Du kannst vertrauen.Informationssicherheit von A1

Ihre Sicherheit - ist unser Auftrag

Grundsätze der Informationssicherheit.

Die Digitalisierung birgt neben ihrem enormenPotential vor allem auch besondere Risiken mitdenen entsprechend umgegangen werden muss.

Aus diesem Grund haben wir bei A1 dieOrganisation so aufgestellt, dass die drei Säulen

– Strategie

– Prävention

– Reaktion

optimal wahrgenommen werden können und wirsomit vor den aktuellen und zukünftigen Risikengewappnet sind.

Unsere Maßnahmen dienen dabei dem Schutz vonDaten und Informationen, um

– die Vertraulichkeit (Confidentiality)

– die Integrität (Integrity)

– und die Verfügbarkeit (Availability)

aller bei A1 verwalteten, verarbeiteten undbearbeiteten Daten und Informationen zugewährleisten, unabhängig von der Daten- undInformationsart, um die es sich handelt, und derForm (Papier oder elektronisch) in der jene Datenund Informationen vorliegen.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Unsere Verteidigungslinien.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Strategische Security.

Die strategische Security beschäftigt sich mit dermittel- und langfristigen Ausrichtung der Securityim Unternehmen, mit dem Alignment (Ausrichtung)der Security Strategie an dieUnternehmensstrategie unter Berücksichtigungaktueller Trends des Marktes und der aktuellen undkünftigen Bedrohungslage. Die strategischeSecurity formuliert Leitsätze und Ziele für daspräventive und reaktive Security Management.

Die Information Security ist ein integrierterBestandteil der Aufbau- und Ablauforganisation undwird in allen Systemebenen wahrgenommen. Wirunterscheiden präventive und reaktiveSchutzmaßnahmen, die auf technischen,organisatorischen und personenbezogenenHandlungsfeldern angewendet werden, umInformationssicherheit normativ, strategisch undoperativ in der A1 zu verankern.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Präventive Security.

Die präventive Security definiert die aktuelleBedrohungslage, umfasst das Risk und ChancenManagement, das Configuration und Security-AssetManagement, das Ausarbeiten von Prozessen unddie Einführung neuer Tools.

Im Transition Prozess wird besonderes Augenmerkauf die sichere Inbetriebnahme neuer Lösungenund Komponenten gelegt. Die Wirksamkeit wird imRahmen von Audits laufend überprüft und liefertInput für das kontinuierlicheVerbesserungsmanagement.

Risikomanagement AuditmanagementSublieferanten-management

User ManagementPersonalprozess

Patch-Prozess Business Continuity

Logging & Monitoring

VulnerabilityManagement Prozess

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Reaktive Security.

Die reaktiven Security Teams verwalten SecurityEvents, Incidents, Major Incidents und Problems.Sie überwachen Security Schwellwerte undkonfigurieren Security Tools. Störungen, Vorfälleund Attacken werden erfasst, diagnostiziert undmöglichst automatisiert mitigiert.

Zu diesen gehören unter anderem:

• das Computer Emergency Response Team (CERT)

• das Security Information and Event Management (SIEM)

• der Security Service Desk

• das Security Operation Center (SOC)

• und das Abuse Team

Diese werden näher unter „Rollen der Informationssicherheit“ beschrieben.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Sicherheitsmanagement.

Die Sicherheit der Infrastruktur und der Daten hatfür uns oberste Priorität. Wir unternehmenumfangreiche und vielfältige Anstrengungen, umdie Sicherheit der Daten unserer Kunden und vonA1 zu gewährleisten. Aus diesem Grundberücksichtigt das Sicherheitsmanagement alle inder Norm ISO 27001 gefordertenSicherheitsprozesse und Kontrollen. Seit dem Jahr2005 ist dieses Sicherheitsmanagement nach derNorm ISO 27001 zertifiziert. Zudem nutzen wir fürdie Gestaltung der Sicherheitsmaßnahmen undKontrollen auch andere Standards und Frameworkswie beispielsweise CobIT 5.0, ISAE3402 oder SANSTop 20. Für die Integrität der Finanzprozesse hatA1 ein internes Kontrollsystem aufgebaut, welchesden strengen amerikanischen Börsengesetzen(bekannt als Sarbanes & Oxley Act - SOX)entspricht.

