Wie sicher sind Ihre Daten? Mobile Computing Datenschutz- und Datensicherheitsaspekte

Transkript

1 Wie sicher sind Ihre Daten? Mobile Computing Datenschutz- und Datensicherheitsaspekte Referent: Karsten Knappe DGI Deutsche Gesellschaft für Informationssicherheit AG Berlin April 2013 Folie 1

2 Alle Rechte vorbehalten. Nachdruck, Vervielfältigung und Veröffentlichung nicht gestattet. Auch die Rechte der Wiedergabe durch Vortrag, Funk und Fernsehen sind vorbehalten. Die in dieser Publikation erwähnten Soft- und Hardwarebezeichnungen sind in den meisten Fällen auch eingetragene Marken und unterliegen als solche den gesetzlichen Bestimmungen. Text, Abbildungen und Programme wurden mit großer Sorgfalt erarbeitet. Der Verfasser übernimmt für eventuell verbliebene fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch Haftung. Die vorliegende Publikation ist urheberrechtlich geschützt. Folie 2

3 Begrüßung Produktportfolio der DGI AG Beratung in den Bereichen Datenschutz und IT-Sicherheit Informationssicherheit IT-Servicemanagement IT-Risikomanagement ik IT-Compliance Auditierung von Informationssicherheit Stellung des externen Datenschutz- /IT-Sicherheitsbeauftragten Offene und Inhouse-Seminare Folie 3

4 09. April 2013 Themenübersicht Mobile Computing Arten und Komponenten des Mobile Computing Anwendungsszenarien Sicherheitsaspekte Angriffsszenarien Maßnahmen zur Absicherung Folie 4

5 Grundlagen / Definition Grundlagen Oberbegriff für verschiedene Arten von mobiler Datenkommunikation und Datenerhebung, -verarbeitung und -nutzung Tragbar und mobil einsetzbar Definition Leichte, tragbare aber dennoch leistungsfähige Rechner werden drahtlos vernetzt und transparent in Kommunikations- und Informationsinfrastrukturen eingebunden. (Quelle: N. Diehl, A. Held: Mobile Computing) Folie 5

6 Kategorien - Beispiele Mobile Endgeräte Laptop / Notebook / Netbooks Smartphone Tablet-PC Personal Digital Assistant (PDA) MP3-Player, E-Book-Lesegerät GPS-Gerät (Satellitenkommunikation) Folie 6

7 Kategorien - Beispiele Mobile Netze Drahtlose lokale Netze o WLAN o Bluetooth Zellulare Mobilfunknetze o GSM o GPRS o UMTS o LTE Folie 7

8 Sicherheitsaspekte Informationssicherheit ist Teil des Risikomanagements eines Unternehmens Pflicht zur Risikofrüherkennung (AktG, GmbHG) Gefährdung durch Ausfall der Systeme, wie Datenverlust, Nichteinhaltung i h von Compliance-Anforderungen, Malware Fehlverhalten der Mitarbeiter / der Geschäftsführung Organisatorische Probleme können nicht mit technischen Mitteln gelöst werden Personal muss sensibilisiert und informiert werden Nutzung / Betrieb muss geregelt sein Folie 8

9 Behandlung von Risiken Risikobehandlung Umstrukturierung Sicherheits- maßnahmen Risiko- übernahme Transparentmachung Neuer IT- Sicherheitsprozess Änderung des IT-Sicherheits- konzepts Folie 9

10 Kategorien der Sicherheitsbedrohungen Höhere Gewalt Z. B. Feuer, Wasser, Blitzschlag, Krankheit Organisatorische Mängel Z. B. fehlende oder unklare Regelungen, fehlende Konzepte Menschliche Fehlhandlungen "Die größte Sicherheitslücke sitzt oft vor der Tastatur" Technisches Versagen Z. B. Systemabsturz, Plattencrash Vorsätzliche Handlungen Z. B. Hacker, Viren, Trojaner Folie 10

11 Sicherheitsvorfälle - Beispiele Sicherheitsvorfälle Verlust von Verfügbarkeit, Vertraulichkeit it und/oder d Integrität Datenverlust durch fehlendes Backup Ausfall der Systeme Physikalischer Einbruch Folie 11

12 Angriffsmethoden - Beispiele Angriffsmethoden Passwortangriffe Social Engineering Denial of Service Destruktive Programme (Malware) Folie 12

13 Bedrohungsszenarien - Beispiel Außendienstmitarbeiter Laptop (betrieblich) Beschreibung Zugriff auf Daten des eigenen Unternehmens über ein Kundennetzwerk Ein WLAN-Access-Point des Kunden wird verwendet Schutzmaßnahmen Verschlüsselung der Daten und der Kommunikation Kommunikationsschnittstellen bei Nichtbenutzung ausschalten Virenschutz Ständiges Beaufsichtigen des Gerätes Mobile Speicherkarte benutzen Folie 13

14 Bedrohungsszenarien - Beispiel Bring Your Own Device - BYOD Beschreibung Nutzung eines privaten Gerätes für private und dienstliche Zwecke Schutz der dienstlichen Daten / des eigenen Informationsverbundes Schutzmaßnahmen Schutz der Hardware, wie Verschlüsselung, Diebstahlschutz Schutz gegen Angriffe auf die Kommunikation Schutz durch Einsatz von Virenschutz u. ä. Schutz durch Authentifizierungsmechanismen Schutz der Kommunikationsschnittstellen Vereinbarungen zur Nutzung der mobilen Endgeräte / Infrastruktur Update- und Patchmanagement Folie 14

15 Maßnahmen zur Absicherung - Beispiele Beachtung des Datenschutzes bei der Nutzung von mobilen Endgeräten Pi Private personenbezogene Daten (pb Daten), wie Adressbuch, SMS, s Betriebliche Erhebung, Verarbeitung und / oder Nutzung (besonders schutzwürdiger) pb Daten, wie Gesundheitsdaten Verschlüsselung der Hardware sowie der pb Daten Im privaten sozialen Umfeld, ausreichenden Schutz vor unberechtigter Kenntniserlangung sicherstellen Strikte Trennung von privaten / betrieblichen Daten (Zweckbindung) Öffentliche Hotspots stellen immer eine Gefahr für den Enduser dar => Kompromittierung des Geräts Folie 15

16 Maßnahmen zur Absicherung - Beispiele Beachtung der Datensicherheit bei der Nutzung von mobilen Endgeräten Schulung / Sensibilisierung / Information der Endanwender Informationssicherheitsleitlinie / Sicherheitsrichtlinien Schutz der Hardware, wie Verschlüsselung, Diebstahlschutz Schutz durch Authentifizierungsmechanismen Schutz der Kommunikationsschnittstellen Schutz der Kommunikationsverbindungen Schutz der Infrastruktur, wie Mobile Device Management Schutz durch Software Vereinbarungen zur Nutzung der mobilen Endgeräte / Infrastruktur Update- und Patchmanagement Folie 16

17 Haftungsfolgen Schadensersatz Rechtliche Auswirkungen Geldbuße Geldstrafe Freiheitsstrafe Unterlassungsanspruch aus Urheber- oder Wettbewerbsrecht Folie 17

18 Haftungsfolgen Ökonomische Auswirkungen Umsatzeinbußen wegen Betriebsausfall Umsatzrückgang Imageschaden und Reputationsverlust Verwehrung von Krediten (Basel II + III) Nichtberücksichtigung bei der öffentlichen Vergabe Zusätzliche Kosten für PR, Hotline etc. (Transparenz) Kürzung der Versicherungsleistungen Vermögensschaden Prozesskosten Rechtsanwaltskosten Folie 18

19 Maßnahmen zur Absicherung - Querschnittsbereiche al Persona Maßnahmen Folie 19

20 Allgemein Links und Tipps Bundesamt für Sicherheit in der Informationstechnik (BSI) Überblickspapier Smartphones Überblickspapier Consumerisation und BYOD Newsletter des BSI Berliner Beauftragter für Datenschutz und Informationsfreiheit Jahresbericht 2012 Folie 20

21 SEMINAR der DGI AG 16. Mai Berlin Sicherheitsaspekte h it bei Mobile Computing (Auszug) ) Schwachstellen und Bedrohungspotentiale Sicherheit in Datennetzen Passwortrichtlinien Benutzerrechtekonzepte Mobile Security Datentrennung geschäftlich und privat Kryptographie Abhörsicherheit Erarbeitung einer Checkliste zum sicheren Betrieb Mobile Computing Folie 21

22 Herzlichen Dank für Ihre Aufmerksamkeit. DGI Deutsche Gesellschaft für Informationssicherheit AG Kurfürstendamm 57 D Berlin Telefon: /49 (0) Telefax: eea /49 (0) info@dgi-ag.de Web: Folie 22