{"id":7103,"date":"2023-07-31T09:11:21","date_gmt":"2023-07-31T07:11:21","guid":{"rendered":"https:\/\/a1.group\/?page_id=7103"},"modified":"2023-12-11T18:34:57","modified_gmt":"2023-12-11T17:34:57","slug":"information-security","status":"publish","type":"page","link":"https:\/\/a1.group\/de\/security\/information-security\/","title":{"rendered":"Information Security"},"content":{"rendered":"\n
\n\t
\n\n\t\t\t\n\t\t<\/div>\n\t\n\t<\/div><\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t
<\/a>Home<\/a><\/span><\/div>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t

\n\tInformationssicherheit<\/strong><\/strong><\/strong><\/h2>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t

\n\tOb Mobilfunk, Festnetz oder Data Center: Die\u00a0 A1 Group ist in allen ihren Kernm\u00e4rkten ein Betreiber systemkritischer Infrastruktur. Die Unternehmensgruppe ist sich der damit verbundenen, besonderen Verantwortung bewusst. Deshalb engagiert sie sich \u00fcber das gesetzlich erforderliche Ausma\u00df hinaus in Initiativen, um die Sicherheit stetig zu erh\u00f6hen. Zur kontinuierlichen Verbesserung der Cybersicherheit kooperieren die Netzbetreiber der A1 Group zudem mit den jeweiligen Beh\u00f6rden. Relevante Sicherheitsinformationen werden \u00fcber das A1 CERT (Computer Emergency Response Team), das auch Mitglied des nationalen CERT-Verbundes ATC (Austrian Trust Circle) ist, geteilt. Sicherheits-Know-how wird innerhalb der A1 Group sowie bei Fachtagungen im In- und Ausland ausgetauscht. Der Security-Bereich von A1 \u00d6sterreich \u00fcbernimmt seit 2021 auch die Security Governance der gesamten A1 Group.

Damit Dienste wie Cloud-Services oder neue Arbeitsmodelle (Home- bzw. Mobile-Office, agile Teams, Remote Operation & Support etc.) weiterhin zuverl\u00e4ssig und sicher entwickelt bzw. betrieben werden k\u00f6nnen, erfolgt eine gruppenweite Harmonisierung der Sicherheitsvorgaben in Form von hochmodernen Standards und Richtlinien f\u00fcr die Informationssicherheit. Ein besonderer Fokus wird dabei auf die Risikopr\u00e4vention im Bereich kritischer und wichtiger Netzelemente gelegt. Die A1 Group orientiert sich an den internationalen IT-Standards f\u00fcr Sicherheitstechniken (ISO 27001).\u00a0 Ein essenzielles Element zum Management von Cyber-Risiken sind kontinuierliche \u00dcberpr\u00fcfungen und Software-Updates der zu sch\u00fctzenden Infrastruktur sowie Schulungen und Trainings der Mitarbeiter:innen. Das \u201eA1 Telekom Austria Security Committee\u201c setzt sich aus hoch qualifizierten Security-Experten aller L\u00e4nder der A1 Group zusammen und tauscht regelm\u00e4\u00dfig Informationen zu aktuellen lokalen, regionalen und globalen Cyber-Risiken und Cyber-Attacken aus. Dar\u00fcber hinaus informiert und koordiniert diese Arbeitsgruppe im akuten Bedarfsfall auch landes\u00fcbergreifende Schutzma\u00dfnahmen.

In der A1 Group wurde die Position des Chief Information Security Officer (CISO) etabliert, um ein breites Spektrum an Sicherheitsinitiativen zu leiten und zu koordinieren, von der Erstellung von Sicherheitsrichtlinien bis hin zur Bek\u00e4mpfung von Cybervorf\u00e4llen.<\/p>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t

\n\tInformation Security Organisation<\/strong><\/h2>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t
\n\n\t\t\t\n\t\t\t\t\t\t\n\t\t<\/picture>\n\t\n\t<\/div>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t

\n\tSicherheitsinitiativen<\/strong><\/h2>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t

\n\tDie A1 Group beteiligt sich an unterschiedlichsten Initiativen, um die Sicherheit (einschlie\u00dflich Cybersicherheit) und Verf\u00fcgbarkeit kontinuierlich zu verbessern. 2022 erfolgte die Durchf\u00fchrung der \u00dcbung \u201eSchutzschild 2022\u201c in Salzburg sowie die Teilnahme an der europaweiten \u00dcbung \u201eCyber Europe 2022\u201c. 2023 erzielte das A1 Security Team beim internationalen \u201eSplunk Boss of the SOC\u201c-Event den 2. Platz von 300 Teilnehmern.<\/p>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t\n\t\n\t\tProaktive Bek\u00e4mpfung zunehmender Internetkriminalit\u00e4t: DDoS-Attacken (Distributed Denial of Service)\t\t
\n\t\t\t<\/g><\/defs><\/svg>\t\t<\/div>\n\t<\/button>\n\t\n\t\t
\n\t\t\t\n
\n\n\t\n\t\t\t

\n\t2022 verzeichnete die A1 Group einen R\u00fcckgang von sogenannten DDoS-Attacken. Diese zielen darauf ab, durch sch\u00e4dlichen Netzwerkverkehr Server zu \u00fcberlasten. Die automatische DDoS-Abwehr von A1 f\u00e4ngt nahezu alle derartigen Angriffe ab. In s\u00e4mtlichen M\u00e4rkten, in denen A1 pr\u00e4sent ist, bieten die lokalen Gesellschaften ihren Kund:innen automatischen DDoS-Schutz an.<\/p>\t<\/div>\n\n\t\t<\/div>\n\t<\/section>\n<\/div>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t\n\t\n\t\tRansomware\t\t
\n\t\t\t<\/g><\/defs><\/svg>\t\t<\/div>\n\t<\/button>\n\t\n\t\t
\n\t\t\t\n
\n\n\t\n\t\t\t

\n\tEs ist allgemein bekannt, dass Malware \u2013 auch als Viren bezeichnet \u2013 Computer befallen und darauf Schaden anrichten kann. A1 bietet Gesch\u00e4ftskund:innen professionelle IKT-Dienste, die die Auswirkungen von Ransomware-Attacken auf deren Gesch\u00e4ft effektiv eind\u00e4mmen. Sichere Konfigurationen und Verfahren innerhalb der IKT-Infrastruktur k\u00f6nnen die Wahrscheinlichkeit f\u00fcr solche Angriffe verringern. Mit einem konsistent umgesetzten Backup-Dienst und Notfallplan wird daf\u00fcr gesorgt, dass Kund:innen sich so schnell wie m\u00f6glich von einer Ransomware-Attacke erholen k\u00f6nnen.<\/p>\t<\/div>\n\n\t\t<\/div>\n\t<\/section>\n<\/div>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t\n\t\n\t\tFluBot\t\t
\n\t\t\t<\/g><\/defs><\/svg>\t\t<\/div>\n\t<\/button>\n\t\n\t\t
\n\t\t\t\n
\n\n\t\n\t\t\t

\n\tDie Malware \u201eFluBot\u201c bef\u00e4llt Mobiltelefone, um personenbezogene Daten ihrer Opfer abzugreifen. A1 bietet Mobilfunkkund:innen eine Sicherheitsl\u00f6sung, um sie vor dem Zugriff auf bekannte b\u00f6sartige Websites zu sch\u00fctzen. Kund:innen werden so davor bewahrt, versehentlich den FluBot-Code aus dem Internet herunterzuladen. Europol konnte das FluBot-Netzwerk im Mai 2022 zerschlagen.<\/p>\t<\/div>\n\n\t\t<\/div>\n\t<\/section>\n<\/div>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t

\n\tMitarbeitersensibilisierung und -schulung<\/strong><\/strong><\/h2>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t

\n\tZur Sensibilisierung und Schulung aller A1 Mitarbeiter:innen zum Thema Informationssicherheit gibt es unternehmensweite E-Learnings sowie vertiefende Schulungen f\u00fcr die einzelnen Fachbereiche und regelm\u00e4\u00dfige Beitr\u00e4ge in einem internen sozialen Interaktionstool.<\/p>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t

\n\tResponsible Disclosure<\/strong><\/h2>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t

\n\tDie Sicherheit unserer Systeme und Produkte ist uns ein gro\u00dfes Anliegen und hat h\u00f6chste Priorit\u00e4t. Trotz aller Bem\u00fchungen, die wir in unsere Technologien investieren, kann es trotzdem zu Schwachstellen kommen. Sollten Sie Schwachstellen entdecken, w\u00fcrden wir uns \u00fcber eine Benachrichtigung freuen.
\u00a0
Bitte beachten Sie folgende Rahmenbedingungen:<\/strong>

1. Sie k\u00f6nnen eine identifizierte Schwachstelle f\u00fcr Demonstrationszwecke ausnutzen. Handeln Sie verantwortungsbewusst und vermeiden Sie Serviceausf\u00e4lle (DoS), sowie die Vernichtung oder die Ver\u00e4nderung von Daten. Ziel ist die bestm\u00f6gliche Darstellung der Angriffsvektoren, nicht das Zuf\u00fchren von Sch\u00e4den.
2. Teilen Sie erhobene Informationen nicht mit Dritten.
3. Folgende Bereiche sind nicht Teil des Responsible Disclosure Prozesses:
– physische Sicherheit
– Social Engineering
– Distributed Denial of Service (DDoS) Angriffe
– Spam & Phishing
– Ausnutzung von Schwachstellen auf dedizierten Kundensystemen
4. Bitte stellen Sie gen\u00fcgend Informationen zur Verf\u00fcgung, damit die Nachvollziehbarkeit der Schwachstelle m\u00f6glich ist. Eine kurze Beschreibung der Schwachstelle in Zusammenhang mit der URL\/IP des betroffenen Systems ist im Normalfall ausreichend.

Was wir tun:<\/strong>

1. Wir leiten keine rechtlichen Schritte aufgrund der Meldung der Schwachstelle gegen Sie ein. Voraussetzung daf\u00fcr ist die Einhaltung der Rahmenbedingungen.
2. Wir geben Ihre Daten nicht ohne Ihrer Zustimmung an Dritte weiter und halten die Korrespondenz vertraulich.
3. Wir halten Sie \u00fcber unser Vorgehen am laufenden.

Bei der Erstellung dieses Textes wurden Inhalte von Floor Terra verwendet (responsibledisclosure.nl<\/a>).
\u00a0
Kontaktdaten:<\/strong>

E-Mail:\u00a0responsible.disclosure(at)a1.group<\/a>
PGP Key ID:\u00a0C451 95B3 EB90 8ADB CDD2 982C 8F52 2AE8 1AE8 85B2

Hinweis:
Bitte benutzen Sie die angegebene E-Mail Adresse nur zur Meldung von Schwachstellen.<\/p>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t

\n\t\t\t
\n\t\t\t\t

\n\tZertifikate<\/strong><\/strong><\/strong><\/h2>\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n\n\n\n\n\t\n\t\t\t
\n\t\t\t
\n\t\t\t\t
\n\t\n\t