Bring Your Own "IT" Kostensenker oder Sicherheitsrisiko

Transkript

1 AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT Bring Your Own "IT" Kostensenker oder Sicherheitsrisiko Communications World, Session 4.3 Christian Creter, Senior Berater Informationssicherheit München,

2 Überblick Szenare von Bring Your Own IT (BYOIT) Wirtschaftliche Vorteile durch Endgerätevielfalt und Medienkonvergenz Mehr als BYOD Chancen und Risiken Anforderungen an Regelungen Lösungsansätze Klare Regelungen und Kommunikation Gelingt Risikominimierung durch Technologieeinsatz? Ausblick BYOD Bring Your Own Danger? IABG

3 Szenare von BYOIT Charakteristika Nutzung fremder Geräte, z.b. Notebooks, gab es schon bisher. Jetzt aber kleiner und in hoher Verbreitung wie Smart-Phones, USB-Devices Nutzung fremder und remote-applikationen (Apps, Cloud) Daten und damit Know-How verlassen den Bereich Behörde, Unternehmen Auslagerung der betrieblichen Daten durch den Nutzer in die Public Cloud Bsp. WhatsApp, Kontakte aus MS Outlook in der Cloud Psychologische Einflussfaktoren Alles, was neu ist, wird ausprobiert. Nutzer setzen Geräte auch dann ein, wenn untersagt (66%). In der Hierarchie höhergestellte Nutzer einer Organisation setzen Ihre Vorstellungen gegenüber der IT-/Org.-Abt. leichter durch. Aufwand? Folgen für die Strategie? Kontrollen und Einhaltung der Regelungen? Mögliche Einsatzsszenarien Trennung der Daten auf dem Gerät wird streng vorgenommen Gekapselte Anwendungssicht Nutzung von BYOIT nur für bestimmte Nutzergruppen IABG

4 Szenare von BYOIT - Angriffspunkte Angriffspunkte Beim Transport in ungesicherter Umgebung Geräte arbeiten ohne schützende Mechanismen Kommunikation mit unbekannten Verfahren Mobile Geräte bisher nicht ausreichend im IT-Sicherheitskonzept berücksichtigt. Nutzerrechte nicht beschränkt (Rooting, Jailbreak) Gleiche Malware wie bei Notebook möglich Update- und Patchmanagement oft nur rudimentär bzw. auch auf Applikationsebene Applikationen erfassen und verbreiten Nutzerdaten Aber: Data Leakage durch Unachtsamkeit und Unwissenheit nicht Vorsatz Always Online Schutzmechanismen derzeit unzureichend! Einfallstor mobiles Gerät: Gezieltes Auslegen eines präparierten Geräts mit Corporate Logo bei Unternehmensbesuchen oder vor Behörden IABG

5 Status Wie ist die Lage im Moment? Bestehende Regelungen werden nicht eingehalten. Einschmuggeln von Geräten, Ausufern der privaten Nutzung, Wildwuchs. Bestehende Regelungen sind unklar, ungeeignet, unzureichend und hinken der technischen Entwicklung hinterher. Grenze zwischen privat und beruflich verschwimmt. IT-Leiter rein rechtlich nicht verantwortlich -> Haftungspflichten bei der Unternehmens-, Behördenleitung Großer Mittelstand noch in der Findungsphase (Irrelevanz Basel II, SOX) Data Leakage nimmt zu, dies wird aber nicht erkannt und wird nicht bewusst. Heterogene, proprietäre Produkte sind nur aufwendig zu administrieren. Schadensstatus Verletzung von Geheimhaltungsvereinbarungen Vertragsverletzungen, Rufschaden, Verlust von Zulassungen Haftung für Ausfälle oder Verzögerungen Versand von Viren per mit Daten-Verlust beim Empfänger Schäden wegen fehlendem / unzureichenden Sicherheitskonzept Kostenpflichtige Services über Privatgerät unter Business genutzt IABG