Das Sicherheitsmanagement bei A1 besteht ausfolgenden Komponenten:

1. Sicherheitspolicies / Sicherheitsschulungen /Verschlüsselung

2. Rollen und Verantwortlichkeiten

3. Sicherheitsprozesse

4. Umsetzung

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Sicherheitsmanagement.

Sicherheitspolicies.Wir haben ein Gesamtkonzept anSicherheitsrichtlinien im Unternehmenetabliert, das unterschiedliche Themen derInformationssicherheit adressiert.Kerndokument ist die A1 Information SecurityPolicy sowie weitere Richtlinien, diegrundlegende Themen der technischen undorganisatorischen Informationssicherheit wiezum Beispiel Clientsicherheit,Incidentmanagement, Netzwerksicherheit undvieles mehr ansprechen. Neben internenSicherheitsrichtlinien, regeln wir überVorgaben auch die Sicherheitsanforderungenan unsere Lieferanten und Subauftragnehmer.

Sicherheitsschulungen.Uns ist das Sicherheitsbewusstsein des A1Teams ein wesentliches Anliegen. Aus diesemGrund ist ein breites Angebot anInformationssicherheits- undDatenschutzschulungen etabliert. Angebotenund durchgeführt werden fachspezifischeKlassenraumtrainings, spezielleSicherheitsschulungen für das Managementund auch unternehmensweite E-LearningProgramme. Ergänzend wird in IntranetArtikeln oder E-Mail Aussendungen aufaktuelle Sicherheitsthemen Bezuggenommen.Die gemeinsame Zusammenarbeit allerProzesse über die Normen hinweg (ISO20000, 9000, 14000, 50000) bietet dem A1Team ein Big Picture und fördert dasVerständnis für qualitatives Arbeiten nachCompliance-Vorgaben und Gesetzen.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Sicherheitsmanagement.

Verantwortlichkeiten.Die Verantwortlichkeiten derInformationssicherheit sind klar ausformuliertund in den Jobprofilen der Mitarbeiterinnen undMitarbeiter hinterlegt.Um die bereichsübergreifende Koordination derSicherheitsaufgaben sicherzustellen sind bei A1mehrere Gremien eingerichtet, u.a. zumBeispiel das Security Steering Board mitVertretern aus allen wertschöpfendenProzessen, für gemeinsame Entscheidungen,welche die Informationssicherheit betreffen.

Verschlüsselung.Um die Vertraulichkeit & Integrität der Datensicherstellen zu können, werdenKryptographische, „State of the Art“, Verfahreneingesetzt.Dies trifft sowohl bei der Übertragung, zumBeispiel von Mails, als auch bei der Speicherungvon Daten zu. So sind beispielsweise alleMitarbeiter dazu verpflichtet vertraulicheInformationen auf Dienstgeräten und externenDatenträger verschlüsselt zu speichern.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Rollen in der Informationssicherheit.

CERT (Computer Emergency Response Team).Die Hauptaufgaben des A1 CERT sind schnelleAngriffserkennung und koordinierte Angriffsabwehr.Die Aufgaben umfassen folgende Aktivitäten:

1. Bedrohungen analysieren und angemessendarauf reagieren

2. Angriffe erkennen und abwehren3. Sicherheitsvorfälle bearbeiten und

nachvollziehbar dokumentieren4. Kommunikation mit externen Stellen (z.B.:

Kunden, Cert.at, Behörden, ISPs)5. Incident Management und Problem Management

Das A1-CERT besteht aus einem Team vontechnischen Spezialisten, die sich sowohl proaktiv,als auch reaktiv um Sicherheitsvorfälle kümmernund aus einem Dispatcher, mehreren Analysten undSecurity Architekten besteht.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Rollen in der Informationssicherheit.

Threat Intelligence.Eine wichtige Voraussetzung für ein gutfunktionierendes CERT ist das umfangreiche Wissenüber die aktuelle Bedrohungslage. Dieses erreichtman durch ständiges Studium einschlägigerInformationskanäle und Vernetzung mit anderenCERTs. Das A1-CERT tauscht Informationen sowohlmit nationalen als auch mit internationalen CERTOrganisationen aus und ist Mitglied bei folgendenCERT Organisationen:

1. CERT Verbund Österreich2. CERT Austrian Trust Circle3. ETIS CERT-SOC Telco Network4. KSÖ Forum

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Rollen in der Informationssicherheit.

