Information Security

Home » Security » Information Security

Informationssicherheit

Ob Mobilfunk, Festnetz oder Data Center: Die A1 Group ist in allen ihren Kernmärkten ein Betreiber systemkritischer Infrastruktur. Die Unternehmensgruppe ist sich der damit verbundenen, besonderen Verantwortung bewusst. Deshalb engagiert sie sich über das gesetzlich erforderliche Ausmaß hinaus in Initiativen, um die Sicherheit stetig zu erhöhen. Zur kontinuierlichen Verbesserung der Cybersicherheit kooperieren die Netzbetreiber der A1 Group zudem mit den jeweiligen Behörden. Relevante Sicherheitsinformationen werden über das A1 CERT (Computer Emergency Response Team), das auch Mitglied des nationalen CERT-Verbundes ATC (Austrian Trust Circle) ist, geteilt. Sicherheits-Know-how wird innerhalb der A1 Group sowie bei Fachtagungen im In- und Ausland ausgetauscht. Der Security-Bereich von A1 Österreich übernimmt seit 2021 auch die Security Governance der gesamten A1 Group.

Damit Dienste wie Cloud-Services oder neue Arbeitsmodelle (Home- bzw. Mobile-Office, agile Teams, Remote Operation & Support etc.) weiterhin zuverlässig und sicher entwickelt bzw. betrieben werden können, erfolgt eine gruppenweite Harmonisierung der Sicherheitsvorgaben in Form von hochmodernen Standards und Richtlinien für die Informationssicherheit. Ein besonderer Fokus wird dabei auf die Risikoprävention im Bereich kritischer und wichtiger Netzelemente gelegt. Die A1 Group orientiert sich an den internationalen IT-Standards für Sicherheitstechniken (ISO 27001). Ein essenzielles Element zum Management von Cyber-Risiken sind kontinuierliche Überprüfungen und Software-Updates der zu schützenden Infrastruktur sowie Schulungen und Trainings der Mitarbeiter:innen. Das „A1 Telekom Austria Security Committee“ setzt sich aus hoch qualifizierten Security-Experten aller Länder der A1 Group zusammen und tauscht regelmäßig Informationen zu aktuellen lokalen, regionalen und globalen Cyber-Risiken und Cyber-Attacken aus. Darüber hinaus informiert und koordiniert diese Arbeitsgruppe im akuten Bedarfsfall auch landesübergreifende Schutzmaßnahmen.

In der A1 Group wurde die Position des Chief Information Security Officer (CISO) etabliert, um ein breites Spektrum an Sicherheitsinitiativen zu leiten und zu koordinieren, von der Erstellung von Sicherheitsrichtlinien bis hin zur Bekämpfung von Cybervorfällen.

Information Security Organisation

Sicherheitsinitiativen

Die A1 Group beteiligt sich an unterschiedlichsten Initiativen, um die Sicherheit (einschließlich Cybersicherheit) und Verfügbarkeit kontinuierlich zu verbessern. 2022 erfolgte die Durchführung der Übung „Schutzschild 2022“ in Salzburg sowie die Teilnahme an der europaweiten Übung „Cyber Europe 2022“. 2023 erzielte das A1 Security Team beim internationalen „Splunk Boss of the SOC“-Event den 2. Platz von 300 Teilnehmern.

Es ist allgemein bekannt, dass Malware – auch als Viren bezeichnet – Computer befallen und darauf Schaden anrichten kann. A1 bietet Geschäftskund:innen professionelle IKT-Dienste, die die Auswirkungen von Ransomware-Attacken auf deren Geschäft effektiv eindämmen. Sichere Konfigurationen und Verfahren innerhalb der IKT-Infrastruktur können die Wahrscheinlichkeit für solche Angriffe verringern. Mit einem konsistent umgesetzten Backup-Dienst und Notfallplan wird dafür gesorgt, dass Kund:innen sich so schnell wie möglich von einer Ransomware-Attacke erholen können.

Die Malware „FluBot“ befällt Mobiltelefone, um personenbezogene Daten ihrer Opfer abzugreifen. A1 bietet Mobilfunkkund:innen eine Sicherheitslösung, um sie vor dem Zugriff auf bekannte bösartige Websites zu schützen. Kund:innen werden so davor bewahrt, versehentlich den FluBot-Code aus dem Internet herunterzuladen. Europol konnte das FluBot-Netzwerk im Mai 2022 zerschlagen.

Mitarbeitersensibilisierung und -schulung

Zur Sensibilisierung und Schulung aller A1 Mitarbeiter:innen zum Thema Informationssicherheit gibt es unternehmensweite E-Learnings sowie vertiefende Schulungen für die einzelnen Fachbereiche und regelmäßige Beiträge in einem internen sozialen Interaktionstool.

Responsible Disclosure

Die Sicherheit unserer Systeme und Produkte ist uns ein großes Anliegen und hat höchste Priorität. Trotz aller Bemühungen, die wir in unsere Technologien investieren, kann es trotzdem zu Schwachstellen kommen. Sollten Sie Schwachstellen entdecken, würden wir uns über eine Benachrichtigung freuen.

Bitte beachten Sie folgende Rahmenbedingungen:

1. Sie können eine identifizierte Schwachstelle für Demonstrationszwecke ausnutzen. Handeln Sie verantwortungsbewusst und vermeiden Sie Serviceausfälle (DoS), sowie die Vernichtung oder die Veränderung von Daten. Ziel ist die bestmögliche Darstellung der Angriffsvektoren, nicht das Zuführen von Schäden.
2. Teilen Sie erhobene Informationen nicht mit Dritten.
3. Folgende Bereiche sind nicht Teil des Responsible Disclosure Prozesses:
– physische Sicherheit
– Social Engineering
– Distributed Denial of Service (DDoS) Angriffe
– Spam & Phishing
– Ausnutzung von Schwachstellen auf dedizierten Kundensystemen
4. Bitte stellen Sie genügend Informationen zur Verfügung, damit die Nachvollziehbarkeit der Schwachstelle möglich ist. Eine kurze Beschreibung der Schwachstelle in Zusammenhang mit der URL/IP des betroffenen Systems ist im Normalfall ausreichend.

Was wir tun:

1. Wir leiten keine rechtlichen Schritte aufgrund der Meldung der Schwachstelle gegen Sie ein. Voraussetzung dafür ist die Einhaltung der Rahmenbedingungen.
2. Wir geben Ihre Daten nicht ohne Ihrer Zustimmung an Dritte weiter und halten die Korrespondenz vertraulich.
3. Wir halten Sie über unser Vorgehen am laufenden.

Bei der Erstellung dieses Textes wurden Inhalte von Floor Terra verwendet (responsibledisclosure.nl).

Kontaktdaten:

E-Mail: responsible.disclosure(at)a1.group
PGP Key ID: C451 95B3 EB90 8ADB CDD2 982C 8F52 2AE8 1AE8 85B2

Hinweis:
Bitte benutzen Sie die angegebene E-Mail Adresse nur zur Meldung von Schwachstellen.