6 Chancen und Risiken - Ausgangspunkt Motivation für den Einsatz von Mitarbeiter-IT Einsatz von Telearbeit Hohe zeitliche personelle Verfügbarkeit Hohe Mitarbeiterzufriedenheit durch den Einsatz neuster Technologieprodukte Hohe Produktivität durch den Einsatz des Produkts, von dem der Mitarbeiter meint, die Aufgabe am besten erfüllen zu können Reduzierung der Hardware-Kosten nicht primär Erfahrung im sicheren Umgang moderner IT-Apps steigt, Apps als Dienstleistung (Behördenwegweiser, Apps für Bayern, mgovernment, Bsp. apps.usa.gov: IRS2go) Gefahren beim Einsatz von BYOIT Hoher Aufwand zur Registrierung aller Endgeräte der Mitarbeiter und zur Sicherstellung, dass u.a. Fernlöschsoftware installiert und dass diese auf dem aktuellen Stand ist Erhöhte Risiken zum Einbringen von Malware in das Unternehmen Durchsetzung des Entzugs von Netzwerkberechtigungen bei z.b. Ausscheiden des Mitarbeiters Auch externes Personal benutzt zeitlich limitiert eigene IT! IABG

7 Chancen und Risiken von BYOIT (I) der Blick ins Detail Chancen Privat erworbenes Wissen und Bedienkonzepte in der eigenen Organisation nutzen Managementaufwand der IT-Abteilung reduziert? Kosteneinsparungen Motivationserhöhung, mehr Zufriedenheit Produktivitätssteigerung, (Kleine Aufgaben außerhalb der Arbeitszeit) Zugriff auf Unternehmensanwendungen und -ressourcen unabhängig vom Standort; ggf. rollenbezogen Gerät muss nicht von Behörde/Unternehmen gekauft werden, Flexibilität Flexible, mobile Ablage von Unternehmensdaten in der Cloud Risiken Vermischung von privaten und beruflichen Informationen, Zugriffseinschränkungen für den Arbeitgeber (Fm-Geheimnis), Unklarheiten, Wem gehören die Daten? Inkompatiblitäten, heterogene IT-Landschaft ( Wildwuchs ), Schadsoftware, Haftungsrechtliche Risiken, steuerrechtliche Fragen Erhebliches Risikopotential im Unternehmen Datenschutz für private und betriebliche Daten Beschäftigung mit betriebsfremden Themen Wer haftet für Mißbrauch? Vereinbarungen mit Betriebs-, Personalräten und Arbeitnehmervertretungen, Rahmenbedingungen zu definieren, Pilotprojekte Eigentumslage Weitergabe von privaten Endgeräten an Dritte Einsatz von DLP-Systemen, rechtliche Absicherung Speicherung von Betriebsgeheimnissen in der Public Cloud, Kontrollverlust Fehlende Kontrollmöglichkeiten in der Organisation IABG

8 Chancen und Risiken von BYOIT (II) der Blick ins Detail Chancen Erfahrungen des Mitarbeiters mit fremder SW nutzen Vertragliche Vorkehrungen müssen nicht mit jedem mobilen Endgerät dediziert angepasst werden. Mitarbeiter ist selbst für die Wartung zuständig Verantwortung vom Unternehmen an den Mitarbeiter weiter gereicht: Mitarbeiter haftet bei Fahrlässigkeit oder Vorsatz Flexible Ablage von Unternehmensdaten in der Cloud Nutzung neuer Funktionalitäten durch neuartige Endgeräte Risiken Nutzungsrechte an der SW von mobilen Geräten notwendig Ungesicherte und vertragslose Nutzung Unzureichende Absicherung des Zugriffs Unklare Nutzungsverhältnisse Sicherungsrecht an privaten Daten Verpflichtung (gemäß IT-Compliance gefordert) zur Wartung/Reparatur/Updating nicht gegeben. In der Praxis keine Wartung, Update Haftung bei Verlust oder Beschädigung des Geräts, Haftung bei Verlust der betrieblichen Daten Vergütungsanspruch für die betriebliche Nutzung Speicherung von Betriebsgeheimnissen in der Public Cloud Unbekannte Schwachstellen frisch auf den Tisch : Abhören z.b. von privaten Headsets oder Smart Phones im Betrieb IABG

9 Anforderungen an Regelungen im Unternehmen/der Behörde Großer Regelungsbedarf für technische und organisatorische Vorkehrungen Durchsetzung von Unternehmensrichtlinien/Dienstanweisungen Mobile Device Management, Lizenzmanagement Hoher organisatorischer Aufwand (Arbeitsverträge, Regelungen für Nutzung und Kontrolle) Trennung von privaten und dienstlichen Datenbeständen wichtig Was ist organisatorisch erforderlich: Rahmen Unternehmens-, Behördenpolicies regeln Umgang mit Betriebsdaten und Nutzung/Weitergabe privater Endgeräte, Mobilitätsstrategie Nutzungsrichtlinie für eingebrachte Hardware und Software bzw. private Nutzung IT-Konzepte zur Trennung beider Welten (privat geschäftlich) Betriebsvereinbarung/Dienstvereinbarung, Verpflichtungen Verantwortung und Miteinbezug CIO, Unternehmens-, Behördenleitung, Compliance-Beauftragter Mitarbeiter (Mitbestimmungsrecht bei z.b. Überwachung-, Kontrollmaßnahmen) Datenschutzbeauftragte, Arbeitnehmervertretung Betriebs- / Personalrat Rechtsabteilung-/referat IABG

10 Rechtliches Vielfältige Bestimmungen Zu berücksichtigen : Gesetzliche Regelungen Datenschutz BDSG 42a: Abflüsse personenbezogener Daten meldepflichtig Eigentum an Daten Know-How-, Datenabfluss durch Weitergabe privater Endgeräte Geheimnisverlust, Verrat von Geschäfts- und Betriebsgeheimnissen Gesetz gegen den unlauteren Wettbewerb UWG, 17, 18 Haftungsfragen Telekommunikations- und Telemediengesetz Fernmeldegeheimnis Urheberrecht (Übertragung an das Privatgerät eines Dritten) Lizenzrechte an SW (Verstoß gegenen Exklusivverträge) Arbeitsrecht und Steuerrecht Verschwiegenheitspflicht der Arbeitnehmer Strafrecht StGB, Fernmeldegeheimnis Weitere Regelungen IT-Compliance, Datensicherheit, Governance und IT-Richtlinien mobile Endgeräte IABG

11 Lösungen organisatorisch - Generelle Maßgabe: BYOIT nur mit arbeitsrechtlichen & Policy-Regelungen und technischen Konzepten! Erhebliches Risikopotential erkennen Neuartige, unbekannte Bedrohungen, Kontrollverlust, Kontrolle verursacht aber immer erst einmal Aufwand/Kosten Vielzahl an rechtlichen Probleme, wenn der Mitarbeiter sein Gerät einbringt Erforderlich: Rahmenbedingungen durch BYOIT- oder Private Nutzung von Behörden-/ Firmengeräten -Richtlinien, Pilotprojekte, Lösungsbedarf für einzelne Gruppen oder für alle? Ausschreibungs-/Vergabebegleitung und Monitoring der Roadmap der Hersteller Lösungen: Die private Nutzung des Firmengeräts wird nach einem klaren Regelwerk dem Nutzer gestattet. Die Beschaffung erfolgt markt- und zeitnah. Hoheit bleibt beim Unternehmen, der Behörde, z.b. Erlaubnis der Nutzung: Mitarbeiter trägt Teil der Kosten für die Geräte->Monatl. Pauschalen Betriebsvereinbarung/ Dienstvereinbarung Wirkt auf alle Arbeitsverhältnisse Schriftliche Einwilligungen des Arbeitnehmers Grenzen von Kontrollmöglichkeiten IABG

12 Lösungen technisch - Technische Lösung mit Kosten-/Nutzenanalyse (ROI) Mobile Device Management Systeme Von zentraler Stelle, Benutzergruppen Unabdingbar: Sicherungsmaßnahmen für den Zugriffsschutz Datenseparierung durch z.b: Partitionsbildung, Zugriff auf Unternehmensserver Einsatz von Thin Clients, Virtual Desktop Infrastruktur, Virtualisierungslösungen (z.b. VMWARE) Einsatz von Data Loss Prevention Systemen (DLP) Lizenzmanagement Sicherheitskonzepte beziehen die neuen Geräte mit ein Technische Trennung von dienstlichen und privaten Datenbeständen Berechtigungsverwaltung leitet Rechte für die Mitarbeitergeräte ab (AD/LDAP) Datensicherung bezieht BYOIT mit ein Mobilitätsstrategie definiert Basisleistungen für den Mitarbeiter Data Leakage Prevention IT-Grundschutz, ITIL IABG

13 Zusammenfassung und Empfehlungen Wiegen die Chancen die Risiken auf? Je nachdem, eine eigene Bewertung und klare Position dazu ist notwendig. Prinzpiell ist die Anschaffung der Geräte für den Mitarbeiter (Private Nutzung von Firmengeräten) besser. Der umgekehrte Fall ist sehr riskant, da der rechtliche Rahmen nicht einwandfrei ist und wenig beherrschbar ist. Im Prinzip nichts Neues: (EStG 3, Ziff. 45 Nutzung betrieblicher DV-, TK-Geräte) Aufwand für Regelungen wie Nutzungsentschädigung, Kostenübernahmen sowie Einschränkungen auf den Geräten entfallen. Eine Verschleierung von Schäden (wenn überhaupt erkannt) und Datenverlusten ist mittel- bis langfristig kontraproduktiv. Die Eindämmung von einmal etabliertem Wildwuchs ist schwierig. Sensibilisierung: Die Stabilität des Arbeitsplatzes aller ist bei Vorkehrungen gegen z.b. Datenabflüsse weniger gefährdet. Mobile Device Management Systeme Zentral, für dedizierte Gruppen über größere Teams bis hin zu großen MA-Zahlen Sicherheitskonzepte müssen eigene IT / Geräte einbeziehen! Klare Regelwerke und Nutzungsrichtlinien, Kommunikation! Ausgestaltung von Technologie-Entwicklungen in z.b. jährlich aktualisierten Roadmaps IABG

14 IABG-Unterstützungsleistungen für Behörden und Unternehmen Beratung bei der Umsetzung von BYOIT und im Outsourcing von Dienstleistungen Kosten-, Nutzenanalysen Begleitung von Pilotprojekten Ausschreibungsunterstützung Transfer von erforderlichem Know-How und Befähigung zum effizienten Umgang mit BYOIT-Fragestellungen Beratung bei der Ausgestaltung von Sicherheits-Policies, Behördenrichtlinien, Nutzungsrichtlinien Analysen der IT-Sicherheit und Erweiterung von IT- Sicherheitskonzepten IT-Sicherheitskonzepte gemäß BSI IT-Grundschutz und toolbasiert (GSTool), Bausteinadaptionen, Bausteinerstellung Dedizierte Risikoanalysen bei erhöhtem Schutzbedarf Zertifizierte Stelle in Bayern für IS-Revision & IS-Beratung lizenziert vom Bundesamt für Sicherheit in der Informationstechnik, Sicherheitsgutachten, Audits, Revisionen IABG

15 Herzlichen Dank! IABG mbh InfoKom Dipl.-Inform. Christian Creter Senior Berater Informationssicherheit Security & Safety Einsteinstraße Ottobrunn Tel IABG