Die Welt vernetzt sich per Smartphone: Sichere Integration ins UnternehmenChristian Bruns, Informationssicherheit
BTC Business Technology Consulting AG
Christian Bruns
• Wirtschaftsinformatik / Management Consulting (B. Sc./M. A.)
• ISO 27001/ISO 9001 Auditor
• betrieblicher Datenschutzbeauftragter(TÜV Rheinland)
• ISO 27001, Daten-schutz und Managementsysteme
• Awareness und CBT
• ISO 9001 Qualitäts-management
• Beratung, Konzeption und Audit
• BDSG-konforme Organisationen
• Ein- und Durchführung von Incidentmanagement
Vorstellung
https://www.xing.com/profiles/Christian_Bruns31
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
LagebildLagebildLagebildLagebild�Mobilit�t in �Mobilit�t in �Mobilit�t in �Mobilit�t in Unternehmen�Unternehmen�Unternehmen�Unternehmen�
Treiber der Mobilität für Energieversorger
Markt-anforderungen
Mitarbeiter
Interne Organisation
• „Mobile Lösungen“• Mobilität als
Wettbewerbsfaktor• Intelligente Stromnetze
• „BYOD“• Bereitstellung aktueller
IT-Endgeräte• „Generation Y“
• Einsparpotentiale• „Consumerization“• Verteilte Datenhaltung
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Verbreitung mobiler Endgeräte
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
MA < 10 MA < 50 MA < 250 MA > 250
31%
48%
75%
91%
Einsatz internetfähiger Mobilgeräte
•Quelle: Statistisches Bundesamt (Pressemitteilung vom 18. Dezember 2012)
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Externe Mobile Risiken
•Quelle: Kaspersky Lab - Global IT Security Risks: 2012
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Interne Mobile Risiken
•Quelle: Kaspersky Lab - Global IT Security Risks: 2012
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Status Verwaltung mobiler Endgeräte
•Dennoch…
• speichern 53% Kundendaten auf mobilen Geräten
• verursachen bei 42% mobile Sicherheitsvorfälle Kosten von jährlich über 100.000$
• verwalten nur 32% Unternehmensinformationen auf privaten Geräten
• haben nur 7% keine Probleme mit „BYOD“
•Kurios
• Antwort auf die Frage „Haben Mitarbeiter/Sie Zugriff auf Unternehmensdaten mit
mobilen Geräten?“
68%33%
0% 20% 40% 60% 80%
JaCIO
Quelle: dimension research (Juni 2013)
Quelle: ipadinschools.comBTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Sichere Integration Sichere Integration Sichere Integration Sichere Integration von Smartphonesvon Smartphonesvon Smartphonesvon Smartphones
Herausforderung „Smartphones“
• Smartphones sind auf den privaten Einsatz ausgerichtet
• Vorhandene Unternehmensprozesse nicht 1:1 übertragbar
• Smartphones ermöglichen Angreifern neue Angriffsvektoren
• Smartphones kommunizieren außerhalb des Unternehmensnetzes
• Verschiedene Betriebssysteme bieten ähnliche/gleiche Funktionen
Quelle: de.statista.com BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Übersicht „mobiler Gefahren“
Informationsabfluss
Informationsverlust
Identitätsdiebstahl
Kompromittierung des Unternehmensnetzwerkes
Schadsoftware
Compliance/Governance Verstöße
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Anforderungen an eine sichere Integration
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Kommunikationund
Schnittstellen
Appsund
Konfiguration
AwarenessPhysischer
SchutzSynchronisation
unds
Datensicherung
Bring YourOwn Device
„6 Schritte zur sicheren Integration“
SensibilisierenSynergien
nutzenEinführung
MDM
Kommunikation verschlüsseln
Lokale Daten verschlüsseln
Regelungen festlegen
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Schritt 1 – Sensibilisieren
•Ziel ist es Bewusstsein zu schaffen
•Management zentraler Faktor
•Regelmäßigkeit sichert dauerhaften Erfolg
•Maßnahmen:
• Poster und Flyer
• Videos
• Live Hacking / Präsenzvorträge
• Schulungen
• Gewinnspiele
• „Security Gimmicks“
• …
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Sensibilisieren
Schritt 2 – Synergien nutzen
•Was existiert bereits zu Notebooks / Laptops?
•Smartphones wie Notebooks einstufen
•Identifikation von Synergiepotenzialen:
• Welche Regelungen kann ich übernehmen?
• Welche Prozesse können mich unterstützen?
• Welche Spezialisten sind bereits im
Unternehmen?
• …
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Synergien nutzen
Schritt 3 – Einführung MDM
•Steuerung & Verwaltung der Geräte im Rahmen von Mobile Device Management
•Auswahl abhängig von Mobilstrategie
• Welches mobiles Betriebssystem setz ich ein?
• Welche Prozesse möchte ich mobil unterstützen?
• Wie viele Anwender erwarte ich?
• Welche Funktionen benötige ich?
• Werden private Endgeräte genutzt?
• Welches Budget steht mir zur Verfügung?
