischen Analyse etwaiger Schwachstellen und weist das bewertete Unternehmen auf mögliche Sicherheitsrisiken hin; dies erfolgt täglich durch einen automatisierten Service. Im Gegensatz zu einer Selbsteinschätzung bietet ein externes Cybersicherheits-Rating höhere Transparenz und ermöglicht durch die Standardisierung eine Vergleichbarkeit mit anderen Unternehmen. Wir vergleichen unsere Performance mit DAX–40-Unternehmen sowie mit Großkunden und Logistikunternehmen, die nicht über den DAX 40 abgedeckt sind. Der Zielwert bestimmt sich aus dem Anspruch, im oberen Quartil dieser Vergleichsgruppe zu liegen. Das Ergebnis fließt mit 10 % in die Jahreserfolgsvergütung der Vorstandsmitglieder ein.
Das Cybersicherheits-Rating von BitSight betrug zum Jahresende 750 von 820 erreichbaren Punkten (2023: 750 Punkte). Damit wurde das Ziel von mindestens 690 Punkten für das Berichtsjahr übertroffen. Auch 2025 soll das Cybersicherheits-Rating im oberen Quartil der Vergleichsgruppe liegen und mindestens 710 Punkte betragen. Sollte BitSight seine Bewertungsskala ändern, werden wir diesen Wert der Änderung folgend anpassen.