Security Information and Event Management (SIEM).Der Security Analyst beschäftigt sich mit dem SIEMTool zur Korrelation von Ereignissen um Angriffemöglichst frühzeitig zu erkennen, aus vergangenenVorfällen zu lernen, das System weiter zuentwickeln und auf aktuelle und künftigeBedrohungen anzupassen.

Security Service Desk.Der Security Service Desk ist Teil des ServiceOperation Centers und rund um die Uhr für das A1Team erreichbar.Es ist die erste Anlaufstelle für die Entgegennahmevon Sicherheitsvorfällen in der A1. Hier erfolgt dieErstdiagnose, Klassifizierung, Priorisierung,Ticketanlage und Zuweisung an die 2nd LevelSupport Teams in der Data Privacy Unit, denTechnikteams oder dem CERT. Major Incidentswerden sofort an geeignete Management Kanäleweitergegeben und mit hoher Priorität behandelt.Im Fall des Falles wird auch das Krisenteaminformiert.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Rollen in der Informationssicherheit.

Security Operation Center (SOC).Wir betreiben ein Security Operation Center, eineKombination aus Experten, Werkzeugen undProzessen mit dem Ziel, IT Sicherheits-Risiken• zu verhindern• zu entdecken• zu analysieren,• zu bewertenderen Behebung zu beschreiben und zukontrollieren, sowie im Bedarfsfall dieBeweissicherung einzuleiten.

In der Betriebsstelle Wien werden die InformationSecurity Alerts, Ergebnisse von Vulnerability Scans,Daten zu Netzwerkanomalien und mehrgesammelt, bewertet, priorisiert, korreliert,gefiltert und der Kunde über möglicheSchwachstellen und erkannte Angriffe informiert.

Der Kunde hat über ein Security Cockpit jederzeiteinen Überblick über seine Sicherheitslage undkann aufgrund der Priorisierung sofort erkennen,wo am dringendsten Handlungsbedarf betsteht.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Rollen in der Informationssicherheit.

Security Operation Center (SOC).Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Prozesse der präventiven Sicherheit I.

Für die Abläufe in der Information Security wieRisiko- und Auditmanagement, User Management,Vulnerability Management und vieles mehr habenwir Prozesse definiert und auch operativ umgesetzt.Sie werden im Rahmen unseres kontinuierlichenVerbesserungsprozesses (KVP) laufend überprüftund bei Bedarf optimiert.

Risikomanagement.Bei der Speicherung, Übermittlung undVerarbeitung von Daten und Informationenkönnen Risiken entstehen die systematischerkannt, analysiert und bewertet werdenmüssen. Auf dieser Basis wird dann eineEntscheidung über die wirtschaftlichsinnvollen Maßnahmen zur Eliminierung oderReduzierung dieser Risiken getroffen. Diesesystematische Bearbeitung der Risiken wirdbei uns im Rahmen eines festgelegtenRisikomanagementprozesses regelmäßigdurchgeführt.

Auditmanagement.Die Einhaltung der Daten- undInformationssicherheitsvorgaben wirdregelmäßig überprüft. Diese Überprüfunggeschieht in der Form technischer undorganisatorischer Audits. Diese Auditswerden sowohl von internen als auch vonexternen Experten durchgeführt. Im Vorfeldwird ein jährlicher Auditplan mit den zuüberprüfenden Themengebieten festgelegt.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Prozesse der präventiven Sicherheit II.

Personalprozess.New Manager Trainings, WelcomeVeranstaltungen und zielgerichteteInformationen per Mail sowie im Self ServicePortal helfen dabei, Newcomers abzuholenund kontrolliert in die Prozesslandschafteinzuführen. Verpflichtende eLearnings zuCompliance, GDPR und Informationssicherheithelfen dabei, das Ausbildungsniveau aufeinem Minimum Standard zu halten undimmer wieder aufzufrischen. Zusätzlich mussjeder Mitarbeiter ein „Non DisclosureAgreement“ und eine „Company Compliance“Erklärung abgeben.

Sublieferantenmanagement.Für die Gewährleistung eines konsistentenSicherheitsniveaus ist es wichtig, dass auchalle Sublieferanten den von uns festgelegtenSchutzbedarf berücksichtigen. Dazu habenwir eine eigene Richtlinie verfasst, dieBestandteil der Verträge mit unserenSublieferanten ist.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Prozesse der präventiven Sicherheit III.

Logging & Monitoring.Logging, also das Aufzeichnen vonAktivitäten und Ereignissen, helfen uns beider Angriffserkennungen und ermöglichenforensische Analysen um den Hergang vonSicherheitsvorfällen aufklären zu können.Log-Dateien werden vor Verlust, Löschung,Modifizierung und unberechtigtem Zugriffgeschützt und entsprechend derUnternehmensrichtlinien über einenbestimmten Zeitraum aufbewahrt.

User Management.Für uns sind die Begriffe „Least Privilege“und „Need to Know“ oberstes Gebot in derRechtevergabe. Erweiterte Sicherheits- undKontrollmaßnahmen sind für privilegierte /Administrationsuser etabliert. Auch SOX hatzur Steigerung der Qualität dieses Prozessesviel beigetragen – zahlreicheKontrolldurchführungen, Stichproben undManagement Reviews schützen unsereSysteme vor nicht befugten Zugriffen.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Prozesse der präventiven Sicherheit IV.

Patch Management Prozess.Ein kurzes Schwachstellen Alter – also die Zeitvom Erkennen einer Vulnerability bis zurBehebung – wird durch unseren PatchManagement Prozess optimal unterstützt.Die Überprüfung des aktuellen Patchingstandsist eine wichtige qualitative Maßnahme umunabhängig von Systemadministratoren zuprüfen, ob alle erforderlichenSicherheitspatches rechtzeitig eingespieltwerden. Vier Changeprozesse (Standard,Nonstandard, Minor und Emergency) helfendabei, die Systeme zeitnah zu patchen undgegen Angriffe auf bekannte, identifizierteSicherheitsschwachstellen abzusichern.

Vulnerability Management Prozess.Schwachstellen sind Verwundbarkeiten vonSystemen, die von Angreifern ausgenutztwerden können. Wir prüfen neu kommendeHardware und Software im Zuge des TransitionProzesses als auch laufende Servicesmonatlich auf Schwachstellen. Dazuverwenden wir marktführendeSoftwarelösungen und führen (selbst oderextern) Penetration Tests durch.Über qualitative und sichere Kanäle treten wirgerne mit Sicherheitsforschern in dieDiskussion und gehen den Hinweisen vonHerstellern und dem A1 Team nach.Alle erkannten Schwachstellen werden dabeiim Zuge des Vulnerability ManagementProzesses bewertet und einer geeignetenBehebung unterzogen beziehungsweise imbewährten Patch Management Prozessbehoben.In unserem Reporting sind das VulnerabilityAge und die Scan Rate mitunter diewichtigsten und am häufigsten kontrolliertenKennzahlen.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Prozesse der präventiven Sicherheit V.

Business Continuity.Ein Bedrohungsszenario kann durchMenschen, aus technischen Gründen, oderauch durch Naturkatastrophen (höhereGewalt) verursacht werden. Dabei ist dieDatensicherung essentiell für dieVerfügbarkeit und notfalls auch für dieWiederherstellbarkeit verloren gegangenerDaten.Egal welches Bedrohungsszenario eintretensollte, die Verfügbarkeit der Daten undSysteme sind durch eine Reihe vonMaßnahmen z.B. durch eine georedundanteAufstellung der Systeme sichergestellt.Um eine Auslastung der Server zuverhindern, welche die Verfügbarkeitgefährden könnte, werden Load Balancereingesetzt und die Performance kritischerServices überwacht und bei Überlastalarmiert.In Bezug auf Disaster Recovery werden jenach Anwendungsfall unter anderemSystemsicherungen, Komplett- oderVollsicherungen unddifferenzielle/inkrementelle Sicherungendurchgeführt damit diese im Falle einernotwendigen Wiederherstellung zurVerfügung stehen. DieDatensicherungsintervalle sowie dieWiederherstellbarkeit der Daten sind inunseren Security Guidelines definiert undwerden in regelmäßigen Abständenüberprüft.Wir sind in Kontakt mit allen anderenkritischen Infrastrukturbetreibern undBehörden, um im Krisenfall rasch für dieWiederherstellung der erforderlichen Dienstesorgen zu können.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Prozesse der reaktiven Sicherheit.

Information Security Incident.Bei A1 gilt jeder Vorfall oder jede angenommeneHandlung, die in ungesetzlicher, nicht autorisierteroder unannehmbarer Art die Vertraulichkeit,Integrität oder Verfügbarkeit der Systeme,Applikationen oder Informationen bei A1 bedroht,stört und gegen dieInformationssicherheitsvorgaben in der TAG(Telekom Austria Group) und bei A1 verstößt, alsInformationssicherheitsvorfall („Incident“). Werdendie Zuordenbarkeit und Nichtabstreitbarkeit vonAktionen oder Handlungen in Systemen bewusstverhindert, wird ein solcher Vorfall ebenfalls alsIncident bewertet. Die Incidents können über dieKanäle Security Service Desk, A1 CERT undSecurity Management gemeldet werden. DieNachvollziehbarkeit und Statusüberprüfung einesIncidents ist anhand eines Ticketsystems jeder Zeitmöglich.

Management von großen Sicherheitsvorfällen.Ist ein vitales Service, Teile der kritischenInfrastruktur oder Kundendaten von einemSicherheitsvorfall betroffen oder handelt es sich umEreignisse mit hohem medialem Impact dannsprechen wir von einem großen Sicherheitsvorfall.Das Managen von diesen unterliegt zusätzlichenAnforderungen um diese schnellstmöglich behebenund den Schaden eingrenzen zu können.

Eventmanagement.Security Events sind sicherheitsrelevanteEreignisse, die mit Hilfe von Tools festgestelltwerden und meistens mithilfe einfacherAutomatismen bereinigt werden können(Automitigierung). Kann ein Event nichtautomatisiert behoben werden oder reicht es nichtaus, dieses in ein Logfile wegzuschreiben, wird esim Incident Management weiter behandelt.

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Umsetzung.

Physische Sicherheit.Der berechtigte Zugang in A1 Objekte wird sowohlfür interne, als auch für externe Personen durchfestgelegte Prozesse geregelt. Des weiteren wirddas Verhalten im Umgang mit Gebäudesicherheitsensibilisiert. Videosysteme, Zutrittssysteme undAlarmsysteme bilden die Säulen der physischenSicherheit, die durch den Einsatz vonSicherheitspersonal ergänzt werden. Besondersschutzbedürfte Bereiche wie zum Beispiel Datacenters (Rechenzentren) werden häufig auditiertund Stichproben unterzogen.

Systemsicherheit.Um zu verhindern, dass Schadsoftware auf denSystemen unserer Kunden und der A1 gelangenund die Sicherheit der Netze und Computersystemebedrohen, haben wir zahlreiche Schutzmaßnahmenan der IT Infrastruktur umgesetzt:

• verpflichtende Installation einesVirenschutzprogrammes,

• eines Data Loss Prevention (DLP) Programmes• Unterteilung des Data Centers in Zonen, die das

Ausbreiten von Störungen verhindern• Firewalls• Proxys• Intrusion Prevention Systeme• Sicherheitsvorkehrungen gegen DDOS Attacken• SIEM• Multitier Architektur• Trennung von Entwicklung und Produktion• Erfassung aller sicherheitsrelevanten Assets in

einem Inventory (CMDB)

Weitere Informationen unter: https://cdn11.a1.net/m/resources/media/pdf/LB-A1-IT-Security.pdf

Grundsätze der Informationssicherheit

Verteidigungslinien

Strategische Security

Präventive Security

Reaktive Security

Sicherheitsmanagement

• Sicherheitspolicies

• Sicherheitsschulungen

• Verschlüsselung

• Verantwortlichkeiten

• Rollen in der Informationssicherheit

• CERT

• Threat Intelligence

• SIEM

• Security Service Desk

• SOC

• Prozesse der präventiven Sicherheit

• Risikomanagement

• Auditmanagement

• Sublieferantenmanagement

• Personalprozess

• User Management

• Logging & Monitoring

• Vulnerability Management Prozess

• Patch Management Prozess

• Business Continuity

• Prozesse der reaktiven Sicherheit

• Security Incident

• Management von großen Sicherheitsvorfällen

• Eventmanagement

• Umsetzung

• Physische Sicherheit

• Systemsicherheit

Wir setzen eine Reihe von Maßnahmen um, damit unsere IT-Infrastrukturnicht nur vor den aktuellen sondern auch vor den zukünftigen Bedrohungengeschützt ist und wir unseren eigenen strengen Anforderungen gerechtwerden.

Informationen zum Thema Datenschutz finden Sie unter:https://www.a1.net/datenschutz

Ihre Daten sind sicher –mit A1

A1 Telekom Austria AGLassallestraße 91020 WienA1.net

Satz- und Druckfehler vorbehalten