Mobil und Gefährlich, Smartphons- ein Sicherheitsrisiko für KMU?

Transkript

1 Mobil und Gefährlich, Smartphons- ein Sicherheitsrisiko für KMU?! Gefahren und Angriffspunkte! IT-Sicherheitsmanagement! Anregungen für Maßnahmen! Fragen und Diskussion

2 Gefahren was ist möglich?! Datendiebstahl! Lokale Daten (Dokumente, SMS, s, Kontaktdetails)! Zugangsdaten (Kennwörter, PINs)! Abhören von Gesprächen und Datenkommunikation! Tracking! Kostenverursachende Fremdnutzung! Anrufe, SMS! WLAN-Hotspot! Nutzung als Wanze! Einschleusen von Schadecode (Viren, Trojaner)! Brückenkopf für Angriffe auf PC und Netzwerk! Datenverlust

3 Angriffspunkte! Geräteverlust! Unverschlüsselte Kommunikation! Apps! Deaktivierung/Fehlkonfiguration von Sicherheitseinstellungen! Einfache Datenmitnahme

4 Herausforderung! Mobile Arbeit/Techniknutzung (langfristig) nicht zu verhindern! Verschiedene Technikplattformen! Consumerprodukte im Unternehmenseinsatz! Unkontrollierte Nutzung! Vermischen privat/geschäftlich

5 IT-Sicherheitsmanagement! Praktische Herausforderungen! Quantifizierung von Risiken ist schwierig! Dynamische Technik und Prozesse vs. Langfristige Risikobetrachtung! Meist sehr technische Sichtweise von IT-Sicherheit! IT-Sicherheit dient nicht dem Selbstzweck! Betriebswirtschaftliche Kriterien sind bestimmend! daher im ersten Schritt:! Analyse der Geschäftsrisiken! Identifikation von möglichen Auslösern für das Risiko! erst daran schließen sich an:! Ermittlung der zu schützenden technischen Systeme! Empfehlung von Sicherheitslösungen

6 Risikobetrachtung! Eintrittswahrscheinlichkeit:! Erfahrungswerte! vertraglich vereinbarte Service-Level! Schadenshöhe:! Ausfallzeiten, Wiederherstellungskosten! Schäden durch Spionage! Imageschaden, Regressansprüche! Einflussfaktoren:! Geschäftsmodell, wirtschaftlicher Stand! Medienaufmerksamkeit! Stand der Technik (Angriffs- und Abwehraufwand)

7 Allgemeine Zielstellung! allgemeine Ziele der IT-Sicherheit! Kontinuität und ordnungsgemäße Abwicklung der Geschäftsprozesse! Schaden abwenden! für Firmen, Kunden, Mitarbeiter, Geschäftspartner! durch Eintritt unerwünschter Ereignisse! konkrete Ziele der IT-Sicherheit! Vertraulichkeit Autorisierter Datenzugriff! Integrität keine unautorisierte Daten- und Systemmanipulation! Verfügbarkeit Erfüllung geplanter Servicelevel! Verbindlichkeit Unabstreitbarkeit einer Kommunikation! Suche nach der Sicherheitsrentabilität, nicht nach der absoluten Sicherheit

8 Maßnahmen allgemein! Analyse und Konzeption:! technische und wirtschaftliche Gefährdungsabschätzung, Funktionsbedarf! Schulung und Sensibilisierung:! Erhöhung der Akzeptanz von Maßnahmen, Stärkung der Eigenverantwortung! Beobachtung und Kontrolle:! regelmäßige Überprüfung der Maßnahmen, Auswertung von Logdateien! Technik:! Virenschutz, Firewall, Verschlüsselung, Authentifizierung, Datensicherung! Notfallvorsorge:! Verhalten der Nutzer, Wiederherstellung der Funktionen, wirt. Absicherung

9 Handlungsempfehlungen! Organisatorisch! Aus Unternehmenssicht als Arbeitsmittel begreifen und akzeptieren! Betriebliche Vereinbarung (Nutzung privater Geräte, private Nutzung geschäftlicher Geräte)! Definition und regelmäßige Pflege eines Nutzungskatalog! Wer, Was, Welche Daten, Mit welchem Gerät! Regelmäßige Prüfung von Geräten und Bereinigung (Daten, Anwendungen)! Checkliste/Definition des Verhaltens bei Geräteverlust

10 Handlungsempfehlungen! Technik! Codesperre zusätzlich zur SIM-Sperre! Verschlüsselung für Datenkommunikation aktivieren/einrichten! Kommunikation mit Mailserver und int. Web-Anwendungen! automatischer Aufbau von Datenverbindungen unterbinden (auch Bluetooth)! Wenn sensible Daten dann separate Speicherkarte! W-LAN Liste regelmäßig bereinigen! Webangebot einer App vorziehen! Datensicherung bzw. Smartphone nur als Datenspiegel einsetzen! (zentrales Gerätemanagement)! (Virenschutz)

11 Kontakt PLANET IC GmbH Hagenower Str Schwerin www: Telefon: Fax: Birger Bösel boesel@planet-ic.de Telefon: