Internet in Zeiten von Pest und Cholera Wer traut sich noch raus?

Transkript

1 Internet in Zeiten von Pest und Cholera Wer traut sich noch raus? Markus Bernhammer Vorstand 1

2 Agenda Risiken außerhalb des Perimeters Surfen im Internet- Geht das auch sicher? Browser in the Box- Der neue Ansatz für sicheres Surfen Smartphones und Tablets- Balance zwischen Sicherheit und Freiheit BizzTrust- Geschäftliches und Privates trennen Sicherheit von Notebooks gegen Diebstahl- Auch die Basics müssen stimmen TrustedDisk- Sichere Festplattenverschlüsselung konsequent gedacht Sirrix - Kurzvorstellung 2

3 Risiken außerhalb des Perimeters Bekannte Angriffe und Schwachpunkte 3

4 ..fahren in einer offenen Kutsche und hoffen, dass es nicht regnet. 4

5 Gefahrenschwerpunkt Internet 5

6 Gefahrenschwerpunkt Internet 6

7 Gefahrenschwerpunkt Internet Das größte Einfallstor für Gefährdungen aus dem Internet ist der Web-Browser Web-Browser Sicherheit muss im Fokus aller Endpoint-Security Anstrengungen stehen 7

8 Antivirensoftware ist tot - Paradigmenwechsel in IT 8

9 Verlorene Daten auf Smartphones. 9 9

10 Sicherheitslücken in Smartphone Apps

11 Surfen im Internet- Geht das auch sicher? Browser in the Box- Der neue Ansatz für sicheres Surfen 11

12 Das Internet ist aus dem Alltag nicht wegzudenken. INTRANET Produktbezogene Daten Produktentwicklungsunterlagen Strategische Konzepte Browserbasierte in-house Anwendungen s INTERNET Recherchen, Nachrichten... 12

13 Bisherige Ansätze der Bedrohungsabwehr Kein Internet am Arbeitsplatz - Sicherheit: Abgesetzte Rechner für Internet Zugang Höherer Aufwand für den Mitarbeiter und zusätzliche Kosten für separate Systeme Internet mit reduziertem Funktionsumfang Sicherheit: Abgeschaltete aktive Inhalte Eingeschränkter Komfort für den Benutzer, niedrige Sicherheit. Alternative Browserhersteller Sicherheit: Diverse Sandboxing-Verfahren und schnelleres Patchmanagement Begrenzte Kapselung vieler Elemente, Sicherheit von O/S und Browser abhängig Terminalserver Sicherheit: Zentraler Server, auf dem der Web-Browser läuft, Zugriff über Desktop-Viewer Hohe Kosten für Bereitstellung, Komforteinschränkungen für den Benutzer, hohe Sicherheit 13

14 Browser in the Box: Sicherer Browser für den Client Technologie Browserkapselung durch Virtualisierung Eigenschaften 1. Hohe Sicherheit bei Erhaltung aller Webfunktionalitäten Trennung von Arbeitsplatzumgebung und Internet Transparent für den Anwender 2. Wirtschaftlich durch Einsatz vorhandener Clientressourcen Leicht zu installieren und zentral zu administrieren Sicherheit 14

15 BitBox Enterprise: Isolation auf Rechnerebene Anwenderkonto ANWENDUNG ANWENDUNG BitBox Konto VirtualBox GEHÄRTETES LINUX WEB-BROWSER Windows BitBox Services Intranet 15

16 Browser in the Box Enterprise: Isolation auf Netzwerkebene VirtualBox GEHÄRTETES LINUX WEB-BROWSER BitBox-Konto VirtualBox GEHÄRTETES LINUX LINUX VPN-Client VirtualBox internes Netzwerk Intranet IPSEC Web- Gateway 16

17 BitBox Enterprise: Einfache Administration Active Directory Drucker Server BitBox Internes Netzwerk DMZ Tunnel Web-Gateway Managementsystem 17

18 BitBox Sicherheitseigenschaften Sicherheit Sicherheitsanalyse der VM-Technik zusammen mit BSI durchgeführt Gehärtetes Linux als Gastsystem Kapselung in virtuelle Maschine (VM) Isolierter Browser in the Box-Benutzerkontext Start immer von einem sauberen Snapshot Sicherer IPsec-Tunnel bis zum Gateway, nur Daten aus BitBox werden ins Internet geleitet und umgekehrt Sicheres Drucken Down- und Upload richtliniengesteuert möglich 18

19 Sichere Zwischenablage Informationsflusskontrolle Unidirektional (Arbeitsplatz BitBox oder BitBox Arbeitsplatz) Bidirektional (Arbeitsplatz BitBox ) Zentral administrierbar Optionale Bestätigung durch den Benutzer beim Einfügen Kein unbemerkter Informationsfluss z.b. durch Schadsoftware im Gast, die die Zwischenablage ausliest 19

20 BitBox Client: Komforteigenschaften Benutzerkomfort Hohe Transparenz durch Seamless-Mode Unterstützung von aktiven Inhalten Plug-Ins, persistente Lesezeichen, Drucken und Download richtliniengesteuert möglich Host - Plattformen Windows (XP, Vista, 7) Linux 20

21 Sicheres Surfen im Internet für Client/Server Infrastrukturen Trennung von Intranet und Internet Nachhaltiger Schutz gegen ZeroDay Exploits Einfacher RollOut Zentrales Management Schutz vor Datendiebstahl Erhöhung der Betriebsssicherheit Download unter: browser-in-the-box.de 21

22 Smartphones und Tablets- Balance zwischen Sicherheit und Freiheit BizzTrust- Geschäftliches und Privates trennen 22

23 Gefährdungen für Smartphones (1/2) Smartphones gehen verloren und werden geklaut Risiko Preisgabe gespeicherter Daten (Mails, Kontakte, ) Passworte sind oft unsicher und werden geknackt Risiko Preisgabe gespeicherter Daten, unautorisierter Zugriff auf Unternehmensressourcen (Intranet, Mails, ) Kommunikation wird abgehört Risiko Preisgabe übertragener Daten (z.b. Passwörter, PINs, Zugangscredentials, Webzugriffe, ), abgehörte Telefonate Datensauger-Apps Risiko Preisgabe vertraulicher Daten (Kontakte, Kalendereinträge, Ortsangaben, ) 23

24 Gefährdungen für Smartphones (2/2) Exploits von App-Fehlern Direkter Zugriff auf App-Daten Indirekter Zugriff auf Daten anderer Apps Risiko Preisgabe vertraulicher Daten Exploits von Android-Fehlern Zugriff auf kryptographische Schlüssel Umgehung von Isolations- und Verschlüsselungsmechamismen Risiko Preisgabe vertraulicher Daten, unautorisierter Zugriff auf Unternehmensressourcen (Intranet, Mails, ) 24

25 Stark steigende Anzahl von Android-Malware 25

26 Angriffsvektoren für Malware 3rd Party Apps Browser Multimedia/PDF Kommunikationsdienste Fernwartung Betriebssystem Benutzer 26

27 BizzTrust: Sichere Trennung von beruflichen und privaten Anwendungen Business- und Private-Umgebung Benutzer hat volle Kontrolle über die private Umgebung Unternehmen hat volle Kontrolle über die berufliche Umgebung Strikte Trennung Trennung von Apps und Benutzerdaten Apps einer Umgebung haben keinen Zugriff auf die Apps der anderen Umgebung Optionale Trennung von Kontakten und Kalendereinträgen Business-Apps haben keinen direkten Zugriff auf das Internet 27

28 Sicherheitsarchitektur mit Type Enforcement Business (classified) Personal (unclassified) App App App App App App Hardend Android Middleware With Security Extensions TURAYA Security Kernel & Type Enforcement Smartphone Hardware Sicherheitskern 28

29 Sicherheitsarchitektur mit Type Enforcement Business App App App App App App Android Middleware With Security Extensions Security Kernel & Type Enforcement Smartphone Hardware Private Vorteile Einfachere Portierung Geringer Ressoucenverbrauch Nachteile Größere TCB Beispiele BizzTrust (Sirrix/Fraunhofer SIT) BlackBerry Balance 29

30 BizzTrust Infrastruktur Administration HTTPs Internet Trusted Objects Manager Intern Cert Apps Profile Trusted Channel IPSec VPN Gateway Intern BizzTrust DMZ 30

31 BizzTrust- Funktionen (Client) Data at Rest Verschlüsselung der Benutzerdaten auf dem Smartphone Trennung von nicht-sensitiven und sensitiven Apps ( Personal vs. Business ) kein Durchgriff über standardisierte Android-Schnittstellen (z.b. Zugriff auf Kontakte durch andere Apps) kein Durchgriff durch Exploits in der Middleware Typesicherheit für ausgeführte Apps (Schutz vor böswilligen Apps) 31

32 BizzTrust- Funktionen (Client) Data at Move Verschlüsselung der Kommunikation mit der Unternehmensinfrastruktur über einen IPSec-Tunnel. Mails, Kontakte- und Kalendersynchronisation Zugriff auf das Intranet Optionale verschlüsselte VoIP-Telefonie ins Unternehmensnetz oder zu anderen BizzTrust-Geräten des Unternehmens möglich Optional Internetzugriff über Unternehmens-Firewall 32

33 Unterstützung Geräte und Android Versionen Standardhardware Aktuelle Version basierend auf Android SE 4.2 Momentan unterstützte Geräte: Nexus Galaxy, Nexus S, Nexus 4, Nexus 10 (Tablet), Samsung Galaxy S4 mini Weitere geplante Geräte: Sony Xperia Z, HTC One u.w. 33

34 BizzTrust: Zentrales Management Benutzer- / Geräteverwaltung VPN mit vollautomatischem Zertifikats-Deployment OTA-Firmwareupdate 34

35 BizzTrust: Enterprise AppStore Zentrale Verwaltung von Apps Automatisches Signieren hochgeladener Apps und push auf alle Geräte 35

36 BizzTrust: Mobile Device Management Zentrale Verwaltung der MDM Schnittstelle Erste Funktionen verfügbar Erweiterung auf zusätzliche Funktionen möglich 36

37 Zusammenfassung Gehärtetes Betriebssystem Schutz vor Exploits Strenge Isolation Schutz vor Datensaugern Datenverschlüsselung Aktivierung von Sicherheitsmechanismen VPN 37

38 Sicherheit von Notebooks gegen Diebstahl- Auch die Basics müssen stimmen TrustedDisk- Sichere Festplattenverschlüsselung konsequent gedacht 38

39 Notebook Diebstahl immer noch 70 % der gestohlenen Notebooks werden zu Straftaten eingesetzt Durch den Verkauf von sensiblen Unternehmensdaten erhoffen sich die Diebe weit mehr als vom Weiterverkauf des eigentlichen Gerätes. 39

40 TrustedDisk Entwickelt 2011 im Auftrag des BSI auf Basis von TrueCrypt Mit dem Ziel: Schutz der Daten des Notebooks und mobiler Speichergeräte bei Diebstahl oder Verlust : Einhaltung der Datenschutzgesetze und VSA Schutz von sensiblen Behörden- und Unternehmensinformationen Vollverschlüsselung von Festplatten und mobilen Speichergeräten Alle Daten des Notebooks werden verschlüsselt inkl. Betriebssystem, temporäre Dateien und mobile Speichergeräte Sichere Authentifikation des Benutzers durch Smartcard Kombination von hohem Sicherheitsstandard und einfachem Einsatz 40

41 Highlights von TrustedDisk (I) Hoher Einsatzkomfort Device-Vollverschlüsselung für Windows 7 Im Hintergrund, dadurch Weiterarbeit möglich Verschlüsselung von Systempartitionen und mobilen Speichergeräten Mehrbenutzerfähigkeit, flexibles und einfaches Rechtemanagement Hohe Sicherheit Umfassende Pre-Boot Authentication Mehrstufige Authentifizierung per Hardwaretoken und PIN Sichere Zufallszahlengenerierung, flexible Umverschlüsselung Für den VS-NfD Einsatz unter Windows 7 zugelassen 41

42 Highlights von TrustedDisk (II) Weitere Funktionen außerhalb der Zulassung Stealth-Mode Smart-Lock Linux Version (Versionsstand nicht aktuell) Unterstützung PKCS #11 Verwendung Middleware ( CardOS API) 42

43 TrustedDisk-Einsatzmöglichkeiten Einzelplatzversion ohne zentrales Management Für Behörden und Unternehmen empfohlen bis ca. 30 Clients SmartCard Authentisierung Für den VS-NfD Einsatz zugelassen Zentrales Management über TrustedObjects Manager Für Behörden und Unternehmen mit mehr als 30 Clients Zusätzliche Funktionen gegenüber der Einzelplatz-Version Für die Verwendung mit der zugelassenen TrustedDisk Einzelplatzversion freigegeben 43

44 Lieferumfang / Lizenzmodell TrustedDisk Einzelplatz TrustedDisk Enterprise Client Lizenz Certificate Manager (nur für Einzelplatz) SmartCard Leser SCT 3512 oder SCR 3310 SmartCard Infineon SLE66CX680PE inkl. CardOS 4.4 Zusätzlich für zentrales Management TrustedObjects Manager Lizenz TrustedObjects Manager 19 Zoll appliance Lizenzmodelle Subscription (zeitlich befristetes Nutzungsrecht) Inkl. Update- und Support Auf Anfrage: Perpetual (zeitlich unbefristetes Nutzungsrecht) Zuzüglich Update und Support 20 % pro Jahr 44

45 Zentrales Management über TrustedObjects Manager Zentrale Verwaltung: Zentrales Benutzer-Management Anbindung an Verzeichnisdienste (LDAP) Zentrale Protokollierung der Events Integrierte CA Unterstützung existierender CAs Weitere geplante Funktionen: Remote-Rücksetzen von vergessener PIN mittels Challenge-Response Flexibles Rechtemanagement mit Remote-Änderung von Benutzerrechten 45

46 TrustedDisk Unterschiede zwischen den Varianten Vorteile der Einzelplatzversion ohne zentrales Management Keine weitere Hardware notwendig (Platz / Stromverbrauch) Keine Änderungen am Netzwerk (Firewall / VLANs) Die Kosten für TOM (Hardware und CAL) entfallen Vorteile der Version mit zentralem Management über den TrustedObjects Manager Zentrale PUK Verwaltung Übersicht über den Status der Clients (Verschlüsselungsstatus / Verbindung) Zentrale Protokollierung der Events Zertifikate werden zentral abgelegt auf dem TOM Flexibles RollOut Szenario von TrustedDisk und der SmartCards Einfache Neuanlage von zusätzlichen Benutzern auf den Clients 46

47 Workstations Übersicht über alle Workstations, inklusive der Information über den Verschlüsselungsstatus: 47

48 Certificate Manager Erstellung eines Root Zertifikates, Export der Zertifikate (Standalone Version) Personalisierung von Token Löschung von Token Änderung der PIN durch Eingabe von PUK oder PIN 48

49 Festplattenverschlüsselung für hohe Sicherheitsanforderungen Verschlüsselung von Festplatten und mobilen Speichergeräten Zulassung für Geheimhaltungsgrad VS NfD Sichere Authentisierung mittels SmartCard Flexibler RollOut inkl. SmartCard-Personalisierung Zentrales Management Roadmap 2014: Anbindung an DFN-PKI Generierung und Zertifizierung von Signatur-, TrustedDisk- und Verschlüsselungsschlüssel Verwendung der TrustedDisk SmartCard für weitere Anwendungen Benutzerauthentifikation Verschlüsselung 49

50 Sirrix- Kurzvorstellung 50

51 Sirrix Historie Spin-Off des Instituts für Kryptographie und Sicherheit am DFKI in Saarbrücken Start des operativen Geschäftes in 2005 Erfolgreich im Projektgeschäft Aufbau Geschäftsbereich ComSec Realisierung von vielen Projekten im IT-Sicherheitsbereich Beteiligung an Forschungsprojekten 51

52 Sirrix Historie und Zukunft 2006 Projektstart für die Turaya Sicherheitsinfrastruktur 2009 Entwicklungsstart für kommerzielle Standardprodukte (TrustedVPN) 2010 Entwicklungsstart der Produktfamilie TrustedDesktop 2011 Produktfreigabe Browser in the Box Enterprise Gemeinsame Entwicklung von BizzTrust mit dem Fraunhofer Institut 2012 Bekanntmachung und Start des Sirrix Partner Programms Produktfreigabe von TrustedDisk 2013 Vorstellung BizzTrust 2014 Produktfreigabe BizzTrust Vorstellung PanBox 52

53 Hauptsitz in Saarbrücken EMV-isolierte Entwicklungsbereiche Infrastruktur für VS-Entwicklungen bis SG Niederlassung in Bochum Hochsicherheitsgebäude mit abstrahlgeschützter Infrastruktur. Standort Darmstadt Im Gebäude der Fraunhofer Gesellschaft HQ in Saarbrücken Vorstand: Ammar Alkassar CEO Christian Stüble CTO Markus Bernhammer CSO NL in Bochum Aufsichtsrat: Dipl.-Ing. Harald Stöber, Düsseldorf (Vorsitzender) Dipl.-Kfm. Hans-Joachim Kraemer, München (stellv. Vors.) Agenda 53

54 2014 ı Classification: Public Produktlinie Sprachverschlüsselungssysteme ISDN/VoIP/GSM TETRA/BO S-D/SNS NATO -SCIP Fax Encryption Systeme Radio Encryption Systeme Module für VHF/UHF Radios Handsets für HF-Radios T URAYA T M TrustedInfrastructure TrustedO bjects Manager TrustedVPN TrustedDesktop TrustedServer T URAYA TM SecurityKernel TURAYA TM Embedded TURAYA TM Mobile Brow ser in the Box Secure Brow sing TrustedDisk HardDisk&USB-Encryption Mobile Device Security TrustedMobile io S/Android BizzTrust TrustedO bjects Manager Management for Appliances, Policies, User, Trusted Domains, 54

55 Sirrix AG Im Stadtwald D Saarbrücken T 0681 / F 0681 / E W info@sirrix.de 55