Information Security

Home » Security » Information Security

Informationssicherheit

Die Netzbetreiber der A1 Group zählen in allen Ländern zur kritischen Infrastruktur. Die Unternehmensgruppe ist sich der besonderen Verantwortung, die damit verbunden ist, bewusst. Deshalb engagiert sich das Unternehmen über das gesetzlich erforderliche Ausmaß hinaus in
Initiativen, um die Sicherheit stetig zu verbessern.

Seit 2020 ist A1 in Österreich Betreiber eines wesentlichen Dienstes im Sinne des NIS-Gesetzes (Netz- und Informationssystemsicherheitsgesetz). Seitdem ist A1 der Meldepflicht von Sicherheitsvorfällen an die NIS-Behörde sowie der Erfüllung von Sicherheitsvorkehrungen und deren Regelungen des Telekom-Sektors unterworfen. 2023 hat A1 in Österreich den vollständigen Nachweis der Umsetzung dieser Sicherheitsanforderungen gegenüber der NIS Behörde erbracht und somit die Sicherheitsprüfung erfolgreich abgeschlossen.

Gemäß dem NIS müssen NIS-verpflichtete Unternehmen ihre Lieferanten einer Risikoprüfung unterziehen. A1 nutzt zur Lieferantenprüfung die standardisierte Vorgehensweise des Cyber-Risk-Ratings von Cyber Trust Austria. Da A1 in Österreich auch Lieferant von anderen NIS-verpflichteten Unternehmen ist, hat sich das Unternehmen selbst verpflichtet, die Qualitätskriterien von Cyber Trust Austria einzuhalten. Dies wird durch das erworbene Label „Cyber Trust Austrian Gold Label“ bekräftigt. Demnach können NIS-verpflichtete Kund:innen auf A1 als geprüften NIS-Lieferanten vertrauen.

Um die Cybersicherheit stetig zu verbessern, kooperieren die Netzbetreiber der A1 Group zudem eng mit den jeweiligen Behörden. Sie teilen relevante Sicherheitsinformationen über das A1-CERT (Computer Emergency Response Team), das auch Mitglied des nationalen CERT-Verbundes ATC (Austrian Trust Circle) ist. Das Sicherheits-Know-how wird innerhalb der A1 Group sowie bei Fachtagungen im In- und Ausland ausgetauscht. Im Jahr 2023 wurde A1-CERT Mitglied im weltweiten Dachverband FIRST (Forum of Incident Response and Security Teams), wodurch die Professionalität und der hohe Reifegrad des A1-CERT bestätigt wurde.

Damit Dienste wie Cloud-Services oder neue Arbeitsmodelle (Home- bzw. Mobile-Office, agile Teams, Remote Operation & Support etc.) weiterhin zuverlässig und sicher entwickelt werden und in Betrieb gehen können, erfolgt eine gruppenweite Harmonisierung der Sicherheitsvorgaben in Form von hochmodernen Standards und Richtlinien für die Informationssicherheit. Ein besonderer Fokus wird dabei auf die Risikoprävention im Bereich kritischer und wichtiger Netzelemente gelegt. Die A1 Group orientiert sich an den internationalen IT-Standards für Sicherheitstechniken (ISO 27001).

In der A1 Group wurde die Funktion eines Chief Information Security Officer (CISO) geschaffen, der die Security-Richtlinien und -Techniken innerhalb der A1 Group abstimmt und koordiniert.

Information Security Organisation

Sicherheitsinitiativen

Ein besonderes Augenmerk wird auf die Förderung von Nachwuchs im Bereich Cybersicherheit gelegt. Alljährlich erhalten Berufspraktikant:innen die Chance, die Herausforderungen eines Betriebes der kritischen Infrastruktur in der Praxis zu erleben. Darüber hinaus hat A1 in Österreich im Jahr 2024 wieder die „Austrian Cyber Security Challenge“ (Österreichs größter Hacker-Wettbewerb) gesponsert. Diese Wettbewerbe haben das Ziel, junge Cybertalente zu fördern und sie zu einer Karriere im Bereich Datenschutz zu ermutigen.

Es ist allgemein bekannt, dass Malware – auch als Viren bezeichnet – Computer befallen und darauf Schaden anrichten kann. A1 bietet Geschäftskund:innen professionelle IKT-Dienste, die die Auswirkungen von Ransomware-Attacken auf deren Geschäft effektiv eindämmen. Sichere Konfigurationen und Verfahren innerhalb der IKT-Infrastruktur können die Wahrscheinlichkeit für solche Angriffe verringern. Mit einem konsistent umgesetzten Backup-Dienst und Notfallplan wird dafür gesorgt, dass Kund:innen sich so schnell wie möglich von einer Ransomware-Attacke erholen können.

Die Malware „FluBot“ befällt Mobiltelefone, um personenbezogene Daten ihrer Opfer abzugreifen. A1 bietet Mobilfunkkund:innen eine Sicherheitslösung, um sie vor dem Zugriff auf bekannte bösartige Websites zu schützen. Kund:innen werden so davor bewahrt, versehentlich den FluBot-Code aus dem Internet herunterzuladen. Europol konnte das FluBot-Netzwerk im Mai 2022 zerschlagen.

Mitarbeitersensibilisierung und -schulung

Zur Sensibilisierung und Schulung aller A1 Mitarbeiter:innen zum Thema Informationssicherheit gibt es unternehmensweite E-Learnings sowie vertiefende Schulungen für die einzelnen Fachbereiche und regelmäßige Beiträge in einem internen sozialen Interaktionstool.

Responsible Disclosure

Die Sicherheit unserer Systeme und Produkte ist uns ein großes Anliegen und hat höchste Priorität. Trotz aller Bemühungen, die wir in unsere Technologien investieren, kann es trotzdem zu Schwachstellen kommen. Sollten Sie Schwachstellen entdecken, würden wir uns über eine Benachrichtigung freuen.

Bitte beachten Sie folgende Rahmenbedingungen:

1. Sie können eine identifizierte Schwachstelle für Demonstrationszwecke ausnutzen. Handeln Sie verantwortungsbewusst und vermeiden Sie Serviceausfälle (DoS), sowie die Vernichtung oder die Veränderung von Daten. Ziel ist die bestmögliche Darstellung der Angriffsvektoren, nicht das Zuführen von Schäden.
2. Teilen Sie erhobene Informationen nicht mit Dritten.
3. Folgende Bereiche sind nicht Teil des Responsible Disclosure Prozesses:
– physische Sicherheit
– Social Engineering
– Distributed Denial of Service (DDoS) Angriffe
– Spam & Phishing
– Ausnutzung von Schwachstellen auf dedizierten Kundensystemen
4. Bitte stellen Sie genügend Informationen zur Verfügung, damit die Nachvollziehbarkeit der Schwachstelle möglich ist. Eine kurze Beschreibung der Schwachstelle in Zusammenhang mit der URL/IP des betroffenen Systems ist im Normalfall ausreichend.

Was wir tun:

1. Wir leiten keine rechtlichen Schritte aufgrund der Meldung der Schwachstelle gegen Sie ein. Voraussetzung dafür ist die Einhaltung der Rahmenbedingungen.
2. Wir geben Ihre Daten nicht ohne Ihrer Zustimmung an Dritte weiter und halten die Korrespondenz vertraulich.
3. Wir halten Sie über unser Vorgehen am laufenden.

Bei der Erstellung dieses Textes wurden Inhalte von Floor Terra verwendet (responsibledisclosure.nl).

Kontaktdaten:

E-Mail: responsible.disclosure(at)a1.group
PGP Key ID: C451 95B3 EB90 8ADB CDD2 982C 8F52 2AE8 1AE8 85B2

Hinweis:
Bitte benutzen Sie die angegebene E-Mail Adresse nur zur Meldung von Schwachstellen.