• …
Quelle: Gartner Magic Quadrant for Mobile
Device Management Software
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Einführung MDM
Schritt 4 – Kommunikation verschlüsseln
•Verschlüsselte Kommunikation wichtig, um Daten zwischen Smartphone und Unternehmen zu schützen
•Beispiel Mobile VPN
• Kommunikation über öffentliche Netze (z. B. UMTS), private WLAN-
Hotspots oder interne WLAN-Hotspots abgesichert
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Kommunikation verschlüsseln
Schritt 5 – Lokale Daten verschlüsseln
• Komplettverschlüsselung in Betriebssystemen vorhanden
• Alternativ Verschlüsselung bestimmter Dateibereiche
mittels Software
• Ohne Verschlüsselung können Daten von Fremden
ausgelesen werden
• Vorsicht bei BYOD: Ohne Trennung zwischen privaten
und geschäftlichen Daten wird bei Fernlöschung das
Smartphone i. d. R. vollständig zurückgesetzt
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Lokale Daten verschlüsseln
Schritt 6 – Regelungen festlegen
•Verbindlichkeit der Vorgaben erhöhen
•Unterschrift der Mitarbeiter bei Geräteausgabe
•BYOD: Unterschrift vor Zugang zum Unternehmensnetz
•Mögliche Inhalte:
• Erlaubte Anpassungen
• Verfahren bei Verlust oder Diebstahl
• Nicht erlaubte Nutzung
• Anforderungen an die Geräte (BYOD)
• Anforderungen an die Konfiguration (BYOD)
• Klärung der Eigentumsverhältnisse (BYOD)
• Vereinbarung eines Kontrollrechtes (BYOD)
• …
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Regelungen festlegen
Anforderungen an die sichere IntegrationCheckliste
Anforderungsbereich: Physischer Schutz
Beschreibung Priorisierung Erfüllt
Vorgaben zur Aufbewahrung
Gerätesperrung und sichere Handhabung von Kennwörtern
Verfahren und technische Lösungen zur Fernlöschung/-sperrung
Vermeidung von öffentlichen Ladestationen
Verschlüsselung der lokalen Daten
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Anforderungen an die sichere IntegrationCheckliste
Anforderungsbereich: Kommunikationsschnittstellen
Beschreibung Priorisierung Erfüllt
Verschlüsselung der Kommunikation mit dem Unternehmensnetzwerk
Vermeidung öffentlicher und ungesicherter WLANs
Sicherheitsvorgaben für mobile Hotspots
Deaktivierung nicht benötigter Schnittstellen (Bluetooth, NFC, etc.)
Protokollierung von Geräteaktivitäten
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Anforderungen an die sichere IntegrationCheckliste
Anforderungsbereich: Apps und Konfiguration
Beschreibung Priorisierung Erfüllt
Verbot der Entfernung von Nutzungsbeschränkungen
Aufbau eines internen „Appstores“
Vorgaben zum Bezug von Apps (Black-/Whitelist)
Zeitnahe Softwareaktualisierung
Unveränderbare Grundkonfiguration
Zentrale Anpassung der dezentralen Gerätekonfigurationen
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Anforderungen an die sichere IntegrationCheckliste
Anforderungsbereich: Synchronisation und Datensicherung
Beschreibung Priorisierung Erfüllt
Klassifizierung von Informationen
Trennung zwischen Geräte- und Unternehmensdaten
Deaktivierung von Synchronisationsdiensten
Sicherung von Unternehmensdaten im internen Netzwerk
Strikte Trennung zwischen E-Mailkonten
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Anforderungen an die sichere IntegrationCheckliste
Anforderungsbereich: Bring Your Own Device
Beschreibung Priorisierung Erfüllt
Trennung zwischen privaten und Unternehmensdaten
Anforderungen an die Konfiguration
Klärung der Eigentumsverhältnisse
Vorgaben für geeignete Hardware
Vereinbarung eines Kontrollrechtes
Einholen der Einwilligung der Nutzer
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Anforderungen an die sichere IntegrationCheckliste
Anforderungsbereich: Awareness
Beschreibung Priorisierung Erfüllt
Kommunikation der Verfahren bei Verlust oder Diebstahl
Aufklärung bzgl. der Notwendigkeit und der Risiken
Hinweise zu aktuellen Sicherheitsbedrohungen
Aufklärung bzgl. verdächtigem Verhalten von Smartphones
Regelmäßige Sensibilisierung von (neuen) Mitarbeitern
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Ausblick
• Fokus der Entwicklungen wird mittelfristig weiterhin auf Endkonsumenten
liegen (Endgeräte und Services)
• Unternehmen stehen auch zukünftig vor der Herausforderung, Mobilität,
Nutzerfreundlichkeit, Sicherheit und Verlässlichkeit zu kombinieren
• Zusatzkosten für BYOD-Strategien mit Kosten für neue Geräte abwägen
• Empfehlung: Vorhandene Erfahrungen nutzen und mobile Endgeräte im
Rahmen der etablierter IT-Prozesse einführen – es sind vollwertige mobile
Clients mit TK-Funktionen
BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung
Abschließende Worte
•„Ein Smartphone hat mehr Rechenpower als der Flugrechner der NASA 1969. Die NASA schoss ne Rakete zum Mond - wir schießen Vögel auf Schweine.“Zitat von @Zixxel (twitter.com)
Quelle: de.wikipedia.orgBTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung