Die Welt vernetzt sich per Smartphone: Sichere Integration ins UnternehmenChristian Bruns, Informationssicherheit

BTC Business Technology Consulting AG

VorstellungVorstellungVorstellungVorstellung

Christian Bruns

• Wirtschaftsinformatik / Management Consulting (B. Sc./M. A.)

• ISO 27001/ISO 9001 Auditor

• betrieblicher Datenschutzbeauftragter(TÜV Rheinland)

• ISO 27001, Daten-schutz und Managementsysteme

• Awareness und CBT

• ISO 9001 Qualitäts-management

• Beratung, Konzeption und Audit

• BDSG-konforme Organisationen

• Ein- und Durchführung von Incidentmanagement

Vorstellung

https://www.xing.com/profiles/Christian_Bruns31

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

LagebildLagebildLagebildLagebild�Mobilit�t in �Mobilit�t in �Mobilit�t in �Mobilit�t in Unternehmen�Unternehmen�Unternehmen�Unternehmen�

Treiber der Mobilität für Energieversorger

Markt-anforderungen

Mitarbeiter

Interne Organisation

• „Mobile Lösungen“• Mobilität als

Wettbewerbsfaktor• Intelligente Stromnetze

• „BYOD“• Bereitstellung aktueller

IT-Endgeräte• „Generation Y“

• Einsparpotentiale• „Consumerization“• Verteilte Datenhaltung

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Verbreitung mobiler Endgeräte

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

MA < 10 MA < 50 MA < 250 MA > 250

31%

48%

75%

91%

Einsatz internetfähiger Mobilgeräte

•Quelle: Statistisches Bundesamt (Pressemitteilung vom 18. Dezember 2012)

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Externe Mobile Risiken

•Quelle: Kaspersky Lab - Global IT Security Risks: 2012

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Interne Mobile Risiken

•Quelle: Kaspersky Lab - Global IT Security Risks: 2012

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Status Verwaltung mobiler Endgeräte

•Dennoch…

• speichern 53% Kundendaten auf mobilen Geräten

• verursachen bei 42% mobile Sicherheitsvorfälle Kosten von jährlich über 100.000$

• verwalten nur 32% Unternehmensinformationen auf privaten Geräten

• haben nur 7% keine Probleme mit „BYOD“

•Kurios

• Antwort auf die Frage „Haben Mitarbeiter/Sie Zugriff auf Unternehmensdaten mit

mobilen Geräten?“

68%33%

0% 20% 40% 60% 80%

JaCIO

Quelle: dimension research (Juni 2013)

Quelle: ipadinschools.comBTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Sichere Integration Sichere Integration Sichere Integration Sichere Integration von Smartphonesvon Smartphonesvon Smartphonesvon Smartphones

Herausforderung „Smartphones“

• Smartphones sind auf den privaten Einsatz ausgerichtet

• Vorhandene Unternehmensprozesse nicht 1:1 übertragbar

• Smartphones ermöglichen Angreifern neue Angriffsvektoren

• Smartphones kommunizieren außerhalb des Unternehmensnetzes

• Verschiedene Betriebssysteme bieten ähnliche/gleiche Funktionen

Quelle: de.statista.com BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Übersicht „mobiler Gefahren“

Informationsabfluss

Informationsverlust

Identitätsdiebstahl

Kompromittierung des Unternehmensnetzwerkes

Schadsoftware

Compliance/Governance Verstöße

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Anforderungen an eine sichere Integration

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Kommunikationund

Schnittstellen

Appsund

Konfiguration

AwarenessPhysischer

SchutzSynchronisation

unds

Datensicherung

Bring YourOwn Device

„6 Schritte zur sicheren Integration“

SensibilisierenSynergien

nutzenEinführung

MDM

Kommunikation verschlüsseln

Lokale Daten verschlüsseln

Regelungen festlegen

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Schritt 1 – Sensibilisieren

•Ziel ist es Bewusstsein zu schaffen

•Management zentraler Faktor

•Regelmäßigkeit sichert dauerhaften Erfolg

•Maßnahmen:

• Poster und Flyer

• Videos

• Live Hacking / Präsenzvorträge

• Schulungen

• Gewinnspiele

• „Security Gimmicks“

• …

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Sensibilisieren

Schritt 2 – Synergien nutzen

•Was existiert bereits zu Notebooks / Laptops?

•Smartphones wie Notebooks einstufen

•Identifikation von Synergiepotenzialen:

• Welche Regelungen kann ich übernehmen?

• Welche Prozesse können mich unterstützen?

• Welche Spezialisten sind bereits im

Unternehmen?

• …

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Synergien nutzen

Schritt 3 – Einführung MDM

•Steuerung & Verwaltung der Geräte im Rahmen von Mobile Device Management

•Auswahl abhängig von Mobilstrategie

• Welches mobiles Betriebssystem setz ich ein?

• Welche Prozesse möchte ich mobil unterstützen?

• Wie viele Anwender erwarte ich?

• Welche Funktionen benötige ich?

• Werden private Endgeräte genutzt?

• Welches Budget steht mir zur Verfügung?

• …

Quelle: Gartner Magic Quadrant for Mobile

Device Management Software

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Einführung MDM

Schritt 4 – Kommunikation verschlüsseln

•Verschlüsselte Kommunikation wichtig, um Daten zwischen Smartphone und Unternehmen zu schützen

•Beispiel Mobile VPN

• Kommunikation über öffentliche Netze (z. B. UMTS), private WLAN-

Hotspots oder interne WLAN-Hotspots abgesichert

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Kommunikation verschlüsseln

Schritt 5 – Lokale Daten verschlüsseln

• Komplettverschlüsselung in Betriebssystemen vorhanden

• Alternativ Verschlüsselung bestimmter Dateibereiche

mittels Software

• Ohne Verschlüsselung können Daten von Fremden

ausgelesen werden

• Vorsicht bei BYOD: Ohne Trennung zwischen privaten

und geschäftlichen Daten wird bei Fernlöschung das

Smartphone i. d. R. vollständig zurückgesetzt

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Lokale Daten verschlüsseln

Schritt 6 – Regelungen festlegen

•Verbindlichkeit der Vorgaben erhöhen

•Unterschrift der Mitarbeiter bei Geräteausgabe

•BYOD: Unterschrift vor Zugang zum Unternehmensnetz

•Mögliche Inhalte:

• Erlaubte Anpassungen

• Verfahren bei Verlust oder Diebstahl

• Nicht erlaubte Nutzung

• Anforderungen an die Geräte (BYOD)

• Anforderungen an die Konfiguration (BYOD)

• Klärung der Eigentumsverhältnisse (BYOD)

• Vereinbarung eines Kontrollrechtes (BYOD)

• …

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Regelungen festlegen

ChecklisteChecklisteChecklisteCheckliste

Anforderungen an die sichere IntegrationCheckliste

Anforderungsbereich: Physischer Schutz

Beschreibung Priorisierung Erfüllt

Vorgaben zur Aufbewahrung

Gerätesperrung und sichere Handhabung von Kennwörtern

Verfahren und technische Lösungen zur Fernlöschung/-sperrung

Vermeidung von öffentlichen Ladestationen

Verschlüsselung der lokalen Daten

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Anforderungen an die sichere IntegrationCheckliste

Anforderungsbereich: Kommunikationsschnittstellen

Beschreibung Priorisierung Erfüllt

Verschlüsselung der Kommunikation mit dem Unternehmensnetzwerk

Vermeidung öffentlicher und ungesicherter WLANs

Sicherheitsvorgaben für mobile Hotspots

Deaktivierung nicht benötigter Schnittstellen (Bluetooth, NFC, etc.)

Protokollierung von Geräteaktivitäten

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Anforderungen an die sichere IntegrationCheckliste

Anforderungsbereich: Apps und Konfiguration

Beschreibung Priorisierung Erfüllt

Verbot der Entfernung von Nutzungsbeschränkungen

Aufbau eines internen „Appstores“

Vorgaben zum Bezug von Apps (Black-/Whitelist)

Zeitnahe Softwareaktualisierung

Unveränderbare Grundkonfiguration

Zentrale Anpassung der dezentralen Gerätekonfigurationen

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Anforderungen an die sichere IntegrationCheckliste

Anforderungsbereich: Synchronisation und Datensicherung

Beschreibung Priorisierung Erfüllt

Klassifizierung von Informationen

Trennung zwischen Geräte- und Unternehmensdaten

Deaktivierung von Synchronisationsdiensten

Sicherung von Unternehmensdaten im internen Netzwerk

Strikte Trennung zwischen E-Mailkonten

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Anforderungen an die sichere IntegrationCheckliste

Anforderungsbereich: Bring Your Own Device

Beschreibung Priorisierung Erfüllt

Trennung zwischen privaten und Unternehmensdaten

Anforderungen an die Konfiguration

Klärung der Eigentumsverhältnisse

Vorgaben für geeignete Hardware

Vereinbarung eines Kontrollrechtes

Einholen der Einwilligung der Nutzer

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Anforderungen an die sichere IntegrationCheckliste

Anforderungsbereich: Awareness

Beschreibung Priorisierung Erfüllt

Kommunikation der Verfahren bei Verlust oder Diebstahl

Aufklärung bzgl. der Notwendigkeit und der Risiken

Hinweise zu aktuellen Sicherheitsbedrohungen

Aufklärung bzgl. verdächtigem Verhalten von Smartphones

Regelmäßige Sensibilisierung von (neuen) Mitarbeitern

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

AusblickAusblickAusblickAusblick

Ausblick

• Fokus der Entwicklungen wird mittelfristig weiterhin auf Endkonsumenten

liegen (Endgeräte und Services)

• Unternehmen stehen auch zukünftig vor der Herausforderung, Mobilität,

Nutzerfreundlichkeit, Sicherheit und Verlässlichkeit zu kombinieren

• Zusatzkosten für BYOD-Strategien mit Kosten für neue Geräte abwägen

• Empfehlung: Vorhandene Erfahrungen nutzen und mobile Endgeräte im

Rahmen der etablierter IT-Prozesse einführen – es sind vollwertige mobile

Clients mit TK-Funktionen

BTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

Abschließende Worte

•„Ein Smartphone hat mehr Rechenpower als der Flugrechner der NASA 1969. Die NASA schoss ne Rakete zum Mond - wir schießen Vögel auf Schweine.“Zitat von @Zixxel (twitter.com)

Quelle: de.wikipedia.orgBTC AG – Informationssicherheit – 17.10.2013 – zur öffentlichen Verwendung

BTC Business Technology Consulting AGEscherweg 526121 OldenburgTel. 0441 / 36 12-0www.btc-ag.com

Vielen Dank für Ihre Aufmerksamkeit.