{"id":7103,"date":"2023-07-31T09:11:21","date_gmt":"2023-07-31T07:11:21","guid":{"rendered":"https:\/\/a1.group\/?page_id=7103"},"modified":"2025-02-03T13:41:58","modified_gmt":"2025-02-03T12:41:58","slug":"information-security","status":"publish","type":"page","link":"https:\/\/a1.group\/de\/security\/information-security\/","title":{"rendered":"Information Security"},"content":{"rendered":"\n
\n\t
\n\n\t\t\t\n\t\t<\/div>\n\t\n\t<\/div><\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t
<\/a>Home<\/a><\/span><\/div>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t

\n\tInformationssicherheit<\/strong><\/strong><\/strong><\/h2>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t

\n\tDie Netzbetreiber der A1 Group z\u00e4hlen in allen L\u00e4ndern zur kritischen Infrastruktur. Die Unternehmensgruppe ist sich der besonderen Verantwortung, die damit verbunden ist, bewusst. Deshalb engagiert sich das Unternehmen \u00fcber das gesetzlich erforderliche Ausma\u00df hinaus in
Initiativen, um die Sicherheit stetig zu verbessern. <\/span>

Seit 2020 ist A1 in \u00d6sterreich Betreiber eines wesentlichen Dienstes im Sinne des NIS-Gesetzes (Netz- und Informationssystemsicherheitsgesetz). Seitdem ist A1 der Meldepflicht von Sicherheitsvorf\u00e4llen an die NIS-Beh\u00f6rde sowie der Erf\u00fcllung von Sicherheitsvorkehrungen und deren Regelungen des Telekom-Sektors unterworfen. 2023 hat A1 in \u00d6sterreich den vollst\u00e4ndigen Nachweis der Umsetzung dieser Sicherheitsanforderungen gegen\u00fcber der NIS Beh\u00f6rde erbracht und somit die Sicherheitspr\u00fcfung erfolgreich abgeschlossen.

Gem\u00e4\u00df dem NIS m\u00fcssen NIS-verpflichtete Unternehmen ihre Lieferanten einer Risikopr\u00fcfung unterziehen. A1 nutzt zur Lieferantenpr\u00fcfung die standardisierte Vorgehensweise des Cyber-Risk-Ratings von Cyber Trust Austria. Da A1 in \u00d6sterreich auch Lieferant von anderen NIS-verpflichteten Unternehmen ist, hat sich das Unternehmen selbst verpflichtet, die Qualit\u00e4tskriterien von Cyber Trust Austria einzuhalten. Dies wird durch das erworbene Label \u201eCyber Trust Austrian Gold Label\u201c bekr\u00e4ftigt. Demnach k\u00f6nnen NIS-verpflichtete Kund:innen auf A1 als gepr\u00fcften NIS-Lieferanten vertrauen.

Um die Cybersicherheit stetig zu verbessern, kooperieren die Netzbetreiber der A1 Group zudem eng mit den jeweiligen Beh\u00f6rden. Sie teilen relevante Sicherheitsinformationen \u00fcber das A1-CERT (Computer Emergency Response Team), das auch Mitglied des nationalen CERT-Verbundes ATC (Austrian Trust Circle) ist. Das Sicherheits-Know-how wird innerhalb der A1 Group sowie bei Fachtagungen im In- und Ausland ausgetauscht. Im Jahr 2023 wurde A1-CERT Mitglied im weltweiten Dachverband FIRST (Forum of Incident Response and Security Teams), wodurch die Professionalit\u00e4t und der hohe Reifegrad des A1-CERT best\u00e4tigt wurde.<\/span>

Damit Dienste wie Cloud-Services oder neue Arbeitsmodelle (Home- bzw. Mobile-Office, agile Teams, Remote Operation & Support etc.) weiterhin zuverl\u00e4ssig und sicher entwickelt werden und in Betrieb gehen k\u00f6nnen, erfolgt eine gruppenweite Harmonisierung der Sicherheitsvorgaben in Form von hochmodernen Standards und Richtlinien f\u00fcr die Informationssicherheit. Ein besonderer Fokus wird dabei auf die Risikopr\u00e4vention im Bereich kritischer und wichtiger Netzelemente gelegt. Die A1 Group orientiert sich an den internationalen IT-Standards f\u00fcr Sicherheitstechniken (ISO 27001).\u00a0

In der A1 Group wurde die Funktion eines Chief Information Security Officer (CISO) geschaffen, der die Security-Richtlinien und -Techniken innerhalb der A1 Group abstimmt und koordiniert.<\/p>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t

\n\tInformation Security Organisation<\/strong><\/h2>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t
\n\n\t\t\t\n\t\t\t\t\t\t\n\t\t<\/picture>\n\t\n\t<\/div>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t

\n\tSicherheitsinitiativen<\/strong><\/h2>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t

\n\tEin besonderes Augenmerk wird auf die F\u00f6rderung von Nachwuchs im Bereich Cybersicherheit gelegt. Allj\u00e4hrlich erhalten Berufspraktikant:innen die Chance, die Herausforderungen eines Betriebes der kritischen Infrastruktur in der Praxis zu erleben. Dar\u00fcber hinaus hat A1 in \u00d6sterreich im Jahr 2024 wieder die \u201eAustrian Cyber Security Challenge\u201c (\u00d6sterreichs gr\u00f6\u00dfter Hacker-Wettbewerb) gesponsert. Diese Wettbewerbe haben das Ziel, junge Cybertalente zu f\u00f6rdern und sie zu einer Karriere im Bereich Datenschutz zu ermutigen.<\/p>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t\n\t\n\t\tProaktive Bek\u00e4mpfung zunehmender Internetkriminalit\u00e4t: DDoS-Attacken (Distributed Denial of Service)\t\t
\n\t\t\t<\/g><\/defs><\/svg>\t\t<\/div>\n\t<\/button>\n\t\n\t\t
\n\t\t\t\n
\n\n\t\n\t\t\t

\n\t2022 verzeichnete die A1 Group einen R\u00fcckgang von sogenannten DDoS-Attacken. Diese zielen darauf ab, durch sch\u00e4dlichen Netzwerkverkehr Server zu \u00fcberlasten. Die automatische DDoS-Abwehr von A1 f\u00e4ngt nahezu alle derartigen Angriffe ab. In s\u00e4mtlichen M\u00e4rkten, in denen A1 pr\u00e4sent ist, bieten die lokalen Gesellschaften ihren Kund:innen automatischen DDoS-Schutz an.<\/p>\t<\/div>\n\n\t\t<\/div>\n\t<\/section>\n<\/div>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t\n\t\n\t\tRansomware\t\t
\n\t\t\t<\/g><\/defs><\/svg>\t\t<\/div>\n\t<\/button>\n\t\n\t\t
\n\t\t\t\n
\n\n\t\n\t\t\t

\n\tEs ist allgemein bekannt, dass Malware \u2013 auch als Viren bezeichnet \u2013 Computer befallen und darauf Schaden anrichten kann. A1 bietet Gesch\u00e4ftskund:innen professionelle IKT-Dienste, die die Auswirkungen von Ransomware-Attacken auf deren Gesch\u00e4ft effektiv eind\u00e4mmen. Sichere Konfigurationen und Verfahren innerhalb der IKT-Infrastruktur k\u00f6nnen die Wahrscheinlichkeit f\u00fcr solche Angriffe verringern. Mit einem konsistent umgesetzten Backup-Dienst und Notfallplan wird daf\u00fcr gesorgt, dass Kund:innen sich so schnell wie m\u00f6glich von einer Ransomware-Attacke erholen k\u00f6nnen.<\/p>\t<\/div>\n\n\t\t<\/div>\n\t<\/section>\n<\/div>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t\n\t\n\t\tFluBot\t\t
\n\t\t\t<\/g><\/defs><\/svg>\t\t<\/div>\n\t<\/button>\n\t\n\t\t
\n\t\t\t\n
\n\n\t\n\t\t\t

\n\tDie Malware \u201eFluBot\u201c bef\u00e4llt Mobiltelefone, um personenbezogene Daten ihrer Opfer abzugreifen. A1 bietet Mobilfunkkund:innen eine Sicherheitsl\u00f6sung, um sie vor dem Zugriff auf bekannte b\u00f6sartige Websites zu sch\u00fctzen. Kund:innen werden so davor bewahrt, versehentlich den FluBot-Code aus dem Internet herunterzuladen. Europol konnte das FluBot-Netzwerk im Mai 2022 zerschlagen.<\/p>\t<\/div>\n\n\t\t<\/div>\n\t<\/section>\n<\/div>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t

\n\tMitarbeitersensibilisierung und -schulung<\/strong><\/strong><\/h2>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t

\n\tZur Sensibilisierung und Schulung aller A1 Mitarbeiter:innen zum Thema Informationssicherheit gibt es unternehmensweite E-Learnings sowie vertiefende Schulungen f\u00fcr die einzelnen Fachbereiche und regelm\u00e4\u00dfige Beitr\u00e4ge in einem internen sozialen Interaktionstool.<\/p>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t

\n\tResponsible Disclosure<\/strong><\/h2>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t

\n\tDie Sicherheit unserer Systeme und Produkte ist uns ein gro\u00dfes Anliegen und hat h\u00f6chste Priorit\u00e4t. Trotz aller Bem\u00fchungen, die wir in unsere Technologien investieren, kann es trotzdem zu Schwachstellen kommen. Sollten Sie Schwachstellen entdecken, w\u00fcrden wir uns \u00fcber eine Benachrichtigung freuen.
\u00a0
Bitte beachten Sie folgende Rahmenbedingungen:<\/strong>

1. Sie k\u00f6nnen eine identifizierte Schwachstelle f\u00fcr Demonstrationszwecke ausnutzen. Handeln Sie verantwortungsbewusst und vermeiden Sie Serviceausf\u00e4lle (DoS), sowie die Vernichtung oder die Ver\u00e4nderung von Daten. Ziel ist die bestm\u00f6gliche Darstellung der Angriffsvektoren, nicht das Zuf\u00fchren von Sch\u00e4den.
2. Teilen Sie erhobene Informationen nicht mit Dritten.
3. Folgende Bereiche sind nicht Teil des Responsible Disclosure Prozesses:
– physische Sicherheit
– Social Engineering
– Distributed Denial of Service (DDoS) Angriffe
– Spam & Phishing
– Ausnutzung von Schwachstellen auf dedizierten Kundensystemen
4. Bitte stellen Sie gen\u00fcgend Informationen zur Verf\u00fcgung, damit die Nachvollziehbarkeit der Schwachstelle m\u00f6glich ist. Eine kurze Beschreibung der Schwachstelle in Zusammenhang mit der URL\/IP des betroffenen Systems ist im Normalfall ausreichend.

Was wir tun:<\/strong>

1. Wir leiten keine rechtlichen Schritte aufgrund der Meldung der Schwachstelle gegen Sie ein. Voraussetzung daf\u00fcr ist die Einhaltung der Rahmenbedingungen.
2. Wir geben Ihre Daten nicht ohne Ihrer Zustimmung an Dritte weiter und halten die Korrespondenz vertraulich.
3. Wir halten Sie \u00fcber unser Vorgehen am laufenden.

Bei der Erstellung dieses Textes wurden Inhalte von Floor Terra verwendet (responsibledisclosure.nl<\/a>).
\u00a0
Kontaktdaten:<\/strong>

E-Mail:\u00a0responsible.disclosure(at)a1.group<\/a>
PGP Key ID:\u00a0C451 95B3 EB90 8ADB CDD2 982C 8F52 2AE8 1AE8 85B2

Hinweis:
Bitte benutzen Sie die angegebene E-Mail Adresse nur zur Meldung von Schwachstellen.<\/p>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t

\n\tZertifikate<\/strong><\/strong><\/strong><\/h2>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t
\n\t\n\t